Das Aushandeln von Betriebsvereinbarungen zwischen den Betriebsparteien kann eine langwierige und zähe Angelegenheit sein. Dabei sind die Regeln des Betriebsverfassungsgesetzes (BetrVG) zu beachten. Eine besondere Regelung findet sich in § 75 BetrVG, wonach die Betriebsparteien die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer schützen und fördern müssen. In diese Klausel wirken mittelbar die Grundrechte der Arbeitnehmer hinein. Diese ergeben sich sowohl aus dem Grundgesetz als auch aus der Grundrechtecharta der Europäischen Union.
Folgerichtig hat der Europäische Gerichtshof (EuGH) entschieden, dass sich die Betriebsparteien beim Schließen einer Betriebsvereinbarung an den Rechtsrahmen der Datenschutz-Grundverordnung (DSGVO) halten müssen, die dem Schutz der betroffenen Personen und damit auch der Beschäftigten dient. Nationale Gerichte können die Betriebsvereinbarung in vollem Umfang auf die Einhaltung der DSGVO überprüfen und unterliegen dabei keinen Einschränkungen (Urteil vom 19.12.2024 – C-65/23).
Beschäftigtendaten in die USA transferiert – ein sensibles Thema
Der Hintergrund für diese Entscheidung ist die Übermittlung von Beschäftigtendaten einer deutschen Gesellschaft an die Muttergesellschaft in den USA.
Konzernweit, und damit auch in der deutschen Gesellschaft, wurde die Software „Workday“ eingeführt. Die deutsche Gesellschaft übertrug Daten von einer bisherigen SAP-Software auf einen Server der Muttergesellschaft in den USA. Eine Duldungs-Betriebsvereinbarung erlaubte zwar die Nutzung der Software zu Testzwecken, gestattete jedoch nur die Übertragung begrenzter Datenkategorien. Private Daten wie Sozialversicherungsnummern oder Vertragsdetails waren nicht für die Übertragung an die Muttergesellschaft vorgesehen.
Ein Mitarbeiter, der gleichzeitig Betriebsratsvorsitzender war, verklagte seinen Arbeitgeber, da er der Ansicht war, dass die Übermittlung der Daten in die USA im Testbetrieb nicht notwendig gewesen sei und fiktive Daten ausreichend gewesen wären. Außerdem ging die Datenübermittlung über den in der Duldungs-Betriebsvereinbarung vereinbarten Umfang hinaus.
Er forderte daher von seinem Arbeitgeber Schmerzensgeld auf Grundlage der DSGVO. Der Arbeitgeber sah jedoch keinen Verstoß gegen die DSGVO. Zudem argumentierte er, der Beschäftigte trage im Verfahren die Beweislast für den Schaden. Den Beweis für den ursächlichen Zusammenhang zwischen einem DSGVO-Verstoß und einem Schaden sei der Kläger jedoch schuldig geblieben.
Nachdem der Mitarbeiter weder beim Arbeitsgericht (ArbG) Ulm noch beim Landesarbeitsgericht (LAG) Baden-Württemberg vollständig mit seinen Ansprüchen durchgedrungen war, wandte er sich an das Bundesarbeitsgericht (BAG). Dort ging es um den Anspruch auf Schmerzensgeld aus Art. 82 DSGVO.
Das BAG war sich bei der Auslegung unsicher und legte daher dem EuGH sechs Fragen (BAG, 22.09.2022, Az.: 8 AZR 209/21 (A)) vor, von denen drei in anderen Verfahren behandelt wurden.
Die folgenden drei Fragen blieben übrig:
Gilt die DSGVO auch für die Betriebsparteien?
Die erste Frage dreht sich um die Auslegung der Öffnungsklausel des Art. 88 DSGVO. Das BAG möchte vom EuGH wissen, ob die Betriebsparteien lediglich Art. 88 Abs. 2 DSGVO beachten müssen oder ob sie sich zusätzlich an die datenschutzrechtlichen Grundsätze (Art. 5 DSGVO) halten, die Betriebsvereinbarung an einer Rechtsgrundlage (Art. 6 DSGVO) messen lassen und die besonderen Anforderungen für besonders schutzwürdige Daten (Art. 9 DSGVO) einhalten müssen.
Der EuGH gibt eine klare Antwort: Die Mitgliedstaaten dürfen die Anforderungen der DSGVO nicht umgehen. Die Grundsätze aus Art. 5, die Rechtmäßigkeitsvoraussetzungen aus Art. 6 sowie die besonderen Schutzmaßnahmen für sensible Daten nach Art. 9 dürfen nicht ausgehebelt werden. Nationale Vorschriften, die auf Art. 88 DSGVO basieren, dürfen daher nicht im Widerspruch zu den Zielen der Verordnung stehen.
Dasselbe gilt für Kollektivvereinbarungen: Der EuGH stellt klar, dass solche Vereinbarungen zwar „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO darstellen können, jedoch nur unter der Voraussetzung, dass sie die allgemeinen Anforderungen der DSGVO nicht verletzen. So muss bspw. auch bei solchen Vereinbarungen die Verarbeitung sensibler Daten im Einklang mit Art. 9 DSGVO erfolgen, der für diese Datenkategorien einen besonders hohen Schutz vorsieht.
Darf ein nationales Gericht eine Betriebsvereinbarung ohne Einschränkung auf Einhaltung der DSGVO überprüfen?
Bei der zweiten Frage ist der EuGH ebenfalls eindeutig: Eine uneingeschränkte gerichtliche Kontrolle muss gewährleistet bleiben. Zwar erkennt der EuGH an, dass die Betriebsparteien in der Lage sind, die Erforderlichkeit einer Datenverarbeitung in ihrem jeweiligen Aufgabenkontext zu beurteilen, jedoch betont der Gerichtshof, dass dieser Spielraum keine Kompromisse zulasten des Datenschutzes rechtfertigt.
Insbesondere dürfen Kollektivvereinbarungen nicht dazu führen, dass die strengen Anforderungen der DSGVO an die Erforderlichkeit der Datenverarbeitung abgeschwächt werden. Nationale Gerichte müssen die Einhaltung dieser Anforderungen umfassend überprüfen können. Das schließt ein, dass Gerichte einzelne Bestimmungen einer Kollektivvereinbarung unangewendet lassen dürfen, wenn sie gegen die Vorgaben der DSGVO verstoßen.
Die dritte Frage musste der EuGH nicht beantworten, da sie sich auf den Fall bezog, dass nur eine eingeschränkte Kontrollmöglichkeit der Einhaltung der DSGVO bestünde. Das BAG wollte in diesem Fall wissen, wie die Kriterien für eine beschränkte Kontrolle hätten ausgestaltet sein können.
Folgen für die Praxis
Das BAG muss sich nun umfassend mit dem Fall auf Grundlage der DSGVO beschäftigen. Für die Erstellung von Betriebsvereinbarungen gilt, dass diese sich an den Vorgaben der DSGVO messen lassen müssen. Eine Betriebsvereinbarung ist kein Sonderrecht und kann selbst keine neue Rechtsgrundlage schaffen, die die Anforderungen von Art. 6 DSGVO umgeht. Sie muss im Einklang mit einer bestehenden Rechtsgrundlage aus Art. 6 DSGVO stehen.
Ebenso müssen die Grundsätze der DSGVO, wie etwa die Datensparsamkeit, eingehalten werden. Auch der sichere Transfer von Daten in Drittländer, wie er unter den Voraussetzungen der DSGVO gefordert wird, ist sicherzustellen.