Der Europäische Gerichtshof (EuGH) hat in einem aktuellen Urteil (C-65/23) die Rechte von Arbeitnehmerinnen und Arbeitnehmern im Bereich des Datenschutzes gestärkt. Im Zentrum steht die Frage, wie weit Betriebsvereinbarungen zur Verarbeitung personenbezogener Daten gehen dürfen und welche Grenzen das Datenschutzrecht setzt.
Hintergrund: Datenverarbeitung durch Betriebsvereinbarungen
Im konkreten Fall ging es um einen Arbeitnehmer in Deutschland, der sich gegen die Verarbeitung seiner personenbezogenen Daten durch seinen Arbeitgeber, die K GmbH, wehrte. Die Daten wurden im Rahmen der Einführung einer neuen Software auf Server in den USA übertragen. Grundlage war eine Betriebsvereinbarung, die diese Verarbeitung grundsätzlich erlaubte. Der Kläger argumentierte jedoch, dass die Verarbeitung seiner sensiblen Daten die Grenzen der Vereinbarung überschritt und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstieß.
Das Bundesarbeitsgericht legte den Fall dem EuGH vor und bat um Klärung mehrerer Fragen zur Auslegung der DSGVO im Beschäftigungskontext.
Die Entscheidung des EuGH: Betriebsvereinbarungen sind nicht grenzenlos
Der EuGH stellte klar, dass Betriebsvereinbarungen zwar spezifische Regelungen zur Verarbeitung personenbezogener Daten enthalten dürfen, diese jedoch stets den allgemeinen Anforderungen der DSGVO entsprechen müssen.
Kernpunkte des Urteils:
- Erforderlichkeit der Verarbeitung: Betriebsvereinbarungen dürfen die Verarbeitung personenbezogener Daten nur dann regeln, wenn diese tatsächlich erforderlich ist. Die Erforderlichkeit muss sich an den allgemeinen Grundsätzen der DSGVO (Art. 5, 6 und 9) orientieren.
- Gerichtliche Kontrolle: Nationale Gerichte sind nicht daran gehindert, Betriebsvereinbarungen umfassend daraufhin zu überprüfen, ob die in der Vereinbarung vorgesehene Datenverarbeitung erforderlich ist. Arbeitgeber und Betriebsräte können sich nicht auf einen vermeintlichen Ermessensspielraum berufen, der eine solche Kontrolle einschränken würde.
- Keine Abweichung von der DSGVO: Selbst wenn Betriebsvereinbarungen auf nationalen Rechtsgrundlagen basieren (wie z. B. § 26 Abs. 4 BDSG in Deutschland), müssen sie im Einklang mit der DSGVO stehen. Das bedeutet, dass sie keine Regelungen enthalten dürfen, die den Grundsätzen der DSGVO widersprechen.
Bedeutung für Unternehmen und Beschäftigte
Für Unternehmen bedeutet dieses Urteil, dass Betriebsvereinbarungen, die personenbezogene Daten betreffen, sorgfältig geprüft werden müssen. Eine pauschale Erlaubnis zur Datenverarbeitung reicht nicht aus – die Erforderlichkeit muss für jede Kategorie von Daten und jeden Verarbeitungsschritt gesondert dargelegt werden.
Beschäftigte erhalten durch das Urteil eine stärkere Position, um sich gegen die unrechtmäßige Verarbeitung ihrer Daten zu wehren. Insbesondere stärkt der EuGH das Recht auf Schadensersatz, wenn personenbezogene Daten entgegen den Vorgaben der DSGVO verarbeitet werden.
Fazit
Der EuGH hat mit diesem Urteil klare Leitplanken für die Verarbeitung von Beschäftigtendaten durch Betriebsvereinbarungen gesetzt. Unternehmen und Betriebsräte müssen sich bewusst sein, dass der Datenschutz auch im Rahmen kollektiver Regelungen nicht verwässert werden darf. Für Arbeitnehmerinnen und Arbeitnehmer ist dies ein wichtiges Signal: Ihre Daten genießen auch im Beschäftigungskontext den vollen Schutz der DSGVO.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530