Bereits im September des vergangenen Jahres berichteten wir über die Datenstrategie der Bundesregierung und der diesbezüglichen Pläne für den Datenschutz. Hierunter befand sich auch ein neuer Anlauf zur Schaffung eines Beschäftigtendaten(schutz)gesetzes. Die Roadmap der Datenstrategie nannte zum damaligen Zeitpunkt als Ziel für ein solches Gesetz das vierte Quartal 2023. Seitdem war es um die Thematik wieder einmal ruhig geworden und kaum einer rechnete mit einer Umsetzung noch in dieser Legislaturperiode. Doch nun tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf.

Eckpunkte zum Referentenentwurf

Der Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) sowie des Bundesministeriums des Innern und Heimat (BMI) umfasst auf 84 Seiten insgesamt 30 Paragrafen, darunter allgemeine Regelungen zu Datenverarbeitungen, Rechtsgrundlagen und Betroffenenrechten, aber auch Normen für spezifische Verarbeitungssituationen wie Videoüberwachung, Ortung und betriebliches Eingliederungsmanagement. Aufgrund der Formulierung einiger Regelungen und bereits aufgekommener Diskussionen, ist davon auszugehen, dass der derzeit vorliegende Referentenentwurf vor einer Verabschiedung eine Reihe weiterer Anpassungen erfahren wird. Mit Blick auf die kommenden Bundestagswahlen im September 2025 bestehen für das vollständige Durchlaufen des Gesetzgebungsverfahrens für den Gesetzgeber jedoch ebenfalls keine üppigen zeitlichen Reserven. Die weitere Fortentwicklung des Entwurfs wird demnach mit Spannung zu verfolgen sein.

Voraussichtlicher Anwendungsbereich

Mit Blick auf den in § 1 des Referentenentwurfs geregelten Anwendungsbereichs ist festzustellen, dass dieser Parallelen zum Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) aufweist. In der Praxis gelten die Regelungen des Beschäftigtendatengesetzes dann somit für öffentliche Stellen des Bundes (§ 2 Abs. 1, 3 BDSG) und nichtöffentliche Stellen (zum Beispiel Unternehmen oder Vereine, § 2 Abs. 4, 5 BDSG). Für öffentliche Stellen des Landes werden dann hinsichtlich des Beschäftigtendatenschutzes weiterhin etwaige landesspezifische Regelungen, wie sie beispielsweise im Freistaat Sachsen in § 11 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) zu finden sind, Anwendung finden.

Wesentliche Inhalte

Im Rahmen eines kurzen Überblicks werden die – aus unserer Sicht – wesentlichen Inhalte kurz dargestellt und datenschutzrechtlich eingeordnet:

• Begriffsbestimmungen: Die Definition von Beschäftigten wurde im Wesentlichen aus § 26 Abs. 8 BDSG entnommen. Neu ist, dass ebenfalls Praktikanten und Praktikantinnen explizit als Beschäftigte aufgeführt werden. Ergänzt wurde ebenfalls eine Definition des Begriffs Arbeitgeber, wobei auf Grundlage der derzeitigen Formulierungen noch unklar ist, ob diese tatsächlich für ein Mehr an Rechtssicherheit sorgen wird. Hinsichtlich der Definitionen von KI-Systemen und besonderen Kategorien personenbezogener Daten wird auf die KI-Verordnung beziehungsweise auf Art. 9 Abs. 1 DS-GVO verwiesen.

• Prüfung der Erforderlichkeit: Aus § 4 ergibt sich im Allgemeinen welche Kriterien bei der vorangehenden Prüfung der Erforderlichkeit einer Verarbeitung von Beschäftigtendaten anzulegen sind. Hierbei lassen sich Parallelen zu dem bisherigen § 26 BDSG und der einschlägigen Rechtsprechung, aber auch zu Art. 6 Abs. 1 DS-GVO und dem generellen risikobasierten Ansatz finden, welche jedoch nun wesentlich spezifischer ausgeführt werden. Aus Sicht der Verantwortlichen zu kritisieren ist in diesem Kontext sicherlich der steigende Dokumentationsaufwand zur Darlegung der durchgeführten Erforderlichkeitsprüfungen.

• Einwilligung: Auch wenn in Bezug auf die Verarbeitung von Beschäftigtendaten auf Rechtsgrundlage einer Einwilligung eine Reihe von Anforderungen dargelegt werden, wirft die aktuelle Regelung des § 5 auch neue Fragestellungen auf. So stellt § 5 Abs. 2 Nr. 2 lit. a) des Referentenentwurfs beispielsweise dar, dass eine freiwillige Einwilligung im laufenden Beschäftigtenverhältnis für die Nutzung von Fotos im Intranet erteilt werden kann. Unklar ist hierbei, ob eine Freiwilligkeit für Veröffentlichungen im Internet grundsätzlich nicht anzunehmen ist oder im Rahmen einer beispielhaften Aufzählung dieser Anwendungsfall lediglich nicht als darstellungswürdig erachtet wurde.

• Betroffenenrechte: Im Rahmen von § 10 des Referentenentwurfs erfolgt die Einführung eines ergänzenden datenschutzrechtlichen Betroffenenrechts: Beruht die Verarbeitung von Beschäftigtendaten auf den Regelungen des neuen Gesetzes und wird diese auf ein berechtigtes betriebliches oder dienstliches Interesse gestützt, ist der Arbeitgeber auf Verlangen des Arbeitnehmers dazu verpflichtet, die Abwägung der entgegenstehenden Interessen in verständlicher Weise darzulegen. Die Beschäftigten sind im Rahmen der datenschutzrechtlichen Informationspflichten über das Bestehen dieses ergänzenden Rechts hinzuweisen. Auch bei einem Einsatz von KI-Systemen gelten ergänzende Auskunftsrechte gegenüber Beschäftigten.

• Ergänzende Mitbestimmungsrechte des Betriebsrates: Zu Teilen als negatives Highlight des Referentenentwurfs wird die Regelung in § 12 gesehen. Dieser regelt ein Mitbestimmungsrecht des Betriebsrates bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten. Käme hierbei eine Einigung nicht zustande, so entscheidet eine Einigungsstelle nach § 76 des Betriebsverfassungsgesetzes. Unbeschadet der hierzu aufkommenden Diskussion, ob eine solche Regelung überhaupt europarechtskonform wäre, darf stark angezweifelt werden, dass diese Regelung die Abstimmungen in Bundestag und Bundesrat überstehen und somit letzten Endes im Gesetz stehen wird.

• Bewerbungsverfahren: Im Rahmen eines gesonderten Kapitels zur Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses stellt der Gesetzgeber klar, in welchem Rahmen personenbezogene Daten von Bewerbenden verarbeitet werden dürfen. Auch wenn sich innerhalb dieses Kapitels aufgrund der Aufnahme (arbeits-)gerichtlich hergeleiteter Grundsätze kaum Überraschungen ergeben, dürften die hierin angeführten Normen in der Praxis überwiegend für mehr Rechtssicherheit sorgen. Ganz nebenbei stellt § 17 des Referentenentwurfs klar, dass personenbezogene Daten von Bewerbenden spätestens drei Monate nach Absage zu löschen sind. In der datenschutzrechtlichen Praxis bestand bislang Uneinigkeit, ob eine solche Löschung aufgrund der Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) bereits nach drei oder erst nach sechs Monaten zu erfolgen hat.

• Betriebliches Eingliederungsmanagement: Weniger gelungen scheint wiederrum die Regelung des § 29 zum betrieblichen Eingliederungsmanagement. Gemäß § 29 Abs. 1 ist die Verarbeitung von Beschäftigten zur Erfüllung der gesetzlichen Anforderungen aus § 167 Abs. 2 des neunten Buches des Sozialgesetzbuches (SGB IX) sowie zur Erfüllung kollektivrechtlich vereinbarter Pflichten zulässig, soweit die Interessen des Arbeitgebers an einer Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen. Etwas, das zunächst nach Durchführung einer Interessenabwägung klingt (vgl. §§ 4, 10 Ref-E, Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), wird durch § 29 Abs. 2 torpediert, wonach eine ausdrückliche Einwilligung der betroffenen Beschäftigten vorausgesetzt wird. Was den Gesetzgeber zu dieser Regelung führt, ist unklar, insbesondere nachdem das Bundesarbeitsgericht (BAG) erst im Dezember 2022 klarstellte, dass die Durchführung eines betrieblichen Eingliederungsmanagements keine datenschutzrechtliche Einwilligung voraussetze (Urt. v. 15.12.2022, Az. 2 AZR 162/22).

Fazit

Der erste Referentenentwurf ist ein erster Schritt in Richtung Beschäftigtendaten(schutz)gesetz, bis zu einer endgültigen Verabschiedung dürften jedoch noch eine Reihe von Änderungen zu erwarten sein. Das avisierte Ziel zur Schaffung von einem Mehr an Rechtssicherheit kann dem gegenwärtigen Referentenentwurf jedoch nicht vollständig attestiert werden. Weiterhin scheinen einige der vorliegenden Regelungen im Widerspruch zu den sonstigen Vorhaben der Bundesregierung zur Entbürokratisierung zu stehen. Das weitere Gesetzgebungsverfahren wird demnach mit Spannung zu verfolgen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In meinem letzten Beitrag habe ich gezeigt, dass der Gesetzgeber von uns in den absurdesten Verarbeitungssituationen umfangreichste Datenschutzinformationen verlangt. Der heutige Beitrag widmet sich der Frage, wie die betriebliche Praxis damit umgehen kann. Denn inner- und außerbetrieblich werden diverse Datenmengen verarbeitet. Beispielsweise werden Kontaktinformationen auf Internetseiten bereitgestellt, elektronische Signaturen erstellt, Kalender, Allergielisten und Fahrtenbücher geführt und wir bestellen neue Büroklammern bei Amazon. Aufgrund der Vielzahl von Verarbeitungstätigkeiten bilden Betriebe, die den vollständigen Überblick über all ihre Tätigkeiten haben, die absolute Ausnahme. Dementsprechend groß ist die Herausforderung, über alle Datenverarbeitungen transparent und nachvollziehbar zu informieren.

Eine allgemeine Datenschutzinformation

Einen guten Lösungsansatz bildet eine allgemeine Datenschutzinformation, die über die alltäglichen Verarbeitungen informiert, aber schnell in dem Transparenzgrundsatz ihre Grenzen finden kann. Schließlich werden nicht alle Beschäftigten mit denselben Verarbeitungssituationen konfrontiert, sodass es kaum möglich sein wird, alle Beschäftigten gemeinsam und umfassend über alle Verarbeitungssituationen zu informieren. Dennoch empfiehlt sich eine allgemeine Information beispielsweise bezüglich alltäglicher Büroanwendungen und Rechnungsdaten zu erteilen.

Dabei wird die Herausforderung zum einen darin liegen, ausreichend transparente Informationen zur Verfügung zu stellen, die aber zum anderen so generell gehalten sind, dass ausreichend Verarbeitungsvorgänge abgebildet werden. Darüber hinaus gilt es einen Prozess zu gestalten, der alle Beschäftigten – auch jene die bereits seit 30 Jahren im Betrieb arbeiten – erreicht und Veränderungen der Information zulässt. Beispielsweise könnten die allgemeinen Informationen im Rahmen einer jährlichen Datenschutzschulung besprochen werden.

Die spezielle Datenschutzinformation

Neben der allgemeinen Information wird man es nicht vermeiden können, über einige Prozesse einzeln zu informieren. Wenn beispielweise eine Beschäftigte auf der Internetseite abgebildet werden soll, wäre es wohl stets intransparent auf diese Information zu verzichten. In diesen Fällen sollte man sich von Verarbeitungstätigkeit zu Verarbeitungstätigkeit überlegen, wie eine transparente und sinnvolle Information gestaltet werden kann. Die Überlegungen könnten sich dabei gut entlang des Verzeichnisses für Verarbeitungstätigkeiten orientieren.

Die Ausnahme des Art. 13 Abs. 4 DS-GVO

Grundsätzlich kann auch überlegt werden, ob von einer Information gänzlich abgesehen werden kann. Die Rechtsgrundlage hierfür bildet Art. 13 Abs. 4 DS-GVO, welche besagt, dass wer bereits Kenntnis vom Informationsinhalt hat, hierüber nicht informiert werden muss. Exemplarisch soll das Fahrtenbuch in einer Steuerkanzlei herhalten, um zu zeigen, auf wie viele Informationen verzichtet werden könnten. Denn in einer Steuerkanzlei wissen die Beschäftigen, dass das Führen eines Fahrtenbuchs steuerliche Gründe hat, kennen somit sowohl den Verarbeitungszweck, als auch das Finanzamt als Datenempfänger. Außerdem kann man einem Steuerberater zumuten, dass er weiß, dass sein Arbeitsvertrag (und die Pflicht gegenüber dem Finanzamt) die Rechtsgrundlage für die Verarbeitung bildet. Somit ließe sich wohl durchaus vertreten, von einer Information nach Art. 13 Abs. 1 DS-GVO abzusehen.

Allerdings müsste wohl dennoch nach Art. 13 Abs. 2 über die Löschfristen und die Betroffenenrechte (dazu gleich) informiert werden. Hier liegt ein Problem, welches auch im Rahmen der allgemeinen Datenschutzinformation schnell auftreten kann. Wer also den rechtssicheren Weg gehen will, wird wohl nie gänzlich auf eine Information verzichten können.

Betroffenenrechte

An dieser Stelle sei wieder einmal die Absurdität der Informationspflicht über Betroffenenrechte aufgezeigt, Art. 13 Abs. 2 lit. b), d) DS-GVO. Sollte keine allgemeine Datenschutzinformation bestehen und über jede Verarbeitungstätigkeit einzeln informiert werden, könnte man sich fragen, wann der Zeitpunkt eintritt, ab dem die Beschäftigen ihre Betroffenenrechte kennen und dementsprechend auf die Information verzichtet werden kann. Wer vertritt, es gebe diesen Zeitpunkt, könnte allerdings mit ähnlichem Argument vertreten, dass ein Beschäftigter seine Betroffenenrechte kenne, weil er sich bei Facebook angemeldet hat (und hierbei nachweislich informiert worden ist). Die allgemeine Datenschutzinformation vermag die Frage, ob in spezielleren Datenschutzinformationen auf die Informationen über Betroffenenrechte verzichtet werden kann, auch nicht abschließend beantworten, da hiergegen dieselben Argumente wie oben anzuführen wären.

Das Problem lässt sich am sinnvollsten lösen, indem man die Betroffenenrechte bei Beschäftigtenschulungen bespricht. Denn gut geschulte Beschäftigte kennen die Betroffenenrechte und müssen hierüber nicht mehr darüber informiert werden. Dasselbe gilt für Vertiefungswissen zur allgemeinen Information.

Praktische Empfehlungen

Wie genau eine allgemeine Information aussehen sollte, unterscheidet sich bezüglich der betrieblichen Anforderungen und der Adressaten. Allerdings ist zu empfehlen, diese zu erstellen und regelmäßig zu überprüfen. Zudem sollte sie allen Beschäftigen bereits bei Dienstantritt vorgelegt werden und ein Prozess eingeführt werden, der die Information aktuell hält. Außerdem sollte gewährleistet werden, dass stets alle Beschäftigten korrekt informiert sind. Hierfür können sich Schulungen gut anbieten.

Daneben sollte die Informationspflicht beim Führen des Verzeichnisses für Verarbeitungstätigkeiten direkt mitgedacht werden. Gemäß Art. 24 Abs. 1 DS-GVO gilt es hierbei (auch) bezüglich des Nachweises über die Information einen risikobasierten Ansatz zu fahren. Dementsprechend gilt es, sich mehr Gedanken über die Informationspflicht (und dessen Nachweis) zu machen, je größer die Risiken für die Rechte und Freiheiten der Beschäftigen sind.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jüngst hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu. Der nachfolgende Beitrag stellt die Hintergründe des Urteils dar.

Zum Sachverhalt

Im vorliegenden Fall handelte es sich um eine Bewerbung auf die ausgeschriebene Stelle für eine:n Volljurist:in im öffentlichen Dienst. Gegen den Bewerber lag eine nicht-rechtskräftige Verurteilung wegen gewerbsmäßigen Betrugs zu einer Freiheitsstrafe von einem Jahr und vier Monaten auf Bewährung vor. Der Vorwurf lautete, der Bewerber habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen zu veranlassen.

Auf Grundlage eines konkreten Verdachts – der zuständige Personaldezernent konnte sich an ein Urteil im Zusammenhang mit dem Namen des Bewerbers erinnern – führte die öffentliche Stelle eine Google-Recherche zum Bewerber durch und stieß hierbei auf einen Wikipedia-Artikel zur Person des Bewerbers, welcher ebenfalls Darstellungen zur nicht-rechtskräftigen Verurteilung enthielt. Die öffentliche Stelle bezog die über die Google-Recherche erlangten Informationen in das Auswahlverfahren ein und lehnte den Bewerber letztendlich ab.

Der erfolglose Bewerber legte hiergegen mit der Begründung Klage ein, die Google-Recherche sowie die Verarbeitung der hieraus gewonnenen personenbezogenen Daten sei datenschutzrechtlich unzulässig gewesen und zudem sei er nicht über diese Verarbeitung seiner personenbezogenen Daten informiert worden.

Zum Urteil

Auf Grundlage des vorliegenden Sachverhaltes führte das LAG Düsseldorf in seinem Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) zunächst aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. Als Rechtsgrundlage komme hierfür Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO in Betracht, wonach eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn diese zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Ein Bewerbungsverfahren kann grundsätzlich eine vorvertragliche Maßnahme darstellen, wobei in der Bewerbung die Anfrage der betroffenen Person zu sehen ist.

Das Gericht stellte zudem fest, dass eine bestehende Vorstrafe einer Eignung im Sinne des Art. 33 Abs. 2 Grundgesetz (Eignung zum öffentlichen Amt) für die betreffende Stelle entgegenstehen kann. Aufgrund des Zusammenhangs zwischen der nicht-rechtskräftigen Verurteilung des Bewerbers und der konkreten Stellenausschreibung, sah das Gericht die fehlende Geeignetheit des Bewerbers als gegeben an. Dementsprechend war auch die Durchführung der Google-Recherche nach Ansicht des Gerichts zulässig: Die öffentliche Stelle ging einem konkreten Verdacht nach, der an der Eignung des Bewerbers zweifeln ließ. Die Recherche diente demnach dem Zweck, die Eignung des Bewerbers zu beurteilen.

Inwieweit die Durchführung einer Google-Recherche ohne konkreten Verdacht zulässig gewesen wäre, ließ das Gericht offen. Aufgrund der in diesem Fall wohl zu verneinenden Erforderlichkeit der Datenverarbeitung, wäre die Zulässigkeit in derartigen Fällen wohl eher anzuzweifeln.

Weiterhin stellte das LAG Düsseldorf jedoch fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Zwar wurde dem Bewerber im Rahmen des Bewerbungsgespräches offengelegt, dass der betreffende Wikipedia-Artikel gesichtet worden sei, es fehlte jedoch an einer Darstellung, welche konkreten personenbezogenen Daten aus diesem Artikel im Rahmen des Bewerbungsverfahrens verarbeitet wurden. Hierin sah das Gericht einen erheblichen Kontrollverlust seitens des Bewerbers, der gemäß Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadenersatz, in diesem konkreten Fall in Höhe von 1.000 Euro auslöste.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die französische Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat, wie nun bekannt wurde, bereits im Dezember 2023 gegen das Unternehmen Amazon France Logistique ein Bußgeld in Höhe von 32 Millionen Euro verhängt. Hintergrund sei die exzessive und teilweise sekundengenaue Überwachung beschäftigter Personen. Nach Angaben des französischen Amazon-Unternehmens sei diese Praxis „branchenüblich“ und „notwendig, um die Sicherheit, Qualität und Effizienz der Abläufe zu gewährleisten.“ (F.A.Z.) Vielen dürfte diese Diskussion bereits aus einem Urteil des Verwaltungsgerichtes Hannover von Februar 2023 bekannt vorkommen.

Hintergrund

Die Beschäftigten des französischen Amazon-Logistikunternehmens dokumentieren mithilfe von Handscannern in Echtzeit die Erfüllung der ihnen übertragenen Aufgaben. Dies umfasst beispielsweise die Einlagerung, die Entnahme sowie das Verpacken und Versenden von Artikeln. Hierbei erfasst das Unternehmen verschiedenste Kennzahlen, die Rückschlüsse auf die Arbeitsweise der einzelnen Beschäftigten ermöglichen. Neben den Faktoren Qualität und Produktivität, prüft das Amazon-Unternehmen ebenfalls die Inaktivitätszeiten. In diesem Zusammenhang geben die Handscanner beispielsweise Warnungen aus, wenn Artikel in zu großer Geschwindigkeit gescannt oder zu häufig und zu lange Unterbrechungen registriert werden. Aufgrund einiger Beschwerden von Beschäftigten sowie einschlägiger Presseartikel führte die CNIL Kontrollen durch.

Nach Ansicht der Aufsichtsbehörde ist das System unverhältnismäßig und mithin rechtswidrig. Die Art und Weise der Beschäftigtenüberwachung setze die Personen einem ständigen Druck aus, insbesondere wenn die Beschäftigten in die Lage gerieten, jede Arbeitsunterbrechung rechtfertigen zu müssen.

Prüfung durch die Aufsichtsbehörde

Im Rahmen der Prüfung durch die französische Datenschutz-Aufsichtsbehörde wurden eine Reihe verschiedener Verstöße gegen die Datenschutz-Grundverordnung festgestellt:

• Verstoß gegen den Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c) DS-GVO: Für die Organisation und Koordinierung von Arbeitsaufgaben sowie für die Schulung der Beschäftigten sei eine derartig umfangreiche Verarbeitung der Qualitäts- und Produktivitätsindikatoren auf Basis des Arbeitsverhaltens des jeweils letzten Monats nicht erforderlich. Die Aufsichtsbehörde ist der Ansicht, eine Auswahl aggregierter Informationen auf wöchentlicher Basis seien hierfür ausreichend.

• Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung, Art. 6 Abs. 1 DS-GVO: Von den verwendeten Qualitäts- und Produktivitätsindikatoren seien insbesondere drei Indikatoren unrechtmäßig verarbeitet worden. Dies betrifft die Indikatoren bezüglich zu schnelles Scannen (Zeitspanne von weniger als 1,25 Sekunden zwischen zwei Artikeln), die Leerlaufzeit (keine Nutzung des Scanners innerhalb von zehn Minuten) sowie die Erfassung sonstiger Unterbrechungen (Unterbrechungszeiten zwischen einer und zehn Minuten).
  
  Die Aufsichtsbehörde stellte hierbei fest, dass die Datenverarbeitungen nicht auf ein berechtigtes Interesse zu stützen seien, da die bemängelten Indikatoren zu einer übermäßigen Überwachung führten. Dies zeige bereits die zum Teil sekundengenaue Erfassung der Tätigkeiten. Weiterhin bestünden bereits zahlreiche weitere aggregierte Indikatoren, welche das Unternehmen zur Qualitätssicherung und zur Umsetzung von Sicherheitsaspekten nutze.
  
• Verstoß gegen die Verpflichtung zur Bereitstellung transparenter Datenschutzinformationen, Art. 13 DS-GVO: Hinsichtlich des ebenfalls eingesetzten Videoüberwachungssystems wurden weder Beschäftigte noch Externe über die Datenverarbeitungen informiert.

• Verstoß gegen die Gewährleistung der Sicherheit der Verarbeitung, Art. 32 DS-GVO: Ebenfalls im Zusammenhang mit der Videoüberwachungsanlage stellte die Datenschutz-Aufsichtsbehörde fest, dass bestehende Zugriffsmöglichkeiten unzureichend abgesichert wurden. So seien ungeeignete Passwörter genutzt sowie Nutzungskonten durch mehrere Personen verwendet worden. Hierdurch sei es nicht möglich gewesen, etwaige (unrechtmäßige) Zugriffe auf die Videoüberwachungsanlage nachzuvollziehen.

Auch wenn ein Bußgeld in Höhe von 32 Millionen Euro zunächst vergleichsweise beträchtlich wirkt, kommt dieses bei einem Amazon-Konzernumsatz von 514 Milliarden US-Dollar im Jahr 2022 nicht einmal ansatzweise an die möglichen vier Prozent des Jahresumsatzes, die Art. 83 Absatz 5 DS-GVO als Höchstgrenze vorsieht. Das Amazon-Unternehmen kündigte bereits an, gegen den Bescheid der Aufsichtsbehörde vorzugehen, schließlich seien die bemängelten Datenverarbeitungen branchenüblich und notwendig.

Beschäftigtenüberwachung und das Verwaltungsgericht Hannover

Bereits im Februar 2023 befasste sich das Verwaltungsgericht Hannover mit einer vergleichbaren Datenverarbeitung durch die Amazon Logistik Winsen GmbH. Anders als die französische Datenschutz-Aufsichtsbehörde befand das Gericht die Datenverarbeitungen – auch zum Unverständnis Vieler – für zulässig (Urt. v. 9.2.2023, Az. 10 A 6199/20). Dem Urteil vorangegangen war eine Besichtigung am betroffenen Logistikstandort.

Ursprünglich hatte die niedersächsische Datenschutz-Aufsichtsbehörde dem betreffenden Unternehmen untersagt, eine zum französischen Sachverhalt vergleichbare Datenverarbeitung durchzuführen. Hiergegen wehrte sich das deutsche Amazon-Unternehmen und reichte beim Verwaltungsgericht Hannover Klage ein. Dieses stellte nach einem Vor-Ort-Termin sowie nach Gesprächen mit dem damaligen und einem ehemaligen Betriebsratsvorsitzenden fest, dass die Datenverarbeitung für die Erreichung der dargestellten Zwecke erforderlich sei. Zudem würden die Interessen des Unternehmens etwaig entgegenstehenden Rechten und Freiheiten der Beschäftigten überwiegen, insbesondere da die Datenverarbeitung nicht heimlich geschehe. Ferner konnte durch das Gericht keine Verhaltenskontrolle festgestellt werden. Vielmehr würden die Datenverarbeitungen der Steuerung der Logistikabläufe dienen. Die Beschäftigten würden sogar die Möglichkeit eines objektiven Feedbacks schätzen.

Die Rechtsauffassung des Gerichts steht damit scheinbar im Widerspruch zur bisherigen Rechtsprechung des Bundearbeitsgerichts, welches Maßnahmen, die Beschäftigte einem permanentem Überwachungsdruck aussetzen, als rechtswidrig einstuft (Urt. v. 27.7.2017, Az. 2 AZR 681/16). Spannend bleibt, wie ein mögliches Gerichtsverfahren im Fall der Amazon France Logistique ausgehen wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesministerium des Innern und für Heimat (BMI) und das Bundesministerium für Arbeit und Soziales (BMAS) veröffentlichten im April ein Eckpunktepapier mit Vorschlägen zur Überarbeitung des derzeit geltenden Beschäftigtendatenschutzes. Anlass dafür ist unter anderem die stetig zunehmende Digitalisierung, die natürlich am Arbeitsplatz nicht endet. Neue Technologien und Softwares führen zur stetig anwachsenden Verarbeitung personenbezogener Daten von Beschäftigten. Diese Änderungen stellen Unternehmen regelmäßig vor immer größeren datenschutzrechtlichen Unsicherheiten.

Weiterer Anlass für ein neues Beschäftigtendatenschutzgesetz ist die Feststellung der Europarechtswidrigkeit des § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) durch den Europäischen Gerichtshof in seinem Urteil vom 30. März 2023 (C-34/21). Durch den nahezu identischen Wortlaut der zentralen Norm des § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG besteht Grund zur Annahme, dass diese ebenso europarechtswidrig ist. Für mehr Informationen zu diesem Thema verweisen wir auf unseren Beitrag vom 15. Mai 2023. Der folgende Beitrag soll kurz den Inhalt des angesprochenen Eckpunktepapiers vorstellen.

Inhalte des Eckpunktepapiers

Erweiterung des Beschäftigtenbegriffs: Das Eckpunktepapier enthält den Vorschlag, dass auch soloselbständige Plattformtätige in den Anwendungsbereich des Beschäftigtendatenschutzgesetz aufgenommen werden. Gemäß des Eckpunktepapiers sind diese Personen aufgrund der besonderen Strukturen und Geschäftsmodelle in der Plattformökonomie auch hinsichtlich der Verarbeitung ihrer personenbezogenen Daten den Arbeitnehmer:innen in ähnlicher Weise schutzbedürftig.

Überwachung von Beschäftigten: Die dauerhafte Überwachung von Arbeitnehmer:innen soll demnach ausschließlich in Ausnahmefällen erfolgen. Auf keinen Fall dürfen die Materialien zur Bewertung und Ermittlung der Leistung der Beschäftigten genutzt werden. Ähnlich verhält es sich auch bei der verdeckten Überwachung. Eine verdeckte Überwachung wäre demnach nur als ultima ratio zulässig, wenn es keine weniger in die Grundrechte der Beschäftigten eingreifende Alternative besteht, eine Straftat im Betrieb aufzudecken. Weiterhin soll es für eine offene Überwachung klare Bedingungen geben.

Einsatz von künstlicher Intelligenz: Das Eckpunktepapier thematisiert auch den Einsatz von künstlicher Intelligenz (KI). Von besonderer Relevanz könnte hierbei der Einsatz von KI im Bewerbungsverfahren sein. KI kann allerdings auch für viele andere Aufgaben eingesetzt werden, wie zum Beispiel die Erstellung von Leistungsprofilen oder gar Zukunftsprognosen von Beschäftigten. Hier soll Transparenz geschaffen werden.

Fragerecht: Laut des Eckpunktepapiers sollen Informationen zur Qualifikation direkt von Bewerber:innen erfragt werden. Das Fragerecht der Arbeitgeber soll zudem ausdrücklich geregelt sein. Hierzu ergeben sich jedoch keine Neuerungen, da auf die Rechtsprechung zum Fragerecht in Bewerbungsverfahren verwiesen wird.

Sensible Daten: Durch die Bildung typischer Fallgruppen bei der Verarbeitung besonders sensibler Daten wie beispielsweise Gesundheitsdaten, soll aufgezeigt werden, wann bzw. in welchen Ausnahmefällen der Arbeitgeber sensible Daten der Beschäftigten verarbeiten darf.

Interessenabwägung: Der Gesetzgeber soll konkrete Kriterien für eine Interessenabwägung einführen, für Datenverarbeitungen, die eine solche Abwägung erfordern.

Einwilligung: Einwilligungen von Beschäftigten sind häufig ein komplexes Thema in Unternehmen. Einwilligungen im Beschäftigtenverhältnis sollen eindeutig freiwillig erfolgen. Ebendiese Freiwilligkeit ist in der Praxis problematisch, da sie aufgrund des Abhängigkeitsverhältnisses häufig angezweifelt wird. Laut des Eckpunktepapiers soll der Gesetzgeber konkrete Anwendungsfälle auflisten, um die Umsetzung wirksamer Einwilligungen von Beschäftigten zu erleichtern.

Konzerninterne Datenübermittlung: Konkrete Regelungen sollen in Zukunft Rechtssicherheit bei der Übermittlung personenbezogener Daten von Beschäftigten innerhalb eines Konzerns bringen. Die Übermittlung der Daten soll dadurch deutlich vereinfacht werden, ohne jedoch den Schutz der betroffenen Personen zu schmälern.

Betroffenenrechte: Im Eckpunktepapier werden auch die Betroffenenrechte angesprochen. Auch wenn diese bereits in der DS-GVO geregelt sind, bedürfen die Betroffenenrechte im Beschäftigungsverhältnis einer Konkretisierung. Was damit jedoch genau gemeint ist, wird aus dem Papier nicht ersichtlich. Weiterhin soll in Fällen von unzulässiger Datenerhebungen die Notwendigkeit prozessualer Verwertungsverbote geprüft werden.

BYOD-Regelungen: Als Reaktion auf den zunehmenden Trend, private Endgeräte betrieblich zu nutzen, soll mehr Rechtssicherheit bei der Verwendung privater Endgeräte geschaffen werden.

Prüfung des Betriebsverfassungsrechts: Die Ministerien wollen im letzten Schritt die Modernisierungsbedürftigkeit des Betriebsverfassungsrechts zu prüfen. Hierzu gehört auch die Prüfung, ob Kollektivvereinbarungen als Regelungen für die Verarbeitung von Beschäftigtendaten Klarstellungen bedürfen.

Fazit

Dass die Ministerien nun Vorschläge zur Gestaltung des Beschäftigtendatenschutzes gemacht haben, ist zunächst positiv hervorzuheben. Insbesondere im Beschäftigtendatenschutz bestehen derzeit viele Punkte, die sowohl in der Rechtsprechung als auch in der Literatur umstritten sind. Die Ministerien haben diese bei der Erstellung des Papiers eindeutig berücksichtigt und sich zum Ziel genommen, gerade für die problematischen Themen eine praxisorientierte Lösung herauszuarbeiten und rechtliche Unsicherheiten zu klären.

Allerdings bemüht sich die Bundesregierung nun seit mehreren Jahrzenten zur Schaffung eines konkreten Beschäftigtendatenschutzgesetzes. Nach zahlreichen Bemühungen in der Vergangenheit sind bislang kaum Fortschritte zu verzeichnen. Aus diesem Grund sollte auch jetzt nicht allzu viel Hoffnung auf einen neuen Beschäftigtendatenschutz gesetzt werden. Die Roadmap der Datenstrategie der Bundesregierung nennt nun allerdings das 4. Quartal 2023 als zeitliches Ziel für das Beschäftigtendatenschutzgesetz.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Datenschutz bei Betriebsrat und Personlrat. Das Thema ist in der täglichen Beratung immer wieder relevant; wir hatten dazu im vergangenen Jahr schon berichtet. Inzwischen liegen damals erwartete Entscheidungen des Europäischen Gerichtshofs vor und – vor allem – etwas überraschende Äußerungen des Bundesarbeitsgerichts. Anlass genug, den aktuellen Stand noch einmal zusammenzufassen:

So Viel ist sicher: Betriebs- und Personalräte sind keine eigenen verantwortlichen Stellen

Beim DS-GVO-Start wurde noch heftig gestritten, ob Beschäftigtenvertretungen (Betriebsräte, Personalräte, Mitarbeitervertretungen kirchlicher Einrichtungen) als eigene verantwortliche Stellen anzusehen sind. Dafür ist nach Art. 4 Nr. 7 DS-GVO wichtig, ob sie selbst über „Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“. Mittlerweile besteht Einigkeit, auch unter den Aufsichtsbehörden: Verantwortliche Stelle ist die jeweilige Behörde, das Unternehmen, … . Begründet wird dies damit, dass die Beschäftigtenvertretungen nicht selbständig über Zweck und Mittel der Datenverarbeitung bestimmen können, sondern insbesondere die Verarbeitungszwecke gesetzlich vorgegeben sind. Der Bundesgesetzgeber hat das vorsichtshalber für den Betriebsrat in § 79a Satz 2 BetrVG ausdrücklich festgehalten.

Ähnliches gilt für interne Datenschutzbeauftragte in Unternehmen und in Behörden. Auch bei ihnen begründet die fachliche Unabhängigkeit begründet keine Eigenständigkeit im Datenschutz als verantwortliche Stelle. Dies lässt sich auf Geldwäschebeauftragte, Strahlenschutzbeauftragte, … übertragen.

Ganz klar: Die Datenschutzbeauftragten überwachen auch die Datenverarbeitung der Beschäftigtenvertretung

Aus der datenschutzrechtlichen Zugehörigkeit ergibt sich, dass die Datenschutzbeauftragten der Einrichtung auch für die Datenverarbeitung der Beschäftigtenvertretung zuständig sind, also nach Art. 39 Abs. 1 lit. b) DS-GVO überwachen, ob die Datenschutzvorschriften eingehalten werden.

Bei der Überwachung der Datenverarbeitung des Betriebs-/Personalrats ist die Unabhängigkeit der Datenschutzbeauftragten von Weisungen des Arbeitgebers besonders wichtig. Ob, wann und wie Datenschutzbeauftragte die Datenverbindungen der Personalvertretung prüfen, kann vom Arbeitgeber nicht nachgewiesen werden. Bei ihrer Tätigkeit können und müssen die Datenschutzbeauftragten die besondere Situation und die Aufgaben der Beschäftigtenvertretung berücksichtigen (Interessenvertretung gegenüber dem Arbeitgeber). Auch hier taugt § 79a BetrVG als Merkzettel: „Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“

Wohl nur in Thüringen: Zusätzlich eigene Datenschutzbeauftragte für den Personalrat

Wahrscheinlich bundesweit einmalig regelt § 80 Abs. 1 S. 2 des Thüringer Personalvertretungsgesetzes, dass die Personalräte in Thüringen einen eigenen Datenschutzbeauftragten zu bestellen haben. Das darf im Einvernehmen mit der Dienststelle auch die/der behördliche Datenschutzbeauftragte sein – aus unserer Sicht absolut empfehlenswert. Diese Person soll für die Einhaltung des Datenschutzes in der Personalvertretung und in der Dienststelle sorgen. Macht nicht genau dasselbe schon die/der behördliche Beauftragte nach DS-GVO zwingend? Allerdings.

Es spricht viel dafür, dass die Vorschrift wegen Widersprüchlichkeit zur DS-GVO europarechtlich unzulässig ist. Ein Sinn ist jedenfalls nicht erkennbar. Vielleicht findet der Landesgesetzgeber bei Gelegenheit den Mut, die Regelung wieder zu streichen. Sind Ihnen ähnliche Normen für andere Bundesländer bekannt? Danke für Hinweise!

In der mittlerweile zwanzigjährigen Diskussion über ein Beschäftigtendatenschutzgesetz (wir berichteten) war ebenfalls hin und wieder die Idee aufgetaucht, einen gesonderten „Beschäftigtendatenschutzbeauftragten“ einzuführen (z.B. § 28 Abs. 1 Satz 1 und Abs. 2-5 des Entwurfes BÜNDNIS 90/DIE GRÜNEN vom 22.02.2011, Bundestagsdrucksache 17/4853, S. 12). Für den Datenschutz ist eine derartige Beauftragten-Häufung nicht sinnvoll. Sie verbraucht Ressourcen und schafft unter anderem die Gefahr, dass verschiedene Beauftragte unterschiedliche Auffassungen vertreten. Die Position der betrieblichen/behördlichen Beauftragten würde geschwächt.

Plötzlich nicht mehr möglich: Mitglied der Beschäftigtenvertretung zugleich Datenschutzbeauftragter?

Vor Inkrafttreten der DS-GVO hatte das Bundesarbeitsgericht (BAG) gleichzeitige Amtsausübung erlaubt (Urt. v. 13.3.2011, 10 AZR 562/99). Ein schädlicher, verbotener Interessengegensatz liege nicht vor. In neueren Fällen – aber immer noch „altes“ BDSG – wurde die Frage vom BAG dem EuGH vorgelegt und der erklärte (Urt. v. 9.2.2023, Rs. C-453/21 und C-560/21), dass Personalunion zwischen Betriebs-/Personalräten sowie Datenschutzbeauftragten jedenfalls nicht von vornherein verboten ist, sondern im Einzelfall und nach nationalem Recht geprüft werden muss, ob ein Interessengegensatz vorliegt.

Grünes Licht für das BAG, sollte man denken – die Linie aus dem Urteil 2011 kann beibehalten werden. Umso überraschender ist, dass das BAG in den beiden Fällen mit Urteilen vom 6.6.2023 (Az. 9 AZR 383/19 und Az. 9 AZR621/19 – wir berichteten) die Unvereinbarkeit der Funktionen angenommen hat. Die Urteilsbegründungen liegen noch nicht vor. Klar ist aber: Der jetzt entscheidende neunte Senat des BAG entfernt sich vom oben genannten Urteil des zehnten Senats aus dem Jahr 2011. In der Pressemitteilung zum Verfahren 383/19 heißt es: „Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.“

Wenn man das für alte Fälle vor Mai 2018 so sieht, spricht alles dafür, es beim Datenschutzbeauftragten nach DS-GVO genauso zu beurteilen. Und das hat Konsequenzen: Wenn man – wie offenbar jetzt das Bundesarbeitsgericht – einen Interessenkonflikt zwischen den Funktionen typischerweise annimmt, dann ist der Arbeitgeber nicht nur arbeitsrechtlich berechtigt, die Funktion des Datenschutzbeauftragten zu entziehen, sondern zum Widerruf der Bestellung des Datenschutzbeauftragten sogar datenschutzrechtlich verpflichtet. Bleiben Datenschutzbeauftragte trotz eines bestehenden Interessenkonflikts in ihrer Funktion, dann wäre ein solcher Datenschutzbeauftragter nicht mehr wirksam bestellt. Der Arbeitgeber würde also als verantwortliche Stelle gegen die DS-GVO verstoßen.

Damit kann Arbeitgebern nur empfohlen werden, in solchen Fällen die Bestellung zu widerrufen und andere, nicht dem Betriebs-/Personalrat angehörende Personen als Datenschutzbeauftragte zu bestellen. Spiegelbildlich muss internen Datenschutzbeauftragten – wenn sie ihre Funktion behalten möchten – davon abgeraten werden, sich für den Betriebs-/Personalrat zu bewerben…

Zusammenarbeit zwischen BEschäftigtenvertretung und Datenschutzbeauftragten

Natürlich gehört zu den Aufgaben der Beschäftigtenvertretung auch, die Datenschutzrechte der Beschäftigten zu verteidigen. Bestenfalls sollten beim Beschäftigtendatenschutz Beschäftigtenvertretung und Datenschutzbeauftragte also Hand in Hand arbeiten. Nicht selten entwickeln sich einzelne Betriebs-/Personalräte zu Spezialisten für Datenschutzfragen. Das ist sinnvoll und erfreulich. Ein transparentes Miteinander, das der Belegschaft und dem Datenschutz dient, ist optimal.

Was Datenschutzbeauftragte dazu beitragen können:

• Auf Beschäftigtenvertretungen aktiv zugehen. Nachfragen, ob die persönliche Vorstellung in einer Sitzung des Betriebs-/Personalrats möglich und gewünscht ist.
• Vertraulichkeit der Kommunikation – auch gegenüber der Arbeitgeberseite – zusagen und einhalten.
• Unkomplizierte, neutrale und zuverlässige Beratung der Beschäftigtenvertretung bei Datenschutzfragen, z.B. auch bei der Vorbereitung von Betriebs-/Dienstvereinbarungen zu datenschutzrelevanten Themen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Seit dem 1. Januar 2023 ist in § 5 des Entgeltfortzahlungsgesetzes (EntgFG) zur Regelung der Anzeige- und Nachweispflichten bei Eintritt von Arbeitsunfähigkeiten eine – auch für den Datenschutz – nicht unbedeutende gesetzliche Änderung in Kraft getreten. Mit Blick auf die möglichen datenschutzrechtlichen Aspekte der Gesetzesänderung hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) Hinweise zu Datenverarbeitungen im Zusammenhang mit der Vorlage von Arbeitsunfähigkeitsbescheinigungen sowie Entgeltfortzahlungen im Krankheitsfall veröffentlicht. Hierauf soll im nachfolgenden Beitrag näher eingegangen werden. 

Was hat sich geändert?

Zuvorderst ist festzuhalten, dass die bisherige Regelung des § 5 Abs. 1 EntgFG in seiner Fassung bestehen bleibt:

„Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Dauert die Arbeitsunfähigkeit länger als drei Kalendertage, hat der Arbeitnehmer eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit sowie deren voraussichtliche Dauer spätestens an dem darauffolgenden Arbeitstag vorzulegen. Der Arbeitgeber ist berechtigt, die Vorlage der ärztlichen Bescheinigung früher zu verlangen. Dauert die Arbeitsunfähigkeit länger als in der Bescheinigung angegeben, ist der Arbeitnehmer verpflichtet, eine neue ärztliche Bescheinigung vorzulegen. Ist der Arbeitnehmer Mitglied einer gesetzlichen Krankenkasse, muss die ärztliche Bescheinigung einen Vermerk des behandelnden Arztes darüber enthalten, dass der Krankenkasse unverzüglich eine Bescheinigung über die Arbeitsunfähigkeit mit Angaben über den Befund und die voraussichtliche Dauer der Arbeitsunfähigkeit übersandt wird.“

Daneben ist jedoch § 5 Abs. 1a EntgFG neu eingeführt wurden:

„Absatz 1 Satz 2 bis 5 gilt nicht für Arbeitnehmer, die Versicherte einer gesetzlichen Krankenkasse sind. Diese sind verpflichtet, zu den in Absatz 1 Satz 2 bis 4 genannten Zeitpunkten das Bestehen einer Arbeitsunfähigkeit sowie deren voraussichtliche Dauer feststellen und sich eine ärztliche Bescheinigung nach Absatz 1 Satz 2 oder 4 aushändigen zu lassen. Die Sätze 1 und 2 gelten nicht

1. für Personen, die eine geringfügige Beschäftigung in Privathaushalten ausüben (§ 8a des Vierten Buches Sozialgesetzbuch), und
2. in Fällen der Feststellung der Arbeitsunfähigkeit durch einen Arzt, der nicht an der vertragsärztlichen Versorgung teilnimmt.“

Aus den Regelungen wird deutlich, dass Beschäftigte im Krankheitsfall weiterhin verpflichtet bleiben, dem Arbeitgeber eine bestehende Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich mitzuteilen. Jedoch besteht die Verpflichtung künftig (zunächst) für Beschäftigte, welche in einer gesetzlichen Krankenkasse versichert sind, lediglich dahingehend, die Arbeitsunfähigkeit und deren Dauer feststellen und sich selbst eine ärztliche Bescheinigung aushändigen zu lassen. Insbesondere aufgrund des nunmehr erfolgenden Ablaufs wird die Umstellung von einigen Stimmen als Belastung für Unternehmen empfunden.

Im Wesentlichen erfolgt ein dreistufiges Vorgehen: (1) Meldung der Arbeitsunfähigkeit der beschäftigten Person nach Feststellung durch die Arztpraxis bzw. das Krankenhaus an die Krankenkasse. Der Arbeitnehmende erhält dabei wie gewohnt einen Durchschlag in Papierform. (2) Anschließend meldet sich die beschäftigte Person wie bisher unverzüglich bei seiner zuständigen Führungskraft unter Angabe der voraussichtlichen Dauer arbeitsunfähig. (3) Da nun die Pflicht zur Vorlage der Bescheinigung seitens der Arbeitnehmenden entfällt, darf der Arbeitgeber nun nach erfolgter Information eine Abfrage bei der zuständigen Krankenkasse einholen. Eine automatische Übermittlung erfolgt dagegen nicht.

Was bedeuten die Änderungen für den Datenschutz?

Bei der Feststellung der Arbeitsunfähigkeit der betroffenen Beschäftigten kommt es unstreitig zur Verarbeitung personenbezogener Daten. Dies trifft jedenfalls auf Namen und Vornamen, Kontaktdaten und näheren Informationen zur jeweiligen Krankenkasse zu. Darüber hinaus liegt eine Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO vor, z.B. die Feststellung und voraussichtliche Dauer der Arbeitsunfähigkeit, die Information ob es sich um eine Neuerkrankung oder um eine Wiederholungserkrankung, konkret um die Fortdauer einer Arbeitsunfähigkeit oder eine erneute Arbeitsunfähigkeit beruhend auf derselben Krankheit handelt und die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigen Unfall bzw. einer Berufskrankheit oder auf den Folgen eines Arbeitsunfalls oder sonstigen Unfalls beruht. Gesundheitsdaten sind als besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO zu qualifizieren.

Aus den Hinweisen geht zunächst hervor, dass bei nicht-öffentlichen Stellen die Verarbeitungen der Beschäftigtendaten im Zusammenhang mit dem gesetzlich vorgesehenen Abrufverfahren für die eAU auf Grundlage von § 26 Abs. 1 und Abs. 3 BDSG in Verbindung mit den Regelungen zum EntgFG zum Zwecke der Durchführung des Beschäftigungsverhältnisses erfolgt (am Rande sei erwähnt, dass die Hinweise weitere Ausführungen für öffentliche Stellen in Niedersachsen enthalten, auf welche im Folgenden jedoch nicht näher eingegangenen werden soll). Ein Abruf einer eAU ist zur Erfüllung arbeitsrechtlicher Pflichten seitens des Arbeitgebers erforderlich, konkret zur Erfüllung der Verpflichtung zur Entgeltfortzahlung im Krankheitsfall aus § 3 EntgFG. Hervorgehoben wird noch, dass „ein Abruf nur dann erforderlich ist, wenn der oder die Beschäftigte zu diesem Zeitpunkt bereits verpflichtet ist, eine Arbeitsunfähigkeit durch eine Ärztin oder einen Arzt feststellen zu lassen.“

Die Möglichkeit zum Abruf der eAU folgt aus § 109 Abs. 1 Viertes Buch Sozialgesetzbuch. Diese Meldung enthält den Namen des Beschäftigten, den Beginn und das Ende der Arbeitsunfähigkeit, das Datum der ärztlichen Feststellung der Arbeitsunfähigkeit, die Kennzeichnung als Erst- oder Folgemeldung und die Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigen Unfall oder auf den Folgen eines Arbeitsunfalls oder sonstigen Unfalls beruht.

Gesetzliche Krankenkassen sind gemäß § 69 Abs. 4 Zehntes Buch Sozialgesetzbuch befugt, den Arbeitgebern die erforderlichen Daten zu übermitteln. Dies betrifft die Fortdauer einer Arbeitsunfähigkeit oder ob eine erneute Arbeitsunfähigkeit eines Arbeitnehmers auf derselben Krankheit beruht. Nicht erforderlich ist jedoch die Übermittlung von Diagnosedaten. Weitergehende Datenverarbeitungen, z.B. Direktabfragen bei den behandelnden Ärzten, sind dagegen nur mit Einwilligung der betroffenen Beschäftigten möglich.

Fazit

Die grundsätzlichen Datenverarbeitungen im Zusammenhang mit der Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung dürften für die datenschutzrechtlich Verantwortlichen nur wenig Probleme ergeben. Allerdings sind noch weitere Verpflichtungen zu beachten. Zuvorderst sind die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit hat in Ziff. 4.25 in seinem Tätigkeitsbericht 2020 eine entsprechende Empfehlung für die Aufbewahrungsdauer von Arbeitsunfähigkeitsbescheinigungen gegeben.

Weiterhin muss der Verantwortliche z.B. sicherstellen, dass bei der Verarbeitung der Beschäftigtendaten der Grundsatz der Sicherheit der Verarbeitung gemäß Art. 5 Abs. 1 lit. f) DS-GVO gewahrt wird. Dies bedeutet u.a., dass nur denjenigen Personen Zugang zu den Daten gewährt wird, als dies zur Aufgabenerfüllung erforderlich ist. Die Daten sind gleichwohl durch geeignete technische und organisatorische Maßnahmen nach Art. 25 und Art. 32 DS-GVO vor dem Zugriff von Unbefugten zu schützen. Schließlich ist die Erfüllung der Informationspflichten seitens der Arbeitgeber nach den Vorgaben des Art. 14 DS-GVO erforderlich, da die betroffenen personenbezogenen Daten nicht bei der betroffenen Person selbst, sondern bei den Krankenkassen erhoben werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Rechtsverstöße, Mobbing und sonstige Missstände in Unternehmen werden häufig nur von den Beschäftigten wahrgenommen, nicht jedoch von der Geschäftsführung. Dies kann verschiedenste Gründe haben: Oftmals hat die Geschäftsleitung einen gewissen Abstand zum Personal und somit keinen detaillierten Einblick in die Geschehnisse der einzelnen Abteilungen. Aus Angst, benachteiligt oder sogar gekündigt zu werden, weisen Beschäftigte die Geschäftsleitung lieber nicht auf derartige Gegebenheiten hin. Obwohl die Geschäftsführung in der Regel großes Interesse haben dürfte, Missstände aller Art aufzudecken und zu beheben. Hierdurch kommt es in Unternehmen zur Häufung verschiedener Umstände, die zu Unzufriedenheit in der Belegschaft und gegebenenfalls sogar zur Verletzung verschiedener Gesetze führt.

Mit dem Hinweisgeberschutzgesetz soll nun die überfällige Umsetzung der europäischen Whistleblowing-Richtlinie (EU) 2018/1937 erfolgen. Ziel dieses Gesetzes ist die nachhaltige Verbesserung des bislang lückenhaften Schutzes von Hinweisgebern, um jegliche Benachteiligung auszuschließen. Weiterhin sollen Hinweisgeber durch das Gesetz Rechtssicherheit erlangen. Nach der Whistleblower-Richtlinie sind Unternehmen ab einer Größe von 50 Beschäftigten verpflichtet, ein Whistleblowing-System einzurichten. Bei der Einrichtung müssen jedoch verschiedene Aspekte berücksichtigt werden, unter anderem selbstverständlich der Datenschutz.

Datenschutzrecht im Kontrast zur Whistleblower-Richtlinie

Es liegt auf der Hand, dass im Wege eines Whistleblowing-Systems nicht ausschließlich Probleme gemeldet werden, die beispielweise organisatorischer Natur sind. Es werden zwangsläufig auch, unter namentlicher Erwähnung, Entscheidungen oder Verhaltensweisen bestimmter Personen gemeldet. Zudem dürfte es äußerst schwierig sein, die Anonymität der meldenden Person gegenüber das jeweilige Meldesystem zu gewährleisten: Wird die Meldung nämlich per Anruf getätigt, könnte die Telefonnummer zurückverfolgt werden. Bei einer Meldung über ein spezielles IT-System kann es zur Preisgabe der IP-Adresse kommen. Aus diesem Grund dürfte der Anwendungsbereich der DS-GVO regelmäßig eröffnet sein. Es kommt also zwangsläufig zur Erhebung und Verarbeitung personenbezogener Daten.

Hinzu kommt, dass durch die Inanspruchnahme des Meldesystems gegebenenfalls personenbezogene Daten ohne Kenntnis der betroffenen Personen erhoben und verarbeitet werden, weshalb die betroffene Person gemäß Art. 14 DS-GVO eigentlich über die Datenverarbeitung informiert werden müsste. Dies läuft jedoch dem Sinn des Whistleblowings zuwider, da die Geschäftsleitung großes Interesse daran haben dürfte, Meldungen zunächst über interne Ermittlungsverfahren näher zu untersuchen. Wenn beschuldigte Personen eine sie betreffende Meldung mitbekommen, könnte die interne Ermittlung verfälscht werden. Problematisch könnten in der Praxis auch die Betroffenenrechte nach Art. 15 DS-GVO sein. Demnach müssten dem Beschuldigten gegebenenfalls sämtliche verfügbaren Informationen über die Herkunft der Daten gegeben werden. Eine IP-Adresse oder die Kombination aus mehreren an sich nicht personenbezogenen Daten eröffnen die Möglichkeit, den Personenkreis des Meldenden stark einzugrenzen.

Datenschutzkonforme Umsetzung in der Praxis

Da das Hinweisgeberschutzgesetz voraussichtlich schrittweise Anfang des neuen Jahres in Kraft treten wird, sollte man sich schon jetzt Gedanken machen, wie ein solches System im Unternehmen eingebaut werden kann, ohne mit dem Datenschutz in Konflikt zu geraten. Wir haben Ihnen die wichtigsten Faktoren zusammengestellt, die Sie bei der Umsetzung des Meldesystems beachten sollten:

• Nach § 8 des Entwurfs zum Hinweisgeberschutzgesetz haben Meldestellen die Vertraulichkeit der hinweisgebendenen Person, Personen die Gegenstand der Meldung sind und sonstige genannte Personen zu wahren. Achten Sie bei der Umsetzung Ihres Whistleblowing-Systems auf den Schutz der Identitäten. Sowohl Beschäftigte als auch die Geschäftsführung dürfen unter keinen Umständen die Möglichkeit haben, die meldende Person zu identifizieren.
• Falls Sie einen Dienstleister einsetzen möchten, muss – je nach beauftragter Dienstleistung – ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
• Whistleblowing-Systeme bergen immer ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Aus diesem Grund ist vor Einführung des jeweiligen Systems gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Ihr Datenschutzbeauftragter kann Sie hierbei unterstützen.
• In Vergangenheit sind zahlreiche IT-Anbieter auf diesen Markt aufgesprungen, die keine Erfahrung mit solchen Systemen haben. Leider kam es dabei zu Zwischenfällen, in denen beispielsweise die Identität des Hinweisgebers offengelegt wurde. Wählen Sie den Dienstleister daher mit größter Sorgfalt aus. 

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die voranschreitende Digitalisierung der Geschäftsprozesse betrifft ebenfalls die Datenverarbeitungen in der Personalabteilung. Neben Systemen zur Zeiterfassung erfolgt in Unternehmen und Behörden zunehmend die Einführung der digitalen Personalakte. In diesem Zusammenhang stellen sich oftmals die Fragen der datenschutzrechtlichen Anforderungen sowie die Grenzen einer möglichen Digitalisierung. Der nachfolgende Beitrag gibt einen kurzen Einblick und soll bestehende Unsicherheiten auflösen.

Allgemeines zur (digitalen) Personalakte

Für privatwirtschaftliche Unternehmen besteht in der Regel keine gesetzliche Pflicht zur Führung einer Personalakte. Für öffentliche Stellen kann sich eine solche aus dem jeweiligen Landesrecht ergeben. In Sachsen regelt beispielsweise die Verwaltungsvorschrift (VwV) Personalakten „das Verfahren der Führung und Verwaltung von Personalakten der Angestellten, Arbeiter und der zu ihrer Ausbildung Beschäftigten im öffentlichen Dienst des Freistaates Sachsen“ und verweist größtenteils auf die Regelungen des Sächsischen Beamtengesetzes.

Soweit eine Verpflichtung zur Führung von Personalakten besteht oder solche freiwillig geführt werden, ist die Aufnahme von Vorgängen und Dokumentationen an den seitens der Rechtsprechung entwickelten Regeln des Personalaktenrechts auszurichten. Dabei gelten insbesondere die Grundsätze der Transparenz, der Richtigkeit, der Zulässigkeit und der Vertraulichkeit der darin befindlichen Informationen. Vertraulichkeit bedeutet in diesem Zusammenhang auch, dass die jeweiligen Informationen auch intern ausschließlich für zulässige Zwecke verwendet werden dürfen und entsprechend der hohen Schutzbedürftigkeit mit angemessenen technischen und organisatorischen Maßnahmen vor unbefugter Kenntnisnahme zu schützen sind.

Inhaltlich beschränkt sich die Personalakte in der Regel auf die für die Durchführung des Beschäftigten- bzw. Dienstverhältnisses erforderlichen Informationen, wobei sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. für öffentliche Stellen aus länderspezifischen Regelungen wie § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergibt. Arbeitsunfähigkeitsbescheinigungen sollten aufgrund Ihrer Sensibilität als Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO sowie wegen der abweichenden Aufbewahrungsfrist von maximal vier Jahren (§ 6 Abs. 1 Aufwendungsausgleichgesetz), nicht in der Personalakte aufbewahrt werden.

Die parallele Führung von Personalakten, beispielsweise durch den Betriebs- bzw. Personalrat oder durch die Personalabteilung in analoger und digitaler Form zugleich, verbietet sich bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Eine Führung von Teilakten durch verschiedene zuständige Personen ist möglich.

Einbindung von Dienstleistern

Im Rahmen der Einführung von digitalen Personalakten ist grundsätzlich eine Einbindung von externen Dienstleistern möglich. Beispielswiese kommen hierbei Unternehmen in Betracht, welche eine Digitalisierung der analogen Bestandsakten vornehmen oder welche im Rahmen von Support-Anfragen auf die Systeme Zugriff erhalten. Dabei ist jedoch zu berücksichtigen, dass diese Tätigkeiten in der Regel eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO darstellen und es hierfür eines entsprechenden Vertrages zur Auftragsverarbeitung bedarf.

Zu beachten ist dabei insbesondere die Regelung des Art. 28 Abs. 1 DS-GVO, wonach die verantwortliche Stelle ausschließlich mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Aufgrund der regelmäßig hohen Schutzbedürftigkeit von personenbezogenen Daten innerhalb einer Personalakte, sollte hierbei bereits vorab eine besonders strenge Prüfung erfolgen.

Aufbewahrung von Unterlagen im Original

Wie bereits dargestellt, verbietet sich eine grundsätzliche Aufbewahrung von digitalisierten Unterlagen zusätzlich im Original bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Darin heißt es: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“

Eine Erforderlichkeit zur Aufbewahrung im Original ergibt sich regelmäßig für Dokumente, welche zwingend dem Schriftformerfordernis gemäß § 126 BGB unterliegen. Hierzu gehören beispielsweise der Arbeitsvertrag, Aufhebungsverträge sowie Kündigungsschreiben. Durch das Scannen der entsprechenden Unterlagen bleibt zwar zunächst die Schriftform gewahrt, jedoch kann im Zweifelsfall nicht der Urkundsbeweis nach den §§ 415 ff. ZPO erbracht werden. Hierfür ist zwingend die Vorlage des Originals in Papierform erforderlich.

Selbiges gilt auch bei der Einführung der digitalen Personalakte durch öffentliche Stellen. Hierbei kann stellvertretend auf eine Entscheidung des Verwaltungsgerichts Köln (Urt. v. 15. Dezember 2016, Az.: 15 K 5144/16) verwiesen werden, welches zu digitalen Personalakten von Beamten auf Bundesebene wie folgt ausführte: „Die Entscheidung, in welcher Form der Dienstherr Personalakten führt, liegt in seinem Organisationsermessen. […] Denn bei der vom Gesetz zugelassenen vollständigen elektronischen Aktenführung entfällt die Notwendigkeit, eine papierne Akte nebenher vorzuhalten. Aus der Begründung des Gesetzes, […]  lässt sich entnehmen, dass eine parallele Führung gleicher Aktenteile in Papierform und in elektronischer Form grundsätzlich zu vermeiden ist und eine ausschließliche elektronische Führung in Betracht zu ziehen ist, wenn die erforderlichen technischen Voraussetzungen (etwa eine qualifizierte elektronische Signatur) vorliegen.“

Umsetzung von Löschfristen

Ein Vorteil der digitalen Personalakte liegt – je nach Funktionsumfang des gewählten Systems – in einer automatisierten Umsetzung von Löschfristen. Gemäß Art. 17 Abs. 1 lit. a) DS-GVO sind personenbezogene Daten regelmäßig zu löschen, soweit diese für die Verarbeitungszwecke nicht mehr erforderlich sind und gemäß Art. 17 Abs. 3 lit. b) DS-GVO keiner gesetzlichen Aufbewahrungspflichten unterliegen. Im Falle von Beschäftigtendaten können die gesetzlichen Aufbewahrungsfristen variieren. Während Dokumente und Unterlagen arbeitsrechtlicher Natur einer regelmäßigen Aufbewahrungsfrist von drei Jahren unterliegen, sind lohnsteuerrelevante Unterlagen für einen Zeitraum von bis zu sechs Jahren aufzubewahren.

Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.

Gewährleistung des Einsichtsrechts

Arbeitnehmern steht gemäß § 83 Abs. 1 Satz 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die ihnen betreffende Personalakte zu. Der Anspruch besteht grundsätzlich parallel zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO. Die Einführung einer digitalen Personalakte steht den gesetzlichen Ansprüchen nicht im Wege, kann bei entsprechender Etablierung der hierfür notwendigen Prozesse und Bereitstellung von Ressourcen sogar einfacher realisiert werden: Durch eine (gesicherte) Abrufmöglichkeit der digitalen Personalakte steht den Arbeitnehmern eine jederzeitige ortsunabhängige Möglichkeit zur Einsichtnahme in die Personalakte zur Verfügung. Demnach wird die Einsicht im Büro der Personalabteilung und unter Anwesenheit einer Person der Personalabteilung obsolet.

Fazit

Mit der Einführung der digitalen Personalakte können datenschutzrechtliche Besonderheiten verknüpft sein, welche jedoch gemeinsam mit dem Datenschutzbeauftragten leicht zu bewältigen sind. Insbesondere bei der Einbindung externer Dienstleister und der Umsetzung technischer und organisatorischer Maßnahmen sollte der Sensibilität und Schutzbedürftigkeit der personenbezogenen Daten der Personalakte angemessen Rechnung getragen werden. Darüber hinaus gelten für die digitale Personalakte die auch im Rahmen der analogen Personalakte anzuwendenden Regelungen des Personalaktenrechts.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Richten wir den Blick auf den Beschäftigtendatenschutz, so kommt man derzeit an einer Thematik nicht vorbei: Schaffung eines Beschäftigtendatenschutzgesetzes. Derartige Bestrebungen sind nicht neu und erfreuten insbesondere zur Zeit der ersten großen Datenschutzskandale im Bereich des Beschäftigtendatenschutz, namentlich das Projekt Babylon der Deutschen Bahn und die unerlaubte Überwachung von Beschäftigten durch den Discounter Lidl, großer Aufmerksamkeit. War die Kritik von Arbeitgebern und Gewerkschaften sehr stark, scheiterte der konkrete Gesetzentwurf damals letztendlich im parlamentarischen Verfahren. Warum das Thema gerade jetzt wieder aktuell ist und wie konkret die Schaffung eines Beschäftigtendatenschutzgesetz ist, soll der nachfolgende Beitrag näher beleuchten.

IST DIE SCHAFFUNG EINES BESCHÄFTIGTENDATENSCHUTZGESETZES MÖGLICH?

Art. 88 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) sieht folgende Regelung vor: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen“. Der deutsche Gesetzgeber hat von dieser „Öffnungsklausel“ in der DS-GVO Gebrauch gemacht und den § 26 Bundesdatenschutzgesetz (BDSG) geschaffen. Dieser führt die spezialgesetzlichen Regelungen des § 32 BDSG a.F. fort und wurde der Terminologie der DS-GVO angepasst. Der § 26 BDSG ist somit aktuell – neben zahlreichen spezialgesetzlichen Einzelnormen mit Bezug zum Beschäftigtendatenschutz – der Hauptanknüpfungspunk für Fragen des Beschäftigtendatenschutzes. Darüber hinaus kommt der Beschäftigtendatenschutz in umfangreicher Arbeitsrechtsprechung zum Ausdruck.

Fraglich ist allerdings, ob die Schaffung eines eigenständigen Beschäftigtendatenschutzgesetzes weiterhin möglich ist. Den Bundestagsdrucksachen (BT-Drs. 18/11325) ist jedoch zu entnehmen, dass sich der Gesetzgeber vorbehält „Fragen des Datenschutzes im Beschäftigungsverhältnis […] im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln.“ Und weiter: „Dies gilt insbesondere für das Fragerecht bei der Begründung eines Beschäftigungsverhältnisses, den expliziten Ausschluss von heimlichen Kontrollen im Beschäftigungsverhältnis, die Begrenzung der Lokalisierung von Beschäftigten sowie den Ausschluss von umfassenden Bewegungsprofilen, den Ausschluss von Dauerüberwachungen und die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken.“ Es lässt sich demnach festhalten, dass der Weg zu einem Beschäftigtendatenschutzgesetz weiterhin grundsätzlich beschritten werden kann.

WARUM SCHWELLEN GERADE JETZT DIE FORDERUNGEN?

Ausgangspunkt ist, dass der Koalitionsvertrag auf Bundesebene („Mehr Fortschritt wagen“) auf Seite 17 explizit die Schaffung von Regelungen zum Beschäftigtendatenschutz vorsieht: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“  Vor diesem Hintergrund hat das Bundesministerium für Arbeit und Soziales (BMAS) den interdisziplinären Beirat Beschäftigtendatenschutz eingesetzt, der seinen Abschlussbericht im Januar 2022 fertiggestellt hat. In jenem Bericht spricht sich der Beirat für ein bundeseinheitliches und rechtsverbindliches Regelwerk aus. Es wird außerdem festgestellt, dass der § 26 BDSG in seiner gegenwärtigen Fassung aufgrund der Interpretationsbedürftigkeit zum Schutz vor eingriffsintensiven Datenverarbeitungen in der digitalisierten Arbeitswelt nicht ausreicht. Das Ergebnis ist das Erfordernis der Schaffung ausgewogener konkretisierender gesetzlicher Regelungen für alle Beteiligten, die daneben von untergesetzlichen Regelungen wie Rechtsverordnungen und Kollektivverträgen sowie datenschutzrechtlichen Instrumenten in Form von Verhaltensregeln (Codes of Conduct) im Sinne der Art. 40 f. DS-GVO oder Zertifizierungen nach Art. 42 f. DS-GVO flankiert unterstützt werden sollten. Als Leitgedanken legt der Beirat den verhältnismäßigen Ausgleich der Grundrechte der Beschäftigten und der Arbeitgeber unter besonderer Beachtung des Schutzes der Menschenwürde der Beschäftigten, Technologieneutralität und Technikoffenheit der Regelungen, Transparenz für Beschäftigte und Betriebsräte über die zur Datenverarbeitung verwendeten Einrichtungen und Programme sowie die Gewährleistung einer wirksamen Rechtsdurchsetzung fest. Hierfür wird konkret vorgeschlagen die Erforderlichkeit bei der gesetzlichen Verarbeitungserlaubnis und die Anforderungen an die Einwilligung als Ausdruck der Datensouveränität im Beschäftigungsverhältnis zu konkretisieren, die Bedingungen für Betriebsvereinbarungen als sachliches Regelungsinstrument zu stärken, die datenschutzrechtlichen Anforderungen an den Einsatz künstlicher Intelligenz im Beschäftigungsverhältnis zu regulieren, spezifische Rechte der Betroffenen zu regeln, die Rechtsdurchsetzung zu verbessern und die Stärkung der Datenschutzaufsichtsbehörden sowie die Errichtung neuer Gremien (z.B. Schaffung einer ständigen Beschäftigtendatenschutzkommission beim BMAS sowie ein ständiges Sekretariat des Arbeitskreises Beschäftigtendatenschutz der Datenschutzkonferenz) vorzunehmen.

Darüber hinaus hat der Deutsche Gewerkschaftsbund einen konkreten Entwurf eines umfassenden und individualrechtlich ausgerichteten Beschäftigtendatenschutzgesetz (BeschDSG) vorgelegt. In vielen Punkten bestehen inhaltliche Überschneidungen zu den Empfehlungen des Beirats, sodass mit dem Entwurf insoweit konkret ausformulierte Regelungsvorschläge bestehen bzw. vorgelegt wurden. Der Entwurf bezieht sich in seinem sachlichen Anwendungsbereich auf die Verarbeitung von Beschäftigtendaten in der Anbahnungs- und Durchführungsphase von Beschäftigungsverhältnissen und auf Verarbeitungen nach deren Beendigung durch den Arbeitgeber und für Verarbeitungen durch Dritte, die vom Arbeitgeber veranlasst oder ermöglicht wurden. Ausgeformt werden einige Grundsätze zur Beschäftigtendatenverarbeitung, z.B. der Grundsatz der Direkterhebung mit explizitem Ausschluss der Erhebung erforderlicher Daten aus dem Internet oder in anderen digitalen Quellen sowie das Verbot der Zusammenführung von Beschäftigtendaten mit personenbezogenen Daten aus anderen Rechtsverhältnissen außerhalb des Beschäftigungsverhältnisses. Weiterhin werden Regelungen zur Datenverarbeitung auf Grundlage einer Einwilligung der Beschäftigten, insbesondere hinsichtlich der Nachweisbarkeit und der Erforderlichkeit, getroffen. Außerdem sollen für die Bewerbungsphase typische Fallkonstellationen festgelegt werden, etwa das Verbot der Verarbeitung biometrischer Daten, das Fragerecht und die Unzulässigkeit bestimmter Fragen sowie Vorgaben für Einstellungstests und -untersuchungen und Entwurf Regelungen zum KI-Einsatz in der Bewerbungsphase. Ferner adressiert der Entwurf Regelungen für die Durchführung von Beschäftigtenverhältnissen bezüglich Kontrollen von Beschäftigten wie bspw. Verhaltens- oder Leistungskontrollen, Aufdeckungen von Straftaten, Video- und Audioüberwachungen, Vorgaben für die Verarbeitung, Verwendung und Übermittlung von Beschäftigtendaten aus Cloud-Umgebungen und „Software as a Service“-Anwendungen sowie Regelungen zu Ortung und Standortbestimmung, biometrische Kontrollverfahren und Beweisverwertungsverbote.

WAS SAGEN DIE DATENSCHUTZAUFSICHTSBEHÖRDEN DAZU?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) hat in einer Entschließung vom 29. April 2022 ebenfalls Stellung zum Vorhaben Beschäftigtendatenschutzgesetz bezogen. Hierin heißt es unter anderem: „Die voranschreitende technische Entwicklung ermöglicht eine immer weitergehende Überwachung von Beschäftigten. Deshalb forderte die […] (DSK) bereits 2014 die Schaffung eines Beschäftigtendatenschutzgesetzes.“ Und weiter: „Die DSK ist der Auffassung, dass weitergehende Regelungen notwendig und überfällig sind: § 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.“ Im weiteren Verlauf fordert die DSK den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in den folgenden Bereichen gesetzliche Regelungen zu schaffen: Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI), Grenzen der Verhaltens- und Leistungskontrolle, Ergänzungen zu den Rahmenbedingungen der Einwilligung, Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen, Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie Art. 6 und Art. 9 DS-GVO, Beweisverwertungsverbote sowie Datenverarbeitungen bei Bewerbungs- und Auswahlverfahren. Die DSK konkretisiert mithin schon sehr weitgehend einen grundlegenden gesetzlichen Rahmen, um in der Anwendung sich von der Generalklausel des § 26 BDSG zu entfernen und die Regelungen zum Beschäftigtendatenschutz auf mehrere Einzelnormen verteilen zu können.

FAZIT

Das akute Problem des § 26 BDSG ist die generalklauselartige Formulierung und die dem gegenüberstehende zunehmende arbeitsgerichtliche Einzelfallkasuistik. Hinzu tritt die stetig voranschreitende Digitalisierung und die damit einhergehenden zunehmenden Risiken bei der Verarbeitung von Beschäftigtendaten. Sofern die Bestrebungen auf dem Weg zu einem eigenständigen Beschäftigtendatenschutzgesetz tatsächlich intensiv vorangetrieben werden sollen, so bedarf es in jedem Fall einer gezielten Auseinandersetzung mit den einzelnen Phasen des Beschäftigtenverhältnisses und den in diesem Zusammenhang zu regulierenden Verarbeitungsfällen von Beschäftigtendaten. Darüber hinaus sollten die Regelungen eines Beschäftigtendatenschutzgesetzes jedenfalls der Digitalisierung sowie dem zunehmenden Einsatz von IT-Systemen und neuen Technologien Rechnung tragen. Sowohl der Berichte des Beirates als auch der konkrete DGB-Entwurf und die Entschließung der DSK adressieren mehr oder weniger die gleichen – durchaus bekannten – Fallkonstellationen und Fragestellungen des Beschäftigtendatenschutzes. Die Regelungsziele dürften demnach klar sein. Handlungsbedarf besteht hinsichtlich der konkreten Ausgestaltung der möglichen künftigen Regeln zum Beschäftigtendatenschutz(gesetz).

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.