Neuerungen im Beschäftigtendatenschutz

Die bislang eher dürftigen Regelungen zum Beschäftigtendatenschutz, insbesondere im Zusammenhang mit § 26 BDSG, stehen bereits seit einiger Zeit auf dem Prüfstand. Bereits mit Vorlagebeschluss des Bundesarbeitsgerichts (Beschl. v. 22.09.2022 – 8 AZR 209/21 (A)) an den Europäischen Gerichtshof (EuGH) begehrte das Bundesarbeitsgericht (BAG) die Klärung der Frage, ob bei einer Regelung durch Kollektivvereinbarung im Sinne des § 26 Abs. 4 BDSG aufgrund des Verweises auf Art. 88 Abs. 2 DSGVO auch die übrigen Voraussetzungen der DSGVO zu berücksichtigen wären.

In der Entscheidung C-34/21 vom 30. März 2024 hatte der EuGH die Frage zu klären, ob § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) eine „spezifische Vorschrift“ im Sinne des Art. 88 Abs. 2 DSGVO ist. Der EuGH entschied hier, dass die Regelung des § 23 Abs. 1 HDSIG mit Art. 88 Abs. 2 DSGVO nicht vereinbar ist, da sie lediglich die Voraussetzungen des Art. 6 I UAbs. 1 Buchst. b DSGVO wiederholt. Da § 23 Abs. 1 HDSIG und § 26 Abs. 1 BDSG nahezu wortgleich sind, stand auch eine Unionsrechtswidrigkeit des § 26 Abs. 1 BDSG im Raum.

Unter anderem als Reaktion auf die Vorlagebeschlüsse des BAG und die Entscheidung des EuGH zu § 23 Abs. 1 HDSIG wurde nun ein Referentenentwurf (RefE) für ein eigenständiges Beschäftigtendatenschutzgesetz (BeschDG) vom 8. Oktober 2024 durch das Bundesministerium für Arbeit und Soziales und das Bundesinnenministerium vorgelegt.

Der Entwurf des BeschDG bestimmt umfangreiche Voraussetzungen der zulässigen Verarbeitung personenbezogener Daten im Kontext eines Beschäftigungsverhältnisses. Der Anwendungsbereich soll sich dabei sowohl auf personenbezogene Daten vor Begründung eines Arbeitsverhältnisses im Bewerbungsprozess als auch während des laufenden Arbeitsverhältnisses beziehen. Auch nach Beendigung des Arbeitsverhältnisses sollen die Vorschriften des BeschDG Anwendung finden. Der Begriff der Datenverarbeitung ist in Art 4 Nr. 2 DSGVO definiert und umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Der Entwurf enthält im Weiteren ausführliche Vorgaben dazu, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig sein soll. Dabei sieht § 3 des Referentenentwurfs grundsätzlich vor, dass die Verarbeitung von Beschäftigtendaten für die Erreichung eines legitimen Zweckes erforderlich ist. § 3 RefE normiert daher ausdrücklich Fälle der zulässigen Zweckbindung der Datenverarbeitung. § 4 RefE bestimmt zudem, dass die Prüfung der Erforderlichkeit insbesondere unter dem Gesichtspunkt der bestehenden Abhängigkeitsverhältnisse zu erfolgen hat und das Interesse des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen muss. Hinzu kommen Regelungen zur Einwilligung und der damit im Zusammenhang stehenden Problematik der Freiwilligkeit einer Einwilligung zur Datenverarbeitung vor, während und nach Durchführung eines Beschäftigungsverhältnisses.

Für den Bewerbungsprozess wurden Regelungen zur Eignungsfeststellung, Fragerechten, Untersuchungen und Tests getroffenen. Wie bisher orientieren sich die zulässigerweise erhobenen Daten im Bewerbungsprozess an der Erforderlichkeit dieser Daten für die Ausübung der konkreten Tätigkeit. Insofern bleibt es hier grundsätzlich bei den bisher bekannten Grundsätzen.

Zudem werden Rahmenbedingungen für die Überwachung von Beschäftigten im Allgemeinen, insbesondere durch Videoüberwachung und Ortung geregelt. In diesem Zusammenhang wurde auch ein Verbot der Verwendung von Daten zur Leistungskontrolle, die nicht zum Zwecke der Leistungskontrolle erhoben wurden, berücksichtigt.

Neben Sonderbestimmungen hinsichtlich der Verarbeitung biometrischer Daten und der Zulässigkeit der Datenverarbeitung in Konzernstrukturen finden sich im Referentenentwurf erstmals auch ausdrückliche Regelungen zur Zulässigkeit des Einsatzes künstlicher Intelligenz bei der Verarbeitung personenbezogener Daten, insbesondere im Zusammenhang mit Profiling von Mitarbeitern, bspw. zum Zwecke der Evaluierung von Weiterbildungs- und Entwicklungsmöglichkeiten. Auch sind Sonderbestimmungen für das betriebliche Eingliederungsmanagement vorgesehen.

Der Referentenentwurf umfasst zudem die Möglichkeit, durch Kollektivvereinbarungen spezifischere Regelungen zum BeschDG zu treffen. Durch Kollektivvereinbarung soll allerdings eine Abweichung von den Regelungen des BeschDG zulasten des Beschäftigten nicht möglich sein. 

Mit Inkrafttreten des BeschDG soll gleichsam § 26 BDSG gänzlich entfallen. Andere Rechtsnormen, die gegenwärtig auf Regelungen aus § 26 BDSG verweisen, werden entsprechend zu Verweisen auf das BeschDG abgeändert.

Insgesamt enthält der Referentenentwurf daher einen bunten Strauß an praxisrelevanten Regelungen, die eine weite Bandbreite an rechtlichen Problemen, die in der letzten Zeit in der Rechtsprechung zu Tage getreten sind, abzubilden versuchen. Im Folgenden wird eine kurze Darstellung von sechs praxisrelevanten Regelungen und deren Folgen im Fall einer Umsetzung des Referentenentwurfs vorgenommen.

Insgesamt dürften die Regelungen einen Teil des Diskussionsbedarfs im Rahmen von Betriebsratsverhandlungen über die Einführung oder Änderung von IT-Systemen (§ 87 Abs. 1 Nr. 6 BetrVG) auffangen, der typischerweise bei Verhandlungen über Betriebsvereinbarungen relevant wird. Gemäß § 7 RefE können Kollektivvereinbarungen spezifischere, d.h. das BeschDG konkretisierende, Regelungen treffen, wobei eine Abweichung zulasten des Beschäftigten ausgeschlossen sein soll und zudem die Grundprinzipien der DSGVO, insbesondere Art. 5, Art. 6 und Art. 9, beachtet werden müssen. IT-Systeme stellen meist für Betriebsräte mehr oder weniger große oder kleine Horrorszenarien aufgrund ihrer Komplexität und der Masse an verarbeiteten personenbezogenen Daten dar. Hierin liegen oft die Gründe für langwierige Betriebsratsverhandlungen im Beisein von Datenschutz-Sachverständigen. Auch wenn die Regelungen des BeschDG an einigen Stellen recht breite Interpretationsspielräume lässt, könnten sie dennoch jedenfalls als Orientierungsrahmen herangezogen werden.

§ 9 RefE schreibt Arbeitgebern vor, geeignete und besondere Maßnahmen zu treffen, um die personenbezogenen Daten der Betroffenen zu schützen. Diese Regelung umfasst dabei ausdrücklich die Pflicht, „unter Berücksichtigung der besonderen Belange der Beschäftigten, des Stands der Technik, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten der Beschäftigten“, organisatorische und technische Maßnahmen zu ergreifen, um Datenschutzverletzungen zu verhindern. Erforderlich ist daher ein funktionierendes Datenschutz-Compliance System, das diesen Anforderungen gerecht wird

Von erheblicher prozessualer Relevanz ist § 11 RefE hinsichtlich der Regelung zu Verwertungsverboten. Obwohl die Rechtsprechung bislang davon ausging, dass „Datenschutz kein Tatenschutz“ sei und daher datenschutzwidrig erlangte Daten in gerichtlichen Verfahren nur im Einzelfall unverwertbar sind, so soll nach § 11 Abs. 1 S. 1 RefE nun ein umfassendes Verwertungsverbot für Beschäftigtendaten, die datenschutzwidrig verarbeitet wurden, in Form von Sachvortrags- und Beweisverwertungsverboten vorgesehen werden. Der Begriff „datenschutzwidrig“ wurde weder konkretisiert noch eingeschränkt, weshalb nach dem Wortlaut auch geringfügigere Datenschutzverstöße umfasst sein könnten. Dies soll allerdings lediglich für gerichtliche Verfahren über die Rechtmäßigkeit einer auf diese Daten gestützten personellen Maßnahme des Arbeitgebers, d. h. z. B. Kündigungsschutzprozesse, Anwendung finden. Schadensersatz- oder Herausgabeklagen sollen hiervon ausgenommen sein. Gerade vor dem Hintergrund, dass die Rechtsprechung die Annahme eines Verwertungsverbotes bisher eher restriktiv gehandhabt hat, verwundert dieser „Rundumschlag“. Sollte das Verwertungsverbot derart einschränkungslos umgesetzt werden, ist zu erwarten, dass in künftigen Kündigungsschutzverfahren Einwendungen gegen die Verwertbarkeit der verarbeiteten Daten vielfach eingebracht werden.

