Der Beschäftigtendatenschutz spielt in fast jedem Unternehmen eine Rolle – oder sollte es zumindest. Relevant sind dabei vor allem praktische Probleme: Wie lange und wo sind AU-Bescheinigungen aufzubewahren? Dürfen Arbeitnehmer per Video überwacht werden? Können Arbeitnehmer zur Nutzung der Corona-Warn-App gezwungen werden? Und immer so weiter…. Damit ist der Beschäftigtendatenschutz auch tägliches Brot des Datenschutzbeauftragten.
Grundlage sind dabei selbstverständlich die geltenden Gesetze. Auch wenn ab und an mal der Gedanke da ist, ob ein bestimmtes Gesetz genau in dieser Form sinnvoll ist. Man muss mit dem arbeiten bzw. das anwenden, was da ist. Im Beschäftigtendatenschutz ist das neben den Grundsätzen der DSGVO vor allem der § 26 BDSG.
Das Verwaltungsgericht Wiesbaden gibt sich mit den geltenden Gesetzen anscheinend nicht ganz so schnell zufrieden. Die 23. Fachkammer für Personalvertretungssachen hat Ende Dezember 2020 ein Verfahren ausgesetzt, um dem EuGH zwei Fragen zur Vorabentscheidung vorzulegen (Beschl. v. 21.12.20 Az: 23 K 1360/20 WI). Diese betrafen landesrechtliche Vorschriften zum Beschäftigtendatenschutz, an deren Rechtmäßigkeit das VG Zweifel hat.
Worum ging es?
Konkret ging es um die Frage, ob der Einsatz von Videokonferenzsystemen für den Distanzunterricht nur dann möglich ist, wenn die LehrerInnen dazu ihre Einwilligung abgeben. Die Einwilligung der SchülerInnen bzw. deren Eltern wird bereits eingeholt. Die Datenverarbeitung der Lehrerdaten wurde jedoch auf § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) gestützt, der in großen Teilen gleichlautend zu § 26 Abs. 1 BDSG ist. Sehr grob zusammengefasst, erlauben die beiden Normen die Verarbeitung von Beschäftigtendaten, wenn dies für die Zwecke des Beschäftigungsverhältnisses erforderlich ist. Das Gericht hat sich vorerst nicht weiter damit beschäftigt, ob diese Erforderlichkeit bei der Nutzung von Videokonferenzsystemen vorliegt (und damit ohne Einwilligung möglich ist), sondern die Frage aufgeworfen, ob § 23 Abs. 1 HDSIG selbst denn überhaupt zulässig ist.
Warum überhaupt Sonderregeln für den Beschäftigtendatenschutz?
Eigentlich gilt die DSGVO für den Bereich Datenschutz in allen Mitgliedstaaten der EU unmittelbar, sodass der Datenschutz in allen Mitgliedstaaten grundsätzlich gleich ist. In einigen Bereichen enthält die DSGVO jedoch Öffnungsklauseln, die es den Mitgliedstaaten erlauben, für bestimmte Bereiche eigene Gesetze und Vorschriften zu erlassen. Dazu gehört Art. 88 Abs. 1 DSGVO, der dies für den Bereich der Beschäftigtendaten erlaubt. In Art. 88 Abs. 2 DSGVO ist geregelt, dass die nationalen Vorschriften dafür „Maßnahmen zur Wahrung menschlicher Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ treffen müssen, insbesondere für die Bereiche Transparenz der Verarbeitung, Datenübermittlung im Konzern und Überwachung am Arbeitsplatz.
Korrekte Umsetzung der Öffnungsklausel in Deutschland?
Dass die deutschen Vorschriften, im konkreten Fall insbesondere § 23 Abs. 1 HDSIG, die Voraussetzungen, die Art. 88 DSGVO an die Nutzung der Öffnungsklausel stellt, erfüllt, wird vom VG Wiesbaden bezweifelt. Das VG wendet sich damit explizit von der Rechtsprechung des BAG ab, das im Mai 2019 die Konformität von § 26 BDSG – der ja fast wortgleich ist – als „derart offenkundig, dass für vernünftige Zweifel kein Raum bleibt“ (BAG, Beschluss vom 07. Mai 2019, 1 ABR 53/17 Rn. 48) bezeichnet hat. Das BAG hatte 2019 also darauf verzichtet, den EuGH dazu zu befragen.
Das VG Wiesbaden hat dem EuGH jedoch nun zwei Fragen vorgelegt.
