Der Beschäftigtendatenschutz war jüngst Gegenstand einer Entscheidung des Europäischen Gerichtshofs. Konkret ging es um eine Vorschrift des Hessischen Datenschutzgesetzes, wonach die Datenverarbeitung von Beschäftigtendaten zulässig ist, wenn sie für Zwecke des Arbeitsverhältnisses erforderlich ist. Dies entspricht dem Inhalt von § 26 Bundesdatenschutzgesetz.

Die Europäische Datenschutzgrundverordnung gestattet aufgrund einer Öffnungsklausel spezifischere nationale Rechtsvorschriften. Ob die hessische Datenschutzvorschrift das Kriterium „spezifisch“ erfüllt, wollte das VG Wiesbaden vom EuGH geklärt wissen.

Öffnungsklausel für spezifischere nationale Vorschriften

Laut EuGH liegt es im Verantwortungsbereich des nationalen Gerichts, zu überprüfen, ob die Vorschriften des § 23 Absatz HDSIG im Einklang mit Artikel 88 DSGVO (Öffnungsklausel für spezifischere nationale Vorschriften) stehen. Allerdings führte der EuGH aus, dass sich die besagte Bestimmung augenscheinlich darauf beschränke, die Vorschriften der DSGVO zu wiederholen und demnach nicht als „spezifisch“ einzustufen sein werde. Für den Fall, dass das nationale Gericht diese Einschätzung teilt, wäre diese Regelung aufgrund des Vorrangs des EU-Rechts nicht anwendbar (Urteil des EuGH vom 30. März 2023, Rs. C34/21). Dann würden die allgemeinen Bestimmungen der DSGVO zur Anwendung kommen.

Der EuGH hat zwar nicht dezidiert festgestellt, dass die hessische Rechtsvorschrift die Anforderungen des Artikels 88 DSGVO nicht erfüllt. Allerdings wäre es für das VG Wiesbaden in Anbetracht der genannten Ausführungen nur schwer begründbar, diese nationale Bestimmung weiterhin anzuwenden.

Das gleiche Ergebnis ist bei einer Beurteilung des fast wortgleichen § 26 BDSG zu erwarten. Demnach dürften sowohl § 23 Absatz 1 HDSIG als auch § 26 BDSG dem EU-Recht widersprechen. Es liegt daher am deutschen Gesetzgeber, den Beschäftigtendatenschutz EU-rechtskonform zu regulieren.

Anwendbare DSGVO-Rechtsgrundlagen

Außerdem gibt es einige Rechtsgrundlagen in der DSGVO selbst, die sich auf Beschäftigungsverhältnisse anwenden lassen:

  • Datenverarbeitung zur Vertragserfüllung (Artikel 6 Absatz 1 lit. b DSGVO)
  • Berechtigtes Interesse an der Datenverarbeitung (Artikel 6 Absatz 1 lit. f DSGVO)
  • Einwilligung in die Datenverarbeitung (Artikel 6 Absatz 1 lit. a DSGVO)

In Deutschland steht ein neues Beschäftigungsdatenschutzgesetz im Zielkatalog der Bundesregierung.

Positionspapier zu den geplanten Regulierungen im Beschäftigtendatenschutz

Laut einem Positionspapier des Bundesarbeits- und des Innenministeriums soll der Beschäftigungsdatenschutz umfangreich reguliert werden. Die geplanten Regulierungen betreffen insbesondere diese Bereiche:

  • Grenzen für die Überwachung und Kontrolle der Arbeit von Beschäftigten
  • Nutzung künstlicher Intelligenz im Beschäftigungsverhältnis (Transparenz als Voraussetzung)
  • Bewerbungsverfahren (Welche Fragen sind gestattet? Unter welchen Voraussetzungen sind medizinische Untersuchungen zulässig?)
  • Schutz besonders sensibler Daten von Mitarbeitern (beispielsweise Gesundheitsdaten)
  • Voraussetzungen für eine rechtswirksame Einwilligung von Beschäftigten in die Datenverarbeitung (konkrete Anwendungsbeispiele als Entscheidungshilfe angedacht)
  • Datenübermittlung im Konzern
  • Adaptierung von Betroffenenrechten im Kontext der Beschäftigungsverhältnisse
  • Vorschriften zur Trennung von privatem und dienstlichem Bereich

Darüber hinaus sollen die Mitbestimmungsrechte von Mitarbeitervertretungen ausgeweitet werden, um den Schutz der Persönlichkeitsrechte der Mitarbeiter zu gewährleisten. Dabei geht es auch darum, die Einhaltung der Datenschutzregelungen zugunsten der Betroffenen zu kontrollieren.

Auf dieses Positionspapier soll im Sommer 2023 ein Referentenentwurf der zuständigen Minister folgen, ehe bis zum Jahresende das Gesetz kommt. Mit welchen Regelungen der neue Beschäftigtendatenschutz tatsächlich in Kraft treten wird, bleibt abzuwarten.