Free

Beschäftigtendatenschutz: Zurück auf Start?!

AllgemeinArbeitsrecht
Lesezeit 4 Min.
Ein Fachmann arbeitet an einem Laptop mit einer Überlagerung eines Cybersicherheitskonzepts, das Datenschutz und Informationssicherheit im digitalen Zeitalter symbolisiert.
Foto: © stock.adobe.com/oselote

Europäischer Gerichtshof (EuGH), Urteil vom 30.03.2023 – C-34/ 21

Worum geht es?

Sowohl die deutsche Regelung zum Beschäftigtendatenschutz (§ 26 BDSG) als auch die europäische Regelung der Datenschutzgrundverordnung (Art. 88 Abs. 1 DSGVO) machen Vorgaben zur Datenverarbeitung im Beschäftigungsverhältnis.

Art. 88 Abs. 1 DSGVO regelt, dass die Mitgliedstaaten „spezifischere Vorschriften“ hinsichtlich einer solchen Datenverarbeitung vorsehen können. Die nationalen Regelungen müssen nach Art. 88 Abs. 2 DSGVO „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ umfassen. Die Frage, welche Voraussetzung eine Regelung (Gesetz oder auch eine Kollektivvereinbarung wie z. B. Betriebsvereinbarungen oder Tarifverträge) erfüllen muss, um als „spezifischer“ zu gelten, wurde in der juristischen Literatur bereits heiß diskutiert, blieb bisher von der Rechtsprechung jedoch unbeantwortet.

Nun äußert sich der EuGH zu der deutschen Regelung des § 26 BDSG.

Der Sachverhalt

Hintergrund der Entscheidung ist ein Fall aus Hessen. Dort wurde im Zuge der Corona-Pandemie in Schulen ein Livestream-Unterricht durch Videokonferenzsysteme eingeführt. Die Eltern der Kinder bzw. die volljährigen Schüler mussten für diese Datenverarbeitung ihre Einwilligung erteilen. Die Lehrerinnen und Lehrer wurden dagegen nicht gefragt.

Grund dafür war § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes (HDSIG), der dem § 26 Abs. 1 S. 1 BDSG wortgleich entspricht. Nach den Regelungen dürfen personenbezogene Daten von Beschäftigten z. B. dann verarbeitet werden, wenn dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einer Einwilligung bedarf es dann also nicht.

Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte wegen des Streaming-Unterrichts geklagt und gerügt, dass das Lehrpersonal nicht nach einer Einwilligung gefragt wurde. Das Land Hessen vertrat die Ansicht, dass der Livestream-Unterricht von den nationalen Datenschutzregelungen gedeckt sei. Das mit dem Fall beschäftigte Verwaltungsgericht (VG) Wiesbaden hatte Zweifel, ob die deutschen Regelungen als “spezifischere Vorschriften” im Sinne von Art. 88 DSGVO anzusehen sind, und legte die Sache dem EuGH vor.

Die Entscheidung

Der EuGH ist der Ansicht, dass eine “spezifischere Norm” i.S.d. Art. 88 DSGVO nicht bloß die Bestimmungen der DSGVO wiederholen dürfe. Von einer “spezifischeren Norm” sei stattdessen nur dann auszugehen, wenn diese die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllt, also „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]“ umfasst“. Dass diese Voraussetzungen im Fall des § 26 BDSG erfüllt sind, erscheint dem EuGH zumindest zweifelhaft.

Nationale Bestimmungen, die die Datenverarbeitung davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, „scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen”, so der EuGH.

Damit hat das vorlegende VG gewissermaßen Recht bekommen. Es hatte sich bereits gegen das BAG gestellt und war der Auffassung, dass der § 23 HDSIG und damit auch § 26 BDSG europarechtswidrig seien, da die Normen jeden Bezug zu Art. 88 DSGVO vermissen ließen und es sich daher nicht um spezifischere Vorschriften i.S.d. Art. 88 DSGVO handeln könne.

Ob die Voraussetzungen des Art. 88 DSGVO nun tatsächlich eingehalten sind und das Land entsprechend darauf verzichten konnte, die Einwilligung der Lehrerinnen und Lehrer zum Livestream-Unterricht einzuholen, muss nun das VG auf Grundlage der EuGH-Entscheidung beurteilen. Es bleibt abzuwarten, wie das VG nun mit den Hinweisen aus Luxemburg verfährt. Der EuGH gab dem VG noch mit, dass die nationalen Normen nicht anzuwenden sind, sollten sie gegen die Voraussetzungen von Art. 88 DSGVO verstoßen.

Allerdings wäre dann die Prüfung des VGs noch nicht beendet, sondern das VG müsste auch noch prüfen, ob eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO vorliegt. Dies wäre der Fall, wenn die Rechtsgrundlage den Zweck der Datenverarbeitung festlegt und für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolg. Es bleibt also spannend!

Was heißt das?

Das Urteil ist eine Ohrfeige für das BAG, das der Ansicht war, mit § 26 BDSG sei die richtige Anwendung des Unionsrechts „derart offenkundig, dass für vernünftige Zweifel kein Raum bleibt (acte clair)”. Nach Ansicht des EuGH ist die Rechtmäßigkeit des § 26 BDSG alles andere als offenkundig, sondern eher sehr zweifelhaft.

Die deutschen Datenschutzbehörden hatten sich bereits im April 2022 dafür ausgesprochen, ein eigenständiges Beschäftigtendatenschutzgesetz zu schaffen. Dieses gibt es bislang jedoch nicht, obwohl es einen klaren Regelungsauftrag an den Gesetzgeber gibt. Will dieser eine nationale Ermächtigungsgrundlage für Datenverarbeitungen im Beschäftigungsverhältnis schaffen, die spezifischer ist als die der DSGVO, muss er nun tätig werden.

Für Unternehmen heißt, das zunächst einmal Ruhe bewahren. Sollten sich Unternehmen auf die Rechtsgrundlage die § 26 BDSG gestützt haben, sollten alternative Rechtsgrundlagen geprüft werden. In vielen Fällen dürfte der ebenfalls unmittelbar geltende Art. 6 Abs. 1 DSGVO eine ausreichende Rechtsgrundlage sein, wenn die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist oder im berechtigten Interesse des Arbeitgebers liegt.

Handlungsempfehlung

Ähnlich wie nach dem Urteil zur Arbeitszeiterfassung gilt, dass Unternehmen sich die Datenverarbeitungsvorgänge genau anschauen und den Ist-Zustand ermitteln sollten. Wichtig ist dabei die Prüfung der vorliegenden Normen am Maßstab des Art. 6 DSGVO. Dies gilt auch für Betriebsvereinbarungen.

Sollte sich keine Ermächtigungsgrundlage finden lassen, so könnte diese geschaffen werden. Neben der kaum handhabbaren Möglichkeit der Einholung individueller Einwilligungen dürften Kollektivvereinbarungen nun kurzfristig der bessere Weg sein. Auch bestehende Betriebsvereinbarungen könnten nachgeschärft werden. Allerdings stellt sich hier die Frage, ob es Sinn macht, dies bereits zu tun oder abzuwarten, bis klarer ist, in welche Richtung der deutsche Gesetzgeber tendiert.

Die Rechtsprechung wird für Sie aufgearbeitet von Frau Dr. Felisiak von Eversheds Sutherland (Germany) Rechtsanwälte.

Diesen Beitrag teilen: