Mit Urteil vom 30. März 2023 (C-34/21) hat der Europäische Gerichtshof (EuGH) im Ergebnis die zentrale Generalklausel des deutschen Beschäftigtendatenschutzes (§ 26 Abs. 1 BDSG bzw. inhaltsgleiche Bestimmungen in den Datenschutzgesetzen der Bundesländer) für europarechtswidrig und damit unanwendbar erklärt.
In ersten Reaktionen wird von einer Entscheidung mit erheblicher Sprengkraft für die Praxis gesprochen und Unternehmen werden aufgefordert, die Lösung nunmehr im Abschluss von Betriebs- oder Dienstvereinbarungen zur Herbeiführung einer datenschutzrechtlichen Ermächtigungsgrundlage für Datenverarbeitungen im Beschäftigungskontext zu suchen. Wie der nachstehende Beitrag zeigt, ist insbesondere Letzteres deutlich überschießend und für Unternehmen in der Regel weder erforderlich noch empfehlenswert. Die Datenschutz-Grundverordnung (DSGVO) ist auch auf Datenverarbeitungstätigkeiten im Beschäftigungsverhältnis unmittelbar anwendbar und enthält Ermächtigungsgrundlagen mit weitgehend gleichen Tatbestandsvoraussetzungen und Wertungen wie § 26 Abs. 1 BDSG, sodass vielfach kein unmittelbarer Handlungsdruck besteht.
I.
Sachverhalt und Vorlagefrage
Ausgangspunkt war ein Rechtsstreit über die Einführung eines – während der Corona-Pandemie vielfach einzig denkbaren – Livestream-Unterrichts durch Videokonferenzsysteme an Schulen in Hessen.
Während die Einwilligung der volljährigen Schüler bzw. der Eltern für ihre minderjährigen Kinder eingeholt wurde, verzichtete der Dienstherr bei den jeweiligen Lehrkräften hierauf, da er die erfolgende Datenverarbeitung durch § 23 Abs. 1 S. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) als gedeckt ansah. Danach dürfen – wie auch im insoweit inhaltsgleichen § 26 Abs. 1 S. 1 BDSG – personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies u.a. für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dies war mit Blick auf den Ausgangssachverhalt vor dem Hintergrund der hierzu bislang ergangenen Rechtsprechung ohne Weiteres zu bejahen, da anderenfalls eine Aufrechterhaltung des Schulbetriebs überhaupt nicht mehr hätte gewährleistet werden können. Der antragstellende Hauptpersonalrat beim Hessischen Kultusministerium machte zudem die Verletzung von Mitbestimmungsrechten durch die Einführung von Videokonferenzsystemen geltend.
Die erkennende Fachkammer für Personalvertretungssachen am VG Wiesbaden hielt die aus ihrer Sicht entscheidungserhebliche Vorschrift des hessischen Landesdatenschutzrechts (§ 23 Abs. 1 S. 1 HDSIG) für europarechtlich bedenklich. Hintergrund hierfür ist, dass die DSGVO grundsätzlich den nationalen Datenschutz verdrängt und Abweichungen nur dort zulässig sind, wo sog. Öffnungsklauseln bestehen. Im Beschäftigtendatenschutz besteht eine solche Klausel in Art. 88 Abs. 1 DSGVO, die es den Mitgliedstaaten ermöglicht, „spezifischere Vorschriften“ zu erlassen, sofern diese bestimmte Anforderungen gemäß Art. 88 Abs. 2 DSGVO erfüllen (Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person). Die Diskussion darüber, ob § 26 Abs. 1 S. 1 BDSG bzw. die entsprechenden landesrechtlichen Vorschriften „spezifischere Vorschriften“ im Sinne des Art. 88 Abs. 1 DSGVO darstellen, ist nicht neu. Allerdings entsprach es bisher ganz überwiegender Auffassung in Rechtsprechung und Schrifttum, dass die datenschutzrechtlichen Generalklauseln in Deutschland mit dem Europarecht vereinbar sind.
Das erkennende Gericht sah dies anders, setzte das Verfahren mit Beschluss vom 21. Dezember 2020 (VG Wiesbaden – 23 K 1360/20.WI.PV) aus und legte dem EuGH sinngemäß die Frage zur Vorabentscheidung vor, ob es sich bei § 23 Abs. 1 S. 1 HDSIG bzw. § 26 Abs. 1 S. 1 BDSG um Normen handele, die als eine spezifischere Vorschrift hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten nach Art. 88 Abs. 1 und Abs. 2 DSGVO anzusehen seien, da die in Art. 88 Abs. 2 DSGVO gestellten Anforderungen weder in der Norm selbst noch durch ergänzende Normvorgaben an anderer Stelle des jeweiligen Gesetzes erfüllt worden seien. Des Weiteren wollte das VG Wiesbaden wissen, ob eine Norm, die diesen Anforderungen nicht genüge, weiterhin anwendbar bleiben könne.
