Dr. iur. Matthias Lachenmann
A. Neue gesetzliche Vorgaben an die Verarbeitung der Beschäftigtendaten
Rz. 1
Arbeitsverhältnisse sind, insbesondere bei Durchführung der betrieblichen Tätigkeiten durch Beschäftigte sowie Einsatz digitaler Mittel für die Steuerung des Einsatzes der Beschäftigten, undenkbar ohne das Entstehen und die Verarbeitung einer Vielzahl personenbezogener Daten der Beschäftigten. Viele Systeme werden erst effektiv, wenn eine Vielzahl personenbezogener Daten verarbeitet werden kann. Neue Methoden zur Datenanalyse, dem "Vorhersagen" von Handlungen und die Verknüpfung von Vorgängen im Unternehmen können die Unternehmenszwecke vereinfachen und Arbeitgebern Analysen für künftige Entwicklungen ermöglichen. Vielfach steht solchen Interessen der Arbeitgeber das Recht der betroffenen Beschäftigten auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) entgegen, die sich nicht als bloßes Objekt der Unternehmensziele sehen möchten. Deutlich wird der Zwiespalt im Bereich des "Arbeiten 4.0", beispielsweise bei sog. Predictive Policing, bei dem Leistungseigenschaften eines Beschäftigten unter Zuhilfenahme von anderen Datenmengen (Big Data) oder Technologien der künstlichen Intelligenz (KI) analysiert werden und dadurch ein (vermeintliches) Entwicklungsprofil eines Beschäftigten erstellt wird.
Rz. 2
Die EU-Datenschutzgrundverordnung 679/2016 (DSGVO), die seit dem 25.5.2018 europaweit gilt, hat zu einem großen Aufwand in Unternehmen geführt und soll das Schutzniveau der Beschäftigten verbessern. Bei allem Lob über die Weiterentwicklung der Vorgaben zur Datenverarbeitung reißt die Kritik an dem Gesetz nicht ab. Es wird einerseits als zu bürokratisch und Innovationen in Unternehmen verhindernd kritisiert, andererseits die Zaghaftigkeit der Datenschutz-Aufsichtsbehörden und mangelnde Durchsetzung durch Gerichte kritisiert. Dennoch entwickelt sich die Rechtslage weiter, kommt zusehends auch bei den Arbeitsgerichten an und wird den Datenschutz als Teil der Unternehmenscompliance fest verankern. Auch die EU-Kommission lässt sich von der Kritik an der Technologieregulierung nicht beirren und wird in den nächsten Jahren weitere Gesetze erlassen, wie die KI-Verordnung oder den Data Act.
Rz. 3
Die internationalen Entwicklungen zeigen eine positive Ausstrahlungswirkung der DSGVO bzw. ein eigenes zunehmendes Verständnis der Notwendigkeit einer Normierung von Datenverarbeitung: Verschiedene Staaten haben ihre Gesetze vergleichbar zu den europäischen Vorgaben weiterentwickelt. Beispielsweise hat Japan eine neuere Version seines Datenschutzgesetzes APPI verabschiedet und so einen Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO erreicht. Zuletzt wurden die Regelungen sogar verschärft, die neue Fassung wird am 1.4.2022 in Kraft treten. Auch die Republik Korea hat ihr Datenschutzgesetz überarbeitet, die Neufassung des PIPA trat am 5.8.2020 in Kraft. Daher leitete die EU-Kommission am 16.6.2021 das Verfahren zur Annahme des Angemessenheitsbeschlusses. Währenddessen erlassen diverse andere Staaten ebenfalls Datenschutzgesetze, auch die US-Bundesstaaten. Hervorzuheben sind dabei insbesondere die Entwicklungen in Kalifornien, zunächst durch den CCPA, nun verschärft durch den CPRA. Mit dem von der EU betretenen "Neuland" könnte es so tatsächlich möglich werden, den Schutz personenbezogener Daten weltweit zu fördern. So könnte trotz mancher Einschränkung der Entwicklungspotentiale von Unternehmen eine weltweite Vorrangstellung der EU bei der Digitalisierung erreicht werden.
Rz. 4
Trotz der umfangreichen Regelungen in der DSGVO hat der deutsche Gesetzgeber für den Beschäftigtendatenschutz vorgesehen, dass die bisherige Rechtslage bei den Rechtsgrundlagen und Abwägungskriterien fortbestehen solle. Er machte daher von der Öffnungsklausel in Art. 88 Abs. 1 DSGVO Gebrauch, nach der Mitgliedsstaaten "spezifischere Vorschriften zur Datenverarbeitung im Beschäftigungskontext" vorsehen können, und übernahm die Formulierung aus § 32 BDSG a.F. fast wortgleich. Die Forderung nach einem eigenständigen Beschäftigtendatenschutzgesetz steht seit vielen Jahren im Raum, wurde aber im Rahmen der Überarbeitung des BDSG a.F. nicht aufgegriffen, was durchaus positiv zu bewerten war, da keiner der vorherigen Entwürfe überzeugen konnten. Die Pläne schwelen aber weiterhin. Vom Bundesministerium für Arbeit und Soziales wurde zum 16.6.2020 ein "interdisziplinärer Beirat zum Beschäftigtendatenschutz" einberufen, um Ideen und Vorschläge für ein neues Beschäftigtendatenschutzrecht zu entwickeln. Der Abschlussbericht war für das Ende der Legislaturperiode angekündigt, was aber nicht eingehalten wurde. Ob daraus ein Gesetzesentwurf entstehen wird, bleibt abzuwarten.
Rz. 5
Im Nachgang zur Datenschutzgrundverordnung sollen weitere Verordnungen folgen, die die technischen, gesellschaftlichen und datenschutzrechtlichen Entwicklungen weiter abbilden sollen. So wurde im Januar 2017 von der EU-Kommission der Entwurf einer ePrivacy-Verordnung vorgelegt, die u.a. Regelunge...