EuGH: Anwendbarkeit des deutschen Beschäftigtendatenschutzrechts

Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 30.03.2023 mit der Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts befasst. Zur Entscheidung stand die Frage, ob eine Regelung aus dem Hessischen Datenschutzrecht gegen die DS-GVO verstößt.

Hintergrund des Urteils war § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG). Die Norm regelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. Diese Regelung entspricht fast inhaltsgleich § 26 Abs. 1 Satz 1 BDSG, der auf eine Erforderlichkeit für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses abstellt.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. hat sich mit diesem Urteil auseinandergesetzt und bewertet, ob und welche Änderungen sich im Bereich des Beschäftigtendatenschutzrechts ergeben:

“ Nach dem Urteil des EuGH muss eine nationale Regelung zum Beschäftigtendatenschutz als eine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DS-GVO einzustufen sein. Dazu muss diese die Vorgaben des Art. 88 Abs. 2 DS-GVO erfüllen. Sie muss auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere mit Blick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und die Überwachungssysteme am Arbeitsplatz. Nationale Vorschriften zum Beschäftigtendatenschutz dürfen sich nicht auf eine Wiederholung der Bestimmungen der DS-GVO beschränken.

Der EuGH weist darauf hin, dass es Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts ist, zu beurteilen, ob die in Rede stehende hessische Bestimmung die in Art. 88 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachtet. Nach Wertung des EuGH scheinen nationale Bestimmungen, die die Verarbeitung von Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in der DS-GVO aufgestellte Bedingungen für die allgemeine Rechtmäßigkeit nur zu wiederholen, und nicht im Sinne von Art. 88 Abs. 1 DS-GVO zu spezifizieren.

Nach diesen Vorgaben des EuGH verstößt wohl auch die Regelung des § 26 Abs. 1 Satz 1 BDSG, der lediglich die Zulässigkeit der Datenverarbeitung auf Grundlage eines Arbeitsvertrages regelt, gegen das Wiederholungsverbot und wäre damit nicht anwendbar. Sachverhalte aus den Prozessen des Recruting, des Personaleinsatzes und der Kontrolle müssten nach Art. 6 Abs. 1 lit. b bzw. lit f DS-GVO beurteilt werden. Die übrigen Inhalte des § 26 BDSG wie die Aufklärung von Straftaten oder die erweiterten Anforderungen an die Einwilligung im Beschäftigungsverhältnis sind aber nicht von der EuGH-Rechtsprechung betroffen.

Substanzielle Änderungen in Detailfragen des Beschäftigtendatenschutzes sind von dieser EuGH-Rechtsprechung wohl nicht zu erwarten. Jedoch ist nicht auszuschließen, dass Auslegungsfragen zur Erforderlichkeit der Datenverarbeitung, die bisher höchstrichterlich vom Bundearbeitsgericht entschieden worden sind, dem EuGH vorgelegt werden. Insoweit wird der EuGH auch im Beschäftigtendatenschutz zum gesetzlichen Richter i.S.v. Art. 101 Grundgesetz.

Es bleibt dem deutschen Gesetzgeber auf Bundes- und Länderebene überlassen, Detailfragen des Beschäftigtendatenschutzes zu regeln. Er muss sich jedoch an die Vorgaben des EuGH halten und die Erlaubnistatbestände und Betroffenenrechte spezifizieren. Der Handlungsdruck auf den deutschen Gesetzgeber ist durch die EuGH-Entscheidung jedenfalls gestiegen.

Nachtrag:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Auswirkungen des Urteils ebenfalls bewertet.

(Foto: metamorworks – stock.adobe.com)