Foto von Hannah Wei auf Unsplash
Neuigkeit –
2.5.2023
Der Europäische Gerichtshof (EuGH) hat sich im Rahmen eines Vorabentscheidungsverfahrens mit § 23 HDSIG (Hessisches Datenschutz- und Informationsfreiheitsgesetz) und dessen Vereinbarkeit mit Art. 88 DSGVO „Datenverarbeitung im Beschäftigungskontext“ befasst. Im Ergebnis hat der EuGH die Anforderungen an eine „spezielle Vorschrift“ im Sinne des Art. 88 DSGVO näher beleuchtet, aber keine konkrete Antwort auf die Vereinbarkeit von § 23 HDSIG mit der Datenschutz-Grundverordnung gegeben und den Fall an das Verwaltungsgericht zurückverwiesen.
Der zugrundeliegende Fall befasst sich mit der Frage, ob § 23 HDSIG Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von Videokonferenzen von Lehrer:innen im Rahmen des Schulunterrichts sein kann. Wäre dies der Fall, könnte die Regelung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der Durchführung von Videokonferenzen genutzt werden, ohne dass beispielsweise eine Einwilligung der betroffenen Lehrer:innen nötig wäre. Andernfalls müsste auf eine alternative Rechtsgrundlage wie zum Beispiel Art. 6 Abs. 1 b) oder c) DSGVO zurückgegriffen werden.
Um als Rechtsgrundlage dienen zu können, muss die Vorschrift den Anforderungen der Öffnungsklausel des Artikels 88 DSGVO genügen.
Dies ist dann der Fall, wenn § 23 HDSIG eine speziellere Vorschrift im Sinne des Art. 88 Abs. 1 DSGVO darstellt. In diesem Punkt geht der EuGH davon aus, dass im Allgemeinen eine Norm keine „speziellere Vorschrift“ im Sinne des Art. 88 Abs. 1 DSGVO sein kann, wenn sie nicht den Anforderungen des Art. 88 Abs. 2 DSGVO genügt.
Problematisch ist, dass § 23 HDSIG keine konkreteren Vorschriften als die DSGVO enthält. Dies hätte zur Folge, dass § 23 HDSIG nicht als Rechtsgrundlage für die Verarbeitung von Daten genutzt werden könnte. Allerdings betont der EuGH, dass die Entscheidung bei dem Verwaltungsgericht liegt, welches die Frage an den EuGH vorgelegt hat.
Dies ist nicht ungewöhnlich, weil bei einem Vorlageverfahren keine Entscheidungen im Einzelfall getroffen werden, sondern eine allgemeine juristische Frage vom etwaigen nationalen Gericht an den EuGH gestellt wird, welche ebenfalls allgemein und nicht im Einzelfall beantwortet wird.
Auf den ersten Blick erscheint die Tragweite des Urteils eher gering, da es sich grundsätzlich nur mit dem hessischen Datenschutzrecht befasst. Zu beachten ist jedoch, dass § 23 HDSIG die nationale Regelung des § 26 Bundesdatenschutzgesetz (BDSG) im Wortlaut wiedergibt. Dies bedeutet, dass auch § 26 BDSG in diesem Zusammenhang mit den Vorgaben aus Art. 88 DSGVO unvereinbar sein könnte.
§ 26 BDSG regelt die Verarbeitung personenbezogener Daten zur Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses und zur Aufdeckung von Straftaten. Der Gesetzgeber hat ausweislich der Gesetzbegründung mit dieser Rechtsgrundlage von der Öffnungsklausel des Artikels 88 DSGVO zur Datenverarbeitung im Beschäftigungskontext Gebrauch gemacht. § 26 BDSG erfasst über das eigentliche Vertragsverhältnis hinaus jeglichen Umgang mit Beschäftigtendaten, die in diesem im Zusammenhang erforderlich ist. Hierdurch besteht die Gefahr, dass die Regelungen die einzelfallbezogenen Anforderungen senkt, etwa des Art 6 Abs. 1 (f) DS-GVO, wonach die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. § 26 BDSG begnügt sich im Wesentlichen mit „Erforderlichkeit“ der Datenverarbeitung und lässt dabei Spielraum zur Auslegung, ob dies nur die bloße Geeignetheit und größtmögliche Milde unter allen gleich effektiven Mitteln umfasst oder vielmehr eine vollständige Verhältnismäßigkeitsprüfung verlangt.
Entsprechendes hat das Verwaltungsgericht (VG) Wiesbaden zur streitgegenständlichen Vorlagefrage bewegt.
Das Bundesarbeitsgericht (BAG) vertrat stets die Auffassung, dass die Regelung des § 26 BDSG als spezifischere Vorschrift der Öffnungsklausel des Art. 88 Abs. 1 DSGVO gilt. Gleichwohl hat es sich zuletzt (BAG Az. 8 AZR 209/21) ebenfalls mit einer Vorlagefrage an den EuGH gewandt, um zu klären, ob eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG –, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin (unionsrechtskonform) auszulegen ist, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, 6 Abs. 1 und 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind oder ob es, wie der Wortlaut nahelegt, allein ausreicht, dass einzig wegen der Regelung in einer Kollektivvereinbarung die Erforderlichkeit der Datenverarbeitung nicht zu prüfen wäre. Die Kollektivvereinbarung würde schlicht die Einwilligung der betroffenen Personen ersetzen. Auch das BAG wirft hierin die Frage auf, was unter „spezifischeren Vorschriften“ im Sinne von Art. 88 Abs. 1 DSGVO zu verstehen ist.
Zusammenfassend lässt das Urteil mehr Fragen offen, als es beantwortet. Einerseits liefert der EuGH Argumente dafür, dass § 23 HDSIG nicht den Anforderungen des Art. 88 Abs. 2 genügt, stellt aber im nächsten Satz fest, dass sich die nationalen Gerichte mit dieser Frage zu befassen haben. Dennoch lässt das Urteil eine starke Tendenz in Richtung Unvereinbarkeit des § 23 HDSIG mit der DSGVO erkennen. Eine abschließende Entscheidung des Verwaltungsgerichts Frankfurt a.M. steht allerdings noch aus.
Zugleich zeigt die Entscheidung des EuGH eine Tendenz für das Ersuchen des BAG und weist möglicherweise schon jetzt darauf hin, dass die bloße Datenverarbeitung aufgrund einer Betriebsvereinbarung kaum ausreichen wird, um die Rechtsmäßigkeit einer Datenverarbeitung zu begründen, sondern diese ihrerseits den hohen datenschutzrechtlichen Anforderungen der Art. 5, 6 Abs. 1 und 9 Abs. 1 und Abs. 2 DSGVO genügen muss, um als Grundlage rechtmäßiger Datenverarbeitung in Betracht zu kommen und dies zugleich uneingeschränkt für die Gerichte (und Aufsichtsbehörden) überprüfbar ist.
Wir empfehlen in diesem Zusammenhang keine übereilten Maßnahmen zu ergreifen, sondern eine abschließende Entscheidung des zuständigen nationalen Gerichts sowie Stellungnahmen der Aufsichtsbehörden abzuwarten. Allerdings zeigt sich die Notwendigkeit der Einhaltung der datenschutzrechtlichen Vorgaben in jeder Betriebsvereinbarung, da diese nicht per se die Datenverarbeitung von Beschäftigtendaten zu legitimieren vermag.
Die Pressemitteilung des EuGH finden Sie unter:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-03/cp230054de.pdf