Mit Art. 8 der 2010 in Kraft getretenen Charta der Grundrechte der Europäischen Union (Grundrechtecharta (GrCh) wurde erstmals ein starkes Datenschutz-Grundrecht auf europäischer Ebene geschaffen. In Deutschland gab es ein entsprechendes Grundrecht als Recht auf informationelle Selbstbestimmung, das vom Bundesverfassungsgericht 1983 aus dem Allgemeinen Persönlichkeitsrecht (Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 Grundgesetz) entwickelt wurde. Dieses Grundrecht wurde laufend weiterentwickelt, etwa zuletzt mit dem Grundrecht auf Integrität informationstechnischer Systeme (es wurde 2008 durch das Bundesverfassungsgericht formuliert und beinhaltet den Schutz von persönlichen Daten, die in informationstechnischen Systemen gespeichert oder verarbeitet werden).
Auch im Vertrag über die Arbeitsweise der Europäischen Union (AEUV), der neben dem Vertrag zur Gründung der Europäischen Union (EUV) das europäische Primärrecht bildet, erhielt der Datenschutz mit Art. 16 AEUV Verfassungsrang. Die EU erhält mit Art. 16 Abs. 2 AEUV die Kompetenz zur Regulierung des Datenschutzes in der EU.
Die Grundrechtecharta umfasst in Art. 8 GrCH auch das Recht jeder Person auf Schutz personenbezogener Daten, die sie betrifft. Personenbezogene Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Zudem wird das Recht jeder Person gewährleistet, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
In enger Verbindung zu Art. 8 GrCh steht der Art. 7 GrCh, der jeder Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation gewährleistet.
Diese verfassungsrechtlich verbürgte Gewährleistung des Datenschutzes in der GrCh wird durch die EU-Datenschutz-Grundverordnung (DSGVO) konkretisiert. Die DSGVO gilt in den Mitgliedstaaten als unmittelbar geltendes Recht und ist ein Schutzgesetz. Dieser Schutzgesetzcharakter führt dazu, dass Arbeitgeber und Betriebsrat die Schutzverpflichtung aus § 75 Abs. 2 BetrVG auch im Lichte DSGVO auslegen müssen. Insofern ist die DSGVO auch als ein arbeitnehmerschützendes Gesetz einzustufen.
Die Schutzziele der GrCh werden von Art. 1 Abs. 2 DSGVO aufgegriffen, wenn es dort heißt, dass die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere das Recht auf Schutz personenbezogener Daten, gewährleistet.
Der Personalrat hat deshalb gemäß § 68 Abs. 1 Nr. 2 BPersVG und der Betriebsrat gemäß § 80 Abs. 1 Nr. 1 BetrVG die Kompetenz, die Einhaltung der Rechte der Beschäftigten durch das Datenschutzrecht zu überwachen.
In der DSGVO finden sich zahlreiche sogenannte ‚Öffnungsklauseln‘, die es den Mitgliedstaaten erlauben, die DSGVO in bestimmten Regulierungsbereichen zu konkretisieren. Dazu zählt auch der Art. 88 DSGVO (Datenverarbeitung im Beschäftigungskontext). Diese Vorschrift erlaubt den Mitgliedstaaten, durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu schaffen.