Am 30.03.2023 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil zur Verarbeitung von Beschäftigtendaten erlassen, das Auswirkungen auch für Unternehmen, Behörden und Gesetzgeber in Hamburg hat. In einem Vorlagefall aus Hessen hat sich der Gerichtshof mit der Frage befasst, inwiefern der dortige § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz („Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“) Grundlage für die Durchführung von Videokonferenzen von Lehrer:innen sein kann. Im Ergebnis stellt der EuGH fest, dass § 23 HDSIG keine spezifischere Vorschrift im Sinne des Art. 88 Abs. 1 und 2 DSGVO darstellt und somit dessen Anforderungen und denen der DSGVO nicht genügt (Urteil vom 30.03.2023 in der Rechtssache C‑34/21).
Handlungsbedarf für Unternehmen und andere nichtöffentliche Stellen
Die Entscheidung des EuGH hat weitreichende Auswirkungen auch in Hamburg. § 26 BDSG, die Parallelvorschrift im Bundesrecht für Beschäftigtendaten im nichtöffentlichen Bereich, dürfte damit als unanwendbar zu betrachten sein. Die Wirtschaft wird ihre Verarbeitung von Beschäftigtendaten nun auf Art. 6 Abs. 1 DSGVO stützen müssen. In Betracht kommen hierbei insbesondere die Erforderlichkeit zur Durchführung des Arbeitsvertrags (lit. b) sowie eine rechtliche Verpflichtung zur Verarbeitung von Beschäftigtendaten (lit. c).
Zum jetzigen Zeitpunkt ist nicht davon auszugehen, dass Datenverarbeitungen auszusetzen oder zu beenden sind, denn voraussichtlich wird sich eine jeweils alternative Rechtsgrundlage finden. Dies bedarf jedoch einer Prüfung durch die datenverarbeitende Stelle im Einzelfall. In dem Zuge sollte erwogen werden, verstärkt auf Betriebsvereinbarungen zu setzen, mit denen weiterhin tragfähige und ausdifferenzierte Regelungen zur innerbetrieblichen bzw. konzernweiten Datenverarbeitung geschaffen werden können.
Dokumente wie Datenschutzinformationen, Verarbeitungsverzeichnisse und Einwilligungstexte sind gegebenenfalls anzupassen, indem aktualisierte Rechtsgrundlagen aufgeführt werden. In Anbetracht der neuen, klärungsbedürftigen Rechtslage wird es angebracht sein, dies nicht zu überstürzen, sondern Positionierungen der Datenschutzkonferenz des Bundes und der Länder und ggfs. der Gerichte abzuwarten.
Handlungsbedarf für öffentliche Stellen
Öffentliche Stellen in Hamburg stehen vor denselben Herausforderungen wie Unternehmen und andere nichtöffentliche Stellen. Denn die bisherige Regelung für Beschäftigtendatenverarbeitungen in § 10 HmbDSG (Hamburgsiches Datenschutzgesetz) weist große Ähnlichkeiten zum hessischen Recht auf. Er enthält jedoch auch einzelne Garantien für Betroffene, die im hessischen Pendant nicht vorkommen. Es empfiehlt sich, die Vorschrift ist zu überprüfen und gegebenenfalls zu ändern. Für den speziellen Falle von Videokonferenzen in Schulen ist Hamburg bereits weiter als Hessen, indem die Stadt eine speziellere Regelung im Hamburgischen Schulgesetz (konkret: § 98c HmbSG) geschaffen hat. Hier besteht daher kein Handlungsbedarf.
Die Hamburger Verwaltung verfügt darüber hinaus über ein dichtes Netz aus Dienstvereinbarungen, die landesweit oder behördenweit gelten. Ihnen kommt nun besondere Bedeutung als spezielle Regelungen zu, die zur Ergänzung der DSGVO ausdrücklich erlaubt sind. Kommt man zu dem Schluss, dass § 10 HmbDSG unanwendbar ist, werden sich die meisten Verarbeitungen von Beschäftigtendaten weiterhin auf die Dienstvereinbarungen stützen lassen. Voraussetzung ist, dass sie die in Art. 88 Abs. 2 DSGVO aufgezählten Garantien enthalten. Die Bedeutung dieser Pflichtinhalte hat der EuGH in seiner Entscheidung betont, sodass darauf nun besonders Wert zu legen ist. Fehlen sie, sind Ergänzungen und neue Vereinbarungen notwendig.
Erst dann, wenn weder Dienstvereinbarungen noch bereichsspezifische Gesetze greifen, ist gegebenenfalls auf die Verarbeitungsklauseln des Art. 6 Abs. 1 DSGVO abzustellen. Dabei kommt insbesondere die Erforderlichkeit zur Erfüllung des Arbeitsvertrags (lit. b) in Betracht.
Handlungsbedarf für Gesetzgeber
Die ohnehin angelaufenen Bestrebungen zur Schaffung eines neuen Beschäftigungsdatenschutzgesetzes haben nun Rückenwind bekommen. Die Datenschutzkonferenz hat bereits am 29. April 2022 den Erlass eines solchen bereichsspezifischen Gesetzes gefordert. Auch im Koalitionsvertrag der Bundesregierung ist die Schaffung neuer Regelungen zum Beschäftigtendatenschutz bereits benannt. Der dort verankerte Auftrag wird in gemeinsamer Federführung des Bundesministeriums für Arbeit und Soziales und des Bundesministeriums des Innern und für Heimat umgesetzt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Thomas Fuchs wird in einem Stakeholdertreffen im April in einen Dialog mit den Ministerien treten um diese Forderung voranzutreiben und der Rechtsunsicherheit Abhilfe zu verschaffen.
Der Hamburgische Gesetzgeber ist nun ebenfalls gefordert, den sehr rudimentären § 10 HmbDSG zu überprüfen und gegebenenfalls deutlich zu erweitern. In Anbetracht der hohen Regelungsdichte durch hamburg-weite Dienstvereinbarungen wird hier kein eigenes Gesetz für Beschäftigte der Stadt notwendig sein. Es wird voraussichtlich genügen, etwaige in das Hamburgische Datenschutzgesetz mit aufzunehmen.
