open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Compliance Datenschutz Neueste Beiträge

    Beschäftigtendatenschutz – Alles auf Anfang?

    Print Friendly, PDF & Email

    Die einzige deutsche gesetzliche Regelung zum Beschäftigtendatenschutz war bisher § 26 BDSG. Das Bundesarbeitsgericht bescheinigte dieser Vorschrift eindeutige Europarechtskonformität. In der Wissenschaft wurde der § 26 BDSG seit Inkrafttreten als unzureichend kritisiert. Zu ungenau und unpraktikabel sei er, ein „echtes“ Beschäftigtendatenschutzgesetz werde gebraucht, erst recht im Zeitalter der KI. Nun setzt der Europäische Gerichtshof dem Ganzen die Krone auf mit seinem Urteil vom 30.03.2023 Az. C-34/21: Nicht einmal der § 26 BDSG eignet sich offenbar als Ermächtigungsgrundlage für Arbeitgeber für Datenverarbeitungsvorgänge im Arbeitsverhältnis.

    Hintergrund der Entscheidung

    Hintergrund der Entscheidung ist ein Fall aus Hessen. Dort wurde im Zuge der Corona-Pandemie in Schulen ein Livestream-Unterricht durch Videokonferenzsysteme eingeführt. Die Eltern der Kinder bzw. die volljährigen Schüler mussten für diese Datenverarbeitung ihre Einwilligung erteilen. Die Lehrerinnen und Lehrer wurden dagegen nicht gefragt. Grund dafür war § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes (HDSIG), der dem § 26 Abs. 1 S. 1 BDSG wortgleich entspricht. Nach den Regelungen dürfen personenbezogene Daten von Beschäftigten z.B. dann verarbeitet werden, wenn dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlichist. Einer Einwilligung bedarf es dann also nicht. Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte wegen des Streaming-Unterrichts geklagt und gerügt, dass das Lehrpersonal nicht nach einer Einwilligung gefragt wurde. Das Land Hessen vertrat die Ansicht, dass der Livestream-Unterricht von den nationalen Datenschutzregelungen gedeckt sei. Das mit dem Fall beschäftigte Verwaltungsgericht (VG) Wiesbaden hatte Zweifel, ob die deutschen Regelungen als „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO anzusehen sind, und legte die Sache dem EuGH vor. Diese Frage hat die Rechtswissenschaft bereits nachhaltig beschäftigt und die Frage, welche Voraussetzung eine Regelung (Gesetz oder auch eine Kollektivvereinbarung wie z.B. Betriebsvereinbarungen oder Tarifverträge) erfüllen muss, um als „spezifischer“ zu gelten, blieb bisher von der Rechtsprechung unbeantwortet.

    Die Entscheidung des EuGH

    Der EuGH ist der Ansicht, dass eine „spezifischere Norm“ i.S.d. Art. 88 DSGVO nicht bloß die Bestimmungen der DSGVO wiederholen dürfe. Von einer „spezifischeren Norm“ sei stattdessen nur dann auszugehen, wenn diese die Vorgaben des Absatzes 2 erfüllt, also „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]“ umfasst“. Nationale Bestimmungen, die die Datenverarbeitung davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, „scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen“, so der EuGH. Damit hat das vorlegende Verwaltungsgericht gewissermaßen Recht bekommen. Es hatte sich bereits gegen das Bundesarbeitsgericht gestellt und war der Auffassung, dass der § 23 HDSIG und damit auch § 26 BDSG europarechtswidrig seien, da die Normen jeden Bezug zu Art. 88 DSGVO vermissen ließen und es sich daher nicht um spezifischere Vorschriften i.S.d. Art. 88 DSGVO handeln könne.

    Konsequenzen der Entscheidung – datenschutzrechtliche Complianceprüfung angebracht?

    Zunächst ist das Urteil eine Ohrfeige für das Bundesarbeitsgericht, das der Ansicht war, mit § 26 BDSG sei die richtige Anwendung des Unionsrechts „derart offenkundig, dass für vernünftige Zweifel kein Raum bleibt (acte clair)“(Beschl. v. 07.05.2019, Az. 1 ABR 53/17). Das genaue Gegenteil ist der Fall. Wichtigste Konsequenz ist – wie auch bei der EuGH-Entscheidung zur Arbeitszeiterfassung –, dass es einen klaren Regelungsauftrag an den Gesetzgeber gibt. Will er eine nationale Ermächtigungsgrundlage für Datenverarbeitungen im Beschäftigungsverhältnis schaffen, die spezifischer ist als die der DSGVO, muss er jetzt tätig werden. Wie weit er bei dem Thema Arbeitszeiterfassung bislang gekommen ist, ist bekannt. Insofern wird auch zur Neuregelung des Beschäftigtendatenschutzes zunächst keine Hilfe vom Gesetzgeber zu erwarten sein.

    Dennoch ist Panik unangebracht. Denn der ebenfalls unmittelbar geltende Art. 6 Abs. 1 DSGVO ist in vielen Fällen ausreichende Rechtsgrundlage, wenn die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist oder im berechtigten Interesse des Arbeitgebers liegt. Die Erforderlichkeit musste auch bei § 26 BDSG vorliegen, wenngleich der § 26 BDSG mehr Spielraum lies. Auch der Art. 6 Abs. 1 DSGVO ist jedoch der Auslegung zugänglich. Was Unternehmen jedoch generell tun sollten wird jetzt noch wichtiger: Die datenschutzrechtliche Complianceprüfung. Die Datenverarbeitungsvorgänge sollten nun direkt an Art. 6 DSGVO gemessen werden. Sind Kollektivvereinbarungen Ermächtigungsgrundlage, sollten diese anhand der Vorgaben des EuGH überprüft werden.

    Findet sich bei einem System keine Ermächtigungsgrundlage, so kann sie geschaffen werden. Neben der kaum handhabbaren individuellen Einwilligung dürften Kollektivvereinbarungen nun kurzfristig der bessere Weg werden. Bestehende Betriebsvereinbarungen können nachgeschärft werden. Sollte ein Neuabschluss erforderlich sein, kommt es auf den Mut und den Willen der Betriebsparteien an. Ist nur eine „Schmalspurlösung“ möglich bis klarer wird, was der Gesetzgeber nun plant oder kann die Regelungsoption des Art. 88 DSGVO ausführlich genutzt werden, vielleicht sogar mit einer gänzlich neuen IT-Rahmenvereinbarung? Eine Überlegung ist es wert, zumal die Sorge, dass aufgrund der Entscheidung die Datenschutzbehörden nun sofort aktiv werden, aufgrund der insgesamt unklaren Rechtslage unbegründet sein dürfte. Wenn jedoch eine Prüfung erfolgt, ist es immer besser, eine Vereinbarung vorlegen zu können, als gar nichts zu haben.

    KLIEMT.Arbeitsrecht



    Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
    Verwandte Beiträge
    Datenschutz Individualarbeitsrecht Neueste Beiträge

    „Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

    Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
    Datenschutz Kollektivarbeitsrecht Neueste Beiträge

    Beschäftigtendatenschutz: Kein Mitbestimmungsrecht des Betriebsrats bei Löschkonzepten

    Beschließt der Arbeitgeber, personenbezogene Daten der Beschäftigten zu verarbeiten, muss er sich rechtzeitig mit der Ausgestaltung der datenschutzrechtlichen Löschungspflicht beschäftigen. Sofern in einer Betriebsvereinbarung Abläufe geregelt sind, bei denen personenbezogene Daten verarbeitet werden, was insbesondere bei IT-Betriebsvereinbarungen der Fall ist, stellt sich immer die Frage: Hat der Betriebsrat auch ein Mitbestimmungsrecht hinsichtlich des Löschkonzepts? Keine IT-Vereinbarung im Sinne des § 87 Abs. 1 Nr. 6…
    Individualarbeitsrecht Neueste Beiträge Prozessrecht

    Offene Videoüberwachung: kein Verwertungsverbot trotz Missachtung von Datenschutzrecht

    Das Bundesarbeitsgericht hat entschieden, dass Aufzeichnungen aus einer offenen Videoüberwachung, die vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen sollen, im Kündigungsschutzverfahren keinem Verwertungsverbot unterliegen, selbst wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den datenschutzrechtlichen Vorgaben steht (Urteil vom 29. Juni 2023, Az. 2 AZR 296/22,  Pressemitteilung) Die Videoüberwachung dient der Prävention von Gefahren sowie der Aufklärung von Taten und Verdachtsmomenten. Findet sie durch…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.