Der Europäische Gerichtshof befasste sich am 30. März 2023 in einem Vorabentscheidungsverfahren mit Fragen der Vereinbarkeit von Regelungen zum deutschen Beschäftigtendatenschutz mit der Europäischen Datenschutzgrundverordnung (DSGVO). Die bisherige Regelung des § 26 BDSG, die es Arbeitgebern ermöglichte, personenbezogene Daten im Beschäftigungskontext zu verarbeiten, dürfte nach diesem Urteil europarechtswidrig sein. Das Vorabentscheidungsverfahren bezog sich zwar nicht unmittelbar auf § 26 BDSG, jedoch auf eine in den entscheidenden Punkten gleich lautende Vorschrift aus dem hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG).
Was war der Anlass für die Entscheidung?
Hintergrund der Entscheidung waren zwei Erlasse des Hessischen Kultusministeriums hinsichtlich der Durchführung von Online-Unterricht per Videokonferenz-Livestream während der COVID-19-Pandemie. Im Rahmen der Durchführung des Online-Unterrichts stützte sich das Ministerium auf § 23 HDSIG und vertrat die Auffassung, dass die mit dem Online-Unterricht zusammenhängende Verarbeitung personenbezogener Daten der Lehrkräfte durch § 23 Abs. 1 S. 1 HDSIG legitimiert sei. Es handle sich um eine erforderliche Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses.
Das mit dieser Datenschutzfrage befasste Verwaltungsgericht Wiesbaden zweifelte jedoch daran, ob § 23 HDSIG den besonderen europarechtlichen Anforderungen des Art. 88 Abs. 2 DSGVO genügt und entschied sich, diese für das verwaltungsgerichtliche Verfahren entscheidende Vorfrage dem EuGH zur Vorabentscheidung vorzulegen.
Nach dem Inkrafttreten der DSGVO sind alle nationalen Regelungen zum Datenschutz subsidiär. Dies bedeutet, dass nationale Regelungen nur noch dann angewandt werden dürfen, wenn die DSGVO einen Sachverhalt nicht abschließend regelt, oder aber eine Öffnungsklausel nationale Vorschriften gestattet. Eine solche Öffnungsklausel für den Beschäftigungskontext enthält Art. 88 DSGVO. Demnach können die Mitgliedsstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten natürlicher Personen im Hinblick auf die Verarbeitung personenbezogener Daten im Beschäftigungskontext vorsehen. Der deutsche Gesetzgeber hat hiervon mit § 26 BDSG sowie einer Reihe von landesrechtlichen Vorschriften Gebrauch gemacht.
Wie entschied der EuGH?
Der EuGH stellte in seiner Entscheidung klar, dass nationale Vorschriften mit Bezug zur Öffnungsklausel des Art. 88 DSGVO geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen beinhalten müssen, wie dies auch in Absatz 2 dieses Artikels in der Verordnung geregelt ist. § 23 HDSIG erlaubt eine Verarbeitung personenbezogener Daten von Beschäftigten, soweit dies zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Insoweit ist § 26 BDSG gleichlautend. Diese Erforderlichkeitsprüfung jedoch ergebe sich nach Auffassung der Richter*innen bereits aus dem allgemeinen Tatbestand des Art. 6 Abs. 1 lit. b) DSGVO. Vor diesem Hintergrund stellt die Regelung des HDSIG keine „spezifischere“ Vorschrift im Sinne des Art. 88 DSGVO dar. Sie ist damit europarechtswidrig.
Darüber hinaus stellte der EuGH fest, dass der in § 23 Abs. 5 HDSIG enthaltene Hinweis, der Verantwortliche habe insbesondere die in Art. 5 DSGVO aufgestellten Grundsätze einzuhalten, nicht den Vorgaben der DSGVO genügt. Art. 88 Abs. 2 DSGVO verlange nämlich das Aufstellen geeigneter und besonderer Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, was mit einem bloßen Verweis des nationalen Gesetzgebers auf die Grundsätze des Art. 5 DSGVO nicht in Einklang zu bringen sei.
Welche Auswirkungen hat die Entscheidung für den nationalen Beschäftigtendatenschutz?
Obgleich sich die Entscheidung des EuGH nur auf Normen des hessischen Beschäftigtendatenschutzrechts bezieht, könnte die Entscheidung auch mittelbar § 26 BDSG, und damit die im Beschäftigtenkontext in Deutschland annähernd immer herangezogene Rechtsgrundlage zur Datenverarbeitung, betreffen. Denn in § 26 BDSG findet sich eine nahezu wortgleiche Formulierung zu § 23 HDSIG. Vorsicht ist daher bei Anwendung des § 26 BDSG geboten.
Gleichwohl halten sich die Auswirkungen für Arbeitgeber wahrscheinlich erst einmal in Grenzen, denn die Verarbeitung personenbezogener Daten von Beschäftigten kann in der Regel auch mit Art. 6 Abs. 1 lit. b) DSGVO direkt legitimiert werden. Somit ist nicht davon auszugehen, dass absehbar alle Datenverarbeitungen im Beschäftigungskontext rechtswidrig sind oder rechtswidrig werden. Es sollte aber sicherheitshalber überprüft werden, ob neben § 26 BDSG andere Rechtsgrundlagen für spezielle Datenverarbeitungen zur Verfügung stehen. Zudem sollten Arbeitgeber sicherstellen, dass die erteilten Informationen nach Art. 13, 14 DSGVO (noch) zutreffend sind.
Foto: Shutterstock / ImageFlow