Der Europäische Gerichtshof hat die Anforderungen an Betriebsvereinbarungen, die unter anderem die Verarbeitung von Arbeitnehmerdaten regeln sollen, deutlich verschärft und den Gestaltungsfreiraum von Arbeitgebern und Betriebsräten erheblich eingeschränkt. Bestehende Betriebsvereinbarungen und Dokumentationen müssen nun kritisch geprüft und an die neuen Vorgaben angepasst werden.
Die Luxemburger Entscheidung (EuGH, Urteil vom 19.12.2024, Aktenzeichen C-65/23) nahm ihren Ursprung in Deutschland. Die beklagte Arbeitgeberin führte die cloudbasierte Software „Workday“ als Personal-Informationsmanagementsystem ein. Eine zwischen der Arbeitgeberin und ihrem Betriebsrat abgeschlossene „Duldungs-Betriebsvereinbarung“ regelte zunächst die probeweise Einführung der Software und beinhaltete unter anderem ein Verbot der Nutzung von Workday zu produktiven Personalverwaltungszwecken.
Im Rahmen eines arbeitsgerichtlichen Verfahrens machte ein Arbeitnehmer gegenüber der Arbeitgeberin verschiedene datenschutzrechtliche Ansprüche geltend. Darunter einen Schadensersatzanspruch, den er mit einer rechtswidrigen Verarbeitung seiner Daten begründete.
Zur Rechtswidrigkeit der Datenverarbeitung trug der Arbeitnehmer vor, dass diese nicht für die Erprobung von Workday erforderlich gewesen sei; fiktive Daten hätten genügt. Er berief sich weiter darauf, dass es nicht Gegenstand seines Arbeitsverhältnisses sei, als Datensubjekt für Softwaretests zur Verfügung zu stehen. Zum anderen stellte der Arbeitnehmer infrage, ob die Betriebsvereinbarung überhaupt eine gültige Rechtsgrundlage für die Verarbeitung seiner Daten durch die Arbeitgeberin darstellen könne.
Europäische und nationale Vorgaben zum Datenschutz
Artikel 88 der Europäischen Datenschutz-Grundverordnung (DSGVO) gestattet Mitgliedsstaaten, Vorschriften zu erlassen, welche den näheren Umgang mit Arbeitnehmerdaten regeln. Davon hat die Bundesrepublik Gebrauch gemacht: Paragraf 26 Absatz 4 des deutschen Bundesdatenschutzgesetzes (BDSG) gestattet den Betriebsparteien, Verarbeitungen von Arbeitnehmerdaten per Betriebsvereinbarung zu regeln.
Im Rahmen des Rechtsstreits sah das Bundesarbeitsgericht (BAG) zum einen eine zweistufige Frage: Was sind die nationalgesetzlichen, inhaltlichen Vorgaben für eine Regelung der Datenverarbeitung in einer Betriebsvereinbarung? Und was sind die europarechtlichen Vorgaben für solche nationalgesetzlichen Vorgaben? Darauf aufbauend stand sodann die Frage im Raum, inwieweit Gerichte eine kollektivrechtliche Gestaltung der Betriebsparteien überprüfen können.
Machtwort aus Luxemburg
Das BAG legte diese Fragen dem Europäischen Gerichtshof (EuGH) zur Entscheidung vor. Im Kern handelte das Verfahren damit von der Frage, wie frei Betriebsparteien eine Datenverarbeitung von Arbeitnehmerdaten in einer Betriebsvereinbarung regeln können. Das Urteil dazu fiel nun sehr deutlich aus.
Bisher gingen wohl die meisten Unternehmen und Rechtsexperten von einer großen Freiheit aus: Solange Arbeitgeber und Betriebsrat eine entsprechende Einigung erzielen, war es dem Unternehmen erlaubt, Daten der Arbeitnehmer so zu verarbeiten, wie es die Betriebsvereinbarung vorsah, ohne dass es – abgesehen von Extremfällen – auf weitere Anforderungen ankam.
Dieser Ansicht erteilte der EuGH nun eine Absage: Regelungen zur Datenverarbeitung in Betriebsvereinbarungen müssen zentrale gesetzliche Vorgaben beachten.
Dabei verwies der EuGH zum einen auf gesetzliche Grundsätze wie „Zweckbindung“ oder „Speicherbegrenzung“ aus Artikel 5 der DSGVO. Weitaus größere Einschränkungen errichtete das Gericht aber mit dem Verweis auf die Artikel 6 und 9 der DSGVO: Eine Betriebsvereinbarung dürfe eine Datenverarbeitung nur so weit regeln, wie diese nach dem Gesetz zulässig sei.
Diese Einschränkung ist entscheidend, denn damit nimmt der EuGH den Betriebsparteien zwar nicht jede Gestaltungsfreiheit zum Umgang mit Arbeitnehmerdaten; auch kommt eine Betriebsvereinbarung damit grundsätzlich als Rechtsgrundlage in Betracht. Allerdings nimmt das Urteil Arbeitgeber und Betriebsrat jeden über das gesetzlich Mögliche hinausgehenden Gestaltungsraum.
Mit anderen Worten: Es ist nicht möglich, per Betriebsvereinbarung eine Datenverarbeitung zu regeln, die nicht auch nach dem Gesetz erlaubt wäre. Die Betriebsvereinbarung verliert in der Konsequenz weitgehend jeden Nutzen in der Rechtfertigung der Verarbeitung von Arbeitnehmerdaten.
Nur folgerichtig kommt der EuGH sodann zu dem Ergebnis einer vollständig gerichtlichen Überprüfbarkeit von Betriebsvereinbarungen mit Blick auf darin geregelte Verarbeitungen von Arbeitnehmerdaten.
Praktische Auswirkungen des Urteils
Die Betriebsparteien haben erheblichen Spielraum bei der Ausgestaltung von Betriebsvereinbarungen verloren. Arbeitgeber können sich zukünftig nicht mehr auf die Zulässigkeit einer Verarbeitung von Arbeitnehmerdaten zurückziehen, nur weil sie diese mit dem Betriebsrat vereinbart haben. Eingeschränkt ist damit auch der Verhandlungsspielraum des Betriebsrates.
Das Urteil stärkt zwar die Rechte der Arbeitnehmer, ist aber im Ergebnis auch für sie kaum vorteilhaft, da der Arbeitgeber nun Überlegungen zur Rechtmäßigkeit einer Datenverarbeitung jedenfalls nicht mehr innerhalb einer Betriebsvereinbarung fixieren muss. Freilich kann der Arbeitgeber dies im Sinne eines Kompromisses weiterhin tun, solange sich die Betriebsparteien im Rahmen vorhandener gesetzlicher Rechtfertigungen bewegen; insbesondere die allgemeine Interessensabwägung nach Artikel 6 Abs. 1 lit. f) DSGVO sollte dabei in ihren Gestaltungsmöglichkeiten nicht übersehen werden.
Folgen für Betriebsvereinbarungen und Dokumentationspflichten
Für bereits abgeschlossene Betriebsvereinbarungen existiert kein Bestandsschutz. Zwar behalten die Betriebsvereinbarungen ihre grundsätzliche Gültigkeit, aber daraus folgt keine Rechtfertigung für darin geregelte Datenverarbeitungen von Arbeitnehmerdaten, sofern diese nicht nach dem Gesetz zulässig sind.
Arbeitgeber laufen somit Gefahr, Datenschutzverletzungen zu begehen. Soweit Arbeitgeber nicht im eigenen Interesse (und im Interesse ihrer Arbeitnehmer) proaktiv vorhandene Betriebsvereinbarungen überprüfen, werden wohl in vielen Fällen Betriebsräte darauf drängen.
Mit Blick auf die strengen Dokumentationspflichten der DSGVO werden Arbeitgeber dann auch weitere Unterlagen anpassen müssen, etwa das Verzeichnis von Verarbeitungstätigkeiten mit Blick auf die vielfach dokumentierte (und nun geänderte) Rechtsgrundlage oder gegebenenfalls auch eine – für zumindest sensible Verarbeitungen zusätzlich erforderliche – Datenschutz-Folgenabschätzung. Schließlich werden Arbeitgeber auch die Informationen für Arbeitnehmer („Datenschutz-Hinweise“, „Datenschutzerklärung“) zu überarbeiten haben.
Weitere Artikel zum Thema: