Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie deutsche Betriebsräte die Datensouveränität der Mitarbeitenden bei Cloud-Bereitstellungen sicherstellen

Wie deutsche Betriebsräte die Datensouveränität der Mitarbeitenden bei Cloud-Bereitstellungen sicherstellen

von Danielle Barbour updated Februar 11, 2026 Regulatorische Compliance
Lesezeit: 10 Minuten

Nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) hat der Betriebsrat ein Mitbestimmungsrecht bei jeder technischen Einrichtung, die geeignet ist, das Verhalten oder die Leistung von Beschäftigten zu überwachen. Cloud-Plattformen erzeugen Protokolle, Metadaten und Nutzungsprofile, die nach Rechtsprechung des Bundesarbeitsgerichts als überwachungsfähige Systeme gelten und dem Betriebsrat somit unmittelbare Mitbestimmung bei Cloud-Einführungen verschaffen.

Dennoch behandeln die meisten deutschen Unternehmen die Zustimmung des Betriebsrats als reine Formsache. Wenn US-basierte Cloud-Anbieter Beschäftigtendaten verarbeiten, ermöglichen der CLOUD Act und FISA Section 702 US-Behörden den Zugriff auf diese Daten – unabhängig vom Serverstandort. Standardvertragsklauseln können diesen gesetzlichen Zugriff nicht aushebeln, was zu einem grundlegenden Konflikt führt: Die Zustimmung zu einer US-betriebenen Cloud-Plattform kann Beschäftigtendaten der Überwachung durch ausländische Behörden aussetzen.

In diesem Leitfaden zeigen wir, wie Betriebsräte ihr Mitbestimmungsrecht nutzen, um echte Souveränität über Beschäftigtendaten durchzusetzen – einschließlich architektonischer Anforderungen, Bewertung von Verschlüsselungsmodellen und relevanter Regelungen für Betriebsvereinbarungen.

Executive Summary

Kernaussage: Deutsche Betriebsräte verfügen über ein rechtlich durchsetzbares Mitbestimmungsrecht bei Cloud-Einführungen, die Beschäftigtendaten betreffen. Für eine wirksame Ausübung dieses Rechts sind architektonische Souveränitätskontrollen erforderlich: kundengemanagte Verschlüsselungsschlüssel, Single-Tenant-Bereitstellung in Europa und nachweisbare technische Durchsetzung des Datenstandorts.

Warum das wichtig ist: Das Bundesarbeitsgericht legt § 87 Abs. 1 Nr. 6 BetrVG weit aus. Jede Cloud-Plattform, die objektiv zur Überwachung von Beschäftigten geeignet ist, löst Mitbestimmung aus – unabhängig von der Absicht des Arbeitgebers. Wird ein US-betriebener Cloud-Dienst ohne Betriebsvereinbarung zur Datensouveränität eingeführt, ist dies rechtlich anfechtbar. Betriebsratsmitglieder, die Plattformen ohne ausreichende Schutzmaßnahmen genehmigen, riskieren, ihre gesetzliche Überwachungsaufgabe zum Schutz der Beschäftigtenrechte zu verfehlen.

