Bereits im September des vergangenen Jahres berichteten wir über die Datenstrategie der Bundesregierung und der diesbezüglichen Pläne für den Datenschutz. Hierunter befand sich auch ein neuer Anlauf zur Schaffung eines Beschäftigtendaten(schutz)gesetzes. Die Roadmap der Datenstrategie nannte zum damaligen Zeitpunkt als Ziel für ein solches Gesetz das vierte Quartal 2023. Seitdem war es um die Thematik wieder einmal ruhig geworden und kaum einer rechnete mit einer Umsetzung noch in dieser Legislaturperiode. Doch nun tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf.

Eckpunkte zum Referentenentwurf

Der Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) sowie des Bundesministeriums des Innern und Heimat (BMI) umfasst auf 84 Seiten insgesamt 30 Paragrafen, darunter allgemeine Regelungen zu Datenverarbeitungen, Rechtsgrundlagen und Betroffenenrechten, aber auch Normen für spezifische Verarbeitungssituationen wie Videoüberwachung, Ortung und betriebliches Eingliederungsmanagement. Aufgrund der Formulierung einiger Regelungen und bereits aufgekommener Diskussionen, ist davon auszugehen, dass der derzeit vorliegende Referentenentwurf vor einer Verabschiedung eine Reihe weiterer Anpassungen erfahren wird. Mit Blick auf die kommenden Bundestagswahlen im September 2025 bestehen für das vollständige Durchlaufen des Gesetzgebungsverfahrens für den Gesetzgeber jedoch ebenfalls keine üppigen zeitlichen Reserven. Die weitere Fortentwicklung des Entwurfs wird demnach mit Spannung zu verfolgen sein.

Voraussichtlicher Anwendungsbereich

Mit Blick auf den in § 1 des Referentenentwurfs geregelten Anwendungsbereichs ist festzustellen, dass dieser Parallelen zum Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) aufweist. In der Praxis gelten die Regelungen des Beschäftigtendatengesetzes dann somit für öffentliche Stellen des Bundes (§ 2 Abs. 1, 3 BDSG) und nichtöffentliche Stellen (zum Beispiel Unternehmen oder Vereine, § 2 Abs. 4, 5 BDSG). Für öffentliche Stellen des Landes werden dann hinsichtlich des Beschäftigtendatenschutzes weiterhin etwaige landesspezifische Regelungen, wie sie beispielsweise im Freistaat Sachsen in § 11 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) zu finden sind, Anwendung finden.

Wesentliche Inhalte

Im Rahmen eines kurzen Überblicks werden die – aus unserer Sicht – wesentlichen Inhalte kurz dargestellt und datenschutzrechtlich eingeordnet:

• Begriffsbestimmungen: Die Definition von Beschäftigten wurde im Wesentlichen aus § 26 Abs. 8 BDSG entnommen. Neu ist, dass ebenfalls Praktikanten und Praktikantinnen explizit als Beschäftigte aufgeführt werden. Ergänzt wurde ebenfalls eine Definition des Begriffs Arbeitgeber, wobei auf Grundlage der derzeitigen Formulierungen noch unklar ist, ob diese tatsächlich für ein Mehr an Rechtssicherheit sorgen wird. Hinsichtlich der Definitionen von KI-Systemen und besonderen Kategorien personenbezogener Daten wird auf die KI-Verordnung beziehungsweise auf Art. 9 Abs. 1 DS-GVO verwiesen.

• Prüfung der Erforderlichkeit: Aus § 4 ergibt sich im Allgemeinen welche Kriterien bei der vorangehenden Prüfung der Erforderlichkeit einer Verarbeitung von Beschäftigtendaten anzulegen sind. Hierbei lassen sich Parallelen zu dem bisherigen § 26 BDSG und der einschlägigen Rechtsprechung, aber auch zu Art. 6 Abs. 1 DS-GVO und dem generellen risikobasierten Ansatz finden, welche jedoch nun wesentlich spezifischer ausgeführt werden. Aus Sicht der Verantwortlichen zu kritisieren ist in diesem Kontext sicherlich der steigende Dokumentationsaufwand zur Darlegung der durchgeführten Erforderlichkeitsprüfungen.