Hiermit im Zusammenhang steht § 20 RefE zur verdeckten Videoüberwachung. Ausnahmsweise kann eine verdeckte Videoüberwachung im Zusammenhang mit der Begründung eines Verdachts oder der Aufdeckung einer tatsächlich verübten Straftat oder schweren Pflichtverletzung zulässig sein, sofern keine andere Möglichkeit besteht, die Straftat oder Pflichtverletzung aufzudecken. Hingegen muss der Betroffene über die Datenverarbeitung durch verdecke Videoüberwachung informiert werden, sobald hierdurch der Zweck der verdeckten Videoüberwachung nicht gefährdet wird. Aufgegriffen werden hierdurch gerichtliche Entscheidungen, die die Prüfung eines Verwertungsverbots im Fall einer verdeckten Videoüberwachung zum Gegenstand hatten (so bspw. BAG Urt. v. 29.06.2023, Az. 2 AZR 296/22).

Grundsätzlich soll der Einsatz künstlicher Intelligenz, insbesondere zu Profiling-Zwecken, unter Einschränkungen zulässig sein, wobei eine umfassende Durchleuchtung verhindert werden soll. Sofern ein Profiling nicht gemäß Art. 22 DSGVO aufgrund einer ausschließlich automatisieren Datenauswertung ausgeschlossen ist, kann der Arbeitgeber nach § 24 RefE in engen Grenzen Daten bzgl. Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort und Ortswechsel des Betroffenen (Art. 4 Nr. 4 DSGVO) nutzen. Automatische Emotionserkennung und soziale Beziehungen zwischen Beschäftigten dürfen hingegen nicht berücksichtigt oder ausgewertet werden. § 24 Abs. 2 RefE nennt dabei die Evaluierung von persönlichen Weiterbildungs- und Entwicklungsmöglichkeiten als legitimen Verwendungszweck solcher Daten. Arbeitgeber können auf diese Weise eine Art eingeschränktes Performance-Management betreiben, sofern dieses dazu dient, dem Mitarbeiter auf diesen zugeschnittene Schulungen/Seminare zu bieten. Auch zum Zwecke der Arbeitssicherheit oder des Gesundheitsschutzes sowie der Bestimmung von fluktuationsbegünstigenden Faktoren zur Personalplanung könnte ein Profiling eingesetzt werden. Wichtig ist, dass softwarebasierte Ergebnisse stets einer menschlichen Kontrolle und Wertung unterliegen müssen.

Der Arbeitgeber ist dabei nach § 25 RefE dazu verpflichtet, die Betroffenen vorab darüber zu informieren, dass ein Profiling stattfindet und ob dieses mithilfe von KI durchgeführt wird. Nach § 26 RefE stehen den Betroffenen hierzu umfangreiche Auskunftsrechte zu, insbesondere hinsichtlich der für das Profiling zugrunde gelegten, personenbezogenen Daten und über die beim Profiling involvierte Systematik, also die angewendeten Bewertungskriterien. Wird ein KI-System verwendet, hat der Arbeitgeber darzulegen, welche Maßnahmen er bei dessen Verwendung für den Schutz der Betroffenendaten ergriffen hat. Da die Voraussetzungen für ein zulässiges Profiling aufgrund der erhöhten Sensibilität der Daten des Betroffenen sehr hoch sind, wäre in jedem Einzelfall genau zu prüfen, ob die Voraussetzungen erfüllt sind. Eine im Betrieb flächendeckende Durchführung eines Profilings ist und bleibt mit hohen rechtlichen Risken verbunden und ist daher nicht zu empfehlen.

Ein insbesondere für internationale Konzerne relevantes Thema ist der Datentransfer zwischen Konzerngesellschaften. Gerade im Fall von Matrixstrukturen, im Rahmen derer die personelle Leitungsverantwortung durch Übertragung des „fachlichen Weisungsrechts“, d. h. des Direktionsrechts nach § 106 GewO, auf einen unternehmensfremden Matrixmanager übertragen wird, ist oft ein Datentransfer erforderlich, der in der Realität häufig rechtlich unzulässig ist. § 30 RefE bestimmt die Rahmenbedingungen und zulässige Zweckbindungen einer Offenlegung von Beschäftigtendaten gegenüber anderen Konzernunternehmen, soweit es sich hierbei um Konzerngesellschaften der Europäischen Union handelt. Drittstaatkonzerngesellschaften werden hiervon nicht umfasst, weshalb in diesem Zusammenhang weiterhin erhebliche Rechtsunsicherheiten hinsichtlich der Zulässigkeit eines Datentransfers bestünden.