Konsens zwischen Praxis, Aufsichtsbehörden und Wissenschaft: Neuregelung des Beschäftigtendatenschutzes duldet keinen Aufschub
Am 15.11.2023 fand in Köln und online das 42. RDV-Forum mit den inhaltlichen Schwerpunkten Beschäftigtendatenschutz, Künstliche Intelligenz (KI) und neues EU-Datenrecht statt. Vor Ort in Köln berichteten Robert Räuchle, Leiter des Teams Politikgestaltung (D2) in der Denkfabrik Digitale Arbeitsgesellschaft, Bundesministerium für Arbeit und Soziales, Berlin und Anne Degner, Mitarbeiterin im Team Politikgestaltung, über den aktuellen Stand im Hinblick auf die von der Bundesregierung im Rahmen ihrer Digitalstrategie geplanten umfangreichen Neuregelungen zum Beschäftigtendatenschutz. Der deutsche Gesetzgeber steht insoweit unter Handlungsdruck, da der Europäische Gerichtshof (EuGH) Zweifel an der Europarechtskonformität einer § 26 Abs. 1 S. 1 BDSG vergleichbaren nationalen landesrechtlichen Regelung geäußert hat. Nach dem EuGH muss eine nationale Regelung zum Beschäftigtendatenschutz als eine „spezifischere Vorschrift“ einzustufen sein.
Primärer Ansatz der geplanten Neuregelungen, so Räuchle und Degner, sei, die vom Bundesarbeitsgericht entwickelten Maßstäbe zum Umgang mit Beschäftigtendaten zu kodifizieren. Durch das Bereitstellen von datenschutzrechtlichen Leitplanken solle die Rechtssicherheit für die Beschäftigtendaten verarbeitenden Arbeitgeber verbessert werden. Mittels gesetzlicher Aufzählung, welche Faktoren hierbei zu berücksichtigen sind, solle insbesondere die im Beschäftigtendatenschutz vielfach notwendige Interessenabwägung erleichtert werden. Ein konkreter Gesetzentwurf zum Beschäftigtendatenschutz solle zum Jahresende vorliegen, so die Vertreter des BMAS.
In der anschließenden Podiumsdiskussion, an der neben Räuchle und Degner vom BMAS auch Mattias Ruchhöft (dtb Datenschutz und Technologieberatung) und Okşan Karakuş (Referentin beim Hamburgischen Datenschutzbeauftragten) sowie Prof. Dr. Gregor Thüsing, LL.M. (Institut für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn, Vorstand der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn) teilnahmen, bestand im Grundsatz Einigkeit bezüglich der Notwendigkeit für eine Neuregelung des Beschäftigtendatenschutzes. Im Hinblick auf die fragliche Europarechtskonformität der geltenden Regelungen seien die Arbeitgeber aktuell gezwungen, so Thüsing, bei jeder Verarbeitung von Beschäftigtendaten zu prüfen, ob § 26 BDSG im konkreten Fall noch als Rechtsgrundlage herangezogen werden kann.
Kontrovers diskutiert wurde u.a., ob das im gemeinsamen Eckpunktepapier von BMAS und BMI angedachte Beweisverwertungsverbot bei Verstößen gegen den Beschäftigtendatenschutz eingeführt werden sollte. Prof. Dr. Thüsing lehnte dies mit der Begründung ab, dass es nicht sinnvoll sei, dass im Beschäftigtendatenschutz Regelungen zur Beweisverwertung getroffen werden, die von den allgemeinen Grundsätzen zur Beweisverwertung abweichen. Der Beschäftigtendatenschutz sollte keine Sonderstellung einnehmen.
Besondere Bedeutung aus Sicht der Praxis hat im Zusammenhang mit dem Beschäftigtendatenschutz die Konkretisierung zulässiger Datenverarbeitungen im Konzernverbund. Gesetzliche Regelbeispiele für im Grundsatz zulässige Anwendungsszenarien, wie z.B. die häufig stattfindende Arbeit in Matrixstrukturen, könnten hier zu mehr Rechtssicherheit beitragen.
Das RDV-Forum ist die jährlich stattfindende Tagung der Fachzeitschrift für Datenschutz und Digitalisierung „Recht der Datenverarbeitung (RDV)“. Die RDV wird von der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn, mitherausgegeben sowie redaktionell betreut.