EuGH: Anwendbarkeit des deutschen Beschäftigtendatenschutzrechts
Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 30.03.2023 mit der Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts befasst. Zur Entscheidung stand die Frage, ob eine Regelung aus dem Hessischen Datenschutzrecht gegen die DS-GVO verstößt.
Hintergrund des Urteils war § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG). Die Norm regelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. Diese Regelung entspricht fast inhaltsgleich § 26 Abs. 1 Satz 1 BDSG, der auf eine Erforderlichkeit für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses abstellt.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. hat sich mit diesem Urteil auseinandergesetzt und bewertet, ob und welche Änderungen sich im Bereich des Beschäftigtendatenschutzrechts ergeben:
“ Nach dem Urteil des EuGH muss eine nationale Regelung zum Beschäftigtendatenschutz als eine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DS-GVO einzustufen sein. Dazu muss diese die Vorgaben des Art. 88 Abs. 2 DS-GVO erfüllen. Sie muss auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere mit Blick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und die Überwachungssysteme am Arbeitsplatz. Nationale Vorschriften zum Beschäftigtendatenschutz dürfen sich nicht auf eine Wiederholung der Bestimmungen der DS-GVO beschränken.
Der EuGH weist darauf hin, dass es Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts ist, zu beurteilen, ob die in Rede stehende hessische Bestimmung die in Art. 88 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachtet. Nach Wertung des EuGH scheinen nationale Bestimmungen, die die Verarbeitung von Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in der DS-GVO aufgestellte Bedingungen für die allgemeine Rechtmäßigkeit nur zu wiederholen, und nicht im Sinne von Art. 88 Abs. 1 DS-GVO zu spezifizieren.
Nach diesen Vorgaben des EuGH verstößt wohl auch die Regelung des § 26 Abs. 1 Satz 1 BDSG, der lediglich die Zulässigkeit der Datenverarbeitung auf Grundlage eines Arbeitsvertrages regelt, gegen das Wiederholungsverbot und wäre damit nicht anwendbar. Sachverhalte aus den Prozessen des Recruting, des Personaleinsatzes und der Kontrolle müssten nach Art. 6 Abs. 1 lit. b bzw. lit f DS-GVO beurteilt werden. Die übrigen Inhalte des § 26 BDSG wie die Aufklärung von Straftaten oder die erweiterten Anforderungen an die Einwilligung im Beschäftigungsverhältnis sind aber nicht von der EuGH-Rechtsprechung betroffen.
Substanzielle Änderungen in Detailfragen des Beschäftigtendatenschutzes sind von dieser EuGH-Rechtsprechung wohl nicht zu erwarten. Jedoch ist nicht auszuschließen, dass Auslegungsfragen zur Erforderlichkeit der Datenverarbeitung, die bisher höchstrichterlich vom Bundearbeitsgericht entschieden worden sind, dem EuGH vorgelegt werden. Insoweit wird der EuGH auch im Beschäftigtendatenschutz zum gesetzlichen Richter i.S.v. Art. 101 Grundgesetz.
Es bleibt dem deutschen Gesetzgeber auf Bundes- und Länderebene überlassen, Detailfragen des Beschäftigtendatenschutzes zu regeln. Er muss sich jedoch an die Vorgaben des EuGH halten und die Erlaubnistatbestände und Betroffenenrechte spezifizieren. Der Handlungsdruck auf den deutschen Gesetzgeber ist durch die EuGH-Entscheidung jedenfalls gestiegen.
Nachtrag:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Auswirkungen des Urteils ebenfalls bewertet.
(Foto: metamorworks – stock.adobe.com)
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
