EuGH: Deutsche Regelungen im Beschäftigtenkontext unvereinbar mit der DSGVO!

25. April 2023   |   IT- und Datenschutzrecht

In seiner Entscheidung vom 30.03.2023 (C-34/21) äußerte sich der Europäische Gerichtshof (EuGH) kritisch zur Vereinbarkeit nationaler Regelungen im Beschäftigtenkontext mit den europäischen Vorgaben aus der Datenschutzgrundverordnung (DSGVO). Für Unternehmen sowie öffentliche Stellen und Behörden besteht nun Handlungsbedarf.

Hintergründe

Der Entscheidung des EuGH lagen zwei Fragen des VG Wiesbaden zur Vorabentscheidung zugrunde:

  1. Müssen spezifische Vorschriften nach Art. 88 Abs. 1 DSGVO die Anforderungen des Art. 88 Abs. 2 DSGVO erfüllen?
  2. Bleiben nationale Vorschriften, die diese Vorgaben nicht erfüllen, weiterhin anwendbar?

Hintergrund dieser Vorlagefragen war eine Klage des Hauptpersonalrats der Lehrerinnen und Lehrer beim Hessischen Kultusministerium vor dem VG Wiesbaden. Diese ist wiederum darauf zurückzuführen, dass der Minister des Hessischen Kultusministeriums während der Corona-Pandemie Schulunterricht eingeführt hatte, welcher per Livestream übermittelt wurde. Die Rechtsgrundlage für die Durchführung von Videokonferenzen durch die Lehrer*innen beruhte hierbei auf § 23 Abs. 1 Satz 1 des Hessischen Datenschutzgesetzes (HDSIG), welcher nahezu deckungsgleich mit § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist.

Bedeutung der Entscheidung für deutsche Unternehmen

Im Ergebnis entschied der EuGH, dass es sich bei § 23 HDSIG nicht um eine spezifische Vorschrift i.S.d. Art. 88 Abs. 1 und 2 DSGVO handele und die Vorschrift daher den Anforderungen der DSGVO nicht genüge. Die Entscheidung hat auch Auswirkungen auf die Anwendbarkeit der beinah identischen Vorschrift des § 26 BDSG, welche bislang in der Praxis als zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten durch Arbeitgeber*innen herangezogen wurde. Dies dürfte nunmehr der Vergangenheit angehören.

Bei der Verarbeitung personenbezogener Daten müssen Arbeitgeber*innen bei HR-Verfahren zukünftig alternative Rechtsgrundlagen prüfen. In Betracht kommen dabei:

  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung durch die Beschäftigten,
  • Art. 6 Abs. 1 lit. b DSGVO: Datenverarbeitung zur Erfüllung eines Vertrages,
  • Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung zur Verarbeitung von Beschäftigtendaten,
  • Art. 6 Abs. 1 lit. f DSGVO: Interessenabwägung (wenngleich hiermit ein erhöhter Prüfungsaufwand verbunden ist).

Konkret sind vor diesem Hintergrund daher Dokumente und Unterlagen wie Datenschutzhinweise auf Websites, Datenschutzinformationen für Mitarbeiter*innen , Verarbeitungsverzeichnisse und Einwilligungstexte zu überprüfen und ggf. zu aktualisieren. Hier dürfte aufgrund der EuGH-Entscheidung Anpassungsbedarf bestehen.

Die Aussetzung oder Beendigung von Datenverarbeitungen im HR-Kontext ist nach dem derzeitigen Sachstand aber nicht erforderlich!

Ausblick

Insgesamt führt das EuGH-Urteil zu einer klärungsbedürftigen rechtlichen Situation, sodass abzuwarten bleibt, wie sich Bund, Länder, Gerichte und die Datenschutzkonferenz (DSK) zu der Entscheidung positionieren werden. Letztere hatte bereits am 29.04.2022 den Erlass eines bereichsspezifischen Datenschutzgesetzes für Beschäftigte gefordert. Zugleich dürften die bereits vorhandenen Bestrebungen zur Schaffung eines neuen Beschäftigtendatenschutzgesetzes, wie es auch im Koalitionsvertrag angekündigt wurde, deutlichen Aufwind bekommen. 

Haben Sie hierzu Fragen? Wir stehen Ihnen gerne mit unserer langjährigen Erfahrung im Bereich des unternehmerischen Datenschutzes zur Seite. Sprechen Sie uns gerne an!