Das BeschDG soll dem Rechtsanwender einen „klaren Rechtsrahmen“ bieten. Der Allgemeine Teil beinhaltet neben Anwendungsbereich und Begriffsbestimmungen Grundlagen zur Datenverarbeitung, Regelungen zu den datenschutzrechtlichen Rechtsgrundlagen wie Erforderlichkeit und Einwilligung, besondere Kategorien von Beschäftigtendaten, Zweckänderung sowie Schutzmaßnahmen. Der Allgemeine Teil schließt mit spezifischen Betroffenenrechten, einem Verwertungsverbot sowie einem neuen Mitbestimmungsrecht.
Der Besondere Teil widmet sich sodann konkreten Verarbeitungsvorgängen, welche als besonders regelungsbedürftig erachtet werden. Adressiert werden u.a. das Fragerecht und Gesundheitsuntersuchungen, verschiedene Formen der Überwachung, Profiling sowie drei besondere Verarbeitungssituationen, einschließlich der Datenübermittlung im Konzern.
Der Allgemeine Teil
Mit § 3 Abs. 1 soll entsprechend Art. 88 Abs. 1 DS-GVO eine Spezifizierung der Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO für den Beschäftigungskontext geschaffen werden. Bemerkenswert ist dabei, dass bei Art. 6 Abs. 1 Buchst. b sowie f eine Umkehr der Risikoverteilung dergestalt beabsichtigt ist, dass die Verarbeitung nur zulässig sein soll, wenn die Interessen des Arbeitgebers die Interessen der Beschäftigten überwiegen. Interessant ist auch die erstmalige Normierung legitimer wie illegitimer Zwecke der Verarbeitung (§ 3 Abs. 2).
Ein wesentliches Ziel des Gesetzes ist die Konkretisierung der Erforderlichkeitsprüfung. § 4 bündelt die wichtigsten Aspekte der Interessenabwägung und soll dem Rechtsanwender einen Leitfaden bieten. Sonderlich übersichtlich ist dies nicht. Dies ist bei der Vielzahl möglicher Kriterien aber auch kaum möglich.
Eine Konkretisierung sieht auch § 5 vor, und zwar hinsichtlich der Frage der Freiwilligkeit einer Einwilligung im Beschäftigungsverhältnis. Auch hier werden verschiedene in Rechtsprechung und Literatur entwickelte Fallgruppen als Beispielsfälle zusammengefasst. Bedenklich ist hier insbesondere die Nennung der „Erlaubnis der Privatnutzung von IT-Systemen“. Erst kürzlich hat der LDI NRW die – zutreffende – Auffassung unterstützt, dass Arbeitgeber, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, nicht dem Telekommunikationsrecht unterliegen. Wird die Privatnutzung nun als Beispiel für eine freiwillige Einwilligung genannt, droht die Revidierung des Irrglaubens vom Fernmeldegeheimnis an Schwung zu verlieren.
Hinsichtlich Kollektivvereinbarungen soll in § 7 klargestellt werden, dass diese zwar spezifischere Vorschriften enthalten können (Abs. 1), aber nicht zulasten der Beschäftigten von den datenschutzrechtlichen Bestimmungen abweichen dürfen (Abs. 2). Insbesondere sollen diese nicht die Zulässigkeit (d.h. Rechtmäßigkeit) von spezifischen Verarbeitungen festlegen können.
Weil Art. 88 Abs. 2 DS-GVO die Verwendung der Öffnungsklausel nur unter der Voraussetzung gestattet, dass die nationalen Vorschriften „geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person“ umfassen, soll diese Anforderung kurzerhand auf die Arbeitgeber übertragen werden. Dafür nennt § 9 Abs. 1 beispielhaft verschiedene Maßnahmen. Unklar bleibt, ob all diese Maßnahmen eingeführt werden müssen.
§ 10 Abs. 1 sieht ein spezifisches Auskunftsrecht dahingehend vor, dass Beschäftigten auf Verlangen die wesentlichen Erwägungen der Interessenabwägung dazulegen sind. Dasselbe soll beim Einsatz eines KI-Systems gelten. Hier sollen aussagekräftige Informationen über die Funktionsweise des Systems und die Funktion der Beschäftigtendaten innerhalb des Systems sowie die ergriffenen Schutzmaßnahmen nach § 9 bereitgestellt werden. Dass dieser zusätzliche bürokratische Aufwand neben den Informationspflichten nach der KI-Verordnung auch mit Blick auf die in der Praxis nicht selten zweckwidrige Inanspruchnahme des Art. 15 DS-GVO dem Ziel des Gesetzes entspricht, eine innovative Datennutzung zu fördern, erscheint doch fraglich.
Noch bedenklicher ist die geplante Einführung eines prozessualen Verwertungsverbots im Falle „datenschutzwidriger“ Verarbeitungen (§ 11 Abs. 1). Dabei soll der durch die Rechtsprechung entwickelte Grundsatz umgekehrt und datenschutzwidrig verarbeitete Daten nur in Ausnahmefällen verwendet werden können. Dieser Paradigmenwechsel ist höchst bedenklich und für den Schutz der Beschäftigten auch nicht erforderlich. Dies gilt genauso für die Möglichkeit, Verwertungsverbote – entgegen der jüngeren Rspr. des BAG – in Kollektivvereinbarungen regeln zu können (§ 11 Abs. 2).
Bedenken bestehen auch, wenn dem Betriebsrat ein Mitbestimmungsrecht bei der Bestellung und Abberufung des Datenschutzbeauftragten eingeräumt werden soll (§ 12). Die Organisation des Datenschutzes obliegt als unternehmerische Entscheidung allein dem Verantwortlichen; ein entsprechendes Mitbestimmungsrecht würde in der Praxis zu erheblichen Verwerfungen führen und kann zur Folge haben, dass – unter Missachtung der bußgeldbewehrten Vorgaben aus DS-GVO und BDSG – keine ordnungsgemäße Bestellung erfolgt.
Der Besondere Teil
Für gängige Verarbeitungen vor Begründung des Beschäftigungsverhältnisses – wie Eignungsuntersuchung, Fragerecht, Gesundheitsuntersuchungen – sehen §§ 13–16 spezifische Anforderungen vor, die sich jedoch im Wesentlichen auf eine Normierung der bereits geltenden Vorgaben beschränken. Dies gilt auch für die Löschpflichten in § 17, wobei aber bedenklich ist, dass Daten unverzüglich gelöscht werden sollen, wenn Bewerber ihre Bewerbung zurückziehen. Auch in diesen Fällen können etwa Rechtsstreitigkeiten drohen.
Besonders ausführlich geregelt werden soll die Überwachung von Beschäftigten in ihren verschiedenen Formen (§§ 18–23). Diese soll möglich bleiben, aber abgestuften Anforderungen unterworfen werden, je nachdem, ob diese nur „kurzzeitig“, „nicht nur kurzzeitig“, offen oder „verdeckt“ erfolgt. Problematisch ist der vollständige Ausschluss solcher Verarbeitungen zur Leistungskontrolle sowie die Verwendung zahlreicher unbestimmter Rechtsbegriffe wie „wichtige (…) Interessen“, „besonders wichtige (…) Interessen“, „erheblich überwiegen“ oder „schwere Pflichtverletzungen“. Letztere tragen nicht zu einer einfachen Rechtsanwendung bei.
Erheblichen Mehraufwand auf Arbeitgeberseite würden die Regelungen zum Profiling bedeuten. So werden insofern nicht nur die Zulässigkeitsvoraussetzungen konkretisiert (§ 24), sondern auch eine detaillierte Informationspflicht (§ 25) sowie ein Auskunftsrecht (§ 26) normiert. Schließlich ist das Recht vorgesehen, hinsichtlich gewisser Einzelfallentscheidungen eine Erklärung und Überprüfung – auf Wunsch auch gegenüber der Interessenvertretung – verlangen zu können.
Bewertung und Ausblick
Ob es zu mehr Rechtssicherheit führt, einerseits durch Rechtswissenschaft und Gerichte erarbeitete Grundsätze in ein Gesetz zu gießen, andererseits aber neue unbestimmte Rechtsbegriffe einzuführen, erscheint fraglich. Gleichzeitig versucht sich der Entwurf an einer Kodifizierung einzelner Verarbeitungsvorgänge und wird damit der Komplexität des digitalen Zeitalters nicht gerecht. Außerdem würde der Entwurf zu einem erheblichen Bürokratieanstieg führen. Es ist nicht ersichtlich, dass hier grassierende Missstände eingeschränkt werden müssten. Vielmehr handelt es sich Blick auf die bereits vorhandenen Belastungen mit datenschutzrechtlicher Dokumentation um ein fragwürdiges Zeichen an den Innovationsstandort Deutschland.
Es bleibt abzuwarten, welche Änderungen der Referentenentwurf in der Ressortabstimmung noch erfährt.