In seinem Urteil in der Rechtssache C-34/21 vom 30.3.2023 hat der EuGH festgestellt, dass die Vorgaben des Art. 88 Abs. 1 und Abs. 2 DSGVO auch für Betriebsvereinbarungen gelten. Arbeitgeber und Betriebsräte sollten daher ihre Betriebsvereinbarungen vor diesem Hintergrund noch einmal prüfen.
Die Öffnungsklausel des Art. 88 DSGVO
Art. 88 Abs. 1 DSGVO bestimmt, dass die Mitgliedstaaten durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können. In Erwägungsgrund 155 zur DSGVO wird die Betriebsvereinbarung sogar ausdrücklich als ein Fall dieser Kollektivvereinbarungen benannt.
Daneben bestimmt § 26 Abs. 1 S. 1 BDSG, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Darüber hinaus regelt § 26 Abs. 4 BDSG, dass die Verarbeitung von Beschäftigtendaten auf Grundlage einer Kollektivvereinbarung zulässig ist, wobei die Verhandlungspartner Art. 88 DSGVO zu beachten haben.
Betriebsvereinbarungen als eigene Rechtsgrundlage
Kann eine Betriebsvereinbarung daher als Rechtsgrundlage für eine Datenverarbeitung dienen? Der Wortlaut des § 26 Abs. 4 BDSG kann so verstanden werden. Art. 88 Abs. 1 DSGVO ist allerdings als vollharmonisierende Norm anzusehen (die Mitgliedsstaaten dürfen also nicht von dieser EU-Regelung abweichen), sodass die Schaffung von zusätzlichen Erlaubnistatbeständen generell nicht möglich ist. Die Betriebsparteien dürfen in den spezifischeren Regelungen der Betriebsvereinbarung keine neuen datenschutzrechtlichen Datenverarbeitungserlaubnisse schaffen. Die Erlaubnistatbestände der DSGVO sind abschließend.
Betriebsvereinbarungen als „spezifischere Vorschriften“
Zulässig sind nur Formulierungen in Betriebsvereinbarungen, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Solche spezifischeren Regelungen müssten die Regelungen der DSGVO konkretisieren, wobei es aber nicht zu Widersprüchen mit der DSGVO kommen und sich auch nicht in der Wiederholung allgemeiner Regelungen der DSGVO erschöpfen darf. Dabei darf das Datenschutzniveau der DSGVO weder unter- noch überschritten werden.
Empfehlungen für die Praxis
In der Praxis stellt sich nun die Frage, ob die vor dem EuGH-Urteil abgeschlossenen Betriebsvereinbarungen schon jetzt die Voraussetzungen aus Art. 88 Abs. 1 und Abs. 2 DSGVO erfüllen, nämlich dass darin die Umstände besonderer Verarbeitungssituation festgelegt werden einschließlich einer Festlegung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Betriebsvereinbarungen dürfen keine eigenständige Rechtsgrundlage für die Datenverarbeitung schaffen. Sofern dies der Fall ist, sind solche Betriebsvereinbarungen insgesamt oder die einzelnen nicht den Anforderungen entsprechenden Regelungen im konkreten Fall schlicht nicht anwendbar. Ein Verstoß gegen Art. 88 Abs. 1 oder Abs. 2 DSGVO führt im schlimmsten Fall dazu, dass die Verarbeitung nicht auf die Betriebsvereinbarung gestützt werden kann.
Aber auch die umgekehrte Konstellation ist denkbar: So findet man in Betriebsvereinbarungen häufig Regelungen zu einem Beweisverwertungsverbot, etwa dahingehend, dass „ein absolutes Beweisverwertungsverbot“ gilt. Ein Beispiel hierfür stellt eine Betriebsvereinbarung zur Videoüberwachung dar, in der ein „absolutes Beweisverwertungsverbot“ der Videoaufnahmen zur Leistungs- oder Verhaltenskontrolle der Mitarbeiter*innen geregelt ist. Eine solche Regelung ist weitaus strenger als die DS-GVO, die – wenn es bei dem Beweis um die Nutzung eines personenbezogenen Datums geht, etwa in Form einer Videoaufnahme – die insofern erfolgende Datennutzung zulässt, soweit nach Art. 6 Abs. 1 DS-GVO gestattet.
Der Arbeitgeber könnte sich dann in solchen Fällen darauf berufen, nach Art. 6 Abs. 1 DS-GVO eine datenschutzrechtliche Erlaubnis zur Leistungs- oder Verhaltenskontrolle oder zur Beweisverwertung zu haben und sich daher an eine mitbestimmungsrechtliche Regelung in einer Betriebsvereinbarung, die ein Beweisverwertungsverbot regelt, nicht halten zu müssen, da diese von der DS-GVO verdrängt würde und unanwendbar wäre.
Unternehmen sollten deswegen prüfen, ob sie bereits vor dem EuGH-Urteil die Vorgaben aus der DSGVO hinreichend umgesetzt haben, und daran anschließend erforderlichenfalls tätig werden. Es ist dabei darauf zu achten, dass eigentlich aus der DSGVO stammende Vorgaben nicht als Regelungen „verkauft werden“, die originär aus der Betriebsvereinbarung stammen. In dem Kontext sind Referenzen auf Vorgaben aus der DSGVO zwar zulässig, aber sie müssen als solche auch deutlich erkennbar sein. Andernfalls könnten Beschäftigte annehmen, dass die Regelung nur aus der Betriebsvereinbarung und nicht etwa aus der DSGVO selbst stammt. Darüber hinaus sollte geprüft werden, ob Betriebsvereinbarungen spezifische Vorgaben zur Gewährleistung des Schutzes von Rechten und Freiheiten der Beschäftigten vorsehen und geeignete und besondere Maßnahmen enthalten. Ist dies nicht der Fall, dann muss nachgebessert werden.