Im März hatte der EuGH entschieden, dass die Regelung im Landesrecht Hessen zur Verarbeitung von Beschäftigtendaten europarechtswidrig sein dürfte (wir berichteten in unserer letzten Mandanteninformation aus April 2023 darüber). Damit steht auch die für nicht öffentliche Stellen, also für alle privaten Arbeitgeber relevante Regelung des Beschäftigtendatenschutzes in § 26 BDSG auf dem Prüfstand. Mit dieser Mandanteninformation erläutern wir die Konsequenzen des Urteils für die Anwendbarkeit der einzelnen Normteile von § 26 BDSG und fassen den Handlungsbedarf für Verantwortliche zusammen.
Worum geht es?
Die Corona-Zeit brachte neu Rechtsaspekte mit sich – auch (und gerade) das Datenschutzrecht war vielfach betroffen in Folge der neuen häuslichen Arbeitsbedingungen. Noch unter diesen pandemischen Auswirkungen erhob der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium 2020 beim VG Wiesbaden Klage, weil von den Lehrkräften keine Einwilligungen in die bei Videokonferenzen erfolgenden Datenverarbeitungen beim Liveunterricht eingeholt wurden. Denn das Hessische Kultusministerium machte geltend, dass die Verarbeitung personenbezogener Daten von § 23 Abs. 1 Satz 1 HDSIG (Hessisches Datenschutz- und Informationsfreiheitsgesetz), der vergleichbar zu § 26 Abs. 1 Satz 1 BDSG Folgendes regelt:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist.“
§ 23 HDSIG als spezifischere Vorschrift zum Beschäftigtendatenschutzrecht in Deutschland?
Das VG Wiesbaden hegte Zweifel an der Konformität dieser Regelung mit dem EU-Recht, maßgeblich der Vereinbarkeit mit Art. 88 DSGVO. Dieser erlaubt den Mitgliedstaaten, für Verarbeitungen im Beschäftigungskontext spezifischere Vorschriften als die der DSGVO zu erlassen. Ob § 23 Abs. 1 Satz 1 HDSIG eine solch spezifischere Vorschrift ist, die den Anforderungen von Art. 88 DSGVO genügt, wollte das VG Wiesbaden durch den EuGH geklärt wissen und legte diesem folgende Fragen zur Vorabentscheidung vor:
„1. Ist Art. 88 Abs. 1 DS-GVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigtenkontext im Sinne des Art. 88 Abs. 1 DS-GVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DS-GVO gestellten Anforderungen erfüllen muss?
2. Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DS-GVO offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben?“
Gegenstand des Verfahrens war neben § 23 Abs. 1 Satz 1 HDSIG ferner auch die landesrechtliche Norm des § 86 Abs. 4 HBG (Hessisches Beamtengesetz), die (im Beamtenverhältnis) ähnlich wie § 23 Abs. 1 HDSIG die Verarbeitung von Daten erlaubt, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift oder eine Dienstvereinbarung erlaubt wird. Die aufgestellten Grundsätze des EuGH zu § 23 Abs. 1 Satz 1 HDSIG sind auch auf § 86 Abs. 4 HBG übertragbar.
Entscheidung des EuGH und Handlungspflichten für Verantwortliche
Der EuGH entschied mit Urteil vom 30.03.2023 (Rs. C-34/21 – Volltext) über die EU-Rechtskonformität der streitgegenständlichen Vorschriften und setzte sich hierbei intensiv mit Art. 88 DSGVO sowie § 23 Abs. 1 Satz1 HDSIG und § 86 Abs. 4 HBG auseinander. Zwar beantwortet der EuGH primär die Vorlagefragen und stellt klar, dass es „Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts sei, zu beurteilen, ob die im Ausgangsverfahren in Rede stehenden Bestimmungen die in Art. 88 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachten“. Allerdings lässt er – wie schon zuvor der Generalanwalt in seinen Schlussanträgen – die Tendenz erkennen, dass er die Vorschriften als nicht vereinbar mit Art. 88 Abs. 1 und Abs. 2 DSGVO ansieht. Denn die Normen wiederholen lediglich die bereits in Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO aufgestellten Bedingungen für die allgemeine Rechtmäßigkeit der Verarbeitung, ohne eine spezifischere Vorschrift im Sinne von Art. 88 Abs. 1 DSGVO hinzuzufügen.
Mit dem Inhalt der Entscheidung haben wir uns bereits umfassend im April in unserer letzten Mandanteninformation auseinandergesetzt. Dies können sie gerne hier noch einmal nachlesen. Aus dem Urteil ergeben sich zusammenfassend folgende Konsequenzen und Handlungspflichten:
- § 26 BDSG ist – gleich welcher Absatz angewendet werden soll – keine eigenständige Rechtsgrundlage, sondern ist immer “in Verbindung mit” den Art. 6 Abs. 1 Satz 1 Buchst. a – f DSGVO bzw. Art. 6 Abs. 4 DSGVO zu lesen. Das entspricht unserer gängigen Beratungspraxis.
- Verzeichnis von Verarbeitungstätigkeiten („VVT“): Sollte im VVT noch § 26 BDSG als Rechtsgrundlage für Verarbeitungstätigkeiten mit Beschäftigtenbezug geführt werden, ist für die Verarbeitungstätigkeit zu prüfen, auf Basis welcher Rechtsgrundlage i.S.d. Art. 6 DSGVO eine Rechtfertigung erfolgen kann. Dies sollte dokumentiert werden.
- Übermittlung: Im Falle von Datenübermittlungen zwischen zwei eigenständig Verantwortlichen („C2C“) oder zwischen gemeinsam Verantwortlichen („JC“), die zuvor auf § 26 Abs. 1. S. 1 BDSG gestützt wurden (beispielsweise bei konzernweiten Verarbeitungen von Beschäftigtendaten), sollte geprüft werden, ob hier ebenfalls Art. 6 DSGVO als Rechtsgrundlage greift.
- Interessenabwägungen: Sofern die Verarbeitungstätigkeit zukünftig auf Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO gestützt wird, ist zu beachten, dass eine Interessenabwägung zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten und den gegenläufigen, schutzwürdigen Interessen der betroffenen Person durchgeführt und dokumentiert werden muss (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Hinweis: Sofern Sie die Bewertung automatisiert und toolgestützt vornehmen möchten, sprechen Sie uns gerne auf unser Legal Tech Tool zur Durchführung und Dokumentation von Inter
- Datenschutzinformationen für Beschäftigte: Auch die bestehenden Datenschutzhinweise sollten geprüft werden, ob diese noch auf § 26 BDSG als eigenständige Rechtsgrundlage Bezug nehmen. Ist dies der Fall, sind die Datenschutzinformationen für Beschäftigte zu überarbeiten. Sprechen Sie uns gerne an.
- Einwilligungserklärungen: Einwilligungserklärungen, die bislang ausschließlich auf § 26 Abs. 2 BDSG gestützt worden sind, sind zu üüberarbeiten, sodass diese Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO ausweisen (ggf. i.V.m. § 26 Abs. 2 BDSG). Bereits eingeholte Einwilligungserklärungen von Beschäftigten sollten nach Anpassung der Einwilligungserklärungen erneut eingeholt werden, weil die alten Einwilligungserklärungen wegen der falschen Angabe zur Rechtsgrundlage sehr wahrscheinlich unwirksam sein werden.
- Betriebsvereinbarungen: Betriebsvereinbarungen müssen geprüft werden, ob diese ebenfalls den Anforderungen aus Art. 88 Abs. 1 und Abs. 2 DSGVO entsprechen. Zudem sollte geprüft werden, ob Betriebsvereinbarungen auf § 26 Abs. 4 BDSG fußen, der aufgrund der Missachtung von Art. 88 Abs. 2 DSGVO nicht den Vorgaben des EuGH entsprechen dürfe. Auch Betriebsvereinbarungen konkretisieren Art. 6 DSGVO lediglich, ersetzen diesen aber nicht.
