Home Blog § 26 Abs. 1 BDSG europa…
Zurück
Arbeitsrecht

§ 26 Abs. 1 BDSG europarechtswidrig – Praktische Folgen und Anpassungsbedarf für Arbeitgeber

Home Blog § 26 Abs. 1 BDSG europa…
Zurück
Autoren
Jens Neldner
Datum

10. April 2023

Diesen Beitrag teilen

Der EuGH hat in einer aktuellen Entscheidung (Urteil vom 30.03.2023, Az. C-34/21) die Europarechtswidrigkeit des § 26 Abs. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) festgestellt. Dadurch wird es Arbeitgebern künftig nicht mehr möglich sein, Verarbeitungstätigkeiten von Beschäftigten auf die Generalklausel zu stützen. Vielmehr wird ein Rückgriff auf die Rechtsgrundlagen von Art. 6 Abs. 1 DSGVO oder der Abschluss entsprechender Betriebsvereinbarungen erforderlich sein, weshalb insbesondere die Aktualisierung von Informationspflichten zeitnah vorgenommen werden sollte.

Worum ging es?

Während der COVID-19-Pandemie wurde in hessischen Schulen durch zwei Erlasse des Hessischen Kultusministeriums die Möglichkeit eines Videokonferenz-Livestreams zur Teilnahme von Schülern am Unterricht eingeführt. Anders als bei den Schülern wurden von betroffenen Lehrkräften keine Einwilligungserklärungen eingeholt. Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte aufgrund dieser unterlassenen Einholung vor dem VG Wiesbaden geklagt. Das Ministerium vertrat in dem folgenden Rechtsstreit die Auffassung, dass eine solche Einwilligung nicht erforderlich sei und die Verarbeitung personenbezogener Daten der betroffenen Lehrkräfte sich auf § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes („HDSIG“) stützen lasse. Der Wortlaut von § 23 Abs. 1 S. 1 HDSIG ist nahezu identisch mit § 26 Abs. 1 BDSG.

Das VG Wiesbaden hatte Zweifel, ob § 23 Abs. 1 S. 1 HDSIG als „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO einzustufen ist und legte dem EuGH diese Frage in einem Vorabentscheidungsersuchen vor. Der EuGH sollte zudem zu den Rechtsfolgen Stellung beziehen, sofern eine nationale Rechtsvorschrift diese Voraussetzungen nicht erfüllt.

Was sind die Kernaussagen des Urteils?

Der EuGH stellt in seiner Entscheidung fest, dass eine Generalklausel im nationalen Beschäftigtendatenschutz unanwendbar ist, wenn sie gegen vorrangig anwendbare Vorschriften der DSGVO verstößt. Aus Art. 88 Abs. 1 DSGVO folge, dass gegenüber der DSGVO ausschließlich spezifischere Vorschriften zulässig wären, aber eben keine Normen, welche lediglich die Rechtsgrundlagen der DSGVO wiederholen und die Voraussetzungen der Öffnungsklausel nicht erfüllen.

Erforderlich sei insbesondere, dass solche Vorschriften auf den Schutz der Rechte und Freiheiten bei der Verarbeitung von Beschäftigtendaten abzielen. Zudem müssen besondere Maßnahmen normiert sein, welche die Wahrung der menschlichen Würde, der berechtigten Interessen sowie der Grundrechte der Betroffenen umfassen. Nur wenn diese Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllt seien, liege eine spezifischere Vorschrift i.S.v. Art. 88 Abs. 1 DSGVO vor. 

Generalklauseln wie § 23 Abs. 1 S. 1 HDSIG (und damit faktisch § 26 Abs. 1 BDSG), welche die Zulässigkeit von Datenverarbeitungen regeln, seien deshalb unanwendbar, da sie nicht die Voraussetzungen des Art. 88 DSGVO erfüllen. Es fehle insbesondere (ggü. Art. 6 Abs. 1 lit. b DSGVO) an einer Konkretisierung für das Beschäftigtenverhältnis sowie besonderen Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person.

Praxishinweise: Was sollten Arbeitgeber künftig beachten?

  • Rechtsgrundlagen(n)
  • Gesetz: Die Entscheidung des EuGH führt grundsätzlich nicht dazu, dass sämtliche Verarbeitungstätigkeiten von Arbeitgebern unwirksam sind, die derzeit ausschließlich auf § 26 Abs. 1 BDSG gestützt werden. Verantwortliche werden solche Verarbeitungen regelmäßig auf Art. 6 Abs. 1 lit. b und f DSGVO (Erfüllung eines Vertrags und berechtigtes Interesse des Verantwortlichen) stützen können. 
  • Die damit eintretende „Vereinheitlichung der Rechtsgrundlagen“ kann gerade für international operierende Unternehmen sogar ein positiver Aspekt der Entscheidung sein.
  • Kollektivvereinbarungen: Auf konkrete Situationen angepasste (und damit spezifischere) Betriebsvereinbarungen werden zukünftig eine noch wichtigere Rolle spielen. Zugleich ist auch dort unbedingt darauf zu achten, dass die Anforderungen des EuGH – „Spezifizierung“ und Einhaltung der Anforderungen von Art. 88 Abs. 2 DSGVO – eingehalten werden.
  • Keine Lösung wird daher sein – auch wenn dies in der Aufregung bisweilen suggeriert wird – einfach § 26 Abs. 1 BDSG in einer Betriebsvereinbarung nachzuzeichnen. Denn auch eine solche Betriebsvereinbarung wäre keine spezifischere Vorschrift und damit nach dem EuGH wohl ebenso unanwendbar wie § 26 Abs. 1 BDSG selbst.
  • Viele bestehende Betriebsvereinbarungen sind zu prüfen und ggf. anzupassen. Insbesondere „geeignete und besondere Maßnahmen“ enthalten keineswegs alle derzeit als Rechtsgrundlagen für Verarbeitungen fungierende Betriebsvereinbarungen.
  • Transparenz: 

In jedem Fall sollten Arbeitsgeber einschlägige Datenschutz-Dokumente (insbesondere Datenschutzerklärungen und Verarbeitungsverzeichnisse) zeitnah auf Anpassungsbedarf prüfen und erforderlichenfalls anpassen, um die Informationspflichten der Art. 13, 14 DSGVO ordnungsgemäß zu erfüllen.

§ 26 Abs. 1 BDSG europarechtswidrig – Praktische Folgen und Anpassungsbedarf für Arbeitgeber

Der EuGH hat in einer aktuellen Entscheidung (Urteil vom 30.03.2023, Az. C-34/21) die Europarechtswidrigkeit des § 26 Abs. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) festgestellt. Dadurch wird es Arbeitgebern künftig nicht mehr möglich sein, Verarbeitungstätigkeiten von Beschäftigten auf die Generalklausel zu stützen. Vielmehr wird ein Rückgriff auf die Rechtsgrundlagen von Art. 6 Abs. 1 DSGVO oder der Abschluss entsprechender Betriebsvereinbarungen erforderlich sein, weshalb insbesondere die Aktualisierung von Informationspflichten zeitnah vorgenommen werden sollte.

Worum ging es?

Während der COVID-19-Pandemie wurde in hessischen Schulen durch zwei Erlasse des Hessischen Kultusministeriums die Möglichkeit eines Videokonferenz-Livestreams zur Teilnahme von Schülern am Unterricht eingeführt. Anders als bei den Schülern wurden von betroffenen Lehrkräften keine Einwilligungserklärungen eingeholt. Der Hauptpersonalrat der Lehrerinnen und Lehrer hatte aufgrund dieser unterlassenen Einholung vor dem VG Wiesbaden geklagt. Das Ministerium vertrat in dem folgenden Rechtsstreit die Auffassung, dass eine solche Einwilligung nicht erforderlich sei und die Verarbeitung personenbezogener Daten der betroffenen Lehrkräfte sich auf § 23 Abs. 1 S. 1 des hessischen Datenschutzgesetzes („HDSIG“) stützen lasse. Der Wortlaut von § 23 Abs. 1 S. 1 HDSIG ist nahezu identisch mit § 26 Abs. 1 BDSG.

Das VG Wiesbaden hatte Zweifel, ob § 23 Abs. 1 S. 1 HDSIG als „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO einzustufen ist und legte dem EuGH diese Frage in einem Vorabentscheidungsersuchen vor. Der EuGH sollte zudem zu den Rechtsfolgen Stellung beziehen, sofern eine nationale Rechtsvorschrift diese Voraussetzungen nicht erfüllt.

Was sind die Kernaussagen des Urteils?

Der EuGH stellt in seiner Entscheidung fest, dass eine Generalklausel im nationalen Beschäftigtendatenschutz unanwendbar ist, wenn sie gegen vorrangig anwendbare Vorschriften der DSGVO verstößt. Aus Art. 88 Abs. 1 DSGVO folge, dass gegenüber der DSGVO ausschließlich spezifischere Vorschriften zulässig wären, aber eben keine Normen, welche lediglich die Rechtsgrundlagen der DSGVO wiederholen und die Voraussetzungen der Öffnungsklausel nicht erfüllen.

Erforderlich sei insbesondere, dass solche Vorschriften auf den Schutz der Rechte und Freiheiten bei der Verarbeitung von Beschäftigtendaten abzielen. Zudem müssen besondere Maßnahmen normiert sein, welche die Wahrung der menschlichen Würde, der berechtigten Interessen sowie der Grundrechte der Betroffenen umfassen. Nur wenn diese Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllt seien, liege eine spezifischere Vorschrift i.S.v. Art. 88 Abs. 1 DSGVO vor. 

Generalklauseln wie § 23 Abs. 1 S. 1 HDSIG (und damit faktisch § 26 Abs. 1 BDSG), welche die Zulässigkeit von Datenverarbeitungen regeln, seien deshalb unanwendbar, da sie nicht die Voraussetzungen des Art. 88 DSGVO erfüllen. Es fehle insbesondere (ggü. Art. 6 Abs. 1 lit. b DSGVO) an einer Konkretisierung für das Beschäftigtenverhältnis sowie besonderen Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person.

Praxishinweise: Was sollten Arbeitgeber künftig beachten?

  • Rechtsgrundlagen(n)
  • Gesetz: Die Entscheidung des EuGH führt grundsätzlich nicht dazu, dass sämtliche Verarbeitungstätigkeiten von Arbeitgebern unwirksam sind, die derzeit ausschließlich auf § 26 Abs. 1 BDSG gestützt werden. Verantwortliche werden solche Verarbeitungen regelmäßig auf Art. 6 Abs. 1 lit. b und f DSGVO (Erfüllung eines Vertrags und berechtigtes Interesse des Verantwortlichen) stützen können. 
  • Die damit eintretende „Vereinheitlichung der Rechtsgrundlagen“ kann gerade für international operierende Unternehmen sogar ein positiver Aspekt der Entscheidung sein.
  • Kollektivvereinbarungen: Auf konkrete Situationen angepasste (und damit spezifischere) Betriebsvereinbarungen werden zukünftig eine noch wichtigere Rolle spielen. Zugleich ist auch dort unbedingt darauf zu achten, dass die Anforderungen des EuGH – „Spezifizierung“ und Einhaltung der Anforderungen von Art. 88 Abs. 2 DSGVO – eingehalten werden.
  • Keine Lösung wird daher sein – auch wenn dies in der Aufregung bisweilen suggeriert wird – einfach § 26 Abs. 1 BDSG in einer Betriebsvereinbarung nachzuzeichnen. Denn auch eine solche Betriebsvereinbarung wäre keine spezifischere Vorschrift und damit nach dem EuGH wohl ebenso unanwendbar wie § 26 Abs. 1 BDSG selbst.
  • Viele bestehende Betriebsvereinbarungen sind zu prüfen und ggf. anzupassen. Insbesondere „geeignete und besondere Maßnahmen“ enthalten keineswegs alle derzeit als Rechtsgrundlagen für Verarbeitungen fungierende Betriebsvereinbarungen.
  • Transparenz: 

In jedem Fall sollten Arbeitsgeber einschlägige Datenschutz-Dokumente (insbesondere Datenschutzerklärungen und Verarbeitungsverzeichnisse) zeitnah auf Anpassungsbedarf prüfen und erforderlichenfalls anpassen, um die Informationspflichten der Art. 13, 14 DSGVO ordnungsgemäß zu erfüllen.

News
Aktuelle News
Newsroom
Arbeitsrechtsteam von Gleiss Lutz in München wechselt zu Seitz
24. April 2024
Deal News
Warenhauskonzern vor Eigentümerwechsel: Insolvenzverwalter überträgt GALERIA erfolgreic...
17. April 2024
Deal News
Post Merger Integration Apleona/Gegenbauer: Apleona führt mit Seitz erstmals einen Haus...
15. April 2024
E-Mail Tel
Footer Mood