Datenverarbeitung im Beschäftigtenkontext

22. Juli 2025

Betriebsvereinbarungen müssen DSGVO-Vorgaben einhalten

Die Entscheidung des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-65/23 befasst sich umfassend mit der Auslegung der Datenschutz-Grundverordnung (DSGVO) im Kontext der Verarbeitung personenbezogener Daten von Beschäftigten. Diese Entscheidung ist von großer Bedeutung, da sie die Anforderungen präzisiert, die nationale Rechtsvorschriften und Kollektivvereinbarungen erfüllen müssen, um mit der DSGVO im Einklang zu stehen. Der EuGH stellt klar, dass nationale Regelungen und Vereinbarungen nicht nur die spezifischen Anforderungen von Art. 88 Abs. 2 DSGVO erfüllen müssen, sondern auch die allgemeinen Grundsätze und Bestimmungen der DSGVO, insbesondere die in Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 genannten.

Hintergrund des Falls

Der Kläger, MK, ist bei der K GmbH beschäftigt und Vorsitzender des Betriebsrats. Ursprünglich verarbeitete die K GmbH bestimmte personenbezogene Daten ihrer Beschäftigten, insbesondere zu Abrechnungszwecken im Rahmener Nutzung einer SAP-Software und schloss hierzu mit ihrem Betriebsrat mehrere Betriebsvereinbarungen ab.

Im Jahr 2017 führte die K GmbH, die Teil des D-Konzerns ist, konzernweit die cloudbasierte Software Workday als einheitliches Personal-Informationsmanagementsystem ein. In diesem Rahmen wurden personenbezogene Daten der Beschäftigten, einschließlich sensibler Daten wie private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummern, Steuer-Identifikationsnummern, Staatsangehörigkeiten und Familienstände, auf einen Server der Muttergesellschaft des D-Konzerns in den USA übertragen.

Am 3. Juli 2017 unterzeichneten die K GmbH und ihr Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“, die unter anderem verbot, diese Software während des Testzeitraums für die Personalverwaltung und damit beispielsweise auch für die Bewertung von Arbeitnehmern zu verwenden.

MK erhob Klage auf Zugang zu bestimmten Informationen, Löschung seiner Daten und Schadensersatz, da er der Ansicht war, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig war. Er argumentierte, dass die Übertragung dieser Daten weder für das Arbeitsverhältnis noch für die Erprobung der Software erforderlich gewesen sei und dass die Duldungs-Betriebsvereinbarung, die diese Verarbeitung erlaubte, überschritten worden sei. Insbesondere machte er geltend, dass die Beklagte des Ausgangsverfahrens ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-Betriebsvereinbarung nicht genannt seien, insbesondere seine privaten Kontaktdaten, seine Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-Identifikationsnummer, seine Staatsangehörigkeit und sein Familienstand.

Vorlagefragen des Bundesarbeitsgerichts

Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor, um zu klären, ob nationale Rechtsvorschriften und Kollektivvereinbarungen, die die Verarbeitung personenbezogener Daten im Beschäftigungskontext regeln, auch die allgemeinen Anforderungen der DSGVO erfüllen müssen. Die Fragen zielten darauf ab, ob solche nationalen Regelungen und Vereinbarungen nicht nur die spezifischen Anforderungen von Art. 88 Abs. 2 DSGVO, sondern auch die allgemeinen Grundsätze der Datenverarbeitung (Art. 5), die Rechtmäßigkeitsvoraussetzungen der Verarbeitung (Art. 6) und die Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) einhalten müssen. Das Bundesarbeitsgericht wollte insbesondere wissen, ob die Verarbeitung personenbezogener Daten im Beschäftigungskontext den Grundsätzen der Datenminimierung, der Rechtmäßigkeit und der Erforderlichkeit entsprechen muss.

Erste Frage

Der EuGH stellt fest, dass nationale Rechtsvorschriften und Kollektivvereinbarungen, die auf Art. 88 Abs. 1 DSGVO basieren, nicht nur die spezifischen Anforderungen von Art. 88 Abs. 2 DSGVO erfüllen müssen, sondern auch die allgemeinen Anforderungen der DSGVO, insbesondere die in Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 genannten. Dies bedeutet, dass die Verarbeitung personenbezogener Daten im Beschäftigungskontext auch den Grundsätzen der Datenminimierung, der Rechtmäßigkeit und der Erforderlichkeit entsprechen muss. Der EuGH betonte, dass die Mitgliedstaaten und die Parteien von Kollektivvereinbarungen sicherstellen müssen, dass ihre Vorschriften und Vereinbarungen die Rechte und Freiheiten der Beschäftigten schützen und mit den allgemeinen Anforderungen der DSGVO im Einklang stehen. Dies schließt ein, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn sie für die Erfüllung eines Vertrags, zur Erfüllung einer rechtlichen Verpflichtung, zum Schutz lebenswichtiger Interessen, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Wahrung berechtigter Interessen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Zweite Frage

Der EuGH entschied, dass der Spielraum der Parteien einer Kollektivvereinbarung bei der Bestimmung der Erforderlichkeit einer Datenverarbeitung im Sinne der DSGVO das nationale Gericht nicht daran hindert, eine umfassende gerichtliche Kontrolle auszuüben. Die Mitgliedstaaten und die Parteien von Kollektivvereinbarungen müssen sicherstellen, dass ihre Vorschriften und Vereinbarungen die Rechte und Freiheiten der Beschäftigten schützen und mit den allgemeinen Anforderungen der DSGVO im Einklang stehen. Der EuGH stellt klar, dass die gerichtliche Kontrolle speziell darauf gerichtet sein muss, ob die Verarbeitung solcher Daten im Sinne der Artt. 5, 6 und 9 DSGVO erforderlich ist. Dies bedeutet, dass die nationalen Gerichte die Einhaltung aller Voraussetzungen und Grenzen, die die Bestimmungen der DSGVO für die Verarbeitung personenbezogener Daten vorschreiben, uneingeschränkt überprüfen können. Der EuGH betonte, dass die Parteien einer Kollektivvereinbarung nicht über eine Beurteilungsbefugnis verfügen, die es ihnen erlauben würde, die Voraussetzung der Erforderlichkeit weniger streng anzuwenden oder darauf zu verzichten.

