Datenschutz und KI mit Dr. Michael Witteler – Datenverarbeitung auf Grundlage einer Betriebsvereinbarung (EuGH C-65/23)

Für Arbeitgeber ist die rechtskonforme Datenverarbeitung im Beschäftigungsverhältnis eine ständige Herausforderung. Das Urteil des Europäischen Gerichtshofs (EuGH) vom 19.12.2024 in der Rechtssache C-65/23 bringt etwas Klarheit. Das Urteil präzisiert die Anforderungen an die Datenverarbeitung im Beschäftigungsverhältnis auf der Grundlage von Betriebsvereinbarungen. Es ist entscheidend, diese neuen Klarstellungen zu verstehen, um rechtliche Risiken zu minimieren und Compliance sicherzustellen.

Datenübertragung und die Rolle der Betriebsvereinbarung

Im Kern des Urteils stand ein Fall, in dem ein Arbeitnehmer von seinem Arbeitgeber Schadensersatz wegen einer vermeintlich rechtswidrigen Verarbeitung seiner personenbezogenen Daten verlangte. Das beklagte Unternehmen, eine deutsche GmbH, hatte im Rahmen der konzernweiten Einführung einer neuen Personal-Informationsmanagement-Software („Workday“) Daten ihrer Beschäftigten, die zuvor in einer SAP-Software gespeichert waren, im Rahmen des Testbetriebs auf einen Server der Konzernmutter in den USA übertragen. Die Datenübertragung erfolgte auf der Grundlage einer sogenannten „Duldungs-Betriebsvereinbarung“. Der Kläger, der auch Betriebsratsvorsitzender war, machte geltend, dass dabei Daten übertragen worden seien, die nicht in der Vereinbarung genannt waren, wie private Kontaktdaten, Vertrags- und Vergütungsdetails sowie Sozialversicherungs- und Steuer-Identifikationsnummern. Er argumentierte, die Datenverarbeitung sei nicht erforderlich gewesen und die Grenzen der Duldungs-Betriebsvereinbarung seien überschritten worden.

Das Bundesarbeitsgericht (BAG) legte dem EuGH daraufhin Fragen zur Auslegung der Datenschutz-Grundverordnung (DS-GVO) vor. Das BAG wollte wissen, inwieweit nationale Rechtsvorschriften oder Kollektivvereinbarungen, die die Datenverarbeitung im Beschäftigungskontext regeln, die allgemeinen Grundsätze der DS-GVO einhalten müssen und ob nationale Gerichte die „Erforderlichkeit“ der Datenverarbeitung umfassend überprüfen dürfen.

DS-GVO-Konformität: Keine Abstriche bei den Grundsätzen

Der EuGH hat mit seinem Urteil klargestellt, dass nationale Rechtsvorschriften oder Kollektivvereinbarungen (wie Betriebsvereinbarungen), die gemäß Art. 88 Abs. 1 und 2 DS-GVO „spezifischere Vorschriften“ für die Verarbeitung personenbezogener Daten im Beschäftigungskontext vorsehen, nicht nur die Anforderungen des Art. 88 Abs. 2 DS-GVO erfüllen müssen, sondern auch die allgemeinen Grundsätze der DS-GVO. Dies umfasst insbesondere:

• Art. 5 DS-GVO: Grundsätze der Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit
• Art. 6 Abs. 1 DS-GVO: Rechtmäßigkeitsvoraussetzungen der Verarbeitung
• Art. 9 Abs. 1 und 2 DS-GVO:  besondere Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten (sogenannte sensible Daten, z.B. Gesundheitsdaten, ethnische Herkunft)

Dies bedeutet für Arbeitgeber, dass selbst wenn eine Betriebsvereinbarung die Verarbeitung von Arbeitnehmerdaten regelt, diese Verarbeitung stets den allgemeinen Anforderungen der DS-GVO entsprechen muss, insbesondere muss die Verarbeitung auch erforderlich sein. Die Parteien einer Kollektivvereinbarung haben zwar einen gewissen Spielraum, um den spezifischen Bedürfnissen des Beschäftigungsbereichs Rechnung zu tragen, dürfen jedoch keine Kompromisse eingehen, die das hohe Schutzniveau der Grundrechte und Freiheiten der Beschäftigten beeinträchtigen könnten. Wirtschaftliche oder vereinfachende Gründe allein sind keine ausreichende Rechtfertigung für eine Abweichung von diesen grundlegenden Schutzprinzipien.

Umfassende gerichtliche Kontrolle: Der Prüfstein für Betriebsvereinbarungen

Ein weiterer zentraler Aspekt des Urteils ist die Klarstellung zur gerichtlichen Kontrolle. Der EuGH hat entschieden, dass der Spielraum der Parteien einer Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Datenverarbeitung ein nationales Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben. Das nationale Gericht ist verpflichtet zu prüfen, ob die „spezifischeren Vorschriften“ der Kollektivvereinbarung die von der DS-GVO vorgegebenen Voraussetzungen und Grenzen, insbesondere die Erforderlichkeit der Verarbeitung, beachten. Sollte das Gericht zu dem Ergebnis kommen, dass einzelne Bestimmungen der Betriebsvereinbarung diesen Anforderungen nicht genügen, muss es diese Bestimmungen unangewendet lassen.

Für Arbeitgeber bedeutet dies, dass die Gestaltung von Betriebsvereinbarungen zur Datenverarbeitung von höchster Sorgfalt begleitet sein muss. Betriebsvereinbarungen bieten zwar eine wichtige Grundlage für die Datenverarbeitung im Unternehmen, aber ihre Inhalte sind nicht vor einer umfassenden gerichtlichen Prüfung sicher. Eine fehlerhafte oder unzureichende Ausgestaltung kann dazu führen, dass einzelne Regelungen oder sogar die gesamte Datenverarbeitung als rechtswidrig eingestuft werden, was erhebliche Konsequenzen (z.B. Schadensersatzforderungen und Bußgelder) nach sich ziehen kann.

Handlungsempfehlungen für Arbeitgeber

Angesichts dieser Klarstellungen des EuGH sollten Arbeitgeber ihre bestehenden Prozesse und Vereinbarungen zur Datenverarbeitung im Beschäftigungsverhältnis überprüfen und gegebenenfalls anpassen:

1. Bestehende Betriebsvereinbarungen überprüfen: Analysieren Sie alle Betriebsvereinbarungen, die die Verarbeitung personenbezogener Daten Ihrer Mitarbeiter regeln. Prüfen Sie kritisch, ob die dort festgelegten Verarbeitungen tatsächlich notwendig und verhältnismäßig sind. Insbesondere muss das Kriterium der „Erforderlichkeit“ klar und nachvollziehbar begründet sein.
2. Datenminimierung im Fokus: Stellen Sie sicher, dass nur diejenigen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind. Überprüfen Sie, ob eventuell zu viele oder nicht notwendige Daten gesammelt werden.
3. Transparenz und Informationspflichten: Erfüllen Sie Ihre Informationspflichten gegenüber Ihren Mitarbeitern umfassend. Diese müssen klar und verständlich über die Zwecke und Rechtsgrundlagen der Datenverarbeitung informiert werden.
4. Rechtmäßige Verarbeitung besonderer Datenkategorien: Bei der Verarbeitung sensibler Daten (Art. 9 DS-GVO) ist besondere Vorsicht geboten. Stellen Sie sicher, dass hierfür eine explizite Rechtsgrundlage und adäquate Schutzmaßnahmen vorliegen.
5. Risikobewertung und Dokumentation: Führen Sie regelmäßige Datenschutz-Folgenabschätzungen durch und dokumentieren Sie Ihre Prozesse und Entscheidungen zur Datenverarbeitung nachvollziehbar.
6. Schulungen und Bewusstsein: Sensibilisieren und schulen Sie Ihre Mitarbeiter, insbesondere solche, die mit personenbezogenen Daten umgehen, bezüglich der DS-GVO-Anforderungen und der Bedeutung des EuGH-Urteils.

Fazit: Compliance sichern – Risiken vermeiden

Das Urteil des EuGH in der Rechtssache C-65/23 ist ein klares Signal, dass der Schutz personenbezogener Daten im Arbeitsverhältnis von höchster Priorität ist und auch durch Kollektivvereinbarungen nicht untergraben werden darf. Für Arbeitgeber bedeutet dies, dass die Prozesse und Vereinbarungen zur Datenverarbeitung sorgfältig geprüft und auf die vollständige Konformität mit der DS-GVO ausgerichtet werden müssen. Die Notwendigkeit einer umfassenden gerichtlichen Kontrolle unterstreicht die Wichtigkeit einer rechtssicheren Gestaltung von Beginn an.

Ergänzung

Nachdem der Fall zurück zum BAG kam, hat das BAG dem Kläger einen Schadensersatz in Höhe von 200 € zugesprochen. Die Verarbeitung war nach Auffassung des BAG nicht erforderlich, weil der Testbetrieb, in dessen Rahmen die Daten an die Konzernmutter in den USA übertragen worden waren, auch mit fiktiven Daten hätte durchgeführt werden können (Urteil vom 8.05.2025 – 8 AZR 209/21).