Im Rahmen von Sicherheitsüberprüfungen spielen Datenschutzbestimmungen eine wichtige Rolle, da es hierbei zu einem intensiven Eingriff in das Recht auf informationelle Selbstbestimmung kommt.
Eine Sicherheitsüberprüfung dient dazu, zu verhindern, dass Personen Zugang zu staatlichen Verschlusssachen oder sicherheitsempfindlichen Bereichen erhalten, bei denen ein Risiko besteht. Im Rahmen einer Sicherheitsüberprüfung werden (teils höchst-)persönliche Daten erhoben und verarbeitet, sodass stets ein intensiver Eingriff in das Recht auf informationelle Selbstbestimmung einhergeht. Umso wichtiger ist es daher, den Schutz der betroffenen Person nicht außer Acht zu lassen. Hierbei ist es jedoch wichtig zu wissen, dass es bereichsspezifische Datenschutzrechte im Bundesrecht und im jeweiligen Landesrecht gibt: das sog. Sicherheitsüberprüfungsgesetz (SÜG) des Bundes sowie die Landes SÜG.
Ist die DSGVO im Rahmen von Sicherheitsüberprüfungen überhaupt anwendbar?
Grundsätzlich hat die DSGVO als europäische Verordnung Anwendungsvorrang vor jedem mitgliedstaatlichen Recht. Lässt die DSGVO einen Regelungsspielraum zu, ist zu prüfen, ob es bereichsspezifische Datenschutzregelungen gibt. Ist dies nicht der Fall oder sind die bereichsspezifischen Vorschriften nicht abschießend, gilt ergänzend das Bundesdatenschutzgesetz (BDSG).
Gemäß Art. 2 Abs. 2 lit. a DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Erwägungsgrund 16 S. 1 führt hierzu wie folgt aus: „Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.“ Eine der „bedeutsamsten“ Ausnahmen vom Anwendungsbereich der Verordnung ergibt sich aus der in Art. 4 Abs. 2 S. 2 EUV hervorgehobenen alleinigen Verantwortung der Mitgliedstaaten für die nationale Sicherheit, worunter das SÜG fällt.
Zur Frage, ob die DSGVO im Anwendungsbereich des SÜG greift, haben sich auch das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) abgestimmt und kamen zum Ergebnis, dass die DSGVO auf das SÜG keine Anwendung findet. Begründet wurde dies damit, dass dessen Regelungsbereiche nicht dem Anwendungsbereich des Gemeinschaftsrechts unterliegen.
Das SÜG soll vor allem den Schutz von Verschlusssachen umfassend regeln. Um diesem Regelungsziel gerecht zu werden, regelte das SÜG sowohl heute als auch bereits vor Inkrafttreten der DSGVO datenschutzrechtliche Fragen mit Verweis auf das BDSG. Das SÜG war insofern bisher als ein bereichsspezifisches Datenschutzvollsystem angelegt. Dieser Ansicht folgte auch das Oberverwaltungsgericht NRW in seinem Beschluss vom 28.07.2021 und führte aus, dass gemäß Art. 4 Abs. 2 S. 3 EUV die EU keine Regelungskompetenz für den – mit dem SÜG in Rede stehenden – Bereich der nationalen Sicherheit hat.
Der BfDI bietet umfassende Antworten zum Thema Sicherheitsüberprüfungen
Anlass für Sicherheitsüberprüfungen ergeben sich meist bereits im Einstellungsverfahren oder wenn eine Person im Unternehmen auf einen anderen Arbeitsplatz wechselt, der dies erforderlich macht. Der BfDI stellt auf seiner Website für Arbeitgeber und Arbeitnehmer eine FAQ-Seite zum Thema Sicherheitsüberprüfungsrecht zur Verfügung, auf der Sie sowohl Antworten auf viele Fragen finden als auch weiterführende Informationen und Links zum Thema SÜG.