• Einwilligung: Auch wenn in Bezug auf die Verarbeitung von Beschäftigtendaten auf Rechtsgrundlage einer Einwilligung eine Reihe von Anforderungen dargelegt werden, wirft die aktuelle Regelung des § 5 auch neue Fragestellungen auf. So stellt § 5 Abs. 2 Nr. 2 lit. a) des Referentenentwurfs beispielsweise dar, dass eine freiwillige Einwilligung im laufenden Beschäftigtenverhältnis für die Nutzung von Fotos im Intranet erteilt werden kann. Unklar ist hierbei, ob eine Freiwilligkeit für Veröffentlichungen im Internet grundsätzlich nicht anzunehmen ist oder im Rahmen einer beispielhaften Aufzählung dieser Anwendungsfall lediglich nicht als darstellungswürdig erachtet wurde.

• Betroffenenrechte: Im Rahmen von § 10 des Referentenentwurfs erfolgt die Einführung eines ergänzenden datenschutzrechtlichen Betroffenenrechts: Beruht die Verarbeitung von Beschäftigtendaten auf den Regelungen des neuen Gesetzes und wird diese auf ein berechtigtes betriebliches oder dienstliches Interesse gestützt, ist der Arbeitgeber auf Verlangen des Arbeitnehmers dazu verpflichtet, die Abwägung der entgegenstehenden Interessen in verständlicher Weise darzulegen. Die Beschäftigten sind im Rahmen der datenschutzrechtlichen Informationspflichten über das Bestehen dieses ergänzenden Rechts hinzuweisen. Auch bei einem Einsatz von KI-Systemen gelten ergänzende Auskunftsrechte gegenüber Beschäftigten.

• Ergänzende Mitbestimmungsrechte des Betriebsrates: Zu Teilen als negatives Highlight des Referentenentwurfs wird die Regelung in § 12 gesehen. Dieser regelt ein Mitbestimmungsrecht des Betriebsrates bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten. Käme hierbei eine Einigung nicht zustande, so entscheidet eine Einigungsstelle nach § 76 des Betriebsverfassungsgesetzes. Unbeschadet der hierzu aufkommenden Diskussion, ob eine solche Regelung überhaupt europarechtskonform wäre, darf stark angezweifelt werden, dass diese Regelung die Abstimmungen in Bundestag und Bundesrat überstehen und somit letzten Endes im Gesetz stehen wird.

• Bewerbungsverfahren: Im Rahmen eines gesonderten Kapitels zur Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses stellt der Gesetzgeber klar, in welchem Rahmen personenbezogene Daten von Bewerbenden verarbeitet werden dürfen. Auch wenn sich innerhalb dieses Kapitels aufgrund der Aufnahme (arbeits-)gerichtlich hergeleiteter Grundsätze kaum Überraschungen ergeben, dürften die hierin angeführten Normen in der Praxis überwiegend für mehr Rechtssicherheit sorgen. Ganz nebenbei stellt § 17 des Referentenentwurfs klar, dass personenbezogene Daten von Bewerbenden spätestens drei Monate nach Absage zu löschen sind. In der datenschutzrechtlichen Praxis bestand bislang Uneinigkeit, ob eine solche Löschung aufgrund der Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) bereits nach drei oder erst nach sechs Monaten zu erfolgen hat.

• Betriebliches Eingliederungsmanagement: Weniger gelungen scheint wiederrum die Regelung des § 29 zum betrieblichen Eingliederungsmanagement. Gemäß § 29 Abs. 1 ist die Verarbeitung von Beschäftigten zur Erfüllung der gesetzlichen Anforderungen aus § 167 Abs. 2 des neunten Buches des Sozialgesetzbuches (SGB IX) sowie zur Erfüllung kollektivrechtlich vereinbarter Pflichten zulässig, soweit die Interessen des Arbeitgebers an einer Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen. Etwas, das zunächst nach Durchführung einer Interessenabwägung klingt (vgl. §§ 4, 10 Ref-E, Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), wird durch § 29 Abs. 2 torpediert, wonach eine ausdrückliche Einwilligung der betroffenen Beschäftigten vorausgesetzt wird. Was den Gesetzgeber zu dieser Regelung führt, ist unklar, insbesondere nachdem das Bundesarbeitsgericht (BAG) erst im Dezember 2022 klarstellte, dass die Durchführung eines betrieblichen Eingliederungsmanagements keine datenschutzrechtliche Einwilligung voraussetze (Urt. v. 15.12.2022, Az. 2 AZR 162/22).

