Am 30. März hat der EuGH (Az. C 34/21) entschieden, dass einschlägige landesrechtliche Bestimmungen aus Hessen nicht europarechtskonform sind und daher für die Verarbeitung personenbezogener Daten von Beschäftigten zukünftig nicht mehr angewendet werden können.
Der Beschäftigtendatenschutz für deutsche Unternehmen ist zentral in § 26 BDSG geregelt. Da diese Vorschrift allerdings weitgehend wortgleich mit derjenigen aus Hessen ist, könnte das Urteil weitreichende Folgen für den Beschäftigungsdatenschutz in Deutschland haben.
Die Hessische Aufsichtsbehörde für den Datenschutz hat hierzu eine Handreichung veröffentlicht. Verantwortlichen wird darin empfohlen zu prüfen, welche alternativen Rechtsgrundlagen anstelle von § 26 BDSG für die Verarbeitung von Beschäftigtendaten zur Anwendung kommen könnten. Ein Rückgriff auf die allgemeinen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO ist sowohl notwendig als auch möglich.
Da bislang nicht abschließend über § 26 BDSG entschieden wurde, besteht kein akuter Handlungsbedarf. Gleichwohl sollten Unternehmen sich auf eine Änderung der Rechtsgrundlage vorbereiten und ggf. Datenschutzhinweise für Beschäftigte, Verarbeitungsverzeichnisse u.a. entsprechend umschreiben.