Anwendung des EuGH-Urteils auf die einzelnen Absätze des § 26 BDSG
Die Vorlagefragen und das Urteil des EuGH beziehen sich auf Absatz 1 des § 23 HDSIG. Die Wertungskriterien sind allerdings auch auf alle anderen Absätze des § 23 HDSIG und damit auch auf § 26 BDSG zur Verarbeitung von Beschäftigtendaten übertragbar, der breitere Praxisrelevanz aufweist. Bei Übertragung der aufgestellten Kriterien des EuGH gilt, dass eine Bewertung von unter Art. 88 DSGVO erlassenen Vorschriften stets anhand Art. 88 Abs. 1 und 2 DSGVO sowie den allgemeinen Regeln von Art. 5 und 6 DSGVO erfolgen muss. Unter Zugrundelegung der einzelnen Kriterien ergibt sich für die einzelnen Normteile des § 26 BDSG folgende zukünftige Anwendbarkeit:
Zu § 26 Abs. 1 Satz 1 BDSG (Verarbeitung für Zwecke des Beschäftigungsverhältnisses)
Wortlaut der Norm:
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Rechtliche Beurteilung:
§ 26 Abs. 1 Satz 1 BDSG stellt eine Wiederholung der ohnehin in Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO geltenden Grundsätze dar. Art. 88 Abs. 1 und 2 DSGVO sind damit nicht erfüllt (siehe schon ausführlich oben). Als Öffnungsklausel kommt damit nur Art. 6 Abs. 3 DSGVO in Betracht. Da die Verarbeitungen zur Durchführung des Beschäftigungsverhältnisses aber im Interesse von Arbeitgeber und Arbeitnehmer liegen, also Individualinteressen dienen und keinem eigenen öffentlichen Interesse folgen, hilft Art. 6 Abs. 3 DSGVO nicht. Zudem müsste § 26 Abs. 1 Satz 1 BDSG dann einschränkend für solche Verarbeitungen angewendet werden, die der Erfüllung einer rechtlichen Pflicht dienen. Eine solche wird aber gar nicht genannt und damit ist auch keine Prüfung der Verhältnismäßigkeit im Sinne von Art. 6 Abs. 3 Satz 4 DSGVO möglich. Art. 6 Abs. 3 Satz 1 DSGVO sieht als harte Anforderung nur eine Zweckfestlegung für die nationalen Regelungen in Art. 6 Abs. 3 Satz 1 DSGVO vor (bzw. bezogen auf Art. 6 Abs. 1 Satz 1 Buchst. e DSGVO die Erforderlichkeit), die weiteren Kriterien der Sätze 2 und 3 zum Inhalt der nationalen Regelungen sind jedoch nur als Kann-Vorschriften formuliert. Da § 26 Abs. 1 Satz 1 BDSG selbst eine Zweckbeschreibung in der nationalen Norm enthält, wären diese Vorgaben erfüllt. Das bedeutet, dass § 26 Abs. 1 Satz 1 BDSG jedenfalls im Bereich von Art. 6 Abs. 1 Satz 1 Buchst. c und Buchst. e DSGVO noch zumindest teilweise berücksichtigt werden könnte.
Folge:
§ 26 Abs. 1 Satz 1 BDSG ist nicht mehr über die Öffnungsklausel von Art. 88 DSGVO anwendbar – eine teilweise Berücksichtigung kommt ggf. über Art. 6 Abs. 3 i.V.m. Abs. 1 Satz 1 Buchst. c und e DSGVO in Betracht. Im Übrigen bleibt nur der Weg über die Erlaubnistatbestände des Art. 6 Abs. 1 Satz 1 DSGVO.
Zu § 26 Abs. 1 Satz 2 BDSG (Aufdeckung von Straftaten)
Wortlaut der Norm:
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Rechtliche Beurteilung:
§ 26 Abs. 1 Satz 2 BDSG enthält spezifischere Schutzvorschriften für Beschäftigte, sodass § 26 Abs. 1 Satz 2 BDSG den Vorgaben aus Art. 88 Abs. 2 DSGVO genügen dürfte. Auch enthält § 26 Abs. 1 Satz 2 BDSG eine konkrete Zweckbestimmung, sodass die Anwendbarkeit jedenfalls für Art. 6 Abs. 1 Satz 1 Buchst. c und/oder Buchst. e DSGVO über Art. 6 Abs. 3 DSGVO erhalten bleibt.
Hier dürfte dann auch Art. 6 Abs. 3 Satz 4 DSGVO erfüllt sein. Denn die Wahrung des Friedens im Unternehmen ist ein übergeordnetes Interesse auch des Staates am Funktionieren des Wirtschaftslebens. Straftaten (jedenfalls bei allem außerhalb der reinen Antragsdelikte) verstoßen auch gegen das öffentliche Interesse an der Wahrung der Rechtsordnung.
Folge:
§ 26 Abs. 1 Satz 2 BDSG bleibt anwendbar.
Zu § 26 Abs. 2 BDSG (Einwilligung von Beschäftigten)
Wortlaut der Norm:
Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
Rechtliche Beurteilung:
§ 26 Abs. 2 BDSG stellt eine spezifischere Vorschrift dar, da für das Beschäftigungsverhältnis nähere Angaben in Bezug auf die Möglichkeit der Einwilligung durch Beschäftigte unter Berücksichtigung des Machtungleichgewichts zwischen Arbeitgeber und Arbeitnehmer vorgenommen werden. § 26 Abs. 2 BDSG konkretisiert damit die Vorgaben aus Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO und Art. 7 DSGVO für Einwilligungserklärungen von Beschäftigten und lässt im Übrigen auch DSGVO-fremde „besondere Umstände“ zu. Die Anordnung der besonderen Form in Art. 7 DSGVO dient der Dokumentation der Einwilligung und der Belehrung über das Widerrufsrecht (vergleichbar § 623 BGB) zur Absicherung des Arbeitnehmers.
Folge:
§ 26 Abs. 2 BDSG bleibt anwendbar.
Zu § 26 Abs. 3 BDSG (Verarbeitung besonderer Kategorien von Beschäftigtendaten)
Wortlaut der Norm:
Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.
Rechtliche Beurteilung:
§ 26 Abs. 3 Satz 1, Satz 2 BDSG wiederholen in Teilen Art. 9 Abs. 2 Buchst. b und Buchst. a DSGVO. Insoweit liegen die Anforderungen an eine „spezifische“ Vorschrift nicht vor. Auch stellt § 26 Abs. 3 BDSG keine konkreten Vorgaben an einen Zweck auf, sodass die Anforderungen aus Art. 6 Abs. 3 DSGVO nicht abgebildet werden. Allein die Festlegung von Vorgaben für die zu treffenden Maßnahmen über § 26 Abs. 3 Satz 3, § 22 Abs. 2 BDSG ist nicht ausreichend, um den Vorgaben aus Art. 6 Abs. 3 Satz 3 DSGVO zu genügen; auch wenn i.S.d. Art. 88 Abs. 2 DSGVO „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ getroffen werden, fehlt es mangels der Zweckfestlegung an einer spezifischeren Vorschrift i.S.d. Art. 88 Abs. 1 DSGVO.
Die Vorgabe einer Interessenabwägung in § 26 Abs. 3 Satz 1 BDSG läuft im Übrigen ins Leere, weil sie nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO ohnehin vorzunehmen ist, wenn keine andere Rechtsgrundlage für die Verarbeitung greift. Dementsprechend müsste § 26 Abs. 3 Satz 2, Satz 3 BDSG in Zukunft unangewendet bleiben. Hinzu kommt, dass der nationale Gesetzgeber keine Abweichung von Art. 9 Abs. 1 DSGVO vornehmen darf, sondern einen der Ausnahmetatbestände aus Art. 9 Abs. 2 DSGVO mit Leben füllen muss, damit eine spezifischere Vorschrift i.S.d. Art. 88 Abs. 1 DSGVO vorläge. Das ist hier und in vielen anderen deutschen Regelungen zur Verarbeitung sensibler Daten i.S.d. Art. 9 Abs. 1, Art. 10 DSGVO nicht geschehen.
