Die einzige deutsche gesetzliche Regelung zum Beschäftigtendatenschutz war bisher § 26 BDSG. Das Bundesarbeitsgericht bescheinigte dieser Vorschrift eindeutige Europarechtskonformität. In der Wissenschaft wurde der § 26 BDSG seit Inkrafttreten als unzureichend kritisiert. Zu ungenau und unpraktikabel sei er, ein „echtes“ Beschäftigtendatenschutzgesetz werde gebraucht, erst recht im Zeitalter der KI. Nun setzt der Europäische Gerichtshof dem Ganzen die Krone auf mit seinem Urteil vom 30.03.2023 Az. C-34/21: Nicht einmal der § 26 BDSG eignet sich offenbar als Ermächtigungsgrundlage für Arbeitgeber für Datenverarbeitungsvorgänge im Arbeitsverhältnis.
Hintergrund der Entscheidung
Hintergrund der Entscheidung ist ein Fall aus Hessen. Dort wurde im Zuge der Corona-Pandemie in Schulen ein Livestream-Unterricht durch Videokonferenzsysteme eingeführt. Die Eltern der Kinder bzw. die volljährigen Schüler mussten für diese Datenverarbeitung ihre Einwilligung erteilen. Die Lehrerinnen und Lehrer wurden dagegen nicht gefragt. Grund dafür war § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes (HDSIG), der dem § 26 Abs. 1 S. 1 BDSG wortgleich entspricht. Nach den Regelungen dürfen personenbezogene Daten von Beschäftigten z.B. dann verarbeitet werden, wenn dies für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlichist. Einer Einwilligung bedarf es dann also nicht. Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte wegen des Streaming-Unterrichts geklagt und gerügt, dass das Lehrpersonal nicht nach einer Einwilligung gefragt wurde. Das Land Hessen vertrat die Ansicht, dass der Livestream-Unterricht von den nationalen Datenschutzregelungen gedeckt sei. Das mit dem Fall beschäftigte Verwaltungsgericht (VG) Wiesbaden hatte Zweifel, ob die deutschen Regelungen als „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO anzusehen sind, und legte die Sache dem EuGH vor. Diese Frage hat die Rechtswissenschaft bereits nachhaltig beschäftigt und die Frage, welche Voraussetzung eine Regelung (Gesetz oder auch eine Kollektivvereinbarung wie z.B. Betriebsvereinbarungen oder Tarifverträge) erfüllen muss, um als „spezifischer“ zu gelten, blieb bisher von der Rechtsprechung unbeantwortet.
Die Entscheidung des EuGH
Der EuGH ist der Ansicht, dass eine „spezifischere Norm“ i.S.d. Art. 88 DSGVO nicht bloß die Bestimmungen der DSGVO wiederholen dürfe. Von einer „spezifischeren Norm“ sei stattdessen nur dann auszugehen, wenn diese die Vorgaben des Absatzes 2 erfüllt, also „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person[en]“ umfasst“. Nationale Bestimmungen, die die Datenverarbeitung davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, „scheinen jedoch die bereits in der DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art 88 Abs. 1 DSGVO hinzuzufügen“, so der EuGH. Damit hat das vorlegende Verwaltungsgericht gewissermaßen Recht bekommen. Es hatte sich bereits gegen das Bundesarbeitsgericht gestellt und war der Auffassung, dass der § 23 HDSIG und damit auch § 26 BDSG europarechtswidrig seien, da die Normen jeden Bezug zu Art. 88 DSGVO vermissen ließen und es sich daher nicht um spezifischere Vorschriften i.S.d. Art. 88 DSGVO handeln könne.
Konsequenzen der Entscheidung – datenschutzrechtliche Complianceprüfung angebracht?
Zunächst ist das Urteil eine Ohrfeige für das Bundesarbeitsgericht, das der Ansicht war, mit § 26 BDSG sei die richtige Anwendung des Unionsrechts „derart offenkundig, dass für vernünftige Zweifel kein Raum bleibt (acte clair)“(Beschl. v. 07.05.2019, Az. 1 ABR 53/17). Das genaue Gegenteil ist der Fall. Wichtigste Konsequenz ist – wie auch bei der EuGH-Entscheidung zur Arbeitszeiterfassung –, dass es einen klaren Regelungsauftrag an den Gesetzgeber gibt. Will er eine nationale Ermächtigungsgrundlage für Datenverarbeitungen im Beschäftigungsverhältnis schaffen, die spezifischer ist als die der DSGVO, muss er jetzt tätig werden. Wie weit er bei dem Thema Arbeitszeiterfassung bislang gekommen ist, ist bekannt. Insofern wird auch zur Neuregelung des Beschäftigtendatenschutzes zunächst keine Hilfe vom Gesetzgeber zu erwarten sein.
Dennoch ist Panik unangebracht. Denn der ebenfalls unmittelbar geltende Art. 6 Abs. 1 DSGVO ist in vielen Fällen ausreichende Rechtsgrundlage, wenn die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist oder im berechtigten Interesse des Arbeitgebers liegt. Die Erforderlichkeit musste auch bei § 26 BDSG vorliegen, wenngleich der § 26 BDSG mehr Spielraum lies. Auch der Art. 6 Abs. 1 DSGVO ist jedoch der Auslegung zugänglich. Was Unternehmen jedoch generell tun sollten wird jetzt noch wichtiger: Die datenschutzrechtliche Complianceprüfung. Die Datenverarbeitungsvorgänge sollten nun direkt an Art. 6 DSGVO gemessen werden. Sind Kollektivvereinbarungen Ermächtigungsgrundlage, sollten diese anhand der Vorgaben des EuGH überprüft werden.
Findet sich bei einem System keine Ermächtigungsgrundlage, so kann sie geschaffen werden. Neben der kaum handhabbaren individuellen Einwilligung dürften Kollektivvereinbarungen nun kurzfristig der bessere Weg werden. Bestehende Betriebsvereinbarungen können nachgeschärft werden. Sollte ein Neuabschluss erforderlich sein, kommt es auf den Mut und den Willen der Betriebsparteien an. Ist nur eine „Schmalspurlösung“ möglich bis klarer wird, was der Gesetzgeber nun plant oder kann die Regelungsoption des Art. 88 DSGVO ausführlich genutzt werden, vielleicht sogar mit einer gänzlich neuen IT-Rahmenvereinbarung? Eine Überlegung ist es wert, zumal die Sorge, dass aufgrund der Entscheidung die Datenschutzbehörden nun sofort aktiv werden, aufgrund der insgesamt unklaren Rechtslage unbegründet sein dürfte. Wenn jedoch eine Prüfung erfolgt, ist es immer besser, eine Vereinbarung vorlegen zu können, als gar nichts zu haben.