Aktenzeichen 26 BV 510/18
Leitsatz
Tenor
Es wird festgestellt, dass der Spruch der Einigungsstelle vom 17.12.2018 zur Einführung und Anwendung des Systems S./S. in der Zweigniederlassung Deutschland unwirksam ist.
Gründe
I.
Die Beteiligten streiten über die Wirksamkeit eines Einigungsstellenspruchs.
Die Beteiligte zu 2 ist eine Service-Tochter innerhalb der C. Gruppe. Sie ist in Deutschland mit einer im Handelsregister eingetragenen Zweigniederlassung registriert. Der antragstellende Beteiligte zu 1 (im Folgenden: Gesamtbetriebsrat) ist der für die Zweigniederlassung mit mehreren Einzelbetrieben gebildete Gesamtbetriebsrat.
In der Beteiligten zu 2 sind die IT-Dienste integriert sowie das nachgelagerte, industrialisierte Zuarbeiten für die Bankdienstleistungen. Im Rahmen der IT-Sicherheitssysteme, die die Gruppe vor unberechtigten Manipulationen schützen soll, wollte die Beteiligte zu 2 ein neues IT-Sicherheitssystem namens S. (S.) in der ganzen Gruppe einführen, so auch in ihrer . Die Einführung und Anwendung dieses System betraf nach einhelliger Meinung der Beteiligten das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Nachdem eine Einigung über die Einführung von S. zwischen der Beteiligten zu 2 und dem Gesamtbetriebsrat nicht zustande kam, erklärten sie am 12.10.2018 die Verhandlungen für gescheitert und bildeten eine Einigungsstelle über den Regelungsgegenstand „S.“ mit je fünf Beisitzern auf Arbeitgeber- und Arbeitnehmerseite. Diese tagte unter dem Vorsitz von Herrn Prof. Dr. J. an insgesamt vier Sitzungstagen und zwar am 09.11.2018, 29.11.2018, 07.12.2018 und 17.12.2018. Über die Sitzungen wurde Protokolle angefertigt, auf deren jeweilige Inhalte Bezug genommen wird (Sitzung vom 09.11.2018 Anlage Ast 4, Bl. 112 ff. d.A.; vom 29.11.2018 Anlage AG 6, Bl. 185 ff. d.A.; vom 07.12.2018 Anlage 1 a, Bl. 62 ff. d.A.; vom 17.12.2018 Anlage Ast 2, Bl. 23 ff. d.A.).
Im Vorfeld der letzten Einigungsstellensitzung fasste der Gesamtbetriebsrat in ordentlicher Sitzung am 12.12.2018 folgenden Beschluss (vgl. Protokoll vom 14.12.2018, Anlagenkonvolut Bl. 212 ff. d.A.): „Sollte die Einigungsstelle am 17.12.2018 oder einem anderen Termin bis zum 15.01.2019 mit einem Spruch enden, der nicht die Zustimmung der Beisitzer der GBR-Seite findet, wird der GBR-Vorsitzende beauftragt, die Überschreitung der Grenzen des Ermessens dieses Spruchs (§ 76 Abs. 5 Satz 4 BetrVG) durch Rechtsanwalt D. oder bei Verhinderung ein anderes Rechtsanwaltsbüro überprüfen lassen. Wird dabei festgestellt, dass ein ermessensmissbräuchlicher Spruch vorliegt, soll der GBRVorsitzende den Rechtsanwalt beauftragen, innerhalb der gesetzlichen Zweiwochenfrist das zuständige Arbeitsgericht anzurufen und den Spruch anzufechten“
In der letzten Sitzung der Einigungsstelle am 17.12.2018 kündigte die Arbeitgeberseite zu Beginn der Verhandlungen an, am Ende einen Einigungsstellenspruch zu beantragen. Um 15:57 Uhr übergab sie der Arbeitnehmerseite eine 73seitige, (vertrauliche) Dokumentation mit Screenshots, die Auskunft über die konkreten Inhalte der im System S. enthaltenen sog. „Policies“ gab. Bevor um 16:17 Uhr die Abstimmung über einen Spruch der Einigungsstelle begann, stellte die Arbeitnehmerseite noch Verfahrensanträge. Diese waren u.a. darauf gerichtet, die Abstimmung zu verschieben, bis dem Gesamtbetriebsrat ausreichend rechtliches Gehör zu den zuvor übergebenen 73 Seiten gewährt worden sei. Die Behandlung der Verfahrensanträge lehnte der Vorsitzende der Einigungsstelle ab. Bezüglich der anschließend zur Abstimmung gestellten Sachanträge fand der Antrag der Beteiligten zu 2, die Gesamtbetriebsvereinbarung zum System S. (S.) zwischen der C.S.C.p.A. Branch Germany (…) und dem Gesamtbetriebsrat (…) mit den Anlagen 1 und 2 als Regelung zur Einführung und Anwendung des Systems S. zu beschließen, die Stimmenmehrheit. Zu den Einzelheiten wird auf das Protokoll der Einigungsstellensitzung vom 17.12.2018 (Anlage Ast 2, Bl. 23 ff. d.A.) verwiesen. Unmittelbar nach Ende der Einigungsstellensitzung berieten sich die Beisitzer der Arbeitnehmerseite intern und stellten u.a. zu Protokoll (Anlagenkonvolut Bl. 216 f. d.A.) fest: „Die Beisitzer stellen einstimmig fest, dass der Spruch der Einigungsstelle nicht ihre Zustimmung findet (…).“
Der Vorsitzende der Einigungsstelle stellte dem Verfahrensbevollmächtigten des Gesamtbetriebsrats am 21.12.2018 den Spruch vom 17.12.2018 zu. Hinsichtlich der Inhalte des Spruchs bzw. der Regelungen in der Gesamtbetriebsvereinbarung zum System S. (S.) mitsamt den Anlagen 1 und 2 (nachfolgendend: GBV) wird auf die Anlage Ast 3, Bl. 28 ff. d.A. verwiesen. Zur Einführung von S. lagen mehrere „Policies“ vor, deren vertraulicher Inhalt der Präsentation „S.-Policies und Anwendungsfälle“ (Anlage AG 9, Bl. 190 d.A.) zu entnehmen ist.
Infolge Beauftragung durch den Vorsitzenden des Gesamtbetriebsrats reichte Rechtsanwalts D. am 31.12.2018 beim Arbeitsgericht München eine Antragsschrift ein, in der der Gesamtbetriebsrat als Antragssteller im Beschlussverfahren die Unwirksamkeit des Einigungsstellenspruchs geltend machte.
In der ersten ordentlichen Sitzung im Jahr 2019 fasste der Gesamtbetriebsrats bezogen auf das streitgegenständliche Verfahren am 17.01.2019 folgenden Beschluss (Protokoll vom 17.01.2019, Anlagenkonvolut Bl. 218 ff. d.A.): „Der GBR bestätigt die Entscheidung, den Spruch der Einigungsstelle S. vom 17.12.2018 gemäß § 76 Abs. 5 Satz 4 BetrVG anzufechten.“
Mit Schreiben vom 08.03.2019 erhielt die Belegschaft durch die Beteiligte zu 2 über das dort eingerichtete elektronische Mitarbeiterinformationsportal ein Informationsschreiben „über den Einsatz und die Funktionswiese der IT Security Software ‚S.‘ und die Verarbeitung von personenbezogenen Daten“, auf dessen Inhalte Bezug genommen wird (Anlage AG 10, Bl. 202 ff. d.A.).
Der Gesamtbetriebsrat hat die Auffassung vertreten, der Spruch der Einigungsstelle vom 17.12.2018 sei unwirksam. Zum einen leide der Spruch an einem schwerwiegenden Verfahrensfehler, da der Vorsitzenden der Einigungsstelle ihm in der Sitzung vom 17.12.2018 rechtliches Gehör verweigert habe, indem er seinen Verfahrensantrag auf Verschiebung der Abstimmung ablehnte. Es sei ihm dadurch nicht möglich gewesen, sich zu der erst unmittelbar vor der Schlussabstimmung übergebenen 73-seitigen Dokumentation eine Meinung zu bilden und hierzu Stellung zu nehmen. Dies wäre jedoch mit Blick auf Ziffer 5 der GBV erforderlich gewesen, da die Einführung der „Policies“ danach der vorherigen Zustimmung des Gesamtbetriebsrats bedürfe.
Zum anderen habe der Vorsitzende seinen Ermessensspielraum überschritten, indem der Spruch einseitig dem Interesse der Arbeitgeberseite nachgekommen sei, ohne das Persönlichkeitsrecht der Mitarbeiter ausreichend zu berücksichtigen. Der Ermessensfehler sei auch mit Antragsschrift vom 25.12.2018 rechtzeitig innerhalb der Anfechtungsfrist des § 76 Absatz 5 Satz 4 BetrVG geltend gemacht worden. Zwar sei angesichts der Feiertagsund Urlaubslage eine Zusammenkunft eines beschlussfähigen Gesamtbetriebsrats und damit ein Beschluss zur Einleitung des arbeitsgerichtlichen Beschlussverfahrens innerhalb der Anfechtungsfrist nicht möglich gewesen. Mit dem Beschluss des Gesamtbetriebsrats vom 12.12.2018 zur Entscheidungsübertragung an die Beisitzer der Einigungsstelle sei jedoch ein das Anfechtungsfrist wahrendes Verfahren gewählt worden.
Das System S. verstoße weiterhin gegen Datenschutzrecht. Die Datenverarbeitung sei nicht nach § 26 Abs. Satz 1 BDSG erforderlich. Das System lege die „Policies“ zentral fest, der betroffene Mitarbeiter erfahre hiervon nichts. Derart heimliche Maßnahmen stünden im Widerspruch zu dem vom Bundesverfassungsgericht formulierten Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Die Erfassung und Verarbeitung in S. erfolge ohne konkreten Verdacht gegen einen Mitarbeiter, die Maßnahmen seien anlasslos und bestenfalls präventiv. Für den Mitarbeiter sei das Verfahren nicht transparent, weil er nicht wisse, welche Daten nach welchen Regeln verarbeitet würden, wie sich der allgemeine „Risk Score“ zusammensetze bzw. wie hoch sein persönlicher „Score“ jeweils aktuell sei, wie die „Baseline“ definiert werde und wie er persönlich hier eingeordnet sei. Für die datenschutzrechtliche Bewertung eines Systems wie S. seien die Grundsätze einschlägig, wie sie das E. in seiner Entscheidung vom 27.07.2017 zur „verdeckten Überwachung von Keylogger“ aufgestellt habe. Danach sei die permanente Überwachung von Verhaltensweisen von Beschäftigten in einer intransparenten Form – wie dies in S. der Fall sei – geeignet, einen psychischen Anpassungsdruck bei den Mitarbeitern zu erzeugen, den es zu vermeiden gelte. Ein derartiger Eingriff sei jedoch nicht erforderlich. Die Beteiligte zu 2 könne mit Blick auf bestehende Kontrollmechanismen in SPLUNK (Wächter- und Protokollfunktion) auf Alternativen zurückgreifen, die in die Rechtssphäre der Beschäftigten weniger tief eingriffen. Auch sei die Datenverarbeitung durch S. nicht nach Art. 6 Abs. 1 lit. c EU-DSGVO zulässig. Dessen Voraussetzungen wären bei allgemeinen gesetzlichen Aussagen zu Kontrollpflichten, wie sie §§ 25 a, b Kreditwesengesetz (im Folgenden: KWG) enthielten, oder bei aufsichtsrechtlichen Anweisungen ohne Gesetzeskraft, wie sie durch die Bankenaufsichtsbehörde BaFin und Europäische Zentralbank EZB erfolgten, nicht erfüllt. Auch auf ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f EU-DSGVO könne sich die Beteiligte zu 2 nicht berufen. Zum einen könne die dort vorzunehmende Interessenabwägung nicht anders ausfallen als bei § 26 Abs. 1 Satz 1 BDSG. Zum anderen sei zu bedenken, dass die Beteiligte zu 2 durch § 75 Abs. 2 BetrVG verpflichtet sei, die freie Entfaltung der Persönlichkeit der im Betrieb Beschäftigten zu schützen.
Zuletzt sei ein Verstoß gegen die bestehende Betriebsvereinbarung SPLUNK vom 20.07.2016 gegeben. Nach deren Ziffer 4.3. sei es verboten, SPLUNK Suchen, Queries, Reports usw. bezogen auf die Mitarbeiter auszuführen, bei denen Daten verwendet werden, die geeignet sind, Personen zu identifizieren. Gerade zu letzterem würden die SPLUNK-Daten aber in S. verwendet.
Der Gesamtbetriebsrat hat beantragt,
Es wird festgestellt, dass der Spruch der Einigungsstelle vom 17.12.2018, dem Verfahrensbevollmächtigten zugestellt am 21.12.2018, zur Einführung und Anwendung des Systems S./S. in der Zweigniederlassung Deutschland unwirksam ist.
Die Beteiligte zu 2 hat beantragt,
den Antrag zurückzuweisen.
Die Beteiligte zu 2 meint,
der streitgegenständliche Spruch der Einigungsstelle sei formell korrekt zustande gekommen. Ein Verstoß gegen das Gebot rechtlichen Gehörs liege nicht vor. Der Gesamtbetriebsrat habe sich durch die Vorlage eigener Vereinbarungs-Entwürfe rechtliches Gehör verschafft. Er sei auch vollständig informiert worden. Schon im Juli und November 2018 habe er Informationen zu Inhalten der „Policies“ erhalten; die am 17.12.2018 übergebene 73-seitige Dokumentation sei kein neues Informationspaket, sondern eine reine Dokumentation der aktuellen Systemeinstellungen für Kontrollzwecke entsprechend Ziffer 15 GBV gewesen.
Weiterhin könne der Gesamtbetriebsrat Ermessensfehler gemäß § 76 Abs. 5 Satz 4 BetrVG nicht mehr geltend machen. Sein Beschluss vom 12.12.2018 könne als „Vorratsbeschluss“ die Frist ebenso wenig wahren wie sein nach Fristablauf gefasste Beschluss vom 17.01.2019. Davon abgesehen seien Ermessensfehler nicht ersichtlich, auch lägen keine Rechtsfehler vor. Die Datenverarbeitung mit S. sei nach § 26 BDSG und Art. 6 EUDSGVO gesetzlich zulässig. Als konzerninterner Dienstleister für Banken sei sie an bankenaufsichtsrechtliche und -bankenaufsichtsbehördliche Vorgaben zur Datensicherheit in Banken gebunden. Zentrale gesetzliche Vorschrift sei § 25 a Abs. 1 Satz 1 bis 3 Nr. 1, 4 und 5 und § 25 b KWG. Konkrete Vorgaben zur Datensicherheit würden durch die für Banken zuständigen Aufsichtsbehörden BaFin und EZB getroffen. Die BaFin habe solche in der gesetzeskonkretisierenden Richtlinie „BAIT“ niedergelegt (vgl. Anlage AG 2, Bl. 154 ff. d.A.). Die in Ziffer 38 BAIT genannten Vorkehrungen „Protokollierung der Systemaktivität“ und „Verfolgung von sicherheitsrelevanten Ereignissen“ würden gerade mit S. ausgefüllt. Die EZB hätte der C. infolge eines für die Datensicherheit relevanten Ereignisses im Jahr 2017 ein Maßnahmenpaket vorgegeben, das u.a. die Einführung einer Sicherheitssoftware beinhalte. Folglich sei die Einführung eines sog. User Behavior Analytics Systems nach Art. 6 Abs. 1 lit c EU-DSGVO aufgrund gesetzlicher und behördlicher Vorgaben geboten. Auch bestehe an der Einhaltung dieser Vorgaben ein öffentliches Interesse (Art. 6 Abs. 1 lit e EU-DSGVO) bzw. liege sie in ihrem berechtigten Interesse (Art. 6 Abs. 1 lit f EU-DSGVO). Auch liege kein Verstoß gegen das Verhältnismäßigkeitsprinzip vor. Das System S. sei hinsichtlich Kontrollrichtung und Kontrolltiefe gerade nicht mit der Fallgestaltung eines Keyloggers, wie er der Entscheidung des Bundesarbeitsgerichts zugrunde gelegen habe, vergleichbar. S. beziehe sich auf technische Daten, insbesondere Datenmengen eines Geräts. Die Kontrolle sei nicht auf Inhalte der von einer Person geschriebenen Texte gerichtet. Nicht das persönliche Verhalten einzelner Mitarbeiter sei Beobachtungsgegenstand, sondern das von Entitäten, dies seien zunächst Geräte oder Anschlüsse. Auch sei der Einsatz von S. und die Funktionsweise so transparent; die Mitarbeiter seien durch das Mitarbeiterinformationsschreiben hinreichend informiert worden. Eine weitergehende Information sei nicht nötig bzw. aus Sicherheitsgründen nicht möglich. Zu Unrecht behaupte der Gesamtbetriebsrat, es gäbe gleich geeignete Alternativen zu S.. Dies verkenne die präventive Funktion des Systems. Nach derzeitigem Stand der Beobachtung sei eine nicht unerhebliche Anzahl echter Angriffe dadurch gekennzeichnet, dass sie von außen kommen und technisch so verlaufen, dass der Angreifer von außen sich einen Zugriff auf interne Geräte verschaffe. Das System S. diene dazu, Anzeichen für solche Angriffe frühzeitig einzeln zu erkennen und deren Risiko kombiniert zu bewerten. Dafür nenne der Gesamtbetriebsrat, dessen Ansätze rein reaktiv seien, keine geeignete Alternative.
Ein Verstoß gegen die Betriebsvereinbarung SPLUNK liege nicht vor. Bei Einführung dieses Systems sei S. nicht im Einsatz gewesen. Die spätere Einführung von S. setze logisch voraus, dass die Regelungen zu SPLUNK insoweit modifiziert würden, als die Systeme nunmehr zusammenarbeiten sollen.
Überdies wird auf das Vorbringen der Beteiligten in ihren Schriftsätzen nebst Anlagen, auf das Sitzungsprotokoll der Anhörung vor der Kammer am 19.09.2019 sowie auf den gesamten Akteninhalt verwiesen.
II.
Dem Antrag war stattzugeben, da er zulässig und begründet ist.
1. An dem Verfahren waren der Gesamtbetriebsrat und die Beteiligte zu 2 zu beteiligen.
Nach § 83 Abs. 3 ArbGG haben in einem Beschlussverfahren neben dem Antragsteller diejenigen Stellen ein Recht auf Anhörung, die nach dem Betriebsverfassungsgesetz im einzelnen Fall beteiligt sind. Beteiligte in Angelegenheiten des Betriebsverfassungsgesetzes ist jede Stelle, die durch die begehrte Entscheidung in ihrer betriebsverfassungsrechtlichen Rechtsstellung unmittelbar betroffen ist (vgl. etwa BAG NZA 2013, 1166 Rn. 11). Dies trifft auf den Gesamtbetriebsrat und die Beteiligte zu 2 zu, da dem angefochtenen Spruch der Einigungsstelle eine zwischen ihnen abgeschlossene Gesamtbetriebsvereinbarung zu S. zugrunde liegt. Die Einigungsstelle hingegen ist an Streitigkeiten über die Wirksamkeit ihres Spruchs nicht zu beteiligen (vgl. etwa BAG AP Nr. 3 zu § 87 BetrVG 1972 Arbeitssicherheit).
2. Der Antrag ist zulässig.
a. Das Beschlussverfahren ist vorliegend die richtige Verfahrensart. Es handelt sich um eine Angelegenheit aus dem Betriebsverfassungsrecht gemäß § 2a Abs. 1 Nr. 1 ArbGG. Die Anfechtung des Spruchs der Einigungsstelle ist eine dem Betriebsverfassungsgesetz zuzuordnende Streitigkeit.
b. Das Arbeitsgericht München ist gemäß § 82 Abs. 1 Satz 2 BetrVG örtlich zuständig.
c. Der Antrag ist wirksam angebracht und nicht unbeachtlich. Der Antragstellung durch den Verfahrensbevollmächtigten des Gesamtbetriebsrats lag ein darauf gerichteter, vom Gesamtbetriebsrat ordnungsgemäß gefasster Beschluss zugrunde. Jedenfalls durch den Beschluss vom 17.01.2019 wurde die Einleitung des Beschlussverfahrens mit dem vorliegenden Verfahrensgegenstand sowie die Beauftragung des Verfahrensbevollmächtigten noch innerhalb des erstinstanzlichen Verfahrens genehmigt (vgl. BAG NZA-RR 2016, 256 Rn. 25 m.w.N.). An der Ordnungsgemäßheit des Zustandekommens des Genehmigungsbeschlusses bestehen seitens der Kammer keinerlei Zweifel, auch die Beteiligte zu 2 hat die Ordnungsgemäßheit (zuletzt) nicht in Zweifel gezogen.
d. Der Antrag ist weiterhin zutreffend auf die Feststellung der Unwirksamkeit des Einigungsstellenspruchs gerichtet, da die gerichtliche Entscheidung feststellende und keine rechtsgestaltende Wirkung hat (vgl. BAG NZA 2004, 108). An der Klärung der Frage, ob der streitgegenständliche Spruch der Einigungsstelle eine wirksame betriebliche Regelung ist, besteht für den Gesamtbetriebsrat ein rechtliches Interesse (§ 256 ZPO; vgl. BAG 1 ABR 4/03).
3. Der Antrag ist begründet.
Der Spruch der Einigungsstelle ist unwirksam. Die in der GBV getroffenen Regelungen über die Überwachung des Mitarbeiterverhaltens durch das System S. verletzen die den Betriebsparteien nach § 75 Absatz 2 Satz 1 BetrVG obliegende Pflicht, dem in Art. 2 Absatz 1 GG i.V.m. Art. Artikel 1 Absatz 1 GG gewährleisteten allgemeinen Persönlichkeitsrecht der Arbeitnehmer in angemessenem Umfang Rechnung zu tragen.
a. Eine Unwirksamkeit des Einigungsstellenspruchs folgt nicht bereits aus einem Verfahrensfehler. Insbesondere der vom Gesamtbetriebsrat geltend gemachte Verstoß gegen den in Art. 103 GG festgelegten Grundsatz rechtlichen Gehörs liegt nicht vor. Der Grundsatz des rechtlichen Gehörs gebietet es, allen Beteiligten der Einigungsstelle ausreichend Gelegenheit zur Stellungnahme zu geben und eigene Lösungsvorschläge zu unterbreiten (vgl. Fitting-Auffarth-Kaiser-Heither, BetrVG, § 76 Rn. 25). Bei der Beantwortung der Frage, ob der Grundsatz des rechtlichen Gehörs verletzt ist, ist zu berücksichtigen, dass § 76 Absatz 3 und § 76 Absatz 4 BetrVG nur wenige Grundsätze des Verfahrens regeln, im Übrigen Inhalt und Ablauf des Einigungsstellenverfahrens vom Vorsitzenden der Einigungsstelle im Interesse einer effektiven Schlichtung nach pflichtgemäßem Ermessen bestimmt wird (vgl. BAG NZA 1989, 807). So liegt es auch im pflichtgemäßen Ermessen des Einigungsstellenvorsitzenden, zu welchem Zeitpunkt er einen Einigungsvorschlag zur Abstimmung stellt, sofern die Beteiligten die Möglichkeit zur Stellungnahme und Erwiderung haben. Für die Arbeitnehmerseite bestand durch ihre Beisitzer vorliegend ausreichend Gelegenheit, innerhalb der vier Einigungsstellensitzungen auf rechtliche Bedenken hinzuweisen und eigene Vorschläge einzubringen. Davon haben die Beisitzer der Arbeitnehmerseite in den Verhandlungen ausweislich der Einigungsstellenprotokolle auch durch Vorlage eigener Entwürfe einer GBV Gebrauch gemacht. Der Vorsitzende der Einigungsstelle hat den Anspruch auf rechtliches Gehör nicht dadurch verletzt, dass er zusammen mit den Beisitzern der Arbeitgeberseite den Verfahrensantrag der Arbeitnehmerseite, die Abstimmung über die GBV zu verschieben, bis dem Gesamtbetriebsrat rechtliches Gehör zu den 73 seitigen (in der an diesem Tag übergebenen) Dokumentation gewährt worden ist, zurückgewiesen hat. Das rechtliche Gehör ist nur den Mitgliedern der Einigungsstelle zu gewähren, nicht jedoch den Betriebspartnern selbst. Diese werden gerade durch ihre Beisitzer in der Einigungsstelle vertreten. Allein deshalb hat der Vorsitzende der Einigungsstelle den Antrag auf Vertagung zurückweisen dürfen.
Auf die streitige Frage, ob es sich bei den 73seitigen Anlagen um neue Informationen gehandelt hat oder nur um eine Dokumentation zuvor bereits erörterter Themen kommt es damit nicht an.
b. Allerdings verstößt der Spruch der Einigungsstelle gegen höherrangiges Recht. Die ihm zugrundeliegende GBV ist unwirksam, weil sie das nach Art. 2 Absatz 1 i.V.m. Art. 1 Absatz 1 GG geschützte Persönlichkeitsrecht der Arbeitnehmer missachtet.
aa. Regelungen der Betriebsparteien müssen mit höherrangigem Recht vereinbar sein. Die Betriebsparteien haben nach § 75 Absatz 2 Satz 1 BetrVG die Pflicht, die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Sie haben daher insbesondere das in Art. 2 Absatz 1 i.V.m. Art. 1 Absatz 1 GG gewährleistete allgemeine Persönlichkeitsrecht zu beachten. Das gilt auch für den Spruch einer Einigungsstelle (vgl. BAG NZA 2004, 1278). Den Schutz des Persönlichkeitsrechts gebietet weiterhin der Normzweck des Mitbestimmungsrechts nach § 87 Absatz 1 Nr. 6 BetrVG bei der Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Er ist darauf gerichtet, Arbeitnehmer vor solchen Beeinträchtigungen ihres Persönlichkeitsrechts durch den Einsatz technischer Überwachungseinrichtungen zu bewahren, die nicht durch schützenswerte Belange des Arbeitgebers zu rechtfertigen oder unverhältnismäßig sind. Die auf technischem Wege erfolgende Ermittlung und Aufzeichnung von Informationen über Arbeitnehmer bei der Erbringung ihrer Arbeitsleistung bergen die Gefahr in sich, dass sie zum Objekt einer Überwachungstechnik gemacht werden, die anonym personen- oder leistungsbezogene Informationen erhebt, speichert, verknüpft und sichtbar macht (vgl. BAG NZA 2017, 657 Rn. 21 m.w.N.). Die Möglichkeiten, Einzelangaben über eine Person zu erheben, sie zu speichern sowie jederzeit abzurufen, sind geeignet, bei den Betroffenen einen psychischen Anpassungsdruck zu erzeugen, durch den sie in ihrer Freiheit, ihr Handeln aus eigener Selbstbestimmung zu planen und zu gestalten, wesentlich gehemmt werden (vgl. BAG NZA 2008, 1187 Rn. 15 m.w.N.). Das zulässige Maß einer Beschränkung des allgemeinen Persönlichkeitsrechts zugunsten schützenswerter Belange eines anderen Grundrechtsträgers richtet sich nach dem Grundsatz der Verhältnismäßigkeit. Dieser verlangt eine Regelung, die geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen ist, um den erstrebten und legitimen Zweck zu erreichen. Hierzu dürfen die Betriebsparteien nur solche Regelungen treffen, mit deren Hilfe ein solcher Zweck gefördert werden kann. Zu dessen Erreichung dürfen keine anderen, gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkende Mittel zur Verfügung stehen. Eine Regelung ist verhältnismäßig im engeren Sinn, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht (vgl. BAG NZA 2014, 551).
bb. Nach diesen Grundsätzen beeinträchtigen die in der GBV geregelten Datenverarbeitung und Auswertung durch das System S. das allgemeine Persönlichkeitsrecht der betroffenen Arbeitnehmer unverhältnismäßig.
(1) Die GBV soll nach ihrer Ziffer 2 dazu dienen, eine „Einwirkung durch interne Nutzer, Entitäten oder Angreifer von außen auf ein oder mehrere andere informationstechnische Systeme der C. (…)“ sowie „Datendiebstahl im strafrechtlichen Sinne“ zu verhindern. Ziel ist es, mit der GBV gesetzliche Vorgaben nach §§ 25 a und b KWG sowie aufsichtsrechtliche Vorgaben der BaFin (Richtlinie BAIT) bzw. der EZB an die IT-Sicherheit umzusetzen. Das System S., das mit der GBV eingeführt werden soll, ist zur Überwachung von Entitätensowie Mitarbeiterverhalten („User Behaviour Analytics“) konzipiert (Ziffer 4 GBV). In der Anwendung sind Regeln („Policies“) enthalten, durch die ein Cyber SecurityFall definiert wird, der zu einem Alarm („Alert“) führen kann. Zur Festlegung der Alarmschwelle wird auf Grundlage von Logdaten aus dem IT-System SPLUNK (Ziffer 7 GBV) für festgelegte Gruppen von Vergleichsmitarbeitern („Peer-Groups“) in Bezug auf die in den „Policies“ enthaltenen Regeln vom System S. anhand von vorgegebenen Algorithmen ein „Normalverhalten“ errechnet (sog. „Baseline“). S. berechnet gleichartig das individuelle Verhalten der Entitäten (Definition in Anlage 1 zur GBV) sowie die jeweilige individuelle Abweichung vom Normalverhalten von „Peer Groups“ („Violation“). Dies wird vom System quantifiziert und kann zu einem Alarm führen. Die „Baseline“ kann sich selbständig (Maschinenlerntechnik) auf Basis der zur Verfügung stehenden Daten ändern (Anlage 1 zur GBV). Für jede Entität wird auf Grundlage der „Violations“ ein individueller „Risk Score“ errechnet. Dieser ist in Zusammenhang mit den Ereignissen („Events“) der Ausgangspunkt für weitere Untersuchungen in den zuständigen Teams. Die Untersuchung richtet sich nach Ziffer 8 GBV, wobei bei Betroffenheit eines Mitarbeiters die zuständige IT Security den Sachverhalt zunächst mit diesem und ggf. mit dessen direkter Führungskraft klärt. Weitere Untersuchungen sind in Ziffer 14 GBV (Leistungs- und Verhaltenskontrolle von betroffenen Mitarbeitern) geregelt. Es gibt ein Rollen- und Berechtigungskonzept (Ziffer 10 GBV) sowie Regelungen zur Speicherdauer (Ziffer 11 GBV), wobei Logdaten in S. einen Monat und von S. selbst generierte Daten zwölf Monate gespeichert werden. Eine Zustimmung des Gesamtbetriebsrats zu Parametern, Konfiguration und Rechenregeln der „Policies“ sowie deren Veränderung ist ebenso vorgesehen (Ziffer 5 Abs. 3 GBV) wie die zu den zulässigen Auswertungen (Ziffer 9 GBV) und zu Änderungen des Systems (Ziffer 12 GBV). Eine Information der Mitarbeiter der Beteiligten zu 2 über S. durch ein Informationsschreiben ist vorgesehen (Ziffer 13 GBV).
(2) Unter Berücksichtigung des Zwecks der GBV erweisen sich die Regelungen über Verarbeitung von Daten anhand von „Policies“ (Ziffern 4 und 5 GBV) sowie den stattfindenden Auswertungen (Ziffer 9 GBV) zum Zwecke der Überwachung des Mitarbeiterverhaltens als nicht angemessen (verhältnismäßig im engeren Sinne).
