30.06.2025
Zurück zur Übersicht
Zurück zur Übersicht
30.06.2025

Betriebsvereinbarung als Datenschutzgrundlage

Betriebsvereinbarung als Datenschutzgrundlage – nach dem EuGH-Urteil nicht mehr zulässig

Fokus-Stichwort: Betriebsvereinbarung

Ausgangslage

Viele Unternehmen stützen ihre Datenverarbeitungen im Beschäftigtenkontext auf Betriebsvereinbarungen. Das galt lange als zulässig – besonders nach § 26 Abs. 4 BDSG. Der Europäische Gerichtshof hat das nun gekippt. Mit Urteil vom 19. Dezember 2024 (Az. C-65/23) stellt der EuGH klar: Eine Betriebsvereinbarung kann keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein. Entscheidend ist allein die DSGVO.

Kernaussagen des Urteils

  1. DSGVO gilt direkt und abschließend
    Nationale Vorschriften wie § 26 BDSG dürfen nur ergänzen, nicht abweichen.

  2. Art. 88 DSGVO ist eng auszulegen
    Kollektivvereinbarungen dürfen keine eigenen Spielregeln schaffen. Sie dürfen nur Details zur Umsetzung regeln – keine eigenen Voraussetzungen.

  3. Erforderlichkeitsprüfung liegt beim Verantwortlichen, nicht im Geltungsbereich einer BV
    Die Entscheidung, ob eine Verarbeitung erforderlich ist, darf nicht kollektivrechtlich vorweggenommen werden.

  4. Ein bloßes Wiederholen von DSGVO-Vorgaben in einer BV bringt keine zusätzliche Rechtswirkung
    Solche Passagen sind überflüssig und können irreführend sein.

Diese Rechtsprechung setzt die Linie fort, die der EuGH u.a. mit dem Urteil vom 30.03.2023 (C-34/21) begonnen hat.

Was Unternehmen jetzt tun müssen

1. Bestandsaufnahme

  • Alle BV/DV mit Datenschutzinhalten prüfen

  • Besonders relevant:

    • Erforderlichkeitsregelungen

    • Zweckfestlegungen

    • Kontrollverbote

    • Übertragung von Betroffenenrechten

    • Löschfristen

    • Regelungen zum Drittlandtransfer

    • Auftragsverarbeitung

2. Rechtswidrige Passagen streichen

  • Keine Festlegung von Datenkategorien und -zwecken in der BV

  • Kein Verbot von gesetzlich zulässigen Verarbeitungen

  • Keine Wiederholung von DSGVO-Artikeln

  • Keine Einschränkung von Betroffenenrechten

3. Datenschutz auf DSGVO-Basis organisieren

  • Verarbeitung nur mit zulässiger Rechtsgrundlage (Art. 6 oder Art. 9 DSGVO)

  • Klare Erforderlichkeitsprüfung je Verarbeitung

  • Transparenzpflichten vollständig erfüllen

  • Betroffenenrechte prozessual umsetzen

4. Mitbestimmung korrekt handhaben

  • Betriebsräte haben kein Mitbestimmungsrecht zur Auswahl der Rechtsgrundlage

  • Beteiligung nur bei § 87 Abs. 1 Nr. 6 BetrVG (z. B. technische Überwachungseinrichtungen)

5. Neue BVs auf das Notwendige begrenzen

  • Prozessregelungen (z. B. wer macht was, wann und wie)

  • Organisatorisches (z. B. Nutzungsregeln für IT-Systeme)

  • Keine eigenständigen Datenschutzregelungen mehr

6. Schulungen durchführen

  • Beteiligte Akteure (HR, BR, Geschäftsleitung, IT, DSB) zur neuen Rechtslage informieren

7. Dokumentation anpassen

  • VVT aktualisieren

  • Rechtmäßigkeitsprüfung je Verarbeitung

  • Zweckbindung eindeutig dokumentieren

Fazit

Wer sich noch auf die Betriebsvereinbarung als Datenschutzgrundlage stützt, handelt rechtswidrig. Die DSGVO ist abschließend. Kollektivrechtliche Ausnahmen sind nicht mehr zulässig. Jetzt ist Zeit, aufzuräumen und Rechtssicherheit herzustellen.

Quelle zur Vertiefung

  • EuGH, Urteil vom 19.12.2024, C-65/23

  • EuGH, Urteil vom 30.03.2023, C-34/21

  • DSK-Kurzpapier Nr. 14: Beschäftigtendatenschutz

  • LfDI Baden-Württemberg: FAQ zum Beschäftigtendatenschutz (2024)

Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks