Datenschutzrechtliche Anforderungen an Betriebsvereinbarungen nach dem EuGH
Art. 88 DS-GVO ermöglicht es den Mitgliedstaaten, durch nationale Vorschriften oder Kollektivvereinbarungen spezifische Regelungen zur Verarbeitung personenbezogener Daten im Beschäftigungskontext zu treffen. Deutschland hat diese Öffnungsklausel im BDSG genutzt und in § 26 Abs. 4 festgelegt, dass Beschäftigtendaten auch auf Grundlage von Kollektivvereinbarungen verarbeitet werden dürfen. Allerdings war bislang unklar, welche Anforderungen solche Regelungen erfüllen müssen.
Mit seinem Urteil vom 19. Dezember 2024 (Rs. C-65/23) hat der EuGH nun Klarheit geschaffen. Er äußerte sich zu den datenschutzrechtlichen Vorgaben für Betriebsvereinbarungen und zur Frage, inwieweit diese gerichtlich überprüfbar sind. Anlass war eine Vorlagefrage des BAG.
Muss die nationale Regelung lediglich den Anforderungen aus Art. 88 Abs. 2 DS-GVO entsprechen, besteht ein gewisser Spielraum bei der Erstellung von Kollektivvereinbarungen der es den Parteien ermöglicht, vom Schutzniveau der DS-GVO nach oben oder unten abzuweichen. Dadurch wären Unternehmen in der Gestaltung ihrer Betriebsvereinbarungen freier und könnten spezifischer auf Besonderheiten ihres Unternehmens eingehen.
Sollte jedoch der Art. 88 DS-GVO keine wesentlichen Abweichungen vom Schutzstandard der DS-GVO erlauben und eine Vollharmonisierung der Kollektivvereinbarungen mit den Grundsätzen der DS-GVO vorsehen, entfällt der Handlungsspielraum der Unternehmen bei Erstellung der Kollektivvereinbarungen, sodass lediglich eine Spezifizierung der DS-GVO Vorschriften möglich wäre.
Die GDD hat sich mit den möglichen Auswirkungen des Urteils auf die Erstellung von Kollektivvereinbarungen beschäftigt und gibt nützliche Hinweise für die Praxis.
(Foto: สรศักดิ์ ธรรมวงษ์ษา – stock.adobe.com)
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
