Neues zum Beschäftigtendatenschutz – Der Referentenentwurf zum Beschäftigtendatengesetz ist da!
Nachdem im April 2023 durch das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) im Rahmen eines Stakeholder-Dialogs ein Eckpunktepapier mit Inhalten für ein zukünftiges Beschäftigtendatenschutzgesetz erarbeitet wurde, hat das BMAS nun einen Referentenentwurf für ein Beschäftigtendatengesetz (BeschDG) vorgelegt.
Der Entwurf, der sich derzeit in der Ressortabstimmung zwischen den Ministerien befindet, sieht umfassende Regelungen diverser datenschutzrechtlich relevanter Themen im Beschäftigungsverhältnis vor und würde, sollte er Gesetz werden, die bereits nicht unerheblichen datenschutzrechtlichen Pflichten der Unternehmen deutlich erweitern und den Aufwand zur Verwaltung von Beschäftigtendaten erhöhen. Unternehmen ist daher zu raten, die gesetzgeberischen Aktivitäten zum Beschäftigtendatenschutz eng zu begleiten und, sollte das Gesetzgebungsverfahren voranschreiten, Vorbereitungen zur Erfüllung der Vorgaben des BeschDG treffen.
Hintergrund und Zielsetzung des BeschDG
Seit Jahrzehnten wird auf gesetzgeberischer Ebene über den Erlass eines Gesetzes zum Beschäftigtendatenschutz diskutiert. Zuletzt hatte der Gesetzgeber 2009 erfolglos versucht, die stark durch Rechtsprechung und Auslegung der Aufsichtsbehörden geprägte Rechtslage in Gesetzesform zu gießen. Anlass für den vorliegenden Entwurf ist nun ein Urteil des EuGH vom 23.03.2023 (C-34/21), dem sich zumindest mittelbar entnehmen lässt, dass die „Zentralnorm“ des Beschäftigtendatenschutzes, § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG), nicht im Einklang mit den Vorgaben der Datenschutzgrundverordnung (DS-GVO) steht und damit unwirksam ist.
Hinzu tritt die fortschreitende Digitalisierung der Arbeitswelt und die zunehmende Verwendung von KI-Systemen auch im Rahmen der Verwaltung von Beschäftigungsverhältnissen. Die Digitalisierung eröffnet für Arbeitgeber neue Möglichkeiten zur Nutzung und Verarbeitung von Daten im Beschäftigungskontext, was Arbeitsprozesse effizienter gestalten kann. Gleichzeitig birgt die umfassende Nutzung von Beschäftigtendaten Risiken hinsichtlich (weitreichender) Überwachung und damit Eingriffen in die Privatsphäre der Beschäftigten, die zu Unsicherheiten bei Beschäftigten führen können. Ausdrückliches Ziel des Gesetzesentwurfes ist es daher, eine Balance zwischen innovativer Datennutzung und einem „starken Datenschutz“ zu schaffen und so Arbeitgebern und Beschäftigten mehr Rechtssicherheit zu bieten.
Der Referentenentwurf sieht folgende wesentliche Regelungsinhalte vor:
Grundlagen der Datenverarbeitung im Beschäftigungskontext: hohe Anforderungen an die Erforderlichkeitsprüfung
Die Verarbeitung von Beschäftigtendaten soll, wie auch bisher, nur dann zulässig sein, wenn sie zur Erfüllung eines klar definierten, legitimen Zwecks erforderlich ist, der im direkten Zusammenhang mit dem Beschäftigungsverhältnis steht. Diese Zwecke umfassen z.B. die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses, die Erfüllung gesetzlicher Pflichten, etwa zur sozialen Absicherung oder die Wahrung betrieblicher Interessen des Arbeitgebers.
Neu ist allerdings, dass der Gesetzesentwurf konkrete Vorgaben zur Durchführung der Erforderlichkeitsprüfung vorsieht. So regelt der Gesetzesentwurf u.a. einen Katalog von zehn Risikofaktoren für die Privatsphäre der Beschäftigten, die von den Unternehmen im Rahmen der Datenverarbeitung bei jeder Erforderlichkeitsprüfung und einer dabei durchzuführenden Interessenabwägung zu berücksichtigen sind (z.B. Art, Umfang und Mittel der Verarbeitung).
