Quelle: Bianka Huber
Magazin MitbestimmungZur Sache: Erst Gerichte bringen langsam Klarheit in die DSGVO
Ernesto Klengel über einen untergegangenen Jahrestag und darüber, warum wir dringend ein Gesetz für Beschäftigtendatenschutz brauchen.
Es ist ein Geburtstag, der an vielen vorbeigegangen ist: Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Sie gilt als Grundgesetz des Datenschutzes. Doch das Image der EU-Verordnung ist nicht gut. Nervige Cookie-Banner werden mit ihr begründet oder in Fachchinesisch verfasste Datenschutzerklärungen, das Sinnbild für Bürokratie schlechthin. Immer wenn ein Arbeitgeber keine Lust hat, Informationen an die Mitbestimmungsgremien herauszugeben, beruft er sich – na klar – auf den Datenschutz. Die DSGVO muss für viele alltägliche Ärgernisse herhalten, und ob die großen Fragen des Datenschutzes mit ihr gelöst wurden, auch daran haben einige Zweifel.
Doch gerade am Arbeitsplatz wird die Bedeutung des Datenschutzes unterschätzt. Moderne IT-Systeme ermöglichen im Prinzip, permanent Standort- oder Leistungsdaten zu erheben. Künstliche Intelligenz ermittelt den wirklichen oder vermeintlichen Befindlichkeits- und Gesundheitszustand. Nicht nur das, Tools entfachen den Wettbewerb im Team oder setzen spielerische Anreize, um Arbeitsziele zu erreichen, im Zweifelsfall muss es dann eben in der Freizeit sein. Auch soziale Kontakte im Betrieb können erfasst und ausgewertet werden. Erste Anbieter preisen Apps an, die sogar die
Streikwahrscheinlichkeit in der Lieferkette messen sollen. Unternehmen, die solche Mittel einsetzen, haben ein Ziel: die Produktivität steigern, indem Arbeitskraft in einem größtmöglichen Umfang ausgenutzt wird. Datenschutz ist vor diesem Hintergrund nicht nur Persönlichkeits-, sondern auch Arbeitsschutz, insbesondere was Überlastungssituationen und psychische Gefährdungen angeht.
So detailliert die Regelungen der DSGVO sind, das rechtliche Herzstück der Datenschutzprüfung ist eine Abwägung der berechtigten Belange, die für und gegen die Datenverarbeitung in der konkreten Form sprechen. Dies hat den Vorteil, dass die Verordnung gut auf neue Fragen angewendet werden kann. Der Nachteil besteht darin, dass die Ergebnisse der
Abwägung schwer vorherzusehen sind.
Gerade im Arbeitsrecht gibt es viele Sachverhalte, die ähnlich gelagert sind: Ist eine verdeckte Videoüberwachung zulässig? Wofür dürfen Bewegungsdaten genutzt werden? Darf eine Arbeitnehmerin verpflichtet werden, an einer Teams-Konferenz teilzunehmen? Die nur vage Regelung der DSGVO führt dazu, dass selbst Fragen wie diese in der datenschutzrechtlichen Fachwelt umstritten sind. Einige Gerichtsentscheidungen bringen Klarheit, doch nur langsam. Denn da die DSGVO eine EU-Verordnung ist, wacht in letzter Instanz der Europäische Gerichtshof (EuGH) über ihre Auslegung. Doch nur wenige Verfahren gelangen bis nach Luxemburg, und auch erst nach einer langen Verfahrensdauer.
Daher fordert die Gewerkschaftsbewegung ein Gesetz über den Beschäftigtendatenschutz. Mit ihm sollen rechtliche Grauzonen verringert und die Rechte von Beschäftigten und ihren Vertretungen besser geschützt werden.
Die DSGVO enthält eine Klausel, die solche „spezifischeren Regelungen“ für das Arbeitsrecht ermöglicht. Die Bundesrepublik hat davon Gebrauch gemacht – vermeintlich. § 26 Bundesdatenschutzgesetz regelt, dass die Datenverarbeitung zulässig ist, wenn sie „für die Zwecke des Beschäftigungsverhältnisses (…) erforderlich“ ist. Was eigentlich sofort auffällt: Die Regelung ist ebenso unkonkret wie Artikel 88 DSGVO. Das sieht auch der EuGH so (Aktenzeichen C-34/21): Die deutschen Rechtsgrundlagen sind gegenüber der DSGVO nicht spezifischer, sie verstoßen daher gegen Unionsrecht und sind nicht mehr anzuwenden. Auch wenn sich die Folgen in Grenzen halten dürften, zeigt sich: Fünf Jahre nach Inkrafttreten der DSGVO ist es höchste Zeit für ein Beschäftigtendatenschutzgesetz.
ERNESTO KLENGEL ist Arbeitsrechtler am Hugo Sinzheimer Institut der Hans-Böckler-Stiftung.