41Betriebsvereinbarung als datenschutzrechtlicher Erlaubnistatbestand vom EuGH bestätigt
Betriebsvereinbarung als datenschutzrechtlicher Erlaubnistatbestand vom EuGH bestätigt
Art 88 Abs 1 und 2 Datenschutz-Grundverordnung (DSGVO) ist dahin auszulegen, dass eine nach Art 88 Abs 1 erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art 88 Abs 2 ergeben, sondern auch diejenigen, die sich aus Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 dieser Verordnung ergeben.
Die Vorgaben von Art 88 Abs 2 DSGVO spiegeln die Grenzen des Ermessens der Mitgliedstaaten in dem Sinne wider, dass der damit verbundene Bruch in der Harmonisierung nur zulässig sein kann, wenn die verbleibenden Unterschiede mit besonderen und geeigneten Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext einhergehen.
Die Mitgliedstaaten, die die ihnen durch Art 88 DSGVO eingeräumte Befugnis ausüben und von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen dieser Verordnung Gebrauch machen, müssen somit dafür Sorge tragen, dass die „spezifischeren Vorschriften“, die sie in ihre innerstaatliche Rechtsordnung einfügen, nicht gegen den Inhalt und die Ziele der DSGVO verstoßen. Diese Vorschriften müssen ua darauf abzielen, ein hohes Schutzniveau für die Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext zu gewährleisten.
Diese Erwägungen gelten auch für die Parteien einer Kollektivvereinbarung iS von Art 88 DSGVO. Wie die Europäische Kommission in ihren schriftlichen Erklärungen im Wesentlichen ausgeführt hat, müssen die Parteien einer Kollektivvereinbarung nämlich über einen Spielraum verfügen, der insb hinsichtlich seiner Grenzen dem den Mitgliedstaaten zuerkannten Ermessen gleichwertig ist, da sich die „spezifischeren Vorschriften“ iS von Art 88 Abs 1 DSGVO ua aus Kollektivvereinbarungen ergeben können. Im 155. Erwägungsgrund dieser Verordnung heißt es auch, dass solche Vorschriften im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen, einschließlich „Betriebsvereinbarungen“, vorgesehen werden können.
Sodann ist darauf hinzuweisen, dass eine (umfassende) gerichtliche Kontrolle speziell auf die Prüfung gerichtet sein muss, ob die Verarbeitung solcher Daten iSd Art 5, 6 und 9 DSGVO „erforderlich“ ist. MaW kann Art 88 DSGVO nicht dahin ausgelegt werden, dass die Parteien einer Kollektivvereinbarung über eine Beurteilungsbefugnis verfügen, die es ihnen erlauben würde, „spezifischere Vorschriften“ einzuführen, die dazu führen, dass diese Voraussetzung der Erforderlichkeit weniger streng angewandt oder gar darauf verzichtet wird.
Zwar verfügen die Parteien einer Kollektivvereinbarung im Allgemeinen über gute Grundlagen für die Beurteilung, ob eine Datenverarbeitung in einem konkreten beruflichen Kontext erforderlich ist, da diese Parteien gewöhnlich umfangreiche Kenntnisse in Bezug auf die spezifischen Bedürfnisse im Beschäftigungsbereich und im betreffenden Tätigkeitsbereich haben. Ein solcher Beurteilungsprozess darf jedoch nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die das Ziel der DSGVO, ein hohes Schutzniveau der Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, in unzulässiger Weise beeinträchtigen könnten.
2 [Das Vorabentscheidungsersuchen] ergeht im Rahmen eines Rechtsstreits zwischen MK, einer natürlichen Person, und der K GmbH, ihrem AG, über den Ersatz des immateriellen Schadens, der dieser Person durch eine Verarbeitung ihrer personenbezogenen Daten durch die genannte Gesellschaft auf der Grundlage einer BV entstanden sein soll.
[...]
Ausgangsverfahren und Vorlagefragen
13 Der Kl des Ausgangsverfahrens ist bei der Bekl des Ausgangsverfahrens, einer Gesellschaft deutschen Rechts, beschäftigt und Vorsitzender des bei dieser Gesellschaft gebildeten BR.
14 Ursprünglich verarbeitete diese Gesellschaft bestimmte personenbezogene Daten ihrer Beschäftigten, insb zu Abrechnungszwecken, im Rahmen der Nutzung einer „SAP“ genannten Software (im Folgenden: SAP-Software) und schloss hierzu mit ihrem BR mehrere Betriebsvereinbarungen ab.
15 Der D-Konzern, zu dem die Bekl des Ausgangsverfahrens gehört (im Folgenden: D-Konzern), führte im Jahr 2017 konzernweit die cloudbasierte Software „Workday“ (im Folgenden: Software Workday) als einheitliches Personal-Informationsmanagementsystem ein. In diesem Rahmen übertrug die Bekl des Ausgangsverfahrens verschiedene personenbezogene Daten ihrer Beschäftigten aus der SAP-Software auf einen Server der Muttergesellschaft des D-Konzerns mit Standort in den USA.
16 Am 3.7.2017 unterzeichneten die Bekl des Ausgangsverfahrens und ihr BR eine „Duldungs- Betriebsvereinbarung über die Einführung von 377
Workday“ (im Folgenden: Duldungs-BV), die ua verbot, diese Software während des Testzeitraums für die Personalverwaltung, wie etwa die Bewertung von AN, zu verwenden. Gemäß Anhang 2 dieser Vereinbarung waren die einzigen Datenkategorien, die zur Befüllung der Software Workday übertragen werden durften, die Personalnummer des AN im D-Konzern, sein Nachname, sein Vorname, seine Telefonnummer, sein Eintrittsdatum in die betroffene Gesellschaft, sein Eintrittsdatum in den D-Konzern, sein Arbeitsort, die Firma der betroffenen Gesellschaft sowie seine geschäftliche Telefonnummer und seine geschäftliche E-Mail- Adresse. Die Wirkungen dieser Vereinbarung wurden bis zum Inkrafttreten einer am 23.1.2019 geschlossenen endgültigen BV verlängert.
