Ein arbeitsrechtlicher Einigungsstellenspruch ist auch dann wirksam, wenn er unter Nutzung des Video-Konferenzdienstes Cisco Webex zustande kommt und damit ein möglicher Verstoß gegen die DSGVO gegeben ist (LAG Köln, Beschl. v. 25.06.2021 - Az.: 9 TaBV 7/21).
Es ging um ein arbeitsrechtlichen Verfahren vor der Einigungsstelle. Hierbei handelt es sich um eine innerbetriebliche Schlichtungsstelle, die angerufen wird, wenn sich Arbeitgeber und Betriebsrat sich in bestimmten mitwirkungspflichtigen Angelegenheiten nicht einigen können. Der Schiedsspruch hat dann die Wirkung einer Betriebsvereinbarung.
Im vorliegenden Fall wurde aufgrund der Pandemie bei den Gesprächen mit Zustimmung aller Beteiligten der Video-Konferenzdienst Cisco Webex eingesetzt.
Am Ende des Verfahrens erging ein Schiedsspruch, gegen den sich die betreffende Arbeitgeberin nun wehrte. Sie machte u.a. geltend, dass das eingesetzte Video-Tool datenschutzwidrig sei, da es Daten ins EU-Ausland übertrage.
Hinsichtlich der allgemeinen DSGVO-Konformität von Cisco Webex äußert sich das LAG Köln wie folgt:
"Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (...). Auch Cisco Webex gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (...).
Mit dieser Einschätzung steht der Bundesgesetzgeber nicht allein. Auch der Landesbetrieb IT.NRW, der für die IT-Infrastruktur der nordrhein-westfälischen Landesverwaltung zuständig ist, stellt den Behörden Cisco Webex zur Durchführung von Online-Konferenzen und Gerichtsverhandlungen zur Verfügung. Eine mutwillige, heimliche und damit unzulässige Aufzeichnung durch Teilnehmer mag zwar technisch nicht ausgeschlossen sein. Dies wäre jedoch kein taugliches Kriterium, um im Einigungsstellenverfahren die Zulässigkeit einer Videokonferenz verneinen zu können. Denn eine technische Aufzeichnung wäre mit Smartphones und Tablets auch bei Präsenzsitzungen nicht ausgeschlossen (...)."
Und weiter:
"Dass das Videokonferenzsystem Cisco Webex nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die USA übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.
Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.
Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement - MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe (...)."
Letzten Endes lässt das Gericht die Frage nach einer DSGVO-Verletzung offen. Denn selbst wenn ein Verstoß vorliege, so die Richter, führe dies nicht zur Unwirksamkeit des Schiedsspruchs.
"Ob dies ausreicht, um die Anforderungen der DSGVO zu erfüllen, kann hier aber dahin stehen, da die Nutzung des Videokonferenzsystems Cisco Webex jedenfalls keinen Verstoß gegen elementare Verfahrensgrundsätze darstellt, die zur Unwirksamkeit des Einigungsstellenbeschlusses führen könnte.
Denn der Gesetzgeber hat mit der Neuregelung in § 129 BetrVG Rechtssicherheit schaffen wollen. An die notwendige Sicherstellung der Nichtöffentlichkeit dürfen daher keine zu hohen Anforderungen gestellt werden. Solange für den Geschäftsverkehr gängige Konferenzsysteme verwandt werden, die über eine Verschlüsselung nach dem Stand der Technik verfügen, wie dies bei Cisco Webex im Mai 2020 der Fall war, sind keine zusätzlichen technischen Sicherungsmaßnahmen erforderlich (...).
Im Übrigen hatte die Einigungsstelle hinreichend sichergestellt, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Nach der unwidersprochenen Darlegung des Betriebsrats hatten sich die Sitzungsteilnehmer mit ihrem Namen oder den ihnen zugeordneten Zugangsdaten angemeldet, wobei das Konferenzsystem ständig eine Liste der teilnehmenden Person angezeigt hatte. Die Mitglieder der Einigungsstelle waren belehrt worden, dass sie mitzuteilen hätten, wenn eine andere Person den Raum betrete, indem sie sich befänden.
Jeder Teilnehmer hatte zudem auf Nachfrage bestätigt, dass er sich allein in einem geschlossenen Raum befinde. Die Einigungsstelle ist damit den in der Literatur aufgeführten Empfehlungen gefolgt (...)."