Fazit

Der erste Referentenentwurf ist ein erster Schritt in Richtung Beschäftigtendaten(schutz)gesetz, bis zu einer endgültigen Verabschiedung dürften jedoch noch eine Reihe von Änderungen zu erwarten sein. Das avisierte Ziel zur Schaffung von einem Mehr an Rechtssicherheit kann dem gegenwärtigen Referentenentwurf jedoch nicht vollständig attestiert werden. Weiterhin scheinen einige der vorliegenden Regelungen im Widerspruch zu den sonstigen Vorhaben der Bundesregierung zur Entbürokratisierung zu stehen. Das weitere Gesetzgebungsverfahren wird demnach mit Spannung zu verfolgen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jüngst hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu. Der nachfolgende Beitrag stellt die Hintergründe des Urteils dar.

Zum Sachverhalt

Im vorliegenden Fall handelte es sich um eine Bewerbung auf die ausgeschriebene Stelle für eine:n Volljurist:in im öffentlichen Dienst. Gegen den Bewerber lag eine nicht-rechtskräftige Verurteilung wegen gewerbsmäßigen Betrugs zu einer Freiheitsstrafe von einem Jahr und vier Monaten auf Bewährung vor. Der Vorwurf lautete, der Bewerber habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen zu veranlassen.

Auf Grundlage eines konkreten Verdachts – der zuständige Personaldezernent konnte sich an ein Urteil im Zusammenhang mit dem Namen des Bewerbers erinnern – führte die öffentliche Stelle eine Google-Recherche zum Bewerber durch und stieß hierbei auf einen Wikipedia-Artikel zur Person des Bewerbers, welcher ebenfalls Darstellungen zur nicht-rechtskräftigen Verurteilung enthielt. Die öffentliche Stelle bezog die über die Google-Recherche erlangten Informationen in das Auswahlverfahren ein und lehnte den Bewerber letztendlich ab.

Der erfolglose Bewerber legte hiergegen mit der Begründung Klage ein, die Google-Recherche sowie die Verarbeitung der hieraus gewonnenen personenbezogenen Daten sei datenschutzrechtlich unzulässig gewesen und zudem sei er nicht über diese Verarbeitung seiner personenbezogenen Daten informiert worden.

Zum Urteil

Auf Grundlage des vorliegenden Sachverhaltes führte das LAG Düsseldorf in seinem Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) zunächst aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. Als Rechtsgrundlage komme hierfür Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO in Betracht, wonach eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn diese zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Ein Bewerbungsverfahren kann grundsätzlich eine vorvertragliche Maßnahme darstellen, wobei in der Bewerbung die Anfrage der betroffenen Person zu sehen ist.

Das Gericht stellte zudem fest, dass eine bestehende Vorstrafe einer Eignung im Sinne des Art. 33 Abs. 2 Grundgesetz (Eignung zum öffentlichen Amt) für die betreffende Stelle entgegenstehen kann. Aufgrund des Zusammenhangs zwischen der nicht-rechtskräftigen Verurteilung des Bewerbers und der konkreten Stellenausschreibung, sah das Gericht die fehlende Geeignetheit des Bewerbers als gegeben an. Dementsprechend war auch die Durchführung der Google-Recherche nach Ansicht des Gerichts zulässig: Die öffentliche Stelle ging einem konkreten Verdacht nach, der an der Eignung des Bewerbers zweifeln ließ. Die Recherche diente demnach dem Zweck, die Eignung des Bewerbers zu beurteilen.

Inwieweit die Durchführung einer Google-Recherche ohne konkreten Verdacht zulässig gewesen wäre, ließ das Gericht offen. Aufgrund der in diesem Fall wohl zu verneinenden Erforderlichkeit der Datenverarbeitung, wäre die Zulässigkeit in derartigen Fällen wohl eher anzuzweifeln.

Weiterhin stellte das LAG Düsseldorf jedoch fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Zwar wurde dem Bewerber im Rahmen des Bewerbungsgespräches offengelegt, dass der betreffende Wikipedia-Artikel gesichtet worden sei, es fehlte jedoch an einer Darstellung, welche konkreten personenbezogenen Daten aus diesem Artikel im Rahmen des Bewerbungsverfahrens verarbeitet wurden. Hierin sah das Gericht einen erheblichen Kontrollverlust seitens des Bewerbers, der gemäß Art. 82 Abs. 1 DS-GVO einen Anspruch auf Schadenersatz, in diesem konkreten Fall in Höhe von 1.000 Euro auslöste.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.