Das Thema
Die Beratungspraxis zeigt, dass die datenschutzrechtlichen Anforderungen und Grenzen im Beschäftigungskontext für Arbeitgeber aktuell nur sehr schwer handhabbar sind, insbesondere im Zusammenhang mit dem Einsatz neuer Technologien. Dies hängt nicht zuletzt damit zusammen, dass die maßgeblichen Regelungen zum Beschäftigtendatenschutz in verschiedenen europäischen und nationalen Regelwerken enthalten sind. Hinzu kommt, dass viele Aspekte nur sehr allgemein geregelt sind und die Konkretisierung im Wesentlichen durch die Rechtsprechung erfolgt.
Schon einmal hatte der Gesetzgeber Anfang der 2010er-Jahre versucht, spezielle Regelungen für den Beschäftigtendatenschutz zu schaffen. Dieser Versuch war 2013 durch Ablauf der Wahlperiode gescheitert. Seit Mai 2018 gilt nunmehr insbesondere § 26 BDSG. Der deutsche Gesetzgeber hatte von der Öffnungsklausel in Art. 88 Abs. 1 DSGVO Gebrauch gemacht.
Rechtsprechung fordert Gesetzgebung
Die Rechtsprobleme und Rechtsunsicherheiten in der Praxis, wie die Zulässigkeit der Leistungskontrolle von Mitarbeitern mittels technischer Mittel (siehe dazu jüngst VG Hannover, Urt. v. 09.02.2023 – 10 A 6199/20), wurden durch die Schaffung des § 26 BDSG nicht gelöst, da dieser zum Beschäftigtendatenschutz nur sehr allgemeine Regelungen enthält.
Erschwerend hinzu kommt, dass der EuGH kürzlich die Europarechtswidrigkeit des § 23 Abs. 1 des Hessisches Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) festgestellt hat, wonach personenbezogene Daten von Beschäftigten nur dann verarbeitet werden dürfen, sofern die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses erforderlich ist (vgl. EuGH, Urt. v. 30.03.2023 – C-34/21). Damit dürfte auch die nahezu identisch formulierte zentrale Bundesnorm des § 26 Abs. 1 S. 1 BDSG europarechtswidrig sein.
Der Gesetzgeber ist damit am Zug, neue Regelungen im Beschäftigtendatenschutz zu schaffen, die im Einklang mit dem höherrangigeren Europarecht und der DSGVO stehen.
Vorschläge des BMI und des BMAS
Die Vorschläge der beiden Ministerien beinhalten eine Reihe von Regelungsbereichen, die mit Blick auf den Beschäftigtendatenschutz seit Jahren umstritten sind. Inhaltlich sehen die Vorschläge der BMI und des BMAS folgende Regelungsbereiche vor:
- In persönlicher Hinsicht sollen auch solo-selbstständige Plattformtätige in den Anwendungsbereich des neuen Gesetzes einbezogen werden. Diese Personengruppe sei aufgrund der besonderen Strukturen und Geschäftsmodelle in der Plattformökonomie in einer den Arbeitnehmerinnen und Arbeitnehmern vergleichbaren Weise schutzbedürftig.
- Der Überwachung von Beschäftigten sollen Grenzen gesetzt werden:
- Die dauerhafte Überwachung von Beschäftigten soll nur in Ausnahmefällen zulässig sein. Lückenlosen Bewegungs- und Leistungsprofile zur Bewertung und Kontrolle von Beschäftigten sollen nicht erstellt werden dürften (anders VG Hannover, siehe oben).
- Verdeckte Überwachungsmaßnahmen sollen nur zulässig sein, wenn es keine andere Möglichkeit gibt, den konkreten Verdacht einer Straftat im Betrieb aufzuklären.
- Offene Überwachungsmaßnahmen, wie die gezielte Videoüberwachung oder Ortung von Beschäftigten, sollen unter klare Bedingungen gestellt werden.
- Beim Einsatz von künstlicher Intelligenz im Zusammenhang mit dem Beschäftigungsverhältnis soll insbesondere Transparenz die Beschäftigten schützen.
- Für Bewerber soll ausdrücklich festgelegt werden, welche Fragen im Bewerbungsgespräch zulässig sind und unter welchen Voraussetzungen medizinische Einstellungsuntersuchungen durchgeführt werden können.
- Im Bereich der besonders sensiblen Daten, z.B. Gesundheitsdaten, soll anhand von typischen Fallgruppen konkret festgelegt werden, wann Arbeitgeber diese ausnahmsweise verarbeiten dürfen. Insbesondere für biometrische Daten sollen Regelungen getroffen werden.
- Bei Datenverarbeitungen, für die eine Interessenabwägung erforderlich ist, will der Gesetzgeber handhabbare Kriterien für diese Abwägung erstellen.
- Die Freiwilligkeit der Einwilligung von Beschäftigten ist immer wieder Gegenstand kontroverser Diskussionen. In vielen Fällen wird die Freiwilligkeit einer solchen Erklärung aufgrund des bestehenden Abhängigkeitsverhältnisses zum Arbeitgeber verneint. Auch hier will der Gesetzgeber mit konkreten Anwendungsbeispielen Hilfestellung geben.
- Die Datenübermittlung innerhalb eines Konzerns soll für praxisrelevante Anwendungsfälle, wie die zentralisierte Verwaltungsorganisation, geregelt werden.
- Um Betroffenenrechte zu sichern, sollen Löschpflichten für Arbeitgeber in Bezug auf Bewerberdaten definiert werden. Zudem soll die Aufnahme prozessualer Verwertungsverbote im Falle unzulässiger Datenverarbeitungen geprüft werden.
Geprüft werden soll außerdem,
- ob Regelungen für „Bring-Your-Own-Device“, also die Verwendung privater Endgeräte für die Arbeitsstätigkeit, benötigt werden,
- ob das Betriebsrätemodernisierungsgesetz mit Blick auf die sozial-ökologischen Transformation und Digitalisierung anzupassen ist und
- ob Klarstellungen und Konkretisierungen für Kollektivvereinbarungen als Regelung für die Datenverarbeitung im Beschäftigungskontext möglich sind.
Bewertung
Der Katalog der Vorschläge der beiden Ministerien zur Neuschaffung eines neuen Beschäftigtendatenschutzgesetzes ist sehr kleinteilig. Viele der in Rechtsprechung und Literatur lange umstrittenen Themen, etwa die Zulässigkeit der Überwachung von Beschäftigten oder die Freiwilligkeit von Einwilligungen im Beschäftigtenkontext, sollen nun ausdrücklich gesetzlich geregelt werden. Damit könnten einige der bestehenden Unsicherheiten (endlich) beseitigt und Rechtsklarheit für Unternehmen geschafften werden. Wenn aber schon ein so kleinteiliges Gesetzeswerk geschaffen werden soll, dann sollte auch eine endgültige Regelung zu der umstrittenen Frage gefunden werden, ob die Vorschriften zum Fernmeldegeheimnis auf Arbeitgeber anwendbar sind, die die Privatnutzung von E-Mail und Internet gestatten. Hierzu schweigt die Gesetzesinitiative der beiden Ministerien.
Ausblick
Das aktuelle Urteil des EuGH zur Europarechtswidrigkeit des § 23 HDSIG und damit des § 26 Abs.1 Satz 1 BDSG lässt vermuten, dass das Gesetzgebungsverfahren Fahrt aufnimmt. Jedoch ist den vorgenannten Vorschlägen auch zu entnehmen, dass einzelne Regelungsbereiche noch zu prüfen sind. Mit einem schnellen Gesetzesentwurf ist daher eher nicht zu rechnen.
Bis auf weiteres muss die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis daher auf die geltenden datenschutzrechtlichen Vorschriften, insbesondere die Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO, gestützt werden. Bei Datenverarbeitungen, die eine Interessenabwägung erfordern, ist die undurchsichtige Kasuistik der Arbeits- und Verwaltungsgerichte zu beachten. Unternehmen sollten in diesem Zusammenhang stets sorgfältig prüfen und abwägen, ob die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses zwingend erforderlich und verhältnismäßig ist. Wesentliche Aspekte, die im Rahmen der Abwägung eine Rolle spielen sind, dass
- keine Dauerüberwachung vorliegt, sondern Stichproben durchgeführt werden,
- keine heimliche Überwachung stattfindet und
- kein Eingriff in den privaten Lebensbereich der Mitarbeiter erfolgt.
Die Vorschläge zu einem neuen Beschäftigtendatenschutzgesetz können in diesem Zusammenhang bereits einen Ansatzpunkt für die Zulässigkeit der Datenverarbeitung liefern, sodass diese bei der Einführung neuer Datenverarbeitungen in den Blick genommen werden sollten.
Es ist außerdem, zwingend darauf zu achten, dass die Beschäftigten über die Datenverarbeitung ordnungsgemäß informiert werden (Stichwort: Transparenz). Hat das Unternehmen einen Betriebsrat, sind auch etwaige Mitbestimmungsrechte des Betriebsrats im Blick zu halten (insbesondere § 87 Abs.1 Nr.1 und Nr.6 BetrVG).