Ende letzter Woche wurde in den sozialen Medien der Referentenentwurf eines Beschäftigtendatengesetzes („BeschDG-E“) bekannt, den das Bundesministerium für Arbeit und Soziales nach Medienberichten in die Ressortabstimmung gegeben hat. Damit wird es für den Beschäftigtendatenschutz doch nochmal „ernst“, nachdem die Ampelkoalition die Neuregelung des Datenschutzes der Beschäftigten zwar in ihrem Koalitionsvertrag hervorgehoben hatte, es seit dem Eckpunktepapier von April 2023 jedoch um das Thema still geworden war.
Die Forderung nach einer ausführlichen gesetzlichen Regelung der Rahmenbedingungen für die Verarbeitung von Beschäftigtendaten durch Arbeitgeber wird seit mehr als zwei Jahrzehnten von verschiedenen Seiten erhoben; einen Gesetzesentwurf gab es bereits 2009, übrigens unter dem damaligen Bundesarbeitsminister Olaf Scholz. Bisher sind alle Versuche des Gesetzgebers, diese Forderung zu erfüllen, an unüberbrückbaren Gegensätzen der jeweiligen Regierungsparteien bei der Beurteilung der Inhalte eines solchen Gesetzes gescheitert.
Aktuell regeln nur wenige Normen spezifisch die Verarbeitung von Beschäftigtendaten. Zwar erlaubt die Datenschutz-Grundverordnung („DS-GVO“) den Mitgliedstaaten hier nationale Lösungen (Art. 88 DS-GVO), nur wenige Länder haben hiervon jedoch Gebrauch gemacht. Auch Deutschland hat sich im Wesentlichen darauf beschränkt, einen einzelnen Paragraphen aus der Vorzeit der DS-GVO ins neue Bundesdatenschutzgesetz („BDSG“) zu übernehmen. Da der Gerichtshof der Europäischen Union („EuGH“) einen zentralen Teil dieser Norm jedenfalls implizit für unionsrechtswidrig erklärt hat (EuGH, Urteil vom 30. März 2023 – C-34/21), sind Unternehmen und Rechtsanwender im Beschäftigtendatenschutz weitgehend auf die allgemeinen Normen zurückgeworfen, die auch die Verarbeitung von Kundendaten, Lieferantendaten u.ä. regeln (dazu mehr: NZA 2023, 740 – beck-online).
Eine deutsche Besonderheit bleibt das Mitbestimmungsrecht des Betriebsrats bei der Einführung von potentiell zur Überwachung von Beschäftigten geeigneten Systemen (§ 87 Abs. 1 Nr. 6 BetrVG) sowie das Recht des Betriebsrats, seine Schutzfunktion auch im Hinblick auf den Schutz von Beschäftigtendaten auszuüben (§ 75 Abs. 2 BetrVG).
Vor diesem Hintergrund ist es grundsätzlich zu begrüßen, wenn durch eine detaillierte gesetzliche Regelung der zahlreichen Graubereiche, die sich im Beschäftigtendatenschutz ergeben, mehr Rechtssicherheit geschaffen wird. Dieser Beitrag wirft einen Blick darauf, ob das dem einschließlich Begründung 84 Seiten starken BeschDG-E gelingen könnte. Wie sein voller Name zeigt – „Entwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt“ – ist dieser Anspruch jedenfalls vorhanden. Abschließend geben wir einen Ausblick auf die Zukunft des Entwurfs.
Insgesamt greift das BeschDG-E viele Punkte aus dem im April 2023 veröffentlichten Eckpunktepapier zum Beschäftigtendatenschutzgesetz auf. Darunter sind der technologieneutrale Ansatz, Regelungen zur Freiwilligkeit der Einwilligung im Beschäftigungskontext, zur Konzerndatenverarbeitung sowie zur verdeckten Überwachungsmaßnahmen als letztes Mittel. Doch selbstverständlich kommt es nicht allein darauf an, welche Themen der Gesetzgeber regeln möchte, entscheidend ist, wie er sie regelt. Und genau hierin liegt die Krux: Für Arbeitgeber, so eine erste Analyse, dürfte das BeschDG-E in diversen Bereichen zu mehr Aufwand führen.
Überblick und erster Eindruck
Der Entwurf des BeschDG gliedert sich in einen allgemeinen und einen besonderen Teil. Die §§ 1-9 legen den Anwendungsbereich und die verwendeten Begriffe fest und regeln ausführlich die allgemeinen Grundlagen für die Zulässigkeit der Verarbeitung von personenbezogenen Beschäftigtendaten (einschließlich „sensibler“ Daten). § 10 BeschDG-E schafft zusätzliche Informationsrechte der Beschäftigten gegenüber dem Arbeitgeber; § 11 stellt ein prozessuales Verwertungsverbot für datenschutzrechtswidrig gewonnene Beweismittel auf (dazu näher unten). Durch § 12 BeschDG-E erhält der Betriebsrat ein neues Mitbestimmungsrecht bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten. Der besondere Teil des Gesetzentwurfs enthält in den §§ 13-17 erstmals ausführliche Vorgaben für die Verarbeitung der personenbezogenen Daten von Stellenbewerbern (einschließlich einer Normierung des Fragerechts des Arbeitgebers). Er regelt ferner die Zulässigkeit der Datenverarbeitung im Zusammenhang mit präventiven und repressiven Überwachungsmaßnahmen (§§ 18-23) und für Zwecke des sogenannten „Profilings“ (§§ 24-27).
Aus dem abschließenden Kapitel zu „besonderen Verarbeitungssituationen“ (§§ 28 - 30) ist die Regelung zur Datenverarbeitung im Konzern in § 30 BeschDG-E hervorzuheben, die deutlicher als das bisher geltende Recht unterstreicht, dass ein Austausch von Beschäftigtendaten zwischen verbundenen Unternehmen durch unterschiedliche berechtigte Interessen der Beteiligten gerechtfertigt sein kann, zugleich aber in jedem Einzelfall eine sorgfältige Abwägung mit möglicherweise gegenläufigen Interessen der Beschäftigten erfordert.
Das ist symptomatisch für einen Ansatz des Gesetzentwurfs, der mit dem selbst gesteckten Anspruch, mehr Rechtssicherheit ohne zusätzliche Bürokratie zu schaffen, nur schwer zusammengeht: Das Bemühen, die unbestimmten Rechtsgrundlagen der DS-GVO durch die Schaffung von auf das Beschäftigungsverhältnis zugeschnittenen Zulässigkeitstatbeständen zu konkretisieren, wird dadurch konterkariert, dass für praktisch jede Datenverarbeitung eine umfassende Interessenabwägung gefordert wird, in die eine Vielzahl (beispielhaft) vorgegebener Aspekte einzubeziehen ist und deren Ergebnis naturgemäß in vielen Fällen mit Unsicherheiten behaftet sein wird. Selbst eine Verarbeitung von Beschäftigtendaten, die zur Erfüllung gesetzlicher Pflichten des Arbeitgebers erforderlich ist, soll nur zulässig sein, wenn die Interessen des Arbeitgebers an der Verarbeitung die der Beschäftigten an ihrem Ausschluss überwiegen (§ 3 Abs. 1 Nr. 7 BeschDG-E). Da der Arbeitgeber nach der DS-GVO jederzeit in der Lage sein muss, die Einhaltung der gesetzlichen Datenschutzvorgaben nachzuweisen, muss er die zusätzlichen Interessenabwägungen und ihr jeweiliges Ergebnis in allen Fällen sorgfältig dokumentieren. Das allein dürfte – entgegen der in der Begründung des Gesetzentwurfs geäußerten Erwartung – zu einer nochmaligen Erhöhung des administrativen Aufwands für den betrieblichen Datenschutz führen.
KI und Profiling
Die Begründung des Entwurfs des BeschDG führt zur Rechtfertigung des Bedürfnisses für eine umfangreiche Neuregelung des Beschäftigtendatenschutzes insbesondere „neuartige Datenverarbeitungsmöglichkeiten, etwa mittels Künstlicher Intelligenz“ an. Gemessen daran sind Gehalt und Umfang der Bestimmungen des Entwurfs, die sich explizit mit der KI-gestützten Verarbeitung von Beschäftigtendaten beschäftigen, überschaubar. Sie beschränken sich im Wesentlichen auf die Einführung eines Rechts für Beschäftigte, über KI-Systeme, die Beschäftigtendaten verarbeiten, vom Arbeitgeber informiert zu werden und sich ihre Funktionsweise erklären zu lassen (§ 10 Abs. 2, 3 BeschDG-E). Relevant sein dürfte das vor allem beim Einsatz von KI-Tools, die Beschäftigtenprofile auswerten, um bestimmte verhaltensbezogene Aspekte zu analysieren oder vorherzusagen. Ein solches „Profiling“ schließt der Gesetzentwurf in § 14 Abs. 4 BeschDG-E nur für besonders intensive Eingriffe in die Persönlichkeitsrechte der Beschäftigten generell aus (Analyse oder Vorhersage von Emotionen, Bewertung der sozialen Beziehungen zwischen Beschäftigten aufgrund von Daten über Kommunikationsvorgänge) und unterwirft es im Übrigen einer strengen Interessenabwägung. Die Beschäftigten erhalten ein umfassendes Recht auf Information und Auskunft über die Details des Profilings, eine eventuell eingesetzte KI-Lösung und die damit verbundenen Auswirkungen.
Keine Verarbeitungsgrundlage durch Kollektivvereinbarungen
Bisher ist streitig, ob Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen sowie gleichwertige kollektive Vereinbarungen) als eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten dienen können, d.h. ob eine Datenverarbeitung auch zulässig sein kann, wenn kein gesetzlicher Erlaubnistatbestand und keine Einwilligung vorliegen, stattdessen aber eine Betriebsvereinbarung diese Datenverarbeitung erlaubt. Der Entwurf des BeschDG will diese Frage nun zugunsten der restriktiveren Ansicht beantworten. Die entscheidende Passage lautet:
§ 7 Kollektivvereinbarungen
(1) Die Verhandlungspartner können spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten [...] vorsehen.
(2) Kollektivvereinbarungen nach Absatz 1 dürfen nicht zu Lasten des Schutzes der Beschäftigten von diesem Gesetz abweichen. Sie können nicht die Zulässigkeit der Verarbeitung von Beschäftigtendaten festlegen. […]
Wenn Kollektivvereinbarungen keine eigenständige Verarbeitungsgrundlage darstellen können, sind durch sie geregelte Datenverarbeitungen weiterhin auch an den gesetzlichen Erlaubnistatbeständen zu messen. Der Beitrag von Kollektivvereinbarungen zur Rechtsklarheit bliebe in diesem Fall überschaubar. Hier hätte der Entwurf den Tarifparteien und Betriebspartnern mehr Eigenständigkeit zutrauen können.
So erlaubt § 7 ArbZG beispielsweise unter bestimmten weiteren Voraussetzungen Abweichungen von den gesetzlichen Regelungen zur maximalen täglichen Arbeitszeit, zur Ruhezeit und zur Dauer der Pausen, wenn die Abweichung durch Tarifvertrag oder auf Grund eines Tarifvertrages in einer Betriebs- oder Dienstvereinbarung geregelt ist. Der dahinterstehende Gedanke: Aufgrund ihrer Sachnähe können die Tarifparteien bzw. Betriebspartner am besten selbst beurteilen, welche Abweichungen von der gesetzlichen Ausgangsregelung der Belegschaft zuzumuten sind und wie diese mit den branchentypischen bzw. betrieblichen Erfordernissen am besten in Einklang zu bringen sind. Das Erfordernis einer Regelung im Tarifvertrag sorgt gleichzeitig dafür, dass die so getroffene Regelung nicht auf einer Verhandlungsübermacht des Arbeitsgebers beruht. Eine ähnliche Regelung würde sich auch im Rahmen der Verarbeitung von Beschäftigtendaten anbieten, zumal mit einer solchen Regelung auch die Tarif- und Betriebsautonomie gestärkt würde.
Immerhin, die Gesetzesbegründung traut den Verhandlungspartnern doch eine gewisse Eigenständigkeit zu. Kollektivvereinbarungen sollen nämlich Erlaubnistatbestände konkretisieren können und die Verhandlungspartner hierbei, wenn es um die Ausgestaltung eines auf die branchenbezogenen bzw. betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutzes geht, einen Ermessensspielraum haben.
Grundsätzliches Verwertungsverbot
Die Frage, ob und wenn ja unter welchen Voraussetzungen datenschutzrechtliche Pflichtverletzungen des Arbeitgebers zu Beweis- oder Sachvortragsverwertungsverboten führen, ist nicht nur praktisch überaus relevant, sondern hat auch das Bundesarbeitsgericht bereits mehrfach beschäftigt (zuletzt: BAG, Urteil vom 24. August 2023 – 2 AZR 17/23). Typischerweise stehen dabei Vorwürfe gravierender Pflichtverletzungen – häufig auch Straftaten – von Arbeitnehmern im Raum, die zum Ausspruch einer (außerordentlichen) Kündigung führten. In der folgenden Kündigungsschutzklage bestreitet der Arbeitnehmer dann das eigene Fehlverhalten und bringt vor, etwaige Beweise des Arbeitgebers dürften aufgrund von Datenschutzverstößen nicht gerichtlich verwertet werden.
Die Rechtsprechung des BAG hierzu ist jedenfalls bei vorsätzlichen Pflichtverletzungen des Arbeitnehmers recht eindeutig: Das grundgesetzlich verbürgte Recht auf informationelle Selbstbestimmung kann nicht mit dem alleinigen Zweck in Anspruch genommen werden, sich der Verantwortung für vorsätzliches rechtswidriges Handeln zu entziehen (BAG, Urteil vom 29. Juni 2023 – 2 AZR 296/22). Daher ist, vereinfacht ausgedrückt, bei vorsätzlichen Pflichtverstößen des Arbeitgebers häufig nicht von einem Verwertungsverbot auszugehen. Zusammengefasst wird diese Erkenntnis regelmäßig mit dem Leitspruch: „Datenschutz ist kein Tatenschutz.“ Eine gesetzliche Regelung eines Verwertungsverbotes fehlte bisher. Der Entwurf sieht nun eine ausdrückliche Regelung vor:
§ 11 Verwertungsverbot
(1) Wurden Beschäftigtendaten datenschutzrechtswidrig verarbeitet, dürfen diese Daten in einem gerichtlichen Verfahren über die Rechtmäßigkeit einer auf diese Daten gestützten personellen Maßnahme des Arbeitgebers gegen einen Beschäftigten oder eine Beschäftigte nicht verwertet werden. Dies gilt nicht, wenn ein offensichtliches Missverhältnis zwischen dem Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen beschäftigten Person durch die gerichtliche Verwertung und dem grundrechtlich geschützten Interesse des Arbeitgebers an der gerichtlichen Verwertung besteht.
(2) Die Verhandlungspartner können für datenschutzrechtswidrige oder kollektivvereinbarungswidrige Verarbeitungen von Beschäftigtendaten ein Verwertungsverbot in Kollektivvereinbarungen regeln.
Interessant ist zunächst, dass das Verwertungsverbot allein in gerichtlichen Verfahren über die Rechtmäßigkeit einer personellen Maßnahme des Arbeitgebers zum Tragen kommen soll. Unter die personellen Maßnahmen dürften hauptsächlich Abmahnungen und Kündigungen fallen. Nicht umfasst werden sollen laut Gesetzesbegründung aber Schadensersatz- und Herausgabeklagen des Arbeitgebers. Das kann zumindest theoretisch zu kuriosen Ergebnissen führen. So ist es denkbar, dass eine außerordentliche Tatkündigung daran scheitert, dass der Arbeitgeber aufgrund eines Beweisverwertungsverbots den Diebstahl eines Notebooks durch seinen Arbeitnehmer nicht nachweisen kann, das Gericht den Arbeitnehmer jedoch im gleichen Verfahren zur Herausgabe des gestohlenen Notebooks verurteilt.
Auch mit Blick auf den (Schutz-)Zweck der Norm stellen sich Fragen: Das Verwertungsverbot soll (i) die tatsächliche Wirkung der datenschutzrechtlichen Vorschriften stärken, dies könnten die aufsichtsrechtlichen Maßnahmen allein nicht bewirken. Außerdem, (ii), verfestige sich der Verstoß gegen das Datenschutzrecht, wenn der Arbeitgeber die so gewonnenen Erkenntnisse im Prozess verwende. Zu (i) fällt dabei auf, dass der Entwurf damit offenbar selbst nicht von der Wirksamkeit der Überwachung durch staatliche Stellen überzeugt ist. Zu (ii) ist nicht ersichtlich, weshalb das Verwertungsverbot dann (nur) für personelle Maßnahmen gelten soll. Wird der Verstoß gegen die datenschutzrechtliche Bestimmung etwa nur bei Kündigungsschutzklagen und nicht bei Herausgabeklagen verfestigt? Gerade der letzte Punkt zeigt, dass das Verwertungsverbot in § 11 Abs. 1 S. 1 BeschDG-E möglicherweise eher als Mittel zum Bestandsschutz von Arbeitsverhältnissen, denn als prozessuale Regelung gedacht ist.
Schwierig erscheint auch das in § 11 Abs. 1 BeschDG-E enthaltene Regel-Ausnahme-Verhältnis. Danach führt eine datenschutzrechtswidrige Datenverarbeitung nur ausnahmsweise nicht zu einem Verwertungsverbot. Die Darlegungs- und Beweislast zu den Umständen, aufgrund derer kein Verwertungsverbot gegeben sein soll, liegt damit beim Arbeitgeber. Dies hat, jedenfalls bei vorsätzlichen Pflichtverletzungen sowie bei Straftaten, nicht mehr viel mit der aktuellen Rechtsprechung zu tun. Die Gefahr, dass Datenschutz für Tatenschutz missbraucht wird, ist damit jedenfalls nicht mehr ausgeschlossen.
Ebenfalls problematisch erscheint § 11 Abs. 2 BeschDG-E, wonach ein Verwertungsverbot auch in einer Kollektivvereinbarung vereinbart werden kann. Ein Verwertungsverbot stellt eine prozessuale Regelung dar, die von den Gerichten für Arbeitssachen im Urteilsverfahren zu berücksichtigen ist. Dass die Tarifparteien oder Betriebspartner über prozessuales Recht verfügen sollen, ist neu. Bisher hatten die Betriebsparteien keine Regelungsmacht, ein über das bestehende Verfahrensrecht hinausgehendes Verwertungsverbot zu begründen (BAG, Urteil vom 29. Juni 2023 – 2 AZR 296/22, Rn. 53 m.W.n.). In der Entwurfsbegründung fehlt jede Auseinandersetzung mit der Problematik und auch die Kompetenznorm zur Änderung des prozessualen Rechts, Art 74 Abs 1. Nr 1 GG, wird im Abschnitt zur Gesetzgebungskompetenz nicht erwähnt. Die Gesetzesbegründung schweigt sich zudem dazu aus, dass Verwertungsverbote in Kollektivvereinbarungen die Möglichkeit zur außerordentlichen Kündigung erheblich erschweren könnten, was nach aktuellem Recht nicht möglich sein soll (vgl. BAG, Urteil vom 29. Juni 2023 – 2 AZR 296/22, Rn. 54 m.W.n.).
Das grundsätzliche Verwertungsverbot in § 11 Abs. 1 BeschDG-E dürfte vielfach als Einladung verstanden werden, Datenschutz für Tatenschutz zu instrumentalisieren. Dies ist bedauerlich, da die mit Kündigung oder Abmahnung sanktionierten Pflichtverletzungen (Diebstahl, Belästigung) nicht selten auch zu Lasten der Kolleginnen und Kollegen gehen. Sollte § 11 Abs. 1 BeschDG-E so in Kraft treten, dürften Arbeitgeber daher auch bei Vorliegen eindeutiger Beweise in Zukunft häufiger zu einer vorsorglichen Verdachtskündigung greifen.
Löschpflichten und verschenktes Potential
Kritisch zu betrachten ist die Regelung in § 17 BeschDG-E, die eine Löschung von Bewerberdaten innerhalb einer festen Frist von drei Monaten nach Scheitern der Bewerbung verlangt. Eine Ausnahme soll nur gelten, wenn ein Rechtsstreit bereits anhängig oder „aufgrund zu dokumentierender konkreter Anhaltspunkte“ wahrscheinlich ist. Das geht an der Realität vorbei, weil es an solchen konkreten Anhaltspunkten in aller Regel fehlen wird, dies aber nicht bedeutet, dass der Bewerber keine Ansprüche mehr geltend machen kann. Erfährt etwa ein Bewerber nach vier Monaten, dass statt ihm eine Konkurrentin eingestellt wurde, und meint, hierin eine Geschlechtsdiskriminierung zu erkennen, läuft die kenntnisabhängige Frist für einen Schadensersatzanspruch nach § 15 Abs. 4 AGG erst zwei Monate später ab. Aufgrund der ggf. nach § 22 AGG umgekehrten Beweislast ist der Arbeitgeber ggf. auf eine längere Speicherung personenbezogener Daten angewiesen, die ihm durch § 17 BeschDG-E regelmäßig unmöglich gemacht wird. Die „zu dokumentierenden konkreten Anhaltspunkte“ bedeuten dabei eine deutlich strengere Einschränkung selbst als die aktuelle Auffassung deutscher Datenschutzaufsichtsbehörden, die zwar ebenfalls für eine Aufbewahrungsfrist von drei bis vier Monaten eintreten, bei der aber eine Anpassung aufgrund „weicherer“ Faktoren wie bisherigen Erfahrungen mit entsprechenden Schadensersatzklagen möglich ist.
Umgekehrt wird mit § 17 BeschDG-E eine Möglichkeit versäumt, die zahlreichen und weit verstreuten Lösch- und Aufbewahrungsfristen für Beschäftigtendaten an einer Stelle sinnvoll und übersichtlich zusammenzuführen.
Was sonst noch im Entwurf steht
Viele andere interessante Regelungen können hier nicht vertieft besprochen werden. Dazu gehört z.B. § 9 BeschDG-E, der – in unklarem Verhältnis zu Art. 32 DS-GVO – vom Arbeitgeber Schutzmaßnahmen zur Einhaltung von DS-GVO, BeschDG-E sowie zur Wahrung der „menschlichen Würde“ der Arbeitnehmer fordert. Praktisch von großer Relevanz wäre § 12 BeschDG-E, wonach der Betriebsrat ein Mitbestimmungsrecht bei der Bestellung und Abberufung von Datenschutzbeauftragten erhalten soll. Das Mitbestimmungsrecht soll es dem Betriebsrat ermöglichen, bei Zweifeln an der Unabhängigkeit der oder des Datenschutzbeauftragten eine Bestellung zu verhindern bzw. (initiativ) eine Abberufung einzuleiten. Das Mitbestimmungsrecht ist jedoch nicht auf diesen Anwendungsfall beschränkt und wirft – erneut – die Frage nach dem Verhältnis zwischen Betriebsrat und Datenschutzbeauftragten auf.
Wie geht es weiter?
Laut Presseberichten streben die federführenden Ministerien an, dass das Regierungskabinett den Entwurf noch in diesem Jahr beschließt. Das Gesetzgebungsverfahren solle dann Mitte nächsten Jahres abgeschlossen werden. Damit könnte das Gesetz im August oder September 2025 in Kraft treten.
Ob dieser Zeitplan aufgeht, ist offen. Wie schon der 2010 gescheiterte Entwurf wird auch das aktuelle Vorhaben Anlass zu politischen Auseinandersetzungen geben. Ob es Gesetz wird oder das Schicksal seiner vielen Vorgänger teilt, bleibt daher abzuwarten.
Arbeitgeber sollten die gesetzgeberischen Bemühungen weiter beobachten und bei ihrem Umgang mit Beschäftigtendaten die jetzt schon geltenden Dokumentations- und Transparenzpflichten beachten. Intern dokumentierte rechtliche Begründungen für das eigene Handeln können dabei nicht nur ein Mittel zur Einhaltung der sog. Rechenschaftspflicht sein (Art. 5 Abs. 2 DS-GVO), sondern entfalten bei Nachfragen von Behörden und/oder Beschäftigten auch praktischen Nutzen.