Bereits im September des vergangenen Jahres berichteten wir über die Datenstrategie der Bundesregierung und der diesbezüglichen Pläne für den Datenschutz. Hierunter befand sich auch ein neuer Anlauf zur Schaffung eines Beschäftigtendaten(schutz)gesetzes. Die Roadmap der Datenstrategie nannte zum damaligen Zeitpunkt als Ziel für ein solches Gesetz das vierte Quartal 2023. Seitdem war es um die Thematik wieder einmal ruhig geworden und kaum einer rechnete mit einer Umsetzung noch in dieser Legislaturperiode. Doch nun tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf.
Eckpunkte zum Referentenentwurf
Der Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) sowie des Bundesministeriums des Innern und Heimat (BMI) umfasst auf 84 Seiten insgesamt 30 Paragrafen, darunter allgemeine Regelungen zu Datenverarbeitungen, Rechtsgrundlagen und Betroffenenrechten, aber auch Normen für spezifische Verarbeitungssituationen wie Videoüberwachung, Ortung und betriebliches Eingliederungsmanagement. Aufgrund der Formulierung einiger Regelungen und bereits aufgekommener Diskussionen, ist davon auszugehen, dass der derzeit vorliegende Referentenentwurf vor einer Verabschiedung eine Reihe weiterer Anpassungen erfahren wird. Mit Blick auf die kommenden Bundestagswahlen im September 2025 bestehen für das vollständige Durchlaufen des Gesetzgebungsverfahrens für den Gesetzgeber jedoch ebenfalls keine üppigen zeitlichen Reserven. Die weitere Fortentwicklung des Entwurfs wird demnach mit Spannung zu verfolgen sein.
Voraussichtlicher Anwendungsbereich
Mit Blick auf den in § 1 des Referentenentwurfs geregelten Anwendungsbereichs ist festzustellen, dass dieser Parallelen zum Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) aufweist. In der Praxis gelten die Regelungen des Beschäftigtendatengesetzes dann somit für öffentliche Stellen des Bundes (§ 2 Abs. 1, 3 BDSG) und nichtöffentliche Stellen (zum Beispiel Unternehmen oder Vereine, § 2 Abs. 4, 5 BDSG). Für öffentliche Stellen des Landes werden dann hinsichtlich des Beschäftigtendatenschutzes weiterhin etwaige landesspezifische Regelungen, wie sie beispielsweise im Freistaat Sachsen in § 11 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) zu finden sind, Anwendung finden.
Wesentliche Inhalte
Im Rahmen eines kurzen Überblicks werden die – aus unserer Sicht – wesentlichen Inhalte kurz dargestellt und datenschutzrechtlich eingeordnet:
- Begriffsbestimmungen: Die Definition von Beschäftigten wurde im Wesentlichen aus § 26 Abs. 8 BDSG entnommen. Neu ist, dass ebenfalls Praktikanten und Praktikantinnen explizit als Beschäftigte aufgeführt werden. Ergänzt wurde ebenfalls eine Definition des Begriffs Arbeitgeber, wobei auf Grundlage der derzeitigen Formulierungen noch unklar ist, ob diese tatsächlich für ein Mehr an Rechtssicherheit sorgen wird. Hinsichtlich der Definitionen von KI-Systemen und besonderen Kategorien personenbezogener Daten wird auf die KI-Verordnung beziehungsweise auf Art. 9 Abs. 1 DS-GVO verwiesen.
- Prüfung der Erforderlichkeit: Aus § 4 ergibt sich im Allgemeinen welche Kriterien bei der vorangehenden Prüfung der Erforderlichkeit einer Verarbeitung von Beschäftigtendaten anzulegen sind. Hierbei lassen sich Parallelen zu dem bisherigen § 26 BDSG und der einschlägigen Rechtsprechung, aber auch zu Art. 6 Abs. 1 DS-GVO und dem generellen risikobasierten Ansatz finden, welche jedoch nun wesentlich spezifischer ausgeführt werden. Aus Sicht der Verantwortlichen zu kritisieren ist in diesem Kontext sicherlich der steigende Dokumentationsaufwand zur Darlegung der durchgeführten Erforderlichkeitsprüfungen.
- Einwilligung: Auch wenn in Bezug auf die Verarbeitung von Beschäftigtendaten auf Rechtsgrundlage einer Einwilligung eine Reihe von Anforderungen dargelegt werden, wirft die aktuelle Regelung des § 5 auch neue Fragestellungen auf. So stellt § 5 Abs. 2 Nr. 2 lit. a) des Referentenentwurfs beispielsweise dar, dass eine freiwillige Einwilligung im laufenden Beschäftigtenverhältnis für die Nutzung von Fotos im Intranet erteilt werden kann. Unklar ist hierbei, ob eine Freiwilligkeit für Veröffentlichungen im Internet grundsätzlich nicht anzunehmen ist oder im Rahmen einer beispielhaften Aufzählung dieser Anwendungsfall lediglich nicht als darstellungswürdig erachtet wurde.
- Betroffenenrechte: Im Rahmen von § 10 des Referentenentwurfs erfolgt die Einführung eines ergänzenden datenschutzrechtlichen Betroffenenrechts: Beruht die Verarbeitung von Beschäftigtendaten auf den Regelungen des neuen Gesetzes und wird diese auf ein berechtigtes betriebliches oder dienstliches Interesse gestützt, ist der Arbeitgeber auf Verlangen des Arbeitnehmers dazu verpflichtet, die Abwägung der entgegenstehenden Interessen in verständlicher Weise darzulegen. Die Beschäftigten sind im Rahmen der datenschutzrechtlichen Informationspflichten über das Bestehen dieses ergänzenden Rechts hinzuweisen. Auch bei einem Einsatz von KI-Systemen gelten ergänzende Auskunftsrechte gegenüber Beschäftigten.
- Ergänzende Mitbestimmungsrechte des Betriebsrates: Zu Teilen als negatives Highlight des Referentenentwurfs wird die Regelung in § 12 gesehen. Dieser regelt ein Mitbestimmungsrecht des Betriebsrates bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten. Käme hierbei eine Einigung nicht zustande, so entscheidet eine Einigungsstelle nach § 76 des Betriebsverfassungsgesetzes. Unbeschadet der hierzu aufkommenden Diskussion, ob eine solche Regelung überhaupt europarechtskonform wäre, darf stark angezweifelt werden, dass diese Regelung die Abstimmungen in Bundestag und Bundesrat überstehen und somit letzten Endes im Gesetz stehen wird.
- Bewerbungsverfahren: Im Rahmen eines gesonderten Kapitels zur Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses stellt der Gesetzgeber klar, in welchem Rahmen personenbezogene Daten von Bewerbenden verarbeitet werden dürfen. Auch wenn sich innerhalb dieses Kapitels aufgrund der Aufnahme (arbeits-)gerichtlich hergeleiteter Grundsätze kaum Überraschungen ergeben, dürften die hierin angeführten Normen in der Praxis überwiegend für mehr Rechtssicherheit sorgen. Ganz nebenbei stellt § 17 des Referentenentwurfs klar, dass personenbezogene Daten von Bewerbenden spätestens drei Monate nach Absage zu löschen sind. In der datenschutzrechtlichen Praxis bestand bislang Uneinigkeit, ob eine solche Löschung aufgrund der Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) bereits nach drei oder erst nach sechs Monaten zu erfolgen hat.
- Betriebliches Eingliederungsmanagement: Weniger gelungen scheint wiederrum die Regelung des § 29 zum betrieblichen Eingliederungsmanagement. Gemäß § 29 Abs. 1 ist die Verarbeitung von Beschäftigten zur Erfüllung der gesetzlichen Anforderungen aus § 167 Abs. 2 des neunten Buches des Sozialgesetzbuches (SGB IX) sowie zur Erfüllung kollektivrechtlich vereinbarter Pflichten zulässig, soweit die Interessen des Arbeitgebers an einer Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen. Etwas, das zunächst nach Durchführung einer Interessenabwägung klingt (vgl. §§ 4, 10 Ref-E, Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), wird durch § 29 Abs. 2 torpediert, wonach eine ausdrückliche Einwilligung der betroffenen Beschäftigten vorausgesetzt wird. Was den Gesetzgeber zu dieser Regelung führt, ist unklar, insbesondere nachdem das Bundesarbeitsgericht (BAG) erst im Dezember 2022 klarstellte, dass die Durchführung eines betrieblichen Eingliederungsmanagements keine datenschutzrechtliche Einwilligung voraussetze (Urt. v. 15.12.2022, Az. 2 AZR 162/22).
Fazit
Der erste Referentenentwurf ist ein erster Schritt in Richtung Beschäftigtendaten(schutz)gesetz, bis zu einer endgültigen Verabschiedung dürften jedoch noch eine Reihe von Änderungen zu erwarten sein. Das avisierte Ziel zur Schaffung von einem Mehr an Rechtssicherheit kann dem gegenwärtigen Referentenentwurf jedoch nicht vollständig attestiert werden. Weiterhin scheinen einige der vorliegenden Regelungen im Widerspruch zu den sonstigen Vorhaben der Bundesregierung zur Entbürokratisierung zu stehen. Das weitere Gesetzgebungsverfahren wird demnach mit Spannung zu verfolgen sein.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
