Eine in Rechtswissenschaft und Praxis lange und intensiv diskutierte Frage zum Beschäftigtendatenschutz wurde endlich vom Europäischen Gerichtshof (EuGH) entschieden: Stellen Betriebsvereinbarungen eine datenschutzrechtliche Rechtsgrundlage dar und wie weit reicht die Regelungskompetenz der Betriebsparteien? Hiermit setzte sich der EuGH in einem Urteil vom 19. Dezember 2024 in der Rs. C‑65/23 auseinander.
Sachverhalt
Ein Mitarbeiter eines deutschen Unternehmens, der auch Vorsitzender des Betriebsrats ist, hatte Klage eingereicht, weil seine personenbezogenen Daten bei der Einführung einer neuen Software (Workday) seiner Meinung nach unrechtmäßig verarbeitet wurden. Das Unternehmen hatte zuvor mit dem Betriebsrat im Rahmen einer (Duldungs-)Betriebsvereinbarung vereinbart, welche Daten in der Software verwendet werden dürfen. Der Mitarbeiter behauptete jedoch, dass zusätzliche sensible Daten (wie seine Steuer-ID und sein Familienstand) ohne Einwilligung übermittelt wurden, insbesondere auf einen Server in den USA. Er forderte Schadenersatz, weil dies gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen habe. Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen im Zusammenhang mit Betriebsvereinbarungen als Rechtsvorschriften zum Beschäftigtendatenschutz vor.
Entscheidung
Der EuGH stellt fest, dass spezifischere nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext gemäß Art. 88 DSGVO die allgemeinen Bestimmungen der DSGVO nicht außer Kraft setzen. Solche nationalen Regelungen müssen stets die Grundsätze der DSGVO, insbesondere Art. 5 (Grundsätze der Datenverarbeitung), Art. 6 Abs. 1 (Rechtsgrundlage) sowie Art. 9 Abs. 2 (Verarbeitung besonderer Kategorien personenbezogener Daten) DSGVO beachten. Dies bedeutet – auch wenn sich der EuGH hierzu nicht eindeutig positioniert hat -, dass Betriebsvereinbarungen keine eigenständige Rechtsgrundlage für die Verarbeitung von (Beschäftigten-) Daten darstellen. Es muss immer (auch) eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (z.B. Erforderlichkeit für die Erfüllung des Arbeitsvertrages) sowie bei der Verarbeitung von besonderen Datenkategorien (z.B. Gesundheitsdaten) eine Ausnahmebestimmung nach Art. 9 Abs. 2 DSGVO vorliegen (vgl. dazu auch bereits unseren Blogbeitrag).
Das Gericht betont, dass die Parteien von Betriebsvereinbarungen – ebenso wie die nationalen Gesetzgeber der Mitgliedsstaaten – zwar einen gewissen Spielraum bei der Bestimmung der „Erforderlichkeit“ einer Datenverarbeitung (i.S.v. Art. 5, Art. 6 Abs. 1, Art. 9 Abs. 1 und 2 DSGVO) hätten, sie jedoch der gerichtlichen Überprüfung hinsichtlich der Einhaltung der DSGVO-Vorgaben unterliegen. Insbesondere muss die Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung gewährleistet sein. Hier könnten Betriebsvereinbarungen insbesondere keine Regelungen vorsehen, die den Schutzstandard der DSGVO unterschreiten. Sollten bestimmte Bestimmungen der Betriebsvereinbarung nicht mit der DSGVO übereinstimmen, wäre ein nationales Gericht verpflichtet, diese Bestimmungen außer Acht zu lassen.
Folgen der Entscheidung
Dieses Urteil verdeutlicht, dass Arbeitgeber und Betriebsräte bei der Ausgestaltung von Betriebsvereinbarungen zur Datenverarbeitung die DSGVO-Standards strikt beachten müssen. Betriebsvereinbarungen dürfen die allgemeinen Grundsätze der DSGVO lediglich spezifizieren, jedoch nicht ändern oder diesen widersprechen. Die Verarbeitung personenbezogener Daten von Beschäftigten erfordert eine sorgfältige Prüfung der Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit.
Die in der Praxis weit verbreitete Ansicht, Betriebsvereinbarungen könne eine eigenständige / alleinige Rechtsgrundlage für Datenverarbeitungen von Beschäftigten bieten, ist nicht mehr haltbar.
Hinweise für die Praxis
Betriebsvereinbarungen sind ein wichtiges Instrument in der Praxis, aber Arbeitgeber müssen immer die Anforderungen der DSGVO erfüllen und können sich nicht allein auf eine Betriebsvereinbarung stützen, um Datenverarbeitungen zu rechtfertigen. Unternehmen müssen daher bestehende Betriebsvereinbarungen überprüfen, ob ihre Regelungen den rechtlichen und datenschutzrechtlichen Vorgaben entsprechen. Zudem sollte die interne Datenschutzdokumentation, insbesondere das Verfahrensverzeichnis (Art. 30 DSGVO) korrigiert werden, wenn dort allein Betriebsvereinbarungen als Rechtsgrundlage für bestimmte Verarbeitungsprozesse genannt sind. Schließlich werden Verantwortliche auch die Datenschutzhinweise nach Art. 13, 14 DSGVO überarbeiten müssen, wenn dort als alleinige Rechtsgrundlage die Betriebsvereinbarung genannt ist.