Die erste Vorlagefrage lautet:
Ist Art. 88 Abs. 1 DSGVO so auszulegen, dass eine nationale Vorschrift nur dann als Umsetzung der Öffnungsklausel anzusehen ist, wenn auch die Anforderungen des Art. 88 Abs. 2 DSGVO erfüllt werden?
Die zweite Vorlagefrage lautet:
Ist eine nationale Norm, die die Anforderungen von Art. 88 Abs. 2 DSGVO nicht erfüllt, trotzdem anwendbar?
Im Klartext möchte das VG also wissen, ob eine nationale Vorschrift, die als Umsetzung der Öffnungsklausel gedacht ist, auch dann anwendbar ist, wenn die Voraussetzungen des Art. 88 Abs. 2 DSGVO nicht erfüllt werden.
Betrachtet man hier ausschließlich die beiden Vorlagefragen, ist eigentlich nicht denkbar, dass der EuGH etwas anderes sagt, als dass eine Vorschrift nur dann anwendbar ist, wenn sie die gesamten Voraussetzungen des Art. 88 DSGVO erfüllt. Insofern erscheinen die Fragen des VG Wiesbaden als nicht plausibel. Da der EuGH auch immer den konkreten Fall betrachtet und dahingehend Fragen auch schon mal etwas weitergehend interpretiert, ist es denkbar, dass er auch konkreten Bezug auf § 23 Abs. 1 HDSIG nimmt.
Auswirkungen auch außerhalb von Hessen?
Und hier wird es eigentlich erst so richtig interessant: Äußert sich der EuGH zur Zulässigkeit von § 23 Abs. 1 HDSIG, müssten diese Äußerungen auch auf § 26 Abs. 1 BDSG übertragen werden, da die beiden Normen ähnlich formuliert sind. Hier besteht durchaus die Möglichkeit, dass der EuGH die Vorschrift als unzureichend einstuft. Sollte es so weit kommen und § 26 Abs. 1 BDSG unanwendbar werden, müssten alle Verantwortlichen ihre Verarbeitung von Beschäftigtendaten überprüfen. Wäre für Beschäftigtendaten ausschließlich die DSGVO anwendbar müssten viele Prozesse einer erneuten datenschutzrechtlichen Bewertung unterzogen werden.
Da die Prozesse vor dem EuGH mehrere Jahre dauern können, ist allerdings nicht allzu schnell mit einem Ergebnis zu rechnen. Vorerst kann also alles beim Alten bleiben. Widmen wir uns also lieber den praktischen Fragen des Beschäftigtendatenschutzes.
Kurioses zum Schluss
In Art. 88 DSGVO gibt es auch noch einen dritten Absatz. Dieser verpflichtet alle Mitgliedstaaten die Vorschriften, die sie gemäß Art. 88 Abs. 1 DSGVO erlassen, an die EU-Kommission zu melden. Das VG Wiesbaden führt aus, dass ihm nicht bekannt sei, ob das Land Hessen dieser Pflicht nachgekommen sei und § 23 HDSIG an die Kommission gemeldet habe. Diese Aussage muss erstaunen. Die sehr lange Übersicht, welches Bundes- und Landesgesetze im so genannten Notifizierungsverfahren in Bezug auf die DSGVO an die Kommission gemeldet wurden, finden sich sowohl in Bundestag-Drucksache 19/5155 (und damit in einem hoch offiziellen öffentlichen Dokument) als auch auf der Webseite der EU-Kommission (). In dieser ausführlichen Übersicht finden sich auch die in Frage stehenden hessischen Gesetze. Die Aussage des VG Wiesbaden deutet darauf hin, dass die zuständigen Richter sich – zumindest in Bezug auf die Notifizierung – nicht wirklich mit dem Thema auseinandergesetzt haben.
Thommy Santiago
25. Februar 2021 @ 17:07
Hallo Ines,
super interessanter Beitrag. Ich bin gerade bei der Recherche zur Betriebsratswahl für nächstes Jahr und da bin ich auch auf euren Blog gestoßen. Die Infos haben zwar nicht direkt etwas damit etwas zu tun, helfen mir aber trotzdem weiter. Ich habe dazu auch einen sehr interessanten Artikel bei brwahl gelesen: https://www.brwahl.de/betriebsrat-gruenden/wie-waehlen-wir-einen-betriebsrat/schutz-der-betriebsratswahl
Wird es dazu hier auch bald einen Artikel geben?
Ich freue mich auf den Austausch.
LG
Thommy