Betriebsvereinbarungen und Datenschutz: Der EuGH setzt klare Grenzen

Einordnung des Urteils

Nach Art. 88 Abs. 1 DSGVO können Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigungskontext vorsehen. Dazu zählen auch Betriebsvereinbarungen (vgl. Erwägungsgrund 155 DSGVO).

In Deutschland regelt § 26 Abs. 4 BDSG, dass eine Verarbeitung personenbezogener Daten auf Grundlage von Betriebsvereinbarungen zulässig ist. Zentrale Streitfrage war bisher, ob Betriebsvereinbarungen das Datenschutzniveau der DSGVO absenken dürfen – und damit einen eigenständigen Erlaubnistatbestand für Datenverarbeitung schaffen können.

Der EuGH hat in diesem Zusammenhang zwei Vorlagefragen des BAG geklärt.

Der Sachverhalt

Der Kläger, Vorsitzender des Betriebsrats, macht gegen seinen Arbeitgeber, der K-GmbH einen Anspruch auf immateriellen Schadensersatz wegen einer unrechtmäßigen Datenverarbeitung geltend. Hintergrund war die Einführung der cloudbasierten Software „Workday“ im Jahr 2017 durch den Mutterkonzern D-Konzern. Dabei wurden verschiedene personenbezogene Daten der Beschäftigten auf einen US-Server der Muttergesellschaft übertragen.

Für die Einführung der Software schloss die K-GmbH mit dem Betriebsrat eine Duldungs-Betriebsvereinbarung („Duldungs-BV“), die den Umfang der zulässigen Datenverarbeitung während der Testphase regelte. Unter anderem wurden Name, Personalnummer, geschäftliche Telefonnummer und E-Mail-Adresse erfasst.

Der Kläger warf dem Arbeitgeber jedoch vor, weitere Daten verarbeitet zu haben, die nicht von der Betriebsvereinbarung gedeckt waren – darunter private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummern, Steuer-Identifikationsnummern, Staatsangehörigkeit und Familienstand. Diese Datenverarbeitung sei weder erforderlich gewesen noch durch die Duldungs-BV gedeckt.

Nach teilweisem Obsiegen vor den Vorinstanzen legte der Kläger Revision zum BAG ein, insbesondere zur Frage des immateriellen Schadensersatzes. Das BAG legte die Sache dem EuGH vor und wollte klären, ob:

1. Die Erforderlichkeit der Datenverarbeitung ausschließlich anhand von Art. 88 Abs. 2 DSGVO oder auch anhand der allgemeinen Grundsätze der DSGVO (Art. 5, 6 Abs. 1 und Art. 9 DSGVO) zu prüfen ist.
2. Nationale Gerichte eine umfassende gerichtliche Kontrolle über die „Erforderlichkeit“ der Datenverarbeitung ausüben dürfen. 

Die Entscheidung

Der EuGH bleibt in seiner Entscheidung seiner bisherigen Linie treu (vgl. EuGH, Urt. v. 30.03.2023 – C-34/21 und EuGH, Urt. v. 04.10.2024 – C-21/23) und betont, dass das unionsweite hohe Schutzniveau der DSGVO nicht durch Betriebsvereinbarungen unterlaufen werden darf.

Der EuGH stellt unmissverständlich klar:

• Kollektivvereinbarungen nach Art. 88 Abs. 1 DSGVO müssen nicht nur die Anforderungen aus Art. 88 Abs. 2 DSGVO erfüllen, sondern auch den Grundsätzen aus Art. 5, 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO entsprechen.
• Nationale Gerichte sind verpflichtet, die Erforderlichkeit der Datenverarbeitung umfassend zu prüfen.

Der EuGH leitet dies aus der Systematik der DSGVO ab:

• Art. 88 DSGVO ist im Kapitel IX („Besondere Verarbeitungssituationen“) angesiedelt.
• Die allgemeinen Datenschutzprinzipien, insbesondere Art. 5, 6 und 9 DSGVO, sind jedoch in Kapitel II geregelt.
• Daher müssen auch Betriebsvereinbarungen, die auf Art. 88 DSGVO basieren, die allgemeinen Datenschutzgrundsätze beachten.

Zusätzlich verweist der EuGH auf den Vorrang des Unionsrechts und betont, dass eine nationale Regelung, die die DSGVO nicht erfüllt, unangewendet bleiben muss.

Konsequenzen für die Praxis

• Betriebsvereinbarungen dürfen das Datenschutzniveau der DSGVO nicht absenken. Die Hierarchie der Normen lässt dies nicht zu.
• Die Zulässigkeit von Datenverarbeitung durch Betriebsvereinbarungen unterliegt künftig strengerer gerichtlicher Kontrolle. Unternehmen können sich nicht auf die Sachnähe der Betriebsparteien berufen, um Datenschutzrechte zu beschränken.
• Der EuGH bejaht weiterhin Betriebsvereinbarungen als mögliche datenschutzrechtliche Rechtsgrundlage. Eine generelle Unzulässigkeit wäre nicht mit Art. 88 DSGVO vereinbar.
• Die Anforderungen an Betriebsvereinbarungen steigen: Sie müssen die allgemeinen Grundsätze der DSGVO wahren und dürfen nicht nur auf Art. 88 Abs. 1 DSGVO gestützt werden.
• Die Gerichte müssen bei Datenschutzverstößen klare Maßstäbe für die Erforderlichkeit und Verhältnismäßigkeit entwickeln.
• Eine EuGH-Äußerung sticht noch hervor: Sofern eine nationale Bestimmung die DSGVO nicht erfüllt, hat das nationale Gericht diese unangewendet zu lassen: „In Ermangelung spezifischerer Vorschriften, die den Anforderungen von Art. 88 DSGVO genügen, wird die Verarbeitung personenbezogener Daten im Beschäftigungskontext unmittelbar durch diese Verordnung geregelt (vgl. Urteil vom 30. März 2023, C-34/21, Rn. 80, 82 bis 84 und 89).“

EuGH, Urt. v. 19.12.2024 – C-65/23 (MK/K-GmbH)