5 wichtige Erkenntnisse

  1. Mitbestimmungsrechte betreffen praktisch jede Cloud-Plattform. Die weite Auslegung des Bundesarbeitsgerichts bedeutet: Jede Software, die Aktivitätsprotokolle, Zugriffsaufzeichnungen oder Nutzungsmetadaten erzeugt, erfordert die Beteiligung des Betriebsrats – auch ohne Überwachungsabsicht des Arbeitgebers.
  2. Serverstandort in Deutschland bedeutet keine Datensouveränität. US-betriebene Cloud-Anbieter unterliegen CLOUD Act und FISA 702 – unabhängig vom Speicherort der Daten. Der BfDI hat bestätigt, dass der Standort des Rechenzentrums allein nicht ausreicht.
  3. Betriebsvereinbarungen müssen technische Souveränitätsregelungen enthalten. Wirksame Betriebsvereinbarungen spezifizieren Verschlüsselungsschlüssel-Besitz, Bereitstellungsarchitektur, technische Durchsetzung des Datenstandorts und Zugriffsbeschränkungen für den Anbieter – statt sich auf vertragliche Zusagen zu verlassen.
  4. Kundengemanagte Verschlüsselungsschlüssel bieten den stärksten Souveränitätsschutz. Kontrolliert das Unternehmen die Verschlüsselungsschlüssel im eigenen Hardware-Sicherheitsmodul (HSM), kann der Anbieter Beschäftigtendaten auch auf behördliche Anordnung nicht entschlüsseln.
  5. Betriebsräte sollten fortlaufende Compliance-Überprüfung verlangen. Eine einmalige Prüfung zur Einführung reicht nicht. Betriebsvereinbarungen sollten regelmäßige Audit-Rechte, Protokollierungspflichten und Meldepflichten bei Änderungen der Datenverarbeitung vorsehen.

Warum Cloud-Einführungen die Mitbestimmung des Betriebsrats auslösen

Die weite Reichweite des § 87 Abs. 1 Nr. 6 BetrVG

Das Mitbestimmungsrecht des Betriebsrats gilt für die „Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Obwohl das Gesetz „bestimmt“ sagt, legt das Bundesarbeitsgericht dies seit seinem Grundsatzurteil von 1975 (BAG, 9. September 1975, 1 ABR 20/74) weit aus: Die objektive Eignung zur Überwachung genügt. Weder Überwachungsabsicht noch tatsächliche Auswertung von Leistungsdaten sind erforderlich.

Dies betrifft praktisch jede Cloud-Plattform. Produktivitätssuiten, Filesharing-Tools, E-Mail-Systeme und Kollaborationssoftware erzeugen Aktivitätsprotokolle, Login-Zeitstempel und Nutzungsanalysen, die die Eignungsschwelle erfüllen. Das Facebook-Urteil von 2016 bestätigte, dass bereits eine Firmen-Facebook-Seite mit Kommentarfunktion Überwachungsdruck erzeugt. Die Einführung einer Cloud-Plattform ohne Betriebsratsvereinbarung verletzt das Mitbestimmungsrecht; der Betriebsrat kann per Arbeitsgerichtsbeschluss die Einführung stoppen lassen.

Welche Data-Compliance-Standards sind relevant?

Jetzt lesen

Warum das für Datensouveränität entscheidend ist

Mitbestimmung schützt Beschäftigte vor unverhältnismäßigen Eingriffen in Persönlichkeitsrechte durch technische Überwachung. Wird die Technik von einem Anbieter betrieben, der ausländischen Zugriffsrechten unterliegt, reicht das Risiko über die Arbeitgeberüberwachung hinaus bis zur staatlichen Überwachung.

Setzt ein deutscher Arbeitgeber Microsoft 365 oder Google Workspace ein, entstehen bei jeder E-Mail, Dokumentenbearbeitung und Teams-Chat Beschäftigtendaten auf US-kontrollierter Infrastruktur. Der CLOUD Act ermöglicht es US-Behörden, diese Anbieter zur Herausgabe von Daten zu verpflichten – unabhängig vom Speicherort. FISA Section 702 erlaubt Geheimdiensten die Überwachung von Nicht-US-Personen ohne individuellen Beschluss. Die EDSA-Empfehlung 01/2020 stellt klar: Besitzt der Anbieter unter solchen Gesetzen die Verschlüsselungsschlüssel, „sind keine wirksamen Schutzmaßnahmen möglich“.

Der rechtliche Rahmen, den Betriebsräte kennen müssen

DSGVO- und BDSG-Anforderungen für Beschäftigtendaten

Art. 88 DSGVO erlaubt den Mitgliedstaaten, spezielle Vorschriften für die Verarbeitung von Beschäftigtendaten zu erlassen. Deutschland hat dies in § 26 BDSG umgesetzt: Die Verarbeitung von Beschäftigtendaten muss für das Beschäftigungsverhältnis erforderlich sein oder auf einer Betriebsvereinbarung beruhen.

