Arbeitsrecht

Kommt jetzt endlich das Beschäftigtendatenschutzgesetz?

- Achim Wurster

Seit Jahren ist in der Diskussion, den Beschäftigtendatenschutz im einem eigenen Gesetz zu regeln. Bisher ist dieser nur sehr überschaubar in § 26 BDSG geregelt. In letzter Zeit wurden durch die Rechtsprechung des EuGH Zweifel laut, ob § 26 BDSG mit Europarecht, konkret Art. 88 Abs. 2 DSGVO vereinbar ist.

Das Bundesministerium für Arbeit und Soziales und das Bundesinnenministerium haben nunmehr einen sog. Referentenentwurf (RefE) für ein Beschäftigtendatengesetz (BeschDG) vorgelegt. Der Entwurf trägt den Namen Beschäftigtendatengesetz und nicht Beschäftigtendatenschutzgesetz. Der Fokus liegt also nicht nur auf dem Schutz der Beschäftigtendaten, sondern auf einer umfassenden Regelung der Verarbeitung von Beschäftigtendaten.

Übersicht über die im Entwurf vorgesehenen Regelungen

Der Entwurf regelt detailliert die Voraussetzungen für die zulässige Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses. Umfasst sind sowohl das Bewerbungsverfahren als auch das laufende Arbeitsverhältnis. Das Gesetz soll auch nach Beendigung des Arbeitsverhältnisses noch anwendbar sein.

Der Gesetzentwurf beinhaltet detaillierte Bestimmungen, wann die Verarbeitung personenbezogener Daten zulässig ist. Grundnorm ist dabei § 3: danach muss die Verarbeitung von Beschäftigtendaten für die Erreichung eines legitimen Zweckes erforderlich sein. Gem. § 4 muss die Prüfung der Erforderlichkeit insbesondere unter dem Gesichtspunkt der bestehenden Abhängigkeitsverhältnisse erfolgen. Ferner muss das Interesse des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen. Der Begriff der Datenverarbeitung umfasst nach Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Im weiteren Verlauf des Entwurfs regelt dieser umfassend die einzelnen Situationen im Arbeitsverhältnis. Für den Bewerbungsprozess gibt es Regelungen zur Eignungsfeststellung, Fragerechten, Untersuchungen und Tests. Der Entwurf stellt dabei maßgeblich auf die Erforderlichkeit dieser Daten für die Ausübung der konkreten Tätigkeit ab.

Der Entwurf beinhaltet konkrete Regelungen zur Überwachung von Beschäftigten, insbesondere durch Videoüberwachung und Ortung. Es folgen Bestimmungen zur Verarbeitung biometrischer Daten und der Zulässigkeit der Datenverarbeitung in Konzernstrukturen sowie auch ausdrückliche Regelungen zur Zulässigkeit des Einsatzes künstlicher Intelligenz bei der Verarbeitung personenbezogener Daten, insbesondere im Zusammenhang mit Profiling von Mitarbeitern, bspw. zum Zwecke der Evaluierung von Weiterbildungs- und Entwicklungsmöglichkeiten. Auch für das betriebliche Eingliederungsmanagement (BEM) regelt der Entwurf konkret, wie die zulässige Datenverarbeitung ausgestaltet sein muss.

Neue Pflichten des Arbeitgebers

Der Entwurf verpflichtet den Arbeitgeber, geeignete und besondere Maßnahmen zu treffen, um die Einhaltung der Grundprinzipien und Regelungen der DSGVO und des BeschDG sicherzustellen sowie die menschliche Würde, die berechtigten Interessen und Grundrechte der betroffenen Beschäftigten zu wahren. Der Entwurf normiert zahlreiche konkrete Umstände, die bei der Auswahl der Schutzmaßnahmen zu berücksichtigen sind und welche Maßnahmen insbesondere in Betracht kommen.

Speziell beim Einsatz von KI-Systemen zur Verarbeitung von Beschäftigtendaten muss der Arbeitgeber regelmäßig u.a. evaluieren, welche personenbezogenen Eingabe- und Ausgabedaten für die Nutzung relevant und erforderlich sind.

Neue Betroffenenrechte

Der Entwurf regelt zusätzlich zu den sich aus der DSGVO bzw. dem BDSG ergebenden Betroffenenrechten, dass der Arbeitgeber die bei der nach § 4 vorzunehmenden Interessenabwägung die wesentlichen Erwägungen der Abwägung den betroffenen Beschäftigten auf Verlangen in einer für diese verständlichen Weise darlegen muss.

Wird ein KI-System eingesetzt, muss der Arbeitgeber die betroffenen Beschäftigten spätestens mit Beginn der Verarbeitung über den Einsatz und ein neues Auskunftsrecht informieren. Von einer solchen Verarbeitung betroffene Beschäftigte haben ein Recht auf Auskunft über aussagekräftige Informationen über die Funktionsweise des KI-Systems sowie die Funktion der verarbeiteten Beschäftigtendaten innerhalb des KI-Systems und welche Schutzmaßnahmen der Arbeitgeber getroffen hat.

Verwertungsverbote

Der Entwurf beinhaltet neue Verwertungsverbote. Dabei sticht vor allem ein geplantes Beweisverwertungsverbot für datenschutzwidrig erlangte Informationen hervor, das so bisher von der Rechtsprechung des Bundesarbeitsgerichts nicht anerkannt wird. Der bisherige Grundsatz, dass Datenschutz kein Tatenschutz ist, dürfte dann nicht mehr gelten.

Wurden Beschäftigtendaten datenschutzrechtswidrig verarbeitet, dürfen diese Daten in einem gerichtlichen Verfahren über die Rechtmäßigkeit einer auf diese Daten gestützten personellen Maßnahme des Arbeitgebers gegen einen Beschäftigten grundsätzlich nicht verwertet werden. Dies kann in vielen Fällen zu enormen Beweisschwierigkeiten des Arbeitgebers, gerade auch bei gegen den Arbeitgeber gerichteten Straftaten, führen. Ob diese Vorschrift mit der DSGVO vereinbar ist, ist mehr als zweifelhaft. Denn die Berücksichtigung von Parteivortrag – soweit personenbezogene Daten betroffen sind – durch das Arbeitsgericht richtet sich der DSGVO. Die Rechtmäßigkeit der Datenverarbeitung durch das Gericht ergibt sich dabei in der Regel aus Art. 6 Abs. 1 lit. e, Art. 6 Abs. 3 S. 1 lit. b, Art. 6 Abs. 3 S. 4 DSGVO. Dagegen verstößt der Entwurf nach unserer Ansicht. Gleiches gilt für die im Entwurf vorgesehene Möglichkeit, ein Verwertungsverbot in einer Betriebsvereinbarung festzulegen.

Neues Mitbestimmungsrecht des Betriebsrats bei der Bestellung und Abberufung von Datenschutzbeauftragten

Der Betriebsrat soll bei der Bestellung und Abberufung des Datenschutzbeauftragten ein umfassendes Mitbestimmungsrecht bekommen. Das Mitbestimmungsrecht soll auch die grundlegende Frage, ob interne oder externe Datenschutzbeauftragte bestellt werden, umfassen. Dies ist aus unserer Sicht ebenfalls zu weitgehend.

Vorläufiges Fazit

Der Entwurf des BeschDG regelt den Beschäftigtendatenschutz umfassend und extrem detailliert. Wird dieser Entwurf Gesetz, führt er zu einem erheblich höheren Verwaltungsaufwand für Unternehmen.

Andererseits dürfte angesichts der aktuellen politischen Gemengelage dieser Entwurf derzeit keine Mehrheit im Bundestag finden, sodass alles andere als sicher ist, ob dieser Entwurf je Gesetz. Gleichwohl werden Arbeitgeber gut beraten sein, sich mit dem Entwurf auseinanderzusetzen und ihre internen Prozesse darauf zu überprüfen.

Achim Wurster

Achim Wurster

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Fachanwalt für Sozialrecht
Zertifizierter Fachexperte für betriebliche Altersversorgung (BRBZ e.V.)