Jetzt kontaktieren 040 524 717 830
Betriebsrat-Kanzlei Logo

IT-Rahmenbetriebsvereinbarung: Die Top 7 Themen für die RBV IT

IT-Rahmenbetriebsvereinbarung: Die Top 7 Themen für die RBV IT
IT-Rahmenbetriebsvereinbarung: Die Top 7 Themen für die RBV IT

Welche Inhalte eine moderne RBV IT abdecken muss – von Beteiligungsverfahren bis Datenschutz

Eine IT-Rahmenbetriebsvereinbarung (RBV IT) zieht die wiederkehrenden Fragen der IT-Mitbestimmung vor die Klammer – und schafft einen belastbaren Prozess für jedes neue System, jedes Update und jede Funktionserweiterung. Warum eine RBV IT grundsätzlich sinnvoll ist, haben wir an anderer Stelle ausführlich beschrieben. Dieser Ratgeber geht einen Schritt weiter und zeigt die sieben zentralen Regelungsbereiche, die in keiner modernen RBV IT fehlen sollten – mit konkreten Empfehlungen für die Verhandlung.

In diesem Beitrag erfahren Sie insbesondere:

  • welche sieben Themen in einer belastbaren RBV IT zwingend geregelt werden sollten,
  • wie ein modernes, risikoabgestuftes Beteiligungsverfahren aussieht,
  • wie die Schnittstelle zwischen IT-Mitbestimmung und DSGVO-konformem Datenschutz aussehen sollte,
  • welche Rolle Protokollierung, Log-Dateien und Beweisverwertungsverbote spielen,
  • wie sich der Betriebsrat Schulungs-, Informations- und Sachverständigenrechte sichert,
  • worauf Sie bei Reviews und Anpassungen bestehender Rahmenbetriebsvereinbarungen achten sollten.

1. Geltungsbereich und Begriffsbestimmungen

Jede RBV IT steht und fällt mit der Frage, welche Systeme überhaupt erfasst sind. Eine saubere Definition des Geltungsbereichs verhindert späteren Streit – etwa, ob ein Software-as-a-Service-Dienst, eine Schatten-IT-Lösung oder ein neu beschafftes KI-Tool unter die Rahmenregelung fällt.

Empfohlen wird eine offene, aber prezise Definition:

  • Weite Begriffsdefinition von „IT-System“: alle technischen Einrichtungen, Softwaresysteme, SaaS-Dienste, Cloud-Anwendungen, mobile Apps und KI-Systeme, die zur betrieblichen Leistungserbringung eingesetzt werden oder personenbezogene Daten von Beschäftigten verarbeiten.
  • Ausdrückliche Einbeziehung von Subsystemen, Modulen und ergänzenden Komponenten.
  • Klarstellung, dass Updates, Upgrades und Funktionserweiterungen mitbestimmungsrelevant bleiben, sobald sie neue Datenflaesse, neue Auswertungsmöglichkeiten oder veränderte Risiken mit sich bringen.
  • Regelung zu Schatten-IT und nicht gemeldeten Systemen – inklusive Meldepflicht und Sanktionsmechanismus bei Verstößen.

Wichtig ist auch eine Abgrenzung zu anderen Regelwerken. Eine moderne RBV IT sollte ausdrücklich klären, welche Themen in einer separaten Rahmenbetriebsvereinbarung KI geregelt werden und welche technischen Grundanforderungen auch für KI-Systeme aus der RBV IT folgen.

2. Beteiligungsverfahren: Risikoklassifizierung und Meldekette

Das Herzstück jeder RBV IT ist das Beteiligungsverfahren. Ohne strukturierten Prozess landet jeder Neueinführung wieder beim Nullpunkt – und der Betriebsrat läuft Gefahr, über fertige Tatsachen informiert zu werden.

