Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
Auf der Zielgeraden? Teil 2: Entwicklungen in Sachen Beschäftigtendatenschutz - Gibt es bald ein neues Beschäftigtendatenschutzgesetz in Deutschland?
Montag, 03. Juli 2023
Eine Neuregelung des Beschäftigtendatenschutzes haben sich schon mehrere Bundesregierungen auf die Fahnen bzw. in den Koalitionsvertrag geschrieben - so auch die Ampelkoalition. Noch haben wir kein neues Gesetz, die Planungen werden aber immer konkreter.
Bevor wir schauen, was in der aktuellen Legislaturperiode zum Beschäftigtendatenschutz in der Planung ist, schauen wir zunächst kurz auf die letzte Legislaturperiode zurück.
Das Bundesministerium für Arbeit und Soziales hatte entsprechend des Auftrags der letzten Bundesregierung (aus dem Koalitionsvertrag vom 7. Februar 2018 für die 19. Legislaturperiode) einen interdisziplinären Beirat zum Beschäftigtendatenschutz einberufen, der im Juni 2020 seine Arbeit aufnahm. Der Beirat stellte im Januar 2022 seinen Abschlussbericht fertig. In diesem Abschlussbericht fasste der Beirat Thesen und Empfehlungen zur Fortentwicklung des Beschäftigtendatenschutzes zusammen. Auf Seite 4 des Berichts stellte der Beirat im Hinblick auf die Digitalisierung der Arbeitswelt hierbei Folgendes fest: „Die dynamische Entwicklung der neuen Informations- und Kommunikationstechnologien sorgt dafür, dass in den Betrieben und Verwaltungen immer mehr und immer detailliertere Datensätze entstehen, die - verbunden mit neuen Möglichkeiten ihrer Verknüpfung und Auswertung - Chancen für eine effizientere und menschengerechte Gestaltung der Arbeitsorganisation bieten. Zugleich ermöglichen diese Daten aber auch eine zunehmende Leistungsverdichtung sowie eine intensivere Kontrolle und Überwachung bis hin zu einer Durchleuchtung der Beschäftigten. Für beide Seiten - für die Beschäftigten wie für die Arbeitgeber - kann diese Entwicklung demnach einerseits klare Vorteile mit sich bringen: Arbeit kann durch digitale Unterstützung einfacher und weniger belastend sowie effizienter und kostengünstiger organisiert werden. Andererseits birgt die digitale Transformation für die Beschäftigten aber auch erhebliche Risiken, insbesondere im Hinblick auf ihre Persönlichkeitsrechte: Die feinkörnige Steuerung betrieblicher Prozesse lässt vielfach entsprechend detaillierte, auf die einzelnen Beschäftigten bezogene Datensätze entstehen, wodurch das Risiko einer immer umfassenderen Transparenz und Überwachung von Leistung und Verhalten der Arbeitnehmerinnen und Arbeitnehmer zunimmt. Es gilt, den ‚Gläsernen Beschäftigten‘ zu verhindern.“
Nachdem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) in der Vergangenheit bereits mehrfach zur Regelung eines neuen Beschäftigtendatenschutzgesetzes aufgefordert hatte, reagierte die DSK auf den Abschlussbericht des Beirats am 29. April 2022 mit einer weiteren Entschließung. Die Überschrift der Entschließung lautete „Die Zeit für ein Beschäftigtendatenschutzgesetz ist ‚Jetzt‘!“ und sagt eigentlich schon alles. In der Entschließung äußerte die DSK auf Seite 1, dass § 26 Bundesdatenschutzgesetz („BDSG“), der die Verarbeitung von Beschäftigtendaten regelt, als Generalklausel formuliert sei und damit weite Interpretationsspielräume eröffne.
