• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • ArbeitsRecht Kurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • ArbG Koblenz: „Wir suchen coole Typen“ ist nicht diskriminierend
    Quelle : Beck-Blog 27.05.2022 - 15:20 Von stoffels
  • AI that detects your emotions: issues for employment?
    Quelle : KLIEMT.blog 27.05.2022 - 07:00 Von Ius Laboris
  • Weitere Fallstricke einer krankheitsbedingten Kündigung – nach dem bEM ist vor dem bEM
    Quelle : CMSHS 27.05.2022 - 06:44 Von Carsten Domke
  • Wer zu spät kommt, ... - kein Anspruch des erstmalig gewählten Betriebsrats auf Sozialplan
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 26.05.2022 - 16:47
  • ArbG Bonn: Kein Versand von Gewerkschaftsinformationen per E-Mail
    Quelle : Beck-Blog 25.05.2022 - 16:55 Von stoffels
  • „Wir suchen coole Typen“: AGG-konforme Stellenanzeige oder Diskriminierung?
    Quelle : KLIEMT.blog 25.05.2022 - 10:29 Von Tobias Klaus
  • Die Auswirkungen der elektronischen Arbeitsunfähigkeitsbescheinigung auf das Arbeitsverhältnis
    Quelle : ADVANT Beiten 24.05.2022 - 14:00 Von Dr. Anne Dziuba, Benedikt Holzapfel
  • Alles bleibt beim Alten: Überstunden muss weiterhin der Arbeitnehmer beweisen
    Quelle : KLIEMT.blog 24.05.2022 - 09:29 Von Cornelius Ziegler
  • Betriebsratswahlen 2022: Ermittlung der gewählten Kandidaten.
    Quelle : Buse 24.05.2022 - 08:00 Von Tobias Grambow
  • BAG zur Massenentlassungsanzeige: Soll-Angaben werden nun doch keine Muss-Angaben
    Quelle : Esche 24.05.2022 - 00:00
  • BAG zu Massenentlassungsanzeigen: „Soll“ ist doch nicht gleich „muss“!
    Quelle : Beck-Blog 23.05.2022 - 17:35 Von stoffels
  • „Einrichtungsbezogenen Impfpflicht“ verfassungsgemäß? BVerfG: verfassungsgemäß!
    Quelle : ADVANT Beiten 23.05.2022 - 14:00 Von Dr. Erik Schmid
  • Keine wirksame Befristung eines Arbeitsvertrags bei eingescannter Unterschrift
    Quelle : ADVANT Beiten 23.05.2022 - 14:00
  • Betriebliche Mitbestimmung bei Carve-Outs – ein Überblick
    Quelle : KLIEMT.blog 23.05.2022 - 08:00 Von Laura Louise Schmidt, LL.B.
  • Umsetzung der sog. Arbeitsbedingungenrichtlinie – Arbeitgeber müssen handeln
    Quelle : CMSHS 23.05.2022 - 06:30 Von Alexander Bissels
  • Kein Arbeitsverhältnis zum Entleiher trotz fehlender Überlassungserlaubnis des (ausländischen) Verleihers
    Quelle : ADVANT Beiten 20.05.2022 - 14:00 Von Dr. Gerald Peter Müller-Machwirth
  • Urteile zur einrichtungsbezogenen Impflicht
    Quelle : Beck-Blog 20.05.2022 - 08:55 Von stoffels
  • What are the new green reporting duties in France?
    Quelle : KLIEMT.blog 20.05.2022 - 07:00 Von Ius Laboris
  • Doch keine Freistellung ungeimpfter Beschäftigter im Gesundheitswesen?
    Quelle : CMSHS 19.05.2022 - 12:11 Von Alexander Bissels
  • Stellungnahme des DAV zum geplanten Hinweisgeberschutzgesetz
    Quelle : Beck-Blog 19.05.2022 - 11:09 Von stoffels

Beschäftigtendatenschutz: Vorschlag des DGB

  • 2. März 2022 |
  • Dr. Philipp Wiesenecker

Der DGB hat einen Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt. Was ist dort im Detail geplant und wie ist dies zu bewerten?

