Beschäftigtendatenschutz: Gesetzentwurf lässt Abgrenzungsfragen offen – u.a. zum kirchlichen Datenschutzrecht
Zurzeit liegt verschiedenen Arbeitgeber- und Wirtschaftsverbänden ein Gesetzentwurf aus dem Bundesarbeitsministerium und dem Bundeinnenministerium vor, mit dem das Recht des Beschäftigtendatenschutzes in Deutschland neu geregelt werden soll. Das geplante Gesetz soll „Beschäftigtendatengesetz“ statt „Beschäftigtendatenschutzgesetz“ heißen, da der Umgang mit Beschäftigtendaten umfassend geregelt werden soll und nicht nur der Schutz von Beschäftigtendaten. Der Gesetzentwurf, seine Entstehungsgeschichte und vor allem sein Bezug zum kirchlichen Datenschutzrecht werden im Folgenden skizziert.
Hintergrund
Die Gesetzgebungshoheit für das Datenschutzrecht liegt innerhalb der EU fast gänzlich bei der EU selbst. Sie hat davon auch durch die sogenannte Datenschutzgrundverordnung (DSGVO) Gebrauch gemacht. In den Artikeln 88 und 91 DSGVO finden sich jedoch sogenannte Bereichsausnahmen – also Regelungen, wonach in bestimmten Fällen die DSGVO nicht gilt und stattdessen nationales Datenschutzrecht erlassen werden kann. So regelt Artikel 88 DSGVO, dass die Mitgliedstaaten der EU spezifischere Rechtsvorschriften zum Beschäftigtendatenschutz erlassen können. Ferner geht aus Artikel 91 DSGVO hervor, dass Kirchen, religiöse Vereinigungen oder Gemeinschaften in den EU-Mitgliedstaaten eigene Datenschutzregelungen anwenden und statuieren dürfen, wenn sie dies bis zum In-Kraft-Treten der DSGVO schon getan haben und wenn diese Regelungen mit der DSGVO in Einklang stehen.
Wegen dieser beiden DSGVO-Regelungen existieren in Deutschland mehrere Bestimmungen zum Beschäftigtendatenschutz, von denen zwei im Folgenden näher vorgestellt werden sollen, nämlich einerseits § 26 Bundesdatenschutzgesetz (BDSG), der für öffentliche und private weltliche Arbeitgeber in Deutschland gilt und § 53 des Gesetzes über den Kirchlichen Datenschutz (KDG), der für die Katholische Kirche und ihre Caritas als Dienstgeber gilt.
Beide Vorschriften sind fast wortgleich und für die allermeisten Fälle sehr einfach zu lesen und anzuwenden. Danach dürfen Daten von Beschäftigten verarbeitet (also erhoben, gespeichert etc.) werden, wenn dies zur Begründung, Durchführung und Beendigung eines Arbeits- oder Dienstverhältnisses erforderlich ist.
Solchen umfassenden Regelungen, die auch als Generalklauseln bezeichnet werden, hat der Europäische Gerichtshof (EuGH) allerdings eine Absage erteilt. Mit Urteil vom 30.03.2023 (Az. C-34/21) hat sich der EuGH zu § 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) geäußert und klargestellt, dass § 23 HDSIG, wo sich ebenfalls eine Generalklausel zum Beschäftigtendatenschutz findet, nicht den formellen und materiellen Anforderungen des Art. 88 DSGVO genügt und daher unwirksam ist. Anders gesagt: wenn Art. 88 DSGVO den EU-Mitgliedstaaten eigene Regelungen zum Beschäftigtendatenschutz erlaubt, so sind damit detaillierte Regelungen gemeint und keine allgemeinen Generalklauseln. Und: mit diesem Urteil ist deutlich geworden, dass auch die weitgehend gleichlautenden gerade genannten Generalklauseln in § 26 Abs. 1 BDSG und § 53 Abs. 1 KDG unwirksam sind. Konsequenterweise sah sich die Bundesregierung daher veranlasst, den Beschäftigtendatenschutz, der bisher auf Bundesebene nur in § 26 BDSG geregelt war, durch detaillierte Regelungen neu zu fassen.
Der vorliegende Entwurf des Beschäftigtendatengesetzes (BeschDG)
Der Referentenentwurf des Bundesministeriums für Arbeit und Soziales und des Bundesministeriums des Innern und für Heimat vom 8. Oktober 2024 eines „Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt (Beschäftigtendatengesetz – BeschDG)“ umfasst 30 Paragrafen, die den Beschäftigtendatenschutz abschließend regeln sollen. Folgerichtig soll § 26 BDSG aufgehoben werden.
Das neue Gesetz soll nicht nur für Arbeitnehmer bzw. Leiharbeitnehmer, sondern zum Beispiel auch für Beschäftigte in anerkannten Werkstätten für behinderte Menschen und für Freiwillige gelten, die ein Freiwilliges Soziales Jahr absolvieren oder im Rahmen des Bundesfreiwilligendienstes tätig sind.
Vor allem aber fällt die Detailtiefe des Gesetzentwurfs auf. Neben allgemeinen Bestimmungen in § 3 des Entwurfs, in denen es wiederum um Datenverarbeitung im Zusammenhang mit der Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses, um gesetzliche Pflichten des Arbeitgebers oder um die Wahrung berechtigter Interessen des Arbeitgebers geht, enthält der Entwurf zahlreiche Einzelvorschriften zu datenschutzrechtlichen Regelungen in Tarifverträgen (§ 7), technischen Schutzmaßnahmen am Arbeitsplatz (§ 9), Datenverarbeitung im Rahmen von Gesundheitsuntersuchungen (§ 16), Überwachungsmaßnahmen am Arbeitsplatz (§ 18) etc.
Der Gesetzentwurf enthält darüber hinaus verschiedene Elemente, die bisher im Beschäftigtendatenschutzrecht ausdrücklich nicht vorgesehen waren. So dürfen Überwachungsmaßnahmen am Arbeitsplatz nach § 18 des Gesetzentwurfs im Grundsatz nur noch „kurzzeitig“, „anlassbezogen“ oder „stichprobenhaft“ erfolgen, was gerade für Einrichtungen, wie Pflegeheime oder Krankenhäuser, in denen z.B. Eingangsbereiche regelhaft videoüberwacht werden, zu Abgrenzungsfragen und Unsicherheiten führen dürfte. Liest man dann noch die Überwachungsbeschränkungen zusammen mit dem Verwertungsverbot von datenschutzrechtswidrig erlangter Beschäftigtendaten (§ 11), so lässt sich erahnen, welche Fragen und Unsicherheiten auf Arbeitgeber zukommen; ganz besonders, weil die Regelungen zum Verwertungsverbot gleich wieder mit unbestimmt formulierten Ausnahmen versehen sind.
Die Regelung etlicher Einzelproblemstellungen durch den Gesetzentwurf mag in Teilbereichen eine gewisse Rechtssicherheit für Arbeitgeber mit sich bringen, setzt aber auch zahlreiche Vorbeuge- und Sorgfaltsmaßnahmen voraus, die bisher nicht bestanden.
Bedeutung des BeschDG für Dienstverhältnisse in Kirche und Caritas?
Wie beschrieben, gibt Art. 91 DSGVO den Kirchen das Recht, ihre eigenen (bestehenden) Datenschutzvorschriften anzuwenden, soweit diese mit den Vorgaben der DSGVO vereinbar sind. Der Kirchenbegriff der EU ist weiter als der gebräuchliche deutsche Kirchenbegriff, der zwischen verfasster Kirche (als Körperschaft des öffentlichen Rechts) und Caritas (als kirchlichem Wohlfahrtsverband) unterscheidet. Auf europäischer Ebene werden unter Kirchen sowohl verfasste Kirchen und deren diözesane Einrichtungen also auch die Caritas und die Diakonie, verstanden. Damit ähnelt der europäische Kirchenbegriff dem des Bundesverfassungsgerichts, das ausdrücklich entschieden hat, dass nicht nur die Kirchen selbst entsprechend ihrer rechtlichen Verfasstheit, sondern alle ihr in bestimmter Weise zugeordneten und nach kirchlichem Selbstverständnis tätigen Organisationen unter den Kirchenbegriff des Art. 140 GG in Verbindung mit Artikel 137 WRV fallen.
Da in datenschutzrechtlichen Belangen die Gesetzgebungs- und Definitionshoheit bei der EU liegt, sollte das geplante BeschDG nicht in den Regelungsbereich des KDG eingreifen, das sowohl für die verfassten Kirchen als auch für den DCV gilt. Es wäre allerdings wünschenswert, wenn dies auch ausdrücklich im BeschDG festgeschrieben würde, was bisher nicht der Fall ist. In der Gesetzesbegründung zum BeschDG-Entwurf heißt es vielmehr zum Anwendungsbereich des Gesetzes: „Die als Körperschaften des öffentlichen Rechts organisierten Kirchen fallen nicht unter den Anwendungsbereich des Gesetzes. Die Geltung von Art. 91 der Verordnung (EU) 2016/679 wird durch dieses Gesetz nicht beschränkt. Kircheneigene Datenschutzvorschriften, die im Einklang mit Art. 91 der Verordnung (EU) 2016/679 stehen, bleiben innerhalb der Grenzen des verfassungsrechtlich verbürgten Selbstbestimmungsrechts der Religionsgemeinschaften anwendbar.“ Indem die Gesetzesbegründung ausdrücklich auf Kirchen als Körperschaften des öffentlichen Rechts abstellt, bleibt sie sowohl hinter dem europäischen Kirchenbegriff als auch hinter der Rechtsprechung des Bundesverfassungsgerichts zurück. Eine gesetzliche Klarstellung würde die hier skizzierten Unsicherheiten beseitigen.
Allerdings enthält das KDG – wie schon beschrieben – mit § 53 KDG eine dem § 26 BDSG sehr ähnliche Generalklausel zum Beschäftigtendatenschutz. Es ist daher davon auszugehen, dass auch diese nach den Maßstäben des EuGH nicht den inhaltlichen und formellen Anforderungen des Art. 88 DSGVO entspricht, also nicht DSGVO-konform ist und daher nicht auf Art. 91 DSGVO gestützt werden kann. Für die Verarbeitung von Beschäftigtendaten ist daher in Kirche und Caritas im Moment auf § 6 KDG mit seinen allgemeinen Grundsätzen zurückzugreifen, eine Datenverarbeitung im Dienstverhältnis mit Kirche und Caritas ist also vor allem nach § 6 Abs. 1 Buchst. c) und Buchst. g) KDG erlaubt. § 6 KDG enthält Regelungen, die weitgehend deckungsgleich mit Art. 6 DSGVO sind.
Nichtsdestotrotz besteht im Hinblick auf das KDG ebenfalls Handlungsbedarf, um die Generalklausel des § 53 Abs. 1 KDG durch eine Regelung zu ersetzen, die den Vorgaben des Art. 91 DSGVO entspricht, was nach dem oben genannten Urteil des EuGH bedeutet, eine detailliertere Regelung zum Beschäftigtendatenschutz in das KDG aufzunehmen. Ob hier eine ähnlich differenzierte Regelung wie im Entwurf des BeschDG notwendig ist, bedarf einer ausführlichen Prüfung.
Gesetzgebung