open search
close
Compliance Datenschutz Neueste Beiträge

Beschäftigtendatenschutz – Alles auf Anfang?

Print Friendly, PDF & Email

Die einzige deutsche gesetzliche Regelung zum Beschäftigtendatenschutz war bisher § 26 BDSG. Das Bundesarbeitsgericht bescheinigte dieser Vorschrift eindeutige Europarechtskonformität. In der Wissenschaft wurde der § 26 BDSG seit Inkrafttreten als unzureichend kritisiert. Zu ungenau und unpraktikabel sei er, ein „echtes“ Beschäftigtendatenschutzgesetz werde gebraucht, erst recht im Zeitalter der KI. Nun setzt der Europäische Gerichtshof dem Ganzen die Krone auf mit seinem Urteil vom 30.03.2023 Az. C-34/21: Nicht einmal der § 26 BDSG eignet sich offenbar als Ermächtigungsgrundlage für Arbeitgeber für Datenverarbeitungsvorgänge im Arbeitsverhältnis.

Hintergrund der Entscheidung

Hintergrund der Entscheidung ist ein Fall aus Hessen. Dort wurde im Zuge der Corona-Pandemie in Schulen ein Livestream-Unterricht durch Videokonferenzsysteme eingeführt. Die Eltern der Kinder bzw. die volljährigen Schüler mussten für diese Datenverarbeitung ihre Einwilligung erteilen. Die Lehrerinnen und Lehrer wurden dagegen nicht gefragt. Grund dafür war § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes (HDSIG), der dem § 26 Abs. 1 S. 1 BDSG wortgleich entspricht. Nach den Regelungen dürfen personenbezogene Daten von Beschäftigten z.B. dann verarbeitet werden, wenn dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlichist. Einer Einwilligung bedarf es dann also nicht. Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte wegen des Streaming-Unterrichts geklagt und gerügt, dass das Lehrpersonal nicht nach einer Einwilligung gefragt wurde. Das Land Hessen vertrat die Ansicht, dass der Livestream-Unterricht von den nationalen Datenschutzregelungen gedeckt sei. Das mit dem Fall beschäftigte Verwaltungsgericht (VG) Wiesbaden hatte Zweifel, ob die deutschen Regelungen als „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO anzusehen sind, und legte die Sache dem EuGH vor. Diese Frage hat die Rechtswissenschaft bereits nachhaltig beschäftigt und die Frage, welche Voraussetzung eine Regelung (Gesetz oder auch eine Kollektivvereinbarung wie z.B. Betriebsvereinbarungen oder Tarifverträge) erfüllen muss, um als „spezifischer“ zu gelten, blieb bisher von der Rechtsprechung unbeantwortet.

Die Entscheidung des EuGH

Der EuGH ist der Ansicht, dass eine „spezifischere Norm“ i.S.d. Art. 88 DSGVO nicht bloß die Bestimmungen der DSGVO wiederholen dürfe. Von einer „spezifischeren Norm“ sei stattdessen nur dann auszugehen, wenn diese die Vorgaben des Absatzes 2 erfüllt, also „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]“ umfasst“. Nationale Bestimmungen, die die Datenverarbeitung davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, „scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen“, so der EuGH. Damit hat das vorlegende Verwaltungsgericht gewissermaßen Recht bekommen. Es hatte sich bereits gegen das Bundesarbeitsgericht gestellt und war der Auffassung, dass der § 23 HDSIG und damit auch § 26 BDSG europarechtswidrig seien, da die Normen jeden Bezug zu Art. 88 DSGVO vermissen ließen und es sich daher nicht um spezifischere Vorschriften i.S.d. Art. 88 DSGVO handeln könne.

Konsequenzen der Entscheidung – datenschutzrechtliche Complianceprüfung angebracht?

Zunächst ist das Urteil eine Ohrfeige für das Bundesarbeitsgericht, das der Ansicht war, mit § 26 BDSG sei die richtige Anwendung des Unionsrechts „derart offenkundig, dass für vernünftige Zweifel kein Raum bleibt (acte clair)“(Beschl. v. 07.05.2019, Az. 1 ABR 53/17). Das genaue Gegenteil ist der Fall. Wichtigste Konsequenz ist – wie auch bei der EuGH-Entscheidung zur Arbeitszeiterfassung –, dass es einen klaren Regelungsauftrag an den Gesetzgeber gibt. Will er eine nationale Ermächtigungsgrundlage für Datenverarbeitungen im Beschäftigungsverhältnis schaffen, die spezifischer ist als die der DSGVO, muss er jetzt tätig werden. Wie weit er bei dem Thema Arbeitszeiterfassung bislang gekommen ist, ist bekannt. Insofern wird auch zur Neuregelung des Beschäftigtendatenschutzes zunächst keine Hilfe vom Gesetzgeber zu erwarten sein.

