• Suche



Ersetzt der neue § 32 des Bundesdatenschutzgesetzes das dringend benötigte Arbeitnehmerdatenschutzgesetz?

  • uninteressant
  • bedingt interessant
  • interessant
  • sehr interessant
0 Bewertungen

von Prof. Gerhard Kongehl

Die Datenschutzskandale der letzten Zeit hatten unter anderem auch den Ruf nach einem Arbeitnehmerdatenschutzgesetz wieder lauter werden lassen. Die Bundesregierung der Großen Koalition reagiert darauf aber lediglich mit einem neu in das bisherige Bundesdatenschutzgesetz (BDSG) eingefügten § 32. Das aber ist reinste Symbolpolitik. Denn die Probleme, die mit einem Arbeitnehmerdatenschutzgesetz gelöst werden müssten, bleiben weiter bestehen. Dabei sind diese zum Teil schon seit mindestens 25 Jahren im Bewusstsein der Berliner bzw. Bonner Politik. Denn so lange schon wird von Datenschutzexperten, aber auch von Sozialpolitikern und Gewerkschaftlern ein eigenständiges Arbeitnehmerdatenschutzgesetz gefordert.

 

Prof. Gerhard Kongehl

Jahrelang lag ein fertiges Arbeitnehmerdatenschutzgesetz in der Schublade von Norbert Blüm

Auch Norbert Blüm, der während der gesamten 16-jährigen Kanzlerschaft von Helmut Kohl Arbeits- und Sozialminister war, hielt ein eigenständiges Arbeitnehmerdatenschutzgesetz für notwendig und sinnvoll. Er ließ deshalb schon frühzeitig einen entsprechenden Entwurf entwickeln, den er aber über vier Legislaturperioden des Deutschen Bundestages wegen massiver gegenläufiger Interessen nicht über die parlamentarischen Hürden bringen konnte. Noch heute klagt er, dass er fast seine ganze Ministerzeit über den fertigen Entwurf eines Arbeitnehmerdatenschutzgesetzes in der Schublade hatte, dass er ihn aber nicht durchsetzen konnte.

Auch die rotgrüne Regierung unter Gerhard Schröder schaffte es, entgegen ihrer erklärten Absicht nicht, von der Regierung der Großen Koalition unter Angela Merkel ganz zu schweigen. Offensichtlich gibt es starke Kräfte in unserer Gesellschaft, die ein Interesse daran haben, dass es bei der herkömmlichen Gesetzeslage bleibt.

 

Warum wollen bestimmte Interessengruppen ein eigenständiges Arbeitnehmerdatenschutzgesetz verhindern?

Bisher wurde der Arbeitnehmerdatenschutz vor allem über § 28 des Bundesdatenschutzgesetzes (BDSG) geregelt. Dieser sah vor, dass eine personenbezogene Datenverarbeitung unter anderem dann zulässig ist, „wenn es der Zweckbestimmung eines Vertragsverhältnisses … mit dem Betroffenen dient“. Dabei ging der Gesetzgeber davon aus, dass es immer gleichberechtigte, selbstbestimmte und gleich starke Vertragspartner sind, die miteinander einen Vertrag abschließen – und dabei immer auch alle Vertragsklauseln selbstbestimmt aushandeln können.

In der Praxis ist dies, wie jeder weiß, eine Illusion. Nicht nur bei Arbeitsverträgen, sondern zum Beispiel auch bei Mietverträgen, der Eröffnung eines Girokontos oder dem Abschluss von Versicherungen gibt es starke Vertragspartner, die den schwächeren die Vertragsbedingungen diktieren können. Der Verzicht auf den Vertrag ist dann für den Schwächeren oft die einzige Alternative, die ihm noch bleibt.

Als schwächere Vertragspartner laufen Arbeitnehmer also Gefahr den Kürzeren zu ziehen, wenn über jeden beliebigen Vertrag letztlich jede beliebige Verarbeitung von Arbeitnehmerdaten legitimiert werden kann. Aber nicht nur, weil sie in der Regel der schwächere Vertragspartner sind, haben Arbeitnehmer schlechtere Karten, sondern auch wegen der vielen unbestimmten Rechtsbegriffe des gegenwärtigen Bundesdatenschutzgesetzes, von denen die "Zweckbestimmung eines Vertragsverhältnisses" nur einer von vielen ist. So kann zum Beispiel „zur Wahrung 'berechtigter Interessen' des Arbeitgebers eine Datenverarbeitung gerechtfertigt sein, wenn „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse" des Arbeitnehmers „an dem Ausschluss der Verarbeitung oder Nutzung seiner Daten überwiegt“

Solche Regelungen sind viel zu unbestimmt. Sie können wegen der unterschiedlichen Interessenslagen von Arbeitgebern und Arbeitnehmern oft erst vor Gericht konkretisiert werden. Den Arbeitgebern stehen hierzu eine Reihe "schwergewichtiger" Anwaltskanzleien zur Verfügung, die ihnen helfen, ihre Sicht der Dinge durchzusetzen. Wegen ihrer Abhängigkeit von den Arbeitgebern werden es sich viele Arbeitnehmer aber dreimal überlegen, ob sie ihren Arbeitsplatz durch eine entsprechende Klage gefährden wollen - selbst wenn sie für eine solche Klage die Unterstützung des Betriebsrates oder/und seiner Gewerkschaft erhalten würden.

Es ist deshalb nachvollziehbar, dass es gerade unter jenen Rechtsanwälten, die sich auf das Gebiet Datenschutz und Datensicherheit spezialisiert haben, eine starke Gruppe gibt, die aus einem Bundesdatenschutzgesetz mit unbestimmten Rechtsbegriffen einen besonderen Nutzen zieht und deshalb für eine Beibehaltung der bisherigen Rechtslage plädiert.

 

Die unbestimmten Rechtsbegriffe stammen aus der Steinzeit des Datenschutzes

Datenschutzexperten, denen es vor allem um die Wahrung der Grundrechte unserer Verfassung auch unter den Gegebenheiten der modernen Datenverarbeitung geht, sind solche unbestimmten Rechtsbegriffe ein Dorn im Auge. Schließlich wurden diese doch in den 70er Jahren des vergangenen Jahrhunderts vom Gesetzgeber als Notlösung eingeführt. Zwar wurden mögliche Gefahren für die Grundrechte der Bürger durch die damals noch recht neue automatisierte Datenverarbeitung schon mit Leidenschaft diskutiert. Man wusste aber noch nicht, in welche Richtung sich das Gefahrenpotenzial der Datenverarbeitung entwickeln würde. Man rettete sich deshalb (es gab ja noch keine Vorbilder) in Formulierungen von Gesetzestexten, die genügend Spielraum für unterschiedliche Entwicklungen der Datenverarbeitung boten. Man war sich aber damals schon im Klaren, dass man diese Texte wird konkretisieren müssen, sobald absehbar wird, in welche Richtung der Hase läuft.

Heute nun kann man, zumindest für eine absehbare Zeit, solche Gefahrenpotenziale ziemlich genau beschreiben. Man könnte deshalb heute ohne weiteres an die Stelle jener allgemeinen Formulierungen sehr konkrete Kataloge von Erlaubnistatbeständen (nicht Verbotstatbeständen!) setzen.

Solche konkreten Regelungen müsste es vor allem für folgende Anwendungen geben:

  • Kontrolle von E-Mails,
  • Überwachen des Surfens im Internet,
  • Verwendung von Gen-Daten,
  • Verwendungszwecke und Speicherdauer von Verweisen und Rügen,
  • Umgang mit Personalinformationssystemen,
  • Kontrollumfang bei digitalen Nebenstellenanlagen,
  • Möglichkeiten und Grenzen von Zeiterfassungssystemen,
  • Möglichkeiten und Grenzen der Verwendung von Bewerberdaten,
  • Möglichkeiten und Grenzen der Verwendung von Leistungs- und Verhaltensdaten,
  • Möglichkeiten und Grenzen des Einsatzes von personenbezogenen Datamining-Verfahren,
  • Möglichkeiten und Grenzen des Einsatzes von Arbeitnehmer-Scoring-Verfahren,
  • Möglichkeiten und Grenzen für den Einsatz von sonstiger Software, mit denen Mitarbeiter überwacht und kontrolliert werden können,
  • Vollständiges Verbot der Verwendung so genannter „besonderer Arten von Daten“ nach § 3 Abs. 9 (Gesundheit, Sexualleben, Gewerkschaftszugehörigkeit, ethnische Herkunft usw.), die nach dem BDSG, wenn auch eingeschränkt, verwendet werden dürfen.

Da man wegen der rasanten Weiterentwicklung der Informationstechnik irgendwann aber doch wieder in eine Situation kommen wird, in der die heute modernen Regelungen dann nicht mehr richtig greifen, müssten solche konkreten Rechtsvorschriften zusätzlich noch mit einem Verfallsdatum versehen werden. Alles das lässt sich für die Datenverarbeitung rund um das Beschäftigungsverhältnis aber nur in einem eigenen Arbeitnehmerdatenschutzgesetz anwenderfreundlich realisieren!

 

In der Arbeitnehmerdatenverarbeitung darf es keine Einwilligung der Betroffenen geben

In der allgemeinen Datenschutzgesetzgebung ist die Einwilligung der von der Datenverarbeitung Betroffenen das wichtigste Zulassungskriterium. Mit der Einwilligung der Betroffenen lassen sich fast alle Einschränkungen in der Verwendung von personenbezogenen Daten aufheben. Wegen der Abhängigkeit des Arbeitnehmers vom Arbeitgeber darf die Zulässigkeit eines bestimmten Arbeitnehmer-Datenverarbeitungsverfahrens aber gerade nicht auf der Einwilligung der betroffenen Arbeitnehmer beruhen. Ein bedrängter Arbeitnehmer wird im Fall der Fälle in alles einwilligen, er wird in seiner Not alle gewünschten Daten preisgeben.

Im Unterschied zur allgemeinen Datenschutzgesetzgebung muss deshalb in einem Arbeitnehmerdatenschutzgesetz die Einwilligung des Betroffenen als Erlaubnistatbestand für die Verwendung von Arbeitnehmerdaten geradezu verboten sein.

 

Per Betriebsvereinbarung kann bisher die Datenschutzgesetzgebung ausgehebelt werden

Nur in einem eigenen Arbeitnehmerdatenschutzgesetz lassen sich die Schnittstellen zwischen Datenschutz und Personalvertretung zufriedenstellend definieren. So ist zu überlegen, ob es auch in Zukunft zulässig sein soll, dass durch eine Vereinbarung zwischen Betriebsrat und Geschäftsleitung fast die gesamte Datenschutzgesetzgebung ausgehebelt werden kann. Diese Möglichkeit basiert auf der gegenwärtigen Rechtsprechung. Sie kommt vor allem dann unbeabsichtigt zum Tragen, wenn Betriebsräte ungenügende Kenntnisse über Möglichkeiten und Grenzen der personenbezogenen Datenverarbeitung haben.

Auch könnte das oft angespannte Verhältnis zwischen Betriebsräten und Datenschutzbeauftragten durch entsprechende Regelungen der Zuständigkeiten und Aufgabenverteilungen in einem Arbeitnehmerdatenschutzgesetz geklärt werden. Vor allem in Bezug auf die Frage, ob und inwieweit der Datenschutzbeauftragte auch im Bereich der Personalvertretung im Sinne von § 4g Abs. 1 des Bundesdatenschutzgesetzes  „auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin“ wirken kann und soll.

Der § 32 BDSG – die überflüssigste Rechtsvorschrift der Welt

Als Reaktion auf die in den Jahren 2008 und 2009 bekannt gewordenen Datenschutzskandale wurde unter anderem auch die Forderung nach einem Arbeitnehmer-Datenschutzgesetz wieder nachdrücklich erhoben. Regierung und Parlament sahen sich ebenfalls in der Pflicht, irgendwie zu reagieren, weshalb sich dann auch die altbekannte Lobby der Gegner eines Arbeitnehmerdatenschutzgesetzes wieder formierte. So ist es dann bis zum Ende der 16. Wahlperiode des Deutschen Bundestages wieder nicht zu einem entsprechenden Gesetz gekommen.

Natürlich wollten, angesichts der aufkommenden Bundestagswahlen, die Regierungsparteien nicht den Eindruck aufkommen lassen, dass ihnen die Arbeitnehmerinnen und Arbeitnehmer mit ihren Datenschutzproblemen gleichgültig wären. So kam man auf die Idee, wenigsten ins Bundesdatenschutzgesetz ein bisschen was zum Arbeitnehmerdatenschutz hineinzuschreiben. Platz hierzu bot sich an einer Stelle dieses Gesetzes, wo es früher einmal einen Paragraphen 32 zu Meldepflichten von Auskunfteien, Detekteien und Outsourcern gegeben hatte, der aber 2002 gestrichen wurde. Hier wurde nun ein neuer § 32 zur „Datenerhebung, -verarbeitung und –nutzung für Zwecke des Beschäftigungsverhältnisses“ eingefügt. Und damit jeder weiß, was das Gesetz in diesem Paragraphen unter einem Beschäftigten versteht, wurde bei den Definitionen des § 3 eine entsprechende Erläuterung in einem neuen Absatz 11 angehängt.

Der neue § 32 des Bundesdatenschutzgesetzes legt jetzt in seinem ersten Satz fest, wie ganz allgemein in einem Unternehmen mit Arbeitnehmerdaten (Beschäftigtendaten) umzugehen ist:

„Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.“

Im Folgenden geht es dann um die Verwendung von Beschäftigtendaten zur Aufdeckung von Straftaten bei begründetem Verdacht und unter Wahrung der Verhältnismäßigkeit, „wenn das Schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung und Nutzung nicht überwiegt“.

Wie man sieht,  bedient sich der Gesetzgeber hier - wieder zum Nachteil der Arbeitnehmer - jener unbestimmten Rechtsbegriffe aus der Steinzeit des Datenschutzes. Auch inhaltlich besteht kein Unterschied zum bisherigen und auch nicht zum neuen § 28 Abs. 1, Nr. 1 und 2, der seit jeher die Rechtsgrundlage für die Verwendung unter anderem auch von Arbeitnehmerdaten war. Dass die Verfolgung von Straftaten nur bei begründetem Verdacht und nur unter Wahrung der Verhältnismäßigkeit erfolgen darf, ist in einem Rechtsstaat ebenfalls eine Selbstverständlichkeit und in Deutschland durch entsprechende Rechtsvorschriften abgedeckt, die bekanntlich über die Datenschutzgesetzgebung hinausgehen.

Der § 32 ist also die überflüssigste Rechtsvorschrift des ganzen Gesetzes. Offensichtlich ist sie der Bundestagswahl 2009 geschuldet. Es bleibt nur zu hoffen, dass dieser Paragraph in der kommenden 17. Legislaturperiode des Bundestages nicht die Schaffung eines modernen Arbeitnehmerdatenschutzgesetzes blockiert. Provisorien haben bekanntlich im Datenschutzrecht seit jeher eine besonders große Überlebenschance.

 

Top-Thema:

Datenschutzrecht: die wichtigsten Änderungen ab 1.9.2009