Der EuGH zu Beschäftigtendaten
Datenverarbeitung im Beschäftigungsverhältnis – ist § 26 BDSG unwirksam?
Der EuGH hat gesprochen. Womöglich ist die deutsche Regelung des § 26 Abs. 1 BDSG nicht mit den Regelungen der europäischen DSGVO vereinbar.
Die DSGVO, die bekanntermaßen seit Mai 2018 in der gesamten Europäischen Union gilt, gibt den EU-Bürgern umfassende Rechte in Bezug auf ihre persönlichen Daten. Auch Arbeitgeber müssen dabei sicherstellen, dass die Daten ihrer Beschäftigten nur im Rahmen der gesetzlichen Vorgaben und aufgrund einer geeigneten Rechtsgrundlage verarbeitet werden. Dazu gehören insbesondere die Pflicht zur transparenten Information, das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit.
Rechtmäßigkeit der Verarbeitung
Als Rechtsgrundlage jeder Verarbeitung bedarf es grundsätzlich einer der Erlaubnistatbestände aus Artikel 6 I DSGVO:
- Ein Vertrag bzw. dessen Anbahnung nach Art. 6 Abs. 1 S. 1 lit b) DSGVO
- Eine wirksam eingeholte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO
- Eine rechtliche Verpflichtung hierzu nach Art. 6 Abs. 1 S. 1 lit. c) DSGVO
- Ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO
Möglicherweise werden diese noch für besondere Kategorien personenbezogener Daten in Artikel 9 DSGVO spezifiziert und strenger geregelt, etwa für Gesundheitsdaten, Daten zur ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Daten zum Sexualleben oder zur sexuellen Orientierung einer Person, genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person…
Sonderregelungen in Deutschland nach § 26 BDSG
Grundsätzlich fallen auch Beschäftigungsverhältnisse in den Bereich der vertraglichen Regelungen (Arbeitsverträge!) und wären demnach aufgrund von Art. 6 Abs. 1 S. 1 lit b) DSGVO zu betrachten – entweder wegen der Anbahnung oder aber zur Durchführung des (Arbeits-)Vertrags.
LEX SPECIALIS – Die Bundesrepublik hatte damals allerdings von ihrem Recht Gebrauch gemacht und nach Art. 88 Abs. 1 DSGVO als Mitgliedstaat spezifischere Vorschriften für die Verarbeitung von personenbezogenen Daten zum Zwecke des Beschäftigungsverhältnisses erlassen – nämlich den § 26 BDSG als eine nationale Rechtsvorschrift für diesen grundsätzlich zulässigen Bereich.
Diese Vorschrift wird also seit 2018 auch üblicherweise zugrunde gelegt und zitiert, wenn es um Rechtsgrundlagen der Verarbeitung im Beschäftigungskontext geht. Im Wesentlichen stehen dort dieselben Regelungen drin, die früher im alten § 32 BDSG bereits in Deutschland galten.
Beispiel:
Bei der Arbeitszeiterfassung im Unternehmen ist diese Verarbeitung für Zwecke des Beschäftigungsverhältnisses (bisher) gem. Art. 88 DSGVO i.V.m. § 26 Abs. 1 BDSG erforderlich. Die Verarbeitung ist zudem zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO erforderlich (§ 16 Abs. 2 ArbZG).
Auch im Arbeitsverhältnis gibt es aber natürlich auch solche Verarbeitungen personenbezogener Daten, die gerade nicht für die Durchführung des Arbeitsvertrags erforderlich sind, sondern z.B. zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO, etwa für das betriebliche Eingliederungsmanagement (BEM-Verfahren) gem. § 167 Abs. 2 S. 1 SGB IX.
Auch bei Foto- und Videodateien im Unternehmen wird man häufig auf eine Einwilligung der Betroffenen oder auf einen Vertrag nach Art. 6 Abs. 1 lit. b DSGVO zurückgreifen – hier dürfte schon jetzt allgemein klar sein, dass es sich beim sogenannten „Model Release Vertrag“ nicht um einen Vertrag handelt, der nach § 26 Abs. 1 BDSG zu beurteilen ist:
Ein solcher Vertrag mit dem Fotomodell geht selbstverständlich auch ohne ein bestehendes Beschäftigungsverhältnis, etwa bei Schauspielern oder sonstigen Personen, die nicht bei dem Unternehmen beschäftigt sind.
Sonderregelung nach § 26 BDSG unwirksam?
Der § 26 BDSG regelt für Deutschland, wann Arbeitgeber zur Durchführung des Arbeitsverhältnisses personenbezogene Daten ihrer Beschäftigten erheben, verarbeiten und nutzen dürfen. Diese Regelung ist jedoch umstritten und wird von vielen Datenschutzexperten als unzureichend spezifisch angesehen:
Die Regelungen Des § 26 BDSG Stellen Nur Klar, Was Eigentlich Ohnehin Naheliegt:
Dass für die Begründung eines Beschäftigungsverhältnisses und für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung von Rechten und Pflichten aus einschlägigen Gesetzen personenbezogene Daten von Beschäftigten verarbeitet werden dürfen. (Abs. 1 Satz 1).
Weiter enthält § 26 BDSG noch ein paar Regelungen und Klarstellungen für den Umgang mit personenbezogenen Beschäftigtendaten bei der Aufdeckung von Straftaten, für die Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis, für besonders geschützte Daten nach Art. 9 DSGVO und für Kollektivvereinbarungen (etwa Tarifverträge und Betriebsvereinbarungen).
- 26 (8) BDSG stellt dann noch klar, dass es beim Begriff der Beschäftigten im Sinne dieses Gesetzes um einen sehr weitgefassten Personenkreis für „Beschäftigte“ geht, also wesentlich weiter als etwa nur um Beschäftigte mit einem aktuell gültigen Arbeitsvertrag. (im Bewerbungsverfahren, Azubis, Arbeitnehmerüberlassung/ „Leiharbeitnehmer“, Praktikanten, Rehabilitanden usw.)
Warum also die Kritik, warum ggf. unwirksam?
Dass es an einer klaren und umfassenden gesetzlichen Regelung zum Datenschutz der Beschäftigten in Deutschland – eben als Beschäftigtendatenschutzgesetz – fehlt, ist wohl unbestritten. Dass dies dringend erforderlich ist, um den Schutz der persönlichen Daten zu verbessern und für mehr Rechtssicherheit gerade auch in den Personalabteilungen zu sorgen, ebenso, auch wenn manche politische Akteure schwammigere („flexiblere“) Formulierungen bevorzugen mögen.
Die Zeit für ein Beschäftigtendatenschutzgesetz ist „Jetzt“!
Neben diversen Datenschützern ist auch die Datenschutzkonferenz (DSK) also die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder der Auffassung, dass weitergehende – spezifischere Regelungen – notwendig und überfällig sind:
„§ 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.“
Wie schon unter der vorherigen Regierung hat auch der jetzige deutsche Gesetzgeber bisher keine vernünftige und rechtsichere Regelung des Beschäftigtendatenschutzes vorgelegt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, appelliert seit Jahren an die Verantwortlichen in Berlin, endlich ein Gesetz zum Beschäftigtendatenschutz auf den Weg zu bringen und zu verabschieden. Gerade auch bei der fortschreitenden Digitalisierung in Betrieben und Verwaltungen braucht es klare und einheitliche Regelungen – durch neue Techniken wie künstliche Intelligenz ohnehin.
Klar zu regeln wäre unter anderem insbesondere das Fragerecht bei der Einstellung von Bewerberinnen und Bewerbern, das Pre-Employment-Screening, die Grenzen zulässiger Kontrollen von Beschäftigten etwa bei Videoüberwachung am Arbeitsplatz, die Begrenzung von Geolokalisierungen (GPS), die Verwendung biometrischer Authentifizierungs- und Autorisierungssysteme oder die Nutzung künstlicher Intelligenz.
Auch die Ampel-Regierung hatte sich bereits im Koalitionsvertrag darauf geeinigt, »Regelungen zum Beschäftigtendatenschutz« zu schaffen. Die Möglichkeit, dass der Gesetzgeber in einer spezifischeren Regelung über das Ziel hinausschießt, ist vor dem Hintergrund der „Zeitenwende“ und Neubewertung von Fragen der nationalen Sicherheit durchaus gegeben.
Hintergrund zum EuGH Urteil
Bisher hatten auch die höchsten deutsche Gerichte noch nicht ernsthaft daran gezweifelt, dass der nationale Gesetzgeber von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat.
Das VG Wiesbaden fragte sich nun allerdings, ob die deutschen Regelungen als „spezifischere Vorschriften“ im Sinne von Art. 88 DSGVO anzusehen sind, und legte die Sache dem EuGH vor. (Urt. v. 30.03.2023, Az. C-34/21). Hintergrund der vorgelegten Entscheidung aus Hessen waren Fragen zur Einwilligung der Lehrer beim Livestream-Unterricht durch Videokonferenzsysteme nach dem mit § 26 BDSG wortgleichen hessischen Datenschutzgesetz (HDSIG).
Keine Generalklauseln, keine bloße Wiederholung der DSGVO-Regelungen
Der Europäische Gerichtshof hat daraufhin in seiner Entscheidung vom 30. März ausgeführt, dass eine „spezifischere Norm“ i.S.d. Art. 88 DSGVO nicht bloß die Bestimmungen der DSGVO wiederholen dürfe. Von einer „spezifischeren Norm“ sei nur dann auszugehen, wenn diese „besondere Maßnahmen zur Wahrung der menschlichen Würde, berechtigten Interessen und der Grundrechte der betroffenen Person“ umfasst.
Der EuGH hat also Generalklauseln im nationalen Beschäftigtendatenschutz für unanwendbar erklärt, da sie gegen die vorrangig anwendbare DSGVO verstoßen (EuGH, Urteil v. 30. März 2023 – C-34/21). Die Öffnungsklausel des Art. 88 DSGVO lasse nur im Vergleich zur DSGVO „spezifischere Vorschriften“ zu, aber gerade keine Wiederholung der Bestimmungen der DSGVO, wie § 26 Abs. 1 BDSG.
Kurz: Die deutschen Regeln sind also nicht klar genug gefasst und überflüssig,
weil das Wesentliche bereits in der DSGVO geregelt ist…
Ob man das Urteil jetzt als wie andere eine „schallende Ohrfeige für den damaligen Gesetzgeber“ bezeichnen will, sei dahingestellt. Es bleibt die wichtigere Frage, wie derzeit und künftig zu verfahren ist, wenn es um personenbezogene Daten im Beschäftigungskontext geht – das betrifft uns als externe Datenschutzbeauftragte genauso wie Verantwortliche, insbesondere die Fachverantwortlichen in Ihren Personalabteilungen.
Was nun? Konsequenz und künftiges Vorgehen
Natürlich ist nach dem EuGH-Urteil noch nicht das letzte Wort gesprochen, was mit den deutschen Regelungen passiert. Es bleibt die Hoffnung, dass der deutsche Gesetzgeber jetzt zügig spezifischere Regelungen für einen nationalen Beschäftigtendatenschutz aufstellt und endlich ein Gesetz zum Beschäftigtendatenschutz verabschiedet. Entwürfe liegen vor.
Bis dahin muss man aber auch etwa in den Personalabteilungen weiterarbeiten können.
Wir empfehlen, die Erlaubnistatbestände aus Art. 6 I DSGVO zugrunde zu legen.
Sie sind ohnehin die allgemein und EU-weit gültigen Rechtsgrundlagen, die auch außerhalb des Beschäftigungsverhältnisses bei Verträgen angewendet werden. Hier war sinngemäß ohnehin schon zu prüfen gewesen, ob Verarbeitungen wirksam auf einen Arbeitsvertrag bzw. auf ein Beschäftigungsverhältnis abgestellt werden können. Man wird also künftig zu prüfen haben, welche Rechtsgrundlagen alternativ greifen – das könnte insbesondere der Beschäftigungsvertrag bzw. dessen Anbahnung nach Art. 6 Abs. 1 S. 1 lit b) DSGVO sein. Auf den oft zu lesenden Zusatz „in Verbindung mit Art. 88 DSGVO, § 26 BDSG“ wäre dann künftig bei der Bezeichnung zu verzichten.
Bei einer Datenverarbeitung im Beschäftigungskontext aufgrund einer Einwilligung sind die Vorschriften für deren Wirksamkeit nach Art. 7 DSGVO ohnehin zu beachten.
Auch die Informationspflichten nach Art. 12ff DSGVO sind ohnehin bereits umzusetzen – bei den eigenen Beschäftigten etwa durch spezifische Datenschutzhinweise (DSE für Beschäftigte).
Bei Verarbeitung besonderer Kategorien personenbezogener Daten – also bei besonders sensiblen Daten nach Art. 9 DSGVO – müssen angemessene und spezifische Maßnahmen, also passende TOM, schon aus Gründen der Risikoerwägung getroffen werden.
Keine Panik
Wer sich also inhaltlich bereits an die Datenschutzregelungen auch bei Beschäftigtendaten hält, kann relativ beruhigt sein. Lediglich die juristisch korrekte Verweisung – also die Schreib-/Zitierweise – ist wie erwähnt nicht mehr wie bisher auf Art. 88 DSGVO mit § 26 BDSG zu stützen, sondern direkt auf Artikel 6 I DSGVO.
Dort steht wörtlich unter Buchstabe b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Wenn die Verarbeitung nicht für den Vertrag – also das Beschäftigungsverhältnis – erforderlich ist, dann muss entweder eine andere taugliche Rechtsgrundlage belastbar greifen oder sie ist rechtswidrig…
Die Rechtsgrundlage sollte sukzessive in den für die Beschäftigten einschlägigen Verzeichnissen der Verarbeitungstätigkeiten und den Datenschutzhinweisen an die Betroffenen entsprechend aktualisiert werden. Stattdessen jetzt individuelle Betriebsvereinbarungen als Ersatz für § 26 BDSG abzuschließen, erscheint weder erforderlich noch zweckmäßig – Auch betriebliche Vereinbarungen müssen sich an den Art. 6 und 9 DSGVO messen und können nicht über diese hinausgehen.
Sprechen Sie uns gerne bei konkreten Fragen zur Umsetzung an.