Zentrale Grundlage für eine Verarbeitung von Beschäftigtendaten war bislang § 26 Abs. 1 S. 1 BDSG. Auch das Bundesarbeitsgericht hat sich auf diese Vorschrift gestützt. Nach einer neueren Entscheidung des Europäischen Gerichtshofes dürfte damit allerdings Schluss sein. Arbeitgeber müssen sich künftig mit den allgemeinen Rechtsgrundlagen in der DSGVO behelfen.
Die Mitgliedstaaten der Europäischen Union können für die Datenverarbeitung im Beschäftigungskontext gemäß Art. 88 Abs. 1 DSGVO „spezifischere“ Vorschriften bestimmen. Der Europäische Gerichtshof präzisierte diese Vorgabe jüngst dahin, dass nationale Regelungen zum Datenschutz nicht bloß die allgemeinen Rechtsgrundlagen in Art. 6 DSGVO wiederholen dürfen (EuGH, Urteil vom 30. März 2023 – C-34/21).
Die nationalen Vorschriften müssen sich von den allgemeinen Regeln der DSGVO unterscheiden und zudem geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der jeweils betroffenen Person umfassen. Dies ergibt sich aus Art. 88 Abs. 2 DSGVO.
Der Europäische Gerichtshof äußerte Zweifel daran, dass § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes und § 86 Abs. 4 des Hessischen Beamtengesetzes diesen Anforderungen genügten.
Die Entscheidung des Europäischen Gerichtshofes ist für den Beschäftigtendatenschutz von zentraler Bedeutung. Die beanstandeten hessischen Regelungen sind nahezu wortgleich mit § 26 Abs. 1 S. 1 BDSG als zentrale Rechtsgrundlage für eine Verarbeitung von Beschäftigtendaten. Wie die hessischen Regelungen beruht § 26 Abs. 1 S. 1 BDSG ebenfalls auf Art. 88 Abs. 1 DSGVO. Die Vorgaben des Europäischen Gerichtshofes gelten daher auch für § 26 Abs. 1 S. 1 BDSG.
Problematisch ist, dass § 26 Abs. 1 S. 1 BDSG im Wesentlichen allein darauf abstellt, dass eine Datenverarbeitung für die Entscheidung über die Begründung des Beschäftigungsverhältnisses, dessen Durchführung bzw. Beendigung oder für die Erfüllung einer Pflicht erforderlich sein muss. Damit bestimmt § 26 Abs. 1 S. 1 BDSG im Kern nichts anderes, als nach Art. 6 Abs. 1 UAbs. 1 Buchst. b und Buchst. c DSGVO ohnehin gilt. Insbesondere sieht § 26 Abs. 1 S. 1 BDSG keine besonderen Schutzmaßnahmen im Sinne des Art. 88 Abs. 2 DSGVO vor.
Auch wenn die Entscheidung des Europäischen Gerichtshofes nicht zu § 26 Abs. 1 S. 1 BDSG erging, dürfte dessen Schicksal somit jedoch ebenfalls besiegelt sein und § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage ausscheiden.
Arbeitgeber müssen eine Verarbeitung von Beschäftigtendaten künftig an den Vorgaben des Art. 6 Abs. 1 UAbs. 1 DSGVO ausrichten. Eine Verarbeitung kommt danach etwa in Betracht, wenn sie zur Erfüllung des Arbeitsvertrages (Art. 6 Abs. 1 UAbs. 1 Buchst. b DSGVO) oder zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO) erforderlich ist. Auch ließe sich eine Verarbeitung rechtfertigen, wenn sie zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich ist und die Interessen bzw. Rechte des Arbeitnehmers nicht überwiegen (Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO).
Die allermeisten Fälle, die bislang von § 26 Abs. 1 S. 1 BDSG erfasst wurden, dürften künftig in einer der vorgenannten Bestimmungen ihre Grundlage finden. Arbeitgeber müssen die verschiedenen Rechtsgrundlagen aber sorgsam prüfen und ihre Datenschutzinformationen entsprechend anpassen (Art. 13 Abs. 1 Buchst. c, Art. 14 Abs. 1 Buchst. c DSGVO).
Bei der Prüfung der allgemeinen Rechtsgrundlagen der DSGVO müssen sich Arbeitgeber bewusst sein, dass sie es mit europarechtlich geprägten Begriffen zu tun haben (insbesondere „erforderlich“). Inwieweit hierbei auf die bisherige Rechtsprechung des Bundesarbeitsgerichts zurückgegriffen werden kann, ist fraglich. Denn das letzte Wort zum Beschäftigtendatenschutz wird vom Europäischen Gerichtshof gesprochen.
Die Entscheidung des Europäischen Gerichtshofes gibt darüber hinaus wertvolle Hinweise für den Entwurf eines Beschäftigtendatenschutzgesetzes. Die Bundesregierung beabsichtigt, „mit klaren und übersichtlichen Vorschriften für wichtige Anwendungsfälle in der Praxis eine verlässliche Rechtsgrundlage“ zu schaffen (BMAS/BMI, Vorschläge für einen modernen Beschäftigtendatenschutz, S. 2). Diese Regelungen müssen insbesondere den besonderen Schutzmechanismen des Art. 88 Abs. 2 DSGVO Rechnung tragen.
Beispielhaft hierfür stehen die bisherige Regelung über eine Datenverarbeitung zur Aufdeckung von Straftaten (§ 26 Abs. 1 S. 2 BDSG) sowie die engen Vorgaben zur Einwilligung (§ 26 Abs. 2 BDSG). Der Vorbehalt, „spezifischere“ Regelungen in einer Betriebsvereinbarung vorzusehen (§ 26 Abs. 4 BDSG), wird von der Entscheidung des Europäischen Gerichtshofes ebenfalls nicht berührt.
Die Wahl der „richtigen“ Rechtsgrundlage für eine Verarbeitung von Beschäftigtendaten ist alles andere als eine bloß akademische Diskussion. Eine Rechtfertigung aufgrund von § 26 Abs. 1 S. 1 BDSG ist künftig nicht mehr möglich. Arbeitgeber müssen stattdessen die allgemeinen Rechtsgrundlagen der DSGVO prüfen.