Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute geht es „durch und um“ die Beschränkungen der Betroffenenrechte. Dann haben wir den dritten Touren-Abschnitt (Kapitel III DS-GVO) geschafft und stehen staunend vor Kapitel IV, dem gewaltigen Gebirge Verantwortlicher und Auftragsbearbeiter.

Ein Überblick

Zu Artikel 23 gehört Erwägungsgrund 73, der leider wenig taugt und kaum eigene Informationen bringt. Ärgerlich oder lustig – je nach Tageslaune – jedenfalls falsch ist der dortige Satz 2: Beschränkungen der Betroffenenrechte sollen (englische Sprachfassung: should) den Anforderungen der EU-Charta und der Europäischen Menschenrechtskonvention entsprechen. Bitte den Gesetzeswortlaut nicht ernst nehmen. Die Beschränkungen müssen (must) natürlich die Vorgaben der Charta und der EMRK einhalten. Grund- und Menschenrechte sind kein „nice to have“.

Die Norm selbst ist klar strukturiert: Absatz 1 regelt, dass Betroffenenrechte nur gesetzlich und nur aus den dort gelisteten Gründen eingeschränkt werden dürfen. Absatz 2 schreibt vor, welchen Mindestinhalt die Beschränkungen brauchen.

Absatz 2

Bei der praktischen Anwendung von Artikel 23 ist es oft sinnvoll von hinten, also bei Absazt 2 zu beginnen. Ob Beschränkungsgesetze in die Liste von Absatz 1 passen und dann auch noch eine „notwendige und verhältnismäßige Maßnahme darstellen“, lässt sich häufig nicht sicher beurteilen. Viel schneller ist zu klären, ob ein (vermeintliches) Beschränkungsgesetz den Mindestinhalt nach Absatz 2 aufweist. Fehlen solche (Mindest-Pflicht-)Inhalte, ist das Gesetz ohnehin keine wirksame Beschränkung von Betroffenenrechten. Absatz 1 braucht dann nicht mehr geprüft zu werden.

Wer die Einleiteformel in Absatz 2 sorgfältig gelesen hat (sehr schön!) wendet jetzt vielleicht ein, dass die Mindestinhalte nur gegebenenfalls verlangt werden. Also doch nicht immer? Tatsächlich ist die Formulierung (wieder einmal) monströs: Spezifische Vorschriften sind „insbesondere gegebenenfalls […] zumindest in Bezug auf […]“ nötig. Ein Blick in die englische Sprachfassung hilft (meine ich) weiter. Dort ist gegebenenfalls mit where relevant ersetzt. Die Mindestanforderungen gelten also, wo sie relevant sind. Aha. Das muss wirklich nicht gesetzlich geregelt werden. Streichen wir das „insbesondere gegebenenfalls“ mal weg.

Art. 23 Abs. 2 DS-GVO legt die Hürden für wirksame Beschränkungen der Betroffenenrechte hoch und oft reisst der Gesetzgeber diese Hürden. Zum Beispiel: § 32 Abs. 1 Nr. 5 BDSG streicht die Informationspflicht nach Art. 13 Abs. 3 DS-GVO, wenn sonst „eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährdet würde“. Missbrauchsgefahren liegen auf der Hand. Die Norm im BDSG klärt nicht einmal, wer über den Vertraulichkeitsbedarf entscheidet. Die Schutzvorkehrungen nach § 32 Abs. 2 Satz 1 und 2 BDSG gelten – laut dortigem Satz 3 – ausdrücklich nicht.

Damit bleibt nur Absatz 3: Die Information muss nachgeholt werden. Missbrauchsgarantien gegen verspätete Information? Keine. § 32 Abs. 1 Nr. 5 BDSG ist deshalb m. E. unwirksam – weil mit Art. 23 Abs. 2 lit. d) DS-GVO nicht vereinbar. Noch besser als nationale Beschränkungsgesetze wäre natürlich, die Betroffenenrechte gleich in der DS-GVO klar und abschließend zu regeln, siehe unser 12. und 13. Wandertag für das Informationsrecht.

Absatz 1

Damit laufen wir zu Absatz 1 und dort sind wir ganz schnell durch: Wie schon gesagt, regelt er, dass Beschränkungen der Betroffenenrechte durch Gesetz erfolgen müssen. Bei den zulässigen Gesetzeszielen würden eigentlich die Buchstaben e), i) und j) genügen. Alle anderen Buchstaben sind Beispielsfälle für die in e) geregelten „wichtigen Ziele des allgemeinen öffentlichen Interesses“.

