Generalklauseln im nationalen Beschäftigtendatenschutz stellen keine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO (Datenschutz-Grundverordnung) dar und verstoßen daher gegen die vorrangig anwendbare DSGVO, entschied der Europäische Gerichtshof (EuGH). Nun stellt sich die Frage, welche Tragweite der Richterspruch für § 26 Bundesdatenschutzgesetz (BDSG) entfaltet (Urteil vom 30. März 2023, Az.: C‑34/21).
Hintergrund der Entscheidung
Hintergrund der EuGH-Entscheidung ist ein Fall aus Hessen. An hessischen Schulen wurde während der Corona-Pandemie ein Livestream-Unterricht über ein Videokonferenzsystem eingeführt. Für die damit einhergehende Datenverarbeitung wurde die Einwilligung der Schüler bzw. von deren Erziehungsberechtigten eingeholt.
Die Einwilligung der von der Datenverarbeitung ebenfalls betroffenen Lehrerkräfte wurde dagegen nicht eingeholt. Grund hierfür war der § 23 Abs. 1 S.1 des hessischen Datenschutzgesetzes (HDSIG), welcher identisch mit § 26 Abs. 1 S. 1 BDSG ist. Hiernach dürfen Daten von Beschäftigen verarbeitet werden, wenn diese für die Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses von Relevanz sind.
Dass eine Einwilligung der betroffenen Lehrkräfte nicht vorgesehen war, rügte der Hauptpersonalrat der Lehrerinnen und Lehrer vom hessischen Kultusministerium und erhob Klage. Das Land Hessen vertrat dagegen die Ansicht, dass die Datenverarbeitung der Lehrerschaft durch den Livestream-Unterricht von nationalen Regelungen gedeckt sei.
Das zuständige Verwaltungsgericht hatte allerdings Zweifel daran, ob die nationale Regelung als „spezifischere Vorschriften“ gemäß Art. 88 Abs. 1 DSGVO, zur Verarbeitung von Beschäftigtendaten, mit den Vorgaben des Art. 88 Abs. 2 DSGVO vereinbar sei. Daher ersuchte das Verwaltungsgericht den EuGH um eine Vorabentscheidung.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Richterspruch
Mit seinem Urteil entschied der Gerichtshof, dass nationale Rechtsvorschriften nicht als „spezifischere Vorschrift“ im Sinne Art. 88 Abs. 1 DSGVO gelten können, wenn diese nicht die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen.
Hierzu führt das Gericht an, dass Art. 88 Abs.1 DSGVO mit seinem Wortlaut „spezifischere Vorschrift“ bereits verdeutlicht, dass der nationale Regelungsgehalt sich von den allgemeinen Regelungen in der DSGVO unterscheiden muss. Der Wortlaut des Art. 88 Abs. 2 DSGVO setzt sodann dem Ermessen der Mitgliedstaaten Grenzen bezüglich der Verabschiedung „spezifischerer Vorschriften“ nach Art. 88 Abs. 1 DSGVO. Demnach dürfen „spezifischere Vorschriften“ sich nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken und müssen geeignete Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person erfassen.
Im zweiten Schritt führt der Gerichtshof an, warum die betroffenen nationalen Bestimmungen gerade nicht die Vorgaben nach Art. 88 Abs.2 DSGVO erfüllen, um als „spezifischere Vorschrift“ nach Art. 88 Abs. 1 DSGVO zu gelten.
Generalklauseln wie der § 26 Abs. 1 S. 1 BDSG bzw. § 23 Abs. 1 S. 1 HDSIG geben nur vor, dass personenbezogene Daten von Beschäftigten für gewisse Zwecke verarbeitet werden dürfen, wenn diese zur Vertragsdurchführung erforderlich sind. Damit handelt es sich um eine Wiederholung des Sinngehaltes von Art. 6 Abs.1 lit. b DSGVO. Dieser stellt die Datenverarbeitung auch unter die Voraussetzung der Erforderlichkeit zur Vertragsdurchführung.
Eine spezifische Konkretisierung bezüglich des Beschäftigtenkontextes durch den deutschen Gesetzgeber liegt damit nicht vor. Die Mindestanforderungen des Art. 88 Abs. 2 DSGVO werden nicht erfüllt, so dass einer direkten Anwendung von Art. 6 Abs.1 lit. b DSGVO nichts entgegensteht. Damit betont der Gerichtshof, dass in Ermangelung „spezifischerer Vorschriften“ und wegen des Vorrangs des Unionsrechts die Verarbeitung von Beschäftigtendaten sowohl im privaten als auch öffentlichen Sektor durch die Bestimmungen der DSGVO geregelt werden.
Datenschutzrechtliche Einschätzung
Zwar bezieht sich der EuGH in seinem Urteil auf das Beschäftigtendatenschutzrecht aus Hessen. Allerdings ist der § 23 Abs. 1 S. 1 HDSIG identisch zum Wortlaut des § 26 Abs.1 S. 1 BDSG, so dass sich das Urteil auf den gesamten deutschen Beschäftigtendatenschutz auswirkt.
