| Lesedauer: 22 Minuten

Datenschutz und DSGVO: IT-Betriebs- und Dienstvereinbarungen auf dem Prüfstand

Eine Grafik, die den vierstufigen Prozess zur Aktualisierung von Betriebs- oder Dienst-Vereinbarungen darstellt. Dieser besteht aus Vereinbarungen sichten, Vereinbarungen prüfen, Regelungen entwerfen und Verhandlungen mit dem Arbeitgeber aufnehmen.
Die Grafik stellt einen vierstufigen Ablauf zur Überarbeitung von Betriebs- oder Dienstvereinbarungen dar. Beginnend mit der Sichtung bestehender Vereinbarungen folgt die datenschutzrechtliche Überprüfung. Anschließend werden ergänzende oder ersetzende Regelungen entworfen. Abschließend erfolgt die Aufnahme von Verhandlungen mit dem Arbeitgeber oder der Dienststelle. Der Prozess visualisiert die Handlungsschritte, die Betriebs- und Personalräte im Zuge des EuGH-Urteils C 65/23 beachten sollten, um datenschutzkonforme Regelwerke zu entwickeln.

Wie das EuGH-Urteil C‑65/23 die Mitbestimmung bei IT-Systemen verändert

Zum Ende des letzten Jahres hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil zum Datenschutz von Beschäftigten gefällt (C-65/23 vom 19. Dezember 2024). Der EuGH entschied, dass Betriebs- und Dienstvereinbarungen eine legitime Grundlage für die Verarbeitung von Beschäftigtendaten darstellen können. Diese dürfen jedoch nicht die Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) unterlaufen. Für Betriebsrat, Personalrat und Co. gilt es jetzt, bestehende betriebliche Vereinbarungen zu prüfen und gegebenenfalls anzupassen.

Datenschutz und Workday: 
Ausgangspunkt des Verfahrens

Doch der Reihe nach – wie kam es eigentlich zu dem Urteil und worum ging es genau? Den Anstoß hierfür gab ausgerechnet ein Betriebsrat-Vorsitzender.

Ein Konzernunternehmen verarbeitete Daten seiner Beschäftigten, insbesondere zu Abrechnungszwecken. Dies erfolgte mithilfe einer Software des Anbieters SAP unter Mitbestimmung des Betriebsrats. Die Konzernmutter mit Sitz in den USA entschied sich 2017, konzernweit die cloudbasierte Software „Workday“ als einheitliches IT-System im Personalwesen einzuführen. Wie oftmals im Rahmen der Mitbestimmung üblich, wurde für einen Testzeitraum eine Duldungsbetriebsvereinbarung zwischen den Betriebsparteien abgeschlossen. Diese regelte insbesondere auch Datenschutz-Bestimmungen, so etwa welche Daten mit Workday verarbeitet werden durften (u.a. Personalnummer, Name und Vorname der Beschäftigten). Die Wirkung der Duldungsvereinbarung wurde mehrmals verlängert, bis sie im Jahr 2019 durch eine endgültige Betriebsvereinbarung ersetzt wurde. 

Streitpunkt: Datenverarbeitung über die Betriebsvereinbarung hinaus

In diesem Zusammenhang stellte der Betriebsrat fest, dass das Unternehmen gegen Datenschutz-Bestimmungen der bisherigen Duldungsvereinbarung verstoßen hatte. Denn es hatte weitere Beschäftigtendaten – darunter private Kontaktdaten, Vergütungsdetails, Sozialversicherungsnummer und Staatsangehörigkeit – an die Server der Muttergesellschaft in den USA übermittelt. Der Betriebsrat erhob beim örtlichen Arbeitsgericht Klage. Der Betriebsratsvorsitzende argumentierte, dass die Verarbeitung dieser zusätzlichen Daten rechtswidrig war, da insbesondere die Erforderlichkeit dieser Übertragung nicht gegeben war. Zum Testen sei auch die Verarbeitung von fiktiven Daten ausreichend gewesen. Selbst wenn die Duldungsbetriebsvereinbarung eine gültige Grundlage für die Verarbeitung darstellte, sei die darin enthaltene Erlaubnis überschritten worden. Der Arbeitgeber wendete ein, dass die Verarbeitung dieser zusätzlichen Daten den Anforderungen der DSGVO entspräche. 

Der EuGH schafft Klarheit beim Datenschutz

Nachdem der Fall die deutschen Arbeitsgerichtsinstanzen durchlaufen hatte, legte das Bundesarbeitsgericht (BAG) dem EuGH unter anderem die Frage vor, ob eine nach Art. 88 DSGVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG – dahin auszulegen ist, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa die Grundsätze aus Art. 5 DSGVO oder die Rechtsgrundlagen aus Art. 6 DSGVO einzuhalten sind. 

Zur Erläuterung: Die DSGVO erlaubt den EU-Mitgliedsstaaten durch Öffnungsklauseln eigene nationale Vorschriften für bestimmte Bereiche aufzustellen. Art. 88 DSGVO ist eine solche Öffnungsklausel, speziell für den Beschäftigtendatenschutz. Sie legt fest, dass die Mitgliedstaaten spezifischere Vorschriften zur Verarbeitung und zum Datenschutz personenbezogener Beschäftigtendaten erlassen dürfen. Diese Vorschriften müssen geeignete und besondere Maßnahmen enthalten, um die Interessen und Grundrechte der betroffenen Beschäftigten zu wahren. Diese spezifischeren Vorschriften können zum Beispiel Gesetze, aber auch Betriebsvereinbarungen sein. Der Gesetzgeber in Deutschland nutzte diese Öffnungsklausel und stellte in § 26 des Bundesdatenschutzgesetzes (BDSG) Regelungen zum Datenschutz von Beschäftigten auf. So heißt es in Absatz 4 des Paragrafen, dass die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen, wie Betriebs- oder Dienstvereinbarungen, zulässig ist, wenn die Vorgaben aus Art. 88 DSGVO beachtet werden.

Datenschutz-Standards der DSGVO dürfen nicht unterschritten werden

Der EuGH entschied unmissverständlich: Die Öffnungsklausel für den Datenschutz von Beschäftigten erlaubt zwar nationale Regelungen – auch auf Basis von Betriebs- oder Dienstvereinbarungen. Diese müssen jedoch im Einklang mit der DSGVO stehen. Konkret darf jegliche Vereinbarung personenbezogener Daten den DSGVO-Standard nicht unterschreiten. Es müssen insbesondere die Grundprinzipien wie Zweckbindung oder Datenminimierung und die in Art. 6 DSGVO genannten Bedingungen zur Rechtmäßigkeit eingehalten werden. Somit wird klar, dass eine Betriebs- oder Dienstvereinbarung keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten sein kann. Sie darf die Vorgaben der DSGVO zwar spezifischer gestalten, aber weder über- noch unterschreiten. Auch durch das im Urteil betonte Prinzip der Erforderlichkeit müssen die durch eine Betriebs- oder Dienstvereinbarung geregelten Datenverarbeitungen wirklich notwendig für das Beschäftigungsverhältnis sein. 

Datenschutz: Gerichte dürfen prüfen, ob DSGVO-Standards eingehalten werden

Wenn also beispielsweise auch weniger Daten den konkret zu benennenden Zweck erfüllen würden oder kürzere Speicherzeiträume geboten wären, kann eine Betriebs- oder Dienstvereinbarung etwas anderes nicht einfach „legal machen“. Außerdem stellte der EuGH klar, dass Gerichte jede solcher Vereinbarungen vollständig prüfen können​. Auch wenn Betriebsparteien bei der Gestaltung einer Betriebs- oder Dienstvereinbarung Ermessensspielräume haben, dürfen die Gerichte ohne Einschränkung kontrollieren, ob wirklich alle DSGVO-Voraussetzungen eingehalten sind. Das bedeutet: Wenn ein Arbeitgeber und Betriebsrat zum Beispiel vereinbaren, zu Überwachungszwecken sehr viele Beschäftigtendaten zu erfassen, kann ein Gericht hinterfragen, ob das wirklich erforderlich ist oder ob es im Datenschutz-Sinne verhältnismäßigere, datensparsamere Lösungen gäbe. Als Ergebnis könnten die Regelungen in der Vereinbarung als unwirksam erklärt werden.

Öffnungsklausel der DSGVO betrifft auch den öffentlichen Dienst

Die Entscheidung betraf zwar einen Betriebsrat in einem privaten Unternehmen, wirkt sich jedoch mittelbar auch auf den öffentlichen Dienst aus. Artikel 88 DSGVO spricht allgemein von Kollektivvereinbarungen im Beschäftigungskontext. Hierzu zählen Betriebsvereinbarungen ebenso wie Dienstvereinbarungen. Betriebsrat und Personalrat sitzen hier also im selben Boot. Beide können im Rahmen ihrer Mitbestimmungsrechte Betriebs- bzw. Dienstvereinbarungen mit dem Arbeitgeber/Dienstherrn schließen, und beide Arten von Vereinbarungen müssen die DSGVO-Vorgaben erfüllen, wenn es um die Verarbeitung personenbezogener Beschäftigtendaten und deren spezifische Schutzmaßnahmen geht. 

In puncto Datenschutz jetzt handeln: 
Betriebs- und Dienstvereinbarungen überprüfen

Durch das EuGH-Urteil geraten bestehende Vereinbarungen zu Datenverarbeitungen nun gegebenenfalls auf den Prüfstand. Viele Unternehmen und Behörden haben in der Vergangenheit Betriebs- oder Dienstvereinbarungen genutzt, um den Einsatz von IT-Systemen zu regeln – oft verbunden mit der Verarbeitung zahlreicher Beschäftigtendaten. § 26 Abs. 4 BDSG bot scheinbar einen bequemen Rechtsrahmen: Wenn eine Betriebs- oder Dienstvereinbarung existierte, ging man davon aus, die Datenverarbeitung sei damit automatisch legitimiert. Der EuGH hat jetzt jedoch deutlich gemacht, dass § 26 Abs. 4 BDSG hierfür kein Freibrief ist. 

In der Folge sind jetzt kritische Prüfungen der bestehenden Betriebs- und Dienstvereinbarungen und gegebenenfalls Anpassungen erforderlich. Hierfür sollten Beschäftigtenvertretungen jetzt aktiv werden und ihre Betriebs- und Dienstvereinbarungen in einem ersten Schritt sichten. Ziel dieser ersten Bestandsaufnahme ist es, alle betroffenen Betriebs- oder Dienstvereinbarungen zu identifizieren: Vereinbarungen über Arbeitszeiterfassungssysteme, digitale Personalakten oder zu anderen IT-Systemen sind genauso in den Blick zu nehmen wie Vereinbarungen zum Arbeits- und Gesundheitsschutz, wie zum Beispiel eine Betriebsvereinbarung zur Gefährdungsbeurteilung. Kurz: Alle Vereinbarungen, die Regelungen zum Umgang mit personenbezogenen Beschäftigtendaten beinhalten, gehören auf den Prüfstand. 

Diese Fragen helfen bei der Prüfung der Datenschutz-Regelungen

Die betroffenen Vereinbarungen sollten im zweiten Schritt auf nachfolgende mögliche Punkte überprüft werden:

  • Gilt die Betriebs-/Dienstvereinbarung nicht als alleinige Erlaubnisgrundlage für die Datenverarbeitung?
  • Enthält die Vereinbarung statt einer bloßen wörtlichen Übernahme von DSGVO-Bestimmungen wirklich spezifischere, auf die konkrete Verarbeitungssituation abgestimmte Maßnahmen?
  • Sind die in der Vereinbarung genannten Verarbeitungszwecke klar und eng gefasst?
  • Werden wirklich nur die erforderlichen Daten für die genannten Zwecke verarbeitet?
  • Sind die Speicherfristen auf das erforderliche Maß begrenzt?
  • Wird ein klar definiertes Rollen- und Berechtigungskonzept festgelegt und „gelebt“, das dem Need-to-know-Prinzip entspricht?
  • Wurden weitere spezifischere Maßnahmen (z.B. Pseudo-/oder Anonymisierung, Protokollierung von Zugriffen) für den Schutz der Beschäftigten ergriffen und sind diese ausreichend?
  • Bestehen weitere Abweichungen von den DSGVO-Standards?

Es ist empfehlenswert, den betrieblichen/behördlichen Datenschutzbeauftragten einzubeziehen. Dieser kann helfen, die Datenschutzkonformität der Regelungen zu beurteilen. Beim Prüfen kann der Betriebs- oder Personalrat natürlich auch externen Sachverstand hinzuziehen. Die Inanspruchnahme von Schulungsangeboten für die Interessenvertretung können ebenfalls sinnvoll sein, um die Anforderungen der DSGVO besser einschätzen zu können.

Nachbessern oder kündigen: 
Strategien für die Verhandlung

Wenn bei der Prüfung der Betriebs- bzw. Dienstvereinbarungen Lücken oder Verstöße gefunden werden, ist es empfehlenswert, dass sich das Gremium in einem dritten Schritt bereits vor der Meldung beim Arbeitgeber bzw. der Dienststelle Gedanken über sinnvolle ergänzende oder ersetzende Regelungen macht. Im Anschluss können die Betriebsparteien über die entsprechenden Punkte der Vereinbarung im letzten Schritt nachverhandeln. 

In der Regel haben beide Seiten ein Interesse daran, nicht in einer Grauzone zu arbeiten, sodass die bestehenden Vereinbarungen im Zuge der Verhandlungen zum Beispiel durch Ergänzungsprotokolle oder das Hinzufügen von Anlagen angepasst werden können. Bei grundlegendenden Datenschutz-Mängeln oder auch alten Vereinbarungen, die sehr weit weg von DSGVO-Standards sind, kann die Betriebs- bzw. Dienstvereinbarung auch komplett neuverhandelt werden. Sollte der Arbeitgeber/die Dienststelle Änderungen der bestehenden Vereinbarungen ablehnen, kann der Betriebs- bzw. Personalrat eine Kündigung der Vereinbarung als Druckmittel nutzen, um den Partner an den Verhandlungstisch zu bringen. Doch Achtung: Eine Kündigung einer Betriebs- oder Dienstvereinbarung, die keine Nachwirkung enthält, will gut überlegt sein, damit nicht zwischenzeitlich gar keine Regelung existiert. 

Datenschutz als gemeinsame Chance: 
Wir unterstützen euch

Zur guten Praxis der Betriebs- und Personalratsarbeit gehört es auch, dass der Betriebsrat oder Personalrat die abgeschlossenen Vereinbarungen auch zukünftig regelmäßig auf geänderte Anforderungen oder hinsichtlich der Lebbarkeit der geregelten Verfahren überprüft. Hierfür ist es sinnvoll, feste Prüftermine zu etablieren – zum Beispiel jede erste Woche im Dezember. 

Insgesamt sollten Betriebs- und Personalräte das Urteil als Rückenwind sehen, um mit dem Arbeitgeber gemeinsam hohe Datenschutzstandards umzusetzen. Beide Seiten profitieren davon: Die Beschäftigten genießen mehr Schutz und Vertrauen, der Arbeitgeber bzw. die Dienststelle vermeidet Rechtsrisiken. Gerne unterstützen wir euch bei der Prüfung bestehender Vereinbarungen oder in den Verhandlungen neuer Regelungen, um gemeinsam datenschutzgerechte und beschäftigtenorientierte Lösungen zu gestalten. 

Jetzt Unterstützung zur Prüfung einer Vereinbarung bei der TBS anfordern.