Ein Ausblick auf mögliche Veränderungen im Datenschutz am Arbeitsplatz
Die Verarbeitung personenbezogener Daten von Beschäftigten ist ein sensibles Thema, das im Kontext der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) strengen Regelungen unterliegt.
Mit dem aktuellen Referentenentwurf zum Beschäftigtendatengesetz (BeschDG) werden wichtige Neuerungen angestoßen, die sowohl Arbeitgeber als auch Arbeitnehmer betreffen. In diesem Artikel erläutern wir die wesentlichen Punkte des Entwurfs und die potenziellen Auswirkungen auf die Datenverarbeitung in Unternehmen.
Mehr Klarheit im Umgang mit Beschäftigtendaten
Bereits im April 2024 wurde ein Eckpunktepapier zu einem Beschäftigtendatenschutzgesetz veröffentlicht. Im Oktober 2024 veröffentlichten das Bundesministerium für Arbeit und Soziales, sowie das Bundesministerium des Innern und für Heimat einen Entwurf des sogenannten Beschäftigtendatengesetzes (BeschDG). Wenn der Gesetzesentwurf umgesetzt wird, bedeutet das einen weiteren Schritt im Umgang mit den personenbezogenen Daten von Mitarbeitern.
BLOG-TIPP: MITARBEITERDATENSCHUTZ: RECHTE UND PFLICHTEN IM UNTERNEHMEN
Was gilt für Mitarbeiterdaten nach jetzigem Stand?
Es werden gerade im Beschäftigtenverhältnis viele personenbezogene Daten verarbeitet. Diese Verarbeitung beginnt bereits im Bewerbungsverfahren. Nach bisher geltendem Recht sind Mitarbeiter bereits als Betroffene zu sehen. Bei der Verarbeitung ihrer personenbezogenen Daten gelten daher bereits alle Vorgaben von DS-GVO und BDSG im Datenschutz.
Dazu gehört die Umsetzung der Betroffenenrechte wie zum Beispiel das Recht auf Auskunft, das Recht auf Vergessenwerden, das Recht auf Löschung und weitere. Nun möchte der Gesetzgeber auf die spezielle Verarbeitung von personenbezogenen Daten der Beschäftigten eingehen – dies soll durch den aktuellen Entwurf abgedeckt werden.
Dabei soll ein eigenständiges Beschäftigtendatengesetz entstehen. Das BDSG bleibt anwendbar, nur der §26 BDSG wird entsprechend aufgehoben. Darüber hinaus werden Gesetze wie das Hinweisgeberschutzgesetz, welche auf diesen Paragrafen Bezug nehmen, entsprechend geändert und nehmen nun Bezug auf das neue Gesetz.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Was besagt der Referentenentwurf?
Der Referentenentwurf zum Beschäftigtendatengesetz, der momentan zur Einsicht vorliegt, zielt darauf ab, spezifische Regelungen zur Verarbeitung personenbezogener Daten von Beschäftigten zu schaffen. Hierbei geht es sowohl um den Schutz von Persönlichkeitsrechten der Mitarbeiter als auch den Einsatz von modernen Technologien und Datenverarbeitungen, bei der Verarbeitungen von personenbezogenen Daten von Beschäftigten.
Dabei regelt er auch den Einsatz von KI bei der Verarbeitung von personenbezogenen Daten der Betroffenen und bezieht sich dabei auf die neue KI-Verordnung (AI Act) der EU.
Das bedeutet auch, dass die Rahmenbedingungen für Arbeitgeber nun deutlich klar und rechtssicher gestaltet werden sollen. Der Datenschutz im Beschäftigungsverhältnis soll modernisiert werden und die Betroffenen in der digitalen Arbeitswelt zunehmen geschützt werden können.
BLOG-TIPP: SMART SPEAKER UND DATENSCHUTZ
Mögliche Neuerungen durch das Beschäftigtendatengesetz
Die Verhältnismäßigkeitsprüfungen bei der Verarbeitung von Mitarbeiterdaten sollen beispielsweise strenger werden. Das bedeutet auch, dass die schutzwürdigen Interessen der Beschäftigen eine stärkere Gewichtung bei der Prüfung haben.
Auch die Anforderungen bei der Zweckänderung werden erhöht. Das Bedeutet personenbezogene Daten von Beschäftigten dürfen nur unter streng festgelegten Bedingungen für einen anderen Zweck als den ursprünglichen verarbeitet werden. Die Verwendung von Daten zu Leistungsbewertung wird dabei stark eingeschränkt.
Risikomanagement durch Interessenabwägung
Ein weiterer Vorschlag im Gesetz ist, dass das Risikomanagement durch eine detaillierte Interessenabwägung neugestaltet wird. Das resultiert aus dem Abhängigkeitsverhältnis des Arbeitnehmers gegenüber dem Arbeitgeber. Durch die Interessenabwägung und das dadurch neu gestaltete Risikomanagement, dass sich vor allem durch die besondere Prüfung neuer Technologien durch menschliche Aufsicht auszeichnet, soll auch eine neue Transparenz entstehen.
Weitere mögliche Neuerungen sind darüber hinaus zum Beispiel erweiterte Betroffenenrechte beim Einsatz von KI. Auch striktere Regelungen zur Überwachung sind geplant. Dabei werden Überwachungsmaßnahmen streng reglementiert und eine verdeckte Überwachung nur bei Verdacht auf eine Straftat erlaubt. Eine Leistungsüberwachung ist demnach nicht mehr erlaubt.
Daten, die gegen die Vorgaben des Datenschutzes erlangt wurden, dürfen nicht mehr, auch nicht bei Verfahren beim Arbeitsgericht, genutzt werden.
BLOG-TIPP: AI ACT: KI IM UNTERNEHMEN NUTZEN – WAS BEDEUTET DAS FÜR DEN DATENSCHUTZ?
Betriebsrat erhält Mitbestimmung
Eine weitere Neuerung im Gesetzesentwurf ist die erweiterte Mitbestimmung des Betriebsrates bei der Bestellung und auch bei der Abberufung des Datenschutzbeauftragten, aber auch beim Einsatz von neuen Technologien, z.B. KI.
Alle genannten Maßnahmen sollen vor allem mehr Schutz für Beschäftigte im Sinne des Datenschutzes mit sich bringen. Es bedeutet auch, dass Arbeitgeber die Umsetzung von datenschutzrelevanten Vorgaben im Beschäftigungsverhältnis deutlich verstärken müssen und auch dokumentieren und erläutern müssen, vor allem gegenüber dem Betroffenen.
Geänderte Regeln zur Einwilligung
Ein besonderer Bereich bei Beschäftigtendaten war immer die Rechtsgrundlage der Verarbeitung aus Sicht des Datenschutzes. Nicht selten wird dabei die Einwilligung genutzt, welche aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer immer wieder auch in Kritik geraten ist.
Beim neuen Gesetzesentwurf wurde das Thema der Freiwilligkeit nun noch einmal konkreter festgesetzt. Dabei legt der Entwurf fest, wann die Einwilligung im Beschäftigtenverhältnis freiwillig sein kann. Das geschieht in erster Linie in Form von konkreten Beispielen.
Geänderte Löschfristen für Bewerberdaten
Bisher war die empfohlene Löschfrist von personenbezogenen Daten von Bewerbern in der Regel sechs Monate. Diese resultierte aus gesetzlichen Pflichten und Aufbewahrungszeiten z.B. aus dem Arbeitsrecht.
Nun soll im neuen Gesetzentwurf diese Zeit fixiert werden auf drei Monate – was bedeutet, dass spätestens nach drei Monaten, nachdem ein Arbeitsvertrag nicht zustande gekommen ist – noch genauer: die Entscheidung dazu getroffen wurde – , die Daten gelöscht werden müssen. Ausnahmen kann es geben, wenn zum Beispiel ein Rechtsstreit vorliegt und die Daten daher noch benötigt werden. Möchten potentielle Arbeitgeber die Daten von Bewerbern speichern, um zu einem späteren Zeitpunkt noch einmal Kontakt aufzunehmen, braucht es eine Einwilligung des Betroffenen.
BLOG-TIPP: WAS SIND LÖSCHFRISTEN IM DATENSCHUTZ?
Gesetzesentwurf des Beschäftigtendatengesetz
Durch die im Entwurf genannten Maßnahmen und Anpassungen soll der Beschäftigtendatenschutz transparenter und für Verantwortliche konkreter gestaltet werden. Es gilt für Unternehmen und andere Organisationen, sollte der Gesetzesentwurf durchgesetzt werden, entsprechende Anpassungen frühzeitig vorzunehmen, um vorbereitet in die neuen Vorgaben zu starten.
Derzeit steht noch nicht fest ob und mit welchen Änderungen das Gesetz umgesetzt werden wird. Verantwortliche sollten daher die weitere Entwicklung im Auge behalten und sich stetig mit ihrem Datenschutzbeauftragten kurzschließen, um auf mögliche Änderungen vorbereitet zu sein.
Um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen schon jetzt erfüllt sind, können Unternehmen die Unterstützung eines externen Datenschutzbeauftragten in Anspruch nehmen. Wir stehen Ihnen gerne zur Verfügung, um Sie bei der Umsetzung der neuen Vorgaben zu unterstützen und Ihre internen Datenschutzrichtlinien zu optimieren.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.