Beschäftigtendatenschutz – Verstößt § 26 BDSG gegen die DSGVO?

11.04.2023

Am 30.03.2023 hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung (C-34/21) zur Verarbeitung von Beschäftigtendaten getroffen, die auch Auswirkungen auf Unternehmen in Deutschland haben wird. Nach Auffassung des EuGH genügt die Wiederholung der DSGVO nicht, um eine Rechtsgrundlage zur Verarbeitung von Beschäftigtendaten im nationalen Recht zu schaffen. Das betrifft auch und gerade die Zentralnorm des deutschen Beschäftigtendatenschutzes, den § 26 Abs.  S. 1 BDSG. Für Unternehmen kann sich hieraus ein Handlungsbedarf zur Anpassung der datenschutzrechtlichen Dokumentation, u.a. von Verarbeitungsverzeichnissen, ergeben.

Anlass der Entscheidung

Hintergrund der Entscheidung war die Frage, ob § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG, „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“) als Grundlage für die Durchführung von Videokonferenzen von Lehrerinnen und Lehrern im Unterricht herangezogen werden kann. Das Verwaltungsgericht Wiesbaden bezweifelte, dass die Norm den Anforderungen der DSGVO genügte und legte dem EuGH die Frage vor, ob die hessische Regelung unter die Öffnungsklausel für den Beschäftigtendatenschutz, Art. 88 DSGVO, fällt. Kern des Verfahrens vor dem EuGH war daher, welche Anforderungen an eine „spezifischere Vorschrift“, also eine die DSGVO hinsichtlich des Beschäftigtendatenschutzes konkretisierende Norm im Sinne von Art. 88 Abs. 1 und 2 DSGVO, zu stellen sind. Die Besonderheit des Falles lag darin, dass § 23 Abs. 1 HDSIG nahezu wortgleich mit § 26 Abs. 1 S. 1 BDSG übereinstimmt. Jede Aussage des EuGHs zu § 23 HDSIG somit auch in Bezug auf § 26 Abs. 1 S. 1 BDSG zu werten ist.

EuGH: Wiederholungen der DSGVO sind keine „spezifischeren Vorschriften“ i.S.v. Art. 88 Abs. 2 DSGVO

Auch wenn der EuGH die konkrete Rechtsanwendung dem Verwaltungsgericht Wiesbaden überlässt, so stellt er doch im Ergebnis fest, dass § 23 HDSIG als „spezifischere Vorschrift“ im Sinne des Art. 88 Abs. 1 und 2 DSGVO dessen Anforderungen und damit der DSGVO nicht genügt. Eine „spezifischere Vorschrift“ dürfe nicht bloß die Vorgaben der DSGVO wiederholen. Von einer „spezifischeren Vorschrift“ sei vielmehr nur dann auszugehen, wenn in dieser gemäß den Vorgaben des Art. 88 Abs. 2 DSGVO „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person“ in der nationalen Vorschrift vorgesehen sind. Nationale Vorschriften, die sich dagegen in einer Wiederholung der allgemeinen Grundsätze der Datenverarbeitung oder der Vorgaben des Art. 6 DSGVO, insbesondere dem dort geregelten allgemeinen Erforderlichkeitsgrundsatz, erschöpfen oder auf diese Normen verweisen, entsprechen nicht den Anforderungen der Öffnungsklausel der DSGVO. Folge ist, dass derartige nationale Vorschriften u.a. durch die deutschen Gerichte nicht angewandt werden dürfen.

