Datenschutz ist im Arbeitsverhältnis schon seit einigen Jahren ein sehr wichtiges und präsentes Thema. Man erinnert sich noch gut daran, als die Datenschutzgrundverordnung (DSGVO) der EU in Kraft trat und seit 2018 bei uns in Deutschland Anwendung findet. Der Aufschrei war groß. Die Angst, dass die Unternehmen insbesondere auch gegenüber ihren Beschäftigten nicht datenschutzkonform handeln würden, war groß. Verbunden war dies auch mit der Sorge vor möglichen Bußgeldern.

Beachtung finden sollte in diesem Zusammenhang nun aber eine Entscheidung des Europäischen Gerichtshofs vom 30.03.2023 (C-34/21).(Anm.: Zum Zeitpunkt des Artikels war die Entscheidung noch nicht vollständig veröffentlicht.) Diese könnte für größere Unsicherheit sorgen. Den Inhalt der Entscheidung und wie auf die Unsicherheit reagiert werden sollte, stellt Herr Rechtsanwalt Henning Meier hier dar.

Der wichtigste Grundsatz im Datenschutz lautet: Die Verarbeitung personenbezogener Daten bedarf einer Rechtfertigung. Liegt keine Erlaubnis der Datenverarbeitung vor und erfüllt die Datenverarbeitung nicht die Anforderungen der DSGVO, drohen Geldbußen (Art. 83 DSGVO) oder sogar Schadenersatzansprüche (Art. 82 DSGVO).

In Deutschland wurde das Inkrafttreten der DSGVO noch vergleichsweise ruhig entgegengenommen. Denn hierzulande ging man davon aus, dass mit § 26 Bundesdatenschutzgesetz (BDSG) eine gesetzliche Regelung des Beschäftigtendatenschutzes gegeben sei, die sehr gut und einfach zu handhaben ist.

§ 26 Abs. 1 BDSG hat einen „charmanten“ Inhalt. Denn grob zusammengefasst bedeutet § 26 Abs. 1 BDSG, dass immer dann, wenn die Datenverarbeitung auch für Zwecke des Beschäftigungsverhältnisses „erforderlich“ ist, die Datenverarbeitung gerechtfertigt ist. Natürlich ist dies stark verkürzt. Diese Rechtfertigung umfasst aber schon einmal einen Großteil der Daten, die im Beschäftigungsverhältnis tatsächlich verarbeitet werden. Verarbeitung ist im Übrigen ein sehr weiter Begriff. Zur Verarbeitung gehören unter anderem das Erheben, Speichern, inhaltliche Verändern, Übermitteln und Löschen von Daten. Für jeden der einzelnen Schritte bedarf es einer Rechtfertigung.

Warum ist die Entscheidung des EuGH vom 30.03.2023 so interessant? Der EuGH hat im Rahmen dieser Entscheidung sehr deutlich gemacht, dass große Zweifel bestehen, ob die dort maßgebliche deutsche Vorschrift eine ausreichende Grundlage zur Rechtfertigung einer Datenverarbeitung sein kann. Maßgeblich war zwar nicht § 26 BDSG. Aber in der Entscheidung des EuGH ging es um § 23 HDSIG, also der Umsetzung des Beschäftigtendatenschutzes im hessischen Landesrecht. Die landesrechtliche Norm ist nahezu wortgleich mit § 26 BDSG. Daher stellen sich dieselben Zweifel an der Rechtmäßigkeit von § 26 BDSG.

Nun ist erst einmal was das angeht natürlich der Gesetzgeber gefragt. Die Bundesregierung und dort der Bundesjustizminister sollten möglichst zeitnah diese Entscheidung zum Anlass nehmen, § 26 BDSG zu überarbeiten und entsprechend der Hinweise des EuGH anzupassen.

Für die Praxis entscheidender und auch interessanter ist aber die Frage, wie sollen sich Unternehmen, Betriebsräte und Beschäftigte jetzt verhalten? Die wichtige Erkenntnis lautet erst einmal, dass man sich nicht ausschließlich auf § 26 BDSG berufen kann. Denn hiermit ist ein großes Risiko verbunden. Man sollte nun immer eine parallele Prüfung durchführen, ob die Datenverarbeitung auch nach den weitergehenden Regeln und Generalklauseln der DSGVO gerechtfertigt ist. Kommt man zu dem Ergebnis, dass nach den Generalklauseln der DSGVO die Verarbeitung gerechtfertigt ist, so ist man auf jeden Fall auf der sicheren Seite.

Grundsätzlich ist es erst einmal richtig und wichtig, dass im Beschäftigungsverhältnis der Datenschutz als wichtiges Thema erfasst wird. Dies gilt aus Unternehmenssicht natürlich auch im Hinblick auf etwaige Bußgelder, die bei Datenschutzverstößen drohen. Dies gilt aber auch im Hinblick auf eine gesunde Kultur im Unternehmen. Nur dann, wenn Beschäftigte das Gefühl haben, dass ihre Daten geschützt und insbesondere nur zum Zwecke der Durchführung des Arbeitsverhältnisses verwendet werden, besteht Vertrauen. Wenn Vertrauen besteht, wird es in der Regel auch zu keinen Schwierigkeiten zwischen den Beschäftigten und dem Unternehmen zum Datenschutz kommen. Schlüssel für das Vertrauen sind eine klare Kommunikation und auch ein transparentes Vorgehen, wann und wie Daten verarbeitet werden.

Dennoch bleibt der Wunsch, dass der Gesetzgeber einen deutlich mehr an der Praxis orientierten Beschäftigtendatenschutz schafft. Hierfür käme auch eine eigene gesetzliche Umsetzung in Betracht. Ob und wenn wann dies erfolgt, bleibt aber vollkommen unklar.

Wir bleiben bei dem Thema dran und informieren, wenn sich hierzu Neuerungen ergeben.

Sie haben Fragen zu New Work, agilem Arbeiten und (flexiblen) Regelungen der Arbeitszeit?