Beschäftigtendatenschutz und KI: Welche Anforderungen zukünftig auf Unternehmen zukommen und wie sie sich schon jetzt optimal darauf vorbereiten können.
Ziele und Hintergrund des Beschäftigtendatengesetzes
Die Bundesregierung hat einen Referentenentwurf für das „Gesetz zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt“ (Beschäftigtendatengesetz – BeschDG) vorgestellt. Es soll klare und verbindliche Regeln für den Umgang mit Beschäftigtendaten schaffen – eine lang erwartete Initiative. Im Fokus steht, die Datenschutzrechte von Arbeitnehmern zu stärken und gleichzeitig Unternehmen Rechtssicherheit im Umgang mit modernen Technologien zu bieten.
Der Entwurf beinhaltet insbesondere Vorschriften zur Nutzung datengetriebener Technologien, wie Künstlicher Intelligenz (KI). Arbeitnehmer sollen besser vor unzulässigen Eingriffen in ihre Privatsphäre geschützt werden. Unternehmen sollen durch diese Vorgaben leichter erkennen können, wie sie neue Technologien datenschutzkonform einsetzen.
Warum braucht es ein neues Gesetz?
Bisher ist der Beschäftigtendatenschutz nur abstrakt in der Datenschutz-Grundverordnung (DSGVO) geregelt. Zwar hat der deutsche Gesetzgeber mit § 26 Bundesdatenschutzgesetz (BDSG) eine nationale Regelung für die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses geschaffen. Diese ist aber nach Ansicht des Bundesarbeitsgerichts (BAG) infolge einer Entscheidung des Europäischen Gerichtshofs (EuGH) von März 2023 über eine inhaltlich identische Vorschrift des Hessischen Datenschutz- und Informationsfreiheitsgesetzes nur noch zum Teil anwendbar.
Aus diesem Grund wurde häufig gefordert, den Beschäftigtendatenschutz gesetzlich neu zu regeln. Der BeschDG-Entwurf soll nun einen klaren und einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Beschäftigtendaten festlegen.
Kritik und Unsicherheiten
Der Entwurf stößt jedoch nicht nur auf Zustimmung. Kritiker bemängeln unklare Formulierungen sowie eine unzureichende Anpassung an die praktische Arbeitswelt. In seiner aktuellen Fassung wäre der BeschDG-Entwurf wahrscheinlich keine Bereicherung für die digitale Arbeitswelt. Hinzu kommt die politische Unsicherheit, die durch den Bruch der Ampelkoalition entstanden ist. Dies könnte die Verabschiedung des Gesetzes verzögern oder seinen Inhalt beeinflussen.
Warum Arbeitgeber jetzt handeln sollten:
Mit Blick auf die aktuelle Gesetzeslage und die Entscheidung des EuGH sind trotz der Kritik und politischen Unsicherheit mittelfristig neue Regelungen für den Beschäftigtendatenschutz absehbar. Denn die Forderungen einer umfassenden Regelung des Beschäftigtendatenschutzes bleiben bestehen. Der Referentenentwurf könnte in der kommenden Legislaturperiode eine Renaissance erfahren. Die zentralen Regelungen des BeschDG-Entwurfs bieten daher bereits jetzt eine Orientierung, um interne Prozesse anzupassen. Eine frühzeitige Vorbereitung kann helfen, rechtliche Risiken zu minimieren und für die künftigen Entwicklungen im Beschäftigtendatenschutz gewappnet zu sein.
Im Folgenden gegeben wir Ihnen einen Überblick über die wichtigsten Regelungen des BeschDG-Entwurfs:
Grundlagen der Datenverarbeitung: Klare Zweckbindung (§ 3 BeschDG-E)
Ein grundlegendes Prinzip des Beschäftigtendatenschutzes ist die Zweckbindung. Unternehmen dürfen personenbezogene Daten von Beschäftigten nur verarbeiten, wenn ein klar definierter Zweck vorliegt. Dazu gehören unter anderem:
- Die Vertragserfüllung, wie etwa die Verarbeitung von Kontodaten für Gehaltszahlungen,
- Die Einhaltung gesetzlicher Vorgaben, wie im Bereich der Arbeitssicherheit und -medizin,
- Der Schutz berechtigter Interessen, beispielsweise bei der Abwehr von Straftaten.
Eine Verarbeitung auf Vorrat ohne konkreten Verwendungszweck ist ausdrücklich untersagt. Zudem müssen Arbeitgeber sicherstellen, dass erhobene Daten nicht für andere Zwecke verwendet werden, es sei denn, die Beschäftigten haben ausdrücklich zugestimmt.
Der Entwurf des BeschDG greift dieses Grundprinzip auf und nennt zahlreiche Regelbeispiele für legitime Verarbeitungszwecke. Daneben wird auch konkretisiert, welche Beschäftigtendaten zu welchem Zweck zulässigerweise verarbeitet werden dürfen.
Erweiterte Anforderungen an die Erforderlichkeit (§ 4 BeschDG-E)
Im Vergleich zu § 26 BDSG unterläge die Zulässigkeit der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis nach dem Entwurf des BeschDG einer strengeren Verhältnismäßigkeitsprüfung. Neben einem legitimen Verarbeitungszweck sind auch gesetzliche Vorgaben, eigene Grundrechtspositionen und ein potenzielles öffentliches Interesse in die Bewertung einzubeziehen. Zu berücksichtigen wären in der Interessenabwägung darüber hinaus auch die Intensität des Eingriffs und die Risiken für die Rechte und Interessen für die betroffenen Beschäftigten. Kriterien dafür sollen dem Entwurf nach unter anderem Art und Umfang der Beschäftigtendaten sowie Dauer, Häufigkeit, Art, Mittel und Umstände der Verarbeitung.
Beachtenswert ist auch, dass die Erwartungen der Beschäftigten an den Umgang mit ihren Daten durch den Arbeitgeber und Berücksichtigung der im Beschäftigungsverhältnis bestehenden besonderen Schutz- und Fürsorgepflichten heranzuziehen wären. Beim Einsatz von KI-Systemen könnte mit einbezogen werden, wie transparent und nachvollziehbar deren Funktionsweise ist.
Handlungsempfehlung:
Arbeitgeber sollten sich auf strengere Anforderungen an die Prüfung der Verhältnismäßigkeit der Verarbeitung von Beschäftigtendaten vorbereiten. Insbesondere beim Einsatz von KI-Systemen ist es ratsam bereits jetzt geplante Transparenz und Dokumentationspflichten im Auge zu behalten.
Einwilligung: Strengere Anforderungen an die Freiwilligkeit (§ 5 BeschDG-E)
Der Entwurf greift die Regelung des deutschen Gesetzgebers aus § 26 Abs. 2 S. 2 BDSG auf, wonach die Einwilligung im Beschäftigungskontext vorliegt, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen.
§ 5 BeschDG-E nennt Beispiele, in denen regelmäßig von der Freiwilligkeit der Einwilligung ausgegangen werden kann (z.B. die Aufnahme in einer Bewerberdatenbank, wenn die Einwilligung nach der Beendigung eines erfolglosen Auswahlverfahrens erteilt wird).
Kollektivvereinbarungen: Einbindung in den Beschäftigtendatenschutz (§ 7 BeschDG-E)
Der Entwurf sieht vor, dass Regelungen zum Schutz der Beschäftigtendaten auch in Kollektivvereinbarungen getroffen werden dürfen. Allerdings dürfen diese Regelungen nicht zulasten der Beschäftigten von den gesetzlichen Anforderungen an den Datenschutz abweichen. Insbesondere sollen Kollektivvereinbarungen nicht die Zulässigkeit der Verarbeitung von Beschäftigtendaten festlegen dürfen.
Handlungsempfehlung:
Sofern Arbeitgeber abweichende Regelungen zum Beschäftigtendatenschutz in Kollektivvereinbarungen getroffen haben, sollten sie diese einer näheren Prüfung unterziehen.
Zweckänderung: Strengere Vorgaben (§ 8 BeschDG-E)
Eine Verarbeitung von Beschäftigtendaten zu einem anderen als dem ursprünglichen Zweck soll nur unter engen Voraussetzungen zulässig sein. Dies soll neben einer Einwilligung der Beschäftigten auch dann der Fall sein, wenn der neue Zweck mit dem Ursprungszweck vereinbar und auch der neue Verarbeitungszweck zulässig ist. Die Prüfung der Vereinbarkeit der Zwecke wird jedoch an strenge Anforderungen geknüpft.
Handlungsempfehlung:
Arbeitgeber sollten sicherstellen, dass die Nutzung der Daten mit dem ursprünglichen Verwendungszweck übereinstimmt oder andernfalls die Vereinbarkeit der Zwecke überprüfen.
Schutzmaßnahmen: Gesteigerte Pflichten des Arbeitgebers (§ 9 BeschDG-E)
Arbeitgeber müssen geeignete und besondere Maßnahmen treffen, um die Einhaltung der gesetzlichen Anforderungen an den Datenschutz sicherzustellen sowie die menschliche Würde, die berechtigten Interessen und die Grundrechte der Beschäftigten zu wahren.
Beschäftigtendaten, insb. Personalakten sollen verschlüsselt oder durch Authentifizierungsverfahren gesichert werden. Der Zugriff auf die Daten muss beschränkt und nachvollziehbar gemacht werden. Es muss also nachvollziehbar sein, wer die Daten erstellt, verändert oder gelöscht hat. Soweit möglich sollen Beschäftigtendaten pseudonymisiert werden.
Die technischen und organisatorischen Maßnahmen sollen laut Entwurf in regelmäßigen Verfahren überprüft, bewertet und evaluiert werden. Darüber hinaus ist vorgesehen, die Interessenvertretung von Beschäftigten bei der Gestaltung und Überprüfung von Verarbeitungsvorgängen oder Schutzmaßnahmen sowie freiwillig einen Datenschutzbeauftragen einzubinden.
Beim Einsatz von KI-Systemen können nach dem Entwurf noch weitere Maßnahmen erforderlich sein. Dazu gehören z.B. eine regelmäßige Evaluierung, welche Ein- und Ausgabedaten relevant und erforderlich sind, die weitgehende Anonymisierung der durch die KI-Systeme erzeugten Ergebnisse sowie eine Überprüfung des KI-Systems auf diskriminierende und unrichtige Ergebnisse.
Die hohe Schutzbedürftigkeit besonderer Kategorien von Beschäftigtendaten i.S.d. Art. 9 Abs. 1 DSGVO ist bei der Auswahl und der Umsetzung von Schutzmaßnahmen besonders zu berücksichtigen
Handlungsempfehlung:
Arbeitgeber sollten ihre bestehenden technischen und organisatorischen Maßnahmen überprüfen und IT-Systeme für Verschlüsselung, Pseudonymisierung und Zugriffsprotokollierung vorbereiten. Beim Einsatz von KI-Systemen sollte bereits jetzt darauf geachtet werden, Daten weitestgehend zu anonymisieren und erzeugte Ergebnisse gegen zu prüfen.
Betroffenenrechte: Erweiterte Informationspflichten (§ 10 BeschDG-E)
Nach dem Entwurf hat der Arbeitgeber den Beschäftigten auf Verlangen die wesentlichen Erwägungen der Interessenabwägung nach § 4 BeschDG-E darzulegen.
Bei der Verwendung von KI-Systemen muss der Arbeitgeber spätestens mit Beginn der Verarbeitung über den Einsatz der KI informieren. Er muss den Beschäftigten die Funktionsweise des KI-Systems sowie die Funktion der verarbeiteten Beschäftigtendaten innerhalb des KI-Systems mitteilen und darüber aufklären, welche Schutzmaßnahme er getroffen hat.
Handlungsempfehlung:
Sofern Arbeitgeber KI-Systeme einsetzen sollten sie sich bereits jetzt auf entsprechende Informationspflichten vorbereiten und Schutzmaßnahmen dokumentieren.
Verwertungsverbot für datenschutzrechtswidrig verarbeitete Daten (§ 11 BeschDG-E)
Der Entwurf sieht vor, dass datenschutzrechtswidrig verarbeitete Beschäftigtendaten in einem gerichtlichen Verfahren über die Rechtmäßigkeit einer auf diese Daten gestützten personellen Maßnahme nicht verwertet werden dürfen. Damit würde die bisher in der Rechtsprechung vertretene Auffassung, dass unrechtmäßig erlangte Daten nur in Einzelfällen nicht verwendet werden können, wohl nicht weiter vertretbar sein.
Unklar ist, ob auch bereits geringfügige Verstöße gegen das Datenschutzrecht ein umfassendes Verwertungsverbot begründen sollen.
Jedenfalls soll das Verwertungsverbot dann nicht gelten, wenn das Interesse des Arbeitgebers an der gerichtlichen Verwertung gegenüber dem allgemeinen Persönlichkeitsrecht des Beschäftigten offensichtlich weit überwiegt.
Der Entwurf eröffnet auch die Möglichkeit ein Verwertungsverbot in Kollektivvereinbarungen zu regeln.
Betriebsrat: Mitbestimmungsrecht bei der Bestellung und Abberufung von Datenschutzbeauftragten (§ 12 BeschDG-E)
Nach § 12 BeschDG-E soll der Betriebsrat ein Mitbestimmungsrecht bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten bekommen. Für den Fall, dass eine Einigung nicht zustande kommt, soll die Einigungsstelle nach § 76 BetrVG entscheiden.
Datenverarbeitung im Vorfeld der Beschäftigung (§§ 13-17 BeschDG-E)
Vor Begründung eines Beschäftigungsverhältnisses ist die Verarbeitung von Beschäftigtendaten zulässig, soweit sie für die Eignungsfeststellung des Beschäftigten oder zur Erfüllung gesetzlicher Pflichten des Arbeitgebers erforderlich ist und der Arbeitgeber ein überwiegendes Interesse an der Verarbeitung hat.
Ähnliches gilt auch für das Fragerecht des Arbeitgebers und Gesundheitsuntersuchungen vor Begründung eines Beschäftigungsverhältnisses. Damit wird die Informationsgewinnung des Arbeitgebers auf ein notwendiges Maß beschränkt, was dem Grund nach nicht neu ist. Bemerkenswert ist allerdings, dass der Entwurf eine Erweiterung der gesetzlichen Verarbeitungsbefugnisse durch Einwilligung in Bezug auf das Fragerecht ausdrücklich untersagt.
Kommt ein Beschäftigungsverhältnis nicht zustande, sieht der Entwurf eine verkürzte Löschfrist von drei Monaten vor. Dies gilt nicht, wenn eine längere Speicherung wegen eines bereits laufenden oder wahrscheinlich bevorstehenden Rechtsstreits erforderlich ist. Zieht ein Bewerber seine Bewerbung zurück, sind die Daten unverzüglich zu löschen.
Willigt der Bewerber in die Aufnahme in eine Bewerberdatenbank ein, dürfen die Daten weiter gespeichert und verarbeitet werden.
Überwachung am Arbeitsplatz: Strenge Vorgaben und Grenzen (§§ 18-23 BeschDG-E)
Die Überwachung am Arbeitsplatz soll durch den Entwurf strenger geregelt werden. Überwachungsmaßnahmen waren weiterhin nur zu legitimen Zwecken zulässig, beispielsweise der Schutz der Gesundheit und Sicherheit von Beschäftigten oder der Verhütung und Aufdeckung von Straftaten. § 18 BeschDG-E benennt eine Reihe von Aspekten, die im Rahmen der notwendigerweise bei Überwachungsmaßnahmen stets durchzuführenden Interessenabwägung zu berücksichtigen wären. Aus Überwachungsmaßnahmen erlangte Beschäftigtendaten – so der Gesetzesentwurf – wären streng zweckgebunden und dürften nicht zur Leistungskontrolle weiterverarbeitet werden.
An längere Überwachungsmaßnahmen würden noch strengere Vorgaben geknüpft. Der Entwurf sieht vor, dass diese nur zum Schutz von Leib und Leben der Beschäftigten oder Dritten oder zur Wahrung besonders wichtiger betrieblicher Interessen zulässig wären. Vor der Durchführung der Überwachungsmaßnahmen ist der Datenschutzbeauftragte einzubeziehen.
Im Falle verdeckter Überwachung müsste der Beschäftigte – wie auch bisher überwiegend angenommen – nicht informiert werden, soweit und solange dies der Aufdeckung von Straftaten dient und keine anderen Möglichkeiten bestehen.
Auch an die Zulässigkeit einer Videoüberwachung sollen gesteigerte Anforderungen gestellt werden. Legitime Zwecke wären dann insbesondere die Verhütung und Aufdeckung von Straftaten sowie Zutrittskontrollen und die Sicherung von Anlagen sein. Bei der technischen Umsetzung wäre nach dem Entwurf zu beachten, dass Tonaufnahmen nicht erlaubt und Bereiche und Personen, die für die Zweckerfüllung nicht erforderlich sind, auszublenden oder unkenntlich zu machen wären. Aufnahmen wären spätestens nach 72 Stunden zu löschen, wenn nicht die Gründe für eine weitere Speicherung dokumentiert werden.
Ähnlich strikt sind die geplanten Vorgaben für die Ortung von Beschäftigten. Legitime Zwecke für eine Ortung könnten nach dem Entwurf z.B. die Erfüllung gesetzlicher Pflichten, die Wahrung betrieblicher Interessen oder der Schutz der Gesundheit und Sicherheit von Beschäftigten sein. Ortungsmaßnahmen müssten für die Beschäftigten erkennbar und bei privater Überlassung des ortungsfähigen Gegenstands abschaltbar sein.
Handlungsempfehlung:
Arbeitgeber müssen bei Überwachungsmaßnahmen die strenge Zweckbindung beachten, also insbesondere Verarbeitungszwecke von Beginn an langfristig planen. Sie sollten bereits jetzt technische Lösungen implementieren, die den – früher oder später geltenden – gesteigerten Anforderungen an den Schutz der Beschäftigtendaten gerecht werden.
Profiling: Umfassende Rechte für Beschäftigte (§§ 24-27 BeschDG-E)
Der Entwurf sieht eine Reihe von Pflichten für Arbeitgeber und damit einhergehende Rechte für Beschäftigte vor.
Spätestens mit Beginn des Profilings sind Beschäftigte umfassend darüber zu informieren. Über die Pflichten aus Art. 13 und 14 DSGVO müsste der Arbeitgeber dem Beschäftigten mitteilen, zu welchem Zweck und auf welcher Grundlage das Profiling stattfindet, welche Kategorien von Eingabedaten verwendet werden und ob ein KI-System eingesetzt wird. Informieren müsste er auch über die beim Profiling involvierte Logik und über die Tragweite der auf dem Profiling beruhenden Entscheidung.
Gleichzeitig sollen Beschäftigten dem Entwurf nach umfassende Auskunftsrechte erhalten, die über die Rechte aus Art. 15 DSGVO hinausgehen.
Auf Profiling beruhende Entscheidungen, die gegenüber den Beschäftigten rechtliche Wirkung entfalten oder sie in ähnlicher Weise beeinträchtigen, müsste der Arbeitgeber – so der Gesetzesentwurf – besonders erklären und auf Verlangen des Beschäftigten überprüfen.
Handlungsempfehlung:
Arbeitgeber sollten bereits jetzt die Funktionsweise und Logik der von ihnen eingesetzten Systeme und Algorithmen genau kennen und dokumentieren um auf gesteigerte Informationspflichten und Transparenzvorgaben vorbereitet zu sein.
Datentransfer im Konzern: Berechtigtes Interesse (§ 30 BeschDG-E)
Auch wenn die DSGVO kein Konzernprivileg kennt, besteht für die Weitergabe der Daten in einer Unternehmensgruppe ein verbreitetes praktisches Bedürfnis. Für die Weitergabe innerhalb des Konzerns kann aber mitunter ein berechtigtes Interesse bestehen.
Der Entwurf greift diesen Aspekt auf und sieht eine Reihe von Anwendungsfällen vor, in denen in der Regel ein solches berechtigtes Interesse bestehen könnte, beispielweise beim unternehmensübergreifenden Einsatz von Beschäftigten oder einer durch ein Konzernunternehmen zentralisiert wahrgenommenen konzerninternen Verwaltungsaufgabe.
Die vorgesehene Regelung würde allerdings nicht die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe an ein Unternehmen in einem Drittland erfassen.
An der bestehenden Rechtslage würde sich durch die vorgesehene Regelung des BeschDG-E wenig ändern. Die Zulässigkeit der Übermittlung personenbezogener Daten innerhalb eines Konzern wäre nach wie vor von einer Einzelfallprüfung abhängig.
Autor: Nicolas Fischer
Autor
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