(a) Grundsätzlich handelt es sich um ein legitimes Anliegen der Beteiligten zu 2, unbefugte Einwirkungen von innen oder außen auf informationstechnische Systeme der C. sowie Datendiebstahl zu verhindern, um gesetzliche sowie aufsichtsrechtliche Vorgaben an die IT-Sicherheit im Bankensektor zu erfüllen sowie die Sicherheit von Kundendaten und damit letztlich auch Funktionsfähigkeit des Finanzwesens zu gewährleisten.
(b) Auch kann davon ausgegangen werden, dass das von der GBV eingesetzte Mittel der Überwachung von Entitätensowie Mitarbeiterverhalten durch das System S. anhand von definierten und veränderbaren Regeln durch Verarbeitung von Logdaten aus dem System SPLUNK zur Erreichung der Zwecke, also zur Verhinderung von internen bzw. externen Eingriffen auf die IT-Systeme sowie von Datendiebstahl, geeignet ist. Dies hat auch der Gesamtbetriebsrat nicht in Frage gestellt.
(c) Zugunsten der Beteiligten zu 2 kann weiterhin davon ausgegangen werden, die Überwachung von Entitätensowie Mitarbeiterverhalten sei für den Zweck der GBV erforderlich. Auch wenn der Gesamtbetriebsrat die Erforderlichkeit der Einführung von S. mit Blick auf bestehende Kontrollmechanismen in SPLUNK (Wächter- und Protokollfunktion) anzweifelt, wären diese Alternativen zumindest kein gleich geeignetes Mittel zur Gefahrenabwehr. Während die Sicherheitsmaßnahmen in SPLUNK unstreitig „nur“ auf erfolgende Angriffe auf das IT-Netz reagieren, indem sie diese verzeichnen oder blockieren, verfolgt das System S. auch einen präventiven Ansatz der Datensicherung. Das System erkennt und alarmiert die zuständige Einheit bereits bei Anzeichen für eine erhöhte Gefährdung der Datensicherheit, wofür es verschiedene Indizien in Kombination bewertet. Die Beurteilung der Einigungsstelle, dass dieser präventive Ansatz von S. Gefährdungen der ITSysteme wirkungsvoller abwehren vermag als alternative Sicherungsmaßnahmen in SPLUNK, ist nicht zu beanstanden. Sie lag innerhalb ihrer tatsächlichen Einschätzungsprärogative.
(d) Die genannten Regelungen sind allerdings unverhältnismäßig im engeren Sinne. Sie stellen einen schwerwiegenden Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar, der durch schützenswerte Interessen der Beteiligten zu 2 nicht gerechtfertigt wird.
(aa) Die GBV regelt die dauerhafte sowie automatisierte Überwachung des IT- Verhaltens. Betroffen sind potentiell alle Mitarbeiter der C., eine personelle Beschränkung auf bestimmte Mitarbeiter enthält die GBV nicht. Mitarbeiter, die einer Gruppe von Vergleichsmitarbeitern („Peer Group“) zugeordnet worden sind, werden zeitlich und räumlich unbeschränkt anhand von zuvor aufgestellten Regeln (Policies) kontrolliert, wobei ihr Verhalten vom System S. unter Abgleich dieser Daten mit dem errechneten „Normalverhalten“ („Baseline“) auf Auffälligkeiten hin untersucht wird. Den Mitarbeitern ist ein individueller „Risk Score“ zugeordnet, der von ihrer konkreten Tätigkeit abhängt und entsprechend ihrem Verhalten dynamisch ausgestaltet ist, also je nach Nutzungsverhalten steigen oder fallen kann. Verarbeitet werden alle Logdaten aus SPLUNK, d.h. Daten, die automatisch bei der Nutzung von Applikationen, Geräten oder Systemen im Unternehmensnetzwerk generiert werden – bei Nutzung durch einen Mitarbeiter über seinen Account handelt es sich entsprechend um personenbezogene Daten. Die Überwachung erfolgt ohne das Vorliegen eines auf konkrete Personen bezogenen Verdachts eines Datensicherheitsverstoßes, sondern anlasslos und präventiv zur Abwehr einer abstrakten Gefahr. Kommt es zu einer Abweichung vom Normalverhalten eines Mitarbeiters von dem seiner „Peer Group“ kann dies zu einem Alarm führen. Dieser wird dem jeweiligen Mitarbeiter nicht angezeigt, sondern einzig der IT Security. Beim Hindeuten auf eine ernste Bedrohung kann dies nach Durchlaufen eines vorgegebenen Verfahrens zu einer eingeleiteten Untersuchung gegen den betroffenen Mitarbeiter führen, die, wie oben beschrieben, bis zur Anhörung des Mitarbeiters bei Verdachtsmomenten reichen kann.
Soweit die Beteiligte zu 2 dazu abweichend angibt, die Kontrollrichtung von S. beziehe sich auf technische Daten eines Geräts/ eines Anschlusses und nicht auf das Verhalten einzelner Mitarbeiter, vermag die Kammer dem nicht zu folgen.
Diese Sichtweise lässt außer Betracht, dass die überwachten Geräte/Anschlüsse regelmäßig von Mitarbeitern über deren Nutzeraccount bedient werden. Dass es beim System S. auch keineswegs nur um die Überwachung von Geräten geht, zeigt bereits der Regelungszweck der GBV, der mit der Verhinderung einer Einwirkung u.a. durch „interne Nutzer“ ist (Ziffer 2 GBV) beschrieben ist. Auch ist das System S. gerade „zur Überwachung“ u.a. „von Mitarbeiterverhalten (‚User Behaviour Analytics‘)“ konzipiert (Ziffer 4 GBV). Gleiches folgt auch aus dem Mitarbeiterinformationsschreiben zu S. vom 08.03.2019 in Umsetzung der Ziffer 13 GBV, in dem mehrmals von „Nutzern“ und vom „Nutzungsverhalten“ – in Abgrenzung zu „Geräten“ – die Rede ist.
Der Mitarbeiter innerhalb der C. in der S. eingeführt ist, muss folglich während der gesamten Dauer seiner Arbeitszeit davon ausgehen, dass – wenn auch nicht der Inhalt seines Handelns – so doch sein IT-Nutzungsverhalten auf elektronischem Wege anhand einer Vielzahl von quantitativen Kriterien im Rahmen von Regeln („Policies“) durchgehend detailliert als normal bzw. anormal bewertet wird. Dies sowie seine Zuordnung zu einem sich dynamisch verändernden „Risk-Score“ führt bei den betreffenden Mitarbeitern zu einem ständigen Überwachungs- und daran anknüpfenden Anpassungsdruck, möglichst unauffällig zu arbeiten, um nicht aufgrund von Auffälligkeiten innerhalb einer Vergleichsgruppe („PeerGroup“) später ggf. Personalgesprächen oder gar personellen Maßnahmen ausgesetzt zu sein (siehe BAG NZA 2008, 1187 Rn. 29 m.w.N.). Dieser „Druck“ wird nicht durch die Mitarbeiterinformation zu S. vom 08.03.2019 gemildert, weil die betroffenen Mitarbeiter hieraus nicht ersehen können, in welchem Umfang sie Überwachungsgegenstand sind. Dem allgemein gehaltenen Schreiben ist gerade – aus Sicherheitsgründen – nicht konkret zu entnehmen, welche Daten nach welchen Regeln („Policies“) verarbeitet werden, wie sich der allgemeine „Risk Score“ zusammensetzt und wie die „Baseline“ jeweils definiert wird, geschweige denn wie die persönliche Einordnung des jeweiligen Mitarbeiters ausfällt bzw. wie hoch sein individueller „Score“ aktuell ist. Der Mitarbeiter ist folglich einem Auswertungssystem unterworfen, bei dem er weder ersehen kann, welche allgemeinen Bewertungsmaßstäbe gelten noch wie das konkrete Ergebnis seiner individuellen Bewertung aussieht.
(bb) Für diesen schwerwiegenden Eingriff in das Persönlichkeitsrecht der Ar beitnehmer gibt es keine hinreichende Rechtfertigung. Er wird nicht durch überwiegend schutzwürdige Belange der Arbeitgeberin gedeckt.
Die Beteiligte zu 2 hat zwar grundsätzlich ein berechtigtes Interesse daran, unbefugte Einwirkungen durch außen oder innen, d.h. auch von Seiten seiner Mitarbeiter, auf informationstechnische Systeme der C. sowie Datendiebstahl zu erkennen und verhindern. Die Tatsache, dass durch die präventive Überwachung in S. in die Persönlichkeitsrechte potentiell aller ITnutzenden Arbeitnehmer zeitlich und räumlich unbeschränkt eingegriffen wird, wiegt jedoch schwer. Auch „unschuldige“ Arbeitnehmer werden in großem Umfang in die Überwachung einbezogen, ohne dass sie hierzu Anlass gegeben hätten. Eine Abhängigmachung der Überwachungsmaßnahmen vom Vorliegen rechtfertigender Verdachtsmomente oder Indizien fehlt. Auch der in S. vorgesehene „Risk-Score“ knüpft zunächst nicht an einen konkret begründeten Verdacht an, sondern an die IT-Nutzung als solche bzw. die vom jeweiligen Nutzer ausgeübte Tätigkeit. S. geht in seiner Arbeitsweise von einem generellen Verdacht gegen alle das Unternehmensnetzwerk nutzenden Mitarbeiter aus. Arbeitnehmer müssen daher besorgen, dass nicht nur einzelne Unternehmensbereiche, in denen der Verdacht einer datensicherheitsrelevanten Handlung aufgetreten ist, stichprobenartig kontrolliert, sondern dass fortlaufend alle ITrelevanten Bereiche überwacht werden. Dies führt dauerhaft zu einem psychischen Anpassungsdruck bei allen ITnutzenden Arbeitnehmern während der gesamten Arbeitszeit. Daran ändert auch nichts, dass das IT-Nutzungsverhalten „nur“ anhand von Logdaten und von „Policies“, die sich – je nach ihrer Konzeption und Einstellung – auf die Überwachung nur gewisser verbotener Aktivitäten im ITNetzwerk beschränken, überprüft wird. Denn, wie dargelegt, entzieht es sich gerade der Kenntnis der Arbeitnehmer, nach welchen Regeln ihr Verhalten in welcher Vergleichsgruppe als normal bewertet wird und inwiefern sie als Sicherheitsrisiko eingestuft werden, so dass sie stets mit Überwachung auch ihrer Person zu rechnen haben. Der Anpassungsdruck bleibt damit unabhängig von der Ausgestaltung der „Policies“ stets gleichbleibend hoch. Die Eingriffsintensität wird ebenso nicht durch die zeitlich befristete Speicherdauer (Ziffer 11 GBV) kompensiert. Denn durch die fortwährende Auswertung des IT-Nutzungsverhaltens durch S., bei dem es sich noch dazu um ein selbst lernendes und zu diesem Zweck datensammelndes System handelt, besteht der „Druck“ zeitlich unbefristet. Auch die in der GBV vorgesehene vorherige Zustimmung des Gesamtbetriebsrats etwa zu den Parametern und Rechenregeln der „Policies“ (Ziffer 5 Abs. 3 GBV) stellt keine Kompensation dar. Denn das Erfordernis der Zustimmung zu einer konkreten Überwachungsmaßnahme ist allenfalls geeignet, eine Beschränkung möglicher Eingriffe in die Persönlichkeitsrechte der Arbeitnehmer verfahrensrechtlich ergänzend zu sichern, nicht aber, fehlende Beschränkungen zu ersetzen (vgl. dazu BAG NZA 2008, 1187 Rn. 40). Der Einsatz von S. ist der Beteiligten zu 2 nach dem Vorstehenden daher keineswegs nach § 26 Abs. 1 BDSG gerechtfertigt: Es fehlt zum einen an einem erforderlichen, durch konkrete Tatsachen begründeten Anfangsverdacht einer Straftat oder schweren Pflichtverletzung i.S.d. § 26 Abs. 1 Satz 2 BDSG. Zum anderen erweist sich die durch die Datenverarbeitung und – auswertung in S. verbundenen Eingriff in das allgemeine Persönlichkeitsrecht der Arbeitnehmer aufgrund des Fehlens personeller, zeitlicher und räumlicher Beschränkungen und der damit einhergehenden festgestellten Eingriffsintensität als unverhältnismäßig (§ 26 Abs. 1 Satz 1 BDSG).
Daran ändert auch das Interesse der Beteiligten zu 2, unbefugte Einwirkungen auf informationstechnische Systeme der C. sowie Datendiebstahl zu verhindern, um gesetzlichen sowie aufsichtsrechtlichen Vorgaben an die IT-Sicherheit im Bankensektor zu genügen, nichts. Dass die Einführung des IT-Sicherheitssystems S. oder eines vergleichbar stark in Mitarbeiterrechte eingreifenden Systems durch gesetzliche sowie aufsichtsrechtliche Vorgaben angeordnet wäre, ist nicht ersichtlich.
Zwar ist es zutreffend, dass Anforderungen im KWG bzw. in der Richtlinie BAIT an die IT-Sicherheit von Banken gestellt werden. Weder die einschlägigen §§ 25 a, 25 b KWG noch die konkretisierenden Vorgaben der BaFin in BAIT machen jedoch konkrete Systemvorgaben. Wenn es dort heißt, es seien „angemessene Vorkehrungen“ zu treffen, dass „die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sichergestellt werden“ und weiter mögliche „geeignete Vorkehrungen“ aufgezählt werden, wie die „Protokollierung der Systemaktivität“ und die „Verfolgung von Sicherheitsrelevanter Ereignisse“ (Ziffer 38 BAIT), ist damit ein weiter Rahmen zur Umsetzung gesteckt. Gleiches gilt für die Vorgaben der EZB, die – wie von der Beteiligten zu 2 vorgetragen (vgl. Schriftsatz vom 24.01.2019, Seite 5, Ziffer 2.3; Bl. 59 d.A.) – die Einführung „einer“ Sicherheitssoftware vorsehen. Eine Pflicht zur Einführung des Systems S. lässt sich daraus genauso wenig ableiten wie die Befugnis zur Einführung einer derart weitreichenden Verarbeitung und Auswertung von IT-Nutzungsdaten von Beschäftigten, wie sie S. in Form einer präventiv arbeitenden „User Behaviour Analystics“ andenkt. Eine rechtliche, d.h. gesetzliche Verpflichtung, wie sie Art. 6 Abs. 1 lit. c EU-DSGVO voraussetzt (vgl. Paal/Pauly/Frenzel, DS-GVO, Art. 6 Rn. 76), ist somit nicht getroffen, so dass auch eine darauf gestützte Rechtfertigung der Datenverarbeitung in S. nicht in Betracht kommt.
Weiterhin kann auch die im öffentlichen Interesse stehende Aufgabenwahrnehmung der Beteiligten zu 2 (Art. 6 Abs. 1 lit. e EU-DSGVO) bzw. die Wahrnehmung berechtigter Interessen durch sie (Art. 6 Abs. 1 lit. f EU-DSGVO) eine Datenverarbeitung, wie sie mit dem System S. vorgesehen ist, nicht rechtfertigen. Unbestritten nimmt die Beteiligte zu 2 als Finanzdienstleister eine wichtige Funktion bezogen auf die Funktionsfähigkeit des gesamten Finanzwesens wahr, womit sie auch im öffentlichen Interesse tätig wird. Unbestritten geht damit die Notwendigkeit einher, ihr wirkungsvolle Maßnahmen zu ermöglichen, die ihr gestatten, sich vor Angriffen auf ihre IT-Datensicherheit effektiv zu schützen. Ausdruck findet dies in den gesetzlichen Vorschriften der §§ 25 a, 25 b KWG und den bankenaufsichtsrechtlichen Regelungen der BAIT. Jedoch ist ein derart schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht, wie er mit dem System S. zur Abwehr einer abstrakten Gefahr für die IT-Datensicherheit der C. verbunden ist, auch unter Abwägung mit diesen Interessen nicht zu rechtfertigen. Die Beteiligte zu 2 verweist nach ihren Beobachtungen selbst darauf hin, dass eine nicht unerhebliche Anzahl echter Angriffe auf die Datensicherheit dadurch gekennzeichnet ist, dass sie von außen kommen und technisch so verlaufen, dass der Angreifer sich einen Zugriff auf interne Geräte verschafft. Dies zugrunde gelegt, ist es nicht einsichtig, weswegen zur Abwehr vornehmlich von außen drohender Gefahren eigene Mitarbeiter einer personell-, zeitlich-, räumlich unbegrenzten sowie anlasslosen Überwachung unterzogen werden. Der bei diesen ITnutzenden Mitarbeitern dadurch verursachte Anpassungsdruck steht hierzu außer Verhältnis.
c. Die Unwirksamkeit der Regelungen der GBV über die Überwachung des Mitarbeiterverhaltens durch das System S. hat die des gesamten Einigungsstellenspruchs zur Folge. Der verbleibende Teil der GBV stellt ausgehend von ihrer Zielsetzung ohne die Regelungen zur Verarbeitung und Auswertung der Daten der Mitarbeiter keine sinnvolle und in sich geschlossene Regelung mehr dar (vgl. dazu BAG 1 ABR 19/12 Rn. 39 m.w.N.), da S. gerade als „User Behaviour Analystics“ System konzipiert ist.
d. Ob die GBV darüber hinaus aus Rechtsgründen auch gegen die GBV SPLUNK verstößt, kann vorliegend dahinstehen. Ist die GBV bereits aus Rechtsgründen unwirksam, bedarf es ebenfalls keiner Entscheidung, ob der Gesamtbetriebsrat die Zwei-Wochen-Frist des § 76 Abs. 5 Satz 4 BetrVG gewahrt hat und zur Geltendmachung eines Ermessensfehlgebrauchs der Einigungsstelle berechtigt war. Deshalb muss die Kammer nicht darüber befinden, ob der Gesamtbetriebsrat am 12.12.2018 einen unwirksamen „Vorratsbeschluss“ gefasst hat, weil die Anfechtung eines Spruchs der Einigungsstelle erst ab dessen „Existenz“ beschlossen werden könnte. Weiterhin kann offenbleiben, ob die Auffassung zutreffend ist, durch den nachfolgenden Beschluss des Gesamtbetriebsrats vom 17.01.2019 werde die zweiwöchige Frist des § 76 Abs. 5 Satz 4 BetrVG trotz rechtzeitig eingegangener Antragsbegründungsschrift nicht gewahrt. Insofern musste auch die durch die Beteiligte zu 2 beantragte, explizit hierauf gerichtete Schriftsatzfrist in der mündlichen Anhörung vor der Kammer am 19.09.2019 nicht gewährt werden.
III.
1. Eine Kostenentscheidung ist nicht veranlasst, Kosten werden nach §§ 2 Abs. 2 GKG, 2a Abs. 1 ArbGG nicht erhoben.
2. Gegen diese Entscheidung ist das Rechtsmittel der Beschwerde gemäß § 87 ArbGG nach Maßgabe der nachfolgenden Belehrung statthaft.
