Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXXIV: Beschäftigtendatenverarbeitung auf Basis kollektivrechtlicher Vereinbarungen und deren Grenzen : aus der RDV 3/2025, Seite 145 bis 148

II. Musterlösung

1. Allgemeines zu Kollektivvereinbarungen als datenschutzrechtlicher Rechtsgrundlage

Damit die Verarbeitung rechtmäßig ist, müssen gemäß ErwG 40 DS-GVO personenbezogene Daten mit Einwilligung der betroffenen Person oder auf Basis einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus der DS-GVO oder – wann immer in der Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. Ergänzend hierzu bestimmt Art. 88 Abs. 1 DS-GVO, dass die Mitgliedstaaten durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses.

Art. 88 Abs. 1 DS-GVO nennt also exemplarisch Zwecke, zu denen nationale Datenverarbeitungsregelungen in Form von spezifischeren Vorschriften geschaffen werden dürfen, regelt allerdings nicht, welche materiellen Anforderungen an diese zu stellen sind.^[2]Inhaltliche Anforderungen an spezifische Bestimmungen zum Beschäftigtendatenschutz begründet aber Art.  88 Abs.  2 DS-GVO, der feststellt, dass solche Vorschriften „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ umfassen. Sofern eine spezifischere Vorschrift die Anforderungen nach Abs. 2 nicht erfüllt, kann sie nicht auf Art. 88 DS-GVO gestützt werden.^[3]

Nach dem EuGH müssen nach Art. 88 DS-GVO erlassene spezifischere Vorschriften aber nicht nur die Anforderungen aus Art. 88 Abs. 2 DS-GVO wahren, sondern überdies auch die allgemeinen Grundsätze und Rechtmäßigkeitsvoraussetzungen der DS-GVO (insbes. Art. 5, 6 und 9).^[4]Dies gelte u.a. für die Einhaltung des in diesen Bestimmungen vorgesehenen Kriteriums der Erforderlichkeit der Verarbeitung, so der EuGH.^[5]Bei der Beurteilung, inwieweit eine Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Betracht kommt, misst der EuGH damit dem Prinzip der Erforderlichkeit der Datenverarbeitung, wie es in Art. 6 Abs. 1 S. 1 lit. b) DS-GVO und Art.  5 Abs.  1 lit.  c) DS-GVO (Grundsatz der Datenminimierung) zum Ausdruck kommt, besondere Bedeutung zu.

Zwar stellt der EuGH mit Blick auf die Erforderlichkeit von Beschäftigtendatenverarbeitungen explizit fest, dass die Parteien einer Betriebsvereinbarung „im Allgemeinen über gute Grundlagen für die Beurteilung [verfügen], ob eine Datenverarbeitung in einem konkreten beruflichen Kontext erforderlich ist, da diese Parteien gewöhnlich umfangreiche Kenntnisse in Bezug auf die spezifischen Bedürfnisse im Beschäftigungsbereich und im betreffenden Tätigkeitsbereich haben“.^[6] Zugleich stellt der EuGH aber auch Grenzen mit Blick auf eine entsprechende Beurteilungshoheit der Betriebsparteien auf, indem er feststellt, dass der Beurteilungsprozess nicht dazu führen dürfe, dass aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse geschlossen werden, welche die Erreichung der Ziele der DS-GVO in unzulässiger Weise beeinträchtigen.^[7]

Betriebsvereinbarungen können eine Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten damit im Ergebnis nur begründen, sofern sie die DS-Vorgaben lediglich konkretisieren.^[8]

2. Beurteilung der geplanten Betriebsvereinbarung zum Thema Repräsentation der Vertriebsmitarbeiter auf der Unternehmenshomepage

a) Allgemeines

Wendet man die dargestellten vom EuGH entwickelten Grundsätze auf die geplante Betriebsvereinbarung zur Repräsentation der Vertriebsmitarbeiter auf der Unternehmenshomepage an, so stellt sich die Frage, ob die geplanten kollektivrechtlichen Regelungen die allgemeinen Grundsätze und Rechtmäßigkeitsvoraussetzungen der DS-GVO wahren. Zentral für die Beurteilung dieser Frage ist die Bewertung, ob bzw. unter welchen Voraussetzungen die Veröffentlichung der Mitarbeiterdaten auf der Homepage datenschutzrechtlich erlaubt ist.

aa) § 26 Abs. 1 S. 1 BDSG als Grundlage der Datenverarbeitung?

Als Spezialtatbestand mit Blick auf die Verarbeitung von Beschäftigtendaten wäre insofern an sich zunächst § 26 Abs. 1 S. 1 BDSG zu prüfen, welcher die Zulässigkeit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Begründung, Durchführung bzw. Beendigung eines Beschäftigungsverhältnisses regelt. Angesichts der anzunehmenden Europarechtswidrigkeit^[9]der BDSG-Regelung ist allerdings stattdessen auf Art. 6 Abs. 1 S. 1 lit. b) DS-GVO (Verarbeitung zu Zwecken der Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen) zurückzugreifen. In der Praxis werden sich durch den Austausch der Rechtsnormen regelmäßig keine Unterschiede ergeben mit Blick auf die Zulässigkeit der Datenverarbeitung, denn § 26 Abs. 1 S. 1 BDSG beinhaltet mit Blick auf den eingangs zitierten Regelungsgegenstand (Datenverarbeitung im Zusammenhang mit der Begründung, Durchführung bzw. Beendigung des Beschäftigungsverhältnisses) im Ergebnis nur eine Konkretisierung dessen, was bereits Art. 6 Abs. 1 S. 1 lit. b) DS-GVO bestimmt.

bb) Art. 6 Abs. 1 S. 1 lit. b) DS-GVO als Verarbeitungsgrundlage?

Auf Art. 6 Abs. 1 S. 1 lit. b) DS-GVO (Verarbeitung zu Zwecken der Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen) kann eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 DS-GVO, zu denen auch „Fotodaten“ zählen, nur gestützt werden, wenn die Verarbeitung zu den in der Norm genannten Zwecken erforderlich ist. Es reicht also nicht, dass eine Verarbeitung von Daten im Zusammenhang mit einem Vertrag bzw. vorvertraglichen Maßnahmen erfolgt, die Datenverarbeitung muss zu den genannten Zwecken auch „erforderlich“ i.S.v. Art. 6 Abs. 1 S. 1 lit. b) DS-GVO sein. Orientierung mit Blick auf die Frage, was mit Erforderlichkeit i.S.v. Art. 6 Abs. 1 S. 1 lit. b) DS-GVO gemeint ist, liefert ErwG 39 S. 9 DS-GVO, wonach eine Verarbeitung zulässig ist, wenn der Zweck nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.^[10] Anders als die Veröffentlichung bloßer Kontaktdaten^[11] ist die Veröffentlichung von Mitarbeiterfotos im Internet allerdings lediglich ein „Nice to have“ und keine Notwendigkeit im vorbeschriebenen Sinne. Potenzielle Kunden und Kundinnen werden mit den Vertriebsmitarbeitern bzw. den Mitarbeiterinnen unabhängig davon in Kontakt treten, ob sie wissen, wie die betreffende Person aussieht. Art. 6 Abs. 1 S. 1 lit. b) DS-GVO scheidet im Ergebnis hier damit als potenzielle Rechtsgrundlage aus.

cc) Art. 6 Abs. 1 S. 1 lit. f) DS-GVO als Verarbeitungsgrundlage?