Dritte Frage

Da die zweite Frage bejaht wurde und der EuGH feststellte, dass nationale Gerichte eine umfassende gerichtliche Kontrolle ausüben können, war eine Beantwortung der dritten Frage nicht erforderlich.

Implikationen für Arbeitgeber und die Verhandlungen von Betriebsvereinbarungen

Die Entscheidung des EuGH hat weitreichende Implikationen für Arbeitgeber und die Verhandlungen von Betriebsvereinbarungen. Arbeitgeber müssen sicherstellen, dass jede Verarbeitung personenbezogener Daten ihrer Beschäftigten nicht nur den spezifischen Anforderungen von Art. 88 Abs. 2 DSGVO entspricht, sondern auch den allgemeinen Grundsätzen und Bestimmungen der DSGVO, insbesondere den in Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 genannten. Dies bedeutet, dass Arbeitgeber bei der Einführung neuer Systeme oder Verfahren zur Verarbeitung personenbezogener Daten sorgfältig prüfen müssen, ob diese wirklich erforderlich sind und ob sie den Grundsätzen der Datenminimierung und Rechtmäßigkeit entsprechen.

Für die Verhandlungen von Betriebsvereinbarungen bedeutet dies, dass die Betriebsparteien (Arbeitgeber und Betriebsrat) einen erhöhten Sorgfaltsmaßstab anlegen müssen. Sie müssen sicherstellen, dass die Vereinbarungen detaillierte Regelungen enthalten, die den Schutz der personenbezogenen Daten der Beschäftigten gewährleisten. Dies umfasst auch die Verpflichtung, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten und unbefugte Zugriffe zu verhindern.

Darüber hinaus müssen die Betriebsparteien darauf achten, dass die Vereinbarungen transparent sind und die Beschäftigten umfassend über die Datenverarbeitungsprozesse informiert werden. Dies schließt ein, dass die Zwecke der Datenverarbeitung klar definiert und die betroffenen Datenkategorien genau benannt werden. Die Einhaltung dieser Anforderungen wird von den nationalen Gerichten umfassend überprüft, was bedeutet, dass Betriebsvereinbarungen einer strengen gerichtlichen Kontrolle unterliegen können.

Insgesamt erfordert die Entscheidung des EuGH von Arbeitgebern und Betriebsräten eine enge Zusammenarbeit und eine sorgfältige Planung bei der Ausgestaltung von Betriebsvereinbarungen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Beschäftigungskontext den hohen Anforderungen der DSGVO entspricht und die Rechte und Freiheiten der Beschäftigten gewahrt bleiben.

Zusammenfassung der Entscheidung

Die Entscheidung des EuGH betont die Notwendigkeit, dass nationale Rechtsvorschriften und Kollektivvereinbarungen, die die Verarbeitung personenbezogener Daten im Beschäftigungskontext regeln, nicht nur die spezifischen Anforderungen von Art. 88 DSGVO, sondern auch die allgemeinen Anforderungen der DSGVO erfüllen müssen. Kollektivvereinbarungen, einschließlich Betriebsvereinbarungen, können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. Diese Vorschriften müssen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. Die Verarbeitung personenbezogener Daten auf der Grundlage von Kollektivvereinbarungen ist zulässig, wenn die Verhandlungspartner Art. 88 Abs. 2 DSGVO beachten und sicherstellen, dass die Verarbeitung den Grundsätzen der Datenminimierung, der Rechtmäßigkeit und der Erforderlichkeit entspricht. Dies stellt sicher, dass ein hohes Schutzniveau für die Rechte und Freiheiten der Beschäftigten gewährleistet wird. Nationale Gerichte haben die Befugnis, eine umfassende Kontrolle auszuüben, um sicherzustellen, dass diese Anforderungen eingehalten werden. Der EuGH stellte klar, dass die Mitgliedstaaten und die Parteien von Kollektivvereinbarungen sicherstellen müssen, dass ihre Vorschriften und Vereinbarungen die Rechte und Freiheiten der Beschäftigten schützen und mit den allgemeinen Anforderungen der DSGVO im Einklang stehen. Dies schließt ein, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn sie für die Erfüllung eines Vertrags, zur Erfüllung einer rechtlichen Verpflichtung, zum Schutz lebenswichtiger Interessen, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Wahrung berechtigter Interessen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Über die Autorin

Dr. Inka Knappertsbusch, LL.M.


Die Fachanwältin für Arbeitsrecht und betriebliche Datenschutzbeauftragte (IHK) berät Mandant*innen insbesondere zu IT und KI im Arbeitskontext sowie zu New Work und zu Datenschutzfragen im Beschäftigungskontext. Sie ist Mitherausgeberin der Bücher „Arbeitswelt und KI 2030“ und „Die Zukunft der Arbeit“.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.