EuGH-Urteil C-34/21 und die Auswirkungen auf den Beschäftigtendatenschutz

Ich hasse es, viel komplizierten Text lesen zu müssen und wünsche mir zu vielen Themen übersichtliche, leicht verständliche Infografiken. Da mir keiner diesen Wunsch erfüllt 😉, werde ich nun zu mir wichtigen Themen selbst diese Grafiken erstellen. So haben Sie es zumindest leichter. Starten wir mit dem EuGH-Urteil vom 30.03.23 zum Beschäftigtendatenschutz:

Und falls Sie doch mehr Details haben möchten, hier ein wenig mehr Erläuterungen mit Verlinkungen. Aber keine Angst, nicht juristisch, sondern sehr verständlich erklärt.

So, was ist denn nun genau passiert?

Angefangen hat der ganze „Schlamassel“ 😉 damit, dass der Hauptpersonalrat der Lehrerinnen und Lehrer des Hessischen Kultusministeriums (HKM) beim Verwaltungsgericht (VG) Wiesbaden geklagt hat, weil es in 2020 während der Covid-19-Pandemie für Schulunterrichts-Livestreams eine Einwilligung der Schülerinnen und Schüler bzw. deren Eltern brauchte, eine Einwilligung aber bei betroffenen Lehrkräften nicht eingeholt wurde. Denn das HKM war der Meinung, dass eine (zusätzliche) Einwilligung der Lehrkräfte durch die Regelung des § 23 Abs. 1 Satz 1 HDSIG nicht notwendig war. Zusammengefasst steht hier, dass personenbezogene Daten von Beschäftigten (also auch den Lehrkräften) für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen (also auch ohne deren Einwilligung), wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist. Neben § 23 Abs. 1 Satz 1 HDSIG sind auch in der landesrechtlichen Norm des § 86 Abs. 4 HBG ähnliche Anforderungen festlegt.

Das VG Wiesbaden warf daraufhin die grundlegende Frage auf, ob § 23 Abs. 1 S. 1 HDSIG mit den Anforderungen des Art. 88 DSGVO vereinbar sei und legte diese Frage dem Europäischen Gerichtshof (EuGH) zur sogenannten Vorabentscheidung vor.

Hääh, was hat denn nun Art. 88 DSGVO damit zu tun?

Hierzu ein kleiner Exkurs: Grundsätzlich hat die DSGVO in der EU Vorrang vor nationalen Regelungen. Aber wie das so ist mit Ausnahmen: Für einige Bereiche enthält die DSGVO sogenannte Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, für gewissen Sachverhalte eigene Regelungen zu treffen. Allerdings müssen sie sich dabei an die Bedingungen der jeweiligen Öffnungsklausel halten. Eine dieser Öffnungsklauseln ist der Art. 88 Abs. 1 DSGVO für den Beschäftigtendatenschutz. Dieser erlaubt es den Mitgliedstaaten, im Bereich der Beschäftigtendaten (Einstellung, Erfüllung des Arbeitsvertrags usw.) „spezifischere Vorschriften“ zu erlassen.

In Art. 88 Abs. 2 DSGVO steht dann weiterhin, dass diese Rechtsvorschriften geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person (also des Mitarbeiters) umfassen müssen. Insbesondere in Hinblick auf die Transparenz der Verarbeitung und der Übermittlung der personenbezogenen Daten innerhalb der Unternehmensgruppe und der Überwachungssysteme am Arbeitsplatz. Also keine Kameras auf dem Klo 😉.

Deutschland hat die Öffnungsklausel von Art. 88 Abs. 1 DSGVO dann auch angewandt und für die öffentlichen Stellen extra Regelungen mit dem oben erwähnten § 23 Abs. 1 Satz 1 HDSIG (und noch einigen anderen Regelungen) erlassen. Für nicht öffentliche Stellen galt der § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz). § 26 Abs. 1 BDSG ist für Unternehmen die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten. Denn: keine Verarbeitung von personenbezogenen Daten ohne Rechtsgrundlage! Und was alles so fatal macht: leider ist der Wortlaut von § 26 Abs. 1 BDSG fast identisch mit dem Wortlaut von § 23 Abs. 1 S. 1 HDSIG, so dass es somit sein kann, dass dann auch § 26 Abs. 1 BDSG nicht mit Art. 88. DSGVO vereinbar ist. Und wenn Sie sich bisher bei der Verarbeitung der personenbezogenen Daten im Beschäftigungsverhältnis auf § 26 Abs. 1 BDSG bezogen haben, hätten Sie plötzlich für diese Verarbeitungen keine Rechtsgrundlage mehr!

