Geschrieben am 16.10.2024 von:
Julia Hohage
Legal Consultant | Diplom-Wirtschaftsjuristin (FH)
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 44
E-Mail senden
Die Notwendigkeit einer Neuregelung des Beschäftigtendatenschutzes ist unbestritten: So beschreibt zum Beispiel die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die bestehende Regelung im Beschäftigungskontext als „nicht hinreichend praktikabel, normenklar und sachgerecht“ und kritisiert, dass sie „weite Interpretationsspielräume eröffnet“ (aus der Entschließung vom 11. Mai 2023). Spätestens seit dem EuGH-Urteil vom 30. März 2023 (Az. C-34/21), über das wir im Beitrag „Prognosen und Trends 2024: Datenschutz“ ausführlich berichtet haben, besteht eine gewisse Rechtsunsicherheit in Bezug auf die Anwendbarkeit der nationalen Vorschriften. Nun haben das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) einen Referentenentwurf vorgelegt (BeschDG-E oder auch: Entwurf). Daher stellt sich die Frage: Schafft das neue Gesetz nun endlich Klarheit im Beschäftigtendatenschutz?
Zielsetzung des Gesetzesentwurfs
Zunächst fällt auf, dass das geplante Gesetz „Beschäftigtendatengesetz“ und nicht „Beschäftigtendatenschutzgesetz“ heißen soll. Geht es also gar nicht um den Beschäftigtendatenschutz? Doch, der Entwurf stellt in der Einleitung („A. Problem und Ziel“) klar, dass dieser „die seit Jahrzehnten diskutierte Schaffung eigenständiger Regelungen für den Beschäftigtendatenschutz verwirklicht“. Laut Überschrift geht es aber nicht nur darum, sondern um die „Stärkung eines fairen Umgangs mit Beschäftigtendaten und (…) mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt“. Als Zielsetzung wird unter anderem die Förderung einer innovativen und verantwortungsvollen Datennutzung genannt. Im Beschäftigungskontext bedeute dies, innovative Datennutzung mit einem starken Datenschutz für Beschäftigte zu verbinden.
Was steht drin?
Die vorgesehenen Regelungen zu den Grundlagen der Datenverarbeitung (bisher im Wesentlichen in § 26 BDSG zu finden) in Teil 1 (Allgemeiner Teil) sehen weitreichende Prüf- und Dokumentationspflichten vor – zum Beispiel die genaue Dokumentation des Verarbeitungszwecks (§ 3 Abs. 2 BeschDG-E) und eine ausführliche Erforderlichkeitsprüfung (§ 4 BeschDG-E). Auf den ersten Blick zu begrüßen ist die Konkretisierung in § 5 BeschDG-E, in welchen Fällen eine Einwilligung im Beschäftigungskontext die vorausgesetzte Freiwilligkeit erfüllt. Sowohl in § 9 als auch in § 10 wird auf KI-Systeme im Sinne des Art. 3 Nr. 1 KI-Verordnung Bezug genommen: So sieht der Entwurf besondere technische und organisatorische Maßnahmen sowie ein besonderes Auskunftsrecht beim Einsatz von KI-Systemen im Beschäftigungskontext vor. Im Widerspruch zur aktuellen Rechtsprechung des Bundesarbeitsgerichtes (BAG) dürfte das Verwertungsverbot in § 11 BeschDG-E stehen: Demnach dürfen datenschutzrechtswidrig verarbeitete Beschäftigtendaten grundsätzlich nicht in Gerichtsverfahren verwertet werden. Kritiker*innen befürchten, Datenschutz werde mit der Regelung in diesem Wortlaut möglicherweise zum „Tatenschutz“. Außerdem soll der Betriebsrat künftig ein Mitbestimmungsrecht bei der Bestellung und Abberufung des Datenschutzbeauftragten haben (§ 12 BeschDG-E).
In Teil 2 („Besonderer Teil“) geht der Gesetzesentwurf auf die „Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses“ ein (Kapitel 1). Mehr Klarheit im Vergleich zu den aktuellen gesetzlichen Regelungen schaffen in diesem Zusammenhang die vorgesehenen Paragrafen zur Eignungsfeststellung (§ 13 BeschDG-E), zum Fragerecht (§ 14 BEschDG-E) und zu Untersuchungen und Test (§ 16 BeschDG-E). Die Löschpflichten in § 17 entsprechen grundsätzlich der gängigen Praxis, sehen allerdings eine Löschung der Bewerbungsdaten bereits nach 3 Monaten vor – sofern kein Rechtsstreit absehbar oder anhängig ist. Derzeit akzeptieren die Aufsichtsbehörden in der Regel eine Aufbewahrungsfrist von bis zu 6 Monaten.
Die Regelungen zur Überwachung (§§18 ff. BeschDG-E) wären unter anderem bei der Risikobewertung von technischen Anlagen und Software-Anwendungen praktisch relevant. Außerdem sieht der Entwurf besondere Regelungen zur Videoüberwachung (§ 21 BeschDG-E), zur Ortung (§ 22) und ein Weiterverarbeitungsverbot zur Leistungskontrolle (§ 23 BeschDG-E) vor. Mit der ausführlichen Regelung des Profiling in § 24 BeschDG-E, das nicht bereits wegen § 22 DS-GVO ausgeschlossen ist (§ 24 Abs. 1 BeschDG-E), werden zusätzliche Voraussetzungen für die Zulässigkeit, eine Informationspflicht (§ 25 BeschDG-E), ein Auskunftsrecht (§26 BeschDG-E) und einen Anspruch auf Erklärung einer auf Profiling beruhenden Entscheidung (§ 27 BeschDG) geschaffen. Schließlich geht der Gesetzgeber in Kapitel 4 des 2. Teils auf die Datenverarbeitung zu Autorisierungs- und Authentifizierungszwecken (§ 28 BeschDG-E), das Betriebliche Eingliederungsmanagement (§ 29 BeschDG-E) und die Datenverarbeitung im Konzern (§ 30 BeschDG-E) ein.
Erstes Fazit
Grundsätzlich ist zu begrüßen, dass der Gesetzgeber (endlich) dem Bedarf nach einer eigenen gesetzlichen Grundlage für den Beschäftigtendatenschutz nachkommt. Dass in diesem Zusammenhang aktuelle Entwicklungen der Digitalisierung (Stichwort: Künstliche Intelligenz) berücksichtigt werden, liegt nahe. Wenig überraschend sorgen die neuen Mitbestimmungs-, Informations- und Auskunftsrechte sowie weitergehende Dokumentationspflichten für Kritik der Arbeitgeber, aber auch Datenschützer*innen und Arbeitsrechtler*innen sehen an diversen Stellen Anpassungsbedarf. Allerdings ist ohnehin fraglich, ob das Gesetz in dieser Legislaturperiode verabschiedet wird: Auch die Neuregelung der Arbeitszeiterfassung lässt noch immer auf sich warten, obwohl hierzu bereits im April 2023 ein Referentenentwurf zur Änderung des Arbeitszeitgesetzes vorlag. Wir halten dich jedenfalls über die weiteren Entwicklungen auf dem Laufenden!
Du hast Fragen zum Beschäftigtendatenschutz? Dann schreib eine Nachricht an contact@morgenstern-privacy.com, wir melden uns bei dir!