Brauchen wir ein Gesetz für Beschäftigtendatenschutz?

Bringen mehr Vorschriften nur zusätzliche Arbeit oder können sie vielleicht – gerade für die Interessenvertretungen – auch mehr Licht ins Dunkel der DSGVO bringen? Wir haben Thomas Koczelnik nach seiner Meinung gefragt. Er ist seit 2008 Vorsitzender des Konzernbetriebsrats bei der Deutschen Post und Mitglied des Expertenbeirats.

1. Herr Koczelnik, brauchen wir ein Beschäftigtendatenschutzgesetz?

Ja, wir brauchen ein eigenständiges Beschäftigtendatenschutzgesetz. Das ist längst überfällig; Art. 88 DSGVO bietet alle Möglichkeiten dazu. Es gibt derzeit kein Gesetz, in dem der Beschäftigtendatenschutz systematisch geregelt ist. § 26 BDSG ist absolut nicht ausreichend – er wird einem angemessenen und zeitgemäßen Beschäftigtendatenschutz, wie er in Zeiten von komplexen bzw. selbstlernenden Algorithmen und Big Data erforderlich ist, nicht gerecht. Die Regelungen zum Beschäftigtendatenschutz sind verstreut und für die Betroffenen nur schwer zu finden. Beschäftigte können ihre Rechte aber nur dann ausüben und durchsetzen, wenn sie ihre Rechte kennen. Hinzukommt, dass der Beschäftigtendatenschutz überwiegend durch die Rechtsprechung geprägt ist, die nicht allen Beschäftigten bekannt ist und nicht ohne Weiteres auf andere Fälle übertragen werden kann. Das führt zu Rechtsunsicherheit – nicht nur bei Beschäftigten und Betriebsräten, sondern auch bei den Unternehmen.

2. Gibt es technische Entwicklungen, die eine Verbesserung des Beschäftigtendatenschutzes notwendig machen?

Ja, wir erleben, dass die Anzahl der im Beschäftigungsverhältnis eingesetzten IT-Systeme stetig zunimmt. Dabei kommen auch komplexe und selbstlernende Algorithmen zum Einsatz. Diese haben den Nachteil, dass sie für Beschäftigte und Betriebsräte nicht nachvollziehbar sind und unerkannte Gefahren mit sich bringen, wie zum Beispiel die Diskriminierung von Beschäftigten aufgrund ihres Geschlechts und/oder ihrer ethnischen Herkunft. Außerdem sind viele IT-Systeme miteinander verknüpft, sodass es theoretisch möglich ist, umfassende Profile von Beschäftigten zu erstellen und umfangreiche Prognosen anzustellen. Es sind zum einen die vielen Möglichkeiten der Nutzung und ihres Einsatzes, aber auch die Quantität sowie Qualität der IT-Systeme, die eine Verbesserung des Beschäftigtendatenschutzes notwendig machen.

3. Gibt es Bereiche, in denen Arbeitgeber und Betriebsräte gleichermaßen von einem Beschäftigtendatenschutzgesetz profitieren könnten?

Ja, zum Beispiel bei IT-Systemen von Drittanbietern – Stichwort: Software as a service – deren Funktionsweise sowohl den Beschäftigten und Betriebsräten als auch den Unternehmen weitgehend unbekannt ist und die ständig verändert werden. Hier könnte zum Beispiel die Möglichkeit der Zertifizierung von IT-Systemen durch unabhängige staatliche Stellen weiterhelfen. Die Kriterien für die Zertifizierung könnten von einem paritätisch besetzten Gremium, das sich zu gleichen Teilen aus Vertreter*innen des DGB und des BDA zusammensetzt, beim Bundesministerium für Arbeit und Soziales festgelegt werden. Dieses Gremium wird hierbei von Expert*innen beraten. Regelungen etwa zu den Anforderungen an die Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis, zur Beschaffung von Informationen aus anderen Quellen und zur maximalen Speicherdauer von typischerweise verarbeiteten Beschäftigtendaten würden mehr Rechtssicherheit bringen. Das nützt sowohl den Betriebsräten und Arbeitgebern als auch den Beschäftigten.

4. Welche Punkte sollten Ihrer Ansicht nach unbedingt in einem solchen Gesetz geregelt werden?

Es gibt viele Punkte, die unbedingt in einem eigenständigen Beschäftigtendatenschutzgesetz geregelt werden sollten. Zunächst ist es aus meiner Sicht wichtig, dass das Gesetz auch auf neue Beschäftigungsformen Anwendung findet, sodass insbesondere auch Plattformbeschäftigte erfasst sind. Das Gesetz sollte zum einen materielle Regelungen für typische Verarbeitungssituationen bereitstellen. Zum anderen sollten prozedurale Regelungen geschaffen werden, die sicherstellen, dass die materiellen Regelungen tatsächlich umgesetzt werden: Neben dem bereits erwähnten Zertifizierungsverfahren brauchen wir dringend ein gesetzliches Sachvortrags- und Beweisverwertungsverbot für unmittelbar und mittelbar rechtswidrig erlangte Beschäftigtendaten. Außerdem sollte klargestellt werden, dass Betriebsräte keine eigene datenschutzrechtliche Verantwortlichkeit haben, sondern Teil der verantwortlichen Stelle sind.

Über das Beschäftigtendatenschutzgesetz hinaus bedarf es flankierender Regelungen im Betriebsverfassungsgesetz (BetrVG), wie zum Beispiel eines eigenen Mitbestimmungsrechts bei der Verarbeitung personenbezogener Beschäftigtendaten, eines Initiativrechts im Rahmen des § 87 Abs. 1 Nr. 6 BetrVG und der Möglichkeit, eine*n Sachverständige*n ohne vorherige Vereinbarung mit dem Arbeitgeber hinzuzuziehen. Nur dann haben die Betriebsräte auch zukünftig die Möglichkeit, ihrer Aufgabe, auch die Persönlichkeitsrechte der Beschäftigten zu schützen, gerecht zu werden.

5. Datenschutz wird gerade in Zeiten der Pandemie von vielen als hinderlich angesehen – gerade wenn es um den Gesundheitsschutz von Beschäftigten geht. Was meinen Sie dazu?

Daten werden von manchen nicht umsonst als das neue Gold bezeichnet. Beschäftigtendaten können vielfältig eingesetzt werden, zum Beispiel um vorherzusagen, wie lange Beschäftigte voraussichtlich im Unternehmen bleiben und welche Qualifizierungsmaßnahmen vor diesem Hintergrund ergriffen werden sollten und welche nicht. Bei der Verarbeitung von personenbezogenen Beschäftigtendaten zum Gesundheitsschutz geht es unter Umständen sogar um besonders sensible Beschäftigtendaten. Es kann also weitreichende Konsequenzen haben, wenn der Datenschutz zugunsten des Gesundheitsschutzes vernachlässigt wird. Datenschutz und Gesundheitsschutz dürfen nicht gegeneinander ausgespielt werden, sondern müssen in Einklang gebracht werden. Auch  muss bei vielen Maßnahmen, die Arbeitgeber ergreifen, zunächst die Frage beantwortet werden, ob die beabsichtigte Maßnahme, im Rahmen derer Beschäftigtendaten erhoben und verarbeitet werden, überhaupt geeignet ist, um die Beschäftigten zu schützen. Das ist beispielsweise bei der Temperaturmessung zur Vermeidung von Covid-19-Infektionen äußerst fraglich.

6. Gibt es Datenschutzthemen, die in der Betriebsratsarbeit gerade besonders relevant sind?

Natürlich beschäftigen uns momentan verschiedene Datenschutzthemen im Zusammenhang mit der Covid19-Pandemie, wie u.a. die Kontaktnachverfolgung im Betrieb und die Beantwortung von gesundheitsbezogenen Fragen vor dem Betreten des Betriebsgeländes. Aber auch unabhängig von der Covid19-Pandemie spielt der Datenschutz eine sehr große Rolle. Grund dafür ist insbesondere die Vielzahl an IT-Systemen, die personenbezogene Beschäftigtendaten verarbeiten und der Mitbestimmung unterliegen. Es ist eine große Herausforderung, den Themen in ihrer Vielfalt gerecht zu werden. Der Beschäftigtendatenschutz ist schließlich nicht der einzige Aspekt, den es als Betriebsrat zu berücksichtigen gibt.

7. Ich habe den Eindruck, dass insbesondere Arbeitgeber sich gegen ein Gesetz zum Beschäftigtendatenschutz sperren. Was glauben Sie, warum das so ist?

Ich kann nicht verstehen, dass manche Arbeitgeber ein eigenständiges Beschäftigtendatenschutzgesetz ablehnen. Unsere Erfahrung ist, dass sich gerade Unternehmen in Anbetracht der hohen Sanktionen mehr Rechtssicherheit auf dem Gebiet des Beschäftigtendatenschutzes wünschen. Um mehr Rechtssicherheit aber auch endlich einen zeitgemäßen und angemessenen Beschäftigtendatenschutz zu schaffen, muss der Gesetzgeber tätig werden und ein eigenständiges Gesetz schaffen, in dem der Beschäftigtendatenschutz systematisch geregelt ist.

Mehr zu IT-Mitbestimmung und Datenschutz lesen Sie in der Fachzeitschrift »Computer und Arbeit«.

Jetzt 2 Ausgaben gratis testen!

© bund-verlag.de (ct)