Mitte Oktober ist ein neuer Entwurf eines Beschäftigtendatenschutzgesetzes (RefE BeschDG) vom 8. Oktober 2024 bekannt geworden. Die Frage, ob und wie der Beschäftigtendatenschutz in Deutschland ergänzend zum BDSG, der EU DS-RL und später der DSGVO geregelt werden soll, beschäftigt den deutschen Gesetzgeber schon seit Mitte der 1980er Jahre. Alle bisherigen Gesetzesentwürfe wurden jedoch nie in Kraft gesetzt. Heute analysieren wir die geplanten Änderungen im Hinblick auf die DSGVO.
1 - Einführung
I) Rechtlicher Rahmen
Die DSGVO sieht in Art. 88 vor, dass die Mitgliedsstaaten spezifischere Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten erlassen können. Bisher hat Deutschland in § 26 BDSG nur sehr allgemeine Regelungen zum Beschäftigtendatenschutz getroffen. In seiner Entscheidung vom 30.3.2023 (Sache C-34/21) hat der Europäische Gerichtshof (EuGH) erhebliche Zweifel angemeldet, ob die mit § 26 Abs. 1 BDSG gleichlautende Regelung des § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz mit der DSGVO vereinbar ist. Der nun vorgelegte Regierungsentwurf des RefE BeschDG betont wiederholt, die vom EuGH festgestellten Defizite berücksichtigt zu haben und den Anforderungen des Art. 88 DSGVO zu genügen.
II) Anwendungsbereich des Gesetzes
Das RefE BeschDG regelt ausschließlich die Verarbeitung personenbezogener Beschäftigtendaten. Der Begriff der Beschäftigten wird – wie schon in § 26 Abs. 8 BDSG – weit gefasst (§ 2 Abs. 2 RefE BeschDG) und nimmt neu ausdrücklich auch ehemalige Beschäftigte mit auf.
Neu ist, dass die Regelungen auch für die Datenverarbeitung durch Dritte gelten sollen (§ 1 Abs. 2 RefE BeschDG), sofern eine gemeinsame Verantwortlichkeit zwischen Arbeitgeber und Drittem anzunehmen ist. Nach dem Wortlaut würde dies auch Dritte außerhalb Deutschlands erfassen, z.B. Social Media Plattformen oder konzernverbundene Unternehmen in anderen Mitgliedsstaaten oder in Drittländern. Dabei ist nach unserer Einschätzung zweifelhaft, ob Art. 88 DSGVO den Mitgliedsstaaten tatsächlich Regelungsbefugnisse für Daten in anderen Ländern gewährt. Angesichts der weiten Interpretation des EuGH zur gemeinsamen Verantwortung dürfte diese Regelung hoch problematisch für Unternehmen und insbesondere internationale Konzerne werden.
Das RefE BeschDG soll zudem die bisherige Regelung des § 26 Abs. 7 BDSG fortführen, indem das Gesetz – insoweit begrifflich weiter als der Anwendungsbereich der DS-GVO – grundsätzlich auch dann zur Anwendung kommt, sofern eine nichtautomatisierte Verarbeitung personenbezogener Beschäftigtendaten erfolgt.
2 - Datenschutzrechtliche Rechtsgrundlagen
Bei der Ausgestaltung der datenschutzrechtlichen Rechtsgrundlagen unterscheidet das RefE BeschDG sehr stark nach unterschiedlichen Verarbeitungsszenarien.
Während in § 3 RefE BeschDG die sog. Grundlagen zur Datenverarbeitung festgehalten werden, sind in Teil 2 des RefE BeschDG („Besonderer Teil“) spezifische Regelungen zu einzelnen Themenbereichen enthalten. Das RefE BeschDG unterscheidet hierbei etwa zwischen der Datenverarbeitung vor der Begründung eines Beschäftigungsverhältnisses, der Überwachung von Beschäftigten, dem Profiling und (weiteren) besonderen Verarbeitungssituationen, etwa im Kontext des Betrieblichen Eingliederungsmanagements sowie der Datenverarbeitung im Konzern.
