Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

LinkedIn
Twitter
Xing
Facebook

Beschäftigtendatenschutz: Vorschlag des DGB

Der DGB hat einen Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt. Was ist dort im Detail geplant und wie ist dies zu bewerten?

Das Thema

„Nicht erst seit der Pandemie nutzen Arbeitgeber*innen immer häufiger digitale Methoden, um Beschäftigte zu überwachen oder personenbezogene Daten über sie zu sammeln. Oft geschieht das sogar heimlich. Eine Rechtsgrundlage dafür gibt es kaum. Damit Persönlichkeitsrechte am Arbeitsplatz gewahrt werden, braucht es daher verbindliche Regelungen.“

So der DGB in seinem Beitrag vom 09.02.2022, in dem er den Entwurf eines Beschäftigtendatenschutzgesetzes veröffentlicht – unter der Überschrift „Vertrauen ist gut, Rechte sind besser“. Der DGB suggeriert, dass Überwachung zunehmend stattfinde und hiermit ohne Rechtsgrundlage Persönlichkeitsrechte verletzt würden. Doch trifft das die zu regelnde Realität?

Mehr Beschäftigtendatenschutz: Erforderlich oder nicht?

Seit 2010 diskutiert die Politik über ein Beschäftigtendatenschutzgesetz. Zuletzt wurde am 25.08.2010 von der damaligen Regierung ein Entwurf eingebracht, der sich jedoch nicht durchsetzen konnte. Zehn Jahre später, im Juni 2020, empfiehlt der „unabhängige interdisziplinäre Beirat zum Beschäftigtendatenschutz“ eine Spezifizierung des Beschäftigtendatenschutzes. Die von Art. 88 Abs. 1 DSGVO eröffnete Lücke werde von § 26 BDSG nicht hinreichend ausgefüllt. Insbesondere fehle jede gesetzliche Aussage über die Zulässigkeit konkreter Verarbeitungen im Einzelfall. Der Koalitionsvertrag der Ampel-Koalition greift das Thema auf und schreibt sich hinsichtlich des Arbeitnehmerdatenschutzes „Rechtsklarheit“ und „effektiven Schutz der Persönlichkeitsrechte“ ins Programmheft.

Politisch sind es heute also zwei Stoßrichtungen, aus der eine Reform des Beschäftigtendatenschutzes angegangen werden soll: Einerseits – letztlich im Unternehmensinteresse – die Konkretisierung, Beseitigung von Zweifelsfragen und damit die Minimierung der Haftung für einen Rechtsverstoß, andererseits – im Arbeitnehmerinteresse – der „effektive“ Schutz der Persönlichkeitsrechte.

Der Entwurf des DGB kümmert sich recht einseitig um die Rechte der Arbeitnehmer – genauer: um die Rechte von Personen, die für das Unternehmen arbeiten, ohne Arbeitnehmer zu sein. Die Haftungsreduzierung von Unternehmen hat er erwartungsgemäß weniger im Blick, erst recht nicht die (mehr als notwendige) Eingrenzung der Mitbestimmung im IT-Datenschutz auf ein vernünftiges Maß.

Haftung für Rechtsverstöße und Konkretisierung normativer Rechtsbegriffe

Eine Konkretisierung findet sich kaum. An den meisten Stellen ist der Gesetzentwurf – wie das bei Gesetzen so ist und sein muss – abstrakt-generell und verwendet normative Rechtsbegriffe. Mehr Konkretisierung oder auch nur Rechtsklarheit im Arbeitnehmerdatenschutz ist damit nicht verbunden, die Haftungsrisiken für Unternehmen bleiben davon vollkommen unberührt. Ein paar Beispiele:

  • § 2 Abs. 1 S. 3 (Sachlicher Anwendungsbereich): Das Gesetz soll gelten für die Verarbeitung von Daten durch Dritte, ,,die Arbeitgeber veranlassen oder ermöglichen‘‘.
    Was bedeutet ,,ermöglichen‘‘? Folgt daraus eine Pflicht, Zugriffe und Verarbeitungen durch Dritte strikt zu unterbinden, etwa durch Dienstleister und Externe? Wohl ja. Ein weiteres Element zur Stärkung der abhängigen Beschäftigung – zulasten der Dienstleister und der freien Wirtschaft.
  • § 5 Abs. 2 S. 2 (Begriffsbestimmungen): Arbeitgeber sind ,,Auftraggeber arbeitnehmerähnlicher Personen oder vergleichbar wirtschaftlich abhängiger Personen‘‘.
    Wozu bedarf es noch eines Rückgriffs auf ,,vergleichbar wirtschaftlich abhängige Personen‘‘ und wer ist damit gemeint? Letztlich führt das dazu, dass der „Beschäftigtendatenschutz“ nicht nur zum „Bewerberdatenschutz“ wird (s.o.), sondern auch zum Schutz von Solo-Selbstständigen und anderen Personengruppen führt – letztlich sogar zur Erstreckung des Schutzniveaus auf externe Dienstleister, die, wie in manchen Branchen durchaus üblich, im Wesentlichen an den Aufträgen eines Unternehmens hängen, also wirtschaftlich abhängig sind.
  • § 5 Abs. 4 (Begriffsbestimmungen): Beschäftigtendaten sind ,,personenbeziehbare‘‘ oder personenbezogene Daten zu Beschäftigten.
    Was sind ,,personenbeziehbare‘‘ Daten und inwieweit unterscheiden sich diese von personenbezogenen Daten (gerade im Hinblick auf die Definition personenbezogener Daten aus Art. 4 Nr. 1 DSGVO)? Auch hier findet sich eine erhebliche Ausweitung im Anwendungsbereich: Allmachtsphantasien des Gesetzgebers zur Durchsetzung des von ihm für angemessen erachteten Schutzniveaus und damit Einschränkung von unregulierten Freiräumen.
  • § 11 (Unternehmensübergreifende Verarbeitungen): „Für eine unternehmensübergreifende Verarbeitung von Beschäftigtendaten, insbesondere innerhalb von Konzernen, gibt es keinen allgemeinen datenschutzrechtlichen Erlaubnistatbestand‘‘.
    Was sind ,,allgemeine datenschutzrechtliche Erlaubnistatbestände‘‘? Soll dies generell zur Unzulässigkeit unternehmensübergreifender Datenverarbeitung führen? Wohl ja – und damit der erste Schritt einer deutlichen Erhöhung des Schutzniveaus zulasten der Unternehmerfreiheit oder anders formuliert: Brechung der „Macht der Konzerne“.
  • § 12 Abs. 4 (Datenverarbeitung in der Bewerbungsphase): Arbeitgeber dürfen Bewerberdaten verarbeiten, wenn diese in ,,Bewerbungsdatenbanken‘‘ eingestellt worden sind.
    Was sind ,,Bewerbungsdatenbanken‘‘? LinkedIn? Oder erst interne Datenbanken? Was, wenn eine Bewerbersoftware/-datenbank noch nicht implementiert ist oder noch in der Mitbestimmung „festhängt“? Dürfen dann keine Bewerbungen mehr gesichtet oder weitergeleitet werden? Ein gänzlich unpraktikabler Vorschlag, der beinahe sprachlos macht.

Einen Versuch der Konkretisierung unternimmt das Gesetz in § 13 Abs. 4, wenn es Fallgruppen zum Fragerecht des Arbeitgebers abbildet. Nur: Mit Beschäftigtendatenschutz hat das wenig zu tun, und Erkenntnis- oder Anwendungsfortschritte bietet es auch keine, weil die Norm nur abbildet, was die Rechtsprechung bereits weiß.

Effektiver Schutz der Persönlichkeitsrechte durch Arbeitnehmerdatenschutz?

De lege lata werden die Persönlichkeitsrechte der Arbeitnehmer in mitbestimmten Unternehmen bereits von zwei Seiten geschützt:

Einerseits durch die datenschutzrechtliche Compliance im Unternehmen, die (getrieben von hohen Bußgeldandrohungen) meist passablen Schutz bietet. In den meisten Unternehmen herrscht mittlerweile ein ernstzunehmendes Datenschutzniveau, gerade und auch hinsichtlich der Arbeitnehmerdaten.

Andererseits wird der Schutz gewährleistet durch den Betriebsrat, der (legitimiert von seinem sich auf praktisch jede IT-Anwendung erstreckenden Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG und seinem Überwachungsrecht aus § 80 Abs. 1 Nr. 1 BetrVG) das Schutzniveau im Unternehmen oft ausgiebig hinterfragt. In Betriebsratsverhandlungen über IT-Prozesse wird – oft neben der eigentlichen Verhandlung – viel Zeit verwendet auf Systembeschreibung, Schnittstellen, Berechtigungskonzept und Datenschutzgutachten – um idealerweise letztlich in einer Betriebsvereinbarung zu beschreiben, dass konkrete Verarbeitungen zulässig sind. Ob die Mitbestimmung das vorhandene Schutzniveau der Persönlichkeitsrechte im Unternehmen erhöht, ist zumindest fraglich. Dass dieser Prozess nicht effizient ist, ist offenkundig – effektiv mag er sein, oft ist er aber auch „neutral“, da das Schutzniveau bereits hoch ist.

Der Gesetzgeber des BetrVG konnte 1972 die heutige Reichweite des § 87 Abs. 1 Nr. 6 BetrVG noch nicht erahnen, und auch die der Verordnungsgeber der DSGVO hat sicher nicht die Notwendigkeit der Umsetzung der Einbindung der Betriebsräte gesehen, als er per Art. 88 Abs. 1 DSGVO „spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ beschrieb, die durch Rechtsvorschriften oder eben durch „Kollektivvereinbarungen“ auf mitgliedstaatlicher Ebene einräumte.

Nähere Betrachtung der Vorschläge

Wird der vorhandene Schutz der Persönlichkeitsrechte im Arbeitsverhältnis durch den Vorschlag des DGB effektiver? Das mag eine nähere Betrachtung der Vorschläge beantworten:

  • Gemäß § 39 des Gesetzgebungsvorschlags soll „mit Freiheitsstrafe bis zu zwei Jahren […] bestraft [werden], wer die Rechte von Beschäftigten nach diesem Gesetz verletzt oder hiernach unzulässige Sanktionen gegen diese verhängt.“ Mit dem Bestimmtheitsgebot des Art. 103 Abs. 2 GG ist das offenkundig nicht vereinbar, erst recht nicht in Kombination mit den weiteren unbestimmten Rechtsbegriffen des Gesetzentwurfes. Das ist so offenkundig, dass es fast schon unbedarft wirkt.
  • § 10 Abs. 1 handelt von der Freiwilligkeit, einer der unbestrittenen Herausforderungen des Datenschutzes im Beschäftigungsverhältnis. Ob der Entwurf hier weiter hilft, wenn er vorschreibt, die Einwilligung müsse „nachweisbar“ freiwillig sein, ist eher unwahrscheinlich. Jedenfalls praktisch wird der Nachweis der Freiwilligkeit kaum zu führen sein – auch eine schriftliche Bestätigung der Freiwilligkeit indiziert nicht die echte innere Unabhängigkeit, solange das Beschäftigungsverhältnis läuft. Es müsste also eine unabhängige Stelle, z. B. der Betriebsrat, im Gespräch mit dem Arbeitnehmer herausfinden, ob die Einwilligung wirklich aus freien Stücken erfolgte. Ein enormer Aufwand, aber auch ein enormes Strafbarkeitsrisiko, misst man diesen Vorgang an § 39 des Vorschlags: Jede Verwendung der Daten trägt das Risiko der Strafbarkeit in sich, so lange die echte Freiwilligkeit nicht nachgewiesen ist. § 10 des Entwurfs schafft damit – aber das ist auch nicht sein Anspruch – keinen effektiveren Ablauf des Freiwilligkeitsnachweises. Stattdessen lehnt er sich im Wortlaut eng an § 26 Abs. 2 BDSG an, verschärft diesen nur hinsichtlich der Beweislast für die Freiwilligkeit, die dem Arbeitgeber obliegt.
  • Gemäß § 12 Abs. 5 des Vorschlags schließlich dürfen in der Bewerbungsphase biometrische Daten vom Arbeitgeber nicht verarbeitet werden. Damit wird der „Beschäftigtendatenschutz“ vorverlagert und wird zum „Bewerberdatenschutz“, also zum Schutz der noch nicht Beschäftigten – zusätzlich zum bereits weitreichenden Schutz von Bewerbern durch das AGG. Vor allem aber ist auch dieser Vorschlag mit erheblichen Haftungsrisiken für Unternehmen verbunden, die so nicht hinnehmbar sind. Biometrische Daten werden immer häufiger und auch im Alltag zur sicheren Identifikation verwendet, sei es die Gesichtserkennung beim Tablet, sei es das Passbild im Personalausweis. Schickt nun jemand ein Bewerbungsbild, das er anlässlich der letzten Verlängerung seines Personalausweises erstellt hat (und das damit „biometrisch“ ist), wäre die Verarbeitung, Weiterleitung oder Speicherung des Lebenslaufs ein Verstoß gegen den Arbeitnehmerdatenschutz. Auch das greift weit in bestehende Abläufe und Praktiken ein.

Misst man diese Vorschläge am Ziel des Entwurfs, die Persönlichkeitsrechte der Arbeitnehmer effektiv zu schützen, erreicht er sein Ziel:

  • Es wird für den Arbeitgeber noch schwieriger, aufwändiger und riskanter, die Daten der Arbeitnehmer zu verarbeiten und auf die Einwilligung zu stützen. Allerdings sind die Interessen der Unternehmen damit nicht im Ansatz gewahrt, bestimmte Verarbeitungsvorgänge datenschutzrechtlich möglichst effizient abzusichern und die Arbeitnehmer etwa im Zuge des Arbeitsvertrags und der damit einhergehenden Dokumentation um ihre Einwilligung zu bitten. So, wie der Entwurf geschrieben ist, wäre das das Ende der Einwilligung im Beschäftigungsverhältnis.
  • Den effektiven Schutz der Persönlichkeitsrechte weitet der Entwurf aus in die Bewerbungsphase, indem das unbedarfte Abspeichern oder Weiterleiten eines Lebenslaufs mit biometrischem Bewerberbild sogar strafbar wäre. Das mag zwar ein wirksames Mittel sein, jegliche Diskriminierung in Bewerbungsverfahren zu beenden, die mit Verwendung von Bildern einhergeht, weil sie den verständigen Arbeitgeber dazu brächte, jegliche Fotos im Bewerbungsverfahren sicherheitshalber zu versagen. Über das Ziel eines „effektiven Beschäftigtendatenschutzes“ geht dies jedoch erheblich hinaus.

Fazit

Der Gesetzentwurf des DGB ist wirkmächtig-effektiv, was den Schutz von Arbeitnehmerdaten im Beschäftigungsverhältnis angeht, aber auch im Bewerberverhältnis und von Personen, die keine Arbeitnehmer sind. Er ist aber zudem vollkommen einseitig, weil er der Effektivität keinerlei Effizienz verordnet, also keinen Blick auf den Aufwand oder die Eingrenzbarkeit der Risiken für das Unternehmen wirft. Sein erstes Ziel erreicht er also, allerdings ohne jeden Ausgleich und damit rücksichtslos.

Das zweite Ziel, eine Konkretisierung von normativen Rechtsbegriffen, verfehlt er drastisch. Er bringt keinerlei echte Konkretisierung und leistet damit der Rechtsunsicherheit im Datenschutz Vorschub – deren Risiken er wiederum sehr einseitig bei den Unternehmen verortet.

Insgesamt also der zu erwartende, das vorhandene teilweise bereits sehr ineffiziente Schutz- und Mitbestimmungsniveau im Bereich der IT-Prozesse verfestigende und erweiternde Vorstoß, der so hoffentlich nicht zum Gesetz wird.

Handcrafted with by Jung und Wild design.