Suchformular öffnen Menü öffnen
Anwaltssuche
Suche
Datenschutz und Cybersecurity
  • 28 Apr 2023
  • 1 Minute Lesezeit

EuGH-Urteil zum Beschäftigtendatenschutz: Europarechtswidrigkeit des § 26 Abs. 1 S. 1 BDSG

Am 30.03.2023 hat der EuGH entschieden (Az. C-34/21), dass § 23 des hessischen Landesdatenschutzgesetzes (HDSIG) gegen Europarecht verstößt, da es sich dabei um keine gegenüber den europarechtlichen Regelungen „spezifischere Vorschrift“ im Sinne des Art. 88 DSGVO handele.

In der Regel gilt: das europäische Recht genießt im Verhältnis zu nationalem Recht Anwendungsvorrang, es sei denn, es liegt eine Ausnahmereglung vor, die den Mitgliedsstaaten die Kompetenz zur Rechtssetzung und damit zur nationalen Anpassung des Europarechts in bestimmten Bereichen ermöglicht. Ein solche Ausnahme bildet der Art. 88 DSGVO im Datenschutzrecht für den Bereich des Beschäftigtendatenschutzes. Davon hatte der hessische Gesetzgeber mit dem § 23 HDSIG Gebrauch gemacht und geregelt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. Eine nahezu inhaltsgleiche Regelung hat auch der Bundesgesetzgeber im § 26 Abs. 1 S. 1 BDSG getroffen.

Der EuGH entschied allerdings, dass die hessische Regelung die allgemeinen europarechtlichen Rechtsmäßigkeitsbedingungen und Rechtsgrundlagen – insbesondere die Verarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 Unterabs. 1 lit. b) DSGVO – nur wiederhole und daher die Voraussetzungen des Öffnungsklausel zur Schaffung eigener Regelungen nicht erfülle. Ob dies auch für die Aufdeckung von Straftaten – auf Bundesebene in § 26 Abs. 1 Satz 2 BDSG geregelt – gilt, bleibt offen. Insofern geht die Entscheidung des EuGH nicht über Andeutungen hinaus.

Fazit

Die Auswirkungen der Entscheidung sind in der Praxis nicht gravierend. Zunächst einmal ist in der Datenschutzdokumentation, insbesondere im Verzeichnis der Verarbeitungstätigkeiten, in den Datenschutzhinweisen aber auch ggf in Betriebsvereinbarungen, nur der Verweis auf § 26 Abs. 1 S. 1 BDSG (oder entsprechende landesrechtliche Normen) durch den Art. 6 Abs. 1 Unterabs. 1 lit b) DSGVO zu ersetzen.  Inwieweit das Wiederholungsverbot auch andere deutsche Datenschutznormen betrifft, die damit unwirksam sind, bleibt zu beobachten.

Weitere Fachbeiträge und Blogs

Kartell-, Vergabe- und Beihilfenrecht
DAWI-Berichterstattung für die Jahre 2022 und 2023
  • 24 Apr 2024
  • 2 Minuten Lesezeit
Financial Services
Taking stock of ESMA’s first review of EU securities financing transactions markets
  • 23 Apr 2024
  • 14 Minuten Lesezeit
Financial Services
Taking stock of the Single Resolution Board’s new Single Resolution Mechanism Vision 2028 Strategy
  • 12 Apr 2024
  • 13 Minuten Lesezeit
Alle Fachbeiträge und Blogs