Mit seinem Urteil vom 19. Dezember 2024 (Az. C-65/23) hat der Europäische Gerichtshof (EuGH) klargestellt, dass die Datenschutzgrundverordnung (DSGVO) einen Mindeststandard darstellt. In Betriebsvereinbarungen kann im Hinblick auf Beschäftigtendaten nichts vereinbart werden, was nach der DSGVO unzulässig ist. Arbeitgeber, die sich zur Datenverarbeitung bislang auf eine in einer Betriebsvereinbarung vorgesehene Erlaubnis gestützt haben, sollten die Entscheidung zum Anlass nehmen, ihre derzeitige Verarbeitungspraxis zu überprüfen und sich (spätestens jetzt) nur noch sehr zurückhaltend auf datenschutzrechtliche Regelungen in Betriebsvereinbarungen einlassen.
Sachverhalt
Ein Arbeitnehmer forderte von seinem Arbeitgeber Schadensersatz wegen einer aus seiner Sicht unzulässigen Verarbeitung personenbezogener Daten. Seine Daten wurden auf Grundlage einer Betriebsvereinbarung an ein cloudbasiertes System zur Personalverwaltung („Workday“) übermittelt. Der Arbeitnehmer machte geltend, hierbei seien auch Daten verarbeitet worden, die nicht unter die in der Vereinbarung festgelegten Kategorien fielen. Im Rahmen des sog. Vorabentscheidungsverfahrens gemäß Art. 267 AEUV legte das BAG dem EuGH unter anderem die Frage vor, ob Betriebsvereinbarungen nicht nur die speziellen Anforderungen des Art. 88 DSGVO, sondern auch die allgemeinen Vorgaben der Artikel 5, 6 und 9 DSGVO erfüllen müssen.
Die Entscheidung
Der EuGH stellte klar, dass Betriebsvereinbarungen, ebenso wie nationale Rechtsvorschriften, sämtliche Vorgaben der DSGVO einhalten müssen:
Es genügt nicht, lediglich die speziellen Anforderungen des Art. 88 DSGVO zu berücksichtigen. Vielmehr sind die allgemeinen Grundsätze und Rechtmäßigkeitsvoraussetzungen der DSGVO, insbesondere aus Art. 5 (Grundsätze der Datenverarbeitung), Art. 6 Abs. 1 (Rechtmäßigkeit der Verarbeitung) sowie Art. 9 Abs. 1 und 2 (besondere Kategorien personenbezogener Daten), zwingend zu beachten.
Die Betriebsparteien sind zwar berechtigt, spezifischere Regelungen zur Datenverarbeitung im Rahmen von Betriebsvereinbarungen zu treffen. Diese dürfen aber nicht dazu führen, dass das durch die DSGVO gewährleistete Schutzniveau unterschritten wird. Eine Datenverarbeitung, die nach den gesetzlichen Erlaubnistatbeständen der DSGVO unzulässig ist, kann nicht durch eine Betriebsvereinbarung legitimiert werden. Die unionsrechtlichen Vorgaben sind insoweit abschließend und lassen keine abweichenden, weniger strengen Regelungen zu.
Gleiss Lutz kommentiert
Die Entscheidung des EuGH verdeutlicht, dass Betriebsvereinbarungen nicht als Freibrief für Datenverarbeitungen im Beschäftigungsverhältnis dienen können. Sie dürfen als ein Instrument genutzt werden, das die datenschutzrechtlichen Vorgaben der DSGVO konkretisiert, dürfen diese aber nicht relativieren oder unterlaufen. Soweit es nicht um die Anhebung des in der DSGVO vorgesehenen Mindeststandards geht, bleibt den Betriebsparteien im Hinblick auf den Beschäftigtendatenschutz nach der Entscheidung des EuGH letztlich kein Spielraum. Die Betriebsparteien können eine Betriebsvereinbarung aber beispielsweise nutzen, um eine nach der DSGVO zulässige Datenverarbeitung zu konkretisieren und entsprechende Prozesse detaillierter zu beschreiben. Dabei besteht allerdings die Gefahr, dass Verarbeitungsoptionen eingeschränkt werden, die dem Arbeitgeber gesetzlich eigentlich zustehen.
Die teilweise anzutreffende Praxis, Datenverarbeitungen allein auf eine Betriebsvereinbarung zu stützen, ohne die datenschutzrechtliche Zulässigkeit nach der DSGVO umfassend zu prüfen und zu gewährleisten, ist (spätestens) nach der Entscheidung des EuGH nicht mehr haltbar. Vielmehr müssen die Betriebsparteien bei der Ausgestaltung von Betriebsvereinbarungen die Einhaltung der datenschutzrechtlichen Grundsätze und Erlaubnistatbestände beachten. Bei DSGVO-Verstößen drohen den Arbeitgebern nicht nur empfindliche Bußgelder, sondern auch Schadensersatzansprüche der betroffenen Arbeitnehmer (Art. 82 DSGVO), ohne dass der Arbeitgeber sich unter Verweis auf Regelungen in einer Betriebsvereinbarung entlasten kann. Deshalb sollten Arbeitgeber die Entscheidung des EuGH zum Anlass nehmen, ihre Verarbeitungspraxis zu überprüfen und bestehende Betriebsvereinbarungen ggf. entsprechend anpassen. Um keine über das Gesetz hinausgehenden Einschränkungen zu schaffen, sollten Arbeitgeber sich auf datenschutzrechtliche Regelungen in Betriebsvereinbarungen nur sehr zurückhaltend einlassen.
Weiterleiten
