Aktuelle Fragen zur Reform des Beschäftigtendatenschutzes

Transkript

1 MARIE-THERES TINNEFELD / THOMAS PETRI / STEFAN BRINK Aktuelle Fragen zur Reform des Beschäftigtendatenschutzes Ein Update Datenschutzrecht Zu den wesentlichen Reformen im Datenschutz gehört die geplante Regelung des Beschäftigtendatenschutzes durch die Bundesregierung. Der folgende Beitrag befasst sich mit den heiklen Konfliktfeldern des Gesetzesentwurfs und ergänzt hierbei die Ausführungen der Autoren in MMR 2010, 727 ff. In diesem Abklärungs- und Aufklärungsbeitrag wird versucht, die aktuellen Herausforderungen punktuell und in Verbindung mit neuen Technologien (Videoüberwachung, Kommunikation im Internet, Ortungssysteme usw.) darzulegen und erforderliche Lösungen anzustoßen. I. Einführung Die nachfolgend behandelten Fragen wurden im Rahmen eines Fachgesprächs aufbereitet, das die Redaktion MMR im Verlag C.H. Beck in München mit den Autoren und geladenen Teilnehmern am ausgerichtet hat. 1 Im Spätsommer 2010 hat die Bundesregierung einen Gesetzesentwurf zur Regelung des Beschäftigtendatenschutzes (nachfolgend ohne Gesetzesbezeichnung zitierte Paragrafen beziehen sich auf diesen Entwurf) vorgelegt, der sowohl von Seiten der Arbeitgeberverbände als auch der Gewerkschaften vielfältiger Kritik ausgesetzt ist. 2 Zwei Bundestagsfraktionen haben Alternativentwürfe in den Bundestag eingebracht. 3 Im Rahmen seiner Stellungnahme zu dem Entwurf der Bundesregierung hat der Bundesrat zahlreiche Ergänzungs- und Änderungsvorschläge vorgebracht, 4 die von der Bundesregierung allerdings nur teilweise positiv aufgegriffen worden sind. 5 Nach Sabine Leutheusser-Schnarrenberger beruht der von ihr mitgetragene Gesetzesentwurf im Grundsatz auf einem tragfähigen Konzept, wenngleich es außer Frage stehe, dass im Detail Nachbesserungen des Gesetzesentwurfs dringend erforderlich seien. 6 1 An dem Gespräch v nahmen neben den Autoren inhaltlich teil: Bundesministerin für Justiz Sabine Leutheusser-Schnarrenberger, Prof. Dr. Martin Franzen (LMU München), Prof. Dr. Thomas Knieper (Universität Passau), RA Dr. Stefan Hanloser (Allianz, München), RA Dr. Jyn Schultze-Melling, LL.M. (Deutsche Bahn, Berlin), Bernhard Stainer (BMW, München), Sven Friese (Max-Planck-Gesellschaft, München), Thomas Kranig (Landesamt für Datenschutzaufsicht, Ansbach), Ministerialrat Michael Will (Bayerisches Staatsministerium des Innern, München), Ministerialrat Andreas Pütz (ReferatsleiterbeimBayerischen LandesbeauftragtenfürdenDatenschutz), RA Tim Wybitul (Mayer Brown LLP, Frankfurt/M.). Dieses Fachgespräch begleitete Prof. Dr. Franz-Josef Düwell (Vors. RiBAG und Professor an der Universität Konstanz) mit einem telefonisch geführten Vorabinterview mit Stefan Brink. Mit schriftlichen Stellungnahmen, da sie persönlich an der Teilnahme verhindert waren, nahmen teil: Prof. Dr. Achim Seifert (UniversitätJena), Dr. Phillip Brunst (Cybercrime Research Institute, Köln), Hans-Hermann Schild (Vors.RiVG, Wiesbaden). 2 Vgl. BT-Drs. 17/4230. Erste Analyse u.a. bei Tinnefeld/Petri/Brink, MMR 2010, 727 ff. m.w.nw. 3 SPD-Fraktion, BT-Drs. 17/69; Fraktion Bündnis90/Die Grünen, BT-Drs. 17/ Vgl. BT-Drs. 17/4230, Anl. 3, S Vgl. BT-Drs. 17/4230, Anl. 4, S Wortbeitrag (o. Fußn. 1). 7 Vgl. Entschließung v. 16./ in Würzburg: Beschäftigtendatenschutz stärken statt abbauen. 8 Vgl. BDA/BDI, Ausgewogene und rechtssichere Regelungen zum Arbeitnehmerdatenschutz schaffen, Stellungnahme zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, v , S. 3, DGB (Bundesvorstand), Stellungnahme zum Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, v , S. 4, Interview (o. Fußn. 1). 11 Vgl. BAG NJW 1987, 674 ff.; gefestigte Rspr. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat jüngst die Notwendigkeit bekräftigt, durch umfassende allgemeingültige Regelungen für den Datenschutz am Arbeitsplatz mehr Rechtssicherheit zu erreichen und bestehende Schutzlücken zu schließen. Dieser Ansatz erfordere allerdings klare gesetzliche Begrenzungen des Umgangs mit personenbezogenen Daten. 7 Dem ist bei berechtigter Kritik an den vorgelegten Gesetzesentwürfen in vielen Detailfragen zuzustimmen. Mit der Regelung des Beschäftigtendatenschutzes würde der Bundesgesetzgeber Rahmenbedingungen in einem besonders umstrittenen Bereich des Arbeitslebens setzen. Geboten ist eine faire Ausbalancierung der widerstreitenden Interessen. Nachfolgend sollen sieben besonders umstrittene Fragestellungen beleuchtet werden, um anschließend eine Gesamtwürdigung des Gesetzesentwurfs der Bundesregierung vorzunehmen. II. Rechtliche Einordnung kollektiver Vereinbarungen Insbesondere von Arbeitgeberseite wird sinngemäß kritisiert, der Entwurf beeinträchtige die notwendige Flexibilität i.r.v. Datenverarbeitungsprozessen. Sie seien zwar nicht zur Abwicklung des Beschäftigungsverhältnisses i.s.d. Gesetzes erforderlich, aber trotzdem für die betrieblichen Abläufe notwendig. 8 Dieser Vorwurf zielt insbesondere auf die gesetzlichen Beschränkungen, den Umgang mit personenbezogenen Daten in Dienst- und Betriebsvereinbarungen zu regeln. Sie würden zwar ausdrücklich als Rechtsvorschriften (vgl. 4 Abs. 1 Satz 2) anerkannt, gleichzeitig sehe das Gesetz im letzten Teil ( 32l Abs. 5) aber vor, dass diese Regelungen datenschutzgesetzliche Mindeststandards nicht unterschreiten dürften. Demgegenüber fordern Gewerkschaften, der Gesetzgeber müsse inhaltliche Anforderungen an die Gestaltung von Betriebsvereinbarungen formulieren. Ebenso sei eine gesetzliche Klarstellung geboten, für welche konkret bezeichneten Regelungsgegenstände Betriebsvereinbarungen in Frage kämen. 9 Damit ist zunächst die Frage aufgeworfen, inwieweit die Einschätzung zutrifft, dass der Entwurf der Bundesregierung die gegenwärtige Rechtslage im jeweils kritisierten Sinne abändert. Nach Einschätzung von Franz-Josef Düwell 10 bestätigt 4 Abs. 1 Satz 2 die bisherige Rechtsprechung des BAG, das die Betriebsvereinbarung zutreffend als ermächtigende Rechtsgrundlage für Datenverarbeitungen durch den Arbeitgeber bewertet habe. Allerdings sei dem erkennenden Ersten Senat des BAG seinerzeit der Sündenfall unterlaufen, dass er per Betriebsvereinbarung die Unterschreitung des gesetzlichen Schutzniveaus zugelassen habe. 11 Dieses Defizit werde in 32l Abs. 5 behoben. Demgegenüber bedeute die bisherige Rechtslage nicht, dass der Datenschutz vernachlässigt werde. Die Rechtsprechung knüpfe (vielmehr) an 75 Abs. 2 BetrVG an und berücksichtige die Ausstrahlungswirkung des Grundrechts auf informationelle Selbstbestimmung, das die freie Konstituierung der eigenen Persönlich- MMR 7/2011 Tinnefeld/Petri/Brink: Beschäftigtendatenschutz 427

2 keit schützen soll. Zutreffend wird der Schutz des allgemeinen Persönlichkeitsrechts deshalb auch als Basis freier Entfaltung des Einzelnen beschrieben. 12 Nach Einschätzung von Martin Franzen würden daher Betriebsvereinbarungen nur selten zulässigerweise den datenschutzrechtlichen Standard des BDSG unterschreiten und gleichwohl nicht gegen 75 Abs. 2 BetrVG verstoßen. 13 Dem schließt sich Jyn Schultze-Melling mit derergänzenden Einschränkung an, dass der Gesetzgeber nur schwerlich in der Lage sei, konkrete inhaltliche Anforderungen an eine Betriebsoder Dienstvereinbarung zu formulieren. 14 Die Kollektivvereinbarungen erfüllten die wichtige Funktion, gesetzliche Vorgaben und betriebliche Praxis in Einklang zu bringen. Im Zusammenhang mit der Implementierung des gesetzlichen Schutzniveaus ergibt sich weiterhin die Herausforderung, wie Schutzvorschriften überwacht und sanktioniert werden können. Düwell weist auf den Umstand hin, die Arbeitsgerichte würden in Datenschutzbelangen selten angerufen, weil kaum ein Arbeitnehmer gegen seinen Arbeitgeber wegen der Verletzung von Datenschutzbestimmungen klage. Die Konkretisierung des Rechts und seine Fortbildung seien von den Arbeitsgerichten mit einem Fall im Jahrzehnt nicht zu leisten. Zudem fehle den Arbeitsgerichten wegen der geringen Fallzahlen die Rechtsroutine im Umgang mit der schwierigen Spezialmaterie Datenschutz. Insoweit regt Düwell an, Datenschutzverletzungen künftig durch den Betriebsrat bzw. Personalrat gerichtlich verfolgen zu lassen. Die Aufgabe, die Einhaltung der Rechte der Betroffenen zu überwachen, sei dem Betriebsrat ohnehin bereits nach 80 Abs. 1 Nr. 1 BetrVG zugewiesen, dies gelte auch für das informationelle Selbstbestimmungsrecht des Beschäftigten. Durch die Senkung der Hürden für eine gerichtliche Überprüfung könnten Vollzugsdefizite und Grauzonen in der betrieblichen Praxis beseitigt werden. 15 Thomas Kranig weist in diesem Zusammenhang darauf hin, dass mehrere Gerichtszweige in Betracht kämen: Falls sich ein Beschäftigter nach 38 BDSG an die Aufsichtsbehörde wende, könne der Arbeitgeber gegen deren belastenden Verwaltungsakte ( 38 Abs. 5 BDSG) auch auf dem Verwaltungsgerichtsweg klagen, gegen Bußgeldbescheide stünde der ordentliche Rechtsweg offen. Sinnvoll seien möglicherweise sich gesetzlich aufdrängende Sonderzuweisungen. 16 Der Vorschlag, einen eigenständigen betrieblichen Beauftragten für den Beschäftigtendatenschutz zu schaffen, 17 ist mit Düwell als Überfrachtung abzulehnen ( Inflation von Beauftragten ). Ein Beauftragter für Beschäftigtendatenschutz käme allenfalls für Betriebe ohne Betriebsräte in Betracht, ein echtes Bedürfnis hierfür sei jedoch nicht zu sehen. Sinnvoller sei es, stattdessen die Kompetenzen der Betriebs- und Personalräte im Bereich des Datenschutzes zu stärken. 18 Die Vorschläge Düwells zur Implementierung des gesetzlichen Schutzniveaus durch Kollektivvereinbarungen stoßen bei Stefan Hanloser 19 auf Skepsis. Er weist auf den Umstand hin, dass es zahlreiche Stellen gebe, die aus legitimen Gründen keine betriebliche Interessenvertretung hätten. Vor allem Kleinbetriebe hätten damit keine Möglichkeit, die aus seiner Sicht starren Vorgaben durch betriebsnahe Lösungen flexibler zu gestalten. Berücksichtigt man die widerstreitenden Einschätzungen, käme als vermittelnder Ansatz in Betracht, eine datenschutzrechtliche Regelung durch Betriebsvereinbarung zuzulassen, wenn sie i.r.e. wertenden Gesamtbetrachtung ein Datenschutzniveau bietet, das mindestens dem gesetzlichen Schutzniveau entspricht. Die Betriebspartner würden auf diese Weise die Möglichkeit zu flexiblen, betriebsnahen Lösungen erhalten, ohne dass das vom Gesetzgeber gewollte Datenschutzniveau unterschritten wird. Sowohl Düwell 20 als auch Franzen, 21 Hanloser 22 und Tinnefeld 23 betrachten diesen Ansatz einer wertenden Gesamtbetrachtung jedenfalls als gangbaren Weg. III. Institut der Einwilligung im Beschäftigtenverhältnis In Bezug auf das Institut der Einwilligung sieht 32l Abs. 1 sinngemäß vor, der Arbeitgeber könne seinen Umgang mit personenbezogenen Beschäftigtendaten nur auf die Einwilligung stützen, wenn der zum Beschäftigtendatenschutz eingefügte Unterabschnitt dies ausdrücklich gestatte. Ungeachtet der hieran geübten Kritik durch z.b. BDA/BDI und Gewerkschaften sieht Düwell in der gesetzlichen Begrenzung der Einwilligungsfähigkeit von Beschäftigten einen Schritt in die richtige Richtung. Schon früh sei von Datenschützern darauf hingewiesen worden, dass in Abhängigkeitsverhältnissen die Einwilligung in Datenverarbeitung äußerst zweifelhaft sei. 24 Je abhängiger eine beschäftigte Person ist, desto geringer ist die Wahrscheinlichkeit, dass sie ihre Rechte i.r.e. Einwilligung selbst gestalten kann. Die teilweise geäußerte Kritik, dass die Einschränkung des Rechtsinstituts der Einwilligung auf gesetzlich vorgesehene Fälle im Widerspruch zu Vorgaben der EU-Datenschutz-RL 95/46/EG stehe, 25 sieht Düwell als von interessierter Seite lanciert an. 26 Letztlich bleibe insoweit allerdings eine Klärung des EuGH abzuwarten. 27 Eine zu starke Beschränkung der Einwilligungspotenziale der Beschäftigten sei im Gesetzesentwurf jedenfalls nicht zu erkennen. Der Gesetzgeber habe eine Einschätzungsprärogative, stelle er Praxisprobleme fest, könne er nach dem trial and error -Prinzip wieder nachjustieren. In diesem Sinn äußert sich auch Achim Seifert,der diemit 32l Abs. 1 bewirkte Zurückdrängung der Einwilligung im Bereich des Beschäftigtendatenschutzes für eine zentrale Neuerung hält. Denn die Einwilligung der Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten trage wegen der Abhängigkeit der Beschäftigten von ihrem Vertragspartner im Regelfall die Vermutung in sich, gerade nicht wie 4a Abs. 1 Satz 1 BDSG es verlangt auf ihrer freien Entscheidung zu beruhen. Die Einwilligung sei deshalb in der Praxis das Instrument zur Aushebelung datenschutzrechtlicher Schutzpositionen von Beschäftigten. Letztlich stehe und falle die Effektivität des gesetzlichen Beschäftigtendatenschutzes mit der Begrenzung der Einwilligungsfähigkeit der Beschäftigten. Der deutsche Gesetzgeber würde i.ü. mit dem vorgeschlagenen 32l Abs. 1 einen Weg einschlagen, der in einzelnen anderen Mitgliedstaaten bereits geltendes Recht ist (vgl. z.b. Art. L Code du travail luxembourgeois). Ein Verstoß gegen die Datenschutz-RL ist in der Begrenzung der Einwilligung grundsätzlich nicht gegeben, denn auch diese verlange, dass eine Einwilligung des Betroffenen ohne Zwang erfolge (vgl. Art. 2 lit. h) RL 95/46/EG), also auf dessen freier Entscheidung beruhe. 28 Allerdings sind die gesetzlich vorgesehenen Fälle der Einwilligung nach zutreffender 29 Auffassung von Düwell 30 und 12 Jarass, NJW 1998, Vgl. Franzen, RdA 2010, 257, Wortbeitrag (o. Fußn. 1). 15 Interview (o. Fußn. 1). 16 Wortbeitrag (o. Fußn. 1). 17 Vgl BDatG-E (SPD), BT-Drs. 17/69, S Ähnlich 23 BDatG-E (Bündnis90/Die Grünen), BT-Drs. 17/4853, S. 11 f. 19 Wortbeitrag (o. Fußn. 1). 20 Wortbeitrag (o. Fußn. 1). 21 Wortbeitrag (o. Fußn. 1). 22 Wortbeitrag (o. Fußn. 1). 23 Wortbeitrag (o. Fußn. 1). 24 Interview (o. Fußn. 1). 25 Z.B. Wybitul, Hdb. Datenschutz im Unternehmen, Anh. 3 zu 32l Abs. 1 m.w.nw; Forst RDV 2010, 150 ff. 26 I.E. ebenfalls keine europarechtlichen Bedenken Tinnefeld/Petri/Brink, MMR 2010, 727, Interview (o. Fußn. 1). 28 Seifert, schriftlicher Beitrag (o. Fußn. 1). 29 So i.e. auch Tinnefeld/Petri/Brink, MMR 2010, 727, Interview (o. Fußn. 1). 428 Tinnefeld/Petri/Brink: Beschäftigtendatenschutz MMR 7/2011

3 Hanloser 31 nicht immer nachvollziehbar. So seien Einwilligungen auch vorgesehen, wenn die Wirksamkeit mangels Freiwilligkeit fragwürdig sei. Die Zwangssituation des Beschäftigten, bei dem die Einwilligung eingeholt werde, sei die eigentliche Problematik, die im Arbeitsverhältnis zu beachten sei. In bestimmten Fällen müsse das Informationsinteresse des Arbeitgebers gesetzlich begrenzt werden, etwa bei der Frage nach einer Schwerbehinderung. Nach Einschätzung z.b. von Franzen, Petri und Tinnefeld führt der Gesetzentwurf überdies dazu, dass die Einwilligung selbst dann untersagt sei, wenn sie auf für den Betroffenen ausschließlich günstige Folgen abziele ( Günstigkeitsprinzip ). 32 Diese Befürchtung wird von Düwell nichtgeteilt. In der betrieblichen Praxis dürfte es viele Fälle geben, bei denen die Einwilligung eine Datenverwendung rechtfertigt, die zwar rechtlich nicht einseitig begünstigend wirke, aber bei realitätsnaher Betrachtungsweise vor allem dem Beschäftigten nutze. Insoweit kommt nach Schultze-Melling 33 in Betracht, durch eine Ergänzung des 32l Abs. 5 die Rechtfertigung durch Einwilligung mithilfe von Betriebs- bzw. Dienstvereinbarungen zu erweitern. Hanloser etwa verweist auf Veröffentlichungen von personenbezogenen Daten von wissenschaftlichen Beschäftigten an Hochschulen (einschließlich Bilddaten). Auch Unternehmenspublikationen mit personenbezogenen Daten seien für die betroffenen Beschäftigten zwar nicht ausschließlich begünstigend, für die Beschäftigten aber z.b. notwendig, um bei künftigen Projekten berücksichtigt werden zu können. 34 Die dargestellte Diskussion weist nach Michael Will und Wybitul 35 in die Richtung, dass es sinnvoll wäre, die Mindestanforderungen an die Freiwilligkeit der Einwilligung im Beschäftigtendatenschutz gesetzlich stärker zu konkretisieren, anstatt die Einwilligung auf gesetzlich ausdrücklich gestattete Fällezu beschränken. IV. Zulässigkeit der betrieblichen Videoüberwachung Videoüberwachung ist nicht gleich Videoüberwachung. Zum einen kommt es auf den verfolgten Zweck und zum anderen darauf an, ob sie offen oder verdeckt erfolgt. Nach 32f ist die verdeckte Videoüberwachung im Beschäftigtenverhältnis, bei welcher beschäftigte Personen erkennbar sind, als besonders schwerwiegender Grundrechtseingriff nicht gestattet. Eine offene Videoüberwachung wird dagegen nach der Vorschrift erlaubt, wenn sie zu Zwecken erforderlich ist, die in 32f Abs. 1 im Rahmen eines abschließenden Katalogs vorgesehen sind. 31 Z.B. Hanloser, DSB 10/2010, 10: Die partielle Einwilligungsfähigkeit sei in dem Regierungsentwurf gerade in den Fällen vorgesehen, in denen die Freiwilligkeit der Einwilligung eher die Ausnahme als die Regel sei; ganz ähnlich aus Gewerkschaftssicht Perreng, CuA 1/2011, 18, Wortbeiträge (o. Fußn. 1); Franzen, RdA 2010, 257, Wortbeitrag (o. Fußn. 1). 34 Wortbeitrag (o. Fußn. 1); Hanloser, DSB 10/2010, Wortbeitrag (o. Fußn. 1). 36 Wortbeitrag (o. Fußn. 1). 37 Vgl. BDA/BDI, Stellungnahme zum Entwurf eines Gesetzes zum Beschäftigtendatenschutz, v , S. 11, 12, Interview (o. Fußn. 1). 39 Wortbeiträge (o. Fußn. 1). 40 Wortbeitrag (o. Fußn. 1). 41 Vgl. DGB, Stellungnahme zum Entwurf eines Gesetzes zum Beschäftigtendatenschutz, S. 12, 15; krit. auch Perreng, CuA 1/2011, 18, Vgl. Interview (o. Fußn. 1). 43 Vgl. auch Wybitul (o. Fußn. 25), S Wortbeitrag (o. Fußn. 1). 45 Wortbeiträge z.b. von Franzen, Hanloser, Petri und Schultze-Melling (o. Fußn. 1). 46 Interview (o. Fußn. 1). Thomas Knieper weist darauf hin, dass weithin die Aussagekraft von Bildern unterschätzt werde. Videobilder seien letztlich Konstruktionsleistungen, die dem Betrachter eine nicht unerhebliche Bilddeutungskompetenz abverlangten. Das werfe die Frage auf, wer für die Auswertung von Bildern zuständig sein solle. Darüber hinaus sei klar zu bestimmen, welche Zonen als privat von der Bildüberwachung auszuschließen seien. Unterschätzt werde auch die technische Entwicklung im Zusammenhang mit der hochauflösenden Videoüberwachung. Beispielhaft weist Knieper auf die Folgen der dreidimensionalen Videoüberwachung und der Videoüberwachung mithilfe von Wärmekameras hin, die z.b. geeignet sei, Krankheiten überwachter Personen aufzudecken. 36 Damit bestehe die Gefahr, dass besonders schützenswerte gesundheitliche Beschäftigtendaten heimlich erkannt und bearbeitet werden können. Das generelle Verbot einer heimlichen Videoüberwachung ist aus Sicht einiger Arbeitgeberverbände unzumutbar. 37 Die heimliche Videoüberwachung sei zur Aufdeckung von UnterschlagungsundDiebstahlsfälleninsbesondere im Einzelhandel unverzichtbar. Nach Düwell, 38 Petri und Tinnefeld istdiese KritikderArbeitgeberseite i.e. unberechtigt. 39 Der Gesetzgeber könne durchaus die Wertung setzen, heimliche Videoüberwachung generell zu untersagen. Dies sei nicht zu kritisieren, weil es einen erheblichen Druck von den Beschäftigten nehme. Die Beibehaltung der Rechtsprechung des Ersten Senats des BAG sei eine Zweckmäßigkeitsfrage, die der Gesetzgeber selbst beantworten könne. Überdies seien die Anforderungen an die bislang durch Rechtsprechung erlaubte heimliche Videoüberwachung so streng, dass sie in der Praxis vor allem wegen des ultima ratio-gebots kaum erfüllt werden. Bernhard Stainer sieht demgegenüber einen dringenden Bedarf der Arbeitgeberseite, in Ausnahmefällen bei Vorliegen des konkreten Verdachts einer schwerwiegenden Pflichtverletzung eine heimliche Videoüberwachung vorzunehmen. I.Ü. regt er an, i.r.d. Bewertung von Videoüberwachung zwischen der Beobachtung und der Aufzeichnung zu unterscheiden. 40 Dem pflichtet Brink unter Hinweis auf den neu gefassten 34 Abs. 1 Datenschutzgesetz Rheinland-Pfalz bei. Dem Erforderlichkeitsprinzip gemäß verlangt dies auch den Nachweis, dass alternative Methoden nicht zum Erfolg führen können. Aus Gewerkschaftssicht wird die Vorschrift zur offenen Videoüberwachung als zu weitgehend angegriffen. 41 Nach Einschätzung von Düwell geht 32f tatsächlich über die bisherige Rechtsprechung der Arbeitsgerichte hinaus. Problematisch sei dabei insbesondere die unklare Zweckbindung der gewonnenen Informationen, also die Zulässigkeit ihrer Nutzung für andere Zwecke. Folgt man dieser Ansicht, wäre es wünschenswert, wenn der Gesetzgeber weitere Restriktionen vorsieht. In Übereinstimmung mit Düwell 42 ist die konkrete Ausgestaltung der Videoüberwachung am Zweck zu messen. Nach dieser Maßgabe ist z.b. der ausdrückliche Ausschluss der Nutzung von Daten aus der Qualitätskontrolle für Zwecke der Leistungs- und Verhaltenskontrolle von Arbeitnehmern zu fordern. Nach Wybitul ist dies bereits im Gesetzesentwurf verankert, weil 32f Abs. 1 Satz 3 auf 6b Abs. 3 und 4 verweise. 43 Diese Vorschriften sähen eine strenge Zweckbindung vor. Er räumt allerdings ein, dass der Verweis leserunfreundlich sei. 44 Sein Vorschlag, für die offene Videoüberwachung in Beschäftigtenverhältnissen generell eine Vorabkontrolle i.s.d. 4d Abs. 5 und 6 vorzusehen, stößt auf breite Zustimmung. 45 Unwidersprochen kritisiert Düwell eine Ungleichbehandlung der Zweckbindungsregeln für die Videoüberwachung in 32f und für Ortungssysteme in 32g Abs. 1 a.e. Die Logik lege eine analoge Regelung nahe. 46 Dies gelte nach Phillip Brunst insbesondere für die Kenntlichmachung der Tatsache einer möglichen Aufzeichnung (im Vergleich zur bloßen Echtzeitvideo- MMR 7/2011 Tinnefeld/Petri/Brink: Beschäftigtendatenschutz 429