17 In diesem Zusammenhang erhob der Kl des Ausgangsverfahrens beim örtlich zuständigen Arbeitsgericht (Deutschland) und dann beim örtlich zuständigen Landesarbeitsgericht (Deutschland) Klagen auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadensersatz. Er machte ua geltend, dass die Bekl des Ausgangsverfahrens ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-BV nicht genannt seien, insb seine privaten Kontaktdaten, seine Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-Identifikationsnummer, seine Staatsangehörigkeit und sein Familienstand.
18 Da er nicht vollständig obsiegt hatte, legte der Kl des Ausgangsverfahrens Revision beim BAG (Deutschland), dem vorlegenden Gericht, ein. Noch anhängig ist nur der auf die DSGVO gestützte Antrag des Kl des Ausgangsverfahrens auf Ersatz des immateriellen Schadens, der ihm durch eine rechtswidrige Verarbeitung seiner personenbezogenen Daten mittels der Software Workday während des Zeitraums ab dem ersten Geltungstag dieser Verordnung, dh dem 25.5.2018, bis zum Ende des ersten Quartals 2019 entstanden sein soll.
19 Zur Rechtswidrigkeit dieser Verarbeitung macht der Kl des Ausgangsverfahrens zum einen geltend, dass diese weder für das Arbeitsverhältnis, für das die Bekl des Ausgangsverfahrens vormals die SAP-Software verwendet habe, noch für die Erprobung der Software Workday erforderlich gewesen sei, da zu diesem Zweck die Verwendung fiktiver Daten ausgereicht und sichergestellt hätte, dass innerhalb des D-Konzerns keine Echtdaten zugänglich gemacht würden. Zum anderen wäre, selbst wenn die Duldungs-BV eine gültige Grundlage für diese Verarbeitung darstellen könnte, die darin enthaltene Erlaubnis überschritten worden, da die Bekl des Ausgangsverfahrens andere als die in Anhang 2 dieser Vereinbarung vorgesehenen Daten übermittelt habe. Schließlich liege die Beweislast für die Vereinbarkeit ihres Verhaltens mit der DSGVO bei der Bekl des Ausgangsverfahrens.
[...]
26 Unter diesen Umständen hat das BAG beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
[...]
Zu den Vorlagefragen
Zur ersten Frage
Workday“ (im Folgenden: Duldungs-BV), die ua verbot, diese Software während des Testzeitraums für die Personalverwaltung, wie etwa die Bewertung von AN, zu verwenden. Gemäß Anhang 2 dieser Vereinbarung waren die einzigen Datenkategorien, die zur Befüllung der Software Workday übertragen werden durften, die Personalnummer des AN im D-Konzern, sein Nachname, sein Vorname, seine Telefonnummer, sein Eintrittsdatum in die betroffene Gesellschaft, sein Eintrittsdatum in den D-Konzern, sein Arbeitsort, die Firma der betroffenen Gesellschaft sowie seine geschäftliche Telefonnummer und seine geschäftliche E-Mail- Adresse. Die Wirkungen dieser Vereinbarung wurden bis zum Inkrafttreten einer am 23.1.2019 geschlossenen endgültigen BV verlängert.
34 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art 88 Abs 1 und 2 DSGVO dahin auszulegen ist, dass eine nach Art 88 Abs 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art 88 Abs 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 der Verordnung ergeben.
35 Insoweit ist darauf hinzuweisen, dass die DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Allerdings eröffnen einzelne Bestimmungen dieser Verordnung den Mitgliedstaaten die Möglichkeit, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen („Öffnungsklauseln“) (vgl in diesem Sinne Urteil vom 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, Rn 51 und die dort angeführte Rsp).
36 Art 88 DSGVO, der die Verarbeitung personenbezogener Daten im Beschäftigungskontext betrifft, legt die Bedingungen fest, unter denen die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten der von einer solchen Verarbeitung betroffenen Beschäftigten vorsehen können. Im 155. Erwägungsgrund dieser Verordnung heißt es ua, dass der Begriff „Kollektivvereinbarung“ iS von Art 88 DSGVO „Betriebsvereinbarungen“ wie die im Ausgangsverfahren in Rede stehende einschließt. Ferner enthalten die Art 5, 6 und 9 dieser Verordnung die Grundsätze für die Verarbeitung personenbezogener Daten, die Rechtmäßigkeitsvoraussetzungen dieser Verarbeitung und Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten.
37 Nach stRsp müssen die Begriffe einer Bestimmung des Unionsrechts, die – wie Art 88 DSGVO – für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten, die insb unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl entsprechend Urteil vom 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn 23 und die dort angeführte Rsp).
38 Erstens ergibt sich aus dem Wortlaut von Art 88 DSGVO, dass in dessen Abs 1 verlangt wird, dass die nach dieser Bestimmung zugelassenen „spezifischeren Vorschriften“ einen zu dem geregelten Bereich passenden Regelungsgehalt haben, der sich 378 von den allgemeinen Regeln der DSGVO unterscheidet, während Art 88 Abs 2 DSGVO im Einklang mit dem Harmonisierungsziel dieser Verordnung dem Ermessen der Mitgliedstaaten, die den Erlass einer nationalen Regelung auf der Grundlage dieses Abs 1 beabsichtigen, einen Rahmen setzt (vgl in diesem Sinne Urteil vom 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, Rn 61, 65, 72 und 75).
