Für alle Personalverantwortlichen gibt es spannende Neuigkeiten aus dem Bereich Beschäftigtendatenschutz: Aufgrund einer Entscheidung des EuGH (Urteil vom 30. März 2023, C 34/21) könnte § 26 BDSG, die zentrale deutsche Norm zur Verarbeitung von Beschäftigtendaten, möglicherweise nicht mehr anwendbar sein. Wir erläutern den Kontext der Entscheidung und zeigen auf, weshalb das Urteil für Unternehmen dennoch kein Grund zur Panik ist.

Die Entscheidung des EUGH

Der EuGH hat in seinem Urteil festgestellt, dass die Regelungen zum Beschäftigtendatenschutz in § 23 des Hessischen Datenschutzgesetzes (HDSG) nicht mit der DSGVO vereinbar sind. Diese Entscheidung stützt das Gericht darauf, dass § 23 HDSG im Wesentlichen eine bloße Wiederholung der Bestimmungen der DSGVO sei. Mitgliedsstaaten können eigene Vorschriften zum Beschäftigtendatenschutz nur unter der Bedingung erlassen, dass es sich um spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext handelt. Gerade das sei bei einer bloßen Wiederholung der allgemeinen Vorschriften zur Verarbeitung personenbezogener Daten aber nicht der Fall.

Da die Regelung des HDSG nahezu wortgleich mit § 26 BDSG ist, lassen sich die Wertungen der Entscheidung des EuGH auf die Verarbeitung von Beschäftigtendaten durch Unternehmen auf Grundlage des § 26 BDSG übertragen. Das liegt insbesondere für § 26 Abs. 1 BDSG durchaus nahe – eine Auswirkung auf den gesamten § 26 BDSG scheint möglich, aber nicht zwingend.

Kurz und knapp: Was heißt das für Unternehmen?

Für deutsche Unternehmen stellt § 26 BDSG die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten dar, sodass durch das Urteil eine gewisse Rechtsunsicherheit entsteht. Allerdings ist auch bei einem Wegfall dieser Rechtsgrundlage davon auszugehen, dass jeweils ein alternativer Erlaubnistatbestand für im Beschäftigungskontext übliche Verarbeitungen identifiziert werden kann (z.B. Vertragsdurchführung, Erfüllung rechtlicher Verpflichtungen oder berechtigtes Interesse), sodass die Verarbeitungen im Regelfall nicht einzustellen sind. Daher dürften vor allem die derzeit noch verwendeten Datenschutzinformationen sowie Verarbeitungsverzeichnisse mit Blick auf die dort genannten Rechtsgrundlagen zu aktualisieren sein.

Einzelne Datenschutzbehörden empfehlen zudem bereits, zukünftig verstärkt auf Betriebsvereinbarungen zu setzen. Dabei ist besonders wichtig, dass sie die von der DSGVO geforderten speziellen Garantien zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Die Bedeutung dieser Pflichtinhalte hat der EuGH in seiner Entscheidung betont – anderenfalls droht ihnen womöglich das gleiche Schicksal wie dem § 26 Abs. 1 BDSG. Dabei ist zu beachten, dass Betriebsvereinbarungen vor allem in einer konkretisierenden Funktion zur Schaffung von Rechtssicherheit beitragen können. Zur Schaffung völlig neuer Rechtsgrundlagen sind sie eher nicht geeignet (wenngleich einzelne Arbeitsgerichte das durchaus anders sehen).

Gerne unterstützen wir Sie bei Fragen zur Auswirkung der EuGH-Entscheidung auf Ihr Unternehmen und bei eventuell notwendigen Schritten zur Anpassung bestehender datenschutzrechtlicher Dokumente.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.