EuGH-Urteil zum Beschäftigtendatenschutz: Europarechtswidrigkeit des § 26 Abs. 1 S. 1 BDSG
Am 30.03.2023 hat der EuGH entschieden (Az. C-34/21), dass § 23 des hessischen Landesdatenschutzgesetzes (HDSIG) gegen Europarecht verstößt, da es sich dabei um keine gegenüber den europarechtlichen Regelungen „spezifischere Vorschrift“ im Sinne des Art. 88 DSGVO handele.
In der Regel gilt: das europäische Recht genießt im Verhältnis zu nationalem Recht Anwendungsvorrang, es sei denn, es liegt eine Ausnahmereglung vor, die den Mitgliedsstaaten die Kompetenz zur Rechtssetzung und damit zur nationalen Anpassung des Europarechts in bestimmten Bereichen ermöglicht. Ein solche Ausnahme bildet der Art. 88 DSGVO im Datenschutzrecht für den Bereich des Beschäftigtendatenschutzes. Davon hatte der hessische Gesetzgeber mit dem § 23 HDSIG Gebrauch gemacht und geregelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. Eine nahezu inhaltsgleiche Regelung hat auch der Bundesgesetzgeber im § 26 Abs. 1 S. 1 BDSG getroffen.
Der EuGH entschied allerdings, dass die hessische Regelung die allgemeinen europarechtlichen Rechtsmäßigkeitsbedingungen und Rechtsgrundlagen – insbesondere die Verarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO – nur wiederhole und daher die Voraussetzungen des Öffnungsklausel zur Schaffung eigener Regelungen nicht erfülle. Ob dies auch für die Aufdeckung von Straftaten – auf Bundesebene in § 26 Abs. 1 Satz 2 BDSG geregelt – gilt, bleibt offen. Insofern geht die Entscheidung des EuGH nicht über Andeutungen hinaus.
Fazit
Die Auswirkungen der Entscheidung sind in der Praxis nicht gravierend. Zunächst einmal ist in der Datenschutzdokumentation, insbesondere im Verzeichnis der Verarbeitungstätigkeiten, in den Datenschutzhinweisen aber auch ggf in Betriebsvereinbarungen, nur der Verweis auf § 26 Abs. 1 S. 1 BDSG (oder entsprechende landesrechtliche Normen) durch den Art. 6 Abs. 1 Unterabs. 1 lit b) DSGVO zu ersetzen. Inwieweit das Wiederholungsverbot auch andere deutsche Datenschutznormen betrifft, die damit unwirksam sind, bleibt zu beobachten.