Beschäftigtendatenschutz – so begründen Sie die DatenverarbeitungBeschäftigtendatenschutz – so begründen Sie die Datenverarbeitung

In jedem Unternehmen werden personenbezogene Daten der Beschäftigten verarbeitet. Der EuGH hat geurteilt, welche gesetzliche Grundlage dafür genutzt werden sollte.

Obwohl dem Europäischen Gerichtshof (EuGH) die hessischen Normen des Beschäftigtendatenschutzes vorgelegt wurden, wirkt sich das Urteil auch auf die bundesdeutschen Vorschriften zum Beschäftigtenschutz aus. Denn die Normen waren wortgleich mit § 26 Bundesdatenschutzgesetz (BDSG).

Sachverhalt

Dem Urteil des EuGH geht ein Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden voraus. Im betreffenden Rechtsstreit zwischen dem Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium und dem Minister des Hessischen Kultusministeriums ging es um die Rechtmäßigkeit von Livestreamunterricht per Videokonferenz. Eine datenschutzrechtliche Einwilligung der Lehrkräfte zur Teilnahme an den Videokonferenzen wurde nicht eingeholt. Vielmehr ging der zuständige Minister von einer Rechtfertigung gem. § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) aus. Der Paragraph ist im Wortlaut gleich, wie § 26 Bundesdatenschutzgesetz (BDSG).

Das Verwaltungsgericht Wiesbaden stellte die Vereinbarkeit dieser Norm mit der Öffnungsklausel des Art. 88 Datenschutzgrundverordnung (DSGVO) jedoch in Frage. Die Klausel ermöglicht es den Mitgliedsstaaten den Beschäftigtendatenschutz in nationalen Gesetzen selbst zu regeln, sofern dies erforderlich ist und die Normen einen spezifischen Charakter aufweisen. An der Erfüllung dieser Anforderungen hatte das VG Wiesbaden jedoch Zweifel.

Urteil des EuGH vom 30.03.2023 – C34-/21

Der EuGH entschied in seinem Urteil , dass die Voraussetzungen der Öffnungsklausel Art. 88 DSGVO nicht erfüllt seien. Generalklauseln wie § 23 HDSIG (oder § 26 Abs. 1 BDSG) seien keine spezifischen Regelungen im Sinne des Art. 88 DSGVO und folglich nicht anwendbar. Begründet wurde die Entscheidung mit dem sog. Normwiederholungsverbot. Danach sind bloße, die DSGVO wiederholende, Vorschriften unzulässig, da sie Verwirrung stiften könnten. Es bestünde kein wesentlicher Unterschied zwischen § 23 HSDIG (oder § 26 Abs. 1 BDSG) und dem Art. 6 Abs. 1b), f) DSGVO, da auch diese Norm auf die Erforderlichkeit in der Vertragserfüllung abstelle. Kurzum: weder § 23 HDSIG (noch § 26 BDSG) seien erforderlich, eine Rechtfertigung im Beschäftigtenkontext ließe sich über Art. 6 Abs. 1b), f) DSGVO erreichen.

Relevanz für Unternehmen

Wurden Datenverarbeitungen bislang auf § 23 HSDIG oder § 26 Abs. 1 BDSG gestützt, werden sie in Zukunft wohl über die Rechtfertigungen des Art. 6 Abs. 1 b), f) DSGVO erfolgen. An den inhaltlichen Anforderungen ändere sich grds. nichts, so der EuGH.

Unternehmen ist anzuraten ihre Dokumente, wie Verarbeitungsverzeichnisse oder Datenschutzerklärungen, welche sich auf § 26 Abs. 1 BDSG beziehen entsprechend anzupassen und auf den Art. 6 Abs. 1b) oder f) DSGVO zu verweisen. Für international tätige Unternehmen vereinfacht es die Situation ein Stück weit, da sie sich nicht mehr mit der einzelstaatlichen Gesetzgebung auseinandersetzen müssen.

Fraglich bleibt noch, was mit den anderen Absätzen des § 26 BDSG geschieht. Dazu äußerte sich der EuGH nicht.

Hinweis: Eine ausführliche Besprechung des Urteils finden Sie in der Zeitschrift für Innovations- und Technikrecht: Gesmann-Nuissl, InTeR 2023, S. 87 ff.

Verwandte Beiträge