Das Beschäftigtendatenschutzgesetz soll kommen
Der EuGH hat sich mit Urteil vom 30.03.2023 – C-34/21 (ArbRB 2023, 131 [Grimm]) – mit der Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts befasst. Zur Entscheidung stand die Frage, ob eine Regelung zum Beschäftigtendatenschutz aus dem hessischen Datenschutzrecht für den öffentlichen Dienst gegen die DSGVO verstößt. Im Ergebnis stellt der EuGH fest, dass die Vorschrift den Anforderungen der DSGVO nicht genügt. Das Verfahren kann über das hessische Datenschutzrecht hinaus Bedeutung haben, da § 26 BDSG, auf den die Privatwirtschaft bisher die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis stützt, fast wortgleich mit der Regelung aus dem hessischen Datenschutzgesetz ist.
Auch vor dem Hintergrund dieser Entscheidung ist von Bedeutung, dass die Regierung beabsichtigt, ein eigenständiges Beschäftigtendatenschutzgesetz zu schaffen.
Das Bundesarbeitsministerium (BMAS) und das Bundesministerium des Innern und für Heimat (BMI) haben ein Eckpunktepapier mit möglichen Inhalten für ein Beschäftigtendatenschutzgesetz erarbeitet. Die Vorschläge umfassen insbesondere folgende Themen:
1. Weiter Anwendungsbereich
Die Neuregelungen sollen auch für solo-Selbstständige Plattformtätige gelten.
2. Regelung zur Kontrolle und Überwachung von Beschäftigten
Ausnahmsweise soll die dauerhafte Erfassung von Beschäftigtendaten möglich sein. Ein Beispiel ist die Sicherheit von Beschäftigten. Eine punktuelle Datenerhebung in Echtzeit soll nur sehr eingeschränkt möglich werden.
3. Einsatz von KI
Typische Verarbeitungsvorgänge, die auf KI bzw. Algorithmen basieren, sollen geregelt werden.
4. Bewerbungsverfahren
Es soll geregelt werden, welche Fragen im Bewerbungsgespräch zulässig sind und unter welchen Voraussetzungen Tests und Untersuchungen im Zusammenhang mit Bewerbungsverfahren erlaubt sein sollen. Informationen über Bewerber sollen nur direkt erhoben werden dürfen. Ausgeschlossen wäre damit insbesondere eine Suche über die sozialen Medien.
5. Schutz besonders sensibler Daten
Typische Fälle sollen für die Verarbeitung besonders sensibler Informationen geregelt werden. Nur in begründeten Ausnahmefällen soll es ermöglicht werden, biometrische Daten zu verarbeiten.
6. Regelung zur Interessenabwägung
Festgeschrieben werden sollen Kriterien, aufgrund derer bestimmt werden kann, wann eine Datenverarbeitung erforderlich ist.
7. Vorgaben für die Einwilligung
Beispiele für mögliche Einwilligungen sollen aufgelistet werden. Ein Beispiel ist die Nutzung von Fotos im Intranet.
8. Datenverarbeitung in Konzernen
Die konzerninterne Datenübermittlung soll für bestimmte Fallgruppen geregelt werden.
9. Betroffenenrechte
Es ist vorgesehen, die Betroffenenrechte, z.B. bei der Löschung von Bewerberdaten, zu ergänzen. Auf dem Prüfstand sollen Regelungen zur prozessualen Verwertungsverboten kommen.
10. Regelungen zu „Bring Your Own Device“- „BYOD“
Angedacht wird auch die Konkretisierung der Anforderungen an die Verwendung privater Geräte für dienstliche Zwecke (Byod-Lösung).
11. Mitbestimmung
Die Mitbestimmung soll in Bezug auf den Beschäftigtendatenschutz weiterentwickelt werden.
12. Kollektivrechtliche Regelung
Geprüft werden soll, ob und inwieweit eine gesetzliche Konkretisierung für Kollektivvereinbarungen als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten möglich ist.
13. Bewertung
Die Vorschläge zeigen, dass ein eigenständiges Beschäftigtendatenschutzgesetz außerhalb der Systematik des BDSG erhebliche Risiken für den technischen Fortschrift und den produktiven Gebrauch von Daten bedeuten kann. Datenschutz sollte zukunftsträchtigen Entwicklungen begleiten und ihnen nicht im Wege stehen. Es bedarf entwicklungsoffener Regelungen, die Datenschutz mit dem Fortschritt der Digitalisierung in der Arbeitswelt in Einklang bringen. Die angedachte Aufnahme von Fallgruppen beschränkt den Fortschritt. Vorzuziehen ist, die betroffenen Interessen einzelfallbezogen in einen angemessenen Ausgleich zu bringen.
14. Weiterer Fortgang
BMAS und BMI haben einen Stakeholder-Dialog eingeleitet, in dem die Vorschläge zum Beschäftigtendatenschutz aus dem Eckpunktepapier erörtert werden. Dieser Dialog hat am 25./26.04.2023 stattgefunden. Die Ministerien signalisierten, dass zügig an einem Referentenentwurf gearbeitet werden soll.