Startseite » Fachbeiträge » Referentenentwurf des Beschäfigtendatengesetzes

Referentenentwurf des Beschäfigtendatengesetzes : Was Arbeitgeber wissen müssen

Das Beschäftigtendatengesetz (BeschDG), zu dem nun seit dem 8. Oktober 2024 ein erster Referentenentwurf vorliegt, soll den Umgang mit Beschäftigtendaten regeln und für mehr Transparenz und Sicherheit sorgen. Im Folgenden werden die wichtigsten Regelungen des Referentenentwurfs in Kürze vorgestellt und bewertet.

23 Min. Lesezeit
Großes Auge überwacht Mitarbeiter
Foto: ©AdobeStock/Koko-Art-Studio

In diesem Beitrag werden die möglichen Auswirkungen des angedachten Beschäftigtendatengesetzes auf Arbeitgeber bewertet.

Die fortschreitende Digitalisierung und der Einsatz neuer Technologien, insbesondere der Künstlichen Intelligenz (KI), stellen Arbeitgeber vor wachsende Herausforderungen im Umgang mit personenbezogenen Daten ihrer Beschäftigten.

Das Beschäftigtendatengesetz (BeschDG), zu dem nun seit dem 8. Oktober 2024 ein erster Referentenentwurf vorliegt, soll den Umgang mit Beschäftigtendaten regeln und für mehr Transparenz und Sicherheit sorgen. Der Zweck des Gesetzes besteht darin, den Schutz der Beschäftigtendaten in der Arbeitswelt zu stärken und gleichzeitig klare Handlungsrichtlinien für Arbeitgeber zu schaffen, um innovative Technologien verantwortungsvoll einzusetzen.

Im Folgenden werden die wichtigsten Regelungen des Referentenentwurfs in Kürze vorgestellt und bewertet.

Erhöhte Anforderungen an die Prüfung der Erforderlichkeit der Datenverarbeitung (§ 4)

  • 4 BeschDG fordert eine sorgfältige Prüfung der Erforderlichkeit bei der Verarbeitung von Beschäftigtendaten durch den Arbeitgeber. Die Vorschrift konkretisiert, dass neben dem legitimen Verarbeitungszweck auch Faktoren wie gesetzliche Pflichten, eigene Grundrechtspositionen und ein etwaiges öffentliches Interesse zu berücksichtigen sein können, um die Datenverarbeitung zu legitimieren. Zugleich sind die Eingriffsintensität und die möglichen Folgen der Verarbeitung für die Beschäftigten zu analysieren. Dabei spielen Art, Dauer und Umfang der verarbeiteten Daten sowie der Umstand, ob und wie stark Daten verknüpft werden, eine Rolle.

Besonders relevant ist auch, dass die Erwartungen der Beschäftigten im Umgang mit ihren Daten sowie die besonderen Schutz- und Fürsorgepflichten des Arbeitgebers zu beachten sein können. In die Interessenabwägung kann auch einbezogen werden, ob der Arbeitgeber beim Einsatz von KI-Systemen sicherstellen kann, dass Beschäftigte die Funktionsweise dieser Systeme nachvollziehen können, was Transparenz und menschliche Kontrolle über KI-basierte Verarbeitungsvorgänge erhöht. Im Rahmen der Erforderlichkeitsprüfung kann auch eine Rolle spielen, welche technischen und organisatorischen Schutzmaßnahmen durchgeführt werden, um die Risiken für die Beschäftigten zu minimieren und ihre Würde und Rechte zu wahren.

Im Vergleich zur bisherigen Rechtslage steigen die Anforderungen an die Erforderlichkeitsprüfung erheblich. Der Arbeitgeber muss nun detaillierter prüfen, inwiefern die Verarbeitung tatsächlich notwendig und verhältnismäßig ist, besonders wenn sensible oder umfangreiche Daten erhoben werden oder wenn KI zum Einsatz kommt. Die neuen Anforderungen an Transparenz und Überwachung bei KI-Systemen stellen Arbeitgeber vor zusätzliche Herausforderungen.

Präzisierung der Anforderungen an Einwilligungen im Beschäftigungskontext (§ 5)

Die Frage, ob bzw. unter welchen Voraussetzungen es freiwillige Einwilligungserklärungen im Rahmen von Beschäftigungsverhältnissen überhaupt geben kann, ist ein echter Dauerbrenner. Erwägungsgrund 155 der Datenschutz-Grundverordnung (DS-GVO) belegt dabei, dass die Abgabe einer Einwilligung grundsätzlich auch im Beschäftigungskontext denkbar ist. Der deutsche Gesetzgeber geht von der hierfür nötigen Freiwilligkeit vor allem dann aus, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen (§ 26 Abs. 2 Satz 2 BDSG).

Dies greift § 5 BeschDG auf und benennt Regelbeispiele, wann solche Vorteile für Beschäftigte bzw. die Verfolgung gleichgelagerter Interessen anzunehmen sein sollen. Andere Fallgruppen werden hierdurch aber nicht ausgeschlossen (bspw. die Steigerung der Karriere-/Entwicklungschancen der Beschäftigten durch Aufnahme in einen konzernweiten „Talent Pool“).

Bedeutung von Kollektivvereinbarungen für die Datenverarbeitung (§ 7)

Die seit Jahren geführte Diskussion zur Frage, ob Kollektivvereinbarungen (Betriebsvereinbarungen, Tarifverträge) das gesetzliche Datenschutzniveau unterschreiten dürfen (was den Tarif- bzw. Betriebsparteien erhebliche Spielräume eröffnen würde), wird in § 7 BeschDG aufgegriffen. Einer Unterschreitung des gesetzlichen Schutzniveaus wird hier eine deutliche Absage erteilt. Auch wird angeordnet, dass ein Tarifvertrag oder eine Betriebsvereinbarung eine Verarbeitung von Beschäftigtendaten nicht legitimieren kann, die nicht schon auf anderer Rechtsgrundlage (gesetzlicher Erlaubnistatbestand, Einwilligung) zulässig ist.

Einen gewissen Vertrauensvorschuss hätten die Tarif- bzw. Betriebsparteien hier sicher verdient gehabt: einer völligen Aushöhlung des Beschäftigtendatenschutzes würden sich nicht nur die Gewerkschaften und Betriebsräte entgegenstellen – auch Arbeitgeberverbände sowie einzelne Arbeitgeber hätten hieran kein Interesse. Hat sich die Praxis schon bislang nicht ernsthaft auf Kollektivverträge als „echte“ Erlaubnistatbestände der Datenverarbeitung verlassen, wäre diese Option unter Geltung von § 7 RefE aber nun endgültig gestorben.

Nachträgliche Zweckänderung von Verarbeitungsvorgängen (§ 8)

Der Referentenentwurf listet in seinem § 8 Voraussetzungen auf, unter denen von dem allgemein anerkannten Grundsatz der Zweckbindung (= die Verarbeitung darf nur für im Voraus festgelegte Zweck erfolgen, vgl. Art. 5 Abs. 1 Buchst. b DSGVO) abgewichen werden darf. Hervorzuheben ist die Gestattung einer abweichenden Datenverarbeitung, wenn deren Zweck mit dem Ursprungszweck vereinbar und auch der neue Verarbeitungszweck zulässig ist. Das heißt: eine Datenverarbeitung für andere, aber artverwandte Zwecke kann zulässig sein, auch wenn diese anderen Zwecke ursprünglich nicht bedacht/mitgedacht wurden.

Zieht man den Umkehrschluss zu § 23 BeschDG, welcher bei Daten aus Überwachungsmaßnahmen eine nachträgliche Verwendung für Zwecke der Leistungskontrolle definitiv ausschließt, scheint dies im Anwendungsbereich von § 8 BeschDG nicht per se undenkbar zu sein.

Konkrete Vorgaben zur Durchführung von Schutzmaßnahmen (§ 9)

  • 9 BeschDG verpflichtet Arbeitgeber, Schutzmaßnahmen zu ergreifen, um die Vorgaben der DSGVO einzuhalten und die Rechte der Beschäftigten zu wahren. Dazu zählen technische und organisatorische Maßnahmen, die den Schutz der menschlichen Würde und Interessen der Beschäftigten sicherstellen sollen. Zu den wesentlichen Maßnahmen, die vorgeschlagen werden, gehören die Einschränkung oder Verhinderung bestimmter Verarbeitungsformen und die Trennung von Daten, die für unterschiedliche Zwecke verwendet werden, beispielsweise durch die gesonderte Verwahrung von Personalakten. Der Zugriff auf Beschäftigtendaten soll beschränkt sein und nur auf dafür notwendige Rollen und Personen innerhalb der Organisation begrenzt werden.

Sensible Daten, wie etwa Personalakten, müssen durch Verschlüsselung und sichere Authentifizierungsverfahren besonders geschützt werden. Wo möglich, soll eine Pseudonymisierung der Daten erfolgen, und der Datenzugriff muss so organisiert sein, dass nachvollziehbar bleibt, wer Daten eingegeben, verändert oder gelöscht hat. Eine regelmäßige Evaluierung der Schutzmaßnahmen soll die Effektivität der getroffenen Maßnahmen sicherstellen. Zudem ist vorgesehen, die Interessenvertretungen der Beschäftigten bei der Gestaltung und Überprüfung von Verarbeitungsvorgängen einzubeziehen, und die freiwillige Einbindung eines Datenschutzbeauftragten wird als zusätzliche Sicherheitsmaßnahme empfohlen.

Beim Einsatz von KI-Systemen können besondere Anforderungen zu beachten sein: Dies umfasst sicherzustellen, dass Diskriminierung vermieden wird und die Ergebnisse zu anonymisieren, wo dies möglich ist. Auch sind regelmäßige Überprüfungen der KI-Systeme auf Richtigkeit und Diskriminierungsfreiheit erforderlich.

Besondere Kategorien von Beschäftigtendaten i.S.d. Art. 9 Abs. 1 DSGVO erfordern zusätzliche Schutzmaßnahmen.

Arbeitgeber können durch genehmigte Verhaltensregeln nach Art. 40 DSGVO oder Zertifizierungen nach Art. 42 DSGVO die Erfüllung der Anforderungen nachweisen.

Für Arbeitgeber bedeutet diese Vorschrift eine deutliche Erhöhung der Pflichten zur Datensicherheit und Kontrolle über die Verarbeitung von Beschäftigtendaten, insbesondere wenn KI-Systeme zum Einsatz kommen. Die Anforderungen an Dokumentation und regelmäßige Evaluierung der Schutzmaßnahmen steigen damit im Vergleich zur bisherigen Rechtslage spürbar an.

