Rechtsanwalt Professor Dr. Michael Fuhlrott, Hamburg
Heft 8/2023
Die DS-GVO regelt den Beschäftigtendatenschutz nur rudimentär. Vielmehr überlässt die Öffnungsklausel in Art. 88 I DS-GVO den Mitgliedsstaaten weiten Gestaltungsspielraum, die „durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften … hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext … vorsehen“ können. Mit § 26 BDSG hat der deutsche Gesetzgeber eine derartige Rechtsgrundlage geschaffen (so BAG 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218); über diese Norm werden bei Fehlen entsprechender Betriebsvereinbarungen nahezu sämtliche Datenverarbeitungen im Arbeitsrecht gerechtfertigt. Und: Da jede Verarbeitung personenbezogener Daten einer Rechtfertigung bedarf, kommt dieser Norm besonderes Gewicht zu.
Ein aktuelles Urteil des EuGH (v. 30.3.2023 – C-34/21, NZA 2023, 487, in diesem Heft) bringt diese Grundsätze nun ins Wanken: Ausgangspunkt war die Frage, ob Online-Unterricht per Video einer Einwilligung der Lehrkraft bedarf, was das Land Hessen unter Berufung auf die landesgesetzliche Rechtsnorm, konkret auf § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) verneint hatte. Diese Norm entspricht in Absatz 1 – nahezu wörtlich – den Vorgaben von § 26 I BDSG. Bei Gesetzeseinführung stützte sich der hessische Gesetzgeber auch auf die Öffnungsklausel in Art. 88 DS-GVO (Begründung HDSIG, Hess. Landtag, Drs. 19/5728, S. 108). Der EuGH sieht in einer nationalen Rechtsvorschrift aber keine „spezifischere Vorschrift“ iSv Art. 88 I DSGVO, wenn diese nicht „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ (Rn. 65 a. E.) beinhalte, wie es Art. 88 II DS-GVO verlange. Denn damit werde der Regelungsspielraum der Nationalstaaten begrenzt, um Harmonisierungsbrüche im Beschäftigtendatenschutz zu vermeiden.
Fehlt es dem deutschen Datenschutzrecht an einer Rechtsgrundlage? Sind sämtliche Datenverarbeitungen rechtswidrig? Horrorszenario: Immaterieller Schadensersatz gem. Art. 82 DS-GVO? Nun: Der Hamburgische Datenschutzbeauftragte spricht in seiner PM vom 3.4.2023 bereits von der Unvereinbarkeit der deutschen Regelungen im Beschäftigungskontext. Allerdings: Zunächst hat das vorlegende Gericht, ursprünglich das VG Wiesbaden (v. 21.12.2020 – 23 K 1360/20, BeckRS 2020, 40028) durch einen Zuständigkeitswechsel jetzt das VG Frankfurt a. M., festzustellen, ob diese Voraussetzungen bei § 23 HDSIG erfüllt sind. Bejaht es dies, ist die Vorschrift unangewendet zu lassen. Dies dürfte aber zum einen nicht das Ende des Instanzenzugs sein. Zum anderen beträfe eine obergerichtliche Entscheidung auch „nur“ § 23 HDSIG; über § 26 BDSG wird das BAG entscheiden. „Worst-case“-Szenario wäre überdies nicht das gänzliche Fehlen einer Rechtsgrundlage: Datenverarbeitungen im Beschäftigungskontext wären dann – bis zur Schaffung einer wirksamen nationalen Regelung – allein an Art. 6 I b DS-GVO zu messen (vgl. Thüsing/Peisker NZA 2023, 213).
Ein Weckruf für den nationalen Gesetzgeber zur Evaluierung des Beschäftigtendatenschutzes und zur stärkeren Kodifikation des bislang maßgeblich richterrechtlich geprägten Arbeitnehmerdatenschutzrechts ist die Entscheidung aber allemal – BMAS und BMI arbeiten dem Vernehmen nach auch bereits an einem eigenständigen Beschäftigtendatenschutzgesetz, dessen Entwurf demnächst vorgestellt werden soll.