Grundsätzlich ist ein Unternehmer im Hinblick auf seine unternehmerischen Entscheidungen frei. Sofern allerdings im Unternehmen ein Betriebsrat existiert, muss der Unternehmer bei Einführung eines IAM die Rechte des Betriebsrats berücksichtigen.

Rechte des Betriebsrats nach dem Betriebsverfassungsgesetz
Im vierten Teil des Betriebsverfassungsgesetzes (BetrVG) sind die Mitwirkungs- und Mitbestimmungsrechte der Arbeitnehmer geregelt (§§ 74 – 113 BetrVG). Diese Rechte werden vom Betriebsrat für die Arbeitnehmer wahrgenommen. Dem Betriebsrat stehen die nachfolgenden Rechte (auszugsweise) zu:

  • Recht auf Unterrichtung gemäß § 80 Abs. 2 BetrVG
  • Recht auf Anhörung gemäß § 102 BetrVG
  • Recht auf Beratung gemäß §§ 90, 92 Abs. 1, 96, 97 Abs. 1, 111 BetrVG
  • Recht auf Mitbestimmung gemäß §§ 87 Abs. 1, 97 Abs. 2, 112, 112a Be-trVG

Das Recht auf Mitbestimmung ist das stärkste Recht des Betriebsrats. Der Arbeitgeber kann eine mitbestimmungspflichtige Maßnahme nur mit Zustimmung des Betriebsrats durchführen.

Mitbestimmungsrecht des Betriebsrats bei Einführung eines IAM
Der Betriebsrat kann und muss bei Einführung eines IAM mitbestimmen (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Der Betriebsrat kann grundsätzlich mitbestimmen, wenn der Arbeitgeber technische Einrichtungen einführen oder anwenden will, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Die Vorschrift dient nach dem Willen des Gesetzgebers dem Schutz der einzelnen Arbeitnehmer gegen anonyme Kontrolleinrichtungen.
Zum einen muss die die technische Maßnahme zur Überwachung bloß geeignet sein, eine Überwachungsabsicht muss nicht verfolgt werden. Ein IAM ist zur Überwachung der Arbeitnehmer geeignet. Mit einem IAM wird in erster Linie eine nachvollziehbare und flexibel administrierbare Verwaltung von Benutzeridentitäten und Zugriffsrechten sichergestellt. Der Arbeitgeber kann theoretisch jederzeit nachvollziehen, welcher Nutzer auf welche Ressource zugreift.

Zum anderen muss die Gefahr der Erhebung von leistungs- und verhaltensrelevanten Arbeitnehmerdaten vorliegen. Diese Gefahr ist bei einem IAM denkbar. Der Arbeitgeber kann jederzeit nachvollziehen, worauf der Nutzer zugegriffen hat und damit dessen Leistungs- und Arbeitsverhalten kontrollieren.

Das Mitbestimmungsrecht des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG bei Einführung eines IAM lässt sich nicht dadurch umgehen, dass ein Konzernunternehmen oder ein externer Dritter diesen Dienst erbringt (z.B. als Identity Management as a service (IDMaaS)). Der Arbeitgeber muss durch entsprechende Vertragsgestaltungen sicherstellen, dass der Betriebsrat sein Mitbestimmungsrecht ausüben kann (vgl. BAG 21.01.2004 AP Nr. 40 zu § 87 BetrVG 1972 Überwachung).

Rechtsanwalt Dipl.-Inform. Dr. jur. Marcus Werner ist Fachanwalt für IT-Recht und Inhaber der Kölner Kanzlei AHW Rechtsanwälte. Julius Oberste-Dommes, LL.M. ist Rechtsanwalt.