Beschäftigtendatenschutz: Alles auf Anfang?
Der Europäische Gerichtshof (EuGH) entschied mit Urteil vom 30.03.2023 (C-34/21) zur Frage, ob nationale Normen zur Datenverarbeitung von Beschäftigten – hier § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) und § 86 Hessischen Beamtengesetz (HBG) – europarechtskonform sind, wenn sie nicht die in Art. 88 Abs. 2 Datenschutz-Grundverordnung (DSGVO) genannten Voraussetzungen erfüllen (hierzu haben wir im Newsletter Entgeltabrechnung im April 2023 bereits berichtet).
Nach dieser Entscheidung stellt sich die Frage:
Alles auf Anfang im Beschäftigtendatenschutz in Deutschland?
Hintergrund der Entscheidung
Der EuGH nahm zu Vorlagefragen des Verwaltungsgerichts (VG) Wiesbaden (jetzt VG Frankfurt) Stellung. Das VG Wiesbaden entschied über die Verarbeitung personenbezogener Daten von Lehrkräften im Rahmen von Livestream-Unterricht. Gegenstand des personalvertretungsrechtlichen Verfahrens war die Frage, ob neben der Einwilligung der Eltern für ihre Kinder oder der Einwilligung volljähriger SchülerInnen auch die Einwilligung der jeweiligen Lehrkraft erforderlich ist oder ob die Datenverarbeitung ohne Einwilligung durch § 23 Abs. 1 Satz 1 HDSIG bzw. § 86 HBG eine Rechtsgrundlage erhält. Denn die Datenverarbeitung sei zur Durchführung des Beschäftigungsverhältnisses erforderlich. Das VG Wiesbaden kam zu dem Ergebnis, dass die landesrechtlichen Datenschutzvorschriften, die teils identisch mit der Regelung des § 26 Bundesdatenschutzgesetz (BDSG) sind, nicht europarechtskonform sind. Das VG legte dem EuGH zwei Fragen zur Vorabentscheidung vor.
Die Vorlagefragen
- Ist Art. 88 Abs. 1 DSGVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext i. S. d. Art. 88 Abs. 1 DSGVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DSGVO gestellten Anforderungen erfüllen muss?
- Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DSGVO offensichtlich nicht erfüllt, trotzdem anwendbar bleiben?
Kurz erklärt
Das VG Wiesbaden stellte sich mit seinen Vorlagefragen gegen die Rechtsprechung des Bundesarbeitsgerichts (BAG, Beschl. v. 07.05.2019 – 1 ABR 53/17, Rn. 46 ff.) und gegen die weit überwiegende Auffassung in der Literatur (vgl. BAG, Beschl. v. 07.05.2019 – 1 ABR 53/17, Rn. 48; a. A: Kühling/Buchner/Maschmann, 3. Aufl. 2020, BDSG § 26 Rn. 2).
Das VG Wiesbaden bezweifelte, dass § 23 Abs. 1 Satz 1 HDSIG und § 86 Abs. 4 HBG zulässige Konkretisierungen i. S. d. DSGVO sind. Voraussetzung der landesrechtlichen Normen ist, dass die Datenverarbeitung „erforderlich“ ist. Die Voraussetzungen in Art. 6 Abs. 1 Satz lit. f DSGVO gehen über diese einfache Interessenabwägung hinaus, da eine Güter- und Interessenabwägung („Wahrung der berechtigten Interessen des Verantwortlichen [ist] erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“) vorzunehmen ist. Das BAG ging in dem Beschluss vom 07.05.2019 (1 ABR 53/17, Rn. 46 ff.) noch davon aus, dass § 26 BDSG „derart offenkundig“ europarechtskonform ist, dass es eines Vorabentscheidungsverfahren nicht bedürfe.
Die Entscheidung
Der EuGH entschied, dass Art. 88 DSGVO dahin auszulegen ist, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ i. S. v. Art. 88 Abs. 1 sein kann, wenn sie nicht die Vorgaben von Art. 88 Abs. 2 DSGVO erfüllt. Weiterhin ist Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen (Anwendungsvorrang), wenn sie nicht die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage i. S. v. Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt.
Die landesrechtlichen Datenschutznormen (und auch § 26 Abs. 1 S. 1 BDSG) beziehen sich nicht auf Art. 88 Abs. 2 DSGVO und treffen zu den Voraussetzungen keinerlei Regelung. Art. 88 Abs. 2 DSGVO sieht vor: Diese (spezifischeren) Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. Das VG resümierte bereits, dass die Aufnahme des Grundsatzes der Erforderlichkeit im Gesetz gerade keine Konkretisierung von Art. 88 Abs. 2 DSGVO darstellt. Dies bestätigte der EuGH.
