Dieser Beitrag beleuchtet die praktischen Folgen der „Workday“-Entscheidung des EuGH zur Datenverarbeitung auf Grundlage einer Betriebsvereinbarung.
Betriebsvereinbarungen werden in der Praxis häufig als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten genutzt. Bislang war allerdings nicht abschließend geklärt, ob und in welchem Umfang die Vorgaben der DSGVO in einer Betriebsvereinbarung unterschritten werden dürfen. Während die deutschen Instanzgerichte den Betriebsparteien (Arbeitgeber* und Betriebsrat) überwiegend eine gewisse Flexibilität einräumten, hat der EuGH in der sog. „Workday-Entscheidung“ (EuGH, Urteil v. 19. Dezember 2024 – C-65/23) einem solchen Spielraum nunmehr eine Absage erteilt.
Arbeitnehmer behauptet Datenschutzverstoß trotz legitimierender Betriebsvereinbarung
Im Ausgangsfall verlangte der Kläger – und zugleich Betriebsratsvorsitzende – von seiner Arbeitgeberin immateriellen Schadensersatz in Höhe von EUR 3.000,00 aufgrund einer vermeintlich rechtswidrigen Datenverarbeitung.
Die Arbeitgeberin hatte anlässlich der konzernweiten Einführung des cloudbasierten Personalmanagementsystems „Workday“ mit ihrem Betriebsrat eine „Duldungs-Betriebsvereinbarung“ zur Einführung des Systems während eines Testzeitraums mit eingeschränktem Nutzungsumfang geschlossen. Für diesen Testlauf hatte die Arbeitgeberin verschiedene Beschäftigtendaten aus der bislang genutzten SAP-Software auf einen Server der Konzernmutter in den USA übertragen. Der Kläger hielt diese Datenübertragung für rechtswidrig, da sie weder für das Arbeitsverhältnis noch für die Erprobung von „Workday“ erforderlich gewesen sei. Zudem seien die Grenzen der „Duldungs-Betriebsvereinbarung“ überschritten worden, da die Arbeitgeberin nicht vereinbarte Datenkategorien (unter anderemVertrags- und Vergütungsdetails, Sozialversicherungsnummer und Steuer-Identifikationsnummer) an die Konzernmutter übermittelt habe.
Vorlagefragen des BAG
Während die ersten beiden Instanzen die Klage abgewiesen hatten, stand das BAG einer Zulässigkeit der Datenverarbeitung auf Grundlage der „Duldungs-Betriebsvereinbarung“ skeptisch gegenüber. Um für Klarheit zu sorgen, legte es dem EuGH folgende Fragen zur Vorabentscheidung vor:
- Muss die in einer Betriebsvereinbarung geregelte Datenverarbeitung sämtliche Vorgaben der DSGVO oder lediglich die Anforderungen des Art. 88 Abs. 2 DSGVO (geeignete Maßnahmen zur Wahrung der Grundrechte der Beschäftigten) erfüllen?
- Haben die Betriebsparteien einen Ermessensspielraum hinsichtlich der Erforderlichkeit der Datenverarbeitung oder unterliegen von ihnen geschaffene Rechtsgrundlagen einer vollen gerichtlichen Kontrolle?
EuGH: Kein privilegierter Maßstab für Betriebsvereinbarungen
Der Hoffnung auf die Zulässigkeit maßgeschneiderter Lösungen für die betriebliche Datenverarbeitung erteilte der EuGH eine deutliche Absage.
Mit Blick auf die erste Vorlagefrage stellte der EuGH klar, dass in Betriebsvereinbarungen geregelte Datenverarbeitung sämtliche Anforderungen der DSGVO erfüllen muss. Andernfalls könne das hohe Schutzniveau der DSGVO im Beschäftigungskontext umgangen werden. Entsprechend seien insbesondere die allgemeinen Datenverarbeitungsgrundsätze aus Art. 5 DSGVO, die Rechtmäßigkeitsanforderungen aus Art. 6 Abs. 1 DSGVO sowie die besonderen Anforderungen an besondere Kategorien von Daten (z.B. Gesundheitsdaten) aus Art. 9 Abs. 1 DSGVO zu beachten. Auch einen Ermessensspielraum der Betriebsparteien bei der Beurteilung der Erforderlichkeit der Datenverarbeitung lehnte der EuGH ab.
Die zweite Vorlagefrage beantwortete der EuGH mit der Klarstellung, dass Rechtsgrundlagen in Betriebsvereinbarungen einer vollen gerichtlichen Kontrolle hinsichtlich der Anforderungen der DSGVO unterliegen. Zwar erkennt der Gerichtshof an, dass die Betriebsparteien
umfangreiche Kenntnisse in Bezug auf die spezifischen Bedürfnisse im Beschäftigungsbereich und im betreffenden Tätigkeitsbereich haben.
