Der EuGH hat § 26 Abs. 1 BDSG als europarechtswidrig verworfen. Wohin geht nun die Entwicklung des deutschen Beschäftigtendatenschutzes?
Der EuGH hat Generalklauseln im nationalen Beschäftigtendatenschutz für unanwendbar erklärt, da sie gegen die vorrangig anwendbare DSGVO verstoßen (EuGH, Urteil v. 30. März 2023 – C-34/21). Die Öffnungsklausel des Art. 88 DSGVO lasse nur im Vergleich zur DSGVO „spezifischere Vorschriften“ zu, aber gerade keine Wiederholung der Bestimmungen der DSGVO (wie § 26 Abs. 1 Bundesdatenschutzgesetz [BDSG]).
Auch wenn das Urteil sich auf das – nahezu identisch formulierte – hessische Beschäftigtendatenschutzrecht bezog: Mit dem Urteil ist § 26 Abs. 1 BDSG nicht mehr anwendbar. Diese bisher zentrale Schaltstelle des deutschen Beschäftigtendatenschutzes regelte bisher, welche Verarbeitung von Beschäftigtendaten zulässig oder unzulässig war.
Statt § 26 BDSG werden sich Arbeitgebende zukünftig direkt auf Art. 6 DSGVO stützen müssen. Die gute Nachricht vorab: Art. 6 DSGVO enthält ähnliche Rechtsgrundlagen, sodass sich in der Praxis nur wenig ändert.
Hintergrund: DSGVO verdrängt nationalen Datenschutz
Der EuGH bezog sich wie erwähnt zwar primär auf das ihm vorgelegte hessische Beschäftigtendatenschutzrecht. Dieses ist aber (fast) identisch formuliert wie § 26 Abs. 1 BDSG. Daher wirkt sich das Urteil auch auf den gesamten deutschen Beschäftigtendatenschutz aus.
Grds. dürfen Mitgliedstaaten im Rahmen der DSGVO kein eigenes Datenschutzrecht verabschieden. Vielmehr soll die DSGVO das Datenschutzrecht soweit möglich europaweit vereinheitlichen (ErwG 7 DSGVO). Das nationale Recht ist unanwendbar, soweit das höherrangige Europarecht einen Sachverhalt bereits regelt. Dabei gilt für das nationale Recht ein Normwiederholungsverbot: Eine bloße wiederholende Vorschrift ist regelmäßig unzulässig, da sie Verwirrung stiftet.
Allerdings enthält die DSGVO sog. Öffnungsklauseln, in deren Rahmen Mitgliedstaaten eigene Vorschriften treffen dürfen. Sie erlauben den Mitgliedstaaten jedoch nicht, Datenschutz gänzlich eigenständig zu regeln, sondern sind jeweils an detaillierte Bedingungen geknüpft.
Im Beschäftigtendatenschutz erlaubt die Öffnungsklausel des Art. 88 Abs. 1 DSGVO den Mitgliedstaaten, „spezifischere Vorschriften“ zu erlassen. Art. 88 Abs. 2 DSGVO konkretisiert, dass diese spezifischeren Vorschriften zumindest bestimmte Grundsätze der DSGVO einhalten müssen (Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen).
Der deutsche Gesetzgeber hat Art. 88 DSGVO genutzt, um die schon vor Inkrafttreten der DSGVO geltende Generalklausel für Datenverarbeitungen im Beschäftigungskontext beinahe unverändert fortzuführen. Nach der schwammigen Generalklausel des § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn
dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung […] erforderlich ist.
Diese offene Formulierung hat der hessische Gesetzgeber eins zu eins für das hessische Datenschutzrecht übernommen, das als Vorlage die streitentscheidende Norm war.
Das vorlegende Gericht wollte geklärt wissen, welche Anforderungen Art. 88 Abs. 1 und 2 DSGVO an „spezifischere Vorschriften“ im Beschäftigtendatenschutz stellt. Weiterhin sollte der EuGH konkretisieren, welche Rechtsfolge sich ergibt, wenn eine Vorschrift diese Anforderungen nicht erfüllt.
EuGH: Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO nicht erfüllt
Der EuGH entschied, dass Generalklauseln, welche die Zulässigkeit von Datenverarbeitungen regeln, keine spezifischere Vorschrift i.S.v. Art. 88 Abs. 1 DSGVO seien. Sie seien deshalb unanwendbar.
Generalklauseln wie § 26 Abs. 1 S. 1 BDSG erfüllten nicht die Voraussetzungen des Art. 88 DSGVO. Die Vorschrift gebe lediglich vor, dass personenbezogene Daten von Beschäftigten für gewisse Zwecke verarbeitet werden dürfen, wenn dies zur Vertragsdurchführung „erforderlich“ ist.
Damit bestehe kein wesentlicher Unterschied zu der DSGVO-Rechtsgrundlage Art. 6 Abs. 1b DSGVO, der ebenfalls auf die Erforderlichkeit für die Vertragserfüllung abstelle. Der deutsche Gesetzgeber habe sie nicht spezifisch für die Datenverarbeitung im Beschäftigtenkontext konkretisiert (Art. 88 Abs. 1 DSGVO). Daher hätte man auch direkt auf Art. 6 DSGVO zurückgreifen können.
Zudem enthalte eine Generalklausel wie § 26 Abs. 1 S. 1 BDSG auch nicht
besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person
und erfülle damit nicht die Mindeststandards des Art. 88 Abs. 2 DSGVO.
Folgen für die Praxis: Nahtloser Übergang zu Art. 6 DSGVO
In der Praxis bleiben für Datenverarbeitungen im Beschäftigungskontext die Rechtsgrundlagen des Art. 6 Abs. 1b, f DSGVO, die im Prinzip § 26 Abs. 1 S. 1 BDSG gleichen. Kurzfristig ist zu erwarten, dass sich Arbeitsgerichte und Landesarbeitsgerichte auch im Rahmen des Art. 6 Abs. 1b, f DSGVO weiter an der BAG-Rechtsprechung zum Beschäftigtendatenschutz orientieren werden.
Langfristig wird die Nichtanwendbarkeit des § 26 Abs. 1 S. 1 BDSG wohl zu einer stärkeren Vereinheitlichung des Beschäftigtendatenschutzes führen. Zweifelsfragen zur Auslegung des Art. 6 Abs. 1b, f DSGVO muss das BAG nach Art. 267 Abs. 1 AEUV dem EuGH vorlegen. Dies würde die Rolle des BAG in Beschäftigtendatenschutzfällen nachhaltig schwächen, da es sich bezüglich der Auslegung des Beschäftigtendatenschutzes an den EuGH wenden müsste.
Zudem ist fraglich, was das Urteil für die restlichen Absätze des § 26 BDSG bedeutet. Ein „Dominoeffekt“, der sich auf den gesamten § 26 BDSG auswirkt, scheint möglich, aber nicht zwingend. § 26 Abs. 3 BDSG kann sich z.B. auf die Öffnungsklausel des Art. 9 Abs. 2b DSGVO stützen. § 26 Abs. 4 BDSG nimmt bloß das Wahlrecht der Mitgliedstaaten wahr, Betriebsvereinbarungen als Ausformung datenschutzrechtlicher Grundsätze zu erlauben. § 26 Abs. 5, 6, 8 BDSG enthalten nur klarstellende Vorschriften und § 26 Abs. 7 BDSG bewegt sich außerhalb des Anwendungsbereichs der DSGVO. Diese Absätze könnten demnach in jedem Fall weiterhin angewandt werden. Spezifischer und damit zulässig könnte die Sonderregelung für die Aufdeckung von Straftaten durch Beschäftigte nach § 26 Abs. 1 S. 2 BDSG und die Sonderregelung für die Einwilligung nach § 26 Abs. 2 BDSG sein.
Im Ergebnis bleibt das Beschäftigtendatenschutzrecht bei Wegfall des § 26 Abs. 1 BDSG nahezu unverändert. Nun können und müssen sich Arbeitgebende bei der Verarbeitung von Beschäftigtendaten auf die europaweit einheitlichen Rechtsgrundlagen des Art. 6 Abs. 1b, f DSGVO stützen. Diese Vereinheitlichung ist für international tätige Unternehmen positiv, da sie sich nicht mehr mit einer uneinheitlichen nationalen Gesetzgebung auseinandersetzen müssen.
Weiter Spielraum für wirklich spezifischere Vorschriften
Möchte der deutsche Gesetzgeber weiterhin den Beschäftigtendatenschutz auf nationaler Ebene regeln, müsste er § 26 BDSG spezifizieren. Insoweit hält der EuGH ausdrücklich fest, dass spezifischere Vorschriften i.S.d. Art. 88 DSGVO auch von der DSGVO inhaltlich abweichen dürfen. Dies könnte auch ein Antrieb für die langwierigen Pläne für ein deutsches Beschäftigungsdatenschutzgesetz sein.
Der deutsche Gesetzgeber könnte nach Art. 88 Abs. 1 DSGVO nur spezielle Verarbeitungssituationen regeln (z.B. Umgang mit Bewerbungen, technische Überwachung der Arbeitsleistung, Gesundheitsuntersuchungen). Für diese spezifischen Verarbeitungssituationen müsste der deutsche Gesetzgeber sich jeweils nach Art. 88 Abs. 2 DSGVO mit dem Grundrecht der Beschäftigten auf Datenschutz nach Art. 7, 8 GRCh auseinandersetzen. Außerhalb der speziell geregelten Verarbeitungssituationen würde es dann bei den Generalklauseln der DSGVO bleiben (insb. der Interessenabwägung nach Art. 6 Abs. 1f DSGVO).
Durch eine solche Konkretisierung könnte der deutsche Gesetzgeber Rechtssicherheit schaffen, da Arbeitgebende nicht mehr die unscharfen Generalklauseln der DSGVO auslegen müssten. Dies wiederum würde natürlich dafür sorgen, dass internationale Arbeitgebende sich mit voneinander abweichenden nationalen Beschäftigtendatenschutzgesetzen auseinandersetzen müssten.
Fazit: Vereinfachung durch europaweit gültige Regelungen
Arbeitgebende brauchen keine „schlaflosen Nächte“ zu haben. Die Rechtsgrundlagen der Erfüllung eines Vertrages (Art. 6 Abs. 1b DSGVO) und der Interessenabwägung (Art. 6 Abs. 1f DSGVO) können § 26 Abs. 1 S. 1 BDSG nahezu eins zu eins ersetzen. Sie müssen diese Rechtsgrundlagen nur in Datenschutzhinweisen und Verarbeitungsverzeichnissen austauschen.
Zudem bieten die Kriterien des Art. 6 Abs. 1b, f DSGVO europaweit einheitliche Anforderungen. Weitgehend werden sich Arbeitsgerichte wohl weiter auf die alte Rechtsprechung des BAG stützen. Für grenzüberschreitend tätige Unternehmen bietet die weitere Vereinheitlichung Vorteile, da sie dort, wo die DSGVO angewendet wird, nicht zwischen den individuellen Vorschriften der verschiedenen Mitgliedstaaten der EU unterscheiden müssen.
Wenn der deutsche Gesetzgeber doch noch einen Anlauf für ein Beschäftigtendatenschutzgesetz wagt, sollte er konkret bestimmte Verarbeitungssituationen regeln und sich dabei im Detail mit den wichtigsten Datenschutzgrundsätzen beschäftigen. Dadurch würde es mehr Rechtssicherheit geben. Auch insoweit wäre die Entwicklung für Arbeitgebende und Beschäftigte positiv.