II.
Entscheidung des EuGH
Der EuGH kommt zu dem Ergebnis, dass § 23 Abs. 1 S. 1 HDSIG bzw. § 26 Abs. 1 S. 1 BDSG keine „spezifischeren Vorschriften“ i.S.v. Art. 88 DSGVO darstellen und daher unanwendbar sind.
Der EuGH arbeitet hierbei mit dem weiten europarechtlich geprägten Verständnis des Beschäftigtenbegriffs, sodass über den Wortlaut von Art. 88 Abs. 1 DSGVO hinaus („der Erfüllung des Arbeitsvertrags“) auch verbeamtete Lehrkräfte erfasst sind.
Die Generalklauseln im deutschen Beschäftigtendatenschutz sind nach Auffassung des EuGH gerade keine „spezifischeren Vorschriften“ im Sinne der DSGVO. Das wird im ersten Schritt damit begründet, dass die Verarbeitung personenbezogener Daten nach den deutschen Generalklauseln von denselben Voraussetzungen abhängig ist, die bereits in Art. 6 Abs. 1 DSGVO aufgestellt sind, ohne spezifischere Vorschriften hinzuzufügen.
Zudem ist von einer „spezifischeren Vorschrift“ nur dann auszugehen, wenn diese die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllt, also "besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]" umfasst. Auch hieran fehlt es jedenfalls bei den vom EuGH zu begutachtenden Regelungen in Absatz 1 Satz 1 der in Rede stehenden Generalklauseln.
Nicht von der Vorlagefrage umfasst und daher auch vom EuGH nicht entschieden wurde, ob die weiteren Regelungen in § 26 BDSG – etwa die Regelung in Absatz 1 Satz 2 zur Aufdeckung von Straftaten durch Beschäftigte – nicht ggf. doch spezifischere Vorschriften i.S.v. Art. 88 Abs. 1 DSGVO darstellen oder sich ggf. anderweitig europarechtlich rechtfertigen lassen.
Dieser Verstoß führt nach dem EuGH zur Unanwendbarkeit der nationalen Regelungen, weshalb sich die Verarbeitung personenbezogener Daten im Beschäftigungskontext sowohl im privaten als auch im öffentlichen Sektor unmittelbar nach den Bestimmungen der DSGVO (insbesondere Art. 6 Abs. 1 S. 1 lit. b und f DSGVO im privaten Sektor bzw. Art. 6 Abs. 1 S. 1 lit. c und e DSGVO im öffentlichen Sektor) richtet.
Für öffentliche Arbeitgeber ist zu beachten, dass selbst bei Versagung der Öffnungsklausel nach Art. 88 DSGVO eine Norm gleichwohl eine datenschutzrechtliche Ermächtigung im Sinne von Art. 6 Abs 1 S. 1 lit. c oder e DSGVO darstellen kann, wenn sie die in Art. 6 Abs. 3 DSGVO aufgestellten besonderen Anforderungen erfüllt. Dies wäre der Fall, wenn der Zweck der Datenverarbeitung in der Rechtsgrundlage festgelegt oder für die Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Das scheint zumindest für die weiteren Regelungsinhalte der landesrechtlichen Generalklauseln mit Bezug zu besonderen Tätigkeitsbereichen (etwa bei der Polizei nach § 18 Abs. 4 DSG NRW) durchaus denkbar.
Im Ergebnis hat der EuGH damit zumindest die Generalklauseln des Beschäftigtendatenschutzes in Deutschland für europarechtswidrig und unanwendbar erklärt sowie das bisherige dogmatische Verständnis mit seiner Entscheidung auf den Kopf gestellt. Dies lässt auch das Bundesarbeitsgericht in keinem glanzvollen Licht dastehen. Der 1. Senat ging noch im Jahr 2019 davon aus, dass die richtige Anwendung des Unionsrechts im Falle von § 26 Abs. 1 S. 1 BDSG „derart offenkundig“ sei, „dass für vernünftige Zweifel kein Raum bleibt“ (BAG, Beschluss vom 7. Mai 2019 – 1 ABR 53/17).
III.
Praxisfolgen aus der Unanwendbarkeit von § 26 Abs. 1 BDSG
Für die Praxis ändert sich trotz des hohen (medialen) Echos jedenfalls kurzfristig wenig:
Die Frage der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten im Beschäftigungskontext orientiert sich ab sofort nicht mehr an § 26 Abs. 1 S. 1 BDSG, sondern unmittelbar an den Bestimmungen und Wertungen der DSGVO (im privaten Sektor insbesondere Art. 6 Abs. 1 S. 1 lit. b und f DSGVO). Es ist davon auszugehen, dass die Rechtsprechung zu § 26 Abs. 1 S. 1 BDSG weitestgehend zu übertragen sein wird und sich deshalb jedenfalls im Ergebnis keine nennenswerten Änderungen ergeben. Zukünftig wird allerdings die von den deutschen Gerichten vorgenommene Auslegung (dann von Art. 6 DSGVO) wohl deutlich häufiger als bislang durch den EuGH anhand des Maßstabs einer europäischen Vollharmonisierung des Datenschutzrechts überprüft werden.
Unklarheiten bestehen aktuell hinsichtlich der Auswirkungen der EuGH-Entscheidung auf die künftige Anwendbarkeit der weiteren Absätze des § 26 BDSG bzw. der landesrechtlichen Parallelvorschriften. Da sich schwer prognostizieren lässt, ob und wann sich der EuGH hiermit auf entsprechende nationale Vorabentscheidungsersuchen hin auseinandersetzen wird, ist Unternehmen zu empfehlen, entsprechende Verarbeitungsvorgänge – soweit möglich – unmittelbar auf Rechtsgrundlagen in der DSGVO zu stützen.
Anpassungsbedarf formaler Natur besteht mit Blick auf die Benennung der Rechtsgrundlage für Datenverarbeitungsvorgänge, etwa in datenschutzrechtlichen Hinweisen an die Betroffenen gemäß Art. 12 ff. DSGVO (z.B. als Anlage zu Arbeitsverträgen), im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO und in Kollektivvereinbarungen, soweit diese ihrerseits auf Rechtsgrundlagen der Datenverarbeitung verweisen.
Entgegen häufig zu lesender Empfehlungen ist es aus den oben genannten Gründen weder ratsam noch zielführend, jetzt in Aktionismus zu verfallen und den Abschluss von Dienst- oder Betriebsvereinbarungen zur Herbeiführung einer datenschutzrechtlichen Ermächtigungsgrundlage (Art. 88 Abs. 1, 2 DSGVO i.V.m. § 26 Abs. 4 BDSG) anzustreben. Hierfür besteht in der Regel schon im Ausgangspunkt keine praktische Notwendigkeit, da Art. 6 Abs. 1 S. 1 lit. b und f DSGVO vielfach bereits als bestehende gesetzliche Ermächtigungsgrundlagen ausreichen werden. Zudem müsste eine Kollektivvereinbarung nicht nur „spezifischere Vorschriften“ gegenüber den Bestimmungen der DSGVO enthalten, sondern auch den weiteren tatbestandlichen Anforderungen des Art. 88 Abs. 2 DSGVO genügen, um ihrerseits eine wirksame datenschutzrechtliche Ermächtigung zu begründen. Hier bestehen in der Praxis – auch nach der Entscheidung des EuGH – weiterhin erhebliche Unklarheiten, was genau z.B. unter „geeigneten und besonderen Maßnahmen zur Wahrung der menschlichen Würde“ zu verstehen ist. Das Risiko, den Anforderungen des Art. 88 DSGVO nicht gerecht zu werden, bleibt jedenfalls unverändert hoch.
Soweit der deutsche Gesetzgeber nicht doch noch – etwa mit einem immer wieder diskutierten Beschäftigtendatenschutzgesetz – aktiv werden sollte, wird der Beschäftigtendatenschutz in Deutschland voraussichtlich sukzessive anhand europarechtlicher Maßstäbe vereinheitlicht. Das muss gerade für international agierende Unternehmen kein Nachteil sein.
IV.
Fazit
Der EuGH hat die deutschen Generalklauseln zum Beschäftigtendatenschutz für unanwendbar erklärt und hiermit (einmal mehr) gefestigte dogmatische Strukturen im nationalen Recht hinfällig gemacht.
Obgleich dies für viel Furore sorgt und schon die Vorlagefrage des VG Wiesbaden in der Sache erstaunt, weil Zweifel an der Entscheidungserheblichkeit bestehen dürften, sind die Auswirkungen für Unternehmen zunächst überschaubar. Der Ball liegt jetzt beim Gesetzgeber, konkret dem Bundesministerium für Arbeit und Soziales, das aktuell mit anderen Projekten für Schlagzeilen sorgt und entgegen der eigenen Ankündigung auch noch keine für die Praxis extrem relevanten Regelungen zur Arbeitszeiterfassung vorgelegt hat. Bis zu einem möglichen Erlass spezifischerer Vorschriften durch den deutschen Gesetzgeber sind Unternehmen gut beraten, die Verarbeitung personenbezogener Beschäftigtendaten auf die Bestimmungen und Grundsätze der nahezu wertungsgleichen DSGVO zu stützen und von weitergehenden Versuchen kollektivrechtlicher Natur zur vermeintlichen Absicherung von Verarbeitungsvorgängen Abstand zu nehmen.
Bei Fragen zu diesem Themenkomplex oder konkretem Anpassungsbedarf an bestehenden Regelungen sprechen Sie uns gerne an.
