• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • #ArbeitsRechtKurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Aktuelles Urteil des Bundesarbeitsgerichts zur Betriebsratsvergütung
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 25.03.2023 - 12:25
  • LAG Nürnberg: „flinke Frauenhände gesucht“ – männlicher Bewerber diskriminiert
    Quelle : Beck-Blog 24.03.2023 - 14:57 Von stoffels
  • Betriebsratsvergütung nach dem Volkswagen-Urteil
    Quelle : Allen & Overy 22.03.2023 - 12:27
  • Eckpunktepapier des BMBF zur Reform des Wissenschaftszeitvertragsgesetzes
    Quelle : Beck-Blog 22.03.2023 - 09:12 Von stoffels
  • Internal Investigations – und ihre Grenzen
    Quelle : Küttner Feed 22.03.2023 - 08:00
  • VG Gießen: Polizeianwärter muss Ausbildungsbezüge nicht zurückzahlen
    Quelle : Beck-Blog 20.03.2023 - 12:39 Von stoffels
  • Hohe Beitragsnachforderung wegen Schwarzarbeit
    Quelle : Beck-Blog 18.03.2023 - 08:10 Von stoffels
  • Fehlender Arbeitsantritt als sozialwidriges Verhalten?
    Quelle : Beck-Blog 16.03.2023 - 08:48 Von stoffels
  • Betriebsratsvergütung – wie geht’s richtig?
    Quelle : Küttner Feed 15.03.2023 - 14:50
  • Arbeitsrechtliche Herausforderungen bei Arbeitnehmerbefragungen im Rahmen von internen Untersuchungen
    Quelle : Allen & Overy 15.03.2023 - 10:00
  • Sozialplan: Neues zu Höchstbetragsregelungen vom BAG – Vorsicht bei Zuschlägen für Schwerbehinderte/Gleichgestellte
    Quelle : CMSHS 15.03.2023 - 06:48 Von Tobias Polloczek
  • Die unwirksame Kündigung – „Woran hat et jelegen“?
    Quelle : ADVANT Beiten 13.03.2023 - 13:00 Von Dr. Erik Schmid
  • OVG Münster: Keine Lohn-Entschädigung für Fleischindustrie
    Quelle : Beck-Blog 13.03.2023 - 12:39 Von stoffels
  • Hessisches LSG: Der Weg zum Getränkeautomaten ist unfallversichert
    Quelle : Beck-Blog 10.03.2023 - 12:39 Von stoffels
  • Algorithmisches Management – Arbeitsanweisungen durch künstliche Intelligenz
    Quelle : CMSHS 10.03.2023 - 06:41 Von Patricia Jares
  • Equal Pay in Deutschland im Jahr 2023
    Quelle : Allen & Overy 08.03.2023 - 11:50
  • Äußerungen zum Equal Pay Day (7.3.) und zum Internationalen Frauentag (8.3.)
    Quelle : Beck-Blog 08.03.2023 - 09:56 Von stoffels
  • Arbeitsrechtliche Aspekte der Energiepreisbremsen
    Quelle : CMSHS 07.03.2023 - 12:01 Von Martin Lützeler
  • LAG Niedersachsen zur Diskriminierung einer nicht-binären Person bei der Besetzung einer Stelle als einer Gleichstellungsbeauftragten
    Quelle : Beck-Blog 06.03.2023 - 10:54 Von stoffels
  • Streitthema BEM: Was schief läuft – und wie es besser geht
    Quelle : Beck-Blog 06.03.2023 - 09:19 Von Gastbeitrag

Beschäftigtendatenschutz: Vorschlag des DGB

  • 2. März 2022 |
  • Dr. Philipp Wiesenecker

Der DGB hat einen Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt. Was ist dort im Detail geplant und wie ist dies zu bewerten?

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

„Nicht erst seit der Pandemie nutzen Arbeitgeber*innen immer häufiger digitale Methoden, um Beschäftigte zu überwachen oder personenbezogene Daten über sie zu sammeln. Oft geschieht das sogar heimlich. Eine Rechtsgrundlage dafür gibt es kaum. Damit Persönlichkeitsrechte am Arbeitsplatz gewahrt werden, braucht es daher verbindliche Regelungen.“

Anzeige

So der DGB in seinem Beitrag vom 09.02.2022, in dem er den Entwurf eines Beschäftigtendatenschutzgesetzes veröffentlicht – unter der Überschrift „Vertrauen ist gut, Rechte sind besser“. Der DGB suggeriert, dass Überwachung zunehmend stattfinde und hiermit ohne Rechtsgrundlage Persönlichkeitsrechte verletzt würden. Doch trifft das die zu regelnde Realität?

Mehr Beschäftigtendatenschutz: Erforderlich oder nicht?

Seit 2010 diskutiert die Politik über ein Beschäftigtendatenschutzgesetz. Zuletzt wurde am 25.08.2010 von der damaligen Regierung ein Entwurf eingebracht, der sich jedoch nicht durchsetzen konnte. Zehn Jahre später, im Juni 2020, empfiehlt der „unabhängige interdisziplinäre Beirat zum Beschäftigtendatenschutz“ eine Spezifizierung des Beschäftigtendatenschutzes. Die von Art. 88 Abs. 1 DSGVO eröffnete Lücke werde von § 26 BDSG nicht hinreichend ausgefüllt. Insbesondere fehle jede gesetzliche Aussage über die Zulässigkeit konkreter Verarbeitungen im Einzelfall. Der Koalitionsvertrag der Ampel-Koalition greift das Thema auf und schreibt sich hinsichtlich des Arbeitnehmerdatenschutzes „Rechtsklarheit“ und „effektiven Schutz der Persönlichkeitsrechte“ ins Programmheft.

Politisch sind es heute also zwei Stoßrichtungen, aus der eine Reform des Beschäftigtendatenschutzes angegangen werden soll: Einerseits – letztlich im Unternehmensinteresse – die Konkretisierung, Beseitigung von Zweifelsfragen und damit die Minimierung der Haftung für einen Rechtsverstoß, andererseits – im Arbeitnehmerinteresse – der „effektive“ Schutz der Persönlichkeitsrechte.

Der Entwurf des DGB kümmert sich recht einseitig um die Rechte der Arbeitnehmer – genauer: um die Rechte von Personen, die für das Unternehmen arbeiten, ohne Arbeitnehmer zu sein. Die Haftungsreduzierung von Unternehmen hat er erwartungsgemäß weniger im Blick, erst recht nicht die (mehr als notwendige) Eingrenzung der Mitbestimmung im IT-Datenschutz auf ein vernünftiges Maß.

Haftung für Rechtsverstöße und Konkretisierung normativer Rechtsbegriffe

Eine Konkretisierung findet sich kaum. An den meisten Stellen ist der Gesetzentwurf – wie das bei Gesetzen so ist und sein muss – abstrakt-generell und verwendet normative Rechtsbegriffe. Mehr Konkretisierung oder auch nur Rechtsklarheit im Arbeitnehmerdatenschutz ist damit nicht verbunden, die Haftungsrisiken für Unternehmen bleiben davon vollkommen unberührt. Ein paar Beispiele:

  • § 2 Abs. 1 S. 3 (Sachlicher Anwendungsbereich): Das Gesetz soll gelten für die Verarbeitung von Daten durch Dritte, ,,die Arbeitgeber veranlassen oder ermöglichen‘‘.
    Was bedeutet ,,ermöglichen‘‘? Folgt daraus eine Pflicht, Zugriffe und Verarbeitungen durch Dritte strikt zu unterbinden, etwa durch Dienstleister und Externe? Wohl ja. Ein weiteres Element zur Stärkung der abhängigen Beschäftigung – zulasten der Dienstleister und der freien Wirtschaft.
  • § 5 Abs. 2 S. 2 (Begriffsbestimmungen): Arbeitgeber sind ,,Auftraggeber arbeitnehmerähnlicher Personen oder vergleichbar wirtschaftlich abhängiger Personen‘‘.
    Wozu bedarf es noch eines Rückgriffs auf ,,vergleichbar wirtschaftlich abhängige Personen‘‘ und wer ist damit gemeint? Letztlich führt das dazu, dass der „Beschäftigtendatenschutz“ nicht nur zum „Bewerberdatenschutz“ wird (s.o.), sondern auch zum Schutz von Solo-Selbstständigen und anderen Personengruppen führt – letztlich sogar zur Erstreckung des Schutzniveaus auf externe Dienstleister, die, wie in manchen Branchen durchaus üblich, im Wesentlichen an den Aufträgen eines Unternehmens hängen, also wirtschaftlich abhängig sind.
  • § 5 Abs. 4 (Begriffsbestimmungen): Beschäftigtendaten sind ,,personenbeziehbare‘‘ oder personenbezogene Daten zu Beschäftigten.
    Was sind ,,personenbeziehbare‘‘ Daten und inwieweit unterscheiden sich diese von personenbezogenen Daten (gerade im Hinblick auf die Definition personenbezogener Daten aus Art. 4 Nr. 1 DSGVO)? Auch hier findet sich eine erhebliche Ausweitung im Anwendungsbereich: Allmachtsphantasien des Gesetzgebers zur Durchsetzung des von ihm für angemessen erachteten Schutzniveaus und damit Einschränkung von unregulierten Freiräumen.
  • § 11 (Unternehmensübergreifende Verarbeitungen): „Für eine unternehmensübergreifende Verarbeitung von Beschäftigtendaten, insbesondere innerhalb von Konzernen, gibt es keinen allgemeinen datenschutzrechtlichen Erlaubnistatbestand‘‘.
    Was sind ,,allgemeine datenschutzrechtliche Erlaubnistatbestände‘‘? Soll dies generell zur Unzulässigkeit unternehmensübergreifender Datenverarbeitung führen? Wohl ja – und damit der erste Schritt einer deutlichen Erhöhung des Schutzniveaus zulasten der Unternehmerfreiheit oder anders formuliert: Brechung der „Macht der Konzerne“.
  • § 12 Abs. 4 (Datenverarbeitung in der Bewerbungsphase): Arbeitgeber dürfen Bewerberdaten verarbeiten, wenn diese in ,,Bewerbungsdatenbanken‘‘ eingestellt worden sind.
    Was sind ,,Bewerbungsdatenbanken‘‘? LinkedIn? Oder erst interne Datenbanken? Was, wenn eine Bewerbersoftware/-datenbank noch nicht implementiert ist oder noch in der Mitbestimmung „festhängt“? Dürfen dann keine Bewerbungen mehr gesichtet oder weitergeleitet werden? Ein gänzlich unpraktikabler Vorschlag, der beinahe sprachlos macht.

Einen Versuch der Konkretisierung unternimmt das Gesetz in § 13 Abs. 4, wenn es Fallgruppen zum Fragerecht des Arbeitgebers abbildet. Nur: Mit Beschäftigtendatenschutz hat das wenig zu tun, und Erkenntnis- oder Anwendungsfortschritte bietet es auch keine, weil die Norm nur abbildet, was die Rechtsprechung bereits weiß.

Effektiver Schutz der Persönlichkeitsrechte durch Arbeitnehmerdatenschutz?

De lege lata werden die Persönlichkeitsrechte der Arbeitnehmer in mitbestimmten Unternehmen bereits von zwei Seiten geschützt:

Einerseits durch die datenschutzrechtliche Compliance im Unternehmen, die (getrieben von hohen Bußgeldandrohungen) meist passablen Schutz bietet. In den meisten Unternehmen herrscht mittlerweile ein ernstzunehmendes Datenschutzniveau, gerade und auch hinsichtlich der Arbeitnehmerdaten.

Andererseits wird der Schutz gewährleistet durch den Betriebsrat, der (legitimiert von seinem sich auf praktisch jede IT-Anwendung erstreckenden Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG und seinem Überwachungsrecht aus § 80 Abs. 1 Nr. 1 BetrVG) das Schutzniveau im Unternehmen oft ausgiebig hinterfragt. In Betriebsratsverhandlungen über IT-Prozesse wird – oft neben der eigentlichen Verhandlung – viel Zeit verwendet auf Systembeschreibung, Schnittstellen, Berechtigungskonzept und Datenschutzgutachten – um idealerweise letztlich in einer Betriebsvereinbarung zu beschreiben, dass konkrete Verarbeitungen zulässig sind. Ob die Mitbestimmung das vorhandene Schutzniveau der Persönlichkeitsrechte im Unternehmen erhöht, ist zumindest fraglich. Dass dieser Prozess nicht effizient ist, ist offenkundig – effektiv mag er sein, oft ist er aber auch „neutral“, da das Schutzniveau bereits hoch ist.

Der Gesetzgeber des BetrVG konnte 1972 die heutige Reichweite des § 87 Abs. 1 Nr. 6 BetrVG noch nicht erahnen, und auch die der Verordnungsgeber der DSGVO hat sicher nicht die Notwendigkeit der Umsetzung der Einbindung der Betriebsräte gesehen, als er per Art. 88 Abs. 1 DSGVO „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ beschrieb, die durch Rechtsvorschriften oder eben durch „Kollektivvereinbarungen“ auf mitgliedstaatlicher Ebene einräumte.

Nähere Betrachtung der Vorschläge

Wird der vorhandene Schutz der Persönlichkeitsrechte im Arbeitsverhältnis durch den Vorschlag des DGB effektiver? Das mag eine nähere Betrachtung der Vorschläge beantworten:

  • Gemäß § 39 des Gesetzgebungsvorschlags soll „mit Freiheitsstrafe bis zu zwei Jahren […] bestraft [werden], wer die Rechte von Beschäftigten nach diesem Gesetz verletzt oder hiernach unzulässige Sanktionen gegen diese verhängt.“ Mit dem Bestimmtheitsgebot des Art. 103 Abs. 2 GG ist das offenkundig nicht vereinbar, erst recht nicht in Kombination mit den weiteren unbestimmten Rechtsbegriffen des Gesetzentwurfes. Das ist so offenkundig, dass es fast schon unbedarft wirkt.
  • § 10 Abs. 1 handelt von der Freiwilligkeit, einer der unbestrittenen Herausforderungen des Datenschutzes im Beschäftigungsverhältnis. Ob der Entwurf hier weiter hilft, wenn er vorschreibt, die Einwilligung müsse „nachweisbar“ freiwillig sein, ist eher unwahrscheinlich. Jedenfalls praktisch wird der Nachweis der Freiwilligkeit kaum zu führen sein – auch eine schriftliche Bestätigung der Freiwilligkeit indiziert nicht die echte innere Unabhängigkeit, solange das Beschäftigungsverhältnis läuft. Es müsste also eine unabhängige Stelle, z. B. der Betriebsrat, im Gespräch mit dem Arbeitnehmer herausfinden, ob die Einwilligung wirklich aus freien Stücken erfolgte. Ein enormer Aufwand, aber auch ein enormes Strafbarkeitsrisiko, misst man diesen Vorgang an § 39 des Vorschlags: Jede Verwendung der Daten trägt das Risiko der Strafbarkeit in sich, so lange die echte Freiwilligkeit nicht nachgewiesen ist. § 10 des Entwurfs schafft damit – aber das ist auch nicht sein Anspruch – keinen effektiveren Ablauf des Freiwilligkeitsnachweises. Stattdessen lehnt er sich im Wortlaut eng an § 26 Abs. 2 BDSG an, verschärft diesen nur hinsichtlich der Beweislast für die Freiwilligkeit, die dem Arbeitgeber obliegt.
  • Gemäß § 12 Abs. 5 des Vorschlags schließlich dürfen in der Bewerbungsphase biometrische Daten vom Arbeitgeber nicht verarbeitet werden. Damit wird der „Beschäftigtendatenschutz“ vorverlagert und wird zum „Bewerberdatenschutz“, also zum Schutz der noch nicht Beschäftigten – zusätzlich zum bereits weitreichenden Schutz von Bewerbern durch das AGG. Vor allem aber ist auch dieser Vorschlag mit erheblichen Haftungsrisiken für Unternehmen verbunden, die so nicht hinnehmbar sind. Biometrische Daten werden immer häufiger und auch im Alltag zur sicheren Identifikation verwendet, sei es die Gesichtserkennung beim Tablet, sei es das Passbild im Personalausweis. Schickt nun jemand ein Bewerbungsbild, das er anlässlich der letzten Verlängerung seines Personalausweises erstellt hat (und das damit „biometrisch“ ist), wäre die Verarbeitung, Weiterleitung oder Speicherung des Lebenslaufs ein Verstoß gegen den Arbeitnehmerdatenschutz. Auch das greift weit in bestehende Abläufe und Praktiken ein.

Misst man diese Vorschläge am Ziel des Entwurfs, die Persönlichkeitsrechte der Arbeitnehmer effektiv zu schützen, erreicht er sein Ziel:

  • Es wird für den Arbeitgeber noch schwieriger, aufwändiger und riskanter, die Daten der Arbeitnehmer zu verarbeiten und auf die Einwilligung zu stützen. Allerdings sind die Interessen der Unternehmen damit nicht im Ansatz gewahrt, bestimmte Verarbeitungsvorgänge datenschutzrechtlich möglichst effizient abzusichern und die Arbeitnehmer etwa im Zuge des Arbeitsvertrags und der damit einhergehenden Dokumentation um ihre Einwilligung zu bitten. So, wie der Entwurf geschrieben ist, wäre das das Ende der Einwilligung im Beschäftigungsverhältnis.
  • Den effektiven Schutz der Persönlichkeitsrechte weitet der Entwurf aus in die Bewerbungsphase, indem das unbedarfte Abspeichern oder Weiterleiten eines Lebenslaufs mit biometrischem Bewerberbild sogar strafbar wäre. Das mag zwar ein wirksames Mittel sein, jegliche Diskriminierung in Bewerbungsverfahren zu beenden, die mit Verwendung von Bildern einhergeht, weil sie den verständigen Arbeitgeber dazu brächte, jegliche Fotos im Bewerbungsverfahren sicherheitshalber zu versagen. Über das Ziel eines „effektiven Beschäftigtendatenschutzes“ geht dies jedoch erheblich hinaus.

Fazit

Der Gesetzentwurf des DGB ist wirkmächtig-effektiv, was den Schutz von Arbeitnehmerdaten im Beschäftigungsverhältnis angeht, aber auch im Bewerberverhältnis und von Personen, die keine Arbeitnehmer sind. Er ist aber zudem vollkommen einseitig, weil er der Effektivität keinerlei Effizienz verordnet, also keinen Blick auf den Aufwand oder die Eingrenzbarkeit der Risiken für das Unternehmen wirft. Sein erstes Ziel erreicht er also, allerdings ohne jeden Ausgleich und damit rücksichtslos.

Das zweite Ziel, eine Konkretisierung von normativen Rechtsbegriffen, verfehlt er drastisch. Er bringt keinerlei echte Konkretisierung und leistet damit der Rechtsunsicherheit im Datenschutz Vorschub – deren Risiken er wiederum sehr einseitig bei den Unternehmen verortet.

Insgesamt also der zu erwartende, das vorhandene teilweise bereits sehr ineffiziente Schutz- und Mitbestimmungsniveau im Bereich der IT-Prozesse verfestigende und erweiternde Vorstoß, der so hoffentlich nicht zum Gesetz wird.

Kategorien: #EFAR-Beiträge Tags: Datenschutz

  • Dr. Philipp Wiesenecker

    RA/FAArb, Partner bei GvW Graf von Westphalen (Büro Frankfurt) #EFAR - Profil #EFAR - Fokusseite LinkedIn Xing

Ähnliche Beiträge

Datenschutz DSGVO
13. März 2023 - Daniel Schlemann, LL.M. (Berkeley)

EuGH stellt Anwendbarkeit der DSGVO in Zivilverfahren klar

Der EuGH hat klargestellt, dass die DSGVO auch im Zivilgerichtsverfahren und damit auch im arbeitsgerichtlichen Verfahren gilt. Der Konflikt zwischen prozessualem Beibringungsgrundsatz (und Beweislast) und datenschutzrechtlichen Betroffenenrechten ist dabei mittels einer Zweischritt-Prüfung aufzulösen. Das gilt für den Parteivortrag wie auch für Beweisanordnungen des (Arbeits-)Gerichts.
Lesen
Compliance Homeoffice
28. Februar 2023 - Dr. Maximilian Koschker, LL.M.

Schutz von Geschäftsgeheimnissen im Homeoffice und beim mobilen Arbeiten

Bei der Arbeit im Homeoffice sowie beim mobilen Arbeiten generell gelten erhöhte Anforderungen an den Schutz von Geschäftsgeheimnissen, deren Nichteinhaltung gravierende rechtliche und tatsächliche Konsequenzen für ihren Inhaber haben kann.
Lesen
Datenschutz
14. Februar 2023 - EFAR Redaktion

Ständige Mitarbeiterkontrolle bei Amazon ist rechtmäßig

Amazon darf weiterhin Handscanner einsetzen, mithilfe derer bestimmte Arbeitsschritte innerhalb der jeweiligen Prozesspfade von Warenein- bis Warenausgang erfasst werden. Das Persönlichkeitsrecht der Beschäftigten überwiegt hier nicht das unternehmerische Interesse von Amazon. Das hat das VG Hannover entschieden (Urt. v. 9.2.2023 - 10 A 6199/20; PM v. 14.2.2023).
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • #ArbeitsRechtKurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Darf Beschäftigten das Tragen religiöser Symbole oder Kleidung verboten werden?
  • Kein Unfallversicherungsschutz bei Schlägerei wegen zugeparkter Betriebseinfahrt
  • Polizeianwärter muss Ausbildungsbezüge nicht zurückzahlen
  • ChatGPT und arbeitsrechtliche Aspekte
  • Uneingeschränkter Widerrufsvorbehalt bei einer Pensionszusage ist steuerschädlich

#EFAR – Jobs

  • ARQIS Wissenschaftlicher Mitarbeiter (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Referendar (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Legal Specialist (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Berufseinsteiger/Rechtsanwalt (m/w/d) für Arbeitsrecht in Düsseldorf oder München München

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.