Lena Isabell Löber

Auf dem Weg zu einem Beschäftigtendatenschutzgesetz für das digitale Zeitalter?


ZD-Aktuell 2022, 01120     Trotz mehrfacher Anläufe in den vergangenen Jahrzehnten und einer zunehmend datengetriebenen Arbeitswelt gibt es in Deutschland kein spezifisches Beschäftigtendatenschutzgesetz. Nunmehr deutet sich ein neuer Versuch an. Der vom Bundesministerium für Arbeit und Soziales (BMAS) eingesetzte Beirat zum Beschäftigtendatenschutz hat sich in seinem Ende Januar 2022 vorgelegten Abschlussbericht für ein bundeseinheitliches, rechtsverbindliches Regelwerk ausgesprochen. Zudem wurde vom Deutschen Gewerkschaftsbund ein konkreter Entwurf für ein eigenständiges Beschäftigtendatenschutzgesetz vorlegt. Der Beitrag fasst die beiden Vorstöße hinsichtlich ihrer Ansätze, den Beschäftigtendatenschutz vor dem Hintergrund der fortschreitenden Digitalisierung transparenter und rechtssicher zu gestalten, zusammen.

1. Reformvorhaben Beschäftigtendatenschutz

In der digitalisierten Arbeitswelt ist es in nahezu jedem Berufsfeld gängige Praxis, dass Daten von Beschäftigten gesammelt werden. Datenbasierte Anwendungen können einerseits die Arbeitsorganisation effizienter und mitunter für Beschäftigte stressfreier gestalten, bergen jedoch andererseits erhebliche Überwachungsrisiken für Beschäftigte (etwa Weichert NZA 2020,  1597 ( 1599 f.); Löber/Lange/David/Roßnagel DuD 2021,  616 ( 617 f.)). Mit den digitalen Werkzeugen können die personenbezogenen Daten für betroffene Personen unsichtbar erhoben und vernetzt ausgewertet werden. Vor diesem Hintergrund legte die Ampel-Koalition im Koalitionsvertrag fest: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen“ (Koalitionsvertrag 2021–2025, Mehr Fortschritt wagen, S. 14). Offen gelassen wird, wie diese sehr abstrakten Regelungsziele erreicht werden sollen.

Rechtspolitische Forderungen und Absichtserklärungen, spezifische gesetzliche Regelungen für den Beschäftigtendatenschutz einzuführen, sind nicht neu und reichen in die 80er-Jahre zurück (Simitis, Schutz von Arbeitnehmerdaten – Regelungsdefizite – Lösungsvorschläge, Gutachten erstattet im Auftrag des Bundesministers für Arbeit und Sozialordnung, 1981). In jüngerer Zeit brachte die schwarz-gelbe Bundesregierung 2010 einen Gesetzentwurf ein, der jedoch rechtspolitisch sehr umstritten war, sowohl von Arbeitgebern als auch von Gewerkschaften stark kritisiert wurde und im parlamentarischen Verfahren scheiterte. In der vergangenen Legislaturperiode gelangten die Reformbestrebungen nicht über einen von der schwarz-roten Koalition formulierten Prüfauftrag hinaus (näher zu den bisherigen Betrebungen: Weichert NZA 2020,  1597 ( 1598); Lurtz/Ruhmann ZD-Aktuell 2020,  07281).

Zur Umsetzung des Prüfauftrags wurde im Juni 2020 vom BMAS ein unabhängiger, interdisziplinärer Beirat zum Beschäftigtendatenschutz ins Leben gerufen, der „unter anderem beraten [soll], ob und wie die Bundesregierung eine Öffnungsklausel in der Europäischen Datenschutzgrundverordnung nutzen sollte, um mit konkreten Regelungen den Beschäftigtendatenschutz in Deutschland transparenter und sicherer zu machen“ (BMAS, PM v. 16.6.‌2020 ). Der 13 Mitglieder zählende Beirat setzte sich unter Leitung der ehemaligen Bundesjustizministerin Prof. Dr. Herta Däubler-Gmelin im Schwerpunkt mit juristischen Fragen auseinander, die auch im Lichte ethischer, wirtschaftlicher und technischer Aspekte für einen modernen Beschäftigtendatenschutz beleuchtet wurden (s. zur Einbindung externer Expertise Denkfabrik  BMAS v. 16.12.‌2021). Der ursprünglich für Anfang 2021 angestrebte Abschlussbericht mit Empfehlungen zur Fortentwicklung des Beschäftigtendatenschutzes wurde Ende Januar 2022 vorgestellt. In dem zwölfseitigen Bericht fordert der Beirat insb. ein „bundesweit einheitliches, rechtlich verbindliches und verlässliches Regelwerk“, sodass sowohl Beschäftigte als auch Arbeitgeber rechtssicher einschätzen können, welche Maßnahmen zulässig und welche unzulässig sind (Bericht  des unabhängigen, interdisziplinären Beirats zum Beschäftigtendatenschutz, 2022, S. 5; näher unter 3.). Während der Bericht keinen ausformulierten Gesetzesvorschlag enthält, zeigt der im Februar 2022 vom Deutschen Gewerkschaftsbund (DGB) vorgelegte umfassende Entwurf , wie nach seiner Auffassung ein künftiges Beschäftigtendatenschutzgesetz (BeschDSG-E) aussehen sollte (dazu unter 4.).

2. Rechtsrahmen und Gründe für ein spezifisches Beschäftigtendatenschutzgesetz

Die Option, ein nationales Gesetz zum Beschäftigtendatenschutz zu erlassen, besteht iRv Art.  88 Abs.  1 DS-GVO, der zu Datenverarbeitungen im Beschäftigungskontext eine Öffnungsklausel enthält. Danach obliegt es den Mitgliedstaaten, durch nationale Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zum Beschäftigtendatenschutz gemäß den allgemeinen Vorgaben der DS-GVO zu schaffen. Die DS-GVO bildet das rechtliche Mindestniveau, das von den mitgliedstaatlichen Regelungen nicht unterlaufen werden darf. Dies kommt durch die von Art.  88 Abs.  2 DS-GVO für spezifische Rechtsvorschriften geforderten geeigneten und besonderen Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen sowie der Grundrechte der betroffenen Personen zum Ausdruck (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht/Siefert, 2019, DS-GVO Art. 88 Rn. 2; zum Streit um die Reichweite von Art.  88 DS-GVO etwa Körner NZA 2021,  1137 (1142 f.) mwN). Auf nationaler Ebene wurde u. a. mit § 26 BDSG und § 87 Abs. 1 Nr. 6 BetrVG sowie in bereichsspezifischen Regelungen, zB §§ 106 ff. BBG oder § 3 ASiG, von dieser Möglichkeit Gebrauch gemacht. Darüber hinaus kommt der Beschäftigtendatenschutz in umfangreicher Arbeitsrechtsprechung zum Ausdruck, wobei das Arbeitsrecht durch die Digitalisierung zunehmend datenschutzlastiger wird (Körner NZA 2021, 1137 (1137)).

Indes bilden die allgemein gehaltenen Vorgaben in § 26 BDSG den technologischen Fortschritt und die hiermit verbundenen Risiken für Beschäftigte nicht hinreichend ab. Zudem sind die generalklauselartigen Regelungen und die wandelbare Einzelfallkasuistik der Arbeitsrechtsprechung in der Praxis oftmals nicht geeignet, treffsichere Aussagen zur Zulässigkeit von konkreten Verarbeitungen von Beschäftigtendaten für die Beteiligten abzuleiten (Lurtz/Ruhmann ZD-Aktuell 2020, 07281; s. a. Bericht des Beirats Beschäftigtendatenschutz, S. 5). Demnach sollte ein Beschäftigtendatenschutzgesetz Risiken komplexer Technologien für das Beschäftigtenverhältnis adressieren, nicht bloß bei dem geltenden Recht ähnelnden Generalklauseln verharren und zugleich eine hinreichende Verallgemeinerungsfähigkeit wahren.

Mit einem spezifischen Beschäftigtendatenschutzgesetz könnte Deutschland innerhalb der EU zu den Vorreitern gehören. Zahlreiche weitere Mitgliedstaaten haben der EU-Kommission gem. Art. 88 Abs. 3 DS-GVO Einzelregelungen zum Beschäftigtendatenschutz mitgeteilt – mit Ausnahme von Finnland, wo es bereits seit 2004 ein Beschäftigtendatenschutzgesetz gibt (Körner NZA 2021, 1137 (1143)). Zudem wird eine sachgerechte nationale Regelung als mögliches Vorbild für eine europäische Regulierung in diesem Bereich, der zunehmend grenzüberschreitende Verarbeitungen von Beschäftigtendaten aufweist, gesehen (Weichert NZA 2020, 1597 (1601)).

3. Empfehlungen des Beirats zum Beschäftigtendatenschutz

Der Beirat Beschäftigendatenschutz formuliert in seinem Abschlussbericht das Erfordernis, ausgewogene konkretisierende gesetzliche Regelungen für alle Beteiligten zu schaffen, die daneben von untergesetzlichen Regelungen wie Rechtsverordnungen und Kollektivverträgen sowie datenschutzrechtlichen Instrumenten in Form von Verhaltensregeln iSv Art. 40 f. DS-GVO oder Zertifizierungen gem. Art. 42 f. DS-GVO flankiert werden sollten (Bericht des Beirats Beschäftigtendatenschutz, S. 6 f.).

Zur Ausfüllung des verfassungs- und europarechtlichen Handlungsrahmens legt der Beirat sehr allgemein gehaltene Leitgedanken fest, wie den verhältnismäßigen Ausgleich der Grundrechte der Beschäftigten und der Arbeitgeber unter besonderer Beachtung des Schutzes der Menschenwürde der Beschäftigten, Technologieneutralität und Technikoffenheit der Regelungen, Transparenz für Beschäftigte und Betriebsräte über die zur Datenverarbeitung verwendeten Einrichtungen und Programme sowie die Gewährleistung einer wirksamen Rechtsdurchsetzung (Bericht, S. 6). Zusammenfassend schlägt er folgende gesetzliche Regelungen sowie weitere Maßnahmen vor:

a) Konkretisierung der Erforderlichkeit bei gesetzlicher Verarbeitungserlaubnis und Anforderungen an die Einwilligung

Der Beirat empfiehlt hinsichtlich der Rechtsgrundlagen in DS-GVO und BDSG, die an das Merkmal der Erforderlichkeit anknüpfen, relevante typisierbare Fallkonstellationen in Gesetzesrecht zu überführen. Für die Bewerbungsphase werden konkret das Datenerhebungsrecht („Fragerecht“) des Arbeitgebers, Einstellungstests und Einstellungsuntersuchungen genannt. Auch für die Durchführung des Beschäftigungsverhältnisses sollten spezifische gesetzliche Tatbestände geschaffen werden, wo es möglich und angemessen ist. Außerdem werden an Art. 5 DS-GVO orientierte Parameter für die Prüfung der Erforderlichkeit empfohlen, die Art, Umfang, Intensität und Umstände der Verarbeitung betreffen (Bericht, S. 7).

Hinsichtlich verdeckter Kontroll- und Überwachungsmaßnahmen spricht sich der Beirat ebenfalls für eine gesetzliche Klarstellung aus, ist sich über deren Inhalt jedoch nicht einig. Mehrheitlich stimmten die Mitglieder für die Zulässigkeit verdeckter Maßnahmen höchstens in Ausnahmefällen als Ultima Ratio zur Aufdeckung von Straftaten. Sonstige schwere Pflichtverletzungen sollten nicht genügen. Minderheiten im Beirat sprachen sich für den Einbezug auch von Letzteren aus oder lehnten verdeckte Maßnahmen ausnahmslos ab. Jedenfalls müssten bei verdeckten Maßnahmen ex ante betriebliche oder außerbetriebliche Akteure einbezogen werden sowie ex post die Transparenz des Verfahrens und Information des Betroffenen gewährleistet sein. Der Sonderfall des anlasslosen Abgleichs von Beschäftigtendaten mit Terrorismus- und Sanktionslisten sei bei Schaffung einer spezifischen Rechtsgrundlage zulässig; nach einer Minderheit des Beirats sei der Abgleich bereits nach aktueller Gesetzeslage zulässig (Bericht, S. 7).

