Kernpunkte:
- Spyware und Sicherheitslücken
- Überwachungsgesamtrechnung
- DSK 2.0
- Beschäftigtendatenschutz
2 Datenschutz und Informationsfreiheit – global und national
Der Schwerpunkt unserer Arbeit liegt in Schleswig-Holstein – aber das bedeutet, auch die internationalen und nationalen Entwicklungen im Auge zu behalten, die unsere Bürgerinnen und Bürger betreffen. Was für uns im Jahr 2021 besonders bedeutsam war, ist hier zusammengefasst: Spyware und Sicherheitslücken (Tz. 2.1), Umsetzung der europarechtlichen Vorgaben (Tz. 2.2), Überwachungsgesamtrechnung (Tz. 2.3), ganzheitliche Systemgestaltung (Tz. 2.4), DSK 2.0 (Tz. 2.5) sowie Beschäftigtendatenschutz (Tz. 2.6).
2.1 Spyware und Sicherheitslücken
In Deutschland und teilweise auch im Ausland ist das Volkszählungsurteil von 1983 noch immer einigermaßen bekannt – im Gegensatz zu einem anderen Urteil des Bundesverfassungsgerichts, in dem das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität (kurz: IT-Grundrecht) begründet wurde (BVerfG, Urteil des Ersten Senats vom 27.02.2008 – 1 BvR 370/07). Im Vordergrund steht die Frage, unter welchen Bedingungen eine heimliche Infiltration von IT-Systemen erlaubt sein kann.
Der wichtige Punkt ist hierbei: Schon im Jahr 2008 hat das Bundesverfassungsgericht deutlich gemacht, wie wichtig die Gewährleistung von Vertraulichkeit und Integrität in der von uns Menschen eingesetzten Technik ist. In der Zwischenzeit sind die Abhängigkeiten von erwartungsgemäß funktionierender Informationstechnik wesentlich größer geworden. Die heutige enorme Bedeutung von Smartphones oder Plattformen im Internet für die persönliche Kommunikation und für alle möglichen Situationen des täglichen Lebens – man denke nur an die Nutzung zahlreicher Apps – ließ sich damals kaum erahnen. Und dennoch spricht das Urteil eine klare Sprache und ist heute aktueller denn je.
Von der Website der NSO Group (https://www.nsogroup.com/):
NSO creates technology that helps government agencies prevent and investigate terrorism and crime to save thousands of lives around the globe.
Umso einschneidender sind die Debatten um Hintertüren in Software oder Umgehen von Verschlüsselung. Und es bleibt nicht bei Worten, sondern die Taten sind nicht wegzudiskutieren. Dazu gehören die Erkenntnisse der geheimdienstlichen Überwachung, die dank Edward Snowden im Sommer 2013 bekannt wurden. Oder, wie im Berichtsjahr bekannt wurde, der Einsatz einer Überwachungssoftware namens „Pegasus“, über die Menschen auf der ganzen Welt ausspioniert wurden. Der Hersteller von „Pegasus“, die israelische NSO Group, rechtfertigte sich damit, dass die Software nur zum Zwecke der Bekämpfung von Terrorismus und Kriminalität verkauft würde.
Aus dem Koalitionsvertrag 2021–2025:
Für den Einsatz von Überwachungssoftware, auch kommerzieller, setzen wir die Eingriffsschwellen hoch und passen das geltende Recht so an, dass der Einsatz nur nach den Vorgaben des Bundesverfassungsgerichtes für die Online-Durchsuchung zulässig ist.
Wirklich? Die Aufklärung durch das „Pegasus-Projekt“, an dem mehr als 80 Journalistinnen und Journalisten in zehn Ländern mitgearbeitet haben, zeigte ein anderes Bild: Demnach gehörten zu den überwachten Personen auch Rechtsanwältinnen und Rechtsanwälte, Oppositionelle, Politikerinnen und Politiker, Geschäftsleute und Pressevertreterinnen und -vertreter. Auch in der EU ist die Überwachungssoftware nachweisbar zum Einsatz gekommen.