Betriebsvereinbarungen erfüllen eine Doppelfunktion: Sie üben das Mitbestimmungsrecht aus und schaffen eine Rechtsgrundlage für die Datenverarbeitung nach DSGVO. Eine Betriebsvereinbarung, die Cloud-Einführung ohne ausreichende Souveränitätsschutzmaßnahmen erlaubt, kann als DSGVO-Rechtsgrundlage scheitern, weil sie keine „angemessenen und spezifischen Maßnahmen zum Schutz der Menschenwürde der betroffenen Person“ gemäß Art. 88 Abs. 2 DSGVO gewährleistet.

Die Verantwortung des Arbeitgebers nach § 79a BetrVG

Das Betriebsrätemodernisierungsgesetz 2021 stellte klar: Der Arbeitgeber ist DSGVO-Verantwortlicher für Daten, die der Betriebsrat verarbeitet. Das schafft gemeinsame Interessen: Der Arbeitgeber riskiert DSGVO-Bußgelder bei unzureichenden technischen Maßnahmen, der Betriebsrat trägt die Verantwortung, wenn er eine Verarbeitung genehmigt, die Beschäftigtendaten ausländischem Zugriff aussetzt. Beide Seiten profitieren von Architekturen, die unbefugten Zugriff technisch unmöglich machen.

Transfer Impact Assessments und Betriebsratsprüfung

Nach Schrems II müssen Unternehmen Transfer Impact Assessments (TIAs) durchführen, sobald personenbezogene Daten für Stellen in Ländern ohne angemessenes Schutzniveau zugänglich sind. Betriebsräte sollten Zugang zu abgeschlossenen TIAs verlangen, bevor sie Cloud-Einführungen zustimmen. Die TIA muss eine Frage beantworten: Kann der Cloud-Anbieter durch ausländisches Recht gezwungen werden, auf Beschäftigtendaten zuzugreifen? Falls ja, muss dokumentiert werden, welche technischen Maßnahmen dies unmöglich machen. Gibt es keine solchen ergänzenden Maßnahmen, hat der Betriebsrat starke Gründe, die Zustimmung zu verweigern.

Was Betriebsräte bei Cloud-Einführungen fordern sollten

Architektonische Anforderungen an die Souveränität von Beschäftigtendaten

Betriebsräte, die Betriebsvereinbarungen für Cloud-Plattformen verhandeln, sollten sich auf drei architektonische Säulen konzentrieren, die nachweisbare technische Souveränität bieten – statt bloßer Vertragszusagen.

Säule 1: Kundengemanagte Verschlüsselungsschlüssel

Der wirksamste Souveränitätsschutz stellt sicher, dass das Unternehmen – nicht der Cloud-Anbieter – die Verschlüsselungsschlüssel kontrolliert. Das Unternehmen erzeugt und speichert die Schlüssel im eigenen HSM in Deutschland. Der Anbieter verarbeitet verschlüsselte Daten, besitzt aber nie die Entschlüsselungsschlüssel. Wird der Anbieter von einer ausländischen Behörde zur Herausgabe gezwungen, kann er nur unleserlichen Ciphertext liefern.

Das unterscheidet sich grundlegend von „Bring Your Own Key“ (BYOK)-Modellen, bei denen Kunden zwar Schlüssel erzeugen, diese aber in den Schlüsselverwaltungsdienst des Anbieters hochladen. Der Anbieter behält Zugriff und kann zur Nutzung gezwungen werden. Der Test ist einfach: Erhält der Anbieter eine CLOUD-Act-Anfrage, kann er entschlüsselte Beschäftigtendaten liefern? Falls ja, ist das Verschlüsselungsmodell unzureichend.

Säule 2: Single-Tenant-Bereitstellung in Europa

Multi-Tenant-Cloud-Umgebungen teilen Infrastruktur mit Tausenden Kunden, wobei administrativer Zugriff durch Anbieterpersonal weltweit möglich ist – auch in Staaten mit Zugriffsrechten. Die Single-Tenant-Bereitstellung auf dedizierter europäischer Infrastruktur eliminiert geteilten administrativen Zugriff. In Kombination mit kundengemanagter Verschlüsselung und Zugriffskontrollen kann kein Anbieter-Mitarbeiter entschlüsselte Beschäftigtendaten einsehen.

Säule 3: Technisch erzwungene Datenresidenz mit Geofencing

Betriebsräte sollten Geofencing-Funktionen verlangen, die Datenstandortregeln auf Plattformebene technisch durchsetzen – statt sich auf Vertragszusagen zu verlassen. Effektives Geofencing beschränkt die Datenspeicherung auf deutsche oder EU-Rechenzentren, verhindert Replikation an Standorte außerhalb der EU, blockiert administrativen Zugriff aus nicht genehmigten Regionen und erzeugt Audit-Logs für alle Zugriffsversuche.

Souveränitätsfunktionen nach Cloud-Architektur

Souveränitätsanforderung US-Hyperscaler (Standard) US-Hyperscaler (EU Data Boundary) Kundenkontrollierte Architektur
Verschlüsselungsschlüssel-Besitz Anbieter hält Schlüssel Anbieter hält Schlüssel Kunde hält Schlüssel im eigenen HSM
CLOUD-Act-Exponierung Volle Exponierung Volle Exponierung (US-Rechtsträger) Anbieter kann Daten nicht entschlüsseln
Bereitstellungsmodell Multi-Tenant, geteilt Multi-Tenant mit regionalen Einschränkungen Single-Tenant, dediziert
Durchsetzung der Datenresidenz Vertragliche Zusage Konfigurationsbasiert Technisch erzwungen mit Geofencing
Administrative Zugriffskontrolle Globales Anbieterpersonal Auf EU-Personal beschränkt (mit Ausnahmen) Nur kundengesteuerter Zugriff
Audit-Fähigkeit des Betriebsrats Begrenzte Transparenzberichte Etwas bessere Transparenz Vollständiger Audit-Trail unter Kundenkontrolle
Zugriff ausländischer Behörden Technisch möglich Technisch möglich Technisch unmöglich ohne Kundenschlüssel

Eine wirksame Betriebsvereinbarung für Cloud-Datensouveränität aufsetzen

Unverzichtbare Regelungen für Betriebsvereinbarungen

Betriebsräte, die Cloud-Einführungen verhandeln, sollten diese Regelungen sicherstellen – über Standard-IT-Rahmenvereinbarungen hinaus, um Souveränitätsrisiken speziell beim Cloud Computing zu adressieren.

Umfang und Begrenzung der Datenverarbeitung

Die Betriebsvereinbarung sollte alle Kategorien von Beschäftigtendaten, die die Plattform verarbeitet, einschließlich Metadaten, aufführen: Login-Zeiten, IP-Adressen, Gerätekennungen, Dateizugriffszeiten und Kollaborationsmuster. Für jede Kategorie sind Rechtsgrundlage, Aufbewahrungsfrist und Zugriffsrechte zu definieren.

Technische Souveränitätsanforderungen

Verschlüsselungsmodell, Schlüsselmanagement und Bereitstellungskonfiguration sind zu spezifizieren. Es ist festzuhalten, dass das Unternehmen allein die Verschlüsselungsschlüssel kontrolliert und der Anbieter unter keinen Umständen – auch nicht auf behördliche Anordnung – Zugriff auf entschlüsselte Beschäftigtendaten erhält.

Überwachungs-Schutzmechanismen

Festlegen, was der Arbeitgeber mit den durch diese Systeme erzeugten Daten tun darf und was nicht. Leistungsprofile auf Basis von Nutzungsdaten sind zu untersagen, der Zugriff auf Aktivitätsprotokolle ist auf klar definierte Zwecke (z. B. Sicherheitsvorfälle gemäß DLP-Policies) zu beschränken und für analytische Zwecke ist eine Anonymisierung aggregierter Daten zu verlangen.

Fortlaufende Compliance und Audit-Rechte

Das Recht des Betriebsrats auf regelmäßige Überprüfung der Datenverarbeitung ist festzuschreiben. Der Arbeitgeber muss vor Änderungen an Cloud-Anbietern, Sub-Prozessoren, Verschlüsselungskonfigurationen oder Speicherorten informieren. Der Betriebsrat erhält das Recht, unabhängige technische Audits mit vollständigem Audit-Trail zu beauftragen.

Vorfallbenachrichtigung

Der Arbeitgeber muss den Betriebsrat innerhalb einer definierten Frist über Datenschutzvorfälle, Zugriffsanfragen ausländischer Behörden oder Änderungen der Rechtslage zu Anbieterzugriffen informieren.

Checkliste: Betriebsratsprüfung bei Cloud-Einführung

Prüfpunkt Schlüsselfrage Akzeptable Antwort
Kontrolle über Verschlüsselungsschlüssel Wer hält die Entschlüsselungsschlüssel? Ausschließlich der Kunde, im eigenen HSM
CLOUD-Act-Exponierung Kann der Anbieter Daten auf Anordnung entschlüsseln? Nein, der Anbieter besitzt keine Schlüssel
Bereitstellungsarchitektur Geteilte oder dedizierte Infrastruktur? Single-Tenant, dedizierte europäische Infrastruktur
Datenresidenz Wo werden Daten gespeichert, ist Replikation möglich? Nur Deutschland/EU, technisch erzwungen
Transparenz bei Sub-Prozessoren Welche Sub-Prozessoren haben Zugriff? Vollständige Liste, alle EU-basiert oder ohne Entschlüsselungszugriff
Audit-Rechte Kann der Betriebsrat Compliance unabhängig prüfen? Ja, mit unabhängigen Audit-Regelungen
TIA-Verfügbarkeit Wurde ein Transfer Impact Assessment erstellt? Ja, mit ehrlicher CLOUD-Act/FISA-702-Risikoanalyse
Vorfallbenachrichtigung Wird der Betriebsrat über Zugriffsanfragen informiert? Ja, innerhalb definierter Frist

Umsetzung: Ein praxisnaher Ansatz für Betriebsräte

Phase 1: Bestandsaufnahme (Wochen 1–4)

Alle aktuellen Cloud-Dienste mit Beschäftigtendaten erfassen. Für jeden Dienst Land des Anbieters, Speicherort, Schlüsselbesitz und Status der Betriebsratszustimmung dokumentieren. Nach § 80 Abs. 2 BetrVG kann der Betriebsrat alle notwendigen Unterlagen anfordern, einschließlich Cloud-Verträge, Auftragsverarbeitungsvereinbarungen und TIAs.

Phase 2: Risikobewertung (Wochen 5–8)

Jeden Dienst anhand der Souveränitätsanforderungen bewerten, mit Priorität auf sensible Beschäftigtendaten: HR, Gehaltsabrechnung, Gesundheitsdaten, Performance-Tools, Kommunikation. Der Schlüsselfrage: Kann der Anbieter auf entschlüsselte Beschäftigtendaten zugreifen, wenn eine ausländische Behörde dies verlangt?

Phase 3: Verhandlung und Vereinbarung (Wochen 9–16)

Die Ergebnisse mit konkreten Anforderungen an den Arbeitgeber herantragen. Ziel ist nicht, die digitale Transformation zu blockieren, sondern ausreichenden zero trust Schutz für Beschäftigtendaten sicherzustellen. Für bestehende Dienste ohne Souveränitätsschutz Übergangsfristen vorschlagen. Für neue Einführungen Souveränitätsanforderungen als Voraussetzung vor der Anbieterauswahl festlegen.

