Die Verarbeitung personenbezogener Daten im Zusammenhang mit der Begründung und Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses konnte bislang meist auf die zentrale Regelung des § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) gestützt werden. Mit seinem Urteil vom 30. März 2023 (Az. C-34/21) hat der Europäische Gerichtshof (EuGH) diese Vorschrift nun jedoch für europarechtswidrig befunden. Der EuGH widerspricht damit diametral der noch im Mai 2019 geäußerten Ansicht des Bundesarbeitsgerichts (BAG), wonach mit § 26 BDSG die richtige Anwendung des Unionsrechts „derart offenkundig [sei], dass für vernünftige Zweifel kein Raum bleibt“ (BAG, Beschluss vom 7. Mai 2019 – 1 ABR 53/17). Wenn § 26 Abs. 1 BDSG jedoch keine taugliche Ermächtigungsgrundlage darstellt, werden sich ArbeitgeberInnen stattdessen direkt auf Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO) stützen müssen, um personenbezogene Daten ihrer Beschäftigten rechtskonform zu verarbeiten.
- Hintergrund der Entscheidung
Gegenstand der Entscheidung des EuGH war die datenschutzrechtliche Zulässigkeit der Durchführung von Schulunterricht mittels eines Videokonferenzsystems in Hessen, welches dort während der Corona-Pandemie eingeführt wurde. Während volljährige SchülerInnen – sowie bei minderjährigen SchülerInnen deren Erziehungsberechtigte – für die Datenverarbeitungen des Live-Videounterrichts eine Einwilligung erteilen mussten, wurde die Videokonferenzsoftware gegenüber dem Schulpersonal ohne Einholung einer expliziten Einwilligung eingesetzt. Stattdessen wurde die Datenverarbeitung auf § 23 Abs. 1 des hessischen Datenschutzgesetzes (HDSIG) gestützt, dessen Wortlaut § 26 Abs. 1 S. 1 BDSG entspricht. Nach diesen Vorschriften – so das Land Hessen – sei die Verarbeitung von personenbezogenen Daten der Beschäftigten auch ohne deren Einwilligung zulässig, da dies für die Durchführung des Beschäftigungsverhältnisses erforderlich sei.
- Die Entscheidung des EuGH
Der EuGH arbeitet zwar zunächst heraus, dass Mitgliedstaaten auf Grundlage der Öffnungsklausel des Art. 88 DSGVO durch nationale Rechtsvorschriften spezifischere Vorschriften zur Datenverarbeitung auch im Beschäftigungskontext vorsehen könnten. Zugleich stellte der EuGH jedoch klar, dass § 23 Abs. 1 HDSIG – und damit auch § 26 Abs. 1 BDSG – die Voraussetzungen des Art. 88 DSGVO nicht erfüllt und damit als Rechtsgrundlage für eine Datenverarbeitung im Beschäftigtenkontext per se ausscheidet.
Denn „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO dürften sich nicht lediglich auf die reine Wiederholung von Vorschriften der DSGVO beschränken. Stattdessen müsse eine „spezifischere Norm“ stets im Hinblick auf den bestimmten Zweck weitergehende geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Generalklauseln, wie die hier streitentscheidende Norm, erfüllen diese Voraussetzungen nicht, da diese lediglich „die bereits in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art. 88 Abs. 1 DSGVO hinzuzufügen“. Entsprechend sei die Vorschrift zwingend als europarechtswidrig zu betrachten und unanwendbar.
- Handlungsbedarf für Unternehmen
Die (mittelbare) Verwerfung des § 26 Abs. 1 BDSG wirkt sich in der Praxis – jedenfalls kurzfristig – nur bedingt aus. ArbeitgeberInnen müssen die Verarbeitung von Beschäftigungsdaten zwar von nun an direkt auf Art. 6 Abs. 1 DSGVO stützen – allerdings bietet diese Norm in den meisten Fällen eine zu § 26 Abs. 1 BDSG vergleichbare Rechtsgrundlage. Trotzdem besteht konkreter Handlungsbedarf
- – Im Rahmen einer datenschutzrechtlichen Compliance-Prüfung müssen Datenverarbeitungsabläufe anhand des nun anwendbaren Art. 6 Abs. 1 DSGVO überprüft und erforderlichenfalls angepasst werden.
- – Darüber hinaus müssen die genannten Rechtsgrundlagen in Datenschutzhinweisen (insbesondere für BewerberInnen und MitarbeiterInnen) sowie in Verzeichnissen von Verarbeitungstätigkeiten ausgewechselt werden.
- – Sollten Kollektivvereinbarungen als Ermächtigungsgrundlage für eine Datenverarbeitung dienen, sollten auch diese auf die Einhaltung der Vorgaben des EuGH angepasst werden.
Gerne unterstützen wir Ihr Unternehmen bei den oben genannten Schritten sowie bei der Klärung sämtlicher datenschutzrechtlicher Fragen. Wir beraten Sie mit Blick auf die rechtskonforme Umsetzung der geltenden Voraussetzungen. So lassen sich Haftungsrisiken, mitunter Bußgelder und Schadensersatzforderungen, langfristig vermeiden.
Bitte beachten Sie, dass die obigen Ausführungen nur eine verkürzte unverbindliche Zusammenstellung nach heutigem Stand darstellen. Für die Richtigkeit und Vollständigkeit wird keine Haftung übernommen. Gerne stehen die Ihnen bekannten Ansprechpartner unserer Kanzlei hierfür zur Verfügung.
Ihre Ansprechpartner
Dr. Viktor Stepien | Partner, Rechtsanwalt
Julian N. Modi | Partner, Rechtsanwalt
Die Sonderinformation als PDF-Datei finden Sie im Nachgang verlinkt
Regelung zum Beschäftigungsdatenschutz ist europarechtswidrig
