Alter Wein in neuen Schläuchen - § 26 BDSG und Art. 6 DSGVO
In § 26 Abs. 1 BDSG heißt es daher:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Dieser Absatz stellt eine eigene Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten dar und sagt im Wesentlichen aus, was bereits in Art. 6 Abs. 1 lit. b) DSGVO geregelt ist, da ein Beschäftigungsverhältnis immer auch vertraglich begründet ist (Arbeitsvertrag).
In Art. 6 Abs. 1 lit b) DSGVO heißt es:
„die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“
Damit wird deutlich, dass der § 26 Abs. 1 BDSG im Wesentlichen nur das wiederholt, was auch in Art. 6 DSGVO geregelt ist. Denn auch die Einwilligung ist in § 26 Abs. 2 BDSG aufgeführt und lediglich um das Schriftformerfordernis erweitert.
Verstoß gegen Art. 88 DSGVO
Spannend wurde es jedoch, als der EuGH in seinem Urteil vom 30. März (Az.: C-34/21)1 dies im Rahmen der Prüfung des Hessischen Datenschutzgesetzes (identisch mit 26 Abs. 1 BDSG) feststellte, dass diese Klausel zu allgemein gefasst sei und daher keine „speziellere Vorschrift“ im Sinne des Art. 88 Abs. 1 DSGVO darstelle. Da hier lediglich eine Wiederholung des Normtextes der DSGVO vorliege, führe dies zu Verwirrung und Intransparenz und damit zur Unzulässigkeit der Norm. Der EuGH hat daher § 23 Abs. 1 S.1 Hessisches Datenschutzgesetzes für unzulässig erklärt. Nicht aber § 26 BDSG. Gleichwohl lässt sich daraus ableiten, was der EuGH von der gleichlautenden Vorschrift im BDSG halten wird, sollte es zu einer Prüfung kommen.
Ausblick und Empfehlung
Grund genug also für Deutschland das BDSG anzupassen. Erste Gesetzesentwürfe liegen bereits vor.2 Auch die Datenschutzkonferenz hat dazu bereits Stellung genommen.3
Bis es jedoch soweit ist und der Beschäftigtendatenschutz in Deutschland spezifische Regelungen zum Beschäftigtendatenschutz enthält, empfehlen folgende Maßnahmen:
- Don‘t panic! – Das BDSG ist weiterhin wirksam! Lediglich eine Norm des Hessischen Datenschutzgesetzes wurde für unzulässig erklärt.
- Zukünftige Verarbeitungen sollten auf die gleichlautenden Normen der DSGVO gestützt werden (Art. 6 Abs. 1 lit. a oder b DSGVO).
- Eintragungen in das Verarbeitungsverzeichnis auf der Rechtsgrundlage des § 26 BDSG stützen, sind weiterhin zulässig.
Wir von Althammer & Kill halten Sie über diese und weitere Änderungen auf dem Laufenden und stehen Ihnen bei Fragen zum Datenschutz gerne zur Verfügung.
1curia.europa.eu/juris/document/document.jsf
2www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/aendg_bdsg.html
3datenschutzkonferenz-online.de/media/st/23_09_06_DSK_Stellungnahme_BDSG.pdf