Der Europäische Gerichtshof (EuGH) wurde kürzlich mit der Frage konfrontiert, ob die Vorschriften des hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) mit den Regelungen der DS-GVO vereinbar sind. Anlass für die Prüfung dieser Frage durch den EuGH war ein Rechtsstreit zwischen dem Hauptpersonalrat der Lehrer und dem hessischen Kultusministerium. Im Genaueren ging es um das Thema Unterricht per Videokonferenz im Zuge der Notwendigkeit durch die Corona-Pandemie. Der Rechtsstreit sollte die Frage klären, ob das Halten des Unterrichts per Livestream einwilligungsbedürftig seitens des Lehrpersonals ist.
Ausgangssituation
Das Verwaltungsgericht Wiesbaden legte den Fall dem EuGH aufgrund der Regelungen des HDSIG zu Prüfung vor. Das Verwaltungsgericht stellte dem EuGH die grundlegende Frage, ob die Regelungen des § 23 Abs. 1 S. 1 HDSIG mit den Anforderungen des Art. 88 Abs. 2 DS-GVO vereinbar sind, nachdem das Gericht ebendies bezweifelte. Der EuGH musste sich nun mit der Frage befassen, ob die oben genannte Vorschrift zur Umsetzung der Eröffnungsklausel anwendbar ist, wenn diese die strengen Voraussetzungen des Art. 88 Abs. 2 DS-GVO nicht erfüllt.
Konsequenzen des Urteils auf den nationalen Beschäftigtendatenschutz
Das Urteil des EuGH vom 30. März 23 (Az.: C-34/21) und die möglicherweise damit einhergehenden Konsequenzen zu der anfangs fast schon harmlos klingenden Ausgangssituation, sorgte zum Teil für eine große Überraschung. Denn laut Urteil des EuGH wird eine nationale Regelung eben nicht von der Öffnungsklausel in Art. 88 Abs. 1 DS-GVO umfasst, sofern die jeweilige nationale Regelung die Voraussetzungen des Art. 88 Abs. 2 DS-GVO nicht erfüllt.
In dem vorliegenden Fall hat der EuGH es letztendlich dem Verwaltungsgericht überlassen zu entscheiden, ob die Regelungen des § 23 Abs. 1 S. 1 HDSIG mit denen der DS-GVO vereinbar sind, positionierte sich jedoch unmissverständlich auf die Seite des Verwaltungsgerichts und deutete an, dass er die Vorschriften eher nicht mit denen des Art. 88 DS-GVO als vereinbar sieht.
Zunächst betrifft die EuGH-Entscheidung lediglich diese eine Regelung des hessischen Datenschutzrechts. Der Grund, weshalb das Urteil solch hohe Wellen schlägt, ist die nahezu Deckungsgleichheit des § 23 HDSIG mit § 26 BDSG. Die Ausführungen des EuGH könnten deshalb auch auf § 26 Abs. 1 S. 1 BDSG angewandt werden, welche bislang als die zentrale Rechtsgrundlage für die Datenverarbeitung im Beschäftigtenkontext gesehen wird. Hieraus wird auch die mögliche Reichweite des Urteils klar: Aufgrund der Tatsache, dass die Regelungen beider Gesetze nahezu identisch sind, macht sich vermehrt Zweifel über die zukünftige Anwendbarkeit des § 26 BDSG breit.
Handlungsbedarf für Arbeitgeber?
Falls Sie sich jetzt Sorgen machen, dass Sie nun personenbezogene Daten Ihrer Beschäftigten nicht mehr verarbeiten dürfen, können wir Entwarnung geben. § 26 BDSG ist nicht die einzige Rechtsgrundlage, welche für die Verarbeitung von Beschäftigtendaten herangezogen werden kann. Alternativen wären hier Art. 6 Abs. 1 lit. b) und f) zu erwähnen. Und da der EuGH den Ball zum Verwaltungsgericht zurückgeworfen hat, ist derzeit noch nichts entschieden. Wir raten Ihnen daher, sich bereit zu halten, Ihre Datenschutzinformationen und Verfahrensverzeichnisse entsprechend anzupassen. Ihr Datenschutzbeauftragter wird Ihnen hierbei sicher gern behilflich sein. Wir jedenfalls sind es.
Die Einführung eines Beschäftigtendatenschutzgesetzes wird in Deutschland schon seit Längerem diskutiert. Das Urteil des EuGH dürfte der Diskussion wieder frischen und vor allem einen kräftigen Wind in die Segel pusten.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
