Die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten nach deutschem Recht ist europarechtswidrig
Mit der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 30.03.2023 (2023 – C-34/21) ist die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten nach deutschem Recht, nämlich § 26 Abs. 1 BDSG, faktisch nicht mehr anwendbar. Der EuGH hat in seiner Entscheidung festgestellt, dass § 23 Abs. 1 S. 1 des hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG), keine Grundlage für die Verarbeitung von Beschäftigtendaten sein kann. Obwohl sich die Entscheidung unmittelbar nur auf § 23 Abs. 1 S. 1 HDSIG bezieht, hat sie mittelbar Auswirkungen auf alle deutschen Unternehmen und nicht-öffentliche Stellen, da der Wortlaut von § 23 Abs. 1 S. 1 HDSIG identisch mit § 26 Abs. 1 BDSG ist. Auch wenn der EuGH nicht unmittelbar über § 26 Abs. 1 BDSG entschieden hat, hat die Entscheidung zur Folge, dass § 26 Abs. 1 BDSG damit nicht mehr anwendbar ist.
Sachverhalt
In Hessen wurde im Zuge der Corona-Pandemie in Schulen ein Livestream-Unterricht durch Videokonferenzsysteme eingeführt. Die Eltern der Kinder bzw. die volljährigen Schüler mussten für diese Datenverarbeitung ihre Einwilligung erteilen. Die Lehrer:innen wurden dagegen nicht gefragt, weil nach § 23 Abs. 1 S. 1 HDSIG personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlich ist.
Der Hauptpersonalrat der Lehrer:innen hatte wegen des Streaming-Unterrichts geklagt und gerügt, dass das Lehrpersonal nicht nach einer Einwilligung gefragt wurde. Das Land Hessen vertrat aber die Ansicht, dass die Verarbeitung der Daten der Lehrer:innen durch den Livestream-Unterricht bereits nach § 23 Abs. 1 S. 1 HDSIG zulässig und daher eine gesonderte Einwilligung nicht erforderlich sei.
Das mit dem Fall beschäftigte Verwaltungsgericht (VG) Wiesbaden hatte Zweifel, ob § 23 Abs. 1 S. 1 HDSIG den europarechtlichen Vorgaben zur Datenverarbeitung im Beschäftigungskontext gemäß der DSGVO genüge. Art. 88 Abs. 1 DSGVO regelt, dass die Mitgliedstaaten „spezifischere Vorschriften“ hinsichtlich einer solchen Datenverarbeitung vorsehen können. Die nationalen Regelungen müssen nach Art. 88 Abs. 2 DSGVO „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ umfassen.
Entscheidung
Der EuGH entschied, dass der Livestream-Unterricht in den sachlichen Anwendungsbereich der DSGVO fällt und § 23 Abs. 1 S. 1 HDSIG als nationale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten nicht in Frage komme, weil diese nationale Regelung nicht den Vorgaben gemäß Art. 88 DSGVO entspricht. Art. 88 DSGVO erlaube „spezifischere Normen“. Nach Auffassung des EuGH ist eine nationale Vorschrift, die die Bestimmungen der DSGVO lediglich wiederhole, keine „spezifischere Norm“ i. S. d. Art. 88 DSGVO. Von einer „spezifischeren Norm“ sei nur dann auszugehen, wenn diese die Vorgaben des Absatzes 2 erfüllt, also „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]“ umfasst.
Nationale Bestimmungen, die die Datenverarbeitung (nur) davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, wie § 23 Abs. 1 S. 1 HDSIG, aber eben auch § 26 Abs. 1 BDSG, wiederholen jedoch nur die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen. Damit scheiden sie als zulässige nationale Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten aus.
Bisherige Rechtsprechung des Bundesarbeitsgerichts
Das Bundesarbeitsgericht (BAG) ist in der Vergangenheit davon ausgegangen, dass § 26 BDSG „offenkundig“ mit Art. 88 DSGVO vereinbar sei und für „vernünftige Zweifel kein Raum bleibt“ (BAG v. 07.05.2019, Az. 1 ABR 53/17). Daher hatte das BAG selbst keine entsprechende Vorlage an den EuGH gerichtet.
Was bedeutet die Entscheidung für die Verarbeitung von Beschäftigtendaten in deutschen Unternehmen?
Nachdem § 26 BDSG als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten entfallen ist, müssen deutsche Unternehmen die Verarbeitung nun direkt auf Art. 6 Abs. 1 DSGVO stützen. In Betracht kommen hierbei insbesondere die Erforderlichkeit zur Durchführung des Arbeitsvertrags (Art. 6 Abs. 1 lit. b) sowie eine rechtliche Verpflichtung zur Verarbeitung von Beschäftigtendaten (Art. 6 Abs. 1 lit. c).
Der Hamburgische Beauftragte für Datenschutz weist darauf hin, dass „zum jetzigen Zeitpunkt […] nicht davon auszugehen [ist], dass Datenverarbeitungen auszusetzen oder zu beenden sind, denn voraussichtlich wird sich eine jeweils alternative Rechtsgrundlage finden“. Gleichzeitig fordert er die Unternehmen auf, die Zulässigkeit der Verarbeitungen von Beschäftigtendaten im Einzelfall zu prüfen und empfiehlt, „verstärkt auf Betriebsvereinbarungen zu setzen, mit denen weiterhin tragfähige und ausdifferenzierte Regelungen zur innerbetrieblichen bzw. konzernweiten Datenverarbeitung geschaffen werden können.“
Unternehmen sind gehalten, „Dokumente wie Datenschutzinformationen, Verarbeitungsverzeichnisse und Einwilligungstexte […] gegebenenfalls anzupassen, indem aktualisierte Rechtsgrundlagen aufgeführt werden.“ Dabei wird allerdings empfohlen, nichts zu überstürzen, zunächst die Positionierungen der Datenschutzkonferenz des Bundes und der Länder und ggfs. der Gerichte abzuwarten.
