DSGVO setzt Messlatte für Betriebsvereinbarungen

10. Januar 2025 Datenschutz, DSGVO, Betriebsvereinbarung, Mitbestimmung

Betriebsvereinbarungen, welche die Verarbeitung personenbezogener Daten regeln, sind immer an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) auszurichten. Der Schutz der Beschäftigtendaten darf durch die Betriebsvereinbarung nicht aufgeweicht werden.

Darum geht es

Im Streitfall geht es um die Einführung des cloudbasierten Personal-Informationsmanagementsystem „Workday“, wozu eine sogenannte „Duldungs-Betriebsvereinbarung“ abgeschlossen worden war. Der Betriebsrat hatte einer vorläufigen Inbetriebnahme von Workday zu Testzwecken und in diesem Zug der Übermittlung und Speicherung von Arbeitnehmerdaten zugestimmt. Das waren Personalnummer, Nachname, Vorname, Telefonnummer, Eintrittsdatum, Konzern Eintrittsdatum, Arbeitsort, Firma, geschäftliche Telefonnummer und geschäftliche E-Mail-Adresse.

Der Arbeitgeber übermittelte darüber hinaus weitere personenbezogene Daten des Klägers an Workday (Gehaltsinformationen, die private Wohnanschrift, Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und seine Steuer-ID).

Das sagt das Gericht

Das BAG hatte den Fall dem EuGH vorgelegt und unter anderem nachgefragt, welche Anforderungen sich für eine Betriebsvereinbarung aus der DGSVO ergeben, wenn die Betriebsvereinbarung eine Datenverarbeitung regelt, Beschluss vom 22.09.2022, 8 ZR 209/21 (A).

Dem EuGH zufolge verlangt Art. 88 Abs. 1 und 2 DSGVO für sogenannte Kollektivvereinbarungen, hier für die Betriebsvereinbarung, dass die Anforderungen aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO erfüllt sein müssen. Dazu gehört unter anderem die Einhaltung des in diesen Bestimmungen vorgesehenen Kriteriums der Erforderlichkeit der Verarbeitung – was das BAG ausdrücklich in den Fragenkatalog an den EuGH aufgenommen hatte.

Zudem stellt der EuGH klar, dass die Kollektivvereinbarungen uneingeschränkter gerichtlicher Kontrolle unterliegen, selbst wenn es bei der Aufstellung der Vorgaben in den Vereinbarungen für die Betriebsparteien Ermessensspielräume gibt: Die gerichtliche Kontrolle müsse sich ohne jede Einschränkung auf die Einhaltung aller Voraussetzungen und Grenzen erstrecken können, die die Bestimmungen der DSGVO für die Verarbeitung personenbezogener Daten vorschreiben.

Eine solche gerichtliche Kontrolle sei zudem speziell auf die Prüfung gerichtet, ob die Verarbeitung solcher Daten im Sinne der Art. 5, 6 und 9 DSGVO „erforderlich“ ist. Eine Kollektivvereinbarung darf daher nicht „spezifischere Vorschriften“ einführen, nach denen die Voraussetzung der Erforderlichkeit weniger streng anzuwenden oder verzichtbar wäre.

Beruhen die Kollektivvereinbarungen auf nationalen Regelungen wie beispielsweise § 26 Abs. 4 BDSG, müssen dennoch die Vorgaben der DSGVO Anwendung finden. Getroffene Regelungen dürfen nicht den Grundsätzen der DSGVO entgegenstehen.