Vom Bewerbungsprozess über die Lohnabrechnung bis hin zu alltäglichen Arbeitsprozessen verarbeiten Arbeitgeber zahlreiche personenbezogene Daten ihrer Arbeitnehmer. Nicht ohne Grund stammt ein großer Teil der bisherigen Rechtsprechung zur Datenschutz-Grundverordnung (DSGVO) aus der Arbeitsgerichtsbarkeit. Unternehmen konnten sich bislang für den großen Teil dieser Verarbeitungsvorgänge auf eine Norm im Bundesdatenschutzgesetz stützen, die die Verarbeitung personenbezogener Daten von Beschäftigten insbesondere dann erlaubt, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Absatz 1 Satz 1 BDSG).

Ein kürzlich vom Europäischen Gerichtshof (EuGH) gefälltes Urteil vom 30. März 2023 (Az. C-34/21) wird die bisherige Statik des deutschen Beschäftigtendatenschutzes verändern. Bereits wenige Tage nach Verkündung des Urteils erklärte die Hamburger Datenschutzaufsicht, die genannte Regelung aus dem BDSG sei mit der DSGVO nicht vereinbar und dürfe zukünftig nicht mehr angewandt werden.

Urteil des EuGH zu Videokonferenz-Livestream im Schulunterricht

Auf den ersten Blick scheint das Urteil für Unternehmen uninteressant zu sein: Der EuGH entschied, dass die DSGVO auf die Verarbeitung personenbezogener Daten von Lehrern bei Schulunterricht über einen Videokonferenz-Livestream anwendbar ist. Das Land Hessen holte jedoch von den Lehrern vorab keine Einwilligung in die Teilnahme am Online-Unterricht ein. Vielmehr zog es eine Vorschrift aus dem Hessischen Datenschutz- und Informationsfreiheitsgesetz als Rechtsgrundlage heran, die mit der genannten Norm aus dem BDSG in weiten Teilen wortgleich ist. Auch sie erlaubt die Verarbeitung personenbezogener Daten, soweit sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 23 Absatz 1 Satz 1 HDSIG).

Auswirkungen auf den Beschäftigtendatenschutz in Deutschland

Die DSGVO lässt zwar Spielraum für nationale Regelungen zum Beschäftigtendatenschutz. Sie müssen aber strenge Voraussetzungen erfüllen, insbesondere spezifisch auf die Datenverarbeitung im Beschäftigungskontext zugeschnitten sein und geeignete und besondere Maßnahmen zum Schutz der Beschäftigten enthalten (Artikel 88 DSGVO). Nach Ansicht des EuGH trägt eine Norm, die jegliche für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlichen Verarbeitungen erlaubt, dem nicht ausreichend Rechnung. Eine solche Rechtsgrundlage sei weder ausreichend spezifisch auf den Beschäftigungskontext zugeschnitten, noch schütze sie die Beschäftigten über die allgemeinen Anforderungen der DSGVO hinaus.

Auch wenn der EuGH die Norm aus dem Hessischen Datenschutzgesetz nicht endgültig bewertete, sondern die Entscheidung darüber dem zuständigen Verwaltungsgericht überließ, ist das Schicksal des Beschäftigtendatenschutzes in Deutschland mit dem Urteil vorgezeichnet: Die sogenannte Generalklausel in § 26 Absatz 1 Satz 1 BDSG darf zukünftig nicht mehr angewandt werden. Denn die Vorschrift erfüllt diese Voraussetzungen ebenso wenig wie § 23 Absatz 1 Satz 1 HDSIG.

Für die übrigen Regelungen des Beschäftigtendatenschutzes in § 26 BDSG hat das Urteil keine unmittelbaren Folgen. Während die Regelungen in § 26 Absatz 1 Satz 2 BDSG zur Aufdeckung von Straftaten und in § 26 Absatz 2 BDSG zur Einwilligung im Beschäftigtenkontext den Anforderungen des EuGH genügen könnten, stützt sich § 26 Absatz 3 BDSG zur Verarbeitung sensibler Daten von Beschäftigten auf eine andere Öffnungsklausel.

Unternehmen müssen Verarbeitungsgrundlagen und Datenschutzdokumentation umstellen

Das Urteil bedeutet für Unternehmen selbstverständlich nicht, dass sie die Verarbeitung der personenbezogenen Daten ihrer Beschäftigten einstellen müssten. Vielmehr können und müssen Unternehmen dafür künftig auf die allgemeinen Rechtsgrundlagen aus der DSGVO zurückgreifen. Bislang auf § 26 Absatz 1 Satz 1 BDSG gestützte Verarbeitungen lassen sich in aller Regel auf Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben b) (Vertragsanbahnung und -durchführung), c) (Erfüllung gesetzlicher Pflichten) und f) (berechtigte Interessen) DSGVO stützen.

Unternehmen sollten daher zeitnah ihre Verarbeitungsverzeichnisse durchgehen und prüfen, welche Rechtsgrundlagen sie zukünftig heranziehen können. Mit einer Streichung von § 26 Absatz 1 Satz 1 BDSG aus Verarbeitungsverzeichnissen und Datenschutzerklärungen sollten Unternehmen zwar warten, bis sich die Datenschutzaufsichtsbehörden und Arbeitsgerichte zu den Auswirkungen des Urteils positioniert haben. Dennoch sollte die Datenschutzdokumentation zeitnah zumindest dergestalt angepasst werden, dass neben § 26 Absatz 1 Satz 1 BDSG die einschlägige Rechtsgrundlage aus der DSGVO genannt wird.

Nur in Ausnahmefällen könnte es erforderlich sein, Betriebsvereinbarungen abzuschließen, um bestimmte Verarbeitungen abzusichern. Sollten Unternehmen bereits entsprechende Betriebsvereinbarungen geschlossen haben, sind diese daraufhin zu überprüfen, ob sie den Anforderungen des EuGH an spezifische Rechtsgrundlagen im Beschäftigtendatenschutz auch tatsächlich genügen. Anderenfalls könnten sie das Schicksal von § 26 Absatz 1 Satz 1 BDSG teilen.

Ausblick: Beschäftigtendatenschutzgesetz noch in dieser Legislaturperiode?

Seit kurzem kursiert ein Vorschlag der Bundesministerien für Arbeit und Soziales sowie des Innern und für Heimat, der Eckpunkte für das lange erwartete Beschäftigtendatenschutzgesetz enthält. Ein konkreter Entwurf soll in der zweiten Hälfte dieser Legislaturperiode folgen und insbesondere spezifische Regelungen zur Kontrolle und Überwachung von Beschäftigten, zum Einsatz von Künstlicher Intelligenz im Personalverwaltungsbereich und zu zulässigen Fragen im Bewerbungsverfahren enthalten. Ergänzend sind Konkretisierungen der Interessenabwägung nach Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe f) DSGVO, der Anforderungen an die Freiwilligkeit der Einwilligung im Beschäftigtenkontext und an konzerninterne Datenübermittlungen vorgesehen. Ob und wann es zur Verabschiedung eines solchen Beschäftigtendatenschutzgesetzes kommt, bleibt abzuwarten.