Das Thema
Der EuGH hat mit Urteil vom 30.03.2023 in der Rechtssache C‐34/21 (Hauptpersonalrat der Lehrerinnen und Lehrer) entschieden, dass nationale Rechtsvorschriften ausschließlich dann spezifischere Vorschriften im Sinne von Art. 88 Abs. 1 DSGVO sein können, wenn sie zugleich die Vorgaben von Art. 88 Abs. 2 DSGVO erfüllen. Erfüllen diese nationale Rechtsvorschriften die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht, müssten sie unangewendet bleiben. Etwas anderes gelte ausschließlich dann, wenn sie eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO darstellen und diese den Anforderungen der DSGVO genüge. Konkret betraf die Entscheidung § 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG). § 23 Abs. 1 HDSIG ist ferner nahezu identisch mit § 26 Abs. 1 BDSG, woraus gefolgert wird, dass auch § 26 Abs. 1 Satz 1 BDSG unanwendbar sein dürfte. Gerichtlich bestätigt ist dies allerdings noch nicht.
Politischer Status quo
Bereits in ihrer Entschließung vom 29.04.2022 positionierte sich etwa die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) dahingehend, dass die Zeit für ein Beschäftigtendatenschutzgesetz „Jetzt“, also im Jahr 2022, gekommen sei. Die Auffassung der DSK entsprach zugleich der des unabhängigen, interdisziplinären Beirates zum Beschäftigtendatenschutz. Auch dieser forderte zuvor explizit ein eigenständiges Gesetz. Nahezu zeitgleich veröffentlichte der DGB einen ausformulierten Entwurf für ein Beschäftigtendatenschutzgesetz. Ungefähr ein Jahr später hat die DSK ihre Position mit weiterer Entschließung vom 11.05.2023 bekräftigt.
Die Bundesregierung selbst hat im Rahmen Ihrer, im August 2023 veröffentlichten, Digitalstrategie mit dem Titel „Fortschritt durch Datennutzung“ das Ziel ausgegeben, im vierten Quartal des Jahres 2023 die Gesetzgebung für ein Beschäftigtendatenschutzgesetz voranzutreiben. Konkret will man mit
„einem modernen, handhabbaren Beschäftigtendatenschutzgesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte“
schaffen sowie Persönlichkeitsrechte effektiv schützen.
Im Anschluss daran zirkulierte Mitte dieses Jahres ein gemeinsamer Entwurf der Bundesministerien des Inneren und für Heimat (BMI) und für Arbeit und Soziales (BMAS), in welchem Vorschläge für einen modernen Beschäftigtendatenschutz diskutiert wurden (vgl. dazu auch den EFAR-Beitrag: „Kommt bald ein neues Beschäftigtendatenschutzgesetz?“). Entsprechend dieses Vorschlages soll das künftige Gesetz insbesondere
- eine möglichst große Anzahl Beschäftigter schützen, indem der Anwendungsbereich extensiv ausgestaltet wird,
- Überwachung und Kontrolle im Beschäftigungsverhältnis begrenzen,
- Regelungen für den Einsatz künstlicher Intelligenz (KI) im Beschäftigungsverhältnis vorsehen,
- Rechtssicherheit im Kontext konzernweiter Datenverarbeitungsvorgänge schaffen sowie
- die Regelungen zur betrieblichen Mitbestimmung weiterentwickeln.
Die Aufzählung ist nicht abschließend. In der Literatur wird bereits jetzt darauf hingewiesen, dass der Gesetzgeber aus aktueller Perspektive eine Vielzahl von Konfliktfeldern regeln will und ein kritischer Diskurs zu erwarten ist (z.B. Wünschelbaum, MMR 2023, 548).
Im Zeitpunkt der Erstellung dieses Beitrages (Stichtag 17.11.2023) wurde allerdings noch kein Referenten- oder Gesetzesentwurf veröffentlicht.
Faktisch begrenzter Regelungsspielraum des Gesetzgebers
Unabhängig von den jeweils geregelten Konfliktfeldern hat der Gesetzgeber einen lediglich eingeschränkten Regelungsspielraum. Der Beschäftigtendatenschutz basiert im Wesentlichen auf unionsrechtlichen Vorgaben in Form von Verordnungen, die gemäß Art. 288 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) weder umsetzungsbedürftig noch umsetzungsfähig ist. In der Digitalstrategie steht deshalb, dass der
„ermöglichende Datenschutz […] im Rahmen des unionsrechtlich Zulässigen durch gesetzliche Erlaubnistatbestände, Regelbeispiele und Klarstellungen sowie „Opt-out“-Ansätze oder im Bereich der wissenschaftlichen Forschung durch Broad Consent vorangebracht werden“
könne.
EuGH klärt Umfang des Spielraums für Mitgliedstaaten nicht
Welchen Spielraum der deutsche Gesetzgeber konkret hat, also ob auch im Rahmen der Umsetzung der Öffnungsklausel eine Vollharmonisierung obligatorisch oder aber eine Absenkung oder Erhöhung des Schutzniveaus zulässig ist, ist in der juristischen Literatur umstritten. Auch der EuGH nutzt die Entscheidung in Sachen Hauptpersonalrat der Lehrerinnen und Lehrer nicht, um eine Klärung herbeizuführen.
Konkret konstatiert der EuGH nämlich lediglich, dass eine etwaige spezifischere Vorschrift zwingend an das Wiederholungsverbot gebunden sei, wenn nicht diese Wiederholung erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen (vgl. auch Erwägungsgrund 8 der DSGVO). Erließen die Mitgliedstaaten jedoch spezifischere Vorschriften im Sinne des Art. 88 Abs. 1 DSGVO, so sei ausweislich der Rechtsprechung des EuGH ein Bruch der Harmonisierung in den Grenzen des Art. 88 Abs. 2 DSGVO in Kauf genommenen worden. Dieser Bruch sei allerdings nur zulässig, wenn die verbleibenden Unterschiede mit besonderen und geeigneten Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext einhergingen.
Ob ein zulässiger Bruch mit der Harmonisierung allerdings lediglich für die Anwendung auf unterschiedliche Sachverhalte oder aber auch für die Gewährung eines unterschiedlichen Schutzniveaus gilt, hat der EuGH offengelassen. Ohne in diesem Format auf die Vielzahl der bereits benannten Argumente eingehen zu können, spricht nunmehr allerdings viel dafür, dass der EuGH die DSGVO und mithin Art. 88 Abs. 2 DSGVO als Grenze einer zulässigen Abweichung „nach unten“ versteht. Im Ergebnis dürfte also die Art des Bruchs mit der Harmonisierung unerheblich sein, die in Rede stehende abweichende Vorschrift muss aber dennoch die in Art. 88 Abs. 2 DSGVO vorgesehenen und auf den Beschäftigungskontext zugeschnittenen Maßnahmen enthalten. Mit anderen Worten dürfte eine Unterschreitung des Schutzniveaus aus Art. 88 Abs. 2 DSGVO nach dieser Argumentation ausgeschlossen sein. Ferner hat der EuGH noch einmal explizit festgestellt, dass die in Kapitel II und III DSGVO statuierten Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person ohnehin bei ausnahmslos jeder Verarbeitung personenbezogener Daten beachtet werden müssten. Auch diese Argumentation spricht jedenfalls für die Annahme, dass eine Unterschreitung des Schutzniveaus der DSGVO hinsichtlich dieser Kapitel unzulässig ist.
Nichtsdestotrotz schreibt beispielsweise Riesenhuber zu Recht, dass der EuGH in derselben Entscheidung zugleich feststellt, dass Öffnungsklauseln den Mitgliedstaaten, „zusätzliche, strengere oder einschränkende, nationale Vorschriften“ ermöglichten und ungleiche Verarbeitungssituationen zugleich ungleiche Schutzmechanismen benötigten (BeckOK DatenschutzR/Riesenhuber, DS-GVO Art. 88 Rn. 66f.). Es bleibt mithin spannend.
Ausblick
Aus aktueller Perspektive ist im Ergebnis weiterhin nicht geklärt, welche Regelungen das Beschäftigtendatenschutzgesetz künftig vorhält oder aber auch vorhalten darf. Ob ein Entwurf zeitnah veröffentlicht wird, lässt sich ebenfalls nicht absehen. Möglicherweise ist überdies noch etwas Geduld gefragt. So wurde beispielsweise auch im Vorschlag von BMI und BMAS klargestellt, dass zu Fragen der KI aktuell ein unionsrechtlicher Rahmen entwickelt wird, dessen Spielraum man bei der Gestaltung des Beschäftigtendatenschutzgesetzes nutzen wolle. Insbesondere der Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für KI (KI-Verordnung) dürfte hier Auswirkungen auf das gesetzgeberische Konzept haben (vgl. dazu auch den EFAR-Beitrag „Rechtliche Aspekte von künstlicher Intelligenz in der Arbeitswelt“). Wann die KI-Verordnung allerdings verabschiedet wird, lässt sich derzeit noch nicht absehen. Durch das herannahende Ende der europäischen Legislaturperiode wird es allerdings zunehmend wahrscheinlicher, dass sie eventuell erst im Herbst 2024 oder sogar später zu erwarten ist. Dennoch ist es ebenfalls weiterhin gut möglich, dass sie zeitnah erlassen wird. Geplant ist der Erlass nämlich bereits seit längerer Zeit.