Nach dem Erwägungsgrund 7 DSGVO ist die Intention der DSGVO den Datenschutz innerhalb der Europäischen Union zu vereinheitlichen, weshalb Mitgliedsstaaten kein eigenes Datenschutzrecht verabschieden dürfen. Das höherrangige Europarecht genießt in einem Kollisionsfall den Vorrang. Entsprechend des geltenden Normwiederholungsverbots ist eine wiederholende nationale Vorschrift folglich unzulässig, da sie für Verwirrung sorgt und die Transparenz einer Datenverarbeitung konterkariert.
Die bestehenden Öffnungsklauseln wie Art. 88 DSGVO ermöglichen es Mitgliedstaaten zwar innerhalb des Datenschutzrechts eigene Regelungen zu treffen, allerdings müssen sie sich dabei an die Bedingungen der jeweiligen Öffnungsklausel halten. Art. 88 Abs. 1 DSGVO führt deutlich an, dass Mitgliedsstaaten im Beschäftigtendatenschutz lediglich „spezifischere Vorschriften“ erlassen dürfen. Das Verabschieden eines gänzlich eigenständiges Datenschutzrechts neben der DSGVO – hier einer Rechtgrundlage – ist dagegen nicht möglich.
Im Ergebnis bleiben die Auswirkungen auf den Beschäftigtenschutz in der Praxis durch den Wegfall des § 26 Abs.1 S. 1 BDSG gering. Arbeitgeber müssen sich in Zukunft bei der Verarbeitung von Daten im Beschäftigtenkontext auf Art. 6 Abs. 1 lit. b, f DSGVO stützen. Dies sollte die Unternehmen aber nicht vor allzu große Hürden stellen, die Rechtsgrundlage zur Datenverarbeitung zur Erfüllung eines Vertrages nach Art.6 Abs. 1 lit. b DSGVO oder zur Wahrung des berechtigten Interesses nach Art. 6 Abs. lit. f DSGVO ersetzen den Regelungsgehalt des § 26 Abs. 1 S. 1 BDSG nahezu vollständig.
Für europaweit tätige größere Konzernverbünde kann dies sogar von Vorteil sein, da somit eine Vereinheitlichung des Beschäftigtendatenschutzes erreicht werden kann und eine mühselige Auseinandersetzung mit der uneinheitlichen nationalen Gesetzgebung wegfällt.
Der EuGH legt in seinem Urteil offen, dass das BAG (Bundesarbeitsgericht) bei Zweifeln zur Auslegung der Art. 6 Abs. 1 lit b, f DSGVO die Fragen dem EuGH gemäß Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) vorlegen muss. Damit wird die Stellung des BAG zur Thematik des Beschäftigtendatenschutzes deutlich geschwächt.
Welche Auswirkungen das Urteil auf die übrigen Absätze des § 26 BDSG hat bleibt offen. Allerdings ist bei näherer Betrachtung der weiteren Absätze nicht davon auszugehen, dass die Vorgaben des Urteils zum § 26 Abs. 1 BDSG sich auch auf die anderen Absätze auswirken. Denn diese weiteren Absätze des § 26 BDSG stellen tatsächlich „spezifischere Regelungen“ dar, die sich mit ihren Regelungsgehalt nicht in der DSGVO wieder finden.
Eine Sonderregelung zu Art. 6 Abs. 1 lit. a DSGVO stellt beispielsweise die Einwilligung nach § 26 Abs. 2 BDSG dar: Aufgrund des bestehenden Abhängigkeitsverhältnisses und der damit mangelnden Freiwilligkeit der Einwilligung im Beschäftigtenverhältnis gilt die Einwilligung nach § 26 Abs. 2 BDSG als Ausnahmevorschrift. Zudem nennt § 26 Absatz 2 BDSG im Vergleich zu Art. 6 Abs. lit. a DSGVO, die Kriterien, wann von der Freiwilligkeit einer durch Beschäftigte erteilten Einwilligung ausgegangen werden kann. § 26 Abs. 3 BDSG kann sich beispielsweise auf die Öffnungsklausel des Art. 9 Abs. 2 lit b DSGVO stützen.
Damit kann davon ausgegangen werden, dass die restlichen Absätze die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen, um als spezifischere Vorschrift nach Art. 88 Abs. 1 DSGVO zu gelten.
Fazit
Der deutsche Gesetzgeber wird sich durch das Urteil auf die Füße getreten fühlen. Trotz anhaltender Kritik hat man es versäumt, mit dem BDSG rechtssichere und angemessene Regelungen zum Beschäftigtendatenschutz zu schaffen. Jetzt folgt mit dem EuGH-Urteil ein nahtloser Übergang vom § 26 BSDG zum Art. 6 Abs. 1 lit. f, b DSGVO. Ob der deutsche Gesetzgeber dieses EuGH-Urteil zum Anlass nimmt, eine zügige Verbesserung des nationalen Beschäftigtendatenschutzes vorzunehmen, bleibt allerdings ungewiss.
Mit Sicherheit hat allerdings das vorliegende Urteil Auswirkungen auf die zukünftige Behandlung des Beschäftigtendatenschutzes im öffentlichen und privaten Sektor. Unternehmen und öffentliche Einrichtungen sollten nun entsprechend den Vorgaben des EuGH-Urteils ihre bestehenden Informationsschreiben und Verarbeitungsverzeichnisse überprüfen und die Angaben zu § 26 BDSG durch Art. 6 Abs. lit. b, f DSGVO ersetzen.