Und was hat der EuGH nun vorab entschieden?

Der EuGH vertritt mit seinem Urteil vom 30.03.23 die Auffassung, dass eine nationale Vorschrift nur „spezifischer“ im Sinne des Art. 88 Abs. 1 DSGVO ist, wenn sie die Vorgaben des Abs. 2 erfüllt. Und dies ist nicht der Fall, wenn die nationale Vorschrift lediglich die in Art. 6 DSGVO abschließend geregelten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die in Art. 5 DSGVO niedergelegten Verarbeitungsgrundsätze wiederholt oder darauf verweist. Um „spezifischer“ im Sinne des Art. 88 Abs. 1 DSGVO zu sein, muss die nationale Vorschrift stattdessen besondere und geeignete Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext vorsehen.

Somit ist § 23 Abs. 1 Satz 1 HDSIG keine spezifischere Bestimmungen im Sinne des Art. 88 Abs. 1 DSGVO. Denn die Vorschrift (und somit auch § 26 Abs. 1 BDSG) wiederholt lediglich die in Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO aufgestellte Bedingung, dass die Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist, fügt aber keine spezifischere Vorschrift im Sinne des Art. 88 Abs. 1 DSGVO hinzu. Außerdem macht die Vorschrift nach Auffassung des EuGH keine dem Maßstab des Art. 88 Abs. 2 DS-GVO entsprechenden Vorgaben.

Fazit: Es reicht also nicht aus, sich nur auf die Wiederholung der Bestimmung der DSGVO zu beschränken. Die Regelung muss vielmehr die einschlägigen Regelungen der DSGVO konkretisieren. Und das hat Deutschland nicht gemacht.

Somit sind laut EuGH die Regelungen in § 23 Abs. 1 S. 1 HDSIG und dem wortgleichen § 26 Abs. 1 BDSG zur Datenverarbeitung in Beschäftigungsverhältnissen womöglich nicht mit der Datenschutzgrundverordnung vereinbar.

Und was sind nun die Folgen bzw. was heißt das für Unternehmen und Behörden?

Aktuell bleibt abzuwarten, wie und in welchem Umfang das Verwaltungsgericht (VG) Frankfurt nun über die Anwendbarkeit von § 23 Abs. 1 Satz 1 HDSIG (und somit auch über § 26 Abs. 1 BDSG) entscheiden wird.

Da für deutsche Unternehmen § 26 BDSG die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten darstellt, entsteht durch das Urteil nun eine gewisse Rechtsunsicherheit.

Fazit von EMODEON

Wirklich akuten Handlungsbedarf sehe ich (noch) nicht. Nicht in Panik verfallen und jetzt kopflos Dienst- oder Betriebsvereinbarungen abschließen. Hierfür besteht keine praktische Notwendigkeit, da Art. 6 Abs. 1 S. 1 lit. b und f DSGVO für Unternehmen bereits als bestehende gesetzliche Ermächtigungsgrundlagen ausreichen.

Spätestens wenn (wovon auszugehen ist) § 26 Abs. 1 BDSG dann irgendwann für nicht anwendbar erklärt wird, sind die Verarbeitungsverzeichnisse und die Informationen zum Datenschutz für Beschäftigte und Bewerber*innen anzupassen.

Eine sehr ausführliche Erläuterung hierzu hat auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit verfasst.

Hinweis zu meiner Vorlage des Verzeichnisses der Verarbeitungstätigkeiten (VVT): hier habe ich als Rechtsgrundlage sowieso schon Art. 6 Abs. 1 angeführt, so dass ein Bezug auf § 26 Abs. 1 BDSG als weitere Rechtsgrundlage für die Verarbeitung von Beschäftigungsdaten gar nicht notwendig ist.