Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Datenverarbeitung von Beschäftigten : Beschäftigtendatenschutz: Alles auf Anfang?

Der Europäische Gerichtshof (EuGH) entschied mit Urteil vom 30.03.2023 (C-34/21) zur Frage, ob nationale Normen zur Datenverarbeitung von Beschäftigten – hier §23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) und §86 Hessischen Beamtengesetz (HBG) – europarechtskonform sind, wenn sie nicht die in Art. 88 Abs. 2 Datenschutz-Grundverordnung (DS-GVO) genannten Voraussetzungen erfüllen (hierzu haben wir im Newsletter Entgeltabrechnung im April 2023 bereits berichtet).

Dr. Dominik SorberAbrechnungspraxisPraxis
Lesezeit 6 Min.

Nach dieser Entscheidung stellt sich die Frage:

Alles auf Anfang im Beschäftigtendatenschutz in Deutschland?

Hintergrund der Entscheidung

Der EuGH nahm zu Vorlagefragen des Verwaltungsgericht (VG) Wiesbaden (jetzt VG Frankfurt) Stellung. Das VG Wiesbaden entschied über die Verarbeitung personenbezogener Daten von Lehrkräften im Rahmen von Livestream-Unterricht. Gegenstand des personalvertretungsrechtlichen Verfahrens war die Frage, ob neben der Einwilligung der Eltern für ihre Kinder oder der Einwilligung volljähriger SchülerInnen auch die Einwilligung der jeweiligen Lehrkraft erforderlich ist oder ob die Datenverarbeitung ohne Einwilligung durch § 23 Abs. 1 Satz 1 HDSIG bzw. § 86 HBG eine Rechtsgrundlage erhält. Denn die Datenverarbeitung sei zur Durchführung des Beschäftigungsverhältnisses erforderlich. Das VG Wiesbaden kam zu dem Ergebnis, dass die landesrechtlichen Datenschutzvorschriften, die teils identisch mit der Regelung des § 26 Bundesdatenschutzgesetz (BDSG) sind, nicht europarechtskonform sind. Das VG legte dem EuGH zwei Fragen zur Vorabentscheidung vor.

Die Vorlagefragen

  1. Ist Art. 88 Abs. 1 DS-GVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext i. S. d. Art. 88 Abs. 1 DS-GVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DS-GVO gestellten Anforderungen erfüllen muss?
  2. Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DS-GVO offensichtlich nicht erfüllt, trotzdem anwendbar bleiben?

Kurz erklärt

Das VG Wiesbaden stellte sich mit seinen Vorlagefragen gegen die Rechtsprechung des Bundesarbeitsgerichts (BAG, Beschl. v. 07.05.2019 – 1 ABR 53/17, Rn. 46 ff.) und gegen die weit überwiegende Auffassung in der Literatur (vgl. BAG, Beschl. v. 07.05.2019 – 1 ABR 53/17, Rn. 48; a. A: Kühling/ Buchner/Maschmann, 3. Aufl. 2020, BDSG § 26 Rn. 2).

Das VG Wiesbaden bezweifelte, dass § 23 Abs. 1 Satz 1 HDSIG und § 86 Abs. 4 HBG zulässige Konkretisierungen i. S. d. DS-GVO sind. Voraussetzung der landesrechtlichen Normen ist, dass die Datenverarbeitung „erforderlich“ ist. Die Voraussetzungen in Art. 6 Abs. 1 Satz lit. f DS-GVO gehen über diese einfache Interessenabwägung hinaus, da eine Güter- undInteressenabwägung („Wahrung der berechtigten Interessen des Verantwortlichen [ist] erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“) vorzunehmen ist. Das BAG ging in dem Beschluss vom 07.05.2019 (1 ABR 53/17, Rn. 46 ff.) noch davon aus, dass § 26 BDSG „derart offenkundig“ europarechtskonform ist, dass es eines Vorabentscheidungsverfahren nicht bedürfe.

Die Entscheidung

Der EuGH entschied, dass Art. 88 DS-GVO dahin auszulegen ist, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ i. S. v. Art. 88 Abs. 1 sein kann, wenn sie nicht die Vorgaben von Art. 88 Abs. 2 DS-GVO erfüllt. Weiterhin ist Art. 88 Abs. 1 und 2 DS-GVO dahin auszulegen, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen (Anwendungsvorrang), wenn sie nicht die in Art. 88 Abs. 1 und 2 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage i. S. v. Art. 6 Abs. 3 DS-GVO dar, die den Anforderungen dieser Verordnung genügt.

Die landesrechtlichen Datenschutznormen (und auch § 26 Abs. 1 S. 1 BDSG) beziehen sich nicht auf Art. 88 Abs. 2 DS-GVO und treffen zu den Voraussetzungen keinerlei Regelung. Art. 88 Abs. 2 DS-GVO sieht vor: Diese (spezifischeren) Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. Das VG resümierte bereits, dass die Aufnahme des Grundsatzes der Erforderlichkeit im Gesetz gerade keine Konkretisierung von Art. 88 Abs. 2 DS-GVO darstellt. Dies bestätigte der EuGH.

