Am 4. Mai 2022 hat die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht und nimmt dabei Bezug auf die Ankündigung der Regierungsparteien im Koalitionsvertrag, eine solche Regelung zu schaffen. Es ist davon auszugehen, dass in den nächsten Monaten ein entsprechender Entwurf aus dem Hause des Bundesministeriums für Arbeit und Soziales (BMAS) vorgelegt werden wird. Arbeitgeber in Deutschland werden sich künftig auf – hoffentlich – mehr Rechtsklarheit freuen dürfen und – voraussichtlich – auf einige Gestaltungsspielräume verzichten müssen.
Derzeit finden sich spezielle deutsche Regelungen zum Beschäftigtendatenschutz vorrangig lediglich in § 26 BDSG, einer Norm mit vielen Generalklauseln, die von der Rechtsprechung ausgelegt werden. Einzelfragen wie die nach der Zulässigkeit von heimlichen Videoüberwachungen an der Supermarktkasse oder von Background Checks über die neue Bewerberin in Social Media, sind im Moment reine Kasuistik auf Basis des § 26 BDSG wie auch der allgemeinen Regelungen in der DS-GVO und im BDSG.
Frühere Regelungsvorschläge
Bemühungen um ein ausführlicheres Beschäftigtendatenschutzgesetz gab es bereits in der Vergangenheit, so etwa 2010 bis 2013 unter der damaligen schwarz-gelben Regierungskoalition (BT-Drs. 17/4230). In jüngster Zeit (Januar 2022) hat ein interdisziplinärer Beirat im Auftrag des BMAS einen ausführlichen Abschlussbericht zum Beschäftigtendatenschutz fertiggestellt. Im Februar 2022 veröffentlichte der Deutsche Gewerkschaftsbund (DGB) den Entwurf eines Beschäftigtendatenschutzgesetzes.
Die Forderungen der DSK im Einzelnen
Während der DGB einen vollständig ausformulierten, sehr ausführlichen Entwurf eines Gesetzes für den maximalen Schutz der Beschäftigtendaten veröffentlicht hat, beschränkt sich die Entschließung der DSK darauf, regelungsbedürftige Punkte neutral aufzulisten, und nur in einzelnen Punkten auch inhaltliche Vorschläge zu unterbreiten. Auch wenn die Einzelheiten erst bei Verabschiedung des Gesetzes feststehen werden, können Beschäftigte und Arbeitgeber sich auf Regelungen zu folgenden Punkten einstellen:
- Die Nutzung von Künstlicher Intelligenz im Arbeitsverhältnis soll möglich bleiben, aber umso strenger geregelt werden, je schwerer der mögliche Grundrechtseingriff ist. Zulassungsverfahren, Vorabprüfungen und Vorgaben zur Vermeidung von Diskriminierungen sollen normiert werden. Profilbildungen sollen auch dann im Grundsatz verboten werden, wenn sie nicht einer automatisierten Entscheidung dienen. Es bleibt abzuwarten, ob der Bundesgesetzgeber hier dem von der EU-Kommission vorgelegten Vorschlag eines Gesetzes über Künstliche Intelligenz (Vorschlag vom 21.04.2021) vorgreifen wird.
- Die Verhaltens- und Leistungskontrolle soll, sofern sie heimlich erfolgt, abgesehen von konkret zu regelnden Ausnahmen verboten sein. Konkrete Regelungen seien auch nötig zur Auswertung von E-Mails, zu Videoüberwachung und GPS-Tracking und zu biometrischen Verfahren.
- Die Einwilligung der Beschäftigten sei als Rechtsgrundlage für eine Datenverarbeitung wegen der bestehenden Machtungleichheit im Arbeitsverhältnis grundsätzlich kritisch zu sehen. Es seien (weitere) gesetzliche Regelbeispiele dazu erforderlich, wann die Voraussetzungen der Einwilligung, insbesondere deren Freiwilligkeit, vorliegen.
- Es sei klarzustellen, inwieweit Kollektivvereinbarungen eine zusätzliche Rechtsgrundlage für die Datenverarbeitung darstellen können. Dies berührt die umstrittene Frage, ob etwa auf Basis von Betriebsvereinbarungen auch solche Verarbeitungen möglich sind, die nicht ohnehin schon nach den allgemeinen Grundsätzen zulässig wären.
- Die Verarbeitung sensibler Daten von Beschäftigten sei besser als bisher zu regeln. Derzeit sei nicht klar, ob sie auch auf Basis von § 22 BDSG (ohne die weiteren Voraussetzungen des § 26 Abs. 3 BDSG) verarbeitet werden dürfen, um z.B. die Arbeitsfähigkeit des Beschäftigten zu prüfen (für die Anwendbarkeit von § 22 neben § 26 BDSG aber ausdrücklich die Gesetzesbegründung zum BDSG n.F., BT-Drs. 18/11325, S. 98).
- Die DSK befürwortet ausdrücklich die Normierung von Beweisverwertungsverboten für rechtswidrig verarbeitete Beschäftigtendaten. Datenschutzwidrig erlangte Beweismittel müssen nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) schon jetzt außer Acht bleiben, wenn die Verarbeitung unverhältnismäßig ist und erheblich in grundrechtlich geschützte Position der Beschäftigten eingreift, wie z.B. bei der Spindkontrolle oder dem heimlichen Mithören in Telefonaten.
- Schließlich sei die Verarbeitung der Daten in der Bewerbungs- und Auswahlphase regelungsbedürftig. Das betreffe die Fragerechte des Arbeitgebers, die Anforderung von Führungszeugnissen ebenso wie ärztliche Untersuchungen und Eignungstests und den Umgang mit sozialen Netzwerken und letztlich auch die anwendbaren Löschfristen.
Einordnung
Die Frage ist, ob wir ein solches spezielles deutsches Gesetz für den Beschäftigtendatenschutz benötigen. Das kommt auf die Sichtweise an. Aus Sicht der Arbeitsrechtlerin mit Hang zum Datenschutzrecht brauchen wir es nicht. Wenn man hingegen das Ziel verfolgt, dass die Rechtsunterworfenen als Laien durch einfachen Blick in das Gesetz möglichst gut erkennen sollen, wann z.B. eine Videoüberwachung zulässig ist, oder welche Fragen im Vorstellgespräch erlaubt sind, dann ist eine Neuregelung erforderlich.
Der Ansatz eines solchen möglichst ausführlichen Gesetzes anstelle weniger Generalklauseln hat allerdings einen Nachteil: Das Gesetz könnte schnell veralten. Nicht umsonst haben sich die Verfasser der DS-GVO für einen technologieneutralen Ansatz entschieden (EG 15 S. 1 DS-GVO), damit die DS-GVO trotz des schnellen technischen Fortschritts weiterhin anwendbar bleibt. Die nun geforderten ausdrücklichen Regelungen etwa zur Kontrolle von E-Mails oder zum GPS-Tracking könnten schon in wenigen Jahren durch neue Techniken überholt sein.