Die neue Bundesregierung kennt das IT-Grundrecht des Bundesverfassungsgerichts. Im Koalitionsvertrag wird versprochen:
Eigentlich eine Selbstverständlichkeit, dass das geltende Recht nicht gegen die Vorgaben des Bundesverfassungsgerichts verstößt! Und das Problem liegt tiefer: Es gibt einen Markt für Überwachung, Firmen bieten weltweit ihre Spyware an und die eingesetzte Informationstechnik ist anfällig für Überwachung im großen Stil.
Die Idee, dass Hintertüren eingebaut werden, die nur „für die Guten“ zur Verfügung stehen, hat noch nie funktioniert. Für eine ernsthafte, vertrauenswürdige und zuverlässige Digitalisierung, die unserer demokratischen Gesellschaft Nutzen bringt, brauchen wir ein stabiles und kein brüchiges Fundament in der Informationstechnik.
Was ist zu tun?
Es gilt, die Sicherheit zu erhöhen und insbesondere der Kultivierung von Sicherheitslücken und den Forderungen nach Hintertüren in der IT eine klare Absage zu erteilen. Deutschland sollte dies auch in europäischen und internationalen Rechtsetzungsverfahren und Standardisierungen deutlich vertreten.
2.2 Umsetzung der europarechtlichen Vorgaben zum Datenschutz
Den 25. Mai 2018 werden Datenschützer nicht so schnell vergessen, denn an dem Tag erlangte die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) Geltung und bis zu dem Tag waren auch Regelungen des Bundes- und Landesdatenschutzrechts anzupassen, soweit dies die europäische Richtlinie (EU) 2016/680 für den Bereich Justiz und Inneres betraf. Einige vertreten die Ansicht, dass sich für Deutschland gar nicht viel geändert hätte. Das ist insoweit nicht falsch, als Behörden und Unternehmen häufig schon eine gewisse Vorstellung vom Thema Datenschutz hatten. Auch das Instrument der Datenschutzbeauftragten im Unternehmen oder in öffentlichen Stellen war in Deutschland bekannt und überwiegend geschätzt. Wer bereits ein Datenschutzmanagement bei sich in der Organisation etabliert hatte, war auch gut dafür aufgestellt, die Änderungen aus Europa aufzunehmen und umzusetzen.
Dennoch ist ein vollständiges Durchdringen des Datenschutzrechts sowohl für diejenigen, die mit dem „alten BDSG“ vertraut waren, als auch für Neulinge in dem Thema nicht simpel. Das liegt zum einen daran, dass die nationalen Rechtsauslegungen und Begriffe nicht immer auch der europäischen Auslegung entsprechen. Zum anderen sind die Datenschutzregeln mit dem Ziel einer Technikneutralität und einer gewünschten Robustheit für viele Jahre formuliert worden und weisen daher notgedrungen einen hohen Abstrahierungsgrad auf.
Durch die mittlerweile entwickelten Muster und Orientierungshilfen fällt zwar die Einhaltung der Datenschutzanforderungen bei Standarddatenverarbeitungen üblicherweise nicht schwer, doch für Spezialfragen kann es komplex werden. So komplex, dass auch Gerichte in den Mitgliedstaaten der EU dem Europäischen Gerichtshof (EuGH) Fragen zur Klärung im Sinne einer einheitlichen europäischen Anwendung vorlegen. Ende 2021 waren beim EuGH mehr als 30 solcher Vorabentscheidungsersuchen von Gerichten aus den Mitgliedstaaten, in denen jeweils mehrere Fragen gestellt waren, anhängig, die der EuGH in der nächsten Zeit beantworten wird. Aus Deutschland kommen besonders viele Fragen, aber es liegen auch Vorabentscheidungsersuchen aus den Ländern Belgien, Bulgarien, Finnland, Lettland, Litauen, Luxemburg, Niederlande, Österreich, Rumänien, Schweden und Ungarn vor.
In mehreren Verfahren zur neuen Rechtslage hat der EuGH bereits entschieden. Prominent ist das unter dem Namen „Schrems II“ bekannte Urteil des EuGH vom 16.07.2020 (Rechtssache C-311/18), in dem der „Privacy Shield“ (Beschluss 2016/1250) der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde (39. TB, Tz. 2.5). Der EuGH betont, dass bei einem grenzüberschreitenden Datenverkehr ein angemessenes Datenschutzniveau beim Empfänger bestehen muss, was durch den Privacy Shield nicht garantiert war.
Die Datenschutzaufsichtsbehörden in Europa hatten schnell auf das Urteil reagiert und ausgearbeitet, welcher ergänzenden Maßnahmen („Supplementary Measures“) es bei einem geplanten Drittstaatentransfer bedarf, der sich beispielsweise auf Standardvertragsklauseln oder auf aufsichtsbehördlich genehmigte „Binding Corporate Rules“ (verbindliche interne Datenschutzvorschriften) stützen könnte. Nach der Veröffentlichung der Leitlinien im Sommer 2020 wurde eine öffentliche Konsultation durchgeführt. Nach Auswertung der eingehenden Stellungnahme wurde die überarbeitete finale Fassung im Juni 2021 bereitgestellt:
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de [Extern]
Kurzlink: https://uldsh.de/tb40-2-2a
Ebenfalls im Juni 2021 stellte die EU-Kommission neu gefasste EU-Standarddatenschutzklauseln vor:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de [Extern]
Kurzlink: https://uldsh.de/tb40-2-2b
In einer Pressemitteilung hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder klargestellt, dass auch bei Verwenden der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist:
https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf [Extern]
Kurzlink: https://uldsh.de/tb40-2-2c
Für weitere Leitlinien, die die Beziehung zwischen dem räumlichen Anwendungsbereich (Artikel 3 DSGVO) und den Regeln zum grenzüberschreitenden Datentransfer betreffen, lief Ende 2021 noch die Konsultationsphase:
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_de [Extern]
Kurzlink: https://uldsh.de/tb40-2-2d
Im Ergebnis bedeutet dies: Das EuGH-Urteil muss umgesetzt werden. Doch wenn der geplante Empfänger im Drittland kein angemessenes Datenschutzniveau gewährleisten kann, darf der Transfer der personenbezogenen Daten nicht stattfinden.
Auch heute noch finden wir immer Datenschutzerklärungen auf Webseiten, die sich auf den Privacy Shield beziehen oder auch sonst nicht erkennen lassen, dass der Verantwortliche bei dem von ihm beschriebenen Datentransfer die neue Rechtslage kennt und die nötigen Prüfungen vorgenommen hat. Dies ist zumindest ein Indiz für ein nicht funktionierendes Datenschutzmanagement. Hier ist dringend Abhilfe geboten.
Was ist zu tun?
Die europarechtlichen Vorgaben müssen umgesetzt werden. Das betrifft auch den Einsatz von Produkten und die Nutzung von Dienstleistungen in der EU. Wo dies nicht der Fall ist, müssen die Verantwortlichen gegebenenfalls Änderungen bei den Herstellern bzw. Anbietern einfordern oder datenschutzkonforme Alternativen einsetzen.
2.3 Gesetzgebung unter dem Vorzeichen einer Überwachungsgesamtrechnung
Das Bundesverfassungsgericht hat im Urteil vom 02.03.2010 – 1 BvR 256/08 zur Vorratsdatenspeicherung ausgeführt, die „Freiheitswahrnehmung der Bürger“ dürfe „nicht total erfasst und registriert werden“. Die Einführung der Vorratsdatenspeicherung zwinge den Gesetzgeber „in Blick auf die Gesamtheit der verschiedenen schon vorhandenen Datensammlungen zu größerer Zurückhaltung“. Das war eine Alarmleuchte zur Begrenzung der zunehmenden Datensammlungen aus Gründen der Sicherheitspolitik.
Gibt es also eine rote Linie, die ein Staat nicht überschreiten darf, weil es dann zu viel wird mit den Datensammlungen? Und muss man nicht das Thema im weiteren Sinne betrachten: also nicht nur den Fokus auf Datensammlungen beschränken, sondern sich insgesamt Gedanken über ein mögliches Übermaß an Überwachung machen? Besonders spannend ist aber die Frage, was diese Überlegung für die Praxis der bestehenden und entstehenden Sicherheitsgesetze mit Regelungen zu einer Überwachung bedeuten soll, die es auf den Ebenen des Bundes, der einzelnen Länder oder auch im internationalen Kontext gibt. Vorgeschlagen – und nun auch im Koalitionsvertrag der Bundesregierung aufgenommen – ist eine Evaluation der Sicherheitsgesetze, die in eine Überwachungsgesamtrechnung einfließt.
Aus dem Koalitionsvertrag 2021–2025:
Die Eingriffe des Staates in die bürgerlichen Freiheitsrechte müssen stets gut begründet und in ihrer Gesamtwirkung betrachtet werden. Die Sicherheitsgesetze wollen wir auf ihre tatsächlichen und rechtlichen Auswirkungen sowie auf ihre Effektivität hin evaluieren. Deshalb erstellen wir eine Überwachungsgesamtrechnung und bis spätestens Ende 2023 eine unabhängige wissenschaftliche Evaluation der Sicherheitsgesetze und ihrer Auswirkungen auf Freiheit und Demokratie im Lichte technischer Entwicklungen. Jede zukünftige Gesetzgebung muss diesen Grundsätzen genügen. Dafür schaffen wir ein unabhängiges Expertengremium (Freiheitskommission), das bei zukünftigen Sicherheitsgesetzgebungsvorhaben berät und Freiheitseinschränkungen evaluiert.
Dies soll zunächst einen besseren Überblick über die möglichen Auswirkungen auf die Rechte und Freiheiten ermöglichen. „Rechnung“ – das klingt nach einer exakten Matheformel, als ob man einen numerischen Schwellwert definieren und exakt berechnen könnte, der zum Ausdruck bringt, ob mit dem nächsten verabschiedeten Sicherheitsgesetz eine rote Linie überschritten wäre. Oder ob dies schon geschehen ist.
Mehrere Forschungsgruppen sind in den vergangenen Jahren dieser Frage nachgegangen, darunter auch das Forum Privatheit (Tz. 8.1) mit unserer Beteiligung. Die Idee der Überwachungsgesamtrechnung ist aus unserer Sicht spannend, auch wenn viele Fragen der Implementierung zu klären wären, z. B. welche Rechtsbereiche umfasst sein sollten, ob auch herausgabepflichtige oder beschlagnahmefähige Datensammlungen Privater einzubeziehen sind, ob allein der Gesetzestext oder auch die konkrete Praxis auszuwerten ist und ob Effekte der grenzüberschreitenden Zusammenarbeit einbezogen werden sollen. Nach unserer Auffassung würde allerdings ein pseudo-mathematischer Ansatz eine Objektivität lediglich vortäuschen und könnte sogar zu einer überschießenden Legitimierung neuer Sicherheitsgesetze – also einem Whitewashing – missbraucht werden.
In jedem Fall sollten Ansätze, die ein Korrektiv darstellen können, in den Instrumentarien für Gesetzgeber bei der Arbeit zur Überwachungsgesamtrechnung diskutiert werden. Dazu gehören beispielsweise Befristungen von möglicherweise kritischen Regelungen, Festlegungen von Zugriffsbeschränkungen und Zweckbindungen, der Richtervorbehalt, Klarstellungen bezüglich des Kernbereichs betroffener Personen, Verwertungsverbote, verstärkte Transparenz- und Informationspflichten gegenüber betroffenen Personen (z. B. mit Kontrollquittungen oder Benachrichtigungen (siehe 37. TB, Tz. 4.3.4)), eine verpflichtende Gesetzes-(Datenschutz-)Folgenabschätzung, Vorschriften zur wissenschaftlichen Evaluation mit klaren Kriterien oder auch die Einführung von Kontrollgremien. Der letzte Punkt findet sich als „Freiheitskommission“ im Koalitionsvertrag der Bundesregierung.
Was ist zu tun?
Wir werden die Arbeiten zur Überwachungsgesamtrechnung interessiert verfolgen und auf die Relevanz für und Übertragbarkeit auf das Land Schleswig-Holstein auswerten.
2.4 Ganzheitliche Systemgestaltung für Datenschutz und Informationsfreiheit
Eingebauter Datenschutz bei der Systemgestaltung: Zwar noch keine Selbstverständlichkeit, aber die DSGVO hat die Weichen dafür gestellt. In den nächsten Jahren wird – so hoffen wir – dies nicht mehr die Ausnahme sein, sondern sich mehr und mehr in der Praxis und auf dem Markt durchsetzen. Bei Informationsfreiheit (siehe Tz. 1.5, Tz. 13.2) streben wir ebenfalls an, dass „by Design“ zu einem Standardkriterium für die Entwicklung wird. Geht das denn überhaupt: sowohl Datenschutz als auch Informationsfreiheit bei der Systemgestaltung von Anfang an zu berücksichtigen?
In der Tat gibt es zahlreiche Spannungsfelder bei der Entwicklung von Systemen. Das ist auch gar nichts Ungewöhnliches. Gerade in den Bereichen Datenschutz und Informationsfreiheit kennt man die Situation, dass unterschiedliche öffentliche und private Interessen gegeneinander abgewogen werden müssen. Auch muss stets eine Ausstrahlung auf andere Rechtsgebiete im Blick gehalten werden. Außerdem spielen häufig Anforderungen, die nicht rechtlich im selben Maße festgeschrieben sind, eine Rolle, um eine faire und verträgliche Gestaltung von Systemen zu erreichen.
Müssen nun die Datenschutz- oder Informationsfreiheitsbeauftragten – und sämtliche Systementwicklerinnen und entwickler – über ihren jeweiligen Tellerrand schauen und quasi zu Universalgelehrten werden, um jeder möglichen Anforderung samt etwaiger Interdependenzen und Auswirkungen Rechnung zu tragen? Das ist wohl nicht möglich. Aber möglich ist es, sich etwaiger Gegensätze bewusst zu werden und Wege zu suchen, damit eine datenschutzkonforme Verfahrensgestaltung nicht in einen unauflösbaren Widerspruch zu anderen wichtigen Erwägungen gerät. Es lohnt sich also nicht nur, die Best Practices als Musterbeispiele für eine der wichtigen Anforderungen zu propagieren, sondern gleichermaßen den Blick zu weiten, um zumindest naheliegende Konfliktlinien zu identifizieren und Lösungen zu suchen.
Typische vermeintliche (aber doch oft auflösbare) Gegensätze werden uns immer wieder in den Bereichen „Datenschutz und Sicherheit“ (siehe auch Tz. 2.3), „Datenschutz und Freiheit“ und „Datenschutz und Nutzbarkeit“ genannt. Auch können Wechselwirkungen mit Informationsfreiheit, Umweltschutz, Datenzugang, Forschung, Wirtschaftlichkeit oder etwa Kartellrecht bestehen.
Das Oberthema für die Gestaltung von Systemen ist „Fairness und Vertrauenswürdigkeit by Design“. Dies betrifft nicht nur die Entwicklung informationstechnischer Systeme, sondern auch den Bereich der rechtlichen oder technischen Normgebung. Außerdem geht es darum, die Kluft zwischen Forschung und Praxis zu überbrücken: Neue Erkenntnisse müssen kurzfristig in der Gesetzgebung und Normierung ankommen, taugliche Lösungsansätze müssen schneller bekannt und nutzbar gemacht werden, um den Stand der Technik voranzubringen. Und vor allem ist der interdisziplinäre Diskurs und eine Folgenabschätzung wichtig, damit alle wesentlichen Aspekte Eingang finden und unerwünschte Effekte nach Möglichkeit vermieden werden.
Was ist zu tun?
Mit der zunehmenden Digitalisierung wird deutlich, dass Fairness und Vertrauenswürdigkeit im Systemdesign eine größere Rolle spielen müssen. Wir werden dazu unsere Impulse in den notwendigen gesellschaftlichen Diskurs geben und im uns möglichen Rahmen Forschung und Praxis unterstützen.
2.5 DSK 2.0
DSK – das ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Hier diskutieren die Behördenvertreterinnen und -vertreter Fachfragen, treffen Festlegungen oder veröffentlichen Beschlüsse. Die DSK ist sozusagen das deutsche Pendant zu dem Europäischen Datenschutzausschuss (EDSA), in dem die Vertreterinnen und Vertreter der Mitgliedstaaten zusammenkommen. Mit einem wesentlichen Unterschied: Die Datenschutz-Grundverordnung regelt diese europäische Zusammenarbeit, beschreibt das Kohärenzverfahren zur einheitlichen Anwendung der DSGVO bis hin zur Streitbeilegung (siehe Kapitel VII der DSGVO). Eine derartige gesetzliche Regulierung gibt es für die deutsche DSK nicht.
Das bedeutet aber nicht, dass nicht ebenfalls zusammengearbeitet und Kohärenz angestrebt wird. Bereits im letzten Tätigkeitsbericht haben wir den Arbeitskreis „DSK 2.0“ erwähnt (39. TB, Tz. 2.3). Dieser Arbeitskreis zielt darauf ab, die Potenziale zur Fortentwicklung der DSK und des Austausches zwischen den Datenschutzaufsichtsbehörden auszuloten und gegebenenfalls Vorschläge für eine Neugestaltung zu erarbeiten.
Mit Interesse haben wir im Koalitionsvertrag der Bundesregierung gelesen, dass eine Institutionalisierung der Datenschutzkonferenz im BDSG geplant ist.
Aus dem Koalitionsvertrag 2021–2025:
Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.
Gerne bringen wir uns ein, um das Ideenkorsett auf Bundesebene mit auch für die Länder praxistauglichen Lösungen zu füllen.
Wir müssen aber nicht auf Änderungen im BDSG warten, um die heutige vertrauensvolle Kooperation in der DSK fortzusetzen und in konkreten Fällen beispielsweise auf das Instrument der Amtshilfe (Art. 57 Abs. 1 Buchst. g DSGVO) zurückzugreifen. Im Zertifizierungsbereich, der alle Behörden betrifft, haben wir zudem im Jahr 2020 eine Verwaltungsvereinbarung (39. TB, Tz. 9.2) abgeschlossen, die u. a. die Möglichkeit der gegenseitigen Unterstützung für Genehmigungen von Zertifizierungskriterien umfasst.
2.5 Beschäftigtendatenschutz – neuer Anlauf?!
Digitalisierung verändert die Arbeitswelt (siehe auch Tz. 8.2). Die Interessen der Beschäftigten und die Interessen der Arbeitgeber sind oft nicht deckungsgleich, auch nicht im Bereich Datenschutz. Wie sieht ein fairer Ausgleich zwischen diesen Interessen aus? Wie lässt sich ein wirksamer Datenschutz im Arbeitsleben in der Praxis umsetzen?
Man könnte meinen, es wäre eine unendliche Geschichte: die Diskussion über das Ob und Wie eines Beschäftigtendatenschutzgesetzes. Die (Dienst-)Ältesten im Datenschutz erinnern sich an Debatten, die vor mehreren Jahrzehnten stattgefunden haben, und ein paar mehr Leute kennen noch Entwurfsfassungen wie aus dem Jahr 2010, der sogar von der Bundesregierung beschlossen und in den Bundestag eingebracht, aber nie verabschiedet wurde. Als später ein neuer Bundestag gewählt wurde und die nächste Legislaturperiode begann, war der alte Entwurf Makulatur, d. h., er wurde nicht erneut eingebracht.
Mit der Datenschutz-Grundverordnung wurden die Karten neu gemischt. In jedem Fall können auch die Beschäftigten ihre Datenschutzrechte nach der DSGVO wahrnehmen. Insgesamt sind aber die Situationen der Arbeitswelt nicht vollständig mit dem europäischen Gesetzeswerk geregelt, sondern die DSGVO lässt dem nationalen Gesetzgeber einigen Spielraum.
Art. 88 Abs. 1 DSGVO
Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext […] vorsehen.
In dieser Situation hatte die vorherige Bundesregierung eine Expertenkommission beim Bundesministerium für Arbeit und Soziales zur Fortentwicklung des Beschäftigtendatenschutzes installiert, in die auch die Landesbeauftragte für Datenschutz Schleswig-Holstein berufen wurde (39. TB, Tz. 2.4). In intensiven Diskussionen wurden Thesen und Empfehlungen erarbeitet, die pandemiebedingt jedoch verzögert fertiggestellt und so erst im Januar 2022 an den Bundesarbeitsminister übergeben werden konnten.
Aus dem Koalitionsvertrag 2021–2025:
Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.
Diese Empfehlungen enthalten nicht nur Vorschläge für gesetzliche Regelungen und rechtliche Konkretisierungen für ein Mehr an Rechtssicherheit und einen effektiven Datenschutz, sondern nehmen auch weitere Instrumente in den Blick, die für die verschiedenen beteiligten Akteure – Arbeitgeber, Beschäftigte, Personalvertretungen, Gewerkschaften, Datenschutzbeauftragte, Aufsichtsbehörden und das Bundesministerium für Arbeit und Soziales – relevant sein können. Dazu gehören die Unterstützung von Best-Practice-Ansätzen, Veröffentlichung von Musterdokumenten, Selbstaudits zur regelmäßigen Bestandsaufnahme des Datenschutzniveaus in der Organisation, Bereitstellung von Datenschutz-Prüfkriterien für Auswahl und Einsatz sowie Hilfestellungen für Datenschutz „by Design“ und „by Default“ für informationstechnische Systeme, die im Arbeitsleben eine Rolle spielen können.
Einen Gesetzentwurf hat die Expertenkommission nicht vorgelegt. Das ist vielleicht sogar ganz gut, denn das Dokument mit den Thesen und Empfehlungen, dessen Erarbeitung die vorherige Bundesregierung in Auftrag gegeben hatte, wird nun nicht dasselbe Schicksal erleiden wie der Gesetzentwurf aus dem Jahr 2010. Im Gegenteil: Da der Koalitionsvertrag der 2021 gewählten Bundesregierung das Thema Beschäftigtendatenschutz auf ihre Agenda gesetzt hat, kann es nun mit neuem Schwung behandelt werden.
Nach der Veröffentlichung der Dokumente der Expertenkommission zum Beschäftigtendatenschutz werden wir auf unserer Webseite darauf hinweisen.
Was ist zu tun?
Die Empfehlungen zum Beschäftigtendatenschutz sollten sowohl bei Gesetzgebungsverfahren für diesen Bereich als auch bei Überlegungen für Verbesserungen in der Praxis einfließen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |