Rechtssicherheit im Umgang mit Daten von Beschäftigten? Referentenentwurf für ein Beschäftigtendatengesetz

Bislang regelt § 26 Bundesdatenschutzgesetz (BDSG) die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Der EuGH hat allerdings am 30. März 2023 (Az. C-34/21) angenommen, dass § 23 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) gegen die DSGVO verstößt. Dies ist insofern problematisch als der § 23 HDSIG wortgleich mit § 26 BDSG ist. Daher hat das Bundesarbeitsgericht (BAG) (Az. 1 ABR 14/22) entschieden, dass § 26 BDSG nur teilweise anwendbar ist. 

Der Referentenentwurf zum Beschäftigtendatengesetz soll die zunehmenden (neuen) Herausforderungen der Digitalisierung im Verhältnis zwischen Beschäftigten und Arbeitgeber berücksichtigten und regeln. Die Bundesregierung hat sich zum Ziel gesetzt, einen innovativen und verantwortungsvollen Umgang mit Beschäftigtendaten zu fördern. Für den sensiblen Beschäftigungskontext bedeutet dies, dass ein guter Rechtsrahmen innovative Datennutzung mit einem starken Datenschutz für Beschäftigte verbindet. Doch was regelt der Referentenentwurf im Einzelnen?

Die Regelungen des BeschDG-E im Einzelnen

Zweckbindung

§ 3 BeschDG-E sieht vor, dass die Beschäftigtendaten nur für einen konkreten Zweck verarbeitet werden dürfen. Diese Regelung ist insoweit keine Neuheit, da der Grundsatz der Zweckbindung als allgemeiner Grundsatz bereits im Art. 5 DSGVO enthalten ist. 

Einwilligung

§ 5 BeschDG-E regelt die näheren Anforderungen an die Einwilligung der Beschäftigten. Voraussetzung für die Einwilligung ist insbesondere die Freiwilligkeit. Bislang war es problematisch, inwieweit eine Freiwilligkeit im Beschäftigungsverhältnis angenommen werden kann, da es sich um ein Abhängigkeitsverhältnis handelt. Nun regelt § 5 BeschDG-E beispielhaft, wann eine Freiwilligkeit anzunehmen ist. Die Freiwilligkeit wird insbesondere für die Nutzung von Fotos für das Intranet, für die Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen und für die Kontaktaufnahme zur Einladung zu Betriebs- oder Firmenfeiern angenommen. 

Betroffenenrechte

Den Beschäftigten werden in § 10 BeschDG-E spezifische Betroffenenrechte eingeräumt. Insbesondere hat der Arbeitgeber den Beschäftigten über den Einsatz von KI-Systemen zu informieren.

Verwertungsverbot

§ 11 BeschDG-E sieht vor, dass aus der datenschutzwidrigen Datenverarbeitung der Beschäftigtendaten grundsätzlich ein Verwertungsverbot resultiert. Dies ist neu, denn bislang hatte das BAG entschieden, dass grundsätzlich Datenschutzverstöße der Verwertung nicht entgegenstehen. Insbesondere bei vorsätzlichen Pflichtverletzungen und bei offener Videoüberwachung komme kein Verwertungsverbot in Betracht.

Mitbestimmung über Datenschutzbeauftragte

Dem Betriebsrat wird nach § 12 BeschDG-E ein Mitbestimmungsrecht bei der Bestellung und Abberufung des Datenschutzbeauftragten eingeräumt. Das Mitbestimmungsrecht umfasst auch die grundlegende Frage, ob interne oder externe Datenschutzbeauftragte bestellt werden sollen. Für den Fall, dass sich Arbeitgeber und Betriebsrat nicht einigen können, ist eine Einigungsstelle anzurufen. Deren Spruch ersetzt die Einigung zwischen Arbeitgeber und Betriebsrat. Die Einräumung eines umfassenden Mitbestimmungsrechts stellt einen erheblichen Eingriff in die unternehmerische Entscheidungsfreiheit dar. Zudem ist die Unabhängigkeit des betrieblichen Datenschutzbeauftragten nicht mehr gegeben, wenn dieser prinzipiell jederzeit durch die Einigungsstelle abberufen werden kann. 

Löschfristen für Bewerberdaten

§ 17 BeschDG-E regelt die Löschfristen für Bewerberdaten im Besonderen. Bislang gab es keine gesetzlichen Aufbewahrungsfristen. Nach dem Grundsatz der Zweckbindung sind personenbezogene Daten zu löschen, sobald diese für die Erreichung der verfolgten Zwecke nicht mehr erforderlich sind. Vor dem Hintergrund der Geltendmachung etwaiger Verstöße nach dem AGG, waren sechs Monate als geboten angesehen. Nun regelt der Entwurf, dass nach drei Monaten die Beschäftigtendaten gelöscht werden können.

Überwachungsmaßnahmen

§ 18ff. BeschDG-E regeln die Anforderungen an die Überwachungsmaßnahmen der Beschäftigten im Einzelnen. Überwachungsmaßnahmen werden legaldefiniert als Maßnahmen zur zielgerichteten Beobachtung von Personen oder Objekten durch Personen oder technische Einrichtungen.  

• Kurzzeitige und entweder anlassbezogene oder stichprobenhafte Überwachungsmaßnahmen werden in § 18 BeschDG-E geregelt. Sie sind nur kurzzeitig und entweder anlassbezogen oder stichprobenhaft zulässig. 
• Für längerfristige Überwachungsmaßnahmen gilt ein strengerer Maßstab. Nach § 19 BeschDG-E ist eine solche Maßnahme geboten, wenn sie dem Schutz der körperlichen Unversehrtheit der Beschäftigten dient oder zur Wahrung besonders wichtiger betrieblicher oder dienstlicher Interessen erforderlich ist und die Arbeitgeberinteressen überwiegen. Die Einbeziehung des Datenschutzbeauftragten ist erforderlich.
• § 20 BeschDG-E regelt die verdeckte Überwachung. Darin hat der Gesetzgeber die bereits ohnehin vom BAG und der Datenschutzkonferenz entwickelten Grundsätze kodifiziert. Verdeckte Überwachung ist demnach nur beim Verdacht auf Straftaten zulässig und zum Zweck der Leistungskontrolle untersagt. 

Profiling

§§ 24ff. BeschDG-E regelt Näheres zum Profiling. Dem Beschäftigten wird ein Informationsrecht insbesondere dahingehend eingeräumt, ob Profiling stattgefunden hat und KI-Systeme eingesetzt wurden. Außerdem steht ihnen ein umfassendes Auskunftsrecht sowie ein Recht auf Erklärung und Überprüfung der Entscheidung zu. 

Referentenentwurf schafft Rechtssicherheit – aber auch mehr Verwaltungsaufwand für Unternehmen

In Teilen dient der Referentenentwurf der Rechtssicherheit und kodifiziert die ohnehin geltende Rechtslage. Teilweise werden Unternehmen aber auch mit mehr Verwaltungsaufwand konfrontiert, z. B. durch neue Informationspflichten über den Einsatz von KI-Anwendungen sowie administrativen Anforderungen bei der Ernennung von Datenschutzbeauftragten oder dem Management von Bewerberdaten. Die Mitbestimmung bei der Bestellung und Abberufung Es bleibt abzuwarten, wie sich dieser Entwurf im Gesetzgebungsverfahren weiterentwickeln wird. Es ist zu hoffen, dass einige Punkte noch überarbeitet werden. 

Sobald eine Neuregelung greift, müssen das Unternehmenseigene Vertragswerk (Arbeitsverträge, Datenschutzerklärung etc.) sowie betriebliche Abläufe (Recruiting, Performance-Management, Zeiterfassung, Sicherheitssysteme etc.) entsprechend geprüft und ggf. angepasst werden. Angesichts des Bruchs der Ampelkoalition erscheint es derzeit fraglich, ob dieses Gesetzgebungsverfahren kurzfristig realisiert wird. Wir raten den Unternehmen, das weitere Gesetzgebungsverfahren zu beobachten, mögliche Szenarien schon jetzt zu evaluieren und zu prüfen, welche Implikationen sie für Ihre jeweilige Organisation hätten.