Mit Urteil vom 30. März 2023 (C-34/21) hat der EuGH die zentrale Generalklausel des deutschen Beschäftigtendatenschutzrechts für europarechtswidrig erklärt. § 26 Abs. 1 Satz 1 BDSG darf von nun an nicht mehr angewendet werden. Was bedeutet das?
1. Was hat der EuGH entschieden?
- Gegenstand der EuGH-Entscheidung war streng genommen nicht § 26 Abs. 1 Satz 1 BDSG, sondern § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG). Da beide Regelungen aber im Wortlaut weitgehend übereinstimmen, lassen sich die Wertungen der EuGH-Entscheidung uneingeschränkt übertragen.
- Unanwendbar sind beide Regelungen, weil sie die Tatbestandsvoraussetzungen der Öffnungsklausel nach Art. 88 DSGVO nicht beachten. Die Öffnungsklausel erlaubt lediglich im Verhältnis zum Europarecht „spezifischere Vorschriften“. Bei diesen „spezifischeren Vorschriften“ dürfe es sich nach Auffassung des EuGH nicht lediglich um eine Wiederholung der in Art. 6 DSGVO genannten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten handeln (vgl. Rn. 65 der Entscheidung).
- Der EuGH hat jedoch den Eindruck, dass § 26 Abs. 1 Satz 1 BDSG bzw. § 23 Abs. 1 HDSIG die Verarbeitung personenbezogener Beschäftigtendaten von denselben Voraussetzungen abhängig machen, welche bereits in Art. 6 Abs. 1 DSGVO aufgestellt sind, ohne eine spezifischere Vorschrift hinzuzufügen (vgl. Rn. 81). Dies dürfte sich kaum bestreiten lassen.
- Diese Sicht hat zur Folge , dass § 26 Abs. 1 Satz 1 BDSG nicht mehr angewendet werden darf, weder bei privaten noch bei öffentlichen Unternehmen (vgl. Rn. 82 bis 84 der Entscheidung).
2. Was sind die Konsequenzen?
- Dies bedeutet nicht, dass Arbeitgeber von nun an keinen personenbezogenen Mitarbeiterdaten mehr verarbeiten dürften. Tatsächlich sind die unmittelbaren Folgen der Entscheidung sehr gering: Ob eine Datenverarbeitung im Beschäftigungsverhältnis zulässig ist, richtet sich künftig unmittelbar nach den Voraussetzungen der DSGVO und deren Art. 6 Abs. 1 (vgl. Rn. 84 ff. der Entscheidung). Da Art. 6 Abs. 1 Satz 1 lit. b, c und f DSGVO dieselben Wertungen enthalten, wie § 26 Abs. 1 Satz 1 BDSG, dürften dieselben Datenverarbeitungstätigkeiten wie bisher zulässig sein, nur eben auf anderer rechtsdogmatischer Grundlage (ebenso Maren Hoffmann und Felix Glocker).
- Ein Unterschied besteht allerdings darin, dass der EuGH die Auslegung des Art 6 Abs. 1 DSGVO durch deutsche Gerichte und insbesondere durch das BAG vollständig überprüfen darf, um eine europäische Vollharmonisierung der datenschutzrechtlichen Wertmaßstäbe anzustreben.
- Der Umstand, dass die Schlüsselnorm des deutschen Beschäftigungsdatenschutzrechts europarechtswidrig ist und nicht mehr angewendet werden darf, dürfte politischen Forderungen nach einer Gesetzesnovelle und zu diesem Anlass nach einem eigenständigen Beschäftigtendatenschutzgesetz neuen Wind geben. Ein Beschäftigtendatenschutzgesetz wird derzeit durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, den DGB sowie einen hierzu gebildeten Beirat des BMAS gefordert. Bislang sah der Gesetzgeber jedoch keinen ausreichenden Handlungsdruck. Mit dem EuGH-Urteil vom 30. März 2023 kann sich dies ändern.
