Das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) haben in einem gemeinsamen Papier erste Eckpunkte eines neuen Beschäftigtendatenschutzgesetzes vorgestellt. Das nun dieses Thema wieder aufgegriffen wird, liegt auch am Urteil des EuGH vom 30.03.2023 (Az. C-34/21) zur Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts (wir berichteten).

Da das Papier der beiden Ministerien nur Vorschläge enthält und kein Gesetzentwurf ist, wird uns die Debatte vermutlich noch das ganze Jahr weiter beschäftigten.

Eckpunkte für ein neues Beschäftigtendatenschutzgesetz

Über das Papier mit dem Titel „Vorschläge für einen modernen Beschäftigtendatenschutz“ berichteten bereits verschiedene Nachrichtenseiten unter Berufung auf dpa-Informationen (vgl. hier und hier). Auf den Websites der Ministerien ist das Papier – Stand heute – noch nicht abrufbar. Wir möchten auf einige Punkte im Folgenden kurz eingehen.

Der Anwendungsbereich des Beschäftigtendatenschutzes soll neben den klassischen Arbeitnehmern um sog. solo-selbständige Plattformtätige erweitert werden. Dies betrifft bspw. Essenslieferungen, Fahrdienste und Haushaltsdienstleistungen, aber auch Onlinearbeit wie etwa Textarbeit, Programmierung und kreative Tätigkeiten.

Ausgehend von der Rechtsprechung des Bundesarbeitsgerichts zur Vollüberwachung (BAG, Beschluss vom 29.06.2003, 1 ABR 21/03), wonach eine Vollüberwachung von Beschäftigten unzulässig ist, sollen Maßnahmen einer dauerhaften Überwachung nur in Ausnahmefällen und unter engen Voraussetzungen möglich sein. Ein Beispiel einer möglichen Vollüberwachung sei der Zweck der Sicherheit von Beschäftigten und des Arbeitsschutzes. Ebenso könne eine Vollüberwachung dann zur Erfassung von Lenk- und Ruhezeiten notwendig sein oder die Koordinierung wechselnder Arbeitseinsätze an verschiedenen Orten und die Disposition von Einsatzkräften. Arbeitgeber sollen aber „keine lückenlosen Bewegungs- und Leistungsprofile zur Bewertung von Beschäftigten erstellen dürfen“. Dieses Thema hat kürzlich an Brisanz gewonnen, nachdem das Verwaltungsgericht Hannover eine Handscannersoftware, die der Geschäftsführung lückenlose Auswertungen über die Arbeitsgeschwindigkeit erlaubte, als datenschutzrechtlich rechtmäßig einstufte (wir berichteten).

Der Einsatz von Künstlicher Intelligenz (KI), etwa bei der Bewerberauswahl oder der Leistungsbeurteilung, birgt nach Meinung der beiden Ministerien die Gefahr, dass die Beschäftigten die Kontrolle über die Datenverarbeitung verlieren. Daher soll die Transparenz beim Einsatz von KI gestärkt werden. Dazu soll auch auf die neue KI-Verordnung der EU, die sich noch in der Abstimmung befindet, gewartet und Spielräume der Verordnung genutzt werden.

Nichts Neues findet sich in dem Papier zur Datenverarbeitung im Bewerbungsverfahren. Hier wird auf die Rechtsprechung zum Fragerecht im Bewerbungsgespräch verwiesen, Eignungen und Qualifikationen sollen direkt bei der Person, die sich bewirbt, abgefragt werden und medizinische Untersuchungen sollen nur zulässig sein, wenn sie für die Ausübung der Tätigkeit notwendig oder gesetzlich vorgeschrieben sind.

Das Papier hebt die Gefahr von Diskriminierungen bei der Verarbeitung sensibler Daten, wie Gesundheitsdaten, hervor und will typische Fallgruppen bilden, die veranschaulichen sollen, wann ein Arbeitgeber sensible Daten verarbeiten darf. Inwieweit dies über die Regelungen hinausgehen wird, die bspw. im SGB zum BEM-Verfahren oder zur Meldepflicht an die Krankenkasse geregelt sind, bleibt abzuwarten.

Es hat sich bis in die Ministerien herumgesprochen, dass die Interessenabwägungen manchmal schwierig zu handhaben sind. Daher sollen in dem Gesetz Kriterien aufgeführt werden, wann eine Datenverarbeitung erforderlich ist.

Für Einwilligungen im Beschäftigtenverhältnis sollen beispielhafte Auflistungen konkreter Anwendungsfälle unter Berücksichtigung der Rechtsprechung die Rechtsanwendung erleichtern. Als Beispiel einer möglichen Einwilligung wird das Foto im Intranet angeführt. Für Bewerber sollen besonders strenge Regeln gelten, wenn es um mögliche Einwilligungen geht.

Auch bei der konzerninternen Datenübermittlung sollen praxisrelevante Fallgruppen für Rechtsklarheit sorgen, um auch bürokratische Hürden zu senken. Dass die konzerninterne Datenübermittlung erleichtert werden soll, stellt schon der Erwägungsgrund 48 der DGSVO fest.

Ausgehend von den bereits geregelten Betroffenenrechten in der DSGVO (Art. 15 ff.) sollen diese Rechte konkretisiert und ergänzt werden, wenn es um Besonderheiten im Beschäftigungsverhältnis geht. Was genau damit gemeint ist, ist unklar. Qualitativ neue Rechte sollen dies wohl nicht sein. Außerdem soll geprüft werden, ob es prozessuale Verwertungsverbote geben soll, wenn Daten unzulässigerweise erhoben worden sind.

Für den Fall, dass Beschäftigte private Laptops oder Smartphones auch dienstlich einsetzen (BYOD), soll für die Praxis mehr Rechtsklarheit geschaffen werden, um der Gefahr des Zugriffs auf private Daten zu begegnen.

Zuletzt machen es sich die Ministerien zur Aufgabe, im Hinblick auf die Digitalisierung zu prüfen, ob das Betriebsverfassungsrecht weiter modernisiert werden muss. Auch soll geprüft werden, ob Klarstellungen und konkrete Regelungen zur Verwendung von Betriebsvereinbarungen bei der Datenverarbeitung notwendig sind.

Kein Sprint, sondern ein Marathon

Es ist nicht das erste Mal, dass eine Bundesregierung sich an diesem Thema versucht.

Zunächst stellte die Konferenz der Datenschutzbeauftragten im Jahre 1992 Grundsätze für ein Arbeitnehmerdatenschutzgesetz auf, nachdem sie bereits 1984 bereichsspezifische und präzise gesetzliche Bestimmungen zum Arbeitnehmerdatenschutz gefordert hatten.

Die wortgleiche Vorgängerregelung des § 26 BDSG, der § 32 BDSG-alt war 2009 als Platzhalter für ein Beschäftigtendatenschutzgesetz gedacht (BT.-Drs. 16/13657 S. 20 r. Sp.) und sollte allenfalls die erarbeiteten Grundsätze der Rechtsprechung zusammenfassen.

Zuletzt gab es 2010 ernsthafte Bemühungen, ein Beschäftigtendatenschutzgesetz im Parlament auf den Weg zu bringen (wir berichteten). Dabei ging es um Themen wie die Einwilligung im Arbeitsverhältnis, die Videoüberwachung, das Konzernprivileg oder den Einsatz von Ortungssystemen und biometrischen Verfahren. Die Bemühungen wurden im Gesetzgebungsverfahren dann aber begraben.

Die aktuelle Ampelkoalition vereinbarte in ihrem Koalitionsvertrag, Regelungen zum Beschäftigtendatenschutz zu schaffen, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.

Der EuGH als Geburtshelfer?

Neuen Schub hat dieses Thema durch die aktuelle EuGH-Rechtsprechung bekommen, wie eingangs bereits erwähnt. Der EuGH hat unlängst festgestellt, dass eine wortgleiche Regelung zu § 26 BDSG im hessischen Landesrecht keine spezifischere Vorschrift im Sinne des Art. 88 DSGVO sei (Urteil vom 30.03.2023, Az. C-34/21). Die Konsequenz könnte sein, dass diese Norm unanwendbar ist – Einzelheiten dazu finden Sie auch in unserem Blogbeitrag. Der Gesetzgeber wäre dann aufgerufen, diesen Mangel zu beheben.

Dornröschenschlaf nicht ausgeschlossen

Wie sich beim ersten Versuch vor zehn Jahren schon gezeigt hatte, können weitere Verzögerungen das Thema wieder in einen Dornröschenschlaf versetzen, wenn das Gesetz nicht innerhalb der Legislaturperiode beschlossen wird. Die derzeitige Ampelkoalition befindet sich jetzt fast am Ende der ersten Halbzeit ihres Schaffens. Mag sein, dass der Zeitdruck die Beteiligten noch einmal anspornt. Welche Mehrheiten nach der nächsten Bundestagswahl bestehen und welche Chancen das Thema dann hätte, wieder aufgegriffen zu werden, ist unklar. Ein realistisches Szenario ist, dass das Beschäftigtendatenschutzgesetz hinter den unendlichen Weiten des Horizonts wieder verschwindet, bevor es eines Tages in ähnlichem Gewand wieder zurückkehrt.

| | | , , , , , , , , ,