Während der Beschluss „Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang (Stand 24. März 2022)“ der Datenschutzkonferenz (DSK) vor Kurzem im Fokus datenschutzrechtlicher Diskussionen stand (wir berichteten), scheint ein anderes von ihr adressiertes Thema eher untergegangen zu sein: die aktuelle Situation und Gestaltung des Beschäftigtendatenschutzes. Ihre diesbezügliche Auffassung bzw. Kritik ist in der Entschließung „Die Zeit für ein Beschäftigtendatenschutzgesetz ist „Jetzt“!“ vom 29. April 2022 nachzulesen.
Die DSK kritisiert darin vor allem, dass trotz fortschreitender technischer Möglichkeiten und der sich dadurch verändernden Arbeitswelt, noch kein eigenständiges Beschäftigtendatenschutzgesetz in Deutschland auf den Weg gebracht wurde. Ein derartiges Gesetz fordert die DSK nach eigenen Angaben bereits seit dem Jahr 2014 und sieht sich durch einen Abschlussbericht des interdisziplinären Beirats Beschäftigtendatenschutz vom Bundesministerium für Arbeit und Soziales vom Januar 2022 in ihrer Ansicht bestätigt.
Aktuelle Situation im Beschäftigtendatenschutz
Tatsächlich wird der Beschäftigtendatenschutz auf nationaler Ebene aktuell primär durch eine einzige Norm geregelt: § 26 BDSG. Darin finden sich Regelungen zur Verarbeitung personenbezogener (Beschäftigten-)Daten für Zwecke des Beschäftigungsverhältnisses, u. a. im Hinblick auf die Zulässigkeit für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses. Aber auch die Anforderungen an Beschäftigteneinwilligungen, der Rahmen für die Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten) und die Möglichkeit von Kollektivvereinbarungen als Verarbeitungsgrundlage werden in der Norm aufgegriffen. Allerdings sind die diesbezüglichen Bestimmungen in § 26 BDSG eher allgemein gehalten, um auf viele Sachverhalte angewandt werden zu können. Der deutsche Gesetzgeber hat von der Öffnungsklausel in Art. 88 DSGVO, welche den Mitgliedsstaaten der Europäischen Union gestattet, eigene Vorschriften zu Datenverarbeitungen im Beschäftigungskontext zu treffen, neben der Einführung von § 26 BDSG (zeitgleich mit Inkrafttreten der DSGVO) noch keinen weiteren Gebrauch gemacht.
Die DSK erachtet § 26 BDSG für sich jedoch – vor allem auch aufgrund seines wenig spezifischen Charakters – als nicht ausreichend zur Regelung des Beschäftigtendatenschutzes. Sie verweist dabei auf die zu weiten Interpretationsspielräume der Norm und die daraus resultierenden Rechtsunklarheiten und möchte diese mithilfe eines speziellen Beschäftigtendatenschutzgesetzes abbauen. Dabei verlangt die Datenschutzkonferenz insbesondere, die Risiken technischer Entwicklungen zu berücksichtigen.
Wo sieht die DSK Handlungsbedarf beim Beschäftigtendatenschutz?
Von der DSK werden dabei mehrere Bereiche angeführt, in denen nach ihrer Auffassung Handlungsbedarf an konkreten Vorgaben besteht. In einem eigenen Beschäftigtendatenschutzgesetz solle mindestens Folgendes behandelt werden:
- „Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI)“
Die DSK verlangt die gesetzliche Regelung von Grenzen und Rahmenbedingungen der Verwendung algorithmischer Systeme im Zusammenhang mit Beschäftigungsverhältnissen sowie Bewerbungen. Hierbei nimmt sie auf die hohe Schutzbedürftigkeit der betroffenen Personen aufgrund des bestehenden Abhängigkeitsverhältnisses (zum Arbeitgeber) Bezug. Zudem erachtet sie im Beschäftigungsbereich die Regelungen des Art. 22 DSGVO als nicht ausreichend. Nach dieser Norm hat eine betroffene Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Dass sich dies nur auf die automatisierte Entscheidung erstreckt, nicht auf die Profilbildung als solche, kritisiert die DSK. Zudem möchte sie, dass die Nutzung von KI auf Basis einer Einwilligung im Beschäftigungskontext regelmäßig verboten wird. - „Grenzen der Verhaltens- und Leistungskontrolle“
Weiterhin will die DSK ein grundsätzliches Verbot heimlicher Kontrollen oder dauerhafter Überwachungen von Beschäftigten, mit normenklarer Ausnahmeregelung unter Berücksichtigung der arbeitsgerichtlichen Rechtsprechung sowie gesetzlicher Eckpunkte, z. B. in den Bereichen Zugriff auf E-Mails, Videoüberwachungen, GPS-Tracking oder biometrische Verfahren. Die weitgehenden Auswertungsmöglichkeiten von Informations- und Kommunikationstechniken seien per Gesetz zu beschränken. Der Gesetzgeber solle zudem definieren, in welchen Ausnahmefällen besonders schützenswerte (z. B. biometrische) Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürften. - „Ergänzungen zu den Rahmenbedingungen der Einwilligung“
Gewünscht ist, Ergänzungen im Hinblick auf die Anforderungen an eine Einwilligung in § 26 Abs. 2 BDSG vorzunehmen, unter Berücksichtigung, dass diese im Beschäftigungsverhältnis grundsätzlich kritisch zu betrachten ist. Ein konkreter Vorschlag wird nicht unterbreitet, allerdings führt die DSK aus, dass Beispiele für Situationen aufgenommen werden sollten, in denen eine Einwilligung keine zulässige Rechtsgrundlage darstellt. - „Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen“
Außerdem verlangt die DSK eine Klarstellung, „ob und inwieweit mit Kollektivvereinbarungen einschließlich Betriebsvereinbarungen zusätzliche Rechtsgrundlagen für Datenverarbeitungen im Beschäftigungsverhältnis geschaffen werden können“, da Art. 88 Abs. 1 DSGVO und § 26 Abs. 1 S. 1 BDSG diesbezüglich Unklarheiten ließen. - „Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie zu Artikel 6 und 9 DS-GVO“
Auch rät die DSK zu mehr Eindeutigkeit im Bereich der Zulässigkeit besonderer Datenkategorien im Beschäftigungsverhältnis. Zum einen vor dem Hintergrund, dass sich § 22 und § 26 BDSG (mit Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten) im Anwendungsbereich überschnitten. Zum anderen, weil unklar sei, inwiefern hier auf die Rechtsgrundlagen aus der DSGVO zurückgegriffen werden könne. - „Beweisverwertungsverbote“
Die DSK unterstützt ein Beweisverwertungsverbot für unrechtmäßig verarbeitete Beschäftigtendaten gesetzlich festzuhalten und dabei klare Kriterien für das Vorliegen eines solchen Verbots zu definieren. - „Datenverarbeitung bei Bewerbungs- und Auswahlverfahren“
Zuletzt fordert sie eigene Regelungen für Datenverarbeitungen in Bewerbungssituationen. Möglichkeiten und Grenzen der Datenerhebung bei den Bewerberinnen und Bewerbern selbst sowie bei Dritten und öffentlichen Quellen sollen vorgegeben werden. Hierbei werden folgende Themen als relevant betrachtet: „Fragerecht der Arbeitgeberinnen und Arbeitgeber, Anforderung polizeilicher Führungszeugnisse, ärztliche Untersuchungen und Eignungstests, Datenerhebung aus Drittquellen (z. B. bei vorherigen Arbeitsstellen), Umgang mit sozialen Netzwerken oder das sog. Active Sourcing“. Auch Vorschriften hinsichtlich der Transparenz und Löschfristen werden hier als wesentlich betrachtet.
Einschätzung der Forderung der DSK
Die Forderung der DSK nach einem eigenständigen Beschäftigtendatenschutzgesetz ist nur zu begrüßen. In Bezug auf diesen komplexen Bereich, der aufgrund technischer Möglichkeiten zu immer mehr Risiken für abhängig Beschäftigte führt, sind umfassende Regelungen erforderlich. Der Rückgriff auf eine einzige zentrale Norm (wie § 26 BDSG) mit Interpretationsspielräumen genügt in vielen Fällen nicht. Gerade, wenn es um den Einsatz neuartiger Technologien geht, sind eindeutige Vorgaben notwendig, um die davon Betroffenen zu schützen. Aber auch der Wunsch der DSK nach Klarstellungen zu bereits vorhandenen Ansätzen (z. B. zum Thema Betriebsvereinbarungen als Rechtsgrundlage) kann nur unterstützt werden. Letztlich wird dies für alle Beteiligten zu mehr Rechtssicherheit führen.
Vor diesem Hintergrund bleibt die Reaktion der Ampel-Regierung abzuwarten. Diese hatte in ihrem Koalitionsvertrag angekündigt, Regelungen zum Beschäftigtendatenschutz für mehr Rechtsklarheit und einen effektiven Schutz von Persönlichkeitsrechten zu schaffen. Wir halten Sie über dieses Thema in unserem Blog auf dem Laufenden.