open search
close
Compliance Datenschutz Neueste Beiträge

Beschäftigtendatenschutz – Alles auf Anfang?

Print Friendly, PDF & Email

Die einzige deutsche gesetzliche Regelung zum Beschäftigtendatenschutz war bisher § 26 BDSG. Das Bundesarbeitsgericht bescheinigte dieser Vorschrift eindeutige Europarechtskonformität. In der Wissenschaft wurde der § 26 BDSG seit Inkrafttreten als unzureichend kritisiert. Zu ungenau und unpraktikabel sei er, ein „echtes“ Beschäftigtendatenschutzgesetz werde gebraucht, erst recht im Zeitalter der KI. Nun setzt der Europäische Gerichtshof dem Ganzen die Krone auf mit seinem Urteil vom 30.03.2023 Az. C-34/21: Nicht einmal der § 26 BDSG eignet sich offenbar als Ermächtigungsgrundlage für Arbeitgeber für Datenverarbeitungsvorgänge im Arbeitsverhältnis.

Hintergrund der Entscheidung

Hintergrund der Entscheidung ist ein Fall aus Hessen. Dort wurde im Zuge der Corona-Pandemie in Schulen ein Livestream-Unterricht durch Videokonferenzsysteme eingeführt. Die Eltern der Kinder bzw. die volljährigen Schüler mussten für diese Datenverarbeitung ihre Einwilligung erteilen. Die Lehrerinnen und Lehrer wurden dagegen nicht gefragt. Grund dafür war § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes (HDSIG), der dem § 26 Abs. 1 S. 1 BDSG wortgleich entspricht. Nach den Regelungen dürfen personenbezogene Daten von Beschäftigten z.B. dann verarbeitet werden, wenn dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlichist. Einer Einwilligung bedarf es dann also nicht. Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte wegen des Streaming-Unterrichts geklagt und gerügt, dass das Lehrpersonal nicht nach einer Einwilligung gefragt wurde. Das Land Hessen vertrat die Ansicht, dass der Livestream-Unterricht von den nationalen Datenschutzregelungen gedeckt sei. Das mit dem Fall beschäftigte Verwaltungsgericht (VG) Wiesbaden hatte Zweifel, ob die deutschen Regelungen als „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO anzusehen sind, und legte die Sache dem EuGH vor. Diese Frage hat die Rechtswissenschaft bereits nachhaltig beschäftigt und die Frage, welche Voraussetzung eine Regelung (Gesetz oder auch eine Kollektivvereinbarung wie z.B. Betriebsvereinbarungen oder Tarifverträge) erfüllen muss, um als „spezifischer“ zu gelten, blieb bisher von der Rechtsprechung unbeantwortet.

Die Entscheidung des EuGH

Der EuGH ist der Ansicht, dass eine „spezifischere Norm“ i.S.d. Art. 88 DSGVO nicht bloß die Bestimmungen der DSGVO wiederholen dürfe. Von einer „spezifischeren Norm“ sei stattdessen nur dann auszugehen, wenn diese die Vorgaben des Absatzes 2 erfüllt, also „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]“ umfasst“. Nationale Bestimmungen, die die Datenverarbeitung davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, „scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen“, so der EuGH. Damit hat das vorlegende Verwaltungsgericht gewissermaßen Recht bekommen. Es hatte sich bereits gegen das Bundesarbeitsgericht gestellt und war der Auffassung, dass der § 23 HDSIG und damit auch § 26 BDSG europarechtswidrig seien, da die Normen jeden Bezug zu Art. 88 DSGVO vermissen ließen und es sich daher nicht um spezifischere Vorschriften i.S.d. Art. 88 DSGVO handeln könne.

Konsequenzen der Entscheidung – datenschutzrechtliche Complianceprüfung angebracht?

Zunächst ist das Urteil eine Ohrfeige für das Bundesarbeitsgericht, das der Ansicht war, mit § 26 BDSG sei die richtige Anwendung des Unionsrechts „derart offenkundig, dass für vernünftige Zweifel kein Raum bleibt (acte clair)“(Beschl. v. 07.05.2019, Az. 1 ABR 53/17). Das genaue Gegenteil ist der Fall. Wichtigste Konsequenz ist – wie auch bei der EuGH-Entscheidung zur Arbeitszeiterfassung –, dass es einen klaren Regelungsauftrag an den Gesetzgeber gibt. Will er eine nationale Ermächtigungsgrundlage für Datenverarbeitungen im Beschäftigungsverhältnis schaffen, die spezifischer ist als die der DSGVO, muss er jetzt tätig werden. Wie weit er bei dem Thema Arbeitszeiterfassung bislang gekommen ist, ist bekannt. Insofern wird auch zur Neuregelung des Beschäftigtendatenschutzes zunächst keine Hilfe vom Gesetzgeber zu erwarten sein.

Dennoch ist Panik unangebracht. Denn der ebenfalls unmittelbar geltende Art. 6 Abs. 1 DSGVO ist in vielen Fällen ausreichende Rechtsgrundlage, wenn die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist oder im berechtigten Interesse des Arbeitgebers liegt. Die Erforderlichkeit musste auch bei § 26 BDSG vorliegen, wenngleich der § 26 BDSG mehr Spielraum lies. Auch der Art. 6 Abs. 1 DSGVO ist jedoch der Auslegung zugänglich. Was Unternehmen jedoch generell tun sollten wird jetzt noch wichtiger: Die datenschutzrechtliche Complianceprüfung. Die Datenverarbeitungsvorgänge sollten nun direkt an Art. 6 DSGVO gemessen werden. Sind Kollektivvereinbarungen Ermächtigungsgrundlage, sollten diese anhand der Vorgaben des EuGH überprüft werden.

Findet sich bei einem System keine Ermächtigungsgrundlage, so kann sie geschaffen werden. Neben der kaum handhabbaren individuellen Einwilligung dürften Kollektivvereinbarungen nun kurzfristig der bessere Weg werden. Bestehende Betriebsvereinbarungen können nachgeschärft werden. Sollte ein Neuabschluss erforderlich sein, kommt es auf den Mut und den Willen der Betriebsparteien an. Ist nur eine „Schmalspurlösung“ möglich bis klarer wird, was der Gesetzgeber nun plant oder kann die Regelungsoption des Art. 88 DSGVO ausführlich genutzt werden, vielleicht sogar mit einer gänzlich neuen IT-Rahmenvereinbarung? Eine Überlegung ist es wert, zumal die Sorge, dass aufgrund der Entscheidung die Datenschutzbehörden nun sofort aktiv werden, aufgrund der insgesamt unklaren Rechtslage unbegründet sein dürfte. Wenn jedoch eine Prüfung erfolgt, ist es immer besser, eine Vereinbarung vorlegen zu können, als gar nichts zu haben.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Individualarbeitsrecht Neueste Beiträge

Datenschutzverstöße und ihre arbeitsrechtlichen Konsequenzen

Die Datenschutzgrundverordnung (DSGVO) enthält umfangreiche Anforderungen mit Blick auf den Umgang mit personenbezogenen Daten. Verstöße können für Unternehmen unangenehme Folgen nach sich ziehen: Neben rechtlichen und finanziellen Konsequenzen in Form empfindlicher Bußgelder drohen Reputationsschäden. Doch die Konsequenzen treffen nicht nur die Unternehmen selbst: Verstoßen Mitarbeiter gegen datenschutzrechtliche Vorschriften, kann dies – je nach den Umständen des Einzelfalls – arbeitsrechtliche Konsequenzen bis hin zu einer fristlosen…
Compliance Datenschutz Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Top-Management

Arbeitsrecht im Jahr 2024: Die Top 5

Rechtzeitig zu den Silvester-Vorbereitungen lesen Sie hier unseren Jahresrückblick auf eine kleine Auswahl an beachtenswerten und für das Arbeitsrecht relevanten Urteilen. Besonders bewegt haben uns im Jahr 2024: Schadensersatzforderungen nach DSGVO-Auskunftsverlangen, Zielvereinbarungs-Boni, Überstundenvergütungen von Teilzeitkräften, die Konzernleihe sowie entschädigungsfreie Wettbewerbsverbote. Top 1 – Auskunftsverlangen nach Art. 15 DSGVO – Schadensersatzrisiko entschärft Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers waren ein beliebtes Instrument, um…
Datenschutz Digitalisierung in Unternehmen Individualarbeitsrecht Neueste Beiträge

Der Entwurf des Beschäftigtendatengesetzes – Neuer Hemmschuh für die Wirtschaft?

Die Digitalisierung hat die Arbeitswelt in den letzten Jahren stark verändert. Immer mehr Prozesse werden datengetrieben, und mit dem Einsatz von künstlicher Intelligenz werden neue Möglichkeiten, aber auch erhebliche Unsicherheiten und Herausforderungen für Arbeitgeber und Arbeitnehmer geschaffen. Zuletzt hatten wir u.a. über die KI-Verordnung und Umgang mit Hochrisiko-Systemen berichtet. In diesem Umfeld setzt der Gesetzesentwurf zum Beschäftigtendatengesetz – kurz BeschDG – des Bundesministeriums für Arbeit…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.