Aufsatz : Was bleibt von der Betriebsvereinbarung nach dem Entwurf des Beschäftigtendatengesetzes? : aus der RDV 6/2025, Seite 301 bis 308

III. Die Historie der BV als Rechtsgrundlage

1. BDSG (1977)

Das erste, 1977 erlassene BDSG enthielt in den §§ 23-25 BDSG Erlaubnistatbestände, die als Vorläufer der heutigen Rechtsgrundlage der „Wahrnehmung berechtigter Interessen“ im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO angesehen werden können. Nach diesen Regelungen durfte die „speichernde Stelle“ – so die Bezeichnung des Vorläufers des heutigen „Verantwortlichen“ – personenbezogene Daten speichern, übermitteln oder verändern, wenn dies zur Wahrung ihrer berechtigten Interessen erforderlich war und kein Grund zur Annahme bestand, dass dadurch schutzwürdige Belange „des Betroffenen“ beeinträchtigt werden. Der Wortlaut der Regelungen stellte nur auf eine singulär betroffene Person ab. Im Rahmen der Interessensabwägung auf die Belange jedes einzelnen Betroffenen abzustellen, stellte für Arbeitgeber oftmals eine nicht zu realisierende Herausforderung dar. Denn wie sollten sie auf die Belange aller Beschäftigten individuell eingehen? Und was sollten sie machen, wenn sie nach einer individuellen Abwägung der Interessen von mehreren Beschäftigen zu unterschiedlichen Ergebnissen kamen?

2. BAG: BV ist eine „andere Rechtsvorschrift“ im Sinne des § 3 BDSG

Mit diesem Dilemma mussten sich deshalb schon bald die Gerichte beschäftigten. Im Jahr 1986 erließ das BAG eine Grundsatzentscheidung^[3] mit enormer Tragweite. Das Gericht erlaubte das Abstellen auf die Belange einer Vielzahl von Betroffenen, z.B. der Belegschaft eines Betriebes, im Rahmen einer Interessensabwägung von Arbeitgeber und Betriebsrat. Rechtssystematisch sah das BAG, wie auch schon die seinerzeitige herrschende Literaturmeinung,^[4] eine Betriebsvereinbarung im Sinne des § 77 BetrVG als eine „andere Rechtsvorschrift“ im Sinne des § 3 BDSG (1977) an. Gem. § 3 BDSG (1977) war die Verarbeitung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder das BDSG oder eine „andere Rechtsvorschrift“^[5]dies erlaubt. Das BAG vertrat die Auffassung, dass der Begriff der anderen Rechtsvorschriften weit auszulegen sei. Es sah keine Anzeichen dafür, dass der Gesetzgeber mit „Rechtsvorschriften“ nur von staatlichen Stellen beschlossene Rechtsvorschriften gemeint habe. Daher hatte es keine Bedenken Rechtsvorschriften im Rang unterhalb des Gesetzesrechts, wie das durch eine BV geschaffene betriebliche Recht als Rechtsgrundlage für die Verarbeitung personenbezogener Daten anzuerkennen.^[6] Diese Rechtsprechung wurde in Lehre und Praxis nahezu einhellig begrüßt.^[7]

3. Art. 88 DS‑GVO

Als man die DS‑GVO von deutscher Seite nicht mehr verhindern konnte, wollte man sie zumindest so gestalten, dass sie möglichst viele Spielräume für nationale Rechtsvorschriften zuließ. Zu den Datenverarbeitungen im Beschäftigungskontext brauchte die deutsche Ratsdelegation zahlreiche Änderungs- und Ergänzungsvorschläge in die Verhandlungen ein. Die Debatten hierüber führte dazu, dass Art. 88 DS‑GVO die umstrittenste Norm des Gesetzgebungsverfahrens wurde.^[8]Die Versuche, mitgliedstaatlich geschaffene Rechtsgrundlagen im Beschäftigungskontext zuzulassen, wurden alle zurückgewiesen.^[9] Die deutsche Ratsdelegation schaffte es aber, den Begriff der Kollektivvereinbarung in Art. 88 Abs. 1 DS‑GVO einzuführen und in ErwG  155 DS‑GVO die Klarstellung zu platzieren, dass darunter auch Betriebsvereinbarungen zu verstehen sind. Die herrschende Meinung in Deutschland interpretiert Art.  88 DS‑GVO als eine Öffnungsklausel „mit beachtlichen Freiräumen“^[10], die selbst eigenständige Rechtsgrundlagen zulässt.^[11]

4. § 26 BDSG (2018)

Von der Öffnungsklausel des Art. 88 DS‑GVO hat Deutschland ungewöhnlich rasch Gebrauch gemacht und mit §  26 BDSG (2018) Regelungen für die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ geschaffen. §  26 Abs.  4 BDSG sieht vor, dass die Verarbeitung von personenbezogenen Daten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Die Klarstellung, dass hierunter sowohl Tarifverträge als auch Betriebs- und Dienstvereinbarungen zu verstehen sind, hat der deutsche Gesetzgeber in der Gesetzesbegründung vorgenommen.^[12] Damit ist die Betriebsvereinbarung nach ganz herrschender Auffassung von Lehre^[13], Rechtsprechung^[14] und Aufsichtsbehörden^[15] zu einer eigenständigen gesetzlichen Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten geworden.

5. Zwischenergebnis

Weil sich der Wortlaut der Rechtsgrundlage des 1977iger BDSG bei der Interessensabwägung nur auf die Belange einzelner Personen bezog, hat die Rechtsprechung die BV gem. §  77 BetrVG als eigenständige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten anerkannt. Sie ermöglicht bei der durchzuführenden Interessensabwägung auf die Belange von Personenmehrheiten, wie z.B. Betriebsangehörige, abzustellen. Als „spezifischere Vorschrift“ wurde die Betriebsvereinbarung auf der Grundlage von Art.  88 DS‑GVO als eigenständige gesetzliche Rechtsgrundlage in § 26 Abs. 4 BDSG (2018) aufgenommen.

IV. Merkmale einer Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung

Die BV hat es zwar geschafft, als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ins Gesetz aufgenommen zu werden. Jedoch hat der deutsche Gesetzgeber weder die allgemeinen Merkmale einer BV noch die speziellen Tatbestandsmerkmale der BV als Rechtsgrundlage für die Verarbeitung kodifiziert. Für die Identifizierung der genannten Merkmale ist damit insbesondere auf Richterrecht zurückzugreifen.

1. Einigung der Betriebsparteien

Charakteristisches Element einer jeden BV im Sinne von § 77 BetrVG ist die Einigung von Betriebsrat und Arbeitgeber über eine betriebliche Angelegenheit. Bei einer BV als Rechtsgrundlage bezieht sie sich auf zu verarbeitenden personenbezogenen Daten und den oder die jeweiligen Zwecke.

2. Interessenabwägung

Bei einer BV als Rechtsgrundlage beruht die Einigung auf der Abwägung der Interessen des Arbeitgebers an der Datenverarbeitung und dem Interesse der Beschäftigten als Betroffene in ihrer Gesamtheit am Schutz ihrer personenbezogenen Daten.^[16]Diese Interessenabwägung nennt der Gesetzgeber des BDSG (2018) „Erforderlichkeitsprüfung“, bei der die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen sind.^[17]

3. Keine Prüfung der Erforderlichkeit der Datenverarbeitung

Mit Ausnahme der Einwilligung ist bei allen Rechtsgrundlagen der DS‑GVO zu prüfen, ob die Verarbeitung der personenbezogenen Daten zur Verwirklichung des Zwecks erforderlich ist um als rechtmäßig gelten zu können. Bis zum Zeitpunkt des BAG-Vorlagebeschlusses^[18] in der Rechtssache C-65/23 wurde die Frage, ob der Prüfung der Erforderlichkeit nicht eine gewisse Bedeutung zukommen müsse, nicht ernsthaft gestellt. Es war weder bei der Anerkennung der BV als andere Rechtsvorschrift noch bei der Kodifizierung von § 26 Abs. 4 BDSG ein Thema und folglich nie ein Merkmal einer Betriebsvereinbarung. Dieses Verständnis zeigte sich in der ambitionierten Schlussfolgerung, „dass das, was sich nach den Maßstäben des BDSG nicht rechtfertigen lässt, sehr wohl nach den Maßstäben einer Betriebsvereinbarung gerechtfertigt sein kann.“^[19]

4. Das Gesetz bildet die Grenze für die Ermessensentscheidung

Zu der Vorstellung, dass man über eine BV nahezu jede Datenverarbeitung rechtfertigen könne, passt auch die Feststellung des BAG, dass die Parteien einer BV nicht darauf beschränkt seien, nur unbestimmte Rechtsbegriffe des BDSG unter Berücksichtigung der betrieblichen Besonderheiten näher zu konkretisieren.^[20] Vielmehr könnten die Parteien auch von dem gesetzlichen Standard des BDSG abweichen. Auch wenn diese Rechtsauffassung der europäischen Datenschutzrichtlinie 46/95/EC widersprach, hielt sie sich lange. Erst mit dem Inkrafttreten des BDSG (2018) hat der Gesetzgeber klargestellt, dass die DS‑GVO den Rahmen des Ermessensspielraums für Betriebsparteien bildet.^[21]Die leidige, jahrzehntelang kontrovers geführte Diskussion, ob das gesetzliche Schutzniveau des BDSG bzw. der DS‑GVO durch eine BV unterschritten werden darf, kann damit als beendet gelten.^[22]

5. Eingeschränkte gerichtliche Überprüfbarkeit der Ermessensentscheidung einer BV

Mit Erlass des BetrVG 1952 hat der Gesetzgeber Arbeitgebern und Betriebsräten die Möglichkeit eingeräumt, autonom innerbetriebliches Recht zu schaffen. Nach der Rechtsprechung darf sich der Gesetzgeber im Rahmen einer an sich zulässigen Autonomiegewährung allerdings nicht der ihm zustehenden Rechtsetzungsbefugnis in Gänze entäußern.  Die Prinzipien der Rechtsstaatlichkeit und der Demokratie verlangen, dass wenn der Akt der Autonomieverleihung zu Eingriffen in den Grundrechtsbereich ermächtigt, Binnengrenzen eingehalten werden müssen. Diese ergeben sich nach der Rechtsprechung des BAG zum einen aus der Beachtung des höherrangigen Rechts, vor allem des Grundgesetzes, und zum anderen aus dem Grundsatz der Verhältnismäßigkeit. Die von den Betriebsparteien getroffene Regelung muss geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen.^[23] Insofern sind die von den Betriebsparteien in einer BV getroffenen Entscheidungen zwar gerichtlich überprüfbar, allerdings nur in eingeschränktem Umfang.

6. Zusammenfassende Beschreibung der BV als Rechtsgrundlage

Die BV als Rechtsgrundlage der Verarbeitung ist eine ausschließlich auf einer Interessenabwägung beruhende Einigung von Betriebsrat und Arbeitgeber über eine Verarbeitung von Beschäftigtendaten. Die Betriebsparteien haben hierbei zwar den durch die DS‑GVO gesetzten Rechtsrahmen bei ihrer Ermessensentscheidung zu beachten, eine gerichtliche Überprüfbarkeit ist allerdings nur in eingeschränktem Umfang möglich.

V. Kriterien zur Beurteilung der Europarechtskonformität der BV als Rechtsgrundlage

Ob die in § 26 Abs. 4 BDSG normierte BV als Rechtsgrundlage der Verarbeitung europarechtswidrig sein könnte, wurde bis zur Entscheidung des EuGH in der Rechtssache C-34/21 überwiegend verworfen.^[24] In dieser Entscheidung kam der EuGH zu dem Ergebnis, dass § 26 Abs. 1 S. BDSG keine unionsrechtskonforme spezifischere Vorschrift im Sinne von Art. 88 DS‑GVO ist. In der Rechtssache C-65/23, die eine Verarbeitung aufgrund einer BV betraf, hat der EuGH Kriterien aufgeführt, die mitgliedstaatliche spezifischere Vorschriften in Form von Kollektiv- bzw. Betriebsvereinbarungen erfüllen müssen. Auch nach dieser Entscheidung gab es weiterhin Stimmen, die bezweifelten, dass eine BV keine Rechtsgrundlage mehr sei. Dies mag daran liegen, dass der EuGH nicht festgestellt hat, dass die in § 26 Abs. 4 BDSG angelegte BV als Rechtsgrundlage europarechtswidrig ist. Das konnte er aber auch nicht, weil der EuGH eine diesbezügliche Frage nicht vorgelegt bekommen hat. In aller Regel antwortet der EuGH nur auf die Fragen, die ihm vorgelegt werden. Anzumerken ist hier auch darauf, dass die Sinnhaftigkeit und die Qualität einiger Vorlagefragen mitunter fragwürdig sind. Die des BAG gehören leider auch zu diesen.^[25] Dies kann dann dazu führen, dass EuGH-Urteile, wie das zu § 26 Abs. 4 BDSG, als „vage“^[26] oder „widersprüchlich“^[27] bewertet werden. Die Qualität der Vorlagefragen kann hier auch dazu geführt haben, dass der EuGH die durch das nationale Recht determinierten Komplexität der eigentlichen Rechtsfrage nicht vollständig erfasst hat. Dies betrifft insbesondere den Gesichtspunkt, dass die BV in Deutschland als eine eigenständige Rechtsgrundlage der Verarbeitung betrachtet wurde. Wenn der EuGH dies erkannt hätte, hätte er mit Sicherheit auf seine gefestigte Rechtsprechung hingewiesen, nach der Art. 6 DS‑GVO eine erschöpfende und abschließende Liste der Fälle enthält, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann.

Um eine nachvollziehbare Darstellung der Europarechtsnonkonformität von §  26 Abs.  4 BDSG durchführen zu können, werden nachfolgend relevante Feststellungen des EuGH zu spezifischeren Vorschriften im Sinne von Art. 88 DS‑GVO und zu Rechtsgrundlagen der Verarbeitung des Art. 6 Abs. 1 DS‑GVO skizziert.

1. Anforderungen an „spezifischere Vorschriften“ gem. Art. 88 DS‑GVO

Art.  88 DS‑GVO enthält eine Reihe von Anforderungen, die sich sowohl aus ihrem Wortlaut als auch aus dessen Interpretation durch den EuGH ergeben.

a) Mitgliedstaatliches Ermessen innerhalb der Grenzen der Bestimmungen der DS‑GVO

Der EuGH hat bereits in seiner Meta Platforms Entscheidung ausgeführt und dies in den beiden Entscheidungen zum deutschen Beschäftigtendatenschutzrecht bekräftigt, dass, wenn Mitgliedstaaten von der ihnen durch eine Öffnungsklausel der DS‑GVO eingeräumten Befugnis Gebrauch machen, von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen der DS‑GVO Gebrauch machen.^[28]

b) Spezifizierung

Um als „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DS‑GVO eingestuft werden zu können, muss sie nach dem EuGH einen zu dem geregelten Bereich passenden Regelungsgehalt haben, der sich aber von den allgemeinen Regeln der DS‑GVO unterscheidet.^[29]Spezifischere Vorschriften präzisieren bzw. konkretisieren die allgemeinen Vorschriften der DS‑GVO,^[30] oder legen deren Anwendung näher fest.^[31]

c) Besondere Maßnahmen

Spezifischere Vorschriften im Beschäftigungskontext müssen gem. Art.  88 Abs.  2 DS‑GVO auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen.^[32]

