In seinem Urteil vom 30.03.2023 (Az. C-34/21) beschäftigt sich der EuGH mit der Datenverarbeitung im Beschäftigungskontext. Konkret ging es um die Frage, ob bzw. wann eine nationale Regelung mit der Öffnungsklausel im Art. 88 Abs. 1 DSGVO vereinbar ist. Auch wenn sich die Ausführungen des EuGH auf eine Vorschrift aus dem hessischen Datenschutzrecht beziehen, haben diese Auswirkungen auf den gesamten deutschen Beschäftigtendatenschutz.
Ein kurzer Überblick über den Beschäftigtendatenschutz
Zunächst ein kurzer Überblick über die Vorschriften zum Beschäftigtendatenschutz. Grundsätzlich gilt die DSGVO in der EU unmittelbar und hat Vorrang vor nationalen Regelungen. Für einige Bereiche enthält die DSGVO jedoch Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, für gewissen Sachverhalte eigene Datenschutzgesetze und -vorschriften zu erlassen. Eine der Öffnungsklauseln ist Art. 88 Abs. 1 DSGVO, der es den Mitgliedstaaten erlaubt, im Bereich der Beschäftigtendaten „spezifischere Vorschriften“ zu erlassen. Diese spezifischeren Vorschriften müssen nach Art. 88 Abs. 2 DSGVO Regelungen zu bestimmten Grundsätzen der DSGVO vorsehen, etwa zur Wahrung der menschlichen Würde oder der berechtigten Interessen und Grundrechte der betroffenen Personen.
Der deutsche Gesetzgeber hat von der Öffnungsklausel im Art. 88 Abs. 1 DSGVO durch § 26 BDSG Gebrauch gemacht. Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten u. a. dann verarbeitet werden, „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung […] erforderlich ist.“ Zudem sehen die Datenschutzgesetze der Länder vergleichbare Regelungen für die Verarbeitung von Beschäftigtendaten durch öffentliche Stellen vor.
Hintergrund der EuGH-Entscheidung – Unterricht per Livestream an hessischen Schulen während der Corona-Pandemie
Seinen Ausgangspunkt nimmt die Entscheidung des EuGH in Hessen (wir berichteten). Dort wurde im Zuge der Corona-Pandemie ein Livestream-Unterricht per Videokonferenz in öffentlichen Schulen eingeführt. Während die Eltern der Kinder bzw. die volljährigen Schüler*innen ihre Einwilligung in diese Datenverarbeitung erteilen mussten, war dies für die betroffenen Lehrkräfte nicht vorgesehen. Der Hauptpersonalrat der Lehrer*innen erhob daraufhin Klage beim Verwaltungsgericht (VG) Wiesbaden und rügte, dass der Livestream-Unterricht ohne Einwilligung der betroffenen Lehrkräfte erfolgt. Das Hessische Kultusministerium vertrat demgegenüber die Ansicht, dass die Datenverarbeitung durch § 23 Abs. 1 S. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) gedeckt sei, sodass keine Einwilligung eingeholt werden müsse. Die hessische Vorschrift ist fast inhaltsgleich zum § 26 Abs. 1 S. 1 BDSG formuliert und erlaubt eine Verarbeitung von personenbezogenen Daten von Beschäftigten, „wenn dies für die Begründung des Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist.“
VG Wiesbaden wendet sich an den EuGH
Das VG Wiesbaden beschäftigte sich zunächst nicht damit, ob die Verarbeitung der „Lehrerdaten“ im Rahmen des Livestream-Unterrichts für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Vielmehr warf das Gericht die grundlegende Frage auf, ob § 23 Abs. 1 S. 1 HDSIG mit den Anforderungen des Art. 88 Abs. 2 DSGVO vereinbar sei. Hieran hatte das VG Wiesbaden Zweifel, sodass es das Verfahren aussetzte und dem EuGH zwei Fragen zur Vorabentscheidung vorlegte. Zusammengefasst sollte der Gerichtshof klären, ob eine nationale Vorschrift, die als Umsetzung der Öffnungsklausel gedacht ist, auch dann anwendbar ist, wenn die Voraussetzungen des Art. 88 Abs. 2 DSGVO nicht erfüllt werden.
