Update zum Beschäftigtendatenschutz: Der neue Referentenentwurf für das Beschäftigtendatengesetz (BeschDG)

Der vorliegende Entwurf sieht vor, ein eigenständiges Gesetz mit vier Kapiteln und 30 Paragrafen außerhalb des BDSG zu schaffen. Während das BDSG weiterhin anwendbar bleibt, wird hierdurch § 26 BDSG aufgehoben. Das BeschDG-E behandelt nicht nur den Schutz von Beschäftigtendaten, sondern soll auch den Einsatz von künstlicher Intelligenz regeln. Hierbei bezieht es sich auf die KI-Verordnung (EU 2024/1689) vom 13. Juni 2024.

Ziel des Referentenentwurfs des Beschäftigtendatenschutzgesetzes ist es, den Schutz der Beschäftigtendaten in der Arbeitswelt zu stärken und gleichzeitig klare Handlungsrichtlinien für Arbeitgeber zu schaffen, um innovative Technologien verantwortungsvoll einzusetzen. Zu den wichtigsten neuen Regelungen gehören:

• Erweiterte Erforderlichkeitsprüfung: Die Zulässigkeit der Datenverarbeitung im Beschäftigungskontext wird im Vergleich zu § 26 BDSG strengeren Verhältnismäßigkeitsprüfungen unterzogen. Die Vorschrift konkretisiert, dass neben dem legitimen Verarbeitungszweck auch Faktoren wie gesetzliche Pflichten, eigene Grundrechtspositionen und ein etwaiges öffentliches Interesse zu berücksichtigen sein können, um die Datenverarbeitung zu legitimieren. Zugleich sind die Eingriffsintensität und die möglichen Folgen der Verarbeitung für die Beschäftigten zu analysieren. Dabei spielen Art, Dauer und Umfang der verarbeiteten Daten sowie der Umstand, ob und wie stark Daten verknüpft werden, eine Rolle.
• Strengere Anforderungen an Einwilligungen: Der Entwurf knüpft an die bisherige Regelung des § 26 Abs. 2 S. 2 BDSG zur Freiwilligkeit der Einwilligung im Beschäftigungskontext an. Danach ist die nötige Freiwilligkeit dann gegeben, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Das BeschDG-E nennt Regelbeispiele, wann solche Vorteile für Beschäftigte bzw. die Verfolgung gleichgelagerter Interessen angenommen werden können.
• Erhöhte Anforderungen bei der Zweckänderung: Datenverarbeitungen dürfen nur unter strengen Bedingungen für andere Zwecke verwendet werden. Insbesondere ist die Verwendung von Daten zur Leistungsbewertung, die ursprünglich für andere Zwecke erhoben wurden, stark eingeschränkt.
• Neues Risikomanagement durch Interessenabwägung: Eine detaillierte Interessenabwägung ist erforderlich, um das Abhängigkeitsverhältnis im Arbeitsrecht zu berücksichtigen. Bei der Verwendung von Technologien wie KI ist eine besondere Prüfung erforderlich, bei der menschliche Aufsicht und erklärbarer Transparenz gewährleistet sein müssen.
• Erweiterte Betroffenenrechte bei KI-Einsatz: Grundsätzlich soll der Einsatz künstlicher Intelligenz, insbesondere zu Profiling-Zwecken, unter Einschränkungen zulässig sein, wobei eine umfassende Durchleuchtung verhindert werden soll. Sofern ein Profiling nicht gemäß Art. 22 DSGVO aufgrund einer ausschließlich automatisieren Datenauswertung ausgeschlossen ist, kann der Arbeitgeber nach dem Entwurf in engen Grenzen Daten bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort und Ortswechsel des Betroffenen nutzen. Beschäftigte haben das Recht auf Information über den Einsatz von KI und Profiling sowie Auskunft über die Funktionsweise von KI-Systemen und die Schutzmaßnahmen.
• Striktere Regelungen zur Überwachung: Compliance-Investigations, Videoüberwachung, GPS-Ortung und andere Überwachungsmaßnahmen sind streng reglementiert. Verdeckte Überwachung ist nur bei Verdacht auf Straftaten zulässig, und die Leistungsüberwachung ist generell untersagt.
• Verwertungsverbot für unrechtmäßig erlangte Beschäftigtendaten: Bisher wurde in der Rechtsprechung die Auffassung vertreten, dass in gerichtlichen Verfahren nur in Einzelfällen unrechtmäßig erlangte Daten nicht verwendet werden können. Nun soll jedoch ein umfassendes Verwertungsverbot für Beschäftigtendaten eingeführt werden, die unrechtmäßig verarbeitet wurden. Der Begriff "unrechtmäßig" ist jedoch nicht näher konkretisiert oder eingeschränkt, was bedeuten könnte, dass auch geringfügige Datenschutzverstöße darunterfallen könnten. Dieses Verbot soll jedoch nur für gerichtliche Verfahren gelten, in denen es um die Rechtmäßigkeit einer personellen Maßnahme des Arbeitgebers geht, z. B. in Kündigungsschutzprozessen. Schadensersatz- oder Herausgabeklagen sollen davon jedoch ausgenommen sein.
• Mitbestimmung des Betriebsrats: Der Betriebsrat erhält erweiterte Mitbestimmungsrechte, insbesondere bei der Bestellung und Abberufung von Datenschutzbeauftragten sowie beim Einsatz von neuen Technologien wie KI.
• Datentransfer zwischen Konzerngesellschaften: Der Entwurf sieht eine Regelung vor, die Rahmenbedingungen und zulässige Zweckbindungen einer Offenlegung von Beschäftigtendaten gegenüber anderen Konzernunternehmen bestimmt, soweit es sich hierbei um Konzerngesellschaften in der Europäischen Union handelt. Drittstaatkonzerngesellschaften werden hiervon nicht umfasst, weshalb in diesem Zusammenhang weiterhin erhebliche Rechtsunsicherheiten hinsichtlich der Zulässigkeit eines Datentransfers bestünden.

Auch wenn abzuwarten ist, ob diese Regelungen über den weiteren Gesetzgebungsprozess Bestand haben werden, steht nach der Entscheidung des EuGH fest, dass Neuerungen im Bereich des Beschäftigtendatenschutzes mittelfristig bevorstehen. Arbeitgeber sollten daher schon jetzt ihr bestehendes Vertragswerk und ihre betrieblichen Abläufe einer umfassenden datenschutzrechtlichen Überprüfung unterziehen, insbesondere in Bezug auf Bewerbungsverfahren, Leistungskontrollen, digitale Arbeitszeiterfassungssysteme oder Videoüberwachungssysteme. Auch die allgemeinen Datenschutz-Compliance-Prozesse, wie der Umgang mit Whistleblowing-Systemen und dem Datentransfer zu Konzerngesellschaften, müssen an kommende Neuregelungen angepasst werden.