Prof. Dr. Martin Henssler, Christiane Pickenhahn
Rz. 3
Die DSGVO hat zum 25.5.2018 die bisherige Datenschutzrichtlinie RL 95/46/EG abgelöst. Zeitgleich traten die Neuregelungen des § 26 BDSG in Kraft (BGBl 2017 I, 2097).
Rz. 4
Anders als die Datenschutzrichtlinie entfaltet die DSGVO in den Mitgliedstaaten eine unmittelbare vertikale Wirkung. Grundsätzlich besteht damit ein Anwendungsvorrang der DSGVO gegenüber nationalem Recht. Unberührt bleiben gem. Art. 95 DSGVO nur Regelungen des Telekommunikations- und des Telemediengesetzes, die auf der RL 2002/58/EG beruhen. Sachlich anwendbar ist die DSGVO nach ihrem Art. 2 auf alle voll- oder zumindest teilautomatisierten Datenerhebungen, wobei die Speicherung von zuvor analog erhobenen Daten in ein strukturiertes Datensystem (auch strukturierte analoge Akten) genügt. Eine analoge Datenerhebung ohne strukturierte Aktenaufnahme (z.B. Spint- oder Torkontrolle) fällt zwar unter § 26 BDSG, nicht aber unter den Anwendungsbereich der DSGVO.
Rz. 5
Art. 88 Abs. 1 DSGVO enthält eine Öffnungsklausel zum Erlass "spezifischerer Vorschriften" des Beschäftigtendatenschutzes durch die Mitgliedstaaten. Eine solche Regelung durch die Mitgliedstaaten kann zum einen in nationalen Rechtsvorschriften erfolgen (so durch § 26 BDSG). Ferner kommt eine Regelung des Beschäftigtendatenschutzes durch Kollektivvereinbarungen in Betracht. Zu betonen ist, dass Kollektivvereinbarungen ebenso wie nationale Vorschriften den in Artikel 88 Abs. 2 DSGVO enthaltenen Prinzipien sowie weiteren Grundprinzipien der DSGVO, vor allem denjenigen gem. Art. 5 DSGVO (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit), genügen müssen. Insofern ist die oft geäußerte Aussage, die DSGVO regele den Beschäftigtendatenschutz nicht, missverständlich. Die DSGVO regelt zentrale Begriffe und Grundsätze, welche auch im Anwendungsbereich von § 26 BDSG umfassend gelten.
Auch drei Jahre nach Inkrafttreten der Regelungen der DSGVO bleibt ungeklärt, was unter "spezifischere Vorschriften" genau zu verstehen ist, d.h. ob Art. 88 Abs. 1 DSGVO nur eine Abweichung zu Lasten der Beschäftigtenseite (dafür Körner, NZA 2021, 1137; NZA 2016, 1383; Weichert, NZA 2020, 159; Holthausen, RdA 2021,19, 27; ErfK/Franzen, § 26 BDSG Rn 2, wonach eine weitgehend autonome Regelung möglich sei; so auch LAG Sachsen-Anhalt v. 18.12.2018 – 4 TaBV 19/17, NZA-RR 2019, 256) oder im Sinne einer Vollharmonisierung auch eine Verschärfung des Datenschutzes durch nationale Regelung verbietet (LAG Berlin-Brandenburg v. 4.6.2020 – 10 Sa 2130/19, NZA-RR 2020, 457; Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern; so auch Franzen EuZA 2017, 313, 345; Maschmann, DB 2016, 2480, 2482 ff.). Da der EU keine Kompetenz zum Erlass von Verordnungen im Bereich des Arbeitsrechts zusteht, spricht viel dafür, die allgemeinen Datenschutzregelungen der DSGVO als Mindestanforderungen und nicht als Verschärfungsverbot für den nationalen Beschäftigtendatenschutz zu verstehen.
Die Frage, ob es sich bei dem Erforderlichkeitsmaßstab des § 26 BDSG (bzw. der inhaltsgleichen Regelung des hessischen Datenschutz- und Informationsfreiheitsgesetz [§ 23 HDSIG]) überhaupt um eine zulässige nationale Spezifizierung des Art. 88 Abs. 1 DSGVO handelt (dafür VG Ansbach v. 16.3.2020 – AN 14 K 19.00464 sowie wohl BAG v. 7.5.2019 – 1 ABR 53/17, NZA 2019, 1218), hat das VG Wiesbaden dem EuGH vorgelegt (Vorlage zum EUGH vom VG Wiesbaden v. 21.12.2020 – 23 K 1360/20.WI.PV, BeckRS 2020, 40028). Verwiesen wurde darauf, dass die in Art. 88 Abs. 2 DSGVO gestellten Anforderungen weder in der Norm selbst noch durch ergänzende Normvorgaben an anderer Stelle des Gesetzes erfüllt werden.
Rz. 6
Ein grundsätzlicher Ausschluss der Einwilligung in eine Datenerhebung im Beschäftigtenkontext sowie ein generelles Verbot des Profiling, wie sie die EU-Kommission noch vorgeschlagen hatte (KOM(2012)11, 25.1.2012), wurden in die DSGVO nicht aufgenommen. Eine Einwilligung kann damit weiterhin, wenn auch unter Beachtung der strengen Voraussetzungen an ihre Freiwilligkeit, die Datenerhebung rechtfertigen. Die DSGVO sieht allerdings erhöhte Bußgeldkataloge für Datenschutzverstöße (Art. 83 DSGVO) sowie einen ausdrücklichen Anspruch auf immateriellen Schadensersatz des Betroffenen (Art. 82 DSGVO) nebst Beweislastregelungen zulasten der Unternehmerseite (Art. 5 Abs. 2, 24 Abs. 1 DSGVO) vor (zum Schadensersatzanspruch ausführl. Wybitul/Haß/Albrecht, NJW 2018, 113, Körner, NZA 2021, 1137).
Rz. 7
Der Beschäftigtendatenschutz ist auch nach seiner Reform 2018 in seiner wesentlichen Grundstruktur als Verbotsgesetz mit Erlaubnisvorbehalt erhalten geblieben. § 26 BDSG wurde zwar gegenüber der Vorgängerregelung in § 32 BDSG um einige Absätze erweitert. Grundsätzlich handelte es sich hierbei aber um die Festschreibung der bisherigen Rechtsprechung zu § 32 BDSG sowie eine Anpassung an die DSGVO, sodass weiterhin das Kriterium der Erforderlichkeit im Mittelpunkt steht. Zunächst wurde der Anwendungs...