Der Europäische Gerichtshof (EuGH) wurde kürzlich mit der Frage konfrontiert, ob die Vorschriften des hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) mit den Regelungen der DS-GVO vereinbar sind. Anlass für die Prüfung dieser Frage durch den EuGH war ein Rechtsstreit zwischen dem Hauptpersonalrat der Lehrer und dem hessischen Kultusministerium. Im Genaueren ging es um das Thema Unterricht per Videokonferenz im Zuge der Notwendigkeit durch die Corona-Pandemie. Der Rechtsstreit sollte die Frage klären, ob das Halten des Unterrichts per Livestream einwilligungsbedürftig seitens des Lehrpersonals ist.

Ausgangssituation

Das Verwaltungsgericht Wiesbaden legte den Fall dem EuGH aufgrund der Regelungen des HDSIG zu Prüfung vor. Das Verwaltungsgericht stellte dem EuGH die grundlegende Frage, ob die Regelungen des § 23 Abs. 1 S. 1 HDSIG mit den Anforderungen des Art. 88 Abs. 2 DS-GVO vereinbar sind, nachdem das Gericht ebendies bezweifelte. Der EuGH musste sich nun mit der Frage befassen, ob die oben genannte Vorschrift zur Umsetzung der Eröffnungsklausel anwendbar ist, wenn diese die strengen Voraussetzungen des Art. 88 Abs. 2 DS-GVO nicht erfüllt.

Konsequenzen des Urteils auf den nationalen Beschäftigtendatenschutz

Das Urteil des EuGH vom 30. März 23 (Az.: C-34/21) und die möglicherweise damit einhergehenden Konsequenzen zu der anfangs fast schon harmlos klingenden Ausgangssituation, sorgte zum Teil für eine große Überraschung. Denn laut Urteil des EuGH wird eine nationale Regelung eben nicht von der Öffnungsklausel in Art. 88 Abs. 1 DS-GVO umfasst, sofern die jeweilige nationale Regelung die Voraussetzungen des Art. 88 Abs. 2 DS-GVO nicht erfüllt.

In dem vorliegenden Fall hat der EuGH es letztendlich dem Verwaltungsgericht überlassen zu entscheiden, ob die Regelungen des § 23 Abs. 1 S. 1 HDSIG mit denen der DS-GVO vereinbar sind, positionierte sich jedoch unmissverständlich auf die Seite des Verwaltungsgerichts und deutete an, dass er die Vorschriften eher nicht mit denen des Art. 88 DS-GVO als vereinbar sieht.

Zunächst betrifft die EuGH-Entscheidung lediglich diese eine Regelung des hessischen Datenschutzrechts. Der Grund, weshalb das Urteil solch hohe Wellen schlägt, ist die nahezu Deckungsgleichheit des § 23 HDSIG mit § 26 BDSG. Die Ausführungen des EuGH könnten deshalb auch auf § 26 Abs. 1 S. 1 BDSG angewandt werden, welche bislang als die zentrale Rechtsgrundlage für die Datenverarbeitung im Beschäftigtenkontext gesehen wird. Hieraus wird auch die mögliche Reichweite des Urteils klar: Aufgrund der Tatsache, dass die Regelungen beider Gesetze nahezu identisch sind, macht sich vermehrt Zweifel über die zukünftige Anwendbarkeit des § 26 BDSG breit.

Handlungsbedarf für Arbeitgeber?

Falls Sie sich jetzt Sorgen machen, dass Sie nun personenbezogene Daten Ihrer Beschäftigten nicht mehr verarbeiten dürfen, können wir Entwarnung geben. § 26 BDSG ist nicht die einzige Rechtsgrundlage, welche für die Verarbeitung von Beschäftigtendaten herangezogen werden kann. Alternativen wären hier Art. 6 Abs. 1 lit. b) und f) zu erwähnen. Und da der EuGH den Ball zum Verwaltungsgericht zurückgeworfen hat, ist derzeit noch nichts entschieden. Wir raten Ihnen daher, sich bereit zu halten, Ihre Datenschutzinformationen und Verfahrensverzeichnisse entsprechend anzupassen. Ihr Datenschutzbeauftragter wird Ihnen hierbei sicher gern behilflich sein. Wir jedenfalls sind es.

Die Einführung eines Beschäftigtendatenschutzgesetzes wird in Deutschland schon seit Längerem diskutiert. Das Urteil des EuGH dürfte der Diskussion wieder frischen und vor allem einen kräftigen Wind in die Segel pusten.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wer die Titelfrage nicht spontan beantworten kann, ist womöglich trotzdem Datenschutz-Spezialist, aber nicht aktiv im kirchlichen Bereich. Art. 91 DS-GVO enthält die „Öffnungsklausel“ der Datenschutz-Grundverordnung für das kirchliche Datenschutzrecht, hinsichtlich des materiellen Rechts in Abs. 1 und betreffend die Aufsichtsbehörden in Abs. 2.

Soweit, so einfach. Die vollständige Antwort auf die Titelfrage bereitet aber auch den Spezialisten im kirchlichen Datenschutzrecht Schwierigkeiten: Wann genau dürfen Kirchen und Religionsgemeinschaften ein eigenes Datenschutzrecht anwenden und eigene Aufsichtsbehörden einsetzen? Was die Regelungen der DSGVO genau bedeuten, wird wohl auch bei Art. 91 DS-GVO erst in den nächsten Jahren klar. Ein Schritt auf dem Weg der Klärung ist ein Urteil des Verwaltungsgerichts Hannover vom 15. Dezember 2022 (Az. 10 A1195/21).

Geklagt hat die Selbständige Evangelisch-Lutherische Kirche (SELK) mit Sitz in Hannover gegen die Landesbeauftragte für Datenschutz Niedersachsen. Die SELK ist als Körperschaft des öffentlichen Rechts anerkannt und verfügt derzeit über etwa 150 Gemeinden mit mehr als 32.000 Mitgliedern. Mit ihrer Gerichtsklage wollte die SELK – nachdem die Niedersächsische Aufsichtsbehörde sich als kontrollbefugt sah – ihr eigenes Datenschutzrecht und die eigene Datenschutzaufsicht durchsetzen. Das ist in erster Instanz misslungen; die Klage wurde vom VG Hannover abgewiesen. Wegen grundsätzlicher Bedeutung hat das Verwaltungsgericht aber eine Berufung erlaubt und Berufung wurde eingelegt. Nun wird das Thema also erneut – beim Niedersächsischen Oberverwaltungsgericht in Lüneburg – verhandelt, vielleicht (und hoffentlich) auch unter Beteiligung des Europäischen Gerichtshofs (EuGH).

Was ist daran spannend?

Art. 91 DS-GVO bezieht sich im Titel auf bestehende Datenschutzvorschriften von Kirchen und Religionsgemeinschaften. Nach Abs. 1 dürfen solche Regeln unter zwei Bedingungen weiter angewendet werden: Sie müssen „zum Zeitpunkt des Inkrafttretens dieser Verordnung“ als „umfassende Regeln“ schon existiert haben und „mit dieser Verordnung in Einklang gebracht werden“. Bei der SELK existierte seit 1993 eine Richtlinie über den Datenschutz, die zum 24. Mai 2018 gründlich überarbeitet (im Wesentlichen dem Datenschutzgesetz der Evangelischen Kirche Deutschlands angepasst) wurde. Ein Jurist wurde zum Datenschutzbeauftragten und als Aufsichtsbehörde berufen.

Nachdem die Niedersächsische Landesbeauftragte dies zunächst (2019) anerkannte, sieht sie sich seit 2020 als aufsichtszuständig an, weil Art. 91 DS-GVO nicht eingreife: Die SELK habe am25. Mai 2016 keine umfassenden Regelungen zum Datenschutz besessen.

In der Fachliteratur ist noch umstritten und ungeklärt, was unter umfassenden Regeln nach Art. 91 Abs. 1 DS-GVO zu verstehen ist und ob diese wirklich bei Inkrafttreten der DS-GVO am 24. Mai 2016 schon existieren mussten oder auch später entstehen dürfen. Für die zweite Frage ist vor allem wichtig, ob man Art. 91 DS-GVO als Bestandsschutzregel versteht – dann die extreme Bedeutung des Stichtags 24.05.2016 – oder als Schutz des Selbstbestimmungsrechts von Kirchen und Religionsgemeinschaften, auch mit Blick auf Art. 22 der EU-Grundrechte-Charta – dann wohl auch spätere Datenschutzregeln zulässig.

Für beide Auffassungen gibt es gute Gründe. Letztlich ist entscheidend, wie der EuGH die Frage beantwortet. Das VG Hannover durfte den EuGH fragen, musste dies aber nicht und hat sich – leider – gegen eine Vorlage nach Luxemburg entschieden. Nun dauert es länger bis zur abschließenden Klärung. Das Niedersächsische OVG wird hoffentlich den EuGH befragen und nicht seinerseits diese Aufgabe wieder der nächsten Instanz, dem Bundesverwaltungsgericht, zuschieben. Die Antwort des VG Hannover ist juristisch genauso gut wie die Gegenposition vertretbar; es ist aber „nur“ die Antwort eines Verwaltungsgerichts und nicht die abschließende Klärung durch den EuGH.

Nachdem das VG Hannover die Datenschutz-Richtlinien der SELK von 1993 nicht als umfassende Regeln anerkannte (nur ganz wenige Religionsgemeinschaften, vielleicht überhaupt nur die Evangelische Kirche Deutschlands und die Katholischen Bistümer in Deutschland, dürften vor Mai 2016 „umfassende Datenschutzregeln“ aufgewiesen haben), stellte sich das nächste spannende Problem: Dass die DS-GVO gilt, wenn die Ausnahme nach Art. 91 DS-GVO nicht greift, ist klar. Aber wer ist dann als Datenschutzbehörde für die SELK zuständig?

Art. 51 Abs. 1 DS-GVO überlässt den Mitgliedstaaten die Regeln zur Einrichtung und Zuständigkeit der Aufsichtsbehörden. Und in Deutschland ist dabei vieles (übrigens nicht nur für den hier behandelten Bereich) schiefgegangen. Dies beginnt schon mit der Unterscheidung von öffentlichen und nicht-öffentlichen Stellen, die es in der DS-GVO nicht gibt. Aber das wäre Stoff für einen anderen Blogbeitrag – schreiben Sie uns, falls das Thema Sie interessiert!

Eine öffentliche Stelle des Bundes – beaufsichtigt durch den Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) – ist die SELK nach § 2 Abs. 1 und 3 BDSG jedenfalls nicht. Die Definition für öffentliche Stellen der Länder in § 2 Abs. 2 BDSG und § 1 Abs. 1 des Niedersächsischen Datenschutzgesetzes passt ebenso wenig. Als nicht-öffentliche Stelle gemäß § 2 Abs. 2 BDSG kann man die SELK als Körperschaft des öffentlichen Rechts beim besten oder schlechtesten Willen auch nicht bezeichnen. Damit greift weder die Zuständigkeitsregel für den BfDI nach § 9 Abs. 1 BDSG, noch diejenige zugunsten der Niedersächsischen Datenschutzaufsicht gemäß § 40 BDSG und § 18 i.V.m. § 1 des NDSG.

