Nachdem Änderungen an der DS-GVO lange Zeit als undenkbar galten, kommt nun allmählich Bewegung in die Sache. Die Europäische Kommission plant eine Vereinfachung der Digitalgesetzgebung mittels eines sogenannten „Omnibus“-Gesetzespakets, mit dem die Vorschriften für künstliche Intelligenz, Cybersicherheit und des Daten(schutz)rechts modifiziert werden sollen. Welche Änderungen konkret die DS-GVO betreffen könnten, stellen wir im nachfolgenden Blog-Beitrag kurz dar.

Reichweite personenbezogener Daten

Eine wesentliche Änderung betrifft zunächst die Klarstellung der Begriffsbestimmung von personenbezogenen Daten. Der Kommissionsvorschlag übernimmt hier die aktuelle Rechtsprechung des Europäischen Gerichtshofs und stellt ausdrücklich klar, dass pseudonymisierte Datensätze unter bestimmten Umständen nicht mehr für alle Beteiligten als personenbezogen anzusehen sind. Entscheidend soll künftig allein sein, ob der jeweilige Empfänger über Mittel verfügt, um Personen wieder zu identifizieren. Können Empfänger eine Person hingegen nicht re-identifizieren, sollen die erhaltenen Daten für diese Empfänger außerhalb der datenschutzrechtlichen Regelungen nutzbar sein.

Die Kommission soll zudem per neuem Art. 41a DS-GVO ermächtigt werden, technische Standards festzulegen, welche eine Wiederherstellung des Personenbezugs möglichst ausschließen. Diese Änderungen sollen die Spielräume bei der Datennutzung – etwa für Forschung oder KI-Training – erweitern.

Neue Möglichkeiten für künstliche Intelligenz

Angesichts der rasanten Entwicklung von künstlicher Intelligenz plant die Kommission weiterhin Anpassungen, um Innovation zu erleichtern und Rechtsunsicherheiten auszuräumen. So soll ausdrücklich festgeschrieben werden, dass Verantwortliche personenbezogene Daten zum Training von KI-Modellen auf Basis des berechtigten Interesses verarbeiten dürfen. Hierbei soll es möglich sein, dass große Sprachmodelle auch ohne Einwilligung mit personenbezogenen Daten trainiert werden können – sofern keine anderweitigen Gesetze verletzt werden und alle weiteren datenschutzrechtlichen Anforderungen sowie geeignete Schutzmaßnahmen sichergestellt sind.

Erwähnenswert ist in diesem Kontext auch eine geplante Öffnungsklausel für besondere Kategorien personenbezogener Daten: Im Entwurf wird eine neue Ausnahme (Art. 9 Abs. 2 lit. k) DS-GVO) vorgeschlagen, die es erlauben soll, besondere Kategorien personenbezogener Daten ausnahmsweise im KI-Training zu verarbeiten, wenn deren Vorhandensein unbeabsichtigt ist und der Verantwortliche technisch-organisatorische Maßnahmen ergreift, um solche personenbezogenen Daten möglichst zu vermeiden und zu entfernen. Diese Ausnahme soll auf unvermeidbare, zufällige Einschlüsse derartiger Informationen begrenzt sein und damit den Umgang mit großen Trainingsdatensätzen rechtlich absichern.

Entlastungen bei Informations-, Auskunfts- und Meldepflichten

Auch bei konkreten Pflichten von Verantwortlichen sieht das Omnibus-Paket Erleichterungen vor. Transparenzpflichten gegenüber Betroffenen sollen unter bestimmten Bedingungen entschärft werden: Bereits wenn anzunehmen ist, dass eine Person die erforderlichen Informationen über die Datenverarbeitung bereits hat, soll der Verantwortliche diese Informationen nicht erneut bereitstellen müssen. Ferner soll die Geltendmachung von Betroffenenrechten dahingehend eingeschränkt werden, dass mit diesen ausschließlich datenschutzbezogene Zwecke verfolgt werden dürfen – andernfalls soll es den Verantwortlichen möglich sein, für die Bearbeitung Kosten zu erheben oder dem Antrag nicht nachzugehen.

