Bereits im Jahr 2010 entwarf die damalige Regierung ein Gesetz zur Regelung des Beschäftigtendatenschutzes, welches jedoch nach Ankündigung eines Datenschutzgesetzes auf europäischer Ebene nicht verabschiedet wurde. Im Koalitionsvertrag 2021 wurde vereinbart, "Regelungen zum Beschäftigtendatenschutz" zu schaffen, "um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen".
Nun soll nach Vorstellungen des Bundesinnenministeriums ("BMI") und des Bundesarbeitsministeriums ("BMAS") bis zum Herbst 2023 erneut ein Referentenentwurf zum Beschäftigtendatenschutz erarbeitet werden.
Mit der Verabschiedung eines Beschäftigtendatenschutzgesetzes noch in dieser Legislaturperiode (20. Legislaturperiode) ist nicht zuletzt auch angesichts des jüngsten EuGH-Urteils zur Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts zu rechnen, welches den Druck auf BMI und BMAS erhöht hat.
EuGH-Urteil zur Anwendbarkeit nationaler Regelungen zum Beschäftigtendatenschutz
Nationale Regelungen zum Datenschutz sind im Anwendungsbereich der DSGVO nur unter engen Voraussetzungen zulässig, wenn die DSGVO eine entsprechende Öffnungsklausel enthält. Art. 88 Abs. 1 DSGVO beinhaltet eine solche Öffnungsklausel für die Verarbeitung von Beschäftigtendaten und lässt zu, dass die Mitgliedstaaten spezifischere Vorschriften in diesem Bereich erlassen. Hiervon hat Deutschland Gebrauch gemacht und den § 26 BDSG erlassen. Nach dem Urteil des EuGH ist unklar, ob es sich bei dieser Norm tatsächlich um eine "spezifischere" Vorschrift im Sinne der DSGVO handelt, also eine Vorschrift, die von den allgemeinen Regeln der Verordnung abweicht und deren Bestimmungen nicht nur wiederholt. Von der in Streit stehenden Norm aus dem Hessischen Datenschutzgesetz nahm der EuGH an, dass sie gerade nicht "spezifischer" ist und dementsprechend durch die Gerichte nicht angewandt werden darf. Ob das auch für § 26 BDSG gilt, ist noch nicht gerichtlich geklärt, liegt jedoch angesichts des nahezu identischen Wortlauts der Normen nahe.
Detect and react
Unternehmen sollten die Entwicklungen im Beschäftigtendatenschutz sorgfältig im Auge behalten und ihre Geschäftspraxis bei Änderung der Rechtslage umgehend anpassen ("detect and react"). Konkret sind Verantwortliche gehalten, den Gesetzgebungsprozess zum Beschäftigtendatenschutzgesetz sowie die Rechtsprechung zur Anwendbarkeit des § 26 BDSG zu beobachten.
Nur so können Arbeitgeber neue Vorgaben, die in ihrer Umsetzung teils einige Zeit in Anspruch nehmen können, rechtzeitig umsetzen. Sollte § 26 BDSG nicht mit den Anforderungen der DSGVO in Einklang stehen, sind die darauf gestützten Verarbeitungsvorgänge zwar nicht unmittelbar zu stoppen, Verantwortliche müssen dann jedoch einschlägige andere Rechtsgrundlagen identifizieren und ihre Datenschutzinformationen sowie gegebenenfalls auch die Verfahrensverzeichnisse anpassen.