Die Arbeitgeberin übertrug im Rahmen der Einführung einer neuen Software namens „Workday“ personenbezogene Daten von einem SAP-System auf einen Server der Muttergesellschaft in den USA. Zuvor war eine „Duldungs-Betriebsvereinbarung“ zur Regelung, welche Daten in der Software verarbeitet werden dürfen, geschlossen worden. Der Kläger war der Meinung, dass zusätzliche, nicht von der Betriebsvereinbarung erfasste sensible Daten (z. B. private Kontaktdaten, Sozialversicherungsnummern) verarbeitet worden seien und beantragte deshalb Schadensersatz.

Das Bundesarbeitsgericht (BAG) setzte das Verfahren aus und legte dem EuGH die nachfolgend dargestellten Fragen zur Klärung vor.

Der EuGH bezog Stellung zu den Fragen, inwieweit Betriebsvereinbarungen die Vorgaben der DSGVO einhalten müssen und in welchem Umfang sie einer gerichtlichen Überprüfung unterliegen.

Nationale Vorschriften zur Verarbeitung personenbezogener Daten im Beschäftigungskontext gemäß Art. 88 Abs. 1 DSGVO müssen umfassend den Grundsätzen der DSGVO entsprechen.

Der EuGH stellt klar, dass die DSGVO eine Voll-Harmonisierung des Datenschutzrechts innerhalb der EU bezweckt. Mit sog. Öffnungsklauseln wie Art. 88 DSGVO gibt sie Mitgliedstaaten einen Rahmen, in eigenen Rechtsvorschriften oder Kollektivvereinbarungen Besonderheiten zu berücksichtigen. Diese Vorschriften müssen die Rechte und Freiheiten der Betroffenen besonders schützen. In ständiger Rechtsprechung des EuGH müssen solche nationalen Regelungen mit den Grundsätzen der DSGVO übereinstimmen. Durch die nationalen Vereinbarungen darf keine Umgehung der allgemeinen DSGVO-Vorgaben erfolgen. Dass insbesondere Art. 5 (Grundsätze), Art. 6 Abs. 1 (Rechtmäßigkeit der Verarbeitung) und Art. 9 Abs. 1 und 2 DSGVO (Besondere Kategorien personenbezogener Daten) erfüllt werden müssen, ergibt sich schon aus der Systematik der DSGVO, da diese Regelungen zu den Grundsätzen der DSGVO zählen.

Auch wenn den Parteien einer Betriebsvereinbarung aufgrund ihrer Sachnähe ein gewisser Spielraum bezüglich der Beurteilung und Festlegung der Erforderlichkeit einer Datenverarbeitung zugebilligt wird, stellt der EuGH klar, dass dennoch eine vollumfängliche gerichtliche Kontrolle stattfindet.

Nationale Gerichte sind grundsätzlich verpflichtet, die Vorschriften zur Verarbeitung personenbezogener Daten zu überprüfen und unangewendet zu lassen, wenn sie die Vorgaben der DSGVO verletzen. Solche Regelungen können auch in Kollektivvereinbarungen enthalten sein, deren Parteien bei der Festlegung der „Erforderlichkeit“ von Datenverarbeitungen über einen gewissen Spielraum verfügen. Dieser Spielraum darf jedoch nicht dazu führen, dass die Vorgaben der DSGVO, insbesondere die strenge Einhaltung der Erforderlichkeitsanforderung, abgeschwächt werden. Schutzziel der DSGVO ist die Sicherstellung eines hohen Datenschutzniveaus. Die gerichtliche Kontrolle solcher Vereinbarungen muss umfassend sein und sicherstellen, dass die Verarbeitung der Daten Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO entspricht. Art. 88 DSGVO hindert daher nationale Gerichte nicht an einer umfassenden Prüfung der Erforderlichkeit von Datenverarbeitungen.

Betriebsvereinbarungen können grundsätzlich als Rechtsgrundlage für die Verarbeitung personenbezogener Daten dienen, müssen jedoch mit der DSGVO vereinbar sein und deren Anforderungen vollständig erfüllen, ohne diese zu unterschreiten oder zu umgehen. DSGVO-widrige Datenverarbeitungen können nicht allein durch eine Betriebsvereinbarung legitimiert sein. Eigenständige Bedeutung als Rechtsgrundlage kann einer Betriebsvereinbarung mithin lediglich dann zukommen, wenn sie das Datenschutzniveau erhöht. Ob Betriebsvereinbarungen diese rechtlichen Anforderungen erfüllen, unterliegt der vollumfänglichen Kontrolle durch die nationalen Gerichte.

Die nachfolgenden Punkte sollten von Unternehmen beachtet werden:

Gerne unterstützen wir Sie bei der DSGVO-konformen Gestaltung Ihrer Betriebsvereinbarungen.