39 Indessen enthält dieser Wortlaut keinen ausdrücklichen Hinweis darauf, ob die „spezifischeren Vorschriften“, die die Mitgliedstaaten somit erlassen können, der Einhaltung nur der in Art 88 Abs 2 DSGVO genannten Anforderungen Rechnung tragen müssen oder auch der Einhaltung der Anforderungen in anderen Bestimmungen dieser Verordnung, so dass die Verarbeitung personenbezogener Daten in Anwendung solcher Vorschriften überdies mit diesen letztgenannten Bestimmungen im Einklang stehen müsste.
40 Zweitens hat der Gerichtshof zu den Zielen von Art 88 DSGVO bereits entschieden, dass dieser Artikel eine „Öffnungsklausel“ darstellt und dass sich die den Mitgliedstaaten durch Art 88 Abs 1 DSGVO eingeräumte Befugnis unter Berücksichtigung der Besonderheiten einer solchen Verarbeitung insb durch das Bestehen eines Unterordnungsverhältnisses zwischen dem Beschäftigten und demjenigen, der ihn beschäftigt, erklärt. Die Vorgaben von Art 88 Abs 2 DSGVO spiegeln die Grenzen des Ermessens der Mitgliedstaaten in dem Sinne wider, dass der damit verbundene Bruch in der Harmonisierung nur zulässig sein kann, wenn die verbleibenden Unterschiede mit besonderen und geeigneten Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext einhergehen (vgl in diesem Sinne Urteil vom 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, Rn 52, 53 und 73).
41 Ferner hat der Gerichtshof darauf hingewiesen, dass die Mitgliedstaaten, wenn sie von der ihnen durch Art 88 DSGVO eingeräumten Befugnis Gebrauch machen, von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen dieser Verordnung Gebrauch machen und daher Rechtsvorschriften erlassen müssen, die nicht gegen den Inhalt und die Ziele der DSGVO verstoßen, die, wie sich aus ihrem zehnten Erwägungsgrund ergibt, ua ein hohes Schutzniveau für die Rechte und Freiheiten der von einer solchen Verarbeitung betroffenen Personen gewährleisten soll. Daher müssen die von einem Mitgliedstaat auf der Grundlage von Art 88 DSGVO erlassenen Vorschriften zum Ziel haben, die Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu schützen (vgl in diesem Sinne Urteil vom 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, Rn 54, 59, 62 und 74).
42 Art 88 DSGVO kann aber nicht dahin ausgelegt werden, dass die „spezifischeren Vorschriften“, die die Mitgliedstaaten nach diesem Artikel erlassen dürfen, die Umgehung der sich aus anderen Bestimmungen dieser Verordnung ergebenden Verpflichtungen des Verantwortlichen oder gar des Auftragsverarbeiters bezwecken oder bewirken könnten, da sonst alle diese Ziele, insb das Ziel, ein hohes Schutzniveau für die Beschäftigten im Fall der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext sicherzustellen, beeinträchtigt würden.
43 Daraus folgt, dass Art 88 Abs 1 und 2 DSGVO dahin auszulegen ist, dass auch dann, wenn sich die Mitgliedstaaten auf diesen Artikel stützen, um in ihre jeweiligen innerstaatlichen Rechtsordnungen „spezifischere Vorschriften“ durch Rechtsvorschriften oder durch Kollektivvereinbarungen einzuführen, auch die Anforderungen erfüllt sein müssen, die sich aus den anderen Bestimmungen ergeben, auf die sich die vorliegende Frage speziell bezieht, nämlich Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 dieser Verordnung. Dies gilt somit ua für die Einhaltung des in diesen Bestimmungen vorgesehenen Kriteriums der Erforderlichkeit der Verarbeitung, nach dem das vorlegende Gericht insb fragt.
44 Drittens bestätigt der Kontext, in den sich Art 88 DSGVO einfügt, diese Auslegung.
45 Art 88 DSGVO ist nämlich in deren Kap IX („Vorschriften für besondere Verarbeitungssituationen“) enthalten, während die Art 5, 6 und 9 zu Kap II („Grundsätze“) DSGVO gehören, das somit allgemeinere Tragweite hat. Im Übrigen geht aus dem Wortlaut von Art 6 DSGVO, der in seinen Abs 2 und 3 ausdrücklich auf die Bestimmungen dieses Kap IX Bezug nimmt, klar hervor, dass die in diesem Art 6 vorgesehenen Rechtmäßigkeitsvoraussetzungen auch im Rahmen der in den Bestimmungen des Kap IX der Verordnung geregelten „besonderen Situationen“ verbindlich sind.
46 Zudem müssen nach stRsp bei jeder Verarbeitung personenbezogener Daten die in Kap II DSGVO aufgestellten Grundsätze für die Verarbeitung solcher Daten sowie die in Kap III DSGVO geregelten Rechte der betroffenen Person beachtet werden. Insb muss die Verarbeitung mit den in Art 5 der Verordnung aufgestellten Grundsätzen für die Verarbeitung dieser Daten im Einklang stehen und die in Art 6 der Verordnung aufgezählten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (vgl in diesem Sinne Urteile vom 2.3.2023, Norra Stockholm Bygg, C-268/21, EU:C:2023:145, Rn 43, und vom 11.7.2024, Meta Platforms Ireland [Verbandsklage], C-757/22, EU:C:2024:598, Rn 49 und die dort angeführte Rsp).
