57
Allerdings stößt auch diese Umsetzungsform an rechtliche Grenzen. Ganz allgemein müssen die Betriebspartner die grundrechtlich gewährleisteten Freiheitsrechte der Mitarbeiter achten; hier sieht die Betriebsverfassung sogar ausdrückliche Schutzpflichten vor (vgl. § 75 Abs. 2 BetrVG). Die private Lebensgestaltung der Mitarbeiter ist der Regelungskompetenz von Betriebsrat und Arbeitgeber grundsätzlich entzogen. Verhaltensregeln zulasten Dritter (z.B. Angehöriger) sind nicht möglich. Vorgaben zu Äußerungen in der Öffentlichkeit oder zu politischem bzw. religiösem Engagement begegnen ebenfalls Vorbehalten; die Einschränkungen, die den Mitarbeitern abverlangt werden, sind kritisch mit den Belangen des Arbeitgebers abzuwägen.
58
Problematisch ist auch das Verhältnis zu anderen einschlägigen Regelungen – insbesondere zu den einzelnen Anstellungsverträgen. Hier gilt das Günstigkeitsprinzip. Sofern der Anstellungsvertrag bereits Vorgaben zu compliance-relevanten Sachverhalten enthält, gehen diese Regelungen einer Betriebsvereinbarung vor, wenn sie aus Sicht des Arbeitnehmers günstiger sind.28 Striktere Vorschriften im „Code of Conduct“ etwa zur privaten Nutzung von Firmengeräten oder zur Annahme von Geschenken – gehen dann ins Leere. Anders verhält es sich nur in den (seltenen) Fällen, in denen der Anstellungsvertrag eine Öffnungsklausel zugunsten (ungünstigerer) Betriebsvereinbarungen enthält.
59
Ein einmal durch eine Betriebsvereinbarung eingeführter „Code of Conduct“ kann schließlich nicht einseitig mittels Direktionsrecht geändert werden. Ändern sich die rechtlichen Rahmenbedingungen oder die Anforderungen des Unternehmens, muss der Arbeitgeber die Betriebsvereinbarung vielmehr kündigen und den „Code of Conduct“ neu verhandeln. Hier kann der Nachwirkung gem. § 77 Abs. 6 BetrVG eine maßgebliche Bedeutung zukommen.
IV. Datenschutzrechtliche Implikation
60
Der Datenschutz hat seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) einen deutlich größeren Stellenwert als in der Vergangenheit.29 Dies gilt auch für die Einführung eines „Code of Conduct“, wo dieses Thema bislang kaum eine Rolle spielte. Enthält der „Code of Conduct“ beispielsweise Regelungen zur Meldung von Verstößen gegen Verhaltensregeln oder möchte der Arbeitgeber die Einhaltung der Vorgaben überprüfen, werden regelmäßig personenbezogene Daten erhoben, verarbeitet und genutzt. In der Folge sind die Voraussetzungen der DSGVO zu beachten. Besonderer Aufmerksamkeit gebühren dabei den gesetzlichen Aufklärungs- und Informationspflichten gegenüber den „Betroffenen“ (Art. 13ff. DSGVO).
61
Die Erhebung, Verarbeitung und Nutzung – hierzu zählt auch die Übermittlung – personenbezogener Daten im Arbeitsverhältnis richtet sich regelmäßig nach Art. 88 DSGVO i.V.m. § 26 BDSG und bedarf daher stets eines Erlaubnistatbestands. Erlaubnistatbestände können eine gesetzliche Grundlage, die Einwilligung des Arbeitnehmers (§ 26 Abs. 2 BDSG) oder eine Betriebsvereinbarung (§ 26 Abs. 4 Satz 1 BDSG) sein.30 Wird der „Code of Conduct“ mittels einer Betriebsvereinbarung eingeführt, bietet es sich an, hier gleichzeitig die erforderliche Datenverarbeitung rechtlich abzusichern.
62
Die DSGVO spart insoweit nicht an regelungsbedürftigen Inhalten und Vorgaben. Bei manchen Datenschutzregelungen genügt es, wenn sie in einer sog. Rahmenbetriebsvereinbarungen abgebildet werden. Diese Inhalte müssen nicht in jeder Einzelbetriebsvereinbarung wiederholt werden.31
63
Andere Regelungsinhalte müssen dagegen in jeder Einzelbetriebsvereinbarung aufgenommen werden. Dies betrifft solche Regelungen, die auf die jeweilige Betriebsvereinbarung zugeschnitten sind. Hierzu gehören mindestens der Zweck der Verarbeitung i.S.v. § 26 Abs. 5 BDSG i.V.m. Art. 5 DSGVO, die Dauer der Verarbeitung, Löschungsregeln und die Zugriffsrechte.32 Entsprechende Bestimmungen sollten – je nach konkreter Ausgestaltung – auch in den „Code of Conduct“ aufgenommen werden.
64
Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, ohne dass hierfür ein Erlaubnistatbestand gegeben ist, hat dieser Datenschutzverstoß u.U. weitreichende Folgen. Die forsche Bußgeldpraxis der Aufsichtsbehörden hat für heftige Diskussionen gesorgt und wird noch die Gerichte beschäftigen. Aus einem Datenschutzverstoß kann aber – je nach Einzelfall – für den Arbeitgeber auch ein sog. Sachvortragsverwertungsverbot folgen. Bietet der Arbeitgeber beispielsweise in einem Kündigungsschutzprozess Beweise an, die unter Verstoß gegen die DSGVO erlangt wurden, darf das Gericht in diesem Fall nicht nur die angebotenen Beweise des Arbeitgebers nicht erheben (bloßes Beweisverwertungsverbot), sondern muss u.U. den gesamten arbeitgeberseitigen Vortrag bei seiner Entscheidung unberücksichtigt lassen.33
V. Mitbestimmungsrecht des Betriebsrats
65
Ein „Code of Conduct“ muss zwingend als Betriebsvereinbarung eingeführt werden, wenn und soweit Mitbestimmungsrechte des Betriebsrats berührt werden.
66
Die Beteiligungsrechte des Betriebsrats hängen naturgemäß von den konkreten Regelungen und Vorgaben des jeweiligen Verhaltenskodex ab. In Betracht kommt in erster Linie ein Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 1 BetrVG. Daneben können sich Beteiligungsrechte aber auch aus anderen Vorschriften ergeben (§§ 80 Abs. 2, 87 Abs. 1 Nr. 6, 94, 95 BetrVG).
67
Wichtig ist, dass der Verhaltenskodex nicht entweder nur insgesamt oder aber überhaupt nicht der Mitbestimmung unterliegt; dies ist eine Quintessenz der Honeywell-Entscheidung des Bundesarbeitsgerichts.34 Dass ein Arbeitgeber unterschiedliche Verlautbarungen in einem Gesamtwerk (etwa einem „Code of Conduct“) zusammenfasst, hat somit nicht zur Folge, dass dieses Gesamtwerk mitbestimmungsrechtlich nur einheitlich behandelt werden kann. Vielmehr muss die rechtliche Bewertung nach dem Inhalt der einzelnen Regelungen differenzieren: Manche Teile des Verhaltenskodex können mitbestimmungspflichtig sein, während andere Teile nicht der Mitbestimmung unterliegen.35
68
Die Rechtsprechung hat insbesondere folgende Regelungen als (mitbestimmungspflichtige) Tatbestände des Ordnungsverhaltens bewertet:
– Eine Verpflichtung, „ethische Bedenken“ oder mögliche Verstöße gegen den „Code of Conduct“ zu melden, ist mitbestimmungspflichtig, weil sie über die allgemeine Pflicht zur Abwendung von Schäden weit hinausgeht.36
– Mitwirkungspflichten der Arbeitnehmer an internen Untersuchungen unterliegen der Mitbestimmung, da diese Pflichten über die arbeitsvertraglichen Nebenpflichten der Arbeitnehmer zur Beobachtung und Meldung strafbaren Verhaltens hinausgehen.37
– Auch Verfahrensregelungen im Rahmen einer Whistleblower-Klausel können mitbestimmungspflichtig sein, wenn sie den Mitarbeitern aufgeben, bestimmte Kanäle (Vorgesetzter, Hotline etc.) für Meldungen oder Beschwerden zu nutzen.38
– Ebenso unterliegen die Regelungen zu standardisierten internen Prozessen zur Meldung von Datenschutzvorfällen der Mitbestimmung, da die Meldung dem Ordnungsverhalten zuzuordnen ist.39
– Ein Verbot der Annahme von Geschenken löst ebenfalls ein Mitbestimmungsrecht aus, da die wirtschaftlichen Grenzen