Vojtech Herout - stock.adobe.com
Das Beschäftigtendatengesetz und der Datenschutz
Das geplante Beschäftigtendatengesetz soll zum Beispiel den Einsatz von KI am Arbeitsplatz behandeln. Den bisher vorliegenden Entwurf sehen Datenschützer kritisch.
Um Vertrauen und Akzeptanz der Beschäftigten in Bezug auf technologische Entwicklungen zu stärken, braucht es klare und verlässliche Regelungen zum Umgang mit Daten am Arbeitsplatz, so die Abteilung Denkfabrik des Bundesministeriums für Arbeit und Soziales. Ein wichtiges Beispiel ist KI (künstliche Intelligenz): Mit der Technologie können Beschäftigte bei der täglichen Arbeit unterstützt werden, etwa bei der Gestaltung der Schichtplanung, und von Routinetätigkeiten entlastet werden, zum Beispiel durch Nutzung von Chatbots für häufig aufkommende Kundenfragen, wie die Denkfabrik erklärt.
Gleichzeitig ist die zunehmende Datennutzung aber auch mit Risiken für die Persönlichkeitsrechte von Beschäftigten verbunden, betont das Ministerium. Mit neuen, datengetriebenen Technologien lassen sich sehr umfassende und detaillierte Datensätze über einzelne Personen erstellen. Das ermöglicht eine fast lückenlose Überwachung, zum Beispiel durch Tracken von Bildschirmbewegungen oder stimmbasierte Emotionserkennung.
Beschäftigtendaten brauchen (besseren) Schutz
Da ist es nicht verwunderlich, dass die Datenschutzaufsichtsbehörden schon mehrfach eine genauere Regelung für den Umgang mit Beschäftigtendaten angemahnt hatten: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte bereits in ihrer Entschließung vom 29. April 2022‚ „Die Zeit für ein Beschäftigtendatenschutzgesetz ist ‚Jetzt‘!“ (PDF), festgestellt, dass die bestehende bundesrechtliche Regelung im Beschäftigtenkontext nicht hinreichend praktikabel, normenklar und sachgerecht sei und als Generalklausel weite Interpretationsspielräume eröffne.
Der Europäische Gerichtshof (EuGH) hatte dann am 30. März 2023 in der Rechtssache C‐34/21 über die Anforderungen an eine europarechtskonforme Umsetzung des Beschäftigtendatenschutzrechts in Hessen entschieden. Die DSK macht deutlich (PDF): Die Entscheidung des EuGH ist bundesweit von großer Bedeutung, weil Gesetzgeber aufgrund der Feststellungen des EuGH, soweit noch nicht geschehen, prüfen müssten, ob bestehende Regelungen zum Beschäftigtendatenschutz in Deutschland den Vorgaben von Artikel 88 DSGVO entsprechen.
In Umsetzung des Koalitionsvertrages wollen das Bundesministerium für Arbeit und Soziales (BMAS) und das Bundesministerium des Inneren und für Heimat (BMI) ein eigenständiges Beschäftigtendatengesetz schaffen. Dazu liegt inzwischen ein viel diskutierter Referentenentwurf vor. Darin sind insbesondere Regelungen zum Einsatz von KI, zu Kontrolle und Überwachung am Arbeitsplatz, zu sensiblen Daten und zur Bewerbungsphase enthalten.
Im Beschäftigtendatengesetz fehlt „Schutz“
Auf Datenschutzkonferenzen wie der IDACON 2024 wurde der Referentenentwurf zum Beschäftigtendatengesetz diskutiert und kritisch gesehen. Der Entwurf enthalte zu viel Bürokratie und zu wenig Aspekte für den Datenschutz. Es handele sich um ein Beschäftigtendatengesetz, aber eben nicht um ein Beschäftigtendatenschutzgesetz.
Von Verbänden wie dem Gesamtverband der Versicherer (GDV) kommen verschiedene Anmerkungen zu dem Entwurf, teils gehen den Wirtschaftsvertretern die Beschränkungen zu weit. Ein Beispiel des GDV: „§ 15 erlaubt die Verarbeitung besonderer Kategorien von Beschäftigtendaten, um durch geeignete Maßnahmen nach § 5 AGG bestehende Nachteile zu verhindern oder auszugleichen. (...) Problematisch für den Anwender der Regelung könnte werden, dass laut der Begründung die Verarbeitung auf freiwillige Angaben beschränkt sein soll.“ Nötig sei aber auch die Verarbeitung aller Daten, die nach § 14 (Fragerecht im Bewerbungsverfahren) erhoben werden durften, so der GDV (PDF). ().
Den Datenschutzaufsichtsbehörden hingegen geht der Schutz für die Beschäftigtendaten eher nicht weit genug. Was Datenschützer von einem modernen Beschäftigtendatenschutzgesetz erwarten, zeigt zum Beispiel das Positionspapier „Bewerberdatenschutz und Recruiting im Fokus“ (PDF).
In dem Positionspapier zeigt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) auf, wie wichtig es angesichts der Vielzahl sensibler Daten in Bewerbungsunterlagen ist, die Datenschutzbestimmungen einzuhalten. Zum Beispiel wird der Einsatz von KI im Bewerbungsverfahren, einschließlich Lebenslaufparsern und Emotionsanalysen, hinsichtlich datenschutzrechtlicher Herausforderungen untersucht.
Emotionsanalysen werden grundsätzlich als unzulässig eingestuft, während Lebenslaufparser unter bestimmten Bedingungen erlaubt sein könnten. Der Ausblick zeigt, dass der Einsatz von KI im Recruiting weiter zunehmen wird, was strenge Datenschutzmaßnahmen erfordert, um rechtliche Risiken zu minimieren und das Vertrauen der Bewerberinnen und Bewerber zu gewinnen.