47 Was insb das Verhältnis zwischen Art 88 DSGVO und anderen Bestimmungen dieser Verordnung betrifft, hat der Gerichtshof ua im Lichte des achten Erwägungsgrundes dieser Verordnung festgestellt, dass ungeachtet etwaiger von den Mitgliedstaaten auf der Grundlage von Art 88 Abs 1 dieser Verordnung erlassener „spezifischerer Vorschriften“ bei jeder Verarbeitung personenbezogener Daten die Verpflichtungen beachtet werden müssen, die sich aus den Bestimmungen der Kap II und III DSGVO sowie insb aus deren Art 5 und 6 ergeben (vgl in diesem Sinne Urteil vom 30.3.2023, 379 Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, Rn 67 bis 71).
48 Ebenso sind die Verpflichtungen aus Art 9 DSGVO bei jeder unter diese Verordnung fallenden Verarbeitung personenbezogener Daten zu beachten, auch wenn nach Art 88 Abs 1 DSGVO erlassene „spezifischere Vorschriften“ vorliegen. Dieser Art 9, der die Verarbeitung der dort aufgeführten besonderen Datenkategorien regelt, gehört nämlich zu Kap II der Verordnung, ebenso wie deren Art 5 und 6, deren Anforderungen im Übrigen mit denen aus Art 9 kumulierbar sind (vgl in diesem Sinne Urteil vom 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn 73 und 77 bis 79). Diese Auslegung steht darüber hinaus im Einklang mit dem Zweck von Art 9 DSGVO, der darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die Grundrechte der betroffenen Personen darstellen können (vgl in diesem Sinne Urteil vom 4.10.2024, Lindenapotheke, C-21/23, EU:C:2024:846, Rn 89 und die dort angeführte Rsp).
49 Daher müssen in dem Fall, dass zum Recht eines Mitgliedstaats „spezifischere Vorschriften“ iS von Art 88 Abs 1 DSGVO gehören, die von diesen Vorschriften erfassten Verarbeitungen personenbezogener Daten nicht nur die Voraussetzungen in Art 88 Abs 1 und 2 DSGVO, sondern auch die Voraussetzungen in den Art 5, 6 und 9 dieser Verordnung in ihrer Auslegung durch die Rsp des Gerichtshofs erfüllen.
50 Nach alledem ist auf die erste Frage zu antworten, dass Art 88 Abs 1 und 2 DSGVO dahin auszulegen ist, dass eine nach Art 88 Abs 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art 88 Abs 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 der Verordnung ergeben.
Zur zweiten Frage
51 Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art 88 Abs 1 DSGVO dahin auszulegen ist, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten iS von Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 dieser Verordnung das nationale Gericht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben.
[...]
53 Zum Umfang der gerichtlichen Kontrolle, die in Bezug auf solche spezifischen Vorschriften ausgeübt werden kann, hat der Gerichtshof bereits entschieden, dass es Sache des angerufenen nationalen Gerichts ist, das für die Auslegung des nationalen Rechts allein zuständig ist, zu beurteilen, ob diese Vorschriften die insb in Art 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten.
Gemäß dem Grundsatz des Vorrangs des Unionsrechts ist das vorlegende Gericht, sollte es zu der Feststellung gelangen, dass die betreffenden nationalen Bestimmungen diese Voraussetzungen und Grenzen nicht beachten, dazu verpflichtet, diese Bestimmungen unangewendet zu lassen. In Ermangelung spezifischerer Vorschriften, die den Anforderungen von Art 88 DSGVO genügen, wird die Verarbeitung personenbezogener Daten im Beschäftigungskontext unmittelbar durch diese Verordnung geregelt (vgl in diesem Sinne Urteil vom 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, Rn 80, 82 bis 84 und 89).
54 Diese Erwägungen gelten auch für die Parteien einer Kollektivvereinbarung iS von Art 88 DSGVO wie der im Ausgangsverfahren in Rede stehenden. Wie die Europäische Kommission in ihren schriftlichen Erklärungen im Wesentlichen ausgeführt hat, müssen die Parteien einer Kollektivvereinbarung nämlich über einen Spielraum verfügen, der insb hinsichtlich seiner Grenzen dem den Mitgliedstaaten zuerkannten Ermessen gleichwertig ist, da sich die „spezifischeren Vorschriften“ iS von Art 88 Abs 1 DSGVO ua aus Kollektivvereinbarungen ergeben können. Im 155. Erwägungsgrund dieser Verordnung heißt es auch, dass solche Vorschriften im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen, einschließlich „Betriebsvereinbarungen“, vorgesehen werden können.
55 Ungeachtet des Spielraums, den Art 88 DSGVO den Parteien einer Kollektivvereinbarung einräumt, muss sich daher die gerichtliche Kontrolle einer solchen Kollektivvereinbarung ebenso wie die einer nach dieser Bestimmung erlassenen Vorschrift des nationalen Rechts ohne jede Einschränkung auf die Einhaltung aller Voraussetzungen und Grenzen erstrecken können, die die Bestimmungen dieser Verordnung für die Verarbeitung personenbezogener Daten vorschreiben.
56 Sodann ist darauf hinzuweisen, dass eine solche gerichtliche Kontrolle speziell auf die Prüfung gerichtet sein muss, ob die Verarbeitung solcher Daten iSd Art 5, 6 und 9 DSGVO „erforderlich“ ist. MaW kann Art 88 DSGVO nicht dahin ausgelegt werden, dass die Parteien einer Kollektivvereinbarung über eine Beurteilungsbefugnis verfügen, die es ihnen erlauben würde, „spezifischere Vorschriften“ einzuführen, die dazu führen, dass diese Voraussetzung der Erforderlichkeit weniger streng angewandt wird oder gar darauf verzichtet wird.
