Deutsche Regelung zum Arbeitnehmerdatenschutz nicht EU-rechtskonform?

Was lag dem EuGH zur Entscheidung vor?

Ge­gen­stand des Streits war die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Da­ten von Leh­re­rin­nen und Leh­rern während der CO­VID-19-Pan­de­mie bei der Durchführung von Vi­deo­kon­fe­renz-Li­vestreams für den hy­bri­den Schul­un­ter­richt. In der vom EuGH ent­schie­de­nen Rechts­sa­che ging es kon­kret um eine hes­si­sche Re­ge­lung im Lan­des­da­ten­schutz­ge­setz zum Ar­beit­neh­mer­da­ten­schutz. Auf Ba­sis die­ser Re­ge­lung sah es das Hes­si­sche Kul­tus­mi­nis­te­rium nicht für er­for­der­lich an, von Leh­re­rin­nen und Leh­rern eine da­ten­schutz­recht­li­che Ein­wil­li­gung für die Vi­deo­kon­fe­renz-Li­vestreams ein­zu­ho­len. Schüler hin­ge­gen wur­den um de­ren Ein­wil­li­gung, ggf. ver­tre­ten durch die El­tern, ge­be­ten. So­wohl das Hes­si­sche Kul­tus­mi­nis­te­rium als auch das zuständige Ver­wal­tungs­ge­richt sa­hen auf die Klage des Haupt­per­so­nal­rats der Leh­re­rin­nen und Leh­rer in der hes­si­schen Re­ge­lung zum Ar­beit­neh­mer­da­ten­schutz eine „spe­zi­fi­schere Vor­schrift“ im Sinne des Art. 88 Abs. 1 DS­GVO, die die Ver­ar­bei­tung vor­ran­gig er­laubt und da­mit vor­sieht, dass eine Ein­wil­li­gung der Leh­re­rin­nen und Leh­rer nicht benötigt wird. Nach Art. 88 DS­GVO sind Mit­glied­staa­ten ermäch­tigt, spe­zi­fi­schere, na­tio­nale Re­ge­lun­gen zur Gewähr­leis­tung des Schut­zes der Rechte und Frei­hei­ten von Be­schäftig­ten hin­sicht­lich der Ver­ar­bei­tung ih­rer per­so­nen­be­zo­ge­nen Da­ten im Be­schäfti­gungs­kon­text zu fas­sen. Al­ler­dings zwei­felte das Ver­wal­tungs­ge­richt die Ver­ein­bar­keit der hes­si­schen Re­ge­lung mit den Vor­aus­set­zun­gen des Art. 88 Abs. 2 DS­GVO an und er­suchte des­halb den EuGH um eine Vor­ab­ent­schei­dung.

Zu welchem Ergebnis kam der EuGH?

In sei­nem Ur­teil vom 30.03.2023, Rs. C-34/21, Haupt­per­so­nal­rat der Leh­re­rin­nen und Leh­rer, führt der EuGH zunächst aus, dass der Vi­deo­kon­fe­renz-Li­vestream des öff­ent­li­chen Schul­un­ter­richts grundsätz­lich in den sach­li­chen An­wen­dungs­be­reich der DS­GVO fällt. Die Über­tra­gung der Ka­me­ra­bil­der so­wie Na­mens­an­ga­ben im Rah­men der Vi­deo­kon­fe­renz sind eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten im Sinne der DS­GVO. Hin­sicht­lich der hes­si­schen Re­ge­lung zum Ar­beit­neh­mer­da­ten­schutz, wor­aus das Hes­si­sche Kul­tus­mi­nis­te­rium ge­fol­gert hatte, dass keine ausdrück­li­che da­ten­schutz­recht­li­che Ein­wil­li­gung der Leh­re­rin­nen und Leh­rer er­for­der­lich sei, ur­teilt der EuGH, dass es sich nur dann um eine nach Art. 88 Abs. 1 DS­GVO „spe­zi­fi­schere Vor­schrift“ han­deln kann, wenn diese auch die Vor­ga­ben des Art. 88 Abs. 2 DS­GVO erfüllt.

Als „spe­zi­fi­schere Vor­schrif­ten“ ge­fasste Re­ge­lun­gen ei­nes Mit­glied­staats dürfen sich da­bei aber nicht auf eine bloße Wie­der­ho­lung der Be­stim­mun­gen der DS­GVO zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten be­schränken. Viel­mehr ist er­for­der­lich, dass sich die Re­ge­lun­gen von dem all­ge­mei­nen Re­ge­lungs­ge­halt der DS­GVO un­ter­schei­den und auf den zusätz­li­chen Schutz der Rechte und Frei­hei­ten der Be­schäftig­ten ab­zie­len müssen. Zu­dem ist gemäß Art. 88 Abs. 2 DS­GVO er­for­der­lich, dass die „spe­zi­fi­sche­ren Vor­schrif­ten“ ge­eig­nete und be­son­dere Maßnah­men zur Wah­rung der mensch­li­chen Würde, der be­rech­tig­ten In­ter­es­sen und der Grund­rechte der be­trof­fe­nen Per­son, ins­be­son­dere im Hin­blick auf die Trans­pa­renz der Ver­ar­bei­tung, der Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in­ner­halb ei­ner Un­ter­neh­mens­gruppe so­wie der Über­wa­chungs­sys­teme am Ar­beits­platz tref­fen. Nur wenn diese bei­den An­for­de­run­gen erfüllt sind, fin­den na­tio­nale Re­ge­lun­gen zum Be­schäftig­ten­da­ten­schutz An­wen­dung. Sind die An­for­de­run­gen nicht oder nur teil­weise erfüllt, sind die Re­ge­lun­gen nicht an­wend­bar und es ver­bleibt beim ge­setz­li­chen Rah­men der DS­GVO.

Ob die ge­genständ­li­chen Nor­men diese An­for­de­run­gen erfüllen, muss nun das vor­le­gende Ge­richt, hier das zuständige Ver­wal­tungs­ge­richt, be­ur­tei­len. So­fern das na­tio­nale Ge­richt dies ver­neint, seien die Be­stim­mun­gen nicht an­wend­bar.

Was bedeutet das für den Arbeitnehmerdatenschutz in Deutschland?

Im Rah­men der Einführung der DS­GVO ha­ben der Bun­des­ge­setz­ge­ber und die Länder ver­meint­lich von ih­rer Be­fug­nis aus Art. 88 DS­GVO Ge­brauch ge­macht und ge­son­derte Re­ge­lun­gen zum Be­schäftig­ten­da­ten­schutz im BDSG und den Lan­des­da­ten­schutz­ge­set­zen auf­ge­nom­men. Die Ge­setz­ge­ber ha­ben da­bei je­doch ent­we­der die bis­he­ri­gen Re­ge­lun­gen (etwa § 32 BDSG alt) na­hezu wort­gleich über­nom­men oder in An­leh­nung an die Re­ge­lun­gen der DS­GVO for­mu­liert.

Mit sei­nem Ur­teil stellt der EuGH nun klar, dass es für die vor­ran­gige An­wen­dung von na­tio­na­len Re­ge­lun­gen im Be­schäftig­ten­da­ten­schutz nicht al­lein dar­auf an­kommt, dass der na­tio­nale Ge­setz­ge­ber ei­gene Re­ge­lun­gen er­las­sen hat, son­dern er muss auch si­cher­stel­len, dass diese Re­ge­lun­gen einen ei­ge­nen, über die Re­ge­lun­gen der DS­GVO hin­aus­ge­hen­den Schutz­be­reich ha­ben. Ist dies nicht der Fall, bleibt es beim Vor­rang der DS­GVO.

Ge­rade im Rah­men der Re­ge­lun­gen zur Begründung, Durchführung und Be­en­di­gung des Ar­beits­verhält­nis­ses be­ste­hen nun­mehr er­heb­li­che Zwei­fel, ob § 26 BDSG oder die ver­gleich­ba­ren Re­ge­lun­gen in den Lan­des­da­ten­schutz­ge­set­zen wei­ter­hin an­ge­wandt wer­den können, da diese kei­nen zusätz­li­chen Schutz zu den Re­ge­lung der DS­GVO für die Be­trof­fe­nen bie­ten. Diese Ein­schätzung teilt nun auch der Ham­bur­gi­sche Be­auf­tragte für den Da­ten­schutz. Er hält die Re­ge­lun­gen zum Ar­beit­neh­mer­da­ten­schutz im BDSG und den je­wei­li­gen Lan­des­ge­set­zen für un­an­wend­bar.

Die Ver­ar­bei­tung von Be­schäftig­ten­da­ten wird da­durch nicht un­zulässig, so­dass kein Grund zu Pa­nik be­steht, aber Ar­beit­ge­ber müssen er­neut die ein­schlägi­gen Rechts­grund­la­gen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten von Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern überprüfen und ins­be­son­dere Da­ten­schutz­hin­weise an­pas­sen. Auch die all­ge­mei­nen Re­ge­lun­gen der DS­GVO bie­ten aus­rei­chend Grund­lage für die Ver­ar­bei­tung von Mit­ar­bei­ter­da­ten, wie sich auch in an­de­ren Mit­glied­staa­ten der EU zeigt. Deutsch­land war ei­nes der we­ni­gen Länder, dass von der Öff­nungs­klau­sel in Art. 88 DS­GVO Ge­brauch ge­macht hat. Im Ein­zel­fall kann auch der Ab­schluss zusätz­li­cher Be­triebs­ver­ein­ba­run­gen hilf­reich sein, wenn die Ver­ar­bei­tung nicht auf die all­ge­mei­nen Re­ge­lun­gen der DS­GVO gestützt wer­den kann.

Ob die na­tio­na­len Re­ge­lun­gen nun vollständig un­wirk­sam sind, bleibt je­doch ab­zu­war­ten. Zunächst ist dar­auf zu ach­ten, zu wel­chem Er­geb­nis das zuständige Ver­wal­tungs­ge­richt für die hes­si­sche Re­ge­lung kommt. Sollte das Ver­wal­tungs­ge­richt die Re­ge­lun­gen für un­wirk­sam hal­ten, wird man da­von aus­ge­hen können, dass auch die Re­ge­lun­gen des BDSG und den übri­gen Lan­des­ge­set­zen nicht an­wend­bar sind. Der Ge­setz­ge­ber wird seine Re­ge­lun­gen an­pas­sen müssen, sollte er einen wei­ter­ge­hen­den Schutz als die DS­GVO be­ab­sich­ti­gen.

Un­ter­neh­men blei­ben bis da­hin aber gut be­ra­ten, stets zu prüfen, auf wel­cher Rechts­grund­lage nach der DS­GVO sie die per­so­nen­be­zo­ge­nen Da­ten ih­rer Mit­ar­bei­ter ver­ar­bei­ten, und ggf. er­for­der­li­che An­pas­sun­gen zu tref­fen.