d) Umfassende gerichtliche Kontrolle

Auch dürften spezifischere Vorschriften nicht die Umgehung der sich aus Bestimmungen der DS‑GVO ergebenden Rechte und Pflichten bezwecken oder bewirken könnten, da sonst alle ihre Ziele, insbesondere das Ziel, ein hohes Schutzniveau für die Beschäftigten im Fall der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext sicherzustellen, beeinträchtigt würde.^[33] In Ausgestaltung von Art. 8 Abs. 3 der Charta der Grundrechte der EU, wonach die Einhaltung des in Art. 8 Abs. 1 und 2 der Charta skizzierten Grundrechts auf Datenschutz von einer unabhängigen Stelle zu überwachen ist, hat der europäische Gesetzgeber in Kapitel VIII Vorschriften für eine umfängliche aufsichtsbehördliche und gerichtliche Überprüfung von datenschutzrechtlichen Entscheidungen erlassen. Hierauf bezieht sich die Feststellung des EuGH in der K-GmbH-Entscheidung, wonach es mit der DS‑GVO nicht vereinbar wäre, wenn nationale Gerichte in Bezug auf eine Kollektivvereinbarung keine umfassende gerichtliche Kontrolle ausüben könnten.^[34]

2. Rechtsgrundlagen der Verarbeitung

Der EuGH hat in mehreren Entscheidungen klargestellt, ob und in welchem Umfang Mitgliedstaaten beim Erlass eigener Rechtsgrundlagen für die Verarbeitung personenbezogener Daten Ermessensspielräume haben.

a) Abschließender und erschöpfender Katalog von Rechtsgrundlagen in Art. 6 DS‑GVO

Durch Mitgliedstaaten modifizierte Rechtsgrundlagen der Verarbeitung sind immer wieder Gegenstand von Verfahren beim EuGH. In ständiger Rechtsprechung, so beispielsweise in der Rechtssache C-34/21, stellt der EuGH fest, dass die Rechtsgrundlagen der Verarbeitung abschließend und erschöpfend in Art.  6 Abs.  1 DS‑GVO aufgeführt sind.^[35] Der EuGH begründet dies damit, dass schon die Europäische Datenschutzrichtlinie 46/95/EC (DSRL) und nun noch mehr die DS‑GVO die grundsätzliche und vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten bezweckt.^[36] Für die Rechtsgrundlagen der Verarbeitung bedeutet dies nach dem EuGH, dass jede Verarbeitung von personenbezogenen Daten unter einen der in Art. 6 Abs. 1 DS‑GVO vorgesehenen Fälle subsumierbar sein bzw. ihm entsprechen muss, um als rechtmäßig angesehen werden zu können.^[37]

b) Ermessen der Mitgliedstaaten bei Rechtsgrundlagen

Außerdem dürfen Mitgliedstaaten weder neue Rechtsgrundlagen einführen noch dürfen sie durch zusätzliche Bedingungen die Tragweite der europarechtlichen Rechtsgrundlagen verändern.^[38] Dem steht gleich, einzelne Bedingungen der Rechtsgrundlagen nicht wegfallen lassen zu dürfen, wie der EuGH in der K-GmbH-Entscheidung für die „Erforderlichkeit der Verarbeitung“ festgestellt hat.^[39] Diese Grundsätze gelten nach dem EuGH in der Rechtssache C-34/21 für alle Bereiche der DS‑GVO inklusive der Datenverarbeitung im Beschäftigtenkontext. Sie stellten damit einen unabänderbaren Rahmen für Modifikationen von Rechtsgrundlagen durch Mitgliedstaaten dar.^[40]

Dies bedeutet allerdings nicht, dass Mitgliedstaaten unter keinen Umständen Rechtsgrundlagen modifizieren dürften. Modifizierungen des Wortlauts erlauben Art. 6 Abs. 2 und 3 DS‑GVO bezüglich der Rechtsgrundlagen der Art. 6 Abs. 1 S. 1 lit. c) und lit. e) DS‑GVO. Danach dürfen die Mitgliedstaaten zur Anwendung der beiden Rechtsgrundlagen in der nationalen Rechtsordnung deren Wortlaut anpassen. Eine so weitgehende Gestaltungsmöglichkeit haben die Mitgliedstaaten gem. Art. 88 DS‑GVO bei Rechtsgrundlagen für den Beschäftigungskontext nicht. Nach ErwG 155 DS‑GVO dürfen die Mitgliedstaaten nur „die Bedingungen, unter denen personenbezogene Daten […] verarbeitet werden“, spezifizieren. Was dies konkret heißt, hat der europäische Gesetzgeber anhand eines Beispiels verdeutlicht. So können Mitgliedstaaten beispielsweise die in Art. 4 Nr. 11 DS‑GVO genannte Bedingung der „Freiwilligkeit“ für die in Art. 6 Abs. 1 S. 1 lit. a) aufgeführten Rechtsgrundlage der Einwilligung für deren Beschäftigungskontext näher bestimmen. Die Spezifizierungskompetenz der Mitgliedstaaten bei Art.  88 DS‑GVO ist somit einerseits bei Rechtsgrundlagen enger als bei Art.  6 Abs.  2 und 3 DS‑GVO, andererseits ist sie aber nicht auf Rechtsgrundlagen beschränkt, sondern gilt grundsätzlich für alle Regelungen der DS‑GVO.^[41]

In diesem Sinne hatte der EuGH bereits in der ASNEF/FECEMD-Entscheidung^[42]festgestellt, dass Mitgliedstaaten für die Rechtsgrundlage der Wahrnehmung berechtigter Interessen Leitlinien für durchzuführende Interessenabwägungen aufstellen können.^[43] Hierbei haben sie die Besonderheiten dieser Rechtsgrundlage zu berücksichtigen. Dies bedeutet, dass die Leitlinien das Ergebnis einer Interessensabwägung nicht vorwegnehmen oder Verarbeitungen generell verbieten dürfen. Es muss stets Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen durch den Verantwortlichen bleiben.^[44] Hierin spiegelt sich die europarechtliche Konzeption des Verantwortlichen wider, der nicht nur die umfassende Verantwortung für die rechtskonforme Durchführung die Verarbeitung personenbezogener Daten trägt, sondern auch die umfassende Entscheidungsbefugnis darüber hat.^[45] Vereinfacht ausgedrückt kann man diese Spezifizierungen von Bedingungen der Rechtsgrundlagen auch „fine-tuning“ der Rechtsgrundlagen nennen.^[46]

3. Zwischenergebnis

Mitgliedstaaten dürfen den Wortlaut der Rechtsgrundlagen der Art. 6 Abs. 1 S. 1 lit. c) und lit. e) DS‑GVO für ihre Anwendung in der mitgliedstaatlichen Rechtsordnung. Im Übrigen dürfen sie nur die vorhandenen Bedingungen von Rechtsgrundlagen spezifizieren.

VI. Europarechtliche Bewertung der BV als Rechtsgrundlage

Ob die BV als Rechtsgrundlage der Verarbeitung europarechtskonform ist, ist durch eine Gegenüberstellung ihrer Merkmale (siehe oben IV.) und der aufgeführten Kriterien für spezifischere Vorschriften sowie an Rechtsgrundlagen der Verarbeitung (V.) festzustellen. Dabei sind insbesondere die Feststellungen des EuGH in den Rechtssachen C-34/21 und C-65/23 zu würdigen.

1. Spezifizierung

Zunächst kann man feststellen, dass § 26 Abs. 4 BDSG lediglich besagt, dass die Verarbeitung von personenbezogenen Daten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Das ist eine allgemeine Aussage, aber keine Spezifizierung von Bedingungen von Rechtsgrundlagen im Sinne von Art. 88 Abs. 1 DS‑GVO.

2. Besondere Maßnahmen

Des Weiteren ist festzustellen, dass §  26 Abs.  4 BDSG auch keine „besonderen Maßnahmen“ im Sinne von Art. 88 Abs. 2 DS‑GVO oder die geforderte Zielrichtung enthält. Der in § 26 Abs. 4 S. 2 BDSG gemachte Hinweis, dass die Verhandlungspartner diese vorzusehen haben, ist nach Auffassung des Generalanwalts in der Rechtssache C-34/21 unzulässig. Nach seiner Auffassung muss die spezifischere Vorschrift, das heißt § 26 Abs. 4 BDSG die besonderen Maßnahmen enthalten und nicht erst die auf dieser Vorschrift erlassene BV.

3. Abschließender Katalog von Rechtsgrundlagen

Die BV als Rechtsgrundlage in § 26 Abs. 4 BDSG ist nach bislang herrschender Auffassung eine eigenständige Rechtsgrundlage. Dies steht in Widerspruch zur DS‑GVO, weil diese mit Art. 6 DS‑GVO einen abschließenden Katalog der Rechtsgrundlagen für die Verarbeitung enthält. Der EuGH konkretisiert diese Feststellung in der Rechtssache C-34/21, in dem er ausführt, dass auf Ebene der Mitgliedstaaten erlassene spezifischere Rechtsgrundlagen unter einen der in Art. 6 DS‑GVO vorgesehenen Fälle subsumierbar sein müssen, um als rechtmäßig angesehen werden zu können.^[47]Nichts anderes meint der EuGH in der Rechtssache C-65/23 wenn er auf die erste Vorlagefrage antwortet, dass „spezifischere Vorschriften“, die Verarbeitungen personenbezogener Daten erfassen, auch die Voraussetzungen in Art. 6 in ihrer Auslegung durch die Rechtsprechung des Gerichtshofs erfüllen müssen.^[48]

4. Wegfall eines Merkmals einer Rechtsgrundlage

Ergänzend sei darauf hingewiesen, dass Mitgliedstaaten beim Erlass eigener Rechtsgrundlagen keine Merkmale der in Art.  6 DS‑GVO aufgeführten Rechtsgrundlagen entfallen lassen dürfen. Dies ist aber bei der BV als Rechtsgrundlage der Fall, weil sie auf das Merkmal der Erforderlichkeit der Verarbeitung verzichtet.

5. Gerichtliche Überprüfbarkeit

Wesenselement einer BV ist ihre eingeschränkte gerichtliche Überprüfbarkeit. Dies ist nach der Feststellung des EuGH auf die zweite Vorlagefrage des BAG nicht unionsrechtskonform, da nationale Gerichte eine umfassende gerichtliche Kontrolle hinsichtlich der Erforderlichkeit einer Verarbeitung personenbezogener Daten ausüben können müssen.^[49]

6. Zwischenergebnis

Die in § 26 Abs. 4 BDSG geregelte BV als Rechtsgrundlage für Verarbeitung von personenbezogenen Daten ist nicht europarechtskonform. Dies folgt zwar aus keinem der beiden Urteilssprüche. Aber es leitet sich zwingend aus den in den beiden EuGH-Entscheidungen getroffenen Feststellungen zu spezifischeren Vorschriften und Rechtsgrundlagen der Verarbeitung ab. Die Aussagen in §  7 Abs.  2 S. 2 BeschDG-E ist absolut zutreffend. Die BV kann allein keine Verarbeitung von Beschäftigtendaten legitimieren.

VII. Möglichkeiten eine BV für die Regelung von datenschutzrechtlichen Angelegenheiten zu nutzen

Betriebsparteien verlieren nicht erst mit §  7 Abs.  2 S. 2 BeschDG-E eine Möglichkeit der Gestaltung von datenschutzrechtlichen Angelegenheiten. Schon aufgrund der Entscheidung in der Rechtssache C-65/23 des EuGH ist die BV keine europarechtskonforme Rechtsgrundlage mehr. Doch es bleiben noch zahlreiche weitere Nutzungsmöglichkeiten.^[50]

1. Die BV als eigenständige Rechtsgrundlage der Verarbeitung

Die BV als eigenständige Rechtsgrundlage, die von der Rechtsprechung zur Lösung eines scheinbaren Dilemmas zugelassen wurde, ist obsolet. Sie ist europarechtswidrig und beschäftigtendatenschutzfeindlich, weil sie die europarechtlichen Anforderungen an mitgliedstaatliche Rechtsgrundlagen nicht erfüllt und weil mit ihr der gesetzliche Standard zum Schutz der Beschäftigten umgangen wurde. Der Vollständigkeit halber sei angemerkt, dass die Rechtfertigung für die Anerkennung der BV als eigenständige Rechtsgrundlage der Verarbeitung (siehe oben III. 2.) zwischenzeitlich entfallen ist und kein Bedarf mehr für sie besteht.^[51] Nahezu unbeachtet von der Datenschutz-Community hat die deutsche Ratsdelegation bei den Trilog-Verhandlungen in ErwG 47 DS‑GVO die Klarstellung bewirkt, dass im Rahmen der Interessensabwägung von Art. 6 S. 1 lit. f) DS‑GVO auch auf die Interessen von mehreren und nicht nur einzelner Betroffenen abgestellt werden kann. Als ob es niemand hätte mitbekommen sollen, wurde die Klarstellung durch das Plural-S bei dem Begriff der „data subjects“ in der deutschen Fassung in ErwG 47 DS‑GVO bei der Veröffentlichung im Amtsblatt versehentlich vergessen, was erst durch das Currigendum vom 19.04.2018 berichtigt wurde.

2. Die BV zur Ausgestaltung einer durch den Arbeitgeber legitimierten Datenverarbeitung

Die BV kann aber grundsätzlich weiterhin dafür genutzt werden, eine durch den Arbeitgeber legitimierte Datenverarbeitung „auszugestalten“. Dabei ist, wie oben ausgeführt, darauf zu achten, dass der Arbeitgeber der Verantwortliche ist und er allein darüber entscheidet, ob und welche Datenverarbeitung auf welcher Rechtsgrundlage durchgeführt wird. Das bedeutet, dass der Ausgestaltungsspielraum in Bezug auf Rechtsgrundlagen der Verarbeitung in BVen, in dem der Arbeitgeber seine Ausgestaltungskompetenz mit dem Betriebsrat teilt, sehr beschränkt ist. Denkbar wäre beispielsweise, dass Betriebsparteien Kriterien bestimmen, die von dem Arbeitgeber in einer von ihm vorzunehmenden Interessensabwägung gem. Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO zu würdigen sind.

3. Die Mit-Nutzung einer mitbestimmungsrechtlichen BV

In mitbestimmungsrechtlich gebotenen BVen werden mitunter auch die Legitimierungen von Datenverarbeitungen irgendwie miterfasst. Grundsätzlich können Betriebsparteien dies unter Beachtung der Ausführungen zu BVs als Rechtsgrundlage weiterhin tun. Empfehlenswert ist dies allerdings nicht. Es kann gegebenenfalls erhebliche Abgrenzungsprobleme bereiten, den Teil der BV festzulegen, den nur der Arbeitgeber allein festlegen darf, und den, den Betriebsrat und Arbeitgeber gemeinsam bestimmen können und der damit gegebenenfalls durch die Einigungsstelle ersetzt werden kann^[52]. In die Überlegungen, ob und wie man eine gemischte BV ausgestalten kann, sollte man die Entscheidung des LAG Hessen vom 05.12.2024, Az. 5 TaBV 4/24 mit einbeziehen. Danach hat der Betriebsrat kein erzwingbares Mitbestimmungsrecht bei datenschutzrechtlichen Vorgaben für IT-Systeme. Daher sollten die Betriebsparteien zur Vermeidung von möglichen Streitigkeiten über Auslegung solcher Entscheidungen ersparen und mitbestimmungsrechtliche und datenschutzrechtliche Angelegenheiten separat regeln.

4. Festlegung von sonstigen datenschutzrechtlichen Aspekten

In BVen können neben der Ausgestaltung einer durch den Arbeitgeber legitimierten Datenverarbeitung zahlreiche weitere datenschutzrechtliche Angelegenheiten maßgeschneidert für die betrieblichen Bedürfnisse regeln. So lässt sich festlegen, wie der Transparenzgrundsatz in Bezug auf verschiedene Verarbeitungen ausgestaltet wird. Auch lassen sich Verfahren festlegen, die beschreiben, wie Betroffenenrechte im Betrieb realisiert werden können. Zu erwähnen sind ferner die Konstellationen von projektbezogenen Datenverarbeitungen und ein Verwertungsverbot für gesetzeswidrig generierte Daten.

a) Projektbezogene Datenverarbeitung

Die DS‑GVO will nicht nur die Rechte von Betroffenen bei der automatisierten Verarbeitung ihrer personenbezogenen Daten schützen, sondern auch Datenverarbeitungen in den Dienst der Menschen stellen und somit ermöglichen, siehe ErwG 4 S. 1 DS‑GVO. Für die Erprobung von z.B. Elektrofahrzeugen können BVen geschlossen werden, die sicher stellen, dass viele technischen Daten erhoben und gewinnbringend genutzt werden. Gleichzeitig kann man regeln, dass die oftmals zwangsläufig anfallenden personenbeziehbaren Daten zeitnah gelöscht oder nicht genutzt werden.

b) Verwertungsverbot

Wenn viele Daten erhoben werden besteht potenziell die Gefahr, dass diese direkt oder indirekt personenbeziehbar sind und Erkenntnisse zu Tage bringen, die mit dem Zweck der ursprünglichen Datenerhebung nichts zu tun haben. Dann kann das Risiko entstehen, dass solche Daten in arbeitsgerichtlichen Verfahren gegen Beschäftigte genutzt werden. Wenn Arbeitgeber gute Gründe haben, möglichst viele nützliche Informationen zu erfassen und auszuwerten, sollten sie sich zur Absicherung dieses Erkenntnisgewinns überlegen, darauf zu verzichten „Zufallsfunde“ zu nutzen. Für solche Situationen bietet es sich an, dass die Betriebsparteien ein Verwertungsverbot vereinbaren.^[53] Ein solches betriebsparteilich vereinbartes Verwertungsverbot verstößt entgegen der Auffassung des BAG^[54] nicht gegen die DS‑GVO. Es ist zwar zutreffend, dass der nationale Gesetzgeber einem Verantwortlichen eine grundsätzliche zulässige Verarbeitung personenbezogener Daten nicht verbieten darf. Aber nichts hindert einen Verantwortlichen, auf die Nutzung von zufällig generierten personenbezogenen Daten in arbeitsgerichtlichen Verfahren freiwillig zu verzichten und sich diesbezüglich mit dem Betriebsrat zu verständigen.

VIII. Fazit

Die im BeschDS-E vorgesehene Feststellung, dass eine BV nicht allein die Zulässigkeit einer Datenverarbeitung begründen kann, ist eine hilfreiche Klarstellung. Und wie gezeigt wurde, sind die Gestaltungsmöglichkeiten bei Rechtsgrundlagen der Verarbeitung betreffenden Aspekte zwar eingeschränkt, aber dennoch bleibt viel Raum für notwendige und hilfreiche BVen zu datenschutzrechtlichen Angelegenheiten.

_{[1] EuGH-Urt. v. 30.03.2023 (Hauptpersonalrat der Lehrerinnen und Lehrer), C-34/21, RDV 2023, 195; NZA 2023, 487, 492 mit Anm. Meinecke.}

_{[2] EuGH-Urt. v. 19.12.2024 (K-GmbH), C-65/23, RDV 2025, 106; ZD 2025, 205 mit Anm. Monreal.}

_{[3] BAG-Besch. v. 27.05.1986, 1 ARB 48/84.}

_{[4] Riegel, Datenschutz in der Bundesrepublik Deutschland 1988, S.108.}

_{[5] § 3 BDSG S. 1 (1977) lautete: „Die Verarbeitung personenbezogener Daten, die von diesem Gesetz geschützt werden, ist in jeder ihrer in § 1 Abs. 1 genannten Phasen nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder der Betroffene eingewilligt hat.“ Und entsprach bis zum Inkrafttreten des aktuellen BDSG (2018) § 4 Abs. 1 BDSG.}

_{[6] BAG-Beschl. v. 27.05.1986, 1 ARB 48/84.}

_{[7] Ausführlich zur Historie der BV als Rechtsgrundlage, Lachenmann, Datenübermittlung im Konzern, S. 203 ff.}

_{[8] Albrecht/Jotzo, Das neue Datenschutzrecht der EU S. 134.}

_{[9] Monreal, ZD 2022, 359, 361 f.}

_{[10] Roßnagel, Das neue Datenschutzrecht § 8 Rn. 20.}

_{[11] Martini et al, Die DS‑GVO und das nationale Recht, 2016, S. 298.}

_{[12] Drucksache 18/11325, S. 98.}

_{[13] Gola/Heckmann/Gola/Pötters, DS‑GVO-BDSG 3. Aufl. 2022 § 26 BDSG Rn. 52-54.}

_{[14] LAG Baden-Württemberg, Urt. v. 25.02.2021, ZD 2021, 436.}

_{[15] DSK Kurzpapier Nummer 14 Beschäftigtendatenschutz, Stand: 24.9.2020, S. 1.}

_{[16] BAG-Beschl. v. 27.05.1986, 1 ARB 48/84 Rn. 95.}

_{[17] Drucksache 18/11325, S. 97.}

_{[18] BAG-Vorlagebeschl. v. 22.09.2022 – 8 AZR 209/21, Rn. 22}

_{[19] Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn.  99; LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, 2. Leitsatz.}

_{[20] BAG-Beschl. v. 27.05.1986, 1 ARB 48/84.}

_{[21] Drucksache 18/11325, S. 98.}

_{[22] Ehmann/Selmayr/Selk, Datenschutz-Grundverordnung, Kommentar, 3. Aufl. 2024, Art.  88 Rn.  75 und 93; Gegen eine Unterschreitung: Simitis/Seifert, BDSG § 32 Rn. 167, 18.9}

_{[23] BAG-Urt. v. 12.12.2006, 1 AZR 96/06, Rn. 26 und 28.}

_{[24] BAG-Beschl. v. 07.05.2019, 1ARB 53; a.A. Monreal, ZD 2024, 126.}

_{[25] Schlussanträge des Generalanwalts (GA) Campos Sánchez-Bordona in der Rechtssache C-34/21, Rn. 28 ff.}

_{[26] Meinecke, NZA, 2023, 487, 492.}

_{[27] Ehmann/Selmayr/Selk, Datenschutz-Grundverordnung, Kommentar, 3. Aufl. 2024, Art. 88 Rn. 77}

_{[28] EuGH-Urt. v. 28.04.2022, (Meta Platforms Ireland), C 319/20, Rn. 60, EuGH-Urt. v. 30.03.2023, C-34/21, Rn. 59}

_{[29] EuGH-Urt. v. 30.03.2023, C-34/21, Rn. 61.}

_{[30] Ehmann/Selmayr/Selk, Datenschutz-Grundverordnung, Kommentar, 3. Aufl. 2024, Art.  88 Rn.  72; Paal/Pauly/Pauly, Datenschutz-Grundverordnung, 3. Aufl. 2021 Art. 88 Rn. 3.}

_{[31] I.d.S. ErwG 10 DS‑GVO.}

_{[32] EuGH-Urt. v. 30.03.2023, C-34/21, Rn. 65, RDV 2023, 195; EuGH-Urt. v. 19.12.2024 (C-65/23) Rn. 41, RDV 2025, 106.}

_{[33] EuGH-Urt. v. 19.12.2024, C-65/23, Rn. 42.}

_{[34] EuGH-Urt. v. 19.12.2024, C-65/23, Rn. 58}

_{[35] EuGH-Urt. v. 30.03.2023, C-34/21, Rn.70; EuGH-Urt. v. 22.06.2021, C439/19, Rn. 99, RDV 2021,332; EuGH-Urt. v. 24.11.2011, C-468/10 und 469/10, (ASNEF/ FECEMD), Rn. 30, RDV 2012, 22}

_{[36] EuGH-Urt. v. 30.03.2023, C-34/21, Rn.  72; EuGH-Urt. v. 28.04.2022, C-319/20, Rn. 57}

_{[37] EuGH-Urt. v. 30.03.2023 C-34/21 Rn.  69f; EuGH-Urt. v. 01.08.2022, C-184/20, Rdnr. 67; EuGH-Urt. v. 11.11.2020 C-61/19, (Orange), Rn. 34}

_{[38] EuGH-Urt. v. 24.11.2011 C-468/10 und 469/10 (ASNEF/FECEMD), Rn.  32, RDV 2012, 22.}

_{[39] EuGH-Urt. v. 19.12.2024, C-65/23, Rn. 43.}

_{[40] EuGH-Urt. v. 30.03.2023, C-34/21 Rr. 70-7}

_{[41] Schlussanträge des Generalanwalts (GA) Campos Sánchez-Bordona in der Rechtssache C-34/21, Rn. 56.}

_{[42] EuGH-Urt. v. 24.11.2011, C-468/10 und 469/10, Rdnr. 47 f}

_{[43] EuGH-Urt. v. 24.11.2011, C-468/10 und 469/10, Rdnr. 46}

_{[44] EuGH-Urt. v. 24.11.2011, C-468/10 und 469/10, Rdnr. 47 f.}

_{[45] Monreal, ZD 2014, 611.}

_{[46] Monreal, ZD 2024, 126.}

_{[47] EuGH-Urt. v. 30.03.2023, C-34/21, Rn. 70.}

_{[48] EuGH-Urt. v. 19.12.2024, C-65/23, Rn. 49.}

_{[49] EuGH-Urt. v. 19.12.2024, C-65/23, Rn. 60}

_{[50] Monreal, Der Betrieb 2025, 940.}

_{[51] Ehmann/Selmayr/Selk, Datenschutz-Grundverordnung, Kommentar, 3. Aufl. 2024, Art. 88 Rn. 101.}

_{[52] Teilweise wird danach differenziert, „ob“ Datenverarbeitung betriebsverfassungsrechtlich und „wie“ sie datenschutzrechtlich durchgeführt werden darf. So Ehmann/Selmayr/Selk, Datenschutz-Grundverordnung, Kommentar, 3. Aufl. 2024, Art. 88 Rn. 78}

_{[53] § 11 Abs. 2 BeschDG-E spricht eine derartige BV an.}

_{[54] BAG-Urt. v. 29.06.2023, AZR 296/22. Rn. 55}