Nach EuGH - Urteil: Die zentrale deutsche Norm zum Beschäftigtendatenschutz ist in Teilen unwirksam - wie geht es jetzt weiter?
Im März 2023 hat der EuGH entschieden, dass Normen wie § 26 Abs. 1. S. 1 BDSG, eine zentrale Norm des nationalen Beschäftigtendatenschutzes in Deutschland, europarechtswidrig sind (Urteil vom 30.03.2023, Rs. C-34/21), weil sie nur den Inhalt des Art. 6 EU-DSGVO wiederholen. Viele Unternehmen fragen sich, was sie nun tun müssen.
 |
| Beschäftigtendatenschutz |
In diesem Beitrag beschäftigen wir uns mit dieser Frage und insbesondere auch damit, was das Urteil für Betriebsvereinbarungen bedeutet.
Welcher Sachverhalt liegt dem Urteil zu Grunde?
Der Ausgangsrechtsstreit vor dem Verwaltungsgericht (VG)
Wiesbaden drehte sich um die Frage der Rechtmäßigkeit des Livestream-Unterrichts
per Videokonferenz an hessischen Schulen ohne vorherige Einwilligung der
betroffenen Lehrkräfte. Der Hauptpersonalrat der Lehrerinnen und Lehrer beim
Hessischen Kultusministerium hatte gegen das Ministerium geklagt, weil für
diesen Livestream-Unterricht während der Corona-Pandemie die Lehrerdaten
verarbeitet wurden, ohne dass die Lehrer ihre Einwilligung gegeben hätten.
Der Hessische Kultusminister machte geltend, dass die
Verarbeitung personenbezogener Daten beim Livestreamunterricht per Videokonferenz
von § 23 Abs. 1 Satz 1 HDSIG gedeckt sei, so dass sie ohne Einholung der
Einwilligung der betroffenen Lehrkraft erfolgen könne.
Allerdings hatte das VG Wiesbaden Zweifel an der Wirksamkeit
dieser Regelung, die gleichlautend mit der nationalen Regelung des § 26 Abs. 1
S. 1 BDSG ist. Daher richtete das VG Wiesbaden im Wege des
Vorabentscheidungsverfahrens nach Art. 267 AEUV eine Vorlagefrage an den EuGH.
Das VG Wiesbaden wollte vom EuGH sinngemäß wissen, ob eine Vorschrift, die auf
der Grundlage des Art. 88 Abs. 1 EU-DSGVO erlassen wurde (wie § 23 Abs. 1 Satz
1 HDSIG) die Anforderungen des Art. 88 Abs. 2 EU-DSGVO erfüllen muss, um
wirksam zu sein. Hier die Vorlagefragen des VG Wiesbade im Wortlaut:
"1. Ist
Art. 88 Abs. 1 DSGVO dahin auszulegen, dass eine Rechtsvorschrift, um eine
spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und
Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten
im Beschäftigungskontext im Sinne des Art. 88 Abs. 1 DSGVO zu sein, die an
solche Vorschriften nach Art. 88 Abs. 2 DSGVO gestellten Anforderungen erfüllen
muss?
2. Kann eine
nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DSGVO
offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben?"
Zur Erläuterung: Art. 88 Abs. 1 EU-DSGVO erlaubt als sog. Öffnungsklausel den Mitgliedsstaaten im Bereich des Beschäftigtendatenschutzes "durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten (…), insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags (…)" zu erlassen. Ohne diese Öffnungsklausel könnten die Mitgliedsstaaten keine eigenen Rechtsnormen im Bereich des Beschäftigtendatenschutzes erlassen, weil die EU-DSGVO als Europarecht das nationale Recht ansonsten verdrängen würde.
Wie entschied der EuGH?
Der EuGH entschied, dass
- Art. 88 Abs. 1 EU-DSGVO so auszulegen ist, dass "eine Rechtsvorschrift, um als spezifischere Vorschrift im Sinne von Abs. 1 dieses Artikels eingestuft werden zu können, die Vorgaben von Abs. 2 dieses Artikels erfüllen muss" und
- eine Vorschrift, die nicht die Anforderungen des
Art. 88 Abs. 2 EU-DSGVO erfüllt, nicht europarechtskonform ist.
Nach Art. 88 Abs. 2 EU-DSGVO müssen die nationalen Regelungen, die aufgrund der Öffnungsklausel erlassen werden, besondere Maßnahmen zum Schutz der Beschäftigten enthalten. Art. 88 Abs. 2 EU-DSGVO besagt:
Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz
Man kann das EuGH - Urteil nun so verstehen, dass mit
"diesen Vorschriften" in Abs. 2 eben die Vorschriften im Sinne des
Abs. 1 gemeint sind.
Dabei muss es sich gem. Art. 88 Abs. 1 EU-DSGVO und nach dem EuGH aber um "spezifischere Vorschriften" handeln. Das bedeute, dass diese vom nationalen Gesetzgeber erlassenen spezifischeren Vorschriften nicht einfach die in Art. 6 EU-DSGVO genannten Rechtmäßigkeitsanforderungen wiederholen dürfen. Sie müssen eben zusätzlich die Anforderungen des Art. 88 Abs. 2 EU-DSGVO erfüllen. Das heißt, die betreffenden nationalen Vorschriften müssen auch geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen beinhalten.
Was bedeutet das Urteil für die Praxis?
1. Unwirksamkeit von § 26 Abs. 1 S. 1 BDSG
Weil § 26 Abs. 1 S. 1 BDSG gleichlautend mit der
verfahrensgegenständlichen hessischen Vorschrift ist, dürfte § 26 Abs. 1 S. 1
BDSG unwirksam sein. Auf den ersten Blick ist das nur eine Randnotiz wert, denn
die Vorschrift ist ja lediglich aus dem Grund wahrscheinlich unwirksam, dass
sie die in Art. 6 Abs. 1 lit. b EU-DSGVO verankerten Grundsätze wiederholt. Die
Unwirksamkeit des hessischen § 23 Abs. 1 Satz 1 HDSIG muss noch vom VG
Wiesbaden festgestellt werden, aber davon ist nach dem EuGH - Urteil
auszugehen.
Dennoch ergibt sich aus der zu unterstellenden Unwirksamkeit
von § 26 Abs. 1 S. 1 BDSG und der Tatsache, dass diese Vorschrift nicht mehr
als Rechtsgrundlage herangezogen werden darf, in folgenden Bereichen
Änderungsbedarf:
- Prüfung der Rechtsgrundlage: § 26 BDSG ist nicht mehr als Rechtsgrundlage heranzuziehen, d.h. es ist zu prüfen, ob Art. 6 EU-DSGVO greift (das dürfte in der Regel der Fall sein),
- Verzeichnis von Verarbeitungstätigkeiten (VVT): Hier sollte § 26 BDSG nicht mehr als Rechtsgrundlage aufgeführt werden, sondern nur noch Art. 6 EU-DSGVO.
- Datenschutzerklärung für Beschäftigte: Auch hier wird die Rechtsgrundlage genannt.
2. Bedeutung für Betriebsvereinbarungen
Insbesondere zu folgenden Aspekten müssen nach Art. 88 Abs.
2 EU-DSGVO in Betriebsvereinbarungen (und sonstigen Rechtsvorschriften oder
Kollektivvereinbarungen) Maßnahmen vorgesehen werden, um "die menschliche
Würde und die berechtigten Interessen und Grundrechte der betroffenen
Person" zu schützen:
- Transparenz der Verarbeitung,
- Ggf. Datenübermittlung innerhalb einer Unternehmensgruppe,
- Überwachungssysteme am Arbeitsplatz.
Diese Aufzählung in Art. 88 Abs. 2 EU-DSGVO ist jedoch nicht
abschließend. Es können auch Regelungen zu Zweckbindung, Datensicherheit oder
hinsichtlich Datenverletzungen zweckmäßig sein.
Bestehende Betriebsvereinbarungen müssen nun also im
Hinblick auf ihre Vereinbarkeit mit Art. 88 Abs. 2 EU-DSGVO geprüft werden.
Um den Umsetzungsaufwand zu verringern, kann eine Rahmenbetriebsvereinbarung für die Einführung und Nutzung von IT - Systemen abgeschlossen werden. Diese Rahmenbetriebsvereinbarung soll die Mitbestimmung nach § 87 Nr. 6 BetrVG standardisieren und für jede Einführung eines neuen IT - Systems gelten. Sie sollte natürlich Regelungen enthalten, die den Anforderungen des Art. 88 Abs. 2 EU-DSGVO genügen. Ein weiterer, wesentlicher Vorteil der Rahmenbetriebsvereinbarung ist, dass dann nicht mehr für jedes neue IT - System eine separate Betriebsvereinbarung erforderlich ist. Außerdem könnte nach umstrittener Ansicht die Zustimmung des Betriebsrates nach § 87 Nr. 6 BetrVG entbehrlich sein, weil es nicht um die Einführung eines konkreten IT - Systems geht.
Fazit
Unternehmen sollten prüfen, ob ihre Betriebsvereinbarungen
die Anforderungen des Art. 88 Abs. 2 EU-DSGVO erfüllen. Außerdem sollten sie §
26 BDSG nicht mehr als Rechtsgrundlage heranziehen und zitieren.
Benötigen Sie Hilfe bei der Umsetzung? Kein Problem!
Das könnte Sie auch interessieren:
