Kategorie: Beschäftigtendatenschutz

Datenschutz im Bewerbungsverfahren

13. Juni 2024

In einer immer digitaler werdenden Arbeitswelt laufen auch Bewerbungsprozesse vermehrt nicht mehr analog ab. Dabei enthalten Bewerbungsunterlagen eine Vielzahl personebezogener Daten, die sich vom Namen über Angestelltenverhältnissen bis hin zu sensiblen Informationen wie Schwerbehinderungen erstrecken. Angesichts dieser Fülle an Daten ist es für Unternehmen von höchster Bedeutung, im Bewerbungsverfahren den Datenschutz zu wahren. Hierfür hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) am 06.06.2024 ein Positionspapier mit dem Titel „Bewerberdatenschutz und Recruiting im Fokus“ veröffentlicht. (mehr …)

EU-Parlament: Daten von Mitarbeitern und Abgeordneten geleakt

29. Mai 2024

Das EU-Parlament steht im Mittelpunkt einer Datenschutzpanne, durch die persönliche Daten von Mitarbeitern und Abgeordneten geleakt worden sein sollen. Die betroffenen Daten umfassen unter anderem Strafregisterauszüge, Gesundheitsinformationen, Reisepässe und Arbeitsnachweise. Hierzu hat das EU-Parlament den Betroffenen Personen am 22.05.2024 Informationen zur Verfügung gestellt. (mehr …)

EuGH: Urteil zu Gesundheitsdatenschutz

8. Januar 2024

Kurz vor Weihnachten hat der Europäische Gerichtshof (EuGH) in einem Urteil Stellung zum Gesundheitsdatenschutz bezogen. Zuvor hatte er bereits wegweisende Entscheidungen zum Schufa-Scoring und den Verschuldensanforderungen bei der Bußgelderteilung erlassen. Mit Urteil vom 21.12.2023 (C-667/21) hat der EuGH sich nun mit dem Gesundheitsdatenschutz im Arbeitsverhältnis auseinandergesetzt. (mehr …)

LAG: Bei verspäteter Auskunft kein Schadensersatz

14. Dezember 2023

Eine aktuelle Entscheidung des Landesarbeitsgerichts Düsseldorf (LAG) erregt Aufsehen. Das LAG hat am 28.11.2023 nämlich entschieden, dass im konkreten Fall kein Anspruch auf immateriellen Schadensersatz bei verspäteter Auskunft nach Art. 15 der Datenschutzgrundverordnung (DSGVO) bestand. Ob es sich hierbei um eine ordnungsgemäße Anwendung von europäischem Recht handelt, ist fraglich. (mehr …)

Digital-Gipfel 2023: KI-Regulierung

22. November 2023

Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.

Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa

Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.

Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.

Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.

Kritik an der Richtung der Bundesregierung

Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.

Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.

DGB fordert Mitbestimmung beim KI-Einsatz

Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.

Fazit

Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.

Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.

Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.

Verantwortlichkeit nach Art. 33 und 34 DSGVO: Klärung durch die österreichische Datenschutzbehörde

23. August 2023

Ein aktueller Bescheid der österreichischen Datenschutzbehörde wirft Licht auf eine interessante Fragestellung: Sind Verantwortliche, insbesondere Arbeitgeber, dazu verpflichtet, bei unberechtigter Datenverarbeitung durch Mitarbeiter sowohl die Meldung nach Art. 33 als auch die Benachrichtigung nach Art. 34 DSGVO durchzuführen?

Der Fall und die Fragestellung

Der Bescheid der österreichischen Datenschutzbehörde vom 1. Januar 2023 betraf einen Vorfall, bei dem Gesundheitsdaten einer betroffenen Person durch eine Mitarbeiterin des Verantwortlichen in einem Social-Media-Beitrag veröffentlicht wurden. Die Mitarbeiterin, die sich in einem Ausbildungsverhältnis zur Verantwortlichen befand, hatte unberechtigt auf elektronisch vorhandene Patientendaten zugegriffen und den Krankheitsverlauf der betroffenen Person auf einer Plattform veröffentlicht. Die Verantwortliche meldete den Vorfall vorsorglich nach Art. 33 DSGVO, da sie Zweifel an ihrer eigenen Verantwortlichkeit und somit an der Meldepflicht hatte.

Die zentrale Fragestellung des Falls war, ob der Verantwortliche, in diesem Fall der Arbeitgeber, den Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterliegt, wenn ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Der Verantwortliche argumentierte, dass er für den unberechtigten Zugriff der Mitarbeiterin nicht datenschutzrechtlich verantwortlich sei und daher keine Meldepflicht bestehe. Die Datenschutzbehörde hatte hier eine andere Auffassung.

Die Entscheidung der Datenschutzbehörde

Die Datenschutzbehörde entschied, dass der Verantwortliche sehr wohl der Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unberechtigte Datenverarbeitung durch einen Mitarbeiter stattfindet. Die Behörde unterschied zwischen den Verantwortlichkeiten auf zwei Ebenen:

  1. Arbeitgeber (Verantwortlicher): Verpflichtung zur Implementierung angemessener technischer und organisatorischer Maßnahmen, um unberechtigte Datenverarbeitungen zu verhindern.
  2. Mitarbeiterin (als eigene Verantwortliche): Unberechtigter Zugriff und Veröffentlichung von Patientendaten.

Die Behörde stellte klar, dass die Meldepflicht gemäß Art. 33 Abs. 1 DSGVO ausdrücklich an den jeweiligen Verantwortlichen gerichtet ist. Obwohl die Behörde anerkannte, dass in Einzelfällen eine eigenständige datenschutzrechtliche Verantwortlichkeit der Mitarbeiterin abgeleitet werden kann, war der Gegenstand des Verfahrens nicht die Verantwortlichkeit der Mitarbeiterin, sondern die Melde- und Benachrichtigungsverpflichtungen des Verantwortlichen.

Die Datenschutzbehörde stützte ihre Ansicht auch auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses (EDSA) zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”. Diese Leitlinien betonen, dass die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen, auch wenn ein Mitarbeiter seine Befugnisse in Bezug auf die Datenverarbeitung überschreitet.

Die Behörde verwies auch auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts, in der betont wurde, dass die dahinterstehende Organisation (Behörde) weiterhin für die Verarbeitungsweise durch ihre Mitarbeiter verantwortlich bleibt, auch bei sorgfaltswidriger Verwendung oder überschießender Akteneinsicht.

Fazit: Verantwortliche tragen Verantwortung

Der Bescheid der österreichischen Datenschutzbehörde verdeutlicht, dass Verantwortliche auch bei unberechtigter Datenverarbeitung durch Mitarbeiter gemäß Art. 33 und 34 DSGVO verpflichtet sind, sowohl eine Meldung als auch eine Benachrichtigung durchzuführen. Die klare Trennung zwischen den Verantwortlichkeiten von Arbeitgebern und Mitarbeitern sorgt für Klarheit in einer komplexen rechtlichen Landschaft. Dieser Bescheid unterstreicht die Bedeutung, dass Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und Datenschutzverletzungen zu minimieren. In Zeiten steigender Datenschutzanforderungen ist es unerlässlich, dass Verantwortliche ihre Pflichten ernst nehmen und für Transparenz und Sicherheit in der Datenverarbeitung sorgen.

EuGH entscheidet über Auskunftsanspruch

3. Juli 2023

Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.

Sachverhalt

Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.

Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.

Weiter Umfang des Art. 15 DSGVO

Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.

Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.

Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.

Einschränkungen

Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.

Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.

Fazit

Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.

EuGH: Vereinbarkeit von Datenschutzbeauftragterrolle und Betriebsratsvorsitz

9. Juni 2023

Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.

Der Fall

Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.

X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.

Die Vorlagefragen an den EuGH:

Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.

Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.

Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.

Entscheidung des EuGH

Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.

Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.

Fazit

Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.

Neue Regelungen zum Beschäftigtendatenschutz

25. April 2023

Zurzeit planen das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) neue Reglementierungen für den Beschäftigtendatenschutz. Dies geht aus einer Liste mit Vorschlägen für einen Gesetzesentwurf des Beschäftigtendatenschutzes hervor, über die verschiedene Nachrichtenportale (hier oder hier nachzulesen) berichtet haben.

Besserer Schutz vor Überwachung

Mit dem geplanten Gesetzesvorhaben beabsichtigten das BMI und BMAS einen besseren Schutz von Beschäftigten vor Überwachungsmaßnahmen des Arbeitgebers. Ein Ziel sei u.a. verdeckte Überwachungsmaßnahmen besser zu reglementieren. Derzeit kann beispielsweise die verdeckte Videoüberwachung nur ausnahmsweise, unter strengen Voraussetzungen eingesetzt werden. Möchte ein Arbeitgeber die verdeckte Videoüberwachung beispielsweise zur Aufklärung von Straftaten einsetzen, darf kein Mittel zur Verfügung stehen, dass die Persönlichkeitsrechte der Beschäftigten weniger intensiv tangiert. Zur Regulierung der verdeckten Überwachungsmaßnahmen, sehen BMI und BMAS nun konkrete Maßnahmen vor. Dabei solle die Überwachung nur möglich sein, wenn der eindeutige Verdacht einer Straftat vorliege und andere Abhilfemaßnahmen bereits ausgeschöpft worden seien.

Außerdem beabsichtigen die Ministerien neue Regelungen für die offene Videoüberwachung. Demnach solle die gesetzliche Neuregelung die Privatsphäre von Beschäftigten besser schützen. Eine offene Überwachung am Arbeitsplatz müsse strengen Grenzen unterfallen. Beschäftigte benötigten Räume, in denen keine Kameraüberwachung erlaubt sei. Auch die Zeiten, zu denen eine Überwachung erfolge solle eingeschränkt werden. Derzeit ist vor allem die Kameraüberwachung bestimmter Räume als unzulässig anzusehen. Dazu zählen Umkleiden, sowie Pausenräume und Toiletten.

Darüber hinaus planten das BMI und BMAS die Konkretisierung des Einwilligungserfordernis im Beschäftigtenverhältnis. Derzeit kann die Kameraüberwachung auf Grundlage einer Einwilligung nach § 26 Abs. 2 S. 1 BDSG erfolgen. Der Gesetzentwurf solle die Anforderungen der Freiwilligkeit, die Voraussetzung einer wirksamen Einwilligung sei, konkretisieren.

Zusätzlich plane das BMI und BMAS eine Regelung zu Fragestellung, die im Rahmen eines Bewerbungsgespräch zulässig seien. Im Hinblick auf Fragen, die ein Bewerber beantworten muss, kann es grundsätzlich zur Verarbeitung personenbezogener Daten besonderer Kategorie iSd Art. 9 DSGVO kommen.

Fazit

Es bleibt abzuwarten, welche konkreten Vorschläge der geplante Gesetzentwurf enthalten wird. Zurzeit bleibt es denkbar, dass der Gesetzesentwurf zugleich die Bedenken, die der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 30.03.2023 (Az. C-23/21)  aufbrachte, behandelt oder zumindest im Ansatz berührt (wir berichteten).