mkm-legal-logo

EuGH: Klare Regeln für Betriebsvereinbarung

EuGH: Klare Regeln für Betriebsvereinbarung

Der EuGH hat entschieden, dass nationale Vorschriften über die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (gem. Art. 88 DSGVO) sowohl den spezifischen Anforderungen des Art. 88 DSGVO als auch den grundlegenden Bestimmungen der DSGVO entsprechen müssen.

EuGH Urteil vom 19.12.2024, (Az.: C-65/23)

Ausgangsfall

Der Kläger des Ausgangsverfahrens ist bei der Beklagten – einer Gesellschaft deutschen Rechts – beschäftigt und Vorsitzender des bei dieser gebildeten Betriebsrats. Ursprünglich verarbeitete die Gesellschaft personenbezogene Daten ihrer Beschäftigten, insbesondere zu Abrechnungszwecken, in der SAP Software und schloss hierzu mit dem Betriebsrat mehrere Betriebsvereinbarungen ab. Der Konzern, zu dem das beklagte Unternehmen gehört, führte im Jahr 2017 konzernweit die cloudbasierte Software „Workday“ als einheitliches Personal‑Informationsmanagementsystem ein. In diesem Zusammenhang übertrug die Beklagte des Ausgangsverfahrens verschiedene personenbezogene Daten ihrer Beschäftigten aus der SAP-Software auf einen Server der Muttergesellschaft in die USA. Anfang Juli 2017 unterzeichneten die Beklagte des Ausgangsverfahrens und ihr Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“, die u. a. verbot, diese Software während des Testzeitraums für die Personalverwaltung, wie etwa die Bewertung von Arbeitnehmern, zu verwenden. Gemäß Anhang 2 dieser Vereinbarung waren die einzigen Datenkategorien, die zur Befüllung von „Workday“ übertragen werden durften insbesondere, die Personalnummern der Arbeitnehmer im Konzern, die Nachnamen, Vornamen, Eintrittsdaten in die betroffene Gesellschaft, Arbeitsorte, sowie geschäftliche Telefonnummern und geschäftliche E‑Mail-Adressen. Die Wirkungen dieser Vereinbarung wurden bis zum Inkrafttreten einer im Januar 2019 geschlossenen endgültigen Betriebsvereinbarung verlängert. In diesem Zusammenhang erhob der Kläger des Ausgangsverfahrens beim örtlich zuständigen Arbeitsgericht in Deutschland und dann beim örtlich zuständigen Landesarbeitsgericht Klage auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadensersatz.

Er machte u. a. geltend, dass die Beklagte des Ausgangsverfahrens ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-Betriebsvereinbarung nicht genannt seien, insbesondere seine privaten Kontaktdaten, seine Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer‑Identifikationsnummer, seine Staatsangehörigkeit und sein Familienstand. Da er nicht vollständig obsiegt hatte, legte er Revision beim Bundesarbeitsgericht (BAG), dem vorlegenden Gericht, ein. Anhängig ist nur noch der auf die DSGVO gestützte Antrag des Klägers auf Ersatz des immateriellen Schadens, der ihm durch eine rechtswidrige Verarbeitung seiner personenbezogenen Daten mittels der Software „Workday“ während des Zeitraums ab dem ersten Geltungstag der DSGVO, d. h. ab dem 25. Mai 2018, bis zum Ende des ersten Quartals 2019 entstanden sein soll.

Zur Rechtswidrigkeit dieser Verarbeitung macht der Kläger zum einen geltend, dass diese weder für das Arbeitsverhältnis, für das die Beklagte des Ausgangsverfahrens vormals die SAP-Software verwendet hat, noch für die Erprobung von „Workday“ erforderlich gewesen sei, da zu diesem Zweck die Verwendung fiktiver Daten ausgereicht und sichergestellt hätte, dass innerhalb des Konzerns keine Echtdaten zugänglich gemacht würden.

Zum anderen wäre, selbst wenn die Duldungs-Betriebsvereinbarung eine gültige Grundlage für diese Verarbeitung darstellen könnte, die darin enthaltene Erlaubnis überschritten worden, da die Beklagte andere als die in Anhang 2 dieser Vereinbarung vorgesehenen Daten übermittelt habe. Schließlich liege die Beweislast für die Vereinbarkeit ihres Verhaltens mit der DSGVO bei der Beklagten.

Die Beklagte wendet ein, dass die in Rede stehende Verarbeitung den Anforderungen der DSGVO entspreche, die Beweislast beim Kläger des Ausgangsverfahrens liege und dieser weder das Vorliegen eines immateriellen Schadens, noch den Kausalzusammenhang zwischen einem etwaigen Verstoß gegen die DSGVO und dem geltend gemachten Schaden nachgewiesen habe.

Das vorlegende Gericht stellt unter anderem die Frage, ob eine nationale Norm, wie § 26 Abs. 4 BDSG, die die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen regelt und im Wesentlichen vorsieht, dass eine solche Verarbeitung auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, mit der DSGVO vereinbar ist oder ob die betreffende Verarbeitung zu diesem Zweck auch mit den übrigen Bestimmungen der DSGVO vereinbar sein muss.

Das vorlegende BAG neigt zu der Auffassung, dass im Fall einer durch eine „Kollektivvereinbarung“ im Sinne von Art. 88 DSGVO geregelten Verarbeitung personenbezogener Beschäftigtendaten diese Verarbeitung nicht nur von den sich aus Art. 88 DSGVO ergebenden Anforderungen nicht abweichen dürfe, sondern auch nicht von denen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO ergäben, insbesondere was das in den drei letztgenannten Artikeln vorgesehene Kriterium der Erforderlichkeit der Verarbeitung angehe. Dies hat der EUGH in seiner Entscheidung bejaht und klargestellt, dass der Spielraum der Parteien derartiger Kollektivvereinbarungen bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Überprüfung vorzunehmen.

Fazit

Der Fall zeigt deutlich, wie wichtig Betriebsvereinbarung nach wie vor in den Unternehmen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind. Dabei sind von den Betriebsparteien Arbeitgeber und Betriebsrat nicht nur die Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten, sondern darüber hinaus auch die grundlegenden Bestimmungen der Datenschutzgrundverordnung, um eine wirksame Verarbeitungsgrundlage zu schaffen die im Zweifel auch einer gerichtlichen Überprüfung standhält. Im Übrigen verweise ich auf meinen Beitrag „Wurzberger – Anforderungen an Betriebsvereinbarungen nach der DS-GVO“ in ZD 2017, 258 f.

 

Autor: Sebastian Wurzberger (Senior Data Privacy Consultant)

Further insights on the topic

article
11. März 2025
Vorsicht bei der Nutzung von DeepSeek in Unternehmen
article
10. Februar 2025
Stellungnahme des Europäischen Datenschutzausschusses (EDSA)
article
10. Februar 2025
Tariflicher Feiertagszuschlag richtet sich nach regelmäßigem Arbeitsort
article
10. Februar 2025
Ersterrichtungsanspruch eines Wohnungseigentümers bei sogenanntem steckengebliebenen Bau
article
22. Dezember 2024
 Wichtige Gesetzesänderungen in 2025 
Alle Jahre wieder
article
22. Dezember 2024
Verkürzung der Aufbewahrungspflicht für Buchungsbelege
Änderung der Löschfristen 
article
4. Dezember 2024
Wann besteht die Pflicht, Sanktionen zu verhängen? 
Datenschutzaufsichtsbehörden
article
4. Dezember 2024
Auch bei Exzess durch den Auftragsverarbeiter
Haftung des Verantwortlichen
mkm-legal-logo
Legal

Imprint

Privacy Policy

Terms & conditions

Whistleblower System

Contact

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Address

Äußere Sulzbacher Str. 118
90491 Nürnberg

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Leipziger Platz 9
10117 Berlin

Newsletter-Anmeldung