Der Europäische Gerichtshof musste aufgrund einer Vorlage des Bundesarbeitsgerichtes (BAG) darüber entscheiden, ob ein Arbeitnehmer bei der Anwendung einer Personalverwaltungssoftware in seinen Rechten verletzt ist, auch wenn diese Praxis in einer Betriebsvereinbarung so festgelegt ist bzw. nach dieser geduldet wird.
Gemäß Artikel 88 der europäischen Datenschutzgrundverordnung (DS-GVO) ist es den Mitgliedstaaten erlaubt, entweder durch Rechtsvorschriften oder durch Kollektivvereinbarungen „spezifischere Vorschriften“ für den Datenschutz von Beschäftigten vorzusehen. In Deutschland wird dies in § 26 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) geregelt, wonach personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies u.a. nach „einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung)“ erforderlich ist. Und in § 26 Abs. 4 wird präzisiert, dass die Verarbeitung auf der Grundlage von Kollektivvereinbarungen zulässig ist, soweit die Verhandlungspartner die in Artikel 88 Abs. 2 DS-GVO niedergelegten Grundsätze beachten (Wahrung der menschlichen Würde, der berechtigten Interessen der Betroffenen, Transparenz der Verarbeitung und etwaiger Überwachungssysteme). Daraus wurde bisher abgeleitet, dass Betriebsvereinbarungen eine eigenständige Rechtsgrundlage darstellen, auf welcher die Verarbeitung personenbezogener Daten von Beschäftigten zulässig ist, wenn sich die Vertragsparteien darauf verständigt haben und die o.a. Voraussetzungen eingehalten worden sind.
Der EuGH hat nunmehr entschieden, dass nationale Rechtsvorschriften und Kollektivvereinbarungen nicht nur den besonderen Anforderungen des Artikel 88 Abs. 2 DS-GVO genügen müssen, sondern auch mit den allgemeinen Bestimmungen der DS-GVO, insbesondere den Artikeln 5, 6 und 9 DS-GVO im Einklang stehen müssen. Das heißt im Klartext, dass die Parteien einer Betriebsvereinbarung künftig „nicht mehr machen können, was sie wollen“, sondern dass die Regeln solcher Vereinbarungen einer unbeschränkten Rechtmäßigkeitskontrolle anhand der einschlägigen Zulässigkeitsvoraussetzungen der DS-GVO unterliegen.
Unternehmen können sich deshalb künftig nicht mehr darauf verlassen, dass das, was sie mit ihren Betriebsräten vereinbart haben, in datenschutzrechtlicher Sicht in Ordnung ist. Denn das ist nach der o. a. Entscheidung nur der Fall, wenn die Vorgaben der DS-GVO in vollem Umfang beachtet worden sind. Insofern bedarf es im Rahmen der Verhandlungen immer noch einer – vom Standpunkt der jeweiligen Gegenseite unabhängigen – Rechtskontrolle anhand der in der DS-GVO statuierten Zulässigkeitsvoraussetzungen, wenn man datenschutzrechtliche Sanktionen vermeiden will. Das könnte übrigens auch bereits abgeschlossene Betriebsvereinbarungen betreffen, insbesondere wenn diese von Arbeitnehmern gerichtlich angegriffen werden, wie im vom EuGH entschiedenen Fall. Insgesamt wird an dieser Entscheidung deutlich, dass Datenschutz von Unternehmen ernst zu nehmen ist, weil die Rechtmäßigkeit von Verarbeitungsvorgängen immer häufiger im Fokus von Aufsichtsbehörden und Gerichten steht.
Dr. Ulrich Dieckert
Rechtsanwalt