EuGH, Urt. 19.12.2024 - C-65/23
Beachtung der DSGVO in Betriebsvereinbarungen als Rechtmäßigkeitsvoraussetzung
Autor: RA FAArbR Jürgen Markowski, MARKOWSKI Arbeitsrecht, Offenburg
Aus: Arbeits-Rechtsberater, Heft 06/2025
Aus: Arbeits-Rechtsberater, Heft 06/2025
Die Betriebsparteien haben sich bei der Ausgestaltung von Betriebsvereinbarungen an den durch Art. 88 DSGVO und deren weitere Vorschriften – insbesondere Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO – gesetzten Rahmen zu halten. Die gerichtliche Kontrolle der nationalen Gerichte erstreckt sich ohne jede Einschränkung auf die Einhaltung aller Voraussetzungen und Grenzen, die die Bestimmungen der DSGVO für die Datenverarbeitung vorschreiben.
DSGVO Art. 5, Art. 6, Art. 9, Art. 82, Art. 88; BDSG § 26 Abs. 4
Der Kläger, zugleich Betriebsratsvorsitzender, ist bei der K‑GmbH beschäftigt. Im Zuge der Ablösung der bisher eingesetzten SAP-Software zu Abrechnungszwecken haben die K‑GmbH und deren Betriebsrat mehrere Betriebsvereinbarungen abgeschlossen. 2017 wurde sodann konzernweit die cloud-basierte Software „Workday“ als einheitliches Personalinformationsmanagementsystem eingeführt. Die Nutzung der neuen Software regelte lediglich eine „Duldungs-Betriebsvereinbarung“ zwischen dem Betriebsrat und der K‑GmbH, die bestimmte Datenkategorien festlegte, die für die Befüllung der Software verwendet werden durften.
Der Kläger erhob Klage gegen die aus seiner Sicht unberechtigte Übermittlung von ihn betreffenden personenbezogenen Daten, die von der Duldungs-Betriebsvereinbarung nicht erfasst, aber gleichwohl auf einen Server der Muttergesellschaft in die USA übertragen worden waren. Der Kläger machte zunächst einen Anspruch auf Löschung der Daten sowie auf Ersatz seines immateriellen Schadens geltend. Das Arbeitsgericht und das LAG gaben dem Klagebegehren nur teilweise statt. Vor dem BAG verfolgte der Kläger insbesondere seinen Anspruch auf immateriellen Schadensersatz weiter.
Das BAG hat die Sache dem EuGH vorgelegt mit der Bitte um Beantwortung von Fragen hinsichtlich der Anforderungen der DSGVO an Kollektivvereinbarungen und der gerichtlichen Kontrolle dieser Kollektivvereinbarungen.
In der Folge sei eine Betriebsvereinbarung als Rechtsgrundlage für die Datenverarbeitung nur dann rechtmäßig, wenn sie auch die allgemeinen Voraussetzungen der DSGVO wahre.
Das Gericht verneint einen rechtlichen „Spielraum“ der Betriebsparteien bei der Beurteilung, ob sich die Erforderlichkeit der Datenvereinbarung einer gerichtlichen Kontrolle entziehe. Die Gerichte müssten daher vollumfänglich prüfen, ob die Kriterien für die Erforderlichkeit der Datenverarbeitung objektiv erfüllt seien. Eine nationale Vorschrift oder Betriebsvereinbarung, die dem strengen Maßstab der DSGVO nicht genüge, dürfe nicht angewendet werden.
DSGVO Art. 5, Art. 6, Art. 9, Art. 82, Art. 88; BDSG § 26 Abs. 4
Das Problem
Im Streit steht zuletzt noch ein Anspruch auf Ersatz des immateriellen Schadens, den ein Arbeitnehmer wegen einer rechtswidrigen Verarbeitung personenbezogener Daten geltend macht.Der Kläger, zugleich Betriebsratsvorsitzender, ist bei der K‑GmbH beschäftigt. Im Zuge der Ablösung der bisher eingesetzten SAP-Software zu Abrechnungszwecken haben die K‑GmbH und deren Betriebsrat mehrere Betriebsvereinbarungen abgeschlossen. 2017 wurde sodann konzernweit die cloud-basierte Software „Workday“ als einheitliches Personalinformationsmanagementsystem eingeführt. Die Nutzung der neuen Software regelte lediglich eine „Duldungs-Betriebsvereinbarung“ zwischen dem Betriebsrat und der K‑GmbH, die bestimmte Datenkategorien festlegte, die für die Befüllung der Software verwendet werden durften.
Der Kläger erhob Klage gegen die aus seiner Sicht unberechtigte Übermittlung von ihn betreffenden personenbezogenen Daten, die von der Duldungs-Betriebsvereinbarung nicht erfasst, aber gleichwohl auf einen Server der Muttergesellschaft in die USA übertragen worden waren. Der Kläger machte zunächst einen Anspruch auf Löschung der Daten sowie auf Ersatz seines immateriellen Schadens geltend. Das Arbeitsgericht und das LAG gaben dem Klagebegehren nur teilweise statt. Vor dem BAG verfolgte der Kläger insbesondere seinen Anspruch auf immateriellen Schadensersatz weiter.
Das BAG hat die Sache dem EuGH vorgelegt mit der Bitte um Beantwortung von Fragen hinsichtlich der Anforderungen der DSGVO an Kollektivvereinbarungen und der gerichtlichen Kontrolle dieser Kollektivvereinbarungen.
Die Entscheidung des Gerichts
Der EuGH verdeutlicht, dass Betriebsvereinbarungen nicht nur die Anforderungen aus Art. 88 Abs. 2 DSGVO erfüllen müssen, sondern dass sie zusätzlich den allgemeinen Anforderungen, insbesondere aus Art. 5, 6 und 9 DSGVO zu genügen haben. Zwar biete Art. 88 DSGVO als Öffnungsklausel die Möglichkeit nationaler Abweichungen. Diese müssten jedoch stets im Einklang mit den Zielen der DSGVO stehen. Die nationalen Vorschriften dürften nicht dazu führen, dass die allgemeinen Verpflichtungen der DSGVO unterlaufen werden könnten, da sonst deren Ziele, insbesondere das Ziel, ein hohes Schutzniveau für die Beschäftigten im Fall der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext sicherzustellen, beeinträchtigt würden.In der Folge sei eine Betriebsvereinbarung als Rechtsgrundlage für die Datenverarbeitung nur dann rechtmäßig, wenn sie auch die allgemeinen Voraussetzungen der DSGVO wahre.
Das Gericht verneint einen rechtlichen „Spielraum“ der Betriebsparteien bei der Beurteilung, ob sich die Erforderlichkeit der Datenvereinbarung einer gerichtlichen Kontrolle entziehe. Die Gerichte müssten daher vollumfänglich prüfen, ob die Kriterien für die Erforderlichkeit der Datenverarbeitung objektiv erfüllt seien. Eine nationale Vorschrift oder Betriebsvereinbarung, die dem strengen Maßstab der DSGVO nicht genüge, dürfe nicht angewendet werden.