Spezifische Betroffenenrechte bei berechtigtem Interesse des Arbeitgebers (§ 10)

  • 10 BeschDG räumt Beschäftigten spezifische Rechte ein, wenn ihre Daten auf Grundlage berechtigter Interessen des Arbeitgebers verarbeitet werden. Bei einer solchen Verarbeitung muss der Arbeitgeber auf Verlangen nachvollziehbar darlegen, welche Erwägungen zur Abwägung der Interessen nach § 4 geführt haben. Diese Informationen sind den Beschäftigten in verständlicher Form zur Verfügung zu stellen, und sie müssen auf das Auskunftsrecht hingewiesen werden – ergänzend zu den Informationspflichten gemäß den Artikeln 13und 14der DSGVO.

Kommt ein KI-System zur Verarbeitung der Beschäftigtendaten zum Einsatz, muss der Arbeitgeber die betroffenen Beschäftigten spätestens mit Beginn der Datenverarbeitung über den Einsatz und das damit verbundene Auskunftsrecht informieren. Das Auskunftsrecht umfasst dabei zwei wesentliche Punkte: Erstens sollen aussagekräftige Informationen über die Funktionsweise des KI-Systems sowie die Rolle der verarbeiteten Beschäftigtendaten innerhalb des Systems bereitgestellt werden. Zweitens müssen die Schutzmaßnahmen, die gemäß § 9 Abs. 1 Nr. 11 BeschDG getroffen wurden, offengelegt werden.

Für Arbeitgeber bedeutet dies eine Verpflichtung zur Transparenz, insbesondere beim Einsatz von KI-Systemen. Sie müssen sicherstellen, dass Beschäftigte umfassend informiert sind und verstehen, wie ihre Daten verarbeitet und geschützt werden. Im Vergleich zur bisherigen Rechtslage erhöht diese Regelung die Anforderungen an die Aufklärungspflichten, besonders hinsichtlich der technischen Details und Schutzmaßnahmen bei KI-basierten Verarbeitungssystemen.

Verwertungsverbot bezüglich datenschutzrechtswidrig verarbeiteter Beschäftigtendaten (§ 11)

  • 11 regelt ein Verwertungsverbot von Beschäftigtendaten, die datenschutzrechtswidrig verarbeitet wurden. Werden solche Daten in einem gerichtlichen Verfahren über die Rechtmäßigkeit personeller Maßnahmen gegen Beschäftigte verwendet, dürfen sie nicht als Beweismittel genutzt werden. Eine Ausnahme besteht nur, wenn ein klares Missverhältnis zwischen dem Eingriff in das Persönlichkeitsrecht der betroffenen Person und dem grundrechtlich geschützten Interesse des Arbeitgebers an der Verwertung vorliegt.

Darüber hinaus ermöglicht § 11 Abs. 2 BeschDG den Betriebsparteien, Verwertungsverbote für datenschutz- oder kollektivrechtswidrige Verarbeitungen von Beschäftigtendaten in Kollektivvereinbarungen zu regeln. Damit geht der Referentenentwurf mit der gegenteiligen Rechtsprechung des BAG auf Konfrontationskurs, welches den Betriebsparteien eine entsprechende Regelungskompetenz erst kürzlich abgesprochen hatte (vgl. BAG, vom 29. Juni 2023 – 2 AZR 296/22, näher hierzu Datenschutz ist doch kein Täterschutz).

Für Arbeitgeber bedeutet dies, dass die Möglichkeit, rechtswidrig erlangte Beschäftigtendaten in gerichtlichen Auseinandersetzungen zu verwenden, unter Geltung des BeschDG stark eingeschränkt wäre; eine Fernwirkung des Beweisverwertungsverbots (d.h. auch bezogen auf Folgeerkenntnisse) wird aber nicht angeordnet. Zudem ist zu erwarten, dass Betriebsräte wieder verstärkt auf die Aufnahme solcher Verwertungsverbote in Betriebsvereinbarungen drängen und ihre Zugeständnisse an anderer Stelle hiervon abhängig machen würden.

Mitbestimmungsrecht des Betriebsrats bezüglich Bestellung und Abberufung des Datenschutzbeauftragten (§ 12)

  • 12 BeschDG legt fest, dass der Betriebsrat ein Mitbestimmungsrecht bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten hat. Sollte zwischen Arbeitgeber und Betriebsrat keine Einigung erzielt werden, entscheidet die Einigungsstelle gemäß § 76Betriebsverfassungsgesetz. Das Ergebnis der Einigungsstelle ersetzt die fehlende Einigung zwischen den Parteien.

Dies stärkt die Mitbestimmungsrechte des Betriebsrats und erfordert eine kooperative Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bei der Ernennung und Abberufung des Datenschutzbeauftragten. Im Streitfall über eine gewünschte Bestellung wird der Arbeitgeber bis zum Ergehen der Entscheidung auf einen Datenschutzbeauftragten gänzlich verzichten müssen.

Anforderungen an die Datenverarbeitung in der Anbahnungsphase (§§ 13 ff.)

  • 13 BeschDG ist in gewisser Weise die Grundnorm zulässiger Verarbeitungsvorgänge vor der Begründung von Beschäftigungsverhältnissen (vgl. Kapitel 2 des besonderen Teils). Eine Verarbeitung von Beschäftigtendaten in dieser Phase wird dann als legitim angesehen, wenn sie für die Eignungsfeststellung oder die Erfüllung gesetzlicher Pflichten erforderlich ist.

Ganz ähnlich behandelt der Referentenentwurf die Zulässigkeit gezielter Fragen des Arbeitgebers (§ 14 BeschDG – spannend hier: eine Erweiterung zulässiger Fragestellungen/Auskunftsbegehren durch Einwilligung kommt ausdrücklich nicht in Betracht, was angesichts der oft fehlenden Freiwilligkeit in Bewerbungssituationen aber auch stimmig erscheint) sowie der Durchführung von Tests und Untersuchungen (§ 16 BeschDG) im Anbahnungsstadium.

Der Ansatz, die Informationsgewinnung des Arbeitgebers auf das für die konkret zu besetzende Stelle erforderliche Maß zu beschränken, ist nicht neu, sondern entspricht der ständigen Rechtsprechung. Dennoch finden sich in den §§ 13 ff. BeschDG teils neue Vorgaben, wie die Einforderung ganz bestimmter technischer und organisatorischer Maßnahmen im Bewerbungsverfahren (Verschlüsselung und Schutz vor unbefugtem Zugang, § 13 Abs. 3 BeschDG) oder das Verbot der Abfrage einer Schwerbehinderung/Gleichstellung vor Begründung eines Beschäftigungsverhältnisses (§ 14 Abs. 2 BeschDG).

Kürzere Löschfrist bezüglich Bewerbungsunterlagen (§ 17)

  • 17 BeschDG regelt die Löschfrist von Beschäftigtendaten im Bewerbungsverfahren. Wird kein Beschäftigungsverhältnis begründet, müssen die Daten der Bewerber spätestens drei Monate nach Ablehnung gelöscht werden. Eine Ausnahme besteht, wenn die Daten für einen bereits laufenden oder wahrscheinlich bevorstehenden Rechtsstreit benötigt werden – diese Notwendigkeit ist zu dokumentieren. Zieht der Bewerber die Bewerbung zurück, sind die Daten unverzüglich zu löschen.

Abweichend davon dürfen Arbeitgeber Bewerberdaten weiterhin speichern und verarbeiten, wenn der Bewerber nach Abschluss des Auswahlverfahrens in eine Speicherung zur Kontaktaufnahme für spätere Stellenbesetzungen einwilligt.

Für Arbeitgeber bedeutet diese Vorschrift eine klare Verpflichtung, Bewerberdaten nach festgelegten Fristen zu löschen, es sei denn, es liegt eine Einwilligung zur Speicherung vor.

Bisher war eine Speicherung von bis zu sechs Monaten rechtlich anerkannt, um der Klagefrist des Allgemeinen Gleichbehandlungsgesetzes (AGG) und der Zustellung der Klageschrift Rechnung zu tragen. Arbeitgeber müssen nun sehr sorgfältig prüfen, ob ein Rechtsstreit wahrscheinlich bevorsteht, der die Speicherung der Daten über die Drei-Monats-Frist hinaus rechtfertigt.

Insgesamt ist es verwunderlich, dass das praxisrelevante Themenfeld der Löschfristen/zulässigen Speicherdauern im Referentenentwurf nur ganz punktuell – nämlich allein bezogen auf Bewerbungsunterlagen – behandelt wird; da das Thema offensichtlich gesehen wurde, wäre mit einer umfassenderen Regelung zu rechnen gewesen.

Vorgaben für kurzzeitige Überwachungsmaßnahmen des Arbeitgebers (§ 18)

Ganze sechs Paragrafen widmet der Referentenentwurf in seinem zweiten Kapitel dem Thema „Überwachung“. Das unterstreicht einmal mehr, dass sich arbeitgeberseitige Überwachungsmaßnahmen nicht nur rechtlich, sondern auch moralisch einem erheblichen Rechtfertigungsdruck ausgesetzt sehen und besonders heikel sind.

Kurzzeitige und entweder anlassbezogene oder stichprobenhafte Überwachungsmaßnahmen werden in § 18 BeschDG behandelt. Denkbare Zweckbestimmungen solcher Überwachungsmaßnahmen können insbesondere der Schutz von Gesundheit und Sicherheit von Beschäftigten sowie die Verhütung und Aufdeckung von Straftaten und Pflichtverletzungen sein. In jedem Fall gibt § 18 BeschDG Arbeitgebern eine ganze Palette von Abwägungskriterien mit, welche bei der Beurteilung der Zulässigkeit von Maßnahmen in die Waagschale geworfen werden müssen; hier geht der Referentenentwurf spürbar über das derzeit kodifizierte Recht hinaus.

Dass der Kernbereich der privaten Lebensgestaltung einer Datenverarbeitung entzogen ist, wird ausdrücklich festgehalten (§ 18 Abs. 4 BeschDG) – dies ist schon derzeit allgemeine Auffassung. Mit selber Zielrichtung (Schutz der Persönlichkeitsrechte) wird auch eine Überwachung von Bereichen, die den Beschäftigten auch als kollektive und kommunikative Rückzugsräume sowie der privaten Lebensgestaltung dienen, für unzulässig erklärt.

Strenge Anforderungen für längerfristige Überwachungsmaßnahmen (§ 19)

  • 19 BeschDG regelt die Zulässigkeit von längerfristigen Überwachungsmaßnahmen bei der Verarbeitung von Beschäftigtendaten. Solche Maßnahmen dürfen nur durchgeführt werden, wenn sie einem konkreten Zweck dienen, der den Schutz von Leib und Leben von Beschäftigten oder Dritten oder besonders wichtigen betrieblichen Interessen gewährleistet. Dabei müssen die Interessen des Arbeitgebers die Interessen der Beschäftigten am Schutz ihrer Daten erheblich überwiegen. Eine solche Datenverarbeitung muss sich an den Vorgaben des § 18 Abs. 4 und 5 BeschDG orientieren.

Die zulässigen Zwecke einer Überwachung können beispielsweise der Schutz von Beschäftigten bei gefährlichen Tätigkeiten, die Sicherung wertvoller oder sicherheitsrelevanter Anlagen und die Integrität und Verfügbarkeit von IT-Systemen sein. Wichtig ist, dass diese Maßnahmen nicht zur Leistungskontrolle der Beschäftigten eingesetzt werden dürfen.

Vor der Durchführung solcher Überwachungsmaßnahmen muss der Datenschutzbeauftragte frühzeitig einbezogen werden. Bei mehreren ähnlichen Maßnahmen mit vergleichbarem Risiko ist eine einmalige Einbeziehung ausreichend. Für die Überwachung besonders sensibler Datenkategorien müssen zusätzlich die Voraussetzungen des Art. 9 Abs. 2 DSGVO oder des § 6 BeschDG erfüllt sein.

Für Arbeitgeber bedeutet diese Vorschrift, dass langfristige Überwachungsmaßnahmen nur unter engen Voraussetzungen und für klar definierte Zwecke zulässig sind. Zudem sind umfassende Schutzmaßnahmen und die frühzeitige Einbeziehung des Datenschutzbeauftragten erforderlich, um den Datenschutz und die Rechte der Beschäftigten zu gewährleisten.

Umgang mit Informationspflichten bei heimlicher Überwachung (§ 20)

  • 20 BeschDG betrifft das Spannungsfeld zwischen den arbeitgeberseitigen Transparenz-/Informationspflichten nach Art. 13 und 14 DSGVO und dem berechtigten Aufklärungsinteresse von Arbeitgebern beim Verdacht auf die Begehung von Straftaten oder schwerwiegende Pflichtverletzungen.

Müsste der Arbeitgeber in Verdachtsfällen, die sich nur durch heimliche Überwachungsmaßnahmen aufklären lassen, vor Beginn der Datenverarbeitung umfassend seinen Informationspflichten nachkommen, wäre der Ermittlungserfolg vielfach gefährdet – der verdächtige Arbeitnehmer wäre vorgewarnt und könnte den Versuch unternehmen, sein Fehlverhalten zu vertuschen, Beweise zu vernichten etc. Hier knüpft § 20 RefE an und suspendiert die arbeitgeberseitigen Informationspflichten, soweit und solange eine Information den Zweck der Überwachungsmaßnahme gefährden würde – vorausgesetzt, die heimliche Überwachungsmaßnahme genügt den der ständigen Rechtsprechung nachgebildeten Anforderungen in Abs. 1.

Auch wenn man schon bislang überwiegend davon ausgegangen ist, dass eine Gefährdung des Ermittlungserfolgs durch eine Information „zur Unzeit“ Arbeitgebern nicht zugemutet werden kann, ist diese ausdrückliche Klarstellung zu begrüßen.

Zulässigkeit von Videoüberwachung (§ 21)

  • 21 BeschDG stellt – angesichts des erheblichen Grundrechtseingriffs – zusätzliche Anforderungen auf, denen die Verarbeitung von Beschäftigtendaten durch Videoüberwachung genügen muss. Zweck einer Videoüberwachung kann insbesondere die Verhütung und Aufdeckung von Straftaten und schweren Pflichtverletzungen sein, ebenso wie Zutrittskontrollen und die Sicherung von Anlagen. Zur Leistungskontrolle ist sie dagegen regelmäßig unzulässig.

Nur Bildaufzeichnungen, nicht aber Tonaufnahmen sind erlaubt – mögliche Tonaufnahmefunktionen sind daher dauerhaft zu deaktivieren. In technischer Hinsicht ist weiter darauf zu achten, dass bei der Videoüberwachung Bereiche oder Personen auszublenden und unkenntlich zu machen sind, die für die Zweckerfüllung nicht erforderlich sind. Eine Videoüberwachung muss der Arbeitgeber zudem durch geeignete Maßnahmen, etwa durch gut sichtbare Piktogramme und Kurz-Informationen, erkennbar machen. Erhobene Daten müssen – im Einklang mit der Sichtweise der Aufsichtsbehörden für den Datenschutz – regelmäßig spätestens nach 72 Stunden gelöscht werden. Dauert die Speicherung länger als 72 Stunden, hat der Arbeitgeber die Gründe für die weitere Speicherung zu dokumentieren.

Die Voraussetzungen für eine Videoüberwachung sind nochmals verschärft, wenn ihr Zweck (rein präventiv) die Verhütung von Straftaten und schweren Pflichtverletzungen ist. Insbesondere müssen zu dokumentierende tatsächliche Anhaltspunkte für eine Gefahrenlage in Bezug auf Straftaten oder schwere Pflichtverletzungen vorliegen – ein Verweis auf das allgemeine Lebensrisiko, (Kriminal-)Statistiken sowie subjektive Befürchtungen reicht hier nicht aus, wohl aber einschlägige Vorfälle in der Vergangenheit.

Sollen Videoüberwachungsmaßnahmen schließlich heimlich oder aber für längere Zeit durchgeführt werden, finden § 20 bzw. § 19 BeschDG ergänzende Anwendung.

Strikte Begrenzung der Ortung von Beschäftigten (§ 22)

  • 22 BeschDG regelt die Ortung von Beschäftigten und setzt enge Bedingungen für deren Zulässigkeit. Die Ortung ist nur erlaubt, wenn sie einen klaren Zweck hat, der für das Beschäftigungsverhältnis erforderlich ist, beispielsweise zur Erfüllung gesetzlicher Pflichten, zur Wahrung betrieblicher Interessen oder zum Schutz der Gesundheit und Sicherheit von Beschäftigten. Zudem muss das Interesse des Arbeitgebers an der Ortung das Interesse der Beschäftigten am Ausschluss dieser Maßnahme überwiegen. Die Ortung darf nur kurzzeitig und entweder anlassbezogen oder stichprobenartig erfolgen, wobei die Anforderungen aus § 18 Absatz 4 und 5 BeschDG gelten.

Beispiele für zulässige Zwecke der Ortung sind der Schutz von Gesundheit und Sicherheit, die Verhütung und Aufdeckung von Straftaten oder Pflichtverletzungen sowie die Koordination von Einsätzen an verschiedenen Orten. Bei langfristigen Ortungsmaßnahmen ist der Maßstab noch strenger: Sie sind nur zulässig, wenn sie zum Schutz von Leib und Leben von Beschäftigten oder Dritten notwendig sind oder wenn sie besonders wichtige betriebliche Interessen wie die Nachverfolgbarkeit von Lieferungen betreffen.

Zusätzlich müssen Ortungsmaßnahmen für Beschäftigte erkennbar sein. Falls der Arbeitgeber einen ortungsfähigen Gegenstand zur privaten Nutzung überlässt, muss der Beschäftigte die Möglichkeit haben, die Ortung während der privaten Nutzung zu deaktivieren.

Für Arbeitgeber bedeutet dies eine strikte Begrenzung der Ortungsmöglichkeiten: Sie müssen eine klare Zweckbindung, Transparenz und Möglichkeiten zur Deaktivierung sicherstellen, um die Rechte der Beschäftigten zu wahren. Insbesondere bei verdeckter oder langfristiger Ortung sind die Anforderungen erheblich, so dass ein hoher Schutzstandard für Beschäftigtendaten gewährleistet ist.

Strenge Zweckbindung bei Überwachungsmaßnahmen (§ 23)

In § 23 BeschDG wird eine (über die allgemeine Regelung in § 8 BeschDG noch hinausgehende) enge Zweckbindung der personenbezogenen Beschäftigtendaten festgeschrieben, die auf Grundlage der Bestimmungen in Kapitel 2 des besonderen Teils („Überwachung“) erhoben wurden. So dürfen Beschäftigtendaten, die nach diesen Bestimmungen nicht zur Leistungskontrolle erhoben wurden, auch nicht für eine solche zweckentfremdet werden (wobei dies sicher nicht so zu verstehen sein soll, dass eine Verarbeitung von Daten aus Zufallsfunden (d.h. die Überwachungsmaßnahme dokumentiert zufällig eine arbeitnehmerseitige Pflichtverletzung) ausgeschlossen wäre). Die Entwurfsbegründung führt diese enge Zweckbindung auf das erhebliche Missbrauchspotenzial arbeitgeberseitiger Überwachungsmaßnahmen zurück.

An einer vorausschauenden Festlegung der (denkbaren) Verarbeitungszwecke von Überwachungsmaßnahmen führt aus Arbeitgebersicht also kein Weg vorbei – ein wichtiger, wenn auch nicht neuer Befund

Umfassende Informationspflichten bei Profiling (§ 25)

  • 25 BeschDG verpflichtet den Arbeitgeber, Beschäftigte umfassend zu informieren, wenn ihre Daten durch Profiling verarbeitet werden. Profiling bezeichnet die automatisierte Verarbeitung personenbezogener Daten, bei der Verhaltensmuster und Eigenschaften der Beschäftigten analysiert und bewertet werden. Der Arbeitgeber muss die Beschäftigten spätestens zu Beginn des Profilings darüber in Kenntnis setzen und ihnen die wesentlichen Details der Verarbeitung erläutern.

Zunächst ist mitzuteilen, dass Profiling stattfindet, einschließlich des Zwecks der Verarbeitung und der Rechtsgrundlage. Auch die Kategorien der Eingabedaten und der Einsatz eines möglichen KI-Systems müssen angegeben werden. Der Arbeitgeber hat weiter aussagekräftige Informationen über die beim Profiling eingesetzte Logik sowie die Bewertungskriterien und deren Gewichtung bereitzustellen, damit Beschäftigte nachvollziehen können, wie ihre Daten und ihr Verhalten das Profiling beeinflussen.

Falls Entscheidungen, die rechtliche oder ähnlich schwerwiegende Folgen für Beschäftigte haben könnten, auf dem Profiling basieren, muss der Arbeitgeber zusätzlich die Tragweite dieser Entscheidungen erläutern. Dazu gehört auch eine Darstellung möglicher Konsequenzen und die Rolle des Profilings im Entscheidungsprozess. Zudem muss der Arbeitgeber angeben, ob und wie menschliche Aufsicht in den Entscheidungsprozess integriert ist.

Schließlich sind die Beschäftigten über spezielle Auskunftsrechte gemäß § 26 sowie über ihr Recht auf Erklärung und Überprüfung der Profiling-basierten Entscheidungen gemäß § 27 zu informieren. Diese Informationspflichten sind verbindlich und können nicht unter den Voraussetzungen des § 20 Abs. 1 umgangen werden.

Für Arbeitgeber bedeutet diese Vorschrift, dass sie eine hohe Transparenzpflicht erfüllen müssen, indem sie detaillierte Informationen über die Funktionsweise und möglichen Auswirkungen des Profilings bereitstellen. Dies stellt erhebliche Anforderungen an die Dokumentations- und Aufklärungspflichten des Arbeitgebers.

Erweitertes Auskunftsrecht der Beschäfigten bei Profiling (§ 26)

  • 26 BeschDG verleiht Beschäftigten, deren Daten durch Profiling verarbeitet werden, ein spezielles Auskunftsrecht, das über die allgemeinen Regelungen der DSGVO hinausgeht. Dieses Recht umfasst umfassende Informationen zu den personenbezogenen Daten, die im Profiling verwendet werden, sowie die Ergebnisse des Profilings in Bezug auf persönliche Aspekte der Beschäftigten.

Der Arbeitgeber muss den Beschäftigten aussagekräftige Informationen über die zugrunde liegende Logik des Profilings bereitstellen, insbesondere über die zentralen Bewertungskriterien und deren Gewichtung. Die Beschäftigten sollen nachvollziehen können, wie ihre Eingabedaten oder ihr Verhalten das Profiling beeinflussen.

Falls eine Entscheidung, die auf dem Profiling basiert, rechtliche oder ähnlich schwerwiegende Auswirkungen auf die Beschäftigten hat oder diese Entscheidung vorbereitet, sind zusätzlich Informationen über den möglichen Entscheidungsinhalt und die Konsequenzen für die Betroffenen bereitzustellen. Der Arbeitgeber muss darlegen, welche Rolle das Profiling im Entscheidungsprozess spielt und ob menschliche Aufsicht und Eingriffe vorgesehen sind.

Wird ein KI-System für das Profiling eingesetzt, haben die Beschäftigten auch ein Recht auf Auskunft über die vom Arbeitgeber getroffenen Schutzmaßnahmen gemäß § 9 Abs. 1 Nr. 11 BeschDG, die insbesondere Diskriminierung und Fehlbewertungen vermeiden sollen.

Für Arbeitgeber bedeutet diese Vorschrift eine erweiterte Auskunftspflicht gegenüber Beschäftigten, die durch Profiling betroffen sind. Sie müssen detailliert darlegen, wie das Profiling funktioniert und welche Schutzmaßnahmen zur Wahrung der Rechte der Beschäftigten getroffen wurden. Dies stärkt die Transparenz und ermöglicht den Beschäftigten eine fundierte Einsicht in die Verarbeitung ihrer personenbezogenen Daten.

Recht der Beschäftigten auf Erklärung und Überprüfung von Entscheidungen bei Profiling (§ 27)

  • 27 BeschDG gewährt Beschäftigten das Recht auf Erklärung und Überprüfung von Entscheidungen, die auf Profiling basieren oder durch Profiling vorbereitet wurden und rechtliche oder ähnliche schwerwiegende Auswirkungen haben. Wenn der Arbeitgeber eine solche Entscheidung trifft, haben die betroffenen Beschäftigten Anspruch auf eine detaillierte Erklärung darüber, wie ihre personenbezogenen Daten und ihr Verhalten das Profiling beeinflusst haben, welche Rolle das Profiling im Entscheidungsprozess spielte und welche Konsequenzen die Entscheidung für sie hat.

Zusätzlich haben Beschäftigte das Recht, die Ergebnisse des Profilings und die Entscheidung zu hinterfragen und eine Überprüfung zu verlangen. Der Arbeitgeber ist verpflichtet, innerhalb von vier Wochen eine schriftlich begründete Antwort zu geben, in der die Entscheidung und ihre Grundlage erklärt werden. Alternativ können die Beschäftigten auch eine mündliche Erörterung der Entscheidung verlangen.

Auf Wunsch der Beschäftigten muss der Arbeitgeber auch den Betriebsrat über die Einzelheiten der Entscheidung informieren. Mit Zustimmung des Beschäftigten darf der Betriebsrat eine Stellungnahme abgeben und an der mündlichen Erörterung teilnehmen.

Für Arbeitgeber bedeutet § 27 BeschDG, dass sie eine umfassende Begründungspflicht erfüllen müssen, wenn Entscheidungen auf Profiling basieren. Dies soll sicherstellen, dass die Beschäftigten die Entscheidungsgrundlagen nachvollziehen können und ihre Rechte gewahrt bleiben. Arbeitgeber müssen zudem flexibel auf Einwände der Beschäftigten reagieren und gegebenenfalls eine direkte Klärung im Gespräch anbieten.

Berechtigtes Interesse beim Datenaustausch zwischen Konzernunternehmen (§ 30)

Weder das europäische noch das deutsche Datenschutzrecht kennen ein echtes Konzernprivileg, will heißen: der Austausch von Beschäftigtendaten zwischen zwei Unternehmen ist nicht schon allein deshalb zulässig oder auch nur wesentlich erleichtert, weil diese Unternehmen derselben Unternehmensgruppe angehören. Gleichzeitig ist anerkannt, dass es innerhalb von Konzernen ein gesteigertes Bedürfnis an einem Datenaustausch geben kann. Dies kommt auch in Erwägungsgrund 48 der DSGVO zum Ausdruck, wonach Unternehmen desselben Konzerns für interne Verwaltungszwecke ein berechtigtes Interesse an einer gruppeninternen Datenübermittlung haben können.