Ebenso wenig kommt Art. 6 Abs. 1 S. 1 lit. f) DS-GVO als taugliche Grundlage für die Veröffentlichung der Mitarbeiterfotos in Frage. Denn Art. 6 Abs. 1 S. 1 lit. f) DS-GVO kommt im Beschäftigungsverhältnis nicht uneingeschränkt zur Anwendung, sondern ausschließlich in Konstellationen, in welchen mit der Beschäftigtendatenverarbeitung sog. „beschäftigungsfremde“ Zwecke verfolgt werden.^[12] Würde man Art.  6 Abs.  1 S.  1 lit.  f) DS-GVO auch außerhalb „beschäftigungsfremder“ Zwecke heranziehen, so könnte das durch Art. 6 Abs. 1 S. 1 lit. b) DS-GVO aufgestellte Prinzip, dass die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses erforderlich sein muss, unterlaufen werden, indem nicht erforderliche Verarbeitungen über Art. 6 Abs. 1 S. 1 lit. f) DS-GVO legitimiert werden.^[13]

Ein „beschäftigungsfremder“ Zweck, der die Anwendung von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO rechtfertigt, liegt z.B. dann vor, wenn Beschäftigtendaten im Rahmen von Due Diligence-Verfahren verarbeitet werden, also bei Unternehmensverkäufen. Es gehört nicht zu den Rechten und Pflichten aus dem Arbeitsverhältnis, dass ein Beschäftigter sich mit dem Unternehmen bzw. Betrieb seines Arbeitgebers „verkaufen“ lassen muss.

Das Interesse des Arbeitgebers, sein Unternehmen zu verkaufen, ist aber ein berechtigtes Interesse i.S.v. Art. 6 Abs. 1 S. 1 lit. f) DS-GVO. Der Zweck, den U hier mit der Veröffentlichung der Daten der Vertriebler/-innen auf der Unternehmenshomepage verfolgt, ist nicht als „beschäftigungsfremd“ anzusehen, denn die Erreichbarkeit bzw. Außendarstellung der Vertriebler/-innen steht in unmittelbarem Zusammenhang mit deren arbeitsvertraglichen Aufgaben.

dd) Einwilligung der betroffenen Beschäftigten als Verarbeitungsgrundlage?

Eine datenschutzkonforme Veröffentlichung der Bilder der Beschäftigten wäre damit im Ergebnis nur auf Grundlage einer freiwilligen Einwilligung der betreffenden Mitarbeiter/- innen erlaubt, also auf derselben rechtlichen Basis, wie die Veröffentlichung der Fotos bei dem Unternehmen auch bislang legitimiert wurde.

In welchem Verhältnis die DS-GVO-Regelungen mit Blick auf die Verarbeitung von „Fotodaten“ zu den Regelungen in §§  22 ff. Kunsturhebergesetz (KunstUrhG) stehen, soll vorliegend nicht näher betrachtet werden.^[14] Denn mangels Einschlägigkeit eines Ausnahmetatbestands nach §  23 KunstUrhG ist vorliegend ohnehin auch die Verbreitung des Bildnisses gemäß KunstUrhG einwilligungsbedürftig (vgl. § 22 des Gesetzes).

b) Ersatz der freiwilligen Einwilligung in die Veröffentlichung von Fotos mittels Betriebsvereinbarung?

Entscheidend ist damit vorliegend die Frage, ob eine Betriebsvereinbarung, die eine Veröffentlichung der Mitarbeiterfotos generell und losgelöst von einer Einwilligung der Beschäftigten vorsieht, noch als mit den Prinzipien der DS-GVO vereinbar angesehen werden kann. Dagegen spricht, dass in diesem Fall – ähnlich wie im Fall der Anwendung von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO auch für Zwecke des Beschäftigungsverhältnisses^[15] – der Grundsatz der Erforderlichkeit ausgehöhlt würde. Hinter dem in der DS-GVO vorgesehenen Regelungsmechanismus steht der Gedanke des Verordnungsgebers, dass der Arbeitgeber Datenverarbeitungen, die für die Durchführung des Beschäftigungsverhältnisses notwendig sind, z.B. zur Zeiterfassung, Einsatzplanung etc., auf gesetzlicher Basis durchführen kann, ohne insoweit von der Zustimmung durch die beschäftigte Person abhängig zu sein. Nicht erforderliche Verarbeitungen, welche dem Arbeitgeber lediglich nützlich sind, ohne die er aber das Beschäftigungsverhältnis in zumutbarer Weise durchführen kann, sollen dagegen von der Einwilligung des Beschäftigten abhängen (zum Merkmal der Zumutbarkeit als Maßstab vgl. den in einem vorstehenden Unterabschnitt bereits erwähnten ErwG 39 S. 9 DS-GVO). Im Rahmen des Rechts auf informationelle Selbstbestimmung, welches in Abwägung mit den Grundrechten des Arbeitgebers nur im notwendigen Maß eingeschränkt werden darf, obliegt insofern der beschäftigten Person die freie Entscheidung, ob sie nicht erforderliche Verarbeitungen der sie betreffenden Daten gestatten will.

Die Entscheidung der Mitarbeiter/-innen über die Veröffentlichung der Personenbilder kann auch nicht durch eine Entscheidung des Betriebsrates ersetzt werden, denn, soweit der Betriebsrat Datenverarbeitungen legitimiert, die außerhalb des betrieblich Erforderlichen liegen und die private Sphäre der Beschäftigten betreffen, agiert er außerhalb seines gesetzlichen Zuständigkeitsbereichs. Das BetrVG berechtigt den Betriebsrat nicht, in die außerbetriebliche, private Lebensführung der Arbeitnehmer einzugreifen.^[16]Dies zeigt bereits der Wortlaut des Gesetzes, welcher das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG ausschließlich auf „Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb“ bezieht.

Nach alledem wäre die geplante Betriebsvereinbarung zu den Mitarbeiterfotos nicht mit den DS-Vorgaben vereinbar und dementsprechend unwirksam.

3. Beurteilung der Betriebsvereinbarung zur Speicherung von Server-Logs

Hinsichtlich der Betriebsvereinbarung zur Speicherung von Server-Logs besteht kein Ansatzpunkt dafür, dass die Regelung einer Speicherdauer von 90 Tagen mit den Grundsätzen und Rechtsgrundlagen der DS-GVO unvereinbar sein könnte. Die Speicherung der Daten entspricht einem berechtigten Interesse des Unternehmens (Art. 6 Abs. 1 lit. f) DS-GVO)^[17] und die Frist von 90 Tagen den standardmäßigen Empfehlungen.

Auch mit Blick auf die Vorgaben nach Art. 88 Abs. 2 DS-GVO bestehen keine Bedenken gegen die geplante Regelung, im Gegenteil trägt die Festlegung einer konkreten Löschfrist aus Perspektive der von der Datenspeicherung betroffenen Mitarbeiter i.S.v. Art. 88 Abs. 2 DS-GVO zu mehr Transparenz mit Blick auf die Verarbeitung bei.

Sollte sie geschlossen werden, würde die Betriebsvereinbarung insofern eine Rechtsgrundlage für die Datenspeicherung bis zum Ablauf der 90 Tage bilden.

III. Ergänzende Praxishinweise

Mit Blick auf die dargestellte EuGH-Rechtsprechung zu den datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen müssen sich die Betriebsparteien darauf einstellen, dass der Rahmen, in dem Datenverarbeitungen über Kollektivvereinbarungen legitimiert werden, gerichtlich überprüft werden kann.^[18] Unterschreitungen des vom EuGH vorgegebenen Rahmens, seien diese auch nur partieller Natur, sind unzulässig.^[19]

Die Entscheidung des EuGH führt aus Sicht der Betriebsparteien zu einer Einschränkung des Verhandlungsspielraums.^[20] Ein „Entgegenkommen“ durch den Betriebsrat in der Form, dass weiterreichende Erlaubnisse für die Datenverarbeitung geschaffen werden als in der DS-GVO angelegt, ist ausgeschlossen.^[21] In jedem Fall sollten die Betriebsparteien bestehende und neue Betriebsvereinbarungen mit Blick auf die Einhaltung der DS-Vorgaben sorgfältig prüfen.^[22]

