Mitarbeitervertretungen spielen eine wichtige Rolle dabei, die Arbeitsbedingungen der Beschäftigten gut zu gestalten – auch beim Umgang mit den personenbezogenen Daten von Beschäftigten. Vieles, was MAVen täglich tun und wo sie mitreden, hängt mit Datenverarbeitung zusammen.

Und dennoch gibt es weder im katholischen noch im evangelischen Recht, weder im kollektiven Arbeitsrecht noch im Datenschutzrecht, ausdrückliche Regelungen zur Mitbestimmung der MAV beim Datenschutz. In der MAVO wie im MVG-EKD muss man daher für Ansatzpunkte für die Mitbestimmung auf die Suche gehen.

Mitbestimmung im Datenschutzrecht

Grundsatz der Rechtmäßigkeit

Der erste Grundsatz für die Verarbeitung personenbezogener Daten ist die Rechtmäßigkeit: Daten müssen auf rechtmäßige Weise verarbeitet werden (§ 7 Abs. 1 Nr. 1 KDG und § 5 Abs. 1 Nr. 1 DSG-EKD). Damit kommt mittelbar das Mitarbeitendenvertretungsrecht ins Spiel: Rechtmäßig ist die Verarbeitung nur dann, wenn bei den jeweiligen Sachverhalten auch die Vorgaben des jeweiligen kollektiven Arbeitsrechts eingehalten wurde. Fehlt eine rechtmäßige kollektivarbeitsrechtliche Beteiligung bei einem Verarbeitungsvorgang, ist der datenschutzrechtliche Grundsatz der Rechtmäßigkeit nicht erfüllt und die Verarbeitung verstößt damit gegen Datenschutzrecht.

Dienstgeber haben damit ein intrinsisches Interesse an der Einhaltung der Regelungen zur Mitbestimmung im Kontext von Datenverarbeitung: Die Datenschutzaufsichten können ungleich agiler und auch aus eigenem Antrieb agieren, anders als die Konfliktlösungsmechanismen im kollektiven Arbeitsrecht, die immer eine aktive Anrufung der Arbeitsgerichte brauchen.

Beschäftigtendatenschutz

Arbeitsrecht und Datenschutz kommen in den jeweiligen Paragraphen zum Beschäftigtendatenschutz zusammen. (Die Regelungen von § 53 KDG und § 49 DSG-EKD habe ich mir hier ausführlicher angesehen, und zwar im Vergleich mit § 26 BDSG, der Regelung des Beschäftigtendatenschutzes im staatlichen Bereich.)

Das katholische Beschäftigtendatenschutzrecht macht sich einen schlanken Fuß: »Die Beteiligungsrechte nach der jeweils geltenden Mitarbeitervertretungsordnung bleiben unberührt«, heißt es in § 53 Abs. 4 KDG. Damit ist immerhin klargestellt, dass »geht nicht wegen Datenschutz« kein Argument ist, um Beteiligungsrechte zu behindern.

Das evangelische Beschäftigtendatenschutzrecht ist etwas umfangreicher. Dort tauchen Dienstvereinbarungen neben Tarifverträgen als eine Rechtsgrundlage auf, die die Verarbeitung von Beschäftigtendaten erlauben (§ 49 Abs. 1 DSG-EKD). Europarechtskonform ausgelegt sollte man diese Regelung aber nicht überstrapazieren: Betriebsvereinbarungen können gemäß der Rechtsprechung des EuGH keine wirklich neuen Rechtsgrundlagen schaffen, sondern müssen den allgemeinen Bestimmungen der DSGVO entsprechen, mithin kein schlechteres Datenschutzniveau schaffen. (Mehr dazu in der Stellungnahme der GDD.) Eine ausdrückliche Regelung, dass Mitbestimmungsrechte unberührt bleiben, fehlt in § 49 DSG-EKD, der allgemeine Vorrang von speziellem Recht gemäß § 2 Abs. 6 DSG-EKD greift aber und führt zum selben Ergebnis.

