Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 30.03.2023 - C-34/21
EuGH 30.03.2023 - C-34/21 - URTEIL DES GERICHTSHOFS (Erste Kammer) - 30. März 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 88 Abs. 1 und 2 – Datenverarbeitung im Beschäftigungskontext – Regionales Schulsystem – Unterricht per Videokonferenz wegen der Covid-19-Pandemie – Durchführung ohne ausdrückliche Einwilligung der Lehrkräfte“
Leitsatz
In der Rechtssache C-34/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgericht Wiesbaden (Deutschland) mit Beschluss vom 20. Dezember 2020, beim Gerichtshof eingegangen am 20. Januar 2021, in dem Verfahren
Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium
gegen
Minister des Hessischen Kultusministeriums
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev, des Präsidenten des Gerichtshofs K. Lenaerts und des Vizepräsidenten des Gerichtshofs L. Bay Larsen in Wahrnehmung der Aufgaben von Richtern der Ersten Kammer, des Richters A. Kumin und der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: S. Beer, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 30. Juni 2022,
unter Berücksichtigung der Erklärungen
des Hauptpersonalrats der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, vertreten durch Rechtsanwalt J. Kolter,
des Ministers des Hessischen Kultusministeriums, vertreten durch C. Meinert,
der deutschen Regierung, vertreten durch J. Möller und D. Klebs als Bevollmächtigte,
der österreichischen Regierung, vertreten durch G. Kunnert und J. Schmoll als Bevollmächtigte,
der rumänischen Regierung, vertreten durch E. Gane und A. Wellman als Bevollmächtigte,
der Europäischen Kommission, vertreten durch F. Erlbacher, H. Kranenborg und D. Nardi als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 22. September 2022
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 88 Abs. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen dem Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (Deutschland) und dem Minister des Hessischen Kultusministeriums (Deutschland) über die Rechtmäßigkeit von Livestreamunterricht per Videokonferenz, der an den Schulen des Landes Hessen (Deutschland) durchgeführt wird, ohne dass die vorherige Einwilligung der betroffenen Lehrkräfte vorgesehen wäre.
Rechtlicher Rahmen
Unionsrecht
Richtlinie 95/46/EG
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) wurde durch die DSGVO mit Wirkung vom 25. Mai 2018 aufgehoben. In Art. 3 („Anwendungsbereich“) dieser Richtlinie hieß es:
„(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des [EU-]Vertrags [in der Fassung vor dem Vertrag von Lissabon], und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
…“
DSGVO
In den Erwägungsgründen 8 bis 10, 13, 16, 45 und 155 DSGVO wird ausgeführt:
Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.
Die Ziele und Grundsätze der Richtlinie [95/46] besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der [Europäischen] Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie [95/46].
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. In Verbindung mit den allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der Richtlinie [95/46] gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden ‚sensible Daten‘). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.
…
Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer … Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. …
…
Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.
…
Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. …
…
Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich ‚Betriebsvereinbarungen‘) können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen, über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses.“
Art. 1 („Gegenstand und Ziele“) DSGVO lautet:
„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“
Art. 2 („Sachlicher Anwendungsbereich“) Abs. 1 und 2 DSGVO sieht vor:
„(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“
In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…“
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO lautet:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)[.]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 bis 3 DSGVO bestimmt:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
…
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
Unionsrecht oder
das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“
Art. 88 („Datenverarbeitung im Beschäftigungskontext“) in Kapitel IX („Vorschriften für besondere Verarbeitungssituationen“) DSGVO sieht vor:
„(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
(2) Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
(3) Jeder Mitgliedstaat teilt der [Europäischen] Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“
Deutsches Recht
In § 26 Abs. 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. 2017 I S. 2097) heißt es:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. …“
§ 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) vom 3. Mai 2018 sieht vor:
„(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung, Beendigung oder Abwicklung sowie zur Durchführung innerdienstlicher planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist. …
(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Dienstherr oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Dienstherr oder Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 [DSGVO] in Textform aufzuklären.
(3) Abweichend von Art. 9 Abs. 1 [DSGVO] ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 [DSGVO] für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Abs. 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. …
(4) Die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Art. 88 Abs. 2 [DSGVO] zu beachten.
(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Art. 5 [DSGVO] dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
…
(7) Die Abs. 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die für das Personalaktenrecht geltenden Vorschriften des Hessischen Beamtengesetzes [(HBG) vom 21. Juni 2018] sind, soweit tarifvertraglich nichts Abweichendes geregelt ist, auf Arbeitnehmerinnen und Arbeitnehmer im öffentlichen Dienst entsprechend anzuwenden.
(8) Beschäftigte im Sinne dieses Gesetzes sind:
Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
…
Beamtinnen und Beamte im Geltungsbereich des Hessischen Beamtengesetzes, Richterinnen und Richter des Landes sowie Zivildienstleistende.
…“
§ 86 Abs. 4 HBG bestimmt:
„Der Dienstherr darf personenbezogene Daten über Bewerberinnen, Bewerber, Beamtinnen und Beamte sowie über ehemalige Beamtinnen und Beamte nur erheben, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift oder eine Dienstvereinbarung dies erlaubt. …“
Ausgangsrechtsstreit und Vorlagefragen
Wie aus der dem Gerichtshof vorliegenden Akte hervorgeht, legte der Minister des Hessischen Kultusministeriums im Jahr 2020 mit zwei Erlassen den rechtlichen und organisatorischen Rahmen des Schulunterrichts während der Covid-19-Pandemie fest. Mit diesem Rahmen wurde insbesondere für Schüler, die nicht am Präsenzunterricht teilnehmen konnten, die Möglichkeit eingerichtet, am Unterricht per Videokonferenz-Livestream teilzunehmen. Zur Wahrung der Rechte der Schüler im Bereich des Schutzes personenbezogener Daten wurde festgelegt, dass die Zuschaltung zum Videokonferenzdienst nur mit der Einwilligung der Schüler selbst oder – bei Minderjährigen – ihrer Eltern zulässig ist. Dagegen war die Einwilligung der betroffenen Lehrkräfte zu ihrer Teilnahme an dem Videokonferenzdienst nicht vorgesehen.
Der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium erhob Klage beim Verwaltungsgericht Wiesbaden (Deutschland) und rügte, dass es für den Livestreamunterricht per Videokonferenz nicht der Einwilligung der betroffenen Lehrkräfte bedurfte.
Der Minister des Hessischen Kultusministeriums machte geltend, dass die Verarbeitung personenbezogener Daten beim Livestreamunterricht per Videokonferenz von § 23 Abs. 1 Satz 1 HDSIG gedeckt sei, so dass sie ohne Einholung der Einwilligung der betroffenen Lehrkraft erfolgen könne.
Das Verwaltungsgericht Wiesbaden führt dazu aus, dass § 23 HDSIG und § 86 HBG nach dem Willen des hessischen Landesgesetzgebers in die Kategorie der „spezifischeren Vorschriften“ fielen, die die Mitgliedstaaten gemäß Art. 88 Abs. 1 DSGVO zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen könnten. Das Verwaltungsgericht Wiesbaden hat jedoch Zweifel an der Vereinbarkeit von § 23 Abs. 1 Satz 1 HDSIG und § 86 Abs. 4 HBG mit den Anforderungen von Art. 88 Abs. 2 DSGVO.
Erstens stellten nämlich § 23 Abs. 1 Satz 1 HDSIG und § 86 Abs. 4 HBG als Rechtsgrundlage für die Verarbeitung der Beschäftigtendaten auf die „Erforderlichkeit“ ab. Zum einen jedoch stelle die Aufnahme des Grundsatzes der „Erforderlichkeit“ in das Gesetz keine Vorschrift dar, die die Anforderungen von Art. 88 Abs. 2 DSGVO konkretisiere, da die im Beschäftigungskontext erforderliche Datenverarbeitung bereits durch Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO geregelt sei.
Zum anderen sei § 23 Abs. 1 Satz 1 HDSIG über das eigentliche Vertragsverhältnis hinaus auf jeglichen Umgang mit Beschäftigtendaten anwendbar. Aus Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ergebe sich aber, dass bei einer Verarbeitung personenbezogener Daten, die über die rein im Rahmen des Beschäftigungsvertrags erforderliche Verarbeitung hinausgehe, die Grundrechte und Grundfreiheiten der betroffenen Person, hier der Beschäftigten bzw. der Beamten, mit dem berechtigten Interesse des Verantwortlichen, hier des Dienstherrn, abzuwägen seien. Da § 23 Abs. 1 Satz 1 HDSIG eine solche Abwägung nicht vorsehe, könne er nach dem Inkrafttreten der DSGVO nicht als eine bereichsspezifische Norm angesehen werden.
Zweitens genüge allein der in § 23 Abs. 5 HDSIG enthaltene Hinweis, dass der Verantwortliche insbesondere die in Art. 5 DSGVO aufgestellten Grundsätze einzuhalten habe, nicht den Vorgaben von Art. 88 Abs. 2 DSGVO. Art. 88 Abs. 2 DSGVO verlange nämlich, dass die geeigneten und besonderen Normen, auf die er abstelle, zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausübten, und die Überwachungssysteme am Arbeitsplatz, erlassen würden, und sei nicht bloß eine Rechtsnorm, die der Normanwender einer nationalen Norm zusätzlich zu beachten habe. Der Normanwender sei nicht der Adressat von Art. 88 Abs. 2 DSGVO.
