IT-Mitbestimmung ist im internationalen Konzern furchtbar!
Stimmt. Jedenfalls dann, wenn die erforderlichen Compliance-Prozesse nicht gemeinschaftlich verstanden, nicht sauber prozessiert und nicht als echter Wertbeitrag organisiert werden.

In vielen international aufgestellten Unternehmen gibt es längst professionelle Tools, Workflows und Assessment-Prozesse. Datenschutzfolgenabschätzungen, AI-Act-Prüfungen, Security Assessments, Vendor Checks, Risk Classifications – alles ist irgendwie vorhanden. Häufig werden diese Prozesse auch in Systemen wie OneTrust dokumentiert. Und trotzdem entsteht in der deutschen IT-Mitbestimmung nicht selten der Eindruck: Das System ist da, der Prozess ist da, die Dokumentation ist da – aber der Wertbeitrag für die lokale betriebliche Praxis bleibt überschaubar. Es werden Felder befüllt, Risiken klassifiziert, Freigaben dokumentiert und Workflows durchlaufen. Aber die für den Betriebsrat entscheidenden Fragen werden oft zu spät, zu unpräzise oder in einem Format beantwortet, das weder für die Arbeitgeberseite noch für die Betriebsratsseite wirklich hilfreich ist. Das Ergebnis ist bekannt: Rückfragen, Nachforderungen, Verzögerungen, Missverständnisse. Und irgendwann entsteht auf internationaler Ebene der Eindruck, die deutsche Mitbestimmung sei kompliziert, langsam und kaum integrierbar. Ich halte das für eine falsche Schlussfolgerung. Nicht die IT-Mitbestimmung ist das Problem. Das Problem ist häufig, dass sie nicht von Anfang an als Teil des Governance- und Compliance-Prozesses mitgedacht wird.

Passierschein A38: Datenschutz, AI Act und BetrVG als Siloprozesse

Besonders deutlich wird das bei internationalen IT- und KI-Projekten. Die Datenschutzabteilung fragt nach personenbezogenen Daten, Rechtsgrundlagen, Löschfristen und Empfängern. Die AI-Governance fragt nach Modelltypen, Risikoklassen, Trainingsdaten, menschlicher Aufsicht und möglichen Auswirkungen. Die IT-Security fragt nach Zugriffen, Schnittstellen, Berechtigungen und technischen Schutzmaßnahmen.

Und der Betriebsrat?

Der wird häufig erst dann einbezogen, wenn das Projekt in Deutschland „ausgerollt“ werden soll. Dann beginnt die deutsche Zusatzschleife: Welche Arbeitnehmerdaten werden verarbeitet? Ist eine Leistungs- oder Verhaltenskontrolle möglich? Welche Zwecke verfolgt das System? Welche Auswertungen sind vorgesehen? Gibt es KI-Funktionen? Werden Entscheidungen vorbereitet oder automatisiert? Welche Auswirkungen ergeben sich auf Arbeitsabläufe, Qualifikation oder Personalstruktur?
In der Praxis fühlt sich das nicht selten an wie Passierschein A38: Jeder Bereich fragt etwas anderes, niemand sieht das Ganze, und am Ende entsteht Aufwand, der bei guter Prozessarchitektur vermeidbar gewesen wäre. Dabei liegt die Lösung eigentlich nahe: DSGVO, AI Act und BetrVG sollten nicht dogmatisch voneinander getrennt werden. Sie müssen jeweils eigenständig geprüft werden, ja. Aber die Informationsprozesse sollten intelligent miteinander verzahnt werden.

Co-Determination by Design

In einem aktuellen Projekt begleite ich eine deutsche Gesellschaft eines globalen ausländischen Konzerns bei der Erstellung einer Rahmenvereinbarung im Zusammenhang mit dem ausländischen Konzeren-Datenschutz Officer. Ausgangspunkt war eine sehr praktische Frage: Wie kann eine internationale Konzernzentrale die deutschen Anforderungen der IT-Mitbestimmung frühzeitig, strukturiert und effizient berücksichtigen, ohne für jedes Projekt nachträglich einen Sonderprozess auszulösen? Aus dieser Frage ist die Idee entstanden, das Thema Mitbestimmung als eigene globale Section in OneTrust abzubilden. Nicht als deutsches Anhängsel oder PDF-Nachforderung oder als später „lokaler Sonderfall“. Sondern als strukturierter Bestandteil des globalen IT-, Datenschutz- und AI-Governance-Prozesses.

Der Ansatz: Ergänzend zu den ohnehin erforderlichen DSGVO- und AI-Act-Fragen wird ein präziser Fragenkatalog zur betrieblichen Mitbestimmung integriert. Die Fragen sind so formuliert, dass sie interdisziplinär beantwortet werden können – also nicht nur durch Legal, sondern auch durch IT, Fachbereich, Datenschutz, AI-Governance, HR und gegebenenfalls lokale Projektverantwortliche. Im Zentrum stehen 17 präzise Fragen, die die typischen Informationsbedarfe aus Sicht der deutschen Betriebsverfassung abbilden: Zweck des Systems, betroffene Arbeitnehmergruppen, verarbeitete Daten, Auswertungs- und Reportingmöglichkeiten, Rollen- und Berechtigungskonzepte, KI-Funktionen, Entscheidungsunterstützung, Monitoring, Schnittstellen, Protokollierungen, Auswirkungen auf Arbeitsabläufe und mögliche personalwirtschaftliche Effekte. Damit wird nicht die Mitbestimmung „automatisiert“. Und sie wird auch nicht verkürzt. Im Gegenteil: Sie wird früher, besser und vollständiger vorbereitet.

§ 80 und § 90 BetrVG digital boosten

Der eigentliche Mehrwert liegt darin, dass ein solcher Prozess die Informationsrechte des Betriebsrats nach § 80 und § 90 BetrVG regelrecht „boostet“. Gerade § 90 BetrVG wird in digitalen Transformationsprozessen oft unterschätzt. Der Arbeitgeber hat den Betriebsrat über die Planung von Arbeitsverfahren, Arbeitsabläufen, Arbeitsplätzen und technischen Anlagen rechtzeitig zu unterrichten und mit ihm zu beraten. Bei IT- und KI-Systemen ist genau diese frühzeitige strukturierte Information entscheidend. Wenn die relevanten Informationen bereits im globalen Assessment-Prozess erhoben werden, entsteht für die deutsche Mitbestimmung ein erheblicher Effizienzgewinn. Der Betriebsrat erhält nicht nur irgendeine Systembeschreibung, sondern eine auf seine gesetzlichen Prüfungsbedarfe ausgerichtete Erstinformation. Die Arbeitgeberseite wiederum muss nicht jedes Mal nachträglich mühsam Informationen aus der Konzernzentrale einsammeln. Und die internationale Organisation versteht frühzeitig, welche Informationen für den deutschen Rollout wirklich relevant sind. Das verändert die Dynamik erheblich. Aus einer nachgelagerten Eskalationslogik wird ein vorausschauender Governance-Prozess. Aus „Deutschland bremst wieder“ wird „Deutschland hat klare Informationsanforderungen, die wir sauber integrieren können“. Und aus administrativer Pflicht wird echter Wertbeitrag.

Englisch ist kein Gegenargument

Natürlich werden solche Informationen in internationalen Konzernen häufig auf Englisch bereitgestellt. Aus Sicht deutscher Betriebsräte ist das nicht ideal. Und selbstverständlich bleibt es wichtig, dass die Beteiligten die Informationen verstehen, bewerten und auf dieser Grundlage beraten können. Aber in der Abwägung überwiegt der betriebspraktische Mehrwert deutlich. Denn ein frühzeitiger, strukturierter und vollständiger englischsprachiger Informationsprozess ist in vielen Fällen wertvoller als eine spät gelieferte, übersetzte, aber unvollständige Projektdokumentation. Zumal technische Übersetzungsmöglichkeiten heute erheblich besser sind als noch vor wenigen Jahren. Entscheidend ist daher nicht die Sprache als Selbstzweck. Entscheidend ist, ob der Prozess Transparenz schafft, Rückfragen reduziert und eine sachgerechte Mitbestimmung ermöglicht.

Der eigentliche Hebel: Hygiene-Themen verschwinden

Ein Satz des Betriebsratsvorsitzenden der deutschen Gesellschaft bringt den Nutzen dieses Ansatzes sehr prägnant auf den Punkt: „Wir werden über Hygiene-Themen uns nicht mehr unterhalten müssen. Das wird so schnell gehen wie nie zuvor.“

Viele Konflikte in der IT-Mitbestimmung entstehen nicht wegen echter Grundsatzfragen, sondern wegen fehlender oder unklarer Basisinformationen. Daten, Zwecke, Nutzergruppen, Auswertungen, Schnittstellen, KI-Funktionen, Rollen und Berechtigungen? Wenn diese Hygiene-Themen standardisiert, frühzeitig und belastbar beantwortet werden, kann sich die Mitbestimmung auf das konzentrieren, worauf es wirklich ankommt: Bewertung, Gestaltung, Schutzmechanismen, Zweckbindung, Transparenz, Governance und gegebenenfalls Grenzen der Nutzung. Das ist keine Schwächung der Mitbestimmung. Das ist ihre Professionalisierung.

IT-Mitbestimmung ist nicht furchtbar. Schlecht designte Prozesse sind es

Die deutsche IT-Mitbestimmung wird im internationalen Konzern häufig als Sonderproblem wahrgenommen. Sie muss es aber nicht sein. Wenn Mitbestimmung frühzeitig in globale Compliance- und Governance-Prozesse integriert wird, kann sie sogar ein Qualitätsmerkmal werden: ein strukturierter Prüfpunkt für Arbeitnehmerdaten, Transparenz, technische Kontrollmöglichkeiten und Auswirkungen auf Arbeitsprozesse. Dafür braucht es keine endlosen Sonderwege. Es braucht ein gemeinsames Verständnis, präzise Fragen und einen Prozess, der Datenschutz, AI Governance und Betriebsverfassung nicht künstlich voneinander trennt.

Zugespitzt: IT-Mitbestimmung ist im internationalen Konzern nur dann „furchtbar“, wenn sie erst beginnt, nachdem alle anderen Prozesse schon gelaufen sind. Richtig gestaltet wird sie zu dem, was sie sein sollte: ein wirksamer Bestandteil guter digitaler Unternehmensführung.

Dein Interesse an einer moderner IT-Mitbestimmung in Zeiten der digitalen Transformation ist geweckt?  Kontaktiere mich unverbindlich für einen Kennenlerntermin.