Im September letzten Jahres hat der Generalanwalt des Gerichtshofs der Europäischen Union (im Folgenden „EuGH“) eine Stellungnahme zum Artikel 88 der Allgemeinen Verordnung zum Schutz personenbezogener Daten (im Folgenden „GDPR“) erlassen. Gemäß dem oben genannten Artikel können die Mitgliedstaaten spezifischere Vorschriften durch nationale Gesetzgebung oder Kollektivverträge festlegen, um den Schutz der Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten von Arbeitnehmern im Zusammenhang mit der Beschäftigung zu gewährleisten.

Der Artikel 88 GDPR gehört zu den sog. offenen Bestimmungen, die es den Mitgliedstaaten ermöglichen, andere spezifischere (sei es strengere oder abweichende) nationale/innerstaatliche Vorschriften festzulegen. Dadurch haben die Mitgliedsstaaten den Verfügungsraum, von der einheitlichen europäischen Gesetzgebung abzuweichen.

Der Generalanwalt des EuGH befasste sich in seiner Stellungnahme vor allem mit dem Einklang deutscher, gerade auf der Grundlage von Art. 88 GDPR erlassenen Rechtsvorschriften mit europäischem Recht. Nach Ansicht des Generalanwalts besteht zwischen den Absätzen 1 und 2 des genannten GDPR-Artikels ein Zusammenhang, wobei der Absatz 1 dem Mitgliedstaat die Möglichkeit gibt, spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten von Arbeitnehmern im Zusammenhang mit der Beschäftigung festzulegen, während der Absatz 2 den Inhalt solcher konkreter Vorschriften verbindlich festlegt.

Gemäß Absatz 2 in Artikel 88 GDPR sollten die genannten spezifischeren Vorschriften daher besondere und angemessene Maßnahmen umfassen, die den Schutz der Menschenwürde, der berechtigten Interessen und der Grundrechte der betroffenen Personen gewährleisten, insbesondere im Hinblick auf die Transparenz der Verarbeitung und Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer, eine gemeinsame wirtschaftliche Tätigkeit ausübenden Unternehmensgruppe und Arbeitsplatzüberwachungssysteme.

Damit ein Mitgliedstaat eine spezifischere Regelung nach Absatz 1 in Art. 88 GDPR erlassen kann, müssen die im Abs. 2 in Art. 88 GDPR geregelten Garantien (siehe oben) erfüllt sein.

Nach Ansicht des Generalanwalts erfüllte die geprüfte deutsche Gesetzgebung nicht einmal die in Absatz 1 des Artikels 88 GDPR genannten Anforderungen, da sie in ihren Bestimmungen im Grunde nur den Grundsatz bzgl. Beschränkung und Minimierung von Daten nach dem Artikel 5 GDPR wiederholte und daher keine spezifischere Regel eingeführt hat. Außerdem sei auch die in Absatz 2 des Artikels 88 GDPR genannte Anforderung nicht erfüllt, und dies vor allem deshalb, da in der beschriebenen deutschen Gesetzgebung jegliche Verankerung von Regeln fehlte, die dem Schutz von Rechten und Freiheiten in Bezug auf die Verarbeitung personenbezogener Daten von Mitarbeitern dienen.

Nach der Logik des Generalanwalts könnten dann die oben beschriebenen Anforderungen aus dem Artikel 88 GDPR auch für andere offene GDPR-Bestimmungen gelten, wie z.B. für den Artikel 9 Abs. 2, Buchst. b) GDPR, der die Verarbeitung besonderer Kategorien personenbezogener Daten (einschließlich Gesundheitsdaten) ermöglicht, sofern eine solche Verarbeitung nach dem Recht der Europäischen Union oder nach dem Recht eines Mitgliedstaats zulässig ist, in denen angemessene Garantien im Hinblick auf die Grundrechte und Interessen der betroffenen Person festgelegt sind. Mit anderen Worten, sogar laut dem erwähnten Artikel 9 GDPR werden Garantien für die Verarbeitung personenbezogener Daten verlangt, wie im zweiten Absatz in Artikel 88 GDPR.

Genau die Daten zum Gesundheitszustand der Beschäftigten lt. Artikel 9 GDPR wurden in den letzten Jahren aufgrund der Covid-19-Pandemie auch in Tschechien weitgehend bearbeitet. In diesen Fällen wurde häufig auf die allgemeine Bestimmung § 102 des Arbeitsgesetzbuches verwiesen, wonach der Arbeitgeber verpflichtet ist, dadurch ein sicheres und Gesundheit nicht bedrohendes Arbeitsumfeld und Arbeitsbedingungen zu schaffen, dass er die Sicherheit und den Gesundheitsschutz bei der Arbeit angemessen organisiert.

Im Lichte der oben beschriebenen Schlussfolgerung des Generalanwalts scheint jedoch § 102 des Arbeitsgesetz-buchs als unzureichend konkret in Bezug auf die Art und den Umfang der Verarbeitung personenbezogener Daten zu sein, während er keine spezifischeren Garantien zum Schutz der Rechte und Freiheiten der von den verarbeiteten Daten betroffenen Personen enthält.

Verarbeitung besonderer Kategorien personenbezogener Daten (einschließlich Daten zum Gesundheitszustand) gemäß Artikel 9 GDPR ist also in der tschechischen Rechtsordnung eindeutig nicht ausreichend geregelt, da von der Möglichkeit einer offenen GDPR-Bestimmung kein Gebrauch gemacht wird.

Für den tschechischen Gesetzgeber stellt sich daher die Frage, ob es nicht erforderlich ist, geeignete Änderungsmaßnahmen zu ergreifen, die in Bezug auf die offenen Bestimmungen von GDPR eine gültige Rechtsgrundlage für die Verarbeitung (besonderer Kategorien von) personenbezogenen Daten von Arbeitnehmern schaffen und hinreichend spezifische Regeln für die Verarbeitung dieser Daten festgelegen würden. Allerdings ist dies eher die Musik der Zukunft, denn es ist nicht sicher, ob der EuGH die Stellungnahme des Generalanwalts folgen bzw. anwenden wird.

In Anbetracht der Tatsache, dass wir wahrscheinlich keine umfassende Regelung bald bekommen werden, ist es für Arbeitgeber geeignet, je nach konkreter Situation jeweils nach individuellen Ad-hoc-Lösungen zu suchen. Und vorzugsweise in Form der Einhaltung transparent festgelegter interner Vorschriften, die zumindest ausreichend konkrete Regeln und Garantien für die Verarbeitung solcher Daten, wenn auch jedoch keine ausreichende Rechtsgrundlage bieten werden.

Autor: Veronika Odrobinová, Jessica Vaculíková