DSGVO: Konturen für Datenschutz im Arbeitsrecht werden immer klarer

EuGH und BAG schärfen weiter die Datenschutzanforderungen im Beschäftigungskontext, insbesondere bei der Verwendung von Kollektivnormen.

BAG: Chance auf datenschutzrechtliches Grundsatzurteil verpasst?

Jüngst hatte das Bundesarbeitsgericht (vgl. BAG, Urteil vom 8. Mai 2025 – 8 AZR 209/21) über den Schadensersatzanspruch eines Arbeitnehmers gemäß Art. 82 DSGVO zu befinden, nachdem die Arbeitgeberin über die vereinbarten Grenzen einer abgeschlossenen Betriebsvereinbarung hinaus, weitere personenbezogene Daten zu Testzwecken in die Personalverwaltungssoftware „Workday“ eingepflegt und somit an eine andere Gruppengesellschaft übermittelt hatte. Diese unrechtmäßige Überlassung von Daten an ein anderes Gruppenunternehmen resultierte in einem Kontrollverlust als immateriellen Schaden, mit der Folge, dass dem Kläger als Kompensation ein Schadensersatz in Höhe von EUR 200,00 zugebilligt wurde (lesen Sie dazu unseren Artikel BAG: Schadenersatz bei unrechtmäßiger Datenverarbeitung).

Da das Bundesarbeitsgericht im Verfahrensverlauf dem Europäischen Gerichtshof auch diverse Vorlagefragen zur datenschutzrelevanten Ausgestaltung von Betriebsvereinbarung als Ermächtigungsgrundlage gestellt hatte (vgl. EuGH, Urteil vom 19. Dezember 2024 – C-65/23), hofften viele auf ein grundlegendes Urteil, das die maßgeblichen Grenzen und Pflichten beim Datenschutz im Beschäftigungskontext klar umreißt und so für Anwendungssicherheit sorgen würde. Diese Hoffnung wurde enttäuscht. Der Kläger hatte in der mündlichen Verhandlung den Streitgegenstand beschränkt. Infolgedessen bedurfte es keiner weitergehenden Prüfung hinsichtlich der DSGVO-Konformität der zugrunde liegenden Betriebsvereinbarung. Vor diesem Hintergrund hat sich das Bundesarbeitsgericht in der nun vorliegenden Urteilsbegründung dazu auch nicht mehr im Detail geäußert. 

Überraschenderweise ist das Urteil insgesamt sehr knapp ausgestaltet und erläuternde Ausführungen zur Einordnung und Harmonisierung der bisherigen arbeits- und zivilrechtlichen Rechtsprechungsentwicklung fehlen ganz. Dennoch enthält das Urteil ein paar Feststellungen, die verdeutlichen, dass die datenschutzrechtlichen Anforderungen im Beschäftigungskontext zwar noch nicht abschließend klar definiert sind, gleichwohl eher streng ausgelegt und bewertet werden. Es empfiehlt sich grundsätzlich, Datenschutz in der Arbeitswelt nicht auf die leichte Schulter zu nehmen. 

1. Dringende Reformbedürftigkeit des § 26 Abs. 1 BDSG

Erneut stellte das Bundesarbeitsgericht in dem obengenannten Urteil fest, dass die nationale Grundnorm für die Datenverarbeitung im Beschäftigungskontext – der § 26 Abs. 1 BDSG – unanwendbar bleiben muss. Da die Voraussetzungen der Öffnungsklausel gemäß Art. 88 DSGVO vom deutschen Gesetzgeber nicht angemessen umgesetzt worden sind, stelle die Norm keine valide Rechtsgrundlage für eine Datenverarbeitung dar.

Bereits vor zwei Jahren war die weitere Anwendbarkeit des § 26 Abs. 1 BDSG durch den Europäischen Gerichtshof (vgl. EuGH, Urteil vom 30. März 2023 – C-34/21), in Frage gestellt worden (lesen Sie dazu unseren Artikel Aus für Betriebsvereinbarung als Grundlage für Datenverarbeitung?). In diesem Urteil hatte der Europäische Gerichtshof die Unvereinbarkeit des § 23 HDSIG mit Art. 88 DSGVO festgestellt, dessen Wortlaut dem des § 26 Abs. 1 BDSG entspricht. Weil § 23 HDSIG lediglich allgemeine datenschutzrechtlichen Grundsätze wiederholte, jedoch nicht „Mehr“ zum Schutz der persönlichen Daten geregelt hat, läge gerade keine „spezifischere“ Vorschrift im Sinne des Art. 88 DSGVO vor. Wenn jedoch – in Abkehr der eigentlich vom Verordnungsgeber intendierten vollen Harmonisierung des Datenschutzniveaus innerhalb der Mitgliedstaaten – eine Ausnahmeregelung zugelassen werden soll, muss diese im Regelungsgehalt dann auch über die Bestimmungen der DSGVO hinausgehen. Das war bei § 23 HDSIG nicht der Fall. Gleiches hat nun auch das Bundesarbeitsgericht für § 26 Abs. 1 BDSG festgestellt. Auch hier werden nur die allgemeinen Datenschutzprinzipien wiederholt, zumal darüber hinaus auch besondere Schutzmaßnahmen gemäß Art. 88 Abs. 2 DSGVO fehlen. 

Der Gesetzgeber sollte nun endlich Maßnahmen ergreifen, um die bekannten Unvereinbarkeitsprobleme zu beheben und verlässliche, gesetzliche Normen für die Datenverarbeitung im Beschäftigungskontext zu begründen.

2. Kontrollverlust als Auffangtatbestand im Rahmen von Art. 82 DGVO?

Die Urteilsgründe im obengenannten Verfahren wurden auch vor dem Hintergrund der juristischen Begründung des angenommenen Kontrollverlustes als immaterielle Schadensposition mit Spannung erwartet. Während der Bundesgerichtshof im Februar diesbezüglich noch deutlich großzügiger war, hatte das Bundesarbeitsgericht im Zusammenhang mit einer verzögerten Erfüllung des Auskunftsersuchens nach Art. 15 DSGVO noch strengere Anforderungen angenommen und einen konkreten Nachweis der Befürchtung für einen Datenmissbrauch zur Begründung des Schadensersatzanspruchs gefordert (vgl. BAG, Urteil vom 20. Februar 2025 – 8 AZR 61/24).

Vor diesem Hintergrund überrascht die Kürze der tatsächlich erfolgten, denkbar knappen Begründung. Das Bundesarbeitsgericht schloss sich schlicht unter Verweis auf die Rechtsprechung des Bundesgerichtshofs dessen Ansicht an (vgl. BGH, Urteil vom 11. Februar 2025 – VI ZR 365722). Für die Annahme eines haftungsauslösenden Schadens reicht auch ein kurzzeitiger Kontrollverlust über personenbezogene Daten aus, insbesondere, wenn dieser auf eine unberechtigte Weitergabe von Daten an Dritte zurückzuführen ist. Ein konkreter (weiterer) Nachweis, dass über die unberechtigte Weitergabe eine tatsächliche Persönlichkeitsrechtsverletzung oder eine über die „individuell empfundene Unannehmlichkeit hinausgehende“ andere, negative Folge eingetreten ist, ist hingegen nicht erforderlich. Anders als bei der nur verspäteten Auskunft nach Art. 15 DSGVO ist wohl nach Ansicht des Senats eine begründete Gefahr der missbräuchlichen Verwendung von Daten anzunehmen, weil die Datenweitergabe unberechtigt erfolgte und damit ein gravierender Datenschutzverstoß vorlag. 

Konsequenz dieser Argumentation wird jedoch sein, dass jede Datenverarbeitung ohne Rechtsgrundlage unmittelbar zur Annahme eines Kontrollverlustes führt. Dann sind die Tatbestandsanforderungen des Art. 82 DSGVO – Verordnungsverstoß und Schadenseintritt – jedoch deckungsgleich. Einer uferlosen Ausweitung des Schadensersatzrechts – insbesondere der Begründung des Kontrollverlustes als Auffangtatbestand – ist damit (wieder) Tür und Tor geöffnet. Mit Blick auf die Rechtsprechungsentwicklung zu Art. 82 DSGVO in den letzten Jahren kann dies eigentlich nicht gewollt gewesen sein. Betroffene Personen können nun scheinbar „leicht“ immaterielle Schadensersatzansprüche geltend machen, gerade wenn grundlegende Datenschutzprinzipien verletzt worden sind.

Strenge Anforderungen auch bei Ausgestaltung von Betriebsvereinbarungen

Diese Rechtsprechungsentwicklung muss mit Vorsicht betrachtet werden, insbesondere wenn als datenschutzrechtliche Ermächtigungsgrundlage Kollektivnormen genutzt werden, da auch diesbezüglich die rechtlichen Anforderungen verschärft wurden. 

Das Bundesarbeitsgericht hatte im Verlauf des obengenannten Verfahrens die in der Praxis bestehenden Unklarheiten bei der Verwendung von Betriebsvereinbarungen als datenschutzrechtliche Ermächtigungsnorm zum Anlass genommen, den Europäischen Gerichtshof entsprechend anzurufen (vgl. EuGH, Urteil vom 19. Dezember 2024 - C-65/23) und um Klarstellung zu bitten. Schließlich erfolgte die Übermittlung der personenbezogenen Daten in „Workday“ zu Testzwecken zum Teil auch auf einer von den Betriebsparteien abgeschlossenen Betriebsvereinbarung. Darüber hinaus erschienen dem Bundesarbeitsgericht auch die Befugnisse der Betriebsparteien im Rahmen der Datenverarbeitung klärungsbedürftig, insbesondere die Frage, ob es Betriebsparteien obliegen kann, darüber zu entscheiden, welche Daten für die Erprobung von Softwaretools verwendet werden können.

Daher sollte u.a. die Reichweite des in § 26 Abs. 4 BDSG enthaltene Verweis geklärt werden, dass bei der datenschutzrechtlichen Verwendung von Kollektivnormen, die Besonderheiten des Art. 88 Abs. 2 DSGVO beachtet werden müssen. Impliziert dies, dass auch alle anderen DSGVO-Prinzipien einzuhalten wären? Wie sind ― insbesondere, wenn Betriebsvereinbarungen frei oder vor den Einigungsstellen verhandelt werden, ― die nationalen Vorschriften des BDSG, die eigentlich im Rang speziellere Regelungen sein wollen, mit den Grundsätzen der DSGVO in Einklang zu bringen? 

Es geht damit inhaltlich um die Fragestellung, ob die allgemeinen datenschutzrechtlichen Prinzipien, wie z.B. Rechtmäßigkeit, Zweckbindung, Transparenz sowie Datenminimierung (Art. 5 DSGVO) und Erforderlichkeit der Datenverarbeitung (Art. 6 DSGVO) bei der Gestaltung einer Betriebsvereinbarung, als Ermächtigungsgrundlage selbstständig zu beachten sind oder ob den Betriebsparteien insoweit ein Ermessensspielraum zugestanden werden sollte. Können die Betriebsparteien folglich selbst ― im Rahmen einer Einschätzungsprärogative ― darüber entscheiden, ob die intendierte und zu regelnde Datenverarbeitung „erforderlich“ ist oder nicht? 

Letztendlich laufen diese Unklarheiten in der Praxis auf die Debatte hinaus, ob eine Betriebsvereinbarung eine ansonsten gemäß den Vorgaben der DSGVO unzulässige Datenverarbeitung rechtfertigen könne oder nicht.

EuGH: Betriebsparteien dürfen nicht von DSGVO-Prinzipien abweichen

In seinem Urteil vom 19. Dezember 2024 hat der Europäische Gerichtshof eindeutig klargestellt, dass sämtliche allgemeinen Voraussetzungen der DSGVO im Rahmen von nationalen Erlaubnisnormen eingehalten werden müssen. Den Mitgliedstaaten wird über die Ausnahmevorschrift des Art. 88 DSGVO nicht die Möglichkeit eingeräumt, von den allgemeinen Grundsätzen zum Schutze von personenbezogenen Daten abzuweichen. Diese gelten grundsätzlich immer und sind auch von den Betriebsparteien zu beachten. Damit ist eindeutig klargestellt, dass eine Betriebsvereinbarung eine an sich unzulässige Datenverarbeitung nicht legitimieren kann.

Über die Möglichkeit, „spezifischere Vorschriften“ gemäß Art. 88 DSGVO zu erlassen, kann keine Umgehung der sich aus anderen Bestimmungen der Verordnung ergebenden Verpflichtungen erzielt werden. Die Mitgliedstaaten dürfen das insoweit eingeräumte Ermessen immer nur innerhalb der Bestimmungen der Verordnung ausüben. Die DSGVO hat das erklärte Ziel, innerhalb der Mitgliedstaaten nicht nur ein weitestgehend einheitliches, sondern auch ein hohes Schutzniveau für die Verarbeitung personenbezogenen Daten sicherzustellen. Eine nach Art. 88 DSGVO erlassene nationale Rechtsvorschrift – hier § 26 Abs. 4 BDSG – muss daher stets sicherstellen, dass nicht nur die Voraussetzungen des Art. 88 DSGVO unmittelbar erfüllt werden, sondern auch alle anderen (allgemeinen) Bestimmungen der DSGVO, insbesondere die Art. 5 ff. DSGVO. 

Gerichte: Umfassende Prüfungskompetenz hinsichtlich der DSGVO-Konformität 

Die nationalen Gerichte haben insoweit auch eine umfassende Prüfungskompetenz und müssen uneingeschränkt überprüfen, ob die Grundsätze der DSGVO auch bei der Gestaltung von Kollektivvereinbarungen eingehalten werden. So haben die Betriebsparteien keine Möglichkeit das Schutzniveau der DSGVO im Rahmen von Betriebsvereinbarungen zu umgehen und weniger strenge Voraussetzungen für die Verarbeitung von personenbezogenen Daten zu regeln. Insbesondere dürfen grundlegende Erwägungen – wie die Erforderlichkeit der Datenverarbeitung – nicht außer Acht gelassen werden. Zwar werden die Betriebsparteien in der Praxis oftmals besondere Kenntnisse haben, um die betriebliche Notwendigkeit der Datenverarbeitung im konkreten Fall einschätzen zu können. Allerdings kann diese Sachnähe nicht dazu führen, dass der Beurteilungsspielraum mit Blick auf Wirtschaftlichkeitserwägungen zu Lasten des Persönlichkeitsschutzes ausgeübt wird.

Die Gerichte müssen sowohl die gesetzlichen Bestimmungen, die im Rahmen und vor dem Hintergrund der DSGVO zum Zwecke des Datenschutzes erlassen worden sind, sowie die darauf basierenden Kollektivvereinbarungen, daraufhin überprüfen, ob sie mit den vorrangig zu berücksichtigenden Vorgaben der Verordnung im Einklang stehen. Es wird weder dem nationalen Gesetzgeber über Art. 88 DSGVO gestattet, gesetzliche Grundlagen zu schaffen, die es erlauben, im Rahmen von Kollektivvereinbarungen weniger strenge Regelungen hinsichtlich der Datenverarbeitung festzulegen, noch wird den Betriebsparteien insoweit ein Ermessen eingeräumt, die Voraussetzungen der Erforderlichkeit weniger streng anzuwenden oder gar auf sie zu verzichten. 

Zusammenfassend wird vom Europäischen Gerichtshof gefordert, dass auch im Rahmen einer Datenverarbeitung, basierend auf einer Betriebsvereinbarung, die Einhaltung grundsätzlicher Datenschutzprinzipien stets und umfassend, gemessen an den Grundsätzen der Art. 5 ff. DSGVO, gerichtlich überprüft werden muss.

Ausblick auf die juristische und die betriebliche Praxis

Viele Grundzüge des Schadensersatzanspruchs gemäß Art. 82 DSGVO sind in den letzten Monaten vom Europäischen Gerichtshof ausgeformt worden, so dass Unsicherheiten hinsichtlich der tatbestandlichen Anforderungen an einen immateriellen Schadensersatzanspruch beseitigt wurden. Die nationale Ausprägung dieser Grundsätze bedarf mitunter noch einiger Präzisierungen, um für abschließende Klarheit zu sorgen. Es bleibt abzuwarten, in welche Richtungen sich die arbeits- und zivilrechtliche Rechtsprechung entwickelt werden.

Die diesbezüglichen Quellen rechtlicher Unsicherheit in der Praxis dürften gleichwohl einigermaßen eingedämmt sein. Übrig bleiben jedoch die Unwägbarkeiten resultierend aus der Unvereinbarkeit nationaler Datenschutzvorschriften mit europäischem Recht. Hier muss dringend nachjustiert werden. Gerade auch mit Blick auf die steigenden Anforderungen der Digitalisierung und Fortentwicklung von KI-Tools drängt die Zeit für die notwendige Neuregelung des Beschäftigungsdatenschutzes in Deutschland.

Bis dahin sind die Betriebsparteien grundsätzlich gut beraten, wenn sie bei der Gestaltung entsprechender Betriebsvereinbarungen sehr sorgfältig die Einhaltung der Prinzipien der DSGVO prüfen und ihr Vorgehen streng an der mit der Verordnung verfolgten Zielrichtung – nämlich ein hohes, einheitliches Datenschutzniveau zu begründen – messen und das Schutzniveau allenfalls auf eine höhere, strengere Ebene heben, es jedoch keinesfalls unterschreiten. Auch mag es ratsam sein, bestehende Betriebsvereinbarungen dahingehend einer kritischen Überprüfung zu unterziehen und gegebenenfalls nachzujustieren. Eine allzu großzügige Betrachtungsweise birgt jedenfalls das Risiko, dass im Streitfalle die maßgeblichen kollektiven Regelungen der gerichtlichen Überprüfung unterstellt und dieser möglicherweise nicht Stand halten werden. Die Folgen etwaiger Verstöße können nicht nur weitreichend, sondern mitunter auch teuer werden. Auch wenn die zuletzt ergangenen Entscheidungen des Bundesgerichtshofs und des Bundesarbeitsgerichts – wie auch im jüngsten Fall – nur geringe, dreistellige Beträge als Schadensersatz ausgeurteilt haben, ist diese Tendenz mit Vorsicht zu genießen. Die ausgeurteilten Fälle sind regelmäßig Einzelfallentscheidungen, deren Besonderheiten hinsichtlich der Darlegungs- und Beweislast stets angemessen berücksichtigt werden müssen und nicht auf alle Fälle übertragbar sind.