EuGH zu den Voraussetzungen und Grenzen der Öffnungsklausel im Art. 88 DSGVO
Der EuGH stellte zunächst fest, dass nationale Vorschriften nur dann von der Öffnungsklausel des Art. 88 Abs. 1 DSGVO gedeckt seien, wenn es sich hierbei um „spezifischere Vorschriften“ handele. Aus der Verwendung dieses Ausdrucks ergebe sich, dass die Vorschriften einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DSGVO unterscheide und deren Bestimmungen nicht lediglich wiederhole. Stattdessen müssen die nationalen Vorschriften die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllen und „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe […] und die Überwachungssysteme am Arbeitsplatz“ umfassen.
Der EuGH stellt sodann fest, dass es nun Sache des vorlegenden Gerichtes – also des VG Wiesbaden – ist, zu beurteilen, ob die in Rede stehenden hessischen Bestimmungen diese Voraussetzungen erfüllen. Unter Berufung auf die Schlussanträge des Generalanwaltes geht der Gerichtshof jedenfalls davon aus, dass der § 23 Abs. 1 S. 1 HDSIG, die bereits in Art. 6 Abs. 1 lit. b DSGVO aufgestellten Bedingungen für die Rechtmäßigkeit der Verarbeitung wiederhole und somit keine spezifischere Vorschrift i. S. d. Art. 88 Abs. 1 DSGVO darstelle. Sofern das VG Wiesbaden ebenfalls zu dem Ergebnis kommt, dass die Voraussetzungen des Art. 88 DSGVO nicht erfüllt sind, müsse es die Bestimmung grundsätzlich unangewendet lassen. Es sei dann lediglich noch zu prüfen, ob § 23 HDSIG unter der Berücksichtigung einer anderen Rechtsgrundlage der DSGVO, insbesondere Art. 6 Abs. 1 lit c und lit. e DSGVO, anwendbar sei.
Folgen der EuGH-Entscheidung für die Praxis
Die Entscheidung des EuGH betrifft zunächst „nur“ eine hessische Regelung zum Beschäftigtendatenschutz, die ausschließlich auf die Datenverarbeitung durch öffentliche Stellen Anwendung findet. Aufgrund des nahezu identischen Wortlauts der Vorschriften lassen sich die Ausführungen des Gerichtshofs aber auch auf § 26 Abs. 1 S.1 BDSG übertragen und stellen dessen Vereinbarkeit mit Art. 88 DSGVO erheblich in Frage.
Eine (mögliche) Unanwendbarkeit von § 26 Abs. 1 S. 1 BDSG wird allerdings nicht dazu führen, dass Datenverarbeitungen im Beschäftigungskontext beendet oder ausgesetzt werden müssen. Regelmäßig lassen sich diesbezüglich alternative Rechtsgrundlagen finden, die dann von den verantwortlichen Stellen zu prüfen sind. Zu nennen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Vertragserfüllung/Durchführung vorvertraglicher Maßnahmen) und Art. 6 Abs. 1 lit. f DSGVO (Verarbeitung zur Wahrung eines berechtigten Interesses), welche prinzipiell dem Regelungsgehalt des § 26 Abs. 1 S. 1 BDSG entsprechen. Im Ergebnis wird sich der Handlungsbedarf der verantwortlichen Stellen daher vor allem auf die Anpassung der Datenschutzinformationen und ggf. der Verfahrensverzeichnisse beschränken.
In jedem Fall wird die EuGH-Entscheidung die Forderungen nach einem eigenständigen Beschäftigtendatenschutzgesetz verstärken. Zuletzt hatte die Datenschutzkonferenz im April 2022 die Schaffung eines solchen Gesetzes gefordert (wir berichteten), um die Beschäftigten effektiv vor den gestiegenen Risiken bei der Datenverarbeitung zu schützen. Auch im Koalitionsvertrag der Bundesregierung wird die Schaffung von neuen Regelungen zum Beschäftigtendatenschutz angekündigt (vgl. S. 17).
Fazit
Der EuGH hat mit seiner Entscheidung deutlich gemacht, dass die sehr allgemein gehaltenen und interpretationsbedürftigen Vorschriften des deutschen Beschäftigtendatenschutzes nicht mit den Vorgaben des Art. 88 DSGVO vereinbar sind. Dies kann und sollte der deutsche Gesetzgeber nun zum Anlass nehmen, um den Bereich des Beschäftigtendatenschutzes umfassender zu regeln und spezifische Vorschriften für einzelne Verarbeitungssituationen im Beschäftigungskontext zu schaffen. Neben einer Erhöhung der Rechtssicherheit für die verantwortlichen Stellen, wäre hiermit auch ein effektiver Schutz der Beschäftigten verbunden, der aus datenschutzrechtlicher Sicht nur zu begrüßen ist.