Beschäftigtendatenschutzgesetz (BeschDG-E) – Neuer Referentenentwurf für mehr Rechtssicherheit? 

Am 8. Oktober 2024 haben das Bundesministerium für Arbeit und Soziales sowie das Bundesministerium des Innern und für Heimat einen Referentenentwurf für ein Beschäftigtendatengesetz (BeschDG-E) veröffentlicht. Der Gesetzesentwurf reagiert auf die lange anhaltende Forderung nach klaren Regelungen im Beschäftigtendatenschutz, die bisher nur teilweise durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) abgedeckt sind. Da sich die Arbeitswelt zunehmend digitalisiert, sollen die spezifischen Datenschutzanforderungen in Beschäftigungsverhältnissen präzisiert und Rechtssicherheit für Unternehmen und Beschäftigte geschaffen werden.

Hintergrund und Notwendigkeit

Die Verarbeitung personenbezogener Daten von Beschäftigten ist ein zentraler Bestandteil im Arbeitsverhältniss. Bereits im Bewerbungsverfahren werden umfangreiche Daten erhoben, darunter persönliche Informationen, Qualifikationsnachweise und gegebenenfalls Ergebnisse von Eignungstests. Während des Beschäftigungsverhältnisses kommen weitere Daten hinzu, insbesondere im Zusammenhang mit Leistungsbewertungen und Verhaltenskontrollen.  

Bisher fehlte es an spezifischen gesetzlichen Regelungen, die diese Datenverarbeitungen umfassend und praxisnah regeln. Zwar erlaubt Artikel 88 der Datenschutz-Grundverordnung (DSGVO) den Mitgliedstaaten, spezifische Vorschriften für den Beschäftigtendatenschutz zu erlassen, jedoch hat Deutschland bislang nur begrenzten Gebrauch davon gemacht. Die zentrale Norm, § 26 Bundesdatenschutzgesetz (BDSG), wurde zudem durch ein Urteil des Europäischen Gerichtshofs vom 30. März 2023 in ihrer Wirksamkeit infrage gestellt, was zu erheblicher Rechtsunsicherheit führte.

Kernpunkte des Referentenentwurfs

Der Entwurf des BeschDG gliedert sich in einen allgemeinen und einen besonderen Teil und umfasst insgesamt 30 Paragraphen. Ziel ist es, klare und handhabbare Regelungen für den Umgang mit Beschäftigtendaten zu schaffen.

Einwilligung im Beschäftigungskontext: Der Entwurf konkretisiert, unter welchen Bedingungen eine Einwilligung der Beschäftigten als freiwillig und somit wirksam gilt. Beispiele hierfür sind die Nutzung von Fotos im Intranet oder die Teilnahme an Gesundheitsprogrammen. Diese Klarstellungen sollen die bisherige Unsicherheit in diesem Bereich reduzieren.

  • Zulässigkeit der Datenverarbeitung und Interessenabwägung: Der Entwurf stellt detaillierte Bedingungen für die Verarbeitung personenbezogener Beschäftigtendaten auf. Neben einer klaren Regelung der rechtlichen Grundlagen fordert der Entwurf für viele Verarbeitungsfälle eine umfassende Abwägung der Interessen von Arbeitgeber und Beschäftigten. Diese Abwägung ist beispielsweise notwendig, selbst wenn die Verarbeitung zur Erfüllung gesetzlicher Pflichten des Arbeitgebers dient. Diese Vorgabe stellt Arbeitgeber vor die Herausforderung, die Gründe für jede Datenverarbeitung sorgfältig zu dokumentieren.
  • Erweiterte Informationsrechte für Beschäftigte: Mit § 10 BeschDG-E sollen Beschäftigte erweiterte Rechte erhalten, sich über die Art und Weise der Datenverarbeitung, insbesondere durch KI-Systeme, zu informieren. Die Informationspflicht gilt auch für die Funktionsweise eingesetzter Systeme, was die Transparenzanforderungen für Arbeitgeber weiter verschärft.
  • Mitbestimmungsrechte des Betriebsrats: Der Entwurf sieht neue Mitbestimmungsrechte des Betriebsrats vor, die sich insbesondere auf die Bestellung und Abberufung von Datenschutzbeauftragten und die Einführung von Überwachungssystemen beziehen. Damit soll der Betriebsrat eine stärkere Rolle im Datenschutz erhalten und sicherstellen, dass die Rechte der Beschäftigten bei der Einführung neuer Technologien gewahrt bleiben.
  • Profiling und Künstliche Intelligenz: Der Entwurf nimmt explizit Bezug auf den Einsatz von KI-gestützten Systemen zur Analyse und Vorhersage von Verhalten. Besonders invasive Anwendungen, wie emotionale Analysen und die Bewertung sozialer Beziehungen, sind grundsätzlich untersagt. Darüber hinaus müssen KI-basierte Profile strenge Interessenabwägungen bestehen, bevor sie zulässig sind.
  • Kollektivvereinbarungen als Verarbeitungsgrundlage: Ein weiterer Aspekt des Entwurfs ist die Behandlung von Kollektivvereinbarungen. Im Gegensatz zur bisherigen Diskussion stellt der Entwurf klar, dass Kollektivvereinbarungen keine eigenständige Grundlage für die Verarbeitung von Beschäftigtendaten sein dürfen, sondern sich an gesetzlichen Erlaubnistatbeständen orientieren müssen. Dies schränkt den Gestaltungsspielraum für Betriebsvereinbarungen erheblich ein.
  • Verwertungsverbot für unrechtmäßig erlangte Daten: Ein wichtiger Punkt ist das Verwertungsverbot von Daten, die datenschutzwidrig erhoben wurden. Dieses Verbot soll in arbeitsgerichtlichen Verfahren zu personellen Maßnahmen, wie Abmahnungen oder Kündigungen, Anwendung finden. Der Gesetzgeber möchte dadurch sicherstellen, dass Datenschutzverstöße nicht durch gerichtliche Verwertungen abgesichert werden. Ausgenommen davon sind jedoch Schadensersatz- und Herausgabeklagen des Arbeitgebers, was zu widersprüchlichen Ergebnissen in der Praxis führen könnte.
  • Überwachung von Beschäftigten: Der Entwurf enthält detaillierte Vorgaben für verschiedene Formen der Überwachung, einschließlich Videoüberwachung und GPS-Ortung. Ziel ist es, einen angemessenen Ausgleich zwischen den berechtigten Interessen des Arbeitgebers und den Persönlichkeitsrechten der Beschäftigten zu schaffen.
  • Löschfristen für Bewerberdaten: § 17 BeschDG-E sieht vor, dass Bewerberdaten innerhalb von drei Monaten nach dem Abschluss des Bewerbungsverfahrens gelöscht werden müssen, es sei denn, es gibt konkrete Hinweise auf einen bevorstehenden Rechtsstreit. Diese Vorgabe könnte für Arbeitgeber in der Praxis problematisch sein, da mögliche Ansprüche von Bewerbern häufig erst nach dieser Frist geltend gemacht werden.

Ausblick

Der BeschDG-Entwurf spiegelt das Bemühen wider, den Beschäftigtendatenschutz im digitalen Zeitalter umfassend zu regeln. Mit strengen Dokumentationspflichten und erweiterten Informationsrechten stellt das Gesetz erhebliche Anforderungen an Arbeitgeber, die sich auf neue interne Datenschutzprozesse vorbereiten müssen. Für Unternehmen bedeutet dies, dass sie ihre bestehenden Datenschutzprozesse überprüfen und gegebenenfalls anpassen müssen, um den neuen gesetzlichen Anforderungen gerecht zu werden. Insbesondere die Regelungen zur Einwilligung und zu Überwachungsmaßnahmen erfordern eine sorgfältige Implementierung, um Rechtsverstöße zu vermeiden.

Die kommenden Monate werden zeigen, wie der Entwurf weiterentwickelt wird, und ob die politischen Diskussionen, die schon frühere Entwürfe scheitern ließen, auch hier die Umsetzung beeinflussen. Ein Inkrafttreten des Gesetzes ist für Mitte 2025 vorgesehen – Unternehmen sollten daher die weiteren Entwicklungen genau beobachten.

Unsere Gerne unterstützen wir Sie bei der Umsetzung der neuen Anforderungen im Beschäftigtendatenschutz. Unsere Datenschutz-Experten stehen bereit, um Sie bei der Einführung und Anpassung datenschutzkonformer Prozesse, der rechtssicheren Handhabung von Beschäftigtendaten und der Einbindung des Betriebsrats zu begleiten. So gewährleisten Sie, dass Ihre Datenschutzmaßnahmen stets aktuell und effektiv sind.

Für eine vertiefende Auseinandersetzung mit den Anforderungen des Beschäftigtendatenschutzes bieten wir außerdem unseren Workshop „Beschäftigtendatenschutz rechtskonform umgesetzt“ an. Dieser Workshop vermittelt praxisorientierte Einblicke und konkrete Handlungsschritte, damit Sie und Ihr Team im Datenschutzalltag bestens gerüstet sind.

Share