Kommt ein deutsches Beschäftigtendatenschutzgesetz?
Möglicherweise wird bald ein neues Kapitel im deutschen Datenschutz aufgeschlagen: die Bundesregierung plant nach dem Koalitionsvertrag die Einführung eines eigenständigen Beschäftigtendatenschutzgesetzes. Dieser Plan wurde auch in der jüngst veröffentlichten Digitalstrategie für das vierte Quartal 2023 angekündigt. In den letzten Jahrzehnten gab es mehrere solche Pläne – von denen bisher keiner umgesetzt wurde. Daher wird es spannend zu sehen sein, ob ein Referentenentwurf tatsächlich vorgelegt wird und sich eine politische Mehrheit für das geplante Gesetz finden wird.
Im April 2023 wurde das wegweisende Eckpunktepapier mit dem Titel „Vorschläge für einen zeitgemäßen Beschäftigtendatenschutz“ vom Bundesinnenministerium (BMI) und dem Bundesarbeitsministerium (BMAS) veröffentlicht. In diesem Beitrag werden wir die Hintergründe zu den Plänen der Bundesregierung, die EuGH-Rechtsprechung zur Reichweite der Öffnungsklausel bzw. der nationalen Bestimmungen und die möglichen Auswirkungen auf den deutschen Beschäftigtendatenschutz genauer beleuchten.
Beschäftigtendatenschutz – Anpassungen im nationalen Recht erforderlich?
Die Datenschutz-Grundverordnung (DSGVO) gilt in der gesamten Europäischen Union unmittelbar und genießt Vorrang vor nationalen Datenschutzgesetzen. Dennoch räumt die DSGVO den Mitgliedstaaten im Rahmen der sog. Öffnungsklauseln die Möglichkeit ein, nationalrechtliche Datenschutzvorschriften in speziellen Fällen zu erlassen, darunter auch Regelungen für den Umgang mit Beschäftigtendaten, Art. 88 Abs. 1 der DSGVO fallen. In Deutschland wurde von dieser Möglichkeit Gebrauch gemacht, indem § 26 Bundesdatenschutzgesetz (BDSG) Bedingungen festlegt, unter denen die Verarbeitung personenbezogener Daten in Beschäftigtenverhältnissen erlaubt ist.
In seinem Urteil vom 30. März 2023 – C‑34/21 stellte der EuGH klar, dass § 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) die Anforderungen von Art. 88 DSGVO nicht einhält. Gleiches wird wohl auch für § 26 BDSG gelten, der z. B. konkrete Maßnahmen zur Wahrung der berechtigten Interessen und der Grundrechte der Beschäftigten beinhalten müsste, um mit der DSGVO vereinbar zu sein. Der deutsche Gesetzgeber nimmt die EuGH-Entscheidung zum Anlass, die Notwendigkeit zur Einführung eines eigenständigen Beschäftigtendatenschutzgesetzes zu begründen, wobei fraglich ist, ob dabei die strengen Vorgaben von Art. 88 und Art. 6 DSGVO eingehalten werden können, da der nationale Gesetzgeber keine Erlaubnistatbestände über Art. 6 DSGVO hinaus schaffen darf. Es ist eigentlich ausreichend, auf die Bestimmungen der DSGVO zurückzugreifen, die die notwendige Flexibilität auch für den Beschäftigtendatenschutz bilden.
Vorschläge der Bundesregierung für ein neues Beschäftigtendatenschutzgesetz
Das Positionspapier „Vorschläge für einen modernen Beschäftigtendatenschutz“ wurde Mitte April 2023 durch Frag Den Staat veröffentlicht (eine offizielle Veröffentlichung über die Ministerien ist nicht erfolgt). Laut dem Positionspapier soll das neue Gesetz eine breite Palette von Themen abdecken, die wir nachfolgend kurz vorstellen und bewerten:
- Überwachung und Kontrolle von Beschäftigten am Arbeitsplatz
Das Gesetz soll Regelungen über die dauerhafte Verarbeitung von Beschäftigtendaten treffen und erlaubte Fälle der Datenverarbeitung anhand von Ausnahmetatbeständen regeln. Insbesondere das Erfassen von Beschäftigtendaten in Echtzeit soll strengen Vorgaben unterliegen und nur in Ausnahmefällen zulässig sein. Datenerfassungen in Echtzeit sind durch die steigenden technischen Möglichkeiten, wie beispielsweise der Einsatz vernetzter Geräte in verschiedensten Branchen, zunehmend von praktischer Relevanz. Sowohl Beschäftigte als auch für Arbeitgeber:innen könnten von einer detaillierteren Regelung der Leistungskontrolle profitieren, wobei Rechtssicherheit und Transparenz nur sichergestellt werden, wenn das Gesetz klare Vorgaben macht (die derzeit aufgrund der BAG-Rechtsprechung grundsätzlich bereits bestehen).
