Hintergrund des Falls
Ein Unternehmen setzte SAP-Software zur Verarbeitung personenbezogener Mitarbeiterdaten ein und übermittelte diese an die US-amerikanische Muttergesellschaft. Dabei waren insbesondere Name, Kontaktdaten, Gehaltsinformationen sowie Informationen zur Arbeitsleistung und -bewertung betroffen. Laut einer Betriebsvereinbarung vom 03.07.2017 war die Nutzung der Workday-Software erlaubt, jedoch mit einer Einschränkung der personalbezogenen Datenverarbeitung. Ein Arbeitnehmer klagte, da er annahm, dass seine Daten entgegen der Betriebsvereinbarung weitergegeben wurden, also in einem größeren Umfang als vereinbart.
Art. 88 DS-GVO und nationale Regelungen
Der Art. 88 DS-GVO (in Deutschland konkretisiert durch § 26 Abs. 4 BDSG) ermöglicht es nationalen Gesetzen oder Kollektivvereinbarungen, spezifische Regelungen zur Datenverarbeitung im Arbeitsverhältnis festzulegen. In Deutschland wurde diese Möglichkeit häufig genutzt, um durch Betriebsvereinbarungen eine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen. Dies bedeutete, dass Unternehmen und Betriebsräte eigenständig Regelungen für die Datenverarbeitung festlegen konnten, ohne dass eine weitere gesetzliche Grundlage erforderlich war. Dabei müssen jedoch geeignete Maßnahmen zum Schutz der betroffenen Personen sichergestellt werden, insbesondere um die Anforderungen der DS-GVO einzuhalten.
Vorlagefragen an den EuGH
Im Rahmen des Verfahrens legte das Bundesarbeitsgericht dem EuGH mehrere Fragen zur Vorabentscheidung vor. Diese betrafen insbesondere die Auslegung von Art. 88 Abs. 1 und 2 DS-GVO in Verbindung mit Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DS-GVO. Konkret wollte das vorlegende Gericht wissen, ob und inwieweit Kollektivvereinbarungen, wie beispielsweise Betriebsvereinbarungen, eigenständige Regelungen zur Verarbeitung personenbezogener Daten im Beschäftigungskontext treffen dürfen und dabei von den allgemeinen Bestimmungen der DS-GVO abweichen können. Zudem stellte sich die Frage, welchen Ermessensspielraum die Parteien solcher Vereinbarungen haben und in welchem Umfang nationale Gerichte die Einhaltung der DS-GVO-Vorgaben durch diese Vereinbarungen überprüfen können.
Kernaussagen des EuGH
Der EuGH stellte mit Urteil vom 19.12.2024 (Rechtssache C‑65/23) klar, dass Kollektivvereinbarungen nur dann von den allgemeinen Regelungen der DS-GVO abweichen dürfen, wenn sie folgenden Anforderungen entsprechen:
- Die Regelungen müssen Art. 88 Abs. 2 DS-GVO sowie Art. 5, 6 Abs. 1 und 9 Abs. 1 und 2 DS-GVO einhalten.
- Es darf kein Umgehen des durch die DS-GVO garantierten Schutzniveaus erfolgen.
- Kollektivvereinbarungen und nationale Gesetze besitzen denselben Ermessensspielraum.
- Gerichte haben das Recht, die Einhaltung der DS-GVO-Anforderungen auch innerhalb dieses Ermessensspielraums zu überprüfen.
Handlungsempfehlungen
Um den Anforderungen der DS-GVO gerecht zu werden und rechtliche Risiken zu vermeiden, sollten Unternehmen folgende Maßnahmen ergreifen:
- Überprüfung bestehender Betriebsvereinbarungen: Es ist sicherzustellen, dass keine Betriebsvereinbarung eine unzulässige Datenverarbeitung legitimiert oder gegen die Vorgaben der DS-GVO verstößt.
- Anpassung konzernweiter Regelungen: Internationale und konzernweite Datenschutzrichtlinien sollten mit den Anforderungen der DS-GVO in Einklang stehen – insbesondere, wenn Betriebsräte bestehen.
- Schutzmaßnahmen verstärken: Geeignete technische und organisatorische Maßnahmen sind zu ergreifen, um einen angemessenen Schutz der betroffenen Mitarbeiterdaten zu gewährleisten.
- Regelmäßige Schulungen: Datenschutzbeauftragte und verantwortliche Mitarbeitende sollten kontinuierlich geschult werden, um eine korrekte Umsetzung neuer Anforderungen sicherzustellen.
- Juristische Prüfung neuer Vereinbarungen: Vor dem Abschluss neuer Kollektivvereinbarungen ist eine datenschutzrechtliche Überprüfung durch Fachleute erforderlich, um Verstöße gegen die DS-GVO zu vermeiden.
Das Urteil des EuGH unterstreicht die Wichtigkeit eines rechtskonformen Datenschutzmanagements und zeigt auf, dass auch Betriebs- oder Dienstvereinbarungen stets an den Grundsätzen der DS-GVO gemessen werden. Unternehmen sollten ihre datenschutzrechtlichen Prozesse überprüfen und sicherstellen, dass bestehende oder neue Kollektivvereinbarungen die Vorgaben der DS-GVO einhalten. Insbesondere sollte darauf geachtet werden, dass kein niedrigeres Schutzniveau geschaffen wird als durch die DS-GVO vorgesehen.
Das Urteil des EuGH unterstreicht die Wichtigkeit eines rechtskonformen Datenschutzmanagements und zeigt auf, dass auch Betriebs- oder Dienstvereinbarungen stets an den Grundsätzen der DS-GVO gemessen werden.