Phase 4: Laufende Überwachung (kontinuierlich)

Cloud-Anbieter ändern Nutzungsbedingungen, Sub-Prozessoren und technische Architekturen. Die Überwachungspflicht des Betriebsrats nach § 80 Abs. 1 Nr. 1 BetrVG erfordert eine fortlaufende Prüfung, ob die vereinbarten Standards eingehalten werden.

Mitbestimmung ist das stärkste Instrument für Datensouveränität im deutschen Recht

Das Mitbestimmungsrecht des Betriebsrats gibt echten Einfluss darauf, wie Cloud-Plattformen Beschäftigtendaten behandeln. Hält ein US-betriebener Anbieter die Verschlüsselungsschlüssel, kann kein Vertrag und keine Standardvertragsklausel eine CLOUD-Act-Anordnung verhindern. Nur eine Architektur, bei der ausschließlich der Kunde die Schlüssel kontrolliert, bietet zuverlässigen Schutz.

Betriebsräte, die kundengemanagte Verschlüsselung, Single-Tenant-Bereitstellung in Europa und technisch durchgesetzte Datenresidenz fordern, erfüllen ihre gesetzliche Verantwortung. Die Betriebsvereinbarung macht diese Schutzmaßnahmen durchsetzbar – und das deutsche Recht gibt dem Betriebsrat alle nötigen Werkzeuge an die Hand.

Kiteworks unterstützt deutsche Betriebsräte beim Schutz der Datensouveränität von Beschäftigten

Das Kiteworks Private Data Network bietet Unternehmen die architektonischen Kontrollen, die Betriebsräte für eine sichere Cloud-Einführung benötigen. Kiteworks arbeitet mit kundengemanagtem Verschlüsselungsmodell: Das Unternehmen erzeugt und verwaltet die Schlüssel im eigenen HSM. Kiteworks kann keine entschlüsselten Inhalte einsehen und kann ausländischen Behörden keine lesbaren Daten liefern, da es die Schlüssel nicht besitzt.

Kiteworks wird als Single-Tenant-Instanz auf dedizierter europäischer Infrastruktur bereitgestellt – einschließlich On-Premises, Private Cloud und gehärteter virtueller Appliance. Integriertes Geofencing erzwingt Datenresidenz auf Plattformebene, umfassende Audit-Logs erfassen jeden Dateizugriff, jede Benutzeraktion und jede administrative Änderung zur fortlaufenden Compliance-Überprüfung.

Für Unternehmen mit Mitbestimmungspflicht bietet Kiteworks technische Dokumentation und architektonische Nachweise für wirksame Betriebsvereinbarungen. Die Plattform vereint sicheres Filesharing, E-Mail-Schutz, Managed File Transfer und Web-Formulare – so kann eine einzige Betriebsvereinbarung alle sensiblen Datenbewegungen abdecken.

Wenn Sie mehr über die Sicherung der Datensouveränität von Beschäftigten bei Cloud-Einführungen erfahren möchten, vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Nach gefestigter Rechtsprechung des Bundesarbeitsgerichts ja – sofern die Plattform objektiv geeignet ist, das Verhalten oder die Leistung von Beschäftigten zu überwachen. Das umfasst praktisch jede Cloud-Anwendung, die Nutzeraktivitätsprotokolle, Login-Zeitstempel, Dateizugriffsaufzeichnungen oder Nutzungsanalysen erzeugt. Eine Überwachungsabsicht des Arbeitgebers ist für die Mitbestimmung nicht erforderlich. Betriebsräte sollten sämtliche Cloud-Dienste erfassen und prüfen, ob für jeden eine ordnungsgemäße Betriebsvereinbarung vorliegt. Ohne Betriebsratsvereinbarung eingeführte Plattformen können vor dem Arbeitsgericht angefochten werden; der Betriebsrat kann eine einstweilige Verfügung zur Unterbindung der Einführung beantragen.

