IT/Datenschutz
Neues Beschäftigtendatenschutzrecht im Anmarsch?
Das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C‐34/21 vom 30. März 2023 stellt die Rechtmäßigkeit des deutschen Beschäftigtendatenschutzrechts in Frage. Die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) hat in ihrer Tagung am 10. und 11. Mai 2023 in diesem Zuge die Forderung nach einem eigenen Beschäftigtendatenschutzgesetz erneuert.
Mitgliedstaaten haben nach Art. 88 DS-GVO die Möglichkeit, spezifischere Regelungen zum nationalen Beschäftigtendatenschutz festzulegen. Deutschland hat in seinem § 26 Bundesdatenschutzgesetz (BDSG) davon Gebrauch gemacht.
Das Urteil des EuGH befasste sich in der Rechtssache C‐34/21 mit den Anforderungen an eine europarechtskonforme Umsetzung des Beschäftigtendatenschutzrechts in Hessen gemäß § 23 Abs. 1 S. 1 HDSIG. Das Besondere dabei ist, dass § 23 Abs. 1 S. 1 HDSIG
wortgleich mit dem bundesdeutschen § 26 BDSG ist.
Der EuGH betonte zweierlei:
1. Eine nationale Rechtsvorschrift stellt keine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DS-GVO dar, wenn sie nicht die Vorgaben von Art. 88 Abs. 2 DS-GVO erfüllt.
Der EuGH betont ausdrücklich, dass es sich bei den auf der Grundlage von Art. 88 Abs. 1 DS-GVO erlassenen „spezifischeren Vorschriften“ nicht lediglich um eine Wiederholung der in Art. 6 DS-GVO genannten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und der in Art. 5 DS-GVO angeführten Grundsätze für diese Verarbeitung oder um einen Verweis auf diese Bedingungen und Grundsätze handeln darf.
Die Verarbeitung von Daten zur Erfüllung eines Vertragsverhältnisses ist in Art. 6 Abs. 1 S. 1 lit. b DS-GVO normiert. Eine bloße Wiederholung der dort genannten Bedingungen verstoße gegen das unionsrechtliche Normwiederholungsverbot.
Um „spezifischer“ im Sinne des Art. 88 Abs. 1 DS-GVO zu sein, muss die nationale Vorschrift vielmehr besondere und geeignete Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext vorsehen.
2. Nationale Regelungen bleiben unangewendet, wenn sie nicht die in Art. 88 Abs. 1 und 2 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar, die den Anforderungen der DS-GVO genügt.
Den Ausführungen des Urteils lässt sich entnehmen, dass § 23 Abs. 1 S. 1 HDSIG als keine „spezifischere“ Vorschrift im Sinne des Art. 88 Abs. 1 DS-GVO anzusehen ist.
Zwar trifft das Verwaltungsgericht Wiesbaden, welches die Fragen dem EuGH vorlegte, die letzte Entscheidung, dennoch steht die Rechtskonformität des deutschen Beschäftigtendatenschutzes auf sehr wackligen Beinen.
Die Folge wäre, dass man bezüglich der Rechtsgrundlage auf den Art. 6 Abs. 1 S. 1 lit. b - f DS-GVO zurückgreifen muss.
Die DSK hat dieses EuGH-Urteil zum Anlass genommen, den Gesetzgeber in Ihrer Entschließung vom 11.05.2023 erneut aufzufordern, ein eigenes Beschäftigtendatenschutzgesetz zu schaffen.
Dies könnte nun tatsächlich an Fahrt gewinnen, denn das Bundesministerium des Innern und für die Heimat (BMI) und das Bundesministerium für Arbeit und Soziales (BMAS) arbeiten bereits an einer Novellierung des Beschäftigtendatenschutzes, welches unter anderem Regelungen zur Überwachung von Beschäftigten, Verarbeitung von Gesundheitsdaten, Konkretisierungen zu Einwilligungserklärungen im Beschäftigtenverhältnis, Datenübermittlung innerhalb eines Konzerns, aber auch zum Einsatz von Künstlicher Intelligenz enthalten soll.