Die zentrale – und wohl meist bekannte – Norm des deutschen Beschäftigtendatenschutzes ist § 26 BDSG. Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses oder zur Ausübung oder Erfüllung weiterer arbeitsrechtlicher Rechte und Pflichten erforderlich ist. Der deutsche Gesetzgeber hat mit dieser Norm von der Öffnungsklausel des Art. 88 Abs. 1 DSGVO und damit der Möglichkeit Gebrauch gemacht, für den Beschäftigtendatenschutz spezifischere Regelungen zu treffen, die den nationalen Besonderheiten des Arbeitslebens Rechnung tragen sollen. Der Europäische Gerichtshof (EuGH) hat § 26 Abs. 1 BDSG nun auf den Prüfstand gestellt und am 30. März 2023 (Rechtssache C-34/21) entschieden, dass diese Norm nicht den Anforderungen der DSGVO entspricht und mithin nicht mehr anwendbar ist.
Was war passiert?
Der Fall ereignete sich im Kontext der Corona-Pandemie: Hessischen Schülerinnen und Schülern, die coronabedingt nicht in Präsenz am Unterricht teilnehmen konnten, wurde die Möglichkeit eingeräumt, dem Unterricht per Videokonferenz zu folgen. Um dies datenschutzkonform auszugestalten, wurden hierfür von den Eltern Einwilligungserklärungen für die damit einhergehende Datenverarbeitung eingeholt – nicht aber von den betroffenen Lehrkräften.
In dieser Hinsicht stützte der Hessische Kultusminister die Verarbeitung der personenbezogenen Daten auf die Rechtsgrundlage des § 23 Abs. 1 S. 1 HDSIG, welcher in der Formulierung § 26 Abs. 1 S. 1 BDSG nahezu gleicht. Hiergegen klagte 2020 der Hauptpersonalrat der Lehrerinnen und Lehrer beim hessischen Kultusministerium gegen den hessischen Kultusminister vor dem Verwaltungsgericht (VG) Wiesbaden. Das VG zweifelte im Prozessverlauf daran, ob § 23 Abs. 1 S. 1 HDSIG die Anforderungen an eine die DSGVO im Bereich des Beschäftigtendatenschutzes konkretisierende Norm, erfüllt. Es führte insbesondere aus, dass diese Norm keinen eigenen und damit „spezifischeren” Regelungsgehalt habe, da Art. 6 Abs. 1 lit. b DSGVO bereits eine Datenverarbeitung erlaube, sofern diese zur Durchführung eines Vertrages erforderlich sei. Mehr als das würde aber auch § 26 Abs. 1 S. 1 BDSG nicht regeln.
Das VG legte die Norm daher dem EuGH vor und fragte diesen, ob eine nationale Norm, die Datenverarbeitungen legitimiert, einen spezifischeren Regelungsgehalt im Sinne des Art. 88 Abs. 1 DSGVO haben und ebenfalls die Anforderungen des Art. 88 Abs. 2 DSGVO erfüllen muss und ob eine Norm, die das nicht tut, weiterhin anzuwenden sei. In anderen Worten: Sind nationale Normen, die (1.) keinen neuen Regelungsgehalt im Vergleich zur Öffnungsklausel haben und (2.) die Voraussetzungen, des Art. 88 Abs. 2 DSGVO nicht erfüllen als ›spezifischere‹ Normen im Sinne des Art. 88 Abs. 1 DSGVO zulässig und anwendbar?
Der EuGH entschied, dass eine nationale Vorschrift nur dann eine ›spezifischere‹ Norm sei, wenn nicht nur bereits bestehende Regelungen wiederholt werden. Zudem hielt der EuGH fest, dass eine solche ›spezifischere‹ Norm auch die Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllen muss. Das bedeutet, dass sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen muss. Dies sei bei § 23 Abs. 1 S. 1 HDSIG und damit eben auch bei § 26 Abs. 1 S. 1 BDSG nicht der Fall, weshalb diese Normen nicht anzuwenden seien.
Was bedeutet das für Arbeitgeber?
Weitreichende Handlungspflichten für Unternehmen sind nicht zu erwarten. Dennoch empfiehlt es sich Verarbeitungsverzeichnisse einmal kritisch durchzusehen und einzelne Verarbeitungen auf ihre Rechtmäßigkeit hin zu überprüfen:
Sofern die Verarbeitung nicht ›erforderlich‹, sondern nur ›zweckmäßig‹ ist, konnte § 26 Abs. 1 BDSG auch in der Vergangenheit nicht genutzt werden. Hier ändert sich also nichts.
Im Beschäftigungsverhältnis erforderliche Verarbeitungen, wie beispielsweise die Verarbeitung der Bankdaten zur Zahlung des Gehalts, bleiben natürlich weiterhin zulässig – sie werden nur auf eine andere Norm gestützt, und zwar Art. 6 lit. b DSGVO. Dies sollte nun in den Verarbeitungsverzeichnissen angepasst werden.
Vorsicht sollte darüber hinaus gewahrt werden, falls sich die Verarbeitung auf eine Betriebsvereinbarung stützt. Zwar war es bisher beliebte Praxis durch Betriebsvereinbarungen Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten zu schaffen, für die sich in der DSGVO keine Basis finden ließ, aber auch diese Praxis steht momentan beim EuGH (Rechtssache 8 AZR 209/21) auf dem Prüfstand.
Außerdem sollten auch Datenschutzerklärungen ins Auge genommen werden: Sofern sie explizit auf § 26 Abs. 1 BDSG Bezug nehmen, sollte dieser Verweis aktualisiert und durch die zutreffende Norm –Art. 6 lit. b DSGVO – ersetzt werden.
Bleibt alles beim Alten? Druck auf den Gesetzgeber
In jüngster Vergangenheit wurde allseits vom Gesetzgeber gefordert, zentrale arbeitsrechtliche Fragen nicht mehr durch die Rechtsprechung klären zu lassen, sondern sich dieser selbst in einem umfassenden Gesetzespaket anzunehmen. Die Gerichte haben dem Gesetzgeber einmal mehr aufgezeigt, dass erheblicher Regelungsbedarf besteht und das nicht nur im Bereich der zuletzt heiß diskutierten Arbeitszeiterfassung. Konkret hatte auch die Datenschutzkonferenz (DSK) bereits im April 2022 die Schaffung eines Beschäftigtendatenschutzgesetzes gefordert. Immerhin scheint das Bundesministerium für Arbeit und Soziales (BMAS) der Ampel-Koalition nun Initiative ergreifen zu wollen. So hat ein Beirat unabhängiger und interdisziplinärer Experten zu Beginn des Jahres 2022 dem BMAS einen Abschlussbericht vorgelegt. Laut dem BMAS sollen dem noch in dieser Legislaturperiode Regelungen zum Beschäftigtendatenschutz folgen. Es bleibt also spannend.