Entschließung "Notwendigkeit spezifischer Regelungen zum Beschäftigtendatenschutz! – Rechtsprechung des Europäischen Gerichtshofs hat Auswirkungen auf zahlreiche deutsche Vorschriften im Beschäftigungskontext"
Der Europäische Gerichtshof (EuGH) hat am 30. März 2023 in der Rechtssache C‐34/21 über die Anforderungen an eine europarechtskonforme Umsetzung des Beschäftigtendatenschutzrechts in Hessen entschieden. In seinem Urteil formuliert der EuGH hohe Anforderungen an nationale Vorschriften, die auf der Grundlage der Öffnungsklausel des Artikels 88 der Verordnung (EU) 2016/679 (Datenschutz‐Grundverordnung – DS-GVO) erlassen werden. Die Entscheidungsgründe legen nahe, dass die Vorschrift des § 23 Absatz 1 Satz 1 des Hessischen Datenschutz‐ und Informationsfreiheitsgesetzes und § 86 Absatz 4 des Hessischen Beamtengesetzes diese Anforderungen nicht erfüllen.
Die Entscheidung des EuGH ist bundesweit von großer Bedeutung, weil Gesetzgeber aufgrund der Feststellungen des EuGH, soweit noch nicht geschehen, prüfen müssen, ob bestehende Regelungen zum Beschäftigtendatenschutz in Deutschland den Vorga‐ ben von Artikel 88 DS‐GVO entsprechen.
Zum einen dürfen diese Regelungen nicht nur die Bestimmungen der DS‐GVO wiederholen, sondern es muss sich bei ihnen um spezifischere Vorschriften der Mitgliedstaaten handeln (siehe Artikel 88 Absatz 1 DS‐GVO). Zum anderen müssen diese inhaltlich den Vorgaben des Artikels 88 Absatz 2 DS‐GVO entsprechen. Danach müssen die mitgliedstaatlichen Vorschriften selbst Maßgaben zum Schutz der Rechte und Freiheiten der Beschäftigten sowie geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten.
Nationale Regelungen im Beschäftigtenkontext, die nicht den Vorgaben der DS‐GVO entsprechen, müssen unangewendet bleiben – so der EuGH. In diesen Fällen gelten aufgrund des Anwendungsvorrangs des Unionrechts unmittelbar die Bestimmungen der DS‐GVO.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits in ihrer Entschließung vom 29. April 2022‚ „Die Zeit für ein Beschäftigtendatenschutzgesetz ist ‚Jetzt‘!“, festgestellt, dass die bestehende bundesrechtliche Regelung im Beschäftigtenkontext nicht hinreichend praktikabel, normenklar und sachgerecht ist und als Generalklausel weite Interpretationsspielräume eröffnet. Auch der vom Bundesministerium für Arbeit und Soziales (BMAS) eingesetzte unabhängige, interdisziplinäre Beirat zum Beschäftigtendatenschutz ist in seinem Bericht aus Januar 2022 zu dem Schluss gelangt, dass neben weiteren Maßnahmen ein eigenständiges Beschäftigtendatenschutzgesetz notwendig ist.
Anlässlich der EuGH‐Entscheidung hält es die DSK für notwendig, über die vorgenannte Entschließung hinaus, den Gesetzgeber auf die daraus resultierenden inhaltlichen Anforderungen an datenschutzrechtliche Regelungen ausdrücklich hinzuweisen.
Die DSK fordert daher den Gesetzgeber erneut auf, ein Beschäftigtendatenschutzgesetz zu schaffen. Sie begrüßt, dass das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) mit den Arbeiten für ein Beschäftigtendatenschutzgesetz begonnen haben.