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

„Nicht erst seit der Pandemie nutzen Arbeitgeber*innen immer häufiger digitale Methoden, um Beschäftigte zu überwachen oder personenbezogene Daten über sie zu sammeln. Oft geschieht das sogar heimlich. Eine Rechtsgrundlage dafür gibt es kaum. Damit Persönlichkeitsrechte am Arbeitsplatz gewahrt werden, braucht es daher verbindliche Regelungen.“

So der DGB in seinem Beitrag vom 09.02.2022, in dem er den Entwurf eines Beschäftigtendatenschutzgesetzes veröffentlicht – unter der Überschrift „Vertrauen ist gut, Rechte sind besser“. Der DGB suggeriert, dass Überwachung zunehmend stattfinde und hiermit ohne Rechtsgrundlage Persönlichkeitsrechte verletzt würden. Doch trifft das die zu regelnde Realität?

Mehr Beschäftigtendatenschutz: Erforderlich oder nicht?

Seit 2010 diskutiert die Politik über ein Beschäftigtendatenschutzgesetz. Zuletzt wurde am 25.08.2010 von der damaligen Regierung ein Entwurf eingebracht, der sich jedoch nicht durchsetzen konnte. Zehn Jahre später, im Juni 2020, empfiehlt der „unabhängige interdisziplinäre Beirat zum Beschäftigtendatenschutz“ eine Spezifizierung des Beschäftigtendatenschutzes. Die von Art. 88 Abs. 1 DSGVO eröffnete Lücke werde von § 26 BDSG nicht hinreichend ausgefüllt. Insbesondere fehle jede gesetzliche Aussage über die Zulässigkeit konkreter Verarbeitungen im Einzelfall. Der Koalitionsvertrag der Ampel-Koalition greift das Thema auf und schreibt sich hinsichtlich des Arbeitnehmerdatenschutzes „Rechtsklarheit“ und „effektiven Schutz der Persönlichkeitsrechte“ ins Programmheft.

Politisch sind es heute also zwei Stoßrichtungen, aus der eine Reform des Beschäftigtendatenschutzes angegangen werden soll: Einerseits – letztlich im Unternehmensinteresse – die Konkretisierung, Beseitigung von Zweifelsfragen und damit die Minimierung der Haftung für einen Rechtsverstoß, andererseits – im Arbeitnehmerinteresse – der „effektive“ Schutz der Persönlichkeitsrechte.

Der Entwurf des DGB kümmert sich recht einseitig um die Rechte der Arbeitnehmer – genauer: um die Rechte von Personen, die für das Unternehmen arbeiten, ohne Arbeitnehmer zu sein. Die Haftungsreduzierung von Unternehmen hat er erwartungsgemäß weniger im Blick, erst recht nicht die (mehr als notwendige) Eingrenzung der Mitbestimmung im IT-Datenschutz auf ein vernünftiges Maß.

Haftung für Rechtsverstöße und Konkretisierung normativer Rechtsbegriffe

Eine Konkretisierung findet sich kaum. An den meisten Stellen ist der Gesetzentwurf – wie das bei Gesetzen so ist und sein muss – abstrakt-generell und verwendet normative Rechtsbegriffe. Mehr Konkretisierung oder auch nur Rechtsklarheit im Arbeitnehmerdatenschutz ist damit nicht verbunden, die Haftungsrisiken für Unternehmen bleiben davon vollkommen unberührt. Ein paar Beispiele:

  • § 2 Abs. 1 S. 3 (Sachlicher Anwendungsbereich): Das Gesetz soll gelten für die Verarbeitung von Daten durch Dritte, ,,die Arbeitgeber veranlassen oder ermöglichen‘‘.
    Was bedeutet ,,ermöglichen‘‘? Folgt daraus eine Pflicht, Zugriffe und Verarbeitungen durch Dritte strikt zu unterbinden, etwa durch Dienstleister und Externe? Wohl ja. Ein weiteres Element zur Stärkung der abhängigen Beschäftigung – zulasten der Dienstleister und der freien Wirtschaft.
  • § 5 Abs. 2 S. 2 (Begriffsbestimmungen): Arbeitgeber sind ,,Auftraggeber arbeitnehmerähnlicher Personen oder vergleichbar wirtschaftlich abhängiger Personen‘‘.
    Wozu bedarf es noch eines Rückgriffs auf ,,vergleichbar wirtschaftlich abhängige Personen‘‘ und wer ist damit gemeint? Letztlich führt das dazu, dass der „Beschäftigtendatenschutz“ nicht nur zum „Bewerberdatenschutz“ wird (s.o.), sondern auch zum Schutz von Solo-Selbstständigen und anderen Personengruppen führt – letztlich sogar zur Erstreckung des Schutzniveaus auf externe Dienstleister, die, wie in manchen Branchen durchaus üblich, im Wesentlichen an den Aufträgen eines Unternehmens hängen, also wirtschaftlich abhängig sind.
  • § 5 Abs. 4 (Begriffsbestimmungen): Beschäftigtendaten sind ,,personenbeziehbare‘‘ oder personenbezogene Daten zu Beschäftigten.
    Was sind ,,personenbeziehbare‘‘ Daten und inwieweit unterscheiden sich diese von personenbezogenen Daten (gerade im Hinblick auf die Definition personenbezogener Daten aus Art. 4 Nr. 1 DSGVO)? Auch hier findet sich eine erhebliche Ausweitung im Anwendungsbereich: Allmachtsphantasien des Gesetzgebers zur Durchsetzung des von ihm für angemessen erachteten Schutzniveaus und damit Einschränkung von unregulierten Freiräumen.
  • § 11 (Unternehmensübergreifende Verarbeitungen): „Für eine unternehmensübergreifende Verarbeitung von Beschäftigtendaten, insbesondere innerhalb von Konzernen, gibt es keinen allgemeinen datenschutzrechtlichen Erlaubnistatbestand‘‘.
    Was sind ,,allgemeine datenschutzrechtliche Erlaubnistatbestände‘‘? Soll dies generell zur Unzulässigkeit unternehmensübergreifender Datenverarbeitung führen? Wohl ja – und damit der erste Schritt einer deutlichen Erhöhung des Schutzniveaus zulasten der Unternehmerfreiheit oder anders formuliert: Brechung der „Macht der Konzerne“.
  • § 12 Abs. 4 (Datenverarbeitung in der Bewerbungsphase): Arbeitgeber dürfen Bewerberdaten verarbeiten, wenn diese in ,,Bewerbungsdatenbanken‘‘ eingestellt worden sind.
    Was sind ,,Bewerbungsdatenbanken‘‘? LinkedIn? Oder erst interne Datenbanken? Was, wenn eine Bewerbersoftware/-datenbank noch nicht implementiert ist oder noch in der Mitbestimmung „festhängt“? Dürfen dann keine Bewerbungen mehr gesichtet oder weitergeleitet werden? Ein gänzlich unpraktikabler Vorschlag, der beinahe sprachlos macht.

Einen Versuch der Konkretisierung unternimmt das Gesetz in § 13 Abs. 4, wenn es Fallgruppen zum Fragerecht des Arbeitgebers abbildet. Nur: Mit Beschäftigtendatenschutz hat das wenig zu tun, und Erkenntnis- oder Anwendungsfortschritte bietet es auch keine, weil die Norm nur abbildet, was die Rechtsprechung bereits weiß.

Effektiver Schutz der Persönlichkeitsrechte durch Arbeitnehmerdatenschutz?

De lege lata werden die Persönlichkeitsrechte der Arbeitnehmer in mitbestimmten Unternehmen bereits von zwei Seiten geschützt:

Einerseits durch die datenschutzrechtliche Compliance im Unternehmen, die (getrieben von hohen Bußgeldandrohungen) meist passablen Schutz bietet. In den meisten Unternehmen herrscht mittlerweile ein ernstzunehmendes Datenschutzniveau, gerade und auch hinsichtlich der Arbeitnehmerdaten.

Andererseits wird der Schutz gewährleistet durch den Betriebsrat, der (legitimiert von seinem sich auf praktisch jede IT-Anwendung erstreckenden Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG und seinem Überwachungsrecht aus § 80 Abs. 1 Nr. 1 BetrVG) das Schutzniveau im Unternehmen oft ausgiebig hinterfragt. In Betriebsratsverhandlungen über IT-Prozesse wird – oft neben der eigentlichen Verhandlung – viel Zeit verwendet auf Systembeschreibung, Schnittstellen, Berechtigungskonzept und Datenschutzgutachten – um idealerweise letztlich in einer Betriebsvereinbarung zu beschreiben, dass konkrete Verarbeitungen zulässig sind. Ob die Mitbestimmung das vorhandene Schutzniveau der Persönlichkeitsrechte im Unternehmen erhöht, ist zumindest fraglich. Dass dieser Prozess nicht effizient ist, ist offenkundig – effektiv mag er sein, oft ist er aber auch „neutral“, da das Schutzniveau bereits hoch ist.

Der Gesetzgeber des BetrVG konnte 1972 die heutige Reichweite des § 87 Abs. 1 Nr. 6 BetrVG noch nicht erahnen, und auch die der Verordnungsgeber der DSGVO hat sicher nicht die Notwendigkeit der Umsetzung der Einbindung der Betriebsräte gesehen, als er per Art. 88 Abs. 1 DSGVO „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ beschrieb, die durch Rechtsvorschriften oder eben durch „Kollektivvereinbarungen“ auf mitgliedstaatlicher Ebene einräumte.

Nähere Betrachtung der Vorschläge

Wird der vorhandene Schutz der Persönlichkeitsrechte im Arbeitsverhältnis durch den Vorschlag des DGB effektiver? Das mag eine nähere Betrachtung der Vorschläge beantworten:

  • Gemäß § 39 des Gesetzgebungsvorschlags soll „mit Freiheitsstrafe bis zu zwei Jahren […] bestraft [werden], wer die Rechte von Beschäftigten nach diesem Gesetz verletzt oder hiernach unzulässige Sanktionen gegen diese verhängt.“ Mit dem Bestimmtheitsgebot des Art. 103 Abs. 2 GG ist das offenkundig nicht vereinbar, erst recht nicht in Kombination mit den weiteren unbestimmten Rechtsbegriffen des Gesetzentwurfes. Das ist so offenkundig, dass es fast schon unbedarft wirkt.
  • § 10 Abs. 1 handelt von der Freiwilligkeit, einer der unbestrittenen Herausforderungen des Datenschutzes im Beschäftigungsverhältnis. Ob der Entwurf hier weiter hilft, wenn er vorschreibt, die Einwilligung müsse „nachweisbar“ freiwillig sein, ist eher unwahrscheinlich. Jedenfalls praktisch wird der Nachweis der Freiwilligkeit kaum zu führen sein – auch eine schriftliche Bestätigung der Freiwilligkeit indiziert nicht die echte innere Unabhängigkeit, solange das Beschäftigungsverhältnis läuft. Es müsste also eine unabhängige Stelle, z. B. der Betriebsrat, im Gespräch mit dem Arbeitnehmer herausfinden, ob die Einwilligung wirklich aus freien Stücken erfolgte. Ein enormer Aufwand, aber auch ein enormes Strafbarkeitsrisiko, misst man diesen Vorgang an § 39 des Vorschlags: Jede Verwendung der Daten trägt das Risiko der Strafbarkeit in sich, so lange die echte Freiwilligkeit nicht nachgewiesen ist. § 10 des Entwurfs schafft damit – aber das ist auch nicht sein Anspruch – keinen effektiveren Ablauf des Freiwilligkeitsnachweises. Stattdessen lehnt er sich im Wortlaut eng an § 26 Abs. 2 BDSG an, verschärft diesen nur hinsichtlich der Beweislast für die Freiwilligkeit, die dem Arbeitgeber obliegt.
  • Gemäß § 12 Abs. 5 des Vorschlags schließlich dürfen in der Bewerbungsphase biometrische Daten vom Arbeitgeber nicht verarbeitet werden. Damit wird der „Beschäftigtendatenschutz“ vorverlagert und wird zum „Bewerberdatenschutz“, also zum Schutz der noch nicht Beschäftigten – zusätzlich zum bereits weitreichenden Schutz von Bewerbern durch das AGG. Vor allem aber ist auch dieser Vorschlag mit erheblichen Haftungsrisiken für Unternehmen verbunden, die so nicht hinnehmbar sind. Biometrische Daten werden immer häufiger und auch im Alltag zur sicheren Identifikation verwendet, sei es die Gesichtserkennung beim Tablet, sei es das Passbild im Personalausweis. Schickt nun jemand ein Bewerbungsbild, das er anlässlich der letzten Verlängerung seines Personalausweises erstellt hat (und das damit „biometrisch“ ist), wäre die Verarbeitung, Weiterleitung oder Speicherung des Lebenslaufs ein Verstoß gegen den Arbeitnehmerdatenschutz. Auch das greift weit in bestehende Abläufe und Praktiken ein.

Misst man diese Vorschläge am Ziel des Entwurfs, die Persönlichkeitsrechte der Arbeitnehmer effektiv zu schützen, erreicht er sein Ziel:

  • Es wird für den Arbeitgeber noch schwieriger, aufwändiger und riskanter, die Daten der Arbeitnehmer zu verarbeiten und auf die Einwilligung zu stützen. Allerdings sind die Interessen der Unternehmen damit nicht im Ansatz gewahrt, bestimmte Verarbeitungsvorgänge datenschutzrechtlich möglichst effizient abzusichern und die Arbeitnehmer etwa im Zuge des Arbeitsvertrags und der damit einhergehenden Dokumentation um ihre Einwilligung zu bitten. So, wie der Entwurf geschrieben ist, wäre das das Ende der Einwilligung im Beschäftigungsverhältnis.
  • Den effektiven Schutz der Persönlichkeitsrechte weitet der Entwurf aus in die Bewerbungsphase, indem das unbedarfte Abspeichern oder Weiterleiten eines Lebenslaufs mit biometrischem Bewerberbild sogar strafbar wäre. Das mag zwar ein wirksames Mittel sein, jegliche Diskriminierung in Bewerbungsverfahren zu beenden, die mit Verwendung von Bildern einhergeht, weil sie den verständigen Arbeitgeber dazu brächte, jegliche Fotos im Bewerbungsverfahren sicherheitshalber zu versagen. Über das Ziel eines „effektiven Beschäftigtendatenschutzes“ geht dies jedoch erheblich hinaus.

Fazit

Der Gesetzentwurf des DGB ist wirkmächtig-effektiv, was den Schutz von Arbeitnehmerdaten im Beschäftigungsverhältnis angeht, aber auch im Bewerberverhältnis und von Personen, die keine Arbeitnehmer sind. Er ist aber zudem vollkommen einseitig, weil er der Effektivität keinerlei Effizienz verordnet, also keinen Blick auf den Aufwand oder die Eingrenzbarkeit der Risiken für das Unternehmen wirft. Sein erstes Ziel erreicht er also, allerdings ohne jeden Ausgleich und damit rücksichtslos.

Das zweite Ziel, eine Konkretisierung von normativen Rechtsbegriffen, verfehlt er drastisch. Er bringt keinerlei echte Konkretisierung und leistet damit der Rechtsunsicherheit im Datenschutz Vorschub – deren Risiken er wiederum sehr einseitig bei den Unternehmen verortet.

Insgesamt also der zu erwartende, das vorhandene teilweise bereits sehr ineffiziente Schutz- und Mitbestimmungsniveau im Bereich der IT-Prozesse verfestigende und erweiternde Vorstoß, der so hoffentlich nicht zum Gesetz wird.

Kategorien: #EFAR-Beiträge Tags: Datenschutz

  • Dr. Philipp Wiesenecker

    RA/FAArb, Partner bei GvW Graf von Westphalen (Büro Frankfurt) #EFAR - Profil #EFAR - Fokusseite LinkedIn Xing

Ähnliche Beiträge

Betriebsrat
31. März 2022 - Tobias Neufeld, LL.M.

Betriebsrat: Datenschutzrechtliche Stellung und Pflichten nach der Betriebsverfassung, DSGVO und BDSG

Die datenschutzrechtliche Stellung des Betriebsrats und die daraus resultierenden Pflichten waren und sind auch nach der Einführung des § 79a BetrVG in der Diskussion. Zum aktuellen Stand eine Beitragsreihe mit Handlungsempfehlungen.
Lesen
Compliance
24. Februar 2022 - Sebastian Laoutoumai, LL.M.

Wann haften Geschäftsführer persönlich für DSGVO-Verstöße?

Haften Geschäftsführer persönlich für Datenschutzverstöße der GmbH? Zu dieser wichtigen Frage hat das OLG Dresden jüngst eine überraschende Entscheidung getroffen.
Lesen
Corona
27. Oktober 2021 - Stefan Hessel

Datenschutzkonferenz: Abfrage des Impfstatus durch den Arbeitgeber zulässig?

In einem aktuellen Beschluss vom 19.10.2021 hat die Datenschutzkonferenz (DSK) sich zur Frage geäußert, ob Arbeitgeber den Impfstatus von Beschäftigten verarbeiten dürfen. Damit nimmt die DSK zu einem Thema Stellung, das zurzeit viele Unternehmen beschäftigt.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • ArbeitsRecht kurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Kündigungsgrund gefälschter Genesenennachweis
  • Kein Versand von Gewerkschaftsinformationen per E-Mail
  • Unwirksame Rückzahlungsklausel in Fortbildungsvereinbarung
  • Corona-Arbeitsschutzverordnung wird nicht verlängert
  • Massenentlassungsanzeige – Fehlen der sog. Soll-Angaben

#EFAR – Jobs

  • Küttner Arbeitsrechtler (m/w/d) mit Berufserfahrung Köln
  • DLR Volljuristin oder Volljurist (w/m/d) Bonn - Bad Godesberg
  • Hays Volljurist/ Inhouse Counsel (m/w/d) Mannheim
  • ADVANT Beiten RECHTSANWÄLTE MIT BERUFSERFAHRUNG (W/M/D) FÜR DEN BEREICH ARBEITSRECHT MÜNCHEN

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.