- Künstliche Intelligenz in der Arbeitswelt
Mit Blick auf das allgegenwärtige Thema künstlicher Intelligenz (KI) plant der Gesetzgeber, Regelungen für typische Datenverarbeitungsvorgänge im Beschäftigungskontext, die auf KI basieren (könnten), zu treffen. Erklärtes Regelungsziel ist vor allem eine verbesserte Transparenz und Schutz vor Diskriminierung durch KI-Systeme, beispielsweise in den Bereichen Bewerberauswahl, Leistungsbeurteilung oder Aufgabenzuweisung. Der Entwurf für eine KI-Verordnung der EU, die sich bereits im Trilogverfahren befindet, beinhaltet allerdings bereits umfassende Regelungen für die Transparenz bei der Verwendung von KI und trifft Maßnahmen gegen Diskriminierung bei der Entscheidungsfindung von KI-Systemen (bspw. Art. 4a, 10 Abs. 2 lit. f und 52 KI-VO-E). Daher ist es möglich, dass spezielle KI-Regelungen im Beschäftigtenkontext neben der KI-Verordnung redundant sein werden.
- Zulässige Fragen und Bedingungen für Tests und Untersuchungen im Bewerbungsprozess
Im Raum steht die Einführung von Bestimmungen darüber, welche Fragen in Bewerbungsgesprächen zulässig sind (Kodifizierung der Rechtsprechungen zum Fragerecht) und welche Untersuchungen und Tests im Rahmen von Bewerbungsprozessen, beispielsweise in einem Assessment-Center, durchgeführt werden dürfen. Es ist fraglich, ob Vorschriften über die Möglichkeiten und Grenzen im Bewerberverfahren notwendig sind, da aus dem Arbeitsrecht heraus bereits klare Vorgaben existieren. Zudem sollen Informationen für die Personalauswahl künftig nur noch direkt bei dem/der Bewerber:in erhoben werden dürfen, was zwar in Hinblick auf die informationelle Selbstbestimmung der Betroffenen teilweise gerechtfertigt sein kann, jedoch zu weit führt, da es in bestimmten Fällen für Arbeitgeber auch sinnvoll sein kann, Informationen von Dritten zu erhalten.
- Die Verarbeitung besonders sensibler Daten wie Herkunft, religiöse Überzeugungen oder Gesundheitszustand durch Arbeitgeber:innen
Besonders sensible personenbezogene Daten, wie beispielsweise Informationen über Herkunft, religiöse Überzeugung, politische Meinungen, sexuelle Orientierung oder den Gesundheitszustand müssen u.a. wegen des Risikos der Diskriminierung mit besonderer Vorsicht behandelt werden und dürfen auch bisher nur unter strengen Bedingungen verarbeitet werden (wie Art. 9 DSGVO bereits klarstellt). Nach dem Positionspapier soll das geplante Beschäftigtendatenschutzgesetz nun konkrete Regelungen für Ausnahmefälle festlegen, in denen Arbeitgeber die besonders sensiblen Informationen über ihre Beschäftigten verarbeiten dürfen. Solche spezifischen Ausnahmeregelungen können (nur) dann für alle Parteien sinnvoll sein, wenn die Spezifizierungsklauseln des Art. 9 DSGVO ausgefüllt werden und so für die relevanten Anwendungsfälle klargestellt wird, dass das nationale Recht die Verarbeitung der sensiblen Daten gestattet. Es bleibt abzuwarten, wie die konkrete Ausgestaltung der Regelungen im Beschäftigtendatenschutzgesetz sein wird.
- Verständliche Kriterien für die Interessenabwägung bei der Datenverarbeitung im Kontext von Beschäftigungsverhältnissen
Weiterhin soll das geplante Gesetz im Beschäftigtendatenschutz klare Kriterien für die Interessenabwägungen der Datenverarbeitung festzulegen. Die Kriterien sollen Faktoren wie Zweck, Dauer, Häufigkeit, Art der Daten und involvierte Personen berücksichtigen. Eine solche Regelung kann sinnvoll sein, da sie klare Leitlinien für den Umgang mit sensiblen Beschäftigtendaten schaffen und Abwägungsentscheidungen vereinfachen kann.
- Freiwilligkeit von Einwilligungen im Arbeitsverhältnis, wobei die strukturelle Unterlegenheit der Beschäftigten gewürdigt werden soll
Aufgrund vom Gesetzgeber vermuteter struktureller Machtverhältnisse im Arbeitsumfeld zu Lasten der Beschäftigten sollen klare Kriterien für die Freiwilligkeit datenschutzrechtlicher Einwilligungen, abhängig von der jeweiligen Situation und durch die Regelung von Beispielfällen etabliert werden. Im Bewerbungskontext sollen zusätzlich strenge Regeln gelten, da Bewerber:innen einem besonderen Druck ausgesetzt sind. Es ist bereits fraglich, ob die Grundannahme, dass eine strukturelle Unterlegenheit der Beschäftigten gegenüber ihrem Arbeitgeber besteht, heute noch gegeben ist. Denn in vielen modernen Arbeitsverhältnissen sind die Machtverhältnisse ausgeglichener, insbesondere in Branchen mit hoher Nachfrage nach qualifizierten Fachkräften. Die pauschale Annahme der Unterlegenheit von Beschäftigten im Arbeitsverhältnis ist daher allein deshalb nicht (mehr) überzeugend. Zudem hatte das BAG bereits überzeugend begründet, dass im Beschäftigungsverhältnis nicht pauschal davon ausgegangen werden kann, dass Beschäftigte nicht frei entscheiden könnten (Urt. v. 11.12.2014 – 8 AZR 1010/13). Daher ist es fraglich, ob die Pläne des Gesetzgebers hier sinnvoll sind.
- Datenübermittlungen innerhalb von Konzernen
Zur effizienten Organisation und Aufgabenverteilung in Konzernen ist vielfach ein Datenaustausch zwischen den Konzerngesellschaften erforderlich. Nach der bisherigen Rechtslage können solche Datenübermittlungen zulässig werden, erfordern jedoch einen deutlichen formalen Aufwand (vgl. dazu z. B. die Dissertation unseres Partners Matthias Lachenmann zur „Datenübermittlung im Konzern“). Die geplante Regelung des Beschäftigtendatenschutzgesetzes soll darauf abzielen, die Zulässigkeit konzerninterner Datenübermittlungen, insbesondere für praxisrelevante Situationen wie zentralisierte Verwaltungsorganisationen, konkret festzulegen. Diese Regelung wäre geeignet, bürokratische Hürden zu senken, Rechtssicherheit und Flexibilität für konzerngebundene Unternehmen zu fördern und gleichzeitig die Nachvollziehbarkeit und Kontrollierbarkeit der Verarbeitungsprozesse für Betroffene verbessern.
- Betroffenenrechte der Beschäftigten, um die Durchsetzung des Beschäftigtendatenschutzes zu gewährleisten
Das geplante Beschäftigtendatenschutzgesetz soll die Betroffenenrechte nach der DSGVO – wie das Auskunfts-, Berichtigungs- und Löschrecht – insofern ergänzen, als dass spezielle Bedingungen im Beschäftigungsverhältnis es erfordern, beispielsweise bei Löschpflichten für Arbeitgeber:innen in Bezug auf Bewerber:innendaten. Es soll zudem überprüft werden, ob es notwendig ist, prozessuale Verwertungsverbote einzuführen, um die Beschäftigten vor unzulässigen Datenverarbeitungen zu schützen. In Anbetracht des universellen und umfassenden Katalogs der Betroffenenrechte in §§ 12 ff. DSGVO bleibt hier jedoch fraglich, ob wirklich eine Regelungslücke besteht und Betroffenenrechte speziell auf den Beschäftigtendatenschutz zugeschnitten tatsächlich einen Mehrwert hätte oder nicht mehr Bürokratie schaffen würde.
- Datenschutzfragen in Zusammenhang mit der Verwendung privater Geräte für dienstliche Zwecke („Bring Your Own Device“ – BYOD)
Es wird angestrebt, die Nutzung privater Laptops und Smartphones für dienstliche Zwecke, auch als „Bring Your Own Device“ (BYOD) bekannt, klarer zu regeln. Da diese Praxis weit verbreitet ist und oft von den Beschäftigten selbst gewünscht wird, können konkrete Anforderungen und Regelungen für BYOD-Lösungen im Rahmen des Beschäftigtendatenschutzes durchaus sinnvoll sein. Voraussetzung wäre, dass die Regelungen so ausgestaltet sind, dass die Beteiligten tatsächlich in der Praxis mehr Rechtsklarheit gewinnen, Datenschutzaspekte klar konturiert werden und nicht lediglich bürokratische Anforderungen ausgebaut werden.
- Betriebliche Mitbestimmung, insbesondere durch Betriebs- und Personalräte und Betriebsvereinbarungen in Hinblick auf den Beschäftigtendatenschutz
Schließlich soll angedacht sein, den Beschäftigtendatenschutz durch eine effektive betriebliche Mitbestimmung zu stärken. Betriebs- und Personalräte sollen verstärkt in der Überwachung der Vorschriften zugunsten der Beschäftigten im Kontext der fortschreitenden Digitalisierung der Arbeitswelt involviert werden. Insbesondere sollen Gestaltungsrechte der Beschäftigten bei sozial-ökologischer Transformation und Digitalisierung in Hinblick auf Datenschutzaspekte ausgebaut werden. Anerkennung findet zudem die Rolle von Betriebsvereinbarungen als praxisgerechtes Instrument zur Konkretisierung des Beschäftigtendatenschutzrechts. Es soll außerdem geprüft werden, ob es gesetzliche Klarstellungen und Konkretisierungen für Kollektivvereinbarungen geben kann, die über die aktuelle Rechtslage hinausgehen und die Regelung der Datenverarbeitung im Beschäftigungskontext betreffen. Der Sinn der Regelungen ist fraglich, da § 87 Abs. 1 BetrVG bereits eine weitgehende Mitbestimmung der Betriebsräte ermöglicht und hier recht klare Vorgaben an digitale Entwicklungen gemacht werden.
Ausblick zum geplanten Beschäftigtendatenschutzgesetz
Die für ein Gesetz vorgesehenen Regelungselemente von BMI und BMAS zeigen einen breiten Ansatz zur Normierung der Datenschutzrechte von Beschäftigten in Deutschland. Die konkreten Umsetzungsdetails der Vorschläge werden von entscheidender Bedeutung sein, da ein ausgewogener Ansatz gefunden werden muss, der die berechtigten Interessen der Arbeitgeber:innen berücksichtigt und Bürokratie nicht ausufern lässt, aber gleichzeitig die Privatsphäre und die Datenschutzrechte der Beschäftigten schützt.
Die DSGVO sieht bereits strenge Vorgaben für die Verarbeitung personenbezogener Daten vor, die auch Beschäftigtendaten erfassen. Insofern wird der Gesetzesentwurf begründen müssen, weshalb eine detaillierte nationale Regelung überhaupt erforderlich ist. Gerade vor dem Hintergrund der Regierungsprojekte zur Einschränkung von Bürokratie für Unternehmen ist es fraglich, ob neue formale Vorgaben in einem bereits stark regulierten Rechtsrahmen wirklich erforderlich sind.
Wir werden Sie weiterhin auf dem Laufenden halten und die Entwicklungen in diesem wichtigen Bereich genau verfolgen.
Ihr Experte für Datenschutzrecht
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com