Wenn zum Teil vertreten wird, dass die Betriebsvereinbarung als eigenständige nationale Regelung für die Verarbeitung von Beschäftigtendaten insgesamt europarechtswidrig sei^[23], spricht dagegen nach hier vertretener Ansicht, dass die Kollektivvereinbarung als spezielle Regelung zur Beschäftigtendatenverarbeitung in der DS-GVO selbst angelegt ist, nämlich in deren Art. 88 Abs. 1, wo es heißt: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten [….] vorsehen.“ Um Rechtsgrundlagen im Sinne der DS-GVO zu bilden, müssen die Betriebsvereinbarungen inhaltlich allerdings die Vorgaben aus der EuGH-Entscheidung vom 19.12.2024 – C-65/23 beachten.^[24]

RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

^{[1] Wortlaut der genannten Regelung: „Betriebsvereinbarungen gelten unmittelbar und zwingend.}

^{[2] Ehmann/Selmayr/Selk, Datenschutz-Grundverordnung, 3. Aufl. 2024, DS-GVO Art. 88 Rn. 119.}

^{[3] Ehmann/Selmayr/Selk, DS-GVO Art. 88 Rn. 119.}

^{[4] EuGH, Urt. v. 19.12.2024 – C-65/23 LS 1}

^{[5] EuGH, Urt. v. 19.12.2024 – C-65/23 Rn. 43.}

^{[6] EuGH, Urt. v. 19.12.2024 – C-65/23, Rn. 57.}

^{[7] EuGH, Urt. v. 19.12.2024 – C-65/23, Rn. 57.}

^{[8] AA wohl Kleinmann/Lordt, NJW 2025, 1092 (1092 f.), allerdings mit teilweise widersprüchlichen Aussagen innerhalb des Textabschnitts}

^{[9] Vgl. EuGH, Urt. v. 30.03.2023 – C-34/21. Da § 26 BDSG und § 23 HDSIG weitgehend inhaltsgleich sind, sind die Bedenken des EuGH wohl auch auf die BDSG-Regelung übertragbar (vgl. etwa HessDSB, Handreichung zur Verarbeitung personenbezogener Daten von Beschäftigten im Lichte des EuGHUrteils vom 30. März 2023 – C-34/21, S. 5).}

^{[10] Gola/Heckmann/Schulz, DS-GVO/BDSG, 3. Aufl. (2022), DS-GVO Art. 6 Rn. 38 m.w.N.}

^{[11] Bei Funktionen mit Außenkontakt dürfen Name und dienstliche Kontaktdaten ohne Einwilligung des jeweiligen Mitarbeiters veröffentlicht werden (vgl. etwa Koreng/Lachenmann DatenschutzR-FormHdB/Bergt, 4. Aufl. 2025, Form. H. I. 1.).}

^{[12] Gola/Thüsing, Handbuch Beschäftigtendatenschutz, 9. Aufl. (2025), Rn. 1013 ff.}

^{[13] Gola/Thüsing, Handbuch Beschäftigtendatenschutz, Rn. 1013 ff.}

^{[14] Vgl. hierzu etwa Reuter/Schwarz, ZUM 2020, 31.}

^{[15] Vgl. dazu oben unter II. 2. a) cc).}

^{[16] Fitting, Betriebsverfassungsgesetz, 32. Aufl. (2024), § 87 Rn. 62.}

^{[17] Siehe ErwG 49 DS-GVO; zu Art. 6 Abs. 1 S. 1 lit. f) DS-GVO als Grundlage für die Verarbeitung von Beschäftigtendaten in Systemen zur Angriffserkennung ausführlich Schaller/Schild, NZA 2024, 505 ff.}

^{[18] GDD, Stellungnahme zu den datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen nach dem EuGH v. 22.01.2025, S. 5.}

^{[19] GDD, Stellungnahme zu den datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen nach dem EuGH v. 22.01.2025, S. 5.}

^{[20] Kleinmann/Lordt, NJW 2025, 1092 (1093).}

^{[21] Kleinmann/Lordt, NJW 2025, 1092 (1093).}

^{[22] Kleinmann/Lordt, NJW 2025, 1092 (1093).}

^{[23] So Monreal, ZD 2024, 126 (131).}

^{[24] Zu den Vorgaben im Einzelnen vgl. oben unter II.1.}