Umgang mit personenbezogenen Daten: Referentenentwurf zum Beschäftigtendatengesetz
Die zunehmende Digitalisierung und der Einsatz neuer Technologien, insbesondere im Bereich der Künstlichen Intelligenz (KI), stellen Arbeitgeber vor steigende Anforderungen im Hinblick auf den Umgang mit personenbezogenen Daten von Beschäftigten.
Ein erster Referentenentwurf des Beschäftigtendatengesetzes (BeschDG) liegt seit dem 8. Oktober 2024 vor und soll Regelungen für den Umgang mit Beschäftigtendaten schaffen, um mehr Transparenz und Sicherheit zu gewährleisten. Ziel des Gesetzes ist es, den Schutz von Beschäftigtendaten zu verbessern und zugleich klare Leitlinien für den verantwortungsvollen Einsatz innovativer Technologien durch Arbeitgeber bereitzustellen.
Im Folgenden wird ein Überblick über die wesentlichen Regelungen des Entwurfs und deren Bewertung gegeben.
Höhere Anforderungen an die Erforderlichkeitsprüfung der Datenverarbeitung (§ 4)
Laut § 4 BeschDG müssen Arbeitgeber sorgfältig prüfen, ob die Verarbeitung von Beschäftigtendaten erforderlich ist. Neben dem legitimen Zweck der Verarbeitung sollen auch gesetzliche Verpflichtungen, eigene Grundrechte und ein mögliches öffentliches Interesse abgewogen werden. Zudem sind die Art, Dauer und der Umfang der Datenverarbeitung sowie die Intensität des Eingriffs in die Rechte der Beschäftigten und die möglichen Folgen zu berücksichtigen. Eine wichtige Rolle spielt dabei auch, inwieweit die Daten durch Verknüpfungen kombiniert werden und inwieweit Erwartungen der Beschäftigten in Bezug auf den Datenschutz bestehen.
Von besonderer Bedeutung ist, dass Arbeitgeber beim Einsatz von KI-Systemen sicherstellen sollen, dass Beschäftigte die Funktionsweise dieser Systeme nachvollziehen können, was Transparenz und Kontrolle über die KI-Anwendungen fördert. Auch die Umsetzung technischer und organisatorischer Schutzmaßnahmen zur Minimierung von Risiken für Beschäftigte ist ein zentrales Element.
Im Vergleich zur bisherigen Gesetzeslage erhöht sich der Prüfungsaufwand für Arbeitgeber erheblich, insbesondere bei sensiblen Daten oder wenn KI-Systeme zum Einsatz kommen. Die Anforderungen an Transparenz und Überwachung sind eine zusätzliche Herausforderung für die Unternehmen.
Präzisierung der Anforderungen an Einwilligungen im Beschäftigungskontext (§ 5)
Die Frage der Freiwilligkeit von Einwilligungen im Arbeitsverhältnis bleibt ein sensibles Thema. Nach der Datenschutz-Grundverordnung (DS-GVO) ist eine freiwillige Einwilligung im Beschäftigungskontext grundsätzlich möglich, wenn sie zu einem rechtlichen oder wirtschaftlichen Vorteil für die Beschäftigten führt oder wenn Arbeitgeber und Beschäftigte ein gleichgerichtetes Interesse verfolgen (§ 26 BDSG). § 5 BeschDG greift diese Regelung auf und nennt konkrete Beispiele, etwa die Aufnahme in Talent-Pools zur Förderung der Karriere.
Rolle von Kollektivvereinbarungen bei der Datenverarbeitung (§ 7)
Die Frage, ob Kollektivvereinbarungen wie Tarifverträge das Datenschutzniveau absenken dürfen, wird in § 7 BeschDG verneint. Tarifverträge oder Betriebsvereinbarungen dürfen keine Datenverarbeitung rechtfertigen, die nicht bereits auf gesetzlicher Grundlage oder durch Einwilligung zulässig wäre. Auch wenn die Praxis diese Option kaum genutzt hat, schafft der Entwurf hier endgültige Klarheit.
Nachträgliche Zweckänderung von Datenverarbeitungen (§ 8)
In § 8 BeschDG wird geregelt, unter welchen Bedingungen eine nachträgliche Zweckänderung der Datenverarbeitung zulässig ist. Eine abweichende Verarbeitung ist möglich, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Diese Ausnahme gilt jedoch nicht bei Daten, die aus Überwachungsmaßnahmen stammen und zu Zwecken der Leistungskontrolle verwendet werden sollen.
Vorgaben zu Schutzmaßnahmen (§ 9)
§ 9 BeschDG verpflichtet Arbeitgeber, technische und organisatorische Maßnahmen zum Schutz von Beschäftigtendaten zu ergreifen. Dazu gehören beispielsweise die Verschlüsselung sensibler Daten und eingeschränkte Zugriffsrechte. Der Einsatz von KI-Systemen erfordert zusätzliche Maßnahmen wie Diskriminierungsprüfungen und regelmäßige Systemkontrollen.
Die Vorgaben führen zu einer erhöhten Verantwortung für Arbeitgeber in Bezug auf die Dokumentation und Evaluierung der getroffenen Schutzmaßnahmen.
Spezielle Betroffenenrechte bei berechtigtem Interesse des Arbeitgebers (§ 10)
Beschäftigte erhalten durch § 10 BeschDG spezielle Rechte, wenn ihre Daten auf Grundlage eines berechtigten Interesses verarbeitet werden. Arbeitgeber müssen auf Nachfrage Auskunft darüber geben, wie die Interessenabwägung erfolgt ist. Bei Einsatz eines KI-Systems ist eine transparente Information über Funktionsweise und Schutzmaßnahmen erforderlich.
Die neuen Regelungen erhöhen die Anforderungen an die Transparenzpflichten von Arbeitgebern, vor allem hinsichtlich der technischen Details und Schutzmaßnahmen bei KI-basierten Datenverarbeitungssystemen.
Verbot der Nutzung datenschutzwidrig erlangter Beschäftigtendaten (§ 11)
§ 11 bestimmt, dass unrechtmäßig gesammelte Beschäftigtendaten in Gerichtsverfahren zur Rechtmäßigkeit arbeitsrechtlicher Entscheidungen nicht als Beweise herangezogen werden dürfen. Dies gilt, sofern kein extremes Missverhältnis zwischen dem Persönlichkeitsrecht der betroffenen Person und dem Interesse des Arbeitgebers an der Verwertung besteht.
§ 11 Abs. 2 erlaubt es zudem, dass Betriebsvereinbarungen Einschränkungen zur Verwertung rechtswidrig erfasster Beschäftigtendaten festlegen. Damit geht der Gesetzesentwurf bewusst gegen eine Entscheidung des Bundesarbeitsgerichts (BAG, 29. Juni 2023 – 2 AZR 296/22) vor, das Betriebsräten diese Regelungsmöglichkeit unlängst verwehrt hatte. Arbeitgeber könnten künftig daher vermehrt auf Forderungen der Betriebsräte nach Aufnahme von Verwertungsverboten in Vereinbarungen stoßen.
Mitbestimmungsrecht bei Bestellung und Abberufung des Datenschutzbeauftragten (§ 12)
Laut § 12 BeschDG hat der Betriebsrat ein Mitspracherecht bei der Ernennung und Abberufung eines Datenschutzbeauftragten im Unternehmen. Können sich Arbeitgeber und Betriebsrat nicht einigen, entscheidet die Einigungsstelle gemäß Betriebsverfassungsgesetz (§ 76 BetrVG).
Diese Regelung stärkt die Mitbestimmung des Betriebsrats und erfordert eine enge Kooperation bei Entscheidungen über Datenschutzverantwortliche im Betrieb. Bei Uneinigkeit kann der Arbeitgeber vorläufig keinen Datenschutzbeauftragten bestellen.
Datenschutz in der Bewerbungsphase (§§ 13 ff.)
§ 13 BeschDG legt fest, dass vor der Anstellung nur Daten verarbeitet werden dürfen, die für die Eignungsprüfung oder rechtliche Pflichten erforderlich sind. Zudem enthält der Referentenentwurf spezifische Vorgaben für die Durchführung technischer Schutzmaßnahmen im Bewerbungsprozess, wie Verschlüsselung und Zugangssicherung (§ 13 Abs. 3).
Fragen zur Schwerbehinderung oder Gleichstellung sind im Bewerbungsprozess grundsätzlich verboten (§ 14 Abs. 2). Diese und andere neue Anforderungen zur Datenverarbeitung untermauern den Datenschutz im Vorfeld eines Beschäftigungsverhältnisses.
Löschpflicht von Bewerbungsunterlagen (§ 17)
§ 17 BeschDG sieht vor, dass Arbeitgeber Bewerbungsdaten spätestens drei Monate nach einer Absage löschen müssen, außer die Daten werden für ein bevorstehendes Verfahren benötigt. Zieht ein Bewerber die Bewerbung zurück, sind die Daten sofort zu löschen.
Wenn Bewerber eine Einwilligung zur späteren Kontaktaufnahme für andere Stellen geben, dürfen Arbeitgeber die Daten aufbewahren. Diese Regelung begrenzt klar die Aufbewahrungsdauer von Bewerberdaten und schafft neue, striktere Löschfristen als zuvor üblich.
Kurzfristige Überwachung (§ 18)
§ 18 BeschDG beschreibt, wann und wie kurzfristige, stichprobenhafte Überwachungsmaßnahmen zulässig sind. Die Bestimmungen sollen gewährleisten, dass die Maßnahmen nur in Ausnahmefällen und unter sorgfältiger Abwägung rechtlich zulässig sind, etwa zur Sicherstellung der Sicherheit oder zur Verhütung von Straftaten.
Der persönliche Rückzugsbereich der Beschäftigten ist durch das Gesetz ausdrücklich geschützt, ebenso wie kommunikative und kollektive Räume.
Langfristige Überwachungsmaßnahmen (§ 19)
Langfristige Überwachungen dürfen laut § 19 nur bei stark überwiegenden Interessen des Arbeitgebers und für fest definierte Zwecke durchgeführt werden, wie der Schutz der Beschäftigten in gefährlichen Arbeitsbereichen oder der Schutz sicherheitsrelevanter Einrichtungen. Eine Einbeziehung des Datenschutzbeauftragten ist hier zwingend.
Heimliche Überwachung und Informationspflichten (§ 20)
Für heimliche Überwachungen schafft § 20 BeschDG eine Ausnahme von den Informationspflichten, wenn deren Erfüllung den Überwachungszweck gefährden würde. So wird gewährleistet, dass Arbeitgeber bei Verdacht auf schwere Pflichtverletzungen oder Straftaten diskret ermitteln können, ohne den Ermittlungserfolg zu gefährden.
Rechtliche Anforderungen und Grenzen der Videoüberwachung von Beschäftigten nach § 21 BeschDG
Gemäß § 21 BeschDG gelten aufgrund der massiven Eingriffe in Persönlichkeitsrechte besonders strenge Voraussetzungen für die Überwachung von Beschäftigten mittels Videoaufzeichnungen. Die Überwachung ist dabei nur zulässig, wenn sie wichtigen Zwecken wie der Verhinderung und Aufklärung von Straftaten oder schwerwiegenden Pflichtverletzungen dient. Auch zur Sicherung von Gebäuden und Zutrittskontrollen kann sie gerechtfertigt sein. Die Leistungsüberwachung durch Videoaufzeichnungen ist hingegen in der Regel untersagt.
Die Regelung erlaubt ausschließlich Bildaufzeichnungen, während Tonaufnahmen untersagt sind – jegliche Tonaufnahmefunktionen müssen dauerhaft deaktiviert werden. Technisch ist außerdem sicherzustellen, dass nur relevante Personen im Aufnahmebereich erfasst werden; andere Bereiche sind auszublenden oder unkenntlich zu machen. Arbeitgeber müssen durch klare Hinweise, etwa mit Piktogrammen und Informationsschildern, kenntlich machen, dass eine Videoüberwachung stattfindet. Aufgezeichnete Daten sind spätestens nach 72 Stunden zu löschen, es sei denn, es besteht eine dokumentierte Notwendigkeit zur längeren Speicherung.
Für präventive Maßnahmen zur Vermeidung von Straftaten gelten nochmals verschärfte Anforderungen: Arbeitgeber müssen konkrete Anhaltspunkte für ein bestehendes Risiko vorweisen, allgemeine Statistiken oder persönliche Befürchtungen reichen nicht aus. Werden Videoüberwachungen heimlich oder für längere Zeit durchgeführt, kommen die Bestimmungen der §§ 19 und 20 BeschDG ergänzend zur Anwendung.
Einschränkungen bei der Ortung von Beschäftigten nach § 22 BeschDG
Die Ortung von Beschäftigten ist nur zulässig, wenn sie einem klaren, beschäftigungsbezogenen Zweck dient, etwa der Erfüllung gesetzlicher Verpflichtungen oder der Sicherheit am Arbeitsplatz. Ein übergeordnetes Interesse des Arbeitgebers an der Ortung muss das Recht der Beschäftigten auf Schutz ihrer Privatsphäre überwiegen. Eine Ortung darf nur kurzzeitig und gezielt oder stichprobenartig erfolgen. Zulässige Gründe sind unter anderem die Sicherstellung von Gesundheit und Sicherheit, die Verhinderung von Straftaten und die Koordination an unterschiedlichen Einsatzorten. Eine dauerhafte Ortung ist nur bei Gefahr für Leib und Leben oder besonders wichtigen betrieblichen Interessen erlaubt. Ortungsmaßnahmen müssen transparent und für die Beschäftigten erkennbar sein; private Nutzungsmöglichkeiten dürfen dabei nicht beeinträchtigt werden.
Strikte Zweckbindung bei Überwachungsmaßnahmen nach § 23 BeschDG
§ 23 BeschDG verlangt eine enge Zweckbindung für die Erhebung personenbezogener Beschäftigtendaten durch Überwachungsmaßnahmen. Daten, die nicht zur Leistungskontrolle erhoben wurden, dürfen auch nicht zu diesem Zweck verwendet werden. Die gesetzliche Begründung hebt hervor, dass eine klare Zweckbindung potenziellen Missbrauch durch Überwachungsmaßnahmen verhindern soll. Für Arbeitgeber bedeutet dies, bereits im Voraus mögliche Verarbeitungszwecke präzise zu definieren.
Informationspflichten und erweiterte Auskunftsrechte bei Profiling nach §§ 25, 26 und 27 BeschDG
Nach § 25 BeschDG muss ein Arbeitgeber Beschäftigte umfassend informieren, wenn deren Daten für Profiling-Verfahren verwendet werden, bei denen Verhaltensmuster oder Eigenschaften analysiert und bewertet werden. Dazu gehören Informationen über Zweck, Rechtsgrundlage, die Logik des Profiling-Systems und die Gewichtung der Kriterien. Entscheidungen mit erheblichen Auswirkungen, die auf Profiling basieren, müssen zusätzlich erläutert werden. Beschäftigte haben darüber hinaus gemäß § 26 ein erweitertes Recht auf Auskunft über ihre personenbezogenen Daten sowie die Funktionsweise des Profiling-Systems und etwaige Schutzmaßnahmen gegen Diskriminierung.
Das Recht auf Erklärung und Überprüfung von Profiling-basierten Entscheidungen wird in § 27 geregelt: Beschäftigte dürfen eine nachvollziehbare Erläuterung und bei Bedarf eine Überprüfung verlangen. Die Arbeitgeber müssen dabei sicherstellen, dass die Entscheidungsprozesse und die Auswirkungen transparent sind.
Der Entwurf des Beschäftigtendatenschutzgesetzes stellt umfangreiche Anforderungen an Arbeitgeber, insbesondere hinsichtlich der Dokumentations- und Transparenzpflichten. Die Vorschriften stärken die Rechte der Beschäftigten, indem sie für mehr Klarheit und Schutz im Umgang mit Überwachungsmaßnahmen und modernen Technologien wie KI sorgen. Andererseits stellen sie Arbeitgeber auch vor Herausforderungen, die Balance zwischen Datenschutz und und betrieblicher Effizienz zu wahren.