DSGVO-Mindeststandards in Betriebsvereinbarungen
News
04.02.2025
EuGH
Bild: MEV Agency UG
In der Praxis wird die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext häufig auf Betriebsvereinbarungen gestützt. Dabei wurde meist davon ausgegangen, dass die Betriebsparteien einen Spielraum bei der Ausgestaltung haben und Betriebsvereinbarungen selbständige Erlaubnistatbestände sein können.Das BAG hatte zuletzt Zweifel daran und dem EuGH einige Fragen vorgelegt.
In seinem Urteil hat der EuGH jetzt den Beurteilungsspielraum von Arbeitgeber und Betriebsrat bei der Ausgestaltung solcher Betriebsvereinbarungen deutlich eingeschränkt. Arbeitgeber können sich danach rechtlich nicht auf eine Betriebsvereinbarung zur Datenverarbeitung stützen, wenn die Datenverarbeitung nach der DSGVO unzulässig wäre.
Der Fall: Arbeitnehmer wehrt sich gegen Weitergabe seiner Daten
In dem Fall, den das BAG zu entscheiden hat, klagte ein Arbeitnehmer gegen die Weitergabe seiner persönlichen Daten. In dem Unternehmen wurden ursprünglich bestimmte personenbezogene Daten von Beschäftigten insbesondere zu Abrechnungszwecken mit Hilfe eines SAP-Software verarbeitet. 2017 wurde konzernweit die cloudbasierte Software "Workday" als einheitliches Personal‑Informationsmanagementsystem eingeführt. Hierzu schloss der Betriebsrat mit dem Arbeitgeber ein "Duldungs-Betriebsvereinbarung zur Einführung von Workday". In dieser wurde vereinbart, dass der Arbeitgeber nur bestimmte Daten von Beschäftigten wie die Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum oder Arbeitsort verwenden darf. Im Rahmen der Einführung übertrug der Arbeitgeber verschiedene personenbezogene Daten der Beschäftigten aus der SAP-Software auf einen Server der Muttergesellschaft des Konzerns mit Standort in den USA.
Der Arbeitnehmer klagte in dem Verfahren auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadensersatz wegen der rechtswidrigen Datenverarbeitung. Er wehrte sich dagegen, dass der Arbeitgeber ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft in den USA übertragen habe. Zumal einige dieser Daten in der Duldungs-Betriebsvereinbarung nicht genannt seien, wie private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummer, Staatsangehörigkeit oder Familienstand.
BAG befragt EuGH
Das Bundesarbeitsgericht legte dem EuGH vorab einige Fragen vor. Insbesondere wollte es wissen, ob bei Kollektivvereinbarungen, die unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig sind, stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind.
Der EuGH hat diese Frage nun eindeutig geklärt. Der Gerichtshof entschied, dass zulässige nationale Regelungen, wie sie auch Betriebsvereinbarungen sind, die Vorgaben der DSGVO einhalten müssen und nicht aushebeln können. Das bedeutet insbesondere, dass Betriebsvereinbarungen die Vorgaben der Art. 5, 6 Abs.1 und Art 9 DSGVO und somit die Grundsätze für die Verarbeitung personenbezogener Daten, die Rechtmäßigkeitsvoraussetzungen dieser Verarbeitung und Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten einhalten müssen.
Betriebsvereinbarungen müssen DSGVO-konform sein
Der EuGH argumentierte, dass die Befugnis der Mitgliedstaaten nach Art. 88, die Verarbeitung von personenbezogenen Daten im Beschäftigungskontext in "spezifischeren Vorschriften" zu regeln, voraussetze, dass dies im Rahmen der europäischen Datenschutzgrundverordnung geschehe. Das hohe Schutzniveau für die Beschäftigten im Fall der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, welches die DSGVO sicherstellen wolle, dürfe nicht beeinträchtigt werden. Der Spielraum von Arbeitgeber und Betriebsrat bei der Ausgestaltung von Betriebsvereinbarungen sei folglich dahingehend begrenzt und könne auch durch die nationalen Gerichte überprüft werden.
Nach diesen Vorgaben zur Datenverarbeitung im Arbeitsverhältnis wird das BAG die Sache nun entscheiden müssen.
Hinweis: EuGH, Urteil vom 19. Dezember 2024 in der Rechtssache C‑65/23
Das könnte Sie auch interessieren:
Warum der Referentenentwurf eines Beschäftigtendatengesetzes kaum weiterhilft
Alles neu im Beschäftigtendatenschutz?
-
Personalgespräch - Rechte und Pflichten des Arbeitnehmers
4.2031
-
Worauf ist bei Abmahnungen zu achten?
2.390
-
Krankmeldung aus dem Ausland: Welche Vorgaben sind zu beachten?
1.717
-
Zweifel an der Arbeitsunfähigkeit eines Arbeitnehmers
1.677
-
Mutterschutzlohn: Anspruch und Berechnung im individuellen Beschäftigungsverbot
1.487
-
Wenn Arbeitnehmer die Kündigungsfristen nicht einhalten
1.456
-
Rolle des Integrationsamts bei Kündigung schwerbehinderter Menschen
1.4391
-
Ist das Ausrutschen auf der betrieblichen Toilette ein Arbeitsunfall?
1.050
-
Tod des Arbeitnehmers: Vergütungs- und Zahlungsansprüche im Todesfall
818
-
Arbeitsrechtliche Ermahnung – Rechtswirkung und typische Einzelfälle
803
-
BAG öffnet den Weg zur digitalen Gehaltsabrechnung
12.02.2025
-
Beweiswert einer ausländischen Krankschreibung
10.02.2025
-
Pflicht zur Arbeitszeiterfassung gilt auch für Hausangestellte
03.02.2025
-
Auskunftspflicht der Kinder erst bei über 100.000 EUR Jahreseinkommen
17.01.2025
-
Widerruf einer Homeoffice-Regelung bei 500 km entferntem Arbeitsplatz
02.01.2025
-
Headset-Pflicht für Arbeitnehmer ist mitbestimmungspflichtig
03.12.2024
-
Trotz Kita-Anspruch kein Ersatz privater Betreuungskosten
18.11.2024
-
Wo liegen die Grenzen erlaubter Mitarbeiterabwerbung?
13.11.2024
-
Frist für Kündigungsschutzklage bei Schwangeren
29.07.2024
-
Mutterschutzlohn: Anspruch und Berechnung im individuellen Beschäftigungsverbot
25.04.2024
Bild: Haufe Online Redaktion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht