Neuer Entwurf eines Beschäftigtendatenschutzgesetzes – Was Unternehmen jetzt wissen müssen

Am 8. Oktober 2024 haben das Bundesarbeitsministerium und das Bundesinnenministerium überraschend den Referentenentwurf eines neuen Beschäftigtendatengesetzes („BeschDG-E“) vorgelegt. Dieses Gesetz soll für mehr Rechtsklarheit im Bereich des Beschäftigtendatenschutzes sorgen, nachdem einige grundlegende Gerichtsentscheidungen zu erheblicher Unsicherheit geführt haben. Doch eine erste Analyse zeigt, dass der Entwurf in vielen Bereichen eher neue Unsicherheiten schafft, anstatt bestehende Probleme zu lösen.

Ein zentraler Punkt des Entwurfs ist das weitgehende Verbot von Überwachungsmaßnahmen. Diese sollen grundsätzlich unzulässig sein, was bedeutet, dass technische Einrichtungen wie Outlook, Mobiltelefone oder elektronische Arbeitszeiterfassungssysteme als Überwachungseinrichtungen qualifiziert werden könnten. Dies könnte dazu führen, dass Erkenntnisse aus solchen Systemen für arbeitsrechtliche Sanktionsmaßnahmen nicht verwendet werden dürfen.

Ein weiterer kritischer Aspekt ist das Verbot der Nutzung von Daten aus unrechtmäßigen Überwachungsmaßnahmen zur Leistungskontrolle. Während die Verhaltenskontrolle scheinbar nicht beschränkt ist, bleibt die Unterscheidung zwischen Leistung und Verhalten im Einzelfall schwierig und könnte zu erheblicher Rechtsunsicherheit führen.

Der Entwurf sieht zudem vor, dass Kollektivvereinbarungen nicht zum Nachteil der Arbeitnehmer von der Datenschutz-Grundverordnung (DSGVO) abweichen dürfen. Dies soll durch Betriebsvereinbarungen möglich sein, was jedoch die Reichweite solcher Vereinbarungen und mögliche Abweichungen von der DSGVO weiterhin streitig lässt.

Ein neues Instrument im Entwurf ist das umfassende Verwertungsverbot für datenschutzwidrig erlangte Informationen in gerichtlichen Verfahren, insbesondere bei Kündigungen oder Abmahnungen. Dies könnte die ohnehin hohen Hürden für Arbeitgeber in Kündigungsschutzverfahren weiter erhöhen und zu mehr Unsicherheit führen.

Der Entwurf enthält auch die Pflicht zur Anfertigung eines "Zweckverzeichnisses" für die Datenverarbeitung. Ohne eine konkrete Festlegung des Zwecks greift das Verwertungsverbot, was bedeutet, dass E-Mails nicht als Beweismittel für Sanktionsmaßnahmen genutzt werden dürfen, wenn dieser Zweck nicht bereits bei der Einführung der entsprechenden Software festgelegt wurde.Auch wenn nach dem „Aus“ der Ampel-Koalition diese Gesetzgebungsvorhaben zunächst nicht umgesetzt werden dürfte, so kann je nach politischer Konstellation nach einer neuen Wahl das Thema wieder auf den Tisch kommen, weshalb wir nachstehend die einzelne besonders bedeutsame Regelungen in aller Kürze zusammenfassen:

Zulässigkeit der Verarbeitung von Beschäftigtendaten

§ 4 BeschDG-E verlangt eine Erforderlichkeitsprüfung, bei der das Interesse des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen muss. Wobei ein vorgegebener Kriterienkatalog die Durchführung einer Interessenabwägung erleichtern soll und zwingend zu berücksichtigen ist.

Eine Einwilligung zur Datenverarbeitung muss gemäß § 5 BeschDG-E freiwillig und schriftlich oder elektronisch erfolgen.

Kollektivvereinbarungen

Kollektivvereinbarungen können gemäß § 7 BeschDG-E spezifische Regelungen zum Schutz von Beschäftigtendaten im Einklang mit Datenschutzbestimmungen treffen, dürfen jedoch nicht zu Lasten des Schutzes der Beschäftigten abweichen.

Betroffenenrechte, Verwertungsverbot und Datenschutzbeauftragte

Beschäftigte haben das Recht auf Auskunft über die Verarbeitung ihrer Daten, insbesondere bei Einsatz von KI-Systemen (§ 10 BeschDG-E).

Daten, die datenschutzrechtswidrig verarbeitet wurden, dürfen grundsätzlich nicht in arbeitsgerichtlichen Verfahren verwertet werden (§ 11 BeschDG-E).

Der Betriebsrat hat Mitbestimmungsrechte bei der Bestellung und Abberufung von Datenschutzbeauftragten (§ 12 BeschDG-E).

Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses

Die Verarbeitung von Beschäftigtendaten vor Beginn eines Arbeitsverhältnisses ist zulässig, wenn sie zur Feststellung der Eignung des Bewerbers notwendig ist oder gesetzliche Verpflichtungen des Arbeitgebers erfüllt werden müssen (§ 13 BeschDG-E). Bestimmte personenbezogener Daten dürfen nur abgefragt werden, wenn diese für die Eignungsfeststellung erforderlich sind oder gesetzliche Pflichten bestehen (§ 14 BeschDG-E).

Die freiwillige Angabe sensibler Daten (z.B. Ethnizität, Geschlecht) ist gemäß § 15 BeschDG-E nur zulässig, wenn sie zur Vermeidung von Diskriminierung oder zur Förderung von Gleichstellung erforderlich ist.

Die Verarbeitung von Beschäftigtendaten im Rahmen von Gesundheits- und Eignungstests ist nur zulässig, wenn sie für die Tätigkeit oder gesetzliche Anforderungen notwendig ist. Psychologische Tests müssen wissenschaftlich anerkannten Standards entsprechen (§ 16 BeschDG-E).

Sofern keine Einwilligung der betroffenen Person für eine längere Speicherung vorliegt, müssen Beschäftigtendaten, die vor der Einstellung verarbeitet wurden, spätestens drei Monate nach der Entscheidung, dass kein Arbeitsverhältnis zustande kommt, gelöscht werden.

Überwachung von Beschäftigten

Die Verarbeitung von Beschäftigtendaten durch Überwachungsmaßnahmen ist nur dann zulässig, wenn sie für einen konkreten Zweck im Zusammenhang mit dem Arbeitsverhältnis notwendig ist. Die Überwachung darf nur kurzzeitig und anlassbezogen oder stichprobenartig erfolgen (§ 18 BeschDG-E).

Die Verarbeitung von Daten, die den Kernbereich der privaten Lebensgestaltung betreffen, ist unzulässig. Überwachungsmaßnahmen, die die private Lebensgestaltung betreffen, wie etwa private Pausenräume, sind verboten.

Eine Videoüberwachung darf gemäß § 21 BeschDG-E nur für spezifische Zwecke durchgeführt werden. Sie muss erkennbar sein und die betroffenen Beschäftigten müssen grundsätzlich darüber informiert werden. Eine Speicherung des Videomaterials ist in der Regel für bis zu 72 Stunden zulässig.

Profiling

Die Verarbeitung von Beschäftigtendaten durch Profiling ist nur in bestimmten gesetzlich geregelten Fällen zulässig (§ 24 BeschDG-E). Unternehmen müssen geeignete Schutzmaßnahmen treffen, um Fehler im Profiling zu minimieren und das Risiko einer fehlerhaften Verarbeitung zu reduzieren. Insbesondere wenn auf dem Profiling basierte Entscheidungen rechtliche Auswirkungen auf die Beschäftigten haben könnten, muss eine menschliche Aufsicht über das Profiling sichergestellt werden.

Unternehmen müssen die betroffenen Beschäftigten vor Beginn des Profilings informieren. Es besteht außerdem ein Auskunftsrecht der Beschäftigten (§§ 25, 26 BeschDG-E).

Verarbeitung biometrischer Daten und Gesundheitsdaten

Die Bedingungen zur zulässigen Verarbeitung biometrischer Daten umfassen die Notwendigkeit einer Einwilligung, die Berücksichtigung besonderer Schutzmaßnahmen und die Sicherstellung der Transparenz der Verarbeitung und es dürfen keine gleichwertigen Alternativen zur Identifizierung besteht, wie z.B. ein Passwort (§ 28 BeschDG-E).

Blick in die Zukunft

Obwohl der Entwurf einige Bereiche des Beschäftigtendatenschutzes klarer regelt, überwiegen die zu befürchtenden Unklarheiten. Es bleibt zu hoffen, dass der Entwurf des BeschDG-E noch erheblich überarbeitet wird, um ein Gesetz zu schaffen, das sowohl die Rechte der Beschäftigten schützt als auch Arbeitgebern praktikable Lösungen bietet.

Ersten Presseberichten zufolge war ursprünglich noch mit einer Verabschiedung des Entwurf in diesem Jahr gerechnet worden. Dazu dürfte es jetzt wohl nicht mehr kommen.

Wird das Beschäftigtendatenschutzgesetz nach der anstehenden Bundestagswahl tatsächlich in ähnlicher Form wie der jetzt vorliegende Entwurf verabschiedet, sollten Unternehmen intern eine umfangreiche datenschutzrechtliche Prüfung vornehmen. In jedem Fall lohnt es sich aber, die gesetzgeberischen Entwicklungen weiter zu beobachten und sich bereits jetzt mit den möglichen Dokumentations- und Transparenzpflichten auseinanderzusetzen.