Die Betriebsvereinbarung als Murmeltier im Datenschutz? Die Nachjustierung des EuGH in der Workday-EntscheidungTenor 1. Art. 88 Abs. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine nach Art. 88 Abs. 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der Verordnung ergeben.
2. Art. 88 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten i.S.v. Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben. Orientierungssatz zur Anmerkung Der Gerichtshof der Europäischen Union erklärt sich zur Reichweite der in Art. 88 DSGVO (Verordnung (EU) 2016/679) enthaltenen und mittlerweile berüchtigten Öffnungsklausel für die sog. Datenverarbeitung im Beschäftigungskontext und erstreckt die fundamentalen Grundsätze der Artikel 5, 6 und 9 DSGVO auf einzelstaatliche Vorschriften, die auf der Grundlage eben dieser Öffnungsklausel ergangen sind. - A.
Problemstellung Wenngleich Reichweite und genauer Inhalt der DSGVO als „Dauerbrenner“ vieler Rechtsgebiete bereits in wohl zahllosen Gerichtsentscheidungen und Publikationen erörtert worden sind, verbleiben bis heute ungeklärte Fragen im Bereich des Arbeitsrechts. In seiner hier besprochenen „Workday“-Entscheidung vom 19.12.2024 widmet sich der EuGH in diesem Kontext zwei Detailfragen betreffend die Regelung der Verarbeitung von Beschäftigtendaten in einer Betriebsvereinbarung: 1. Muss eine Betriebsvereinbarung lediglich die in Art. 88 Abs. 2 DSGVO aufgeführten Vorgaben (Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der Arbeitnehmerinnen und Arbeitnehmer) einhalten, oder darüber hinaus auch noch jene der Art. 5, 6 und 9 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten, Rechtmäßigkeit der Verarbeitung sowie besondere Kategorien personenbezogener Daten) insbesondere im Hinblick auf das Kriterium der Erforderlichkeit der Verarbeitung personenbezogener Daten? 2. Soweit auch die letztgenannten Grundsätze der Art. 5, 6 und 9 DSGVO einzuhalten sind: Kommen die Betriebsparteien (Betriebsrat und Arbeitgeber) dann aufgrund ihrer Sachnähe und des im Regelfall zu erwartenden, durch die Betriebsvereinbarung zu erzielenden Interessenausgleichs in den Genuss eines Spielraums betreffend die Beurteilung der Erforderlichkeit der Verarbeitung personenbezogener Daten – welcher zudem nur einer eingeschränkten gerichtlichen Kontrolle unterliegt?
- B.
Inhalt und Gegenstand der Entscheidung I. Vor dem Hintergrund der soeben aufgeworfenen Problemstellung kreist der Sachverhalt um die Einführung einer Cloud-basierten Personalsoftware namens Workday in einem Unternehmen mit Sitz in Deutschland. Das betreffende Unternehmen ist Teil eines Konzerns mit Sitz der Muttergesellschaft in den USA; die Einführung von Workday erfolgte konzernweit im Jahr 2017. II. Mit der im Juli 2017 abgeschlossenen „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ einigten sich Betriebsrat und Unternehmen auf jene Kategorien personenbezogener Daten, welche zum Zwecke des Trainings der genannten Software aus dem bisher genutzten SAP in die USA übertragen werden durften. Diese Kategorien umfassten unter anderem den Vor- und Nachnamen des Mitarbeiters, seine Personalnummer, seine Telefonnummer und seinen Arbeitsort. III. Gegen die konkret erfolgten Datenübertragungen erhob allerdings der Vorsitzende des Betriebsrates des genannten Unternehmens Klage beim örtlich zuständigen Arbeitsgericht. In dieser brachte er zum einen vor, die Verarbeitung der von der Betriebsvereinbarung erfassten personenbezogenen Daten sei nicht erforderlich gewesen, da die Software Workday auch mit fiktiven Daten (an Stelle der konkreten Daten aus SAP) hätte trainiert werden können. Zum anderen rügte er, dass das Unternehmen auch Details seiner Vergütung, seine privaten Kontaktdaten, seinen Familienstand und seine Sozialversicherungsnummer in die USA übertragen habe – und dieser Datentransfer erst gar keine Rechtsgrundlage in der Duldungs-Betriebsvereinbarung finde. Der Datentransfer sei somit (spätestens ab Anwendungsbeginn der DSGVO am 25.05.2018) unzulässig gewesen. Der Instanzenzug beförderte das Verfahren zum BAG, welches dem EuGH u.a. die hier problematisierten Fragen gemäß Art. 267 AEUV zur Vorabentscheidung vorlegte. IV. Das Votum des EuGH vom 19.12.2024 fällt gleichermaßen klar wie kurz aus: • Soweit Betriebsvereinbarungen die Verarbeitung personenbezogener Daten zum Gegenstand haben, müssen sie über die Vorgaben von Art. 88 Abs. 2 DSGVO hinaus auch die Grundsätze der Art. 5, 6 und 9 DSGVO einhalten; • der Beurteilungsspielraum der Betriebsparteien betreffend die Erforderlichkeit der Verarbeitung personenbezogener Daten unterliegt einer umfassenden gerichtlichen Kontrolle. Die Begründung dieser Entscheidung beinhaltet zunächst Grundlegendes, allerdings wenig Neues. Ausgehend von der Feststellung über den grundsätzlich vollharmonisierenden Charakter der DSGVO und der Öffnungsklausel als Ausnahme hiervon (Rn. 35) findet die Achte Kammer auch Platz für den unvermeidbaren Verweis auf den Grundsatz der unionsautonomen (d.h. von Begrifflichkeiten des nationalen Rechtes losgelösten) Auslegung der DSGVO (Rn. 37). Im Anschluss daran folgt die Benennung des wohlbekannten Methodenkanons: Wortlaut, Ziel und Systematik. Besondere Bedeutung hat freilich fast schon traditionell die nach den Zielen der Norm (in diesem Fall: der gesamten DSGVO) fragende Auslegung, und hier liegt der gewichtige Kern der EuGH-Entscheidung. Zunächst betont die Kammer, wann die Legitimität der Öffnungsklausel (Art. 88 DSGVO) und damit auch die Möglichkeit, im Wege sowohl einzelstaatlicher Vorschriften als auch privatrechtlich ausgehandelte Betriebsvereinbarungen von der DSGVO abzuweichen, Bestand haben können: Nur dann, wenn auch bei der auf der Grundlage einer BV erfolgenden Verarbeitung personenbezogener Daten die Wahrung eines geeigneten Schutzniveaus für die Rechte und Freiheiten der betroffenen Personen sichergestellt ist (Rn. 40 unter Berufung auf die Rechtssache „Hauptpersonalrat der Lehrerinnen und Lehrer“ C-34/21). Und zu genau diesem Zweck schiebt der EuGH im Weiteren möglichen mitgliedstaatlichen „Umgehungsgeschäften“ einen Riegel vor, in dem er auch für mitgliedstaatliche Vorschriften, die in Ansehung der Öffnungsklausel erlassen (bzw. im Falle von Betriebsvereinbarungen: abgeschlossen) worden sind, die Einhaltung der Fundamentalprinzipien der Artikel 5, 6 und 9 DSGVO verlangt (Rn. 42). Abgerundet werden diese Ausführungen durch die Begründung des Erfordernisses einer umfassenden gerichtlichen Kontrolle, ob die Parteien einer BV ihren Spielraum betreffend die Erforderlichkeit der Datenvereinbarung in akzeptabler Weise genutzt haben (Rn. 55 ff.): Dieser Spielraum darf nicht für eine Überlagerung der Ziele der DSGVO zweckentfremdet werden; der EuGH möchte insbesondere verhindern, dass das durch die DSGVO angestrebte hohe Schutzniveau der Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung personenbezogenen Daten durch Wirtschaftlichkeits- und/oder Praktikabilitätserwägungen der Wirtschaftssubjekte reduziert oder gar völlig ausgehebelt wird.
- C.