Auch die Meldepflichten bei Datenschutzverletzungen sollen gezielt angepasst werden. Künftig müssten Datenschutzverletzungen voraussichtlich nur noch dann gegenüber der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, wenn für die Betroffenen ein hohes Risiko besteht. Zudem hätten Verantwortliche für die Vornahme der Meldung etwas mehr Zeit: Geplant ist eine Verlängerung der Frist von 72 auf 96 Stunden. Zudem soll ein zentraler Meldemechanismus eingeführt werden: Über einen einzigen „Single-Entry-Point“ soll ein Verantwortlicher alle nötigen Meldungen gleichzeitig erfüllen können. Aktuell müssen Sicherheits- und Datenschutzvorfälle oft parallel an verschiedene Behörden nach DS-GVO, NIS-2-Richtlinie, DORA, … gemeldet werden – hier soll eine einheitliche Plattform Mehrfachmeldungen ablösen.

ÜberARBEITETE cOOKIE- UND eINWILLIGUNGSREGELN

Besonderes Augenmerk legt der digitale Omnibus auf die Verbesserung der Cookie-Regeln. Das Ziel: Die allgegenwärtigen Cookie-Banner sollen drastisch reduziert werden. Geplant sind nutzerfreundlichere Lösungen: Internetseiten müssen künftig eine einfache Möglichkeit bieten, alle nicht notwendigen Cookies mit einem Klick abzulehnen oder zu akzeptieren. Ein entsprechender Button wird zur Pflicht und getroffene Entscheidungen der Nutzenden sind dann mindestens sechs Monate lang zu respektieren. Außerdem sollen zentrale Datenschutzeinstellungen im Browser oder Betriebssystem greifen: Nutzende können dort generelle Präferenzen festlegen, die Internetseiten automatisiert auslesen und befolgen müssen.

Parallel dazu will die Kommission die Rechtsgrundlagen für Cookies neu ordnen. Geplant ist hierfür ein neuer Art. 88a DS-GVO. Inhaltlich soll neben Einwilligungen auch das berechtigte Interesse als Grundlage für bestimmte Cookies oder vergleichbare Technologien dienen. Die Kommission plant zudem eine Whitelist von unbedenklichen Verwendungszwecken, bei denen Verantwortliche keine Zustimmung einholen müssen, z. B. für rein statistische Reichweitenmessungen oder grundlegende Funktions-Cookies.

Ausblick

Die vorgeschlagenen DS-GVO-Änderungen sollen Teil eines ersten Schritts zur Vereinfachung sein. Sie müssen nun im ordentlichen Gesetzgebungsverfahren vom Europäischen Parlament und den EU-Mitgliedstaaten beraten und beschlossen werden. Für Verantwortliche heißt es jetzt, die weiteren Entwicklungen aufmerksam zu verfolgen. Klar ist jedenfalls: Nach Jahren der Stabilität der DS-GVO zeichnen sich erstmals konkrete Änderungen am europäischen Datenschutzrahmen ab. Mit wesentlichen Änderungen an den durch die Europäische Kommission eingebrachten Vorschlägen wird jedoch zu rechnen sein. Insofern heißt es nun: Warten bis der Bus kommt.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im September des vergangenen Jahres berichteten wir über die Datenstrategie der Bundesregierung und der diesbezüglichen Pläne für den Datenschutz. Hierunter befand sich auch ein neuer Anlauf zur Schaffung eines Beschäftigtendaten(schutz)gesetzes. Die Roadmap der Datenstrategie nannte zum damaligen Zeitpunkt als Ziel für ein solches Gesetz das vierte Quartal 2023. Seitdem war es um die Thematik wieder einmal ruhig geworden und kaum einer rechnete mit einer Umsetzung noch in dieser Legislaturperiode. Doch nun tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf.

