Der Europäische Gerichtshof (EuGH) hat am 19.12.2024 (C-65/23) wichtige Grundsätze zur Verarbeitung personenbezogener Daten im Beschäftigungskontext klargestellt. Im Zentrum stand die Frage, ob Betriebsvereinbarungen bei der Verarbeitung von Beschäftigtendaten vollständig mit der Datenschutz-Grundverordnung (DSGVO) übereinstimmen müssen und wie weit der gerichtliche Prüfungsrahmen reicht.
Zum Hintergrund des Falls
Der Fall betraf einen Arbeitnehmer (MK), der von seinem Arbeitgeber, der K GmbH, Schadensersatz für die unrechtmäßige Verarbeitung seiner personenbezogenen Daten verlangte. Die Datenübermittlung erfolgte im Rahmen einer Betriebsvereinbarung an ein cloudbasiertes Personalmanagementsystem. Der Kläger argumentierte, dass Daten außerhalb der vereinbarten Kategorien verarbeitet wurden und dies gegen die DSGVO verstoße.
Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen vor, darunter: Müssen Betriebsvereinbarungen nicht nur Art. 88 DSGVO, sondern auch allgemeine Bestimmungen wie Art. 5, 6 und 9 DSGVO einhalten? Und: Inwieweit ist der Spielraum der Betriebsparteien bei der Datenverarbeitung gerichtlicher Kontrolle unterworfen?
Die Entscheidung des EuGH
Der EuGH entschied, dass nationale Regelungen und Kollektivvereinbarungen nach Art. 88 DSGVO auch die allgemeinen Vorgaben der DSGVO, insbesondere Art. 5 (Grundsätze der Datenverarbeitung), Art. 6 (Rechtmäßigkeit) und Art. 9 (besondere Datenkategorien), einhalten müssen. Dies umfasst insbesondere das Erforderlichkeitskriterium, wonach Datenverarbeitungen stets auf das notwendige Maß beschränkt sein müssen.
Die DSGVO strebt ein hohes und einheitliches Schutzniveau für personenbezogene Daten an. Öffnungsklauseln wie Art. 88 DSGVO dürfen nicht dazu führen, dass die Grundprinzipien der Verordnung umgangen werden.
Gerichtliche Überprüfung von Betriebsvereinbarungen
Der EuGH stellte klar, dass nationale Gerichte die Einhaltung der DSGVO durch Betriebsvereinbarungen umfassend überprüfen müssen. Die Parteien einer solchen Vereinbarung können zwar spezifische Regelungen treffen, die gerichtliche Kontrolle ist jedoch nicht eingeschränkt.
Betriebsparteien verfügen über Sachnähe, um die Erforderlichkeit der Datenverarbeitung zu beurteilen. Die richterliche Kontrolle bleibt jedoch erforderlich, um Missbrauch oder unverhältnismäßige Eingriffe in die Rechte der Betroffenen zu verhindern.
Auswirkungen des Urteils: Strengere Anforderungen an Betriebsvereinbarungen
Arbeitgeber und Betriebsräte müssen sicherstellen, dass alle Datenverarbeitungen den allgemeinen Vorgaben der DSGVO entsprechen. Betriebsvereinbarungen bieten keinen Schutz vor einer Prüfung nach Art. 5, 6 und 9 DSGVO.
Nationale Gerichte sind verpflichtet, auch die Erforderlichkeit von Datenverarbeitungen umfassend zu prüfen, selbst wenn diese durch eine Betriebsvereinbarung legitimiert erscheinen.
Das Urteil stärkt die Rechte der Beschäftigten und erhöht die Anforderungen an Transparenz und Datenminimierung im Beschäftigungskontext.
