Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung.[1]

Rechtsgrundlagen DSGVO und BDSG

Das Bundesdatenschutzgesetz wurde zum 25.5.2018 sowie zum 26.11.2019[2] den Vorgaben der DSGVO entsprechend novelliert.[3] Das BDSG regelt in erster Linie die automatisierte Datenverarbeitung. Nach § 1 Abs. 1 BDSG findet das Gesetz Anwendung auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen – dazu zählen die öffentlichen Arbeitgeber – und durch nichtöffentliche Stellen wie den privaten Arbeitgeber[4], soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen. Verpflichtet nach dem BDSG ist jeder "Verantwortliche" (vgl. Art. 4 Nr. 7 1. Halbsatz DSGVO) – darunter ist jede "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Im Arbeitsverhältnis gehören dazu dritte Dienstleister des Arbeitgebers, aber auch Betriebsräte etc., die Zugriff und Umgang mit Arbeitnehmerdaten haben.

Für nicht automatisierte Dateien gilt das BDSG nur eingeschränkt.[5] Allerdings greift die Ausnahme rein persönlicher oder familiärer Datenverarbeitung im Zusammenhang mit dem Arbeitsverhältnis nicht. Aufgrund der Vorgaben der DSGVO änderte sich im BDSG die Terminologie: die DSGVO versteht unter Datenverarbeitung als Oberbegriff sämtliche Formen des Umgangs mit Daten anderer. Dies wurde vom BDSG in seiner aktuellen Neufassung übernommen. Die einzelnen Erscheinungsformen wie Datenerhebung, -speicherung oder -verarbeitung im bisherigen Sinne fallen sämtlich unter diesen Begriff und bestimmen demzufolge den Anwendungsbereich der arbeitsrechtlichen Spezialregelung des § 26 BDSG.[6]

 
Achtung

Die Unanwendbarkeit von § 26 BDSG nach der EuGH-Rechtsprechung!

Im Urteil v. 30.3.2023 (C-34/21) hat der EuGH entschieden, dass die Regelung zum Beschäftigendatenschutz in § 23 HessDSIG unionsrechtswidrig sein könnte, weil sie jedenfalls von der Öffnungsklausel des Art. 88 DSGVO nicht gedeckt wird. Da die Regelung weitgehend mit § 26 BDSG identisch ist, hat die EuGH-Entscheidung mittelbare Auswirkungen auf die deutschen Regelungen zum Beschäftigtendatenschutz:

Nach der Entscheidung stellt § 23 HessDSIG (§ 26 BDSG) keine "spezifischere Vorschrift" im Sinne von Art. 88 DSGVO dar. Grund dafür ist, das die Norm keinen eigenständigen Inhalt aufweist, der sich von den allgemeinen Regelungen der DSGVO unterscheidet. Außerdem genügt die Norm den Anforderungen von Art. 88 Abs. 2 DSGVO nicht, weil sie keine weitergehenden, besonderen Maßnahmen zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Datenverarbeitung enthält. DIe Norm ist gewissermaßen "inhaltsleer", weil sie sich auf eine Wiederholung der in Art. 6 DSGVO bereits genannten Rechtmäßigkeitsvoraussetzungen beschränkt.

§ 26 BDSG könnte jedoch den Anforderungen des Art. 6 Abs. 3 Satz 1 b) DSGVO genügen und wäre dann unionsrechtskonform. Das vorlegende VG Wiesbaden hat nunmehr zu klären, ob dies bei § 23 HessDSIG der Fall ist. Zusätzlich könnte es sich um Datenverarbeitung handeln, mit der der Arbeitgeber einer rechtlichen Verpflichtung nachkommt, der er unterliegt (Art. 6 Abs. 1 c) DSGVO) oder eine Datenverarbeitung, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 6 Abs. 1 e) DSGVO). Denkbar wären an dieser Stelle allenfalls arbeitsgesetzliche Pflichten wie bspw. die Dokumentationspflichten nach dem Nachweisgesetz, Erfassung und Aufzeichnung von Arbeitszeiten nach dem Arbeitsgesetz o. ä.

Die inhaltliche Prüfung datenschutzrechtlicher Fragestellungen und die Zulässigkeit diesbzgl. Eingriffe in Arbeitnehmerrechte wird sich jedoch auch weiterhin am Maßstab der "Erforderlichkeit" orientieren. Die entsprechenden Vorgaben des BAG sind weiterhin maßgebend, im Einzelfall möglich ist jedoch eine abweichende Auslegung des Begriffs seitens des EuGH.

Ergebnis: Eine umfassende Rechtsgrundlage für den Beschäftigtendatenschutz dürfte demnach in § 26 BDSG nicht mehr gesehen werden können! Die Datenverarbeitung im Arbeitsverhältnis wird sich dann vorrangig auf Art. 6 Abs. 1 b) DSGVO stützen.

Nachfolgend wird § 26 BDSG in der aktuell noch gültigen Fassung dargestellt; zudem erfolgen Hinweise auf eventuelle Änderungen aufgrund der EuGH-Rechtsprechung und der zukünftigen Anwendung des Art. 6 Abs. 1 b) DSGVO.

Abzuwarten bleibt, ob die EuGH-Rechtsprechung die Diskussion um eine nationales Beschäftigtendatenschutzgesetz belebt und den Gesetzgeber initiativ werden lässt. Der aktuelle Regierungsentwurf zur Änderung des BDSG sieht diesbzgl. (noch) keine entsprechende Anpassung an die Entwicklung vor[7].

Das Gesetz verpflichtet den Arbeitgeber nicht mehr ausdrücklich zur Datenvermeidung und Datensparsamkeit (vgl. dazu den frühe...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?


Meistgelesene beiträge