EuGH: Generalklausel im deutschen Beschäftigtendatenschutz unanwendbar

Mit Urteil vom 30.03.2023 setzt der Europäische Gerichtshof (EuGH Urt. v. 30.03.2023 – C-34/21) neue Maßstäbe im nationalen Beschäftigtendatenschutz: § 26 Abs. 1 S. 1 BDSG, die bisher zentrale Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses, wurde vom Europäischen Gerichtshof (EuGH) für europarechtswidrig befunden. In seiner Entscheidung befasste sich der EuGH in erster Linie mit einer Vorschrift zum Beschäftigtendatenschutz nach dem hessischen Datenschutz- und Informationsfreiheitsgesetz. Da § 26 Abs. 1 S. 1 BDSG eine nahezu identische Regelung darstellt, sind die Erwägungen des EuGH konsequenterweise auch auf den Beschäftigtendatenschutz im Bundesdatenschutzgesetz zu übertragen.

Hintergrund der Entscheidung
Ausgangspunkt der Entscheidung bildete eine im Jahr 2020 getroffene Entscheidung des hessischen Kultusministeriums über die Ausgestaltung des Schulunterrichts per Videokonferenz während der Corona-Pandemie. Danach sollte für die Durchführung des Online-Unterrichts zwar die Einwilligung der Schüler erforderlich sein. Einer Einwilligung der Lehrkräfte bedurfte es hierzu nach der Ansicht des Landes Hessen jedoch nicht, da die Verarbeitung ihrer personenbezogenen Daten zur Durchführung des Beschäftigungsverhältnisses gem. § 23 Abs. 1 S. 1 HDSIG erforderlich sei. Hiergegen erhob die Personalvertretung Klage beim zuständigen Verwaltungsgericht Wiesbaden. Als Begründung führte sie an, dass § 23 Abs. 1 S. 1 HDSIG den Anforderungen der Öffnungsklausel des Art. 88 DS-GVO, die „spezifische Vorschriften“ zur Regelung in Bezug auf die Verarbeitung von personenbezogenen Daten verlange, nicht genüge.
Mit Beschluss vom 21.12.2020 setzte das erkennende Gericht das Verfahren aus und legte dem EuGH die Frage zur Vorabentscheidung vor.

Die Entscheidung des EuGH
Der EuGH entschied sodann mit Urteil vom 30.03.2023: § 23 Abs. 1 S. 1 HDSIG – und damit auch § 26 Abs. 1 S. 1 BDSG – stellt keine spezifische Vorschrift i.S.d. Art. 88 DS-GVO dar und erfüllt damit nicht die Voraussetzungen dieser Öffnungsklausel. Aufgrund des unionsrechtlichen Wiederholungsverbots müsse sich dem EuGH zufolge eine derartige nationale Regelung zwingend von den allgemeinen Regelungen der DS-GVO unterscheiden. § 23 Abs. 1 S. 1 HDSIG wiederhole jedoch lediglich, was bereits in Art. 6 Abs. 1 UAbs. 1 Buchst. b DS-GVO geregelt ist, ohne eine spezifischere Vorschrift hinzuzufügen. Aus diesem Grund sei die Vorschrift europarechtswidrig und damit unanwendbar.

Auswirkungen auf die Praxis

1)    Kurzfristige Handlungsempfehlung
Wird in Datenschutzdokumenten, Datenschutzerklärungen, Einwilligungstexten und Verarbeitungsverzeichnissen auf die Generalklausel des § 26 Abs. 1 S. 1 BDSG verwiesen, ist ein Austausch der Rechtsgrundlage vorzunehmen. Alternative Rechtsgrundlagen bilden in diesem Zusammenhang die in Art. 6 Abs. 1 DS-GVO geregelten Tatbestände, insbesondere Art. 6 Abs. 1 UAbs. 1 Buchst. b und f DS-GVO. Künftig ist in den entsprechenden Unterlagen somit auf die in Art. 6 Abs. 1 DS-GVO normierten Rechtsgrundlagen zu verweisen.

2)    Handlungsspielraum
Nach Art. 88 Abs. 1, 2 DS-GVO i.V.m. § 26 Abs. 4 BDSG können Mitgliedsstaaten auch durch kollektivrechtliche Vereinbarungen eine datenschutzrechtliche Ermächtigungsgrundlage herbeiführen. Dies ist gerade mit Blick auf die in Art. 6 DS-GVO enthaltenen unbestimmten Rechtsbegriffe empfehlenswert, da Kollektivvereinbarungen nur eingeschränkt gerichtlich und aufsichtsbehördlich überprüfbar sind. Dies führt im Ergebnis zu einer höheren Rechtssicherheit. Zu beachten ist, dass die bisherige Rechtsprechung des Bundesarbeitsgerichts (BAG) zu § 26 Abs. 1 S. 1 BDSG nicht ohne Weiteres rechtssicher auf Art. 6 Abs. 1 UAbs. 1 b, f DS-GVO übertragen werden kann, da das Unionsrecht unabhängig vom nationalen Gepräge durch den EuGH ausgelegt wird.

3)    Unionsrechtlich determinierter Beschäftigtendatenschutz
Im Beschäftigtendatenschutz bilden fortan die in Art. 6 Abs. 1 DS-GVO geregelten Tatbestände die maßgeblichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Beschäftigungskontext. Zudem wird sich das BAG in Zweifelsfragen insbesondere hinsichtlich der Auslegung des Art. 6 Abs. 1 UAbs. 1 b, f DS-GVO künftig im Wege des Vorabentscheidungsverfahrens an den EuGH wenden müssen. Der unionsrechtliche Datenschutz wird damit an Gewicht gewinnen.

Fazit
Auch infolge der Unanwendbarkeit des § 26 Abs. 1 S. 1 BDSG bleibt der Beschäftigtendatenschutz annähernd unverändert. Solange der deutsche Gesetzgeber keine spezifizierten Vorschriften im Beschäftigtendatenschutz erlässt, sind Arbeitgeber zwar fortan verpflichtet, sich bei der Verarbeitung von Beschäftigtendaten auf Art. 6 Abs. 1 DS-GVO zu stützen. Die darin enthaltenen Rechtsgrundlagen gelten jedoch europaweit einheitlich. Dies kommt daher insbesondere international tätigen Unternehmen zugute. Aufgrund der Vereinheitlichung ist eine Auseinandersetzung mit abweichenden nationalen Regelungen zum Beschäftigtendatenschutz nicht mehr länger erforderlich.
Neben der Anpassung der geänderten Rechtsgrundlagen in datenschutzrechtlichen Dokumentationen ist zu beachten, dass eine rechtssichere Ausgestaltung des Beschäftigtendatenschutzes insbesondere im Rahmen von Kollektivvereinbarungen erzielt werden kann.

Auf lange Sicht ist jedoch der deutsche Gesetzgeber in der Pflicht, einen Beschäftigtendatenschutz spezifisch und ausdifferenziert und damit im Einklang mit den unionsrechtlichen Anforderungen zu schaffen.
Wir werden Sie hierzu weiter auf dem Laufenden halten.  Autorin: Stefanie Schneider