Ein modernes Verfahren arbeitet mit Risikoklassen, die den Umfang der Beteiligung abstufen:

  • Niedriges Risiko: reine Produktivitätswerkzeuge ohne personenbezogene Auswertung – vereinfachte Information, Einspruchsfrist des Betriebsrats, standardisierte Freigabe.
  • Mittleres Risiko: Systeme mit begrenzter Auswertung personenbezogener Daten oder mit indirekter Leistungskontrolle – strukturiertes Informations- und Verhandlungsverfahren mit Fristen.
  • Hohes Risiko: Systeme mit Leistungs- oder Verhaltenskontrolle, umfassenden Auswertungsmöglichkeiten, KI-Elementen oder sensitiven Datenkategorien – vollständiges Mitbestimmungsverfahren mit eigener System-Betriebsvereinbarung.

Zur Meldekette gehören: klare Anlaufstellen auf Arbeitgeber- und Betriebsratsseite, verbindliche Unterrichtungsformulare (System, Anbieter, Datenflaesse, Zweckbindung), definierte Prüffristen für den Betriebsrat sowie eine Konfliktregelung, wenn eine Partei das Risiko anders einstuft. Die Einigungsstelle sollte für Streitfälle ausdrücklich als verbindliche Schlichtungsinstanz benannt sein – auch für Fragen innerhalb der RBV IT selbst.

Sie verhandeln gerade eine IT-Rahmenbetriebsvereinbarung oder wollen eine bestehende RBV IT überprüfen? Wir unterstützen bei Konzept, Verhandlung und Einigungsstelle.
Jetzt Kontakt aufnehmen

3. Leistungs- und Verhaltenskontrolle

Das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG greift, sobald ein IT-System objektiv geeignet ist, Leistung oder Verhalten der Beschäftigten zu überwachen – auch wenn der Arbeitgeber das gar nicht plant. Diese weite Auslegung durch das Bundesarbeitsgericht macht die Kontrollfrage zum Dauerthema in der IT-Mitbestimmung.

Eine saubere Regelung umfasst:

  • Ein grundsätzliches Verbot der systematischen Leistungs- und Verhaltenskontrolle durch IT-Systeme.
  • Eine abschließende Aufzählung zulässiger Ausnahmen (Sicherheitsvorfälle, Missbrauchsverdacht, technische Störung) mit definierten Schwellen und Verfahrensschritten.
  • Einen strikten Zweckbindungsgrundsatz: Daten, die für einen Zweck erhoben werden, dürfen nicht ohne Anlass für andere Zwecke genutzt werden.
  • Ein ausdrückliches Beweisverwertungsverbot für Erkenntnisse, die unter Verstoß gegen die RBV IT gewonnen wurden – mit Bindungswirkung in arbeitsrechtlichen Auseinandersetzungen.
  • Eine Verpflichtung zur regelmäßigen Dokumentation anlassbezogener Auswertungen mit Vorlage an den Betriebsrat.

Gerade bei cloudbasierten Systemen ist zu beachten: Die Auswertungsmöglichkeiten liegen oft beim Anbieter – nicht beim Arbeitgeber. Die RBV IT sollte den Arbeitgeber verpflichten, vertragliche Einschränkungen beim Cloudanbieter durchzusetzen und dem Betriebsrat Einblick in die entsprechenden Vertragsklauseln zu gewähren.

4. Datenschutz und Betroffenenrechte

Datenschutzrechtliche Regelungen sind das zweite Standbein jeder IT-Rahmenbetriebsvereinbarung – und gleichzeitig die Brücke zur Beschäftigtendatenschutz-Praxis. Betriebsvereinbarungen können nach Art. 88 DSGVO in Verbindung mit § 26 Abs. 4 BDSG eine eigenständige Rechtsgrundlage für die Datenverarbeitung schaffen – vorausgesetzt, sie erfüllen die inhaltlichen Mindestanforderungen.

