Alle Jahre wieder: Entwurf eines Beschäftigten-Datenschutzgesetz

Vor über 15 Jahren stellte sich bereits dieselbe Frage: „Arbeitnehmer-Datenschutz doch noch vor der Wahl?“ – Damals wie heute (ein) Kern der Debatte: Wie weit darf Überwachung gehen. Selbstverständlich bleibt es nicht allein dabei, aber der Reihe nach:

„Dieses Gesetz gilt für die Verarbeitung von Beschäftigtendaten im Zusammenhang mit ihrem Beschäftigungsverhältnis durch Arbeitgeber […].“
(§ 1 Abs. 1 BeschDG-E)

Der Anwendungsbereich des neuen Gesetzes ist weit zu verstehen, umfasst den öffentlichen und nicht-öffentlichen Bereich und über feste Mitarbeiter hinaus auch Leiharbeiter, Auszubildende, Praktikanten, Bewerber, ehemalige Mitarbeiter etc. Außerdem soll das Gesetz für nichtautomatisierte sowie ganz oder teilweise automatisierte Verarbeitung von Beschäftigtendaten gelten.

„Bei der Prüfung der Erforderlichkeit einer Verarbeitung von Beschäftigtendaten nach diesem Gesetz ist die im Beschäftigungsverhältnis bestehende Abhängigkeit der Beschäftigten zu berücksichtigen. Bei der im Rahmen der Prüfung der Erforderlichkeit durchzuführenden Abwägung der Interessen des Arbeitsgebers an einer Verarbeitung mit den Interessen der betroffenen Beschäftigten an dem Ausschluss der Verarbeitung können insbesondere folgende Aspekte zu berücksichtigen sein: […].“
(§ 4 BeschDG-E)

Präzisiert wird das Merkmal der Erforderlichkeit, denn es finden sich konkrete Anhaltspunkte zur Prüfung einer solchen im Rahmen personenbezogener Datenverarbeitung. Diese greifen Art und Umstände der Verarbeitung auf und setzen risikobasierte Indizien.

„Erfolgt die Verarbeitung von Beschäftigtendaten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit von Beschäftigten sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. […] Freiwilligkeit kann insbesondere vorliegen, wenn für die Beschäftigte oder den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Dies kann insbesondere bei der Verarbeitung zu folgenden Zwecken der Fall sein: […].“
(§ 5 BeschDG-E)

Das neue Gesetz kennt einen Katalog für Fälle und Konstellationen, in denen die Freiwilligkeit der Einwilligung trotz Machtasymmetrie angenommen werden kann.

„Kollektivvereinbarungen […] dürfen nicht zu Lasten des Schutzes der Beschäftigten von diesem Gesetz abweichen. Sie können nicht die Zulässigkeit der Verarbeitung von Beschäftigtendaten festlegen.“
(§ 7 Abs. 2 BeschDG-E)

Möglicher Diskussionsbedarf findet sich im Entwurf bei Kollektivvereinbarungen, worunter gem. § 2 Abs. 4 BeschDG-E Tarifverträge, Betriebs- oder Dienstvereinbarungen oder gleichwertige kollektive Verträge zu verstehen sind. Dem Wortlaut nach soll die Zulässigkeit der Datenverarbeitung per se nicht (mehr) dadurch festgelegt werden können.

„Der Arbeitgeber muss geeignete und besondere Maßnahmen treffen, um die Einhaltung der Grundprinzipien und Regelungen der Verordnung (EU) 2016/679 und dieses Gesetzes sicherzustellen, sowie menschliche Würde, die berechtigten Interessen und die Grundrechte der betroffenen Beschäftigten zu wahren.“
(§ 9 BeschDG-E)

Diese (technischen und organisatorischen) Schutzmaßnahmen wiederholen bekannte Aspekte erfolgreichen Risikomanagements im Sinne der Datenschutz-Grundverordnung und spezifizieren diese mit Blick auf den Einsatz von KI-Systemen.

„Der Betriebsrat hat bei der Bestellung und Abberufung der oder des betrieben Datenschutzbeauftragten mitzubestimmen.“
(§ 12 BeschDG-E)

Eine weitere Neuerung soll die Mitbestimmung des Betriebsrats bei der Bestellung des Datenschutzbeauftragten werden. Offen bleibt allerdings, inwieweit dem nationalen Gesetzgeber dafür eine Öffnungsklausel zukommt.

„Die Verarbeitung von Beschäftigtendaten einschließlich besonderer Kategorien von Beschäftigtendaten ist vor Begründung eines Beschäftigungsverhältnisses zulässig, soweit sie erforderlich ist […].“
(§ 13 BeschDG-E)

Zu Beginn des besonderen Teils finden sich Spezifizierungen der Verarbeitung von Bewerberdaten. Dabei wird insbesondere das „Fragerecht“ (siehe § 14 BeschDG-E) des Arbeitgebers eingeschränkt.

Außerdem verlangt der Gesetzesentwurf eine Löschpflicht von (abgelehnten) Bewerberdaten nach spätestens 3 Monaten – soweit sich ein Rechtsstreit nicht abzeichnet (§ 17 Abs. 1 BeschDG-E).

„Die Verarbeitung von Beschäftigtendaten durch Überwachungsmaßnahmen ist nur zulässig, soweit sie für einen konkreten Zweck zur Durchführung des Beschäftigungsverhältnisses, zur Erfüllung von durch Rechtsvorschrift oder Kollektivvereinbarung festgelegten Pflichten des Arbeitgebers oder zur Wahrung wichtiger betrieblicher oder dienstlicher Interessen erforderlich ist und dabei die Interessen des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten an dem Ausschluss der Verarbeitung überwiegen. Die Verarbeitung nach Satz 1 darf nur kurzzeitig und entweder anlassbezogen oder stichprobenhaft erfolgen.“
(§ 18 Abs. 1 BeschDG-E)

Die Überwachung von Beschäftigten wird von bestimmten Anforderungen abhängig gemacht, insbesondere ob sie nur kurzfristig oder anlassbezogen erfolgt. Davon kann in gewissen Fällen eine Ausnahme gemacht werden. Möglich wird allerdings auch eine uninformierte verdeckte Überwachung (vgl. § 20 BeschDG-E).

Hinsichtlich der Videoüberwachung wird – bereits bekanntes – gesetzlich gefasst, nämlich die grundsätzliche Speicherdauer von 72 Stunden (§ 21 Abs. 6 BeschDG-E).

„Die Verarbeitung von Beschäftigtendaten durch oder aufgrund eines Profilings, das nicht bereits nach Artikel 22 der Verordnung (EU) 2016/679 ausgeschlossen ist, ist zulässig, soweit dies für einen konkreten Zweck zur Durchführung des Beschäftigungsverhältnisses, zur Erfüllung von durch Rechtsvorschriften oder Kollektivvereinbarungen festgelegten Pflichten des Arbeitgebers oder zur Wahrung wichtiger betrieblicher oder dienstlicher Interessen erforderlich ist und dabei die Interessen des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten an dem Ausschluss der Verarbeitung erheblich überwiegen.“
(§ 24 BeschDG-E)

Von der Öffnungsklausel zum Profiling im Rahmen des Art. 22 DSGVO wurde außerdem Gebrauch gemacht, wobei dies insbesondere für Weiterbildungs- und Entwicklungsmöglichkeiten gedacht war. Klare Grenzen finden sich bei der Analyse von Emotionen oder der Bewertung sozialer Beziehungen zwischen Beschäftigten (§ 24 Abs. 4 BeschDG-E). Außerdem werden in solchen Fällen die Betroffenenrechte (Informationspflicht, Auskunft, Recht auf Erklärung und Überprüfung) entsprechend erweitert (vgl. § 25 BeschDG-E).

Fazit: Vorfreude…

…ist noch angebracht. Insbesondere weil angesichts der bereits jahrelangen (erfolglosen) Bemühungen keinesfalls sicher ist, dass dieser Entwurf tatsächlich das Gesetzgebungsverfahren bis zum Ende durchläuft. Außerdem finden sich – auch bereit breit diskutiert – verschiedene Unklarheiten, die möglicherweise noch angepasst werden (müssten).