Die Begründung
Der EuGH weist dann zutreffend auf die Auslegung von Art. 88 DSGVO und insbesondere auf den Wortlaut hin, aus dem sich die Verwendung des Ausdrucks „spezifischere“ ergibt. Das bedeutet, die spezifischeren Vorschriften müssen erstens zu dem geregelten Bereich passen und zweitens sich von den allgemeinen Regeln der DSGVO unterscheiden. Der EuGH bezog sich auf Art. 88 Abs. 2 DSGVO und stellte fest, dass dieser Absatz dem Ermessen der Mitgliedstaaten, spezifischerer Vorschriften zu erlassen, einen Rahmen setzt. Wörtlich heißt es: So dürfen sich diese Vorschriften zum einen nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken, sondern müssen auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen.
Ergänzend stellte der EuGH klar, dass die Grundsätze aus Kapitel II und III der DSGVO bei jeder Datenverarbeitung zwingend zu beachten sind. Zudem müsse jede Datenverarbeitung im Einklang mit Art. 5 DSGVO stehen und unter eine in Art. 6 DSGVO aufgeführte Rechtsgrundlage fallen. Das heißt, dass spezifischere Vorschriften nicht den Wortlaut von Art. 6 DSGVO wiederholen dürfen und ein Verweis auf Art. 5 DSGVO nicht ausreichend ist. Daraus folgt, dass § 23 Abs. 1 Satz 1 HDSIG bzw. § 86 HBG und damit § 26 BDSG nicht mit der DSGVO vereinbar sind. Diese Normen wiederholen den Wortlaut und sind keine spezifischeren Vorschriften.
Der EuGH entschied, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie die Voraussetzungen von Art. 88 Abs. 2 DSGVO nicht erfüllen. Klarstellend führte der EuGH aus, dass die nationalen Gerichte festzustellen haben, ob die mitgliedstaatlichen Regelungen europarechtskonform sind.
Die Praxisfolgen: Alles auf Anfang?
Der EuGH verpasste die Chance, Art. 88 DSGVO näher zu konkretisieren. Es bleibt unklar, wo die Grenzen zwischen einer „gestatteten“ Wiederholung, einer zulässigen Spezifizierung und einem von Art. 6 DSGVO abweichenden – und damit unzulässigen – eigenständigen Regelungskonzept verlaufen. Andererseits bietet die Entscheidung damit aber noch Gestaltungsspielräume sowohl für die Mitgliedstaaten als auch für Unternehmen in Deutschland. Die EuGH-Entscheidung erging zwar nur zu einer mitgliedstaatlichen gesetzlichen Ausgestaltung auf Grundlage von Art. 88 DSGVO, aber die vom EuGH ausgeführten Rechtmäßigkeitsvoraussetzungen gelten auch für Betriebsvereinbarungen, die eine Rechtsgrundlage zur Datenverarbeitung sein sollen.
Da § 26 Abs. 1 S. 1 BDSG keine spezifischere Regelung darstellt, gilt der Anwendungsvorrang der DSGVO, sodass § 26 Abs. 1 S. 1 DSGVO keine Rechtsgrundlage für Datenverarbeitungen darstellt. Das heißt, Datenverarbeitungen im Beschäftigtenverhältnis sind durch andere Rechtsgrundlagen zu rechtfertigen, insbesondere gemäß Art. 6 Abs. 1 lit. b), lit. c) bzw. lit. f) DSGVO. Daher sollten Unternehmen eine datenschutzrechtliche Inventur vornehmen und die dokumentierten Rechtsgrundlagen entsprechend updaten. Die gute Nachricht ist, dass § 26 BDSG im Übrigen weiterhin anwendbar ist. Trotzdem startete der Gesetzgeber eine Initiative, ein neues Beschäftigtendatenschutzgesetz auf den Weg zu bringen. Anhaltspunkte für ein neues Gesetz bietet ein Blick zurück: Denn der Gesetzgeber unternahm bereits mehrere Anläufe, ein solches Gesetz zu entwerfen. Zuletzt ist hier auf den sehr guten Gesetzentwurf aus dem Jahr 2010 (BT-Drucks. 17/4230) zu verweisen, der an die DSGVO zu adaptieren ist.
Abschließend ist Unternehmen zu empfehlen, ihre bestehenden Betriebsvereinbarungen dahin zu überprüfen, ob die vom EuGH dargelegten Grundsätze für eine rechtmäßige Rechtsgrundlage eingehalten sind. Andernfalls dürften die kollektivrechtlichen Regelungen keine ausreichende Rechtsgrundlage darstellen und es gilt auch hier der Anwendungsvorrang.
Damit ist die Frage, alles auf Anfang im Beschäftigtendatenschutz, so zu beantworten, dass die Mitgliedstaaten nicht verpflichtet sind, von der Öffnungsklausel Gebrauch zu machen. Wenn sie aber eigene Regelungen im Beschäftigtendatenschutz erlassen, sind die DSGVO-Vorgaben einzuhalten. Dies ist in Deutschland aktuell nur teilweise der Fall. Unternehmen sollten daher die DSGVO-Compliance überprüfen und erforderlichenfalls updaten.
Sie finden den kompletten Beitrag in der LOHN+GEHALT 5/2023 (erscheint am 08.09.2023)