Das Thema
Auch nach Inkrafttreten der DSGVO haben die Mitgliedstaaten der Europäischen Union weiter die Möglichkeit, eigene Regelungen zum Beschäftigtendatenschutz zu erlassen. Allerdings müssen diese den Vorgaben der DSGVO genügen. Der EuGH hat nun durchblicken lassen, dass die zentrale Generalklausel des deutschen Beschäftigtendatenschutzrechts (§ 26 Absatz 1 Satz 1 Bundesdatenschutzgesetz – BDSG) diese Vorgaben nicht erfüllt – und deshalb als Rechtsgrundlage für Datenverarbeitungen nicht mehr herangezogen werden darf.
Sachverhalt
Während der Hochphase der COVID-19-Pandemie erließ das hessische Kultusministerium Regelungen, die den Schulunterricht per Videokonferenz-Livestream als Distanzunterricht ermöglichten. Von den Eltern der Schulkinder bzw. den volljährigen Schülerinnen und Schülern holten die Schulen entsprechende datenschutzrechtliche Einwilligungserklärungen ein. Einwilligungen der betroffenen Lehrkräfte zu ihrer Teilnahme an dem Videokonferenzdienst waren jedoch nicht vorgesehen. Vielmehr stützte die Schulaufsichtsbehörde die Teilnahme der beim Land beschäftigten Lehrkräfte auf eine Regelung des hessischen Landesdatenschutzrechts (§ 23 Abs. 1 Satz 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes – HDSIG), die in weiten Teilen wortgleich mit der bundesweit geltenden Generalklausel zum Beschäftigtendatenschutz (§ 26 Absatz 1 Satz 1 BDSG) ist. Sowohl nach der hessischen als auch nach der bundesweit geltenden Generalklausel ist eine Verarbeitung personenbezogener Daten von Beschäftigten auch ohne deren Einwilligung stets zulässig, wenn
„dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung […] erforderlich ist“.
Der Hauptpersonalrat der Lehrkräfte beim hessischen Kultusministerium hielt diese Vorgehensweise für rechtswidrig und erhob Klage beim VG Wiesbaden. Dieses sah die Voraussetzungen der datenschutzrechtlichen Norm (§ 23 Abs. 1 Satz 1 HDSIG) zwar grundsätzlich als erfüllt an, stellte aber die Vereinbarkeit der Regelung mit der DSGVO in Frage. Vor diesem Hintergrund beschloss das VG, das Verfahren auszusetzen und dem EuGH Fragen zur Auslegung der beschäftigtendatenschutzrechtlichen Öffnungsklausel der DSGVO (Art. 88 Abs. 1 DSGVO) zur Vorabentscheidung vorzulegen.
Entscheidung
Mit Urteil vom 30.03.2023 in der Rechtssache C-34/21 entschied der EuGH, dass eine nationale Regelung zum Beschäftigtendatenschutz grundsätzlich europarechtswidrig sei, wenn diese die Anforderungen des Artikel 88 Abs. 2 DSGVO nicht erfüllt. Nach dieser Vorschrift müsse eine spezifische nationale Regelung zum Beschäftigtendatenschutz mehr als nur eine Wiedergabe von Regelungen der DSGVO enthalten, sondern geeignete und besondere Maßnahmen
- zur Wahrung der menschlichen Würde,
- der Wahrung der berechtigten Interessen und
- der Grundrechte der betroffenen Beschäftigten
vorsehen. Die weiteren Ausführungen in der Urteilsbegründung legen nahe, dass die mit § 26 Abs. 1 Satz 1 BDSG inhaltsgleiche Regelung des hessischen Landesrechts diese Vorgabe nach Ansicht der Luxemburger Richter verletzt. Zwar überließ der EuGH es dem für die Auslegung des nationalen Rechts zuständigen Verwaltungsgericht, hierüber abschließend zu entscheiden. Er wies aber bereits darauf hin, dass die verfahrensgegenständliche Regelung des hessischen Datenschutzrechts bei einer (naheliegenden) Feststellung eines Verstoßes gegen diese Vorgabe nicht mehr angewendet werden dürfe.
