EuGH-Urteil erschüttert deutschen Beschäftigtendatenschutz

Ein wegweisendes Urteil des Europäischen Gerichtshofs stellt die Praxis deutscher Unternehmen auf den Kopf. Betriebsvereinbarungen sind keine eigenständige Rechtsgrundlage mehr für die Verarbeitung von Mitarbeiterdaten. Sie müssen sich nun vollständig den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) unterordnen. Für Tausende Unternehmen und Betriebsräte entsteht dadurch dringender Handlungsbedarf.

Die Entscheidung vom 19. Dezember 2024 (Az. C-65/23) beendet eine lange etablierte, aber nun für rechtswidrig erklärte Praxis. Bisher stützten sich viele Firmen auf die nationale Öffnungsklausel in § 26 Abs. 4 des Bundesdatenschutzgesetzes (BDSG), um per Betriebsvereinbarung eine ausreichende Rechtsgrundlage zu schaffen. Der EuGH korrigiert diese Sichtweise fundamental.

DSGVO setzt absoluten Mindeststandard

Im Kern stellt das Gericht klar: Betriebsvereinbarungen dürfen die hohen Schutzstandards der DSGVO nicht unterlaufen. Sie sind lediglich „spezifischere Vorschriften“ im Sinne von Artikel 88 DSGVO. Jede darin geregelte Datenverarbeitung muss sich auf eine der allgemeinen Rechtsgrundlagen aus Artikel 6 DSGVO stützen – etwa die Erfüllung eines Vertrags oder ein berechtigtes Interesse des Unternehmens.

Viele Verzeichnisse von Verarbeitungstätigkeiten (VVT) sind nach dem EuGH‑Urteil unvollständig — und das kann Unternehmen teuer zu stehen kommen. Prüfen Sie jetzt, ob jede in Ihrer Betriebsvereinbarung genannte Verarbeitung auf einer gültigen DSGVO‑Rechtsgrundlage beruht. Praktische Hilfe: Kostenlose, prüfungsfeste Excel‑Vorlage fürs Verarbeitungsverzeichnis nach Art. 30 DSGVO plus Schritt‑für‑Schritt‑Anleitung zur sofortigen Umsetzung. Verarbeitungsverzeichnis-Excel jetzt herunterladen

Eine Datenverarbeitung, die nach der DSGVO unzulässig ist, kann auch durch eine Kollektivvereinbarung nicht legitimiert werden. Der EuGH erteilte damit der Hoffnung auf einen betrieblichen Gestaltungsspielraum eine klare Absage. Das Ziel, ein hohes Schutzniveau für Beschäftigte zu gewährleisten, würde sonst ausgehöhlt.

§ 26 BDSG verliert an eigenständiger Bedeutung

Die Entscheidung hat direkte Konsequenzen für die deutsche Rechtslage. § 26 Abs. 4 BDSG stellt nun keine eigenständige Erlaubnis mehr dar. Eine Betriebsvereinbarung kann eine nach der DSGVO bereits zulässige Datenverarbeitung lediglich konkretisieren und detaillieren. Sie schafft aber keine neue Rechtfertigung.

Was bedeutet das konkret? Jede in einer Vereinbarung geregelte Verarbeitung – von Zeiterfassungssystemen bis zu HR-Software – muss auf eine gültige DSGVO-Grundlage zurückführbar sein. Die Betriebsvereinbarung selbst ist nur noch das Ausgestaltungsinstrument, nicht die Erlaubnis. Diese Klarstellung beendet eine seit 2018 bestehende Rechtsunsicherheit.

Dringender Handlungsbedarf für Unternehmen

Für Arbeitgeber und Betriebsräte ergibt sich unmittelbarer Revisionsbedarf. Bestehende Vereinbarungen müssen einer kritischen Überprüfung unterzogen werden. Ist für jede geregelte Verarbeitung eine gültige DSGVO-Rechtsgrundlage dokumentiert?

Folgende Schritte sind jetzt erforderlich:
* Audit bestehender Vereinbarungen: Alle Betriebsvereinbarungen mit datenschutzrechtlichem Bezug müssen auf Konformität mit dem EuGH-Urteil geprüft werden.
* Aktualisierung der Dokumentation: Die Verzeichnisse von Verarbeitungstätigkeiten (VVT) und Datenschutzinformationen für Beschäftigte müssen angepasst werden. Statt allein der Betriebsvereinbarung muss die konkrete DSGVO-Rechtsgrundlage genannt werden.
* Neugestaltung künftiger Verhandlungen: Bei neuen Vereinbarungen sollte die anzuwendende DSGVO-Grundlage explizit benannt und die Erforderlichkeit detailliert begründet werden.

Ende des betrieblichen Einschätzungsspielraums

Ein weiterer wichtiger Aspekt: Der EuGH verwarf einen eingeschränkten gerichtlichen Überprüfungsmaßstab. Betriebsparteien können sich nicht auf einen eigenen Beurteilungsspielraum berufen. Nationale Gerichte sind nun verpflichtet, die Einhaltung aller DSGVO-Vorgaben in einer Betriebsvereinbarung umfassend zu kontrollieren.

Das stärkt die Rechte einzelner Beschäftigter erheblich. Ein Verstoß gegen die DSGVO kann auch dann zu Schadenersatzansprüchen führen, wenn die Verarbeitung formal durch eine Betriebsvereinbarung abgedeckt war. Der Schutz personenbezogener Daten ist ein Grundrecht, das nicht zur Disposition der Betriebsparteien steht.

Ausblick: Mehr Sorgfalt für mehr Rechtssicherheit

Die sogenannte „Workday-Entscheidung“ sorgt für Klarheit, aber auch für erheblichen Umsetzungsaufwand. Betriebsvereinbarungen bleiben ein wichtiges Gestaltungsinstrument, besonders bei der Einführung neuer Technologien. Ihre Rolle hat sich jedoch gewandelt: von einer vermeintlichen Rechtsgrundlage hin zu einem reinen Konkretisierungsinstrument.

Für Unternehmen bedeutet das, dem Datenschutz in Betriebsratsverhandlungen eine noch höhere Priorität einzuräumen. Die sorgfältige Prüfung und Dokumentation jeder Datenverarbeitung ist unumgänglich geworden. Nur so lassen sich Rechtsrisiken minimieren und das hohe europäische Schutzniveau in der betrieblichen Praxis tatsächlich gewährleisten.

PS: Sie müssen Ihre VVT schnell und rechtsicher aktualisieren? Mit der kostenlosen Excel‑Vorlage erstellen Sie ein vollständiges Verzeichnis in unter einer Stunde — inklusive Feldern für Rechtsgrundlagen, Verantwortliche und technische/organisatorische Maßnahmen. Unverzichtbar für Audits und Betriebsratsverhandlungen nach der Workday‑Entscheidung. Jetzt Verarbeitungsverzeichnis & Anleitung sichern