Referentenentwurf Beschäftigtendatengesetz (BeschDG)
Der kürzlich veröffentlichte Referentenentwurf des Beschäftigtendatenschutzgesetzes (BDSG-neu) markiert einen wichtigen Schritt in Richtung klarerer und einheitlicher Regelungen für den Umgang mit personenbezogenen Daten von Mitarbeitenden in Deutschland.
Doch was bedeutet dieser Entwurf konkret für Arbeitgeber und Personalverantwortliche? Der neue Gesetzesentwurf zielt darauf ab, Lücken in der bisherigen Gesetzgebung zu schließen und praxisnahe Regelungen zu schaffen, die den Anforderungen des modernen Arbeitslebens gerecht werden. Im Mittelpunkt stehen dabei insbesondere Regelungen zu Einwilligungen, Betriebsvereinbarungen, der Datenverarbeitung für Compliance-Zwecke und dem Einsatz von Überwachungstechnologien.
Der Entwurf enthält neben begrüßenswerten Klarstellungen auch einige kritische Punkte, die in der Praxis zu erheblichen Herausforderungen führen könnten. Besonders im Bereich der automatisierten Entscheidungsfindung und der Überwachung am Arbeitsplatz werden kontroverse Neuerungen diskutiert, die eine umfangreiche Anpassung der bisherigen Unternehmenspraxis erfordern könnten.
Auch wenn vor der neuen politischen Situation nicht absehbar ist, ob bzw. in welcher Form der Referentenentwurf des Beschäftigtendatengesetzes tatsächlich kommt, möchten wir Sie dennoch über den aktuellen Stand informieren.
Überblick
Der deutsche Gesetzgeber verfolgt weiterhin das Ziel, ein eigenständiges Beschäftigtendatenschutzgesetz zu etablieren, wie es im Koalitionsvertrag festgehalten ist. Im April 2023 veröffentlichten das Bundesministerium des Innern und für Heimat (BMI) sowie das Bundesministerium für Arbeit und Soziales (BMAS) ein Eckpunktepapier mit Vorschlägen zur Überarbeitung des bestehenden Beschäftigtendatenschutzes. Kürzlich gab es bedeutende Fortschritte in diesem Bereich: Am 08. 10. 2024 legten das BMAS und das BMI einen Referentenentwurf für ein eigenständiges Beschäftigtendatenschutzgesetz (BeschDG) vor, welches wohl durch ein „Leak“ überraschend veröffentlicht wurde.
Hintergrund
Warum besteht hier überhaupt Handlungsbedarf? Der Europäische Gerichtshof (EuGH) hatte mit Urteil vom 30.03.2023 (C-34/21) entschieden, dass § 26 Abs. 1 S.1 BDSG, die zentrale Generalklausel des Beschäftigtendatenschutzes, unionswidrig und damit unanwenbar ist. Mit dem gleichen Urteil hatte der EuGH erstmals die Anforderungen von Art. 88 DS-GVO an nationale Regelungen konkretisiert.
Eckpunkte des Referentenentwurfs
Der Referentenentwurf des Beschäftigtendatengesetzes (BeschDG) vom 8. Oktober 2024 zielt darauf ab, den Datenschutz im Beschäftigungskontext zu modernisieren und klare Regelungen für den Umgang mit Beschäftigtendaten zu schaffen. Die wesentlichen Inhalte des Entwurfs sind:
- Anwendungsbereich: Das Gesetz gilt für die Verarbeitung personenbezogener Daten von Beschäftigten vor, während und nach Beendigung des Beschäftigungsverhältnisses. Es umfasst sowohl aktuelle als auch potenzielle Beschäftigte, einschließlich Bewerberinnen und Bewerber. Das Gesetz soll sowohl für nichtautomatisierte als auch für automatisierte Verarbeitungen von Beschäftigtendaten gelten.
- Zulässigkeit der Datenverarbeitung: Die Verarbeitung von Beschäftigtendaten ist zulässig, wenn sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der Entwurf konkretisiert hierbei die Erforderlichkeitsprüfung und führt Kriterien auf, die bei der Interessenabwägung zu berücksichtigen sind, wie beispielsweise die Art der Daten, deren Umfang und die berechtigten Erwartungen der Beschäftigten.
- Einwilligung: Die Einwilligung der Beschäftigten zur Datenverarbeitung muss freiwillig, informiert und in Textform erfolgen. Der Entwurf nennt Beispiele, wann eine Einwilligung als freiwillig gilt, etwa wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen.
- Überwachung am Arbeitsplatz: Überwachungsmaßnahmen, wie Videoüberwachung oder das Monitoring von IT-Systemen, sind nur unter strengen Voraussetzungen zulässig. Verdeckte Überwachungen sind grundsätzlich unzulässig, es sei denn, es besteht der Verdacht auf eine Straftat und mildere Mittel sind nicht ausreichend.
- Einsatz von Künstlicher Intelligenz (KI): Beim Einsatz von KI-Systemen im Arbeitsumfeld müssen Transparenz und Nachvollziehbarkeit gewährleistet sein. Beschäftigte sind über den Einsatz solcher Systeme zu informieren, insbesondere wenn automatisierte Entscheidungen getroffen werden, die sie betreffen. Zudem sind geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Rechte der Beschäftigten zu schützen.
- Profiling: Das Profiling von Beschäftigten, also die automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte, ist nur unter engen Voraussetzungen zulässig. Es bedarf einer besonderen Rechtfertigung und der Information der betroffenen Beschäftigten.
- Betroffenenrechte: Beschäftigte erhalten erweiterte Rechte, wie das Recht auf Auskunft über die verarbeiteten Daten, Berichtigung, Löschung und Einschränkung der Verarbeitung. Zudem müssen Arbeitgeber auf Verlangen die wesentlichen Überlegungen ihrer Erforderlichkeitsprüfung in verständlicher Weise darlegen.
- Verwertungsverbot: Daten, die unter Verstoß gegen datenschutzrechtliche Bestimmungen erhoben wurden, dürfen in arbeitsgerichtlichen Verfahren nicht verwendet werden, insbesondere nicht zur Begründung von Kündigungen oder Abmahnungen.
- Mitbestimmungsrechte des Betriebsrats: Die Mitbestimmungsrechte des Betriebsrats werden erweitert, insbesondere bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Dies umfasst auch den Einsatz von KI-Systemen.
Im Ergebnis umfasst der Referentenentwurf eine Vielzahl praxisrelevanter Regelungen, die darauf abzielen, eine breite Palette rechtlicher Probleme abzudecken, die in jüngster Zeit in der Rechtsprechung aufgetreten sind.
Fazit
Derzeit wird erwartet, dass das Beschäftigtendatenschutzgesetz, im Gegensatz zu früheren Entwürfen, nicht auf das politische Abstellgleis geschoben wird und noch in diesem Jahr verabschiedet werden könnte. Arbeitgeber sollten sich darauf einstellen, ihre bestehenden Verträge und betrieblichen Abläufe umfassend zu überprüfen und anzupassen. Dies betrifft insbesondere Bewerbungsverfahren, Leistungskontrollen, digitale Arbeitszeiterfassungssysteme und Videoüberwachung. Zur Vorbereitung von Personalmaßnahmen wie Kündigungen sollte auch die datenschutzrechtliche Konformität der gesammelten Beweise überprüft werden. Auch die Datenschutz-Compliance-Prozesse, wie der Umgang mit Hinweisgebersystemen und der Datentransfer zu Konzerngesellschaften, müssen angepasst werden. Eine frühzeitige Vorbereitung kann helfen, die neuen Anforderungen effizient umzusetzen und rechtliche Risiken zu minimieren.