Beschäftigtendatenschutz auf dem Prüfstand – Ein Interview
Vor gut einem Jahr, im März 2023, hat der EuGH die deutschen Regelungen zum Beschäftigtendatenschutz kritisiert und für teilweise unvereinbar mit Europarecht erachtet, gleichzeitig diskutiert der Gesetzgeber – wieder einmal – über ein neues Beschäftigtendatenschutzgesetz. Dr. Stefan Brink (SB), ehemaliger Landesbeauftragter für den Datenschutz in Baden-Württemberg, spricht in diesem Interview mit Dr. Frank Schemmel (FS) über die aktuellen Entwicklungen und die neuesten Erkenntnisse aus Berlin. Dr. Stefan Brink war über sein wissenschaftliches Institut wida in das bisherige Gesetzgebungsverfahren eingebunden und hat sich bereits in seiner Zeit als Leiter einer Datenschutzbehörde intensiv mit diesem Thema befasst.
FS: Der EuGH hat im März 2023 eine Vorschrift im Hessischen Datenschutzgesetz, die fast inhaltsgleich mit unserem § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist, als sehr kritisch und nicht vereinbar mit Europarecht eingestuft. Was ist dem EuGH da so übel aufgestoßen? Und was muss der Gesetzgeber nun unternehmen, um das wieder glatt zu bügeln?
SB: Da muss er einiges tun. Artikel 88 Abs. 1 DS-GVO besagt, ihr könnt den Bereich Beschäftigtendatenschutz national regeln, aber ihr müsst es spezifischer tun. Und da war der § 26 Abs. 1 BDSG jedenfalls in seiner etwas schlichten Einfalt mit Sicherheit dem Europäischen Gerichtshof nicht genug. Genauso wie das Hessische Datenschutzgesetz letztlich nichts geregelt hat außer dem Erforderlichkeitsprinzip. Aber wir brauchen die nationale Regelung nicht, um so eine Norm aus der DSGVO zu wiederholen. Das war die eine Kritik.
Die zweite Kritik ergibt sich aus Artikel 88 Abs. 2 DSGVO. Danach müssen nämlich immer dann, wenn national Beschäftigtendatenschutz geregelt wird, besondere Schutzvorschriften vorgesehen werden. Und auch da ist der Europäische Gerichtshof nicht fündig geworden.
FS: Ein Referentenentwurf für ein neues Beschäftigtendatenschutzgesetz ist in der Mache und soll dieses Jahr noch kommen. Wie ist deine Einschätzung, nachdem wir schon viele Anläufe genommen haben: Wie stehen die Chancen, dass dieser Anlauf nach mehreren Versuchen endlich von Erfolg gekrönt ist?
SB: Es sieht tatsächlich so aus, als hätte sich das Bundesarbeitsministerium, das ja federführend ist, mit dem Bundesinnenministerium geeinigt, sodass möglicherweise sogar noch in diesem Jahr die Ressorts-Anhörung beginnen kann. Aber das ist nur der erste Schritt. Spannend wird es dann endgültig, wenn er ins Parlament kommt. Die Koalition hat eine Menge Probleme. Ob sie sich dieses schwierige Thema „Beschäftigtendatenschutz“ wirklich auflädt, wenn absehbar ist, dass es auch innerhalb der Koalition erhebliche Differenzen gibt – das werden wir sehen.
FS: Spielen wir „Wünsch dir was“. Wenn du jetzt konkret damit beauftragt werden würdest, ein Eckpunktepapier zu erstellen zum neuen Beschäftigtendatenschutzgesetz, was wäre darin enthalten?
SB: Natürlich gibt es ein paar Punkte, die aus meiner Sicht unbedingt rein müssten in so ein Beschäftigtendatenschutzgesetz. Ich glaube zum Beispiel, dass das Thema Screening am Arbeitsplatz ganz dringend reguliert werden müsste. Da passiert in der Praxis sehr viel, was falsch ist, wo auch zu stark in die Beschäftigtenrechte eingegriffen wird und der Arbeitgeber nicht wirklich eine Rechtsgrundlage hat.
Ich würde darüber hinaus die Transparenzanforderung der DSGVO in den Vordergrund stellen und alle heimlichen Überwachungsmaßnahmen des Arbeitgebers, auch wenn sie im Moment vom Bundesarbeitsgericht noch für zulässig erachtet werden, verbieten. Ich glaube, die DSGVO lässt solche intransparenten Überwachungsmaßnahmen überhaupt nicht zu. Und schließlich würde ich insbesondere im Bewerbungskontext klarer regeln, was der Arbeitgeber an Informationen über den Bewerber einsammeln darf. Stichwort: Nutzung von Social Media. Wie stark darf er dem Bewerber hinterher ermitteln? Ich glaube, da brauchen wir dringend klare gesetzliche Vorgaben.
Dr. Frank Schemmel und Dr. Stefan Brink
§ 26 Abs. 1 BDSG: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Das Interview erscheint in voller Länge am 25. April 2024 in der Mai-Ausgabe des Compliance-Beraters (CB 5/2024). Dort tauschen sich Dr. Stefan Brink und Dr. Frank Schemmel außerdem aus zu den Themen: Datenschutz ist kein Tatenschutz, die datenschutzrechtliche Einwilligung im Arbeitskontext sowie Betriebsrat und Datenschutz.
Dr. Frank Schemmel, Compliance Officer (Univ.) ist Senior Director Privacy, Compliance & Public Affairs bei DataGuard in München. Schwerpunkt seiner Arbeit sind Datenschutz, Informationssicherheit, Whistleblowing und die rechtlichen Herausforderungen der Digitalisierung.
Dr. Stefan Brink, war zuletzt Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Zuvor war er unter anderem als Richter am Verwaltungsgericht Koblenz und als Wissenschaftlicher Mitarbeiter beim Bundesverfassungsgericht tätig. Von 2008 bis 2016 war er Leiter Privater Datenschutz beim LfDI Rheinland-Pfalz.