Kontext der Entscheidung I. Das Ausgangsverfahren der hier besprochenen Entscheidung wurde vor dem Achten Senat des BAG geführt. Es ging über die hier fokussierten Problemkreise der Rechtmäßigkeit und Erforderlichkeit der Datenverarbeitung hinaus und behandelte auch ein Schadenersatzbegehren des klagenden Betriebsratsvorsitzenden. II. Mit den erst auf den zweiten Blick zu unterscheidenden Aktenzeichen 8 AZR 209/21 (A) vom 22.09.2022 (ausführlich hierzu: Frank/Heine, NZA 2023, 407) sowie 8 AZR 209/21 (B) vom 25.04.2024 brachte das BAG zwei (!) Ersuchen um Vorabentscheidung in derselben Rechtssache auf den Weg. Die typisch kaskadenförmig formulierten, insgesamt sechs Vorlagefragen aus 2022 bescherten dem BAG im Januar 2024 eher weniger erwartete Post aus Luxemburg: Der EuGH übersandte eine Reihe seiner Entscheidungen aus den Jahren 2023 und 2024 betreffend das Thema „Immaterieller Schadenersatz bei Datenschutzverstößen“ nach Erfurt und garnierte diesen Vorgang mit der Frage, ob das BAG die diesbezüglichen Fragen aufrechterhalte. Infolgedessen (und wohl auch in Ansehung der Acte-claire-Doktrin des EuGH, Urt. v. 06.10.1982 - C-283/81 „Cilfit“) zog das BAG im Mai 2024 seine Fragen zum Problemkreis des Schadenersatzes zurück und beschränkte das Vorabentscheidungsersuchen auf die noch ungeklärte Reichweite der Öffnungsklausel des Art. 88 DSGVO. III. Die weitere Entwicklung und das Endergebnis des Ausgangsverfahrens muten leicht paradox an: Das vom EuGH seit einiger Zeit Geklärte (die Frage des immateriellen Schadenersatzes) wurde streitig entschieden, das neu aus Luxemburg Mitgeteilte gelangte hingegen nicht zur Entscheidung. Der Hintergrund: Der Kläger hat in der mündlichen Verhandlung vor dem BAG nicht mehr die Rechtswidrigkeit der Übertragung der von der Betriebsvereinbarung erfassten Daten geltend gemacht. Infolgedessen unterblieb eine höchstrichterliche Prüfung der Frage, ob die Betriebsvereinbarung auch die Grundsätze der Art. 5, 6 und 9 DSGVO geachtet hat. Das BAG-Urteil vom 08.05.2025 sprach dem Kläger lediglich Ersatz des immateriellen Schadens in Gestalt des Verlustes der Kontrolle über seine personenbezogenen Daten zu. Der Betrag: 200 Euro.
- D.
Auswirkungen für die Praxis I. Nicht in Einklang mit den im vorliegenden Beitrag erörterten Anforderungen an Datenschutzvorgaben des mitgliedstaatlichen Rechtes steht § 26 Abs. 4 BDSG. Aus gutem Grund war dieser seit einiger Zeit Gegenstand umfangreicher Abhandlungen in der Literatur (vgl. an Stelle vieler: Hamann, jurisPR-ArbR 11/2025 Anm. 7; Krause, ArbuR 2025, 1, sowie Heine, NZA 2025, 28). Nunmehr ist klar: die in seinem Wortlaut angelegte Beschränkung auf die Vorgaben des Art. 88 Abs. 2 DSGVO greift schlicht zu kurz und lässt die tragenden Grundsätze der DSGVO außer Acht. II. Der Anwendungsvorrang des Unionsrechts (unstreitig seit EuGH, Urt. v.15.07.1964 - 6/64 „Costa ./. E.N.E.L.“) macht es spätestens jetzt erforderlich, im Rahmen der Erarbeitung von Betriebsvereinbarungen auch die Art. 5, 6 und 9 DSGVO zu berücksichtigen. III. Womöglich ist nunmehr die Zeit reif für Beschäftigtendatenschutzgesetz!
|
