1. Einschränkungen bei der Gestaltung von Betriebsvereinbarungen
Der EuGH entschied, dass Betriebsvereinbarungen, welche die Verarbeitung von Arbeitnehmerdaten regeln sollen, künftig striktere Anforderungen erfüllen müssen. Das Urteil führt zu einer deutlichen Einschränkung des Gestaltungsspielraums von Arbeitgebern und Betriebsräten. Während bislang eine zwischen den Betriebsparteien abgeschlossene Betriebsvereinbarung den Anforderungen des Art. 88 der Datenschutzgrundverordnung (DSGVO) entsprach, stellte der EuGH nun klar, dass Betriebsvereinbarungen nur dann eine taugliche Rechtsgrundlage darstellen, wenn die darin enthaltenen Bestimmungen mit den Grundsätzen für die Verarbeitung personenbezogener Daten entsprechend den Vorgaben der DSGVO in Einklang stehen.
Der EuGH verwies insbesondere auf die Bestimmungen zur Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO) und die Voraussetzungen zur Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 9 DSGVO). Eine Betriebsvereinbarung darf daher nur eine Datenverarbeitung regeln, die auch nach den allgemeinen datenschutzrechtlichen Bestimmungen zulässig ist.
2. Sachverhalt
Ausgangspunkt war ein arbeitsgerichtliches Verfahren, in welchem ein Mitarbeiter gegenüber seiner Arbeitgeberin verschiedene datenschutzrechtliche Ansprüche, unter anderem einen Schadensersatzanspruch wegen einer behaupteten rechtswidrigen Verarbeitung seiner Daten im Zusammenhang mit der Einführung und Nutzung der Personalinformationssoftware „Workday“, geltend machte.
Eine zwischen der Arbeitgeberin und ihrem Betriebsrat geschlossene „Duldungs-Betriebsvereinbarung“ regelte zunächst die probeweise Einführung von Workday und enthielt unter anderem ein Verbot der Nutzung der Software für Zwecke der Personalverwaltung. Ziel war es, die Software auf ihre Eignung und Funktionsweisen zu überprüfen, ohne sie bereits für die eigentliche Personalverwaltung einzusetzen.
Der Mitarbeiter begründete seine klageweise geltend gemachten Ansprüche unter anderem mit der Unzulässigkeit der Verarbeitung seiner Daten mittels Workday. Er führte an, dass die Verwendung seiner Daten für die bloße Erprobung der Software nicht erforderlich gewesen sei. Anstelle seiner realen Daten hätte die Arbeitgeberin auch fiktive oder anonymisierte Daten verwenden können. Der Mitarbeiter argumentierte außerdem, dass es nicht Teil seines Arbeitsverhältnisses sei, als Datensubjekt für Softwaretests zur Verfügung zu stehen. Darüber hinaus stellte der Mitarbeiter in Frage, ob die „Duldungs- Betriebsvereinbarung“ überhaupt eine ausreichende rechtliche Grundlage für die Verarbeitung seiner Daten darstellen könne.
Auf Basis von Art. 88 DSGVO ist es den Mitgliedsstaaten möglich, Regelungen zum Umgang mit Arbeitnehmerdaten zu erlassen. Von dieser Möglichkeit hat die Bundesrepublik Deutschland Gebrauch gemacht: § 26 Abs. 4 des Bundesdatenschutzgesetzes (BDSG) ermöglicht es den Betriebsparteien, die Verarbeitung von Beschäftigtendaten in einer Betriebsvereinbarung zu regeln.
Das Bundesarbeitsgericht (BAG) legte dem EuGH folgende Fragen vor: Was sind die nationalgesetzlichen, inhaltlichen Vorgaben für eine Regelung der Datenverarbeitung in einer Betriebsvereinbarung und was sind die europarechtlichen Vorgaben für solche nationalgesetzlichen Vorgaben? Darauf aufbauend stand sodann die Frage im Raum, ob und wenn ja in welchem Umfang Gerichte eine kollektivrechtliche Gestaltung der Betriebsparteien überprüfen können.
3. Rechtliche Kernaussagen des EuGH
Der EuGH stelle in seinem Urteil fest, dass Regelungen zur Datenverarbeitung in Betriebsvereinbarung zentrale gesetzliche Vorgaben beachten müssen. Zum einen wies der EuGH auf die datenschutzrechtlichen Grundsätze der „Zweckbindung“ und „Speicherbegrenzung“ nach Art. 5 DSGVO hin. Weitaus größere Einschränkungen machte das Gericht jedoch unter Verweis auf Art. 6 und 9 DSGVO: Eine Betriebsvereinbarung dürfe eine Datenverarbeitung nur regeln, wie diese gesetzlich zulässig sei.
Für die Praxis der Betriebsparteien folgt daraus, dass es ihnen nicht ohne weiteres möglich ist, eine Datenverarbeitung per Betriebsvereinbarung zu regeln, die nicht auch nach den datenschutzrechtlichen Gesetzen erlaubt wäre.
Nur folgerichtig kam der EuGH dann zu dem Ergebnis, dass Betriebsvereinbarungen im Hinblick auf die darin geregelte Verarbeitung von Beschäftigtendaten in vollem Umfang der gerichtlichen Kontrolle zugänglich sind.
4. Erforderliche Prüfung von Betriebsvereinbarungen und datenschutzrechtlichen Dokumentationen
Bestehende Betriebsvereinbarungen genießen keinen Bestandsschutz. Sie behalten zwar grundsätzlich ihre Gültigkeit, rechtfertigen aber nicht die darin geregelte Verarbeitung von Beschäftigtendaten, es sei denn, diese ist gesetzlich zulässig.
Im Hinblick auf die gesetzlich vorgesehenen Dokumentationspflichten werden Arbeitgeber dann auch weitere Dokumente anpassen müssen, etwa das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO im Hinblick auf die vielfach dokumentierte (und nun geänderte) Rechtsgrundlage oder ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
Schließlich werden Arbeitgeber auch die datenschutzrechtlichen Informationen für Beschäftigte („Datenschutzhinweise für Mitarbeiter“) überarbeiten müssen.
5. Fazit
Das EuGH-Urteil verändert die Praxis zur Gestaltung von Betriebsvereinbarungen erheblich. Arbeitgeber und Betriebsräte dürfen künftig nicht mehr davon ausgehen, dass eine Einigung in einer Betriebsvereinbarung automatisch die rechtliche Grundlage für die Verarbeitung von Mitarbeiterdaten darstellt. Arbeitgeber sollten nun proaktiv handeln und vorhandene Betriebsvereinbarungen im eigenen Interesse und im Interesse ihrer Mitarbeiter überprüfen und anpassen. Darüber hinaus sollten sich Arbeitgeber frühzeitig mit dem Betriebsrat abzustimmen, um sicherzustellen, dass alle Datenverarbeitungen inner-halb der gesetzlichen Rahmenbedingungen erfolgen.