57 Zwar verfügen, wie das vorlegende Gericht und Irland im Wesentlichen ausgeführt haben, die Parteien einer Kollektivvereinbarung im Allgemeinen über gute Grundlagen für die Beurteilung, ob eine Datenverarbeitung in einem konkreten beruflichen Kontext erforderlich ist, da diese Parteien gewöhnlich umfangreiche Kenntnisse in Bezug auf die spezifischen Bedürfnisse im Beschäftigungsbereich und im betreffenden Tätigkeitsbereich haben. Ein solcher Beurteilungsprozess darf jedoch nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die das Ziel der DSGVO, ein hohes Schutzniveau der Freiheiten und Grundrechte der 380 Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, in unzulässiger Weise beeinträchtigen könnten.
58 Daher wäre eine Auslegung von Art 88 DSGVO dahin, dass die nationalen Gerichte in Bezug auf eine Kollektivvereinbarung keine umfassende gerichtliche Kontrolle ausüben können, insb um zu prüfen, ob die von den Parteien dieser Kollektivvereinbarung geltend gemachten Rechtfertigungsgründe die Erforderlichkeit der sich aus dieser Vereinbarung ergebenden Verarbeitung personenbezogener Daten belegen, in Anbetracht des in der vorstehenden Randnummer des vorliegenden Urteils genannten Schutzziels nicht mit dieser Verordnung vereinbar.
59 Schließlich ist darauf hinzuweisen, dass das angerufene nationale Gericht, sollte es nach seiner Prüfung feststellen, dass einzelne Bestimmungen der betreffenden Kollektivvereinbarung die von der DSGVO vorgeschriebenen Voraussetzungen und Grenzen nicht beachten, diese Bestimmungen gemäß der in Rn 53 des vorliegenden Urteils angeführten Rsp unangewendet lassen müsste.
60 Nach alledem ist auf die zweite Frage zu antworten, dass Art 88 Abs 1 DSGVO dahin auszulegen ist, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten iS von Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 dieser Verordnung das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben.
Zur dritten Frage
61 In Anbetracht der Antwort auf die zweite Frage braucht die dritte Frage nicht beantwortet zu werden.
Vor rund sieben Jahren resümierte der Glossator in seiner Kommentierung von Art 88 DSGVO, dass die Frage des befugten Umfangs einer Erlaubniserteilung zur Datenverarbeitung durch eine Kollektivvereinbarung im Verhältnis zu den Grenzen des Art 6 DSGVO letztlich nur über den Weg eines Vorabentscheidungsersuchens vom EuGH gem Art 267 AEUV rechtssicher beantwortet werden könne (Goricnik in Knyrim [Hrsg], DatKomm Art 88 Rz 48 [Stand Oktober 2018, rdb.at]). Das in Beantwortung von entsprechenden Vorlagefragen des BAG zu einer Datenschutz-BV ergangene Urteil des EuGH 19.12.2024, C-65/23, hat nunmehr klargestellt, dass erstens Art 88 Abs 1 und 2 DSGVO dahingehend auszulegen sind, dass auch die Anforderungen erfüllt sein müssen, die sich aus den anderen grundsätzlichen Bestimmungen der DSGVO ergeben, nämlich (vorlagegegenständlich) Art 5, Art 6 Abs 1 sowie (in Bezug auf sensible Daten) Art 9 Abs 1 und 2. Dies gelte somit ua für die Einhaltung des in diesen Bestimmungen vorgesehenen Kriteriums der „Erforderlichkeit“ der Verarbeitung. Zweitens wurde klargestellt, dass sich die „spezifischeren Vorschriften“ iS von Art 88 Abs 1 DSGVO ua aus Kollektivvereinbarungen ergeben können. In ErwGr 155 DSGVO hieße es nämlich, dass solche Vorschriften im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen, einschließlich „Betriebsvereinbarungen“, vorgesehen werden können.
Mit (wissenschaftlicher) Freude erfüllt den Glossator dabei, dass er diese Ansicht(en) in seiner Kommentierung von Anfang an und durchgehend vertreten hat (Goricnik in Knyrim [Hrsg], DatKomm Art 88 Rz 39 ff) und ihn der EuGH nunmehr in all diesen Punkten „bestätigt“ hat.
Gerade zu Beginn der Anwendbarkeit der DSGVO ab 25.5.2018 wurden ja zwei Extrem-Auslegungen zum Thema der Kollektivvereinbarungen als datenschutzrechtlicher Erlaubnistatbestände vertreten: Zum einen, dass (insb) eine BV (wie gemäß der Rechtslage zuvor) überhaupt kein eigener datenschutzrechtlicher Erlaubnistatbestand sei (zB Brodil, Datenschutz und Arbeitsrecht – Was ändert sich durch die Datenschutz-Grundverordnung? DRdA 2018, 463 [472]; mittlerweile in die andere Richtung Brodil, Datenschutz bei Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis, ZAS 2022/23 [151, 153]), zum anderen, dass eine BV ein – unmittelbar auf der Öffnungsklausel beruhender – völlig eigenständiger Erlaubnistatbestand sein könne (zB Tiedemann in Sydow [Hrsg], Europäische Datenschutzgrundverordnung [2017] Art 88 Rz 13, der diesbezüglich eben sogar freiwillige Betriebsvereinbarungen ohne gesetzliche Grundlage genügen lassen wollte). Das Verhältnis von Art 88 zu den allgemeinen Erlaubnistatbeständen des Art 6 DSGVO war vor allem deshalb von Unsicherheit geprägt, weil Art 88 zwar unzweifelhaft eine „Öffnungsklausel“ für nationales Recht darstellt, das Ausmaß dieses (erlaubten) Bruches der Harmonisierung (im Binnenmarkt) durch die DSGVO aber nur schwer auszuloten war (vgl Goricnik in Knyrim [Hrsg], DatKomm Art 88 Rz 47 ff [Stand Dezember 2023, rdb.at]), zumal die einzelnen Öffnungsklauseln in der DSGVO unterschiedlich formuliert sind und auch unterschiedliche Abweichungen von der DSGVO gestatten (Goricnik in Knyrim [Hrsg], Dat-Komm Art 88 Rz 25 mwN [Stand Dezember 2023, rdb.at]).
Weil der EuGH kompetenzmäßig grundsätzlich nur Vorlagefragen beantwortet, sollen diese im folgenden Kapitel näher beleuchtet werden.
Der Kl des Ausgangsverfahrens ist bei der Bekl, einer Gesellschaft deutschen Rechts, beschäftigt und Betriebsratsvorsitzender des dort gebildeten BR. Der D-Konzern, zu dem die Bekl gehört, führte im Jahr 2017 an Stelle einer SAP-Software konzernweit die cloudbasierte Software „Workday“ als einheitliches Personal-Informationsmanagementsys tem ein. In diesem Rahmen übertrug die Bekl verschiedene personenbezogene Daten ihrer Beschäftigten aus 381 der SAP-Software auf einen Server der Muttergesellschaft des D-Konzerns mit Standort in den USA. Im Juli 2017 unterzeichneten die Bekl und ihr BR eine sogenannte „Duldungs-Betriebsvereinbarung über die Einführung von Workday“, die ua verbot, diese Software während des Testzeitraums für die Personalverwaltung, wie etwa die Bewertung von AN, zu verwenden. Gemäß einem Anhang dieser BV waren die einzigen Datenkategorien, die zur Befüllung der Software „Workday“ übertragen werden durften, nämlich die Personalnummer des AN im D-Konzern, sein Nachname, sein Vorname, seine Telefonnummer, sein Eintrittsdatum in die betroffene Gesellschaft, sein Eintrittsdatum in den D-Konzern, sein Arbeitsort, die Firma der betroffenen Gesellschaft sowie seine geschäftliche Telefonnummer und seine geschäftliche E-Mail-Adresse. In diesem Zusammenhang erhob der Kl beim Arbeitsgericht und dann beim Landesarbeitsgericht Klagen auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadenersatz. Er machte ua geltend, dass die Bekl ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-BV nicht genannt seien, insb seine privaten Kontaktdaten, seine Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer-Identifikationsnummer, seine Staatsangehörigkeit und seinen Familienstand. Da er nicht vollständig obsiegt hatte, legte der Kl Revision beim BAG ein. Noch anhängig war nur der auf die DSGVO gestützte Antrag des Kl auf Ersatz des immateriellen Schadens, der ihm durch eine rechtswidrige Verarbeitung seiner personenbezogenen Daten mittels der Software „Workday“ während des Zeitraums ab dem ersten Geltungstag der DSGVO bis zum Ende des ersten Quartals 2019 entstanden sein soll.
Zur Rechtswidrigkeit dieser Verarbeitung macht der Kl zum einen geltend, dass diese weder für das Arbeitsverhältnis, für das die Bekl vormals die SAP-Software verwendet habe, noch für die Erprobung der Software „Workday“ erforderlich gewesen sei, da zu diesem Zweck die Verwendung fiktiver Daten ausgereicht und sichergestellt hätte, dass innerhalb des D-Konzerns keine Echtdaten zugänglich gemacht würden. Zum anderen wäre, selbst wenn die Duldungs-BV eine gültige Grundlage für diese Verarbeitung darstellen könnte, die darin enthaltene Erlaubnis überschritten worden, da die Bekl andere als die im entsprechenden Anhang vorgesehenen Daten übermittelt habe. Schließlich liege die Beweislast für die Vereinbarkeit ihres Verhaltens mit der DSGVO bei der Bekl des Ausgangsverfahrens. Die Vorinstanz, das LAG Baden-Württemberg, hatte mit Urteil vom 25.2.2021, Az 17 Sa 37/20, zwar festgestellt, dass die Datenverarbeitung während der Testphase von „Workday“ (zu bloßen Testzwecken) nicht erforderlich gewesen sei; damit seien sowohl § 26 Abs 1 BDSG als auch Art 6 Abs 1 lit f DSGVO als Rechtsgrundlagen ausgeschieden. Als Rechtsgrundlage für die ansonsten unzulässige Datenverarbeitung sei aber die „Duldungs-BV“ gem § 26 Abs 4 BDSG in Betracht gekommen.
Das LAG Baden-Württemberg hatte nämlich ausgesprochen, dass eine Datenverarbeitung von personenbezogenen Daten in einem nicht zur Personalverwaltung produktiv genutzten „Zweitsystem“ nicht auf der Grundlage von § 26 Abs 1 BDSG gerechtfertigt sein könne, sondern nur auf der Grundlage einer Kollektivvereinbarung (Rz 73).
