Der Fall
Ein Mitarbeiter klagte gegen seine Arbeitgeberin wegen der Verarbeitung seiner personenbezogenen Daten im Rahmen einer cloudbasierten HR-Software. Ursprünglich verarbeitete die Arbeitgeberin die Daten ihrer Mitarbeiter zur Abrechnungszwecken über eine SAP-Software. Um die Verarbeitung der Mitarbeiterdaten zu zentralisieren, führte die US-amerikanischen Muttergesellschaft der Arbeitgeberin eine cloudbasierte Software ein. Die Arbeitgeberin übertrug daraufhin auf Grundlage einer „Duldungs-Betriebsvereinbarung“ bestimmte Datenkategorien ihrer Mitarbeiter auf den Server ihrer Muttergesellschaft in den USA. Der Kläger machte geltend, dass dabei seine sensiblen Daten wie private Kontaktdaten, Vertragsdetails und Sozialversicherungsnummer übertragen wurden – ohne eine Rechtsgrundlage und entgegen der Betriebsvereinbarung.
Das Bundesarbeitsgericht legte daraufhin dem EuGH mehrere Fragen zur Auslegung der Europäischen Datenschutz-Grundverordnung (DS-GVO) vor. Es wollte wissen,
- ob nationale Regelungen wie § 26 Abs. 4 BDSG, die die Verarbeitung personenbezogener Beschäftigtendaten auf Grundlage von Kollektivvereinbarungen erlauben, auch den allgemeinen Vorgaben der DS-GVO – insbesondere aus Art. 5, 6 und 9 – genügen müssen,
- falls dies zuträfe, ob Betriebsparteien bei der Beurteilung der Erforderlichkeit der Datenverarbeitung einen nur eingeschränkt gerichtlich überprüfbaren Spielraum haben,
- sollte auch das bejaht werden, worauf sich diese gerichtliche Kontrolle beschränken darf,
- ob bereits ein DS-GVO-Verstoß für einen Anspruch auf immateriellen Schadensersatz nach Art. 82 genügt oder ob ein konkreter Schaden dargelegt werden muss, und
- ob bei der Bemessung des Schadens präventive Zwecke sowie der Grad des Verschuldens des Verantwortlichen zu berücksichtigen ist.
Wie weit reicht die Öffnungsklausel des Art. 88 DS-GVO?
Art. 88 DSGVO erlaubt es den Mitgliedstaaten, spezifischere Vorschriften zur Datenverarbeitung im Beschäftigungskontext zu erlassen – etwa durch nationale Gesetze oder Kollektivvereinbarungen wie Betriebsvereinbarungen. In Deutschland wurde dies durch § 26 Abs. 4 BDSG umgesetzt. Doch bislang war unklar, ob solche Vereinbarungen allein den Anforderungen des Art. 88 oder auch den allgemeinen Grundsätzen der DS-GVO genügen müssen.
Das EuGH-Urteil
Der EuGH stellte klar, dass Betriebsvereinbarungen nicht nur den Anforderungen des Art. 88 DS-GVO genügen, sondern auch mit den allgemeinen Grundsätzen der Datenschutz-Grundverordnung im Einklang stehen müssen – insbesondere mit Art. 5 (Grundsätze der Datenverarbeitung), Art. 6 (Rechtmäßigkeit der Verarbeitung) und Art. 9 (besondere Kategorien personenbezogener Daten) DS-GVO. Dabei sei es unerlässlich, dass die Erforderlichkeit und die Verhältnismäßigkeit der jeweiligen Datenverarbeitung konkret begründet und nachvollziehbar dokumentiert werden. Zudem sei eine gerichtliche Überprüfbarkeit solcher Vereinbarungen zwingend und im vollen Umfang erforderlich. Eine bloße Berufung auf die Autonomie der Sozialpartner reiche nicht aus, um die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen.
Rechtliche Einordnung
Der EuGH betont, dass Art. 88 DS-GVO keine „Freifahrkarte“ für die Umgehung der allgemeinen Datenschutzprinzipien darstellt. Vielmehr müssen nationale Vorschriften und Kollektivvereinbarungen stets im Einklang mit dem hohen Schutzniveau der DS-GVO stehen. Dies gilt insbesondere für sensible Daten, bei denen ein besonders schwerer Eingriff in die Grundrechte der Beschäftigten droht.
Folgen für die Praxis
Für Unternehmen und Betriebsräte bedeutet das Urteil, dass bestehende Betriebsvereinbarungen sorgfältig auf ihre datenschutzrechtliche Konformität überprüft und gegebenenfalls überarbeitet werden müssen. Insbesondere ist sicherzustellen, dass jede Datenverarbeitung auf einer klaren und nachvollziehbaren Begründung der Erforderlichkeit basiert. Dabei kommt dem betrieblichen Datenschutz eine zentrale Rolle zu: Datenschutzbeauftragte sollten frühzeitig und aktiv in die Ausarbeitung und Prüfung solcher Vereinbarungen eingebunden werden, um rechtliche Risiken zu minimieren und die Einhaltung der DS-GVO sicherzustellen.
Fazit
Das EuGH-Urteil stärkt die Rechte der Beschäftigten und schafft mehr Rechtssicherheit im Umgang mit personenbezogenen Daten im Arbeitsverhältnis. Es unterstreicht, dass Datenschutz auch im Beschäftigungskontext kein „Nebenschauplatz“, sondern ein zentrales Grundrecht ist.