Eine moderne RBV IT sollte daher mindestens diese Datenschutzblock-Themen abdecken:

  • Grundsätze der Datenminimierung, Zweckbindung, Erforderlichkeit und Transparenz für alle in der RBV IT erfassten Systeme.
  • Verfahren zur Auftragsverarbeitung (Art. 28 DSGVO): Pflicht des Arbeitgebers, Verträge vorzulegen und den Betriebsrat über Subunternehmer zu informieren.
  • Regelungen zum Drittlandtransfer und zu Standardvertragsklauseln, insbesondere bei US-basierten Cloud-Anbietern.
  • Löschkonzepte mit konkreten Aufbewahrungs- und Löschfristen je Datenkategorie.
  • Rechte der Beschäftigten auf Auskunft, Berichtigung, Löschung und Einschränkung sowie das Verfahren zur Durchsetzung.
  • Einbindung der Datenschutzbeauftragten und klare Zuständigkeitsverteilung zwischen Datenschutzbeauftragter, Betriebsrat und IT-Sicherheit.

Besonders wichtig: Die RBV IT sollte ausdrücklich klarstellen, dass datenschutzrechtliche Anforderungen und Mitbestimmungsrechte nebeneinander stehen. Eine „Blanko-Einwilligung“ der Beschäftigten ersetzt weder die Betriebsvereinbarung noch die Mitbestimmung des Betriebsrats.

5. Protokollierung und Auswertung

Fast alle modernen IT-Systeme protokollieren automatisch. Log-Dateien, Zugriffshistorien, Metadaten – all das entsteht in jedem produktiven Betrieb. Die Frage ist nicht, ob protokolliert wird, sondern was mit den Daten geschieht.

Eine saubere RBV-IT-Regelung zu Protokollierung sollte enthalten:

  • Einen abschließenden Katalog zulässiger Protokollierungszwecke (Sicherheit, Fehleranalyse, Revision).
  • Klare Speicherdauern pro Protokollart und automatische Löschprozesse nach Fristablauf.
  • Getrennte Zugriffsrechte auf Roh-Logs und ausgewertete Daten – kein pauschaler Zugriff der Führungskräfte auf technische Protokolle.
  • Pflicht zur Pseudonymisierung oder Anonymisierung, wo immer möglich – mit dokumentiertem Verfahren zur Re-Identifizierung nur bei konkretem Anlass.
  • Ein klares Verfahren für anlassbezogene Auswertungen: Schwellen, Genehmigungsstufe, Beteiligung des Betriebsrats, Dokumentation.
  • Turnusmäßige Berichterstattung an den Betriebsrat über Art, Umfang und Anlässe der Auswertungen – in aggregierter Form, soweit kein konkreter Fall vorliegt.

Ein häufig unterschätzter Punkt ist die Frage, was mit Logs in Cloud-Umgebungen geschieht. Häufig haben auch der Cloud-Anbieter oder externe Support-Mitarbeiter technischen Zugriff. Die RBV IT sollte den Arbeitgeber verpflichten, diese Zugriffsketten offenzulegen und vertraglich zu beschränken.

6. Zugriffs- und Rechtemanagement

Wer darf was mit welchem System tun? Das Rechtemanagement entscheidet über die praktische Reichweite jeder IT-Lösung. Eine klare Regelung in der RBV IT verhindert, dass über administrative Umwege Auswertungen erfolgen, die eigentlich ausgeschlossen sein sollten.

Zentrale Bausteine:

  • Verpflichtung zu einem rollen- und aufgabenbezogenen Berechtigungskonzept – keine pauschalen Vollzugriffe.
  • Trennung von fachlichen und administrativen Rechten: Admins haben technischen Zugriff, aber nicht automatisch fachliche Auswertungsrechte.
  • Regelungen zum Fernzugriff (Remote Administration) und zur Beteiligung externer Dienstleister, insbesondere aus Drittstaaten.
  • Dokumentations- und Protokollpflichten für privilegierte Zugriffe (Privileged Access Management).
  • Regelmäßige Berechtigungs-Reviews mit Vorlage der Ergebnisse an den Betriebsrat.
  • Klare Eskalationswege bei festgestellten Berechtigungsverstoßen oder Missbrauchsverdacht.

Dieser Regelungsbereich schneidet regelmäßig mit IT-Sicherheitspolicies und Notfallkonzepten. Die RBV IT sollte Schnittstellen zu diesen Dokumenten benennen und sicherstellen, dass Sicherheitsregelungen die Mitbestimmungsrechte nicht aushöhlen.

7. Rechte und Ressourcen des Betriebsrats

Kein Thema der RBV IT ist wichtiger als die Absicherung der Betriebsratsrechte selbst. Denn alle materiellen Regelungen bleiben wirkungslos, wenn der Betriebsrat sie in der Praxis nicht durchsetzen kann. Die RBV IT sollte daher seine Informations-, Schulungs-, Sachverständigen- und Kontrollrechte ausdrücklich ausgestalten.

Konkret sollten geregelt sein:

  • Unterrichtungsrechte: welche Informationen der Betriebsrat bei jedem neuen oder geänderten System erhält (Systembeschreibung, Anbieter, Datenflaesse, Risikoklassifizierung, DSFA-Ergebnisse).
  • Sachverständige: klarer Anspruch auf externe IT- und Datenschutz-Sachverständige bei komplexen Systemen – ohne jedesmal neu um die Zustimmung des Arbeitgebers ringen zu müssen.
  • Schulungsanspruch: regelmäßige Fortbildung der mit IT befassten Betriebsratsmitglieder, insbesondere zu Datenschutz, KI-Recht und Cloud-Technologien.
  • Kontrollrechte: Einsicht in Logs, Berechtigungskonzepte und Auftragsverarbeitungsverträge auf Verlangen – mit Fristen und Eskalationsstufen.
  • Mitspracherecht bei Audits: Beteiligung an internen wie externen IT-Audits, soweit Mitbestimmungsgegenstände betroffen sind.
  • Konfliktregelung: standardisierter Eskalationspfad bis zur Einigungsstelle, inklusive freiwilliger Einigungsstelle mit Spruchkompetenz für Fragen innerhalb der RBV IT.

Diese Rechte sind nicht nur Textbausteine – sie sichern dem Betriebsrat jene Ressourcen, ohne die er sein Mandat im digitalen Betriebsalltag nicht ausfüllen kann.

Wann lohnt sich anwaltliche Begleitung bei der RBV IT?

Eine IT-Rahmenbetriebsvereinbarung gilt typischerweise für viele Jahre und regelt die Grundordnung der gesamten IT-Mitbestimmung. Fehler in der Verhandlung wirken entsprechend lange nach. Anwaltliche Begleitung empfiehlt sich insbesondere in diesen Situationen:

  • Erstaufsetzung einer RBV IT oder grundlegende Modernisierung einer älteren Fassung (oft aus Zeiten vor DSGVO, KI-Verordnung oder Cloud-Dominanz).
  • Komplexe technische Konstellationen: Cloud, SaaS, Drittlandtransfer, KI-Integration, Software as a Service von internationalen Konzernen.
  • Verhandlung mit professionell vertretener Arbeitgeberseite – hier empfiehlt sich frühe rechtliche Parität.
  • Einigungsstellenverfahren zur RBV IT oder zu Einzelsystemen auf Basis der Rahmenregelung.
  • Prüfung einer bestehenden RBV IT auf versteckte Schwächen, unklare Risikoklassen oder unzureichende Datenschutzklauseln.

Die Kosten anwaltlicher Unterstützung trägt der Arbeitgeber nach § 40 Abs. 1 BetrVG, soweit die Hinzuziehung erforderlich ist – und bei einer RBV IT mit breiter Regelungswirkung ist die Erforderlichkeit praktisch immer gegeben.

Wir verhandeln regelmäßig Rahmenbetriebsvereinbarungen IT und unterstützen Betriebsräte beim Aufsetzen eines modernen, datenschutzkonformen Beteiligungsverfahrens.
Jetzt Kontakt aufnehmen

Fazit: Die RBV IT als Grundgesetz der IT-Mitbestimmung

Eine gut gemachte IT-Rahmenbetriebsvereinbarung ist das wichtigste strategische Instrument des Betriebsrats in der IT-Mitbestimmung. Sie regelt nicht einzelne Systeme, sondern den Prozess – und entscheidet damit, wie die Mitbestimmung über Jahre hinweg funktioniert. Die wichtigsten Punkte im Überblick:

  • Geltungsbereich: weite, technikoffene Definition mit Einbezug von Subsystemen, SaaS, KI und Schatten-IT.
  • Beteiligungsverfahren: risikoabgestufter Prozess mit klaren Fristen und Eskalation in die Einigungsstelle.
  • Leistungs- und Verhaltenskontrolle: grundsätzliches Verbot, abschließender Ausnahmekatalog, Beweisverwertungsverbot.
  • Datenschutz: DSGVO-konforme Grundlagen, Löschfristen, Drittlandregelungen, Betroffenenrechte.
  • Protokollierung: zulässige Zwecke, Pseudonymisierung, Berichtspflichten an den Betriebsrat.
  • Rechtemanagement: rollenbasiertes Konzept, Trennung Admin/Fachlich, Transparenz bei Remote-Zugriffen.
  • Betriebsratsrechte: Information, Sachverständige, Schulung, Kontrolle, Konfliktregelung.

Bestehende Rahmenbetriebsvereinbarungen aus den 1990er- oder frühen 2000er-Jahren werden diesen Anforderungen in aller Regel nicht mehr gerecht. Eine Modernisierung sollte daher zu den strategischen Schwerpunkten jeder aktiven Betriebsratsarbeit gehören.

FAQs – Häufig gestellte Fragen zur IT-Rahmenbetriebsvereinbarung

Was ist der Unterschied zwischen einer RBV IT und einer System-Betriebsvereinbarung?

Die Rahmenbetriebsvereinbarung regelt die Grundlagen und den Prozess der IT-Mitbestimmung über alle Systeme hinweg – Beteiligungsverfahren, Datenschutzgrundsätze, Leistungs- und Verhaltenskontrolle. Eine System-Betriebsvereinbarung regelt dagegen die konkreten Besonderheiten eines einzelnen Systems (z. B. Microsoft 365, Workday oder SAP). Die RBV IT bildet den Rahmen, die System-BV füllt ihn für das jeweilige Tool.

Ist die RBV IT erzwingbar?

Der erstmalige Abschluss einer RBV IT ist in der Regel nicht erzwingbar – es handelt sich um eine freiwillige Betriebsvereinbarung im Sinne von § 88 BetrVG. Erzwingbar sind jedoch die einzelnen Mitbestimmungsrechte (insbesondere § 87 Abs. 1 Nr. 1, 6, 7 BetrVG), aus denen die Inhalte gespeist werden. Besteht bereits eine RBV IT, regeln die Betriebsparteien üblicherweise darin, dass spätere Änderungen im Streitfall durch die Einigungsstelle entschieden werden.

Wie oft sollte eine RBV IT aktualisiert werden?

Eine RBV IT sollte spätestens alle drei bis fünf Jahre strukturell überprüft werden. Zwischenzeitliche Gesetzesänderungen (DSGVO, KI-Verordnung, BDSG-Novellen) und technologische Entwicklungen (Cloud, SaaS, KI-Integration) machen regelmäßig Anpassungen erforderlich. Bei grundlegenden technologischen Umbrüchen – etwa der Migration in die Cloud – empfiehlt sich eine außerplanmäßige Überprüfung.

