Europäischer Gerichtshof stellt deutsche Regeln zum Beschäftigtendatenschutz in Frage

Mit Urteil vom 30. März 2023 (C-34/21) hat der Europäische Gerichtshof (EuGH) die zentrale Generalklausel des deutschen Beschäftigtendatenschutzes (§ 26 Abs. 1 BDSG bzw. inhaltsgleiche Bestimmungen in den Datenschutzgesetzen der Bundesländer) für europarechtswidrig und unanwendbar erklärt. 

Hintergrund des Rechtsstreits war die Einführung von Livestream-Unterricht durch Videokonferenzsysteme an Schulen in Hessen während der Corona-Pandemie. Während dazu Einwilligungen der Schüler:innen und Eltern eingeholt wurden, verzichtete der Dienstherr bei den Lehrkräften auf Einwilligungen und berief sich dabei auf § 23 Abs. 1 S. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) bzw. § 26 Abs. 1 S. 1 BDSG. Diese Regelungen erlauben die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. 

Die Fachkammer für Personalvertretungssachen am VG Wiesbaden hielt die hessische Vorschrift (§ 23 Abs. 1 S. 1 HDSIG) für europarechtlich bedenklich, da die DSGVO grundsätzlich den nationalen Datenschutz verdrängt, es sei denn, es bestehen Öffnungsklauseln. Eine solche Klausel gibt es zum Beschäftigtendatenschutz gemäß Art. 88 Abs. 1 DSGVO, die es den Mitgliedstaaten erlaubt, "spezifischere Vorschriften" für diesen Themenbereich zu erlassen. 

Das VG Wiesbaden richtete daher die Frage zur Vorabentscheidung an den Europäischen Gerichtshof (EuGH), ob § 23 Abs. 1 S. 1 HDSIG und ähnliche nationale Bestimmungen, die eine Datenverarbeitung im Beschäftigungskontext erlauben, mit dem Unionsrecht vereinbar sind. 

Das Urteil des EuGH 

Der EuGH kam zu dem Schluss, dass nationale Rechtsvorschriften nicht als "spezifischere Vorschrift" im Sinne von Art. 88 Abs. 1 DSGVO angesehen werden können, wenn sie nicht die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen. 

Artikel 88 Absatz 1 DSGVO ermöglicht den Mitgliedstaaten, neue, spezifischere Vorschriften zum Schutz der Beschäftigtendaten zu erlassen oder an bereits bestehenden nationalen Regelungen festzuhalten, die spezifischer sind als die allgemeinen Vorschriften der DSGVO. Diese spezifischen Vorschriften müssen jedoch den besonderen Anforderungen des Beschäftigtendatenschutzes gerecht werden und den Kontext der Beschäftigung klar definieren. Dabei können die Regelungen über die Standards der DSGVO hinausgehen. 

Artikel 88 Absatz 2 DSGVO legt zudem fest, dass die entsprechenden und spezifischen Normen, auf die verwiesen wird, zur Gewährleistung der Menschenwürde, der berechtigten Interessen und der Grundrechte der betroffenen Person erlassen werden müssen. Dies betrifft insbesondere die Transparenz der Datenverarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die gemeinsame wirtschaftliche Tätigkeiten ausüben, sowie Überwachungssysteme am Arbeitsplatz. 

Der EuGH betonte, dass der nationale Regelungsgehalt sich von den allgemeinen Regelungen der DSGVO unterscheiden muss, um als "spezifischere Vorschrift" zu gelten. Generalklauseln wie § 26 BDSG, die lediglich die Erforderlichkeit der Datenverarbeitung für das Beschäftigungsverhältnis betonen, stellen keine spezifischeren Vorschriften dar, sondern wiederholen im Wesentlichen die Bestimmungen der DSGVO. 

Ausblick und mögliche Konsequenzen

Für die Praxis ändert sich kurzfristig wenig. Die datenschutzrechtliche Zulässigkeit der Datenverarbeitung im Beschäftigungskontext richtet sich nun direkt nach den Bestimmungen der DSGVO. Die bisherige Auslegung des § 26 BDSG wird voraussichtlich weitgehend übertragbar sein. Es bestehen noch Unklarheiten hinsichtlich der Anwendbarkeit anderer Absätze des § 26 BDSG und der landesrechtlichen Parallelvorschriften. 

Das Bundesministerium für Arbeit und Soziales arbeitet bereits an einem Gesetzesvorschlag zum Beschäftigtendatenschutz, um die Möglichkeit zur rechtskonformen Ausgestaltung der Öffnungsklausel zu nutzen. um Rechtsklarheit zu schaffen und die Persönlichkeitsrechte von Arbeitgeber:innen und Beschäftigten effektiv zu schützen. Dieses Vorhaben könnte nun durch das Urteil des EuGH unterstützt werden. 

Es bleibt abzuwarten, wie die nationalen Gerichte und Behörden auf das Urteil reagieren, und wie es in der Praxis umgesetzt wird. Für die Verarbeitung von Beschäftigtendaten ist zukünftig, zumindest in Deutschland, von einer verstärkten Auslegung und Anwendung der DSGVO auszugehen.

Welche Bedeutung hat das Urteil für Unternehmen? 

Unternehmen sollten zunächst keine überstürzten Maßnahmen ergreifen, jedoch ihre Datenschutzpraktiken im Beschäftigungskontext überprüfen und sicherstellen, dass sie den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Insbesondere sollten sie sicherstellen, dass sie eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Beschäftigten haben, wie beispielsweise die Einwilligung der betroffenen Personen, die Erfüllung eines Vertrags oder die Wahrung rechtlicher Verpflichtungen. 

Des Weiteren ist es wichtig zu beachten, dass das EuGH-Urteil spezifisch für Deutschland gilt und andere europäische Länder möglicherweise unterschiedliche Regelungen und Bestimmungen zum Beschäftigtendatenschutz haben. Unternehmen, die in mehreren europäischen Ländern tätig sind, sollten die nationalen Datenschutzgesetze und die jeweilige Rechtsprechung in den betreffenden Ländern beachten.

Zudem ist es ratsam, die Entwicklung weiterer Leitlinien und Empfehlungen seitens der Datenschutzbehörden und der Gerichte abzuwarten, um eine vollständige Klarheit über die Auswirkungen des EuGH-Urteils zu erhalten.

Ali Tschakari
Ali Tschakari
Leiter Bitkom Consult
Bitkom Servicegesellschaft mbH
Share