Datenschutzfolgenabschätzungen

In der DSGVO gibt es eine Stelle, an der Beteiligungsrechte von Beschäftigtenvertretungen immerhin anklingen: Art. 35 Abs. 9 DSGVO legt fest, dass Verantwortliche bei Datenschutzfolgenabschätzungen »gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung« (Hervorhebung ergänzt) einholen – das kann man durchaus so auslegen, dass diese Vertretungen Beschäftigtenvertretungen sein können. In der Parallelstelle im KDG (§ 35 Abs. 8 KDG) stehen nur die betroffenen Personen, nicht ihre Vertretungen, das DSG-EKD verzichtet in § 34 gleich ganz auf eine entsprechende Regelung.

Mitbestimmung im kollektiven Arbeitsrecht

MAVO und MVG-EKD haben keine expliziten Beteiligungsrechte zu speziellen Datenschutzfragen. Viele Regelungen und insbesondere Mitbestimmungstatbestände betreffen führen dazu, dass Aspekte des Datenschutzes eine Beteiligung von MAVen ermöglichen oder erfordern.

Behandlung nach Recht und Billigkeit

Dienstgeber und MAV haben den Auftrag, gemeinsam darauf zu achten, dass alle Mitarbeitenden »nach Recht und Billigkeit behandelt« werden (§ 26 Abs. 1 MAVO, § 33 Abs. 1 MVG-EKD). Dazu gehört auch, dass die Datenschutzrechte aller Mitarbeitenden gewahrt werden. Daraus erwachsen noch keine unmittelbar durchsetzbaren Rechte, aber eine Rechtfertigung, warum Datenschutzthemen auch MAV-Themen sind. Beide Gesetze sehen vor, dass MAVen auf die Erledigung von gerechtfertigten Beschwerden hinwirken (§ 26 Abs. 2 Nr. 2 und § 27 Abs. 2 MAVO; § 35 Abs. 2 lit. c) MVG-EKD).

Etwas stärker sind die Möglichkeiten im MVG-EKD. § 48 regelt das Beschwerderecht der Mitarbeitendenvertretung: Bei Pflichtverstößen des Dienstgebers gegenüber Beschäftigten steht der MAV ein Beschwerderecht bei der zuständigen Aufsicht zu – dazu gehört auch die Datenschutzaufsicht. Die angegangene zuständige Aufsicht ist dann verpflichtet, Abhilfe zu schaffen. Eine entsprechende Regelung fehlt in der MAVO. Datenschutzrechtlich steht ein Beschwerderecht nur betroffenen Personen zu, stellvertretende Beschwerden durch die MAV sind nicht möglich. Beschwert sich also eine katholische MAV bei der Datenschutzaufsicht, handelt es sich lediglich um eine Kontrollanregung, aus der keine weiteren Rechte und Pflichten folgen. (Mehr zum Beschwerderecht der MAVen habe ich hier aufgeschrieben.)

Keine allgemeine Mitbestimmung beim Datenschutz

Eine vielbeachtete Entscheidung des LAG Hessen (5 TaBV 4/24, Beschluss vom 5. Dezember 2024) hat für den weltlichen Bereich festgestellt, dass sich die Mitbestimmung des Betriebsrates nicht auf den Datenschutz insgesamt bezieht, sondern lediglich auf die konkret geregelten Mitbestimmungstatbestände. Ein wesentlicher Grund dafür ist, dass der Datenschutz schon durch das Datenschutzrecht geregelt ist. Das Datenschutzrecht einzuhalten ist originäre, gesetzlich geregelte Pflicht des Verantwortlichen. Was schon gesetzlich geregelt ist, unterliegt aber nicht der Mitbestimmung.

Ebenfalls keine Mitbestimmung gibt es bei der Bestellung von betrieblichen Datenschutzbeauftragten. Wenn aber bDSB neu eingestellt werden oder sich durch die Übertragung der Aufgabe eine andere Eingruppierung ergibt, bestehen die regulären Zustimmungserfordernisse. Diese Zustimmung kann bei einem Gesetzesverstoß verweigert werden (§ 34 Abs. 2 Nr. 1, § 35 Abs. 2 Nr. 1 MAVO; § 41 Abs. 1 lit. a) MVG-EKD) – etwa dann, wenn die gesetzlichen Anforderungen an bDSB nicht erfüllt werden (»erforderliche Fachkunde und Zuverlässigkeit« gemäß § 36 Abs. 6 KDG und § 36 Abs. 3 DSG-EKD). Das ist aber ein relativ schwaches Schwert, lässt sich die Fachkunde doch mit relativ kompakten Kursen erwerben.

Im Ergebnis beschränkt sich die Mitbestimmung im Bereich des Datenschutzes daher auf die gesetzlich normierten Mitbestimmungstatbestände, bei denen Datenschutzfragen eine Rolle spielen.

Konkrete Beteiligungsrechte

Da es keine allgemeine Beteiligung der MAV beim Datenschutz gibt, ist Datenschutz nur ein Aspekt von konkreten Beteiligungstatbeständen. In der MAVO und im MVG-EKD sind diese deutlich unterschiedlich ausgestaltet.

In der MAVO

Vier der Fallgruppen, die unter Anhörung und Mitberatung (§ 29 Abs. 1 MAVO) fallen, berühren oft auch Datenschutzaspekte. Bei allen dieser Fälle besteht auch ein Vorschlagsrecht (§ 32 Abs. 1 Nr. 3, 8, 9, 10 MAVO). Konkret geht es um diese Punkte:

• Regelungen der Ordnung in der Einrichtung (Haus- und Heimordnungen) (Nr. 3): Hierunter dürften weit verstanden auch Regelungen zur Nutzung der IT-Infrastruktur gelten, inklusive der Privatnutzung.
• grundlegende Änderungen von Arbeitsmethoden (Nr. 14) und Maßnahmen zur Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufes (Nr. 15): das dürften häufig IT-Systeme sein.
• Festlegung von Grundsätzen für die Gestaltung von Arbeitsplätzen (Nr. 16): hier spielen auch technische und organisatorische Maßnahmen, die dem Datenschutz dienen, eine Rolle.

Das wohl schärfste Schwert der Mitbestimmung im Bereich des Datenschutzes ist die Zustimmung bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Mitarbeiterinnen und Mitarbeiter zu überwachen (§ 36 Abs. 1 Nr. 9 MAVO). Wichtig ist dabei, dass der Wortlaut zwar von »bestimmt« spricht, es aber gemäß der ständigen Rechtsprechung des Kirchlichen Arbeitsgerichtshofs als »objektiv geeignet« auszulegen ist (vgl. etwa KAGH, Urteil M 20/2019 vom 15. Mai 2020, Rn. 22; der KAGH folgt damit dem Bundesarbeitsgericht). Dieser Maßstab ist bei IT-Systemen sehr schnell erreicht, weil sehr vieles protokolliert werden kann und dann zur Überwachung oder Leistungskontrolle herangezogen werden kann. Bei solchen Maßnahmen besteht auch ein korrespondierendes Antragsrecht (§ 37 Abs. 1 Nr. 9 MAVO), außerdem können darüber Dienstvereinbarungen geschlossen werden (§ 38 Abs. 1 Nr. 11 MAVO). Wichtig ist, dass sich die Rolle der MAV dabei jeweils auf den Aspekt der Überwachung und Leistungskontrolle beschränkt.

Im MVG-EKD

Evangelische MAVen haben deutlich mehr Hebel als katholische. Das MVG-EKD nennt in § 40 fünf Mitbestimmungstatbestände, die in der Regel datenschutzrechtliche Aspekte berühren:

• Einführung grundlegend neuer Arbeitsmethoden (lit. h) – sehr oft IT-Infrastruktur.
• Einführung und Ausgestaltung mobiler Arbeit, die mittels Informations- und Kommunikationstechnik erbracht wird (lit. i) – technische und organisatorische Maßnahmen sind relevant.
• Maßnahmen zur Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufs (lit j) – wieder sehr oft IT-Infrastruktur.
• Einführung und Anwendung von Maßnahmen oder technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Mitarbeitenden zu überwachen (lit k) – hier schon dem Wortlaut nach »geeignet«.
• Regelung der Ordnung in der Dienststelle (Haus- und Betriebsordnungen) und des Verhaltens der Mitarbeitenden im Dienst (lit l) – IT-Nutzung und Privatnutzung.

In all diesen Fällen hat die MAV auch ein Initiativrecht (§ 47 MVG-EKD).

Umsetzung der Beteiligungsrechte

Informationsrechte datenschutzkonform ausgestalten

Die MAV braucht für ihre Arbeit viele Informationen, die oft auch personenbezogene Daten enthalten. Insbesondere die Mitbestimmung bei der Einstellung und Eingruppierung ist ohne personenbezogene Daten schlicht unmöglich. Hier gilt immer der Grundsatz: Wenn die MAV laut MAVO oder MVG-EKD (oder anderen Gesetzen) Informationen braucht, dann darf sie sie auch haben.

Die Information darf aber nur in dem Umfang erfolgen, wie sie auch erforderlich ist. Das bedeutet, dass etwa ein pauschaler Zugang für die MAV zu Personalakten oder Personalinformationssysteme nicht zulässig ist, weil das nicht erforderlich ist.

Wie genau die Information erfolgen muss und darf, muss man jeweils aus dem Gesetz erschließen, in der Regel durch eine Auslegung der verwendeten Verben (»unterrichten«, »informieren«, »Einsicht nehmen«, »aushändigen« und ähnliches). Ein Beispiel: In § 34 Abs. 3 MAVO heißt es, dass der MAV auf Verlangen ein Verzeichnis der eingegangenen einrichtungsinternen Bewerbungen sowie der Bewerbungen von Schwerbehinderten zu überlassen ist und Einsicht in die Bewerbungsunterlagen der oder des Einzustellenden zu gewähren ist. Das Verzeichnis dieser Gruppen (und nur dieser) erhält die MAV also, während sie in die genannten Bewerbungsunterlagen nur hineinschauen darf, sie aber nicht ausgehändigt bekommt.

Die MAV muss sicherstellen, dass sie mit den personenbezogenen Daten, mit denen sie in Berührung kommt, datenschutzkonform umgeht. Daher braucht sie ein Datenschutzkonzept (wie man das ausarbeitet, habe ich hier beschrieben). Fehlt ein solches Datenschutzkonzept, kann der Dienstgeber sich weigern, die entspechenden Informationen zur Verfügung zu stellen. Das hat aber Grenzen, wie das Kirchliche Arbeitsgericht für die Bayerischen (Erz-)Diözesen festgestellt hat (Urteil 1 MV 21/22 vom 9. Dezember 2022): »Der Dienstgeber kann die gesetzlichen Informations- u. Beteiligungsrechte der Mitarbeitervertretung nicht durch den Hinweis auf mögliche Datenschutzdefizite unterlaufen, wenn diese nicht von der MAV zu verantworten sind«, lautet einer der Leitsätze.

Zu datenschutzrechtlichen Aspekten der MAV im Zusammenhang mit dem Verfahren zum Betrieblichen Eingliederungsmanagements (BEM) hat sich die KDSA Ost in ihrem Tätigkeitsbericht 2017 (Nr. 7.1.2) ausführlich geäußert.

Vorgehen bei der Einführung von Systemen und Maßnahmen

Bei den oben genannten Beteiligungstatbeständen kann es schwierig sein, die beabsichtigten Maßnahmen zu bewerten. Gerade größere IT-Projekte können sehr komplex werden. (Die gesamten Unterlagen zur Einführung von MS 365 in der Nordkirche, die der Kirchenleitung als Beschlussvorlage dienten, umfassten 200 Seiten.) In solchen Fällen ist die MAV gut beraten, wenn sie externe Beratung durch sachkundige Personen nach dem üblichen Verfahren (§ 17 Abs. 1 MAVO, § 30 Abs. 2 MVG-EKD) hinzuzieht.

Sollte die MAV selbst prüfen, empfiehlt es sich, dem Dienstgeber gezielte Fragen zu stellen, die insbesondere auf das Potential zur Überwachungs- und Leistungskontrolle zielen:

• Ist Überwachung oder Leistungskontrolle geplant? Wie wird das ausgeschlossen oder kontrolliert, wenn es möglich ist? (Ziel: unstreitige Fälle von möglicher Überwachung und Leistungskontrolle und den Umgang damit abfragen.)
• Welche personenbezogenen Daten werden wie und zu welchem Zweck verarbeitet? (Ziel: herausfinden, inwiefern Daten geeignet sind, Leistung zu kontrollieren oder Beschäftigte zu überwachen, auch wenn der Dienstgeber das nicht so einschätzt.)
• Einsicht verlangen in eine eventuell durchgeführte Datenschutzfolgenabschätzung und ins (in der Regel verpflichtend anzufertigende) Verarbeitungsverzeichnis. (Ziel: Überblick über die Verarbeitungsvorgänge, um qualifizierte Entscheidungen zu ermöglichen.)

Ein Einsichtsrecht ins Verarbeitungsverzeichnis und in Datenschutzfolgenabschätzungen ist nicht ausdrücklich in den Gesetzen normiert. Es gibt aber gute Argumente dafür, dass ein solches Recht abgeleitet werden kann. (Das vertritt etwa Ullrich in Beschäftigtendatenschutz der katholischen Kirche, Rn. 610.) Mit diesen Unterlagen kann die MAV Maßnahmen umfassend bewerten. Datenschutzbedenken bestehen gegen die Einsicht nicht: Beide Dokumente enthalten (bis auf Urheberschafts- und Bearbeitungsvermerke) keine personenbezogenen Daten.

Auf dieser Grundlage kann dann gut bemessen werden, welche Beteiligungsrechte berührt werden. Offene Fragen sollten in Dienstvereinbarungen geregelt werden. Die können zwar keine neuen Rechtsgrundlagen schaffen, sind aber insbesondere dann nützlich, wenn die Rechtsgrundlage des berechtigten Interesses angewendet werden soll: Hier kann die Dienstvereinbarung ein wichtiger Aspekt der Abwägung sein, weil sie Schutzmaßnahmen hinsichtlich Überwachung und Leistungskontrolle definiert.

Generell empfiehlt es sich, eine Rahmen-IT-Dienstvereinbarung zu schließen. Darin sollte allgemein festgelegt werden, dass kein IT-System zur Überwachung und Leistungskontrolle verwendet wird und eventuell dennoch auf solche Systeme gestützte Maßnahmen nichtig sind. Darin kann man auch regeln, welche Änderungen an IT-Systemen unwesentlich sind und kein neues Beteiligungsverfahren erfordern, etwa einfache Sicherheitsupdates ohne wesentlich neue Funktionen. Sinnvoll ist auch, Grundsätze der Information (etwa Einsichtsrechte in DSFA und Verarbeitungsverzeichnis) zu vereinbaren.

Gute Beispiele und Hinweise für Rahmen-Betriebsvereinbarungen finden sich bei »Beratung für Betriebsräte« und Deubner Recht & Praxis sowie mit einer instruktiven Beschreibung des Prozesses hin zu einer Vereinbarnug das Institut für Mitbestimmung und Unternehmensführung.

Fazit

Auch ohne explizite Datenschutz-Beteiligungsrechte kann die MAV den Schutz der personenbezogenen Daten von Kolleg*innen voranbringen. Der übliche Werkzeugkasten von MAV und MVG-EKD bietet einige Ansatzpunkte, um zu guten Ergebnissen zu kommen.