4 überwachung), die Aufbewahrungszeiträume von aufgezeichnetem Videomaterial sowie vorgesehene Auswertungen. V. Ortung durch Mobilfunkdaten Ein besonderes Problem kann sich im Spannungsfeld zwischen der Regelung für Ortungssysteme nach 32g Abs. 1 und derjenigen für die Nutzung von TK-Diensten nach 32i Abs. 1 dann ergeben, wenn sich der Arbeitgeber Zugriff auf geografische Informationen des Nutzers über TK-Verkehrsdaten verschafft. 32g Abs. 1 bezieht sich ausdrücklich auf elektronische Einrichtungen zur Bestimmung eines geografischen Standorts und beschränkt für diesen Fall den Zugriff auf Situationen, in denen eine Ortung zur Sicherheit des Beschäftigten oder zur Koordinierung seines Einsatzes erforderlich ist. Die Begründung nennt als Beispiele für Ortungssysteme sowohl die Standortermittlung bei Mobiltelefonen als auch durch in Fahrzeuge eingebaute Sender, etwa mittels GPS. In beiden Fällen wird offenbar von einer Ad-hoc-Ortung ausgegangen, bei der quasi auf Knopfdruck der aktuelle Standort eines Geräts und damit auch in vielen Fällen derjenige des Beschäftigten ermittelt werden kann. 47 Zu berücksichtigen ist bei dieser Fallgestaltung so überzeugend Brunst, dass standortbezogene Daten nicht nur auf Grund einer unmittelbaren und ausdrücklichen Anforderung übertragen werden, sondern dass insbesondere bei Mobiltelefonen derartige Informationen auch i.r.d. Verkehrsdatenaufzeichnung beim TK-Provider anfallen. 48 Nach 96 Abs. 1 TKG handelt es sich bei Standortdaten von mobilen Anschlüssen um Verkehrsdaten, die vom Provider grundsätzlich erhoben werden dürfen. Nach 113a Abs. 2 Nr. 4 lit. c) und d) TKG war während der Periode der deutschen Vorratsdatenspeicherung die Erfassung bestimmter Standortdaten sogar verpflichtend vorgeschrieben. 49 Petri betont, dass eine Verwendung dieser Daten nur zu den in 113b TKG genannten Zwecken gestattet war. Der Zugriff des Arbeitgebers auf Verkehrsdaten wird jedoch von 32g nicht erfasst, sondern allenfalls von 32i Abs. 1: Danach ist eine Erhebung, Verarbeitung und Nutzung der Daten schon dann möglich, wenn dies zu Abrechnungszwecken erforderlich ist. Die geografischen Informationen könnten z.b. notwendig sein, um die Rechtmäßigkeit teurer Roaming-Gebühren zu überprüfen, wenn sich der Arbeitnehmer in einem Grenzgebiet aufgehalten hat. In solchen Fällen liefern die Daten nicht nur die benötigten abrechnungsrelevanten Erkenntnisse, sondern sie geben möglicherweise auch im Nachhinein Aufschluss über den Standort oder sogar die Reiseroute des Arbeitnehmers. Nach 32i Abs. 1 Nr. 3 ist darüber hinaus auch ein Zugriff auf Verkehrsdaten zum Zwecke einer stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle möglich. Auch hier lassen sich derartige Rückschlüsse ziehen, wenn die vom Provider übermittelten Verkehrsdaten entsprechende Informationen beinhalten. Diese Ungleichbehandlung von gegenwärtiger und nachträglicher Ortung erscheint nicht sinnvoll. Da das Fernmeldegeheimnis nach Art. 10 GG und 88 TKG nicht nur die Telekommunikation an sich, sondern auch ihre näheren Umstände, also auch den Standort, schützt, erscheint eine strenge Handhabung angezeigt. Ein Verweis auf 32g Abs. 1 ergäbe keinen Sinn, da es kaum Anwendungsfälle für einen Mitarbeiterschutz oder die Koordination des Beschäftigteneinsatzes mit retrograden Verkehrsdaten geben dürfte. Auch ein grundsätzlich denkbarer Verweis auf 32e Abs. 2 erscheint nicht zielführend, wie ein Vergleich mit 100g StPO zeigt. Nach 100g Abs. 1 StPO ist ein Zugriff auf Verkehrsdaten in Strafverfahren nämlich nur in Fällen möglich, in denen eine Straftat von auch im Einzelfall erheblicher Bedeutung im Raum steht oder eine Straftat mittels Telekommunikation begangen wurde und eine Aufklärung ohne den Rückgriff auf Verkehrsdaten daher regelmäßig unmöglich wäre. Ein Verweis auf 32e Abs. 2 würde somit zu einer gravierenden Verzerrung bezüglich der Zugriffsvoraussetzungen auf Verkehrsdaten führen. Richtig erscheint aus diesen Gründen allein, 32i Abs. 1 dahingehend zu ergänzen, dass ein Zugriff auf Verkehrsdaten, welche die nachträgliche Bestimmung des Beschäftigen erlauben würden, unzulässig ist. 50 VI. Beschwerderecht im Beschäftigungsverhältnis und datenschutzrechtliche Whistleblower-Klausel 32l Abs. 4 sieht vor, dass Beschäftigte sich an die zuständige Datenschutzbehörde wenden können, wenn tatsächliche Anhaltspunkte für einen Datenschutzverstoß des Arbeitgebers vorliegen und dieser einerdarauf gerichteten Beschwerde des Beschäftigten nicht abgeholfen hat. Diese Vorschrift wird einhellig von Arbeitgeberverbänden 51 und Gewerkschaften 52 zu Recht kritisiert. Der Bundesrat hat hierzu darauf hingewiesen, dass sie gegen Vorgaben des Art. 28 RL 95/46/EG verstoßen würde. 53 Die Bundesregierung hat diesen Bedenken im Grundsatz zugestimmt. 54 Die Vorschrift des 32l Abs. 4 lässt i.ü. die Whistleblower-Frage (also die Frage nach einem Beschwerderecht des Beschäftigten über Missstände in seinem Unternehmen) ungeregelt. Sieht man von dem Spezialproblem der Datenschutzbeschwerde nach 38 BDSG ab, 55 entspricht es der bisherigen arbeitsgerichtlichen Rechtsprechung, 56 dass der Zugang von Beschäftigten zu Aufsichtsbehörden begrenzt ist. Nach Düwell ist insoweit von einem grundsätzlichen Vorrang des innerbetrieblichen Abhilfeverfahrens auszugehen. Allerdings stehe dem Gesetzgeber die Aufhebung derartiger Begrenzungen frei, diese liege wegen der Vorteile des Whistleblowing vielleicht auch nahe. Nach Düwell sei insoweit vor einer Versteinerung der Rechtsprechung zu warnen. Vor diesem Hintergrund sei es aus Gründen der Rechtssicherheit durchaus sinnvoll, den gegenwärtigen Entwurf in 32l Abs. 4 durch eine allgemeine Whistleblower-Klausel zu ersetzen, die den Whistleblower einerseits und den Angezeigten andererseits schütze. Das gesellschaftliche Umfeld des verantwortungsbewussten Whistleblowers sei in der Regel nicht auf seiner Seite. Daran ist richtig, dass sein Verhalten häufig als illoyal gilt und als Denunziantentum eingestuft wird. 57 Düwell zufolge ist das Verschweigen von innerbetrieblicher Kritik zwar naheliegend, aber auch die schlechtere Lösung, die auch Gefährdungen außerhalb des Betriebs schaffe (Beispiele: Fukushima, Futtermittel- und Gammelfleischskandale). Ohne eine entsprechende Regelung würden anonyme Eingaben provoziert, könnten aber häufig schon deshalb nicht verifiziert werden, weil es an einer sachgerechten Nachfragemöglichkeit fehle. In der Praxis ergebe sich allerdings worauf Brink verweist bisweilen 47 So Fragestellung von Tinnefeld und Brunst, schriftlicher Beitrag (o. Fußn 1); s.a. Interview mit Kranig, SZ v. 23./24./ , S. 2 zum Thema Ortung durch iphones von Apple. 48 Neben Mobiltelefonen ist auch an andere Systeme zu denken, bei denen eine Ortung erfolgen kann, etwa handelsübliche UMTS-Sticks oder -Modems, die Laptops unterwegs einen Zugang ins Internet vermitteln. 49 Die Vorschrift ist auf Grund der Entscheidung des BVerfG v (MMR 2010, 356) nichtig. Ob und in welcher Form eine Nachfolgeregelung speziell die Aufzeichnung von Standortinformationen wieder aufnehmen wird, ist gegenwärtig noch nicht abzusehen. 50 Brunst, schriftlicher Beitrag (o. Fußn. 1). 51 Vgl. z.b.: vbw, Handlungsbedarf im Arbeitnehmerdatenschutz, v , S. 12 zu 32l. 52 Vgl. z.b. Perreng, CuA 1/2011, 18, Vgl. BT-Drs. 17/4230, S. 36 f. Ganz ähnlich zuvor bereits Tinnefeld/Petri/Brink, MMR 2010, 727, 735; krit. auch Wybitul (o. Fußn. 25), S. 523 (Anh. 3). 54 Vgl. BT-Drs. 17/4230, S Dazu u.a.petri, in: Simitis (Hrsg.), BDSG, 38 Rdnr. 3 m.w.nw. 56 Vgl. z.b. BAGE 107, 36 ff.; s.a. BVerfG NJW 2001, 3474 ff. 57 Tinnefeld/Rauhofer, DuD 2008, 717 ff. m.w.nw. 430 Tinnefeld/Petri/Brink: Beschäftigtendatenschutz MMR 7/2011

5 das Problem, dass Arbeitgeber durch Akteneinsicht Informanten identifizierten und sanktionierten. Diese Einschätzung stößt auf breite Zustimmung. Franzen und Sven Friese machen auf den Umstand aufmerksam, dass auch die öffentliche Hand Compliance-Anforderungen unterliegt. 58 Mit diesem Problem verwandt, aber begrifflich zu trennen, ist die Frage nach der Zulässigkeit von unternehmensinternen Meldesystemen. Nach Wybitul ist eine gesetzliche Regelung zu einem solchen unternehmensinternen Hinweisgeberwesen vor allem für Konzernunternehmen schmerzhaft dringlich. 59 Schultze-Melling weist auf den Umstand hin, dass zumindest weltweit operierende Unternehmen auf Grund von Compliance- Anforderungen faktisch gezwungen seien, Whistleblowing-Systeme einzusetzen. Insoweit legt Petri unter Verweis auf die Ethik-Richtlinien-Entscheidung 60 dar, dass das BAG hinsichtlich der Verbindlichkeit ausländischer Vorschriften ganz erhebliche Bedenken andeute, weil und soweit es an einer wirksamen völkerrechtlichen Transformation in das deutsche Arbeitsrecht fehle. Einzuräumen sei allerdings, dass weltweit operierende Unternehmen gegenwärtig einem erheblichen Anpassungsdruck unterliegen. Vor diesem Hintergrund wird die Forderung der 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder unterstützt, eine gesetzliche Regelung zum Thema Whistleblowing zu schaffen, die weder den Datenschutz von Meldenden noch von angeschwärzten Personen vernachlässige. 61 Aus diesem Grund werden internetbasierte anonyme Meldeplattformen kontrovers diskutiert. 62 Einigkeit besteht darin, dass der Einsatz von solchen Meldeplattformen jedenfalls ohne verfahrensrechtliche Schutzvorkehrungen für meldende und gemeldete Personen unzulässig wäre. Datenschutzrechtlich ist ein anonymes Meldeverfahren abzulehnen. Der Einwand, dass andernfalls Meldungen wegen der Gefährdung des eigenen Arbeitsplatzes usw. entfallen könnten, ist zwar zutreffend, aber datenschutzrechtlich nicht umsetzbar. Hinzuweisen ist auf den Umstand, dass eine Sachverständigenanhörung vor dem Bundestag der 16. Legislaturperiode genügend Hintergrundmaterial für eine gesetzliche Regelung ergeben hat Wortbeiträge (o. Fußn. 1). 59 Unter gewissen Umständen (etwa bei sehr großen oder besonders exponierten Unternehmen) kann sich bereits aus den in 130 OWiG geregelten Aufsichtspflichten von Unternehmensinhabern eine faktische Rechtspflicht zum Betrieb eines angemessenen und datenschutzkonformen Hinweisgebersystems ergeben, vgl. etwa Wybitul (o. Fußn. 25), Rdnr. 186 ff. 60 Vgl. BAG NJW 2008, 3731 ff. 61 Vgl. Entschließung der 81. Konferenz v. 16./ in Würzburg, Beschäftigtendatenschutz stärken statt abbauen. 62 Krit. z.b. Tinnefeld, in: DGB-Bundesvorstand (Hrsg.), Profil Arbeitnehmerdatenschutz, August 2009, S. 35; Petri gegen Wybitul und Schultze-Melling, Wortbeiträge (o. Fußn. 1), sowie Wybitul (o. Fußn. 25), Rdnr. 190, der eine differenzierte und eng am Verhältnismäßigkeitsgrundsatz orientierte Vorgehensweise befürwortet. Auf das Risiko der Unkultur anonymer böswilliger Meldungen weist Ohrtmann, Compliance, Anforderungen an rechtskonformes Verhalten öffentlicher Unternehmen, 2009, S. 16, hin, scheint aber i.e. der letztgenannten Auffassung zuzuneigen. 63 Vgl. Deutscher Bundestag, Ausschuss für Ernährung. Landwirtschaft und Verbraucherschutz, Ausschuss-Drs. 16(10)850; s.a. Prantl, Das Löwenmaul-Gesetz. Angestellte, die Skandale aufdecken, brauchen Rechtsschutz, SZ v , S Vgl. BT-Drs. 17/4853, S. 8 ( 7 Abs. 2) und BT-Drs. 17/69, S. 10 ( 26, 25 Abs. 1 bis 3). 65 Vgl. z.b. Stellungnahme des Bundesrats, BT-Drs. 17/4230, S. 26 (unter 1.c). 66 Vgl. BT-Drs. 17/4230, S Interview (o. Fußn. 1). 68 Schriftliche Stellungnahme (o. Fußn. 1). 69 Der Vorschlag scheint die Fortentwicklung eines Vorschlags der SPD-Fraktion zu sein, vgl. BT-Drs. 17/69, S. 9, 10 ( 26, 25 Abs. 1-3); s. aber Däubler,GläserneBelegschaften, 5. Aufl. 2010, Rdnr. 452 f. 70 Wortbeitrag (o. Fußn. 1). 71 Wortbeitrag (o. Fußn. 1). 72 Zur Forderung eines eigenständigen Compliance-Tatbestands im Konzern vgl. Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, S. 29 f. 73 Seifert, schriftlicher Beitrag (o. Fußn. 1). VII. Fehlende Konzerndatenschutzklausel Der Gesetzesentwurf der Bundesregierung enthält anders als die von den Oppositionsfraktionen vorgelegten Entwürfe 64 keine Regelung zum Konzerndatenschutz, obwohl der praktische Bedarf an einer gesetzlichen (Neu-)Regelung wohl unbestritten ist. 65 Die Bundesregierung hat hierzu bislang die Auffassung vertreten, die Fragen des Konzerndatenschutzes seien i.r.d. Reform der EG-Datenschutz-RL zu beraten. 66 Nach Düwell ist der Bundesgesetzgeber durch die Vorgaben der EU-Datenschutz-RL nicht daran gehindert, eine gesetzliche Regelung zur Konzerndatenverarbeitung vorzusehen. 67 Eine Regelung ist auch über den Arbeitnehmer-Datenschutz hinaus für die Datenverarbeitung im Konzern sowie grenzüberschreitend äußerst notwendig. Schultze-Melling und Hans-Hermann Schild teilen i.e. die Auffassung, dass eine gesetzliche Regelung des Konzerndatenschutzes geboten sei. Schild 68 vertritt sinngemäß die Auffassung, dass die vorwiegend aus steuerrechtlich und betriebswirtschaftlich motivierten Strukturentscheidungen von Unternehmensverbünden nicht durch eine Verflachung datenschutzrechtlicher Vorgaben belohnt werden sollten. Wolle man gleichwohl eine konzernweite Datenverarbeitung ermöglichen, müsse zunächst die verantwortliche Stelle i.s.v. Art. 2 lit. d) der EG- Datenschutz-RL bestimmt werden. Für nur in Deutschland ansässige Unternehmen schwebt Schild eine Lösung vor, wonach ein Konzernunternehmen gegenüber der zuständigen Datenschutzaufsichtsbehörde anzuzeigen hat, wenn es die datenschutzrechtliche Verantwortlichkeit für andere Unternehmen übernehmen will. Dabei habe es als Organträger alle Organgesellschaften im Einzelnen aufzuzählen, für die es die datenschutzrechtliche Verantwortung übernehme. Eine Übernahme von datenschutzrechtlicher Verantwortlichkeit sei mit hinreichenden Schutzmaßnahmen zu flankieren, z.b. sei ein Konzerndatenschutzbeauftragter zu bestellen und eine verantwortliche natürliche Person zu benennen. Die Konzerndatenverarbeitung sei i.r.e. Organgesellschaftsvertrags zu regeln, für den vorzusehenden Schutzstandard könne z.b. 11 BDSG Vorbild sein. 69 Demgegenüber schlägt Schultze-Melling 70 vor, ein konzernweit einheitliches Datenschutzniveau mithilfe von Corporate Binding Rules i.s.d. 4c Abs. 2 BDSG i.v.m. 38a BDSG sicherzustellen. Kranig 71 stellt dazu die kritische Frage, ob diesem Vorschlag nicht ein Missverständnis der zitierten gesetzlichen Regelungen zu Grunde liege. Die Rechtmäßigkeit der Datenübermittlung könne nicht jedenfalls nicht allein durch Konzernvereinbarungen gewährleistet werden. 72 Es bleibt abzuwarten, ob die EU wie angeblich beabsichtigt eine eigene Konzerdatenschutzregelung vorsehen wird. Nach Auffassung von Seifert kommt beim Beschäftigtendatenschutz im Konzern der gesetzlichen Betriebsverfassung und der Tarifautonomie ein wichtiger Stellenwert zu. Es sei bedauerlich, dass sich weder Betriebspartner noch Tarifpartner bislang in der gebotenen Tiefe der Problematik zugewendet hätten. So könne der Transfer von Beschäftigtendaten in nationalen Konzernen z.b. durch Konzernbetriebsvereinbarungen gebändigt werden; auch sei an den Abschluss von Konzerntarifverträgen zu denken. In transnationalen (europaweiten) Konzernen, für die ein Eurobetriebsrat errichtet ist, besteht immerhin die Möglichkeit, durch Eurobetriebsvereinbarungen grenzüberschreitende Datentransfers zu regeln: Die Zahl von Eurobetriebsvereinbarungen hat gerade in den letzten Jahren stark zugenommen, allerdings hat der Beschäftigtendatenschutz in diesem Zusammenhang bedauerlicherweise noch keine Bedeutung erlangt. Umso wichtiger wäre es, insoweit eine öffentliche Diskussion unter Einbeziehung der Sozialpartner anzustoßen. 73 MMR 7/2011 Tinnefeld/Petri/Brink: Beschäftigtendatenschutz 431

6 VIII. Die Erhebung von Beschäftigtendaten im Internet Das Internet ermöglicht eine weitgehende Datenerhebung ohne Kenntnis des Betroffenen. Die Richtigkeit der Daten kann ggf. ohne Rückfragen bei dem betroffenen Beschäftigten oder seinem vorherigen Arbeitgeber/Dienstherrn überprüft werden. Die Vorschrift zur rechtlichen Zulässigkeit der Datenerhebung aus sozialen Netzwerken bzw. (sonstigen) allgemein zugänglichen Quellen ( 32 Abs. 6 Satz 2) ist daher umstritten. Wohl unstreitig kommt 32 Abs. 6 eine eher symbolische Bedeutung zu, da de facto keine Überwachung der Normeinhaltung stattfinden kann. Der Gesetzgeber unterscheidet insoweit zwischen kommunikativen sozialen Netzwerken einerseits und andererseits solchen, die der Darstellung der beruflichen Qualifikation ihrer Mitglieder dienen. Brunst und Tinnefeld weisen darauf hin, dass eine solche Differenzierung schon jetzt sehr schwierig ist und die Grenzen mit zunehmender (vermehrt internationaler) Nutzung noch weiter verschwimmen dürften. Nach Düwell 74 wäre es deshalb besser, dem ArbeitgeberInformations- und Offenlegungspflichten hinsichtlich solcher Beschäftigtendaten aufzuerlegen, die er im Internet recherchierte. Für die Praxis wäre es nach Tinnefeld zudem wichtig, wenn er diese Daten vor der Ablehnung einer Bewerbung offenzulegen hat. Seifert weist darauf hin, dass eine betriebsverfassungsrechtliche Flankierung sinnvoll ist. Das Mitbestimmungsrecht des Betriebsrats nach 94 Abs. 1 BetrVG bei Fragebögen sei auf die Erhebung von Bewerberdaten im Internet auszuweiten. Nach geltendem Recht können Arbeitgeber und Betriebsräte in freiwilligen Betriebsvereinbarungen ( 88 BetrVG) auch schon jetzt der Ausforschung von Bewerbern im Internet Grenzen ziehen. Auch hier sei bei den betrieblichen Sozialpartnern mehr Bewusstsein zu schaffen. 75 IX. Abschließende Gesamtbewertung Der Gesetzesentwurf der Bundesregierung unterscheidet sich von den beiden Gesetzesentwürfen der Oppositionsfraktionen dadurch, dass er eine Regelung innerhalb des BDSG anstrebt. Nach (umstrittener) 76 Auffassung von Düwell wäreeinegesetzliche Regelung außerhalb des BDSG vorzugswürdig. Bei realistischer Betrachtungsweise sei eine Verschiebung der Rechtsmaterie in ein Spezialgesetz allerdings nicht mehr zu erwarten. Der Entwurf bleibt nach übereinstimmender Auffassung an den aufgezeigten Punkten stark verbesserungsbedürftig. Zu nennen seien auch weitere Defizite, die durch den Gesetzesentwurf ungeklärt blieben, z.b. 77 die Datenverarbeitung durch Betriebsrat/Personalrat (insoweit werde den Unternehmens-/Dienststellenleitungen eine Verantwortung zugewiesen, der sie mangels Kontrollmöglichkeit bzgl. der Arbeitnehmervertretung nicht gerecht werden könnten). Dringend geboten sei auch eine Stärkung der Unabhängigkeit der betrieblichen Datenschutzbeauftragten. Dem Betriebs- und Personalrat müssten bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten Mitbestimmungsrechte eingeräumt werden. Zurzeit ist nach Düwell der betriebliche Datenschutzbeauftragte mitbestimmungsrechtlich weniger wert als der Beauftragte für berufliche Bildung, dessen Bestellung der Betriebsrat nach 98 Abs. 2 BetrVG zumindest widersprechen und dessen Abberufung er verlangen kann, wenn der Beauftragte die persönliche oder fachliche Eignung nicht besitzt oder seine Aufgaben vernachlässigt. Durch die Novelle von 2009 habe zwar der betriebliche Datenschutzbeauftragte immerhin die gleiche kündigungsrechtliche Rechtsstellung wie ein Abfallbeauftragter erhalten. Schon der Umstand der langen Wartezeit bis zur erfolgten kündigungsrechtlichen Gleichstellung verdeutliche die mangelnde Fähigkeit des datenschutzrechtlichen Gesetzgebers, die Wertigkeit der Aufgabe des betrieblichen Datenschutzbeauftragten und dessen Schutzbedarf richtig einzuschätzen. Als schwerwiegendes Defizit des Regierungsentwurfs wird (z.b. von Hanloser 78 ) die im Einzelnen ungeklärte Frage der privaten Nutzung betrieblicher TK-Dienste angesehen. 79 Nach Franzen wären prozedurale Lösungen und Ansätze zur Selbstregulierung vorzugswürdig gewesen. 80 Schild vermisst insbesondere eine gesetzliche Regelung zu Verwertungsverboten in Verfahren vor den Arbeitsgerichten. Ein beigebrachter Tatsachenstoff ist entweder unschlüssig oder unbewiesen, aber nicht unverwertbar. In ein Gesetz müsse aufgenommen werden, dass rechtswidrig erhobene Beschäftigtendaten einem Verwertungsverbot unterliegen. 81 Ungeachtet dieser Kritiken ist der Entwurf der Bundesregierung insgesamt bei einer wertenden Gesamtbetrachtung sicher nicht als Rückschritt, sondern als ein Schritt in die richtige Richtung anzusehen, eine bereichsspezifische Lösung zu finden. Die öffentliche Anhörung im Innenausschuss des deutschen Bundestags am führte neben den zu erwartenden Konfrontationen zwischen Arbeitgeberseite und Gewerkschaften auch zu weiteren Erörterungen. Dazu gehört die umstrittene Überlegung, die Einwilligungsmöglichkeiten in Betriebsvereinbarungen zu verankern. Einigkeit bestand in der Frage, dass bei einer Zulassung geringfügiger privater Nutzung von TK-Diensten am Arbeitsplatz ( 32 i) der Arbeitgeber gesetzlich nicht mehr als Diensteanbieter ( 3 Nr. 6 TKG) eingestuft werden sollte. Die Einführung von Beweisverwertungsverboten bei rechtswidriger Datenerhebung oder -nutzung wurde als effektive Sanktionsmöglichkeit mit Nachdruck diskutiert. Nach dem Eindruck von Beobachtern bestehen weiterhin erhebliche Differenzen zwischen den Sachverständigen selbst und innerhalb der Koalition. 82 Eine Prognose zum weiteren Verlauf des Gesetzgebungsverfahrens lässt sich daher nicht stellen. Prof. Dr. Marie-Theres Tinnefeld ist Professorin für Datenschutz und Wirtschaftsrecht an der Hochschule München. Dr. Thomas Petri ist Bayerischer Landesbeauftragter für den Datenschutz. Dr. Stefan Brink ist Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz. 74 Interview (o. Fußn. 1). 75 Seifert, schriftlicher Beitrag (o. Fußn. 1). 76 Vgl. dazu z.b. Gola, RDV 2010, 97, der mit dieser Auffassung die Haltung der GDD repräsentiert. 77 Vgl. zu weiteren Regelungsdefiziten z.b. 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (o. Fußn. 61). 78 Wortbeitrag (o. Fußn. 1), sowie MMR-Aktuell 2010, Soauch die Bundesregierung in ihrer Gegenäußerung zu Nr. 28b der Stellungnahme des Bundesrats ausdrücklich, vgl. BT-Drs. 17/4230, S Vgl. Franzen, RdA 2010, 257, 261 f. 81 Schriftliche Stellungnahme (o. Fußn. 1); ähnlich z.b. 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (o. Fußn. 61), am Ende. 82 Die Stellungnahmen der Sachverständigen zum Beschäftigtendatenschutz sind abrufbar unter: rungen/anhoerung08/stellungnahmen_sv/index.html. 432 Tinnefeld/Petri/Brink: Beschäftigtendatenschutz MMR 7/2011