Deutsche Regelung zum Arbeitnehmerdatenschutz nicht EU-rechtskonform?

03.04.2023 | 4 Minuten Lesezeit

Der EuGH hat Ende März in einer aktuellen Entscheidung klargestellt, dass spezifischere Vorschriften zur Datenverarbeitung im Beschäftigungskontext nur in dem durch die DSGVO vorgegebenen Rahmen zulässig sind. Wird dieser Rahmen nicht eingehalten, sind nationale Regelungen unwirksam und es gelten die Grundsätze der DSGVO. Ob der in Deutschland geregelte Arbeitnehmerdatenschutz dem vollumfänglich gerecht wird, darf bezweifelt werden.

Was lag dem EuGH zur Entscheidung vor?

Gegenstand des Streits war die Verarbeitung der personenbezogenen Daten von Lehrerinnen und Lehrern während der COVID-19-Pandemie bei der Durchführung von Videokonferenz-Livestreams für den hybriden Schulunterricht. In der vom EuGH entschiedenen Rechtssache ging es konkret um eine hessische Regelung im Landesdatenschutzgesetz zum Arbeitnehmerdatenschutz. Auf Basis dieser Regelung sah es das Hessische Kultusministerium nicht für erforderlich an, von Lehrerinnen und Lehrern eine datenschutzrechtliche Einwilligung für die Videokonferenz-Livestreams einzuholen. Schüler hingegen wurden um deren Einwilligung, ggf. vertreten durch die Eltern, gebeten. Sowohl das Hessische Kultusministerium als auch das zuständige Verwaltungsgericht sahen auf die Klage des Hauptpersonalrats der Lehrerinnen und Lehrer in der hessischen Regelung zum Arbeitnehmerdatenschutz eine „spezifischere Vorschrift" im Sinne des Art. 88 Abs. 1 DSGVO, die die Verarbeitung vorrangig erlaubt und damit vorsieht, dass eine Einwilligung der Lehrerinnen und Lehrer nicht benötigt wird. Nach Art. 88 DSGVO sind Mitgliedstaaten ermächtigt, spezifischere, nationale Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext zu fassen. Allerdings zweifelte das Verwaltungsgericht die Vereinbarkeit der hessischen Regelung mit den Voraussetzungen des Art. 88 Abs. 2 DSGVO an und ersuchte deshalb den EuGH um eine Vorabentscheidung.

Zu welchem Ergebnis kam der EuGH?

In seinem Urteil vom 30.03.2023, Rs. C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer, führt der EuGH zunächst aus, dass der Videokonferenz-Livestream des öffentlichen Schulunterrichts grundsätzlich in den sachlichen Anwendungsbereich der DSGVO fällt. Die Übertragung der Kamerabilder sowie Namensangaben im Rahmen der Videokonferenz sind eine Verarbeitung personenbezogener Daten im Sinne der DSGVO. Hinsichtlich der hessischen Regelung zum Arbeitnehmerdatenschutz, woraus das Hessische Kultusministerium gefolgert hatte, dass keine ausdrückliche datenschutzrechtliche Einwilligung der Lehrerinnen und Lehrer erforderlich sei, urteilt der EuGH, dass es sich nur dann um eine nach Art. 88 Abs. 1 DSGVO „spezifischere Vorschrift" handeln kann, wenn diese auch die Vorgaben des Art. 88 Abs. 2 DSGVO erfüllt.

Als „spezifischere Vorschriften" gefasste Regelungen eines Mitgliedstaats dürfen sich dabei aber nicht auf eine bloße Wiederholung der Bestimmungen der DSGVO zur Verarbeitung personenbezogener Daten beschränken. Vielmehr ist erforderlich, dass sich die Regelungen von dem allgemeinen Regelungsgehalt der DSGVO unterscheiden und auf den zusätzlichen Schutz der Rechte und Freiheiten der Beschäftigten abzielen müssen. Zudem ist gemäß Art. 88 Abs. 2 DSGVO erforderlich, dass die „spezifischeren Vorschriften" geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, der Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe sowie der Überwachungssysteme am Arbeitsplatz treffen. Nur wenn diese beiden Anforderungen erfüllt sind, finden nationale Regelungen zum Beschäftigtendatenschutz Anwendung. Sind die Anforderungen nicht oder nur teilweise erfüllt, sind die Regelungen nicht anwendbar und es verbleibt beim gesetzlichen Rahmen der DSGVO.

Ob die gegenständlichen Normen diese Anforderungen erfüllen, muss nun das vorlegende Gericht, hier das zuständige Verwaltungsgericht, beurteilen. Sofern das nationale Gericht dies verneint, seien die Bestimmungen nicht anwendbar.

Was bedeutet das für den Arbeitnehmerdatenschutz in Deutschland?

Im Rahmen der Einführung der DSGVO haben der Bundesgesetzgeber und die Länder vermeintlich von ihrer Befugnis aus Art. 88 DSGVO Gebrauch gemacht und gesonderte Regelungen zum Beschäftigtendatenschutz im BDSG und den Landesdatenschutzgesetzen aufgenommen. Die Gesetzgeber haben dabei jedoch entweder die bisherigen Regelungen (etwa § 32 BDSG alt) nahezu wortgleich übernommen oder in Anlehnung an die Regelungen der DSGVO formuliert.

Mit seinem Urteil stellt der EuGH nun klar, dass es für die vorrangige Anwendung von nationalen Regelungen im Beschäftigtendatenschutz nicht allein darauf ankommt, dass der nationale Gesetzgeber eigene Regelungen erlassen hat, sondern er muss auch sicherstellen, dass diese Regelungen einen eigenen, über die Regelungen der DSGVO hinausgehenden Schutzbereich haben. Ist dies nicht der Fall, bleibt es beim Vorrang der DSGVO.

Gerade im Rahmen der Regelungen zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses bestehen nunmehr erhebliche Zweifel, ob § 26 BDSG oder die vergleichbaren Regelungen in den Landesdatenschutzgesetzen weiterhin angewandt werden können, da diese keinen zusätzlichen Schutz zu den Regelung der DSGVO für die Betroffenen bieten. Diese Einschätzung teilt nun auch der Hamburgische Beauftragte für den Datenschutz. Er hält die Regelungen zum Arbeitnehmerdatenschutz im BDSG und den jeweiligen Landesgesetzen für unanwendbar.

Die Verarbeitung von Beschäftigtendaten wird dadurch nicht unzulässig, sodass kein Grund zu Panik besteht, aber Arbeitgeber müssen erneut die einschlägigen Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten von Mitarbeiterinnen und Mitarbeitern überprüfen und insbesondere Datenschutzhinweise anpassen. Auch die allgemeinen Regelungen der DSGVO bieten ausreichend Grundlage für die Verarbeitung von Mitarbeiterdaten, wie sich auch in anderen Mitgliedstaaten der EU zeigt. Deutschland war eines der wenigen Länder, dass von der Öffnungsklausel in Art. 88 DSGVO Gebrauch gemacht hat. Im Einzelfall kann auch der Abschluss zusätzlicher Betriebsvereinbarungen hilfreich sein, wenn die Verarbeitung nicht auf die allgemeinen Regelungen der DSGVO gestützt werden kann.

Ob die nationalen Regelungen nun vollständig unwirksam sind, bleibt jedoch abzuwarten. Zunächst ist darauf zu achten, zu welchem Ergebnis das zuständige Verwaltungsgericht für die hessische Regelung kommt. Sollte das Verwaltungsgericht die Regelungen für unwirksam halten, wird man davon ausgehen können, dass auch die Regelungen des BDSG und den übrigen Landesgesetzen nicht anwendbar sind. Der Gesetzgeber wird seine Regelungen anpassen müssen, sollte er einen weitergehenden Schutz als die DSGVO beabsichtigen.

Unternehmen bleiben bis dahin aber gut beraten, stets zu prüfen, auf welcher Rechtsgrundlage nach der DSGVO sie die personenbezogenen Daten ihrer Mitarbeiter verarbeiten, und ggf. erforderliche Anpassungen zu treffen.