Die Entscheidung bezieht sich zwar vorrangig auf das hessische Datenschutzrecht. Die Ausführungen des EuGH zu den Vorgaben des Art. 88 DSGVO lassen sich jedoch „1:1“ auf § 26 Abs. 1 S. 1 BDSG übertragen. Zu erwarten dürfte daher sein, dass deutsche Gerichte § 26 Abs. 1 S. 1 BDSG bei der Bewertung einer Datenverarbeitung im Beschäftigungskontext zukünftig entweder unangewandt lassen oder das Verfahren dem EuGH zur Entscheidung vorlegen müssen. Auch das Bundesarbeitsgericht, das im Einklang mit dem deutschen Gesetzgeber (Bt.-Drs. 18/11325, S. 96 ff.) bisher angenommen hat, dass § 26 Abs. 1 S. 1 BDSG die Vorgaben des Art. 88 Abs. 2 DSGVO ausreichend umsetzt (Beschl. v. 07.05.2019, 1 ABR 53/17 Rn. 47 f.), wird seine Rechtsprechung überdenken müssen. Ob der Gesetzgeber reagieren wird und die Bestrebungen zur Schaffung eines Beschäftigungsdatenschutzes, wie im Koalitionsvertrag vorgesehen, nun neuen Rückenwind verleiht, bleibt abzuwarten.

Auswirkungen der Entscheidung auf die unternehmerische Praxis

Die gute Nachricht ist: Für die Datenverarbeitung im Unternehmen ergibt sich aus der Entscheidung kein unmittelbar zwingender Handlungsbedarf. Arbeitgeber werden die Datenverarbeitung zum Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses zukünftig auf Art. 6 Abs. 1 DSGVO stützen müssen bzw. können. In Betracht kommen hierbei insbesondere die „Erforderlichkeit zur Erfüllung eines Vertrags“ (Art. 6 Abs. 1 lit. b), eine „rechtliche Verpflichtung zur Verarbeitung von Daten“ (lit. c) oder „überwiegende Interessen des Arbeitgebers zur Verarbeitung von Beschäftigtendaten“ (lit. f.). Auch nach den ersten Äußerungen der nationalen Datenschutzaufsichtsbehörden ist nicht damit zu rechnen, dass Unternehmen eine bisher zulässige Datenverarbeitung anpassen bzw. beenden müssen. Ferner ist wichtig, dass die Entscheidung des EuGH (zunächst) nur § 26 Abs. 1 S. 1 BDSG betrifft. D.h. die spezifischen Vorgaben des deutschen Beschäftigtendatenschutzes u.a. zu Datenverarbeitungen bei der Aufdeckung von Straftaten im Beschäftigungsverhältnis (§ 26 Abs. 1 S. 2 BDSG), für die Einwilligung von Beschäftigten (§ 26 Abs. 2 BDSG) oder im Hinblick auf die Verarbeitung sensitiver Daten (z.B. Gesundheitsdaten, § 26 Abs. 3 BDSG) gelten nach derzeitiger Einschätzung fort.

Handlungsbedarf für Arbeitgeber ergibt sich allerdings in der Folge: In datenschutzrechtlichen Dokumenten zur Datenschutzinformation der Beschäftigten (Art. 13 ff. DSGVO), Schreiben zur Auskunftserteilung (Art. 15 DSGVO), Verarbeitungsverzeichnissen (Art. 30 DSGVO) und, je nach Gestaltung, etwaigen Einwilligungstexten (Art. 7 DSGVO) ist Art. 6 DSGVO als Rechtsgrundlage für eine Verarbeitung heranzuziehen. Auf § 26 Abs. 1 S. 1 BDSG sollte, wenn überhaupt, nur ergänzend Bezug genommen werden.
Auch sollten Arbeitgeber, bei denen ein Betriebsrat gebildet ist, mehr noch als bisher das Instrument der Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Betracht ziehen. In der betrieblichen Praxis können sich diese als probates Mittel zur Verringerung des Risikos von Datenschutzverstößen erweisen. Da Art. 88 DSGVO im Übrigen nicht nur Öffnungsklausel für nationale Gesetze, sondern eben auch für Betriebsvereinbarungen ist, empfiehlt sich ferner, bereits existierende Betriebsvereinbarungen auf den Prüfstand zu stellen und ggf. entsprechend der Vorgaben des EuGHs nachzubessern.