Das Bundesministerium des Innern und für Heimat (BMI) und das Bundesministerium für Arbeit und Soziales (BMAS) veröffentlichten im April ein Eckpunktepapier mit Vorschlägen zur Überarbeitung des derzeit geltenden Beschäftigtendatenschutzes. Anlass dafür ist unter anderem die stetig zunehmende Digitalisierung, die natürlich am Arbeitsplatz nicht endet. Neue Technologien und Softwares führen zur stetig anwachsenden Verarbeitung personenbezogener Daten von Beschäftigten. Diese Änderungen stellen Unternehmen regelmäßig vor immer größeren datenschutzrechtlichen Unsicherheiten.
Weiterer Anlass für ein neues Beschäftigtendatenschutzgesetz ist die Feststellung der Europarechtswidrigkeit des § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) durch den Europäischen Gerichtshof in seinem Urteil vom 30. März 2023 (C-34/21). Durch den nahezu identischen Wortlaut der zentralen Norm des § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG besteht Grund zur Annahme, dass diese ebenso europarechtswidrig ist. Für mehr Informationen zu diesem Thema verweisen wir auf unseren Beitrag vom 15. Mai 2023. Der folgende Beitrag soll kurz den Inhalt des angesprochenen Eckpunktepapiers vorstellen.
Inhalte des Eckpunktepapiers
Erweiterung des Beschäftigtenbegriffs: Das Eckpunktepapier enthält den Vorschlag, dass auch soloselbständige Plattformtätige in den Anwendungsbereich des Beschäftigtendatenschutzgesetz aufgenommen werden. Gemäß des Eckpunktepapiers sind diese Personen aufgrund der besonderen Strukturen und Geschäftsmodelle in der Plattformökonomie auch hinsichtlich der Verarbeitung ihrer personenbezogenen Daten den Arbeitnehmer:innen in ähnlicher Weise schutzbedürftig.
Überwachung von Beschäftigten: Die dauerhafte Überwachung von Arbeitnehmer:innen soll demnach ausschließlich in Ausnahmefällen erfolgen. Auf keinen Fall dürfen die Materialien zur Bewertung und Ermittlung der Leistung der Beschäftigten genutzt werden. Ähnlich verhält es sich auch bei der verdeckten Überwachung. Eine verdeckte Überwachung wäre demnach nur als ultima ratio zulässig, wenn es keine weniger in die Grundrechte der Beschäftigten eingreifende Alternative besteht, eine Straftat im Betrieb aufzudecken. Weiterhin soll es für eine offene Überwachung klare Bedingungen geben.
Einsatz von künstlicher Intelligenz: Das Eckpunktepapier thematisiert auch den Einsatz von künstlicher Intelligenz (KI). Von besonderer Relevanz könnte hierbei der Einsatz von KI im Bewerbungsverfahren sein. KI kann allerdings auch für viele andere Aufgaben eingesetzt werden, wie zum Beispiel die Erstellung von Leistungsprofilen oder gar Zukunftsprognosen von Beschäftigten. Hier soll Transparenz geschaffen werden.
Fragerecht: Laut des Eckpunktepapiers sollen Informationen zur Qualifikation direkt von Bewerber:innen erfragt werden. Das Fragerecht der Arbeitgeber soll zudem ausdrücklich geregelt sein. Hierzu ergeben sich jedoch keine Neuerungen, da auf die Rechtsprechung zum Fragerecht in Bewerbungsverfahren verwiesen wird.
Sensible Daten: Durch die Bildung typischer Fallgruppen bei der Verarbeitung besonders sensibler Daten wie beispielsweise Gesundheitsdaten, soll aufgezeigt werden, wann bzw. in welchen Ausnahmefällen der Arbeitgeber sensible Daten der Beschäftigten verarbeiten darf.
Interessenabwägung: Der Gesetzgeber soll konkrete Kriterien für eine Interessenabwägung einführen, für Datenverarbeitungen, die eine solche Abwägung erfordern.
Einwilligung: Einwilligungen von Beschäftigten sind häufig ein komplexes Thema in Unternehmen. Einwilligungen im Beschäftigtenverhältnis sollen eindeutig freiwillig erfolgen. Ebendiese Freiwilligkeit ist in der Praxis problematisch, da sie aufgrund des Abhängigkeitsverhältnisses häufig angezweifelt wird. Laut des Eckpunktepapiers soll der Gesetzgeber konkrete Anwendungsfälle auflisten, um die Umsetzung wirksamer Einwilligungen von Beschäftigten zu erleichtern.
Konzerninterne Datenübermittlung: Konkrete Regelungen sollen in Zukunft Rechtssicherheit bei der Übermittlung personenbezogener Daten von Beschäftigten innerhalb eines Konzerns bringen. Die Übermittlung der Daten soll dadurch deutlich vereinfacht werden, ohne jedoch den Schutz der betroffenen Personen zu schmälern.
Betroffenenrechte: Im Eckpunktepapier werden auch die Betroffenenrechte angesprochen. Auch wenn diese bereits in der DS-GVO geregelt sind, bedürfen die Betroffenenrechte im Beschäftigungsverhältnis einer Konkretisierung. Was damit jedoch genau gemeint ist, wird aus dem Papier nicht ersichtlich. Weiterhin soll in Fällen von unzulässiger Datenerhebungen die Notwendigkeit prozessualer Verwertungsverbote geprüft werden.
BYOD-Regelungen: Als Reaktion auf den zunehmenden Trend, private Endgeräte betrieblich zu nutzen, soll mehr Rechtssicherheit bei der Verwendung privater Endgeräte geschaffen werden.
Prüfung des Betriebsverfassungsrechts: Die Ministerien wollen im letzten Schritt die Modernisierungsbedürftigkeit des Betriebsverfassungsrechts zu prüfen. Hierzu gehört auch die Prüfung, ob Kollektivvereinbarungen als Regelungen für die Verarbeitung von Beschäftigtendaten Klarstellungen bedürfen.
Fazit
Dass die Ministerien nun Vorschläge zur Gestaltung des Beschäftigtendatenschutzes gemacht haben, ist zunächst positiv hervorzuheben. Insbesondere im Beschäftigtendatenschutz bestehen derzeit viele Punkte, die sowohl in der Rechtsprechung als auch in der Literatur umstritten sind. Die Ministerien haben diese bei der Erstellung des Papiers eindeutig berücksichtigt und sich zum Ziel genommen, gerade für die problematischen Themen eine praxisorientierte Lösung herauszuarbeiten und rechtliche Unsicherheiten zu klären.
Allerdings bemüht sich die Bundesregierung nun seit mehreren Jahrzenten zur Schaffung eines konkreten Beschäftigtendatenschutzgesetzes. Nach zahlreichen Bemühungen in der Vergangenheit sind bislang kaum Fortschritte zu verzeichnen. Aus diesem Grund sollte auch jetzt nicht allzu viel Hoffnung auf einen neuen Beschäftigtendatenschutz gesetzt werden. Die Roadmap der Datenstrategie der Bundesregierung nennt nun allerdings das 4. Quartal 2023 als zeitliches Ziel für das Beschäftigtendatenschutzgesetz.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
