In dieser Episode der DataGuard Masterclass diskutieren Dr. Frank Schemmel und Dr. Stefan Brink ein kritisches Urteil des Europäischen Gerichtshofs (EuGH) vom März, das eine Vorschrift des Hessischen Datenschutzgesetzes – fast identisch mit Paragraph 26 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) – als nicht vereinbar mit dem Europarecht einstuft. Dr. Brink erklärt, dass der EuGH besondere Anforderungen in Artikel 88 der DatenschutzGrundverordnung (DSGVO) identifiziert hat, die eine spezifischere Regelung des Beschäftigtendatenschutzes auf nationaler Ebene fordern. Diese Anforderungen umfassen eine genauere und konkretere Regulierung spezieller Verarbeitungssituationen. Der allgemeine Ansatz des BDSG und des Hessischen Datenschutzgesetzes, der lediglich das Erforderlichkeitsprinzip regelt, genügt diesen Anforderungen nicht.
Um den Vorgaben des EuGH zu entsprechen, muss der Gesetzgeber nun nachbessern und ein Gesetz schaffen, das diese spezifischen Anforderungen erfüllt. Dr. Brink weist darauf hin, dass, sollte die bemängelte Vorschrift wegfallen, dies keinen großen Verlust darstellen würde, da grundsätzlich auf die DSGVO zurückgegriffen werden könnte. Er betont zudem, dass weitere Absätze des Paragraphen 26 BDSG durchaus Substanz haben und wahrscheinlich den strengen Anforderungen des EuGH standhalten würden.
English description:
In this episode of the DataGuard Masterclass, Dr. Frank Schemmel and Dr. Stefan Brink discuss a critical ruling by the European Court of Justice (ECJ) from March, which deemed a provision of the Hessian Data Protection Act – almost identical to Section 26 (1) of the Federal Data Protection Act (BDSG) – as noncompliant with European law. Dr. Brink explains that the ECJ identified specific requirements in Article 88 of the General Data Protection Regulation (GDPR) that call for a more specific regulation of employee data protection at the national level. These requirements include more precise and concrete regulation of specific processing situations. The general approach of the BDSG and the Hessian Data Protection Act, which merely regulates the principle of necessity, does not meet these requirements.
To comply with the ECJ's directives, the legislature must now make amendments to create a law that fulfills these specific requirements. Dr. Brink notes that if the criticized provision were to be removed, it would not represent a significant loss, as the GDPR could fundamentally be relied upon instead. He also highlights that other paragraphs of Section 26 BDSG have substantial content and would likely withstand the ECJ's stringent requirements.