Betriebsvereinbarung zum Datenschutz muss sich an DSGVO-Vorgaben halten

Betriebsvereinbarungen, die Regeln zur Verarbeitung von Mitarbeiterdaten festlegen, müssen mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) vereinbar sein. Das geht aus einem Urteil des Europäischen Gerichtshofs hervor.

Der Arbeitgeber und der Betriebsrat dürfen im Rahmen einer Betriebsvereinbarung keine Datenverarbeitung im Unternehmen erlauben, die nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) unzulässig wäre. Gemäß einem Urteil des Europäischen Gerichtshofs müssen Betriebsvereinbarungen zum Datenschutz mit den Vorgaben der DSGVO vereinbar sein (EuGH, Urteil vom 19. Dezember 2024, C-65/23). Demnach ist der Spielraum für Arbeitgeber und Betriebsräte bei der Ausgestaltung von Datenschutz-Betriebsvereinbarungen sehr begrenzt.

Zum rechtlichen Hintergrund: Art. 88 DSGVO erlaubt es den EU-Mitgliedstaaten, durch Rechtsvorschriften und durch Kollektivvereinbarungen, wozu auch Betriebsvereinbarungen gehören, „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext festzulegen. Das Bundesarbeitsgericht (BAG) legte dem EuGH anhand eines konkreten Falls einige Fragen dazu vor. Insbesondere wollte das BAG wissen, ob bei Kollektivvereinbarungen, die gemäß Art. 88 DSGVO zulässig sind, immer auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 DSGVO – einzuhalten sind.

Der EuGH entschied, dass Betriebsvereinbarungen zum Datenschutz die DSGVO einhalten müssen. Die Befugnis gemäß Art. 88 DSGVO, die Verarbeitung von personenbezogenen Daten im Beschäftigungskontext in „spezifischeren Vorschriften" zu regeln, setzt nach EuGH-Ansicht voraus, dass dies auch im Rahmen der übrigen DSGVO-Vorschriften geschieht. Insbesondere müssen die Art. 5, Art. 6 Abs.1 und Art 9 DSGVO eingehalten werden, in denen die Grundsätze für die Verarbeitung personenbezogener Daten, die Rechtmäßigkeitsvoraussetzungen dieser Verarbeitung sowie die Verarbeitung besonderer Kategorien personenbezogener Daten geregelt sind.

Im vorliegenden Fall wehrte sich ein Mitarbeiter gegen die Weitergabe von personenbezogenen Daten an die Muttergesellschaft des Konzerns. In einer sogenannten Duldungs-Betriebsvereinbarung hatten Arbeitgeber und Betriebsrat festgelegt, dass bestimmte persönliche Daten der Arbeitnehmer mittels der Software „Workday“ an die Muttergesellschaft des Konzerns mit Standort in den USA übertragen werden dürfen. Der Mitarbeiter klagte auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadenersatz wegen der aus seiner Sicht rechtswidrigen Datenverarbeitung. Er machte unter anderem geltend, dass der Arbeitgeber personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-Betriebsvereinbarung nicht genannt seien. Letztlich muss nun das BAG den Fall – unter Berücksichtigung der Vorgaben des EuGH – entscheiden.