Sollten KI-Systeme in der RBV IT geregelt werden?

Grundsätzlich ja, aber differenziert. Die technischen Grundanforderungen aus der RBV IT sollten für KI-Systeme mitgelten. Ergänzend empfiehlt sich eine eigenständige Rahmenbetriebsvereinbarung KI, die die spezifischen Themen (ethische Grundsätze, Trainingsdaten, Transparenz, Risikoklassen nach KI-Verordnung) vertieft behandelt. Beide Vereinbarungen sollten aufeinander verweisen.

Was passiert bei Updates und Upgrades bestehender Systeme?

Updates und Upgrades lösen erneute Mitbestimmungsrechte aus, sobald sie neue Auswertungsmöglichkeiten, neue Datenflaesse oder veränderte Risiken mit sich bringen. Die RBV IT sollte ein vereinfachtes Meldeverfahren für unkritische Updates und ein vollständiges Beteiligungsverfahren für funktionsrelevante Upgrades vorsehen. Die Unterscheidung ist oft streitig – eine prezise Vorabregelung erspart späteren Ärger.

Welche Rolle spielen Cloud-Anbieter und Drittlandtransfer?

Cloud-Anbieter und Drittlandtransfer (insbesondere in die USA) sind Dauerthemen. Die RBV IT sollte den Arbeitgeber verpflichten, Auftragsverarbeitungsverträge vorzulegen, Subunternehmer offenzulegen und Standardvertragsklauseln oder andere DSGVO-konforme Mechanismen nachzuweisen. Technische Zugriffe aus Drittstaaten – etwa für Support – sollten klar reguliert und dokumentiert werden.

Kann eine RBV IT die individuelle Einwilligung der Beschäftigten ersetzen?

In vielen Konstellationen ja. Nach Art. 88 DSGVO und § 26 Abs. 4 BDSG kann eine Betriebsvereinbarung eine eigenständige Rechtsgrundlage für die Datenverarbeitung schaffen – vorausgesetzt, sie erfüllt die inhaltlichen Anforderungen, insbesondere die Grundsätze der Datenminimierung, Zweckbindung und Transparenz. In arbeitsrechtlichen Konstellationen ist die Betriebsvereinbarung oft sogar die stabilere Grundlage als eine Einwilligung, die widerrufen werden kann.

Wie geht die RBV IT mit Schatten-IT um?

Schatten-IT – also von Fachbereichen unkoordiniert eingeführte Systeme – ist ein häufig übersehenes Risiko. Die RBV IT sollte klar regeln, dass sämtliche IT-Systeme dem Beteiligungsverfahren unterliegen, eine interne Meldepflicht schaffen und Sanktionen bei Verstößen vorsehen – von der Untersagung der Weiternutzung bis zur Rückabwicklung bereits erhobener Daten.

Wie wird die Einhaltung der RBV IT kontrolliert?

Die RBV IT sollte dem Betriebsrat konkrete Kontrollrechte geben: Einsicht in Log-Dateien, Berechtigungskonzepte und Auftragsverarbeitungsverträge auf Verlangen, turnusmäßige Berichterstattung durch den Arbeitgeber und Beteiligung an internen Audits. Ohne solche Kontrollmechanismen bleiben materielle Regelungen bloßer Text. Die Einigungsstelle sollte für den Fall von Kontrollverstößen als verbindliche Schlichtungsinstanz verankert werden.

Wann lohnt sich ein Anwalt bei der RBV IT?

Anwaltliche Begleitung ist bei der erstmaligen Aufsetzung oder grundlegenden Modernisierung einer RBV IT praktisch immer sinnvoll – die Vereinbarung wirkt über Jahre, und die technisch-rechtliche Komplexität übersteigt in der Regel das Eigenwissen des Betriebsrats. Die Kosten trägt nach § 40 Abs. 1 BetrVG der Arbeitgeber, soweit die Hinzuziehung erforderlich ist.