Unser heutiger Beitrag soll ein recht aktuelles Urteil des Bundesarbeitsgericht (BAG) vom 8. Mai 2025 (8 AZR 209/21) näher beleuchten. Dieses Urteil des BAG hat bereits in den vergangenen Wochen die datenschutzrechtliche Welt beschäftigt. Hierbei standen laut Pressemitteilung des BAG insbesondere Fragen rund um Datenverarbeitungen nach § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) im Zusammenhang mit Betriebsvereinbarungen und den Schadenersatz eines Beschäftigten nach Art. 82 DS-GVO aufgrund unzulässiger Datenübermittlungen innerhalb einer Konzerngruppe im Blickpunkt. Ein guter Bericht findet sich hier. Nunmehr wurde auch der Volltext des Urteils veröffentlicht.
Ein Blick in die Urteilsbegründung lohnt sich eben doch!
Viel spannender für die datenschutzrechtliche Praxis sind die Ausführungen des BAG ab Randziffer 16. Hier heißt es zunächst: „Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.“ Noch einmal zum auf der Zunge zergehen lassen: „§ 26 Abs. 1 BDSG hat unangewendet zu bleiben.“
Zur Verdeutlichung, § 26 Abs. 1 Satz 1 BDSG umfasst als Grundtatbestand mehrere Regelungstatbestände: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist […].“ Auf Satz 2 verzichten wir an dieser Stelle, dieser enthält Vorgaben zur Datenverarbeitung zur Aufdeckung von Straftaten.
Und wie geht es nun weiter?
Wir erinnern uns zurück: Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 30. März 2023 (Rs. C-34/21) mit der Vereinbarkeit des § 23 Abs. 1 Satz 1 Hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) und der Datenschutz-Grundverordnung, insbesondere natürlich Art. 88 Abs. 1 DS-GVO, befasst und diese verneint (wir berichteten). Seitdem ist in der Literatur umstritten, ob dieses Urteil Ausstrahlungswirkung auf den wortgleichen § 26 Abs. 1 BDSG hat.
Nunmehr hat sich das BAG in seinem Urteil offenkundig mit der Rechtslage befasst. Es führt hierzu weiter aus: „§ 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet.“
Und weiter: „Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen […] Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt.“
Das BAG spricht klar von einer Unanwendbarkeit des § 26 Abs. 1 BDSG, kommt aber bei den vertieften Ausführungen zu der Darstellung, dass „lediglich“ § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 Abs. 1 DS-GVO nicht erfüllt. Letzteres könnte in der Anwendung konsequent sein, da auch die vom EuGH zitierte Entscheidung beispielsweise nicht die Regelungen zur Aufdeckung von Straften adressiert.
Das BAG führt zudem weiter aus, dass nationale Vorschriften, zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, die nicht die Voraussetzungen und Grenzen des Art. 88 Abs. 1 und 2 DS-GVO beachten, unangewendet bleiben müssen, es sei denn die Rechtsvorschriften stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar. Dies war in dem zugrundeliegenden Sachverhalt nicht gegeben.
Fazit
War nach dem Urteil des EuGH zum HDSIG noch umstritten, ob es eine Ausstrahlungswirkung des Urteils auf § 26 Abs. 1 Satz 1 BDSG gibt, verdichten sich nun mit dem Urteil des BAG die Anzeichen, dass Verantwortliche bei der Bewertung von Fragen rund um Datenverarbeitungen im Beschäftigungskontext auf Art. 6 Abs. 1 UAbs. lit. b) oder f) DS-GVO zurückgreifen müssen. Eventuell wird künftig sogar noch einmal der Plan nach einem Beschäftigtendatenschutzgesetz aus der Schublade geholt.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