Eckpunkte zum Referentenentwurf

Der Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) sowie des Bundesministeriums des Innern und Heimat (BMI) umfasst auf 84 Seiten insgesamt 30 Paragrafen, darunter allgemeine Regelungen zu Datenverarbeitungen, Rechtsgrundlagen und Betroffenenrechten, aber auch Normen für spezifische Verarbeitungssituationen wie Videoüberwachung, Ortung und betriebliches Eingliederungsmanagement. Aufgrund der Formulierung einiger Regelungen und bereits aufgekommener Diskussionen, ist davon auszugehen, dass der derzeit vorliegende Referentenentwurf vor einer Verabschiedung eine Reihe weiterer Anpassungen erfahren wird. Mit Blick auf die kommenden Bundestagswahlen im September 2025 bestehen für das vollständige Durchlaufen des Gesetzgebungsverfahrens für den Gesetzgeber jedoch ebenfalls keine üppigen zeitlichen Reserven. Die weitere Fortentwicklung des Entwurfs wird demnach mit Spannung zu verfolgen sein.

Voraussichtlicher Anwendungsbereich

Mit Blick auf den in § 1 des Referentenentwurfs geregelten Anwendungsbereichs ist festzustellen, dass dieser Parallelen zum Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) aufweist. In der Praxis gelten die Regelungen des Beschäftigtendatengesetzes dann somit für öffentliche Stellen des Bundes (§ 2 Abs. 1, 3 BDSG) und nichtöffentliche Stellen (zum Beispiel Unternehmen oder Vereine, § 2 Abs. 4, 5 BDSG). Für öffentliche Stellen des Landes werden dann hinsichtlich des Beschäftigtendatenschutzes weiterhin etwaige landesspezifische Regelungen, wie sie beispielsweise im Freistaat Sachsen in § 11 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) zu finden sind, Anwendung finden.

Wesentliche Inhalte

Im Rahmen eines kurzen Überblicks werden die – aus unserer Sicht – wesentlichen Inhalte kurz dargestellt und datenschutzrechtlich eingeordnet:

• Begriffsbestimmungen: Die Definition von Beschäftigten wurde im Wesentlichen aus § 26 Abs. 8 BDSG entnommen. Neu ist, dass ebenfalls Praktikanten und Praktikantinnen explizit als Beschäftigte aufgeführt werden. Ergänzt wurde ebenfalls eine Definition des Begriffs Arbeitgeber, wobei auf Grundlage der derzeitigen Formulierungen noch unklar ist, ob diese tatsächlich für ein Mehr an Rechtssicherheit sorgen wird. Hinsichtlich der Definitionen von KI-Systemen und besonderen Kategorien personenbezogener Daten wird auf die KI-Verordnung beziehungsweise auf Art. 9 Abs. 1 DS-GVO verwiesen.

• Prüfung der Erforderlichkeit: Aus § 4 ergibt sich im Allgemeinen welche Kriterien bei der vorangehenden Prüfung der Erforderlichkeit einer Verarbeitung von Beschäftigtendaten anzulegen sind. Hierbei lassen sich Parallelen zu dem bisherigen § 26 BDSG und der einschlägigen Rechtsprechung, aber auch zu Art. 6 Abs. 1 DS-GVO und dem generellen risikobasierten Ansatz finden, welche jedoch nun wesentlich spezifischer ausgeführt werden. Aus Sicht der Verantwortlichen zu kritisieren ist in diesem Kontext sicherlich der steigende Dokumentationsaufwand zur Darlegung der durchgeführten Erforderlichkeitsprüfungen.

• Einwilligung: Auch wenn in Bezug auf die Verarbeitung von Beschäftigtendaten auf Rechtsgrundlage einer Einwilligung eine Reihe von Anforderungen dargelegt werden, wirft die aktuelle Regelung des § 5 auch neue Fragestellungen auf. So stellt § 5 Abs. 2 Nr. 2 lit. a) des Referentenentwurfs beispielsweise dar, dass eine freiwillige Einwilligung im laufenden Beschäftigtenverhältnis für die Nutzung von Fotos im Intranet erteilt werden kann. Unklar ist hierbei, ob eine Freiwilligkeit für Veröffentlichungen im Internet grundsätzlich nicht anzunehmen ist oder im Rahmen einer beispielhaften Aufzählung dieser Anwendungsfall lediglich nicht als darstellungswürdig erachtet wurde.

• Betroffenenrechte: Im Rahmen von § 10 des Referentenentwurfs erfolgt die Einführung eines ergänzenden datenschutzrechtlichen Betroffenenrechts: Beruht die Verarbeitung von Beschäftigtendaten auf den Regelungen des neuen Gesetzes und wird diese auf ein berechtigtes betriebliches oder dienstliches Interesse gestützt, ist der Arbeitgeber auf Verlangen des Arbeitnehmers dazu verpflichtet, die Abwägung der entgegenstehenden Interessen in verständlicher Weise darzulegen. Die Beschäftigten sind im Rahmen der datenschutzrechtlichen Informationspflichten über das Bestehen dieses ergänzenden Rechts hinzuweisen. Auch bei einem Einsatz von KI-Systemen gelten ergänzende Auskunftsrechte gegenüber Beschäftigten.

• Ergänzende Mitbestimmungsrechte des Betriebsrates: Zu Teilen als negatives Highlight des Referentenentwurfs wird die Regelung in § 12 gesehen. Dieser regelt ein Mitbestimmungsrecht des Betriebsrates bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten. Käme hierbei eine Einigung nicht zustande, so entscheidet eine Einigungsstelle nach § 76 des Betriebsverfassungsgesetzes. Unbeschadet der hierzu aufkommenden Diskussion, ob eine solche Regelung überhaupt europarechtskonform wäre, darf stark angezweifelt werden, dass diese Regelung die Abstimmungen in Bundestag und Bundesrat überstehen und somit letzten Endes im Gesetz stehen wird.

• Bewerbungsverfahren: Im Rahmen eines gesonderten Kapitels zur Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses stellt der Gesetzgeber klar, in welchem Rahmen personenbezogene Daten von Bewerbenden verarbeitet werden dürfen. Auch wenn sich innerhalb dieses Kapitels aufgrund der Aufnahme (arbeits-)gerichtlich hergeleiteter Grundsätze kaum Überraschungen ergeben, dürften die hierin angeführten Normen in der Praxis überwiegend für mehr Rechtssicherheit sorgen. Ganz nebenbei stellt § 17 des Referentenentwurfs klar, dass personenbezogene Daten von Bewerbenden spätestens drei Monate nach Absage zu löschen sind. In der datenschutzrechtlichen Praxis bestand bislang Uneinigkeit, ob eine solche Löschung aufgrund der Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) bereits nach drei oder erst nach sechs Monaten zu erfolgen hat.

• Betriebliches Eingliederungsmanagement: Weniger gelungen scheint wiederrum die Regelung des § 29 zum betrieblichen Eingliederungsmanagement. Gemäß § 29 Abs. 1 ist die Verarbeitung von Beschäftigten zur Erfüllung der gesetzlichen Anforderungen aus § 167 Abs. 2 des neunten Buches des Sozialgesetzbuches (SGB IX) sowie zur Erfüllung kollektivrechtlich vereinbarter Pflichten zulässig, soweit die Interessen des Arbeitgebers an einer Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen. Etwas, das zunächst nach Durchführung einer Interessenabwägung klingt (vgl. §§ 4, 10 Ref-E, Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), wird durch § 29 Abs. 2 torpediert, wonach eine ausdrückliche Einwilligung der betroffenen Beschäftigten vorausgesetzt wird. Was den Gesetzgeber zu dieser Regelung führt, ist unklar, insbesondere nachdem das Bundesarbeitsgericht (BAG) erst im Dezember 2022 klarstellte, dass die Durchführung eines betrieblichen Eingliederungsmanagements keine datenschutzrechtliche Einwilligung voraussetze (Urt. v. 15.12.2022, Az. 2 AZR 162/22).

Fazit

Der erste Referentenentwurf ist ein erster Schritt in Richtung Beschäftigtendaten(schutz)gesetz, bis zu einer endgültigen Verabschiedung dürften jedoch noch eine Reihe von Änderungen zu erwarten sein. Das avisierte Ziel zur Schaffung von einem Mehr an Rechtssicherheit kann dem gegenwärtigen Referentenentwurf jedoch nicht vollständig attestiert werden. Weiterhin scheinen einige der vorliegenden Regelungen im Widerspruch zu den sonstigen Vorhaben der Bundesregierung zur Entbürokratisierung zu stehen. Das weitere Gesetzgebungsverfahren wird demnach mit Spannung zu verfolgen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemäß Art. 33 Abs. 1 DS-GVO müssen Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden. Nach aktueller Rechtslage werden Wochenenden und gesetzliche Feiertage bei der Fristenberechnung nicht ausgenommen. Ein Vorschlag der Europäischen Kommission aus Juli 2023, die zugrundeliegende Berechnungsweise abzuändern, scheint vorerst gescheitert. Ein kurzer Überblick.

Kenntnisnahme einer Datenschutzverletzung

Der maßgebliche Zeitpunkt für die Berechnung der 72-Stunden-Frist ist zunächst die Kenntnisnahme der Datenschutzverletzung seitens des Verantwortlichen. Dabei ist zu berücksichtigen, dass für die Kenntniszurechnung in der Regel niedrige Hürden anzunehmen sind. So kann die 72-Stunden-Frist durchaus bereits dann zu laufen beginnen, wenn eine einzelne beschäftigte Person das Vorliegen einer Datenschutzverletzung wahrnimmt oder das Vorliegen einer solchen zumindest vermutet. Insofern ist es essenziell, dass die Beschäftigten sensibilisiert sind, derartige Ereignisse unverzüglich an den direkten Vorgesetzten und den Datenschutzbeauftragten mitzuteilen – auch an einem Freitagnachmittag kurz vor dem Feierabend.

Aktuelle Berechnungsgrundlage der 72-Stunden-Frist

Nach Kenntnisnahme der Datenschutzverletzung in der Sphäre des Verantwortlichen bemisst sich der Startzeitpunkt der 72-Stunden-Frist aktuell nach Art. 3 Abs. 1 der Verordnung Nr. 1182/71 vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine. Darin heißt es: „Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.“ Das heißt, tritt die Kenntnisnahme der Datenschutzverletzung am Freitag um 15:23 Uhr ein, beginnt die 72-Stunden-Frist am Freitag um 16:00 Uhr.

Art. 3 Abs. 2 lit. a) ergänzt: „Eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.“ Die 72-Stunden-Frist endet demnach am Montag – auch wenn es sich hierbei um einen gesetzlichen Feiertag handelt – um 15:59 Uhr (und 59 Sekunden).

Vorschlag der Europäischen Kommission

Nach einem Verordnungsvorschlag der Europäischen Kommission zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 würde im oben benannten Beispielsfall die 72-Stunden-Frist erst am Montag um 0:00 Uhr beginnen, denn in Art. 29 Abs. 2 des ursprünglichen Vorschlages heißt es: „Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“ Darüber hinaus stellt Art. 29 Abs. 1 klar, dass (weiterhin) die Regelungen der zuvor benannten Verordnung Nr. 1182/71 gelten sollen, in der es in Art. 2 Abs. 2 heißt: „Für die Anwendung dieser Verordnung sind als Arbeitstage alle Tage außer Feiertagen, Sonntagen und Sonnabenden zu berücksichtigen.“

Ein ähnlicher Zeitgewinn würde im Übrigen auch dann entstehen, wenn die 72-Stunden-Frist einen Feiertag oder ein Wochenende umfasst oder das Ende der 72-Stunden-Frist auf einen Feiertag oder ein Wochenende fällt. Hierbei ist wiederrum die bereits bestehende Regelung des Art. 3 Abs. 3 der Verordnung Nr. 1182/71 ausschlaggebend: „Die Fristen umfassen die Feiertage, die Sonntage und die Sonnabende, soweit diese nicht ausdrücklich ausgenommen oder die Fristen nach Arbeitstagen bemessen sind.“

Würde obiger Vorschlag tatsächlich umgesetzt, würde dies für einen Verantwortlichen mit Sitz im Freistaat Sachsen bedeuten, dass mit Kenntnisnahme einer Datenschutzverletzung am Freitag, 15. November 2024, die 72-Stunden-Frist erst am Montag, 18. November 2024 um 0:00 Uhr beginnt und aufgrund des Buß- und Bettags am Mittwoch, 20. November 2024 erst am Donnerstag, 21. November 2024 um 23:59 Uhr endet. – Hinweise auf Rechenfehler nimmt der Autor dankend entgegen.

