1.1 Unmittelbare Geltung und Öffnungsklauseln
Die Datenschutz-Grundverordnung entfaltet seit dem 25.5.2018 unmittelbare Wirkung und bildet neben dem Bundesdatenschutzgesetz den Rahmen für die Verarbeitung personenbezogener (Beschäftigten-)Daten. Die DSGVO umfasst insgesamt 99 Artikel und ist als "Prinzipiengesetz" gestaltet, d. h. die Verarbeitung personenbezogener Daten hat sich stets an denen in der DSGVO aufgeführten Prinzipien zu messen. Daneben enthält die DSGVO zahlreiche Erwägungsgründe, die bei der Auslegung der Normen behilflich sein können. Stellungnahmen und Guidelines von Behörden (z. B. der Datenschutzkonferenz oder des Europäischen Datenschutzausschusses) bieten weitere, nützliche Hinweise für die Praxis. Hilfestellungen finden sich auch in den jeweiligen Tätigkeitsberichten der Aufsichtsbehörden.
Im Unterschied zu einer Richtlinie entfaltet die DSGVO direkte und unmittelbare Wirkung in jedem Mitgliedstaat der Europäischen Union. Der Gesetzestext der DSGVO musste demzufolge nicht erst in nationales Recht umgesetzt werden, sondern kommt direkt zur Anwendung. Allerdings enthält die DSGVO eine Reihe von sog. Öffnungs- und Spezialklauseln, die den Mitgliedstaaten spezielle Gestaltungsräume ermöglichen, so z. B. für die Verarbeitung von Beschäftigtendaten. In Deutschland hat der Gesetzgeber von seinen Gestaltungsmöglichkeiten Gebrauch gemacht und das neue "Bundesdatenschutzgesetz (BDSG)" beschlossen und hierbei auch eine Sonderregelung für die Verarbeitung von Beschäftigtendaten eingefügt, die inhaltlich allerdings weitestgehend mit der alten Rechtslage identisch ist. Die Änderungen im BDSG sind ebenfalls am 25.5.2018 in Kraft getreten.
Für Unternehmen nur Teile des BDSG relevant
Das BDSG enthält nicht nur Regelungen, die auf den Öffnungs- und Spezialklauseln der DSGVO beruhen, sondern auch die Umsetzung der Richtlinie EU 2016/80 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Für Unternehmen sind daher nur die Regelungen in den §§ 1–44 BDSG relevant. Die weiteren §§ 45 ff. des BDSG finden dagegen keine Anwendung, wie z. B. die Verpflichtung auf das Datengeheimnis.
1.2 Verhältnis zwischen BDSG und DSGVO
Die Regelungen der DSGVO haben grundsätzlich Vorrang vor dem BDSG. Aufgrund der Öffnungs- und Spezialklauseln der DSGVO müssen die ergänzenden Vorschriften des BDSG aber ebenfalls beachtet werden. Es ist daher ratsam, vor der Beurteilung eines datenschutzrechtlichen Sachverhaltes zunächst zu prüfen, ob die DSGVO für den zu betrachtenden Vorgang eine Öffnungs- oder Spezialklausel enthält. Für Arbeitgeber seien hierbei insbesondere die Vorschriften der §§ 32 ff. des BDSG zu nennen, die Ausnahmen und Ausschlüsse im Hinblick auf die Betroffenenrechte enthalten, z. B. zur Erteilung einer Auskunft oder zur Löschung.
Sodann ist zu prüfen, ob der deutsche Gesetzgeber von dieser Klausel Gebrauch gemacht hat. In diesem Fall findet sich im BDSG eine entsprechende ergänzende Vorschrift. Bei der Beurteilung des Sachverhalts ist dann die spezielle Vorschrift des BDSG zu beachten, sofern diese Vorschrift mit den Voraussetzungen der DSGVO zu Öffnungsklauseln vereinbar ist. So ist beispielsweise nach einem Urteil des EuGH unklar, ob § 26 BDSG tatsächlich als eine "spezifischere" Vorschrift im Sinne der DSGVO für die Legitimation der Verarbeitung von Beschäftigtendaten herangezogen werden kann, also eine Vorschrift, die von den allgemeinen Regeln der Verordnung abweicht und deren Bestimmungen nicht nur wiederholt.
Verarbeitung von Beschäftigtendaten
Für die Verarbeitung von Beschäftigtendaten sieht Art. 88 DSGVO eine Öffnungsklausel vor. Diese Klausel ermöglicht den Mitgliedsstaaten der EU, auf nationaler Ebene Regelungen zur Datenverarbeitung zum Zwecke des Beschäftigtenverhältnisses aufzustellen. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in § 26 BDSG Regelungen für die Verarbeitung von Beschäftigtendaten aufgestellt. Bei der Beurteilung, ob eine Verarbeitung von Beschäftigtendaten datenschutzkonform erfolgt, ist daher nach jetzigem Rechtsstand vor allem § 26 BDSG maßgeblich. Sollte in Angesicht des vorgenannten Urteils des EuGH vom 30.3.2023 § 26 BDSG europarechtswidrig sein, können und sollten sich Arbeitgeber auf die Erlaubnisnorm des Art. 6 Abs. 1 lit. b DSGVO berufen, der eine Verarbeitung von personenbezogenen Daten zur Erfüllung eines Vertrags gestattet, sofern die Verarbeitung erforderlich ist. Die weiteren allgemeinen Grundsätze der DSGVO zur Verarbeitung dieser Daten sind ebenfalls zu berücksichtigen.