Editorial : Der EuGH erhöht den Druck für Beschäftigtendatenschutzgesetz : aus der RDV 2/2023 Seite 79
Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 30.03.2023 mit der Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts befasst. Zur Entscheidung stand die Frage, ob eine Regelung aus dem Hessischen Datenschutzrecht gegen die DS-GVO verstößt. § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) regelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist.
Nach dem Urteil des EuGH muss eine nationale Regelung zum Beschäftigtendatenschutz als eine „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DS-GVO einzustufen sein. Dazu müsse diese die Vorgaben des Art. 88 Abs. 2 DS-GVO erfüllen. Sie müsse auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere mit Blick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe und die Überwachungssysteme am Arbeitsplatz. Nationale Vorschriften zum Beschäftigtendatenschutz dürften sich nicht auf eine Wiederholung der Bestimmungen der DS-GVO beschränken.
Dieses Urteil hat auch Auswirkungen auf die Regelung des § 26 Abs. 1 S. 1 BDSG, der wie die hessische Regelung nur auf eine Erforderlichkeit für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses abstellt. Nach den Vorgaben des EuGH verstößt diese gegen das Wiederholungsverbot und wäre damit nicht anwendbar. Sachverhalte aus den Prozessen des Recruting, des Personaleinsatzes und der Kontrolle müssten nach Art. 6 Abs. 1 lit. b) bzw. lit f) DS-GVO beurteilt werden. Die übrigen Inhalte des § 26 BDSG wie die Aufklärung von Straftaten oder die erweiterten Anforderungen an die Einwilligung im Beschäftigungsverhältnis sind aber von der EuGH-Rechtsprechung nicht betroffen.
Es ist nicht auszuschließen, dass Auslegungsfragen zur Erforderlichkeit der Datenverarbeitung, die bisher höchstrichterlich vom Bundesarbeitsgericht entschieden worden sind, dem EuGH vorgelegt werden. Insoweit wird der EuGH auch im Beschäftigtendatenschutz zum gesetzlichen Richter i.S.v. Art. 101 Grundgesetz.
Auf nationaler Ebene ist durch die Rechtsprechung vor allem des BAG der Datenschutz im Beschäftigungsverhältnis weitgehend interessengerecht austariert. Um diesen rechtlichen Rahmen zu erhalten und gleichzeitig an die Entwicklung der IT anzupassen, muss der deutsche Gesetzgeber in Bund und Ländern jetzt tatsächlich aktiv werden. Der Handlungsdruck hat sich erhöht. Überlegungen des BMAS für ein Beschäftigtendatenschutzgesetz decken sich mit den Anforderungen von Art. 88 Abs. 2 DS-GVO. Bereits auf dem RDV-Forum im November letzten Jahres gaben Vertreter des BMAS zumindest in Stichworten die Themen „Datenflüsse im Konzern“, „Arbeit im Homeoffice“, „Überwachung und Kontrolle“, „Bewerbungsphase“, eine weitere Konkretisierung der Freiwilligkeit der Einwilligung und „Bring Your Own Device (BYOD)“ Inhalte vor. Auch das Thema „Künstliche Intelligenz im Arbeitsverhältnis“ soll reguliert werden, wobei parallel bestehende Initiativen auf europäischer Ebene für eine KI-Verordnung berücksichtigt werden müssten.
Neben einer vom EuGH geforderten Detaillierung des Beschäftigtendatenschutzes sollten auch die von BAG entwickelte allgemeine Grundsatz aufgenommen werden, wonach ein durch die IT erzeugter lückenloser Überwachungsdruck auszuschließen ist. Zudem sollte klargestellt werden, dass das Schutzniveau des Datenschutzrechts in kollektivrechtlichen Reglungen nicht unterlaufen werden darf. Auf der anderen Seite sollte in einer Grundsatzreglung ausgeschlossen werden, dass Betroffenenrechte wie der Auskunftsanspruch nicht als Instrument rein arbeitsrechtlicher Auseinandersetzungen missbraucht werden dürfen.
RA Andreas Jaspers
RA Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.