Artikel 79 EU-DSGVO: Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
- Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
- Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Kommentar zu Artikel 88 DSGVO
Was sagt Art. 88 DSGVO aus?
Art. 88 DSGVO überlässt den Mitgliedstaaten die Option, eigene, spezifischere Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten im Beschäftigungskontext zu treffen.
Nach Art. 88 Abs. 1 DSGVO muss es sich um personenbezogene Beschäftigtendaten im Beschäftigungskontext handeln. Neben Arbeitnehmern im privaten Beschäftigungsbereich umfasst der Begriff auch Bewerber und Beamte, nicht aber freie Mitarbeiter oder Selbstständige (vgl. auch § 26 Abs. 8 BDSG). In Art. 88 Abs. 1 DSGVO findet sich eine nicht abschließende Aufzählung von Verarbeitungszwecken, die dem Beschäftigungskontext zuzuordnen sind. Hierzu zählen unter anderem Verarbeitungstätigkeiten zum Zwecke der Einstellung und zur Durchführung des Arbeitsverhältnisses. Aus Erwägungsgrund 155 ergibt sich zudem, dass die spezifischeren Regelungen unter anderem auch die Bedingungen, unter denen eine Verarbeitung personenbezogener Daten im Beschäftigungskontext auf der Rechtsgrundlage der Einwilligung erfolgt, betreffen können.
Die Mitgliedstaaten können nach Art. 88 Abs. 1 DSGVO neue, spezifischere Vorschriften für den Beschäftigtendatenschutz erlassen oder an bereits bestehenden spezifischeren nationalen Regelungen festhalten, die sodann den allgemeinen, unspezifischeren Regelungen der DSGVO vorgehen. Die spezifischen Vorschriften müssen den besonderen Anforderungen des Beschäftigtendatenschutzes Rechnung tragen und den Beschäftigungskontext konkretisieren. Dabei dürfen die Regelungen über den Standard der DSGVO hinausgehen. Unklar ist hingegen, ob die DSGVO gegenüber den spezifischen Vorschriften einen Mindeststandard darstellen soll und somit ein Absenkungsverbot für das Datenschutzniveau begründet. Für ein solches Verbot würden zumindest die Präzisierungen des Abs. 2 sprechen. Dagegen spricht, dass spezifische Vorschriften nicht unbedingt stärkeren Schutz bieten müssen, sondern einen andersartigen und ggf. auch schwächeren. Zudem wären auch die Bestimmungen der Absätze 1 und 2 weitgehend überflüssig, wenn die DSGVO den Mindeststandard darstellen würde.
Den Mitgliedstaaten ist bei der Umsetzung auch überlassen, welche Bereiche spezifischer geregelt werden sollen. Die Regelungen können durch Rechtsvorschriften sowie Kollektivvereinbarungen getroffen werden. Rechtsvorschriften sind für jeden verbindlich (z. B. Gesetze, Rechtsverordnungen, Satzungen), Kollektivvereinbarungen hingegen nur für ein bestimmtes Kollektiv (z. B. Tarifvertrag, Betriebsvereinbarung, Dienstvereinbarung). Somit sind neben den Mitgliedstaaten auch Parteien von Kollektivvereinbarungen (z. B. Tarifvertragsparteien, Arbeitgeber, Betriebsräte) Normadressaten dieses Artikels.
Nach Art. 88 Abs. 2 DSGVO müssen die spezifischen mitgliedstaatlichen Vorschriften geeignete und besondere (spezifische) Maßnahmen zur Wahrung der Menschenwürde, der berechtigten Interessen sowie der Grundrechte der betroffenen Person umfassen. Die Maßnahmen sollen sich nach Abs. 2 dabei insbesondere auf die Transparenz der Datenverarbeitung (vgl. Art. 5 Abs. 1 lit. a, Art. 12 ff. DSGVO) die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder Gruppe von Unternehmen mit Ausübung einer gemeinsamen Wirtschaftstätigkeit und auf Überwachungssysteme am Arbeitsplatz beziehen, soweit die mitgliedsstaatlichen Vorschriften Aussagen zu diesen Bereichen treffen. Dem Wortlaut „insbesondere“ nach könnten Maßnahmen in den genannten Einzelbereichen als Mindestanforderungen für die nach Abs. 1 zu erlassenden Vorschriften verstanden werden. Dies würde jedoch einerseits dem Optionscharakter dieses Artikels widersprechen und andererseits kann es sein, dass in den verschiedenen Mitgliedstaaten gar kein Bedarf für eine spezifischere Regelung in einem dieser Einzelbereiche besteht. Wenn also z. B. keine Unternehmensgruppe besteht, wäre es verfehlt, spezifische Regelungen für Unternehmensgruppen in der Betriebsvereinbarung zu treffen. Die von Abs. 2 geforderten Maßnahmen sind daher auf ihre Erforderlichkeit einzuschränken. Erforderlich ist eine solche Schutzmaßnahme dort, wo ein entsprechendes Gefährdungspotential besteht.
Die in Abs. 3 enthaltene Pflicht zur Mitteilung der Rechtsvorschriften an die Kommission umfasst ebenfalls spätere Abänderungen der Vorschriften sowie, nach ganz herrschender Meinung, auch Rechtsvorschriften, die bereits vor dem Inkrafttreten der DSGVO bestanden. Obwohl auch Parteien von Kollektivvereinbarungen die Regelungen nach Abs. 1 erlassen dürfen, sind diese nicht von der Mitteilungspflicht des Abs. 3 betroffen. Entgegen dem Wortlaut des Abs. 3 können nach ganz herrschender Meinung auch nach dem 25. Mai 2018 erlassene Rechtsvorschriften mitgeteilt werden. Das Versäumnis der Mitteilungsfrist stellt lediglich einen Rechtsverstoß dar.
Wie wurde Art. 88 DSGVO in Deutschland umgesetzt?
Die alte Fassung des § 32 BDSG enthielt schon vor dem Inkrafttreten der DSGVO Datenschutzbestimmungen für Zwecke des Beschäftigungsverhältnisses. Ob diese Bestimmungen gegenüber der DSGVO jedoch spezifischer sind, ist rechtlich umstritten. Vorbestehende, spezifischere Regelungen stellen auch die personalaktenrechtlichen Regeln der Beamtengesetze (z. B. §§ 106 ff. BBG als bundesrechtliche Regelung und § 83 BetrVG) dar. Mit der Neuregelung des § 26 BDSG hat der deutsche Gesetzgeber die bisherige Vorschrift des § 32 BDSG (alte Fassung) sprachlich korrigiert und sie um Regelungen zur Einwilligung im Beschäftigungsverhältnis (Abs. 2), zur Verarbeitung sensibler Daten i. S. v. Art. 9 Abs. 1 DSGVO (Abs. 3), zur Regelungskompetenz der Kollektivparteien (Abs. 4) sowie um einen Verweis auf die Grundsätze des Art. 5 DSGVO (Abs. 5) und den Begriff des Beschäftigten (Abs. 8) ergänzt. Ob § 26 BDSG letztendlich verordnungskonform ist, ist ebenfalls umstritten.
Was ist neu?
Eine spezifischere Regelung für Beschäftigte war in der alten Datenschutzrichtlinie nicht enthalten, daher wurden die allgemeinen Regelungen angewandt. Diese Regelungen konnten die Mitgliedstaaten lediglich in ihrer Umsetzung spezifisch ausdifferenzieren. Auch das deutsche Recht kannte bis zur Einführung des § 32 BDSG (alte Fassung) 2009 keine Regelung über den Beschäftigtendatenschutz. Jedoch stellte auch diese Norm eine sehr allgemein gehaltene Regelung dar. Art. 88 DSGVO sieht somit erstmals spezifischere Regelungen zum Beschäftigtendatenschutz für die einzelnen Mitgliedstaaten vor.
Welche Folgen ergeben sich aus Art. 88 DSGVO?
Durch die Umsetzung der Regelungsoption durch die einzelnen Mitgliedstaaten könnte das Vereinheitlichungsziel des Datenschutzrechts verfehlt sein. Da spezifische datenschutzrechtliche Regelungen aber im Bereich der Beschäftigung gerade wegen der vielfältigen Verarbeitungserfordernisse von besonderer Bedeutung sind und die arbeitsrechtlichen Schutzinstrumente in den einzelnen Mitgliedstaaten unterschiedlich ausgeprägt sind, stellt die Regelungsoption eine zweckgerechte Selbstbeschränkung des Unionsgesetzgebers dar. In der Praxis ergeben sich mit den in Deutschland eingeführten spezifischen Regelungen Folgen für Arbeitgeber sowie für Beschäftigte i. S. v. § 26 BDSG. Insbesondere Arbeitgeber müssen sich vorrangig an die spezifischen Regelungen zum Beschäftigtendatenschutz halten.