Das Urteil des EuGH vom 30. März 2023 in der Rechtssache C‐34/21 ist abrufbar unter: https://curia.europa.eu/juris/liste.jsf?language=de&num=C‐34/21
Die Entschließung der DSK vom 29. April 2022 „Die Zeit für ein Beschäftigten‐datenschutzgesetz ist ‚Jetzt‘!“ ist abrufbar unter: https://www.datenschutzkonferenz‐online.de/entschliessungen.html
Der Bericht des unabhängigen, interdisziplinären Beirats zum Beschäftigtendatenschutz ist abrufbar unter: https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsrecht/ergebnisse‐beirat-beschaeftigtendatenschutz.pdf?__blob=publicationFile&v=6
Der Europäische Gerichtshof (EuGH) hat am 30. März 2023 in der Rechtssache C‐34/21 über die Anforderungen an eine europarechtskonforme Umsetzung des Beschäftigtendatenschutzrechts in Hessen entschieden. In seinem Urteil formuliert der EuGH hohe Anforderungen an nationale Vorschriften, die auf der Grundlage der Öffnungsklausel des Artikels 88 der Verordnung (EU) 2016/679 (Datenschutz‐Grundverordnung – DS-GVO) erlassen werden. Die Entscheidungsgründe legen nahe, dass die Vorschrift des § 23 Absatz 1 Satz 1 des Hessischen Datenschutz‐ und Informationsfreiheitsgesetzes und § 86 Absatz 4 des Hessischen Beamtengesetzes diese Anforderungen nicht erfüllen.
Die Entscheidung des EuGH ist bundesweit von großer Bedeutung, weil Gesetzgeber aufgrund der Feststellungen des EuGH, soweit noch nicht geschehen, prüfen müssen, ob bestehende Regelungen zum Beschäftigtendatenschutz in Deutschland den Vorga‐ ben von Artikel 88 DS‐GVO entsprechen.
Zum einen dürfen diese Regelungen nicht nur die Bestimmungen der DS‐GVO wiederholen, sondern es muss sich bei ihnen um spezifischere Vorschriften der Mitgliedstaaten handeln (siehe Artikel 88 Absatz 1 DS‐GVO). Zum anderen müssen diese inhaltlich den Vorgaben des Artikels 88 Absatz 2 DS‐GVO entsprechen. Danach müssen die mitgliedstaatlichen Vorschriften selbst Maßgaben zum Schutz der Rechte und Freiheiten der Beschäftigten sowie geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten.
Nationale Regelungen im Beschäftigtenkontext, die nicht den Vorgaben der DS‐GVO entsprechen, müssen unangewendet bleiben – so der EuGH. In diesen Fällen gelten aufgrund des Anwendungsvorrangs des Unionrechts unmittelbar die Bestimmungen der DS‐GVO.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits in ihrer Entschließung vom 29. April 2022‚ „Die Zeit für ein Beschäftigtendatenschutzgesetz ist ‚Jetzt‘!“, festgestellt, dass die bestehende bundesrechtliche Regelung im Beschäftigtenkontext nicht hinreichend praktikabel, normenklar und sachgerecht ist und als Generalklausel weite Interpretationsspielräume eröffnet. Auch der vom Bundesministerium für Arbeit und Soziales (BMAS) eingesetzte unabhängige, interdisziplinäre Beirat zum Beschäftigtendatenschutz ist in seinem Bericht aus Januar 2022 zu dem Schluss gelangt, dass neben weiteren Maßnahmen ein eigenständiges Beschäftigtendatenschutzgesetz notwendig ist.
Anlässlich der EuGH‐Entscheidung hält es die DSK für notwendig, über die vorgenannte Entschließung hinaus, den Gesetzgeber auf die daraus resultierenden inhaltlichen Anforderungen an datenschutzrechtliche Regelungen ausdrücklich hinzuweisen.
Die DSK fordert daher den Gesetzgeber erneut auf, ein Beschäftigtendatenschutzgesetz zu schaffen. Sie begrüßt, dass das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) mit den Arbeiten für ein Beschäftigtendatenschutzgesetz begonnen haben.
Das Urteil des EuGH vom 30. März 2023 in der Rechtssache C‐34/21 ist abrufbar unter: https://curia.europa.eu/juris/liste.jsf?language=de&num=C‐34/21
Die Entschließung der DSK vom 29. April 2022 „Die Zeit für ein Beschäftigten‐datenschutzgesetz ist ‚Jetzt‘!“ ist abrufbar unter: https://www.datenschutzkonferenz‐online.de/entschliessungen.html
Der Bericht des unabhängigen, interdisziplinären Beirats zum Beschäftigtendatenschutz ist abrufbar unter: https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsrecht/ergebnisse‐beirat-beschaeftigtendatenschutz.pdf?__blob=publicationFile&v=6