Sie befinden sich hier: Start |Publikationen |Mitteilungen |Heftarchiv |

Datenschutz: Sonstige - 20.12.10

Ein Gesetzentwurf, der seinem Namen nicht gerecht wird

Sarah Thomé

Eine kritische Lektüre des Regierungsentwurfs für ein Gesetz zum Beschäftigtendatenschutz. Mitteilungen Nr. 211 (4/2010), S. 2-4


Die Notwendigkeit, Beschäftigte vor einer systematischen Überwachung am Arbeitsplatz zu schützen, besteht nicht erst seit den Skandalen der vergangenen Jahre. Die Vorfälle bei Lidl, der Telekom oder der Deutschen Bahn sind populäre Fälle, aber vermutlich nur die Spitze des Eisbergs. Sie haben deutlich werden lassen, wie einfach und wie weitgehend heute eine Überwachung von Beschäftigten möglich ist - und wie schlecht die Chancen der Beschäftigten stehen, sich dagegen effektiv zu wehren. Dies gilt sowohl für heimliche Kontrollen aber auch für Datenerhebungen, von denen die Beschäftigten wissen, in die sie vorab vielleicht gar eingewilligt haben. Aufgrund der angespannten Lage am Arbeitsmarkt kann sich heute kaum ein Beschäftigter erlauben, „Vorschläge" des Arbeitgebers zur automatischen Leistungskontrolle abzulehnen.

Ein grundlegendes Ziel des Datenschutzrechts besteht darin, die einschüchternden Effekte einer unübersehbaren Datenerhebung und -verwendung zu vermeiden. Dieser Effekt der informationellen Fremdbestimmung trifft in besonderer Weise für die Situation am Arbeitsplatz zu: Die zunehmende Digitalisierung vieler Arbeitsabläufe führt dazu, dass heute praktisch jeder Arbeitsschritt erfasst und ausgewertet werden kann. Viele dieser Daten sind Nebenprodukt des Arbeitsprozesses. Sie können vom Arbeitgeber auch genutzt werden, um Leistung, Verhalten und Einstellung der Beschäftigten zu erfassen. Im Arbeitsalltag birgt jede Erhebung personenbezogener Daten für die Beschäftigten das Risiko einer potentiellen Leistungs- und Verhaltenskontrolle, der gegenüber sie sich u.U. rechtfertigen müssen und die ihr Arbeitsverhältnis gefährden kann. Schließlich gilt auch im Betrieb: Je mehr Daten erhoben werden, desto größer die Wahrscheinlichkeit ihrer zweckfremden Nutzung und die Gefahr, dass darin Fehlinformationen enthalten sind, die zu Lasten der Beschäftigten ausgelegt werden.

Wenn also ein „neuer" Beschäftigtendatenschutz einen Mehrwert zum bestehenden Datenschutzrecht bieten soll, dann müsste er dort einsetzen, wo gerade das Arbeitsverhältnis, die Situation am Arbeitsplatz die informationelle Selbstbestimmung bedroht. Dazu wäre nach Ansicht der Humanistischen Union die Transparenz der betrieblichen Datenverarbeitung zu verbessern und die Mitbestimmungsposition der Beschäftigten zu verbessern – also stärkere Auskunfts-, Informations- und Widerspruchsrechte der Beschäftigten zu schaffen. Insbesondere heimliche Maßnahmen sollten grundsätzlich unterbunden werden.

Der von der Bundesregierung vorgelegte Entwurf eines Beschäftigtendatenschutzgesetzes (BDSG-E) wird diesen Ansprüchen nicht gerecht. Er weitet in einigen Bereichen (bspw. Gesundheitsuntersuchungen) die arbeitgeberseitigen Informationsrechte aus, bleibt bisweilen hinter dem gerichtlich erstrittenen Stand des Datenschutzes zurück und überlässt vielerlei Abwägungsentscheidungen allein den Arbeitgebern – Klarheit im Recht und Rechtssicherheit sehen anders aus. Während der Anspruch auf informationelle Selbstbestimmung gerade am Arbeitsplatz besonders hoch ist, senkt der Entwurf das Schutzniveau gegenüber anderen Lebensbereichen deutlich ab. Hier eine kurze Übersicht der kritischen Vorschläge - ohne Anspruch auf Vollständigkeit:

Datenerhebung im Bewerbungsverfahren (§ 32 BDSG-E)

Im Zusammenhang mit Bewerberdaten stellt sich seit je her das Fragerecht des Arbeitgebers als problematisch dar. Gerichtlich ist geklärt, dass der Arbeitgeber insoweit ein Fragerecht hat, als er ein „berechtigtes billigenswertes und schutzwürdiges Interesse" im Hinblick auf das Arbeitsverhältnis hat. Dabei ist anerkannt, dass bestimmte Fragen, die keinen Bezug zu der auszuübenden Tätigkeit haben, generell nicht gestellt werden dürfen. Dem folgt der Gesetzentwurf in groben Zügen, indem er das Fragerecht auf Informationen begrenzt, die „erforderlich sind, um die Eignung des Beschäftigten für die vorgesehene Tätigkeit" festzustellen (§ 32 Abs. 1). Dabei gerät die Regelung teilweise inkonsistent und lückenhaft. Fragen nach einer Schwerbehinderung sind unzulässig (Abs. 3), solche nach dem gesundheitlichen Befinden aber schon (Abs. 2). Der Verweis auf die etablierte Rechtsprechung zu Fragen nach der Familienplanung/Schwangerschaft fehlt (unzulässig bis auf eine enge Ausnahme: kurzzeitig befristete Stelle, die in die Erwerbspause fiele), und auch für viele andere Streitfälle – von den Vermögensverhältnissen bis zur Religionszugehörigkeit - wären schärfere Begrenzungen des Arbeitgeber-Fragerechts bzw. eine unmissverständliche Negativliste wünschenswert.

Gänzlich offen lässt der Entwurf, welche Sanktionen der Arbeitgeber bei einem Verstoß gegen die ohnehin weichen Beschränkungen zu erwarten hat: Was passiert, wenn er eine unzulässige Frage stellt und die Informationen verwertet? Bislang wurde dem Betroffenen entweder ein „Recht zur Lüge" eingeräumt, oder aber die Rechtsprechung verneinte die Arglist der Befragten, die bewusst falsch darauf antworten. Es liegt auf der Hand, dass derartige Entscheidungen über den datenschutzrechtlichen Rahmen hinausgehen, die im BDSG vorgesehenen Sanktionsmöglichkeiten nicht ausreichen, um die Rechte der Beschäftigten zu sichern.

Ärztliche Untersuchungen und Eignungstests im Bewerbungsverfahren (§ 32a)

Bereits heute gilt: Gesundheitsdaten dürfen von BewerberInnen nur dann erhoben werden, wenn sie für die Feststellung der physischen und psychischen Voraussetzungen einer Tätigkeit erforderlich sind und kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der Bewerber gegen die Untersuchung überwiegen (§ 28 Abs. 6 Nr. 3 BDSG). Das soll auch nach dem Gesetzentwurf so bleiben. Damit wird die Prüfung, ob eine solche Untersuchung legitim sei, auch künftig dem Arbeitgeber überlassen. Er bestimmt, was die erforderlichen Voraussetzungen für einen Arbeitsplatz sind; und er hat seine eigene Sicht, was berechtigte schutzwürdige Interessen seiner Arbeitnehmer sind. Für einen effektiven Datenschutz und mehr Rechtssicherheit wären Verweise auf bereits bestehende Verbote (etwa genetische Tests, §§ 19 ff. Gendiagnostikgesetz) und Regelbeispiele für häufig auftretende Konstellationen wünschenswert. Erneut bleibt die Frage der Rechtsfolgen offen: Was geschieht, wenn der Arbeitgeber eine unzulässige Untersuchung vorschlägt, der Beschäftigte diese zu Recht ablehnt und daraufhin nicht eingestellt wird?

Offene Zweckbestimmung der Datenerhebung im Beschäftigungsverhältnis (§ 32c Abs. 1)

Der Entwurf sieht vor, dass solche Daten erhoben werden dürfen, die für die Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses erforderlich sind. Diese Formulierung widerspricht der EU-Datenschutzrichtlinie (95/46/EG), wonach die Zwecke der Datenverarbeitung eindeutig zu bestimmen sind – denn: Welche personenbezogenen Daten bitte sind für die Beendigung eines Beschäftigungsverhältnisses nötig? Sofern diese abstrakte Zweckbestimmung die „Munitionierung" für eine spätere Kündigung (oder die Vorsorge gegen Kündigungsschutzklagen) einschließt, würde das eine nahezu grenzenlose Datensammlung legitimieren.

Automatisierte Datenabgleiche (§ 32d Abs. 3)

Der Gesetzentwurf sieht vor, dass Arbeitgeber „zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen" einen automatisierten Abgleich ihrer anonymen/pseudonymen Datenbestände durchführen dürfen. Welche Voraussetzungen für solche Ermittlungen vorliegen müssen (Reicht eine bloße Ahnung? Braucht es konkrete Anhaltspunkte oder gar einen qualifizierten Verdacht?), lässt der Entwurf offen. Jede Staatsanwaltschaft würde sich ob solcher Ermittlungsfreiräume bedanken. Systematisch ebenso unsinnig bleibt die Vorschrift, wonach der Abgleich mit anonymen Daten erfolge, die anschließend – bei einer Erhärtung des Verdachts – zu personalisieren seien. Das eine schließt das andere aus. Nach der Definition des BDSG (§ 3 Abs. 6) liegen anonyme Daten dann vor, wenn diese nicht oder nur mit unverhältnismäßigem Aufwand einer bestimmten Person zugeordnet werden können. Zudem ist besonders bei kleineren Unternehmen eine wirksame Anonymisierung von Mitarbeiterdaten kaum vorstellbar.

Heimliche Datenerhebungen / Überwachung (§ 32e)

Die Vorschrift zur heimlichen Überwachung am Arbeitsplatz fängt aus bürgerrechtlicher Sicht gut an: „Der Arbeitgeber darf Beschäftigtendaten nur mit Kenntnis des Beschäftigten erheben." Die klare Absage an verdeckt ermittelnde Arbeitgeber wird leider im Folgenden komplett aufgehoben. Die Überwachung der Mitarbeiter sei zulässig, wenn solche Maßnahmen erforderlich würden, um tatsächliche oder vermeintliche Straftaten bzw. schwerwiegende Pflichtverletzungen zu ermitteln oder solche Taten präventiv zu verhindern. Und wer entscheidet darüber, ob hinreichende Anhaltspunkte für solche Straftaten oder Vergehen vorlagen? Einmal mehr der Arbeitgeber – ganz allein, ohne Betriebsrat, Datenschutzbeauftragte oder gar Richter einzubeziehen. Das in den Medien kolportierte Verbot der heimlichen Videoüberwachung am Arbeitsplatz – so löblich es ist – bleibt leider die Ausnahme. Der Entwurf spricht eine andere Sprache: Arbeitgeber als eigenmächtige Super-Ermittler.

Es ist sicher ein legitimes Interesse der Arbeitgeber, die Vertrags- und Gesetzestreue ihrer Beschäftigten wirksam einzufordern und gegebenenfalls auch zu kontrollieren. Andererseits bleibt festzuhalten: Die Bekämpfung von Korruption und Kriminalität ist nicht primäre Aufgabe der Arbeitgeber; Strafverfolgung und Gefahrenabwehr bleiben hoheitliche Aufgaben. Dass Arbeitgeber jedoch Sonderrechte zur Aufklärung von Straftaten zugesprochen bekommen, ist nicht akzeptabel. Am Ende kommt der Staatsanwalt, dem die Telefonüberwachung eines Verdächtigen vom Richter untersagt wird, noch auf den Gedanken, dessen Chef um „private Amtshilfe" zu bitten. Sofern heimliche Überwachungsmaßnahmen am Arbeitsplatz überhaupt zulässig sein sollen, bedarf dies mindestens einer ebensolchen Verfahrenssicherung wie bei den strafprozessualen Ermittlungen, sprich: Unabhängige Dritte müssten entscheiden, ob die Maßnahmen erforderlich und angemessen sind; es bedarf einer zeitlichen Begrenzung etc.

Insgesamt erscheint ein Ansatz fragwürdig, der Korruption durch stärkere Kontrollrechte des Arbeitgebers zu verhindern sucht. Soweit der begründete Verdacht einer Straftat vorliegt, können und sollten Arbeitgeber die zuständigen Ermittlungsbehörden informieren, so wie jeder andere Bürger auch. Wozu „Sonderermittlungsrechte" von Unternehmen führen können, lässt sich nach den Datenskandalen bei deutschen Großkonzernen erahnen. Auch sie nahmen ihren Ausgangspunkt in „internen" Ermittlungen.

Einsichtnahme in privat genutzte Telekommunikationsdienste (§ 32i)

Die Regelung sieht in Absatz 4 vor, dass der Arbeitgeber die Inhalte einer abgeschlossenen privaten Telekommunikation (Beispiel: das Mailarchiv) nur erheben, verarbeiten und nutzen darf, wenn dies zur Durchführung des ordnungsgemäßen Dienst- oder Geschäftsbetriebes unerlässlich ist, der Beschäftigte darüber schriftlich informiert wurde und er keine überwiegenden schutzwürdigen Interessen vorbringen kann. Ein solcher Zugriff auf Kommunikationsinhalte kann etwa im Krankheitsfall eintreten, wenn die Vertretung einen Zugang zum Mailaccount des erkrankten Kollegen benötigt und dort private Nachrichten vorfindet. Die Regelung lässt hier eine Klarstellung vermissen, dass erkennbar private Kommunikationsinhalte (der Mailordner „Persönliches") tabu sind, diese Inhalte weder verarbeitet noch genutzt werden dürfen. Dies intendiert auch die Begründung des Gesetzentwurfs, allein der Normtext bleibt hier mehrdeutig. Eine Klarstellung, in welchen Fällen grundsätzlich schutzwürdige Interessen des Beschäftigten bestehen und die Kenntnisnahme der Kommunikation ausgeschlossen ist, wäre ratsam.

Beschwerderecht (§ 32l)

Der Gesetzentwurf sieht in Absatz 4 vor, dass sich Arbeitnehmer erst dann an eine zuständige Aufsichtsbehörde wenden können, wenn ihr Arbeitgeber einer entsprechenden Beschwerde nicht abgeholfen hat. Diese Einschränkung des Beschwerdewegs verstößt nicht nur gegen europäisches Datenschutzrecht, sondern ist auch mit Blick auf die prekäre Beschwerdeposition des Arbeitnehmers kritikwürdig. Die EU-Datenschutzrichtlinie räumt gemäß § 28 Abs. 4 jeder Person vorbehaltlos das Recht ein, sich mit ihren Fragen zur Rechtmäßigkeit einer Datenverarbeitung unmittelbar an eine Kontrollstelle wenden zu können. Bei dieser Vorschrift handelt es sich um datenschutzrechtliche Mindestvorgaben, an die der deutsche Gesetzgeber gebunden ist. Zudem mag es gut begründete Fälle geben, in denen sich Beschäftigte vertraulich an den Datenschutzbeauftragten wenden können, innerhalb der Firma jedoch Sanktionen fürchten müssen, sollten sie ihre Rechte einfordern.

Die Regelung erscheint im Vergleich mit den eigenständigen Ermittlungsbefugnissen der Arbeitgeber (§ 32e) als unparitätisch: Während Arbeitgeber das Recht zugesprochen bekommen, Beschäftigte bei Verdacht einer Straftat heimlich zu überwachen, sollen die Beschäftigten bei mutmaßlichen Rechtsverstößen ihrer Arbeitgeber darauf verpflichtet werden, eben jene zu informieren.

Sarah Thomé
studierte Rechtswissenschaften in Berlin und Oslo und absolviert derzeit die Wahlstation ihres Referendariats in der HU-Geschäftsstelle.

 

Ausführliche Informationen zum Beschäftigtendatenschutz (Gesetzentwurf, Stand der Rechtsprechung sowie Stellungnahmen der Gewerkschaften) unter: https://recht.verdi.de/beschaeftigtendatenschutz.