DA+

Aufsatz : Betriebsvereinbarungen zur Lösung der Anforderungen an den § 26 BDSG : aus der RDV 6/2023, Seite 349-352

Das Ende nationaler Erlaubnistatbestände im Beschäftigtendatenschutz? – Eine Analyse von EuGH C-34/21 (30.03.2023)

Lesezeit 8 Min.

Am 30. März 2023 fällte der Europäische Gerichtshof (EuGH) das wegweisende Urteil C-34/21[1] , welches künftig erhebliche Auswirkungen auf den nationalen Beschäftigtendatenschutz in Deutschland und insbesondere auf die Anwendung nationaler Erlaubnistatbestände, nicht nur des BDSG, haben dürfte. Das Urteil stellt die Anwendung bisheriger nationaler Vorschriften im Kontext der Verarbeitung von Beschäftigtendaten in Frage und löst seither eine Debatte über die Konformität nationaler Gesetze mit der Datenschutz-Grundverordnung (DS-GVO) und (erneut) der Notwendigkeit eines umfassenden Beschäftigtendatenschutzgesetzes[2] in Deutschland aus. Bezogen auf die Ausführungen des EuGH zu den Anforderungen der Umsetzung des Rechtsrahmens in Art. 88 Abs. 2 DS-GVO, dürfte das Urteil jedoch neben den Konsequenzen auf die Anwendung nationaler Rechtsvorschriften auch Einfluss auf die Anwendung und insbesondere Ausgestaltung von Betriebsvereinbarungen[3] , welche die Verarbeitung von Beschäftigtendaten zum Gegenstand haben, nehmen. Die nachstehende Analyse greift diesen Aspekt auf und zeigt Lösungen für die datenschutzkonforme Ausgestaltung von Betriebsvereinbarungen auf.

I. Konsequenzen des Urteils

Das Urteil des EuGH in der Rechtssache C-34/21 strahlt weitreichende Konsequenzen für den Beschäftigtendatenschutz in Deutschland aus. Insbesondere in Bezug auf die Anwendung nationaler Erlaubnistatbestände bzgl. des Beschäftigtendatenschutzes, wie sie im urteilsgegenständlichen §  23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDISG) und des dahingehend wortgleichen § 26 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) zu finden sind, führt das Urteil des EuGH zu notwendigen Korrekturen. Der EuGH stellt im Urteil klar, dass Vorschriften zum Beschäftigtendatenschutz, welche nur Anforderungen wiederholen, die die DS-GVO selbst bereits für Datenverarbeitungen aufstellt – im vorliegenden Fall Art. 6 Abs. 1 lit. b DS-GVO – oder auf diese verweisen, keine spezifischeren Vorschriften im Sinne des Art. 88 Abs. 1 DS-GVO darstellen. Sie enthielten insoweit ebenfalls nicht die erforderlichen besonderen Maßnahmen zum Schutz der Beschäftigten nach Art. 88 Abs. 2 DS-GVO. Die vorgenannten Vorschriften erfüllen mithin nicht die Voraussetzungen zur nationalen Rechtssetzung nach der Öffnungsklausel des Art. 88 DS-GVO und sind daher als europarechtswidrig einzustufen.

Die Konsequenzen dieses Urteils führen nun dazu, dass bisherige Verarbeitungen von Beschäftigtendaten, die auf nationalen Erlaubnistatbeständen wie dem § 23 HDISG oder § 26 Abs. 1 BDSG basieren, zukünftig gemäß Art. 6 Abs. 1 lit. b DS-GVO bewertet werden müssten. Aufgrund der Wiederholung des Regelungsgehalts des Art. 6 Abs. 1 lit. b DS-GVO in genannten nationalen Rechtsvorschriften hat das Urteil für die bisherige Praxis aktuell noch keine gravierenden Folgen, da die Rechtsgrundlagen in der datenschutzrechtlichen Dokumentation der Verantwortlichen zunächst lediglich aus getauscht werden müssen. Zusätzliche oder andere Anforderungen an das Vorliegen der Tatbestandsvoraussetzungen für die Verarbeitung personenbezogener Beschäftigtendaten nach Art.  6 Abs.  1 lit.  b DS-GVO entstehen nicht. Anderes könnte sich für die Beurteilung der Anwendung bzw. der Ausgestaltung von Betriebsvereinbarungen ergeben, die die Verarbeitung personenbezogener Beschäftigtendaten zum Gegenstand haben. Der EuGH hat in seinem Urteil deutlich gemacht, dass es neben der Vermeidung schlichter Wiederholungen der Bestimmungsinhalte der DS-GVO im Wesentlichen darauf ankommt, dass nationale Regelungen konkrete Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen enthalten und auf den Schutz der Rechte und Freiheiten der Beschäftigten bei der Verarbeitung personenbezogener Daten im Beschäftigungskontext abzielen müssen,[4] um den Anforderungen an eine „spezifischere Regelung“ nach Art.  88 DS-GVO zu genügen. Die Öffnungsklausel des Art. 88 DS-GVO umfasst nicht nur nationale Rechtsvorschriften, sondern gilt auch zugunsten von Kollektivvereinbarungen. Das bedeutet, dass die Ausführungen des EuGH zur Ausgestaltung des Rechtsrahmens von Art. 88 DS-GVO ebenfalls auf die Gestaltung von Betriebsvereinbarungen Auswirkung haben dürften – vor allem dann, wenn diese von den Betriebsparteien als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten Anwendung finden.

II. Auswirkungen auf Betriebsvereinbarungen gemäß § 87 Nr. 6 BetrVG

Im Zuge der Digitalisierung hat die Betriebsvereinbarung zur Umsetzung der Mitbestimmungspflicht bei der Einführung und Anwendung technischer Systeme gemäß § 87 Nr. 6 Betriebsverfassungsgesetz (BetrVG) jüngst an zentraler Bedeutung gewonnen. Neben der Gewährleistung der Umsetzung von Mitbestimmungsrechten dient sie den Betriebsparteien immer häufiger, insbesondere im Falle von Rechtsunsicherheiten bei der datenschutzkonformen Verarbeitung in komplexen Systemen, wie bspw. MS 365, als Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten. Obwohl der nationale Gesetzgeber die Notwendigkeit der Umsetzung der Vorgaben aus Art. 88 Abs. 2 DS-GVO für Betriebsvereinbarungen erfasst und entsprechend in § 26 Abs. 4 S. 2 BDSG statuiert hat, war in der Praxis zu beobachten, dass diese Vorgaben oft vernachlässigt oder nur sehr oberflächlich in Betriebsvereinbarungen abgehandelt wurden. Vor dem Hintergrund der dargestellten EuGH-Rechtsprechung dürften oberflächliche Regelungen zur Beachtung datenschutzrechtlicher Vorgaben durch die Betriebsparteien oder Verweise auf die Einhaltung der datenschutzrechtlichen Grundsätze des Art. 5 DS-GVO bei der Verarbeitung von Beschäftigtendaten den gesetzlichen Anforderungen des Art. 88 Abs. 2 DS-GVO wohl kaum noch genügen. Vielmehr bedarf es konkreter Vereinbarungen, vor allen zu folgenden Datenschutzaspekten und daraus abzuleitender Maßnahmen:

  • Transparenz bezüglich der genutzten Anwendungen/ Systeme und Schnittstellen sowie der erforderlichen Datenkategorien,
  • konkrete Beschreibung der Zwecke der Verarbeitung (Zweckbindung),
  • Maßnahmen zur Datenminimierung bei Erhebung, Zugriff und Weitergabe von Daten,
  • Festlegung von Korrekturmöglichkeiten, Löschfristen und Sicherheitsmaßnahmen.

