Darf eine Betriebsvereinbarung alles regeln, was der Arbeitgeber gerne hätte? Und wie weit reicht eigentlich der Spielraum bei der Verarbeitung von Beschäftigtendaten? Das EuGH-Urteil vom 19. Dezember 2024 (Rs. C-65/23) sorgt für Klarheit und rückt § 26 BDSG sowie Art. 88 DSGVO ins Rampenlicht. In diesem Beitrag erfahren Sie kompakt, was das Urteil bedeutet, worauf Unternehmen jetzt achten sollten und wie Betriebsvereinbarungen rechtswirksam und datenschutzkonform gestaltet werden können, praxisnah und verständlich erklärt.
Die deutsche K-GmbH, Tochter eines internationalen Konzerns, hatte im Zuge einer konzernweiten Softwareumstellung Beschäftigtendaten auf einen Konzern eigenen Server in die USA übertragen. Geregelt war dies intern durch eine sogenannte Duldungs-Betriebsvereinbarung. Doch der Teufel steckte im Detail: Bestimmte sensible Informationen, wie private Kontaktdaten, Sozialversicherungsnummer oder Staatsangehörigkeit, waren darin nicht ausdrücklich genannt. Ein betroffener Mitarbeiter klagte; so landete der Fall schließlich vor dem EuGH.
Das zentrale Thema: Genügt eine Betriebsvereinbarung allein als Rechtsgrundlage für die Datenverarbeitung im Beschäftigungskontext? Und wie weit darf der Gestaltungsspielraum der Betriebsparteien gehen?
EuGH bestätigt zwar Spielraum, aber nur im Rahmen
Der EuGH hat am 19. Dezember 2024 klargestellt: Betriebsvereinbarungen gemäß § 26 Abs. 4 BDSG in Verbindung mit Art. 88 DSGVO können durchaus als Rechtsgrundlage dienen, aber nur, wenn sie alle Anforderungen der DSGVO erfüllen. Konkret heißt das:
-
- Nicht nur Art. 88 Abs. 2 DSGVO ist relevant, sondern auch die allgemeinen Grundsätze aus Art. 5, 6 und 9 DSGVO, insbesondere der Grundsatz der Erforderlichkeit.
- Der nationale Gesetzgeber und die Betriebsparteien dürfen den Schutzstandard der DSGVO nicht unterschreiten – keine Datenschutz-Light-Version über die Hintertür.
- Gerichte dürfen den Inhalt solcher Betriebsvereinbarungen vollständig überprüfen, insbesondere auch, ob die Datenverarbeitung tatsächlich erforderlich ist.
Die Kernaussage des Urteils ist, dass Kollektivvereinbarungen kein datenschutzfreier Raum sind. Der europäische Standard gilt auch hier und ist überdies auch justiziabel kontrollierbar.
Hoher Datenschutzstandard laut Expertenmeinung
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) bewertet das Urteil als Bestätigung eines hohen datenschutzrechtlichen Standards. Betriebsparteien hätten zwar einen gewissen Spielraum bei der Ausgestaltung von Betriebsvereinbarungen, dieser müsse aber immer innerhalb der Grenzen der DSGVO bleiben. Ein Abweichen vom Schutzniveau sei nicht erlaubt. Die GDD betont:
-
- Betriebsvereinbarungen sind eine wertvolle Möglichkeit, betriebliche Besonderheiten zu berücksichtigen.
- Sie dürfen jedoch nicht genutzt werden, um den Datenschutz zu unterlaufen oder zu verwässern.
- Arbeitgeber und Betriebsräte müssen sich künftig auf eine intensivere gerichtliche Prüfung einstellen.
Was bedeutet das für Ihre Datenschutzpraxis?
Wer Betriebsvereinbarungen nutzt, um datenintensive Prozesse (z. B. Softwareeinsätze, Leistungs- und Verhaltenskontrollen, Zeiterfassung, Videoüberwachung) zu legitimieren, muss die folgenden Punkte sorgsam beachten –
-
- Klarer Regelungsgegenstand! Welche Daten werden verarbeitet? Zu welchem Zweck?
- Rechtsgrundlage benennen. § 26 BDSG i. V. m. Art. 6 Abs. 1 DSGVO plus ggf. Art. 9 DSGVO bei besonderen Kategorien.
- Erforderlichkeit prüfen und dokumentieren, wobei auch eventuell mögliche mildere Mittel thematisiert werden müssen. Ist die Datenverarbeitung wirklich notwendig?
- Transparenz und Informationspflichten einhalten, denn Beschäftigte müssen umfassend informiert werden.
- Technisch-organisatorische Maßnahmen (TOMs) definieren, denn Sicherheit geht vor.
Gestaltungstipps für Arbeitgeber
-
- Ziehen Sie frühzeitig Ihre Datenschutzbeauftragten ein, idealerweise vor Unterzeichnung der Vereinbarung.
- Prüfen Sie regelmäßig bestehende Vereinbarungen auf ihre Aktualität und DSGVO-Konformität.
- Verwenden Sie Vorlagen nur mit Augenmaß, denn was bei einen Unternehmen passt, kann beim anderen rechtswidrig sein.
Die Grenzen bei Leistungs- oder Überwachungskontrolle einhalten
Gerade bei Themen wie Mitarbeiterüberwachung zeigt das Urteil klare Kante. Der Arbeitgeber darf Beschäftigte nicht „ins Blaue hinein“ kontrollieren; eine Betriebsvereinbarung macht aus einer rechtswidrigen Überwachung noch keine rechtmäßige.
Beispiel Leistungsüberwachung im Kundenservice
Ein Unternehmen möchte zur Qualitätssicherung Telefongespräche aufzeichnen. Eine Betriebsvereinbarung regelt dies, doch: Werden auch Pausenzeiten, private Gespräche oder emotionale Belastungen sichtbar? Dann ist der Eingriff ggf. unverhältnismäßig – und rechtswidrig.
Beispiel Effizienzsteigerung im Lager und beim Versand
Eine Tracking-Software zur Effizienzsteigerung zeigt Bewegungsmuster der Mitarbeitenden im Lager. Wenn daraus ein permanentes „Live-Controlling“ entsteht, das zu erhöhtem Druck führt, kann die Grenze zur unzulässigen Verhaltenskontrolle überschritten sein – auch bei Regelung durch Betriebsvereinbarung.
Mehr Sorgfalt bei der Ausgestaltung bedeutet weniger Risiken im Streitfall
Betriebsvereinbarungen sind ein bewährtes Instrument, aber sie müssen sauber gearbeitet sein. Der EuGH hat mit seinem Urteil unmissverständlich betont, dass Datenschutz im Arbeitsverhältnis kein nationales Arbeitgeber-Wunschkonzert. Die DSGVO gibt den Takt vor und Betriebsparteien sind angehalten, im Einklang mit dieser Melodie zu tanzen.
Wenn Sie dabei Unterstützung benötigen, bin ich als Ihre externe Datenschutzbeauftragte gern an Ihrer Seite. Pragmatisch. Rechtssicher. Mit Blick auf Ihre betrieblichen Realitäten.