Nach der Veröffentlichung des Eckpunktepapiers zu einem Beschäftigtendatenschutzgesetz im April 2023 (wir berichteten) wartete man vergebens auf weitere Konkretisierungen oder gar Entwürfe. Der Ruf nach detaillierten und eigenständigen Regelungen im Beschäftigtendatenschutz wird – spätestens seit dem der EuGH mit Urteil vom 30.3.2023 (C-34/21) der wichtigsten Norm im deutschen Beschäftigtendatenschutz § 26 Abs. 1 S. 1 BDSG indirekt die EU-Konformität abgesprochen hat – immer lauter. Mitte Oktober wurde in den sozialen Medien der Referentenentwurf eines Beschäftigtendatengesetzes (RefE-BeschDG) publik.

Aufbau

Der RefE-BeschDG ist in einen allgemeinen und besonderen Teil gegliedert. Zunächst werden in den §§ 1-9 Anwendungsbereich, Begriffsbestimmungen und Grundlagen geklärt. In § 10 werden Informationsrechte der Beschäftigten gegenüber dem Arbeitgeber, sowie in § 11 ein prozessuales Verwertungsverbot für unzulässig gewonnene Beweismittel dargestellt. Ein neues Mitbestimmungsrecht bei der Bestellung und Abberufung eines betrieblichen Datenschutzbeauftragten erhält der Betriebsrat in § 12. Im besonderen Teil des RefE-BeschDG werden Vorgaben für die Datenverarbeitung von Bewerbern in den §§ 13-17 geregelt, sowie die Datenverarbeitung in Bezug auf Überwachungsmaßnahmen in den §§ 18-23 und im Rahmen des Profilings in den §§ 24-27. Mitunter wird auch die Datenverarbeitung in besonderen Verarbeitungssituationen, wie z. B. im Konzern, bestimmt (§ 30).

Ziel des Entwurfs ist es, den Herausforderungen der Digitalisierung gerecht zu werden und den Beschäftigtendatenschutz zu modernisieren. Durch die Regelung konkreter Anwendungs- und Einzelfälle sollen die Rechtssicherheit und Transparenz sowohl für die Wirtschaft als auch für Beschäftigte erhöht werden.

Inhaltliche Schwerpunkte

Nach wie vor soll sich der Anwendungsbereich auf die Verarbeitung personenbezogener Daten im Bewerbungsprozess, während des laufenden Beschäftigungsverhältnisses und auch nach Beendigung des Beschäftigungsverhältnisses erstrecken. Die Erforderlichkeit der Datenverarbeitung für die Erreichung legitimer Zwecke steht, wie auch die Freiwilligkeit etwaiger Einwilligungen durch die Beschäftigten, im Mittelpunkt der Neuregelungen. Als Konsequenz erfolgt mitunter eine strengere Verhältnismäßigkeitsprüfung, als dies bei Auslegung des § 26 BDSG der Fall ist. So ist zum Beispiel eine Zweckänderung der Datenverarbeitung höheren Hürden ausgesetzt, als dies bislang vorgesehen ist. Ohne Einwilligung oder spezifische Rechtsgrundlagen aus anderen Gesetzen, sind Verarbeitungen nur für die vorab festgelegten, eindeutig bestimmten Zwecke zulässig und können nicht in einer diesen Zwecken entgegenstehenden Art und Weise weiterverarbeitet werden. Zunächst zulässige Zwecke der Verarbeitung finden sich in § 3 Abs. 1 RefE-BeschDG

Im Rahmen der dort genannten Zwecke hat eine Konkretisierung der Zwecke gem. § 3 Abs. 3 RefE-BeschDG bereits vor der Verarbeitung von Daten durch die Arbeitgeber zu erfolgen, was eine frühzeitige Dokumentation der Verarbeitungen nach Art. 30 Abs. 1 DSGVO zu einer unterstützenden und notwendigen Tätigkeit werden lässt. Zudem wird für die Nummern 1 und 7 des § 3 Abs. 1 RefE-BeschDG explizit die Erforderlichkeit überwiegender Arbeitgeberinteressen verlangt, sodass das Erfordernis einer Interessenabwägung (neben der bisherigen Begründung über Art. 6 Abs. 1 lit. f DSGVO) nunmehr direkt im Beschäftigtendatengesetz zu finden ist.

Auch das Abhängigkeitsverhältnis im beruflichen Kontext wird in den Vordergrund gerückt, indem dieses bei jeglichen erforderlichen detaillierten Interessenabwägungen stärker zu berücksichtigen ist.

Die Kriterien ergeben sich nunmehr ausführlich aus § 4 RefE-BeschDG. Aus der Verpflichtung zur Wahrung der Erforderlichkeitsschwelle, sowie der Durchführung einer Interessenabwägung ergeben sich neue Prüf- und Dokumentationspflichten, die den Arbeitgebenden bisher nur bei Datenschutzfolgenschätzungen auferlegt wurden.

Die Abhängigkeit der Beschäftigten findet ebenso Einzug in die Maßgabe einer freiwillig erteilten Einwilligung nach § 5 RefE-BeschDG. In dessen Abs. 2 finden sich Einzelfälle in denen eine Freiwilligkeit angenommen werden kann, aufgrund einer ausgewogenen Interessenlage zwischen Arbeitgebenden und Beschäftigten. Diese konkreten Bespiele sind in der Paxis nicht neu, jedoch erstmals konkret in einem Gesetz beschrieben. Hierbei handelt es sich mitunter um die Einwilligung in die Datenverarbeitung

  • bei Aufnahme in einen Bewerberpool,
  • bei der Nennung in Geburtstagslisten,
  • bei der Nutzung von Fotos für das Intranet,
  • bei der Nutzung von biometrischen Daten zur erleichterten Identifizierung, sofern diese nicht alternativlos ist.

An dieser Stelle zeigt sich deutlich der Versuch eine gewisse Detailtiefe in den Gesetzesentwurf fließen zu lassen. Die Frage darf erlaubt sein, ob die Nennung von Geburtstagslisten tatsächlich den Kern des Schutzziels eines Beschäftigtendatenrechts trifft.

  • 10 des RefE-BeschDG birgt neue Informationspflichten für die Arbeitgebenden. Basiert die Datenverarbeitung auf berechtigten Interessen, sind Arbeitgebende nunmehr verpflichtet die wesentlichen Erwägungen der Abwägung der Interessen im Sinne des § 4 RefE-BeschDG auf Verlangen der Beschäftigten in einer für diese verständlichen Weise darzulegen. Diese Vorgaben sind insofern neu, als dass entsprechende Begründungen bisher lediglich gegenüber den Datenschutzaufsichtsbehörden verfügbar gemacht werden mussten. Die Pflicht zur Information nach Artt. 13, 14 DSGVO bleibt hiervon unberührt.

Auch das Thema Künstliche Intelligenz hat Einzug gefunden in den RefE-BeschDG. Hierbei wurde sich der eher strengen Auffassung der Aufsichtsbehörden angeschlossen, indem § 10 Abs. 3 RefE-BeschDG verlangt, dass aussagekräftige Informationen über die Funktionsweise des KI-Systems sowie die Funktion der verarbeiteten Beschäftigtendaten innerhalb des KI-Systems sowie die im Einzelfall getroffenen Schutzmaßnahmen nach § 9 RefE-BeschDG (z. B. technische und organisatorische Maßnahmen) zur Verfügung gestellt werden müssen.

Zudem weicht der RefE-BeschDG von der bisherigen arbeitsgerichtlichen Rechtsprechung ab, indem es ein Sachvortrags- bzw. Beweisverwertungsverbot für unzulässig verarbeitete Beschäftigtendaten festschreibt. Ob diese Neuregelungen rechtliche Wirksamkeit entfalten, wird sich zeigen müssen.

Das Thema Überwachung am Arbeitsplatz hat stets zu Debatten geführt, sodass dieses nunmehr durch Regelungen zu allgemeinen Grundlagen (§ 18), nicht nur kurzfristigen Überwachungsmaßnahmen (§ 19), verdeckter Überwachung (§ 20), Videoüberwachung (§ 21), Ortung (§ 22) und einem Verbot der Weiterverarbeitung durch Überwachung erlangter Daten zur Leistungskontrolle (§ 23) normiert wird.

Überwachung meint hier, alle Maßnahmen zur zielgerichteten Beobachtung von Personen oder Objekten durch Personen oder technische Einrichtungen. Gerichtlich wird bislang die Auffassung vertreten, dass bereits die Geeignetheit einer Überwachungsmaßnahme ausreichend sei und nicht auf die Zielgerichtetheit abgestellt werden müsse. Gemäß § 18 Abs. 2 RefE-BeschDG können Zwecke der Überwachung der Schutz von Gesundheit und Sicherheit von Beschäftigten sowie die Verhütung und Aufdeckung von Straftaten und Pflichtverletzungen sein. Neu ist in diesem Zusammenhang im Vergleich zu § 26 BDSG, dass das Abstellen auf eine Pflichtverletzung allein dort nicht explizit genannt wird. Zielrichtung scheint zu sein, dass nunmehr auch reine Pflichtverletzungen, wie etwa der Verstoß gegen sicherheitstechnische Vorgaben, die nicht zu einer strafbaren Handlung führen, eine Überwachungsmaßnahme rechtfertigen können.

Die Verarbeitung von Beschäftigtendaten, die den Kernbereich privater Lebensgestaltung betreffen und die Überwachung von Bereichen, die auch als kollektive und kommunikative Rückzugsräume sowie der privaten Lebensgestaltung dienen, wird als unzulässig ausgeschlossen, vgl. § 18 Abs. 5 RefE-BeschDG. Als Grundsatz gilt dies bereits jetzt, dennoch dürften mit der ausdrücklichen Regelung Hürden mit Blick auf vermehrte HomeOffice- und Mobile Work-Regelungen entstehen.

Begrüßenswert ist die klare Festlegung, dass bei der Durchführung einer Videoüberwachung Bereiche oder Personen technisch auszublenden sind, die für die Zweckerfüllung nicht erfasst werden müssen. Zudem sind Transparenz schaffende Pitkogramme sowie die grundsätzliche Pflicht zur Löschung der Daten nach 72 Stunden nunmehr ausdrücklich in § 21 Abs. 4, 5 RefE-BeschDG festgehalten. Damit werden die Vorgaben der meisten Datenschutzaufsichtsbehörden übernommen und eine klare Dokumentation der Überwachungsanlagen nebst Begründung etwaiger Erforderlichkeiten wird unabdingbar.

Fortschritt oder Einschränkung?

Wenngleich einige der auszugsweise beschriebenen Inhalte des RefE-BeschDG keine echten Neuerungen im Bereich des Beschäftigtendatenschutzes darstellen, da viele Anforderungen behördenseitig bereits gestellt werden (zuletzt auch in den Empfehlungen der DSK aus 2022), dürfte der Entwurf jedenfalls eine Verschärfung der Dokumentations- und Informationspflichten für Arbeitgebende auslösen. Die detaillierten Regelungen und vor allem auch die Forderung nach einer im Sinne des RefE-BeschDG durchgeführten Interessenabwägung für eine Vielzahl von Datenverarbeitungen im Bereich HR, kann zu einer massiven Erhöhung des bürokratischen Aufwands sowie zur Einengung der Wirtschaft in den Bereichen Innovation und fortschreitende Digitalisierung führen. Ob dies stets im Sinne des Schutzes der Beschäftigtendaten sein kann, wird die Praxisanwendung zeigen.

Es bleibt abzuwarten, welche Veränderungen der Entwurf durch die Ressortabstimmung und Kabinettsberatung erfährt und ob letztendlich eine weniger einschränkende Regelungsdichte umgesetzt wird. Spekuliert wird über ein Inkrafttreten des Gesetzes im Sommer 2025, jedoch sind bereits andere Entwürfe aufgrund politischer Belange gescheitert. Wir werden berichten.