In Bezug auf die Anforderungen an die Einwilligung betont die Mehrheit des Beirats, dass die Freiwilligkeit wegen des im Beschäftigungsverhältnis grundsätzlich bestehenden Über-/Unterordnungsverhältnisses regelmäßig nur beim Vorliegen besonderer Umstände, wie eigene Interessen des Beschäftigten an der Einwilligung, gegeben ist. Sowohl für die Bewerbungsphase als auch für die Beschäftigungsphase sollten Regelbeispiele formuliert werden, etwa iRe Ergänzung von § 26 Abs. 2 S. 1 BDSG (Bericht, S. 7 f.). Spezifische Regelungen zum Beschäftigtendatenschutz fordert der Beirat auch mit Blick auf datenbasierte Geschäftsmodelle und neue Beschäftigungsformen, zB in der Plattformökonomie (Bericht, S. 10).

b) Regelung des Einsatzes von KI im Beschäftigungsverhältnis

Eindrücklich und einstimmig empfiehlt der Beirat die gesetzliche Regelung des Einsatzes von KI im Beschäftigungskontext. Unter KI fasst der Beirat nicht nur selbstlernende Systeme, sondern auch andere algorithmische Systeme, deren Funktion und Wirkung auf Grund ihrer hohen Komplexität alleinfalls für Experten nachvollziehbar sind. Die gesetzliche Regelung sollte die europäische Rechtsentwicklung beachten und sich an den sieben datenschutzrechtlichen Anforderungen an den KI-Einsatz aus der Hambacher Erklärung der Datenschutzkonferenz (DSK) orientieren (Bericht, S. 8). Diese lauten: Keine Degradierung des Menschen zum Objekt; Vorliegen verfassungsrechtlich legitimierter Zwecke und keine Aufhebung des Zweckbindungsgebots; Transparenz, Nachvollziehbarkeit und Erklärbarkeit; Vermeidung von Diskriminierungen; Datenminimierung; Festlegung und Kommunikation der Verantwortlichkeit; technische und organisatorische Standards (näher Hambacher Erklärung zur Künstlichen Intelligenz v. 3.4.‌2019, S. 3 ff.).

c) Regelung von spezifischen Rechten der Betroffenen

Bestehenden Unsicherheiten im Hinblick auf die Rechte der betroffenen Personen und die Pflichten des Verantwortlichen nach der DS-GVO sollte mit spezifischen Rechtsgrundlagen für typische Verarbeitungssituationen im Beschäftigungsverhältnis begegnet werden. Zur Herstellung von Transparenz sei der Auskunftsanspruch eines Beschäftigten ein wesentliches Mittel, er dürfe jedoch nicht sachfremd geltend gemacht werden (Bericht, S. 8).

Zudem tritt die Mehrheit des Beirats für die gesetzliche Normierung eines Sachvortrags- und Beweisverwertungsverbots für rechtswidrig verarbeitete Beschäftigtendaten unter Nennung der Kriterien für eine gerichtliche Prüfung ein. In Betrieben mit Betriebsrat empfiehlt sie eine ausdrückliche Möglichkeit der Betriebsparteien, Verwertungsverbote in Betriebsvereinbarungen aufzunehmen. Eine Minderheit des Beirats spricht sich unter Verweis auf die freie richterliche Beweiswürdigung gegen solche Regelungen aus (Bericht, S. 8).

d) Regelungen im Betriebsverfassungsrecht zur Stärkung von Betriebsräten und Betriebsvereinbarungen

Für einen wirksameren Beschäftigtendatenschutz durch den verstärkten Einsatz von Betriebsvereinbarungen als sachnahem Regelungsinstrument befürwortet die Mehrheit des Beirats flankierende Regelungen im Betriebsverfassungsgesetz (BetrVG), die Betriebsräte besser befähigen sollen, die Persönlichkeitsrechte der Beschäftigten zu schützen. Eine Minderheit erachtet hingegen Anreize für Arbeitgeber, Betriebsvereinbarungen abzuschließen, als sinnvoller (Bericht, S. 8). Im Hinblick auf die zentrale Rolle der Betriebsräte beim Beschäftigtendatenschutz sind nach mehrheitlicher Auffassung weitere ergänzende Regelungen im BetrVG erforderlich, zB erweiterte Mitbestimmungsrechte und die erleichterte Hinzuziehung von externen Sachverständigen. Demgegenüber lehnt eine Minderheit des Beirats solche Erweiterungen und insb. die Mitbestimmung bei der Bestellung von Datenschutzbeauftragten als systemfremd und hinderlich zur Erreichung der Datenschutzziele ab (Bericht, S. 9). Für Unternehmen ohne Betriebsrat sollten Handlungsempfehlungen für die datenschutzrechtlich Verantwortlichen geschaffen werden, etwa durch eine einzurichtende Beschäftigtendatenschutzkommission beim BMAS (Bericht, S. 10).

e) Verbesserung der Rechtsdurchsetzung

Zur Verbesserung der Rechtsdurchsetzung im Bereich des Beschäftigtendatenschutzes plädiert der Beirat für eine Stärkung der Durchsetzungsbefugnisse der Aufsichtsbehörden und der Unabhängigkeit der betrieblichen Datenschutzbeauftragten. Außerdem empfiehlt eine Mehrheit des Beirats eine verbesserte Rechtsstellung von Betriebsräten und Gewerkschaften iRd gerichtlichen Rechtsschutzes, wohingegen eine Minderheit einen solchen Regelungsbedarf verneint (Bericht, S. 9).

f) Verstärkung der Aufsichtsbehörden und Errichtung neuer Gremien

Die Datenschutzaufsichtsbehörden sollten personell verstärkt werden, damit Verstöße gegen den Beschäftigtendatenschutz möglichst vermieden oder frühzeitig aufgedeckt werden und die Behörden leichter auch unterstützende Beratung übernehmen können (Bericht, S. 9). Ergänzend zu einem eigenständigen Beschäftigtendatenschutzgesetz empfiehlt der Beirat die Schaffung einer ständigen Beschäftigtendatenschutzkommission beim BMAS sowie ein ständiges Sekretariat des Arbeitskreises Beschäftigtendatenschuz der Datenschutzkonferenz. Diese Gremien könnten neben der Beratung des Gesetz- und Verordnungsgebers abstrakte Regelungen für die Praxis konkretisieren, etwa mit Best-Practice-Ansätzen, Musterdokumenten, Selbstaudits zum Datenschutzniveau sowie Prüfkriterien für die Auswahl und Entwicklung von Verarbeitungssystemen nach dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gem. Art. 25 DS-GVO (Bericht, S. 10).

4. DGB-Entwurf eines Beschäftigtendatenschutzgesetzes

Ausführlicher und detaillierter in Einzelfragen als der Abschlussbericht des Beirats stellt sich der 40 Paragrafen und 22 Seiten umfassende, individualrechtlich ausgerichtete Entwurf des DGB dar. Er wurde gemeinsam von DGB, seinen Mitgliedsgewerkschaften und Prof. Peter Wedde, der auch Mitglied des Beirats war, erarbeitet. In vielen Punkten bestehen inhaltliche Überschneidungen zu den Empfehlungen des Beirats, sodass mit dem DGB-Entwurf insoweit konkret ausformulierte Regelungsvorschläge vorliegen. Sie beziehen sich in ihrem sachlichen Anwendungsbereich auf die Verarbeitung von Beschäftigtendaten in der Anbahnungs- und Durchführungsphase sowie nach Beendigung von Beschäftigungsverhältnissen durch den Arbeitgeber oder durch Dritte, die vom Arbeitgeber veranlasst oder ermöglicht werden (§ 2 Abs. 1 BeschDSG-E). § 6 BeschDSG-E listet einige Grundsätze zur Verarbeitung von Beschäftigtendaten, zB Grundsatz der Direkterhebung mit explizitem Ausschluss der Erhebung erforderlicher Daten aus dem Internet und Verbot der Zusammenführung der Beschäftigtendaten mit anderen personenbezogenen Daten aus anderen Rechtsverhältnissen außerhalb des Beschäftigungsverhältnisses. Hinsichtlich der Erforderlichkeit der Datenverarbeitung knüpft § 9 im Wesentlichen an § 26 Abs. 15 BDSG an und führt näher aus, welche Informationen Beschäftigten auf Verlangen zur Verfügung zu stellen sind. Für eine zulässige Datenverarbeitung auf Grundlage einer Einwilligung wird deren nachweisbare Freiwilligkeit, für die der Arbeitgeber beweispflichtig ist, sowie die Erforderlichkeit der Verarbeitung verlangt und die Berücksichtigung des Über-/Unterordnungsverhältnisses betont (§ 10 Abs. 1, 3 BeschDSG-E).

Für die Bewerbungsphase werden in §§ 12 ff. BeschDSG-E, wie auch vom Beirat gefordert, typisierbare Fallkonstellationen geregelt, darunter etwa ein Verbot der Verarbeitung biometrischer Daten, Vorgaben für Einstellungstests und -untersuchungen sowie das Fragerecht und die Unzulässigkeit bestimmter Fragen (zB zur Schwangerschaft), wie sie weitestgehend auch aus der Einzelfallkasuistik der Arbeitsgerichtsbarkeit bekannt sind. Für die Durchführung von Beschäftigungsverhältnissen ist u. a. hinsichtlich der Kontrolle von Beschäftigten ein Verbot von heimlichen oder verdeckten Verhaltens- und Leistungskontrollen vorgesehen (§ 21 BeschDSG-E). Mit Blick auf die Aufdeckung von Straftaten folgt der Entwurf in § 22 BeschDSG-E den Vorgaben in § 26 Abs. 1 S. 2 BDSG und der mehrheitlichen Auffassung des Beirats, die in weiteren Absätzen mit Vorgaben zu Verfahren und Transparenz spezifiert werden. Für Video- und Audioüberwachung sowie Aufnahmefunktionen werden nach §§ 23 f. BeschDSG-E Verbote mit Ausnahmetatbeständen statuiert.

Hinsichtlich der vom Beirat hervorgehobenen Regulierung des KI-Einsatzes normiert § 12 Abs. 7 BeschDSG-E für die Verarbeitung von Beschäftigtendaten mit KI-Anwendungen in der Bewerbungsphase eine rechtzeitig vor Verarbeitungsbeginn umzusetzende Informationspflicht der Arbeitgeber betreffend die zu Grunde liegenden Regeln und Algorithmen. Die Letztentscheidung muss entsprechend Art. 22 Abs. 1 DS-GVO in jedem Fall von einem Menschen getroffen werden. § 17 Abs. 6 BeschDSG-E sieht mit Blick auf Abweichungen von den von Arbeitgebern vorab benannten Verarbeitungszwecken neben der Unzulässigkeit der Erstellung von Persönlichkeitsprofilen, von Scoring und Profiling, der zweckfreien Vorratsdatenspeicherung auch ausdrücklich die Unzulässigkeit der Verarbeitung von Beschäftigtendaten mit KI-Software vor.

Weiterhin finden sich in § 25 BeschDSG-E Vorgaben für die Verarbeitung, Verwendung und Übermittlung von Beschäftigtendaten aus Cloud-Umgebungen und „Software as a Service“-Anwendungen, die sich vor allem auf die Datenminimierung und Zweckbindung beziehen. Zudem verbietet § 26 BeschDSG-E in Bezug auf die Datenverarbeitung durch integrierte Endgeräte, die mit betrieblichen Systemen verbunden sind, explizit eine Herstellung eines Personenbezugs zwischen den Daten in Geräten oder Arbeitsmitteln und Beschäftigten, um Verhaltens- und Leistungskontrollen zu verhindern. Wo technisch möglich, muss eine durchgängige, automatisierte Anonymisierung der Daten vorgenommen werden. Bei permanent mitgeführten integrierten IT-Anwendungen müssen Beschäftigte aus persönlichen Gründen die Datenverarbeitung jederzeit unterbrechen können, ohne arbeitsrechtliche Nachteile zu erfahren. Ähnliches gilt für die Ortung von Beschäftigten mittels technischer Einrichtungen zur personenbezogenen Standortbestimmung (§ 27 BeschDSG-E). Zudem sind für datenschutzwidrige Verarbeitungen in § 29 BeschDSG-E Sachvortrags- und Verwertungsverbote vorgesehen. Die Auskunftspflichten der Arbeitgeber gegenüber Beschäftigten setzen gem. § 32 BeschDSG-E voraus, dass die Arbeitgeber alle von ihnen durchgeführten oder beauftragten Verarbeitungen eigenständig steuern und kontrollieren können und den Beschäftigten hierüber Auskunft geben können.

5. Fazit und Ausblick

Der Beirat Beschäftigtendatenschutz hat in seinem Abschlussbericht vielfältige Handlungsempfehlungen präsentiert, die zum Ausdruck bringen, wie wichtig eine ausgewogene Berücksichtigung und kompromisshafte Zusammenführung der teilweise gegenläufigen Interessen der Beteiligten ist. Die Empfehlungen sind weitestgehend nicht detailreich und lassen dem Gesetzgeber, sollte er sie aufgreifen, großen Spielraum. Dass der Beirat an mehreren, nicht unerheblichen Punkten keine einstimmige Position finden konnte, könnte jedoch die Überzeugungskraft der Empfehlungen etwas schmälern und ein Vorbote sehr kontroverser Debatten im Parlament sein.

Hinsichtlich der vom Beirat betonten Bedeutung der Regulierung des KI-Einsatzes im Beschäftigungskontext enthält der DGB-Entwurf mehrere konkrete Anknüpfungspunkte, die in Zusammenschau mit den anderen vorgeschlagenen Regelungen, zB Videoüberwachung oder Datenverarbeitung durch integrierte Endgeräte, die mit betrieblichen Systemen verbunden sind, sowie der Kodifizierung gefestigter Arbeitsrechtsprechung wichtige Weichenstellungen zur Verhinderung von Datenmissbrauch und für eine vertrauenswürdige Datenverarbeitung in der digitalisierten Arbeitswelt darstellen.

Daneben spielen die weiteren Handlungsmöglichkeiten wie untergesetzliche Normsetzung und Konkretisierungen, zB durch die vom Beirat empfohlene Erstellung von Prüfkriterien für die Auswahl und Entwicklung von Verarbeitungssystemen nach dem Grundsatz Privacy by Design, eine bedeutende Rolle. Auch wird für eine vertrauensvolle, datenschutzgerechte Gestaltung der Datenverarbeitung oftmals die Beteiligung von Arbeitgeber, Betriebsrat und (betrieblichem) Datenschutzbeauftragten erforderlich sein. Damit die Betriebsräte ihrer zentralen Rolle bei der Etablierung eines wirksamen Beschäftigtendatenschutzes ausfüllen können, sind die vorgeschlagenen ergänzenden Regelungen zur Stärkung der Betriebsräte zu befürworten. Im Hinblick auf Unternehmen ohne Betriebsräte könnten die staatlichen Aufsichtsbehörden aktiver sein, wozu sie besser ausgestattet werden müssten. Es bleibt abzuwarten, inwieweit die Empfehlungen des Beirats und der DGB-Entwurf gesellschaftlich und politisch Anklang finden und in neue Regelungen einfließen werden – zu Gunsten der Rechtssicherheit und -klarheit für alle Beteiligten wäre eine erfolgreiche Umsetzung spezifischer Regelungen für den Beschäftigendatenschutz in dieser Legislaturperiode zu begrüßen.

Ass. iur. Lena Isabell Löber ist Wissenschaftliche Mitarbeiterin der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel.