Personenbezogene Daten der Angestellten müssen unter der Einhaltung der Vorgaben der Datenschutzgrundverordnung (DS-GVO) sowie des Bundesdatenschutzgesetzes (BDSG) gehandhabt werden. Durch den aktuellen Referentenentwurf zum Beschäftigtendatengesetz (BeschDG) entstehen Neuerungen, die für Arbeitgeber und Arbeitnehmer von Relevanz sind. Ziel ist es, den Datenschutz im Arbeitsverhältnis zu verbessern und den Angestellten einen umfassenden Schutz in der digitalen Arbeitswelt zu gewährleisten.
Zusammenfassung der Neuerungen durch das Beschäftigtendatengesetz (BeschDG):
- Neues Risikomanagement: Es ist verpflichtend detaillierte Interessenabwähungen durchzuführen, um das Abhängigkeitsverhätnis im Arbeitsrecht zu prüfen. Dies gilt verstärkt für die Nutzung und Implentierung von Technologien und KI. Hier ist die Schaffung von nachvollziehbarer Transparenz als auch eine Überprüfung durch menschliche Aufsicht nötig.
- Mitbestimmungsrechte des Betriebsrats: Betriebsräte verfügen über erweiterte Mitbestimmungsrechte beim Einsatz von KI und neuer Technologien als auch bei der Bestellung und Berufung von Datenschutzbeauftragten.
- Verstärkte Erforderlichkeitsprüfung: Für die im § 26 BDSG geforderte Zulässigkeit der Datenverarbeitung bei Daten der Beschäftigten werden striktere Verhältnismäßigkeitsprüfungen durchgeführt. Dabei werden die schutzwürdigen Interessen der Beschäftigten stärker berücksichtigt.
- Steigendes Maß an Anforderungen bei Zwecksänderungen: Daten dürfen zu anderen Zwecken nur noch unter strengeren Bedingungen verwendet werden. Besonders dann, wenn der ursprüngliche Zweck der Datenerhebung von der Nutzung abweicht oder für die Leistungsbewertung genutzt werden soll, darf dies nur unter strengen Regeln stattfinden.
- Erweiterte Rechte für Beschäftigte beim Einsatz von KI: Beschäftigte müssen über den Einsatz von KI und Profiling informiert werden. Sie haben das Recht über die Funktionsweise der KI-Systeme und die dazugehörigen Schutzmaßnahmen informiert zu werden.
- Spezialregelungen bei Art. 6 DS-GVO: Die neuen Regelungen enthalten spezifische Vorschriften gemäß Art. 88 Abs. 1 und 2 DS-GVO und konkretisieren die Grundsätze der Verarbeitung aus Art. 6 DS-GVO. In der Zukunft könnte die Möglichkeit, sich auf den Rückgriff auf die allgemeine Rechtfertigungsgrundlage der Verarbeitung aus berechtigtem Interesse in Art. 6 Abs. 1 lit. f DS-GVO im Beschäftigungskontext zu beziehen, stark begrenzt sein.
- Neue Löschfristen für Bewerberdaten: Die bisherige Löschfrist von etwa 6 Monaten für personenbezogene Daten der Bewerber soll nun auf 3 Monate verkürzt werden. Somit müssen die Daten spätestens 3 Monate nach der Entscheidung einer Nichtanstellung gelöscht werden, sollten keine laufenden Rechtsstreitigkeiten vorhanden sein. Die Zustimmung des Betroffenen muss vom Arbeitgeber eingeholt werden, sollten die Daten länger aufbewahrt werden.
- Strikte Überwachungsvorschriften: Es gelten strenge Regeln für Compliance-Prüfungen und Überwachungsmaßnahmen wie unteranderem GPS-Ortung und Videoüberwachung. Verdeckte Überwachung ist nur in Fällen von Verdacht auf Straftaten gestattet. Leistungsüberwachung ist generell untersagt.
- Verwertungsverbot: Es ist untersagt sämtliche Daten, die in Verletzung des Datenschutzgesetzes erlangt wurden in arbeitsrechtlichen Verfahren zu verwenden. Verwertungsverbote können auch in Betriebsvereinbarungen festgelegt werden.
Die neuen Regelungen stärken den Schutz der Beschäftigten, erfordern jedoch von Unternehmen einen höheren Aufwand insbesondere durch die Anforderungen mit dem Umgang mit neuen Technologien und Überwachungsmaßnahmen. Sie sind zunehmend dazu gezwungen, die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung zu überprüfen als auch die entsprechende Dokumentation und Erläuterung gegenüber den Betroffenen zu erarbeiten.
Fazit:
Der Enwurf des BeschDG geht in seiner Regulierung deutlich über das hinaus, was 2023 im Positionspapier von BMAS/BMI und den DSK-Empfehlungen aus 2022 geplant war. Die Notwendigkeit eines eigenständigen und praktisch umsetzbaren BeschDG ist zwar eindeutig, dennoch könnte die Innovationsfreiheit durch die zunehmende Regulierungsdichte eingeschränkt werden. Unternehmen könnten nicht nur durch einen steigenden administrativen Aufwand, sondern auch die sinkende Flexibilität der Datenverarbeitungen aufgrund der umfassenden Regelungen eingeschränkt werden. In Fällen, in denen spezifische Regelungen des BeschDG greifen, können Unternehmen möglicherweise nicht mehr mit dem Art. 6 Abs. 1 lit. f DS-GVO argumentieren. Dies würde ebenfalls die Flexibilität der Nutzung von Beschäftigtendaten einschränken. Durch das Verwertungsverbot rechtswidrig erlangter Daten könnte der Missbrauch durch unzulässige Überwachungsmaßnahmen verhindert werden. Noch ist unklar, ob aufgrund der strikten Regelungen des §11 BeschDG unnötige Einschränkungen der Interessen der Arbeitgeber entstehen. Insbesondere dann, wenn geringfügige, datenschutzrechtliche Verstöße zu beträchtlichen Nachteilen der Unternehmen führen können. Die Unsicherheiten in arbeitsrechtlichen Verfahren nehmen somit zu. Im Entwurf des BeschDG ist die Nutzung von KI detailliert geregelt und verweist auf die KI-Verordnung (EU 2024/1689), welche Unternehmen einer doppelten Compliance-Pflicht unterwirft. Auch hier könnte dadurch ein beträchtlicher Mehraufwand entstehen, um die Regelungen des BeschDG einzuhalten als auch die Anforderungen der KI-Verordnung zu erfüllen. Dabei könnte ein potenzieller Konflikt zwischen den Vorschriften entstehen: Es könnten dogmatische und praktische Probleme entstehen als auch neue Schwierigkeiten auftreten da laut der neuen Regelung des erweiterten Mitbestimmungsrechts des Betriebsrates bei Bestellungen und Abrufungen von Datenschutzbeauftragten.
Letztendlich müssen Unternehmen bei ihrem Personaldatenschutzmanagement an die strengeren Vorschriften des BeschDG halten, weshalb viele bereits eingeführte HR-Prozesse und Praktiken bedrohen könnte.
