Werden Arbeitnehmer im Metaverse tätig, stellt sich die Frage, in welchem Umfang Arbeitnehmerdaten vom Arbeitgeber verarbeitet werden dürfen. Interaktionen im Metaverse führen zur Erfassung einer Vielzahl von Daten. Einhergehende Datenverarbeitungen sind nach den bekannten Rechtsgrundlagen zu rechtfertigen.
Datenerfassung im Metaverse
Informationen zu Mimik, Gestik und weiterer physiologischer Reaktionen auf Inhalte und Ereignisse im Metaverse sowie Daten zur Produktivität und Belastbarkeit könnten im Metaverse protokolliert oder durch Verknüpfung von Daten ermittelt werden. Sprache kann aufgezeichnet werden. Selbst die Erfassung von Puls, Blutdruck oder EKG-Werten ist denkbar. Der Gesundheitszustand des Mitarbeiters ließe sich überprüfen. In der Folge könnten bestenfalls frühzeitig Maßnahmen gegen Burn-out o.Ä. ergriffen werden.
Vorgaben des BDSG
§ 26 BDSG findet auf die Datenverarbeitung im Metaverse Anwendung. Gerechtfertigt ist demnach die Verarbeitung von Beschäftigtendaten im Metaverse, wenn sie insbesondere zur Durchführung oder Beendigung des Beschäftigungsverhältnisses (§ 26 I 1 BDSG) bzw. zur Aufdeckung von Straftaten (§ 26 I 2 BDSG) erforderlich ist. Als Zweck der Verarbeitung nennt Art. 88 I DSGVO beispielhaft die Erfüllung des Arbeitsvertrags, die Planung und Organisation der Arbeit, die Gesundheit und Sicherheit am Arbeitsplatz sowie den Schutz des Eigentums des Arbeitgebers oder der Kunden. Unter diese Zweckbestimmung fällt auch die Verhaltens- und Leistungskontrolle der Arbeitnehmer. Als wesentliches Grundprinzip des Datenschutzrechts können personenbezogene Daten im Beschäftigtenkontext daneben auf Grundlage einer Einwilligung des Arbeitnehmers gemäß § 26 II BDSG verarbeitet werden.
Datenverarbeitung im Einzelfall
Die Speicherung von Daten zur Protokollierung virtueller Besprechungen kann der Durchführung des Arbeitsverhältnisses iSd § 26 BDSG dienen. Die Datenverarbeitung ist gesetzlich gerechtfertigt, wenn sie erforderlich ist und das angestrebte Ziel der Verarbeitung nicht auf andere Weise mit ebenso geeigneten Mitteln erreicht werden kann. Die Erforderlichkeit lässt sich begründen, wenn das Metaverse einen zusätzlichen Nutzen hat. Werden im Metaverse die technischen Möglichkeiten genutzt, gemeinsam an dreidimensionalen Modellen Entwicklungs- und Konstruktionsarbeiten zu besprechen, lässt sich der Nutzen leicht erklären. Besprechungen, die sich auch per Telefon- oder Videokonferenz durchführen ließen, könnten datenschutzrechtlich auf den Prüfstand geraten, wenn sie einen solchen Mehrwert nicht hätten. Zusätzlichen Nutzen können Besprechungen im Metaverse bieten, wenn sich Teilnehmer, die keine gemeinsame Sprache haben, die sie auf gleichem Sprachniveau sprechen, mit Hilfe von Spracherkennungs- und Übersetzungsfunktionen austauschen können.
Die Verarbeitung von Gesundheitsdaten erfordert nach § 26 III BDSG hingegen die Erforderlichkeit zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes. Denkbar ist bei der Protokollierung von Gesundheitsdaten im Metaverse jedenfalls eine Heranziehung der arbeitgeberseitigen Pflicht des Arbeits- und Gesundheitsschutzes. Vorsicht ist geboten bei der Aufzeichnung von privaten Gesprächsinhalten. Die Aufnahme des nichtöffentlich gesprochenen Worts ist gemäß § 201 I Nr. 1 StGB grundsätzlich im Falle der fehlenden Einwilligung strafbewehrt. Liegt keine gesetzliche Grundlage vor und erteilt der Arbeitnehmer die Zustimmung nicht oder ist diese rechtlich unwirksam, hat der Arbeitnehmer einen Unterlassungsanspruch sowie in der Folge ggf. Schadensersatzansprüche gegenüber seinem Arbeitgeber.
Mitbestimmung des Betriebsrats
Die Mitbestimmung nach § 87 Abs. 1 Ziff. 6 BetrVG dient der Gestaltung und Begrenzung solcher technischen Kontrollmöglichkeiten. Gesetzliche Vorgaben zum Arbeitnehmerdatenschutz knüpfen an Datenverarbeitungsvorgänge an. Dagegen setzt die Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Ziff. 6 BetrVG an bei der Einführung technischer Einrichtungen. Dies hat zur Konsequenz, dass der Betriebsrat sich der Einführung virtueller Besprechungsräume entgegenstellen kann. Auch wenn dem Betriebsrat bezogen auf die Einhaltung des Datenschutzrechts nach dem Betriebsverfassungsgesetz nur Informationen und Kontrollrechte zustehen, gibt das Mitbestimmungsrecht diesem bei der Einführung technischer Einrichtungen bis zum Abschluss eines Einigungsstellenverfahrens faktisch ein Vetorecht in die Hand. Deshalb liegt es im Interesse des Unternehmens, frühzeitig die Datenschutzkonformität zu klären und Informationen über die Erforderlichkeit der Nutzung und die Verhältnismäßigkeit der Verarbeitung von Arbeitnehmerdaten aufzubereiten. Auf dieser Grundlage lässt sich die Einführung solcher Systeme verhandeln und unter Umständen eine gemeinsame Bewertung zur Datenschutzkonformität dokumentieren.
Fazit
Arbeitgeber werden vor einem Einstieg ins Metaverse zu prüfen haben, welche Daten nach den Vorgaben des BDSG erfasst werden dürfen. Es dürfte dabei insbesondere nach den unterschiedlichen Tätigkeitsfeldern im Metaverse zu differenzieren sein. In kollektivrechtlicher Hinsicht ist ferner das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Ziff. 6 BetrVG zu berücksichtigen.