Für Verantwortliche würde die Umsetzung des Vorschlages der Europäischen Kommission erhebliche zeitliche Entlastungen mit sich bringen. Jedoch wurde der Verordnungsvorschlag im Rahmen der ersten Lesung am 10. April 2024 im Europäischen Parlament behandelt und zunächst mit einigen Abänderungen an den zuständigen LIBE-Ausschuss zurücküberwiesen. In dem entsprechenden Dokument heißt es nun unter Abänderung 202 zu Art. 29 lediglich: „entfällt“. Auch unter Berücksichtigung der Ergebnisse des weiteren Verfahrens scheint somit (vorerst) alles beim Alten zu bleiben.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Richten wir den Blick auf den Beschäftigtendatenschutz, so kommt man derzeit an einer Thematik nicht vorbei: Schaffung eines Beschäftigtendatenschutzgesetzes. Derartige Bestrebungen sind nicht neu und erfreuten insbesondere zur Zeit der ersten großen Datenschutzskandale im Bereich des Beschäftigtendatenschutz, namentlich das Projekt Babylon der Deutschen Bahn und die unerlaubte Überwachung von Beschäftigten durch den Discounter Lidl, großer Aufmerksamkeit. War die Kritik von Arbeitgebern und Gewerkschaften sehr stark, scheiterte der konkrete Gesetzentwurf damals letztendlich im parlamentarischen Verfahren. Warum das Thema gerade jetzt wieder aktuell ist und wie konkret die Schaffung eines Beschäftigtendatenschutzgesetz ist, soll der nachfolgende Beitrag näher beleuchten.

IST DIE SCHAFFUNG EINES BESCHÄFTIGTENDATENSCHUTZGESETZES MÖGLICH?

Art. 88 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) sieht folgende Regelung vor: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen“. Der deutsche Gesetzgeber hat von dieser „Öffnungsklausel“ in der DS-GVO Gebrauch gemacht und den § 26 Bundesdatenschutzgesetz (BDSG) geschaffen. Dieser führt die spezialgesetzlichen Regelungen des § 32 BDSG a.F. fort und wurde der Terminologie der DS-GVO angepasst. Der § 26 BDSG ist somit aktuell – neben zahlreichen spezialgesetzlichen Einzelnormen mit Bezug zum Beschäftigtendatenschutz – der Hauptanknüpfungspunk für Fragen des Beschäftigtendatenschutzes. Darüber hinaus kommt der Beschäftigtendatenschutz in umfangreicher Arbeitsrechtsprechung zum Ausdruck.

Fraglich ist allerdings, ob die Schaffung eines eigenständigen Beschäftigtendatenschutzgesetzes weiterhin möglich ist. Den Bundestagsdrucksachen (BT-Drs. 18/11325) ist jedoch zu entnehmen, dass sich der Gesetzgeber vorbehält „Fragen des Datenschutzes im Beschäftigungsverhältnis […] im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln.“ Und weiter: „Dies gilt insbesondere für das Fragerecht bei der Begründung eines Beschäftigungsverhältnisses, den expliziten Ausschluss von heimlichen Kontrollen im Beschäftigungsverhältnis, die Begrenzung der Lokalisierung von Beschäftigten sowie den Ausschluss von umfassenden Bewegungsprofilen, den Ausschluss von Dauerüberwachungen und die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken.“ Es lässt sich demnach festhalten, dass der Weg zu einem Beschäftigtendatenschutzgesetz weiterhin grundsätzlich beschritten werden kann.

WARUM SCHWELLEN GERADE JETZT DIE FORDERUNGEN?

Ausgangspunkt ist, dass der Koalitionsvertrag auf Bundesebene („Mehr Fortschritt wagen“) auf Seite 17 explizit die Schaffung von Regelungen zum Beschäftigtendatenschutz vorsieht: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“  Vor diesem Hintergrund hat das Bundesministerium für Arbeit und Soziales (BMAS) den interdisziplinären Beirat Beschäftigtendatenschutz eingesetzt, der seinen Abschlussbericht im Januar 2022 fertiggestellt hat. In jenem Bericht spricht sich der Beirat für ein bundeseinheitliches und rechtsverbindliches Regelwerk aus. Es wird außerdem festgestellt, dass der § 26 BDSG in seiner gegenwärtigen Fassung aufgrund der Interpretationsbedürftigkeit zum Schutz vor eingriffsintensiven Datenverarbeitungen in der digitalisierten Arbeitswelt nicht ausreicht. Das Ergebnis ist das Erfordernis der Schaffung ausgewogener konkretisierender gesetzlicher Regelungen für alle Beteiligten, die daneben von untergesetzlichen Regelungen wie Rechtsverordnungen und Kollektivverträgen sowie datenschutzrechtlichen Instrumenten in Form von Verhaltensregeln (Codes of Conduct) im Sinne der Art. 40 f. DS-GVO oder Zertifizierungen nach Art. 42 f. DS-GVO flankiert unterstützt werden sollten. Als Leitgedanken legt der Beirat den verhältnismäßigen Ausgleich der Grundrechte der Beschäftigten und der Arbeitgeber unter besonderer Beachtung des Schutzes der Menschenwürde der Beschäftigten, Technologieneutralität und Technikoffenheit der Regelungen, Transparenz für Beschäftigte und Betriebsräte über die zur Datenverarbeitung verwendeten Einrichtungen und Programme sowie die Gewährleistung einer wirksamen Rechtsdurchsetzung fest. Hierfür wird konkret vorgeschlagen die Erforderlichkeit bei der gesetzlichen Verarbeitungserlaubnis und die Anforderungen an die Einwilligung als Ausdruck der Datensouveränität im Beschäftigungsverhältnis zu konkretisieren, die Bedingungen für Betriebsvereinbarungen als sachliches Regelungsinstrument zu stärken, die datenschutzrechtlichen Anforderungen an den Einsatz künstlicher Intelligenz im Beschäftigungsverhältnis zu regulieren, spezifische Rechte der Betroffenen zu regeln, die Rechtsdurchsetzung zu verbessern und die Stärkung der Datenschutzaufsichtsbehörden sowie die Errichtung neuer Gremien (z.B. Schaffung einer ständigen Beschäftigtendatenschutzkommission beim BMAS sowie ein ständiges Sekretariat des Arbeitskreises Beschäftigtendatenschutz der Datenschutzkonferenz) vorzunehmen.

Darüber hinaus hat der Deutsche Gewerkschaftsbund einen konkreten Entwurf eines umfassenden und individualrechtlich ausgerichteten Beschäftigtendatenschutzgesetz (BeschDSG) vorgelegt. In vielen Punkten bestehen inhaltliche Überschneidungen zu den Empfehlungen des Beirats, sodass mit dem Entwurf insoweit konkret ausformulierte Regelungsvorschläge bestehen bzw. vorgelegt wurden. Der Entwurf bezieht sich in seinem sachlichen Anwendungsbereich auf die Verarbeitung von Beschäftigtendaten in der Anbahnungs- und Durchführungsphase von Beschäftigungsverhältnissen und auf Verarbeitungen nach deren Beendigung durch den Arbeitgeber und für Verarbeitungen durch Dritte, die vom Arbeitgeber veranlasst oder ermöglicht wurden. Ausgeformt werden einige Grundsätze zur Beschäftigtendatenverarbeitung, z.B. der Grundsatz der Direkterhebung mit explizitem Ausschluss der Erhebung erforderlicher Daten aus dem Internet oder in anderen digitalen Quellen sowie das Verbot der Zusammenführung von Beschäftigtendaten mit personenbezogenen Daten aus anderen Rechtsverhältnissen außerhalb des Beschäftigungsverhältnisses. Weiterhin werden Regelungen zur Datenverarbeitung auf Grundlage einer Einwilligung der Beschäftigten, insbesondere hinsichtlich der Nachweisbarkeit und der Erforderlichkeit, getroffen. Außerdem sollen für die Bewerbungsphase typische Fallkonstellationen festgelegt werden, etwa das Verbot der Verarbeitung biometrischer Daten, das Fragerecht und die Unzulässigkeit bestimmter Fragen sowie Vorgaben für Einstellungstests und -untersuchungen und Entwurf Regelungen zum KI-Einsatz in der Bewerbungsphase. Ferner adressiert der Entwurf Regelungen für die Durchführung von Beschäftigtenverhältnissen bezüglich Kontrollen von Beschäftigten wie bspw. Verhaltens- oder Leistungskontrollen, Aufdeckungen von Straftaten, Video- und Audioüberwachungen, Vorgaben für die Verarbeitung, Verwendung und Übermittlung von Beschäftigtendaten aus Cloud-Umgebungen und „Software as a Service“-Anwendungen sowie Regelungen zu Ortung und Standortbestimmung, biometrische Kontrollverfahren und Beweisverwertungsverbote.

WAS SAGEN DIE DATENSCHUTZAUFSICHTSBEHÖRDEN DAZU?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) hat in einer Entschließung vom 29. April 2022 ebenfalls Stellung zum Vorhaben Beschäftigtendatenschutzgesetz bezogen. Hierin heißt es unter anderem: „Die voranschreitende technische Entwicklung ermöglicht eine immer weitergehende Überwachung von Beschäftigten. Deshalb forderte die […] (DSK) bereits 2014 die Schaffung eines Beschäftigtendatenschutzgesetzes.“ Und weiter: „Die DSK ist der Auffassung, dass weitergehende Regelungen notwendig und überfällig sind: § 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.“ Im weiteren Verlauf fordert die DSK den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in den folgenden Bereichen gesetzliche Regelungen zu schaffen: Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI), Grenzen der Verhaltens- und Leistungskontrolle, Ergänzungen zu den Rahmenbedingungen der Einwilligung, Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen, Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie Art. 6 und Art. 9 DS-GVO, Beweisverwertungsverbote sowie Datenverarbeitungen bei Bewerbungs- und Auswahlverfahren. Die DSK konkretisiert mithin schon sehr weitgehend einen grundlegenden gesetzlichen Rahmen, um in der Anwendung sich von der Generalklausel des § 26 BDSG zu entfernen und die Regelungen zum Beschäftigtendatenschutz auf mehrere Einzelnormen verteilen zu können.

FAZIT

Das akute Problem des § 26 BDSG ist die generalklauselartige Formulierung und die dem gegenüberstehende zunehmende arbeitsgerichtliche Einzelfallkasuistik. Hinzu tritt die stetig voranschreitende Digitalisierung und die damit einhergehenden zunehmenden Risiken bei der Verarbeitung von Beschäftigtendaten. Sofern die Bestrebungen auf dem Weg zu einem eigenständigen Beschäftigtendatenschutzgesetz tatsächlich intensiv vorangetrieben werden sollen, so bedarf es in jedem Fall einer gezielten Auseinandersetzung mit den einzelnen Phasen des Beschäftigtenverhältnisses und den in diesem Zusammenhang zu regulierenden Verarbeitungsfällen von Beschäftigtendaten. Darüber hinaus sollten die Regelungen eines Beschäftigtendatenschutzgesetzes jedenfalls der Digitalisierung sowie dem zunehmenden Einsatz von IT-Systemen und neuen Technologien Rechnung tragen. Sowohl der Berichte des Beirates als auch der konkrete DGB-Entwurf und die Entschließung der DSK adressieren mehr oder weniger die gleichen – durchaus bekannten – Fallkonstellationen und Fragestellungen des Beschäftigtendatenschutzes. Die Regelungsziele dürften demnach klar sein. Handlungsbedarf besteht hinsichtlich der konkreten Ausgestaltung der möglichen künftigen Regeln zum Beschäftigtendatenschutz(gesetz).

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.