I) Zulässige Verarbeitungszwecke
In § 3 Abs. 1 des RefE BeschDG wird zunächst festgehalten, wann eine Verarbeitung von Beschäftigtendaten im Zusammenhang mit einem Beschäftigungsverhältnis grundsätzlich zulässig ist. Die Bestimmungen lehnen sich im Ergebnis zwar in weiten Teilen an die bisherigen Grundsätze zu § 26 Abs. 1 S. 1 BDSG an, umfassen jedoch einige Konkretisierungen. So soll eine entsprechende Datenverarbeitung ausdrücklich dann zulässig sein, sofern sie für einen konkreten Zweck
- zur Entscheidung über die Begründung, zur Durchführung oder zur Beendigung eines Beschäftigungsverhältnisses (Nr. 1),
- zur Erfüllung von durch Rechtsvorschriften festgelegten Pflichten des Arbeitgebers (Nr. 2),
- zur Erfüllung von durch Kollektivvereinbarung festgelegten Pflichten des Arbeitgebers (Nr. 3),
- zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten (Nr. 4),
- zum Schutz lebenswichtiger Interessen der betroffenen Beschäftigten oder einer anderen natürlichen Person (Nr. 5),
- zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Arbeitgeber übertragen wurde (Nr. 6), oder
- zur Wahrung eines berechtigten betrieblichen oder dienstlichen Interesses des Arbeitgebers (Nr. 7)
erforderlich ist. Nach der gesetzgeberischen Intention umfassen zulässige Zwecke u.a. die Planung und Organisation der Arbeit, das Management, die Gleichheit und Diversität am Arbeitsplatz, die Gesundheit und Sicherheit am Arbeitsplatz, den Umwelt- und Klimaschutz, den Schutz des Eigentums der Arbeitgeber, der Beschäftigten oder der Kunden sowie die Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen.
Die jeweils verfolgten Zwecke des Arbeitgebers müssen gemäß § 3 Abs. 3 RefE BeschDG so konkret festgelegt werden, dass anhand des Zwecks u.a. die Rechtmäßigkeit der Verarbeitung bewertet werden kann. Zudem hat die Festlegung der Zwecke nach den ausdrücklichen Vorgaben des RefE BeschDG bereits vor der Datenverarbeitung zu erfolgen. Für die Praxis bedeutet dies, dass die jeweiligen Verarbeitungsschritte insgesamt wohl detaillierter dokumentiert werden müssen, als dies bislang der Fall ist. Rein generische Angaben sind unter Anbetracht der ausdifferenzierten Ausgestaltung des RefE BeschDG perspektivisch nicht mehr ausreichend. Um diesen Anforderungen gerecht zu werden, bietet es sich etwa an, den jeweiligen Eintrag im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO von vornherein entsprechend präzise auszugestalten und ggf. mit weiteren Spalten zur rechtlichen Begründung zu versehen.
Im Hinblick auf Datenverarbeitungen auf der Grundlage des § 3 Abs. 1 Nr. 1 und 7 RefE BeschDG ist weiter zu beachten, dass die Interessen des Arbeitgebers an der Verarbeitung, die Interessen der betroffenen Beschäftigten an dem Ausschluss der Verarbeitung überwiegen müssen. Während im Beschäftigungsverhältnis zwar auch bislang auf die Regelung des Art. 6 Abs. 1 lit. f) DS-GVO abgestellt werden kann, wird nunmehr eine eigenständige Interessenabwägungsklausel im RefE BeschDG eingeführt, welche im Hinblick auf den Wortlaut der Norm insgesamt strenger ausgestaltet ist. Die Pflicht zur Dokumentation der Interessenabwägung greift nach dem RefE BeschDG zusätzlich auch für die Rechtsgrundlagen „Vertragsdurchführung“ und „Rechtliche Verpflichtung“ (Art. 6 Abs. 1 lit. b, c DSGVO).
Wann eine Datenverarbeitung im Einzelnen als „erforderlich“ anzusehen ist, wird umfassend in § 4 RefE BeschDG festgehalten. Neben dem Umstand, dass in jedem Einzelfall die bestehende Abhängigkeit der Beschäftigten zu berücksichtigen ist, muss eine Abwägung durchgeführt werden, bei welcher eine breite Palette an weiteren Aspekten einzufließen hat. Dies betrifft etwa das Gewicht der mit der Verarbeitung verfolgten Interessen des Arbeitgebers, den damit verbundenen Grundrechtseingriff, welcher durch verschiedene Faktoren weiter beeinflusst wird, sowie die im Einzelfall ergriffenen technischen und organisatorischen Maßnahmen. Man merkt dem Entwurf des RefE BeschDG an mehreren Stellen sehr deutlich an, dass sich der Gesetzgeber um eine möglichst umfassende Konkretisierung der bislang unbestimmten Rechtsbegriffe in § 26 BDSG bemüht.
Zusammenfassend wird in den neuen Regelungen in § 3 RefE BeschDG insbesondere das Erfordernis einer umfangreichen Abwägung und Dokumentation in den Vordergrund gerückt. Die allgemeinen Regelungen des RefE BeschDG bringen inhaltlich zwar nur wenige echte Neuerungen, sind jedoch mit einer Vielzahl weiterer Konkretisierungen und einem nicht zu unterschätzenden Dokumentationsaufwand verbunden.
II) Die Einwilligung im Beschäftigungsverhältnis
Die Einwilligung als Grundlage zur Datenverarbeitung wird in § 5 RefE BeschDG abgebildet. Während auch bislang die Frage der Freiwilligkeit einer Einwilligung eine bedeutsame Rolle bei der datenschutzrechtlichen Bewertung eingenommen hat, finden sich im Entwurf des RefE BeschDG nunmehr einige Präzisierungen. Bei der Beurteilung der Freiwilligkeit sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der Beschäftigten sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Im Falle der Verarbeitung von Bewerberdaten wird insoweit von einem verstärkten Machtungleichgewicht gesprochen.
In § 5 Abs. 2 RefE BeschDG werden einige Fälle aufgelistet, bei welchen von einer Freiwilligkeit einer Einwilligung auszugehen ist. Dies betrifft u.a.
- die Aufnahme in einen Bewerberpool,
- die Nutzung von Fotos für das Intranet,
- die Privatnutzung von betrieblichen IT-System sowie
- die Nutzung von biometrischen Daten zu erleichterten Identifizierung, sofern gleichwertige Alternativen zur Verfügung stehen.
Im Kern geht es immer um solche Konstellationen, in denen der Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen, oder die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erreicht. Auch diese Konstellationen sind dem Grunde nach nicht neu, werden nunmehr jedoch ausdrücklich im Entwurf des RefE BeschDG festgehalten.
Eine Einwilligung hat auch weiterhin schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Hier ist weiterhin die Empfehlung auszusprechen, dass die schriftlich festgehaltene Einwilligung allein aus Gründen der Nachweisbarkeit im Regelfall ratsam ist.
3 - Spezifische Betroffenenrechte
In § 10 RefE BeschDG finden sich einige echte Neuerungen, welche spezifische Rechte von Beschäftigten und Informationspflichten des Arbeitgebers adressieren.
Sofern der Arbeitgeber die Datenverarbeitung auf ein berechtigtes betriebliches oder dienstliches Interesse gemäß den Vorgaben des RefE BeschDG stützt, muss er der betroffenen Person die wesentlichen Erwägungen der Abwägung der Interessen inklusive der Prüfung der Erforderlichkeit in einer für diese verständlichen Weise darlegen. Über das Bestehen dieses Rechts muss der Arbeitgeber zudem in den Datenschutzhinweisen nach Art. 13, 14 DS-GVO informieren.
Diese neuen Anforderungen stellen eine erhebliche Verschärfung der bisherigen Prüf- und Dokumentationspflichten dar, da entsprechende Erwägungen bislang nur gegenüber der Datenschutzaufsichtsbehörde bereitzustellen sind.
Die Nutzung von KI-Systemen im Unternehmen wird dahingehend weiteren Anforderungen unterzogen, als den Beschäftigten gemäß § 10 Abs. 3 RefE BeschDG aussagekräftige Informationen über die Funktionsweise des KI-Systems sowie die Funktion der verarbeiteten Beschäftigtendaten innerhalb des KI-Systems sowie die im jeweiligen Einzelfall ergriffenen Schutzmaßnahmen nach § 9 RefE BeschDG zu erteilen sind. Während die Reichweite einer entsprechenden Informationserteilung bislang Gegenstand vermehrter Diskussionen war, schließt sich der Gesetzgeber beim Entwurf des RefE BeschDG der tendenziell strengen Rechtsauffassung der Datenschutzaufsichtsbehörden an. Auch hier wird es künftig daher nicht (mehr) ausreichen, lediglich generische Informationen zum KI-System bereitzustellen.
4 - Generelles Verwertungsverbot datenschutzwidrige verarbeiteter Daten
Während die Einzelheiten zu Verwertungsverboten infolge einer datenschutzwidrigen Verarbeitung personenbezogener Beschäftigtendaten bislang eher einzelfallbezogen durch die arbeitsgerichtliche Rechtsprechung konturiert wurden, trifft § 11 RefE BeschDG hierzu entsprechende Klarstellungen. Daten, welche in datenschutzwidriger Weise verarbeitet wurden, dürfen künftig ganz grundsätzlich nicht mehr in einem gerichtlichen Verfahren über die Rechtmäßigkeit einer auf diese Daten gestützten personellen Maßnahme des Arbeitgebers gegen eine beschäftigte Person (etwa im Falle einer Kündigung) verwendet werden, sofern nicht ein offensichtliches Missverhältnis zwischen dem Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen beschäftigten Person durch die gerichtliche Verwertung und dem grundrechtlich geschützten Interesse des Arbeitgebers an der gerichtlichen Verwertung besteht. Durch die sprachliche Ausgestaltung der Vorschrift ist die Darlegungs- und Beweislast für das Eingreifen dieser Ausnahme dem Arbeitgeber zuzuschreiben. Ob die Regelung letztlich die vom Gesetzgeber erhoffte Rechtsklarheit verschafft, bleibt abzuwarten, da es auch hier weiterhin auf eine Abwägung im jeweiligen Einzelfall ankommt.
5 - Erweitertes Mitbestimmungsrecht des BR
Das RefE BeschDG führt ein, dass der Betriebsrat bei der Bestellung und Abberufung des Datenschutzbeauftragten ein Mitbestimmungsrecht hat. Sofern es zu keiner Einigung kommt, soll der Spruch der Einigungsstelle die Einigung ersetzen. Hier geht der deutsche Gesetzgeber nach unserer Einschätzung deutlich über die Öffnungsklausel des Art. 88 DSGVO hinaus, da es sich bei den Regelungen zum Datenschutzbeauftragten nicht um spezifische Regelungen des Beschäftigtendatenschutzes handelt. Es ist daher zweifelhaft, ob die Regelung DSGVO-konform ist. Der Datenschutzbeauftragte ist für alle Datenschutzfragen des Verantwortlichen zuständig und nicht nur für die Beschäftigtendaten. Dem BR faktisch ein Vetorecht gegen die Bestellung eines Datenschutzbeauftragten einzuräumen geht deutlich über die bisherigen Mitbestimmungsrechte des BR hinaus und kann die Neu- oder Nachbesetzung eines gesetzlich verpflichtenden DSB erheblich verzögern. Es stellen sich hier auch Fragen zur Unabhängigkeit des Datenschutzbeauftragten.
6 - Überwachung
Die Überwachung von Beschäftigten hat es aufgrund der datenschutzrechtlichen Brisanz der Thematik in ein eigenes Kaptitel in das RefE BeschDG geschafft. Die einzelnen Regelungen unterscheiden zwischen allgemeinen Grundlagen bei der Überwachung von Beschäftigten (§ 18), nicht nur kurzfristigen Überwachungsmaßnahmen (§ 19), der verdeckten Überwachung (§ 20), der Videoüberwachung (§ 21), der Ortung (§ 22) sowie einem Verbot hinsichtlich der Weiterverarbeitung der so erlangten Daten zur Leistungskontrolle (§ 23).
Die Verarbeitung von Beschäftigtendaten durch Überwachungsmaßnahmen ist grundsätzlich nur zulässig, soweit sie für einen konkreten Zweck zur Durchführung des Beschäftigungsverhältnisses, zur Erfüllung von durch Rechtsvorschrift oder Kollektivvereinbarung festgelegten Pflichten des Arbeitgebers oder zur Wahrung wichtiger betrieblicher oder dienstlicher Interessen erforderlich ist und dabei die Interessen des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten an dem Ausschluss der Verarbeitung überwiegen. Die jeweilige Überwachung darf dabei grundsätzlich nur kurzfristig und entweder anlassbezogen oder stichprobenhaft erfolgen.
Unter Überwachungsmaßnahmen versteht das RefE BeschDG dabei alle Maßnahmen zur zielgerichteten Beobachtung von Personen oder Objekten durch Personen oder technische Einrichtungen. Hier wird sich in der Praxis die Frage stellen, ob sich die Arbeitsgerichte an diese strikte Beschränkung auf die Zielrichtung halten werden, oder ob sich auch hier die zu § 87 BetrVG entwickelte Auffassung durchsetzen wird, dass bereits eine Geeignetheit der Maßnahme ausreichend ist. Der Zweck einer entsprechenden Überwachung kann nach § 18 Abs. 2 RefE BeschDG etwa auf den Schutz von Gesundheit und Sicherheit von Beschäftigten sowie die Verhütung und Aufdeckung von Straftaten und Pflichtverletzungen beziehen. Während die „reine“ Pflichtverletzung bislang zumindest nicht ausdrücklich in § 26 Abs. 1 S. 2 BDSG genannt ist, findet im Entwurf des RefE BeschDG nunmehr eine entsprechende Klarstellung statt. Während im Anwendungsbereich des § 26 Abs. 1 BDSG also bislang einige Differenzierungen je nach Art der jeweiligen Pflichtverletzung und Überwachungsmaßnahme stattzufinden hatte, werden Straftaten und Pflichtverletzungen nunmehr gemeinsam in § 18 RefE BeschDG abgebildet. Positiv aus Unternehmenssicht ist hier hervorzuheben, dass auch Pflichtverletzung jetzt klar umfasst sind. Bisher war häufig streitig, ob Verstöße gegen Sicherheitspflichten z.B. im Bereich der IT-Sicherheit verfolgt werden durften, da in solchen Fällen oft die Schwelle zur Strafbarkeit nicht erreicht wurde – ohne Verfolgungsmöglichkeit aber die Einhaltung von Sicherheitsstandards und damit der angemessenen TOM nicht möglich war.
Was bislang bereits als allgemeiner Grundsatz anerkannt ist, wird in § 18 Abs. 5 RefE BeschDG ausdrücklich festgehalten: Die Verarbeitung von Beschäftigtendaten, die den Kernbereich privater Lebensgestaltung betreffen, sowie die Verarbeitung von Bereichen, die auch als kollektive und kommunikative Rückzugsräume sowie der privaten Lebensgestaltung dienen, ist ausdrücklich unzulässig. Hier ergeben sich voraussichtlich große Herausforderungen mit Blick auf die Arbeit im HomeOffice und das mobile Arbeiten. Hier kollidieren die Pflichten zum Schutz der Daten aus der DSGVO mit dem vom RefE BeschDG verfolgten Schutz der privaten Lebensräume. Es sind komplexe Abwägungen und Dokumentationen zu erstellen.
Die nur ausnahmsweise zulässigen Überwachungsmaßnahmen, welche nicht nur kurzzeitig erfolgen, werden in § 19 RefE BeschDG abgebildet. Insoweit sind deutlich strengere Anforderungen zu beachten, da eine entsprechende Vorgehensweise nur dann zulässig ist, soweit sie für einen konkreten Zweck zum Schutz von Leib oder Leben von Beschäftigten oder von Dritten oder zur Wahrung besonders wichtiger betrieblicher oder dienstlicher Interessen erforderlich ist und dabei die Interessen des Arbeitgebers an der Verarbeitung die Interessen der betroffenen Beschäftigten an dem Ausschluss der Verarbeitung erheblich überwiegen.
Während in § 19 RefE BeschDG ebenfalls strengere Anforderungen an den Zweck der Überwachungsmaßnahme gestellt werden, findet sich weiter ein Ausschluss einer entsprechenden Datenverarbeitung zur Leistungskontrolle sowie ergänzende Anforderungen an die zu ergreifenden Schutzmaßnahmen nach § 9 RefE BeschDG.
Im Hinblick auf verdeckte Überwachungsmaßnahmen finden sich Abweichungen von der sonst bestehenden Pflicht zur Informationserteilung nach den Art. 13 und 14 DS-GVO. Eine Information über die Datenverarbeitung ist hiernach nicht erforderlich, soweit
- zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass aus einem räumlich und funktional abgrenzbaren Kreis von Beschäftigten heraus eine Straftat oder schwere Pflichtverletzung begangen wurde,
- die Datenverarbeitung zur Aufdeckung dieser Straftat oder schweren Pflichtverletzung erfolgt und
- keine andere Möglichkeit besteht, diese Straftat oder schwere Pflichtverletzung aufzudecken.
Eine entsprechende Information ist jedoch unverzüglich nachzuholen, sobald der Zweck der Überwachungsmaßnahme hierdurch nicht mehr gefährdet wird. Ebenfalls wird in § 20 Abs. 3 RefE BeschDG festgehalten, dass im Falle einer verdeckten Überwachung vorzeitig der Datenschutzbeauftragte einzubeziehen ist.
Im Hinblick auf die Videoüberwachung und Ortung von Beschäftigten finden sich in den §§ 21 und 22 RefE BeschDG weitere Sonderregelungen, welche Vorgaben zu Art und Umfang der jeweiligen Überwachungsmaßnahme aufstellen. So sind im Falle einer Videoüberwachung nunmehr ausdrücklich etwa Bereiche oder Personen technisch auszublenden oder unkenntlich zu machen, die für die Zweckerfüllung nicht erforderlich sind. Ebenfalls werden Pitkogramme zur Schaffung von Transparenz sowie die bislang herrschende Auffassung der Datenschutzaufsichtsbehörden zur regelmäßigen Pflicht zur Löschung der Daten nach 72 Stunden nunmehr ausdrücklich im RefE BeschDG festgehalten. Damit erhöht sich in jedem Fall der Aufwand für Videoüberwachungen signifikant, da wohl klarer dokumentiert werden muss, wessen Erfassung erforderlich ist und wessen nicht. Fraglich ist auch, ob 72 Stunden wirklich ausreichend sind (zB über Ostern). Anforderungen an die Konfigurierbarkeit der Videoüberwachungsanlagen werden steigen, Altsysteme können unter diesen Voraussetzungen möglicherweise nicht weiter betrieben werden.
Auch im Hinblick auf die weit überwiegenden Anforderungen bei der Überwachung von Beschäftigten lässt sich festhalten, dass wenige echte Neuerungen hinzukommen, da die jeweiligen Anforderungen auch bislang seitens der Datenschutzaufsichtsbehörden so aufgestellt werden.
7 - Ersteinschätzung und Ausblick
Der vorliegende Entwurf geht aktuell in die Ressortabstimmung und soll nach unserem Kenntnisstand Ende des Jahres im Kabinett beraten und beschlossen werden. Dabei ist zu erwarten, dass es noch zu Veränderungen am Text kommen wird.
Der Entwurf nimmt viele der strengen Empfehlungen der Datenschutzkonferenz (DSK Entschließung 29. April 2022) auf, geht aber teilweise noch darüber hinaus. Teilweise halten wir die Regelungen für nicht von der Öffnungsklausel des Art. 88 DSGVO gedeckt. Dies gilt insbesondere für die Mitbestimmung des BR bei der Bestellung und Abberufung des Datenschutzbeauftragten und für die Extraterritoriale Wirkung bei gemeinsam Verantwortlichen.
Der Entwurf erhöht die Dokumentations- und Informationspflichten für Arbeitgeber in ganz erheblichem Umfang. Die Regelungsvorschläge sind kleinteilig und wirken häufig etwas aus der Zeit gefallen. Die weiter fortscheitende Digitalisierung der Wirtschaft und die schnelle Verbreitung von Künstlicher Intelligenz erschweren in der Praxis die Grenzziehung bei Verarbeitungszwecken und Zielrichtungen. Der Ansatz des Gesetzgebers, hier nicht auf Grundsätze und etablierte Systematiken der DSGVO zu vertrauen, sondern nationale Einzelfallregelungen zu gestalten, wird voraussichtlich zu viel Unsicherheit führen und die bürokratischen Aufwände für die Wirtschaft wesentlich erhöhen.