Vor diesem Hintergrund hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist Art. 88 Abs. 1 DSGVO dahin auszulegen, dass eine Rechtsvorschrift, um eine spezifischere Vorschrift zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext im Sinne des Art. 88 Abs. 1 DSGVO zu sein, die an solche Vorschriften nach Art. 88 Abs. 2 DSGVO gestellten Anforderungen erfüllen muss?
Kann eine nationale Norm, wenn diese die Anforderungen nach Art. 88 Abs. 2 DSGVO offensichtlich nicht erfüllt, trotzdem noch anwendbar bleiben?
Mit Informationsschreiben, das am 30. November 2021 bei der Kanzlei des Gerichtshofs eingegangen ist, hat das Verwaltungsgericht Wiesbaden dem Gerichtshof mitgeteilt, dass aufgrund von Änderungen der nationalen Rechtsvorschriften über die örtliche Zuständigkeit der Verwaltungsgerichte des Landes Hessen, die am 1. Dezember 2021 in Kraft treten sollten, der Ausgangsrechtsstreit auf das Verwaltungsgericht Frankfurt am Main (Deutschland) übergehe. Mit Informationsschreiben, das am 21. Februar 2022 bei der Kanzlei des Gerichtshofs eingegangen ist, hat das Verwaltungsgericht Frankfurt am Main diesen Übergang bestätigt und dem Gerichtshof das neue Aktenzeichen des Ausgangsrechtsstreits mitgeteilt.
Zur Zulässigkeit des Vorabentscheidungsersuchens
Die deutsche Regierung hat in ihren schriftlichen Erklärungen geltend gemacht, das Vorabentscheidungsersuchen sei unzulässig, da die Vorlagefragen für den Ausgangsrechtsstreit nicht entscheidungserheblich seien. Die Antwort des Gerichtshofs wäre nämlich für das vorlegende Gericht nicht zweckdienlich, wenn die Datenverarbeitung aufgrund einer Einwilligung der Lehrkraft zulässig wäre. Das vorlegende Gericht mache jedoch keine Ausführungen dazu, weshalb es diese Möglichkeit nicht in Betracht ziehe.
In der mündlichen Verhandlung vor dem Gerichtshof zu diesem Punkt befragt, hat die deutsche Regierung allerdings eingeräumt, dass die Vorlagefragen erheblich seien, wenn die Einwilligung der Lehrkraft nicht eingeholt werden könne.
Insoweit ist daran zu erinnern, dass nach ständiger Rechtsprechung eine Vermutung für die Entscheidungserheblichkeit der Fragen des nationalen Gerichts spricht, die es zur Auslegung des Unionsrechts in dem rechtlichen und sachlichen Rahmen stellt, den es in eigener Verantwortung festlegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat. Der Gerichtshof kann die Entscheidung über ein Vorabentscheidungsersuchen eines nationalen Gerichts nur dann ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, das Problem hypothetischer Natur ist oder er nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 48 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall geht aus dem Vorlagebeschluss hervor, dass zwischen den Beteiligten des Ausgangsverfahrens streitig ist, ob es bei der Einführung eines Livestreamunterrichts über Videokonferenzsysteme neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf oder ob vielmehr die Verarbeitung der personenbezogenen Daten der Lehrkräfte durch § 23 Abs. 1 Satz 1 HDSIG und § 86 Abs. 4 HBG gedeckt ist.
Ferner ist darauf hinzuweisen, dass das Verwaltungsgericht Wiesbaden in seinem Vorabentscheidungsersuchen ausgeführt hat, dass es sich nach Ansicht des nationalen Gesetzgebers bei § 23 HDSIG und § 86 HBG um spezifischere Vorschriften im Sinne von Art. 88 DSGVO handle und dass die Entscheidung des Ausgangsrechtsstreits davon abhänge, ob § 23 Abs. 1 Satz 1 HDSG und § 86 Abs. 4 HBG den Anforderungen von Art. 88 DSGVO genügten, um spezifischere Vorschriften für die Verarbeitung der personenbezogenen Daten der Lehrkräfte bei dem im Ausgangsverfahren in Rede stehenden Livestreamunterricht per Videokonferenz darstellen zu können.
In Anbetracht dieser Ausführungen im Vorabentscheidungsersuchen ist das Vorbringen der deutschen Regierung nicht geeignet, die für die vorgelegten Fragen geltende Vermutung der Entscheidungserheblichkeit zu widerlegen.
Unter diesen Umständen kann weder angenommen werden, dass die erbetene Auslegung der Bestimmungen des Unionsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, noch, dass das Problem hypothetischer Natur ist, da diese Auslegung in die Entscheidung des vorlegenden Gerichts über den Ausgangsrechtsstreit einfließen kann. Schließlich verfügt der Gerichtshof über die tatsächlichen und rechtlichen Angaben, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind.
Folglich ist das Vorabentscheidungsersuchen zulässig.
Zu den Vorlagefragen
Vorbemerkungen
Die Vorlagefragen betreffen die Auslegung von Art. 88 Abs. 1 und 2 DSGVO im Rahmen eines Rechtsstreits über die Verarbeitung personenbezogener Daten von Lehrkräften beim Videokonferenz-Livestream des von ihnen zu erteilenden öffentlichen Schulunterrichts.
Als Erstes ist zu klären, ob eine solche Verarbeitung unter Berücksichtigung dessen in den sachlichen Anwendungsbereich der DSGVO fällt, dass diese Verordnung nach ihrem Art. 2 Abs. 2 Buchst. a auf die Verarbeitung personenbezogener Daten „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt“, keine Anwendung findet und die Mitgliedstaaten gemäß Art. 165 Abs. 1 AEUV für die Lehrinhalte und die Gestaltung des Bildungssystems verantwortlich sind.
Hierzu ergibt sich aus der Rechtsprechung des Gerichtshofs, dass die Definition des sachlichen Anwendungsbereichs der DSGVO, wie sie in deren Art. 2 Abs. 1 enthalten ist, sehr weit ist und dass die in Art. 2 Abs. 2 DSGVO vorgesehenen Ausnahmen von diesem Anwendungsbereich eng auszulegen sind (vgl. in diesem Sinne Urteile vom 9. Juli 2020, Land Hessen, C-272/19, EU:C:2020:535, Rn. 68, und vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 61 und 62).
Art. 2 Abs. 2 Buchst. a DSGVO ist außerdem in Verbindung mit deren Art. 2 Abs. 2 Buchst. b und ihrem 16. Erwägungsgrund zu lesen, wonach diese Verordnung nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit „Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten“, sowie Tätigkeiten „im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union“ gilt (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 63).
Daraus folgt, dass Art. 2 Abs. 2 Buchst. a und b DSGVO, der teilweise an Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46 anknüpft, nicht dahin ausgelegt werden kann, dass er weiter gefasst ist als die Ausnahme nach Art. 3 Abs. 2 erster Gedankenstrich der Richtlinie 95/46, wonach bereits diese Richtlinie u. a. keine Anwendung fand auf die Verarbeitung personenbezogener Daten, „die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des [EU-]Vertrags [in seiner Fassung vor dem Vertrag von Lissabon], und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates“ (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 64).
Im vorliegenden Fall steht fest, dass die Tätigkeit der Unterrichtsorganisation im Land Hessen nicht der Kategorie der zur Wahrung der nationalen Sicherheit dienenden Tätigkeiten im Sinne von Art. 2 Abs. 2 Buchst. a DSGVO zugeordnet werden kann.
Daher fällt eine Verarbeitung personenbezogener Daten von Lehrkräften beim Videokonferenz-Livestream des von ihnen erteilten öffentlichen Schulunterrichts wie diejenige, die im Ausgangsverfahren in Rede steht, in den sachlichen Anwendungsbereich der DSGVO.
Als Zweites geht aus dem Vorabentscheidungsersuchen hervor, dass die Lehrkräfte, die von der Verarbeitung personenbezogener Daten, um die es im Ausgangsrechtsstreit geht, betroffen sind, als Angestellte oder Beamte im öffentlichen Dienst des Landes Hessen stehen.
Daher ist zu klären, ob eine solche Verarbeitung personenbezogener Daten in den Anwendungsbereich von Art. 88 DSGVO fällt, der auf die „Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ abstellt.
Hierzu ist festzustellen, dass die DSGVO den Beschäftigtenbegriff und den Begriff des Beschäftigungskontexts weder definiert noch dafür auf das Recht der Mitgliedstaaten verweist. Ohne einen solchen Verweis müssen, wie es sowohl die einheitliche Anwendung des Unionsrechts als auch der Gleichheitssatz verlangen, die Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten (Urteil vom 2. Juni 2022, HK/Danmark und HK/Privat, C-587/20, EU:C:2022:419, Rn. 25 und die dort angeführte Rechtsprechung).
Da außerdem die DSGVO den Beschäftigtenbegriff und den Begriff des Beschäftigungskontexts nicht definiert, sind diese Begriffe entsprechend ihrem üblichen Sinn nach dem gewöhnlichen Sprachgebrauch auszulegen. Zu berücksichtigen sind dabei der Zusammenhang, in dem sie verwendet werden, und die Ziele, die mit der Regelung, zu der sie gehören, verfolgt werden (Urteil vom 2. Juni 2022, HK/Danmark und HK/Privat, C-587/20, EU:C:2022:419, Rn. 26 und die dort angeführte Rechtsprechung).
Der Beschäftigtenbegriff bezeichnet in seinem üblichen Sinn eine Person, die ihre Arbeit im Rahmen eines Unterordnungsverhältnisses zu ihrem Arbeitgeber und daher unter dessen Kontrolle erledigt (Urteil vom 18. März 2021, Kuoni Travel, C-578/19, EU:C:2021:213, Rn. 42).
Desgleichen besteht das wesentliche Merkmal des „Beschäftigungskontexts“ darin, dass eine Person während einer bestimmten Zeit für eine andere nach deren Weisung Leistungen erbringt, für die sie als Gegenleistung eine Vergütung erhält (Urteil vom 15. Juli 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, Rn. 49).
Da dieses Merkmal für die Beschäftigten und für den Beschäftigungskontext sowohl im öffentlichen als auch im privaten Sektor typisch ist, ist daraus zu folgern, dass die Begriffe „Beschäftigte“ und „Beschäftigungskontext“ nach ihrem üblichen Sinn die im öffentlichen Sektor berufstätigen Personen nicht ausschließen.
Die Tragweite von Art. 88 Abs. 1 DSGVO kann nämlich nicht nach der Art des Rechtsverhältnisses zwischen dem Beschäftigten und demjenigen, der ihn beschäftigt, bestimmt werden. Somit ist unerheblich, ob die betreffende Person als Angestellter oder als Beamter beschäftigt ist oder ob ihr Beschäftigungsverhältnis öffentlichem oder privatem Recht unterliegt, da diese rechtlichen Qualifizierungen in der Tat je nach den einzelstaatlichen Rechtsvorschriften variieren können und daher kein geeignetes Kriterium für eine einheitliche und autonome Auslegung dieser Bestimmung liefern können (vgl. entsprechend Urteile vom 12. Februar 1974, Sotgiu, 152/73, EU:C:1974:13, Rn. 5, und vom 3. Juni 1986, Kommission/Frankreich, 307/84, EU:C:1986:222, Rn. 11).
Was speziell Personen ohne arbeitsvertragliches Beschäftigungsverhältnis wie beispielsweise Beamte betrifft, so trifft zwar zu, dass Art. 88 DSGVO in seinem Abs. 1 auf die „Erfüllung des Arbeitsvertrags“ Bezug nimmt. Allerdings ist zum einen festzustellen, dass sich diese Bezugnahme neben anderen in Art. 88 Abs. 1 DSGVO aufgezählten Zwecken der Verarbeitung personenbezogener Daten im Beschäftigungskontext findet, für die die Mitgliedstaaten spezifischere Vorschriften erlassen können, und dass jedenfalls diese Aufzählung nicht erschöpfend ist, wovon das in dieser Bestimmung verwendete Adverb „insbesondere“ zeugt.
Zum anderen findet die Unerheblichkeit der Qualifizierung des Rechtsverhältnisses zwischen dem Beschäftigten und dem ihn beschäftigenden Dienstherrn darin Bestätigung, dass sich das Management, die Planung und die Organisation der Arbeit, die Gleichheit und Diversität am Arbeitsplatz, die Gesundheit und Sicherheit am Arbeitsplatz, der Schutz des Eigentums der Arbeitgeber oder der Kunden sowie die Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und die Beendigung des Beschäftigungsverhältnisses, die ebenfalls in Art. 88 Abs. 1 DSGVO aufgezählt werden, auf die Beschäftigung sowohl im privaten als auch im öffentlichen Sektor beziehen.
Folglich kann aus der Bezugnahme auf die „Erfüllung des Arbeitsvertrags“ in Art. 88 Abs. 1 DSGVO nicht abgeleitet werden, dass die nicht auf einem Arbeitsvertrag beruhende Beschäftigung im öffentlichen Sektor vom Anwendungsbereich dieser Bestimmung ausgenommen ist.
Die gleiche Schlussfolgerung gebietet sich hinsichtlich dessen, dass Art. 88 Abs. 2 DSGVO unter den drei Punkten, „im Hinblick [insbesondere] auf“ welche die Mitgliedstaaten beim Erlass solcher „spezifischeren Vorschriften“ vorgehen, die Übermittlung personenbezogener Daten „innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben“, anführt. Die beiden anderen Punkte, also die Transparenz der Verarbeitung und die Überwachungssysteme am Arbeitsplatz, sind nämlich sowohl für die Beschäftigung im privaten Sektor als auch für die Beschäftigung im öffentlichen Sektor relevant, ganz egal, wie das Rechtsverhältnis zwischen dem Beschäftigten und demjenigen, der ihn beschäftigt, geartet ist.
Die Auslegung, die sich aus dem Wortlaut von Art. 88 DSGVO ergibt, wird durch den Zusammenhang, in den sich dieser Artikel einfügt, sowie durch das Ziel bestätigt, das mit der Regelung, zu der er gehört, verfolgt wird.
Wie sich aus ihrem Art. 1 Abs. 1 im Licht insbesondere ihrer Erwägungsgründe 9, 10 und 13 ergibt, soll die DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Allerdings eröffnen Bestimmungen dieser Verordnung den Mitgliedstaaten die Möglichkeit, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen („Öffnungsklauseln“) (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 57).
Art. 88 DSGVO, der zu deren Kapitel IX („Vorschriften für besondere Verarbeitungssituationen“) gehört, stellt eine solche Öffnungsklausel dar, da er den Mitgliedstaaten die Befugnis einräumt, „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu erlassen.
Die Besonderheiten der Verarbeitung personenbezogener Daten im Beschäftigungskontext und damit die den Mitgliedstaaten durch Art. 88 Abs. 1 DSGVO eingeräumte Befugnis erklären sich insbesondere durch das Bestehen eines Unterordnungsverhältnisses zwischen dem Beschäftigten und demjenigen, der ihn beschäftigt, und nicht durch die Art des Rechtsverhältnisses zwischen beiden.
Außerdem soll die DSGVO nach ihrem Art. 1 Abs. 2 in Verbindung mit ihrem zehnten Erwägungsgrund u. a. ein hohes Schutzniveau für die Grundrechte und -freiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten gewährleisten, wobei dieses Schutzrecht auch in Art. 8 der Charta der Grundrechte der Europäischen Union anerkannt wird und in engem Zusammenhang mit dem in Art. 7 der Charta verankerten Recht auf Achtung des Privatlebens steht (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 61).
Damit konform ist eine weite Auslegung von Art. 88 Abs. 1 DSGVO, nach der die „spezifischeren Vorschriften“, die die Mitgliedstaaten zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können, alle Beschäftigten unabhängig von der Art des Rechtsverhältnisses betreffen können, das zwischen ihnen und demjenigen, der sie beschäftigt, besteht.
Unter diesen Umständen fällt eine Verarbeitung personenbezogener Daten von Lehrkräften beim Videokonferenz-Livestream des von ihnen erteilten öffentlichen Schulunterrichts wie diejenige, um die es im Ausgangsverfahren geht, in den sachlichen und persönlichen Anwendungsbereich von Art. 88 DSGVO.
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 88 DSGVO dahin auszulegen ist, dass eine Rechtsvorschrift, um als spezifischere Vorschrift im Sinne von Abs. 1 dieses Artikels eingestuft werden zu können, die Vorgaben von Abs. 2 dieses Artikels erfüllen muss.
Wie oben in Rn. 52 ausgeführt, sind die Mitgliedstaaten befugt und nicht verpflichtet, solche Vorschriften zu erlassen, die durch Rechtsvorschriften oder durch Kollektivvereinbarungen vorgesehen werden können.
Außerdem müssen die Mitgliedstaaten, wenn sie von der ihnen durch eine Öffnungsklausel der DSGVO eingeräumten Befugnis Gebrauch machen, von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen dieser Verordnung Gebrauch machen und müssen daher Rechtsvorschriften erlassen, die nicht gegen den Inhalt und die Ziele der DSGVO verstoßen (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 60).
Um die Voraussetzungen und Grenzen zu bestimmen, denen die Vorschriften im Sinne von Art. 88 Abs. 1 und 2 DSGVO unterliegen, und folglich das Ermessen zu beurteilen, das diese Bestimmungen den Mitgliedstaaten lassen, ist daran zu erinnern, dass nach ständiger Rechtsprechung bei der Auslegung einer Bestimmung des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem diese Bestimmung steht, sowie die Ziele und Zwecke des Rechtsakts, zu dem sie gehört, zu berücksichtigen sind (Urteil vom 15. März 2022, Autorité des marchés financiers, C-302/20, EU:C:2022:190, Rn. 63).
Was den Wortlaut von Art. 88 Abs. 1 DSGVO anbelangt, so ergibt sich zunächst aus der Verwendung des Ausdrucks „spezifischere“, dass die Vorschriften im Sinne dieser Bestimmung einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DSGVO unterscheidet.
Sodann besteht, wie oben in Rn. 52 ausgeführt, das Ziel der auf der Grundlage dieser Bestimmung erlassenen Vorschriften darin, die Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext zu schützen.
Schließlich ergibt sich aus den verschiedenen Zwecken, zu denen die Verarbeitung der personenbezogenen Daten erfolgen kann und wie sie in Art. 88 Abs. 1 DSGVO genannt sind, dass sich die „spezifischeren Vorschriften“ im Sinne dieser Bestimmung auf eine sehr große Zahl von Verarbeitungen im Beschäftigungskontext beziehen können, so dass alle Zwecke erfasst werden, zu denen die Verarbeitung personenbezogener Daten im Beschäftigungskontext erfolgen kann. Außerdem verfügen die Mitgliedstaaten, da die Aufzählung dieser Zwecke, wie oben in Rn. 46 festgestellt, nicht erschöpfend ist, über ein Ermessen hinsichtlich der Verarbeitungen, die so diesen spezifischeren Vorschriften unterworfen werden.
Art. 88 Abs. 2 DSGVO sieht vor, dass die auf der Grundlage von Art. 88 Abs. 1 DSGVO erlassenen Vorschriften geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz, umfassen müssen.
Somit ergibt sich aus dem Wortlaut von Art. 88 DSGVO, dass dessen Abs. 2 dem Ermessen der Mitgliedstaaten, die den Erlass „spezifischerer Vorschriften“ nach Abs. 1 dieses Artikels beabsichtigen, einen Rahmen setzt. So dürfen sich diese Vorschriften zum einen nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken, sondern müssen auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen.
Zum anderen ist dabei insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorzugehen.
Was den Zusammenhang betrifft, in den sich Art. 88 DSGVO einfügt, ist als Erstes darauf hinzuweisen, dass diese Vorschrift im Licht des achten Erwägungsgrundes der DSGVO auszulegen ist, wonach die Mitgliedstaaten, wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile dieser Verordnung in ihr nationales Recht aufnehmen können, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.
Als Zweites ist darauf hinzuweisen, dass die Kapitel II und III DSGVO die Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen, enthalten (Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten zu steuerlichen Zwecken], C-175/20, EU:C:2022:124, Rn. 50).
Insbesondere muss jede Verarbeitung personenbezogener Daten zum einen mit den in Art. 5 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und zum anderen einem der in Art. 6 DSGVO aufgeführten Grundsätze in Bezug auf die Rechtmäßigkeit der Verarbeitung entsprechen (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 96 und die dort angeführte Rechtsprechung).
Hinsichtlich der Grundsätze in Bezug auf die Rechtmäßigkeit der Verarbeitung sieht Art. 6 DSGVO eine erschöpfende und abschließende Liste der Fälle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in Art. 6 DSGVO vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 99 und die dort angeführte Rechtsprechung).
Auch wenn also die Mitgliedstaaten bei der Wahrnehmung der ihnen durch eine Öffnungsklausel der DSGVO eingeräumten Befugnis Teile dieser Verordnung in ihr nationales Recht aufnehmen können, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen, darf es sich bei den auf der Grundlage von Art. 88 Abs. 1 DSGVO erlassenen „spezifischeren Vorschriften“ nicht lediglich um eine Wiederholung der in Art. 6 DSGVO genannten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und der in Art. 5 DSGVO angeführten Grundsätze für diese Verarbeitung oder um einen Verweis auf diese Bedingungen und Grundsätze handeln.
Die Auslegung, wonach das Ermessen der Mitgliedstaaten beim Erlass von Vorschriften auf der Grundlage von Art. 88 Abs. 1 DSGVO durch Abs. 2 dieses Artikels begrenzt wird, steht im Einklang mit dem oben in Rn. 51 angeführten Ziel der DSGVO, eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherzustellen.
Wie vom Generalanwalt in den Nrn. 56, 70 und 73 seiner Schlussanträge im Wesentlichen ausgeführt, kann nämlich die Möglichkeit für die Mitgliedstaaten, „spezifischere Vorschriften“ auf der Grundlage von Art. 88 Abs. 1 DSGVO zu erlassen, dazu führen, dass es im Anwendungsbereich dieser Vorschriften zu einem Bruch in der Harmonisierung kommt. Die Vorgaben von Art. 88 Abs. 2 DSGVO spiegeln aber die Grenzen der mit dieser Verordnung in Kauf genommenen Differenzierung dahin wider, dass dieser Bruch in der Harmonisierung nur zulässig sein kann, wenn die verbleibenden Unterschiede mit besonderen und geeigneten Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext einhergehen.
Um als „spezifischere Vorschrift“ im Sinne von Art. 88 Abs. 1 DSGVO eingestuft werden zu können, muss eine Rechtsvorschrift folglich die Vorgaben von Art. 88 Abs. 2 DSGVO erfüllen. Abgesehen davon, dass diese spezifischeren Vorschriften einen zu dem geregelten Bereich passenden Regelungsgehalt haben müssen, der sich von den allgemeinen Regeln der DSGVO unterscheidet, müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Dabei ist insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz vorzugehen.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 88 DSGVO dahin auszulegen ist, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Abs. 1 dieses Artikels sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, welche Folgen die Feststellung hat, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext nicht mit den in Art. 88 Abs. 1 und 2 DSGVO vorgesehenen Voraussetzungen und Grenzen vereinbar sind.
Insoweit ist daran zu erinnern, dass eine Verordnung nach Art. 288 Abs. 2 AEUV in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt, so dass ihre Vorschriften grundsätzlich keiner Durchführungsmaßnahmen der Mitgliedstaaten bedürfen (Urteil vom 15. Juni 2021, Facebook Ireland u. a., C-645/19, EU:C:2021:483, Rn. 109).
Allerdings eröffnen in der DSGVO vorgesehene Öffnungsklauseln den Mitgliedstaaten die Möglichkeit, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung der betreffenden Bestimmungen (siehe oben, Rn. 51).
Machen die Mitgliedstaaten von der ihnen durch eine Öffnungsklausel der DSGVO eingeräumten Befugnis Gebrauch, müssen sie von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen dieser Verordnung Gebrauch machen und daher Rechtsvorschriften erlassen, die nicht gegen den Inhalt und die Ziele der DSGVO verstoßen (siehe oben, Rn. 59).
Es ist Sache des für die Auslegung des nationalen Rechts allein zuständigen vorlegenden Gerichts, zu beurteilen, ob die im Ausgangsverfahren in Rede stehenden Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, wie sie oben in Rn. 74 zusammengefasst sind.
Wie der Generalanwalt in den Nrn. 60 bis 62 seiner Schlussanträge festgestellt hat, scheinen jedoch Bestimmungen wie § 23 Abs. 1 HDSIG und § 86 Abs. 4 HBG, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken im Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifischere Vorschrift im Sinne von Art. 88 Abs. 1 DSGVO hinzuzufügen. Solche Bestimmungen scheinen nämlich keinen zu dem geregelten Bereich passenden Regelungsgehalt, der sich von den allgemeinen Regeln der DSGVO unterscheidet, zu haben.
Sollte das vorlegende Gericht zu der Feststellung gelangen, dass bei den im Ausgangsverfahren in Rede stehenden Bestimmungen die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, hätte es diese Bestimmungen grundsätzlich unangewendet zu lassen.
Gemäß dem Grundsatz des Vorrangs des Unionsrechts bewirken nämlich die Bestimmungen der Verträge und die unmittelbar geltenden Rechtsakte der Organe in ihrem Verhältnis zum innerstaatlichen Recht der Mitgliedstaaten, dass allein durch ihr Inkrafttreten jede entgegenstehende Bestimmung des nationalen Rechts ohne Weiteres unanwendbar wird (Urteile vom 9. März 1978, Simmenthal, 106/77, EU:C:1978:49, Rn. 17, vom 19. Juni 1990, Factortame u. a., C-213/89, EU:C:1990:257, Rn. 18, und vom 4. Februar 2016, Ince, C-336/14, EU:C:2016:72, Rn. 52).
In Ermangelung spezifischerer Vorschriften, die die in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten, wird daher die Verarbeitung personenbezogener Daten im Beschäftigungskontext sowohl im privaten als auch im öffentlichen Sektor unmittelbar durch die Bestimmungen der DSGVO geregelt.
Insoweit ist darauf hinzuweisen, dass auf eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DSGVO Anwendung finden kann, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Nach Art. 6 Abs. 3 DSGVO muss zum einen, was beide in Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DSGVO genannten Annahmen der Rechtmäßigkeit anbelangt, die Verarbeitung auf dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, gründen und zum anderen der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (vgl. in diesem Sinne Urteil vom 8. Dezember 2022, Inspektor v Inspektorata kam Visshia sadeben savet [Zwecke der Verarbeitung personenbezogener Daten – Strafrechtliche Ermittlungen], C-180/21, EU:C:2022:967, Rn. 95).
Der Gerichtshof hat hierzu bereits geurteilt, dass die rechtmäßige Verarbeitung personenbezogener Daten durch den Verantwortlichen auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO nicht nur voraussetzt, dass davon ausgegangen werden kann, dass der Verantwortliche eine im öffentlichen Interesse liegende Aufgabe wahrnimmt, sondern auch, dass die Verarbeitung personenbezogener Daten für die Wahrnehmung einer solchen Aufgabe auf einer Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO beruht (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Koalitsia „Demokratichna Bulgaria – Obedinenie", C-306/21, EU:C:2022:813, Rn. 52).
Gelangt das vorlegende Gericht zu der Feststellung, dass bei den nationalen Bestimmungen über die Verarbeitung personenbezogener Daten im Beschäftigungskontext die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht beachtet sind, muss es folglich noch prüfen, ob diese Bestimmungen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO in Verbindung mit deren 45. Erwägungsgrund darstellen, die den Anforderungen dieser Verordnung genügt. Ist dies der Fall, darf die Anwendung der nationalen Vorschriften nicht ausgeschlossen werden.
Nach alledem ist auf die zweite Vorlagefrage zu antworten, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in ebendiesem Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
Art. 88 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ im Sinne von Abs. 1 dieses Artikels sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt.
Art. 88 Abs. 1 und 2 der Verordnung 2016/679
ist dahin auszulegen, dass
nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in ebendiesem Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar, die den Anforderungen dieser Verordnung genügt.
Arabadjiev
Lenaerts
Bay Larsen
Kumin
Ziemele
Verkündet in öffentlicher Sitzung in Luxemburg am 30. März 2023.
Der Kanzler
A. Calot Escobar
Der Kammerpräsident
A. Arabadjiev
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK NordWest
Persönlicher Ansprechpartner