Prof. Dr. Gerrit Hornung ist Leiter des Fachgebiets Öffentliches Recht, IT-Recht und Umweltrecht und Direktor im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel sowie Mitglied des Wissenschaftsbeirats der ZD.
ZD 2023, 309 Das Urteil des EuGH zu § 23 Abs. 1 HDSIG und § 86 Abs. 4 HBG v. 30.3.2023 (C-34/21; ZD wird die Entscheidung mAnm Schild demnächst veröffentlichen) wirkt auf den ersten Blick wie ein Paukenschlag. Dessen genaue Lautstärke ist freilich bis auf Weiteres offen. Denn das Urteil klärt zwar einige wichtige Fragen der zulässigen Regulierung des Beschäftigtendatenschutzes, lässt aber andere offen und wirft überdies ganz neue Probleme auf.
Von begrüßenswerter Klarheit sind die „Vorbemerkungen“, in denen der EuGH zutreffend den Anwendungsbereich der DS-GVO bejaht, auch wenn die Mitgliedstaaten gem. Art. 165 Abs. 1 AEUV für Lehrinhalte und Gestaltung des Bildungssystems verantwortlich sind. Würde man aus derartigen Regelungen schließen, dass Datenverarbeitungen iSv Art. 2 Abs. 2 lit. a DS-GVO nicht in den Anwendungsbereich des Unionsrechts fallen, wäre der querschnittsorientierte Regelungsansatz des Datenschutzrechts obsolet. Das Urteil ist insoweit auch ein deutlicher Hinweis, dass die auf Art. 168 Abs. 7 AUEV gestützten Bedenken des BSG an der Anwendbarkeit der DS-GVO auf den Sozialdatenschutz (BSG ZD 2019, 326; BeckRS 2018, 42368, Rn. 29; ZD 2021, 697) nicht begründet sind (LPK-SGB V/Hornung, 6. Aufl. 2022, SGB V § 284 Rn. 19 ff.).
Außerdem klärt der Gerichtshof vorab, dass sowohl Angestellte als auch Beamte Beschäftigte iSv Art. 88 DS-GVO sind. Dieser ermächtigt in Absatz 1 die Mitgliedstaaten dazu, durch Rechtsvorschriften oder Kollektivvereinbarungen „spezifischere Vorschriften“ zu erlassen; nach Absatz 2 „umfassen“ diese Vorschriften „angemessene und besondere Maßnahmen“ zum Schutz der Be-schäftigten. Daraus leitet der EuGH nachvollzieh-bar ab: Eine nationale Regelung, die sich auf eine Wiederholung des Erforderlichkeitsprinzips beschränkt, ist nicht spezifischer iSv Art. 88 Abs. 1 DS-GVO (Rn. 61), und eine Regelung, die zum Schutz der Beschäftigten lediglich auf die ohnehin geltenden Instrumente der DS-GVO verweist, enthält keine besonderen Maßnahmen iSv Art. 88 Abs. 2 DS-GVO (Rn. 63 ff.).
Ob eine nationale Vorschrift diesem Verdikt unterfällt, muss das nationale Gericht entscheiden (Rn. 80). Allerdings gibt der EuGH zu § 23 Abs. 1 S. 1 HDSIG (entspricht § 26 Abs. 1 S. 1 BDSG) und der beamtenrechtlichen Parallelnorm in § 86 Abs. 4 HBG einen überdeutlichen Hinweis: Diese Vorschriften werden sich am Maßstab von Art. 88 DS-GVO nicht halten lassen (Rn. 81); die Blankettvorgabe in § 23 Abs. 5 HDSIG (entspricht § 26 Abs. 5 BDSG), nach der der Verantwortliche durch geeignete Maßnahmen die Einhaltung von Art. 5 DS-GVO sicherzustellen hat, ändert daran nichts. Das Ergebnis müsste dem 1. Senat des BAG in den Ohren klingen, der das Gegenteil als „acte clair“ bezeichnet hatte (s. BAGE 166, 309 = ZD 2019, 571 (gekürzt) Rn. 48).
Das nach § 112 Abs. 1 HPVG nunmehr zuständige VG Frankfurt/M. wird an dieser Stelle abbiegen und sich der zweiten Vorlagefrage widmen können (s.u.). Sonstige Rechtsanwender und der Gesetzgeber müssen indes weiterdenken und erhalten für diese Aufgabe vom EuGH - wie leider üblich - Steine statt Brot. Denn dieser verwirft zwar Normen, die vollständig mit der DS-GVO identisch sind, gibt aber noch nicht einmal einen kleinen Anhaltspunkt dafür, welches Maß an Spezifizität und Schutzmaßnahmen welcher Art und welchen Umfangs nationale Regelungen enthalten müssen, um vor Art. 88 DS-GVO Bestand haben zu können. Regelungswilligen Gesetzgebern der Mitgliedstaaten wird insoweit nichts anderes übrigbleiben, als nach dem Prinzip „trial and error“ vorzugehen.
Wie misslich diese Rechtsunsicherheit ist, zeigt auch die Frage, was denn von § 23 HDSIG übrigbleibt. Die Aussagen des EuGH erstrecken sich nicht auf die gesamte Vorschrift, genauer: noch nicht einmal auf den gesamten Absatz 1. Denn § 23 Abs. 1 S. 3 HDSIG (analog § 26 Abs. 1 S. 2 BDSG) wird man kaum absprechen können, spezifischer als die DS-GVO zu sein, und mit dem Erfordernis der zu dokumentierenden tatsächlichen Anhaltspunkte für einen Straftatverdacht enthält die Vorschrift durchaus eine Schutzmaßnahme „im Hinblick auf die Transparenz der Verarbeitung“, wie Art. 88 Abs. 2 DS-GVO verlangt. Ob dem EuGH beides reicht, dürfte seriöserweise niemand prognostizieren können; die nächste Vorabentscheidung wird es irgendwann zeigen. Ähnliches gilt für die von der DS-GVO abweichenden Regelungen zur Einwilligung (§ 23 Abs. 2 HDSIG, § 26 Abs. 2 BDSG), die die Freiwilligkeit spezifizieren und mit der Vorgabe der Schriftform (§ 26 Abs. 2 BDSG auch der elektronischen Form) ebenfalls ein Transparenzelement enthalten. Weitere Teile der Normen wiederholen ohnehin nicht die DS-GVO, sondern betreffen Beteiligungsrechte bzw. erweitern den Anwendungsbereich des HDSIG bzw. BDSG über den der DS-GVO hinaus. Vor allem Letzteres wirft eigene Probleme der Europarechtskonformität auf, die aber nicht Gegenstand des Urteils waren.
Vor den Urteilsfolgen ein Exkurs zu Bestimmtheit und Spezifizität: Der EuGH leitet die Vorgabe spezifischer Vorschriften ausschließlich aus der DS-GVO ab und verzichtet auf jede (auch nur unterstützende) Bezugnahme auf Grundrechte. Das wäre durchaus möglich gewesen, da Art. 52 GRCh (wie Art. 8 Abs. 2 EMRK) verlangt, dass Eingriffe „gesetzlich vorgesehen“ sind; dies umfasst auch die Verpflichtung, klare und präzise Regeln vorzusehen (EuGH MMR 2014, 412 Rn. 54 - Digital Rights Ireland; Jarass, GRCh, Art. 52 Rn. 27). Nach deutscher Dogmatik gilt ohnehin, dass sich nur Datenverarbeitungen mit geringer Eingriffsintensität auf Generalklauseln stützen lassen (Taeger/Gabel, DSGVO - BDSG - TTDSG/Lang, 4. Aufl. 2022, BDSG § 3 Rn. 1). Leitet man Entsprechendes aus europäischen Grundrechten ab, würde es allerdings auch für den europäischen Sekundärgesetzgeber gelten; die Generalklauseln der DS-GVO könnten nur Datenverarbeitungen tragen, die nicht eingriffsintensiv sind. Erstreckt man die grundrechtlichen Bestimmtheitsvorgaben sodann auch auf die Regelungen zu Befugnissen Privater, so landet man in dogmatischen Irrgärten: Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO würde gegen Art. 7 GRCh verstoßen oder jedenfalls nur nicht-eingriffsintensive Datenverarbeitungen tragen. Da Arbeitgeber weithin auf Einwilligungen und Kollektivvereinbarungen zurückgeworfen würden, die nicht alle relevanten Fälle abdecken dürften, wäre sodann zu klären, ob diese Verarbeitungseinschränkungen einen unverhältnismäßigen Eingriff in Wirtschaftsgrundrechte von Arbeitgebern darstellen. Bejaht man dies, wäre das Verbotsprinzip aus Art. 6 DS-GVO insoweit primärrechtswidrig - mit der verblüffenden Folge, dass eingriffsintensive Verarbeitungen durch Arbeitgeber überhaupt keinen datenschutzrechtlichen Regelungen unterliegen würden. Man darf an dieser Stelle froh sein, dass ein Editorial exkursförmige Gedankenspiele erlaubt, ohne auf alles Antworten geben zu müssen.
Zurück zum Urteil: Hinsichtlich der Entscheidungsfolgen muss man differenzieren. Für Arbeitsverträge in der Privatwirtschaft tritt an die Stelle von § 26 Abs. 1 S. 1 BDSG der unmittelbar geltende Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO. Inhaltlich ändert sich durch diesen Wechsel nichts; die durch den EuGH explizit festgestellte Identität der Vorschriften ist ja gerade Grund für die Unzulässigkeit der mitgliedstaatlichen Regelung (Rn. 81). Ob Tarifbeschäftigte im öffentlichen Dienst nach diesen Regelungen oder nach den problematischen, im Folgenden dargestellten Bestimmungen für Beamte zu behandeln sind, wird aus der Entscheidung nicht ganz deutlich. Das dürfte darauf zurückzuführen sein, dass der entscheidende Ankerpunkt des Urteils für Beamte dogmatisch unklar ist. In Rn. 81 lässt das Gericht erkennen, dass § 86 Abs. 4 HBG deshalb gegen Art. 88 Abs. 1 DS-GVO verstößt, weil sein Inhalt identisch mit Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO ist. Dies stimmt für die Rechtsfolgenseite (Erforderlichkeitsprinzip); die Aussage hat aber eine verblüffende Prämisse auf Tatbestandsebene: Sie ergibt nur dann Sinn, wenn man davon ausgeht, dass lit. b auch beamtenrechtliche Statusverhältnisse erfasst. Ob der EuGH dies aussagen wollte, ist unklar und eher zweifelhaft; ohne diese Prämisse bricht die Argumentation des Urteils an dieser Stelle jedoch für Beamtenverhältnisse in sich zusammen.
Wendet man Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO an, so würden sich alle Beteiligten in Hornberg wiederfinden. Die Gesetzgeber in Bund und Ländern könnten sich für den gesamten öffentlichen Dienst zurücklehnen, denn diese Regelung gestattet dann - s. zuvor für Arbeitsverträge: exakt identisch wie die streitgegenständlichen nationalen Normen - alle Datenverarbeitungen, die zur „Erfüllung“ der Beschäftigten- oder Dienstverhältnisse erforderlich sind. Der EuGH zieht diese Konsequenz allerdings nicht. Vielmehr erörtert er (fairerweise ist hinzuzufügen: veranlasst durch die Vorlage), ob eine allein das Erforderlichkeitsprinzip wiederholende Regelung zwar nicht auf Art. 88 DS-GVO, wohl aber auf Art. 6 Abs. 1 UAbs. 1 lit. c und lit. e DS-GVO iVm Art. 6 Abs. 3 DS-GVO gestützt werden kann.
Systematisch ist zunächst bemerkenswert, dass das Urteil Art. 6 Abs. 2 DS-GVO mit keiner Silbe erwähnt (exakt umgekehrt der Generalanwalt, der ausschließlich Absatz 2 adressiert und Absatz 3 nicht erwähnt). Dies kann nur so interpretiert werden, dass der EuGH Absatz 2 und Absatz 3 nicht kumulativ, sondern alternativ versteht (ebenso und zum Problem Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht/Roßnagel, DSGVO Art. 6 Abs. 2 Rn. 7 ff., Art. 6 Abs. 3 Rn. 7 ff.). Denn Absatz 2 ermächtigt die Mitgliedstaaten, „spezifischere Bestimmungen“ zu erlassen. Der EuGH befasst sich an dieser Stelle des Urteils aber ausschließlich mit mitgliedstaatlichen Regelungen, für die er mit Bezug auf Art. 88 Abs. 1 DS-GVO bereits festgestellt hat, dass sie gerade nicht spezifischer sind. Wären Art. 6 Abs. 2 und Abs. 3 DS-GVO stets kumulativ anzuwenden, wären Ausführungen zu Absatz 3 überflüssig.
Absatz 3 S. 1 und S. 2 verlangen die Existenz einer Rechtsgrundlage sowie eine Zweckbestimmung oder Erforderlichkeit mit Blick auf eine öffentliche Aufgabe. Absatz 3 S. 3 behandelt sodann ebenso wie Absatz 2 „spezifische Bestimmungen“, aber mit einem entscheidenden Unterschied: Absatz 3 S. 3 stellt diese ausdrücklich („kann“) in das Ermessen der Mitgliedstaaten. Dies scheint der EuGH insofern ernstzunehmen, als er in seinen Ausführungen zu Art. 6 Abs. 3 DS-GVO (Rn. 86-89) weder auf Absatz 3 S. 3 eingeht noch überhaupt von spezifischeren Bestimmungen spricht.
Interpretiert man die Urteilspassagen in diesem Sinne, so führt auch der weitere Weg des EuGH nach Hornberg. Denn § 86 Abs. 4 HBG ist eine Rechtsgrundlage für die Verarbeitung und erfüllt damit das erste Kriterium des EuGH. Und für den hier streitgegenständlichen Bereich der Verarbeitung durch eine Schule bestehen landesrechtliche Aufgabenzuweisung der Schulbehörden bzw. Schulen; dasselbe gilt für andere Verwaltungszweige. Die Urteilspassage deutet folglich darauf hin, dass § 86 Abs. 4 HBG am Maßstab von Art. 6 Abs. 1 UAbs. 1 lit. e DS-GVO iVm Art. 6 Abs. 3 DS-GVO fortbestehen kann. Für § 23 Abs. 1 HDSIG (Tarifbeschäftigte) gilt entweder dasselbe, oder der auf Rechtsfolgenseite de facto identische Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO.
Ende gut, alles gut? - das kann nur sagen, wer den bestehenden Rechtszustand für gut befindet, in dem die Gesetzgeber von Bund und Ländern generalklauselförmige Simulationen bereichsspezifischer Regelungen verabschiedet haben und alle Entscheidungen der Justiz überantworten. Zwar mag der Ruf an den Gesetzgeber, endlich ein Beschäftigtendatenschutzgesetz zu verabschieden, vor dem Hintergrund stark gegenläufiger Interessen und gescheiterter Anläufe wohlfeil sein. Dennoch ist und bleibt es der vorzugswürdige Weg, zwar auf Basis des EuGH-Urteils an Generalklauseln für unvorhersehbare und wenig eingriffsintensive Datenverarbeitungen festzuhalten, zugleich aber den Umgang mit sensiblen Beschäftigtendaten entsprechend Art. 88 DS-GVO spezifisch und mit angemessenen und besonderen Schutzmaßnahmen typisierend zu regeln.