Datenschutz: Wenn der Chef zu viel wissen will

Personaldaten landen immer öfter auf Servern im Ausland. Die EU-Richter haben dazu jetzt ein wichtiges Urteil gefällt. Doch was bedeutet das für die Macht der Chefs?

Immer mehr Regelungen zum Datenschutz werden auf europäischer Ebene getroffen. Eine neue Entscheidung von EU-Richtern zeigt, wie wichtig diese Standards sind. Gleichzeitig stellt sich für jeden Beschäftigten die Frage, wer diese Regelungen kontrolliert.

Der Europäische Gerichtshof (EuGH) betont in einer Grundsatzentscheidung die Bedeutung eines einheitlichen Datenschutzstandards in der EU. Und macht klar, dass Betriebsvereinbarungen nicht die Datenschutz-Grundverordnung (DSGVO) unterlaufen dürfen – so die EuGH-Entscheidung vom 19.12.2024.

Der Fall könnte sich in vielen international tätigen Firmen zugetragen haben. Workday ist eine Software zum Personalmanagement. Dazu schlossen Betriebsrat und Unternehmen eine "Duldungs-Betriebsvereinbarung", meldet haufe.de.

In dieser wurde vereinbart, dass von der Personalabteilung nur bestimmte Daten wie die Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum oder Arbeitsort verwendet werden dürfen. Verschiedene personenbezogene Daten wurden dann auf einen Server des Konzerns in den USA übertragen.

Dagegen klagte ein Angestellter. Er forderte das Unternehmen auf, die ihn betreffenden Daten zu löschen. Und forderte Schadensersatz wegen rechtswidriger Datenverarbeitung. Einige Daten waren in der Vereinbarung nicht genannt. Das Bundesarbeitsgericht legte diesen Fall dem Europäischen Gerichtshof zur Prüfung vor und sorgte so für Klarheit.

Die Verarbeitung von Daten ist dem Unternehmen nicht verboten. Der Arbeitgeber darf Daten von Beschäftigten und Stellenbewerbern aber nur zweckgebunden erheben, also wenn dies erforderlich ist. Eine Einwilligung zur Datenverarbeitung kann durch einen Arbeitsvertrag oder eine Betriebsvereinbarung erfolgen. Das Unternehmen muss jedoch sicherstellen, dass Daten der Beschäftigten sicher gespeichert und verarbeitet werden.

Dass eine Betriebsvereinbarung klare Vorgaben zur Verarbeitung dieser Daten enthalten muss, macht der EuGH deutlich. Eine nach der DSGVO unzulässige Datenverarbeitung kann damit auch nicht durch eine Betriebsvereinbarung legitimiert werden. Gleichzeitig genügt es nicht, die Pflichten des Unternehmens oberflächlich in einer Betriebsvereinbarung darzulegen.

Dies erhöht die Anforderungen, wie die Juristen Johanna Reiland und Marc Störing deutlich machen:

Bisher gingen wohl die meisten Unternehmen und Rechtsexperten von einer großen Freiheit aus: Solange Arbeitgeber und Betriebsrat eine entsprechende Einigung erzielen, war es dem Unternehmen erlaubt, Daten der Arbeitnehmer so zu verarbeiten, wie es die Betriebsvereinbarung vorsah, ohne dass es – abgesehen von Extremfällen – auf weitere Anforderungen ankam. Dieser Ansicht erteilte der EuGH nun eine Absage: Regelungen zur Datenverarbeitung in Betriebsvereinbarungen müssen zentrale gesetzliche Vorgaben beachten.

Auswirkungen auf die EU-Verordnung zu Künstlicher Intelligenz

Dabei müssen derzeit in vielen Betrieben neue Regelungen umgesetzt werden. Auf EU-Ebene wurde im letzten Jahr die EU-Verordnung zu Künstlicher Intelligenz (EU-KI-VO) beschlossen. Sie tritt in mehreren Schritten in Kraft. Seit dem 2. Februar 2025 sind Beschäftigte zu qualifizieren und KI-Systeme mit einem unannehmbaren Risiko verboten.

Eine wichtige Rolle haben dabei Betriebsräte, da sie die Einhaltung von Gesetzen zu überwachen haben. Die Entscheidung macht deutlich, wie Unternehmen der betrieblichen Interessenvertretung gegenüber in vielen Fällen agieren.

Eine Testphase wird zum Beispiel wie eine "Einstiegsdroge" genutzt. Der Technik-Einsatz wird mit dem Betriebsrat vereinbart, die Dauer der Testphase nicht klar definiert. Meist wird ein Pilotprojekt zum Normalbetrieb, ohne Absicherung der Belegschaft durch eine umfassende Betriebsvereinbarung. Oder die neue Software wird zunächst unter Freiwilligkeit gestellt, um Regelungen mit dem Betriebsrat zu vermeiden. In der Praxis zeigt sich dann, wie wichtig die Neuerung als Arbeitsmittel ist und von jedem genutzt wird, um effektiv arbeiten zu können.

Auf die Probleme weist die TSE Hamburg hin, eine Technologie-Beratungsstelle für Betriebsräte. Viele Gremien fühlen sich von der "übermächtigen Materie" überfordert:

Die Themenvielfalt ist erdrückend. Das Änderungstempo der eingesetzten Software lässt keine Ruhepausen.

Und die Strategien der multinationalen Konzerne erschweren ein Verhandeln, da "keine Verhandlungspartner mehr vor Ort" seien, mit denen Vereinbarungen ernsthaft verhandelt werden könnten. Dass es auch anders geht, zeigen Beispiele zu abgeschlossenen Betriebsvereinbarungen, die auf der Homepage der TSE zu finden sind.

Wichtig ist eine Überwachung der EU-KI-VO im Sinne der Beschäftigten. So sind Systeme verboten, die manipulative Techniken anwenden, um das Verhalten von Beschäftigten zu beeinflussen oder deren Schwächen auszunutzen. Dies betrifft Benachteiligungen, etwa aufgrund des Alters oder einer Behinderung. Auch "soziales Scoring" ist danach im Betrieb verboten, also das Sammeln von Punkten für ein Wohlverhalten im Sinne des Unternehmens.

Ungenutzte Möglichkeiten stärken die Macht der Unternehmen

Aber das ist nicht alles – die Möglichkeiten gehen über das Kontrollrecht hinaus: Der Betriebsrat hat einerseits Informationsrechte nach § 90 Betriebsverfassungsgesetz. Plant das Unternehmen, im Betrieb KI einzusetzen, muss es frühzeitig informieren. Und andererseits besteht Mitbestimmung, und der Betriebsrat kann eine Betriebsvereinbarung durchsetzen, um so Arbeitssteuerung per KI zu vermeiden.

In vielen Verwaltungsbereichen erfolgt die Arbeitsverteilung per Algorithmus oder KI. Vernetzte PCs und spezielle Software – Groupware genannt – ermöglichen den Verwaltungsangestellten einen gemeinsamen Zugriff auf die Datenbank. Schriftwechsel erfolgt online, die Kundenpost wird per Datenleitung an die Beschäftigten verteilt.

Die Arbeitsbedingungen können vom Betriebsrat mitgeregelt werden, wenn er seine Rechte konsequent nutzt. Nutzen Betriebsräte ihre Möglichkeiten nicht, bleibt den einzelnen Beschäftigten nur die Möglichkeit, ihre Rechte selbst durchzusetzen. Den Gang zum Arbeitsgericht, einen Gang durch die Instanzen scheuen viele. So entscheiden oftmals die Unternehmen allein über den Technik-Einsatz und stärken ihre Macht durch Kontrolle und Steuerung trotz Datenschutz-Vorgaben.