Nach EuGH-Entscheidung: Deutsche Regelungen im Beschäftigtenkontext unvereinbar mit der DSGVO
Am 30.03.2023 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil zur Verarbeitung von Beschäftigtendaten erlassen, das Auswirkungen auch für Unternehmen, Behörden und Gesetzgeber in Hamburg hat. In einem Vorlagefall aus Hessen hat sich der Gerichtshof mit der Frage befasst, inwiefern der dortige § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz („Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“) Grundlage für die Durchführung von Videokonferenzen von Lehrer:innen sein kann. Im Ergebnis stellt der EuGH fest, dass § 23 HDSIG keine spezifischere Vorschrift im Sinne des Art. 88 Abs. 1 und 2 DSGVO darstellt und somit dessen Anforderungen und denen der DSGVO nicht genügt (Urteil vom 30.03.2023 in der Rechtssache C‑34/21).
Handlungsbedarf für Unternehmen und andere nichtöffentliche Stellen
Die Entscheidung des EuGH hat weitreichende Auswirkungen auch in Hamburg. § 26 BDSG, die Parallelvorschrift im Bundesrecht für Beschäftigtendaten im nichtöffentlichen Bereich, dürfte damit als unanwendbar zu betrachten sein. Die Wirtschaft wird ihre Verarbeitung von Beschäftigtendaten nun auf Art. 6 Abs. 1 DSGVO stützen müssen. In Betracht kommen hierbei insbesondere die Erforderlichkeit zur Durchführung des Arbeitsvertrags (lit. b) sowie eine rechtliche Verpflichtung zur Verarbeitung von Beschäftigtendaten (lit. c).
Zum jetzigen Zeitpunkt ist nicht davon auszugehen, dass Datenverarbeitungen auszusetzen oder zu beenden sind, denn voraussichtlich wird sich eine jeweils alternative Rechtsgrundlage finden. Dies bedarf jedoch einer Prüfung durch die datenverarbeitende Stelle im Einzelfall. In dem Zuge sollte erwogen werden, verstärkt auf Betriebsvereinbarungen zu setzen, mit denen weiterhin tragfähige und ausdifferenzierte Regelungen zur innerbetrieblichen bzw. konzernweiten Datenverarbeitung geschaffen werden können.
Dokumente wie Datenschutzinformationen, Verarbeitungsverzeichnisse und Einwilligungstexte sind gegebenenfalls anzupassen, indem aktualisierte Rechtsgrundlagen aufgeführt werden. In Anbetracht der neuen, klärungsbedürftigen Rechtslage wird es angebracht sein, dies nicht zu überstürzen, sondern Positionierungen der Datenschutzkonferenz des Bundes und der Länder und ggfs. der Gerichte abzuwarten.
Handlungsbedarf für öffentliche Stellen
Öffentliche Stellen in Hamburg stehen vor denselben Herausforderungen wie Unternehmen und andere nichtöffentliche Stellen. Denn die bisherige Regelung für Beschäftigtendatenverarbeitungen in § 10 HmbDSG (Hamburgsiches Datenschutzgesetz) weist große Ähnlichkeiten zum hessischen Recht auf. Er enthält jedoch auch einzelne Garantien für Betroffene, die im hessischen Pendant nicht vorkommen. Es empfiehlt sich, die Vorschrift zu überprüfen und gegebenenfalls zu ändern. Für den speziellen Falle von Videokonferenzen in Schulen ist Hamburg bereits weiter als Hessen, indem die Stadt eine speziellere Regelung im Hamburgischen Schulgesetz (konkret: § 98c HmbSG) geschaffen hat. Hier besteht daher kein Handlungsbedarf.
Die Hamburger Verwaltung verfügt darüber hinaus über ein dichtes Netz aus Dienstvereinbarungen, die landesweit oder behördenweit gelten. Ihnen kommt nun besondere Bedeutung als spezielle Regelungen zu, die zur Ergänzung der DSGVO ausdrücklich erlaubt sind. Kommt man zu dem Schluss, dass § 10 HmbDSG unanwendbar ist, werden sich die meisten Verarbeitungen von Beschäftigtendaten weiterhin auf die Dienstvereinbarungen stützen lassen. Voraussetzung ist, dass sie die in Art. 88 Abs. 2 DSGVO aufgezählten Garantien enthalten. Die Bedeutung dieser Pflichtinhalte hat der EuGH in seiner Entscheidung betont, sodass darauf nun besonders Wert zu legen ist. Fehlen sie, sind Ergänzungen und neue Vereinbarungen notwendig.
Erst dann, wenn weder Dienstvereinbarungen noch bereichsspezifische Gesetze greifen, ist gegebenenfalls auf die Verarbeitungsklauseln des Art. 6 Abs. 1 DSGVO abzustellen. Dabei kommt insbesondere die Erforderlichkeit zur Erfüllung des Arbeitsvertrags (lit. b) in Betracht.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks