Sollen personenbezogene Daten verarbeitet werden, stellt sich in Unternehmen mit bestehenden Arbeitnehmervertretungen die Frage nach der kollektivrechtlichen Zuständigkeit für den Abschluss entsprechender Betriebsvereinbarungen bzw. für die Mitbestimmung des Betriebsrates nach § 87 Abs. 1 BetrVG. Abhängig von der Art der Maßnahme und der konkreten Planung der Unternehmen kommen dabei ein lokaler Betriebsrat, ein Gesamtbetriebsrat oder ein Konzernbetriebsrat in Betracht.
Die Abgrenzung der Zuständigkeiten zwischen Betriebs-, Gesamtbetriebs- und Konzernbetriebsrat ist in §§ 50 Abs. 1, 58 Abs 1 BetrVG geregelt. Es sind ausschließlich entweder einzelne Betriebsräte, der Gesamtbetriebsrat oder der Konzernbetriebsrat für eine mitbestimmungspflichtige Angelegenheit zuständig. Die Zuweisung durch das Gesetz kann zudem grundsätzlich weder durch Tarifvertrag noch durch Betriebsvereinbarung geändert werden. Abgrenzungskriterium ist, ob die mitzubestimmende Angelegenheit lediglich einzelne Betriebe betrifft oder eine betriebs- bzw. unternehmensübergreifende Regelung erforderlich ist. Dieses Erfordernis kann sich aus technischen oder rechtlichen Gründen ergeben. Die Praxis zeigt allerdings, dass diese objektive Abgrenzung durch eine von Arbeitgebenden bestimmte „Zielrichtung“ (etwa bei konzernweit einheitlicher Einführung von Softwareprodukten) mit gewisser Steuerungswirkung überlagert werden kann.
Rechtlich erforderlich ist eine Regelung zum Beispiel, wenn Arbeitgebende im Bereich der freiwilligen Mitbestimmung zu einer Maßnahme nur betriebsübergreifend bzw. unternehmensübergreifend bereit sind. Im Bereich der zwingenden Mitbestimmung, § 87 Abs. 1 BetrVG, hingegen genügt die bloße Zweckmäßigkeit einer einheitlichen Regelung nicht für eine Begründung der Zuständigkeit des Gesamt- oder Konzernbetriebsrates.
Eine technische Notwendigkeit zu einer betriebs- bzw. unternehmensübergreifenden Regelung kommt etwa nach dem Bundesarbeitsgericht in Betracht, wenn im Wege der elektronischen Datenverarbeitung in mehreren Betrieben Daten erhoben bzw. verarbeitet werden, die auch in anderen Betrieben verwendet werden sollen (14.11.2006 – 1 ABR 4/06; 25.09.2012 – 1 ABR 45/11). Dies soll auch gelten, wenn die Betriebe nicht unmittelbar miteinander vernetzt sind, weil die Daten über einen gemeinsamen Server transferiert werden. Grund hierfür ist die einheitliche Funktion des elektronischen Datenverarbeitungssystems.
So hat das Bundesarbeitsgericht in einem Fall entschieden, dass für die Mitbestimmung bei der Nutzung einer Personalverwaltungssoftware der Konzernbetriebsrat zuständig sei (25.09.2012 – 1 ABR 45/11), wenn das Konzernunternehmen, das das Personal verwaltet, individualisierte Daten von Beschäftigten anderer Konzernunternehmen erhebt und verarbeitet.
Das Bundesarbeitsgericht (08.03.2022 – 1 ABR 20/21) führt ebenfalls aus, dass es sich bei der unternehmensweiten Einführung von Microsoft Office 365 um eine Angelegenheit handele, bei der der Gesamtbetriebsrat zuständig sei. Es bestehe ein zwingendes Bedürfnis aufgrund eines technischen Grundes für eine unternehmenseinheitliche bzw. betriebsübergreifende Regelung. Entschieden wurde auch (LAG Schleswig-Holstein, 25.04.2018 – 6 TaBV 13/17), dass ein Gesamtbetriebsrat zuständig für den Abschluss einer Betriebsvereinbarung zur unternehmensweiten Einführung eines GPS-Systems ist, mit dem unter anderem die Arbeitszeiten erfasst werden.
Zum Teil wurde die Zuständigkeit des Gesamt- bzw. Konzernbetriebsrates jedoch auch verneint. Dies geschah beispielsweise im Fall eines visuellen Aufzeichnungssystems, in dem kein unternehmensübergreifender Datenaustausch erfolgte (BAG, 26.01.2016 – 1 ABR 68/13) sowie bei der Einführung von verpflichtend angeordneten und standardisierten Prozessen zur Meldung von Datenschutzvorfällen (LAG Schleswig-Holstein, 06.08.2019 – 2 TaBV 9/19).
Wird eine Betriebsvereinbarung mit einem Gremium geschlossen, welches nicht zuständig ist, so ist diese unwirksam. Weder ist der gesetzlichen Mitbestimmung in diesem Fall genügt, was in der Regel erneute und bekanntermaßen oft aufwändige Verhandlungen mit dem „richtigen“ Gremium erforderlich macht, noch entfalten sich die wichtigen Wirkungen für eine datenschutzrechtliche Absicherung und eine individuell wirksame Umsetzung von Maßnahmen.
Arbeitgebende sind gut beraten, vor Aufnahme von Verhandlungen mit einer konkreten Arbeitnehmervertretung über datenschutzrelevante Mitbestimmungsthemen sorgfältig die gesetzliche Zuständigkeit von lokalen, Gesamt- und u.U. errichteten Konzernbetriebsräten zu prüfen. Wenn auch (eingeschränkt) durch die Planung der Unternehmen beeinflussbar, kommt einer besonders kritischen Betrachtung der Erforderlichkeit der Einführung von Maßnahme auf Unternehmens- oder Konzernebene die entscheidende Bedeutung zu, die auch nicht vorschnell durch reine Zweckmäßigkeitserwägungen verwässert werden darf. Nur so können unwirksame Regelungen ebenso verhindert werden wie sich anschließende, oft erneut aufwändige Neuverhandlungen mit dem „richtigen“ Gremium.