In § 30 BeschDG wird nun primär der Versuch unternommen, das Vorliegen eines berechtigten Interesses an einem unternehmensübergreifenden Datenaustausch im Konzern näher zu präzisieren. Als typische Anwendungsfälle werden der Personalaustausch zwischen Konzernunternehmen, die zentralisierte Wahrnehmung von Verwaltungsaufgaben durch ein Unternehmen des Konzerns oder konzernweit einheitlich gestaltete Verwaltungsvorgänge genannt. Diese Aufzählung ist nicht abschließend („insbesondere“): weitere denkbare Zwecke sind etwa auf den Konzern bezogene Personalentwicklungsprogramme oder gruppenweite Incentive-Systeme/Benefits.

Auch § 30 BeschDG wird eine Einzelfallprüfung der Zulässigkeit des Datenaustauschs im Konzern nicht obsolet machen. Er gibt Konzernen aber Leitlinien und Argumentationsspielräume für die Darlegung zulässiger Übermittlungsvorgänge.

Hohe Anforderungen für Arbeitgeber – Balance zwischen Datenschutz und betrieblicher Effizienz nötig

Der Referentenentwurf eines Beschäftigtendatengesetzes stellt hohe Anforderungen an Arbeitgeber, insbesondere in Bezug auf die Dokumentations- und Informationspflichten.

Während der Schutz der Beschäftigtenrechte gestärkt wird, könnten die strengen Regelungen den Einsatz moderner Technologien, insbesondere von KI-Systemen, behindern und zu unnötigen bürokratischen Belastungen führen. Teilweise wäre eine differenziertere und praxisorientierte Ausgestaltung wünschenswert, um sowohl den Schutz der Beschäftigten als auch die betrieblichen Erfordernisse besser in Einklang zu bringen.

Aber wer weiß, ob bzw. mit welchen genauen Inhalten das Gesetz am Ende tatsächlich verabschiedet wird. Dies gilt vor allem vor dem Hintergrund der neuesten Entwicklungen in Berlin und dem Ampel-Aus. Der Referentenentwurf stammt aus den Ministerien für Arbeit und Soziales und des Innern, also aus dem Lager der SPD. Je nach der Zusammensetzung der künftigen Bundesregierung darf also spekuliert werden, ob und wenn ja in welchem Umfang der Referentenentwurf tatsächlich zum Gesetz wird.

Dieser Beitrag ist zuerst auf dem CMS-Blog erschienen und enthält geringfügige Änderungen aufgrund aktueller politischer Entwicklungen.

 

Weitere Artikel zum Thema

Episode 61: Highlights des Referentenentwurfs zum Beschäftigtendatengesetz

Videoüberwachung am Arbeitsplatz

Dr. Inka Knappertsbusch, LL.M.
© CMS

 

Dr. Inka Knappertsbusch, LL.M.

Counsel

Rechtsanwältin | Fachanwältin für Arbeitsrecht

Der Schwerpunkt von Inka Knappertsbusch liegt auf der arbeitsrechtlichen Beratung im Rahmen von Restrukturierungen und Betriebsvereinbarungen, insbesondere zu IT, KI und New Work. Darüber hinaus berät sie in allen Fragen des Individual- und Kollektivarbeitsrechts sowie des Dienstvertragsrechts. Besondere Kenntnisse besitzt sie außerdem in Datenschutzfragen im Beschäftigungskontext. Sie ist Mitherausgeberin der Bücher „Arbeitswelt und KI 2030“ “ und „Die Zukunft der Arbeit“. Zu ihren Mandanten zählen internationale Konzerne ebenso wie mittelständische Unternehmen.

Dr. Maximilian Koschker
© CMS

Dr. Maximilian Koschker, LL.M. (University of Auckland)

Partner

Rechtsanwalt | Fachanwalt für Arbeitsrecht

Maximilian Koschker berät Unternehmen in allen individual- und kollektivarbeitsrechtlichen Fragestellungen. Ein besonderer Fokus seiner Beratungspraxis sind insbesondere die Herausforderungen der modernen Arbeitswelt und der fortschreitenden Digitalisierung („Arbeit 4.0“ / „New Work“). Dazu zählen etwa der flexible Mitarbeitereinsatz im Home oder Mobile Office einschließlich der modernen Arbeitszeitgestaltung, der Rückgriff auf Fremdpersonal, Rechtsfragen der IT-Nutzung im Betrieb sowie der Beschäftigtendatenschutz, aber auch die Herausforderungen der weltweiten Mitarbeitermobilität. Sehr häufig unterstützt Herr Koschker dabei Mandanten aus dem inner- sowie außereuropäischen Ausland.

Andere interessante Fachbeiträge

Pfeil auf der Straße zeigt nach vorne

Zeitarbeit: Ausblick auf das Jahr 2025

Welche Herausforderungen erwarten uns 2025 aus arbeitsrechtlicher Sicht? Wohin die Reise gehen wird, wird sich erst nach der Bundestageswahl zeigen. Damit dürfte feststellen, dass ...

KI-Tools in der Weiterbildung

KI-Tools in der Weiterbildung

Inwiefern unterstützen KI-Tools die Personalisierung des Lernens und wie wirkt sich dies auf die Lernergebnisse aus? Welche KI-Tools können in und für die Weiterbildungen eingesetz...

Bewegte Lichter auf Straße

Zeitarbeit: Rückblick auf das Jahr 2024

Dieser Beitrag ist ein Rückblick auf das Jahr 2024 in puncto „Zeitwirtschaft“. Insbesondere im Hinblick auf die gesetzgeberischen Aktivitäten, die für die Zeitarbeit durchaus als p...