Unter welchen Bedingungen können Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten dienen? Zu diesem Themenkomplex hatte das Bundesarbeitsgericht dem Europäischen Gerichtshof (EuGH) diverse Fragen vorgelegt. Die Richter haben dazu nun klar Vorgaben gemacht (Urteil vom 19. Dezember 2024, Az.: C‑65/23).
Der Sachverhalt
Ein deutscher Arbeitnehmer klagte gegen seinen Arbeitgeber, die K GmbH, wegen der Verarbeitung seiner personenbezogenen Daten im Rahmen der Einführung der Software Workday. Diese cloudbasierte Personalmanagement-Software wurde auf Basis einer Betriebsvereinbarung implementiert, die als Rechtsgrundlage der Datenverarbeitung diente.
Der Kläger argumentierte, dass die Verarbeitung seiner Daten nicht erforderlich gewesen sei und die Betriebsvereinbarung nicht als ausreichende Rechtsgrundlage gemäß der Datenschutz-Grundverordnung (DSGVO) herangezogen werden könne.
Zudem ging es auch um die Datenübermittlung an Server des US-Mutterkonzerns, wofür der Betriebsrat eine kollektivrechtliche Duldung mit der beklagten K-GmbH unterzeichnet hatte.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Der Europäische Gerichtshof (EuGH) entschied nun, dass nationale Regelungen (wie § 26 Abs. 4 BDSG) und Kollektivvereinbarungen, wie Betriebsvereinbarungen, die auf Art. 88 DSGVO basieren, nicht nur die spezifischen Anforderungen dieses Artikels erfüllen, sondern auch im Einklang mit den allgemeinen Bestimmungen der DSGVO stehen müssen, insbesondere mit
- Art. 5 (Grundsätze der Datenverarbeitung),
- Art. 6 (Rechtsgrundlagen der Verarbeitung) und
- Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten).
Der Gerichtshof betonte, dass Betriebsvereinbarungen keine Umgehung der in der DSGVO festgelegten Datenschutzstandards ermöglichen dürfen, auch wenn den Parteien einer Betriebsvereinbarung ein gewisser Ermessensspielraum bei der Beurteilung der Erforderlichkeit von Datenverarbeitungen eingeräumt wird.
Zudem unterliegen solche Vereinbarungen einer umfassenden gerichtlichen Kontrolle hinsichtlich ihrer Vereinbarkeit mit der DSGVO.
Datenschutzrechtliche Einschätzung
Das EuGH-Urteil hat diverse Auswirkungen auf die Praxis der Datenverarbeitung im Beschäftigungskontext:
Rechtsgrundlage überprüfen
Unternehmen müssen sicherstellen, dass Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten den Anforderungen der DSGVO entsprechen. Dies bedeutet, dass solche Vereinbarungen klare und präzise Regelungen enthalten müssen, die mit den Grundsätzen der DSGVO im Einklang stehen.
Werden diese eingehalten, kann für die Verarbeitung personenbezogener Daten nach Art. 88 Abs. 1 DSGVO (§ 26 Abs. 4 BDSG) eine taugliche Rechtsgrundlage vorliegen.
Erforderlichkeit der Datenverarbeitung
Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Betriebsvereinbarungen sollten daher detailliert festlegen, welche Daten zu welchem Zweck verarbeitet werden und sicherstellen, dass keine übermäßige Datenerhebung erfolgt.
Bezüglich der Definition der Erforderlichkeit und Erfüllung der erweiterten Pflichten der DSGVO haben Arbeitgeber einen Beurteilungsspielraum.
Gerichtliche Kontrolle
Betriebsvereinbarungen unterliegen einer vollständigen gerichtlichen Überprüfung hinsichtlich ihrer Vereinbarkeit mit der DSGVO. Dies gilt insbesondere auch für die Erforderlichkeitserwägungen der Vertragsparteien der Kollektivvereinbarung. Für die Praxis bedeutet dies, dass die Abwägung selbst einer solchen Kontrolle standhalten muss. An die Begründung ist daher ein hoher Maßstab anzulegen. Insbesondere wenn über Betriebsvereinbarungen eingriffsintensive Datenverarbeitungen gerechtfertigt werden sollen, bedarf es einer möglichst substantiierten Begründung.
Fazit
Das Urteil des EuGH verdeutlicht, dass Betriebsvereinbarungen keine Schlupflöcher zur Umgehung der DSGVO bieten dürfen. Der in der Praxis häufig zu findende Ansatz, Verarbeitungen gerade durch Betriebsvereinbarungen erst zu legitimieren, sollte aufgegeben werden. Vielmehr muss dem Kollektivrecht eine eingehende Prüfung der rechtlichen Anforderungen aus dem Datenschutz vorausgehen.
Unternehmen und Betriebsräte sind gefordert, ihre Vereinbarungen sorgfältig auf Vollständigkeit zu prüfen und sicherzustellen, dass sie den hohen Anforderungen der datenschutzrechtlichen Pflichten gerecht werden. Sollten Betriebsvereinbarungen datenschutzrechtlich unwirksame Klauseln enthalten, dürfte dies die Unwirksamkeit der jeweils kompletten Klausel nach sich ziehen.
Eine geltungserhaltende Reduktion – d.h. die Reduzierung auf ein rechtlich zulässiges Maß – ist zugunsten des Schutzes der Mitarbeitenden regelmäßig nicht möglich. In solchen Fällen muss eine Änderung der Kollektivvereinbarung in einem erneuten formellen Prozess realisiert werden. Dies setzt wiederum eine Einigung der Betriebsparteien voraus. Erfahrungsgemäß sind die Zeitspannen in der Praxis hierfür sehr lange. Man ist gut beraten, entsprechende Projekte von vornherein mit der notwendigen Sorgfalt und Expertise anzugehen.