Fazit

Das VG Hannover erkennt das Problem, überlässt die Lösung aber nicht dem Gesetzgeber, sondern erklärt – sehr forsch – die SELK als Körperschaft des öffentlichen Rechts durch „unionrechtskonforme Auslegung“ von § 40 BDSG und § 22 NDSG zur nicht-öffentlichen Stelle. Den Besonderheiten der Religionsgemeinschaft könne „durch eine schonende Handhabung der Aufsicht Rechnung getragen werden“. Damit hat das VG Hannover im ersten wichtigen Punkt (Stichtag ja oder nein) den Gesetzeswortlaut strengstens befolgt und ihn im zweiten wichtigen Punkt (Aufsichtszuständigkeit) völlig beiseite geschoben. Schade. Nun gilt mindestens bis zur OVG-Entscheidung weiterhin: Abwarten. Erforderlich wäre eine EuGH-Entscheidung zu maßgeblichen Zeitpunkten bei Art. 91 Abs. 1 DSGVO und eine klarere Zuständigkeitsregelung durch den / die deutschen Gesetzgeber.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Richten wir den Blick auf den Beschäftigtendatenschutz, so kommt man derzeit an einer Thematik nicht vorbei: Schaffung eines Beschäftigtendatenschutzgesetzes. Derartige Bestrebungen sind nicht neu und erfreuten insbesondere zur Zeit der ersten großen Datenschutzskandale im Bereich des Beschäftigtendatenschutz, namentlich das Projekt Babylon der Deutschen Bahn und die unerlaubte Überwachung von Beschäftigten durch den Discounter Lidl, großer Aufmerksamkeit. War die Kritik von Arbeitgebern und Gewerkschaften sehr stark, scheiterte der konkrete Gesetzentwurf damals letztendlich im parlamentarischen Verfahren. Warum das Thema gerade jetzt wieder aktuell ist und wie konkret die Schaffung eines Beschäftigtendatenschutzgesetz ist, soll der nachfolgende Beitrag näher beleuchten.

IST DIE SCHAFFUNG EINES BESCHÄFTIGTENDATENSCHUTZGESETZES MÖGLICH?

Art. 88 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) sieht folgende Regelung vor: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen“. Der deutsche Gesetzgeber hat von dieser „Öffnungsklausel“ in der DS-GVO Gebrauch gemacht und den § 26 Bundesdatenschutzgesetz (BDSG) geschaffen. Dieser führt die spezialgesetzlichen Regelungen des § 32 BDSG a.F. fort und wurde der Terminologie der DS-GVO angepasst. Der § 26 BDSG ist somit aktuell – neben zahlreichen spezialgesetzlichen Einzelnormen mit Bezug zum Beschäftigtendatenschutz – der Hauptanknüpfungspunk für Fragen des Beschäftigtendatenschutzes. Darüber hinaus kommt der Beschäftigtendatenschutz in umfangreicher Arbeitsrechtsprechung zum Ausdruck.

Fraglich ist allerdings, ob die Schaffung eines eigenständigen Beschäftigtendatenschutzgesetzes weiterhin möglich ist. Den Bundestagsdrucksachen (BT-Drs. 18/11325) ist jedoch zu entnehmen, dass sich der Gesetzgeber vorbehält „Fragen des Datenschutzes im Beschäftigungsverhältnis […] im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln.“ Und weiter: „Dies gilt insbesondere für das Fragerecht bei der Begründung eines Beschäftigungsverhältnisses, den expliziten Ausschluss von heimlichen Kontrollen im Beschäftigungsverhältnis, die Begrenzung der Lokalisierung von Beschäftigten sowie den Ausschluss von umfassenden Bewegungsprofilen, den Ausschluss von Dauerüberwachungen und die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken.“ Es lässt sich demnach festhalten, dass der Weg zu einem Beschäftigtendatenschutzgesetz weiterhin grundsätzlich beschritten werden kann.

WARUM SCHWELLEN GERADE JETZT DIE FORDERUNGEN?

Ausgangspunkt ist, dass der Koalitionsvertrag auf Bundesebene („Mehr Fortschritt wagen“) auf Seite 17 explizit die Schaffung von Regelungen zum Beschäftigtendatenschutz vorsieht: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“  Vor diesem Hintergrund hat das Bundesministerium für Arbeit und Soziales (BMAS) den interdisziplinären Beirat Beschäftigtendatenschutz eingesetzt, der seinen Abschlussbericht im Januar 2022 fertiggestellt hat. In jenem Bericht spricht sich der Beirat für ein bundeseinheitliches und rechtsverbindliches Regelwerk aus. Es wird außerdem festgestellt, dass der § 26 BDSG in seiner gegenwärtigen Fassung aufgrund der Interpretationsbedürftigkeit zum Schutz vor eingriffsintensiven Datenverarbeitungen in der digitalisierten Arbeitswelt nicht ausreicht. Das Ergebnis ist das Erfordernis der Schaffung ausgewogener konkretisierender gesetzlicher Regelungen für alle Beteiligten, die daneben von untergesetzlichen Regelungen wie Rechtsverordnungen und Kollektivverträgen sowie datenschutzrechtlichen Instrumenten in Form von Verhaltensregeln (Codes of Conduct) im Sinne der Art. 40 f. DS-GVO oder Zertifizierungen nach Art. 42 f. DS-GVO flankiert unterstützt werden sollten. Als Leitgedanken legt der Beirat den verhältnismäßigen Ausgleich der Grundrechte der Beschäftigten und der Arbeitgeber unter besonderer Beachtung des Schutzes der Menschenwürde der Beschäftigten, Technologieneutralität und Technikoffenheit der Regelungen, Transparenz für Beschäftigte und Betriebsräte über die zur Datenverarbeitung verwendeten Einrichtungen und Programme sowie die Gewährleistung einer wirksamen Rechtsdurchsetzung fest. Hierfür wird konkret vorgeschlagen die Erforderlichkeit bei der gesetzlichen Verarbeitungserlaubnis und die Anforderungen an die Einwilligung als Ausdruck der Datensouveränität im Beschäftigungsverhältnis zu konkretisieren, die Bedingungen für Betriebsvereinbarungen als sachliches Regelungsinstrument zu stärken, die datenschutzrechtlichen Anforderungen an den Einsatz künstlicher Intelligenz im Beschäftigungsverhältnis zu regulieren, spezifische Rechte der Betroffenen zu regeln, die Rechtsdurchsetzung zu verbessern und die Stärkung der Datenschutzaufsichtsbehörden sowie die Errichtung neuer Gremien (z.B. Schaffung einer ständigen Beschäftigtendatenschutzkommission beim BMAS sowie ein ständiges Sekretariat des Arbeitskreises Beschäftigtendatenschutz der Datenschutzkonferenz) vorzunehmen.

Darüber hinaus hat der Deutsche Gewerkschaftsbund einen konkreten Entwurf eines umfassenden und individualrechtlich ausgerichteten Beschäftigtendatenschutzgesetz (BeschDSG) vorgelegt. In vielen Punkten bestehen inhaltliche Überschneidungen zu den Empfehlungen des Beirats, sodass mit dem Entwurf insoweit konkret ausformulierte Regelungsvorschläge bestehen bzw. vorgelegt wurden. Der Entwurf bezieht sich in seinem sachlichen Anwendungsbereich auf die Verarbeitung von Beschäftigtendaten in der Anbahnungs- und Durchführungsphase von Beschäftigungsverhältnissen und auf Verarbeitungen nach deren Beendigung durch den Arbeitgeber und für Verarbeitungen durch Dritte, die vom Arbeitgeber veranlasst oder ermöglicht wurden. Ausgeformt werden einige Grundsätze zur Beschäftigtendatenverarbeitung, z.B. der Grundsatz der Direkterhebung mit explizitem Ausschluss der Erhebung erforderlicher Daten aus dem Internet oder in anderen digitalen Quellen sowie das Verbot der Zusammenführung von Beschäftigtendaten mit personenbezogenen Daten aus anderen Rechtsverhältnissen außerhalb des Beschäftigungsverhältnisses. Weiterhin werden Regelungen zur Datenverarbeitung auf Grundlage einer Einwilligung der Beschäftigten, insbesondere hinsichtlich der Nachweisbarkeit und der Erforderlichkeit, getroffen. Außerdem sollen für die Bewerbungsphase typische Fallkonstellationen festgelegt werden, etwa das Verbot der Verarbeitung biometrischer Daten, das Fragerecht und die Unzulässigkeit bestimmter Fragen sowie Vorgaben für Einstellungstests und -untersuchungen und Entwurf Regelungen zum KI-Einsatz in der Bewerbungsphase. Ferner adressiert der Entwurf Regelungen für die Durchführung von Beschäftigtenverhältnissen bezüglich Kontrollen von Beschäftigten wie bspw. Verhaltens- oder Leistungskontrollen, Aufdeckungen von Straftaten, Video- und Audioüberwachungen, Vorgaben für die Verarbeitung, Verwendung und Übermittlung von Beschäftigtendaten aus Cloud-Umgebungen und „Software as a Service“-Anwendungen sowie Regelungen zu Ortung und Standortbestimmung, biometrische Kontrollverfahren und Beweisverwertungsverbote.

WAS SAGEN DIE DATENSCHUTZAUFSICHTSBEHÖRDEN DAZU?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) hat in einer Entschließung vom 29. April 2022 ebenfalls Stellung zum Vorhaben Beschäftigtendatenschutzgesetz bezogen. Hierin heißt es unter anderem: „Die voranschreitende technische Entwicklung ermöglicht eine immer weitergehende Überwachung von Beschäftigten. Deshalb forderte die […] (DSK) bereits 2014 die Schaffung eines Beschäftigtendatenschutzgesetzes.“ Und weiter: „Die DSK ist der Auffassung, dass weitergehende Regelungen notwendig und überfällig sind: § 26 BDSG ist nicht hinreichend praktikabel, normenklar und sachgerecht. Die Norm ist als Generalklausel formuliert und eröffnet weite Interpretationsspielräume. Dadurch führt sie zu Unklarheiten über die Zulässigkeit von Verarbeitungen personenbezogener Daten im Beschäftigungskontext für Arbeitgeberinnen und Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber, Personalvertretungen oder Gerichte.“ Im weiteren Verlauf fordert die DSK den Gesetzgeber auf, im Rahmen eines eigenständigen Beschäftigtendatenschutzgesetzes mindestens in den folgenden Bereichen gesetzliche Regelungen zu schaffen: Einsatz algorithmischer Systeme einschließlich Künstlicher Intelligenz (KI), Grenzen der Verhaltens- und Leistungskontrolle, Ergänzungen zu den Rahmenbedingungen der Einwilligung, Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen, Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie Art. 6 und Art. 9 DS-GVO, Beweisverwertungsverbote sowie Datenverarbeitungen bei Bewerbungs- und Auswahlverfahren. Die DSK konkretisiert mithin schon sehr weitgehend einen grundlegenden gesetzlichen Rahmen, um in der Anwendung sich von der Generalklausel des § 26 BDSG zu entfernen und die Regelungen zum Beschäftigtendatenschutz auf mehrere Einzelnormen verteilen zu können.

FAZIT

Das akute Problem des § 26 BDSG ist die generalklauselartige Formulierung und die dem gegenüberstehende zunehmende arbeitsgerichtliche Einzelfallkasuistik. Hinzu tritt die stetig voranschreitende Digitalisierung und die damit einhergehenden zunehmenden Risiken bei der Verarbeitung von Beschäftigtendaten. Sofern die Bestrebungen auf dem Weg zu einem eigenständigen Beschäftigtendatenschutzgesetz tatsächlich intensiv vorangetrieben werden sollen, so bedarf es in jedem Fall einer gezielten Auseinandersetzung mit den einzelnen Phasen des Beschäftigtenverhältnisses und den in diesem Zusammenhang zu regulierenden Verarbeitungsfällen von Beschäftigtendaten. Darüber hinaus sollten die Regelungen eines Beschäftigtendatenschutzgesetzes jedenfalls der Digitalisierung sowie dem zunehmenden Einsatz von IT-Systemen und neuen Technologien Rechnung tragen. Sowohl der Berichte des Beirates als auch der konkrete DGB-Entwurf und die Entschließung der DSK adressieren mehr oder weniger die gleichen – durchaus bekannten – Fallkonstellationen und Fragestellungen des Beschäftigtendatenschutzes. Die Regelungsziele dürften demnach klar sein. Handlungsbedarf besteht hinsichtlich der konkreten Ausgestaltung der möglichen künftigen Regeln zum Beschäftigtendatenschutz(gesetz).

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.