Nichtsdestotrotz müsse ausgeschlossen werden, dass die Betriebsparteien aus Gründen der Wirtschaftlichkeit und Einfachheit Kompromisse schließen, die das hohe Schutzniveau der DSGVO beeinträchtigen könnten.
Damit ist als Quintessenz festzuhalten: Eine nach Maßgabe der DSGVO unzulässige Datenverarbeitung kann nicht auf der Basis einer Betriebsvereinbarung legitimiert werden.
Praxishinweis: Die „Workday“-Entscheidung des EuGH enthält keinerlei Anhaltspunkte für ein Mitbestimmungsrecht des Betriebsrats in Sachen Datenschutz. Vielmehr ist der Datenschutz mitbestimmungsfrei und wird insbesondere nicht vom IT-Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG erfasst (so zuletzt ausdrücklich LAG Hessen, Urteil v. 5. Dezember 2024 – 5 TaBV 4/24).
BAG spricht EUR 200,00 Schadensersatz für Kontrollverlust zu
Im Anschluss an das Vorabentscheidungsverfahren sprach das BAG dem Kläger einen immateriellen Schadensersatz in Höhe von EUR 200,00 zu. In dem bislang nur als Pressemitteilung verfügbaren Urteil vom 8. Mai 2025 (8 AZR 209/21) verneinte das Gericht die Erforderlichkeit der Datenverarbeitung. Einen immateriellen Schaden des Klägers liege in dem durch die Überlassung der personenbezogenen Daten an die Konzernmutter verursachten Kontrollverlust. Zu beachten ist allerdings, dass der Kläger sein Begehren in der mündlichen Verhandlung nur noch auf die Übertragung der über die „Duldungs-Betriebsvereinbarung“ hinausgehenden Daten an die Konzernmutter stützte.
Verarbeitung personenbezogener Daten muss Anforderungen der DSGVO entsprechen
Die Entscheidung des EuGH hat weitreichende Implikationen für Arbeitgeber und die Verhandlungen von Betriebsvereinbarungen. Arbeitgeber müssen sicherstellen, dass jede Verarbeitung personenbezogener Beschäftigtendaten auf der Grundlage einer Betriebsvereinbarung den Anforderungen der DSGVO entspricht. Angesichts der vollen gerichtlichen Kontrolle bedeutet dies, dass Arbeitgeber bei der Einführung neuer Systeme oder Verfahren zur Verarbeitung personenbezogener Daten sicherstellen müssen, dass diese wirklich erforderlich sind und den Grundsätzen der Datenminimierung und Rechtmäßigkeit entsprechen. Dabei ist schon deshalb Sorgfalt geboten, weil Verstöße Schadensersatzforderungen und Bußgeldern nach sich ziehen können.
Praxishinweis: Erfolgt eine Datenverarbeitung im Unternehmen bislang ausschließlich auf Grundlage einer Betriebsvereinbarung, sollte diese auf ihre Vereinbarkeit mit der DSGVO geprüft werden. Ein besonderer Fokus sollte bei der Prüfung auf der Erforderlichkeit der Datenverarbeitung und dem Grundsatz der Datenminimierung liegen. Bei einer Verarbeitung sensibler Daten i.S.d Art. 9 DSGVO ist zudem besonders darauf zu achten, dass hinreichende Schutzmaßnahmen eingerichtet sind.
Für die Verhandlungen von Betriebsvereinbarungen bedeutet dies, dass die Betriebsparteien einen erhöhten Sorgfaltsmaßstab anlegen müssen. Sie müssen sicherstellen, dass die Vereinbarungen detaillierte Regelungen enthalten, die den Schutz der personenbezogenen Daten der Beschäftigten gewährleisten. Dies umfasst auch die Verpflichtung, geeignete technische und organisatorische Maßnahmen (sog. TOMs) zu ergreifen, um die Sicherheit der Daten zu gewährleisten und unbefugte Zugriffe zu verhindern. Hierbei ist stets im Blick zu behalten, dass die Einhaltung dieser Anforderungen gerichtlich uneingeschränkt überprüfbar ist.
Praxishinweis: Es sollte künftig darauf verzichtet werden, Betriebsvereinbarungen als Datenverarbeitungsgrundlage zu deklarieren.
Darüber hinaus müssen die Betriebsparteien darauf achten, dass die Vereinbarungen transparent sind und die Beschäftigten umfassend über die Datenverarbeitungsprozesse informiert werden. Dies schließt ein, dass die Zwecke der Datenverarbeitung klar definiert und die betroffenen Datenkategorien genau benannt werden.
Insgesamt erfordert die Entscheidung des EuGH von Arbeitgebern und Betriebsräten eine enge Zusammenarbeit sowie eine sorgfältige Vorbereitung der Verhandlungen auf Arbeitgeberseite. Nur so kann sichergestellt werden, dass die Verarbeitung personenbezogener Daten im Beschäftigungskontext den hohen Anforderungen der DSGVO entspricht und die Rechte und Freiheiten der Beschäftigten auf pragmatischem Weg gewahrt bleiben.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