Das erhöht zwar einerseits die Rechtssicherheit, andererseits steigt damit der durch die Unternehmen bei jeder Datenverarbeitung zu erfüllende Aufwand massiv. Der Referentenentwurf verlangt eine deutlich detailliertere und im Zweifel auch als Auskunft zur Verfügung zu stellende (vgl. sogleich) Prüfung der Erforderlichkeit. Dass der Referentenentwurf zusätzlich zur Erforderlichkeitsprüfung, die sich im Wesentlichen im Rahmen einer Interessenabwägung vollzieht, eine weitere Interessenabwägung verlangt, dürfte dagegen ein gesetzgeberisches Versehen sein.
Einwilligung und Präzisierung der Anforderungen an die Freiwilligkeit
Als weiteren wesentlichen Regelungsinhalt konkretisiert der Referentenentwurf die Anforderungen, die an eine Einwilligung zur Datenverarbeitung, insbesondere zur Freiwilligkeit der Einwilligung, zu stellen sind. Dabei wird auf bereits bekannte Regelbeispiele zurückgegriffen, wie z.B., dass mit der Einwilligung ein Vorteil für die Beschäftigten verbunden ist oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen und diese Regelbeispiele näher präzisiert (z.B. bzgl. der Privatnutzung betrieblicher IT-Systeme). Das ist grundsätzlich zu begrüßen. Nicht nur würde mit der geplanten Regelung die „Dauerbrenner“-Frage, ob Einwilligungen im Beschäftigungsverhältnis überhaupt zulässig sind, erledigt, sondern durch einen klaren Rechtsrahmen erhöht sich auch die Rechtssicherheit der Anwendung des Mittels von Einwilligungen.
Kollektivvereinbarungen zur Datenverarbeitung
Das BeschDG würde es auch zukünftig erlauben, dass datenschutzrechtliche Sachverhalte (insb. die Verwendung von betrieblichen IT-Systemen) in Kollektivvereinbarungen, d.h. Betriebs- und Tarifverträgen geregelt werden. Gleichzeitig wird jedoch klargestellt, was nach aktueller Rechtslage zumindest noch umstritten ist, dass durch Kollektivvereinbarungen nicht zulasten der Beschäftigten vom gesetzlichen Schutzniveau abgewichen werden darf. Für die Praxis bedeutet das, dass in Kollektivvereinbarungen keine Datenverarbeitungsvorgänge vereinbart werden dürfen, die nicht bereits „so-oder-so“ qua Gesetz, d.h. insb. der DS-GVO zulässig sind. Damit dürfte der bereits ohnehin „gebremste“ Anreiz für die Praxis, Datenschutzregimes mit „betrieblichen“ Erlaubnistatbeständen zu schaffen, gänzlich verloren gehen.
Spezifische Informations- und Auskunftsrechte der Beschäftigten
Auf Grundlage des Referentenentwurfs ist weiter geplant, den Beschäftigten zukünftig, über die bereits geltenden Auskunftsrechte der Art. 13, 14 DS-GVO hinaus, weitergehende Auskunftsrechte einzuräumen. Diese beziehen sich u.a. auf eine „verständliche“ Erläuterung der Erforderlichkeitsprüfung im Einzelfall, sofern die Datenverarbeitung auf Grundlage des Gesetzes (d.h. nicht einer Einwilligung) erfolgt sowie auf zusätzliche Informationen bei Einsatz von KI-Systemen. So sind Beschäftigte über den Einsatz der KI-Systeme zu informieren und auf das Auskunftsrecht hinzuweisen sowie, sofern vom Auskunftsrecht Gebrauch gemacht wird, insbesondere „aussagekräftig“ über die Funktionsweise des KI-Systems und ergriffener Schutzmaßnahmen aufzuklären. Für Arbeitgeber bedeutet das, dass sich der Aufwand in Bezug auf Informations- und Auskunftsrechte der Beschäftigten deutlich erhöht. Die entsprechenden Informationen (z.B. bzgl. der technischen Details eines KI-Systems oder jeder Erforderlichkeitsprüfung) sind nicht nur vorzuhalten, d.h. zu dokumentieren, sondern auch entsprechend „aussagekräftig“ aufzubereiten.
Verwertungsverbote bei Datenschutzverstößen
Der Referentenentwurf sieht ferner vor, dass bei einer datenschutzwidrigen Verarbeitung von Beschäftigtendaten ein Verwertungsverbot für gerichtliche Verfahren greift, sofern nicht ein deutliches Missverhältnis zwischen der Schwere der Pflichtverletzung und dem Datenschutzverstoß besteht. Damit kodifiziert der Referentenentwurf die Rechtsprechung und den durch das Bundesarbeitsgericht geprägten Grundsatz „Datenschutz ist kein Tatenschutz“.
Interessanter ist die geplante Regelung, dass in Kollektivvereinbarungen Verwertungsverbote vorgesehen werden können. Eine häufige Forderung von Betriebsräten. Damit setzt sich der Referentenentwurf in klaren Widerspruch zum Bundesarbeitsgericht, dass eine derartige Regelungsbefugnis der Betriebs- und Tarifparteien zuletzt ausdrücklich verneint hat (BAG, 29.06.2023, 2 AZR 296/22). Unabhängig davon ist äußerst fraglich, ob sich betriebliche und damit i.d.R. pauschale Verwertungsverbote, die durch diese Regelung erlaubt würden, überhaupt in Einklang mit den Vorgaben der DS-GVO bringen lassen.
Mitbestimmung bei Be- und Abberufung des betrieblichen Datenschutzbeauftragten
Eine weitere Ausweitung betrieblicher Mitbestimmung ergibt sich aus dem geplanten Mitbestimmungsrecht bei Be- und Abberufung des betrieblichen Datenschutzbeauftragten. Das Mitbestimmungsrecht soll sowohl für interne als auch externe Datenschutzbeauftragte gelten. Kommt eine Einigung zwischen den Betriebsparteien nicht zustande, entscheidet die Einigungsstelle. Damit wird, im Vergleich zur aktuellen Rechtslage, nicht nur erheblich in die unternehmerische Freiheit eingegriffen. Offen bleibt auch, anhand welcher Maßstäbe die Einigungsstelle im Streitfalle entscheiden soll und wie bis zur Entscheidung der Einigungsstelle bzw. einer gerichtlichen Überprüfung ihrer Entscheidung zu verfahren ist. Das Risiko potenziell für Monate bzw. Jahre keinen Datenschutzbeauftragten wirksam zu bestellen, ist aus Unternehmenssicht nicht akzeptabel.
Verarbeitung von Bewerberdaten
Über die allgemeinen Grundsätze zur Datenverarbeitung hinaus (Stichwort: „Erforderlichkeitsprüfung“) regelt der Referentenentwurf zum BeschDG ferner die Datenverarbeitung in spezifischen Situationen. Konkret u.a. in Bezug auf Bewerberdaten, deren Schutz bereits nach dem Eckpunktepapier ein wesentliches Anliegen des Gesetzgebers war. Der Referentenentwurf sieht hierzu nun u.a. Regelungen zur Eignungsfeststellung, zum Fragerecht des Arbeitgebers sowie zu Untersuchungen und Tests im Laufe des Bewerbungsverfahrens vor. Inhaltlich orientiert sich der Referentenentwurf hierbei im Wesentlichen an den von der Rechtsprechung geprägten Grundsätzen. Wesentliche Neuerungen ergeben sich hieraus für die Praxis daher nicht.
Kritisch für die betriebliche Praxis ist jedoch, dass Bewerberdaten nach dem Referentenentwurf spätestens drei Monate nach der Feststellung, dass ein Beschäftigungsverhältnis nicht zustande kommt, zu löschen sind. Eine längere Aufbewahrung komme nur in Betracht, wenn es konkrete, zu dokumentierende Anhaltspunkte für einen wahrscheinlichen Rechtsstreit gibt. Das widerspricht nicht nur der bisher herrschenden Meinung, dass Bewerberdaten bis zu sechs Monate nach Abschluss des Bewerbungsverfahrens gespeichert werden dürfen, sondern ist auch praxisfern, da damit nicht einmal dem Umstand Rechnung getragen wird, dass neben der dreimonatigen Klagefrist des Allgemeinen Gleichbehandlungsgesetzes (AGG) auch Zeiten für die Zustellung der Klageschrift zu berücksichtigen sind.
Weitere Regelungen zu Löschfristen im Beschäftigungsverhältnis finden sich im Gesetzesentwurf im Übrigen nicht. Dabei besteht gerade in diesem Zusammenhang eine deutliche Rechtsunsicherheit in der Praxis.
Überwachung im Beschäftigungsverhältnis
Der Referentenentwurf setzt sich ausführlich mit der Überwachung im Beschäftigungsverhältnis auseinander und zeigt dabei die klare Intention des Gesetzgebers, Überwachungen mittels automatisierter Datenverarbeitung im Beschäftigungsverhältnis möglichst zu minimieren. Im Einzelnen unterscheidet der Entwurf zwischen der kurzfristigen, langfristigen und verdeckten Überwachung sowie spezifischen Regelungen zur Videoüberwachung und Ortung im Beschäftigungsverhältnis.
Im Hinblick auf kurzfristige Überwachungen, z.B. zur Stichprobenkontrolle, verlangt der Gesetzesentwurf, wie es auch der bisherigen Rechtsprechung entspricht, dass diese zur Wahrung eines zulässigen Zwecks, z.B. zur Verhütung von Pflichtverletzungen erforderlich sein müssen und die Interessen des Arbeitgebers die Interessen der Beschäftigten überwiegen. Zur Durchführung der Interessenabwägung regelt der Entwurf nun allerdings diverse Aspekte, die im Rahmen der Interessenabwägung zu beachten sind. Letzteres dürfte in der Praxis den Aufwand für die Arbeitgeber erhöhen. Erfreulich ist jedoch, dass der Gesetzesentwurf erstmals klarstellt, dass eine Überwachung im Sinne der Regelung ausschließlich eine „zielgerichtete Beobachtung“ ist und die Gesetzesbegründung dazu ausführt, dass alltägliche Interaktionen zwischen Beschäftigten und Vorgesetzten nicht den Vorschriften zur Überwachung unterworfen werden. Das ist insbesondere für Beschäftigungsverhältnisse relevant, die quasi ausschließlich digital durchgeführt werden (z.B. bei Softwareentwicklern) und bei denen sich in der Praxis zuletzt eine Tendenz der Beschäftigten und Betriebsräte erkennen ließ, jegliche Prüfung von (digitalen) Arbeitsergebnissen als Überwachungsmaßnahme zu werten.
Nachvollziehbarerweise strenger sind die Anforderungen an langfristige Überwachungen. Diese sind nach dem Referentenentwurf nur zulässig zum Schutz von Leib und Leben von Beschäftigten oder Dritten oder zur Wahrung besonders wichtiger betrieblicher Interessen, z.B. zur Sicherung von besonders hochwertigen oder sicherheitsrelevanten Betriebsmitteln. Zudem muss vor der Durchführung solcher Überwachungsmaßnahmen der Datenschutzbeauftragte frühzeitig einbezogen werden. Entscheidend für die Praxis ist, dass der Entwurf nun erstmalig für das Beschäftigungsverhältnis klarstellt, dass langfristige Überwachungsmaßnahmen nicht zur Leistungskontrolle eingesetzt werden dürfen. Das entspricht zwar auch den bisher geltenden Grundsätzen der Rechtsprechung, ist aber vor dem Hintergrund der fortschreitenden technischen Überwachungsmöglichkeiten ein deutliches Signal des Gesetzgebers an die Arbeitgeber und dem Wunsch nach einem Einsatz entsprechender IT-Systeme.
Grundsätzlich begrüßenswert ist, dass der Referentenentwurf spezifische Vorgaben für Ausnahmen von Informationspflichten gegenüber den Beschäftigten bei verdeckten Überwachungen vorsieht. Damit bestünde erstmals Rechtssicherheit für diese sich in der Praxis mit großer Regelmäßigkeit stellende Frage, ob und wenn ja, wann Beschäftigte über verdeckte Überwachungsmaßnahmen zu informieren sind. Nach der geplanten Regelung gilt allerdings auch, dass verdeckte Überwachungsmaßnahmen nur bei dem Verdacht einer Straftat oder einer schweren Pflichtverletzung zulässig sein können. Damit ist zugleich jeglichen verdeckten Stichprobenkontrollen ein „Riegel vorgeschoben“.
Datenverarbeitung im Konzern
Ein weiteres praxisrelevantes Thema, dass der Gesetzgeber bereits im Eckpunktepapier aufgegriffen hatte, ist die Datenverarbeitung im Konzern. Zwar findet sich auch im vorliegenden Entwurf kein „Konzernprivileg“, d.h. der Datentransfer zwischen Konzernunternehmen bedarf weiterhin einer gesetzlichen Grundlage. Nichtsdestoweniger versucht sich der Entwurf daran, relevante Verarbeitungsvorgänge im Konzern (z.B. durch eine zentralisierte Personalabteilung oder bei der Tätigkeit in Matrixstrukturen) näher zu beschreiben und stellt klar, dass eine hiermit im Zusammenhang stehende Datenverarbeitung grundsätzlich legitime Zwecke verfolgt. Für die Praxis würde sich hieraus ein höheres Maß an Rechtssicherheit ergeben.
Profiling und Künstliche Intelligenz
Wesentliches Ziel des Referentenentwurfs ist es, einen Rechtsrahmen für den Einsatz von KI bzw. die damit einhergehende Datenverarbeitung im Beschäftigungsverhältnis zu schaffen. Als Anwendungsfall in Bezug auf Beschäftigte und entsprechend regelungsbedürftig, hat der Gesetzgeber dabei das sog. „Profiling“ ausgemacht, d.h. die automatisierte Verarbeitung personenbezogener Beschäftigtendaten, um bestimmte Verhaltensweisen zu analysieren, zu bewerten oder vorherzusagen.
Über die Vorgabe der DS-GVO hinaus, die ein ausschließlich automatisiertes Profiling ausschließt, regelt der Referentenentwurf strenge Vorgaben für die Durchführung der Erforderlichkeitsprüfung. Über die bereits oben beschriebenen zehn Abwägungskriterien hinaus, sind bei einem Profiling weitere neun Kriterien (z.B. mögliche Folgen des Profilings für die Beschäftigten oder das Risiko diskriminierender Ergebnisse) zu berücksichtigen. Damit erhöht sich der Aufwand der Unternehmen zum Einsatz entsprechender, i.d.R. KI-gestützter IT-Tools, im Vergleich zur aktuellen Rechtslage beträchtlich. Hinzu kommt, dass der Gesetzgeber grundsätzlich davon ausgeht, dass den Risiken derartiger Tools durch ein gesteigertes Maß an Transparenz zu begegnen ist. Entsprechend regelt der Entwurf diverse Informationspflichten der Unternehmen bzw. Auskunftsrechte der Beschäftigten beim Einsatz der IT-Tools. Zusätzlich sollen die Beschäftigten ein Recht auf Überprüfung der Ergebnisse von Profilings und der durch Profiling vorbereiteten oder hierauf beruhenden Entscheidungen erhalten. Für Arbeitgeber bedeutet das, dass sämtliche Ergebnisse von Profilings bzw. der durch Profiling vorbereiteten oder hierauf beruhenden Entscheidungen im Einzelnen dokumentiert und begründbar sein müssen. Gerade beim Einsatz von KI stellt das eine nicht unerhebliche Herausforderung dar.
Fazit: Erheblicher Regelungsaufwand für Unternehmen
Der Referentenentwurf des BeschDG geht mit einem erheblichen Regelungsaufwand für Unternehmen einher. Das betrifft insbesondere die Informations- und Auskunftspflichten gegenüber den einzelnen Beschäftigten, aber auch der erforderliche Begründungs- und Dokumentationsaufwand, um überhaupt Datenverarbeitungen vornehmen zu dürfen. Beides wird dazu führen, dass der Einsatz moderner IT-Systeme, insbesondere KI-Systeme, mit erheblichen bürokratischen Schranken verbunden wird.
Begrüßenswert ist dagegen der Gewinn an Rechtssicherheit, der zum Teil durch die Festlegung und Konkretisierungen der Grundsätze der Rechtsprechung durch den Gesetzesentwurf für die Praxis erreicht würde. In diesem Zusammenhang wäre allerdings mehr Regelungsmut des Gesetzgebers wünschenswert gewesen. Praxisrelevante Themen, wie die Dauer von Löschfristen oder die inhaltliche Ausgestaltung von Betriebsvereinbarungen, bleiben ungelöst. Geradezu kontraproduktiv erscheint die Beschneidung der Regelungsmacht der Betriebsparteien zur Schaffung von Erlaubnistatbeständen durch Betriebsvereinbarung. Gerade Betriebsvereinbarungen sind „an sich“ ein Mittel, um in den Unternehmen ein höheres Maß an Rechtssicherheit für die Datenverarbeitung zu schaffen.
Unabhängig davon bleibt abzuwarten, ob der Referentenentwurf überhaupt und wenn ja, mit welchem Inhalt verabschiedet wird. Angesichts der Brisanz des Themas und der bereits im kommenden Jahr anstehenden Bundestageswahl ist es nicht unwahrscheinlich, dass der Entwurf, ebenso wie im Übrigen der Entwurf eines Beschäftigtendatenschutzgesetzes aus dem Jahr 2009, das Ende der Legislaturperiode nicht erreichen wird.
