Daß die Regelung zum Beschäftigtendatenschutz im neuen BDSG nicht nur deshalb unbefriedigend ist, weil anläßlich der Neuformulierung des Gesetzes zu diesem Thema letztlich nicht mehr passiert ist, als daß man § 32 BDSG (alt) einfach abgeschrieben und lediglich mit einigen mangels rechtserheblicher Relevanz entbehrlichen Textzusätzen künstlich aufgeplustert hat, ist seit geraumer Zeit bekannt und wird berechtigterweise von vielen Stimmen kritisiert, die eine zeitgemäße und sachgerechte gesetzliche Regelung des Beschäftigtendatenschutzes aus unterschiedlichen Gründen interessiert.
Keines der deutschen Obergerichte, nicht einmal das Bundesarbeitsgericht als „betroffenes“ Fachgericht, hatte allerdings bislang erkennbar geäußerte Zweifel an der Wirksamkeit des aktuellen § 26 Abs. 1 Satz 1 BDSG, der Norm, auf die seit Wirksamwerden der DSGVO alle „normalen“ im Zusammenhang mit dem Arbeitsverhältnis vorzunehmenden Verarbeitungen personenbezogener Beschäftigtendaten üblicherweise gestützt werden.
Das Bundesarbeitsgericht (BAG, Beschluss v. 07.05.2019, 1 ABR 53/17, Rn. 56) hat die Vereinbarkeit der Regelung mit den Vorgaben des Europäischen Rechts in Art. 88 Abs. 1 DSGVO – sogar als „derart offenkundig“ angesehen, „dass für vernünftige Zweifel kein Raum bleibt“.
Übrigens der gleiche Senat, der erst vor Kurzem das Arbeitsschutzgesetz im Wege der Auslegung um eine generelle Verpflichtung zur Arbeitszeiterfassung erweitert hat.
Mit dieser Einschätzung könnte das BAG demnächst allerdings alleine dastehen.
Denn im Zusammenhang mit der anstehenden Entscheidung des Europäischen Gerichtshofs (EuGH, Rechtssache C‑34/21) zu einem Vorabentscheidungsersuchen des Verwaltungsgerichts Frankfurt zu einer an den relevanten Stellen wortgleichen Regelung des Hessische Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) hat der Generalanwalt heute seine Schlußanträge formuliert.
Und deren Begründung fällt eindeutig aus (Hervorhebungen durch den Beitragsverfasser):
„Ich stimme an dieser Stelle mit dem vorlegenden Gericht und der Kommission darin überein, dass § 23 HDSIG die in Art. 88 Abs. 1 DSGVO festgelegte Voraussetzung, dass „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, nicht erfüllt.
Sowohl § 23 Abs. 1 Satz 1 HDSIG als auch § 86 Abs. 4 Satz 1 HBG geben lediglich vor, dass personenbezogene Daten von Beschäftigten und Beamten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für einen der beiden folgenden Zwecke „erforderlich“ ist:
– für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung; oder
– zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen.
Genau genommen machen beide Rechtsvorschriften die Verarbeitung personenbezogener Daten der Beschäftigten allein davon abhängig, dass diese für bestimmte Zwecke erforderlich ist.
Es besteht also kein wesentlicher Unterschied zu der Bestimmung aus Art. 6 Abs. 1 b) DSGVO […].
§ 23 HDSIG wiederholt somit eine Voraussetzung, die bereits in Art. 6 Abs. 1 b) DSGVO für die allgemeine Rechtmäßigkeit der Verarbeitung gefordert wird. Der Paragraf fügt hingegen keine spezifischere Vorschrift zum Schutz der Rechte im Rahmen der Verarbeitung personenbezogener Daten im Beschäftigungskontext hinzu. […].
Die Bedingungen und Bestimmungen für die eventuelle Verarbeitung werden jedoch nicht näher konkretisiert. […].
Im Ergebnis wiederholt § 23 HDSIG nur die bereits in Art. 88 Abs. 1 DSGVO enthaltene Ermächtigung bzw. öffnet, um es mit anderen Worten zu sagen, die Tür für die Schaffung (oder Beibehaltung) weiterer spezifischerer Vorschriften.
§ 23 HDSIG legt nicht nur per se keine „spezifischeren Vorschriften“ im Sinne von Art. 88 Abs. 1 DSGVO fest, sondern umfasst auch keine „geeignete[n] und besondere[n] Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“.
Durch das Fehlen solcher Maßnahmen verstößt § 23 HDSIG gegen die in Art. 88 Abs. 2 DSGVO festgelegte Voraussetzung dafür, dass der Erlass differenzierender Rechtsvorschriften der Mitgliedstaaten im Bereich der Arbeitsverhältnisse überhaupt zulässig ist.
[Ziffn. 58-70]
Und die rechtliche Konsequenz hieraus sieht nach Ansicht des Generalanwalts so aus:
„§ 23 HDSIG ist insoweit irrelevant bzw. überflüssig, als er streng genommen keine spezifischeren Bestimmungen enthält, die das Recht der Beschäftigten auf Schutz ihrer personenbezogenen Daten im Beschäftigungskontext gewährleisten.
Im Beschäftigungskontext (Arbeitsverhältnisse) sind grundsätzlich und unmittelbar die Bestimmungen der allgemeinen Regelung aus der DSGVO anzuwenden.„
[Ziff. 78]
Eine schallende Ohrfeige für den deutschen Gesetzgeber, der trotz viel Zeit und noch mehr sachkundigen Stimmen zu dem Thema nicht einmal den Minimalspielraum sauber ausgefüllt hat, den er dem Beschäftigtendatenschutz bei der Neugestaltung des BDSG 2018 zugestanden hat.
Und sicherlich auch kein Attest für sorgfältige Arbeit des 1. Senats des Bundesarbeitsgerichts, der bei seiner Entscheidung im Mai 2019 eine etwaige Vorlage an den EuGH trotz damals bereits veröffentlichter Zweifel einzelner Stimmen in der Fachliteratur an der Vereinbarkeit des § 26 Abs. 1 Satz 1 BDSG mit der DSGVO als wegen Offensichtlichkeit seiner Rechtmäßigkeit unnötig bezeichnet hat.
Zwar sind die konkreten Antworten, die der EuGH auf der Grundlage der Vorschläge voraussichtlich zu dem Vorabentscheidungsersuchen erteilen wird, einigermaßen abstrakt.
Es kann allerdings – in der Begründungstiefe des BAG ausgedrückt – kein vernünftiger Zweifel daran bestehen, daß in der Konsequenz dieser Entscheidung bis auf Weiteres § 26 Abs. 1 Satz 1 BDSG als gesetzliche Rechtfertigungsgrundlage für übliche Verarbeitungen personenbezogener Daten im Arbeitsverhältnis nicht mehr mit dem Anspruch auf Richtigkeit zitierfähig sein dürfte.