Die rechtliche Auslegung und Anwendung datenschutzrechtlicher Anforderungen im Beschäftigungskontext haben sich in der Praxis als eine schwierige Aufgabe für Arbeitgeber erwiesen. Die Regulierungen zum Schutz von Beschäftigten sind weitläufig über europäische und nationale Regelwerke verteilt, was eine komplexe Situation schafft, in der viele Punkte nur sehr allgemein geregelt sind und daher einer entsprechenden Konkretisierung durch die Rechtsprechung bedürfen.
Die Einführung des § 26 Bundesdatenschutzgesetz (BDSG) im Mai 2018 zur Regelung des Datenschutzes im Arbeitsumfeld hat diese Unsicherheiten bisher nicht vollständig beseitigen können. Insbesondere das EuGH-Urteil vom 30.03.2023 (C-34/21), das die Europarechtswidrigkeit des § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) feststellt, wirft zusätzliche Fragen auf, da die zentrale Bundesnorm des § 26 Abs. 1 S. 1 BDSG ähnlich formuliert ist.
Es ist ein Schritt des Gesetzgebers gefordert, neue Regelungen im Kontext des Beschäftigtendatenschutzes zu schaffen, welche im Einklang mit der DSGVO stehen. Laut Koalitionsvertrag der Bundesregierung sei der Beschäftigtendatenschutz neu zu regeln.
Im Jahr 2010 gab es bereits ein Gesetzesentwurf (Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes), welcher aber nicht verabschiedet wurde. Dort wurden bereits Themen wie „Einwilligung im Arbeitsverhältnis“ oder „Videoüberwachung“ behandelt.
Stefan Brink, Direktor des Instituts wida und ehemaliger Datenschutzbeauftragter des Landes Baden-Württemberg, fordert dazu: „Der deutsche Gesetzgeber muss hier klare Maßstäbe liefern und darf sich nicht hinter einer vielfach schwankenden und teilweise datenschutzunfreundlichen Rechtsprechung des Bundesarbeitsgerichts (BAG) verstecken. Die Digitalisierung der Arbeitswelt darf nicht zu einer ‚Amerikanisierung‘ der Beschäftigungsverhältnisse führen – und Arbeitgeber müssen genau wissen können, was zulässig ist und was nicht.“
Ministerien BMI und BMAS setzen ersten positiven Schritt für besseren Datenschutz im Arbeitsumfeld!
Ein erster positiver Schritt in diese Richtung wurde bereits von den Ministerien BMI (Bundesministerium des Innern und für Heimat) und BMAS (Bundesministerium für Arbeit und Soziales) mit einem Maßnahmenkatalog unternommen, der u.a. die Erweiterung des Anwendungsbereiches auf Soloselbstständige, Transparenz beim Einsatz von KI (künstlicher Intelligenz), klare Regelungen zur Überwachung von Beschäftigten und die Definition von Löschpflichten für Bewerberdaten und vieles mehr umfasst. Da das Papier der beiden Ministerien lediglich Vorschläge enthält und kein Gesetzentwurf ist, ist es wahrscheinlich, dass hier noch mehrere Runden zu drehen sein werden.
Ein neues Thema, das nun in den Fokus gerückt wird, ist der Umgang mit KI. Die beiden Ministerien sind der Meinung, dass der Einsatz von KI, beispielsweise bei der Auswahl von Bewerber*innen oder der Leistungsbeurteilung, die Gefahr birgt, dass die Beschäftigten die Kontrolle über die Datenverarbeitung verlieren. Aus diesem Grund wird angestrebt, die Transparenz beim Einsatz von KI zu stärken. Hierfür soll auch die neue KI-Verordnung der EU abgewartet werden, die sich momentan noch in der Abstimmungsphase befindet. Es sollen die Spielräume genutzt werden, die die Verordnung bietet.
Ein weiteres Ziel besteht darin, praxisrelevante Fallgruppen zu definieren, um Rechtsklarheit bei der konzerninternen Datenübermittlung zu gewährleisten und bürokratische Hürden abzubauen. Dieser Ansatz wird auch im Erwägungsgrund 48 der DSGVO angesprochen, der darauf hinweist, dass Erleichterungen bei der konzerninternen Datenübermittlung angestrebt werden sollen.
Wie ist unsere Meinung?
Die Vorschläge der Ministerien sind ein wichtiger Schritt zur Klärung der in Rechtsprechung und Literatur umstrittenen Themen und sollten viele der bis heute bestehenden Unsicherheiten beseitigen. Wir begrüßen die Initiative und unterstützen den Versuch, mehr Rechtsklarheit im Umgang mit Beschäftigtendaten zu schaffen.
Es ist davon auszugehen, dass das Urteil des EuGH zur Europarechtswidrigkeit des § 23 HDSIG und des § 26 Abs. 1 Satz 1 BDSG eine Beschleunigung des Gesetzgebungsverfahrens für ein Beschäftigtendatenschutzgesetz zur Folge haben wird. Bis zur Klärung dieser Fragen müssen Unternehmen die Verarbeitung von personenbezogenen Daten weiterhin auf europarechtskonforme Regelungen, insbesondere des Art. 6 Abs. 1 DSGVO, stützen und sorgfältig prüfen, ob die Datenverarbeitung zwingend erforderlich und verhältnismäßig ist.
