EuGH: Datenverarbeitung im Beschäftigtenverhältnis

Die Datenverarbeitung im Beschäftigtenverhältnis ist einer der Dauerbrenner im Datenschutz. Da oft unterschiedliche Interessen zwischen Arbeitgebern und Beschäftigten bestehen, müssen bei der Verarbeitung von Beschäftigtendaten viele Anforderungen beachtet werden. Hier sind Spannungen zwischen den Beteiligten geradezu vorprogrammiert. Der EuGH hat in einem Urteil kurz vor den Weihnachtstagen mal wieder Klartext gesprochen.

Öffnungsklauseln in der DSGVO

Ein Grund für die schwierige Umsetzung der Vorgaben im Beschäftigtendatenschutz ist sicherlich, dass die DSGVO sogenannte Öffnungsklauseln beinhaltet, welche es den Mitgliedsstaaten erlauben, die Datenverarbeitung auch auf Rechtsgrundlagen außerhalb der DSGVO zu stützen. So gibt es in Deutschland beispielsweise eine Vorschrift im Bundesdatenschutzgesetz, welche die Voraussetzungen zur Benennung des oder der Datenschutzbeauftragten konkretisiert. Dabei gilt grundsätzlich, dass die Mitgliedsstaaten keine Regelungen treffen dürfen, welche das Schutzniveau der DSGVO absenken.

Im vorliegenden Fall ging es darum, wie dies konkret gewährleistet werden muss. Die entscheidende Vorschrift war hier Art. 88 DSGVO bzw. stand genauer gesagt die Auslegung dieser Vorschrift im Fokus. Nach Art. 88 Abs. 1 DSGVO können die Mitgliedsstaaten ergänzende Regelungen zur Verarbeitung von Beschäftigtendaten treffen. Neben einfachen Gesetzen nennt die Vorschrift auch Kollektivvereinbarungen als mögliche Rechtsgrundlagen für Datenverarbeitungen im Beschäftigtenkontext. Abs. 2 der Vorschrift stellt zudem klar, dass u. a. die Daten der Arbeitnehmer ausreichend zu berücksichtigen sind.

Auslegung des Europarechts

Der EuGH hatte in seinem Urteil vom 19.12.2024 (Rechtssache C‑65/23) die Fragen zu klären, welche Anforderungen solche nationale Regelungen oder an Betriebsvereinbarungen zu erfüllen sind und inwiefern diese von nationalen Gerichten überprüft werden können. Das Bundesarbeitsgericht hatte sich im Wege eines Vorabentscheidungsverfahrens an den EuGH gewandt. Diese Verfahrensart können nationale Gerichte nutzen, um Fragen zur Auslegung von europarechtlichen Vorschriften durch den EuGH klären zu lassen.

Die Fragen stellten sich, weil eine betroffene Person gerichtliche Schritte gegen ihre Arbeitgeber eingeleitet hatte. Der Kläger war der Ansicht, dass der Arbeitgeber seine Daten unrechtmäßig verarbeitet. Das Unternehmen verarbeitete die Daten seiner Beschäftigten u. a. mittels eines Personalmanagement-Systems und übermittelte die Daten auch an die Muttergesellschaft in die USA. Hierzu bestand seit 2019 eine Betriebsvereinbarung. Der Kläger machte geltend, dass die konkrete Art der Datenverarbeitung nicht erforderlich gewesen sei.

Verstoß gegen die Betriebsvereinbarung?

Vor allem aber wandte sich der Kläger dagegen, dass das Unternehmen aus seiner Sicht gegen die Betriebsvereinbarung verstoßen habe. Der Arbeitgeber habe deutlich mehr Daten an die Muttergesellschaft übermittelt, als dies nach der Betriebsvereinbarung zulässig gewesen sei. Der Kläger machte dementsprechend Ansprüche auf Datenlöschung nach Art. 17 DSGVO sowie auf Zahlung eines Schadensersatzes nach Art. 82 DSGVO geltend. Die Beklagte hatte die Vorwürfe in den einzelnen Instanzen stets zurückgewiesen und war zudem der Ansicht, dass die Beweislast hinsichtlich möglicher Verstöße allein beim Kläger liege.

Bezüglich der Frage, ob Verantwortliche nur die Vorgaben aus Art. 88 Abs. DSGVO einhalten müssen oder auch die allgemeinen datenschutzrechtlichen Grundsätze, hatte der EuGH endlich einmal die Gelegenheit, sich klar zu positionieren. Und dies hat das Gericht auch getan: Der EuGH hat deutlich gemacht, dass die DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Konkret heißt es in dem Urteil:

„Art. 88 DSGVO kann aber nicht dahin ausgelegt werden, dass die ‚spezifischeren Vorschriften‘, die die Mitgliedstaaten nach diesem Artikel erlassen dürfen, die Umgehung der sich aus anderen Bestimmungen dieser Verordnung ergebenden Verpflichtungen des Verantwortlichen oder gar des Auftragsverarbeiters bezwecken oder bewirken könnten, da sonst alle diese Ziele, insbesondere das Ziel, ein hohes Schutzniveau für die Beschäftigten im Fall der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext sicherzustellen, beeinträchtigt würden.“

Die allgemeinen Grundsätze, insbesondere aus Art. 5 DSGVO, Art. 6 DSGVO oder Art. 9 DSGVO, dürften nicht unterlaufen werden. Der EuGH argumentiert auch dahingehend, dass sich Art. 88 DSGVO unter den Vorschriften zu besonderen Verarbeitungssituationen befinde, während die Datenschutzgrundsätze eine deutlich allgemeinere Tragweite hätten.

Umfassende gerichtliche Prüfung möglich

Das bedeutet nichts anderes, als dass die Mitgliedsstaaten zwar nach ihrem Ermessen von Öffnungsklauseln Gebrauch machen dürfen. Allerdings sind Regelungen, die nicht mit den Zielen der DSGVO in Einklang stehen, oder das geforderte Schutzniveau nicht gewährleisten, schlichtweg unzulässig.

Ähnlich konsequent zeigte sich der EuGH auch hinsichtlich der Frage, ob bzw. wie nationale Gerichte die Einhaltung dieser Vorgaben überprüfen dürfen. Das Gericht führt hierzu aus:

„Ungeachtet des Spielraums, den Art. 88 DSGVO den Parteien einer Kollektivvereinbarung einräumt, muss sich daher die gerichtliche Kontrolle einer solchen Kollektivvereinbarung ebenso wie die einer nach dieser Bestimmung erlassenen Vorschrift des nationalen Rechts ohne jede Einschränkung auf die Einhaltung aller Voraussetzungen und Grenzen erstrecken können, die die Bestimmungen dieser Verordnung für die Verarbeitung personenbezogener Daten vorschreiben.“

Eine gerichtliche Prüfung müsse darauf gerichtet sein, ob die Verarbeitung im Sinne der Art. 5, 6 und 9 DSGVO erforderlich ist. Das ist soweit gut nachvollziehbar. Andernfalls würde die Gefahr drohen, dass die Vorgaben der DSGVO im Falle von unzureichenden Betriebsvereinbarungen quasi durch die Hintertür ausgehebelt werden. Dies müsse vor allem im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten gelten.

Das Ergebnis kommt nicht überraschend

Nun haben wir es schwarz auf weiß, dass die Datenschutzgrundsätze aus Kapitel II der DSGVO keinesfalls unterlaufen werden dürfen. Überraschend kommt dieses Urteil sicherlich nicht, aber eine solche Klarstellung ist aus Gründen der Transparenz und der Rechtssicherheit definitiv zu begrüßen. Unternehmen wissen nun, was sie zu tun haben. Betriebsvereinbarungen, welche nicht länger als eine DIN-A4-Seite sind und nur oberflächlich Pflichten für die Verantwortlichen aufgeben, sollten bald endgültig der Vergangenheit angehören. Insofern dürfte das Urteil des EuGH ein vorzeitiges Weihnachtsgeschenk aus Sicht von Betriebsräten gewesen sein.