DSGVO und Betriebsvereinbarung – was als Rechtsgrundlage gilt

Betriebsvereinbarungen sind im Beschäftigungskontext ein zentrales Instrument, um Regeln zur Verarbeitung von Beschäftigtendaten festzulegen. Gleichzeitig gilt: Eine Betriebsvereinbarung legitimiert Datenverarbeitung nur dann, wenn sie die Anforderungen der DSGVO vollständig einhält. Genau darum dreht sich die aktuelle Debatte um die DSGVO Betriebsvereinbarung Rechtsgrundlage: Wann trägt eine Betriebsvereinbarung als kollektive Regelung die Datenverarbeitung – und wann nicht?

Das Bundesarbeitsgericht (BAG) hat dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob § 26 Abs. 4 BDSG als Rechtsrahmen für Betriebsvereinbarungen zur Datenverarbeitung mit dem europäischen Datenschutzrecht vereinbar ist. Im Zentrum steht, ob § 26 Abs. 4 BDSG im Einklang mit Art. 88 DSGVO steht und welche Mindestanforderungen für eine wirksame Art. 88 DSGVO Betriebsvereinbarung gelten.

Art. 88 DSGVO im Beschäftigungskontext

Art. 88 DSGVO erlaubt Mitgliedstaaten, für die Datenverarbeitung Beschäftigte DSGVO im Arbeitsverhältnis spezifischere Regelungen zu schaffen. Diese Öffnungsklausel ist jedoch kein Freibrief: Nationale Vorschriften und darauf gestützte Betriebsvereinbarungen dürfen das durch die DSGVO gewährleistete Schutzniveau nicht unterschreiten und müssen die Grundprinzipien der DSGVO konkretisieren.

Was verlangt Art. 88 DSGVO in der Praxis „konkret“? Eine Betriebsvereinbarung kann Datenverarbeitung nur legitimieren, wenn sie – als präzisierende Regel – DSGVO-konforme Leitplanken setzt. Dazu gehören insbesondere klare Festlegungen zu:

• Zwecken der Verarbeitung (wofür genau werden Daten genutzt, was ist ausgeschlossen?)
• Datenkategorien (welche Daten sind erforderlich, welche nicht?)
• Empfängern und Zugriffsrechten (wer darf was sehen, wer nicht?)
• Speicherfristen und Löschkonzepten
• Transparenz und Informationspflichten gegenüber Beschäftigten
• Schutzmaßnahmen (z. B. Rollen-/Berechtigungskonzepte, Protokollierung)

Damit wird Art. 88 DSGVO zum Prüfmaßstab: Eine Betriebsvereinbarung ist nur dann tragfähig, wenn sie die DSGVO nicht ersetzt, sondern konkretisiert.

BAG & EuGH – warum Betriebsvereinbarungen keine Ausnahme sind

Nach Auffassung des BAG war unklar, ob § 26 Abs. 4 BDSG im Einklang mit Art. 88 DSGVO steht. Kritisch diskutiert wurde, ob § 26 Abs. 4 BDSG lediglich „spezifischer“ ist – oder ob er faktisch eine eigenständige Rechtsgrundlage schafft. In der datenschutzrechtlichen Literatur überwog daher zunächst die Ansicht, dass § 26 Abs. 4 BDSG nicht europarechtskonform sein könnte.

Mit Blick auf EuGH Betriebsvereinbarung Datenschutz ist der entscheidende Punkt: Betriebsvereinbarungen dürfen keine datenschutzrechtliche „Sonderwelt“ eröffnen. Sie sind keine DSGVO-Ausnahme, sondern müssen sich an den zentralen materiellen Anforderungen messen lassen. Das bedeutet: Auch wenn eine Betriebsvereinbarung existiert, bleibt die Verarbeitung nur rechtmäßig, wenn sie die DSGVO-Grundsätze einhält und eine belastbare Legitimation im Beschäftigungskontext tatsächlich trägt.

Das BAG hat diese Grundfrage dem EuGH vorgelegt, um zu klären, wie weit kollektive Vereinbarungen reichen dürfen. Der EuGH hat mit Urteil vom 19. Dezember 2024 (C-65/23) inzwischen klargestellt, dass Betriebsvereinbarungen nach § 26 Abs. 4 BDSG weiterhin zulässig sein können – aber nur, wenn sie die Vorgaben der DSGVO präzisieren und das Schutzniveau nicht unterschreiten. § 26 Abs. 4 BDSG bleibt bestehen, allerdings dürfen Betriebsvereinbarungen keine eigenständige Rechtsgrundlage außerhalb der DSGVO schaffen. Genau diese Linie macht deutlich, warum Betriebsvereinbarungen kein „Ausnahme-Ticket“ sind, sondern ein DSGVO-konformes Regelungsinstrument sein müssen.

Typische Fehler in Betriebsvereinbarungen

In der Praxis scheitert die Wirksamkeit einer Betriebsvereinbarung selten an der Überschrift, sondern an inhaltlichen Lücken und zu weiten Formulierungen. Typische Fehler sind:

• Unklare oder zu breite Zwecke („zur Optimierung der Prozesse“, „zur Qualitätssicherung“) ohne konkrete Abgrenzung
• Fehlende Datenminimierung: Es werden mehr Daten geregelt oder freigegeben als erforderlich – besonders relevant bei HR-Daten DSGVO (z. B. Vergütung, Leistungsdaten, Abwesenheiten)
• Transparenzdefizite: Beschäftigte können nicht nachvollziehen, welche Verarbeitung in welchen Systemen stattfindet
• Unklare Rollen und Zugriffe: Wer darf welche Daten zu welchem Zweck sehen? Häufig fehlt ein belastbares Berechtigungskonzept
• Keine sauberen Lösch- und Speicherregeln, insbesondere bei parallelen Systemen, Migrationen oder Archivierung
• Unzureichende Differenzierung sensibler Daten: Besonders schutzbedürftige Daten (z. B. Gesundheitsdaten) werden nicht separat und restriktiv geregelt
• „Blanko“-Erlaubnisse für spätere Systemerweiterungen ohne erneute Prüfung von Zweck, Erforderlichkeit und Verhältnismäßigkeit

Diese Fehler führen dazu, dass die Betriebsvereinbarung nicht als tragfähige Legitimation wirkt, weil sie die DSGVO-Grundsätze nicht präzisiert, sondern die Verarbeitung faktisch ausweitet.

Haftungsrisiken für Arbeitgeber & Betriebsräte

Wenn eine Betriebsvereinbarung die DSGVO nicht einhält, entsteht ein doppeltes Risiko: rechtliche Angreifbarkeit der Verarbeitung und erhebliche Compliance-Folgen für das Unternehmen. Arbeitgeber tragen das zentrale Risiko für die Rechtmäßigkeit der Verarbeitung – insbesondere bei großvolumiger Datenverarbeitung Beschäftigte DSGVO in HR-Systemen, Self-Service-Portalen oder Cloud-basierten Personalplattformen.

Wesentliche Risiken sind:

• Untersagungen und Anordnungen durch Datenschutzaufsichtsbehörden (z. B. Anpassungspflichten, Löschanordnungen)
• Bußgelder bei strukturellen Verstößen gegen Grundprinzipien wie Zweckbindung oder Datenminimierung
• Reputations- und Vertrauensverlust gegenüber der Belegschaft, gerade bei HR-Transformationsprojekten
• Interne Konflikte: Wenn die Mitbestimmung zwar erfolgt ist, die datenschutzrechtliche Qualität aber nicht trägt, verschärft sich die Auseinandersetzung im Betrieb

Auch Betriebsräte sollten die Tragweite nicht unterschätzen: Die Mitwirkung an einer Betriebsvereinbarung entbindet nicht von der Pflicht, auf DSGVO-konforme Inhalte zu achten. Praktisch bedeutet das: Eine Vereinbarung, die Zweckbindung, Datenminimierung und Transparenz nicht sauber regelt, erzeugt nicht nur Rechtsunsicherheit, sondern erhöht das Risiko für Streitigkeiten und aufsichtsrechtliche Verfahren.

Wie sich Schadensersatz ohne Datenmissbrauch dogmatisch begründet und welche Anforderungen an den immateriellen Schaden gestellt werden, erläutern wir ausführlich in diesem Beitrag.

Praxis-Checkliste DSGVO-konformer Vereinbarungen

Eine Betriebsvereinbarung legitimiert Datenverarbeitung dann, wenn sie den DSGVO-Rahmen sichtbar und überprüfbar einhält. Für die Praxis empfiehlt sich folgende Checkliste, um die DSGVO Betriebsvereinbarung Rechtsgrundlage belastbar zu machen:

1. Zweckbindung klar definieren
   Konkrete Zwecke, klare Ausschlüsse, keine Generalklauseln.
2. Datenminimierung operationalisieren
   Datenkategorien exakt benennen; „nice to have“ ausdrücklich ausschließen.
3. Transparenz sicherstellen
   Verständliche Informationen für Beschäftigte: Was passiert in welchem System, zu welchem Zweck, mit welchen Empfängern?
4. Berechtigungen und Zugriffe regeln
   Rollenmodell, Need-to-know-Prinzip, Protokollierung und Kontrollrechte.
5. Speicher- und Löschkonzept verankern
   Fristen, Trigger (z. B. Austritt), Verantwortlichkeiten, Nachweisführung.
6. System- und Prozessänderungen absichern
   Regeln für Erweiterungen, neue Datenkategorien, neue Empfänger, Migrationen; Pflicht zur erneuten Prüfung.
7. Besondere Datenkategorien gesondert behandeln
   Strengere Anforderungen, zusätzliche Schutzmaßnahmen, klare Grenzen.
8. HR-Systeme ausdrücklich adressieren
   Bei HR-Daten DSGVO: Datenflüsse, Schnittstellen, Cloud-Dienstleister, Auswertungen/Reports, Self-Service-Funktionen eindeutig abgrenzen.

Fazit – Betriebsvereinbarung ja, aber DSGVO-konform

Eine Betriebsvereinbarung kann im Beschäftigungskontext eine tragfähige Grundlage sein – aber nur dann, wenn sie die DSGVO nicht unterläuft, sondern konkretisiert. Der EuGH hat klargestellt, dass Betriebsvereinbarungen keine eigenständige Datenschutz-Ausnahme schaffen dürfen. Damit ist die Kernbotschaft eindeutig: DSGVO Betriebsvereinbarung Rechtsgrundlage funktioniert nur, wenn Zweckbindung, Datenminimierung und Transparenz sauber geregelt sind und die Vereinbarung das DSGVO-Schutzniveau mindestens erreicht.

Wenn Sie zusätzlich prüfen möchten, ob in Ihrer Konstellation bereits ein Anspruch auf DSGVO-Schadensersatz bei Kontrollverlust im Raum steht, finden Sie die Einordnung in diesem Beitrag.

Fragen zur EuGH-Entscheidung oder zur datenschutzkonformen Gestaltung von Betriebsvereinbarungen?

Unsere spezialisierten Anwälte unterstützen Sie bei der Prüfung Ihrer bestehenden Regelungen, der Erstellung belastbarer Vereinbarungen und der rechtssicheren Umsetzung in HR- und Beschäftigtendatenprozessen – von der ersten Analyse bis zur vollständigen Umsetzung.

Welche Schadensersatzrisiken daraus entstehen, erfahren Sie hier.

Jetzt Beratungstermin vereinbaren!