Die Begründung

Der EuGH weist dann zutreffend auf die Auslegung von Art. 88 DS-GVO und insbesondere auf den Wortlaut hin, aus dem sich die Verwendung des Ausdrucks „spezifischere“ ergibt. Das bedeutet, die spezifischeren Vorschriften müssen erstens zu dem geregelten Bereich passen und zweitens sich von den allgemeinen Regeln der DS-GVO unterscheiden. Der EuGH bezog sich auf Art. 88 Abs. 2 DS-GVO und stellte fest, dass dieser Absatz dem Ermessen der Mitgliedstaaten, spezifischerer Vorschriften zu erlassen, einen Rahmen setzt. Wörtlich heißt es: So dürfen sich diese Vorschriften zum einen nicht auf eine Wiederholung der Bestimmungen der DS-GVO beschränken, sondern müssen auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen.

Ergänzend stellte der EuGH klar, dass die Grundsätze aus Kapitel II und III der DS-GVO bei jeder Datenverarbeitung zwingend zu beachten sind. Zudem müsse jede Datenverarbeitung im Einklang mit Art. 5 DS-GVO stehen und unter eine in Art. 6 DS-GVO aufgeführte Rechtsgrundlage fallen. Das heißt, dass spezifischere Vorschriften nicht den Wortlaut von Art. 6 DS-GVO wiederholen dürfen und ein Verweis auf Art. 5 DS-GVO nicht ausreichend ist. Daraus folgt, dass § 23 Abs. 1 Satz 1 HDSIG bzw. § 86 HBG und damit § 26 BDSG nicht mit der DS-GVO vereinbar sind. Diese Normen wiederholen den Wortlaut und sind keine spezifischeren Vorschriften.

Der EuGH entschied, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie die Voraussetzungen von Art. 88 Abs. 2 DS-GVO nicht erfüllen. Klarstellend führte der EuGH aus, dass die nationalen Gerichte festzustellen haben, ob die mitgliedstaatlichen Regelungen europarechtskonform sind.

Beschäftigtendatenschutz
Beschäftigtendatenschutz

Die Praxisfolgen: Alles auf Anfang?

Der EuGH verpasste die Chance, Art. 88 DS-GVO näher zu konkretisieren. Es bleibt unklar, wo die Grenzen zwischen einer „gestatteten“ Wiederholung, einer zulässigen Spezifizierung und einem von Art. 6 DS-GVO abweichenden – und damit unzulässigen – eigenständigen Regelungskonzept verlaufen. Andererseits bietet die Entscheidung damit aber noch Gestaltungsspielräume sowohl für die Mitgliedstaaten als auch für Unternehmen in Deutschland. Die EuGH-Entscheidung erging zwar nur zu einer mitgliedstaatlichen gesetzlichen Ausgestaltung auf Grundlage von Art. 88 DS-GVO, aber die vom EuGH ausgeführten Rechtmäßigkeitsvoraussetzungen gelten auch für Betriebsvereinbarungen, die eine Rechtsgrundlage zur Datenverarbeitung sein sollen.

Da § 26 Abs. 1 S. 1 BDSG keine spezifischere Regelung darstellt, gilt der Anwendungsvorrang der DS-GVO, sodass § 26 Abs. 1 S. 1 DS-GVO keine Rechtsgrundlage für Datenverarbeitungen darstellt. Das heißt, Datenverarbeitungen im Beschäftigtenverhältnis sind durch andere Rechtsgrundlagen zu rechtfertigen, insbesondere gemäß Art. 6 Abs. 1 lit. b), lit. c) bzw. lit. f) DS-GVO. Daher sollten Unternehmen eine datenschutzrechtliche Inventur vornehmen und die dokumentierten Rechtsgrundlagen entsprechend updaten. Die gute Nachricht ist, dass § 26 BDSG im Übrigen weiterhin anwendbar ist. Trotzdem startete der Gesetzgeber eine Initiative, ein neues Beschäftigtendatenschutzgesetz auf den Weg zu bringen. Anhaltspunkte für ein neues Gesetz bietet ein Blick zurück: Denn der Gesetzgeber unternahm bereits mehrere Anläufe, ein solches Gesetz zu entwerfen. Zuletzt ist hier auf den sehr guten Gesetzentwurf aus dem Jahr 2010 (BT-Drucks. 17/4230) zu verweisen, der an die DS-GVO zu adaptieren ist.

Abschließend ist Unternehmen zu empfehlen, ihre bestehenden Betriebsvereinbarungen dahin zu überprüfen, ob die vom EuGH dargelegten Grundsätze für eine rechtmäßige Rechtsgrundlage eingehalten sind. Andernfalls dürften die kollektivrechtlichen Regelungen keine ausreichende Rechtsgrundlage darstellen und es gilt auch hier der Anwendungsvorrang.

Beschäftigtendatenschutz 2
Beschäftigtendatenschutz 2

Damit ist die Frage, alles auf Anfang im Beschäftigtendatenschutz, so zu beantworten, dass die Mitgliedstaaten nicht verpflichtet sind, von der Öffnungsklausel Gebrauch zu machen. Wenn sie aber eigene Regelungen im Beschäftigtendatenschutz erlassen, sind die DS-GVO-Vorgaben einzuhalten. Dies ist in Deutschland aktuell nur teilweise der Fall. Unternehmen sollten daher die DS-GVO-Compliance überprüfen und erforderlichenfalls updaten.

 

Dr. Dominik Sorber, Rechtsanwalt, Fachanwalt für Arbeitsrecht, München

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.