Kippt der EuGH den Beschäftigtendatenschutz?
Der Europäische Gerichtshof (EuGH) hat in einem Urteil deutliche Zweifel angemeldet, ob § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (§ 23 HDSIG) mit der Datenschutzgrundverordnung (DSGVO) vereinbar ist (EuGH 30.3.2023 - C-34/21). Die Regelung ist gleichlautend mit § 26 Abs. 1 BDSG (Datenverarbeitung in Beschäftigungsverhältnissen).
Die Entscheidung des EuGH erging in einem Vorlageverfahren des Verwaltungsgerichts (VG) Wiesbaden. Dort hatte der hessische Hauptpersonalrat der Lehrerinnen und Lehrer auf die Feststellung geklagt, dass es rechtswidrig war, bei Einführung des Online-Unterrichts in den Corona-Jahren ab 2020 zwar die Einwilligung von Eltern und erwachsenen Schülern einzuholen, aber nicht die der beteiligten Lehrkräfte.
Der Arbeitsrechts- und Datenschutzexperte Professor Peter Wedde beantwortet erste Fragen zum Urteil:
1. Was war der Ausgangspunkt des EuGH-Urteils?
Ausgangspunkt sind zwei Erlasse des hessischen Kultusministeriums aus dem Corona-Jahr 2020. In diesen wurde geregelt, dass Schüler bzw. deren Erziehungsberechtigte für die Teilnahme am Online-Videounterricht eine Einwilligung erteilen mussten. Lehrkräfte waren hingegen auch ohne Einwilligung zur Teilnahme verpflichtet, weil das Kultusministerium der Meinung war, dass die Durchführung von Livestreamingunterricht per Videokonferenz durch die Regelung zum Beschäftigtendatenschutz in § 23 Abs. 1 S. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) legitimiert ist. Der zuständige Hauptpersonalrat hat gegen dieses Vorgehen Klage beim VG Wiesbaden erhoben.
2. Welche rechtlichen Bedenken hat das VG Wiesbaden?
Beim VG Wiesbaden gab es grundsätzliche Zweifel daran, dass der in § 23 Abs. 1 S. 1 HDSIG sowie in der beamtenrechtlichen Regelung des § 86 Abs. 4 Hessisches Beamtengesetz (HBG) verankerte Grundsatz der »Erforderlichkeit« die in Art. 88 Abs. 2 DSGVO enthaltenen Anforderungen an die Ausgestaltung spezifischer Vorschriften zum Beschäftigtendatenschutz durch Mitgliedstaaten erfüllt. (…)
3. Warum hat das VG den Fall dem EuGH vorgelegt?
Das VG Wiesbaden wollte vom EuGH wissen, ob hessischen Regelungen zwingend Ausführungen zu den in Art. 88 Abs. 2 DSGVO genannten Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen enthalten müssen. Weiterhin wurde der EuGH um eine Aussage dazu gebeten, ob Vorschriften in den Mitgliedsstaaten trotz fehlender Nennung dieser Maßnahmen überhaupt anwendbar sind.
4. Wie hat der EuGH entschieden?
Der EuGH verweist in seinem Urteil zunächst allgemein darauf, dass Mitgliedstaaten zum Erlass spezifischerer Vorschriften zum Beschäftigtendatenschutz berechtigt, aber nicht gezwungen sind. Bezüglich des Erlaubnistatbestands in Art. 6 Abs. 1 Buchst. f) DSGVO hält es die Durchführung einer Abwägung zwischen den berechtigten Interessen von Arbeitgebern und den Interessen, Grundrechten und Grundfreiheiten der Beschäftigten für zwingend. Dass eine Vorgabe hierzu in den hessischen Vorschriften fehlt, steht aus Sicht des EuGH der Qualifikation als bereichsspezifische Norm zum Beschäftigtendatenschutz im Sinne von Art. 88 Abs. 1 DSGVO entgegen.
Der EuGH führt allgemein aus, dass Öffnungsklauseln in der DSGVO es den Mitgliedstaaten ermöglichen, strengere oder einschränkende nationale Vorschriften zum Beschäftigtendatenschutz vorzusehen. Diese Vorschriften dürfen sich aber (ebenso wie Kollektivvereinbarungen) nicht darauf beschränken, Vorschriften aus der DSGVO zu wiederholen. In nationalen Regelungen müssen vielmehr geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen verankert werden, die auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigtenkontext abzielen. Diese Vorgaben erfüllen die vom EuGH geprüften § 23 Abs. 1 S. 1 HDSIG und § 86 Abs. 4 Hessisches HBG nicht. Die dort benannte »Erforderlichkeit« leitet sich aus Sicht des EuGH bezogen auf die Vertragserfüllung von Beschäftigten bereits aus dem allgemeinen Erlaubnistatbestand in Art. 6 Abs. 1 Buchst. b) DSGVO ab. Deshalb hat der EuGH die hessischen Datenschutzvorschriften für nicht anwendbar erklärt.
5. Welche Folgen hat das Urteil des EuGH für Hessen?
6. Welche Bedeutung hat diese Entscheidung im Anwendungsbereich des BDSG?
7. Wie könnte es nun weitergehen?
Mehr Informationen
Den vollständigen Beitrag von Prof. Dr. Peter Wedde lesen Sie in »Computer und Arbeit« 5/2023, die voraussichtlich am 16.5.2023 erscheinen wird.
Podcast: WDR 5 Politikum - Der Meinungspodcast: »Wachsam bei Überwachung« mit Prof. Dr. Peter Wedde
Der Interviewpartner:
Dr. Peter Wedde, Professor em. für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences, wissenschaftlicher Leiter des Instituts für Datenschutz, Arbeitsrecht und Technologieberatung in Eppstein, Sachverständiger und Einigungsstellenvorsitzender.
© bund-verlag.de (fro)
