Direkt zum Inhalt wechseln

Die Wellen schlagen hoch: Keine Rechtsgrundlage mehr für die Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis? Der EuGH hat § 23 Abs. 1 S. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) und § 86 Abs. 4 des Hessischen Beamtengesetzes (HBG) mit Urteil vom 30. März 2023 (C-34/21) für mit Art. 88 Abs. 1 und 2 DSGVO unvereinbar erklärt. Die Aufregung ist groß, da dies der ständigen Rechtsprechung des Bundesarbeitsgerichtes widerspricht, das den im Wortlaut nahezu deckungsgleichen § 26 BDSG bisher für „offenkundig“ mit Art. 88 DSGVO vereinbar hielt (zuletzt BAGE 166, 309 Rn. 47 f. = NZA 2019, 1218). Warum allzu große Aufregung trotzdem nicht angezeigt ist, soll dieser Beitrag beleuchten.

Das Ausgangsverfahren

Während der Covid-19-Pandemie wurden in ganz Deutschland Maßnahmen ergriffen, um die Beschulung von Schülerinnen und Schülern aufrecht erhalten zu können; so auch in Hessen. Die Umstellung von Präsenz- in digitalen Unterricht war eine der zentralen Maßnahmen, an der sich auch der vorliegende Streit entzündete.

Das Kultusministerium Hessen veranlasste daher die Möglichkeit für Schülerinnen und Schüler, am Unterricht auch durch Zuschaltung über einen Videokonferenzdienst teilzunehmen. Datenschutzkonform wurde von den zu Unterrichtenden bzw. deren Eltern eine Einwilligung eingeholt. Für die Lehrkräfte sah die Regelung keinen Entscheidungsspielraum vor; wer für das Land unterrichtend tätig war, konnte verpflichtet werden, Livestreamunterricht zu halten, wofür § 23 Abs. 1 S. 1 HDSIG als Rechtsgrundlage herangezogen wurde. Diese Norm wurde damit Gegenstand des nachfolgenden verwaltungsgerichtlichen Verfahrens:

Personenbezogene Daten von Beschäftigten dürfen für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies (…) nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (…) erforderlich ist.

Das VG Wiesbaden hatte Zweifel an der Vereinbarkeit des § 23 Abs. 1 S. 1 HDSIG und des für verbeamtete Lehrkräfte einschlägigen § 86 Abs. 4 HBG mit Art. 88 Abs. 2 DSGVO und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

  1. Ist Art. 88 Abs. 1 DSGVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Sinne des Art. 88 Abs. 1 DSGVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DSGVO gestellten Anforderungen erfüllen muss?
  2. Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DSGVO offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben?

 

Die Entscheidung des EuGH

Erste Frage:

Zur Beantwortung der ersten Frage führt der EuGH grundlegend aus:

Die Mitgliedstaaten „können“ spezifischere Vorschriften vorsehen, sie haben also einen Ermessensspielraum. Dieses Ermessen darf aber nicht dahingehend ausgeübt werden, dass dadurch gegen die Vorschriften und Ziele der DSGVO verstoßen wird und es zu einem Bruch der Harmonisierung kommt. Dabei ist zu berücksichtigen, dass Art. 88 Abs. 1 DSGVO von „spezifischeren Vorschriften“ spricht; „spezifischer“ kann eine Vorschrift aber nur dann sein, wenn ein „Mehr“ im Verhältnis zu den allgemeinen Regeln der DSGVO geregelt wird.

Zweite Frage:

Die DSGVO sieht nicht nur in Art. 88 Abs. 1 und Abs. 2 DSGVO eine Möglichkeit für den nationalen Gesetzgeber vor, gesetzgeberisch tätig zu werden, Öffnungsklauseln finden sich auch an anderen Stellen in der DSGVO. So weist der EuGH darauf hin, dass Art. 6 Abs. 3 S. 1 Nr. 2 DSGVO i.V.m. Erwägungsgrund 45 der DSGVO vorsieht, dass die Rechtsgrundlagen für Verarbeitungen nach Art. 6 Abs. 1 S. lit. c und e DSGVO durch das Recht der Mitgliedsstaaten festgelegt wird. Die DSGVO lässt damit eine „Hintertür“, die es erlaubt, eine bereits erlassene Vorschrift beizubehalten, auch wenn diese ursprünglich den Art. 88 Abs. 1 ausgestalten sollte. Während die Anwendung der Öffnungsklausel aus Art. 88 Abs. 1 sich nicht in der Wiederholung der Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO erschöpfen darf, bezieht sich Art. 6 Abs. 3 DSGVO auf Verarbeitungen gemäß Art. 6 Abs. 1 S. lit. c und e DSGVO und gibt für diese lediglich den Rahmen vor. Damit ist es jedenfalls grundsätzlich denkbar, mitgliedsstaatliche Normen über diese Öffnungsklausel beizubehalten.

 

Die Auswirkungen der Entscheidung

23 Abs. 1 S. 1 HDSIG ist § 26 Abs. 1 S. 1 BDSG zum Verwechseln ähnlich:

 

§ 23 Abs. 1 Satz 1 HDSIG § 26 Abs. 1 Satz 1 BDSG
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

 

Auch andere Bundesländer sehen ähnliche Normen vor, die also von dem Urteil des EuGHs genauso betroffen sind: Nur beispielhaft sollen hier § 26 Abs. 1 Satz 1 Brandenburger Datenschutzgesetz, § 10 Abs. 1 Satz 1 Datenschutzgesetz Mecklenburg-Vorpommern und § 18 Abs. 1 Satz 1 Datenschutzgesetz Nordrhein-Westfalen angeführt werden.

Der EuGH betont mit der Entscheidung das unionsrechtliche Normwiederholungsverbot: da die DSGVO in den Mitgliedsstaaten unmittelbar Wirkung entfaltet, ist sie auch unmittelbar Bestandteil der Rechtsordnung jedes Mitgliedsstaats. Für ihre Geltung bedarf es keiner Umwandlung in nationales Recht. Deshalb ist eine Umsetzung von Verordnungen durch Gesetzgeber der Mitgliedsstaaten nicht nur überflüssig, sondern unzulässig (Roßnagel / Roßnagel, Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, S. 75). Zudem ergibt sich aus der Entscheidung eine Bestätigung der Rechtsauffassung des VG Hamburg (Urteil vom 16.1.2020 – 17 K 3920/19, Rn. 57), wonach neben § 26 BDSG auch Art. 6 Abs. 1 S. 1 lit. e und c DSGVO für Datenverarbeitungen im Beschäftigtenkontext anwendbar sind.

Wie die Gegenüberstellung des streitgegenständlichen § 23 Abs. 1 S. 1 HDSIG mit § 26 Abs. 1 S. 1 BDSG zeigt, ist der Wortlaut beider Normen nahezu deckungsgleich; beide Normen erlauben letztlich generalklauselartig Datenverarbeitungen, die für Zwecke des Beschäftigungsverhältnisses erforderlich sind. Wie in dem von der DSGVO gesetzten Rechtsrahmen entscheidet damit über die Anwendbarkeit des § 26 BDSG der durch die Datenverarbeitung konkret verfolgte Zweck Schwartmann/Jaspers/Thüsing/Kugelmann / Thüsing/Schmidt, 2. Aufl. 2020, Anh. DS-GVO Art. 88 Rn. 2 ff.).

Diesen Gleichlauf zur DSGVO hat der EuGH nunmehr (Rn. 81) im Hinblick auf die streitgegenständlichen deutschen Normen festgestellt: da diese vorsehen, dass die Verarbeitung personenbezogener Beschäftigtendaten zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss und dies bereits die in Art. 6 Abs. 1 S. 1 lit. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung ist, wird lediglich eine unionsrechtliche Regelung wiederholt, ohne eine spezifischere Vorschrift im Sinne von Art. 88 Abs. 1 DSGVO hinzuzufügen. Eben diese unzulässige inhaltliche Wiederholung durch die bloße Übertragung des Erforderlichkeitsmaßstabs auf § 26 BDSG scheint der EuGH nun für unzulässig zu erklären (Thüsing / Peisker, NZA 2023, 213).

Dem ließe sich freilich entgegenhalten, dass die ergebnisoffene Verhältnismäßigkeitsabwägung in § 26 BDSG innerhalb der Erforderlichkeit gerade dazu bestimmt ist, wie von Art. 88 Abs. 2 DSGVO gefordert, Umstände, die die menschliche Würde, berechtigte Interessen oder Grundrechte des Betroffenen berühren, zu berücksichtigen, da die Datenverarbeitung nach ständiger Rechtsprechung des BAG keine übermäßige Belastung des Betroffenen darstellen darf (Thüsing / Peisker, NZA 2023, 213 (214)).

In der datenschutzrechtlichen Praxis im Unternehmen dürfte diese eher akademische Überlegung hingegen wenig fruchtvoll und letztlich die bereits im aktuellen Koalitionsvertrag der Bundesregierung angelegte Neuregelung des deutschen Beschäftigungsdatenschutzes abzuwarten sein.

Die Praxis bis zur Neuregelung durch den deutschen Gesetzgeber

Da der EuGH gerade den Gleichlauf der deutschen Normen mit denen der DSGVO angreift, ergibt sich daraus zugleich, dass Arbeitgeber nicht ohne Rechtsgrundlage für Datenverarbeitungen im Beschäftigtenkontext dastehen. Auch wenn das Urteil lediglich inter partes, also zwischen den Parteien des Rechtsstreits, unmittelbare Wirkung entfaltet und eine finale Entscheidung erst durch das VG Frankfurt a.M. gefällt werden wird, das den Fall aufgrund einer Umverteilung der gerichtlichen Zuständigkeiten vom Verwaltungsgericht Wiesbaden übernommen hat, werden die deutschen Datenschutzaufsichtsbehörden ihre Praxis anpassen.

Für Unternehmen bedeutet dies, dass Datenverarbeitungen aus den für Beschäftigungsverhältnisse zentralen Bereichen wie Recruiting, Personaleinsatz, Arbeitsorganisation und -kontrolle künftig nach Art. 6 Abs. 1 lit. b bzw. lit f DSGVO beurteilt werden müssen. Dort, wo die entsprechenden Rechtsgrundlagen in der datenschutzrechtlichen Dokumentation hinterlegt sind – zu denken ist hier insbesondere an das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO – sind Anpassungen vorzunehmen. Die übrigen Inhalte des § 26 BDSG, wie die Aufklärung von Straftaten oder die erweiterten Anforderungen an die Einwilligung im Beschäftigungsverhältnis, dürften hingegen nicht von der EuGH-Rechtsprechung betroffen sein. Insoweit erscheint die Einschätzung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, dass § 26 BDSG mit der Entscheidung des EuGH als unanwendbar zu betrachten sein dürfte, zu weitgehend. Insoweit die einzelnen Regelungsinhalte des § 26 BDSG spezifischer als die Vorgaben der DSGVO, insbesondere aus Art. 6 Abs. 1 sind, ist dies von der Öffnungsklausel aus Art. 88 Abs. 1 DSGVO weiterhin gedeckt.

Fazit

Aus der Entscheidung ergibt sich vor allem Handlungsbedarf für den Gesetzgeber, der nun aufgerufen ist, das bereits im Koalitionsvertrag antizipierte gesetzgeberische Vorhaben in die Tat umzusetzen. Für die Datenschutzpraxis im Unternehmen gibt es jedoch keinen Grund jetzt die Alarmglocken zu schlagen. Es empfiehlt sich aber, die Rechtsgrundlagen in der datenschutzrechtlichen Dokumentation anzupassen und die aufsichtsbehördliche Praxis, vor allem aber die nachfolgende Rechtsprechung, abzuwarten. Das Thema Datenschutz im Beschäftigtenkontext ist aktueller denn je.