Sachverhalt
Während der Corona-Pandemie hatte das Hessische Kultusministerium in zwei Erlassen den rechtlichen und organisatorischen Rahmen dafür geschaffen, dass der Präsenzunterricht per Livestream an nicht anwesende Schüler übertragen wird, sofern diese oder deren Eltern in die Teilnahme an der Videokonferenz einwilligten. Die Einwilligung der betroffenen Lehrkräfte hielt das Ministerium nicht für erforderlich, da zur Durchführung des Beschäftigungsverhältnisses (§ 23 I 1 HDSIG) bzw. des Beamtenverhältnisses (§ 86 IV HBG) erforderliche Datenverarbeitungen gestattet seien. Dagegen wandte sich der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium in einem personalvertretungsrechtlichen Verfahren. Das angerufene VG Wiesbaden hatte Zweifel, dass die landesrechtlichen Regelungen – dem Willen des Landesgesetzgebers entsprechend – die Anforderungen der Öffnungsklausel der DSGVO erfüllen, und legte dem EuGH zwei Fragen zu Art. 88 DSGVO zur Vorabentscheidung vor.
Entscheidung
Der EuGH kommt zu dem Ergebnis, dass eine nationale Regelung nur dann „spezifischere Vorschrift“ i. S. d. Art. 88 I DSGVO sein kann, wenn sie die Vorgaben des Abs. 2 erfüllt. Da die DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten bezweckt, setzt Art. 88 II DSGVO den Rahmen für das gesetzgeberische Ermessen der Mitgliedstaaten, die von der Öffnungsklausel Gebrauch machen: „Spezifischere Vorschriften“ dürfen nicht lediglich die in Art. 6 DSGVO abschließend geregelten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die in Art. 5 DSGVO niedergelegten Verarbeitungsgrundsätze wiederholen oder darauf verweisen. Sie müssen stattdessen besondere und geeignete Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext vorsehen. Nur in diesen Grenzen nimmt die DSGVO eine Differenzierung in nationalen Regelungen und somit eine Einschränkung des Harmonisierungsziels hin.
Zur zweiten Frage stellt der EuGH klar, dass nationale Regelungen, die den Vorgaben des Art. 88 DSGVO nicht genügen, unangewendet bleiben müssen. Auch wenn die Auslegung dem vorlegenden Gericht obliegt, gibt der EuGH diesem auf den Weg, dass die hessischen Regelungen keine „spezifischeren Vorschriften“ i. S. d. Öffnungsklausel zu sein scheinen. Zugleich verweist der EuGH allerdings auf mögliche Rechtsgrundlagen in Art. 6 I lit. c und e DSGVO, die erforderlichen Datenverarbeitungen zur Erfüllung einer rechtlichen Verpflichtung und für die Wahrnehmung einer Aufgabe im öffentlichen Interesse gestatten. Insoweit muss das vorlegende Gericht prüfen, ob die landesrechtlichen Vorschriften eine Rechtsgrundlage i. S. d. Art. 6 III DSGVO sind.
Praxishinweis
Die hessischen Vorschriften gleichen § 26 I 1 BDSG. Die Vorlage provozierte damit mittelbar eine Positionierung gegen das BAG, das § 26 I 1 BDSG für unionsrechtskonform gehalten hatte. Die Schlussfolgerung, dass zumindest diese Vorschrift unanwendbar sein wird, zieht auch die Bundesregierung – bis zum Herbst will sie einen Gesetzentwurf zum Beschäftigtendatenschutz vorlegen.
Die Auswirkungen für die Praxis sind gering: Die Verarbeitung von Beschäftigtendaten im privatrechtlichen Beschäftigungsverhältnis lässt sich regelmäßig auf Art. 6 I lit. b DSGVO stützen. Es besteht daher weder ein rechtliches noch ein praktisches Bedürfnis, kollektive Rechtsgrundlagen zu schaffen. Im Gegenteil stellt das EuGH-Urteil – in konsequenter Umsetzung des Anwendungsvorrangs und des Subsidiaritätsprinzips – klar, dass nationale Regelungen nicht zwingend sind und dass ihnen allenfalls ein enger Anwendungsbereich i. S. spezifischer Garantien bleiben kann. Die Rechtsgrundlagen für Datenverarbeitungen ergeben sich abschließend aus der DSGVO selbst.
Soweit datenschutzrechtliche Dokumentationen auf Vorschriften des BDSG Bezug nehmen, sollten Arbeitgeber eine Anpassung prüfen. Dabei bleibt abzuwarten, wie sich Gerichte und Behörden zur Anwendbarkeit der weiteren Absätze des § 26 BDSG positionieren