Dennoch ist Panik unangebracht. Denn der ebenfalls unmittelbar geltende Art. 6 Abs. 1 DSGVO ist in vielen Fällen ausreichende Rechtsgrundlage, wenn die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist oder im berechtigten Interesse des Arbeitgebers liegt. Die Erforderlichkeit musste auch bei § 26 BDSG vorliegen, wenngleich der § 26 BDSG mehr Spielraum lies. Auch der Art. 6 Abs. 1 DSGVO ist jedoch der Auslegung zugänglich. Was Unternehmen jedoch generell tun sollten wird jetzt noch wichtiger: Die datenschutzrechtliche Complianceprüfung. Die Datenverarbeitungsvorgänge sollten nun direkt an Art. 6 DSGVO gemessen werden. Sind Kollektivvereinbarungen Ermächtigungsgrundlage, sollten diese anhand der Vorgaben des EuGH überprüft werden.

Findet sich bei einem System keine Ermächtigungsgrundlage, so kann sie geschaffen werden. Neben der kaum handhabbaren individuellen Einwilligung dürften Kollektivvereinbarungen nun kurzfristig der bessere Weg werden. Bestehende Betriebsvereinbarungen können nachgeschärft werden. Sollte ein Neuabschluss erforderlich sein, kommt es auf den Mut und den Willen der Betriebsparteien an. Ist nur eine „Schmalspurlösung“ möglich bis klarer wird, was der Gesetzgeber nun plant oder kann die Regelungsoption des Art. 88 DSGVO ausführlich genutzt werden, vielleicht sogar mit einer gänzlich neuen IT-Rahmenvereinbarung? Eine Überlegung ist es wert, zumal die Sorge, dass aufgrund der Entscheidung die Datenschutzbehörden nun sofort aktiv werden, aufgrund der insgesamt unklaren Rechtslage unbegründet sein dürfte. Wenn jedoch eine Prüfung erfolgt, ist es immer besser, eine Vereinbarung vorlegen zu können, als gar nichts zu haben.

Dr. Nicole Enke

Rechts­an­wäl­tin
Fach­an­wäl­tin für Arbeitsrecht
Principal Counsel
Nicole Enke berät Unternehmen aus dem Mittelstand und Großkonzerne vor allem in komplexen kollektivrechtlichen Fragestellungen. Sie hat besondere Expertise in der Begleitung von IT-Einigungsstellen und der Vertretung vor Gerichten, berät jedoch auch laufend bei Restrukturierungsprojekten und individualrechtlichen Mandaten. Sie ist aktiv in der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Schadensersatz nach der DSGVO für Bagatellen?

Der Schadensersatzanspruch nach Art. 82 DSGVO setzt keine Erheblichkeit des Schadens voraus. Dies hat der EuGH am 4.5.2023 (Az: C-300/21) entschieden. Wenngleich die Entscheidung in der juristischen Argumentation nachvollziehbar ist, hat der EuGH doch die Gelegenheit verpasst, den Ersatz von Bagatellschäden auszuschließen. Jedoch hat das Gericht die Kriterien für die Schadensbemessung in die Hände der nationalen Gerichte gelegt. Das gibt Anlass zur Hoffnung, dass ausufernden…
Datenschutz Mitarbeiterkontrolle Neueste Beiträge

Richtungswechsel beim Tracking von Beschäftigten?

Das Urteil des Verwaltungsgerichts Hannover vom 9.2.2023 (10 A 6199/20) zur Datenschutzkonformität der minutengenauen Erfassung von Leistungsdaten der Arbeitnehmer durch Amazon hat ein breites Echo erfahren. Die Entscheidung ist aus datenschutzrechtlicher Sicht tatsächlich eher überraschend, ist jedoch auch nur aus dem Kontext heraus zu verstehen. Für eine Verallgemeinerung ist sie nicht geeignet. Trotzdem zeigt die Entscheidung, wie Überwachungsmaßnahmen rechtmäßig ausgestaltet werden können und wie elementar…
Digitalisierung in Unternehmen Neueste Beiträge

Regulierung von ChatGPT und Co? – Aktueller Stand zur KI-Verordnung

In den vergangenen Wochen und Monaten wurde viel über ChatGPT gesprochen und wie diese und andere KI-Anwendungen die Arbeitswelt und unsere Gesellschaft verändern werden. Die zuletzt durch künstliche Intelligenz geschaffenen Bilder von Donald Trump bei dessen Verhaftung zeigen, was künstliche Intelligenz aktuell schon schaffen kann. Auch wenn das Europäische Parlament und der Rat die Verordnung zur KI noch nicht verabschiedet haben, haben sie sich früh…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.