In diesem Zusammenhang stellte (sich) das BAG, das Zweifel an dieser Einschätzung des LAG Baden-Württemberg hegte, erstens die Frage, ob eine nationale Norm, wie § 26 Abs 4 BDSG, die die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen regelt und im Wesentlichen vorsieht, dass eine solche Verarbeitung auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art 88 Abs 2 DSGVO zulässig ist, mit der DSGVO vereinbar sei oder ob die betreffende Verarbeitung zu diesem Zweck auch mit den übrigen Bestimmungen der DSGVO vereinbar sein müsse. Das vorlegende Gericht neige dabei zu der Auffassung, dass im Fall einer durch eine „Kollektivvereinbarung“ iS von Art 88 DSGVO geregelten Verarbeitung personenbezogener Beschäftigtendaten diese Verarbeitung nicht nur von den sich aus Art 88 ergebenden Anforderungen nicht abweichen dürfe, sondern auch nicht von denen, die sich aus Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 DSGVO ergäben, insb was das in den drei letztgenannten Artikeln vorgesehene Kriterium der Erforderlichkeit der Verarbeitung angehe (BAG, Vorlagebeschluss vom 22.9.2022, 8 AZR 209/21 [A] Rn 28 f). Zwar sei ein Teil der vom Kl beanstandeten Datenverarbeitung bereits ohne Vorabentscheidungsersuchen als nicht rechtmäßig zu beurteilen, allerdings reiche es aus Sicht des BAG für seine Entscheidung des Ausgangsverfahrens nicht aus, vielmehr sei es für eine Entscheidung erforderlich, die beanstandete Datenverarbeitung insgesamt beurteilen zu können, da damit Folgen im Hinblick auf den Umfang der Verletzung der Schutzvorschriften und die Höhe eines etwaigen Schadenersatzes verbunden seien bzw sein könnten (BAG 22.9.2022, 8 AZR 209/21 [A] Rn 24).
Für den Fall, dass die erste Frage bejaht wird, wollte das BAG zweitens wissen, ob die Parteien einer solchen Kollektivvereinbarung über einen Spielraum verfügen, der bei der Beurteilung der Erforderlichkeit der betreffenden Verarbeitung iS von Art 5, Art 6 Abs 1 sowie Art 9 Abs 1 und 2 DSGVO nur einer eingeschränkten gerichtlichen Kontrolle unterliegen sollte. Diese Auffassung lasse sich auf die Erwägung stützen, dass diese Parteien eine große Sachnähe besäßen und im Regelfall zu einem angemessenen Interessenausgleich gekommen seien. Selbst wenn aber auch Betriebsvereinbarungen als Ausfluss des in Art 28 GRC anerkannten Grundrechts auf Kollektivverhandlungen angesehen werden könnten, würde daraus nach Auffassung des BAG dennoch kein Gestaltungsspielraum der Betriebspartner folgen, der gerichtlich nur eingeschränkt überprüfbar wäre. Aus der Rsp des EuGH ergebe sich nämlich, dass, soweit das in Art 28 GRC proklamierte Recht auf Kollektivverhandlungen Bestandteil des Unionsrechts ist, dieses im Rahmen der Anwendung 382 des Unionsrechts im Einklang mit diesem ausgeübt werden müsse (BAG 22.9.2022, 8 AZR 209/21 [A] Rn 32).
Diese Fragestellung beruht wohl auf Überlegungen in der BRD zu einem (kontrollfreien) „kollektivautonomen Datenschutz“ (vgl dazu die Ausführungen von Maschmann in Kühling/Buchner [Hrsg], DSGVO/BDSG4 [2024] § 26 BDSG Rz 67).
Schließlich betrafen die ursprünglich vorgelegten Fragen 4 bis 6, bevor diese vom BAG aufgrund der zwischenzeitlich ergangenen Urteile des EuGH insb vom 4.5.2023, C-300/21, vom 21.12.2023, C-667/21, und vom 25.1.2024, C-687/21, zurückgenommen wurden, im Wesentlichen das Recht auf immateriellen Schadenersatz nach Art 82 Abs 1 DSGVO.
Unter diesen Umständen hatte das BAG beschlossen, sein Verfahren auszusetzen und dem EuGH die folgenden Fragen zur Vorabentscheidung vorzulegen, zumal das BAG der Ansicht war, dass die in der im vorliegenden Fall anwendbaren BV, die es als „Kollektivvereinbarung“ iSd DSGVO einstufte, festgelegten Grenzen der sonstigen Vorgaben der DSGVO zur „Erforderlichkeit“ überschritten worden sein könnten und die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten in ihrer Gesamtheit geprüft werden müsse, da sie sowohl im Hinblick auf § 26 Abs 1 als auch im Hinblick auf § 26 Abs 4 BDSG, der ausdrücklich auf Art 88 DSGVO Bezug nehme, rechtswidrig sein könnte:
„Ist eine nach Art 88 Abs 1 DSGVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs 4 BDSG –, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art 88 Abs 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art 5, Art 6 Abs 1 und Art 9 Abs 1 und Abs 2 DSGVO – einzuhalten sind?
Sofern Frage 1 bejaht wird:
Darf eine nach Art 88 Abs 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer BV) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art 5, Art 6 Abs 1 und Art 9 Abs 1 und Abs 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?
Sofern Frage 2 bejaht wird:
Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?“
Aus Vorlagefrage 2 (vor dem Hintergrund von § 26 Abs 4 BDSG, der bezüglich der Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen auch sensible Daten nennt) erklärt sich auch das Eingehen des EuGH auf Art 9 DSGVO, was den österreichischen Datenschutz- Juristen auf den ersten Blick frappiert, weil Art 88 DSGVO ja keine Öffnungsklausel für sensible Daten iSd Art 9 Abs 1 DSGVO darstellt.
Die deutsche Rechtslage mit der (zT nur deklarativen) Meta-“Durchleitungsnorm“ des § 26 BDSG, wohingegen es ja in Österreich bekanntlich seit dem Datenschutz-Deregulierungs-Gesetz 2018 keine solche „Durchleitungsnorm“ mehr gibt (was in Bezug auf die datenschutzrechtliche Dimension der jeweiligen ArbVG-Bestimmungen nur insoweit relevant ist, als im Einzelnen ein höherer Darlegungs- und Begründungsaufwand erforderlich ist), erklärt im Übrigen auch, warum die Ausführungen des EuGH an die Mitgliedstaaten und nicht direkt an die Parteien einer Kollektivvereinbarung adressiert sind. (Im dargestellten Sinne führt zB auch Maschmann in Kühling/Buchner [Hrsg], DS-GVO/ BDSG4 § 26 BDSG Rz 66 mwN aus, dass sich die datenschutzrechtliche Regelungsbefugnis von Kollektivvereinbarungen schon aus § 1 Abs 1 TVG bzw § 87 Abs 1 Nr 6 BetrVG ergebe und die zusätzliche [neue] gesetzliche Klarstellung in § 26 Abs 4 BDSG deshalb an sich überflüssig sei.)
Weil der Kl in der mündlichen Verhandlung in weiterer Folge vor dem Senat des BAG klargestellt hat, dass er sich nicht weiter darauf berufe, auch die Übertragung der von der BV erfassten Daten sei nicht erforderlich gewesen, hat das BAG im fortgesetzten Verfahren (im wissenschaftlichen Sinn leider) nicht mehr zu prüfen gehabt, ob die BV so ausgestaltet war, dass die Anforderungen der DSGVO erfüllt wurden (BAG 8.5.2025, 8 AZR 209/21). Die Anforderungen, die Art 88 Abs 2 DSGVO im Einzelnen an den Normsetzer (und nicht an den Norm anwender, siehe EuGH 30.3.2023, C-34/21, Hauptpersonalrat, Rn 74) stellt, harren sohin weiterhin einer Konkretisierung (letztlich) durch den EuGH.
„Kollektivvereinbarungen“, in praxi insb Betriebsvereinbarungen, sind zwar keine völlig eigenständigen Erlaubnistatbestände für Datenverarbeitungen außerhalb des Katalogs des Art 6 Abs 1 DSGVO; sie können aber iS eines „Feintunings“ jedenfalls entsprechende rechtliche Verpflichtungen gem dessen lit c schaffen oder eine Interessenabwägung gem dessen lit f durch präzisierende Regelungen konkretisieren bzw die Erlaubnis einer genannten oder auch (zur Zweckerreichung) nur erforderlichen spezifischen Datenverarbeitung indizieren (dazu näher Goricnik in Knyrim [Hrsg], DatKomm Art 88 Rz 47 [Stand Dezember 2023, rdb.at]). Die Betriebsvereinbarungsparteien haben (auf Grund ihrer spezifischen Sachnähe im betreffenden Tätigkeitsbereich) damit zwar einen gewissen, aber eben nicht uneingeschränkten, unionsrechtlichen Spielraum bei der Beurteilung der Erforderlichkeit einer Datenverarbeitung. Dieses „Ermessen“ iS eines der Rechtssicherheit dienenden „Feintunings“ ist dann auch der Benefit, wenn von Art 88 DSGVO innert der Grenzen dessen Abs 2 Gebrauch gemacht wird.
Darüber hinaus können Kollektivvereinbarungen gem Art 9 Abs 2 lit b DSGVO unter der Voraussetzung des Vorsehens geeigneter Garantien für die Grundrechte und die Interessen der betroffenen 383 Personen die Verarbeitung sensibler Beschäftigtendaten erlauben.
Die vom EuGH weiters ausdrücklich geforderte Erforderlichkeit der Verarbeitung bemisst sich beim Vorliegen einer BV als Erlaubnistatbestand nach dem (eindeutig und detailliert zu beschreibenden) Zweck der in der BV geregelten Datenverarbeitungen.
Nicht mit den Grundsätzen der DSGVO konform gehende Datenverarbeitungen können aber damit nicht über eine BV als Rechtsgrundlage gerettet oder gar immunisiert werden (so auch Thiele, EuGH: Beschäftigtendatenschutz unterliegt gleichermaßen den Anforderungen von Art 5, 6 und 9 DSGVO, jusIT 2025/26, 32 [33]). Insofern ist auch der Versuch aussichtslos, mit einer (nur dem Namen nach) „Datenschutz-BV“ aufgrund von (möglicherweise sachfremden) Kompromissen eine „DSGVOfeste“ Vereinbarung mit dem BR erzielen zu wollen (eine „Kuhhandels-BV“ laut Haidinger/Löffler, Betriebsvereinbarungen dürfen die Grenzen Art 5, 6 und 9 DSGVO nicht überschreiten, Dako 2025/9). In diesen Fällen griffe vielmehr wieder die Notwendigkeit der – aufwendigen – Beurteilung jeder einzelnen Datenverarbeitung in Bezug auf jeden einzelnen AN gemäß den allgemeinen Bestimmungen der DSGVO (ohne jedwede kollektiv-pauschale Beurteilungsmöglichkeit durch eine BV mit einem gewissen „spezifizierten“ Spielraum).
Für Österreich ist das (im Gegensatz zur bis dato großzügigeren deutschen Praxis) resümierend nichts „Neues unter der Sonne“, aber die Klarstellungen des EuGH sind iSd Rechtssicherheit erfreulich und sollten insb Betriebsvereinbarungen (auch) als datenschutzrechtliche Erlaubnistatbestände gerade in Folge der Säumnis des Gesetzgebers, präzises Beschäftigtendatenschutzrecht zu statuieren, im Interesse der (betrieblichen) Praxis an verbindlichen und eindeutigen Regeln befördern. Es obliegt in Österreich sohin nach wie vor den (betrieblichen) Sozialpartnern, iSd Rechtssicherheit transparente Datenverarbeitungen zu normieren und damit betriebsbezogen praxissicher zu ermöglichen.