Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? Von Dr. Michael Schmidl, München 453

Transkript

1 Inhalt AUFSÄTZE Zivilrecht Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? Von Dr. Michael Schmidl, München 453 Öffentliches Recht Parteilicher Rundfunk? Die politischen Parteien als Gegenstand und Faktor der Berichterstattung im Privatrundfunk Von Prof. Dr. Matthias Cornils, Mainz 465 Das Glück der größten Zahl Zum Mehrheitsprinzip als Funktionsregel im Verfassungsstaat Von Dr. Julian Krüper, Düsseldorf 477 Das Definieren von Rechtsbegriffen Beispiele aus dem Verfassungsrecht Von Dr. Eike Michael Frenzel, Karlsruhe/Freiburg i.br. 487 Strafrecht Die zukünftige Europäische Staatsanwaltschaft Eine Einführung Von Rechtsreferendarin Silke Nürnberger, Trier 494 DIDAKTISCHE BEITRÄGE Strafrecht Der Tatbestand des Diebstahls Teil 1 Von Prof. Dr. Jan Zopfs, Mainz 506 Kompendium der strafrechtlichen Irrtumslehre Von Wiss. Mitarbeiter Thomas Exner, Jena 516

2 Inhalt (Forts.) 5/2009 ÜBUNGSFÄLLE Zivilrecht Übungsfall: Auflösung einer nichtehelichen Lebensgemeinschaft Von Dr. Timo Fest, München 528 Übungsfall: Immer Ärger mit dem Handy Von Dr. Lars Weber, Bochum 536 Strafrecht Übungsfall: Eine Beziehung im Sinkflug Von Prof. Dr. Hans Theile, LL.M., Konstanz 545 Übungsfall: Das Segelboot Von Dr. Gerhard Timpe, Regensburg 550 ENTSCHEIDUNGSANMERKUNGEN Zivilrecht BGH, Urt. v V ZR 93/08 (Nutzungsausfallschaden bei mangelhafter Kaufsache) (Wiss. Assistentin Dr. Katharina Hilbig, Göttingen) 559 BGH, Urt. v XII ZR 19/08 (Obliegenheit polizeilicher Unfallbenachrichtigung in Haftungsfreistellungsklauseln von Kfz-Vermietern) (Prof. Dr. Paul T. Schrader, LL.M.oec., Augsburg) 564 BGH, Urt. v VI ZR 166/08 (Tierhalterhaftung Haftungsausschluss Mitverschulden) (Dr. Jan Eichelberger, LL.M.oec., Jena) 567 BGH, Urt. v VIII ZR 243/08 (Nutzungswertersatz beim Rücktritt vom Autokaufvertrag) (Prof. Dr. Markus Artz, Bielefeld) 570 BGH, Urt. v V ZR 144/08 (Abschleppkosten als ersatzfähiger Schaden bei unbefugtem Abstellen von Pkw auf privatem Grund) (Prof. Dr. Beate Gsell, Augsburg) 572 Öffentliches Recht VGH Mannheim, Urt. v S 1678/07 (Verwaltungsgebühr für Erlass einer versammlungsrechtlichen Auflage) (Wiss. Assistentin Dr. Anna-Miria Fuerst, LL.M., Hamburg) 574 Strafrecht BGH, Urt. v StR 260/08 (Voraussetzungen einer Vorteilsgewährung im Fall der Einladung hochrangiger Amtsträger) (Prof. Dr. Mark Deiters, Münster) 578 BGH, Beschl. v StR 745/08 (Zum Erlöschen des Zeugnisverweigerungsrechts eines Angehörigen des Beschuldigten) (Prof. Dr. Mark A. Zöller, Trier) 582

3 Inhalt (Forts.) 5/2009 BUCHREZENSIONEN Zivilrecht Steffen Augsberg/Janko Büßer, Der Kurzvortrag im Ersten Examen Zivilrecht, 2008 (Staatsanwalt Dr. Holger Jäckel, Berlin) 589 Öffentliches Recht Michael Ahrens, Staatshaftungsrecht, 2009 (Akad. Rat Dr. Dr. Markus Thiel, Düsseldorf) 590 Jürgen Kühling/Alexander Elbracht, Telekommunikationsrecht, 2008 (Wiss. Mitarbeiterin Lena Rudkowski, Berlin) 592 Strafrecht VARIA Kai Ambos, Internationales Strafrecht, 2. Aufl (Wiss. Mitarbeiter Marc Sitzer, Osnabrück) 593 Zivilrecht Klarstellung und Ergänzung zum Übungsfall Studiererfolg durch Lexika Von RiOLG Prof. Dr. Günter Reiner, Rechtsanwältin Anja Krüger, Hamburg 595 Strafrecht Wirtschaftsstrafrecht als studentische Herausforderung Zur Korrelation verschiedener Rechtsgebiete am Beispiel des 266a StGB Von Wiss. Mitarbeiter Dominik Waszczynski, LL.M., Osnabrück 596 Allgemeines Grau, treuer Freund, ist alle Theorie. Und grün des Lebens goldner Baum Goethes Faust und die Rechtsprechung deutscher Gerichte Von Prof. Dr. Arnd Diringer, Vaihingen/Enz) 601

4 Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? Von Dr. Michael Schmidl, München Siemens lässt sensible Personaldaten künftig von einem US- Unternehmen verwalten. So ist in der Online-Ausgabe der Süddeutschen Zeitung vom im Hinblick auf die Einführung einer konzernweiten HR-Datenbank des amerikanischen Anbieters Success Factors zu lesen. Im gleichen Beitrag wird die Arbeitnehmervertretung von Siemens mit den Worten zitiert: Die Folgen eines solchen Schritts sind schwer zu überschauen. Derartige Berichte verstellen den Blick darauf, dass die Einführung internationaler HR- Systeme grundsätzlich datenschutzrechtlich zulässig gestaltet werden kann. Betriebliche Datenschutzbeauftragte und Betriebsräte versuchen, wohl veranlasst durch die gegenwärtige Diskussion über die angeblich eklatanten Schutzdefizite für Arbeitnehmerdaten, die Übermittlung von Arbeitnehmerdaten ins Ausland mit datenschutzrechtlichen Argumenten zu verhindern. Der nachfolgende Beitrag richtet sich an Studierende aller Fakultäten und Semester. Er erläutert einige Grundprinzipien des Arbeitnehmerdatenschutzes und zeigt damit zugleich, dass die allgegenwärtige Diskussion über die Schutzdefizite für Arbeitnehmerdaten nicht uneingeschränkt berechtigt ist. I. Einleitung Aus datenschutzrechtlicher Sicht geht es den deutschen Arbeitnehmerinnen und Arbeitnehmern schlecht. Dieser Eindruck könnte zumindest entstehen, wenn man die seit Jahren und in den letzten Monaten mit besonderer Intensität geführte Diskussion zum Arbeitnehmerdatenschutz betrachtet. Auf der Homepage des Bundesbeauftragten für den Datenschutz ist unter anderem zu lesen, dass Arbeitnehmer und Arbeitgeber im Wesentlichen darauf angewiesen sind, sich wegen fehlender gesetzlicher Regelungen zum Arbeitnehmerdatenschutz an der einschlägigen, notwendigerweise lückenhaften und für die Betroffenen nur schwer erschließbaren Rechtsprechung zu orientieren. 2 Mit der am in Kraft getretenen Vorschrift des 32 BDSG (Datenerhebung, - verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) dürfte sich dieser Zustand kaum geändert haben. 32 BDSG soll lediglich eine Zusammenfassung bisheriger Prinzipien zum Arbeitnehmerdatenschutz enthalten: 3 32 enthält eine allgemeine Regelung zum Schutz personenbezogener Daten von Beschäftigten, die die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis nicht ändern, sondern lediglich zusammenfassen und ein Arbeitnehmerdatenschutzgesetz weder entbehrlich machen noch inhaltlich präjudizieren soll Vgl. (abgerufen am ). 3 BT-Drs. 16/13657, S. 35. Auch wenn die Notwendigkeit spezieller Regelungen (in Gestalt eines Arbeitnehmerdatenschutzgesetzes) zum Arbeitnehmerdatenschutz 4 kaum noch 5 bestritten wird, darf durch die einschlägige Diskussion nicht der Eindruck entstehen, die aktuelle gesetzliche Regelung sei völlig unzureichend. Die Datenschutzskandale der vergangenen Jahre haben gemeinsam, dass sie mehrheitlich nicht auf fehlende gesetzliche Vorschriften zurückgeführt werden können. Im Hinblick auf das geltende Recht kann allerdings von einem gewissen Defizit in der Anwendung gesprochen werden. 6 Dieses Defizit schlägt sich beispielsweise in der Bußgeldpraxis der Behörden nieder. Spektakuläre Bußgeldentscheidungen sind im Bereich des Datenschutzrechts eher einer Seltenheit, 7 auch wenn im Jahr 2008 wegen der Verletzung datenschutzrechtlicher Vorschriften, unter anderem zum Nachteil der eigenen Arbeitnehmer, gegen verschiedene Vertriebsgesellschaften der Lebensmittelkette Lidl Bußgelder von insgesamt ca. EUR 1,5 Millionen verhängt und diesen verschiedene Auflagen gemacht wurden. 8 Die Sanktionswirkung von Verletzungen des Datenschutzrechts geht derzeit eher von der öffentlichen Meinung aus, wie unter anderem der Fall von Hartmut Mehdorn zeigt. 9 Ungeachtet der aktuellen Diskussion um Schutzlücken für Arbeitnehmerdaten ist auch das derzeit geltende Datenschutzrecht bei konsequenter Anwendung und unter Berücksichtigung der zahlreichen Vorgaben der Aufsichtsbehörden geeignet, einen angemessenen Schutz von personenbezogenen Daten von Arbeitnehmern zu bewirken. Dies lässt sich am Beispiel der datenschutzrechtlichen Anforderungen an die Übermittlung von Arbeitnehmerdaten im Konzern verdeutlichen. Beispiele für die Übermittlung von Arbeitnehmerdaten im Konzern gibt es zuhauf. Für eine amerikanische Muttergesellschaft mit deutscher Tochtergesellschaft beispielsweise ist 4 Für die Schaffung einer speziellen gesetzlichen Regelung haben sich ausgesprochen: Peter Schaar (Bundesbeauftragter für den Datenschutz) und der Deutsche Gewerkschaftsbund, vgl. becklink unter (abgerufen am ). 5 Stimmen gegen ein Arbeitnehmerdatenschutzgesetz vgl. becklink unter bibdata%2freddok%2fhp.10%2f htm (abgerufen am ). 6 Siehe deutschland/bundestagbundesregierung/deutschebundesregierung html (abgerufen am ). 7 Zur Höhe von Bußgeldern kritisch Simitis, Das Parlament ( ), unter (abgerufen am ). 8 Vgl. dazu Pressemitteilung des Innenministeriums Baden- Württemberg vom , (abgerufen am ). 9 Zur Bahnaffäre vgl. Diller, BB 2009, 438 und Erwiderung Steinkühler, BB 2009, Zeitschrift für das Juristische Studium 453

5 AUFSÄTZE Michael Schmidl die Zugriffsmöglichkeit auf folgende Auswahl von Personaldaten deutscher Mitarbeiter absolut typisch: Vorname und Nachname, Personalnummer, Geburtsdatum, Geschlecht, Privatadresse, Telefonnummern (Privat- und Mobilnummer), Notfallkontakt, Lebenslauf mit elektronischen Kopien von Zeugnissen, Qualifikationen (Ausbildung, Sprachen, Berufserfahrung etc.), Abteilung, Name des direkten Vorgesetzten, Arbeitszeit pro Woche (Vollzeit, Teilzeit), Gehalt und sonstige Vergünstigungen, Historie der Gehaltserhöhungen, Steuernummer, Beginn des Beschäftigungsverhältnisses, Anzahl genommener Urlaubstage, Leistungsbeurteilungen, Disziplinarmaßnahmen, Kommentare von Vorgesetzten zu besonderen Fähigkeiten. Die wichtigsten Gründe für diese umfassende Datenhaltung bei einer bestimmten Hauptgesellschaft (häufig bei der Muttergesellschaft) liegen in der Organisationsstruktur moderner internationaler Konzerne. Diese ist dadurch geprägt, dass bestimmte zentrale Funktionen bei einer oder mehreren Konzerngesellschaften gebündelt und zugleich bei den anderen Konzerngesellschaften abgeschafft oder auf einen minimalen Umfang beschränkt werden. Die Bündelung bestimmter Funktionen führt zu Synergieeffekten. Dies lässt sich am Beispiel der konzerneinheitlichen Vergütungsstruktur verdeutlichen. Gehälter und Zulagen werden zentral und einheitlich, zugleich aber unter Berücksichtigung bestimmter lokaler Besonderheiten, anhand eines Bewertungsschemas bestimmt. Auf diese Weise werden konzernweite Transparenz und Nachvollziehbarkeit erreicht. Die Erreichung der gleichen Transparenz und Nachvollziehbarkeit durch ein entsprechendes Tätigwerden der jeweiligen Tochtergesellschaften wäre ungleich aufwendiger. Ein weiteres Beispiel ist die Zusammenstellung von Teams mit bestimmten Kompetenzen, um besonderen Herausforderungen (z.b. die Durchführung eines komplexen internationalen Projekts für einen wichtigen Kunden) gerecht werden zu können. Nur aus der übergeordneten Perspektive derjenigen Gesellschaft, bei der alle wesentlichen Personaldaten vorhanden sind, kann eine solche Aufgabe sinnvoll bewältigt werden. Selbst wenn sich über komplexe Abstimmungsprozesse auch bei diesem Beispiel noch eine Erledigung auf der Ebene der Tochtergesellschaften denkbar wäre, so lässt sich zumindest nicht leugnen, dass der zu betreibende Aufwand und die damit einhergehenden Kosten ungleich höher wären. Schließlich bringt es die Funktionskonsolidierung mit sich, dass es häufig Vorgesetzte in einer Konzerngesellschaft gibt, die für Mitarbeiter in verschiedenen anderen Konzerngesellschaften die Personal- und Führungsverantwortung haben. Für einen Konzern, innerhalb dessen die Führungsfunktionen in der beschriebenen Weise verteilt sind, hat sich die Bezeichnung Matrixorganisation 10 eingebürgert. Bisweilen wird der Vorgesetzte, der die Personal- und Führungsverantwortung für Mitarbeiter aus unterschiedlichen Konzerngesellschaften trägt, auch als Matrixvorgesetzter bezeichnet. Die Matrix als immer mehr zur Regel werdende Organisationsform von Konzernen geht mit zahlreichen Daten- 10 Zum Begriff der Matrixorganisation vgl. Picot/Dietl/ Franck, Organisation, 5. Aufl. 2008, S übermittlungen von der den Arbeitsvertrag schließenden Gesellschaft an andere Konzerngesellschaften einher und soll im vorliegenden Beitrag als Testfall für das geltende Arbeitnehmerdatenschutzrecht dienen (II.). Im Ergebnis wird zu zeigen sein, dass sich aus dem geltenden Recht, konkretisiert durch Vorgaben der Aufsichtsbehörden zur Übermittlung von Arbeitnehmerdaten im Konzern, 11 auch ohne ein spezielles Arbeitnehmerdatenschutzgesetz ein geschlossenes Schutzsystem für Arbeitnehmerdaten ergibt (III.). Im Anschluss an eine Zusammenfassung (IV.) wird die aktuelle Diskussion zu den für ein Arbeitnehmerdatenschutzgesetz geforderten Inhalten in Form eines Ausblicks kommentiert (V.). II. Datenschutz im Konzern und Matrixorganisationen Die Übermittlung von personenbezogenen Daten zwischen Konzerngesellschaften wird vom deutschen Datenschutzrecht grundsätzlich nicht anders behandelt als sonstige Datenübermittlungen. Datenschutz im Konzern ist zu einem wesentlichen Teil von diesem Grundsatz geprägt, der unter anderem in der Verneinung des so genannten Konzernprivilegs (1.) zum Ausdruck kommt. Wie bereits in der Einleitung beschrieben, sind international präsente Konzerne ungeachtet des fehlenden Konzernprivilegs heute mehrheitlich in Form einer Matrix organisiert. Charakteristisch für diese Organisationsform ist unter anderem der Austausch von Mitarbeiterdaten zwischen Muttergesellschaft und Tochtergesellschaften sowie zwischen den Tochtergesellschaften untereinander (2.). 1. Kein Konzernprivileg Das bis zur Schaffung eines Spezialgesetzes zum Arbeitnehmerdatenschutz in vielen Fragen 12 maßgebliche Bundesdatenschutzgesetz ist nicht auf die Datenverarbeitung im Konzern zugeschnitten. 13 Der Gesetzgeber hat sich sogar ausdrücklich gegen ein Konzernprivileg entschieden. 14 Dies wird im Hinblick auf die Definition der Datenübermittlung gemäß 3 Abs. 4 S. 2 Nr. 3 i.v.m. Abs. 8 S. 2 BDSG deutlich: 11 Vgl. dazu u.a. Hinweise zum Datenschutz Nr. 39 des Innenministeriums Baden-Württemberg ( (abgerufen am ). 12 Bereichsspezifische Regelungen enthalten z.b. 11 ff. TMG; vgl. dazu Spindler/Schuster, Recht der elektronischen Medien, 2008, 11 TMG und BITKOM, Leitfaden: Die Nutzung von und Internet im Unternehmen, 2004 unter _ _u._Internet_im_Unternehmen_Version_1_3(1).pdf (abgerufen am ). 13 Vgl. Simitis, in: Simitis, Kommentar zum BDSG, 2006, 2 Rn Vgl. dazu auch Ruppmann, Der konzerninterne Austausch personenbezogener Daten: Risiken und Chancen für den Datenschutz, ZJS 5/2009

6 Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? ZIVILRECHT 3 Abs. 4 S. 2 Nr. 3: [ ] (4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: [ ] 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft [ ] 3 Abs. 8 S. 2: [ ] Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. [ ] Auf Grundlage dieser Definition ändert die Zugehörigkeit zum gleichen Konzern nichts am Vorliegen einer Übermittlung, wenn Arbeitnehmerdaten zwischen Konzernunternehmen ausgetauscht werden. Lediglich die Weitergabe von Arbeitnehmerdaten an Auftragsdatenverarbeiter innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums ist keine Übermittlung gemäß 3 Abs. 4 S. 2 Nr. 3 BDSG, weil solche Auftragsdatenverarbeiter gemäß 3 Abs. 8 S. 3 BDSG 15 nicht Dritte sind. 16 Hintergrund dieser Regelung ist, dass der Auftraggeber gemäß 11 Abs. 1 S. 1 BDSG 17 für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich bleibt. Der Auftraggeber hat den Auftragsdatenverarbeiter unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen auszuwählen und sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Der Auftrag ist gemäß 11 Abs. 2 S. 2 BDSG zwingend schriftlich zu erteilen und hat bestimmte Regelungen zu beinhalten. 18 Diese Gestaltung wäre auch im Konzern 15 3 Abs. 8 S. 3 BDSG lautet: Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. 16 Hierzu Dammann, in: Simitis, Kommentar zum BDSG, 2006, 3 Rn Abs. 1 S. 1 BDSG lautet: Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 18 Gemäß 11 Abs. 2 S. 2 BDSG sind im insbesondere im Einzelnen festzulegen: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Abs. 4 bestehenden Pflichten des Auftragnehdenkbar, indem beispielsweise die nicht-europäische Muttergesellschaft als Auftragsdatenverarbeiterin ihrer weltweiten Tochtergesellschaften agiert. In der Praxis ist diese Vorgehensweise allerdings nicht leicht umsetzbar. Häufig ist es beispielsweise nicht mit dem Selbstverständnis und den Zielen der Muttergesellschaft zu vereinbaren, ausschließlich nach Maßgabe der Weisungen ihrer Tochtergesellschaften und zur Erreichung von deren Zwecken zu handeln. Im Lichte dessen, dass die in 3 Abs. 8 S. 3 BDSG angelegte Privilegierung, wie beschrieben, auf in der Europäischen Union oder dem Europäischen Wirtschaftsraum ansässige Auftragsdatenverarbeiter beschränkt ist, 19 müssen zudem auch für die Weitergabe der Daten an die nicht-europäische Muttergesellschaft als Auftragsdatenverarbeiterin die Voraussetzungen einer zulässigen Übermittlung 20 vorliegen. Die Vornahme einer Übermittlung löst gemäß 4 Abs. 1 BDSG 21 wiederum das Erfordernis eines Erlaubnistatbestandes aus. Die zentralen Erlaubnistatbestände für Arbeitnehmerdaten sind 32 Abs. 1 S. 1 BDSG (Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses) und 28 Abs. 1 S. 1 Nr. 2 BDSG (Erforderlichkeit zur Erreichung eines berechtigen Interesses des Arbeitgebers und keine überwiegenden schutzwürdigen Interessen der Arbeitnehmer). Die am in Kraft getretene Vorschrift des 32 Abs. 1 S. 1 BDSG 22 hat folgenden Wortlaut: mers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 19 Vgl. Gola/Schomerus, Kommentar zum BDSG, 2007, 11 Rn Dazu auch Räther/Seitz, MMR 2002, Abs. 1 BDSG lautet: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 22 Zu beachten ist, dass 32 Abs. 1 S. 1 BDSG im Beschäftigungsverhältnis an die Stelle von 28 Abs. 1 S. 1 Nr. 1 BDSG tritt. Die Gesetzesbegründung (BT-Drs. 16/13657, S. 34 f.) dazu lautet: In einem neuen 32 wird 28 Absatz 1 Satz 1 Nummer 1 im Hinblick auf Beschäftigungsverhältnisse konkretisiert und insoweit verdrängt. Ebenfalls durch 32 verdrängt wird 28 Absatz 1 Satz 2: 32 regelt, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis erhoben, verarbeitet und genutzt werden dürfen. Einer weiteren konkreten Festlegung der Zwecke nach 28 Absatz 1 Satz 2 durch Arbeitgeber bedarf es daher nicht mehr. Die übrigen einschlägigen allgemeinen und be- Zeitschrift für das Juristische Studium 455

7 AUFSÄTZE Michael Schmidl 32. Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. (1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet o- der genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Der neben 32 BDSG anwendbare Abs. 1 S. 1 Nr. 2 BDSG lautet wie folgt: 28. Datenerhebung und -speicherung für eigene Geschäftszwecke. (1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, [ ] 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt [ ]. Häufig wird man zu dem Ergebnis kommen, dass die Übermittlung von Personaldaten im Konzern nicht zwingend für die Durchführung des Beschäftigungsverhältnisses erforderlich ist, d.h. dem Maßstab des 32 Abs. 1 S. 1 BDSG nicht gerecht wird. Dies gilt insbesondere für Fälle, in denen sich die Matrixstruktur erst nach Begründung des Beschäftigungsverhältnisses ergeben hat etwa durch einen Unternehmenskauf, weil die bisherige Durchführung des Beschäftigungsverhältnisses dann als (im Hinblick auf die Wandelbarkeit einer Erforderlichkeitsbetrachtung nicht vollständig überzeugender) Beweis für die fehlende Erforderlichkeit der internationalen Datenübermittlungen herangezogen werden kann. In solchen Fällen kann auf 28 Abs. 1 S. 1 Nr. 2 BDSG zurückgegriffen werden. Bei der Prüfung der Tatbestandsvoraussetzungen kann sich die Konzernzugehörigkeit des gewünschten Empfängers zwar in der Interessensabwägung gemäß 28 Abs. 1 S. 1 Nr. 2 BDSG mittelbar positiv auswirken, 24 etwa wegen im Konzern bestehender einheitlicher technischer Schutz- und Verarbeitungsstandards. Im Grunde genommen, muss die Datenübermittlung im Konzern aber an den gleichen Maßstäben gemessen werden, wie die Übermittlung an beliebige Dritte. 25 Soll die Übermittlung zur Erfüllung bestimmter Interessen der Muttergesellschaft erfolgen, beispielsweise weil diese eine zentrale HR-Datenbank einführen will, so ist dies gemäß 28 Abs. 2 Nr. 2 a) BDSG 26 reichsspezifischen Datenschutzvorschriften, die eine Datenerhebung, -verarbeitung oder -nutzung erlauben oder anordnen, werden durch 32 nicht verdrängt. 23 BT-Drs. 16/13657, S Dazu auch Räther/Seitz, MMR 2002, Vgl. Kilian/Heussen, Computerrechtshandbuch, 2008, 1.7.VI, Rn Abs. 2 Nr. 2 a BDSG lautet: Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig: [ ] 2. soweit nur dann zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat. 27 Im Vergleich zu 28 Abs. 1 S. 1 Nr. 2 BDSG, der den Ausgleich zwischen berechtigten Interessen der verantwortlichen Stelle und schutzwürdigen Interessen des Betroffenen im Wege der Interessenabwägung ( [ ]das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt[ ] ) zulässt, ist der in 28 Abs. 2 Nr. 2 a) BDSG enthaltene Maßstab schwieriger zu erfüllen. Bereits die Existenz eines entgegenstehenden Interesses steht der Rechtfertigung einer Maßnahme auf Grundlage von 28 Abs. 2 Nr. 2 a) BDSG entgegen. Durch diesen unterschiedlichen Maßstab ist sichergestellt, dass Drittinteressen die durch das Schuldverhältnis gesteckten Verarbeitungsgrenzen nur in engen Grenzen verlagern können. Dies gilt jedenfalls dann, wenn sich ein Interesse der Muttergesellschaft nicht zugleich als Interesse der Tochtergesellschaft darstellt, so dass ungeachtet der interessensmäßigen Betroffenheit der Muttergesellschaft 28 Abs. 1 S. 1 Nr. 2 BDSG zur Anwendung kommen kann. Für das Arbeitsverhältnis trägt die in 28 Abs. 1 S. 1 Nr. 2 und Abs. 2 Nr. 2 a) BDSG angelegte Unterscheidung und die daraus folgende Nachrangigkeit von Interessen der Muttergesellschaft dem Umstand Rechnung, dass zwischen dem Dritten (z.b. der Muttergesellschaft) und dem Betroffenen (z.b. dem Arbeitnehmer) kein Vertragsverhältnis besteht. 28 Aus datenschutzrechtlicher Sicht sind herkömmliche Unternehmensstrukturen, die durch verschiedene innerhalb eines Unternehmens gebündelte Führungsebenen gekennzeichnet sind, in der Folge leichter abzubilden, als die dezentral organisierten Matrixorganisationen. 29 Die sogenannten herkömmlichen Unternehmensstrukturen sind durch verschiedene bereichsspezifische Pyramidenstrukturen sowie eine bereichsübergreifende Gesamthierarchie innerhalb eines Rechtsträgers geprägt. Bereichsspezifische Pyramidenstrukturen kommen beispielsweise für die Unternehmensfunktionen Produktmanagement, Einkauf, Produktion, Qualitätskontrolle, Marketing, Vertrieb, Public Relations, IT, Buchhaltung, Controlling, Recht und Compliance in Betracht. Die entsprechenden Abteilungen unterstehen, abhängig von der Größe des Unternehmens, einer Abteilungsleitung, die neben unmittelbaren Aufgaben die fachliche Überwachung einer gewissen Anzahl berichtspflichtiger Funktionsträger sicherzustellen hat. Die Funktionsträger in der Abteilungsleitung sehen sich ihrerseits im Rahmen der Gesamthierarchie des Rechtsträgers gewissen der Kontrolle dienenden Berichtspflichten ausgesetzt. Anders als in den zuvor beschriebenen Matrixorganisationen erfordert die Erfüllung der genannten es erforderlich ist a) zur Wahrung berechtigter Interessen eines Dritten [ ] und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat [ ]. 27 Vgl. Simitis (Fn. 12), 28 Rn Vgl. auch Wank, in: Erfurter Kommentar zum Arbeitsrecht, 2009, 28 BDSG Rn. 4, 27 ff. 29 Vgl. dazu auch Simitis (Fn. 12), 4c Rn. 10 ff. 456 ZJS 5/2009

8 Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? ZIVILRECHT Aufgaben und Berichtspflichten in der Regel lediglich die Erhebung und Nutzung von personenbezogenen Daten der einzelnen Beschäftigten, aber keine Datenübermittlungen an Dritte. 2. Ausgewählte Charakteristika von Matrixorganisationen Anders als die zuvor erwähnten herkömmlichen Unternehmensstrukturen zeichnen sich Matrixorganisationen durch die Zuordnung von Aufgaben und Verantwortlichkeiten hauptsächlich und ausschließlich auf Basis der Geeignetheit für die Erledigung einer Aufgabe aus. 30 Alleine die Geeignetheit für die Erfüllung einer Aufgabe führt zur Zuweisung einer bestimmten Aufgabe an den entsprechenden Arbeitnehmer. Es kommt dabei nicht darauf an, bei welcher Konzerngesellschaft dieser Arbeitnehmer angestellt ist und wo diese ihren Sitz hat. Häufig, wenn auch nicht zwangsläufig, umfassen Matrixorganisationen auch Konzerngesellschaften (z.b. die Muttergesellschaft) in Ländern, die nicht Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Aus Sicht des BDSG, vgl. 4b Abs. 2 S. 2 BDSG, hat die Übermittlung in solche Länder grundsätzlich zu unterbleiben, wenn diese nicht über ein angemessenes Datenschutzniveau verfügen und keine Ausnahmeregelung eingreift: 4b. Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen. [ ] (2) [ ] Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. [ ] Einer der Grundpfeiler von Matrixorganisationen liegt darin, den gesamten Konzern als eine funktionale Einheit anzusehen; 31 die jeweiligen Parteien der arbeitsvertraglichen Beziehungen der einzelnen Mitarbeiter haben aus dieser Perspektive keine Bedeutung. Die von den Konzerngesellschaften als verantwortlichen Stellen (d.h. aus der Perspektive der Mitarbeiter von den Arbeitgebern) verfolgten Zwecke für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind daher vom Gedanken der Funktionseinheit geprägt und somit in der Regel vielfältig. Neben den auch für das Arbeitsverhältnis ohne Matrixdimension existierenden, am Ziel der Durchführung des Arbeitsverhältnisses ausgerichteten Zwecken, gibt es für Matrixorganisationen typische Zwecke. 32 Hier sind etwa die weltweite Personalverwaltung und Nachfolgeplanung 33, die Erleichterung der weltweiten (d.h. 30 Siehe Picot/Dietl/Franck (Fn. 9), S Zur Matrixorganisation vgl. Brickley/Smith/Zimmerman, Managerial Economics and Organizational Architecture, 3. Aufl. 2004, S. 344 ff. 32 Vgl. Schmidl, WDPR 2009, Unter Nachfolgeplanung ist die konzernweite und meist langfristig angelegte Analyse eines gewissen Mitarbeiterkreises zu verstehen, um aus diesem Kreis auf Grundlage eines differenzierten Systems von den Betroffenen bekannten und die Grenzen von Rechtsträgern überschreitende) Zusammenarbeit, insbesondere durch die Bildung von Projektteams aus Mitarbeitern verschiedener Konzerngesellschaften, 34 die konzernweite Herstellung von Lohngerechtigkeit oder die gezielte konzernweite Förderung von Talenten zu nennen. 35 Im Hinblick darauf, dass sich derartige Zwecke nur auf der Basis eines vollständigen Überblicks über die aktuelle Situation in allen Konzerngesellschaften verfolgen lassen, können sie als Konzernzwecke und ihre Erreichung als Konzernfunktion bezeichnet werden. Konzernzwecke sind typischerweise (auch oder ausschließlich) eigene Zwecke der Muttergesellschaft, so dass die erforderlichen Datenübermittlungen von den einzelnen Konzerngesellschaften an die Muttergesellschaft als Übermittlungen zwischen verantwortlichen Stellen einzustufen sind 36 und ihre Erreichung eigene Entscheidungen der Muttergesellschaft erfordern. Weisungen der Tochtergesellschaften an die Muttergesellschaft sind damit unvereinbar. Die Organisationsform der Auftragsdatenverarbeitung (siehe oben) kommt neben der im Konzern häufig schwer vermittelbaren Weisungsunterworfenheit der Muttergesellschaft auch aufgrund der Erforderlichkeit eigener Entscheidungen der Muttergesellschaft nicht in Betracht. Für Mitarbeiter von Unternehmen, die zu einer Matrixorganisation gehören, ist das Arbeitsumfeld durch eine Vielzahl von Vorgesetzten geprägt. Die Vorgesetzten sind ihrerseits wieder in unterschiedlichen Konzerngesellschaften angestellt und werden häufig als Matrixvorgesetzte bezeichnet; sie erhalten die erforderlichen Informationen standortunabhängig über die elektronische Personalakte 37 ihrer jeweiligen Mitarbeiter. Die Existenz von Matrixvorgesetzten in unterschiedlichen Tochtergesellschaften ist dabei logische Folge der konsequent kompetenzorientierten Bildung von Teams und deren jeweiliger Leiter. Das so entstehende Beziehungsgeflecht wird nicht selten über den Austausch von s und die Durchführung von Telefon- oder Videokonferenzen aufrechterhalten. Persönliche Treffen, Teambesprechungen oder Feedbackrunden sind in der Regel zwar ein wichtiger Bestandteil solcher virtueller Teams. Es lässt sich andererseits feststellen, dass Unternehmen die damit einhergehenden Kosten, insbesondere Reisekosten, gerade in wirtschaftlich schwierigen Zeiten, zu vermeiden suchen. Wie noch zu zeigen sein wird, macht es aus Sicht der betroffenen Arbeitnehmer einen Unterschied, ob ihr Arbeitsvernicht bekannten Bewertungskriterien den aktuellen und künftigen konzernweiten Bedarf an Führungspersonal zu decken. Die Aufnahme in die Nachfolgeplanung wird von den Betroffenen als Chance verstanden und erfolgt in aller Regel nicht zuletzt wegen der mit gesetzlichen Erlaubnistatbeständen schwer zu rechtfertigenden Fülle der erhobenen Daten auf Grundlage einer Einwilligungserklärung. 34 Dazu v. Sponeck, CR 1991, Vgl. dazu auch Simitis (Fn. 12), 28 Rn. 22 ff. 36 Siehe dazu Kilian/Heussen (Fn. 24), 1.7.VI., Rn Zu den Eckpunkten der datenschutzrechtlichen Prüfung bei einer elektronischen Personalakte siehe Bergmann/Möhrle/Herb, Kommentar zum BDSG, 35. EL 2007, 28 Rn. 40b. Zeitschrift für das Juristische Studium 457

9 AUFSÄTZE Michael Schmidl hältnis bereits anfänglich eine derartige Matrixdimension hatte oder ob sich diese erst nachträglich ergeben hat. 38 Lag eine Matrixdimension bereits bei Abschluss des Arbeitsvertrages vor, so könnte von einem Arbeitsverhältnis mit primärem Konzernbezug gesprochen werden. Ergibt sich eine Matrixdimension erst nach Abschluss des Arbeitsvertrages, so liegt ein Fall des sekundären Konzernbezugs vor. 39 Vereinfacht lässt sich eine Matrixorganisation 40 wie in Graphik 1 (siehe unten S. 464) dargestellt skizzieren. III. Arbeitnehmerdatenschutz in Matrixorganisationen Vor dem Hintergrund des fehlenden Konzernprivilegs 41 muss die Rechtmäßigkeit für alle in Matrixorganisationen erforderlichen Übermittlungen von Mitarbeiterdaten gesondert geprüft werden. 42 Für die Überprüfung der Rechtmäßigkeit der Übermittlung von personenbezogenen Daten ist gemäß 4 Abs. 1, 4b, 4c, 28, 32 BDSG in zwei Schritten vorzugehen - in der Regel ist daher vom Zwei-Stufen-Test 43 die Rede. Die erste Stufe betrifft die Frage, ob die Übermittlung an sich rechtmäßig ist; 44 hier ist zu prüfen, ob die im BDSG für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten enthaltenen Rechtmäßigkeitsvoraussetzungen eingehalten sind (1.). Auf der zweiten Stufe wird geprüft, ob beim Empfänger der übermittelten Daten ein angemessenes Datenschutzniveau besteht (2.). 45 Die Arbeitnehmereinwilligung könnte auf beiden Stufen wirken, 46 ist allerdings aus verschiedenen Gründen nicht zu empfehlen (3.) Vgl. Gola/Schomerus (Fn. 18), 28 Rn Vgl. Gola/Schomerus (Fn. 18), 4c Rn Zur Strukturierung von Matrixorganisationen nach Objektund Verrichtungsprinzip sowie der resultierenden Mehrfachunterstellung siehe Picot/Dietl/Franck (Fn. 9), S. 255 f. 41 Siehe oben Ziff. II Vgl. zur Inexistenz eines Konzernprivilegs auch Simitis (Fn. 12), 2 Rn Zur Begrifflichkeit siehe Positionspapier des Düsseldorfer Kreises vom 19./20. April 2007, I.5., unter ldi.nrw.de/mainmenu_service/submenu_entschliessungsarchiv/i nhalt/beschluesse_duesseldorfer_kreis/inhalt/2007/ _ Internationaler_Datenverkehr/Positionspapier.pdf (abgerufen am ). 44 Vgl. Art. 25 Abs. 1 EG-Datenschutzrichtlinie (95/46/EG), LEX:31995L0046:de:html (abgerufen am ). 45 Siehe zum angemessenen Schutzniveau justice_home/fsj/privacy/thridcountries/index_de.htm (abgerufen am ). 46 Vgl. Simitis (Fn. 12), 4a Rn Vgl. Schmidl, DuD 2007, 756; zur strukturellen Schwäche der Einwilligung im Arbeitsverhältnis vgl. Arbeitspapier Nr. 114 der Art. 29-Gruppe unter (abgerufen am ), S Prüfung der Rechtmäßigkeit der geplanten Maßnahme Auf der ersten Stufe der Überprüfung einer internationalen Datenübermittlung ist zu ermitteln, ob die im BDSG für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten enthaltenen Rechtmäßigkeitsvoraussetzungen eingehalten sind. 48 Für die Prüfung auf der ersten Stufe bleibt die Frage der Angemessenheit des beim Empfänger bestehenden Datenschutzniveaus grundsätzlich außer Betracht - geprüft wird lediglich, ob die Voraussetzungen eines Erlaubnistatbestands gemäß 4 Abs. 1 BDSG vorliegen. 49 Für die konzerninterne Übermittlung von Arbeitnehmerdaten kommt 32 Abs. 1 S. 1 BDSG in Betracht, wenn das Arbeitsverhältnis primären Konzernbezug 50 aufweist und die Übermittlungen daher für dessen Durchführung notwendig sind. 51 Liegt ein Fall sekundären Konzernbezugs vor, so ist regelmäßig auf 28 Abs. 1 S. 1 Nr. 2 oder auf 28 Abs. 2 Nr. 2 a) BDSG abzustellen. 52 Für die Zulässigkeit ist in diesen Fällen ( 28 Abs. 1 S. 1 Nr. 2 BDSG) ein berechtigtes Interesse des Arbeitgebers erforderlich und es dürfen keine überwiegenden Interessen der Arbeitnehmer am Unterbleiben der Übermittlung bestehen. Dient die Übermittlung dem berechtigten Interesse eines Dritten (z.b. der Muttergesellschaft), so darf kein Grund zur Annahme bestehen, dass ein Betroffener ein entgegenstehendes schutzwürdiges Interesse hat ( 28 Abs. 2 Nr. 2 a) BDSG). 53 Für die Anwendung dieser gesetzlichen Erlaubnistatbestände spielen die vom Düsseldorfer Kreis (einem Gremium aus den obersten Datenschutzaufsichtsbehörden der Länder für den nicht-öffentlichen Bereich, die zum Zweck der einheitlichen Anwendung des BDSG in Deutschland Entschließungen fassen) formulierten besonderen Schutzanforderungen eine entscheidende Rolle. 54 Der Düsseldorfer Kreis geht von der Prämisse aus, dass das allgemeine Interesse an einer arbeitsteiligen Zusammenarbeit der Konzernunternehmen nicht per se höher zu bewerten ist, als das Interesse der betroffenen Arbeitnehmer am Verbleib ihrer Daten beim Arbeitgeber. Demnach müssen die für Fälle sekundären Konzernbezugs einschlägigen Erlaubnistatbestände 28 Abs. 1 S. 1 Nr. 2 und 28 Abs. 2 Nr. 2 a) BDSG unter Berücksichtigung der grundlegenden Entscheidungen eines jeden Individualarbeitsvertrages und der Kernverpflichtungen der Arbeit- 48 Siehe dazu Simitis (Fn. 12), 4 Rn Vgl. hierzu Gola/Schomerus (Fn. 18), 4 Rn Zu den Begriffen des primären und sekundären Konzernbezugs siehe oben Ziff. II Vgl. Simitis (Fn. 12), 28 Rn Siehe Positionspapier Abgestimmte Positionen der Aufsichtsbehörden in der AG Internationaler Datenverkehr (12./ ) unter (abgerufen am ). 53 Siehe auch Art. 26 Richtlinie 95/46/EG unter L0046:de:html. 54 Die veröffentlichten Entschließungen des Düsseldorfer Kreises sind zu finden unter cln_118/de/entschlie%c3%9fungen/duesseldorferkreis/d Kreis_node.html (abgerufen am ). 458 ZJS 5/2009

10 Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? ZIVILRECHT gebers angewandt werden, da diese Normen keine willkürliche Erweiterung des Verarbeitungsumfangs zulassen, wie er in den Zwecken des Arbeitsvertrages gefasst ist. Die Übermittlung darf nicht darauf hinauslaufen, dass eine Konzerngesellschaft größere Befugnisse erhält, als dies beim Arbeitgeber der Fall ist; es darf kein frei zugänglicher Datenpool entstehen. In der Interessensabwägung gemäß 28 Abs. 1 S. 1 Nr. 2 BDSG oder der Prüfung von 28 Abs. 2 Nr. 2 a) BDSG ist zu berücksichtigen und positiv zu gewichten, ob es konzernweite Standards für die Schaffung, Erhaltung und Durchsetzung der Datenschutzrechte des Betroffenen gibt. Die Kernaussage des Düsseldorfer Kreises ist, dass die durch eine Übermittlung von Daten herbeigeführte Diversifizierung der Verantwortlichkeiten kompensiert werden muss. Dies soll dadurch erreicht werden, dass der Arbeitgeber kraft vertraglicher Vereinbarungen mit Wirkung zugunsten Dritter, einer Betriebsvereinbarung 55 oder einer Direktzusage gegenüber den Arbeitnehmern umfassender Ansprechpartner für den Arbeitnehmer bleibt und zudem auch für die Erfüllung der Rechte des Arbeitnehmers auf Auskunft, Löschung, Berichtigung, Sperrung und (grundsätzlich auch) Schadensersatz einstehen muss und zwar zusätzlich zu denjenigen Unternehmen, an welche die Daten übermittelt wurden. Die vertragliche Vereinbarung, häufig auch Datenschutzkonzept genannt, mit Wirkung zugunsten Dritter (d.h. der Arbeitnehmer) sollte Regelungen zu folgenden Themen enthalten: Zweckbindung, Datenqualität und Verhältnismäßigkeit, Information der Betroffenen, Sicherheit und Geheimhaltung, Recht auf Auskunft, Berichtigung, Löschung und Widerspruch und zur Handhabung sensibler Daten. Schließlich sind die Arbeitnehmer in nachvollziehbarer Weise zu unterrichten, um eine transparente Gesamtstruktur zu schaffen. 56 Der Düsseldorfer Kreis hat in einer nicht veröffentlichten Entscheidung aus dem Jahre 2009 von dem Erfordernis eines Datenschutzkonzepts für den Fall Abstand genommen, dass zwischen Arbeitgeber und Drittem zur Absicherung der Übermittlung von Arbeitnehmerdaten ein Standardvertrag 2004/915/EG abgeschlossen wurde; in dieser Konstellation sollen im Hinblick auf die bereits in Anhang A zu diesem Standardvertrag enthaltenen Grundsätze gesonderte vertragliche Absprachen zwischen Arbeitgeber und Drittem zur Absicherung der Arbeitnehmerrechte entbehrlich sein. Erforderlich bleibe allerdings auch in dieser Konstellation die Sicherstellung der datenschutzrechtlichen Ansprüche der Arbeitnehmer auf Auskunft, Berichtigung und Löschung sowie gegebenenfalls Schadensatz gegen den Arbeitgeber. Die beschriebene Entscheidung macht deutlich, dass sich die Trennung zwischen 1. und 2. Prüfungsstufe nicht lückenlos durchhalten lässt. Vielmehr können die zur Rechtfertigung auf der 2. Stufe eingesetzten Mittel sich auf das Prüfungsergebnis auf der 1. Stufe positiv auswirken Vgl. Trittin/Fischer, NZA 2009, Siehe Anhang A, 3. der Entscheidung 2004/915/EG (Standardvertrag Set II), unter Serv/LexUriServ.do?uri=CELEX:32004D0915:EN:NOT (abgerufen am ). 57 Vgl. dazu Rittweger/Schmidl, DuD 2004, 617 ff. 2. Angemessenheit des Schutzniveaus beim Empfänger Auf der zweiten Stufe wird geprüft, ob beim Empfänger der übermittelten Daten ein angemessenes Datenschutzniveau besteht. Wie oben beschrieben lässt sich dieses Erfordernis aus 4b Abs. 2 BDSG ableiten, wonach die Übermittlung personenbezogener Daten zu unterbleiben hat, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den empfangenden Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Ein angemessenes Datenschutzniveau liegt bei den EU-Mitgliedstaaten und den EWR-Mitgliedstaaten (Norwegen, Liechtenstein und Island) vor. 58 Auf Grundlage von Entscheidungen der Europäischen Kommission gemäß Art. 25 Abs. 6 Richtlinie 95/46/EG gilt dies auch für die Schweiz, Kanada, Argentinien, Guernsey und die Isle of Man. 59 Ein angemessenes Datenschutzniveau kann sich auch durch eine Safe-Harbor-Zertifizierung 60 eines US- Empfängers, 61 durch den Abschluss geeigneter Standardverträge zwischen den Parteien, 62 oder durch die Einführung 58 Vgl. dazu countries/index_de.htm (abgerufen am ). 59 Vgl. Gola/Schomerus (Fn. 18), 4b Rn Das Safe-Harbor-Regelwerk besteht aus verschiedenen Grundsätzen zum Datenschutz und hebt die US-Gesellschaften, die sich dementsprechend zertifizieren, in den Status von Empfängern, bei denen das (auf der 2. Stufe zu prüfende) angemessene Datenschutzniveau besteht; vgl. dazu die Entscheidung 2000/520/EG der Kommission vom (ABl L 215, S. 7 ff.). Safe Harbor soll die Übermittlung personenbezogener Daten von der EU an Unternehmen in den USA ermöglichen und zwar ungeachtet dessen, dass in den USA insgesamt aus Sicht der EU kein angemessenes Datenschutzniveau besteht. Anhang 1 der Kommissionsentscheidung stellt dazu fest: Die umfassende Rechtsvorschrift der Europäischen Union zum Schutz personenbezogener Daten, die Datenschutzrichtlinie [ ] legt fest, dass personenbezogene Daten nur in Nicht-EU-Länder übermittelt werden können, die einen,angemessenen Schutz der Privatsphäre gewährleisten. Die Vereinigten Staaten und die Europäische Union haben beide das Ziel, den Datenschutz für ihre Staatsbürger zu verstärken, wobei die Vereinigten Staaten jedoch einen anderen Ansatz verfolgen als die Europäische Gemeinschaft. Die USA verwenden einen sektoralen Ansatz, der auf einer Mischung von Rechtsvorschriften, Verordnungen und Selbstregulierung basiert. Angesichts dieser Unterschiede fühlen sich viele US-Organisationen verunsichert bezüglich der Auswirkung des seitens der EU geforderten,angemessenheits-standards für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten. 61 Das Safe-Harbor-Regelwerk ist allerdings nicht auf Banken und Versicherungen anwendbar, vgl. dazu Hinweise Nr. 39, des Innenministeriums Baden-Württemberg, siehe (abgerufen am ). 62 Vgl. Räther/Seitz, MMR 2002, 425. Zeitschrift für das Juristische Studium 459

11 AUFSÄTZE Michael Schmidl verbindlicher Unternehmensregelungen 63 (so genannte Binding Corporate Rules) im Konzern ergeben. Der schnellste Weg zur Herstellung eines angemessenen Datenschutzniveaus beim Empfänger liegt im Abschluss eines Standardvertrags. Es gibt derzeit 3 verschiedene Standardverträge, 64 die den Unternehmen mit Sitz in EU- Mitgliedstaaten über Entscheidungen der Kommission als Instrumente vorgegeben sind, ein angemessenes Datenschutzniveau beim Empfänger zu schaffen. Der Text der Standardverträge darf von den Parteien grundsätzlich nicht verändert werden. 65 Für die Betroffenen günstige Abweichungen von den Standardverträgen sollen aber zulässig sein. In der Praxis empfiehlt es sich, eine von den Parteien gewünschte Privilegierung der Betroffenen schon aus Gründen der Erhaltung der Standardisierung und der leichteren Erkennbarkeit außerhalb der Standardvertragsklauseln zu regeln. Zudem dürften die Meinungen der Parteien über die Frage, was für die Betroffenen günstige Änderungen sind, nicht immer einheitlich sein. Mangelnde Rechtssicherheit über die Entfaltung der Wirkung des Standardvertrags, ein angemessenes Datenschutzniveau herzustellen, ist die Folge. Vereinfacht lässt sich die Wirkung der genannten Mechanismen (Standardverträge, Safe Harbor, verbindliche Unternehmensregelungen) in Ländern mit einem unangemessenen Datenschutzniveau am Beispiel der USA anhand Graphik 2 (siehe unten S. 464) verdeutlichen. Erläuterung zur Graphik 2: In Deutschland (karierte Fläche) herrscht (auch) aufgrund der Umsetzung der EG- Datenschutzrichtlinie (Richtlinie 95/46/EG) ein angemessenes Datenschutzniveau. Aus europäischer Sicht ist dies für die USA (schraffierte Fläche) nicht der Fall. Für die Übermittlungen von Arbeitnehmerdaten von der deutschen Tochtergesellschaft an die amerikanische Muttergesellschaft ist (wegen der auf der zweiten Stufe zu erfüllenden Anforderungen) bei dieser ein angemessenes Datenschutzniveau herzustellen. Für einen Empfänger in den USA kommt zusätzlich zum Abschluss eines Standardvertrags und der Einführung von Binding Corporate Rules im Konzern die Selbstzertifizierung der Amerikanischen Muttergesellschaft nach den Safe Harbor-Grundsätzen in Betracht. In der Folge herrscht zwischen den beteiligten Gesellschaften (ovale und weiße Fläche) ein angemessenes Datenschutzniveau. Bei diesem Datenschutzniveau handelt es sich zwar um ein angemessenes. Mit dem in Deutschland ist es indes nicht identisch. Vielmehr werden die Verarbeitungsgrundsätze jeweils durch die Rege- 63 Verbindliche Unternehmensregelungen dienen dazu, bei allen Unternehmen (d.h. auch solchen in Staaten außerhalb von EU/EWR) innerhalb eines Konzerns ein (auf der 2. Stufe zu prüfendes) angemessenes Datenschutzniveau herzustellen; vgl. dazu Rittweger/Weiße, CR 2003, 142; Schröder, DuD 2004, Zu finden unter modelcontracts/index_de.htm (abgerufen am ). 65 Siehe z.b. Art. 11 der Entscheidung 2001/497/EG unter LEX:32001D0497:DE:NOT (abgerufen am ). lungen des Instruments (Standardverträge, 66 Binding Corporate Rules, 67 Safe Harbor 68 ) bestimmt, mit dem das angemessene Datenschutzniveau hergestellt wurde. 3. Sonderproblem Arbeitnehmereinwilligung Nach Maßgabe des Wortlauts von 4 Abs. 1 BDSG, wonach die [ ] Erhebung, Verarbeitung und Nutzung personenbezogener Daten [ ] nur zulässig [ist], soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat scheint auch die Einwilligung ein geeigneter Erlaubnistatbestand für die internationale Übermittlung und anschließende Verarbeitung von Arbeitnehmerdaten zu sein. Gemäß 4c Abs. 1 S. 1 Nr. 1 BDSG ( [ ] sofern 1. der Betroffene seine Einwilligung gegeben hat ) gilt dies auch für die zweite Stufe. Die Einwilligung kann mithin grundsätzlich das Fehlen eines angemessenen Datenschutzniveaus beim Empfänger ausgleichen. 69 Für das Arbeitverhältnis ist die Einwilligung allerdings schlecht geeignet. Gemäß 4a Abs. 1 S. 1 BDSG ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. 70 Die ganz herrschende Meinung in Deutschland geht davon aus, dass der Arbeitnehmer nicht freiwillig einwilligen kann. 71 Auch auf europäischer Ebene sind die Aufsichtsbehörden der Mitgliedstaaten im Rahmen der so genannten Artikel-29-Gruppe 72 entsprechend übereingekommen. Am 13. September 2001 verabschiedete die Artikel-29-Gruppe ein Arbeitspapier (Stellungnahme 66 Vgl. z.b. die Grundsätze für die Datenverarbeitung in Anhang A der Entscheidung 2004/915/EG (Standardvertrag Set II) unter Serv.do?u-ri=CELEX:32004D0915:EN:NOT (abgerufen am ). 67 Die Binding Corporate Rules, d.h. verbindlichen Unternehmensregelungen, unterliegen einer gewissen Gestaltungsfreiheit des betroffenen Konzerns, wobei gewissen Gestaltungsgrundsätze zu beachten sind; vgl. z.b. Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules BCR) unter justice_home/fsj/privacy/docs/wpdocs/2008/wp154_de.pdf (abgerufen am ). 68 Vgl. z.b. die Grundsätze des Sicheren Hafens zum Datenschutz in Anhang 1 der Entscheidung 2000/520/EG unter L:2000:215:0007:0047:EN:PDF (abgerufen am ). 69 Vgl. Simitis (Fn. 12), 4c Rn Zu den Grundvoraussetzungen einer wirksamen Einwilligung siehe Bergmann/Möhrle/Herb (Fn. 36), 4a Rn. 3a ff. 71 Vgl. Wank (Fn. 27), 4a BDSG Rn Die Datenschutzgruppe ist gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzt worden. Sie ist ein unabhängiges europäisches Beratungsgremium in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG sowie in Artikel 14 der Richtlinie 97/66/EG festgelegt. 460 ZJS 5/2009

12 Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? ZIVILRECHT 8/2001) zur Verarbeitung personenbezogener Daten von Beschäftigten (Arbeitspapier Nr. 48). 73 Am 25. November 2005 verabschiedete die Artikel 29 Gruppe ein Arbeitspapier über eine gemeinsame Auslegung des Artikel 26 Abs. 1 der Richtlinie 95/46/EG vom 24. Oktober (Arbeitspapier Nr. 114). 75 Arbeitspapiere sind zwar nicht verbindlich, sie werden jedoch von den Datenschutzaufsichtsbehörden der Mitgliedstaaten der europäischen Union (weitestgehend 76 ) beachtet und geben daher in verlässlicher Weise Aufschluss darüber, was von den jeweiligen nationalen Behörden zu erwarten ist. Einige der Aussagen im Arbeitspapier Nr. 114 betreffen die Zweifel an der Möglichkeit der freiwilligen Arbeitnehmereinwilligung 77 und die strukturelle Schwäche der Einwilligung als Basis von Maßnahmen der Datenverar- 73 Vgl /wp48de.pdf (abgerufen am ). 74 Art. 26 Abs. 1 der Richtlinie 95/46/EG (ABl L 281, S. 31 ff.) hat folgenden Wortlaut: Artikel 26. Ausnahmen. (1) Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen für bestimmte Fälle im innerstaatlichen Recht vor, daß eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann, sofern a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder c) die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder d) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder f) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. 75 Vgl. (abgerufen am ). 76 In einigen Mitgliedstaaten, z.b. Spanien, wird die Arbeitnehmereinwilligung als zulässig angesehen. 77 Arbeitspapier Nr. 114, S. 13, Ziff. 2.1 zu Einwilligung muss ohne Zwang gegeben werden ; vgl. dazu auch Büllesbach, in: Roßnagel, Handbuch des Datenschutzrechts, 2003, 6.1 Rn. 14; Gola/Schomerus (Fn. 18), mit dem Hinweis auf die Gefahr der Entmündigung des Arbeitnehmers, 4a Rn. 6 und 9. beitung ( Die Datenschutzgruppe ist aufgrund ihrer Erfahrungen außerdem der Meinung, dass die Einwilligung in Fällen der wiederholten oder gar routinemäßigen Übermittlung von Daten zu deren Verarbeitung wahrscheinlich langfristig keinen angemessenen Rechtsrahmen für die Verantwortlichen für die Verarbeitung bietet. ). 78 Die Arbeitnehmereinwilligung eignet sich daher nicht als Grundlage der Verarbeitung von Arbeitnehmerdaten im Konzern. Auch die jederzeitige Widerruflichkeit 79 der Einwilligung spricht gegen sie als Grundlage der Übermittlung von Arbeitnehmerdaten. 80 Das Arbeitspapier Nr. 48 stellt unter anderem klar, dass Arbeitgeber die Einwilligung ihrer Mitarbeiter nicht für Maßnahmen einholen sollten, die für die Erfüllung des Arbeitsvertrages erforderlich und daher bereits als solche zulässig sind. 81 Die Aufforderung zur Einwilligung wird in solchen Fällen im Einklang mit Arbeitspapier Nr. 48 als irreführend und daher unzulässig angesehen, weil bei den Beschäftigten auf diese Weise der Eindruck erweckt wird, ohne ihre Einwilligung könne das Beschäftigungsverhältnis nicht durchgeführt werden. IV. Zusammenfassung Aus Sicht international präsenter Konzerne mag es noch so sinnvoll sein, den Austausch von Arbeitnehmerdaten jedweder Art zwischen Konzerngesellschaften grundsätzlich zu gestatten. Das europäische und in der Folge das deutsche Datenschutzrecht sehen gleichwohl kein Privileg für derartige Datenübermittlungen vor. Vielmehr werden Übermittlungen im Konzern wie solche zwischen Dritten behandelt ein Konzernprivileg gibt es nicht. Ungeachtet dessen, sind zahlreiche internationale Konzerne in fein unterteilte Funktionsbereiche gegliedert, denen auch die Mitarbeiter der jeweiligen Konzerngesellschaften zugeordnet werden und zwar ohne Ansehung der Frage, mit welcher Konzerngesellschaft der eigentliche Arbeitsvertrag abgeschlossen wurde. In derartigen Matrixorganisationen sind zahlreiche Datenübermittlungen zwischen der Muttergesellschaft und den Tochtergesellschaften einerseits und den Tochtergesellschaften untereinander andererseits erforderlich und an der Tagesordnung. Das deutsche Datenschutzrecht ist jedenfalls in der von den deutschen Aufsichtsbehörden konkretisierten Form und den besonderen Anforderungen an den Schutz von Arbeitnehmerdaten geeignet, diesen komplexen Strukturen internationaler Konzerne gerecht zu werden. Am Beispiel der Anforderungen an die Übermittlung von Arbeitnehmerdaten im Konzern wird deutlich, dass effektiver Arbeitnehmerdatenschutz bereits jetzt, d.h. auch ohne Arbeitnehmerdatenschutzgesetz, 82 Realität ist. Bereits die Unterscheidung danach, ob ein Arbeitsverhältnis mit primärem (d.h. anfänglich vorhandenem) oder sekundärem (d.h. nachträglich entstehenden) 78 Arbeitspapier Nr. 114, S. 13, Ziff Vgl. Gola/Schomerus (Fn. 18), 20 Rn Vgl. Schmidl, DuD 2007, 756 ff. 81 Arbeitspapier Nr. 48, S. 27, Ziff 10. Einwilligung. 82 Zum Entwurf eines Arbeitnehmerdatenschutzgesetzes siehe diskussionsentwurf_datenschutz.html (abgerufen am ). Zeitschrift für das Juristische Studium 461

13 AUFSÄTZE Michael Schmidl Konzernbezug vorliegt und die in Abhängigkeit davon anzuwendende gesetzliche Grundlage für die Übermittlung von Daten, trägt den Arbeitnehmerinteressen Rechnung. Auf Grundlage der speziellen Anforderungen des Düsseldorfer Kreises an die Rechtmäßigkeit der Übermittlung von Arbeitnehmerdaten im Konzern können die Arbeitnehmer Ansprüche auf Auskunft, Löschung, Berichtigung, Sperrung und gegebenenfalls Schadensersatz stets gegen ihren Arbeitgeber geltend machen und zwar ungeachtet dessen, wo sich ihre Daten tatsächlich befinden oder, im Falle des Schadensersatzes, wer einen Schaden verursacht hat. Auch die von den Aufsichtsbehörden formulierten Grenzen für die Arbeitnehmereinwilligung tragen dazu bei, 83 dass Arbeitnehmer im Konzern nicht rechtlos gestellt werden, indem sie zur Erteilung universeller Einwilligungen veranlasst werden. Auch wenn ein in sich geschlossenes Arbeitnehmerdatenschutzgesetz in der vergangenen Legislaturperiode nicht Realität wurde, ist das allgemeine Datenschutzrecht in der durch Rechtsprechung und Vorgaben der Aufsichtsbehörden konkretisierten Form, in vielen Bereichen geeignet, angemessenen Arbeitnehmerdatenschutz zu erreichen. Was in diesem Beitrag am Beispiel der Übermittlung von Arbeitnehmerdaten im Konzern verdeutlicht wurde, gilt gleichermaßen für den Schutz der Privatsphäre von Arbeitnehmern im Fall der privaten -Nutzung. 84 Auch für die vom Arbeitgeber organisierte Überwachung von Mitarbeitern durch Mitarbeiter, beispielsweise in den so genannten Whistleblowing- Systemen, haben die Aufsichtsbehörden strenge Vorgaben entwickelt. 85 So hat der Arbeitgeber unter anderem sicherzustellen, dass nur bestimmte Ereignisse Gegenstand einer Meldepflicht sind, die Betroffenen informiert werden, sobald die Untersuchung des Vorfalls dadurch nicht mehr gefährdet würde und dass kein Anreiz für die Erstattung anonymer Meldungen gesetzt wird. V. Ausblick Es steht gegenwärtig nicht fest, wie ein künftiges Arbeitnehmerdatenschutzgesetz ausgestaltet sein wird. Der Bundesbeauftragte für den Datenschutz beispielsweise fordert für das Arbeitnehmerdatenschutzgesetz die Berücksichtigung der folgenden vier Grundsätze: 86 (1) Personenbezogene Daten des Arbeitnehmers dürfen nur erhoben, verarbeitet und genutzt werden, wenn dies zur 83 Vgl. dazu auch Schmidl, DuD 2007, 756 ff. 84 Vgl. zu den Einzelheiten und zu dem für Arbeitnehmer resultierenden Schutz am Beispiel der -Filterung Schmidl, MMR 2005, 343 ff. 85 Siehe Whistleblowing Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz Arbeitsbericht der Ad-hoc-Arbeitsgruppe Beschäftigtendatenschutz des Düsseldorfer Kreises unter nrw.de/mainmenu_datenschutz/submenu_datenschutzrecht/inhalt/personalwesen/inhalt/6_whistleblowing-hotlines/whistleblowing-hotlines.pdf (abgerufen am ) beitnehmerdatenschutz/artikel/arbeitnehmerdatenschutzgesetz.html (abgerufen am ). Begründung, Durchführung, Beendigung oder Abwicklung eines Arbeitsverhältnisses erforderlich oder sonst gesetzlich vorgeschrieben ist (nachfolgend vom Verfasser als Erforderlichkeitsgrundsatz bezeichnet). (2) Die Datenerhebung sollte grundsätzlich beim Arbeitnehmer selbst erfolgen (nachfolgend vom Verfasser als Grundsatz der Direkterhebung bezeichnet). (3) Personenbezogene Arbeitnehmerdaten dürfen nur für den Zweck, für den sie erhoben worden sind, verwendet werden. Daten, die für diesen Zweck nicht mehr erforderlich sind, sind zu löschen. (nachfolgend vom Verfasser als Zweckbindungsgrundsatz bezeichnet). (4) Aus Gründen der Transparenz sind Arbeitnehmer umfassend darüber zu informieren, welche Daten zu welcher Zeit, auf welche Weise und zu welchem Zweck über sie erhoben sowie in welcher Art und Weise ausgewertet werden; dies muss umfassende Auskunfts- und Einsichtsrechte des Arbeitnehmers einschließen (nachfolgend vom Verfasser gemeinsam als Transparenzgrundsatz bezeichnet). Die in den vorgenannten Grundsätzen zum Ausdruck kommenden Schutzziele sind im geltenden Recht aber (zumindest teilweise) bereits verwirklicht: (1) Nach gegenwärtiger Rechtslage findet der Erforderlichkeitsgrundsatz etwa bereits in 32 Abs. 1 S. 1 BDSG Niederschlag, wonach personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Die komplementär anwendbare Regelung in 28 Abs. 2 Nr. 2 a) BDSG stellt die Zulässigkeit der genannten Maßnahmen ausdrücklich unter den Vorbehalt der Erforderlichkeit und einer Interessenabwägung. (2) Der Grundsatz der Direkterhebung ist im geltenden Recht bekannt. Gemäß 4 Abs. 2 S. 1 BDSG gilt, dass personenbezogene Daten beim Betroffenen zu erheben sind. Die in 4 Abs. 2 S. 2 BDSG enthaltenen Ausnahmen sind nicht weitreichend und setzen zudem die Durchführung einer Interessenabwägung voraus. (3) Auch der Zweckbindungsgrundsatz ist kein Novum für das deutsche Datenschutzrecht. Gemäß 28 Abs. 2 Nr. 1 BDSG ist die Verwendung personenbezogener Daten gegenüber der Erstverwendung nicht privilegiert; die Rechtmäßigkeitsvoraussetzungen der Erhebung, Verarbeitung und Nutzung sind in gleicher Weise einzuhalten und 35 Abs. 2 S. 2 Nr. 3 BDSG fordert die Löschung von Daten, deren fortgesetzte Speicherung für den ursprünglichen Zweck nicht mehr erforderlich ist. (4) Der Transparenzgrundsatz schließlich findet aktuell in den Vorschriften von 4 Abs. 3 und 33 BDSG Beachtung, wonach sowohl bei der Erhebung - in der Regel wird hier der Arbeitgeber aktiv - als auch bei der erstmaligen Speicherung durch einen Dritten - diese Verpflichtung trifft weitere vom Arbeitgeber eingeschaltete verantwortliche Stellen - eine Unterrichtung der Betroffenen erforderlich ist. Jedenfalls wird bei der Schaffung des neuen Gesetzes sorgfältig zu prüfen sein, inwieweit tatsächlich spezieller 462 ZJS 5/2009

14 Arbeitnehmerdatenschutz vor der Reform Fehlanzeige? ZIVILRECHT Regelungsbedarf besteht, um den Besonderheiten des Arbeitsverhältnisses gerecht zu werden Der am veröffentlichte Diskussionsentwurf des Bundesarbeitsministeriums verfolgt demgegenüber einen relativ ausführlichen Regelungsansatz. Der Diskussionsentwurf enthält Regelungen zu folgenden Themen: 1. Abschnitt: Allgemeine Bestimmungen 1 Zielsetzung, 2 Anwendungsbereich, 3 Begriffsbestimmungen, 4 Zulässigkeit der Datenerhebung und Datenverwendung, 5 Datengeheimnis, Datensparsamkeit; 2. Abschnitt: Datenerhebung und Datenverwendung vor Begründung des Beschäftigungsverhältnisses 6 Datenerhebung im Einstellungsverfahren, 7 Datenverwendung im Einstellungsverfahren; 3. Abschnitt: Datenerhebung und Datenverwendung nach Begründung des Beschäftigungsverhältnisses 8 Datenerhebung, 9 Datenverwendung, 10 Besondere Formen der Datenverwendung, 11 Opto-elektronische Einrichtungen (Videoüberwachung), 12 Ortungssysteme, 13 Biometrische Verfahren, 14 Telekommunikationsdienste, 15 Telearbeit; 4. Abschnitt: Vertraulichkeit und Sicherheit der Datenverwendung 16 Datensicherheit, 17 Datensicherheit bei besonderen Arten von Beschäftigtendaten; 5. Abschnitt: Rechte und Pflichten 18 Benachrichtigung über Erhebung oder Speicherung, 19 Benachrichtigung über Datenpannen, 20 Einsichtsrecht, 21 Auskunftsrecht, 22 Korrekturen, 23 Ansprüche, 24 Maßregelungsverbot; 6. Abschnitt: Sonderbestimmungen 25 Datenerhebung oder Datenverwendung im Auftrag des Arbeitgebers, 26 Datenerhebung oder Datenverwendung innerhalb verbundener Unternehmen, 27 Grenzüberschreitende Datenerhebung und Datenverwendung; 7. Abschnitt: Organisatorischer Datenschutz 28 Bestellung von Beauftragten für den Beschäftigtendatenschutz, 29 Mitbestimmungsrechte und Kündigungsschutz, 30 Aufgaben der Beauftragten für den Beschäftigtendatenschutz, 31 Aufsichtsbehörde; 8. Abschnitt: Besondere Regelungen für Interessenvertretungen 32 Rechte der Interessenvertretungen, 33 Datenerhebung und Datenverwendung; 9. Abschnitt: Schlussvorschriften 34 Unabdingbarkeit, Verzicht, Verwirkung, 35 Bußgeldvorschriften, 36 Strafvorschriften, 37 Inkrafttreten. Zeitschrift für das Juristische Studium 463

15 AUFSÄTZE Michael Schmidl Graphik 1 Matrixvorgesetzter Muttergesellschaft in den USA ❸ Weiterleitung von Arbeitnehmerdaten Konzern- Personalabteilung Tochtergesellschaften in EU/EWR o. mit angemessenem Daten- Matrixschutzniveau vorgesetzter ❷ Übermittlung von Arbeitnehmerdaten ❻ Ausübung von Konzernfunktionen ❹ Direkter Austausch von Arbeitnehmerdaten ❺ Ausübung von Führungsfunktionen Tochtergesellschaft in Deutschland ❶ Abschluss der Arbeitsverträge Arbeitnehmer 1-n Erläuterung zur Graphik 1: Im gewählten Beispielsfall werden die Arbeitnehmerdaten in Schritt 1 erstmalig beim Abschluss des Arbeitsvertrages erhoben. In Schritt ❷ werden Arbeitnehmerdaten übermittelt, soweit dies für die Erreichung der Konzernzwecke (z.b. weltweite Personalverwaltung, Nachfolgeplanung, Erleichterung der weltweiten Zusammenarbeit etc.) notwendig ist. Für die anlässlich von Schritt ❷ erfolgenden Übermittlungen ist die Muttergesellschaft verantwortliche Stelle, gleich ob die Konzernpersonalabteilung oder ein anderer Funktionsträger bei der Muttergesellschaft tatsächlicher Empfänger der Daten ist. Zu den als Schritt ❸ dargestellten Weiterübermittlungen kommt es beispielsweise, wenn Tochtergesellschaften innerhalb des Konzerns für die konzernweite Durchführung bestimmter Aufgaben, z.b. Gehalts- oder Reisekostenabrechnung, zuständig sind. Die als Schritt ❹ dargestellten Direktübermittlungen sind die typische Folge der Tatsache, dass die Matrixvorgesetzten in unterschiedlichen Konzerngesellschaften arbeiten. Für die Mitarbeiterführung und die Ausübung entsprechender Managementfunktionen erhalten diese Daten über ihre Berichtspflichtigen auch ohne die Einbindung der Muttergesellschaft. Verantwortliche Stelle ist insoweit die den jeweiligen Matrixvorgesetzten beschäftigende Tochtergesellschaft. Schritt ❺ stellt die möglichen Übermittlungen von Daten im Rahmen der Mitarbeiteranleitung dar, wenn der Matrixvorgesetzte seine Führungsfunktionen wahrnimmt. Schließlich kommen die als Schritt ❻ dargestellten Datenübermittlungen bei der Ausübung von Konzernfunktionen (zum Begriff siehe oben) durch die HR-Abteilung der Muttergesellschaft in Betracht. Graphik 2 USA Deutschland Standardverträge, BCR, Safe Harbor Amerikanische Muttergesellschaft Deutsche Tochtergesellschaft Unangemessenes Schutzniveau Angemessenes Schutzniveau Angemessenes Schutzniveau 464 ZJS 5/2009

16 Parteilicher Rundfunk? Die politischen Parteien als Gegenstand und Faktor der Berichterstattung im Privatrundfunk Von Prof. Dr. Matthias Cornils, Mainz* A. Die Parteibeteiligung an Rundfunkunternehmen als Nagelprobe für das rundfunkpolitische Konzept des Außenpluralismus Am hat das Bundesverfassungsgericht über das Verbot der Beteiligung politischer Parteien an Privatrundfunk-Unternehmen im hessischen Privatrundfunkgesetz entschieden. 1 Dieses mit Spannung erwartete Urteil gibt von seinem Gegenstand und seiner Gedankenführung her Anlass, grundsätzlich über die Rolle und Rechte der privaten Rundfunkveranstalter in der dualen, aus öffentlich-rechtlichen Rundfunkanstalten und privatwirtschaftlichen Rundfunkunternehmen zusammengesetzten Rundfunkordnung nachzudenken. Dabei geht es zwar auch um das Verhältnis gerade der Parteien zum Rundfunk, aber darüber hinaus noch um weit mehr: In der Praxis spielen die mittelbaren Rundfunkbeteiligungen der politischen Parteien an sich eine eher untergeordnete Rolle. Jedoch sind die Parteien besonders markant profilierte Meinungsträger: Sie sind subjektiv, einseitig, manchmal ideologisch, eben Partei. Deswegen spiegelt ihre auf Verdrängung zielende Behandlung durch das Rundfunkrecht in ungewöhnlich anschaulicher Weise eine letztlich alle Rundfunkveranstalter betreffende Unsicherheit und Skepsis im Umgang mit einer außenpluralistischen Ordnung des Privatrundfunks: Im Grunde ist bis heute nicht geklärt und nicht wirklich verarbeitet, welche Rolle der private Rundfunkveranstalter im dualen System einnehmen soll und darf: Soll er zur verfassungsrechtlich geforderten Programmvielfalt durch ein subjektives, tendenziöses Profil beitragen, ist also so genannter Tendenzrundfunk 2 nicht nur hinzunehmen, sondern sogar verfassungsrechtlich erwünscht? Oder ist eine einseitige Orientierung der Programme eigentlich stets eine Gefährdung der Meinungsvielfalt, die sich an der auch an den privaten Veranstalter adressierten Idealvorstellung ausgewogener und überparteilicher Berichterstattung bricht und deswegen allenfalls in eingedämmter Form tolerabel ist? Das Urteil des BVerfG von 2008 ist ein eindrucksvolles Beispiel für die Unentschiedenheit dieser Frage: Es präsentiert einen Kompromiss, der entweder von salomonischer Weisheit gezeichnet oder einfach nur Ausdruck dafür ist, dass auch die Richter in Karlsruhe nicht so genau wissen, ob subjektive parteiische Meinung im Privatrundfunk etwas Gutes oder Schlechtes ist. Nach diesem Kompromiss darf der Rundfunkgesetzgeber wohl bestimmenden Einfluss der Par- * Der Autor ist Inhaber des Lehrstuhls für Medienrecht, Kulturrecht und Öffentliches Recht an der Johannes Gutenberg- Universität Mainz. Sein Aufsatz ist zugleich Besprechung des Urteils des BVerfG vom (BVerfGE 121, 30 ff.). 1 BVerfGE 121, Begriff verwendet im NRW-Urteil v , BVerfGE 83, 238 Rn Das Gericht hat hier eine binnenpluralistische Ausgestaltung auch des Privatrundfunks, also unter Ausschluss einer einseitigen Programmtendenz, verfassungsrechtlich gebilligt. teien auf den Privatrundfunk verbieten, nicht aber einen Einfluss, der unterhalb dieser Schwelle des Bestimmenden liegt 3 : Ein bisschen Einfluss soll den Parteien von Verfassungs wegen schon bleiben müssen, aber eben nicht zu viel. Im Folgenden soll dargelegt werden, weshalb dieser Kompromiss nicht überzeugt. Die besseren verfassungsrechtlichen Gründe sprechen dafür, den Parteien wie anderen gesellschaftlichen Akteuren auch einen weitergehenden Anspruch auf rundfunkunternehmerische Betätigung zu zuerkennen, einen Anspruch, der nur den allgemeinen rundfunkkonzentrationsrechtlichen Grenzen verbotener Meinungsmacht unterliegt. B. Die Parteien und der Rundfunk: Eine ungeliebte Beziehung I. Faktische Situation und medienrechtlicher Rahmen Die Beteiligung der politischen Parteien an privaten Rundfunkunternehmen ist durch das Medienrecht in den Bundesländern zwar unterschiedlich, aber übereinstimmend doch sehr weitgehend limitiert anders als bei der Presse, wo nur die allgemeinen kartellrechtlichen Schranken der Marktbeherrschung greifen. Politische Parteien als unmittelbare Rundfunkveranstalter sind nach allen Landesrundfunkgesetzen, in Rheinland-Pfalz etwa in 25 Abs. 4 LMG, verboten. Einen echten Parteirundfunk nach Art einer Parteipresse darf es also nicht geben. Ein Rundfunk- Bayernkurier wäre ausgeschlossen. Dieses Verbot hat interessanterweise in der Vergangenheit kaum Aufmerksamkeit erregt; es ist vom BVerfG im vierten Rundfunkurteil von 1986 mit dem einen Satz abgesegnet worden, die Gesichtspunkte der Staatsferne und Überparteilichkeit des Rundfunks rechtfertigten ein solches Verbot. 4 Das Fehlen jeder eingehenderen Begründung ist auch deswegen besonders bemerkenswert, weil in dem verfassungsgerichtlichen Verfahren die Prozessbevollmächtigten beider Seiten übereinstimmend ausgeführt hatten, dass in einer Privatrundfunkordnung, die durch eine Vielfalt konkurrierender Anbieter gekennzeichnet ist (so genannter Außenpluralismus), ein absolutes Verbot der politischen Parteien als Rundfunkveranstalter verfassungsrechtlich nicht mehr zulässig sein könne. 5 Das BVerfG befand diese gemeinsame Position aber offenbar keiner weiteren Auseinandersetzung für würdig. Kontroversen haben hingegen die weitergehenden landesrechtlichen Einschränkungen auch der Beteiligungen von Parteien an Rundfunkunternehmen ausgelöst 6. Diese Rege- 3 BVerfGE 121, 30 (58). 4 BVerfGE 73, 118 (190). 5 Hoffmann-Riem, in: ders./starck (Hrsg.), Das niedersächsische Rundfunkgesetz vor dem Bundesverfassungsgericht, 1987, S. 151; Starck, ebenda, S Siehe zur Debatte vor und nach dem Urteil des BVerfG namentlich die Beiträge von Gersdorf, Huber, Klein und Zeitschrift für das Juristische Studium 465

17 AUFSÄTZE Matthias Cornils lungen reichen von dem in einigen Bundesländern geltenden Verbot einer Zulassung von Unternehmen, die von Parteien abhängig im Sinne des Aktienrechts sind 7 also regelmäßig bei einer mehrheitlichen Beteiligung bis hin zu einem totalen Ausschluss von Unternehmen mit einer Parteibeteiligung, gleich in welcher Höhe, wie bis vor kurzem in Baden- Württemberg 8 oder in dem vom BVerfG beurteilten hessischen Beispiel 9. Dort wo die besonders strengen Beteiligungsverbote gelten, sind sie als Verschärfungen der bisherigen Rechtslage ganz überwiegend erst vor einigen Jahren eingefügt worden das erklärt die Aktualität der Diskussion und auch der Entscheidungen der Verfassungsgerichte in Niedersachsen 10 und im Bund. Der tatsächliche Hintergrund dieser rechtlichen Initiativen ist unumstritten: Es ging bei diesen Regelungen politisch darum, gegen die mittelbaren Medienbeteiligungen der SPD vorzugehen. Denn allein die SPD hält über eine Treuhandgesellschaft mittelbar in acht Bundesländern Hörfunkbeteiligungen in allerdings bescheidenem Umfang, so in Rheinland-Pfalz immerhin einen durchgerechneten Anteil am Radiosender Rheinland- Pfälzischer Rundfunk in Höhe von 11,2%. Das über 100 Jahre alte Medienengagement der SPD sollte mit den strengen Rundfunk-Beteiligungsverboten politisch getroffen werden, und zwar nicht nur hinsichtlich der kaum nennenswerten mittelbaren Radiobeteiligungen. Mit dem rundfunkrechtlichen Hebel konnten auch die weitaus wichtigeren Beteiligungen der SPD-Holding an den Presseunternehmen gestört werden. Ganz überwiegend werden die Rundfunkanteile Wieland, in: Morlok/Alemann/Streit (Hrsg.), Medienbeteiligungen politischer Parteien, 2004; Angelov, Vermögensbildung und unternehmerische Tätigkeit politischer Parteien, 2006; Reffken, Politische Parteien und ihre Beteiligung an Medienunternehmen, 2007; Cordes, Medienbeteiligungen politischer Parteien: Zur verfassungsrechtlichen Zulässigkeit von Unternehmensbeteiligungen politischer Parteien in Presse, Rundfunk und Neuen Medien, Siehe z.b.: 25 Abs. 4 LMG R.-P.: Eine Zulassung darf nicht erteilt werden an Gebietskörperschaften und öffentlichrechtliche Rundfunkanstalten, an deren gesetzliche Vertreterinnen und Vertreter und leitende Bedienstete sowie an politische Parteien und Wählervereinigungen. Gleiches gilt für Unternehmen, die in einem Abhängigkeitsverhältnis im Sinne des 15 des Aktiengesetzes zu den in Satz 1 genannten Institutionen stehen. ; ähnlich 6 Nr. 5 LMG NRW; ohne expliziten Bezug auf das Aktienrecht z.b. 14 Abs. 3 MedienG LSA. 8 Früher 13 Abs. 3 Nr. 6 LMedienG BW, seit dem jetzt ist ein bestimmender Einfluss auf die Programmgestaltung oder Programminhalte erforderlich 13 Abs Die streitgegenständliche Vorschrift des Hessischen Privatrundfunkgesetzes, 6 Abs. 2 Nr. 4, lautete: Die Zulassung darf nicht erteilt werden [ ] 4. politischen Parteien oder Wählergruppen und Unternehmen und Vereinigungen, an denen politische Parteien beteiligt sind, unbeschadet der besonderen Bestimmungen über die Wahlwerbung. Gleiches gilt für Treuhandverhältnisse; diese sind offen zu legen. 10 NdsStGH DVBl 2005, nämlich ihrerseits von Presseunternehmen, an denen die SPD-Holding beteiligt war, gehalten. Das totale Verbot jeder unmittelbaren und mittelbaren Beteiligung politischer Parteien im hessischen (und bis zum ebenso im badenwürttembergischen) Privatfunkgesetz erzwang mithin die Aufgabe auch dieser Pressebeteiligungen oder aber den Rückzug der Presseunternehmen aus dem Rundfunkgeschäft. Dieser Aspekt spielt durchaus eine Rolle für die verfassungsrechtliche Beurteilung, weil die Beeinträchtigungswirkungen der rundfunkrechtlichen Beteiligungsverbote mittelbar so sehr viel größer sind, als es zunächst den Anschein hat: Betroffen ist eben nicht nur die Partei als mittelbarer Rundfunkunternehmer, sondern auch als Presseunternehmer. Betroffen sind überhaupt nicht nur die Parteien, sondern auch die jeweiligen Rundfunkveranstalter selbst, indem ihnen verwehrt wird, politische Parteien oder Presseunternehmen mit Parteibeteiligung als Kapitalgeber in das Unternehmen aufzunehmen. II. Die Perspektive des BVerfG nach dem Urteil vom Wie hat das BVerfG nun in dem Urteil vom über die absolute Beschränkung der Rundfunkaktivitäten der Parteien im hessischen Privatrundfunkgesetz entschieden? 1. Das objektive Vielfaltssicherungsgebot als primärer Gewährleistungsgehalt des Art. 5 Abs. 1 S. 2 GG Materiell-verfassungsrechtlicher Prüfungsmaßstab ist das Grundrecht der Rundfunkfreiheit, Art. 5 Abs. 1 S. 2 GG, in Verbindung mit der verfassungsrechtlichen Gewährleistung der politischen Parteien in Art. 21 Abs. 1 GG. Gleich zu Beginn macht der 2. Senat klar, dass er sich die in der jahrzehntelangen rundfunkverfassungsrechtlichen Rechtsprechung überwiegend des 1. Senats entwickelten Grundsätze und Besonderheiten bei der Interpretation des Art. 5 Abs. 1 S. 2 GG zu eigen macht. 11 Danach ist das Grundrecht der Rundfunkfreiheit nicht ein Freiheitsrecht wie alle anderen. Seine Schutzwirkung besteht zwar auch, aber nicht nur und nicht einmal primär darin, den Staat für Beschränkungen der Handlungsfreiheit des Grundrechtsträgers (hier also des Rundfunkveranstalters) rechtfertigungspflichtig zu machen. Dominierend ist vielmehr der objektiv-rechtliche Gewährleistungsgehalt des Grundrechts, der in einem Auftrag an den Rundfunkgesetzgeber besteht, eine Ordnung des Rundfunks zu schaffen, in dem die Vielfalt der bestehenden Meinungen im Rundfunk in möglichster Breite und Vollständigkeit Ausdruck findet 12. Dieser Gestaltungsauftrag zielt nicht nur auf den öffentlich-rechtlichen Rundfunk, auch wenn dieser in erster Linie das Instrument zur Sicherung der geforderten Vielfalt darstellt. Vielmehr gilt er auch für den privaten Rundfunk im seit 20 Jahren bestehenden dualen Rundfunksystem. Allerdings ist die Verfassung hier großzügiger als beim öffentlich-rechtlichen Rundfunk: Vor allem verlangt das Grundrecht für private Rundfunkveranstalter keine so 11 BVerfGE 121, 30 (50 ff.). 12 BVerfGE 121, 30 (50). 466 ZJS 5/2009

18 Parteilicher Rundfunk? ÖFFENTLICHES RECHT genannte binnenpluralistische Organisation 13. Die einzelnen Programme der privaten Sender müssen also nicht für sich genommen ausgewogen und vielfältig sein. Art. 5 GG gibt sich mit einem vielfältigen Gesamtprogramm aller Fernsehveranstalter einschließlich der öffentlich-rechtlichen Anstalten zufrieden, also einem jedenfalls im Grundsatz außenpluralistischen Modell, wie es heute in den Rundfunkgesetzen für den Privatrundfunk weit gehend verwirklicht ist. 14 Allerdings darf auch der private Rundfunk nicht in die Hände einzelner gesellschaftlicher Akteure oder Gruppen fallen. 15 Eine Zusammenballung publizistischer Macht muss jedenfalls verhindert werden. Das gilt auch dann, wenn im binnenpluralistisch organisierten öffentlich-rechtlichen Rundfunk für sich genommen ein vielfältiges Rundfunkprogramm stattfindet, weil ein völlig einseitig ausgerichteter vermachteter Privatfunk mit einem Massenpublikum jedenfalls die Kraft hätte, das medial vermittelte Meinungsbild aus der Balance zu bringen, also die Ausgewogenheit zu stören Das Gebot der Staatsfreiheit des Rundfunks und die politischen Parteien Neben der Vielfaltssicherung verlangt Art. 5 Abs. 1 S. 2 GG vom Rundfunkgesetzgeber auch, das er den Rundfunk von staatlichem Einfluss freihält. 17 Dieses Gebot der Staatsfreiheit spielt in dem aktuellen Urteil des BVerfG tatsächlich sogar eine viel gewichtigere Rolle als das mehr der Vollständigkeit halber angeführte Argument der Vielfaltsicherung. Zwar ist dem Staat nicht jedweder Kontakt mit dem Rundfunk überhaupt verboten immerhin ist er ja derjenige, der den Rundfunk im Sinne des Vielfaltsicherungsgebotes gerade gestalten soll. Er darf aber keinen unmittelbaren oder mittelbaren inhaltlichen Einfluss auf das Programm nehmen. Ein Staatsrundfunk ist historisch allemal verständlich der rundfunk- verfassungsrechtliche worst case. Nun ging es aber in dem Urteil vom ja gar nicht um den Staat, sondern um die Parteien. Hier stellen die Karlsruher Richter tatsächlich die wohl entscheidende Weiche auf dem Weg zu ihrem Ergebnis: Sie mobilisieren den Grundsatz der Staatsfreiheit auch gegen die politischen Parteien. Zwar seien die Parteien nicht identisch mit dem Staat; eine solche Sichtweise würde ihrem Charakter als frei gebildete, im gesellschaftlichpolitischen Bereich wurzelnde Gruppen widersprechen. Sie wiesen aber dennoch eine besondere Nähe zum Staat auf, weil sie auf die Erlangung staatlicher Macht ausgerichtet seien und personell zwischen Parteien und Staatsämtern vielfältige Überschneidungen bestünden. 18 Damit hat das BVerfG das entscheidende verfassungsrechtliche Argument präpariert, mit dem es dann später die Begrenzung des Parteieinflusses auf den Rundfunk rechtfertigt. 3. Die Parteien als prima facie grundrechtsberechtigte Rundfunkveranstalter Bevor der Senat dazu kommt, wendet er sich jedoch dem Interesse der Parteien an einer möglichst ungestörten Rundfunkveranstaltung zu. Auch dieses Interesse genießt verfassungsrechtlichen Schutz, und zwar nicht nur aus Art. 21 GG, dem Parteienartikel des GG, sondern aus einer verfassungsrechtlichen Normkombination des Art. 5 Abs. 1 S. 2 GG in Verbindung mit Art. 21 GG. 19 Auch die politischen Parteien können sich also auf Grundrechte berufen und eben auch auf die grundrechtlichen Garantien massenmedialer Kommunikation in Art. 5 Abs. 1 S. 2 GG. 20 Sie sind in der dualen Rundfunkordnung, in der der Gesetzgeber sich grundsätzlich für auch privatwirtschaftlich veranstalteten Rundfunk entschieden hat, grundrechtlich wie alle anderen Bewerber auch 21 berechtigt, Zugang zum Rundfunkmarkt zu erhalten. 13 BVerfGE 73, 118 (174). 14 Schulze-Fielitz, in: Dreier (Hrsg.), Grundgesetz, Kommentar, Bd. 1, 2. Aufl. 2004, Art. 5 I, II Rn BVerfGE 57, 295 (322, 325). 16 BVerfGE 83, 238 (Rn. 403): Entscheidet sich der Gesetzgeber für eine duale Rundfunkordnung, in der öffentlichrechtliche und private Veranstalter nebeneinander bestehen, muß er folglich dafür sorgen, daß die verfassungsrechtlichen Anforderungen gleichgewichtiger Vielfalt in der Berichterstattung im Ergebnis durch das Gesamtangebot aller Veranstalter erfüllt werden. Auch im dualen System ist es verfassungsrechtlich nicht zulässig, die privaten Veranstalter unter Hinweis auf die zur Ausgewogenheit verpflichteten öffentlich-rechtlichen Anstalten von diesem Erfordernis zu entbinden. Denn angesichts der von den öffentlich-rechtlichen Veranstaltern verlangten Ausgewogenheit müßte jede Verengung oder Einseitigkeit des privaten Sektors zu einer Unausgewogenheit des Gesamtangebots führen und würde so das Ziel von Art. 5 Abs. 1 GG verfehlen (vgl. BVerfGE 57, 295 [324]). 17 BVerfGE 12, 205 (262); 31, 314 (329); vgl. auch Gersdorf, Staatsfreiheit des Rundfunks in der dualen Rundfunkordnung der Bundesrepublik Deutschland, S. 22 ff., Reffken (Fn. 6), S. 264 f. 4. Das rundfunkverfassungsrechtliche Dilemma von subjektiver Berechtigung und objektiver Beschränkung der Parteien als Rundfunkveranstalter Wir können als Zwischenergebnis festhalten: Art. 5 Abs. 1 S. 2 GG schützt verfassungsrechtlich zugleich völlig gegenläufige Interessen: Als objektiv-rechtliches Vielfaltsicherungsgebot verlangt die Verfassungsnorm einen staatsfernen, und das bedeutet nach Meinung des BVerfG eben auch mehr oder weniger parteienfreien, überparteilichen Rundfunk. Als subjektiv-rechtliches Grundrecht der Veranstalterfreiheit verlangt die Norm gerade umgekehrt eine Beachtung des Interesses der politischen Parteien, selbst Rundfunk zu veranstalten. 22 Hier wird in seltener Deutlichkeit das Grundproblem der Sonderdogmatik des BVerfG zur Rundfunkfreiheit sichtbar: Anders als nach herkömmlichem Grundrechtsverständnis wird die objektiv-rechtliche Grundrechtsdimension 18 BVerfGE 121, 30 (54 f.). 19 BVerfGE 121, 30 (56 f.). 20 Streinz, in: v. Mangoldt/Klein/Starck (Hrsg.), Das Bonner Grundgesetz, Bd. 2, 5. Aufl. 2005, Art. 21 Abs. 1 Rn BVerfGE 97, 298 (312 f.). 22 Reffken (Fn. 6), S Zeitschrift für das Juristische Studium 467

19 AUFSÄTZE Matthias Cornils nicht als Ergänzung und Verstärkung des subjektiven Abwehrrechts begriffen. Vielmehr wendet sich die Vielfaltsicherungspflicht frontal gegen das subjektive Freiheitsrecht: Dem grundrechtlichen Schutzgut der Rundfunkfreiheit der Parteien steht das grundrechtliche Schutzgut der Überparteilichkeit des Rundfunks entgegen. Der eine Gewährleistungsgehalt desselben Grundrechts dient als Argument für die Beschränkung des anderen. 5. Der Ausweg aus dem Dilemma: Ein bisschen Einfluss, aber kein bestimmender Einfluss Wie findet sich aber ein Ausweg aus diesem internen Grundrechtsdilemma? Sehr schnell wird klar, dass man ein wirkliches Patt der Grundrechtsgehalte, eine gegenseitige Neutralisierung von objektivem Ausgestaltungsauftrag und subjektiven Veranstaltergrundrecht dann doch nicht fürchten muss. An Entschlossenheit, wie die Kollision aufzulösen ist, fehlt es dem BVerfG nicht: Die kollidierenden Grundrechtsgehalte sind nicht gleichrangig, die objektive Vielfalts- und Staatsfreiheitsgarantie geht eindeutig vor. Die private Veranstalterfreiheit kommt nur zum Zuge, wenn der objektive Garantiegehalt dadurch nicht eingeschränkt wird. Sie kann sich nur dann gegen eine beschränkende Ausgestaltungsregelung durchsetzen, wenn diese die Freiheit erstens schwerwiegend beeinträchtigt und zweitens so gut wie nichts zur Meinungsvielfalt beiträgt, also sowieso mehr oder weniger ungeeignet ist. Hat eine Regelung jedoch eine nennenswert stabilisierende Bedeutung für die Meinungsvielfalt oder Staatsfreiheit des Rundfunks, so ist sie verfassungsrechtlich gerechtfertigt, ungeachtet der damit verbundenen Einschränkungen der Veranstalterfreiheit. Der Ausgestaltungsgesetzgeber genießt dabei auch noch einen weiten Ermessensspielraum. 23 Das BVerfG übt gegenüber dem Ausgestaltungsgesetzgeber mehr gerichtliche Zurückhaltung als sonst bei der normalen grundrechtlichen Eingriffsprüfung. Es prüft nur, ob die eben beschriebenen Minimalanforderungen erfüllt sind, also die Regelung überhaupt einen plausiblen und nennenswerten Effekt zu Gunsten der Sicherung der Meinungsvielfalt hat und dieser Effekt nicht völlig außer Verhältnis zu den Beschränkungen der Veranstalterfreiheit steht. Grundrechtsdogmatisch lässt sich das so rekonstruieren, dass zwar eine gerichtliche Plausibilitätskontrolle hinsichtlich der Geeignetheit der Regelung für die Sicherung der Meinungsvielfalt stattfindet und auf der dritten Stufe des Verhältnismäßigkeitsprüfung ein Angemessenheitstest, wobei allerdings erst ein krasses Missverhältnis zwischen geringfügigem Nutzen für die Meinungsvielfalt und gravierender Freiheitseinschränkung für eine gerichtliche Beanstandung ausreichen würde. Eine Erforderlichkeitsprüfung, also die Frage nach freiheitsschonenderen Alternativen, findet praktisch angesichts der vom Bundesverfassungsgericht zugestandenen weiten Einschätzungsprärogative des Gesetzgebers nicht statt Schulze-Fielitz (Fn. 14), Art. 5 I, II Rn Siehe zu den gegenüber den für Grundrechtseingriffe geltenden Anforderungen der Verhältnismäßigkeit schwächeren, jedenfalls aber unberechenbareren Bindungen des Rundfunk- Von diesem Ansatz aus ist das eingangs skizzierte salomonische Ergebnis des Bundesverfassungsgerichts schnell gefunden: Zwar ist es dem Gesetzgeber verfassungsrechtlich zum Schutz der Staatsfreiheit des Rundfunks erlaubt 25, durch Beteiligungsobergrenzen bestimmenden Einfluss der politischen Parteien auf die Rundfunkunternehmen zu verbieten. 26 Der Gestaltungsspielraum ist jedoch überschritten, wenn der Gesetzgeber wie in dem hessischen Beispiel Parteibeteiligungen ganz ausschließt. 27 Die Parteien würden damit empfindlich getroffen, insbesondere auch wegen der gleichzeitig erfassten Pressebeteiligungen. 28 Auf der anderen Seite leiste aber ein absolutes Beteiligungsverbot einen kaum feststellbaren und allenfalls äußerst geringen Beitrag zur Sicherung der Meinungsvielfalt und Verwirklichung der Staatsfreiheit. 29 Bei einem derartigen Missverhältnis von grundrechtlichen Nutzen und Kosten der Maßnahme habe der Gesetzgeber seine Pflicht zu einem angemessenen Interessenausgleich verfehlt. C. Die Argumente: Analyse und Diskussion Im Folgenden sollen die wichtigsten Argumente, die den Streit um die Parteibeteiligung am Rundfunk beherrschen, vorgestellt und diskutiert werden. Diese Erörterung löst sich bewusst aus den Bahnen der Entscheidungsgründe des Karlsruher Urteils und greift in eigener Systematisierung auch inhaltlich darüber hinaus. Es lassen sich vier Hauptargumente identifizieren und nach dem Maß ihrer Grundsätzlichkeit für die Antwort auf die gestellte Rechtsfrage ordnen. Am Beginn steht die Auffassung absoluter Negation eines verfassungsrechtlichen Anspruchs auf Rundfunkbeteiligung der Parteien (I.). Es folgt das in der Literatur vertretene Argument einer strukturellen Unvereinbarkeit von Parteien und Medien (II.). Im Anschluss geht es um das immer noch starke, aber doch, wie die Entscheidung des BVerfG zeigt, nicht mehr absolut wirkende Argument der Staatsnähe der Parteien (III). Am Ende steht das Vielfaltsicherungsgebot als mögliches Rechtfertigungsargument für Einschränkungen einer Parteibeteiligung am Rundfunk (IV.). Ausgestaltungsgesetzgebers Cornils, Die Ausgestaltung der Grundrechte, 2005, S. 141 ff; die Anwendbarkeit des Grundsatzes der Verhältnismäßigkeit bei der Ausgestaltung der Rundfunkordnung ablehnend Gersdorf, Legitimation und Limitierung von Onlineangeboten des öffentlich-rechtlichen Rundfunks, 2009, S. 33 ff. 25 Unklar und in dem Urteil nicht entschieden ist, ob der Gesetzgeber umgekehrt sogar rundfunkverfassungsrechtlich verpflichtet ist, bestimmenden Einfluss der Parteien auf den Rundfunk zu verbieten, der Ausgestaltungsspielraum also von dieser Seite her begrenzt ist; dafür spricht die Gleichbehandlung der Parteien mit dem Staat durch das BVerfG (Degenhart, Die Entwicklung des Rundfunkrechts im Jahr 2008, K&R 2008, 289 [291]). 26 BVerfGE 121, 30 (59 f.). 27 BVerfGE 121, 30 (64). 28 BVerfGE 121, 30 (65). 29 BVerfGE 121, 30 (66). 468 ZJS 5/2009

20 Parteilicher Rundfunk? ÖFFENTLICHES RECHT I. Verfassungsrechtlicher Schutz der Parteien als Rundfunkveranstalter? Zum ersten Argument: Bewegen sich die politischen Parteien das meint dieses Argument hinsichtlich einer angestrebten Tätigkeit als Rundfunkunternehmer von vornherein im verfassungsrechtlichen ungeschützten Bereich, so dass die einfachgesetzliche Beschränkung solcher Tätigkeit keinerlei Rechtfertigungsdruck auslösen würde? Allein diese Frage scheint irritierend. Das BVerfG ist ja, wie berichtet, von einem grundsätzlichen, aus Art. 5 Abs. 1 S. 2 GG in Verbindung mit Art. 21 GG hergeleiteten Recht der Parteien auf Nutzung des Rundfunkmediums ausgegangen. Eben dies ist aber in der Literatur nicht unumstritten. Es gibt eher vereinzelt Autoren, die den Parteien die Berufung auf eine verfassungsrechtliche Grundlage für die Rundfunkveranstaltung a priori absprechen. 30 Dies bedeutet in erster Linie, dass den Parteien das Grundrecht aus Art. 5 Abs. 1 S. 2 GG verschlossen ist, sie also entweder generell nicht oder jedenfalls partiell im Hinblick auf dieses Grundrecht nicht grundrechtsberechtigt sein können. Ihnen bleibt als verfassungsrechtliche Grundlage ihrer Betätigungsfreiheit danach nur Art. 21 GG als abschließende, sonstigen grundrechtlichen Schutz ausschließende lex specialis. Diese Annahme reicht indessen noch nicht aus: Hinzu muss sodann die weitere These kommen, dass die Garantie der Parteienfreiheit und Parteiengleichheit des Art. 21 GG selbst kein Recht zur Betätigung der Parteien in den Massenmedien verleiht. Unter dem Strich führt diese Auffassung also dazu, dass die Parteien im Meinungsbildungsprozess durch Art. 21 GG verfassungsrechtlich nicht etwa besser, sondern schlechter gestellt sind als andere Akteure. 31 Art. 21 GG konzentriert alle verfassungsrechtlichen Rechte der Parteien, bleibt aber hinter den Kommunikationsgrundrechten des Art. 5 GG zurück, gewährt den Parteien also insbesondere kein Recht zu eigenem Medienengagement. 1. Spezialität des Art. 21 GG? Diese auf eine weitgehende Entleerung des gesellschaftlichen Freiheitsstatus der Parteien hinauslaufende Position überzeugt nicht und hat sich zu Recht nicht durchsetzen können. 32 Allerdings ist es richtig, dass Art. 21 GG nicht nur rechtsbegründende Bedeutung zu Gunsten der Parteien hat, sondern diesen auch Pflichten und Bindungen auferlegt. 33 So steht die politische Mobilisierung im Hinblick auf den Erfolg bei Wahlen nicht im freien Belieben der Parteien, sondern obliegt ihnen als verfassungsrechtliche Aufgabe; andernfalls verlieren sie ihren Parteienstatus. 34 Auch müssen Parteien zum Beispiel intern demokratisch verfasst sein (Art. 21 Abs. 1 S. 2 GG). Jedoch rechtfertigen diese parteienspezifischen, aus Art. 21 GG begründeten Bindungen nicht die totale Verneinung der allgemeinen Grundrechtsfähigkeit der Parteien. Die Parteien sind privatrechtliche Vereinigungen im gesellschaftlichen Raum, nicht staatliche Einrichtungen. 35 In ihnen bündelt sich individuelle, ihrerseits grundrechtlich geschützte Meinungsbildung einzelner Personen. Ihrem Wesen nach sind die Grundrechte nach Art. 19 Abs. 3 GG daher auch auf die politischen Parteien anwendbar. 36 Soweit diese danach grundrechtlich geschützte Handlungsfreiheit genießen, auch die rundfunkrechtliche Veranstalterfreiheit des Art. 5 Abs. 1 S. 2 GG im dualen Rundfunksystem, ist dieser Grundrechtsschutz allerdings verfassungsimmanent durch die besonderen Bindungen des Art. 21 GG modifiziert Parteien als nur mehr rezeptive Vermittler im Meinungsbildungsprozess? Man kann noch einen Schritt weitergehen: Letztlich kommt es für das hier diskutierte Problem auf die Konkurrenzfrage, ob Art. 21 GG allein oder daneben auch noch die Grundrechte die Parteien berechtigen, nicht entscheidend an. Auch wenn man allein Art. 21 GG als spezielle und exklusive verfassungsrechtliche Gewährleistung für die Parteien annimmt, ist ein verfassungsrechtliches Betätigungsrecht der Parteien im Rundfunk ja nur dann ausgeschlossen, wenn man dieses gerade nicht als durch Art. 21 GG garantiert ansieht. Umgekehrt gilt aber auch: Auch wenn man Art. 5 Abs. 1 S. 2 GG grundsätzlich für anwendbar hält, könnte man eine Rundfunkbetätigung gleichwohl als durch Art. 21 GG beschränkt oder ausgeschlossen ansehen. Alles läuft also unter dem hier behandelten Aspekt auf Art. 21 GG zu. Gehört zur verfassungsrechtlich garantierten Parteienfreiheit grundsätzlich auch die Aktivität der Parteien durch eigene Medien oder schließt Art. 21 GG eine solche Betätigung aus? Die hier diskutierte Meinung nimmt Letzteres an. Sie begründet ihre These damit, dass die Parteien nach der verfassungsrechtlichen Vorgabe des Art. 21 GG eine wesentlich oder vielleicht sogar ausschließlich rezeptive Vermittlungsfunktion von 30 Huber, Medienbeteiligungen politischer Parteien, K&R 2004, 216 (219); ders., in: Dreier/Badura (Hrsg.), Festschrift 50 Jahre Bundesverfassungsgericht Bd. 2, 2001, 609 (623). 31 Morlok, in: Dreier (Hrsg.), Grundgesetz, Kommentar, Bd. 2, 2006, Art. 21 Rn Klein, in: Geis/Lorenz (Hrsg.), Festschrift für Hartmut Maurer zum 70. Geburtstag, 2001, 193 (194); ders., in: Maunz/Dürig, Grundgesetz, Kommentar, Art 21 Rn. 186 ff.: Parteien als Grundrechtsträger; insoweit auch Cordes, ZParl 2009, 123 (129), Kunig, in: Isensee/Kirchhof (Hrsg.), Handbuch des Staatsrechts Bd. 3, 2. Aufl. 2005, 40 Rn. 92; Ipsen, in: Sachs (Hrsg.), Grundgesetz, 5. Aufl. 2009, Art. 21 Rn Dazu mit Nachweisen Reffken (Fn. 6), S. 305 f.; Cordes, ZParl 2009, 123 (132). 34 Klein, in: Maunz/Dürig (Fn. 32), Art. 21 Rn BVerfGE 20, 56 (100); 85, 264 (287): frei gebildete, im gesellschaftlich-politischen Prozess wurzelnde Gruppen ; Streinz (Fn. 20), Art. 21 Abs. 1 Rn. 8 ff. 36 BVerfGE 3, 383 (391). 37 Morlok (Fn. 31), Art. 21 Rn. 53 ff.; Klein, in: Geis/Lorenz (Hrsg.), Festschrift für Hartmut Maurer zum 70. Geburtstag 2001, 193. Zeitschrift für das Juristische Studium 469