Und auch diesmal zum Abschluss eine Knobelfrage: Fällt Ihnen ein Gesetz ein, dass sich nicht unter „wichtige Ziele des allgemeinen öffentlichen Interesses“ fassen ließe? Nein? Dann würde bei Absatz 1 vielleicht auch schlicht genügen: „Beschränkungen der Betroffenenrechte dürfen nur auf gesetzlicher Grundlage erfolgen.“

Auf Wiedersehen in der vierten Etappe!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren..

Unser heutiger Beitrag soll ein recht aktuelles Urteil des Bundesarbeitsgericht (BAG) vom 8. Mai 2025 (8 AZR 209/21) näher beleuchten. Dieses Urteil des BAG hat bereits in den vergangenen Wochen die datenschutzrechtliche Welt beschäftigt. Hierbei standen laut Pressemitteilung des BAG insbesondere Fragen rund um Datenverarbeitungen nach § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) im Zusammenhang mit Betriebsvereinbarungen und den Schadenersatz eines Beschäftigten nach Art. 82 DS-GVO aufgrund unzulässiger Datenübermittlungen innerhalb einer Konzerngruppe im Blickpunkt. Ein guter Bericht findet sich hier. Nunmehr wurde auch der Volltext des Urteils veröffentlicht.

Ein Blick in die Urteilsbegründung lohnt sich eben doch!

Viel spannender für die datenschutzrechtliche Praxis sind die Ausführungen des BAG ab Randziffer 16. Hier heißt es zunächst: „Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.“ Noch einmal zum auf der Zunge zergehen lassen: „§ 26 Abs. 1 BDSG hat unangewendet zu bleiben.“

Zur Verdeutlichung, § 26 Abs. 1 Satz 1 BDSG umfasst als Grundtatbestand mehrere Regelungstatbestände: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist […].“ Auf Satz 2 verzichten wir an dieser Stelle, dieser enthält Vorgaben zur Datenverarbeitung zur Aufdeckung von Straftaten.

Und wie geht es nun weiter?

Wir erinnern uns zurück: Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 30. März 2023 (Rs. C-34/21) mit der Vereinbarkeit des § 23 Abs. 1 Satz 1 Hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) und der Datenschutz-Grundverordnung, insbesondere natürlich Art. 88 Abs. 1 DS-GVO, befasst und diese verneint (wir berichteten). Seitdem ist in der Literatur umstritten, ob dieses Urteil Ausstrahlungswirkung auf den wortgleichen § 26 Abs. 1 BDSG hat.

Nunmehr hat sich das BAG in seinem Urteil offenkundig mit der Rechtslage befasst. Es führt hierzu weiter aus: „§ 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet.“

Und weiter: „Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen […] Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt.“

Das BAG spricht klar von einer Unanwendbarkeit des § 26 Abs. 1 BDSG, kommt aber bei den vertieften Ausführungen zu der Darstellung, dass „lediglich“ § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 Abs. 1 DS-GVO nicht erfüllt. Letzteres könnte in der Anwendung konsequent sein, da auch die vom EuGH zitierte Entscheidung beispielsweise nicht die Regelungen zur Aufdeckung von Straften adressiert.  

Das BAG führt zudem weiter aus, dass nationale Vorschriften, zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, die nicht die Voraussetzungen und Grenzen des Art. 88 Abs. 1 und 2 DS-GVO beachten, unangewendet bleiben müssen, es sei denn die Rechtsvorschriften stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar. Dies war in dem zugrundeliegenden Sachverhalt nicht gegeben.

Fazit

War nach dem Urteil des EuGH zum HDSIG noch umstritten, ob es eine Ausstrahlungswirkung des Urteils auf § 26 Abs. 1 Satz 1 BDSG gibt, verdichten sich nun mit dem Urteil des BAG die Anzeichen, dass Verantwortliche bei der Bewertung von Fragen rund um Datenverarbeitungen im Beschäftigungskontext auf Art. 6 Abs. 1 UAbs. lit. b) oder f) DS-GVO zurückgreifen müssen. Eventuell wird künftig sogar noch einmal der Plan nach einem Beschäftigtendatenschutzgesetz aus der Schublade geholt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.