Nach jahrzehntelangem Streit um die Schaffung eines bereichsspezifischen Gesetzes zum Schutz von Arbeitnehmerdaten liegt nun ein Referentenentwurf des Bundesinnenministeriums und des Bundesministeriums für Arbeit und Soziales vor. Damit will die Bundesregierung das digitale Zeitalter auch für den Beschäftigtendatenschutz einläuten.
Jahrzehntelanges Ringen um den Beschäftigtendatenschutz
Das Beschäftigtendatengesetz ist bisher eher eine Geschichte des Scheiterns. Angefangen in den 1980er Jahren, wurde zuletzt im Jahr 2010 ein ernsthafter Versuch unternommen, ein solches Gesetz auf den Weg zu bringen. Das damalige Bundeskabinett (Union und FDP) hatte den vorgelegten Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes bereits beschlossen. Allerdings trat dieses im Anschluss nie in Kraft.
Die Ampel-Regierung hatte den Beschäftigtendatenschutz im Koalitionsvertrag wieder aufgegriffen und für das vierte Quartal 2023 ein Gesetz angekündigt:
„Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“
In der im August 2023 verabschiedeten Digitalstrategie wurde die Bundesregierung noch konkreter:
„Von den Öffnungsklauseln der DSGVO werden wir zudem Gebrauch machen, um mit einem modernen, handhabbaren Beschäftigtendatengesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu schaffen und die Persönlichkeitsrechte der Beschäftigten effektiv zu schützen.“
Stand jetzt ist es jedoch bei einem Referentenentwurf vom 8. Oktober 2024 geblieben, den wir hier vorstellen.
Konzeption des Beschäftigtendatengesetzes
Der Entwurf sieht vor, ein eigenes Fachgesetz zu schaffen, welches den überflüssigen und in Teilen europarechtswidrigen § 26 Bundesdatenschutzgesetz (BDSG) aufhebt. Darüber hinaus soll das BDSG in seiner jetzigen Fassung erhalten bleiben.
Das in vier Kapiteln unterteilte Gesetz soll in der jetzigen Fassung 30 Paragrafen beinhalten. Der allgemeine Teil (§§ 1 – 12) beinhaltet neben allgemeinen Bestimmungen und Grundlagen zur Datenverarbeitung auch Regelungen zu spezifischen Betroffenenrechten, Verwertungsverbot und der Mitbestimmung des Betriebsrates in Fragen der Bestellung und Abberufung von Datenschutzbeauftragten.
Im zweiten, dem besonderen Teil (§§ 13 – 30), werden die Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses, die Überwachung, das Profiling und besondere Verarbeitungssituationen behandelt.
Wesentliche Neuerungen des Beschäftigtendatengesetzes
Erforderlichkeitsprüfung (§ 4 BeschDG-E)
Der Entwurf fordert eine strenge Verhältnismäßigkeitsprüfung bei der Verarbeitung von Beschäftigtendaten. Neben dem legitimen Verarbeitungszweck sind gesetzliche Pflichten, eigene Grundrechtspositionen und öffentliches Interesse zu berücksichtigen. Die Eingriffsintensität und die möglichen Folgen der Verarbeitung für die Beschäftigten müssen betrachtet werden.
Dies bedeutet, dass Arbeitgeber eine umfassende Abwägung vornehmen müssen, um sicherzustellen, dass die Datenverarbeitung tatsächlich notwendig ist und keine weniger eingreifenden Alternativen bestehen. Dies muss im Lichte des besonderen, von einer Machtasymmetrie geprägten Verhältnis zwischen Arbeitnehmer und Arbeitgeber geschehen.
Einwilligung (§ 5 BeschDG-E)
Der Entwurf konkretisiert die Anforderungen an die Einwilligung der Beschäftigten zur Datenverarbeitung. Bisher ist diese in § 26 Abs. 2 BDSG geregelt.
Im Gegensatz zum BDSG führt das BeschDG Regelfälle auf, für die eine freiwillige Einwilligung vorliegen kann. Darunter die Fotonutzung für das Internet, Geburtstagslisten, erlaubte Privatnutzung von betrieblichen IT-Systemen und die Kontaktaufnahme von ehemaligen Mitarbeitern. Die Einwilligung soll schriftlich oder elektronisch erteilt werden können.
Kollektivvereinbarungen (§ 7 BeschDG-E)
Kollektivvereinbarungen dürfen laut Entwurf nicht zu Lasten des Schutzes der Beschäftigten vom BDSG abweichen. Sie können auch nicht die Zulässigkeit der Verarbeitung von Beschäftigtendaten festlegen. Auch hier erfolgt der aus dem BDSG bekannte Verweis auf Art. 88 Abs. 2 DSGVO.
Zweckänderung (§ 8 BeschDG-E)
In Ergänzung zu Art. 6 Abs. 4 DSGVO darf eine Datenverarbeitung zu anderen als den ursprünglich vorgesehen Zwecken nur unter erweiterten Maßgaben erfolgen. Im Ergebnis werden durch § 8 BeschDG insbesondere Weiterverarbeitungen erschwert, die zu einer Leistungsbewertung herangezogen werden können („Fortkommen der Beschäftigten“).
Schutzmaßnahmen (§ 9 BeschDG-E)
Mit Verweis auf die Einhaltung der Grundprinzipien aus Art. 5 DSGVO sollen zugunsten der Beschäftigten erweiterte Schutzmaßnahmen durch den Arbeitgeber getroffen werden. Teils werden hierbei einzelne Maßnahmen aus der DSGVO aufgegriffen und in den Arbeitskontext übernommen. Hierunter etwa:
- ausreichende technische und organisatorische Maßnahmen zu gewährleisten;
- Trennung und eingeschränkter Zugang zu Personaldaten;
- Evaluierungserfordernisse bezüglich ergriffener Maßnahmen.
Ein Novum sind erweiterte Schutzverpflichtungen bei einem Einsatz von KI-Systemen. Diesbezüglich sollen erweiterte Prüf- sowie Transparenzpflichten auf den Arbeitgeber zukommen (§ 10 BeschDG).
Verwertungsverbot (§ 11 BeschDG-E)
Wurden Beschäftigtendaten datenschutzrechtswidrig verarbeitet, dürfen diese Daten in einem gerichtlichen Verfahren über die Rechtmäßigkeit einer auf diese Daten gestützten personellen Maßnahme des Arbeitgebers gegen Beschäftigte nicht verwertet werden. Der Entwurf sieht hiervon eine Ausnahme für den Fall vor, wenn ein offensichtliches Missverhältnis zwischen dem Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen beschäftigten Person durch die gerichtliche Verwertung und dem grundrechtlich geschützten Interesse des Arbeitgebers an der gerichtlichen Verwertung besteht.
Mitbestimmungsrecht des Betriebsrats (§ 12 BeschDG-E)
Der Betriebsrat erhält erweiterte Mitbestimmungsrechte bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten.
Überwachung (§ 17 BeschDG-E)
Die Verarbeitung von Beschäftigtendaten durch Überwachungsmaßnahmen ist nur zulässig, wenn sie für einen konkreten Zweck im Beschäftigungsverhältnis, zur Erfüllung von Pflichten des Arbeitgebers oder zum Schutz betrieblicher Interessen erforderlich ist und die Interessen des Arbeitgebers die der Beschäftigten überwiegen. Die Verarbeitung darf nur kurzzeitig und anlassbezogen oder stichprobenhaft erfolgen. Die Überwachung ist verboten, wenn sie in den Kernbereich privater Lebensführung ausstrahlt.
Authentifizierung mittels Biometrie (§ 28 BeschDE-E)
Die Verarbeitung biometrischer Beschäftigtendaten ist nur zulässig, wenn sie in sicherheitsrelevanten Bereichen erforderlich ist und die Interessen des Arbeitgebers erheblich überwiegen.
Konzerntransfer (§ 30 BeschDE-E)
Die Offenlegung von Beschäftigtendaten durch einen Arbeitgeber, der Teil einer Unternehmensgruppe ist, ist erlaubt, wenn sie für den Zweck des Beschäftigungsverhältnisses, zur Erfüllung von Pflichten oder zur Wahrung der betrieblichen Interessen notwendig ist und die Interessen der Beschäftigten nicht überwiegen.
Der Entwurf erweitert damit den Anwendungsbereich eines Konzernprivilegs.
Datenschutzrechtliche Einschätzung
Der Entwurf des BeschDG bringt neue Herausforderungen für Arbeitgeber, beispielsweise durch erweiterte Pflichten bei der Erforderlichkeitsprüfung und Stärkung der Arbeitnehmerrechte bei der Nutzung von KI-Systemen. Damit würde neben die KI-Verordnung (AI Act) ein weiteres Regelungsregime treten, was Arbeitgeber zusätzlich in die Pflicht nimmt.
Arbeitgeber müssen darüber hinaus in Abkehr zur derzeitigen gelebten Praxis mit umfassenderen Prüfungen und Dokumentationen rechnen, was die Flexibilität bei der Datenverarbeitung zusätzlich einschränken könnte.
Ein normatives Verwertungsverbot für unrechtmäßig erlangte Daten stellt eine Abkehr von der jüngeren Rechtsprechung des Bundesarbeitsgerichts dar. Hier ist eine Nachbesserung vorprogrammiert.
Die Mitbestimmung des Betriebsrats bei der Benennung und Abberufung des betrieblichen Datenschutzbeauftragten erscheint willkürlich.
Teils werden in der Praxis länger diskutierte Fragen im Gesetz verankert, wodurch vereinzelt mehr Rechtssicherheit geschaffen wird. Allerdings überwiegt die Umsetzungslast für Arbeitgeber gegenüber den erweiterten Schutzmaßnahmen zugunsten der Beschäftigten, sollte das Gesetz in dieser Form verabschiedet werden.
Das Vorhaben wird wohl im Zuge der jüngeren Entwicklungen politisch keine Mehrheit finden. Es ist unwahrscheinlich, dass das Gesetz unter einer neuen Regierung – zumindest in dieser Form – kommen wird.