Folge:
§ 26 Abs. 3 BDSG ist nicht mehr anwendbar.
Zu § 26 Abs. 4 BDSG (Verarbeitung auf Grundlage von Kollektivvereinbarungen)
Wortlaut der Norm:
Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
Rechtliche Beurteilung:
§ 26 Abs. 4 Satz 1 BDSG erfüllt die Anforderungen aus Art. 88 Abs. 1 DSGVO nicht, weil er nur den Normtext wiederholt (Kollektivvereinbarung als Rechtsgrundlage, wenn Bedingungen aus Art. 88 Abs. 1 DSGVO eingehalten werden). Auch erfolgt keine Zweckangabe, wie dies in Art. 6 Abs. 3 Satz 2 DSGVO erforderlich wäre. Der Verweis in § 26 Abs. 4 Satz 2 BDSG auf Art. 88 Abs. 2 DSGVO ist ebenfalls gesetzeswiederholend, da Art. 88 Abs. 2 DSGVO unmittelbar zu beachten ist.
Diese Bewertung schließt jedoch Kollektivvereinbarungen als Regelungsinstrument nicht aus. Denn Art. 88 Abs. 1 DSGVO erlaubt Kollektivvereinbarungen unmittelbar, wenn die Bedingungen aus Art. 88 Abs. 1 und Abs. 2 DSGVO erfüllt sind. Lediglich der Weg über § 26 Abs. 4 BDSG ist überflüssig, da die Möglichkeit zum Erlass solcher Kollektivvereinbarungen vom Gesetzgeber bereits mit dem BetrVG und anderen Mitbestimmungsgesetzen eröffnet wird.
Folge:
§ 26 Abs. 4 BDSG ist nicht mehr anwendbar.
Zu § 26 Abs. 5 BDSG (Verpflichtung des Verantwortlichen zu geeigneten Maßnahmen)
Wortlaut der Norm:
Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
Rechtliche Beurteilung:
§ 26 Abs. 4 BDSG ist eine Wiederholung der ohnehin geltenden Pflicht des Verantwortlichen, die Grundsätze aus Art. 5 DSGVO zu beachten und zu deren Beachtung gemäß Art. 24 Abs. 1, Art. 25 Abs. 1 DSGVO geeignete Maßnahmen zu treffen. Als bloße Wiederholung kann diese Vorschrift keine „spezifischere Vorschrift“ i.S.d. Art. 88 Abs. 1 DSGVO sein.
Folge:
§ 26 Abs. 5 BDSG ist nicht mehr anwendbar.
Zu § 26 Abs. 6 BDSG (Beteiligungsrechte der Interessenvertretungen)
Wortlaut der Norm:
Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
Rechtliche Beurteilung:
§ 26 Abs. 6 BDSG wird vom Urteil des EuGH nicht tangiert.
Folge:
§ 26 Abs. 6 BDSG ist anwendbar.
Zu § 26 Abs. 7 BDSG (Verarbeitung von personenbezogenen Daten außerhalb von Dateisystemen)
Wortlaut der Norm:
Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Rechtliche Beurteilung:
§ 26 Abs. 7 BDSG kann nach den vorherigen Ausführungen allenfalls noch für § 26 Abs. 1 Satz 2 BDSG (Aufklärung von Straftaten) und § 26 Abs. 2 BDSG (Anforderung an die Einwilligung von Beschäftigten) Bedeutung haben; alle anderen referenzierten Absätze/Sätze sind unanwendbar (siehe oben) oder machen keinen Sinn (§ 26 Abs. 6 BDSG).
Durch § 26 Abs. 7 BDSG soll insgesamt der Anwendungsbereich der DSGVO über Art. 2 Abs. 1 DSGVO hinaus erweitert werden, also ein Beschäftigtendatenschutzrecht neben der DSGVO für Verarbeitungen außerhalb von Dateisystemen geschaffen werden. Das bewegt sich mangels Erfüllung der Vorgaben nicht im Rahmen von Art. 6 Abs. 3 DSGVO, sodass eine Berufung auf diese Öffnungsklausel ausscheidet. Denkbar wäre eine Berufung auf Art. 88 Abs. 1 DSGVO, wenn diese Erweiterung des Anwendungsbereichs als spezifischere Vorschrift i.S.d. Art. 88 Abs. 1 DSGVO verstanden wird. Dann scheitert die Wirksamkeit an Art. 88 Abs. 2 DSGVO, denn die Vorschrift enthält nicht die in Art. 88 Abs. 2 DSGVO verlangten Vorgaben.
§ 26 Abs. 7 BDSG könnte damit in seinem beschränkten Anwendungsbereich dazu führen, dass im Übrigen zulässige Verarbeitungen unterbunden werden, die sich ohne § 26 Abs. 7 BDSG außerhalb des Anwendungsbereichs der DSGVO bewegen würden, ohne dass dies von einer Öffnungsklausel gedeckt ist. Damit ist § 26 Abs. 7 BDSG unanwendbar.
Folge:
§ 26 Abs. 7 BDSG ist nicht mehr anwendbar.
Zu § 26 Abs. 8 BDSG (Definition des Beschäftigten)
Wortlaut der Norm:
Beschäftigte im Sinne dieses Gesetzes sind: 1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, 2. zu ihrer Berufsbildung Beschäftigte, 3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 5. Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten, 6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, 7. Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.
Rechtliche Beurteilung:
§ 26 Abs. 8 BDSG ist eine Konkretisierung des Beschäftigtenbegriffes und bleibt vom Urteil unberührt.
Folge:
§ 26 Abs. 8 BDSG ist anwendbar.
Zusammenfassung der Bewertung von § 26 BDSG
Die dargestellten Erwägungen und rechtlichen Schlussfolgerungen haben wir mit einer Ampel zusammengefasst. Rote Ampel bedeutet: der Normteil ist nicht mehr anwendbar; Grüne Ampel bedeutet: der Normteil kann weiterhin angewendet werden.
Fazit
Das Urteil des EuGH hat weitreichende Auswirkungen auf die Rechtsgrundlagen und Bedingungen für die Verarbeitung von Beschäftigtendaten.
Es ist zu erwarten, dass das VG Wiesbaden den Ausführungen des EuGH folgt und die Unvereinbarkeit des § 23 Abs.1 HDSIG bestätigt. Eine zulässige Verarbeitung kommt dann speziell für das vorliegende Schulwesen über die Öffnungsklausel des Art. 6 Abs. 3 DSGVO in Betracht. In allen anderen Fällen, in denen Beschäftigtendaten verarbeitet werden, also im Bereich der nicht öffentlichen Stellen, kommt der Weg über Art. 6 Abs. 3 DSGVO nicht in Betracht, soweit keine Aufgabe im öffentlichen Interesse ausgeführt wird. Dies führt dazu, dass weite Teil des § 23 HDSIG und dem folgend § 26 BDSG nicht mehr zur Rechtfertigung von Datenverarbeitungen im Beschäftigungskontext herangezogen werden dürfen.
Es bleibt dann der Weg über die allgemeinen Regelungen der Artt. 5 und 6 DSGVO.
Wer sind Ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), kremer@kremer-recht.de
- Julia Christmann-Thoma, LL.M., Rechtsanwältin,
julia-christmann-thoma@kremer-recht.de - Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kamm@kremer-recht.de - Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV), koehnlechner@kremer-recht.de
- Patrick Koetsier, LL.M., Rechtsanwalt,
koetsier@kremer-recht.de - Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV),
lenzen@kremer-recht.de - Michael Matejek, LLM., Wirtschaftsjurist,
matejek@kremer-recht.de - Judith Nink, Rechtsanwältin,
Judith.nink@kremer-recht.de - Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), schneider@kremer-recht.de
Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in der Kölner Straße 78, 41812 Erkelenz.
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT- oder Datenschutzprojekte und erstellt passende Standardvertragswerke für ihre Mandanten.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.