企业出海丨德国员工数据保护要求动态与更新

员工数据保护是企业出海欧盟不可不关注的议题，在公司集团层面人力资源管理、内部审计等多个场景中具有重要意义。如雇佣当地员工，更应特别注意这一方面的合规水位，以免引发内部管理问题乃至合规投诉、调查等实质风险。

由于产业供应链、技术发展实际情况等，德国是智能网联汽车、智能制造等行业在欧盟设立实体优先选择的目的地之一，大量中资企业已经在德国设点，并聘用了德国当地员工。在实务中我们也注意到，不少出海的中资企业在德国员工数据保护问题上曾遇到限制，对其经营及/或管理造成了一定影响。

2024年10月8日，德国联邦劳动和社会事务部（BMAS）与联邦内政、建筑和家务事务部（BMI）联合发布了《员工数据保护法（草案）》（下称“ BeschDG草案 ”），引发了广泛的关注与讨论。这份草案一旦生效，预计将进一步强化对德国员工数据的保护，对雇主施加更高的员工数据保护合规要求和成本，因此需要引起出海德国的中国企业的关注。本文将介绍BeschDG草案的亮点规定，探讨一些关键问题，以期为出海德国企业提示当地最新法律要求，为企业开展德国员工数据保护工作提供有益参考。

德国员工数据收集处理首先需遵循《欧盟通用数据保护条例》（下称“ GDPR ”），此外还需考虑《德国联邦数据保护法》（下称“ BDSG ”）的要求。虽然GDPR第88条允许国家立法机关为员工个人数据的处理制定更具体的规定，但德国此前并未出台综合性法律进行规制，只在BDSG第26条中对员工数据保护作出了较为宽泛的规定。

BDSG对于员工个人数据保护缺乏明确和全面的规制长期以来一直受到批评。最为代表性的是，2023年3月30日，欧洲法院（ECJ）在C-34/21号案件判决中，对德国的员工数据保护规定是否符合GDPR的要求表示了疑虑。在这样的背景之下， BeschDG草案应运而生。

从规制的客体所关联的个人信息主体来看，依据BeschDG草案第2条第2款中定义，“员工”的定义与BDSG第26条第8款所明确的保持了基本一致，BeschDG草案还明确“员工”包括前员工。从合规义务主体而言，BeschDG草案第1条第2款还明确，如雇主与第三方之间可以推定存在共同控制关系（joint controllership），那么第三方的数据处理也需遵循相关规定。考虑到欧洲法院对共同控制责任的广泛解释，BeschDG草案这一规定可能会给国际公司人力资源管理的合规要求带来更大的挑战。

1、对被允许的数据处理目的做出了场景化明确

依据BeschDG草案第3条第1款，通常而言，出于与雇佣关系相关的目的处理员工数据是被允许的，这一原则性规定也基本沿用了BDSG第26条第1款的规定。在此基础之上，BeschDG草案也引入了一些新的细节，其中最值得关注的包括明确列举了一些场景，并指出出于这些目的处理员工个人信息是属于与雇佣相关的目的：

•决定是否建立、实施或终止一段劳动关系

•履行法律规定的雇主义务

•履行集体协议中规定的雇主义务

•履行由法律或集体协议赋予的员工代表权利和义务

•保护有关员工或其他自然人生命安全的重大利益

•执行公共利益任务或行使雇主的官方职权

•保护雇主的合法商业利益

2、雇佣关系中如何获得有效同意

依据GDPR所明确的框架，通常会认为雇员与雇主之间存在较强的权力/话语权不平衡，因此较难衡量员工的同意是否是自愿做出的，雇员在雇佣关系中的依赖性和同意给出的具体情况都需要作为评估标准。BeschDG草案第5条对“同意”进行了更深入的阐明，进一步强调了同意的自愿性。 第5条第2款列出了几种可以视为自愿同意的情况，其中包括：加入候选人池、使用照片用于内联网、私人使用公司IT系统、使用生物识别数据进行身份识别（前提是有等效的替代方案）等。 同意仍需书面或电子形式给出，除非特殊情况需要其他形式。

3、数据主体权利在一定程度上得到扩大

BeschDG 草案第10条包含了一些创新内容，涉及员工的具体权利和雇主的信息义务。如果雇主根据BeschDG草案的规定，以合法的商业利益为数据处理的依据，他们必须以数据主体（即员工）能够理解的方式，向其解释利益权衡的主要考虑因素，包括对必要性的审查。雇主还必须在数据保护通知中提供有关此权利的信息，遵循 GDPR 第13条和第14条的要求。如公司使用人工智能系统，还需满足更多要求。具体而言，雇主必须向员工提供有关人工智能系统运作的有意义的信息，以及员工数据在人工智能系统中的功能和针对每个个案采取的保护措施。

4、对于员工监控的特别规定

BeschDG草案设置了专门的章节来规制员工监控场景，包括员工监控的一般原则（第18条）、非短期监控措施的合规要求（第19条）、隐蔽监控（第20条）、视频监控（第21条）、追踪（第22条）以及禁止进一步处理这些数据用于绩效监控（第23条）等维度。BeschDG草案强调了这些措施的必要性，以及雇主利益与员工隐私之间的平衡。我们将其中较为关键的内容摘录如下：

（1） 短期监控措施需满足的要求

有关短期监控的要求主要规定于 BeschDG 草案第18条，即员工监控只有在服务于合法目的时才是被允许的，例如确保工作场所安全、履行法律或合同义务或保护商业利益。其次，雇主必须证明监控是必要的，并且其所对应利益超过员工隐私权。再次，监控措施应当是临时性的，并且有具体的、充分记录的需求作为理由。

（2） 长期监控需满足的要求

BeschDG草案第19条规定，持续时间超过短期临时检查的监控措施必须满足更严格的条件，且只有在保护生命与健康或保障重要运营利益的情况下才被允许。第19条也明确禁止使用员工数据进行绩效监控。

（3） 隐蔽监控的实施

第20条则涉及有关隐蔽监控更加严格的限制。只有在极少数情况下，例如怀疑发生严重犯罪或违反职务的行为，且没有可行的替代调查方法时，才能使用隐蔽监控。雇主必须在调查目的达成后，向员工提供有关监控的信息。就隐蔽监控而言，第20条第3款规定，数据保护官必须参与涉及隐蔽监控的决策。

5、禁止使用违反数据保护规定所获得和/或处理的员工个人数据

在德国的司法实践中，通常劳动法院会根据个案来确定，违反数据保护法获得和/或处理的员工个人数据是否应被禁止使用。BeschDG草案则在第11条进行了规定，做出进一步明确。根据 BeschDG草案，违反数据保护法获得和/或处理的数据一般而言不得用于与企业基于此类数据所采取的人力资源管理措施相关诉讼（例如，企业基于违法获得的数据解雇员工相关诉讼），除非员工的基本个人权利与雇主利益存在显著失衡。

6、工会对于数据保护官（DPO）的共同决策权

BeschDG 草案中有关DPO任命的规定引起了广泛的关注。依据最新BeschDG草案，工会在DPO的任命和解聘过程中拥有共同决策权。数据保护官负责所有与数据保护相关的事务，而不仅仅是员工数据，且GDPR也要求数据保护官应当具有较高的独立性。如工会对此具有共同决策权，那么数据保护官的独立性可能会受到质疑乃至实质影响，因此这一规定是否能够实际落地存在较大争议。

BeschDG草案整体而言对于员工个人数据保护的要求大大细化和深入，对于出海德国的企业而言会带来不少的挑战，其中还有部分内容存在争议。目前该草案仍在征求意见中，但不可忽视的是，涉及在德国雇佣或者外派员工的出海企业应当充分重视员工个人数据保护在不同法域的合规水位，并且从集团人力资源管理层面及时做好部署与规划，以免因为员工数据保护不利而影响自身运营及/或管理，甚至给自身带来监管风险。