EuGH, Urteil vom 19.12.2024, Az.: C-65/23

Im Zuge der Einführung einer neuen Unternehmenssoftware wurden personenbezogene Daten der Arbeitnehmerin (A) aus einem System vom Arbeitgeber (B) auf einen Server der Muttergesellschaft in den USA übertragen. Zuvor wurde eine „Duldungs-Betriebsvereinbarung“ abgeschlossen, die festlegte, welche Daten in der Software verarbeitet werden dürfen. A vertrat die Auffassung, dass darüber hinaus zusätzliche, nicht von der Betriebsvereinbarung erfasste sensible Daten verarbeitet wurden. Unter anderem private Kontaktdaten und Sozialversicherungsnummern. A forderte Schadensersatz. Das BAG setzte das Verfahren aus und ersuchte eine Vorabentscheidung. Im Fokus stand die Auslegung von Artikel 88 DSGVO, sowie die allgemeinen Anforderungen der Artikel 5, 6 und 9 DSGVO.

Das Vorabentscheidungsersuchen ist zulässig. Art. 88 Abs. 1 und 2 DSGVO ist so auszulegen, dass eine nationale Rechtsvorschrift zur Verarbeitung personenbezogener Daten im Beschäftigungskontext nicht nur die Anforderungen aus Art. 88 Abs. 2 DSGVO, sondern auch die Vorgaben aus Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und 2 DSGVO erfüllen muss. Kollektivvereinbarungen, die die Datenverarbeitung regeln, müssen innerhalb klarer rechtlicher Rahmenbedingungen agieren. Nationale Gerichte haben die Möglichkeit, die Vereinbarungen umfassend zu überprüfen, insbesondere hinsichtlich der Erforderlichkeit der Datenverarbeitung. Alle Maßnahmen zur Datenverarbeitung müssen den Prinzipien der DSGVO entsprechen, auch wenn sie durch spezifische Kollektivvereinbarungen geregelt sind.