Bewertung
Das EuGH-Urteil ist insofern bemerkenswert, als das BAG die Vereinbarkeit von § 26 Absatz 1 Satz 1 BDSG mit den Vorgaben der DSGVO bislang stets vorausgesetzt hat (vgl. nur BAG, Beschl. v. 07.05.2019 – 1 ABR 53/17).
Mit Blick auf die Urteilsbegründung des Gerichtshofs wird diese Rechtsprechung nun nicht mehr aufrechterhalten zu sein. Zwar betrifft die EuGH-Entscheidung vorrangig eine Bestimmung des hessischen Landesdatenschutzrechts, jedoch ist diese nahezu wortgleich mit § 26 Absatz 1 Satz 1 BDSG. Es ist daher davon auszugehen, dass (auch) die arbeitsgerichtliche Judikatur diese zentrale Rechtsgrundlage des deutschen Beschäftigtendatenschutzrechts künftig als europarechtswidrig erachten wird.
Praxisfolgen
Fehlt es damit nunmehr an einer tauglichen Rechtsgrundlage für eine Datenverarbeitung im Beschäftigungskontext, wenn der betreffende Mitarbeitende nicht zuvor ausdrücklich darin eingewilligt hat?
Diese Frage dürfte zu verneinen sein. Wie auch der EuGH nicht in Zweifel gestellt hat, ist eine Datenverarbeitung im Beschäftigungskontext vielfach bereits auf Grundlage der DSGVO selbst zulässig, insbesondere gemäß Art. 6 Abs. 1 Satz 1 lit. b DSGVO („für die Erfüllung eines Vertrages“) oder gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO („zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“). Da die Grundsätze der Rechtsprechung zu § 26 Abs. 1 Satz 1 BDSG auf diese Bestimmungen der DSGVO weitestgehend übertragbar sind, werden sich die praktischen Auswirkungen des EuGH-Urteils in Grenzen halten.
Handlungs- und Anpassungsbedarf für Arbeitgeber besteht allerdings im Hinblick auf die Benennung der Rechtsgrundlage für Datenverarbeitungsvorgänge im Beschäftigungskontext, beispielsweise
- in Datenschutzhinweisen an die Beschäftigten nach Art. 12 ff. DSGVO,
- im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und ebenso
- in Betriebsvereinbarungen mit Datenschutzbezug.
Soweit sich diese Dokumente bislang auf § 26 Abs. 1 BDSG beziehen, sollten sie künftig auf Art. 6 Absatz 1 Satz 1 lit. b DSGVO und Art. 6 Abs. 1 Satz 1 lit. f DSGVO verweisen, um dadurch den datenschutzrechtlichen Informations- und Hinweispflichten gegenüber den Beschäftigten gerecht zu werden.
Kommt jetzt ein Beschäftigtendatenschutzgesetz?
Handlungsbedarf infolge der EuGH-Entscheidung sieht anscheinend auch die Bundesregierung. Sie hat in ihrer kürzlich veröffentlichten Digitalstrategie angekündigt, möglicherweise noch in diesem Jahr einen Entwurf für ein Beschäftigtendatenschutzgesetz vorzulegen. Durch das neue Gesetz soll von den Öffnungsklauseln der DSGVO Gebrauch gemacht werden,
„um mit einem modernen, handhabbaren Beschäftigtendatenschutzgesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu schaffen und die Persönlichkeitsrechte der Beschäftigten effektiv zu schützen“.
Es wird mit Spannung abzuwarten sein, ob und mit welchen Regelungen dieses Gesetzesvorhaben tatsächlich umgesetzt wird, gerade auch mit Blick auf neue Entwicklungen durch Künstliche Intelligenz. (Anm. d. Red.: vgl. zum Thema auch den EFAR-Beitrag „Aktuelles zum Beschäftigtendatenschutz – Wo stehen wir Mitte des vierten Quartals 2023?“)