IT/Datenschutz
EuGH: Eine Betriebsvereinbarung ist keine datenschutzrechtliche Rechtsgrundlage
Die DS-GVO listet in Art. 6 und 9 DS-GVO datenschutzrechtliche Rechtsgrundlagen auf.
Nach Art. 88 DS-GVO, der die Verarbeitung personenbezogener Daten im Beschäftigungskontext betrifft, können auch durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes personenbezogener Daten vorgesehen werden. Dabei müssen aber stets die berechtigten Interessen der Betroffenen durch geeignete Maßnahmen gesichert sein.
In vielen Betriebsvereinbarungen wird die Betriebsvereinbarung selbst als datenschutzrechtliche Erlaubnis für die Datenverarbeitung genannt, obwohl die Betriebsvereinbarung nicht in der anschließenden Auflistung der Erlaubnistatbestände aufgelistet wird und der Art. 88 DS-GVO im deutschen Beschäftigtendatenschutz nur eine „Spezifizierung“ der datenschutzrechtlichen Rechtsgrundlagen erlaubt.
Der EuGH hat in einem Urteil vom 19. Dezember 2024 (C-65/23) nun entschieden, dass eine Betriebsvereinbarung alleine nicht als datenschutzrechtliche Rechtsgrundlage ausreichend ist. Nach dem EuGH müssen auch die Anforderungen nach Art. 5 (Grundsätze der Datenverarbeitung), Art. 6 (Rechtmäßigkeit) und gemäß Art. 9 Abs. 1 und 2 DS-GVO (besondere Datenkategorien) erfüllt werden.
Betriebsvereinbarungen unterliegen zudem einer umfassenden gerichtlichen Kontrolle durch die nationalen Gerichte. Auch wenn die Betriebsparteien in der Regel über Sachnähe verfügen, um die Erforderlichkeit der Datenverarbeitung beurteilen zu können, muss die Erforderlichkeit im Sinne der Art. 5, 6 und 9 DS-GVO geprüft werden, um missbräuchliche oder unverhältnismäßige Eingriffe in die Rechte der Betroffenen zu verhindern.
Dabei soll vermieden werden, dass die Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse treffen, die das Ziel der DS-GVO, ein hohes Schutzniveau der Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, in unzulässiger Weise beeinträchtigen könnten.
Unternehmen sollten ihre Betriebsvereinbarungen prüfen. Sofern lediglich die Betriebsvereinbarung als datenschutzrechtliche Rechtsgrundlage angegeben wurde sind alternative Rechtsgrundlagen zu prüfen und die Betriebsvereinbarungen anzupassen.