Bestehende und künftige Betriebsvereinbarungen werden sich hieran messen lassen müssen. Wie und in welchem Umfang, wird mitunter die noch ausstehende EuGH-Entscheidung zum aktuellen Vorlagebeschluss des BAG[5]zeigen.

III. Gestaltungsmöglichkeiten für die Konkretisierung von Maßnahmen gemäß Art. 88 Abs. 2 DS-GVO

Um eine Überlastung bei der Anpassung von Betriebsvereinbarungen im Zuge der EuGH-Rechtsprechung zu vermeiden, wird empfohlen, zunächst eine Rahmenbetriebsvereinbarung zur Einführung und Nutzung von IKT-Systemen im Unternehmen abzuschließen.

Die Rahmenbetriebsvereinbarung soll zunächst belastbare Regelungen im Datenschutz gemäß den Grundsätzen von Art.  5 DS-GVO sicherstellen. Weitere Voraussetzung für die Vermeidung ausufernder Regelungen ist hier, dass das Unternehmen bereits entsprechende Leit- und Richtlinien sowie ein funktionierendes Datenschutzmanagementsystem implementiert hat, auf welches innerhalb der Rahmenbetriebsvereinbarung Bezug genommen werden kann. Darüber hinaus sollte die Vereinbarung im nächsten Schritt in Form einer Anlage spezifische Anforderungen an Regelungen und Prozessbeschreibungen aufführen, um den Vorgaben von Art. 88 Abs. 2 DS-GVO zu begegnen.

Die Implementierung einer Rahmenbetriebsvereinbarung kann zusätzlich dazu beitragen, die Mitbestimmung im Sinne des §  87 Nr.  6 BetrVG zu vereinfachen und zu standardisieren. Darüber hinaus kann sie Rahmenbetriebsvereinbarung geeignetes Mittel sein, um die gegenseitige Unterstützungspflicht der Betriebsparteien bei der Einhaltung datenschutzrechtlicher Vorschriften bei der Verarbeitung von Beschäftigtendaten nach § 79a BetrVG abzubilden.

Eine Rahmenbetriebsvereinbarung unter Berücksichtigung der Ausführungen des EuGH in C-34/21 könnte die folgenden Regelungsinhalte umfassen:

  • Geltungsbereich: Der sachliche Geltungsbereich umfasst die Einführung, Anwendung und Weiterentwicklung von IT-Systemen, die zur automatisierten Verarbeitung von Beschäftigtendaten verwendet werden.
  • Begriffsdefinitionen: Klärung von Schlüsselbegriffen, einschließlich der Definition von IT- und Kommunikationssystemen, Verarbeitungstätigkeiten und Verweisen auf die Begriffsbestimmungen der DS-GVO und des BDSG.
  • Allgemeine Regelungen für die Einführung und Anwendung von IT-Systemen: Festlegung von Regeln für den Betrieb, die Wartung und den Zugriff auf IT-Systeme, einschließlich Fernzugriffen zu Wartungszwecken.
  • Regelungen für einzelne IT-Systeme: Bestimmungen zur Einführung, Änderung und Aktualisierung von ITSystemen, einschließlich des Erfordernisses der Mitbestimmung des Betriebsrats.
  • Einbindung des Betriebsrats: Bestimmung der Informationspflichten des Arbeitgebers gegenüber dem Betriebsrat bei der Einführung neuer IT-Systeme.
  • Weitere Regelungen zum Datenschutz: Rechtsgrundlagen der Verarbeitung, Informationspflichten und Pflichten gemäß der DS-GVO und des BDSG sowie Verweise auf bestehende Datenschutzrichtlinien des Unternehmens.
  • Weitere Angaben und Beschwerdestelle: Benennung der verantwortlichen Stelle für die Datenverarbeitung und Information der Mitarbeiter über ihre Rechte zur Beschwerde bei der zuständigen Datenschutzbehörde.
  • Anlage zur Rahmenbetriebsvereinbarung: Hier sollen wie oben aufgeführt die konkreten Maßnahmen im Sinne von Art. 88 Abs. 2 DS-GVO für das einzelne IT-System (Arbeitszeiterfassung, HRIS etc.) dargestellt werden, u.a.:
  • Kurzbeschreibung des Systems
  • Datenkategorien
  • Berechtigungskonzept (Zugriff, Weitergabe etc.)

Der Vorteil der Verwendung von Anlagen für einzelne IT-Systeme liegt zusätzlich darin, dass die Erforderlichkeit separater Betriebsvereinbarungen für einzelne IT-Systeme, welche jedes Mal die datenschutzrechtlichen Grundsätze für die Verarbeitung von Beschäftigtendaten wiederholen, künftig entfällt und damit der Umfang an Vereinbarungen dadurch reduziert wird, dass „ein“ (Datenschutz-)Standard von den Betriebsparteien für die Einführung und Anwendung von ITSystemen generiert wird.

IV. Schlussfolgerung

Das Urteil des EuGH in der Rechtssache C-34/21 markiert einen Wendepunkt im Beschäftigtendatenschutz. Ob und inwieweit das Urteil des EuGH zu einer umfassenden Änderung oder Anpassung des nationalen Rechtsrahmens im Beschäftigtendatenschutz führen wird, bleibt noch abzuwarten. Es sollte den deutschen Gesetzgeber jedoch insgesamt zu einer Überprüfung nationaler Rechtsvorschriften im Datenschutz auf Europarechtskonformität veranlassen. In Unternehmen sollte es dahingehend Beachtung finden, dass diese die Bedeutung für eine detaillierte Datenschutzdokumentation sowie den potenziellen Handlungsbedarf bei der Prüfung bestehender und der Ausgestaltung künftiger Betriebsvereinbarungen erkennen. Gleichzeitig können Sie die Standardisierungsmöglichkeit nutzen, um wesentliche Anforderungen für die Einhaltung datenschutzrechtlicher Vorgaben bei der Einführung und Verwendung technischer Einrichtungen im Sinne des § 87 Nr. 6 BetrVG in einer Rahmenbetriebsvereinbarung abzubilden.

Arnd Fackeldey unterstützt seit Oktober 2018 als geschäftsführender Gesellschafter der Digital Compliance Consulting GmbH Konzerne sowie KMU bei der Umsetzung von Datenschutzanforderungen der DS-GVO.

Kinga Möller ist seit 2017 für die VUV-Beratungs- und Service GmbH, einer Tochtergesellschaft des Arbeitgeberverbandes VUV – Vereinigte Unternehmerverbände Aachen e.V., tätig, wo Sie seit 2020 auch die Abteilung Datenschutz leitet.

[1] Https://curia.europa.eu/juris/document/document.jsf?text=&docid=272066&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1.

[2] Bereits im Jahr 2010, weit vor der DS-GVO hatte die damalige Bundesregierung einen Entwurf für ein Beschäftigtendatenschutzgesetz (BT-Drs. 17/4230) verfasst. Seither konnte keine politische Einigung für ein solches erzielt werden. So steht auch der aktuelle Entwurf für ein Eckpunktepapier von BMAS und BMI zu einem neuen Beschäftigtendatenschutzgesetz, welches nach dem Urteil des EuGH Auftrieb bekam, ebenfalls unter heftiger Kritik

[3] So hat das BAG aktuell bereits über die Auslegung des Art. 88 Abs. 2 DS-GVO hinsichtlich des gerichtlichen Prüfungsumfangs bei der Ausgestaltung von Betriebsvereinbarungen ein Vorlageverfahren angestrengt (Beschluss vom 22.09.2022; 8 AZR209/21).

[4] EuGH, Urteil vom 30.03.2023, C-34/21, Rz. 65, 66.

[5] Siehe Fußnote 3.