Datenschutz, Betriebsrat und neue Software: Was das LAG Hessen klargestellt hat – und welche Mitbestimmungs-regeln jetzt gelten, auch für die Einführung eines Hinweisgebersystems
Überblick:
Das Urteil des LAG Hessen bedeutet nicht, dass Unternehmen Hinweisgebersysteme ohne Mitsprache des Betriebsrats einführen dürfen. Zwar ist der Datenschutz grundsätzlich Sache des Arbeitgebers, doch bei der konkreten Ausgestaltung eines Hinweisgebersystems – etwa wie und wo Hinweise abgegeben werden können oder wie damit umgegangen wird – hat der Betriebsrat weiterhin ein Mitbestimmungsrecht. Unternehmen und Betriebsrat müssen hier also zusammenarbeiten.
Im Detail:
Die Digitalisierung verändert unsere Arbeitswelt grundlegend, und mit jedem neuen Software-System, das Unternehmen einführen, entsteht die Frage: Wer wacht eigentlich über den Schutz der Beschäftigtendaten? Ein aktueller Beschluss des LAG Hessen vom 5. Dezember 2024 (5 TaBV 4/24) bringt Klarheit in diese komplexe Rechtslage und liefert eine deutliche Botschaft: Datenschutz ist primär Arbeitgebersache – nicht Gegenstand erzwingbarer Mitbestimmung. Diese Entscheidung wird die Verhandlungen zwischen Unternehmen und Betriebsräten bei künftigen IT-Projekten maßgeblich prägen.
Den Ausgangspunkt bildete ein Rechtsstreit um die Einführung eines konzernweiten Systems zur Stammdatenverwaltung, das auf US-amerikanischen Servern gehostet wurde. Die Arbeitgeberin hatte durch eine Einigungsstelle eine Betriebsvereinbarung beschließen lassen, die verschiedene Aspekte der Software-Nutzung regelte: von der Beschreibung des Systems über den Umgang mit Protokolldaten bis hin zu Regelungen über mögliche Leistungs- und Verhaltenskontrollen. Der Betriebsrat sah diese Regelungen jedoch als unzureichend an und wollte umfassende datenschutzrechtliche Vorgaben in der Vereinbarung verankert sehen.
Seine Kritik war vielschichtig: Das IT-System sei nicht vollständig erfasst worden, technische Grundanforderungen würden nicht eingehalten, und die Übermittlung personenbezogener Daten ins außereuropäische Ausland erfolge ohne ausreichende Rechtsgrundlage. Diese Argumentation führte zu einem Grundsatzstreit über die Grenzen betrieblicher Mitbestimmung im digitalen Zeitalter.
Die wegweisende Entscheidung der hessischen Richter
Sowohl das Arbeitsgericht Fulda als auch das LAG Hessen erteilten den weitreichenden Datenschutz-Forderungen des Betriebsrats eine klare Absage. Die Begründung der Richter ist von fundamentaler Bedeutung: Das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG bezieht sich nicht auf die allgemeine Gewährleistung des Persönlichkeitsrechts der Beschäftigten und bezweckt daher auch nicht die umfassende Einhaltung aller datenschutzrechtlichen Bestimmungen. Die Verantwortung für die Einhaltung der gesetzlichen Datenschutzbestimmungen liegt ausschließlich beim Arbeitgeber als der nach Art. 4 Nr. 7 DSGVO datenschutzrechtlich verantwortlichen Stelle. Besonders bedeutsam ist die Klarstellung zum Gesetzesvorbehalt: Selbst wenn man theoretisch ein Mitbestimmungsrecht zu datenschutzrechtlichen Themen herleiten wollte, stehe einer Mitbestimmung bezüglich zwingender gesetzlicher Vorschriften ohne Gestaltungsspielraum der Gesetzesvorbehalt des Eingangshalbsatzes des § 87 Abs. 1 BetrVG entgegen. Dieser regelt unmissverständlich, dass ein Mitbestimmungsrecht nur besteht, "soweit eine gesetzliche oder tarifliche Regelung nicht besteht".
Die praktischen Auswirkungen für Unternehmen
Diese Entscheidung markiert einen Wendepunkt in der betrieblichen Praxis. Unternehmen können nun sachfremde Datenschutz-Forderungen des Betriebsrats gezielt zurückweisen und verhindern, dass IT-Verhandlungen in endlose Diskussionen über DSGVO-Details ausufern. Der Betriebsrat bleibt auf seine allgemeine Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG und auf sein Unterrichtungsrecht nach § 80 Abs. 2 BetrVG beschränkt.
Die Richter stellten außerdem klar, dass auch aus § 87 Abs. 1 Nr. 1 BetrVG, dem Mitbestimmungsrecht über Fragen der Ordnung des Betriebs und des Verhaltens der Beschäftigten, kein umfassendes Mitbestimmungsrecht zur Durchsetzung des gesetzlichen Datenschutzes abgeleitet werden kann. Diese Bestimmung betrifft nur das Ordnungsverhalten der Beschäftigten, nicht aber die gesetzlichen Pflichten des Unternehmens zur Einhaltung datenschutzrechtlicher Vorgaben.
Die Grundprinzipien der Mitbestimmung bei Software-Einführungen
Trotz dieser Einschränkung im Datenschutzbereich bleibt § 87 Abs. 1 Nr. 6 BetrVG ein mächtiges Instrument der betrieblichen Mitbestimmung, allerdings mit klar definierten Grenzen. Das Mitbestimmungsrecht erfasst sowohl die Einführung als auch die Anwendung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Bereits die grundsätzliche Entscheidung, ob ein System eingesetzt wird, kann mitbestimmungspflichtig sein, während das "Wie" – also Nutzungsumfang, Auswertungen und Speicherdauer – zwingend der Mitbestimmung unterliegt.
Entscheidend ist nicht, ob das System ausdrücklich zur Überwachung entwickelt wurde. Jede Software, die personenbezogene Daten sammelt und potenziell zur Leistungs- oder Verhaltenskontrolle geeignet ist, fällt unter das Mitbestimmungsrecht. Die traditionelle Rollenteilung bleibt bestehen: Der Arbeitgeber entscheidet über die Anschaffung, der Betriebsrat über Art und Weise der Nutzung. Ein Vetorecht gegen die grundsätzliche Einführung oder Abschaffung eines Systems besteht jedoch nicht.
Eine besondere Bedeutung kommt der frühzeitigen Information zu. Der Arbeitgeber muss den Betriebsrat rechtzeitig über Zweck, Technik, verarbeitete Datenarten und mögliche Auswirkungen auf die Beschäftigten unterrichten. Bei der Zuständigkeitsfrage ist zu beachten, dass bei Software, die mehrere Standorte betrifft, häufig der Gesamt- oder Konzernbetriebsrat zuständig ist – internationale Hosting-Modelle ändern daran nichts.
Der Betriebsrat hat das Recht, bei komplexen IT-Systemen externe Sachverständige hinzuzuziehen, um seine Beurteilungsgrundlage zu verbessern. Scheitern die Verhandlungen zwischen den Betriebsparteien, entscheidet die Einigungsstelle verbindlich nach § 87 Abs. 2 BetrVG. Eine wichtige Entwicklung betrifft das umstrittene Initiativrecht: Während das BAG traditionell verneint, dass der Betriebsrat die Einführung von Überwachungstechnik verlangen kann, bejahte das LAG Hamm 2021 ein solches Recht für elektronische Zeiterfassung – eine höchstrichterliche Klärung steht noch aus.
Strategische Empfehlungen für die Praxis
Die Entscheidung des LAG Hessen bietet Unternehmen eine solide Argumentationsgrundlage für künftige IT-Projekte. Besonders wirkungsvoll ist die Strategie der "Doppelspur": Unternehmen sollten klar zwischen der Betriebsvereinbarung einerseits und internen Datenschutz-Policies andererseits trennen. Während die Betriebsvereinbarung Aspekte wie Leistungs- und Verhaltenskontrolle, Löschfristen und Zugriffsrechte regelt, bleiben datenschutzrechtliche Compliance-Fragen ausschließlich in der Verantwortung des Arbeitgebers als datenschutzrechtlich Verantwortlicher.
Eine proaktive Kommunikation verkürzt Verhandlungszeiten erheblich. Unternehmen sollten dem Betriebsrat frühzeitig umfassende Funktionsbeschreibungen, Datenflussdiagramme und Risikoanalysen zur Verfügung stellen. Dabei ist es entscheidend, konsequent auf den gesetzlichen Rahmen zu verweisen: Artikel 5 ff. DSGVO und § 26 BDSG definieren bereits verbindlich, welche Datenschutzstandards einzuhalten sind – diese Punkte sind nicht verhandelbar und können nicht durch betriebliche Vereinbarungen "doppelt geregelt" werden.
Bei konzernweiten Software-Lösungen empfiehlt es sich, von Beginn an den zuständigen Gesamt- oder Konzernbetriebsrat einzubeziehen, um parallele Verhandlungen mit verschiedenen örtlichen Betriebsräten zu vermeiden. Angesichts der ungeklärten Rechtslage zum Initiativrecht sollten Unternehmen darauf vorbereitet sein, dass sich Betriebsräte auf das LAG-Hamm-Urteil berufen könnten – eine fundierte rechtliche Argumentation in Einigungsstellenverfahren wird daher noch wichtiger.
Fazit für Datenschutz - Software: Neue Klarheit für digitale Arbeitswelten
Das LAG Hessen hat die Rollen in der digitalen Arbeitswelt neu justiert und dabei eine wichtige Klarstellung vorgenommen: Datenschutz nach DSGVO und BDSG ist nicht mitbestimmungspflichtig, solange das Gesetz die Pflichten eindeutig vorgibt. Diese Entscheidung beendet die Praxis ausufernder Verhandlungen über datenschutzrechtliche Details und ermöglicht es Unternehmen, sich bei IT-Projekten auf die eigentlichen Mitbestimmungsthemen zu konzentrieren: die Frage nach möglichen Leistungs- und Verhaltenskontrollen.
Gleichzeitig bleibt § 87 Abs. 1 Nr. 6 BetrVG ein zentrales Schutzinstrument für Beschäftigte, sobald Software personenbezogene Daten erfasst und eine Überwachung ermöglicht. Die Kunst liegt darin, diese beiden Bereiche sauber zu trennen und beide Seiten – Arbeitgeber wie Betriebsrat – in ihren jeweiligen Verantwortungsbereichen zu stärken.
Unternehmen, die diese neue Rechtslage verstehen und in ihre IT-Strategien einbeziehen, können Digitalisierungsprojekte künftig schneller, rechtssicherer und mit weniger Reibungsverlusten umsetzen. Das LAG Hessen hat dafür den Grundstein gelegt – es liegt nun an der Praxis, diese Klarstellung konstruktiv zu nutzen.
ABER: Hinweisgeberschutz und Mitbestimmung – warum das LAG-Hessen-Urteil kein Freifahrtschein ist
Die Entscheidung des Hessischen Landesarbeitsgerichts vom 05.12.2024 (5 TaBV 4/24) hat sicher viele Personalabteilungen aufatmen lassen: Rein datenschutzrechtliche Fragen, so die Richter, unterliegen nicht der erzwingbaren Mitbestimmung des Betriebsrats, weil die DSGVO und das BDSG den Rechtsrahmen bereits abschließend regeln.
Manche Unternehmen stellten deshalb die Frage, ob sich dieses Urteil auch auf die Einführung von Hinweisgebersystemen übertragen lässt. Die kurze Antwort lautet: nein. Ein Hinweisgebersystem folgt anderen gesetzlichen Vorgaben und eröffnet dem Betriebsrat an entscheidenden Stellen weiterhin Beteiligungsrechte, wie jüngst das ArbG Zwickau (Beschluss vom 20.03.2025 – 9 BV 12/24) präzisierte.
Im Fokus des hessischen Verfahrens stand ein konzernweites Stammdaten-Tool, nicht aber ein Meldesystem für Whistleblower. Das LAG hob hervor, dass § 87 Abs. 1 Nr. 6 BetrVG zwar jede technische Einrichtung erfasse, die zur Leistungs- oder Verhaltenskontrolle geeignet ist; für die Einhaltung der Datenschutzpflichten bleibe jedoch allein der Arbeitgeber verantwortlich, weil hier bereits „zwingendes Recht“ bestehe. Wo der Gesetzgeber abschließend regelt, endet die erzwingbare Mitbestimmung.
Das Hinweisgeberschutzgesetz ändert die Gleichung
Anders liegt die Sache bei internen Meldestellen nach dem Hinweisgeberschutzgesetz (HinSchG). Arbeitgeber mit mindestens 50 Mitarbeitenden müssen seit 2023 verbindlich einen Meldekanal einrichten (§ 12 HinSchG). Weil die Pflicht „ob“ das System kommt, gesetzlich feststeht, ist dieser Teil mitbestimmungsfrei; wie das System im Detail aussieht, bleibt aber gestaltbar – und damit mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 1 BetrVG, soweit Verhaltensregeln betroffen sind, oder nach Nr. 6, wenn technische Komponenten eine Überwachungseignung besitzen.
Rechtsprechung bestätigt den Gestaltungsspielraum
Das ArbG Zwickau hat erstmals diesen Grundgedanken in seinem Beschluss vom 20.03.2025 ausdrücklich hergeleitet. Es stellte klar, dass §§ 12–18 HinSchG keine abschließende Regelung darstellen, die das Mitbestimmungsrecht absorbiere. Vielmehr lasse der Gesetzgeber den Unternehmen erhebliche Spielräume – beispielsweise bei der Frage, ob die Meldestelle intern oder extern betrieben werde oder welche Meldekanäle (Web-Portal, Hotline, persönliches Gespräch) zur Verfügung stehen. Das Urteil wird im "Betriebsrat-Podcast" vor 2 Wochen besprochen.
Daraus folge ein Mitbestimmungsrecht über
- Verfahrensabläufe – etwa Fristen, Eskalationsstufen oder Dialogpflichten mit Hinweisgebern,
- technische Ausstattung – einschließlich Protokollierung, Zugriffsrechte und Speicherdauer,
- Verhaltenscodices – z. B. Vorgaben, wann Beschäftigte Meldungen absetzen sollen oder wie sie sich im Folgeprozess zu verhalten haben.
Lediglich die Organisationsentscheidung, eine externe Ombudsstelle zu mandatieren, liegt nach Zwickauer Auffassung außerhalb der Mitbestimmung; sie verändert aber die Zuständigkeit, indem sie den Konzern- oder Gesamtbetriebsrat auf den Plan ruft, wenn die Meldestelle mehrere Gesellschaften bedient.
Konsequenzen für die Praxis
Unternehmen dürfen sich daher nicht auf das LAG-Hessen-Urteil berufen, um Mitbestimmungsdialoge bei Whistleblower-Lösungen pauschal abzukürzen. Zwar kann man, ähnlich wie beim Datenschutz, argumentieren, dass manche Punkte gesetzlich zwingend sind – etwa die Pflicht zur Vertraulichkeit der Meldestelle (Art. 16 HinSchG). Doch sobald technische Systeme potenziell Verhaltensdaten sammeln oder Verhaltensnormen aufstellen, greift die Mitbestimmung.
Die klügste Vorgehensweise besteht darin, zwei Sphären sauber zu trennen: Erstens die gesetzlichen Mindestvorgaben des HinSchG, die das Unternehmen unabhängig vom Betriebsrat einhalten muss; zweitens die betrieblichen Detailfragen, bei denen der Betriebsrat rechtlich ein Mitspracherecht hat. Frühzeitige Information, transparente Prozessbeschreibungen und eine realistische Einschätzung der Gestaltungsgrenzen helfen, Einigungsstellenverfahren schlank zu halten und dennoch compliance-sichere Lösungen zu schaffen.
Fazit
Das LAG-Hessen-Urteil ist kein Blankoscheck für eine mitbestimmungsfreie Digitalisierung. Bei Hinweisgebersystemen besteht nach HinSchG weiterhin nennenswerter Regelungsraum, den Betriebsräte über § 87 Abs. 1 BetrVG mitgestalten dürfen[2][4]. Wer das verkennt, riskiert langwierige Auseinandersetzungen und verspielt die Chance, eine vertrauenswürdige Meldestelle zu etablieren, die tatsächlich Fehlverhalten aufdeckt und beugt. Unternehmen sollten daher beim Roll-out eines Whistleblowing-Tools differenzieren: Datenschutzpflichten bleiben Chefsache, Prozess- und Verhaltensfragen bleiben ein Feld für kooperative Mitbestimmung. So wird das Hinweisgebersystem zum Gewinn für Transparenz und Compliance statt zur Dauerbaustelle im Arbeitsrecht.
Data Protection, Works Council, and New Software: What the LAG Hessen Has Clarified – and Which Co-Determination Rules Now Apply, Including for the Introduction of Whistleblower Systems
Overview
The LAG Hessen ruling does not mean that companies can introduce whistleblower systems without the involvement of the works council. While data protection is generally the employer’s responsibility, the works council still has a right of co-determination regarding the specific design of a whistleblower system—such as how and where reports can be submitted or how they are handled. Companies and works councils must therefore work together on these issues.
In Detail
Digitalization is fundamentally changing our working world, and with every new software system introduced by companies, the question arises: Who is actually responsible for protecting employee data? A recent decision by the LAG Hessen from December 5, 2024 (5 TaBV 4/24) brings clarity to this complex legal situation and sends a clear message: Data protection is primarily the employer’s responsibility—not subject to mandatory co-determination. This decision will significantly shape negotiations between companies and works councils in future IT projects.
The case originated from a legal dispute over the introduction of a group-wide master data management system hosted on US servers. The employer had a works agreement adopted via a conciliation committee, regulating various aspects of software use: from system description to handling log data and rules on possible performance and conduct monitoring. The works council considered these rules insufficient and wanted comprehensive data protection requirements anchored in the agreement.
Their criticism was multifaceted: the IT system was not fully covered, technical requirements were not met, and the transfer of personal data outside Europe lacked a sufficient legal basis. This led to a fundamental dispute about the limits of workplace co-determination in the digital age.
The Landmark Decision of the Hessen Judges
Both the Fulda Labor Court and the LAG Hessen clearly rejected the works council’s far-reaching data protection demands. The judges’ reasoning is fundamental: The co-determination right under § 87 (1) No. 6 BetrVG does **not** relate to the general safeguarding of employees’ personal rights and therefore does not aim at comprehensive compliance with all data protection regulations. Responsibility for compliance with statutory data protection requirements lies solely with the employer as the data controller under Art. 4 No. 7 GDPR.
Of particular importance is the clarification regarding the legal reservation: Even if one were to theoretically derive a co-determination right for data protection issues, the legal reservation in the opening clause of § 87 (1) BetrVG would preclude co-determination regarding mandatory statutory provisions that leave no room for discretion. This clause unambiguously states that a co-determination right exists only “insofar as there is no statutory or collective agreement regulation.”
Practical Implications for Companies
This decision marks a turning point in company practice. Companies can now specifically reject irrelevant data protection demands from the works council and prevent IT negotiations from devolving into endless discussions about GDPR details. The works council remains limited to its general monitoring duty under § 80 (1) No. 1 BetrVG and its right to information under § 80 (2) BetrVG.
The judges also clarified that § 87 (1) No. 1 BetrVG, which covers co-determination on workplace rules and employee conduct, does not provide a comprehensive co-determination right for enforcing statutory data protection. This provision only concerns employee conduct, not the company’s legal obligations regarding data protection.
Core Principles of Co-Determination in Software Implementation
Despite these restrictions in the area of data protection, § 87 (1) No. 6 BetrVG remains a powerful tool for workplace co-determination, albeit with clearly defined boundaries. The co-determination right covers both the introduction and use of technical devices that can monitor employee behavior or performance. Even the basic decision on whether a system is used can be subject to co-determination, while the “how”—such as scope of use, evaluations, and retention periods—is always subject to co-determination.
It is not decisive whether the system was explicitly developed for monitoring. Any software that collects personal data and is potentially suitable for performance or conduct monitoring falls under the co-determination right. The traditional division of roles remains: the employer decides on procurement, the works council on the manner of use. There is no veto right against the basic introduction or removal of a system.
Early information is particularly important. The employer must inform the works council in good time about the purpose, technology, types of data processed, and possible effects on employees. For software affecting multiple locations, the group or central works council is often responsible—international hosting models do not change this.
The works council has the right to consult external experts for complex IT systems. If negotiations between the parties fail, the conciliation committee makes a binding decision under § 87 (2) BetrVG. A key development concerns the controversial right of initiative: while the Federal Labor Court (BAG) traditionally denies that the works council can demand the introduction of monitoring technology, the LAG Hamm in 2021 affirmed such a right for electronic time recording—a final decision from the highest court is still pending.
Strategic Recommendations for Practice
The LAG Hessen decision provides companies with a solid basis for argument in future IT projects. Particularly effective is the “dual-track” strategy: companies should clearly separate the works agreement (covering performance/conduct monitoring, deletion periods, access rights) from internal data protection policies, for which only the employer is responsible.
Proactive communication significantly shortens negotiation times. Companies should provide the works council with comprehensive function descriptions, data flow diagrams, and risk analyses at an early stage. It is crucial to consistently refer to the legal framework: Articles 5 ff. GDPR and § 26 BDSG already define binding data protection standards—these points are not negotiable and cannot be “double-regulated” by company agreements.
For group-wide software solutions, it is advisable to involve the responsible group or central works council from the outset to avoid parallel negotiations with different local works councils. Given the unresolved legal situation regarding the right of initiative, companies should be prepared for works councils to refer to the LAG Hamm decision—well-founded legal arguments in conciliation proceedings are therefore even more important.
Data Protection & Software: New Clarity for the Digital Workplace
The LAG Hessen has redefined the roles in the digital workplace and made an important clarification: **Data protection under the GDPR and BDSG is not subject to co-determination as long as the law clearly defines the obligations.** This decision ends the practice of protracted negotiations over data protection details and allows companies to focus on the real co-determination issues in IT projects: possible performance and conduct monitoring.
At the same time, § 87 (1) No. 6 BetrVG remains a central protective instrument for employees whenever software collects personal data and enables monitoring. The key is to clearly separate these two areas and strengthen both sides—employer and works council—in their respective responsibilities.
Companies that understand this new legal situation and incorporate it into their IT strategies can implement digitalization projects more quickly, securely, and with less friction. The LAG Hessen has laid the foundation—it is now up to practice to use this clarification constructively.
BUT: Whistleblower Protection and Co-Determination – Why the LAG Hessen Ruling Is Not a Free Pass
The LAG Hessen decision of December 5, 2024 (5 TaBV 4/24) may have been a relief for many HR departments: purely data protection issues, according to the judges, are not subject to mandatory co-determination by the works council, as the GDPR and BDSG already provide a comprehensive legal framework.
Some companies therefore wondered whether this ruling could also be applied to the introduction of whistleblower systems. The short answer is: **no**. A whistleblower system is subject to different legal requirements and still grants the works council participation rights at key points, as recently clarified by the Zwickau Labor Court (decision of March 20, 2025 – 9 BV 12/24).
The Whistleblower Protection Act Changes the Equation
The situation is different for internal reporting offices under the Whistleblower Protection Act (HinSchG). Since 2023, employers with at least 50 employees are legally required to set up a reporting channel (§ 12 HinSchG). Because the obligation to introduce such a system is legally mandated, this part is not subject to co-determination; however, the specific design of the system remains open to negotiation—and thus subject to co-determination under § 87 (1) No. 1 BetrVG (for behavioral rules) or No. 6 (if technical components are suitable for monitoring).
Case Law Confirms the Scope for Design
The Zwickau Labor Court explicitly derived this principle in its decision of March 20, 2025. It clarified that §§ 12–18 HinSchG do not constitute a final regulation that absorbs the co-determination right. Instead, the legislator leaves companies considerable leeway—for example, in deciding whether the reporting office is operated internally or externally, or which reporting channels (web portal, hotline, personal meeting) are available.
This results in a co-determination right regarding:
- Procedural processes —such as deadlines, escalation levels, or dialogue obligations with whistleblowers,
- Technical setup —including logging, access rights, and retention periods,
- Codes of conduct —e.g., guidelines on when employees should submit reports or how they should behave in the follow-up process.
Only the organizational decision to mandate an external ombudsperson is, according to Zwickau, outside the scope of co-determination; however, this changes the responsibility, bringing the group or central works council into play if the reporting office serves multiple companies.
Consequences for Practice
Companies should therefore not rely on the LAG Hessen ruling to generally shorten co-determination dialogues for whistleblower solutions. While, as with data protection, some points are legally mandatory—such as the obligation for confidentiality of the reporting office (Art. 16 HinSchG)—co-determination applies as soon as technical systems potentially collect behavioral data or establish behavioral norms.
The smartest approach is to clearly separate two spheres: first, the statutory minimum requirements of the HinSchG, which the company must comply with regardless of the works council; second, the operational details where the works council has a legal say. Early information, transparent process descriptions, and a realistic assessment of the scope for design help keep conciliation proceedings lean and still create compliance-secure solutions.
Conclusion
The LAG Hessen ruling is not a blank check for co-determination-free digitalization. For whistleblower systems, there remains significant regulatory space under the HinSchG that works councils can help shape via § 87 (1) BetrVG. Ignoring this risks lengthy disputes and squanders the opportunity to establish a trustworthy reporting office that actually uncovers and prevents misconduct. Companies should therefore differentiate when rolling out a whistleblowing tool: data protection obligations remain the employer’s responsibility, while process and behavioral issues remain a field for cooperative co-determination. This way, the whistleblower system becomes a win for transparency and compliance rather than a permanent construction site in labor law.