EuGH: Anwendbarkeit des deutschen Beschäftigtendatenschutzrechts
Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 30.03.2023 mit der Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts befasst. Zur Entscheidung stand die Frage, ob eine Regelung aus dem Hessischen Datenschutzrecht gegen die DS-GVO verstößt.
Hintergrund des Urteils war § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG). Die Norm regelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. Diese Regelung entspricht fast inhaltsgleich § 26 Abs. 1 Satz 1 BDSG, der auf eine Erforderlichkeit für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses abstellt.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. hat sich mit diesem Urteil auseinandergesetzt und bewertet, ob und welche Änderungen sich im Bereich des Beschäftigtendatenschutzrechts ergeben:
“ Nach dem Urteil des EuGH muss eine nationale Regelung zum Beschäftigtendatenschutz als eine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DS-GVO einzustufen sein. Dazu muss diese die Vorgaben des Art. 88 Abs. 2 DS-GVO erfüllen. Sie muss auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere mit Blick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und die Überwachungssysteme am Arbeitsplatz. Nationale Vorschriften zum Beschäftigtendatenschutz dürfen sich nicht auf eine Wiederholung der Bestimmungen der DS-GVO beschränken.
Der EuGH weist darauf hin, dass es Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts ist, zu beurteilen, ob die in Rede stehende hessische Bestimmung die in Art. 88 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachtet. Nach Wertung des EuGH scheinen nationale Bestimmungen, die die Verarbeitung von Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in der DS-GVO aufgestellte Bedingungen für die allgemeine Rechtmäßigkeit nur zu wiederholen, und nicht im Sinne von Art. 88 Abs. 1 DS-GVO zu spezifizieren.
Nach diesen Vorgaben des EuGH verstößt wohl auch die Regelung des § 26 Abs. 1 Satz 1 BDSG, der lediglich die Zulässigkeit der Datenverarbeitung auf Grundlage eines Arbeitsvertrages regelt, gegen das Wiederholungsverbot und wäre damit nicht anwendbar. Sachverhalte aus den Prozessen des Recruting, des Personaleinsatzes und der Kontrolle müssten nach Art. 6 Abs. 1 lit. b bzw. lit f DS-GVO beurteilt werden. Die übrigen Inhalte des § 26 BDSG wie die Aufklärung von Straftaten oder die erweiterten Anforderungen an die Einwilligung im Beschäftigungsverhältnis sind aber nicht von der EuGH-Rechtsprechung betroffen.
Substanzielle Änderungen in Detailfragen des Beschäftigtendatenschutzes sind von dieser EuGH-Rechtsprechung wohl nicht zu erwarten. Jedoch ist nicht auszuschließen, dass Auslegungsfragen zur Erforderlichkeit der Datenverarbeitung, die bisher höchstrichterlich vom Bundearbeitsgericht entschieden worden sind, dem EuGH vorgelegt werden. Insoweit wird der EuGH auch im Beschäftigtendatenschutz zum gesetzlichen Richter i.S.v. Art. 101 Grundgesetz.
Es bleibt dem deutschen Gesetzgeber auf Bundes- und Länderebene überlassen, Detailfragen des Beschäftigtendatenschutzes zu regeln. Er muss sich jedoch an die Vorgaben des EuGH halten und die Erlaubnistatbestände und Betroffenenrechte spezifizieren. Der Handlungsdruck auf den deutschen Gesetzgeber ist durch die EuGH-Entscheidung jedenfalls gestiegen.
Nachtrag:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Auswirkungen des Urteils ebenfalls bewertet.
(Foto: metamorworks – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 93: Digitale Souveränität in menschlicher Hoheit
Die Digitale Souveränität Europas ist ein Gebot dieser Zeit. Die menschliche Hoheit in Zeiten zu behalten, in denen KI-Systeme uns das Denken abnehmen können, ist ein anderes. Die Menschen in Europa müssen nun beweisen, dass sie den Herausforderungen gewaschen sind. Die EU und ihre Mitgliedstaaten müssen einen regulatorischen Rahmen schaffen, der Menschenrechte und gute wirtschaftliche
Mehr erfahren -
Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als
Mehr erfahren -
Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den
Mehr erfahren