Mit der Ansicht, dass § 26 BDSG keine spezifischen Regelungen enthalte, ist die DSK nicht allein. Gewichtige Unterstützung erhielt sie nunmehr im März dieses Jahres von keinem Geringeren als dem Europäischen Gerichtshof („EuGH“). Der EuGH hatte über eine Vorlagefrage im Zusammenhang mit einer Regelung des hessischen Landesrechts zu entscheiden, welche wortgleich mit der Regelung des § 26 BDSG ist. In seinem Urteil vom 30.03.2023 (Az. C-34/21) stellte der EuGH fest, dass die deutsche Regelung gegenüber den Vorschriften der EU-Datenschutzgrundverordnung („DSGVO“) keine spezifischere Vorschrift darstelle. Die DSGVO lasse in der Öffnungsklausel des Art. 88 DSGVO jedoch nur eben solche spezifischeren nationalen Regelungen zu. Art. 88 Absatz 1 DSGVO lautet: „Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext (…) vorsehen.“
Nach Aussage des EuGHs dürfe sich eine nationale Regelung nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken (Rn. 81). Für den Fall, dass das nationale Gericht zu der Feststellung gelange, dass die nationale Regelung diese Anforderung nicht erfülle, sei diese Regelung unangewendet zu lassen (Rn. 82). Für die Datenverarbeitungen im Beschäftigtenkontext seien dann die DSGVO-Regelungen anzuwenden (Rn. 84).
Die Stimmen derjenigen, die die Schaffung eines zeitgemäßen Beschäftigtendatenschutzgesetzes fordern, wurden nach dem EuGH-Urteil umso lauter. Wie aber ist es aktuell um den Stand eines neuen Beschäftigtendatenschutzes bestellt?
Im April gingen das Bundesministerium für Arbeit und Soziales („BMAS“) und das Bundesministerium für Inneres und Heimat („BMI“) auf Grundlage eines Positionspapiers in den Dialog mit Verbänden, Aufsichtsbehörden und weiteren relevanten Akteuren. Nach dem Positionspapier des BMAS und des BMI (aktuell nicht veröffentlicht) sollen u. a. folgende Themen im Hinblick auf ein neues Beschäftigtendatenschutzgesetz untersucht und bestenfalls geregelt werden:
- klare Grenzen/Einschränkungen für Überwachungs- und Kontrollmöglichkeiten,
- Regelungen zum Einsatz von Künstlicher Intelligenz,
- Regelungen zum Schutz im Bewerbungsverfahren,
- konkrete Regelungen für die Zulässigkeit der Verarbeitung sensibler Daten,
- klare Regelungen/Anforderungen für (wirksame) Einwilligungen,
- konkrete Regelungen für konzerninterne (zulässige) Datenübermittlungen,
- spezifische Regelungen zu den Betroffenenrechten zur Stärkung der Beschäftigten,
- Regelungen zur Nutzung privater Geräte zu dienstlichen Zwecken,
- Stärkung der Mitbestimmungsrechte der Betriebsräte,
- Klarstellung der Regelung von Datenverarbeitungen durch Betriebsvereinbarungen,
- Interessenabwägungen für klassische Datenverarbeitungen im Beschäftigtenkontext.
Mit einem ersten Referentenentwurf zum Beschäftigtendatenschutzgesetz ist voraussichtlich zum Ende des Sommers bzw. wohl spätestens im Herbst zu rechnen. Dann wird sich zeigen, worauf sich Unternehmen im Hinblick auf die zuvor genannten Themen in etwa einstellen können.
Was aber - falls noch nicht geschehen - sollten Unternehmen im Hinblick auf das oben genannte EuGH-Urteil und vor dem Hintergrund eines sich noch hinziehenden Gesetzgebungsverfahrens bis dato tun? Die hamburgische Aufsichtsbehörde äußerte sich Anfang April insoweit wie folgt: „Dokumente wie Datenschutzinformationen, Verarbeitungsverzeichnisse und Einwilligungstexte sind gegebenenfalls anzupassen, indem aktualisierte Rechtsgrundlagen aufgeführt werden. In Anbetracht der neuen, klärungsbedürftigen Rechtslage wird es angebracht sein, dies nicht zu überstürzen, sondern Positionierungen der Datenschutzkonferenz des Bundes und der Länder und ggfs. der Gerichte abzuwarten.“
Eine Handreichung dazu, auf welche Rechtsgrundlagen die Datenverarbeitungen nunmehr gestützt werden können, stellt die hessische Aufsichtsbehörde auf ihrer Webseite zur Verfügung („Handreichung zur Verarbeitung personenbezogener Daten von Beschäftigten im Lichte des EuGH-Urteils vom 30. März 2023 Rs. C-34/21“).