Nein. Eine Betriebsvereinbarung darf das Datenschutzniveau nicht unter die DSGVO-Standards absenken. Nach Art. 88 Abs. 2 DSGVO müssen Betriebsvereinbarungen zum Beschäftigtendatenschutz „angemessene und spezifische Maßnahmen zum Schutz der Menschenwürde, berechtigten Interessen und Grundrechte“ enthalten. Eine Vereinbarung, die Cloud-Verarbeitung ohne ausreichende Souveränitätsschutzmaßnahmen wie kundengemanagte Verschlüsselung erlaubt, kann als Rechtsgrundlage für die Datenverarbeitung scheitern. Betriebsräte sollten Souveränitätsanforderungen nicht als Konkurrenz zur Betriebsvereinbarung, sondern als essenzielle Bestandteile für DSGVO-Compliance betrachten.

Betriebsräte sollten das Transfer Impact Assessment, Dokumentationen zur Verschlüsselungsarchitektur, Datenflussdiagramme und Sub-Prozessorenlisten anfordern. Die TIA sollte CLOUD-Act- und FISA-702-Risiken ehrlich bewerten und nicht durch Anbieterzusicherungen relativieren. Die Verschlüsselungsdokumentation muss bestätigen, ob der Anbieter unter irgendeinem Umstand Zugriff auf Entschlüsselungsschlüssel hat. Datenflussdiagramme zeigen, wo Beschäftigtendaten gespeichert, verarbeitet und übertragen werden. Die Sub-Prozessorenliste muss alle Stellen mit potenziellem Zugriff auf Beschäftigtendaten und deren Länder aufführen. Kann der Arbeitgeber diese Unterlagen nicht vorlegen, sollte der Betriebsrat die Zustimmung bis zur Vorlage verweigern.

Der Arbeitgeber trägt die Verantwortung als Verantwortlicher für sämtliche Datenverarbeitung – auch für Daten, die der Betriebsrat im Rahmen seiner Aufgaben verarbeitet. Das schafft ein gemeinsames Interesse von Arbeitgeber und Betriebsrat, dass Cloud-Plattformen echte Datensouveränität bieten. Wird der Cloud-Anbieter zur Herausgabe von Beschäftigtendaten an ausländische Behörden gezwungen, drohen dem Arbeitgeber DSGVO-Bußgelder und Pflichten zur Risikobewertung wegen unzureichender technischer Maßnahmen. Betriebsräte sollten Souveränitätsanforderungen als Schutz für den Arbeitgeber vor Haftung positionieren – nicht als Blockade. Beide Seiten profitieren von zero trust Architekturen, bei denen ausländischer Zugriff technisch unmöglich ist.

Die Einführung ohne erforderliche Betriebsratszustimmung verletzt das Mitbestimmungsrecht und ist rechtlich unwirksam. Der Betriebsrat kann beim Arbeitsgericht die Unterlassung beantragen. Nach § 23 Abs. 3 BetrVG kann das Gericht dem Arbeitgeber bei wiederholten oder schwerwiegenden Verstößen gegen die Compliance Geldbußen auferlegen. Darüber hinaus fehlt für jede Beschäftigtendatenverarbeitung über eine nicht genehmigte Plattform die Betriebsvereinbarung als Rechtsgrundlage – das schafft zusätzliche DSGVO-Risiken. Betriebsräte, die unerlaubte Einführungen feststellen, sollten den Verstoß dokumentieren, den Arbeitgeber schriftlich informieren und eine sofortige Behebung im Rahmen des Incident-Response-Prozesses verlangen – entweder durch nachträgliche Zustimmung oder Einstellung des Dienstes.

Weitere Ressourcen

  • Blog Post  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blog Post  
    Diese Fallstricke bei der Datensouveränität vermeiden
  • Blog Post  
    Datensouveränität Best Practices
  • Blog Post  
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks