RDV Aufsätze. Recht der Datenverarbeitung G Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht.

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 27. Jahrgang April 2011 Seiten Aufsätze Rechtsprechung Aus dem Inhalt LELLEY/MÜLLER, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? GOLA, Von Personalakten- und Beschäftigtendaten WAGNER, Novelle im Beschäftigtendatenschutz offene Fragen zu Systematik und Anwendungsbereich kurz vor Zwölf KÜHLING/KLAR, Datenschutz bei Mehrwertdiensten Abgrenzungsschwierigkeiten am Beispiel des Handyparkens KORT, Rechte und Pflichten des internen Datenschutzbeauftragten beim IT-Outsourcing mit einem Auftragnehmer in einem sicheren Drittstaat in Hinblick auf 4 d Abs. 5 und 6 BDSG BGH, Auswertung von Todesanzeigen zu Werbezwecken BAG, Erstattung von Detektivkosten des Arbeitgebers BAG, Bestellung als Datenschutzbeauftragter bei Betriebsübergang BAG, Zutrittsrecht betriebsfremder Gewerkschaftsmitglieder zur Mitgliederwerbung im mitgliederlosen Betrieb BSG, Zum Auskunftsanspruch gegenüber Kassenärztlichen Vereinigungen OLG Jena, Ausdrückliche Einwilligung für Newsletterversand LG Hamburg, Zur Zulässigkeit einer Bilder-Such-Maschine Berichte, Informationen, Sonstiges Aus der Europäischen Union Aus dem Bundestag Aus den Ländern Sonstiges Literaturhinweise Veranstaltungen

2 Die Datenschutzhilfe für Ihre Marketing-Abteilung! Wandtafel Datenschutz und Werbung 1. Auflage x 100 cm 59,95 (inkl. MwSt.) ISBN Inklusive Aufhängevorrichtung Systematisch und schnell zur rechtskonformen Werbung! Mit der Wandtafel Datenschutz und Marketing sehen Ihre Marketing-Mitarbeiter auf einen Blick, ob eine geplante Werbemaßnahme rechtskonform ist oder nicht. Mit freundlicher Empfehlung von Anhand des Entscheidungsbaums durchlaufen sie systematisch Fragestellungen aus dem Datenschutz- und Wettbewerbsrecht und erhalten ein eindeutiges Ergebnis für die weitere Planung ihrer Marketingaktionen. Der Entscheidungsbaum visualisiert die rechtlichen Rahmenbedingungen und sensibilisiert die Mitarbeiter insbesondere für das Bußgeld- und Reputationsrisiko. Neben dem Entscheidungsbaum erläutert ein Glossar die für Marketing-Mitarbeiter wichtigen Fragen aus dem Datenschutzrecht, wie z. B.: Was sind Listendaten? Was sind gleichartige Produkte? Wie sieht eine Einwilligung aus? Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Tel / Fax 02234/ bestellung@datakontext.com

3 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 27. Jahrgang 2011 Heft 2 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze RA Dr. Jan Tibor LELLEY LL.M. / Florian MÜLLER Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? 59 Prof. Peter GOLA Von Personalakten- und Beschäftigtendaten 66 Dr. Ralph WAGNER LL.M. Novelle im Beschäftigtendatenschutz offene Fragen zu Systematik und Anwendungsbereich kurz vor Zwölf 69 Prof. Dr. Jürgen KÜHLING, LL.M. / Manuel KLAR Datenschutz bei Mehrwertdiensten Abgrenzungsschwierigkeiten am Beispiel des Handyparkens 71 Prof. Dr. Michael KORT Rechte und Pflichten des internen Datenschutzbeauftragten beim IT-Outsourcing mit einem Auftragnehmer in einem sicheren Drittstaat in Hinblick auf 4 d Abs. 5 und 6 BDSG 79 Rechtsprechung Auswertung von Todesanzeigen zu Werbezwecken (BGH, Urteil vom ) 85 Erstattung von Detektivkosten des Arbeitgebers (BAG, Urteil vom ) 87 Bestellung als Datenschutzbeauftragter bei Betriebsübergang (BAG, Urteil vom ) 88 Zutrittsrecht betriebsfremder Gewerkschaftsmitglieder zur Mitgliederwerbung im mitgliederlosen Betrieb (BAG, Urteil vom ) 91 Zum Auskunftsanspruch gegenüber Kassenärztlichen Vereinigungen (BSG, Urteil vom ) 94 Ausdrückliche Einwilligung für Newsletterversand (OLG Jena, Urteil vom ) 96 Zur Zulässigkeit einer Bilder-Such-Maschine (LG Hamburg, Urteil vom ) 98 Entschädigung wegen permanenter Videoüberwachung (Hessisches LAG, Urteil vom ) 99 Berichte, Informationen, Sonstiges Aus der Europäischen Union Artikel 29-Gruppe zur Anwendbarkeit europäischer Datenschutzregelungen 103 Aus dem Bundestag Bundestagsdebatte zum Beschäftigtendatenschutzgesetz 103 Regierung will Fragen des Konzerndatenschutzes bei Reform der EG-Datenschutzrichtlinie beraten 104 Aus den Ländern Berlin stärkt unabhängige Datenschutzaufsicht und verpflichtet Verwaltung zur Information über Datenpannen 104 Fälle aus der Datenschutzpraxis im Internet 105 FAQs zur Informationspflicht bei Datenschutzpannen nach 42a BDSG 105 Schleswig-Holsteinisches OVG bestätigt Datenschützer gegenüber Hausärzteverband 105 Sonstiges Stiftung Datenschutz: BfDI legt Diskussionspapier vor 106 Literaturhinweise Neuerscheinungen Aufsätze 107 Veranstaltungen 108

4 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Gesamthochschule Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutzbeauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Schriftleitung Prof. Peter Gola RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Redaktionsanschrift Pariser Str. 37, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) weiss@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Alle Preise verstehen sich zzgl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Beilagenhinweis GDD-Mitteilungen 2/2011; DATAKONTEXT, Frechen Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung erbeten. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; diese sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Thomas Reinhard Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) reinhard@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

5 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln 27. Jahrgang 2011 Heft 2 Seiten Recht RDV der Datenverarbeitung Aufsätze RA Dr. Jan Tibor Lelley LL.M. (Suffolk) / Rechtsreferendar Florian Müller, Essen* Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? Das Gesetzgebungsverfahren zum Gesetz zur Regelung des Beschäftigtendatenschutzes läuft. Nach dem Gesetzesentwurf der Bundesregierung vom (BR-Drs. 535/10) hat jetzt der Bundesrat am Stellung genommen und Änderungen angeregt (Drs. 535/10).Die erste Lesung im Bundestag fand am statt (BT-Drs. 17/4230). Neben der Kritik an einzelnen Bestimmungen des Entwurfs ergeben sich nun mehr und mehr grundsätzliche Fragen z.b. zur Vereinbarkeit mit EG-Recht (vgl. Forst, RDV 2010, 150 ff.) oder auch zur Verfassungsmäßigkeit von Teilen des Gesetzesentwurfs. Einer der Fragen, nämlich der Verfassungsmäßigkeit der geplanten Beschränkung von Recherche in sozialen Netzwerken, geht dieser Beitrag nach. I. Einleitung In einer Zeit, die das normative Band zwischen Erwarten und Verhalten schlaff werden, ja sogar zum Teil getrost reißen lässt, findet man erstaunlicherweise eine höchst aktive Gesetzgebung, die genau darauf wieder zu vertrauen scheint 1. Und so haben sich nach den Verabredungen im Koalitionsvertrag vom CDU/CSU und FDP darauf verständigt, den Beschäftigtendatenschutz gesetzlich zu regeln. Das Bundeskabinett hält es hier für erforderlich, ein eigenes Kapitel zum Beschäftigtendatenschutz in das Bundesdatenschutzgesetz (BDSG) aufzunehmen. Am wurde vom Kabinett ein Regierungsentwurf zur Änderung des BDSG beschlossen 2. Der bisherige 32 BDSG regelt die Datenerhebung durch Arbeitgeber für Zwecke des Beschäftigungsverhältnisses. Diese Regelung soll nach dem Regierungsentwurf durch die 32 bis 32l BDSG-E ersetzt werden. Durch den vorliegenden Beitrag wird der Inhalt des geplanten 32 Abs. 6 Satz 3 BDSG-E näher auf seine Verfassungsmäßigkeit hin beleuchtet. Der vom Kabinett beschlossene Entwurf des 32 Abs. 6 BDSG-E betrifft den rechtlichen Rahmen der zulässigen Internetrecherchen durch Arbeitgeber hinsichtlich eines Bewerbers vor Begründung eines Beschäftigungsverhältnisses 3. Gemäß 32 Abs. 6 Satz 1 BDSG-E sollen die Beschäftigtendaten zukünftig unmittelbar bei dem Beschäftigten zu erheben sein. Die Vorschrift stellt somit eine Ausprägung des Grundsatzes der Direkterhebung im Sinne des 4 Abs. 2 BDSG dar. Wenn Arbeitgeber Beschäftigte 4 vor der Datenerhebung darauf hinweisen, dürfen sie sich gemäß 32 Abs. 6 Satz 2 BDSG-E in diesem Zusammenhang * Der Autor Lelley ist Fachanwalt für Arbeitsrecht und Partner bei Buse Heberer Fromm, der Autor Müller ist dort wissenschaftlicher Mitarbeiter. 1 Luhmann, Die Funktion des Rechts: Erwartungssicherung oder Verhaltenssteuerung? in: Ausdifferenzierung des Rechts Beiträge zur Rechtssoziologie und Rechtstheorie, Frankfurt/M. 1999, S. 73 (88 ff.). 2 Kabinettsbeschluss vom ; Gesetzentwurf der Bundesregierung für ein Gesetz zur Regelung des Beschäftigtendatenschutzes vom , BR-Drs. 535/ blob=pu blicationfile (Stand: ). 4 Schon nach aktueller Gesetzlage gelten Bewerber terminologisch wohl etwas intransparent datenschutzrechtlich als Beschäftigte, vgl. 3 Abs. 11 Nr. 7 BDSG.

6 60 RDV 2011 Heft 2 zwar über Bewerber aus allen allgemein zugänglichen Quellen, also auch dem Internet, informieren. In Zukunft soll diese Möglichkeit jedoch auf Grund der Gesetzesänderung eine Einschränkung im Hinblick auf soziale Netzwerke erfahren, soweit diese der elektronischen Kommunikation dienen. Beispielhaft wären hierbei facebook, StudiVZ oder StayFriends zu nennen 5. Derartige Netzwerke dürfen nach dem Gesetzesentwurf von Arbeitgebern nicht mehr als Informationsmöglichkeit herangezogen werden. Von der Beschränkung ausdrücklich ausgenommen sind dagegen gemäß 32 Abs. 6 Satz 3, Hs. 2 BDSG-E solche sozialen Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind, etwa Xing oder LinkedIn 6. Auf diese Weise will der Gesetzgeber nach seiner Vorstellung einer Ausforschung privater, nicht zur Veröffentlichung bestimmter Daten entgegenwirken. Die geplante Regelung des 32 Abs. 6 Satz 3 BDSG-E erscheint aber vor einem verfassungsrechtlichen Hintergrund bedenklich. Denn durch die Neueinführung könnte speziell die grundgesetzlich garantierte Informationsfreiheit der Arbeitgeber gemäß Art. 5 Abs. 1 Satz 1, Hs. 2 GG verletzt sein. II. Allgemeine Zugänglichkeit von Daten und das Grundrecht auf Information Lelley / Müller, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? Der 32 Abs. 6 Satz 3 BDSG-E ist verfassungsrechtlich bedenklich, da die Einschränkung der Informationsmöglichkeit für Arbeitgeber, sich im Internet über Bewerber zu informieren, sowohl vom persönlichen als auch sachlichen Schutzbereich der durch die Verfassung garantierten Informationsfreiheit umfasst ist 7. Im Hinblick auf den persönlichen Schutzbereich der Informationsfreiheit hat jeder das Recht, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Jeder ist hierbei jede natürliche oder juristische Person, die sich selbst informieren will 8. Potentielle Arbeitgeber sind in der Regel gesellschaftsrechtlich organisiert. Gemäß Art. 19 Abs. 3 GG ist der persönliche Schutzbereich für sie als inländische juristische Personen eröffnet, da das Grundrecht der Informationsfreiheit seinem Wesen nach auch auf Unternehmen anwendbar ist 9. Als Quelle im Sinne des Art. 5 Abs. 1 Satz 1, Hs. 2 GG gelten alle Träger von Informationen, unabhängig davon, ob die Informationen eher Meinungen bzw. Tatsachen enthalten oder ob sie öffentliche oder private Angelegenheiten betreffen 10. Auf den Online-Plattformen der sozialen Netzwerke werden die Informationen der Mitglieder gespeichert. Sie dienen als Informationsträger und stellen mithin Quellen dar. Diese müssten allgemein zugänglich sein. Das ist zu bejahen, wenn eine Informationsquelle geeignet und bestimmt ist, der Allgemeinheit, also einem individuell nicht bestimmbaren Personenkreis, Informationen zu beschaffen 11. Dabei entscheidet derjenige über die Zugänglichkeit und die Art der Zugangseröffnung, der nach der Rechtsordnung über ein entsprechendes Bestimmungsrecht verfügt 12. Als allgemein zugänglich gelten zumindest alle Daten, die im Internet bei bestimmungsgemäßer Nutzung abrufbar sind 13. Dies ist insbesondere dann gegeben, wenn sie über die Funktionen einer Suchmaschine, etwa Google oder Yahoo 14, auffindbar sind 15. Gegen die allgemeine Zugänglichkeit von Bewerberinformationen in sozialen Netzwerken im Sinne des Art. 5 Abs. 1 Satz 1, Hs. 2 GG könnte aber sprechen: Die Mitglieder (Nutzer) nahezu aller gängigen sozialen Netzwerke haben im Rahmen ihrer netzwerk-internen Einstellungsfunktionen die Möglichkeit, ihre persönliche Profilseite nur für solche Personen sichtbar zu machen, die sich in ihrer sogenannten Freundesliste befinden. Des Weiteren können die Mitglieder gemeinhin individuell bestimmen, ob ihr Profilfoto sowie ihre Profilseite in den Trefferlisten der Internet-Suchmaschinen erscheinen soll oder nicht 16. Wird eine solche eingeschränkte Sichtbar- bzw. Aufspürbarkeit des eigenen Profils ausgewählt, so sind Daten für Dritte im Internet gerade nicht mehr ohne Weiteres auffindbar. Vielmehr ist es dann notwendig, um sich eine Profilseite eines Bewerbers anzusehen, selbst zumindest im jeweiligen sozialen Netzwerk als Nutzer angemeldet zu sein. Hinzu tritt dann gegebenenfalls für nur stark eingeschränkt sichtbare Profile gar das Erfordernis, mit dem jeweiligen Profilinhaber befreundet d.h. verlinkt zu sein. Es bietet sich demnach für die Bestimmung der Grenzen des sachlichen Schutzbereiches an, danach zu differenzieren, ob die Bewerber-/Nutzer-Daten in den sozialen Netzwerken von Suchmaschinen aufgefunden werden können oder nicht 17. Nur im ersteren Fall sind sie als allgemein zugänglich im Sinne des Art. 5 Abs. 1 Satz 1, Hs. 2 GG anzusehen. III. Eingriff in die Informationsfreiheit der Arbeitgeber Nach der geplanten Regelung des 32 Abs. 6 Satz 3 BDSG-E dürfen sich potentielle Arbeitgeber nicht durch die in den der elektronischen Kommunikation dienenden sozialen Netzwerken eingestellten Daten friends.de Däubler/Klebe/Weichert, BDSG 3. Aufl. 2010, 29 Rn. 2; Weichtert, AuR 2010, 100 (104). 8 Jarass/Pieroth, Art. 5 Rn. 18; Maunz/Dürig, GG, Art. 5 Rn Arass/Pieroth, Art. 5 Rn BVerfGE 27, 71, 81 ff.; Jarass/Pieroth, Art. 5 Rn BVerfGE 27, 71, 83; Jarass/Pieroth, Art. 5 Rn BVerfGE 103, 44, 60; Jarass/Pieroth, Art. 5 Rn Entwurfsbegründung, S. 12; Gola/Schomerus, BDSG 10. Aufl Rn. 31 ff.; Beckschulze/Natzel, BB 2010, 2368 (2370) Vgl. Entwurfsbegründung, S. 12; Forst, NZA 2010, 427 (430); 1043 (1045). 16 Vgl Vgl. Forst, NZA 2010, 427 (430).

7 Lelley / Müller, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? RDV 2011 Heft 2 61 über ihre Bewerber informieren. Auf diese Weise würden die Arbeitgeber in ihrer Freiheit, sich aus allgemein zugänglichen Quellen zu unterrichten, eingeschränkt. Ein Eingriff liegt in jeder staatlichen Maßnahme, durch die dem Träger des Grundrechts ein grundrechtlich geschütztes Verhalten unmöglich gemacht oder wesentlich erschwert wird 18. Damit ist ein Eingriff in die Informationsfreiheit der Arbeitgeber gemäß Art. 5 Abs 1 Satz 1, Hs. 2 GG zu bejahen. 1. Recht auf informationelle Selbstbestimmung vs. Informationsfreiheit Die geplante Neuregelung des 32 Abs. 6 Satz 3 BDSG-E ist lediglich dann verfassungsrechtlich unbedenklich, wenn der Eingriff gerechtfertigt ist. Schranke der Informationsfreiheit sind gemäß Art. 5 Abs. 2 GG die allgemeinen Gesetze. Nach der ständigen Rechtsprechung des BVerfG werden unter allgemeinen Gesetzen alle Gesetze verstanden, die sich nicht gegen die Meinungsfreiheit oder die Freiheit von Presse und Rundfunk an sich oder gegen die Äußerung einer bestimmten Meinung richten, sondern die vielmehr dem Schutz eines schlechthin, ohne Rücksicht auf eine bestimmte Meinung, zu schützenden Rechtsguts dienen 19. Das BDSG und auch der BDSG-E richten sich nicht gegen einen bestimmten Informationsinhalt und stellen damit ein allgemeines Gesetz im Sinne des Art. 5 Abs. 2 GG dar. Neben der Schranke der allgemeinen Gesetze ist das Grundrecht der Informationsfreiheit durch kollidierendes Verfassungsrecht beschränkt. In Betracht kommt hier das informationelle Selbstbestimmungsrecht der Beschäftigten. Dieses Recht stellt einen Ausfluss des Allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG dar 20. Auf Grund seiner unmittelbaren Verbindung zu Art. 1 GG kommt diesem Grundrecht bereits seiner Natur nach eine hervorragende Bedeutung zu. Allerdings wird das Allgemeine Persönlichkeitsrecht hier nicht auf einer seiner ersten beiden Stufen, der Intimbzw. Privatsphäre, betroffen, sondern auf seiner dritten der Individualsphäre 21. Unter die Individualsphäre fällt auch das Grundrecht der informationellen Selbstbestimmung. Dieses schützt seine Träger gegen unbegrenzte Erhebung, Speicherung, Verwendung oder Weitergabe der auf sie bezogenen individualisierten oder individualisierbaren Daten 22. Ebendies entspricht auch der Intention des Gesetzgebers, die er mit der Neuregelung des 32 Abs. 6 Satz 3 BDSG-E zu verfolgen sucht. Dieses Grundrecht der Beschäftigten ist bei der Beurteilung der Verhältnismäßigkeit im weiteren Sinne gegen die Informationsfreiheit der Arbeitgeber abzuwägen. 1.1 Zweckmäßigkeit und Erforderlichkeit der Neuregelung Durch die Neuregelung des 32 Abs. 6 Satz 3 BDSG-E verfolgt der Gesetzgeber das Ziel, bestimmte Daten der Beschäftigten, die nicht zur Veröffentlichung bestimmt sind, zu schützen. Dies ist ohne Zweifel ein legitimes Ziel. Die Erforderlichkeit einer Grundrechtsbeschränkung bestimmt sich danach, ob ein anderes milderes Mittel zur Verfügung steht, durch das das angestrebte Ziel ebenso wirkungsvoll erreicht werden könnte. Es müsste anstelle der Einführung des 32 Abs. 6 Satz 3 BDSG-E ein Mittel geben, durch das die potentiellen Arbeitgeber dazu veranlasst werden könnten, bestimmte Daten ihrer Bewerber aus den der elektronischen Kommunikation dienenden Netzwerken in ihre Erwägungen nicht mit einzubeziehen. Dies würde voraussetzen, dass Arbeitgeber es aus eigenem Antrieb vermeiden, bestimmte Daten ihrer Bewerber zu erfassen und in ihre Entscheidung hinsichtlich einer späteren Anstellung mit einfließen zu lassen. Die praktische Umsetzung erscheint jedoch vor dem Hintergrund problematisch, dass es ohne eine zwingende Vorschrift keinerlei Kontrolle des Staates hinsichtlich der Beachtung und Umsetzung dieser Einschränkung geben würde. Allein das Vertrauen auf die freiwillige Einschränkung der Informationsbeschaffung stellt kein Mittel dar, mit dem das Ziel des Beschäftigtendatenschutzes ebenso wirkungsvoll erreicht werden kann. Der Eingriff ist mithin erforderlich, sofern man die Bedenken für derart erdrückend hält. 1.2 Abwägung zwischen informationeller Selbstbestimmung und Informationsfreiheit Er müsste schließlich auch verhältnismäßig im engeren Sinne, also angemessen sein. Die Frage der Angemessenheit lässt sich nur anhand einer Rechtsgüterabwägung im Einzelfall beantworten. Voraussetzung für die Verfassungsmäßigkeit einer Einschränkung der Informationsmöglichkeiten im Sinne des 32 Abs. 6 Satz 3 BDSG-E ist ein Überwiegen des schutzwürdigen Interesses des Beschäftigten an dem Ausschluss der Erhebung gegenüber dem berechtigten Interesse des Arbeitgebers. Nach der Auffassung des Gesetzgebers, die sich in der Regelung des 32 Abs. 6 Satz 3, Hs. 1 BDSG-E widerspiegelt, ist ein solch überwiegendes Interesse der Beschäftigten dann gegeben, wenn es sich um Daten aus sozialen Netzwerken handelt, die der elektronischen Kommunikation dienen 23. Im konkreten Falle steht auf der einen Seite das Allgemeine Persönlichkeitsrecht der Beschäftigten in seiner Ausprägung als Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG, das der Gesetzgeber nach dem Sinn und Zweck seiner Maßnahme schützen möchte. Dieses Grundrecht kollidiert mit der arbeitge- 18 BVerfGE 66, 39, 60; Pieroth/Schlink, Grundrechte, 21. Aufl. 2005, Rn BVerfGE 7, 198, 209; 97, 125, 146; 62, 230, 243 f. 20 BVerfGE 65, 1, Vgl. BVerfGE 27, 344, 351; 89, 69, BVerfGE 103, Entwurfsbegründung, S. 12.

8 62 RDV 2011 Heft 2 Lelley / Müller, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? berseitigen Informationsfreiheit gemäß Art. 5 Abs. 1 Satz 1, Hs. 2 GG. Die Bedeutung des Grundrechts auf Informationsfreiheit ist in der vorliegenden Konstellation insbesondere entsprechend seiner exponierten Stellung in unserer Verfassung als Ausfluss der Meinungsfreiheit nach Art. 5 Abs. 1 GG zu würdigen. Die Informationsfreiheit ist von grundlegender Bedeutung für die freiheitlich-demokratische Ausrichtung der Bundesrepublik Deutschland, die auf ständige geistige Auseinandersetzung als Kennzeichen einer lebenden parlamentarischen Demokratie angewiesen ist 24. Die Bildung einer aussagekräftigen Meinung ist ohne eine vorherige umfassende Recherche im Rahmen der jeweiligen Thematik kaum möglich. Dies gilt insbesondere auch im Hinblick auf die Meinungsbildung über einen potentiellen Beschäftigten im eigenen Unternehmen. Der Informationsfreiheit zur Beschaffung von für die Einstellung einer Bewerberin oder eines Bewerbers relevanten Informationen kommt dabei eine ganz herausragende Bedeutung zu. Gerade in der heutigen Zeit hat das Internet als neues Informationsmedium einen enormen Einfluss 25. Arbeitgebern müssen die Vorzüge dieses Mediums zur Informationsbeschaffung so weit wie möglich zur Verfügung stehen. Und das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos. Der Einzelne muss sich Einschränkungen dieses Grundrechts gefallen lassen 26. Das gilt vor allem im arbeitsrechtlichen Bereich, wenn grundrechtlich geschützte Rechtspositionen der Arbeitgeberseite (z.b. Privatautonomie in Form der Vertrags(abschluss)freiheit, Art. 2 Abs. 1 GG und Berufsfreiheit nach Art. 12 Abs. 1 GG) Grundrechten von Beschäftigten gegenüberstehen 27. Nichts anderes muss gelten, wenn für die Arbeitgeberseite nicht in erster Linie die Privatautonomie oder die Berufsfreiheit, sondern das Grundrecht auf Informationsfreiheit eingreift. Daher ist es auch anerkannt, dass die Einschränkung des Rechts auf informationelle Selbstbestimmung sich aus überwiegendem Allgemeininteresse, und zwar in Form von kollidierenden Grundrechten, ergeben kann 28. Und diese Abwägung zwischen dem Grundrecht auf Informationsfreiheit nach Art. 5 Abs. 1 GG und dem Recht auf informationelle Selbstbestimmung ist so neu nicht. Sie wird in Rechtsprechung und Literatur seit den achtziger Jahren des vergangenen Jahrhunderts thematisiert 29. Entscheidend ist, dass spezifische Interessen in bestimmten Fällen die Einschränkung der informationellen Selbstbestimmung rechtfertigen ohne dabei zu einer Verallgemeinerung zu kommen 30. Die so erforderliche Abwägung kann beispielsweise die besondere Stellung der Arbeitgeber in gesellschaftlicher Hinsicht berücksichtigen, dass sie nämlich durch ihr Zur-Verfügungstellen von Arbeitsplätzen einen überaus wichtigen Teil zu einer funktionierenden Marktwirtschaft beitragen. Weiter kann die Informationsbeschaffung in sozialen Netzwerken, die auf Kommunikation ausgerichtet sind, dazu dienen, die für eine freiheitliche Demokratie denknotwendige Meinungsvielfalt zu sichern. Dem stehen Interessen der Beschäftigten/Bewerber gegenüber. Denn in der heutigen Zeit medialer Vielfalt, in der Informationen über eine Person auf verschiedenste Weise gespeichert und der Öffentlichkeit preisgegeben werden, laufen Beschäftigte/Bewerber tatsächlich leichter Gefahr, das Recht auf informationelle Selbstbestimmung zu verlieren. In der Abwägung der beiden Grundrechte wäre auch zu berücksichtigen, dass das Veröffentlichen von personenbezogenen Daten in sozialen Netzwerken positiv betrachtet eine Ausübung des Grundrechts auf informationelle Selbstbestimmung ist. Denn dieses umfasst ja ausdrücklich auch die Preisgabe von persönlichen Daten 31. Hier überschneidet sich also die aktive Grundrechtsausübung der Informationsbeschaffung aus allgemein zugänglicher Quelle mit der aktiven Grundrechtsausübung der Veröffentlichung eigener personenbezogener Daten. Doch in der Begründung zum Gesetzesentwurf findet sich eine Abwägung der beiden Grundrechtspositionen zurzeit nicht. Die Entwurfsbegründung enthält dazu nur Ausführungen, nach denen die Erhebung allgemein zugänglicher Beschäftigtendaten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, für Arbeitgeber grundsätzlich unzulässig sein soll 32. Doch woraus leitet sich dieser Grundsatz ab? Und wo erfolgt die Abwägung zwischen der arbeitgeberseitigen Informationsfreiheit und dem Recht der Beschäftigten auf informationelle Selbstbestimmung? Ohne solche Abwägung ist die Beschränkung des Grundrechts auf Informationsfreiheit durch ein Gesetz wie das BDSG sicher unverhältnismäßig. Und damit dann verfassungswidrig. 1.3 Allgemeine Geschäftsbedingungen der Netzwerke Im Hinblick auf die freizeitorientierten Netzwerke verweist die Begründung des Gesetzesentwurfs auch auf die allgemeinen Geschäftsbedingungen (AGB) der Netzwerke, die regeln, dass eine Informationsbeschaffung durch Arbeitgeber nicht erlaubt ist 33. Sofern Ar- 24 BVerfGE 7, 198, Vgl. die Studie Social Media Governance 2010, nach der 54% der dort befragten Unternehmen, Behörden und Non-Profit-Organisationen soziale Netzwerke für Kommunikationszwecke nutzen, GmbHR 2010, R 333 ff. 26 Däubler/Klebe/Weichert, a.a.o., Einl. Rn. 10; Simitis, BDSG 6. Aufl. 2006, 1 Rn. 86 ff. 27 Vgl. zu den datenschutzrechtlichen Aspekten solcher Grundrechtsabwägung im Arbeitsverhältnis: Lelley, Compliance im Arbeitsrecht, Rn. 184 ff. 28 Simitis, a.a.o., 1 Rn. 90 ff. m.w.n. 29 Vgl. OLG Hamm, Beschl. v VAs 53/97, juris; Breitfeld, Berufsfreiheit und Eigentumsgarantie als Schranke des Rechts auf informationelle Selbstbestimmung; Langer, Informationsfreiheit als Grenze informationeller Selbstbestimmung. 30 Däubler/Klebe/Weichert, a.a.o., Einl. Rn. 29; Simitis, a.a.o., 1 Rn BVerfGE 65, 1, 43; Simitis, NJW 1984, 422; Däubler/Klebe/Weichert, a.a.o., Einl. Rn Entwurfsbegründung, S. 11f. 33 Vgl. Entwurfsbegründung, S. 12.

9 Lelley / Müller, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? beitgeber im Rahmen der Informationsbeschaffung gegen die allgemeinen Geschäftsbedingungen des Netzwerksbetreibers verstößt, so soll in der Regel das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Datenerhebung überwiegen 34. Sofern Benutzer-Daten jedoch über Suchmaschinen im Internet auffindbar und damit für jedermann allgemein zugänglich sind, können die AGB der Netzwerkbetreiber gegenüber Arbeitgebern keine Geltung beanspruchen 35. Denn im Falle der Auffindbarkeit durch Suchmaschinen können potentielle Arbeitgeber bereits mit Hilfe der Suchmaske auf die offen gelegten Daten zugreifen, ohne selbst bei einem sozialen Netzwerk angemeldet zu sein. Ohne eine solche Registrierung können die AGB des Netzwerks gegenüber recherchierenden Arbeitgebern überhaupt keine Wirkung entfalten. Wie bereits eingangs festgestellt wurde, ist der Schutzbereich der Informationsfreiheit nach Art. 5 Abs. 1 Satz 1, Hs. 2 GG lediglich bei Bejahung der Auffindbarkeit der Bewerber/Nutzer-Daten durch Suchmaschinen eröffnet 36. Sieht man sich aber einmal die AGB des Netzwerks facebook näher an, so spielt in der Praxis die Unterscheidung zwischen Netzwerken, die der elektronischen Kommunikation dienen, und denen für die Präsentation gegenüber potentiellen Arbeitgebern gar keine so große Rolle. Denn facebook erwähnt in seinen Datenschutzrichtlinien unter der Überschrift Informationen über dich selbst, dass die Nutzer bei der Registrierung im Netzwerk nicht nur mit Freunden, sondern auch mit Arbeitgebern in Kontakt treten 37. Die in 32 Abs. 6 Satz 3 BDSG-E zu findende Differenzierung zwischen sozialen Netzwerken an sich und sozialen Netzwerken, die zur Darstellung der beruflichen Qualifikation der Mitglieder bestimmt sein sollen, findet in den Nutzungsbedingungen des weltweit größten Netzwerks facebook keine Stütze 38. Im Gegenteil: Die Nutzungsbedingungen wenden sich neben Privatpersonen ausdrücklich an Unternehmen oder andere Organisationen 39. Ein Rechercheverbot für Arbeitgeber ist dort nicht ersichtlich. Ein Rechercheverbot würde auch den facebook-grundsätzen widersprechen. Nach denen hat es sich das Netzwerk zum Ziel gesetzt, die Welt offener und transparenter zu machen. Das Netzwerk will dem freien Informationsfluss und Informationszugriff für jede Person (darunter fallen nach der facebook-definition natürliche und juristische Personen) dienen, und eben nicht dem Zweck, Informationsbarrieren aufzubauen 40. Das am im Hintergrundpapier zum Gesetzesentwurf erwähnte soziale Netzwerk StayFriends weist in seinen Datenschutzbestimmungen ausdrücklich darauf hin, dass die eingestellten personenbezogenen Daten (Eintrag) der Nutzer öffentlich und frei zugänglich sind. Damit ist vor allem die freie Einsehbarkeit der Daten über Suchmaschinen im Internet, beispielsweise Google, gemeint 41. Beschränkungen der Recherche sind in den dortigen AGB nicht ersichtlich. Die gleichfalls im Zusammenhang mit dem Gesetzesentwurf erwähnten sozialen RDV 2011 Heft 2 63 Netzwerke schülervz und studivz beschränken demgegenüber die Nutzung auf Schüler bzw. Studierende. Die Datenerhebung durch Arbeitgeber ist dort ausdrücklich untersagt 42. IV. Freiwillige Veröffentlichung von Daten als Einwilligung des Bewerbers Es ergibt sich dann weiter die Frage, ob nicht diejenigen, die ihre personenbezogenen Daten in sozialen Netzwerken veröffentlichen und sich nicht mit Hilfe besagter Option vor der Einsichtnahme ihres Profils durch Dritte abschotten, auf ihr Grundrecht der informationellen Selbstbestimmung verzichten oder dieses zumindest eigenmächtig beschränken. Den unterschiedlichen Begrifflichkeiten eines Grundrechtsverzichts oder einer Einwilligung kommt dabei im Wesentlichen die gleiche inhaltliche Bedeutung zu 43. Das Allgemeine Persönlichkeitsrecht auf der Stufe der Individualsphäre ist grundsätzlich disponibel. Denn die freie Persönlichkeitsentfaltung bedeutet auch gleichzeitig ein Recht auf freies Belieben 44. Fraglich ist, ob ein Bewerber als Mitglied eines sozialen Netzwerkes, das der elektronischen Kommunikation dient, überhaupt damit rechnen muss, dass seine häufig zu rein privaten Zwecken eingestellten Daten und Informationen auch von potentiellen Arbeitgebern eingesehen werden. Dies könnte insbesondere vor dem Hintergrund verneint werden, dass die Diskussion oft zwischen den freizeit- und den berufsorientierten Netzwerken unterscheidet. Bei letzteren legt es der Nutzer gerade darauf an, dass die eigenen Daten zur Darstellung der beruflichen Qualifikationen von Dritten eingesehen werden. Solche Netzwerke, die vor beruflichem Hintergrund der Bewerbung oder dem Knüpfen von Kontakten dienen sollen, sind von der Neuregelung des 32 Abs. 6 Satz 3 BDSG-E explizit ausgeschlossen. Hierbei ist jedoch zu berücksichtigen, dass eben jene Daten, auf die sich die Regelung des 32 Abs. 6 BDSG-E bezieht, vom jeweiligen Nutzer auf rein frei- 34 Entwurfsbegründung, S Forst, NZA 2010, 427 (430). 36 Vgl. oben unter II unter Ziff. 2. Informationen, die wir erhalten (Stand: ). 38 Das Nachrichtenmagazin SpiegelOnline berichtet am über weltweit 500 Million Nutzer bei facebook, vgl. /bg KDAc (Stand: ) (Stand: ) (Stand: ). 42 Ziffer 5.4 der AGB von schülervz: (Stand: ); Ziffer der AGB von studivz: (Stand: ). 43 Schwenke, Individualisierung und Datenschutz, 2006, S Vgl. Erfurter Kommentar zum Arbeitsrecht Dieterich, 10. Aufl. 2010, Einleitung Rn. 63.

10 64 RDV 2011 Heft 2 Lelley / Müller, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? williger Basis in die sozialen Netzwerke online eingestellt wurden. Es wurde schon richtig darauf hingewiesen, dass in der Veröffentlichung eigener personenbezogener Daten im Internet datenschutzrechtlich eine Weitergabe durch den Betroffenen selber liegt. Und diese Weitergabe erfolgt durch den Betroffenen genau in der Erwartung, dass diese Daten von einer Vielzahl Dritter erhoben werden auch von potentiellen Arbeitgebern 45. Daher greifen hier keine schutzwürdigen Interessen der Betroffenen ein. Und das Direkterhebungsgebot ( 4 Abs. 2 Satz 1 BDSG) greift hier auch nicht. Denn es liegt der gesetzliche Ausnahmetatbestand vor, wo personenbezogene Daten ohne Mitwirkung des Betroffenen erhoben werden dürfen, weil eine Rechtsvorschrift dies vorsieht. Bei der Bewerberrecherche in sozialen Netzwerken sind sogar direkt zwei Rechtsvorschriften einschlägig: 28 Abs. 1 Satz 1 Nr. 3 BDSG (Erhebung allgemein zugänglicher Daten für eigene Geschäftszwecke) sowie 32 Abs. 1 Satz 1 BDSG (Datenerhebung für die Entscheidung zur Begründung eines Beschäftigungsverhältnisses) 46. Und bei der Erhebung von Bewerberdaten kommt eine Besonderheit zum Tragen, die das datenschutzrechtliche Direkterhebungsgebot dann entfallen lässt, wenn Bewerberdaten unvollständig oder vielleicht unrichtig sind 47. Denn andernfalls wären Arbeitgeber auf möglicherweise bewusst unvollständige oder falsche Informationen durch Bewerber angewiesen ein mit der verfassungsrechtlich garantierten Informationsfreiheit nicht zu vereinbarendes Ergebnis. Dabei bringt es das Wesen des Internets mit sich, dass keineswegs die Sicherheit dafür besteht, dass Angaben, die jemand online veröffentlicht, nur von einem bestimmten abgrenzbaren Personenkreis eingesehen werden. Vielmehr muss sich jeder Nutzer der Gefahr bewusst sein, dass eventuell auch Dritte auf diese Daten zugreifen können, z.b. in einem Bewerbungsverfahren. Aus diesem Grund bieten die meisten sozialen Netzwerke, unabhängig davon, ob sie eher privat- oder berufsorientiert sind, die Einstellungsoption an, mit der jedes Mitglied selbstständig entscheiden kann, für welchen Personenkreis seine eingerichtete Profilseite einsehbar sein soll. So besteht etwa beim sozialen Netzwerk facebook für das Mitglied die Möglichkeit, die eigene Profilseite generell im Internet und damit auch über die Trefferlisten der Suchmaschinen auffindbar zu machen. Alternativ hierzu können die Nutzer aber auch einstellen, dass das eigene Profil lediglich für andere facebook-mitglieder bzw. sogar nur für die befreundeten Mitglieder sichtbar ist 48. Potentielle Arbeitgeber haben demnach ohnehin nur bei einem solchen Bewerber, der von obiger Einstellungsoption keinen Gebrauch gemacht hat, die Möglichkeit, Einsicht in dessen Profil und die dortigen Daten zu nehmen. Im Übrigen ist mangels ihrer Auffindbarkeit über Suchmaschinen die allgemeine Zugänglichkeit der Daten zu verneinen mit der Folge, dass bereits der Schutzbereich im Sinne des Art. 5 Abs. 1 Satz 1, Hs. 2 GG überhaupt nicht eröffnet ist 49. Die Funktion in den sozialen Netzwerken, eine Sperre für Suchmaschinen im Internet einzurichten, steht jedem Mitglied zur Verfügung 50. Zum Nutzen dieser Option ist kein besonderes Know-How erforderlich. Sie ist somit auch für jeden Nutzer anwendbar. Nach der allgemeinen Verkehrsauffassung kann von jedem Mitglied, das sich in sozialen Netzwerken anmeldet, erwartet werden, dass es sich des Gebrauchs oder Nicht-Gebrauchs dieser Einstellungsfunktion bewusst ist. Mithin steht auch das Merkmal der Freiwilligkeit der Annahme einer eigenverantwortlichen Beschränkung des Grundrechts seitens der Nutzer nicht entgegen. Und schließlich ist auch kein Verstoß gegen die Menschenwürde nach Art. 1 Abs. 1 GG ersichtlich, so dass auf Grund eines Verzichts keine Aushöhlung des Wesenskerns des Rechts auf informationelle Selbstbestimmung zu befürchten ist. Selbst wenn man jedoch einen zulässigen und wirksamen Grundrechtsverzicht verneint, so wäre zumindest seitens der Mitglieder, die ihre Profilseite für jedermann sichtbar halten, von einer Einwilligung in den möglichen Eingriff in das Grundrecht auf informationelle Selbstbestimmung auszugehen. Es muss berücksichtigt werden, dass der Bewerber die eigenen Daten selbstständig und eigenverantwortlich nicht nur online gestellt, sondern gerade auch als für Dritte auffindbar gestaltet hat. Damit hat er zumindest konkludent in den Zugriff durch Dritte im Internet eingewilligt. Im Bereich des Arbeitsrechts ist jedoch problematisch, dass der Arbeitgeber den Beschäftigten gemäß 4a Abs. 1 Satz 2 BDSG auf den Zweck der Datenerhebung und die Folgen einer verweigerten Einwilligung hinweisen muss. Die Einwilligung muss also in Kenntnis des Zwecks erfolgen. Ist ein dementsprechender Hinweis nicht erfolgt, ist die erteilte Einwilligung unwirksam 51. Dies zieht die Folge nach sich, dass sodann regelmäßig auch eine bereits erfasste Datenverarbeitung mangels rechtlicher Grundlage rechtswidrig ist 52. Hier ist aber zu beachten, dass eine Hinweispflicht auf den Zweck der Datenerhebung und die Folgen einer möglichen Einwilligungsverweigerung auf Nutzer, die freiwillig eigene personenbezogene Daten im Internet veröffentlichen und weitergeben, nicht recht passt. Es gehört heute zum common sense, dass im Internet veröffentlichte Daten einem weltweiten Publikum den 45 Lelley, Compliance im Arbeitsrecht Rn. 189; Weichert, AuR 2010, 100 (104). 46 Gola/Schomerus, BDSG 10. Aufl Rn. 35a; Lelley, a.a.o., Rn. 190 f. 47 Eschenbacher, Datenerhebung im arbeitsrechtlichen Vertragsanbahnungsverhältnis, S Vgl Vgl. oben unter II Däubler, Gläserne Belegschaften?, 5. Aufl., 4 Rn Däubler, a.a.o.

11 Lelley / Müller, Ist 32 Abs. 6 Satz 3 BDSG-E verfassungsmäßig? RDV 2011 Heft 2 65 Zugriff erlauben 53. Daher ist die Hinweispflicht in 4a Abs. 1 Satz 2 BDSG wegen der Anwendbarkeit des Informationsfreiheit nach Art. 5 Abs. 1 Satz 1, Hs. 2 GG bei im Internet selber veröffentlichten personenbezogenen Daten im Sinne einer verfassungskonformen Auslegung nicht anwendbar 54. Berechtigte Interessen der Nutzer sind ausreichend geschützt. Denn sie können Einstellungen wählen, die das eigene Profil lediglich für andere Mitglieder des Netzwerkes bzw. sogar nur für die befreundeten Mitglieder sichtbar werden lässt 55. Und grundsätzlich besteht daneben derzeit die Möglichkeit der Einwilligung eines potentiellen Arbeitnehmers in die Erhebung, Speicherung, Verwendung oder Weitergabe von Information aus sozialen Netzwerken. V. Möglichkeit der Einwilligung nach Einführung des 32l Abs. 1 BDSG-E? Eine solche Einwilligung könnte jedoch künftig auf Grund des ebenfalls geplanten 32l Abs. 1 BDSG-E nicht selten unwirksam sein. Nach dieser Vorschrift ist vorgesehen, dass Beschäftigte die Einwilligung in die Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten in Abweichung von 4 Abs. 1 BDSG lediglich in gesetzlich ausdrücklich geregelten Fällen erteilen darf. Diese geplante Einschränkung des Einwilligungstatbestands ist insbesondere im Hinblick auf die Vorgaben der EG-Datenschutzrichtlinie 95/46/EG äußerst brisant 56. Denn Art. 7 lit. a) EG-Datenschutzrichtlinie sieht als Rechtfertigungsgrund für die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten gerade das Institut der Einwilligung durch den Beschäftigten vor 57. Soll eine wirksame Einwilligung fortan nur noch in gesetzlich vorgesehenen Fällen möglich sein, würde der Arbeitnehmer in seiner Dispositionsfreiheit beschnitten werden. Ein wesentliches Kriterium für die Wirksamkeit einer Einwilligung ist das Merkmal der Freiwilligkeit. So muss der Arbeitnehmer gemäß Art. 2 lit. h) EG- Datenschutzrichtlinie seine Bekundung frei von Willensmängeln sowie in Kenntnis der Verwendung der personenbezogenen Daten abgeben. Würde dem Beschäftigten die Möglichkeit der Einwilligung nun von Gesetzgeberseite abgeschnitten, so käme dies einer Entmündigung der Beteiligten ohne einen zureichenden Grund gleich 58. Die geplante Beschränkung durch 32l Abs. 1 BDSG-E erfolgt nicht anhand einer Abwägung im konkreten Einzelfall, sondern beruht vielmehr auf Erwägungen rein abstrakter Natur. Hierin ist ein Verstoß gegen die EG-Datenschutzrichtlinie zu sehen. Auf Grund ihrer Ausprägung bewirkt die Richtlinie eine Vollharmonisierung, wodurch Deutschland als Mitgliedsstaat das Rechtfertigungsinstrument der Einwilligung nicht beschränken darf, um der besonderen Situation der Beschäftigten im Arbeitsverhältnis Rechnung zu tragen 59. VI. Grenze zwischen freizeit- und berufsorientierten Netzwerken? Nach dem Gesetzesentwurf werden gemäß 32 Abs. 6 Satz 3 BDSG-E solche sozialen Netzwerke von der Beschränkung der Informationsbeschaffung ausdrücklich ausgenommen, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. Selbst wenn man von einem überwiegenden Interesse der Bewerber ausgeht und auch eine rechtfertigende Einwilligung ablehnt, schließt sich sodann die Frage nach der Differenzierung der verschiedenen Netzwerk- Typen an. Die Einteilung der Netzwerke in freizeitund berufsorientierte erscheint äußerst problematisch. Diese Schwierigkeit lässt sich insbesondere am Beispiel des weltweit größten sozialen Netzwerks facebook aufzeigen. Zwar mag dieses von seiner Grundidee her in erster Linie der Pflege der weltweiten Kontakte sowie der Unterhaltung seiner Mitglieder zu dienen bestimmt sein. Mittlerweile wird facebook jedoch auch verstärkt in beruflicher Hinsicht genutzt. Viele Unternehmen und sogar Staatsoberhäupter nutzen die Möglichkeit, sich mit ihrem Profil einer großen Mitgliederanzahl bei facebook zu präsentieren. Prominente Beispiele sind in diesem Zusammenhang etwa die facebook-profile von Barack Obama als Präsident der USA, Nicolas Sarkozy als Präsident der Französischen Republik oder auch des deutschen Bundespräsidenten Christian Wulff 60. Auf Grund dieser Präsenz ergibt sich zwangsläufig für Privatleute die Gelegenheit, in den Kontakt mit Unternehmen als potentiellen Arbeitgebern zu treten und umgekehrt. Im Rahmen der Zuordnung der eigenen Person zu einer Gruppe ist neben dem Merkmal etwa der Universität oder des aktuellen Wohnorts auch die Zugehörigkeit zu einem bestimmten Betrieb oder Unternehmen möglich. Eine strikte Abgrenzung ist auch nicht lebensnah. Denn in dem angeblich eher freizeitorientierten Netzwerk facebook ist z.b. eine große deutsche Luftfahrtgesellschaft mit einer mehrere zehntausend Mitglieder zählenden Community präsent. Bewerber lädt man ein, dort auch Mitglied zu werden. Eine klare Abgrenzung dürfte daher in der Praxis kaum durchführbar sein. Über das Problem der klaren Zuordnung helfen auch die Ausführungen der Gesetzesbegründung nicht hinweg, da ihnen diesbezüglich keinerlei Lösungsansätze zu ent- 53 Vgl. die Jugendkampagne Watch your Web des Bundesministeriums für Verbraucherschutz aus dem Jahr 2009, die junge Menschen zum verantwortlichen Umgang mit personenbezogenen Daten im Internet animiert: 54 Vgl. zur gleichgelagerten Problematik der verfassungskonformen Unanwendbarkeit von 29 Abs. 2 BDSG: Däubler/Klebe/Weichert, a.a.o., 29 Rn Vgl Vgl. grundlegend dazu: Forst, RDV 2010, 150 ff. 57 Vgl. etwa 58 Thüsing, RDV 2010, 147 (148). 59 Forst, RDV 2010, 150 (153). 60 Alle einsehbar unter: / (Stand: ).

12 66 RDV 2011 Heft 2 nehmen sind. Bei einem Inkrafttreten des 32 Abs. 6 BDSG-E in seiner geplanten Fassung sind zukünftig vor den Gerichten kaum lösbare Abgrenzungsschwierigkeiten zu befürchten. VII. Fazit Gola, Von Personalakten- und Beschäftigtendaten Art. 5 Abs. 1 GG stellt mit der Informationsfreiheit als Ausdruck unseres Demokratieverständnisses gegenüber dem Recht auf informationelle Selbstbestimmung ein ebenso gewichtiges Grundrecht dar. Die geplante Regelung in 32 Abs. 6 Satz 3 BDSG-E zur Beschränkung der Recherche in sozialen Netzwerken ist ein verfassungsrechtlich zweifelhafter Eingriff in die Informationsfreiheit für Arbeitgeber. Weiter ist die Unterscheidung zwischen Netzwerken der Kommunikation und Netzwerken zur Darstellung der beruflichen Qualifikation nicht praxisnah. Die digitale Lebenswirklichkeit der Beschäftigten sieht anders aus. Dort ist eine Differenzierung zwischen Kommunikation und Darstellung der Qualifikation oft nicht möglich, ja oft gar nicht gewünscht. Insofern erscheint die geplante Regelung als geradezu unnötig. Im Rahmen der Abwägung sind ohnehin nur solche Bewerber-Daten zu berücksichtigen, die von Dritten, also auch von den Unternehmen, im Internet mit Hilfe von Suchmaschinen auffindbar sind. Sofern ein Bewerber gerade die Auffindbarkeit des eigenen Profils gewählt hat, ist es verfassungsrechtlich bedenklich, dass sich potentielle Arbeitgeber nicht über ebensolche frei zugänglichen Daten informieren dürfen sollen. Schließlich steht es Bewerbern vollkommen frei, auch durchaus vorteilhafte Informationen über sich selbst zur Verfügung zu stellen. In diesem Zusammenhang ist davon auszugehen, dass eine Vielzahl von Mitgliedern, die von der einschränkenden Option keinen Gebrauch machen, ihre Profildaten gerade auch potentiellen Arbeitgebern gegenüber offenlegen wollen. Derartige Daten würden dann gegebenenfalls seitens der Unternehmen als positiv bewertet werden und können dem Bewerber mithin ebenso zum Vorteil gereichen. Zum Ende noch ein kurzer Blick auf Grundsätzliches: Den Regelungen des BDSG wird schon lange ein erheblicher Abschreckungswert für die Praxis vorgeworfen. Andere weisen darauf hin, dass der Gesetzestext lesbare und überschaubare Regelungen weitgehend konterkariert 61. Ändert der neue Gesetzesentwurf hier etwas? Kaum. Im Gegenteil, der Bundesrat meint zu Recht in seiner Stellungnahme am , die Regelung des Entwurfs seien teilweise nur schwer zur erschließen 62. Hier hat man wohl, um s mit Golo Mann zu sagen, mehr als zuviel getan. 61 Vgl. Lelley, GmbHR 2009, R Drucksache 535/10 (Beschluss) vom , S.2, Ziff. 1e) Prof. Peter Gola, Königswinter* Von Personalakten- und Beschäftigtendaten 1. Defintionen des Begriffs der Beschäftigtendaten Das BDSG enthält seit der Novellierung zum mit 32 BDSG eine Regelung zur Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses. Den Begriff der Beschäftigtendaten definiert das Gesetz nicht. Anders ist es in dem Entwurf der Bundesregierung für ein Gesetz zur Regelung des Beschäftigungsverhältnisses vom bzw. den hierzu ergangenen Empfehlungen des Bundesrats vom Die Bundesregierung beschränkte sich in 3 Abs. 12 E-BDSG auf den lapidaren Satz: Beschäftigtendaten sind personenbezogene Daten von Beschäftigten. In der Gesetzesbegründung heißt es: Absatz 12 stellt klar, dass es sich bei den Beschäftigtendaten um personenbezogene Daten von Beschäftigten handelt. Mit dieser Begriffsdefinition werden somit alle personenbezogenen Daten von Betroffenen erfasst, die zu dem in 3 Abs. 11 BDSG aufgezählten Personenkreis zählen. Dass diese Daten der Zweckbestimmung des 32 BDSG bzw. der 32 ff. des Gesetzesentwurfs dienen sollen, ist nicht gesagt. Der Bundesrat formulierte anders, und zwar den Begriff auf den Zweckzusammenhang der 32 ff. E- BDSG eingrenzend, wie folgt: Beschäftigtendaten sind personenbezogene Daten über Personen nach Abs. 11, die im Zusammenhang mit der Anbahnung, der Be- * Der Autor ist Vorstandsvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. 1 Gesetz vom , BGBl I, S Abrufbar unter BR-Drs 535/10 vom BR-Drs. 535/10 (Beschluss).

13 Gola, Von Personalakten- und Beschäftigtendaten gründung, der Durchführung, der Beendigung oder der Abwicklung eines Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden. In der Begründung heißt es wie folgt: Der im Gesetzesentwurf vorgesehen Definition der Beschäftigtendaten fehlt eine relative Eingrenzungsfunktion, da personenbezogene Daten von Beschäftigten sämtliche Daten sein können, die in irgendeiner Weise Personen betreffen, die nicht erwerbslos sind. Es fehlt der Bezug der Daten auf das Beschäftigungsverhältnis, welcher durch die im Antragstenor genannten Datenverarbeitungs- und Nutzungszwecke begründet wird. Dies folgt der Logik des Gesetzesentwurfs, in dessen Begründung zu Nummer 5 des Gesetzesentwurfs ( 27 Abs. 3 E-BDSG-E) es heißt, dass die Vorschriften des neuen zweiten Unterabschnitts des dritten Absatzes des Gesetzes grundsätzlich nur für die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses gelten soll. Auf Zustimmung der Bundesregierung stieß dieser Vorschlag jedoch nicht 4. Die ablehnende Stellungnahme vertritt die Auffassung, dass die vorgeschlagene Definition des Begriffs Beschäftigtendaten zu einem Zirkelschluss führe. Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten der Beschäftigten wäre nach dieser Definition Voraussetzung dafür, dass die Daten von den Vorschriften erfasst werden, da es sich anderenfalls nicht um Beschäftigtendaten handeln würde. Die 32 ff regeln aber erst die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung, legen also fest, unter welchen Voraussetzungen Beschäftigtendaten erhoben, verarbeitet oder genutzt werden dürfen. Durch das Aufstellen dieser Voraussetzungen werden der Bezug der Daten zum Beschäftigungsverhältnis und die entsprechende Eingrenzung hergestellt. 2. Der Begriff der Personalaktendaten Bevor man auf diese Argumentation näher eingeht, bietet es sich an, einen Blick in das für das Arbeitsund Dienstverhältnis entwickelte Personalaktenrecht und speziell auf den Personalaktenbegriff zu werfen. Wesentlich für das Verständnis und die Reichweite personalaktenrechtlicher Regelungen ist, dass diese von dem sog. materiellen Personalaktenbegriff ausgehen. Der Begriff macht zum einen deutlich, dass der Charakter der Personalakte nicht von der herkömmlichen Form der Aktenführung abhängt. Daher ist eine dezentrale Speicherung irrelevant. Ohne Relevanz für den Personalaktenbegriff ist auch, wenn Personalakten in digitalisierter Form geführt werden 5. Gleichermaßen unerheblich muss sein, ob Schriftverkehr mit Hilfe eines Briefs oder per erfolgt und gespeichert wird. Er macht aber zum anderen auch deutlich, dass nicht alle in einem Betrieb oder einer Behörde anfallenden, auf einen Mitarbeiter bezogenen oder beziehbaren Daten Personalaktenqualität haben. Nach der RDV 2011 Heft 2 67 hinsichtlich der Abgrenzung dieses Begriffs zwar nicht immer eindeutigen Rechtsprechung des BVerwG 6 und des BAG 7 gehören zu der Personalakte zunächst die Unterlagen und Vorgänge, die in einem unmittelbaren inneren Zusammenhang mit dem Beschäftigungsverhältnis des Mitarbeiters stehen. Für den öffentlichen Dienst findet sich diese Definition im Gesetz. So formuliert 50 S. 2 BeamtStG wie folgt: Zur Personalakte zählen alle Unterlagen, die die Beamtin oder den Beamten betreffen, soweit sie mit dem Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen (Personalaktendaten). Zu den in dem geforderten unmittelbaren Zusammenhang mit dem Beschäftigungsverhältnis stehenden Vorgängen gehören neben Personalunterlagen und dienstlichen Beurteilungen nicht nur solche Unterlagen, die den Inhalt des Dienstverhältnisses insgesamt oder einzelne aus ihm fließende Rechte und Pflichten bestimmen oder verändern, sondern auch solche Unterlagen, die die Art und Weise erhellen, in der die jeweilige Entscheidung vorbereitet worden ist, oder die Aufschluss über Gesichtspunkte oder Erwägungen geben, die für die einzelne Maßnahme oder dafür, dass sie unterblieben ist, maßgebend waren 8. Nicht zur Personalakte zählen Vorgänge, die einem Zweck dienen, der außerhalb des durch das Beschäftigungsverhältnis begründeten Rechts- und Pflichtenkreises liegt 9. Für die Privatwirtschaft wird in der Literatur der Personalaktenbegriff etwas weiter gefasst 10. Gleichwohl sind dies auch hier alle Daten, die das Arbeitsverhältnis angehen 11 bzw. damit in inneren Zusammenhang stehen. Maßgebend soll sein, ob die Daten Rückwirkungen auf die persönliche Rechtsstellung des Arbeitnehmers 12 bzw. potentielle Auswirkungen auf das Arbeitsverhältnis haben 13. Unabhängig von diesen Differenzierungen im Detail folgt aus dieser Eingrenzung des materiellen Personalaktenbegriffs bzw. des Begriffs der Personalaktendaten, dass ein Arbeitgeber/Dienstherr auch personenbezogene Daten seiner Mitarbeiter speichert, die nicht dem arbeits- und dienstrechtlichen Personaldatenschutz unterliegen. Dies ist z.b. dann der Fall, wenn es sich um Aufzeichnungen so genannter Betriebsdaten handelt, d.h. Daten die zunächst auf die Produktion und den Vertrieb gerichtet sind. Hauptakteure sind Lagerhaltung und Warenwirtschaft, die Produktionslogistik und das Controlling (der Mitarbeiter wird als Bear- 4 BT-Drs. 17/ Siehe die Beispielsliste bei Fitting, BetrVG 83 Rdn. 4; DKK/Buschmann, BetrVG 83 Rdn Vgl. BVerwGE 35, 255; 36, 134; 50, Vgl. BAG, ArbuR 1981, 124; RDV 1993, So BVerwG, RDV 1991, 251; ferner BVerwGE 15, 3, 12 ff.; 67, 300, BVerwG, DVBl. 1984, 53 = DÖV 1984, Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl., Rdn 105 ff. 11 Fitting, BetrVG 83 Rdn Buschmann in DKK, BetrVG 83 Rdn Däubler, Gläserne Belegschaften?, 5. Auflage Rdn. 535.

14 68 RDV 2011 Heft 2 beiter eines bestimmten Werkstückes oder Nutzer einer Maschine registriert oder als Bearbeiter eines Vorgangs). Personalaktenqualität fehlt also Vorgängen außerhalb des eigentlichen Beschäftigungsverhältnisses, die arbeits- oder dienstrechtliche Beziehungen zwar berühren, aber noch nicht in dem geforderten Zusammenhang mit dem Inhalt und dem Verlauf des Beschäftigungsverhältnisses stehen. Nicht zur Personalakte gehören daher auch personenbezogene Daten, die zunächst nur internen Personalplanungsüberlegungen dienen. Für den öffentlichen Dienst werden Beispiele von personenbezogenen Daten, die besonderen, von der Person und dem Dienstverhältnis sachlich zu trennenden, Zwecken dienen, z.b. in 106 Abs. 1 S. 5 BBG aufgezählt. 3. Die Trennung von Beschäftigten- und sonstigen personenbezogenen Mitarbeiterdaten So wie es im Personalaktenrecht der Fall ist, unterscheidet auch das BDSG zwei Arten von personenbezogenen Mitarbeiterdaten. Es nimmt die Daten von Bewerbern oder Mitarbeiten aus den Beschäftigtendatenschutzregelungen der 32 ff BDSG aus, deren Erhebung, Verarbeitung oder Nutzung nicht der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses dienen soll. Für diese personenbezogenen Daten gelten je nach der Art ihrer Verarbeitung die allgemeinen Regelungen des BDSG bzw. das im Arbeitsrecht entwickelte Datenschutzrecht 14. Maßgebend für die Anwendung der 32 ff E- BDSG ist die beabsichtigte Zweckbestimmung der Daten (vgl. 27 Abs. 3 E-BDSG). Zur Entscheidung, welche Normen des BDSG zur Anwendung kommen, ist zunächst diese Zweckbestimmung festzustellen. Erst wenn diese festgestellt ist, ist in einem zweiten Schritt die Zulässigkeit zu prüfen, nämlich ob die Verwendung der Daten für die beabsichtigte Zweckbestimmung erforderlich ist 15. Zu prüfen ist, ob die Daten zur benötigten Informationsgewinnung geeignet sind, nach dem ultima-ratio-prinzip keine zumutbare weniger einschneidende Maßnahme besteht und die Prinzipien der Verhältnismäßigkeit bzw. Angemessenheit gewahrt sind. Wenn also der Arbeitgeber im Zusammenhang mit einer Bewerbung die Bankdaten des Bewerbers erhebt, ist die Erhebung für die Zweckbestimmung Begründung des Beschäftigungsverhältnis nicht erforderlich, selbst wenn der Arbeitgeber aus der Bankverbindung Rückschlüsse über den Bewerber ziehen wollte. Benötigt er jedoch die Kontoangaben, um dem Bewerber unbar die Vorstellungskosten zu erstatten, ist mit der sich aus dem Anbahnungsverhältnis ergebenden Zweckbestimmung die Zulässigkeit nach 28 Abs. 1 S. 1 Nr. 1 BDSG gegeben. Käme der Arbeitgeber auf den Gedanken, die Kantinendaten des an Diabetes erkrankten Mitarbeiters daraufhin zu überprüfen, ob seine häufigen Fehlzeiten Gola, Von Personalakten- und Beschäftigtendaten auf falscher Ernährung beruhen, so soll die Information zur Durchführung bzw. einer Beendigung des Arbeitsverhältnisses verwendet werden. Erst nach Feststellung dieser Zweckbestimmung ist die Erforderlichkeit der Datenverarbeitung zu prüfen. Sie verlangt, dass die Informationen erhoben und verarbeitet werden müssen, weil die berechtigten Interessen des Arbeitgebers ansonsten nicht angemessen gewahrt werden können. Dabei ist der Informationswunsch des Arbeitgebers mit dem Anspruch des Arbeitnehmers auf Wahrung des Persönlichkeitsrechtsschutzes ( 75 Abs. 2 BetrVG) abzuwägen, wobei der Grundsatz der Verhältnismäßigkeit heranzuziehen ist. Dass im genannten Fall die Prüfung zu Gunsten des Arbeitnehmers ausfällt, ist eindeutig. Der Arbeitnehmer kann erwarten, dass die Kantinendaten nur für den nach 28 Abs. 1 S. 1 BDSG zulässigen Zweck der Abrechnung des Kantineneinkaufs verwendet werden. Insofern ist es fraglich, ob durch 32 BDSG tatsächlich nicht nur 28 Abs. 1 S. 1 sondern auch S.2 verdrängt wird 16, der dem Arbeitgeber vorgibt, die Zwecke, für die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. Der Arbeitgeber kann nämlich im Hinblick auf obige Differenzierung erst dann die Zulässigkeit einer Verarbeitung prüfen, wenn über deren Zwecke entschieden ist. 4. Der vermeintliche Zirkelschluss Die Frage ist damit, ob es nicht sinnvoll wäre bei der Definition des Begriffs der Beschäftigtendaten, so wie es im Personalaktenrecht der Fall ist, zwischen Beschäftigtendaten und sonstigen sog. beschäftigungsfremden 17 Zweckbestimmungen dienenden Daten zu unterscheiden. Diese Unterscheidung würde die im BDSG bestehenden unterschiedlichen Zulässigkeitsvoraussetzungen deutlich machen. Einen Zirkelschluss würde die Trennung jedenfalls nicht bedeuten. Bliebe es bei der von der Bundesregierung vorgelegten Definition, nach der alle personenbezogene Daten der unter den Begriff der Beschäftigten fallenden Betroffenen erfasst werden, gäbe die Definition nur insofern einen Sinn, indem deutlich gemacht wird, dass abweichend vom Sprachgebrauch u.a. auch Informationen über Bewerber oder ausgeschiedene Mitarbeiter zu den Beschäftigtendaten zählen. Andererseits trägt sie zur Verwirrung bei, indem Beschäftigtendaten auch solche Informationen sind, die für beschäftigungsfremde Zwecke verwendet werden. 14 Vgl. hierzu Gola/Jaspers, 32 BDSG eine abschließende Regelung?, RDV 2009, S Zum Begriff der Erforderlichkeit bei Gola/Jaspers, Fn So die Gesetzesbegründung, BT-Drs. 16/13657, S. 37, wonach die Zweckbestimmung bereits durch 32 Abs. 1 S. 1 BDSG vorgegeben sei; vgl. aber auch die berechtigte Kritik von Thüsing, NZA 2009, S Schmidt, Arbeitnehmerdatenschutz in 32 BDSG Eine Neuregelung (fast) ohne Änderung der Rechtslage, RDV 2009, S. 193; dazu aber auch bei Gola/Jaspers, Fn. 14.

15 Wagner, Novelle im Beschäftigtendatenschutz RDV 2011 Heft 2 69 RA Dr. Ralph Wagner LL.M., Dresden* Novelle im Beschäftigtendatenschutz offene Fragen zu Systematik und Anwendungsbereich kurz vor Zwölf Die geplante Novelle im Beschäftigtendatenschutz durchläuft momentan das Gesetzgebungsverfahren. Im Folgenden sollen nach kurzer Darstellung des bisherigen Verlaufs (I) Probleme angesprochen werden, die bisher kaum oder nicht diskutiert wurden, namentlich Fragen der Gesetzessystematik (II) und des Anwendungsbereichs (III). I. Historie Ausgelöst wurden die gesetzgeberischen Aktivitäten 2009 durch Datenschutzskandale bei mehreren großen Unternehmen (Airbus, Bahn, Lidl, Telekom etc.). Obwohl in sämtlichen Fällen das damals geltende Datenschutzrecht eingriff und die Verstöße sanktionierte, führten die Vorfälle zur Neuregelung 1 des Beschäftigtendatenschutzes. Zunächst wurde per BDSG 2 über die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses in das Gesetz eingefügt. Beabsichtigt war, anschließend ein Arbeitnehmerdatenschutzgesetz zu erarbeiten. Das Bundesministerium für Arbeit und Soziales stellte gegen Ende der 16. Legislaturperiode einen Referentenentwurf der Öffentlichkeit zugänglich. Die SPD-Fraktion legte diesen Entwurf nach den Wahlen zum 17. Deutschen Bundestag dann mit geringen Änderungen am im Parlament vor 3. In der Debatte, ob die Materie durch eigenes Gesetz oder innerhalb des BDSG geregelt werden sollte, setzten sich letztlich die Befürworter der Integration des Beschäftigtendatenschutzes in den allgemeinen Datenschutz durch. Seit März 2010 fertigte das Bundesinnenministerium insgesamt drei Referentenentwürfe 4, zu denen sich zahlreiche Interessengruppen äußerten 5. Die politische und fachliche 6 Diskussion verlief rege, betraf zahlreiche Grundsatzfragen, aber auch Details der Entwürfe. Am beschloss das Bundeskabinett den vom Bundesinnenminister vorgelegten Gesetzentwurf; am wurde er dem Bundesrat zugeleitet. Dieser hat mit Beschluss vom entgegen vorherigen Erwartungen nur für Randbereiche des Entwurfs Modifikationen angeregt, ihn damit im Wesentlichen bestätigt. II. Gesetzessystematik Bei Einfügung der provisorischen Regelung des 32 BDSG im Jahr 2009 wurde eine (2001 entstandene) Leerstelle im dritten Abschnitt des BDSG (Datenverarbeitung nicht-öffentlicher Stellen und öffentlichrechtlicher Wettbewerbsunternehmen) genutzt. Die (vom Gesetzgeber ausdrücklich gewünschte) Geltung auch für den zweiten Abschnitt des BDSG ( Datenverarbeitung der öffentlichen Stellen ) wurde durch Verweis in 12 Abs. 4 sichergestellt. Dieses unsystematische und unnötig komplizierte Provisorium soll nun offenbar perpetuiert werden: Der Beschäftigtendatenschutz wird im Regierungsentwurf weder in den ersten Abschnitt des BDSG (allgemeine und gemeinsame Bestimmungen), noch in einen eigenen (zweiten oder vierten) Abschnitt eingestellt, sondern soll als versteckter zweiter Unterabschnitt des dritten Abschnitts (zwischen den Rechtsgrundlagen der Datenverarbeitung und den Rechten des Betroffenen im nicht-öffentlichen Bereich) geregelt werden. Im Koalitionsvertrag 8 und dem Eckpunktepapier des Bundesinnenministeriums vom war noch von der Regelung in einem eigenen Kapitel des Bundesdatenschutzgesetzes (das nicht über Kapitel verfügt) gesprochen worden. Sachliche Gründe für diese systemwidrige Einordnung gibt es nicht. Sie ist nur historisch (aus einem Provisorium, dass die endgültige Regelung des Beschäftigtendatenschutzes noch einem eigenen Gesetz überlassen wollte) erklärbar. Die Versteck- und Verweisungslösung läuft dem zwingend gebotenen und immer wieder auch politisch geäußerten Ziel * Der Autor ist Rechtsanwalt und Datenschutzbeauftragter in Dresden. 1 Natürlich war der Beschäftigtendatenschutz auch zuvor (als Teil des allgemeinen Datenschutzes) geregelt, so wie dies auf den Datenschutz anderer Personengruppen (z.b. Kunden, Verbraucher) weiterhin zutrifft. 2 BGBl I, 2814; vgl. zur Historie dieser Norm Schmidt RDV 2009, 193 und Bergmann/Möhrle/Herb 32 BDSG Rn BT-Drs. 17/69. 4 Vom , und Die Äußerungen z.b. von Arbeitgeber- und Arbeitnehmerseite, Datenschutzgruppen, Unternehmensverbänden, Richterschaft und Anwaltschaft sind großteils (nur) bei den jeweiligen Internetauftritten zugänglich und mit den Suchworten Beschäftigtendatenschutz Stellungnahme leicht auffindbar. 6 Ausführlicher Überblick zum Regierungsentwurf bei Forst NZA 2010, 1043; daneben z.b. Tinnefeld/Petri/Brink MMR 2010, 727; weiter (zu früheren Entwurfsfassungen, je m.w.n.) u.a. Franzen RdA 2010, 257; Thüsing RDV 2010, 147 und Raif ArbRAktuell 2010, BR-Drs. 535/10. 8 Koalitionsvertrag CDU/CSU und FDP für die 17. Legislaturperiode, S Abrufbar unter DE/2010/04/eckpunkte_an_ds.html, dort S. 1 Mitte.

16 70 RDV 2011 Heft 2 Wagner, Novelle im Beschäftigtendatenschutz übersichtlicher, transparenter und einfach anzuwendender Regelungen im Datenschutz genau entgegen. III. Anwendungsbereich Der Bundesgesetzgeber hat wie immer man sonst seine Gesetzgebungskompetenzen im Datenschutz beurteilen mag 10 nach Art. 74 Abs. 1 Ziff. 12 GG (Arbeitsrecht) jedenfalls im Beschäftigtendatenschutz die Befugnis, bundeseinheitliche Regelungen zu schaffen. Damit wäre es möglich, den Beschäftigtendatenschutz auch für die öffentlichen Stellen der Länder bundeseinheitlich zu regeln. Der SPD-Entwurf eines Beschäftigtendatenschutzgesetzes ging von bundeseinheitlicher Anwendung, erstreckt auch auf die öffentlichen Stellen der Länder, implizit aus. Ohne dass die Frage in der Begründung gesondert behandelt wurde, ergab sich der Wille zur Ingebrauchnahme der Kompetenzen aus Art. 74 Abs. 1 Ziff. 12 GG, aus dem Fehlen einschränkender ( 1 Abs. 2 und 12 BDSG vergleichbarer) Bestimmungen sowie z.b. aus 29 Abs. 2 des Entwurfs, der Mitbestimmungsverfahren auch mit Blick auf personalvertretungsrechtliche Vorschriften der Länder regelte 11. Bei Einfügung der 32 und 12 Abs. 4 BDSG 2009 wurde damals gesehener weiterer Handlungsbedarf zur Schaffung eines eigenständigen, für alle Beschäftigten geltenden Arbeitnehmerschutzgesetzes gerade mit dem Willen zur Rechtsvereinheitlichung begründet 12, dies natürlich zu Unrecht: Auch mit einer (jetzt geplanten) Regelung des Beschäftigtendatenschutzes im BDSG können die Kompetenzen aus Art. 74 Abs. 1 Ziff. 12 GG beansprucht werden. In Länderhoheit verbliebe dann noch die Datenschutzregelung für Landesund Kommunalbeamte. Zur Vereinheitlichung auch insoweit stünde Art. 74 Abs. 1 Ziff. 27 GG zur Verfügung. Rechtstechnisch wäre ein Verweis aus dem Beamtenstatusgesetz auf das BDSG denkbar. Die Bundesregierung verweist im aktuellen Entwurf für ihre Gesetzgebungskompetenz zwar (neben dem Recht der Wirtschaft) auch auf das Arbeitsrecht, behandelt dann aber ausschließlich Beispiele der Privatwirtschaft 13. Der Bundesrat betont in seinem Beschluss vom , dass die geplanten Neuregelungen nicht für Bedienstete von Ländern und Kommunen gelten 14. Diesen Befund leitet er aus einer Normenkette ab, die schon für sich genommen zeigt, dass Rechtszersplitterung im Beschäftigtendatenschutz die Gesetzesanwendung erschwert: Die Geltungsausnahme zugunsten der Länder und Kommunen ergebe sich nach 1 Abs. 2 Nr. 2, 12 Abs. 2 Nr. 1 und 2 sowie 27 Abs. 1 Satz 1 Nr. 2 a und b des Bundesdatenschutzgesetzes sowie auch daraus, dass die Beschäftigung von Mitarbeitern im öffentlichen Dienst nicht im Sinne von 1 Abs. 2 Nr. 2 a und 12 Abs. 2 Nr. 1 BDSG die Ausführung von Bundesrecht im Sinne der Art. 83 ff. des Grundgesetzes darstellt 15. Transparente und anwendungsfreundliche Normen sehen anders aus 16. Worin der Nutzen eines Fortbestands der existierenden Rechtszersplitterung 17 liegen könnte, wird um so unklarer, wenn der Bundesrat selbst die Notwendigkeit sieht, auf Landesebene die Landesdatenschutzund Landesbeamtengesetze, auch im Interesse der Rechtseinheitlichkeit, zu überprüfen und mit Blick auf die bundesrechtlichen Regelungen des Beschäftigtendatenschutzes fortzuentwickeln 18. Fazit Die systemwidrige Einordnung der Neuregelungen zum Beschäftigtendatenschutz und die Geltungsausnahmen für öffentliche Stellen der Länder und Kommunen schaffen unnötige Anwendungs-Barrieren. Man kann gegen einheitliche Regelungen vorbringen, dass sie Datenschutz auf das niedrigste der beteiligten Niveaus absenken 19. Außerdem ist für Ungleichbehandlung öffentlicher und nicht-öffentlicher Stellen beim Beschäftigtendatenschutz (im Sinne höherer Anforderungen an die öffentlichen Stellen) der häufig vergessene Aspekt anzuführen, dass die nicht-öffentliche Stelle ihrerseits (anders als die öffentliche Stelle) Träger von Grundrechten ist und die Einschränkung der Datenverwendung durch nicht-öffentliche Stellen einer Rechtfertigung bedarf. (Gerade im Arbeitsrecht mit den prägenden Abhängigkeiten des Arbeitnehmers lässt sich aber wohl am überzeugendsten begründen, dass nicht-öffentliche Stellen gleich hohen Anforde- 10 Dazu Taeger/Gabel/Taeger/Schmidt 1 BDSG Rn. 5-7 und Simitis 1 BDSG Rn. 1 ff. 11 BT-Drs. 17/69, S. 11 und passim. 12 BT-Drs. 16/13657, S Begründung des Regierungsentwurfs A II S. 1 f. 14 BR-Drs. 535/10, S. 4 oben. 15 BR-Drs. 535/10, S Symptomatisch bereits die Verweisungsnorm in 27 Abs. 3 BDSG (Regierungsentwurf) auf den Beschäftigtendatenschutz: Für das Erheben, Verarbeiten und Nutzen von Beschäftigtendaten durch den Arbeitgeber für Zwecke eines früheren, bestehenden oder zukünftigen Beschäftigungsverhältnisses gelten die Vorschriften des zweiten, dritten und vierten Unterabschnitts. Satz 1 gilt auch, wenn Beschäftigtendaten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nichtautomatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. 27 Abs. 3 Satz 2 BDSG (Entwurf) regelt Fragen des Geltungsbereichs. Klarer, kürzer und einfacher könnte man dies bei 1 Abs. 2 BDSG abhandeln. 17 Instruktiv: Bergmann/Möhrle/Herb 12 BDSG Rn und Gola/Schomerus 32 BDSG Rn. 4-6 für 32 in der Fassung 2009; Liste der landesrechtlichen Sonderregelungen bei Gola/Schomerus 12 BDSG Rn BR-Drs. 535/10, S. 4 oben; ähnlich S. 2 unter b) a.e. 19 In diese Richtung Simitis/Dammann 12 BDSG Rn. 22.

17 Kühling / Klar, Datenschutz bei Mehrwertdiensten RDV 2011 Heft 2 71 rungen unterworfen werden wie öffentliche Stellen.) Wenn man die Gleichbehandlung der Privatwirtschaft und der Bundesbehörden im Beschäftigtendatenschutz mit dem Ruf nach klaren, einheitlichen Gesetzen begründet, ist die Sonderbehandlung des Beschäftigtendatenschutzes in Landes- und Kommunalbehörden nicht erklärbar. Für das Spezialgebiet des Beschäftigtendatenschutzes erfüllt der Regierungsentwurf Tagesforderungen. Grundsätzliche Klärungen werden demgegenüber selbst dann gemieden, wenn sie wie die oben behandelten Punkte starken Bezug zum Spezialthema besitzen. Nachdem das Gesetzgebungstempo im Datenschutzrecht sich zuletzt steuerrechtlichen Dimensionen näherte, ist zu hoffen, dass nächste Änderungen mit mehr Ruhe und Reife erfolgen. Das Positionspapier der Europäischen Kommission für ein neues Datenschutzrecht könnte wird die tagespolitische Vereinnahmung nicht erneut übermächtig solche prinzipiellen Überlegungen anregen. Bis auf diesen Zeitpunkt muss wohl auch der Wunsch nach einem in Systematik und Anwendungsbereich stimmigen Beschäftigtendatenschutz vertagt werden. Prof. Dr. Jürgen Kühling, LL.M./ Manuel Klar, Regensburg* Datenschutz bei Mehrwertdiensten Abgrenzungsschwierigkeiten am Beispiel des Handyparkens Immer mehr Kommunen gehen dazu über, im Rahmen ihrer Parkraumbewirtschaftung das Abrechnen der Parkgebühren auch über das Handy zu ermöglichen. Der Gesetzgeber hatte reagiert, indem er in 13 Abs. 3 StVO zunächst eine entsprechende Probeklausel aufgenommen und zwischenzeitlich entfristet hat. Die Frage der datenschutzrechtlichen Zulässigkeit entsprechender Angebote wirft schwierige Fragen schon im Rahmen der Abgrenzung des bereichsspezifischen vom allgemeinen Datenschutz auf und zeigt einmal mehr die Probleme bei der datenschutzrechtlichen Einordnung und Bewertung neuerer telekommunikationsgestützter Angebote auf. I. Die Funktionsweise des Handyparkens und datenschutzrechtliche Implikationen Unter Handyparken versteht man ein System, das die bargeldlose Entrichtung der Parkgebühren mittels des Mobiltelefons mit oder ohne vorherige Registrierung des Parkraumnutzers an den Parkraumbewirtschafter und die Überwachung der gekauften Parkzeit durch diesen ermöglicht. Regelmäßig ist zwischen Parkraumnutzer und Parkraumkontrolleur ein privates Serviceunternehmen eingeschaltet, das die technische Seite des Abwicklungsvorgangs übernimmt. Verfahrenstechnisch wird zur Erlangung des Parktickets durch den Parkkunden über dessen Mobilfunktelefon an die auf der Parkbeschilderung angegebene Nummer eine SMS gesendet oder ein Anruf getätigt. Der Ticketpreis wird beim Modell, das einer vorherigen Anmeldung bedarf, über eine separate Rechnung, andernfalls über die Telefonrechnung beglichen. Die Parkraumkontrolle erfolgt wie herkömmlich durch den örtlichen Parkraumbewirtschafter, also in der Regel durch Mitarbeiter des Ordnungsamtes über ein mobil zugreifbares Webportal, das eine Übersicht über die Transaktionen zur Verfügung stellt. Damit werden in vielfältiger Weise Daten erfasst und verarbeitet, die beim herkömmlichen prinzipiell anonymen Parken nicht erforderlich sind. Das Handyparken ist damit einer der zahlreichen neuen Anwendungsfälle des allgegenwärtigen Rechnens 1. In der Folge stellen sich schwierige datenschutzrechtliche Fragen schon bei der Identifikation der einschlägigen Vorschriften (II.) und anschließend bei der Bewertung der Zulässigkeit (dazu III.), wobei einige Besonderheiten bei den Systemen, die nicht ohne Registrierung betrieben werden, zu beachten sind (IV.). * Prof. Dr. Jürgen Kühling, LL.M., ist Inhaber des Lehrstuhls für Öffentliches Recht, Immobilienrecht, Infrastrukturrecht und Informationsrecht an der Universität Regensburg, Manuel Klar ist dort Doktorand und wissenschaftlicher Mitarbeiter. 1 Vgl. dazu grundlegend Roßnagel/Müller CR 2004, 625 ff., ferner Kühling, Datenschutz in einer künftigen Welt allgegenwärtiger Datenverarbeitung Aufgabe des Rechts?, Die Verwaltung, Bd. 40 (2007), 153 ff.

18 72 RDV 2011 Heft 2 II. Datenschutzrechtliche Einordnung: TMG, TKG, BDSG 1. Abgrenzung allgemeiner Datenschutz vom bereichsspezifischen Datenschutz Die Zulässigkeit der angebotenen Dienste könnte nach allgemeinen Datenschutzvorschriften, also dem Bundesdatenschutzgesetz (BDSG) und den Landesdatenschutzgesetzen (LDSGen) oder aber nach bereichsspezifischen Datenschutzregelungen des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) oder des Rundfunkstaatsvertrages (RStV) zu beurteilen sein. Hierfür ist eine Qualifikation des Dienstes erforderlich, in dessen Rahmen eine Abgrenzung von Rundfunk, Telemediendiensten, Telekommunikationsdiensten (TK-Diensten) und telekommunikationsgestützten Diensten (TK-gestützten Diensten) vorzunehmen ist. Grundsätzliche und vorliegend auch zutreffende 2 Voraussetzung ist insoweit, dass bei der Bereitstellung des Dienstes personenbezogene Daten verarbeitet werden. a) Bereichsspezifischer Datenschutz nach dem TMG und TKG aa) 11 ff. TMG In Betracht kommen dabei zunächst die speziellen Datenschutznormen der 11 ff. TMG. Dann müsste es sich bei der angebotenen Dienstleistung um einen Telemediendienst handeln. Nach der Negativabgrenzung des 1 Abs. 1 S. 1 TMG ist hierfür Voraussetzung, dass in der angebotenen Dienstleistung ein elektronischer Informations- und Kommunikationsdienst zu sehen ist, der keinen reinen TK-Dienst, TK-gestützten Dienst oder Rundfunk darstellt. Ein elektronischer Informations- und Kommunikationsdienst ist dabei ein Dienst, der die erforderlichen Inhalte elektronisch bereitstellt 3. Ob eine solche Inhaltebereitstellung hier vorliegt, kann jedoch dahinstehen, wenn bereits die Negativkriterien des 1 Abs. 1 S. 1 TMG die Anwendbarkeit des TMG ausschließen. (1) Rundfunk Nach 2 Abs. 1 S. 1 RStV ist Rundfunk ein linearer Informations- und Kommunikationsdienst; er ist die für die Allgemeinheit und zum zeitgleichen Empfang bestimmte Veranstaltung und Verbreitung von Angeboten in Bewegtbild oder Ton entlang eines Sendeplans unter Benutzung elektromagnetischer Schwingungen. Das Vorliegen von Rundfunk scheidet aber aus, da keine vorgefertigten Inhalte zum zeitgleichen Abruf gegenüber der Allgemeinheit erbracht werden, sondern eine Individualkommunikation angeboten wird. In Betracht kommt daher nur noch ein TK-Dienst oder ein TK-gestützter Dienst. Kühling / Klar, Datenschutz bei Mehrwertdiensten (2) TK-Dienst Ein TK-Dienst ist nach 3 Nr. 24 TKG ein in der Regel gegen Entgelt erbrachter Dienst, der ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteht, einschließlich Übertragungsdienste in Rundfunknetze. Das TMG hingegen differenziert insoweit: Nach 1 TMG werden nur solche Dienste vom Anwendungsbereich des TMG ausgenommen, die ganz in der Übertragung von Signalen bestehen. Für Dienste hingegen, die nur überwiegend in der Übertragung von Signalen bestehen, ist das TMG nach 11 Abs. 3 TMG eingeschränkt anwendbar. Beim Handyparken, das die Bezahlung der Parkgebühr auf unkörperlichem Wege abwickelt, steht schwerpunktmäßig nicht die Übertragung von Signalen über eine eigenständig angebotene Infrastruktur im Vordergrund, sondern eine Inhaltsleistung in der Form, dass die Parkgebühr reserviert wird. Ein ganz in der Signalübertragung bestehender Dienst liegt somit nicht vor, so dass das TMG anwendbar wäre, wenn auch die übrigen Ausschlusskriterien zuträfen. (3) TK-gestützter Dienst In Betracht kommt eine Qualifizierung als TK-gestützter Dienst 4, der nach 3 Nr. 25 TKG keinen räumlich und zeitlich trennbaren Leistungsfluss auslöst, sondern bei dem die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird. Dass dieser nicht mit einem Dienst gleichzusetzen ist, der überwiegend in der Signalübertragung besteht, ergibt sich aus dem Zusammenspiel der Negativdefinition von Telemedien in 1 Abs. 1 TMG und 11 Abs. 3 TMG. TK-gestützte Dienste sind somit Dienste, die auf einem TK-Dienst aufbauend eine Inhaltsleistung erbringen. Dies ist beispielsweise bei Auskunftsdiensten i.s.v. 3 Nr. 2a TKG, Premium-Diensten i.s.v. 3 Nr. 17a TKG, Kurzwahldiensten i.s.v. 3 Nr. 11b TKG, neuartigen Diensten i.s.v. 3 Nr. 12a TKG oder entgeltfreien Diensten i.s.v. 3 Nr. 8a TKG der Fall. Ein TK-gestützter Dienst ist terminologisch betrachtet ein Oberbegriff für die eben genannten Dienste 5 und steht dabei gerade zwischen der reinen Übermittlung von Inhalten (TMG) und der bloßen Signalübertragung (TKG) 6. Gleichwohl ist er kein Dienst, der überwiegend in der Signalübertragung besteht. Im Übrigen 2 Siehe unter III. 1. a). 3 Schmitz, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 2008, 1 TMG Rn Teilweise wird auch als Synonym der Begriff Mehrwertdienst gebraucht, hierzu Held, in: Hahn/Vesting (Hrsg.), Kommentar zum Rundfunkrecht, 2. Aufl. 2008, 54 RStV Rn. 33. Der Begriff des TKgestützten Dienstes ist aber wohl weiter, vgl. Dietscheid/Rudloff, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 2008, 45 TKG Rn Säcker, in: Säcker (Hrsg.), Kommentar zum TKG, 2. Aufl. 2009, 3 Rn Kühling/Elbracht, Telekommunikationsrecht, 2008, S. 43.

19 Kühling / Klar, Datenschutz bei Mehrwertdiensten RDV 2011 Heft 2 73 existiert auch hier wie regelmäßig keine praktikable und für den Nutzer 7 erkennbare Trennung von Übertragungs- und Inhaltsleistung, sodass es sinnvoller erscheint, insgesamt einen TK-gestützten Dienst anzunehmen 8. Wird der angebotene Dienst über eine Rufnummer zugänglich gemacht, und neben der Telekommunikationsdienstleistung eine weitere Dienstleistung 9 hier in Form der Begleichung der Parkgebühr erbracht, liegt ein Kurzwahldienst nach 3 Nr. 11b TKG vor, der eine Unterform eines TK-gestützten Dienstes darstellt. Da die Serviceleistung somit als TK-gestützter Dienst zu qualifizieren ist, ist sie dem Anwendungsbereich des TMG entzogen, 1 Abs. 1 TMG. bb) 91 ff. TKG Sodann stellt sich die Frage, ob die sektorspezifischen Datenschutzvorschriften der 91 ff. TKG Anwendung finden, weil beim Handyparken geschäftsmäßig Telekommunikationsdienste erbracht werden oder an deren Erbringung mitgewirkt wird. Da das Vorliegen eines TK-Dienstes bereits verneint wurde, kann das Merkmal der geschäftsmäßigen Erbringung von Telekommunikationsdiensten nur dann erfüllt sein, wenn der angebotene TK-gestützte Dienst eine Teilmenge von einem TK-Dienst darstellen würde. (1) Geschäftsmäßiges Erbringen von TK-Diensten Ein geschäftsmäßiges Erbringen von TK-Diensten liegt nach 3 Nr. 10 TKG vor, wenn nachhaltig Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht angeboten wird. TK-Dienste werden wie oben dargestellt 10 nach 3 Nr. 24 TKG definiert als in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Teilweise wird angenommen, TK-gestützte Dienste seien eine Teilmenge 11 von TK-Diensten bzw. würden zwangsläufig unter die 91 ff. TKG fallen 12. Folgende Zusammenschau der TMG- und TKG-Normen zeigt jedoch, dass dies nicht zutreffend sein kann: So spricht bereits der Wortlaut telekommunikationsgestützter Dienst dafür, dass lediglich eine Inhaltsleistung über eine vorhandene Infrastruktur eines TK-Dienstes transportiert wird, die selbst aber kein TK-Dienst sein soll. Weiter deutet in systematischer Hinsicht die differenzierende Nennung beider Begriffe in 1 Abs. 1 TMG auf ein Exklusivverhältnis hin. Auch die separate Aufführung der Begriffe TK-Dienst und TK-gestützter Dienst in den 18 Abs. 2, 21 Abs. 2 Nr. 7 a) S. 1 und 42 Abs. 1 TKG wäre überflüssig, wenn letzterer ohnehin im ersteren enthalten wäre 13. Darüber hinaus knüpft keine datenschutzrechtliche Bestimmung explizit an TK-gestützte Dienste an 14. Lediglich die Kundenschutzvorschriften der 43a ff. TKG treffen Regelungen zu Kurzwahldiensten, die einen Unterfall der TK-gestützten Dienste darstellen 15 und nach 45l TKG zusätzlich zu TK-Diensten erbracht werden. Eine Subsumtion unter die übrigen Vorschriften, die von TK-Diensten sprechen, ist somit schwer zu rechtfertigen. Auch der Wille des Gesetzgebers scheint diesen Weg vorzuzeichnen. Denn Ziel der partiellen Aufnahme contentbasierter Anbieter in die genannten Normen des TKG sollte nicht eine Gleichstellung zu Signalübertragungsdiensten in jeglicher Hinsicht sein, sondern nur hinsichtlich der Zugangssicherung zum regulierten Netzbereich 16. Dieser Befund wird durch teleologische Erwägungen gestützt. So lässt sich argumentieren, dass der Sinn und Zweck der 91 ff. TKG es gebieten, im Vergleich zu den Vorschriften des BDSG bzw. der LDSGe einen schärferen Rahmen aufzustellen, der dem Schutz des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG Rechnung trägt. Fernmeldedaten sind dabei solche Daten, die einen Kommunikationsvorgang bestimmbar und individualisierbar machen, und erstrecken sich nicht nur auf den Kommunikationsinhalt, sondern auch auf die -umstände 17, woraus sich gerade die besondere Schutzbedürftigkeit dieser Daten ergibt. Zwar ist auch eine SMS vom Fernmeldegeheimnis geschützt 18. Aus der bloßen Mitteilung von Mobilfunknummer und Kfz-Kennzeichen ergibt sich aber wie regelmäßig im Rahmen von Mehrwertdiensten keine besondere Gefahr für das Fernmeldegeheimnis. Denn der Diensteanbieter ist gerade nicht wie das Mobilfunkunternehmen Mittler eines Kommunikationsvorganges, sondern Empfänger einer individuellen Anfrage durch den Parkinteressenten. Auf die der Abrechnung zu Grunde liegenden Daten sowie auf die Bestands- und übrigen Verkehrsdaten des Parkenden besteht keine Zugriffs- 7 Auf diesen stellt die aktuelle Rechtsprechung ab, vgl. die Nachweise bei Heun, in: Heun (Hrsg.), Handbuch Telekommunikationsrecht, 2. Aufl. 2007, S. 24 f. 8 Hier zu einer schwerpunktmäßigen Betrachtung tendierend Härting, Recht der Mehrwertdienste, 2004, S. 11. Aber auch bei einer solchen schwerpunktmäßigen Betrachtung kann nicht davon ausgegangen werden, dass bei Serviceunternehmen die Signalübertragung die Inhaltsleistung überwiegt. 9 Vgl. hierzu Fetzer, in: Arndt/Fetzer/Scherer (Hrsg.), Kommentar zum TKG, 2008, 3 Rn Siehe unter II. 1. a) aa) (2). 11 Schütz, in: Geppert/Piepenbrock/Schütz/Schuster (Hrsg.), Kommentar zum TKG, 3. Aufl. 2006, 6 Rn. 26 und 29 ff.; so im Ergebnis wohl auch Schiedermair, in: Dörr/Kreile/Cole (Hrsg.), Handbuch Medienrecht, 2008, S. 293 f. 12 Vgl. Klesczewski, in: Säcker (Hrsg.), Kommentar zum TKG, 2. Aufl. 2009, 91 Rn. 18, allerdings ohne dies näher zu begründen. 13 So auch Heun, in: Heun (Hrsg.), Handbuch Telekommunikationsrecht, 2. Aufl. 2007, S Hierzu auch Eckhardt, in: Heun (Hrsg.), Handbuch Telekommunikationsrecht, 2. Aufl. 2007, S Siehe oben unter II. 1. a) aa) (3). 16 BT-Drs. 15/2316, S. 109 f. 17 BVerfG, Urt. v BvR 2099/04, MMR 2006, 217 (219). 18 Meister/Laun, in: Wissmann (Hrsg.), Telekommunikationsrecht, 2. Aufl. 2006, S. 777.

20 74 RDV 2011 Heft 2 möglichkeit. Hier ist die Situation also nicht anders als bei jedem per Telefonie abgewickelten Diensteangebot, bei dem der Empfänger die Rufnummer des Anrufenden angezeigt bekommt. Die besseren Gründe sprechen also dafür, TK-gestützte Dienste nicht als Unterfall von TK-Diensten zu behandeln 19. Ein für die Anwendbarkeit der 91 ff. TKG erforderlicher TK-Dienst liegt somit nicht vor. (2) Mitwirken an der Erbringung Unter die Mitwirkung bei der Erbringung von TK- Diensten durch die Mobilfunkunternehmen i.s.d. 91 Abs. 1 TKG fallen alle Mitarbeiter, Angestellte und sonstigen Personen, die in den Geschäftsablauf eingeschaltet sind 20 und eine Einwirkungsmöglichkeit auf den Schutz des Fernmeldegeheimnisses haben 21. Das Serviceunternehmen müsste also eine untergeordnete Helferfunktion im Bezug auf die von den Mobilfunkunternehmen angebotenen TK-Dienste erfüllen. Beim Handyparken erbringt das Serviceunternehmen jedoch keine Teilaufgabe, die für die Mobilfunkunternehmen unabdingbar wäre. Vielmehr bietet es einen eigenen autonomen Dienst neben den von den Mobilfunkunternehmen angebotenen Dienstleistungen an und hat keinen Zugriff auf spezifische Kommunikationsdaten 22. Ein Mitwirken könnte daher allenfalls im umgekehrten Verhältnis Mobilfunkanbieter Serviceunternehmen zu sehen sein, nicht aber im vorliegenden. Somit wirkt das Serviceunternehmen auch nicht an der Erbringung von TK-Diensten mit. b) Zwischenergebnis Der vom Unternehmen angebotene Service stellt zwar einen TK-gestützten Dienst, aber keinen TK-Dienst dar. Die bereichsspezifischen Datenschutzvorschriften des TMG sowie des TKG sind somit nicht einschlägig. Folglich richtet sich die Zulässigkeit der Datenverarbeitung nach den allgemeinen Datenschutznormen des BDSG bzw. der LDSGe. Kühling / Klar, Datenschutz bei Mehrwertdiensten Parkraumbewirtschafter, also in der Regel der Kommune, und dem Serviceunternehmen vorliegt. Denn dann ist der Parkraumbewirtschafter alleinige verantwortliche Stelle i.s.d. Datenschutzrechts und folglich die LDSGe, also etwa das Bayerische Datenschutzgesetz (BayDSG), anwendbar 23, da der Parkraumbewirtschafter eine öffentliche Stelle des Landes darstellt. Dies ist immer dann der Fall, wenn der Parkraumbewirtschafter als öffentliche Stelle des Landes gemäß der einschlägigen LDSGe personenbezogene Daten durch andere Personen oder Stellen im Rahmen eines Auftragsverhältnisses verarbeiten lässt 24, so dass das Serviceunternehmen als Auftragnehmerin und der Parkraumbewirtschafter als Auftraggeber datenschutzrechtlich eine Einheit bilden 25. Durch eine solche Konstruktion soll verhindert werden, dass durch die Auslagerung der Datenverarbeitung das Datenschutzniveau eingeschränkt wird. Erforderlich hierzu ist, dass der Parkraumbewirtschafter als Auftraggeber Herr der Daten und das Serviceunternehmen als Auftragnehmer völlig weisungsabhängig ist, so dass letzteres einem bloßen Werkzeug des Auftraggebers gleichkommt 26. Ausreichend ist hierbei bereits, dass einzelne Verarbeitungsphasen ausgelagert werden. aa) Abgrenzung zur Funktionsübertragung Eine Auftragsdatenverarbeitung ist allerdings immer dann abzulehnen, wenn eine Funktionsübertragung vorliegt, also das Serviceunternehmen nicht nur eine Hilfsfunktion wahrnimmt, sondern die eigentliche Aufgabe als solche unter Abgabe der Entscheidungsbefugnis übertragen wird 27. Kriterium ist auch, ob das Serviceunternehmen eigene Geschäftszwecke erfüllt und über die technische Durchführung hinaus eigene materielle vertragliche Leistungen mit den verarbeiteten Daten erbringt. Die öffentliche Aufgabe des Parkraumbewirtschafters besteht darin, im Rahmen 2. Abgrenzung des BDSG zu den LDSGen a) Das Serviceunternehmen als nicht-öffentliche Stelle Die 1 ff. des BDSG sind anwendbar, wenn das Serviceunternehmen eine nicht-öffentliche Stelle im Sinne des 1 Abs. 2 Nr. 3 BDSG, also eine natürliche oder juristische Person, Gesellschaft oder andere Personenvereinigung des Privatrechts darstellt, 2 Abs. 4 S. 1 BDSG. Diese Voraussetzung wird in den allermeisten Fällen als erfüllt anzusehen sein, so dass das BDSG anwendbar wäre. b) Auftragsdatenverarbeitung Anders ist dies jedoch zu beurteilen, wenn eine Auftragsdatenverarbeitung zwischen dem jeweiligen 19 So im Ergebnis auch Raitz/Masch, Mehrwertdienst und Datenschutz, RDV 2008, 150 (152) zu Gewinnspielen mittels Mehrwertnummern; Dietscheid/Rudloff, in: Spindler/Schuster (Hrsg.), Recht der Elektronischen Medien, 2008, Vorbem. zu 66 TKG Rn. 3; Rechtsprechung zu diesem Themenkomplex ist, soweit ersichtlich, (noch) nicht vorhanden. 20 Fetzer, in: Arndt/Fetzer/Scherer (Hrsg.), Kommentar zum TKG, 2008, 91 Rn Eckhardt, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 2008, 88 TKG Rn Vgl. II. 1. a) bb) (1). 23 Im Folgenden findet eine Prüfung der LDSGe exemplarisch am BayDSG statt. Abweichungen zu den übrigen vergleichbaren LDSGen sind, soweit ersichtlich, nur marginal. 24 Vgl. etwa Art. 2 Abs. 1 BayDSG. 25 Walz, in: Simitis (Hrsg.), Kommentar zum BDSG, 6. Aufl. 2006, 11 Rn Ohst, in: Wandtke (Hrsg.), Medienrecht, 2008, S Vgl. Bergmann/Möhrle/Herb, Kommentar zum BDSG, 40. Elfg. 2009, 11 Rn. 10 ff.; vgl. hierzu auch Gabel, in: Taeger/Gabel (Hrsg.), Kommentar zum BDSG, 2010, 11 Rn. 11 ff.