Zurück zur Übersicht
10.01.2025Fachbeitrag

Update Datenschutz Nr. 198

Betriebsvereinbarungen als Rechtsgrundlage für die Datenverarbeitung

Am 19. Dezember 2024 entschied der Gerichtshof der Europäischen Union (EuGH) über die datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen (Urteil vom 19.12.2024 C-65/23). Im Folgenden fassen wir die wesentlichen Punkte des Urteils zusammen und erläutern die datenschutzrechtlichen Anforderungen an  Betriebsvereinbarungen.

Ausgangssachverhalt

Das Urteil des EuGH bezieht sich auf einen Rechtsstreit zwischen einem Arbeitnehmer (MK) und seinem Arbeitgeber (K GmbH). Der Arbeitnehmer klagte auf Schadensersatz wegen der rechtswidrigen Verarbeitung seiner personenbezogenen Daten durch die K GmbH. Die Datenverarbeitung erfolgte auf Grundlage einer Betriebsvereinbarung, die die Einführung einer neuen Personal-Informationsmanagementsoftware und die Übertragung personenbezogener Daten and den Server der Muttergesellschaft in den USA zu Erprobungszwecken zum Gegenstand hatte. Der Arbeitnehmer sah in der Datenübertragung eine Verletzung seiner Rechte und einen Verstoß gegen die DSGVO.

Wesentliche Entscheidungsgrundsätze des EuGH

  1. Rechtsgrundlage: Betriebsvereinbarungen können eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungskontext darstellen. Sie müssen jedoch die Anforderungen der DSGVO erfüllen und dürfen keine Umgehung der allgemeinen Datenschutzvorschriften bewirken (siehe sogleich).
  2. Vereinbarkeit mit der DSGVO: Der EuGH stellte klar, dass nationale Rechtsvorschriften oder Kollektivvereinbarungen, die auf Art. 88 Abs. 1 DSGVO basieren, nicht nur die Anforderungen von Art. 88 Abs. 2 DSGVO erfüllen müssen, sondern auch die allgemeinen Bestimmungen der DSGVO, insbesondere Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO. Dies bedeutet, dass Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungskontext stets im Einklang mit den Grundsätzen der DSGVO stehen müssen.
  3. Erforderlichkeit der Datenverarbeitung: Die Parteien einer Betriebsvereinbarung haben nach dem EuGH einen gewissen Spielraum bei der Beurteilung der Erforderlichkeit der Datenverarbeitung. Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein. Betriebsvereinbarungen müssen daher sicherstellen, dass nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Nicht-DSGVO-konforme Datenverarbeitungen können nicht über eine „Betriebsvereinbarung“ als Rechtsgrundlage begründet werden.
  4. Umfassende gerichtliche Kontrolle: Der EuGH betont, dass die gerichtliche Kontrolle nicht eingeschränkt werden darf. Die nationalen Gerichte sind verpflichtet, die Einhaltung aller Voraussetzungen und Grenzen der DSGVO zu überprüfen, auch wenn die Datenverarbeitung auf einer Kollektivvereinbarung basiert. Die gerichtliche Kontrolle umfasst auch in vollem Umfang die Erforderlichkeitserwägungen.

Fazit

Das Urteil des EuGH ist nicht überraschend. Die DSGVO soll den Datenschutz in der EU voll harmonisieren. Die Zulassung von Abweichungen im Schutzniveau „nach unten“ sollten gerade ausgeschlossen sein. Das Gericht verdeutlicht mit dieser Entscheidung nochmals die hohen Anforderungen, die an Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu stellen sind. Unternehmen sollten sicherstellen, dass ihre Betriebsvereinbarungen den datenschutzrechtlichen Vorgaben der DSGVO entsprechen und regelmäßig überprüft werden. Nicht-DSGVO-konforme Datenverarbeitungen können nicht über eine „Betriebsvereinbarung“ gerechtfertigt werden. Bei Fragen zur datenschutzkonformen Gestaltung von Betriebsvereinbarungen stehen wir Ihnen gerne zur Verfügung.
 

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Antje Münch, LL.M.
Stuttgart
Carina Bart
Stuttgart

Ansprechpartner

Antje Münch, LL.M.
Stuttgart
Carina Bart
Stuttgart

Weitere Artikel

04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
15.10.2024
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
29.08.2024
Der AI-Act: neue Herausforderungen für Arbeitgeber
01.07.2024
BGH verbietet Werbung mit „klimaneutral“ ohne konkrete und direkt einsehbare weitere Hinweise
14.05.2024
Datenschutzkonforme Nutzung von künstlicher Intelligenz – Datenschutzbehörden veröffentlichen Orientierungshilfe
29.04.2024
Datenschutzverstoß – Enthaftung des Verantwortlichen durch weisungswidriges Verhalten von Arbeitnehmern?
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler
22.01.2024
Datenschutzverstöße als Grund für die Auflösung des Betriebsrats
19.07.2023
„Green claims“ – Uneinigkeit unter den Gerichten zur Bedeutung von „klimaneutral“
21.06.2023
Betriebsratsvorsitzender kann nicht zugleich Datenschutzbeauftragter sein

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.