28. Jahrgang Dezember 2012 Seiten Aus der Europäischen Union Aus dem Bundestag Aus dem Bundesrat Aus den Ländern

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 28. Jahrgang Dezember 2012 Seiten Aufsätze Kurzbeiträge Rechtsprechung Aus dem Inhalt Berichte, Informationen, Sonstiges HOEREN, EU-Standardvertragsklauseln, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau WRONKA, Berechtigte Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers? HRACH/NÖBEL/RICHTHOF/ALT, Datenschutz im Call Center: Aufzeichnung und Verwendung personen bezogener Daten GOLA, Aus den Berichten der Aufsichtsbehörden (4) NEUHÖFER, Die Weitergabe von Mitgliederdaten im Verein Zugleich Besprechung von LG Köln, Urt. v O 142/11 SCHMÖLZ, Die DIVSI-Milieu-Studie zu Vertrauen und Sicherheit im Internet: Sicherheit und Datenschutz nicht nur eine Frage des richtigen Häkchens BGH, Haftung des Betreibers eines Internetportals für Persönlichkeitsrechtsverletzungen bei Verbreitung von Nachrichten anderer Medien BAG, Zugang des Betriebsrats zum Internet ohne Personalisierung BAG, Verdeckte Videoüberwachung und Beweisverwertungsverbot BAG, Zur Ausschlussfrist von Ansprüchen wegen Benach - teiligung nach 15 Abs. 4 AGG Aus der Europäischen Union Aus dem Bundestag Aus dem Bundesrat Aus den Ländern Sonstiges Literaturhinweise Veranstaltungen

2 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 28. Jahrgang 2012 Heft 6 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze Prof. Dr. Thomas HOEREN EU-Standardvertragsklauseln, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau 271 RA Dr. Georg WRONKA Berechtigte Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers? 277 Christian HRACH /Lars NÖBEL /Niels Sören RICHTHOF/Prof. Dr. Rainer ALT Datenschutz im Call Center: Aufzeichnung und Verwendung personen bezogener Daten 280 Kurzbeiträge Prof. Peter GOLA Aus den Berichten der Aufsichtsbehörden (4) 285 Dr. Daniel NEUHÖFER, LL.M. Die Weitergabe von Mitgliederdaten im Verein Zugleich Besprechung von LG Köln, Urt. v O 142/ Joanna SCHMÖLZ Die DIVSI-Milieu-Studie zu Vertrauen und Sicherheit im Internet: Sicherheit und Datenschutz nicht nur eine Frage des richtigen Häkchens 290 Rechtsprechung Haftung des Betreibers eines Internetportals für Persönlichkeitsrechtsverletzungen bei Verbreitung von Nachrichten anderer Medien (BGH, Urteil vom ) 294 Zugang des Betriebsrats zum Internet ohne Personalisierung (BAG, Beschluss vom ) 295 Verdeckte Videoüberwachung und Beweisverwertungsverbot (BAG, Urteil vom ) 297 Zur Ausschlussfrist von Ansprüchen wegen Benach - teiligung nach 15 Abs. 4 AGG (BAG, Urteil vom ) 301 Sicherheitsüberprüfung an Hand sog. Terrorismuslisten als Voraussetzung für das AEO-Zertifikat (BFH, Urteil vom ) 303 Datenschutz- und wettbewerbsrechtlich unzulässige Werbung, (OLG Karlsruhe, Urteil vom ) 305 (m. Anm. Krell) 307 Entschädigung wegen geschlechtsbezogener Benach - teiligung im Bewerbungsverfahren (Ls) (OLG Karlsruhe, Urteil vom ) 308 Dokumentation der Personal auswahl im öffentlichen Dienst (OVG Berlin-Brandenburg, Beschluss vom ) 308 Fehlerhaftes Auswahlverfahren mangels Dokumentation (Ls) (OVG Nordrhein-Westfalen, Beschluss vom ) 309 Einverständniserklärung in Werbeanruf nur bei dokumentiertem Double-Opt-In (LS) (LG Ulm, Beschluss vom ) 309 Einsichtsrecht in Bruttolohn- und Gehaltslisten trotz Widerspruch eines Teils der Arbeitnehmer (LAG Niedersachsen, Beschluss vom ) 309 Kein Einsichtsrecht des Arbeitgebers in Dateien des Betriebsrats (LAG Düsseldorf, Beschluss vom ) 310 Erforderliche Kenntnis der Kündigungsbefugnis (LAG Mecklenburg-Vorpommern, Urteil vom ) 311 Erwähnung von krankheitsbedingter Umsetzung im Zeugnis (Ls) (LAG Baden-Württemberg, Urteil vom ) 312 Heimliche Übertragung einer Betriebsratssitzung per Handy (LAG Baden-Württemberg, Urteil vom ) 312 Berichte, Informationen, Sonstiges Aus der Europäischen Union EU-Datenschutzreform: Zweites Arbeitspapier des LIBE-Ausschusses 314 EuGH: Österreichische Datenschutzbehörde ist nicht unabhängig 314 Europäische Datenschutzbehörden: Googles Datenschutzerklärung mangelhaft 315 Aus dem Bundestag Kritik an Plänen für EU-Datenschutzreform 315 Experten für Mindest standards beim Datenschutz in der Strafverfolgung 316 Aus dem Bundesrat Bundesrat schickt Melderecht ins Vermittlungsverfahren 317 Aus den Ländern Bayerisches Landesamt für Datenschutzaufsicht verbietet Internetpranger 317 Facebook verzichtet auf die Gesichtserkennungsfunktion ein Erfolg für den Datenschutz 318 Sonstiges DsiN-Tipp für Unternehmen: 10 Regeln für die sichere Nutzung von Social Media 319 Leitfaden zur Speicherung von Telekommunikations- Verkehrsdaten vorgestellt 320 vzbv und Datenschützer fordern mehr Unterstützung für europäische Daten schutzreform 320 Beschlüsse des 69. Deutschen Juristentages zum Datenund Persönlichkeitsschutz 321 Literaturhinweise Buchbesprechungen Falk Peters, Heinrich Kersten, Klaus-Dieter Wolfenstetter (Hrsg.), Innovativer Datenschutz (GOLA) 322 Gola/Schomerus, Bundesdatenschutzgesetz (SCHULZ) 322 Neuerscheinungen Aufsätze 323 Veranstaltungen 324

3 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Universität Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutz - beauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Rolf SCHWARTMANN, Fachhochschule Köln Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Beilagenhinweis GDD-Mitteilungen 6/2012; DATAKONTEXT, Frechen; Verlag Dr. Otto Schmidt, Köln Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung er beten. Für unverlangt eingesandte Manuskrip te wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; die se sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechts schutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Schriftleitung Prof. Peter Gola (federführend) RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Redaktionsanschrift Heinrich-Böll-Ring 10, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, MwSt. im Preis enthalten jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) weiss@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Thomas Reinhard Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) reinhard@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

4 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter (federführend) RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln Recht RDV der Datenverarbeitung 28. Jahrgang 2012 Heft 6 Seiten Aufsätze Prof. Dr. Thomas Hoeren, Münster* EU-Standardvertragsklauseln, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau 1. Ausgangslage Der grenzüberschreitende Transfer personenbezogener Daten ist in vielen Konzernen zur Alltäglichkeit geworden. So sind vor allem Kunden- und Mitarbei - terdaten nicht nur relevant für die jeweiligen daten - erhebenden Unternehmensteile, sondern haben in vielfältiger Weise eine konzernweite wirtschaftliche Bedeutung. Der Austausch von Daten erfolgt dabei in den unterschiedlichsten Formen, vor allem aber im Rahmen des Outsourcings von Datenverarbeitungsaufgaben oder der Einrichtung von zentralen, d.h. von sämtlichen Unternehmenstöchtern nutzbaren, Kundenund Personaldatenbanken 1. Datenschutzrechtlich relevant ist bei dem damit verbundenen Datentransfer längst nicht nur die aktive Zusendung der Daten durch ein Unternehmen an ein anderes. Der Übermittlungsbegriff in 3 Abs. 4 Nr. 3 b) BDSG ist mit der gebotenen weiten Interpretation vielmehr auch einschlägig, wenn etwa ein Unternehmen eigenständig auf Datenbanken zugreift, die vom einem anderen (Mutter- oder Tochter-) Unternehmen lediglich für andere bereitgehalten werden 2. Dass es sich bei dem Datentransfer an sich nur um einen Transfer innerhalb der eigenen Konzernstruktur handelt, ist dabei unerheblich, da ein Konzernprivileg sowohl der Europäischen Datenschutzrichtlinie als auch dem deutschen BDSG fremd ist 3. Für die datenschutzrechtliche Zulässigkeit länderübergreifenden Datentransfers bedarf es daher auch innerhalb von Konzernstrukturen zunächst einer ausreichenden Ermächtigungsgrundlage 4. Hierfür kommt neben der Einwilligung des Betroffenen vor allem 28 Abs. 1 Nr. 2 BDSG in Betracht 5. Auch wenn sich bereits auf Grund dieses Erlaubnisvorbehaltes in der Pra- xis einige interpretatorische Schwierigkeiten auftun, ergibt sich aus 4 b Abs. 2 BDSG eine zusätzliche rechtliche Herausforderung, wenn Daten in Länder außerhalb der Europäischen Wirtschaftsgemeinschaft und außerhalb der EU (sogenannte Drittländer) übermittelt werden sollen. Denn anders als bei einer Übermittlung der Daten innerhalb der Mitgliedsstaaten der EU kann der Datenexporteur bei der Übermittlung in Drittstaaten nicht davon ausgehen, dass das im Rahmen des 4 b Abs. 2 BDSG geforderte angemessene Datenschutzniveau gewährleistet ist. Es liegt daher allein in seiner Hand, ein ausreichendes Datenschutzniveau beim Datenempfänger sicherzustellen und damit den gesetzlichen Anforderungen des BDSG gerecht zu werden, vgl. 4 b Abs. 5 BDSG. Hierfür stehen ihm verschiedenste Instrumente zur Verfügung. So können die datenexportierenden Unternehmen in ihren Verträgen die EU-Standardklauseln verwenden, sich bei Datentransfers in die USA den amerikanischen Safe Harbor Principles unterwerfen und/oder sogenannte Binding Corporate Rules konzernweit implementieren. * Der Autor ist Professor an der WWU Münster und Direktor des Institus für Informations-, Telekommunikations- und Medienrecht (ITM). Er ist u.a. Mitherausgeber der Zeitschrift Multimedia und Recht (MMR) und der ZD-Zeitschrift für Datenschutz. 1 Siehe zum Folgenden auch die gute Übersicht von Thomas Helbing, Datenschutz im Konzern (Teil 1), datenschutz-konzern-internationale-datentransfers-standardvertragsklauseln-safe-harbor-binding-corporate-rules-teil-1. 2 Gola/Schomerus, BDSG, 11. Aufl. 2012, 3 Rn. 32 ff. 3 Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010, 3 Rn Einbezogen wird im Folgenden auch die Neuregelung im Entwurf zur neuen Datenschutzgrundverordnung der EU, KOM/2012/011 endgültig 2012/0011 (COD) */ LexUriServ.do?uri=COM:2012:0011:FIN:DE:HTML. 5 Simitis, in: Simitis, BDSG, 7. Aufl. 2011, 4 Rn. 3 ff.

5 272 RDV 2012 Heft 6 Hoeren, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau 2. Erfassung des Status Quo Dabei ist zu prüfen, ob das deutsche Datenschutzrecht überhaupt kollisionsrechtlich auf den vorliegenden Fall Anwendung findet und welche Erlaubnisnorm nach dem BDSG (insbesondedre 28, 32) den Übermittlungsvorgang legitimiert (erste Stufe) 6. Eine solche Prüfung setzt voraus, dass eine Datenstromanalyse im Konzern existiert Analyse des Datenstroms So ist zuerst festzuhalten, welche Datenarten und welche Informationen an wen innerhalb des Konzerns weitergeleitet werden. Da das BDSG je nach Datenart unterschiedlich hohe Anforderungen an den Datenschutz stellt, ist insbesondere zu analysieren, zu welchen Personengruppen (beispielsweise Kunden, Jobbewerbern oder Personal etc.) Daten erhoben und verarbeitet werden und welche konkreten Informationen (etwa Adressen, Verlaufsdaten eines Webshops, Rechnungsdaten etc.) diese enthalten. Weil jede Datenverwendung die Grenze der Zweckbindung zu beachten hat 7, sollte zudem geklärt werden, zu welchem Zweck die Datenübermittlung erfolgt bzw. zu welchem Zweck auf eine zentrale Datenbank zugegriffen wird (beispielsweise zur Lohnabrechnung oder zur Werbung etc.). In die Analyse des Datenstroms sind dabei neben den selbstständigen Unternehmen des Konzerns auch sämtliche unselbstständigen Niederlassungen mit einzubeziehen 8. Entscheidend für einen datenschutzrechtlich relevanten Datentransfer ist insoweit nicht die rechtliche Selbständigkeit oder gar die Rechtsnatur der konzernzugehörigen Gesellschaften. Das Datenschutzrecht knüpft seine Verpflichtungen vielmehr unabhängig von der rechtlichen Natur an den Begriff der Datenübermittlung zwischen verantwortlichen Stellen im Sinne von 3 Abs. 7 BDSG an Funktionserfassung Nach der Feststellung der grundsätzlichen Struktur des Datenstroms ist in einem zweiten Schritt zu fragen, wer von den am Datentransfer beteiligten Personen verantwortliche Stelle im Sinne von 3 Abs. 7 BDSG oder nur Auftragsdatenverarbeiter im Sinne von 11 BDSG ist. Zwar ist diese Differenzierung für die Frage nach dem Vorliegen einer Datenübermittlung im Sinne von 3 Abs. 4 Nr. 3 BDSG nicht relevant, da selbst Auftragsdatenverarbeiter, die ihren Sitz in einem Drittland haben, Dritte im Sinne der Norm sind 10. Dennoch ist die Differenzierung für die Ausgestaltung eines datenschutzrechtlich unbedenklichen internationalen Datentransfers aus zweierlei Gründen von Bedeutung: Zum einen ist der Sitz der verantwortlichen Stelle grundsätzlich entscheidend für die Frage nach dem anzuwendenden Recht. Zum anderen bestimmt sich die Wahl der richtigen EU-Standardklausel nach der Differenzierung zwischen Auftragsdatenverarbeiter und verantwortlicher Stelle 11. Ausgehend vom Gesetzeswortlaut des 3 Abs. 7 BDSG ist daher festzustellen, welche an dem Datentransfer beteiligte Person oder Stelle die personenbe - zogenen Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. In den Worten von Art. 2 lit. d der EU Datenschutzrichtlinie 12 die durch das BDSG ins deutsche Recht umgesetzt wird ist verantwortliche Stelle diejenige Person oder Stelle, die über den Zweck und die wesentlichen Mittel der Datenverwendung faktisch entscheidet. Hingegen sind Auftragsdatenverarbeiter im Sinne von 11 BDSG nur Personen oder Stellen, die die verantwortliche Stelle bloß in Hilfsfunktion bei der Erfüllung eigener Geschäftszwecke unterstützen 13. In der Praxis haben sich einige allerdings je nach Land divergierende Kontrollfragen und Indizien entwickelt, anhand derer die Feststellung dieser Voraussetzungen erleichtert werden soll. Eine Auftragsda - tenverarbeitung liegt daher nahe, wenn das für ein anderes Konzernunternehmen selbstständig im Auftrag tätig werdende Unternehmen selber keine Entscheidungsbefugnis über die Daten hat, der Auftragsschwerpunkt lediglich auf die Durchführung einer Verarbeitung gerichtet und eine eigenständige rechtliche Beziehung zum Betroffenen nicht vorhanden ist 14. Hingegen liegt eine den Auftragsnehmer selber zur verantwortlichen Stelle machende Funktionsübertragung vor, wenn der Auftragsnehmer in eigener Verantwortung und mit eigenen Nutzungsrechten die Verarbeitung der Daten gewährleistet 15. Die Funktionsverteilung kann indes nicht nur anhand der unterschiedlichen Beteiligungsformen divergieren. Vielmehr kann eine Person oder Stelle die bspw. hinsichtlich von Personaldaten Auftragsdatenverarbeiter ist, zugleich in Bezug auf Kundendaten verantwortliche Stelle sein. Hier zeichnet sich eine möglichst genaue Analyse der Datenströme und der Dateninhalte (2.1.) aus. Wichtig ist zudem, dass ein Auftragsdatenverarbeiter seinerseits die Daten an einen weiteren Auftragsdatenverarbeiter weiterleiten 6 Sehr gut dargestellt wird die Differenzierung zwischen erster (Kollisionsrecht/BDSG) und zweiter Stufe (Prüfung TBDF) bei Thomas Helbing, a.a.o. 7 Gola/Schomerus, BDSG, 11. Aufl. 2012, 28 Rn Düsseldorfer Kreis, Positionspapier zum internationalen Datentransfer vom 12./13. Februar 2007, S. 1 Ziff. 2; abrufbar unter 9 Dammann, in: Simitis, BDSG, 7. Aufl. 2011, 3 Rn. 223 ff. 10 Wybit/Patzak, Neue Anforderungen beim grenzüberschreitenden Datenverkehr, RDV 2011, S Siehe dazu Kapitel Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 13 Petri, in: Simitis, BDSG, 7. Aufl. 2011, 11 Rn Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Da - tentransfer, S. 2; abrufbar unter: Datenschutz/submenu_Datenschutzrecht/Inhalt/Personalwesen/Inhalt/ 5_Beschaeftigtendatenschutz_Konzern/arbeitspapier_ad_hoc_idv.pdf. 15 Petri, in: Simitis, BDSG, 7. Aufl. 2011, 11 Rn. 23 ff.

6 Hoeren, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau RDV 2012 Heft kann. Dieser wird dann als sogenannter Unterauftragsdatenverarbeiter (sogenannter sub-processor) tätig Praktische Umsetzung Ausgehend von diesen theoretischen Grundsätzen sollte in der Praxis zunächst untersucht werden, ob sich innerhalb der Konzerns Prozesse finden lassen, die in aller Regel eine Datenübermittlung beinhalten. Dazu gehören vor allem Onlinebewerbungssysteme oder Kundencenter z.b. in Form von Webseiten des Konzerns. Außerdem sind die Lohnbuchhaltung, das Personalmanagementsystem oder ERP Systeme im Normalfall mit einer Datenübermittlung verbunden. Anhand dieser im Allgemeinen in jedem Konzern vorhandenen Einrichtungen kann in einem weiteren Schritt untersucht werden, in welchem sachlichen Zusammenhang die Daten verwendet werden und wie sich dies auf die Funktionsaufteilung der an der Bereitstellung der Dienste beteiligten Stellen niederschlägt. In personeller Hinsicht sollte bei der Analyse des Ist-Zustandes der bei jeder automatisierten Datenverarbeitung gem. 4 f BDSG zwingend zu bestellende betriebliche Datenschutzbeauftrage von Anfang an mit einbezogen werden. Dieser dürfte schon auf Grund der für seine Einstellung erforderlichen Fachkunde umfassende rechtliche, organisatorische, technische und wirtschaftliche Kenntnisse in Bezug auf das Unternehmen und ggf. den Konzern haben 17 und kann daher vor allem im Rahmen der auch rechtlich beeinflussten Funktionsabgrenzung hilfreich sein. Hinsichtlich der übrigen Konzernteile sind die jeweils sachnächsten Mitarbeiter, etwa die Personalabteilung in Bezug auf Personalmanagementsysteme oder die IT-Fachkräfte in Bezug auf zentrale IT-Systeme, persönlich zu befragen. Für die mitunter schon auf Grund der rechtlichen Vorgaben schwierige und von vielen Faktoren beeinflusste Funktionsfeststellung, sollte in der praktischen Umsetzung von dem allgemeinen Grundsatz ausgegangen werden, dass die verantwortliche Stelle diejenige ist, die auch die Daten vom Betroffenen erhebt. Im Falle von übermittelten Personal- und Mitarbeiterdaten ist daher die anstellende Gesellschaft selber die verantwortliche Stelle. Gleiches gilt für Kundendaten in Bezug auf die im Außenverhältnis mit dem Kunden in Kontakt tretende Gesellschaft. Freilich dürfen diese Grundsätze nur als Orientierungspunkte und nicht etwa als rechtlich verbindliche Einschätzungen verstanden werden. Entscheidend sind letztlich die konkreten Umstände des Einzelfalles. der ersten Stufe nur die kollisionsrechtlichen und allgemein materiell-rechtlichen Fragen des BDSG geprüft, dient die zweite Stufe allein der Prüfung der Drittlandproblematik. Entscheidend ist dabei die Frage, ob im Drittland ein angemessenes Datenschutzniveau herrscht ( 4 c BDSG). Ein solches Niveau setzt die Einhaltung europäischer Datenschutzvorgaben im Drittland voraus und wird durch die Europäische Kommission nach umfassender Prüfung je nach Staat zertifiziert (etwa im Falle der Schweiz, Israels oder Kanadas, deren Datenschutzstandards ausdrücklich als EU-adäquat anerkannt sind) Fälle des 4 c Abs. 1 BDSG Vorab ist allerdings zu beachten, dass es der Einhaltung eines angemessenen Datenschutzniveaus und damit der Wahl eines passenden Instrumentes nicht bedarf, wenn die Ausnahmefälle des 4 c Abs. 1 BDSG einschlägig sind. Für den konzerninternen, grenzüberschreitenden Datentransfer ist im Rahmen des Fallkataloges vor allem die Möglichkeit der Einwilligung des Betroffenen nach 4 c Abs. 1 Nr. 1 BDSG interessant, kann diese doch zusammen mit der Einwilligung für die grundsätzliche Datenverwendung nach 4 a BDSG gemeinsam eingeholt werden. Wie 4 a BDSG setzt aber auch 4 c Abs. 1 Nr. 1 BDSG eine informierte Einwilligung in den grenzüberschreitenden Datentransfer voraus 18. Der Betroffene muss genau über die Drittlandübermittlung und das damit verbundene Risiko aufgeklärt werden 19. Daher hat die Einwilligungserklärung den Empfänger der Daten und den Zielort zu bezeichnen. Zudem ist auch ausdrücklich auf das geringere Datenschutzniveau im Drittland hinzuweisen 20. Selbst wenn der Betroffene sich von diesem Hinweis nicht abschrecken lässt und die Einwilligung erklärt, ist die Einwilligungsmöglichkeit für eine langfristige Datenübermittlung von vornherein mit durchgreifenden Bedenken verbunden. Denn eine Einwilligung gilt niemals pauschal, sondern immer nur für den ganz konkreten Fall 21. So müssten bei allen Änderungen im Konzernverbund, mit denen Veränderungen der Datenströme einhergehen, neue Einwilligungen von sämtlichen Betroffenen eingeholt werden. Äußerst problematisch ist zudem, dass die einmal erteilte Einwilligung jederzeit vom Betroffenen widerrufen werden kann 22. Etablierte und wirtschaftlich wichtige Datenströme können daher plötzlich wegfallen und damit hohe Umstellungskosten nach sich ziehen. Eine 3. Möglichkeiten zur Sicherung eines angemessenen Datenschutzniveaus Nach der Analyse der konkreten Datenstruktur innerhalb des Konzerns ist auf der zweiten Stufe zu prüfen, ob die Datenübermittlung auch dann rechtlich zulässig ist, wenn sie in ein Drittland erfolgt. Werden also auf 16 Vgl. dazu Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, S Gola/Schomerus, BDSG, 11. Aufl. 2012, 4 f Rn. 20 ff. 18 Ähnlich auch Art. 44 (1) (a) des Entwurfs der Datenschutzgrundverordnung. 19 Simitis, in: Simitis, BDSG, 7. Aufl. 2011, 4 c Rn. 8 ff. 20 Simitis, in: Simitis, BDSG, 7. Aufl. 2011, 4 c Rn Gola/Schomerus, BDSG, 11. Aufl. 2012, 4 c Rn Gola/Schomerus, BDSG, 11. Aufl. 2012, 4 a Rn. 18.

7 274 RDV 2012 Heft 6 Hoeren, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau Konzentration lediglich auf die Einwilligung stellt den Datenstrom daher von Anfang an auf tönerne Füße und ist für einen sicheren internationalen Datentransfer wenig empfehlenswert EU-Standardvertragsklauseln Kommen die weiteren Ausnahmefälle des 4 c Abs. 1 BDSG nicht in Betracht, steht es der verantwortlichen Stelle offen, ausreichende Garantien gem. 4 c Abs. 2 BDSG hinsichtlich des Schutzes des Persönlichkeitsrechtes der Betroffenen vorzulegen 24. Im Rahmen dieser gesetzlichen Möglichkeit haben sich die EU-Standardvertragsklauseln der Europäischen Kommission 25, die nach allgemeiner Ansicht als ausreichend im Sinne von 4 c Abs. 2 BDSG angesehen werden 26, etabliert. Die EU-Standardvertragsklauseln bestehen aus insgesamt drei Teilen, die sich dem Grunde nach in zwei Gruppen unterteilen lassen. Die erste Gruppe besteht aus Klauseln, die nur bei Datenübermittlungen zwischen verantwortlichen Stellen und Auftragsdatenverarbeitern verwendet werden können 27. Hingegen richtet sich die zweite Gruppe nur an eine Datenübermittlung zwischen zwei verantwortlichen Stellen (Funktionsübertragung) und besteht aus dem Set I aus dem Jahre 2001 und dem alternativen Standardwerk Set II aus dem Jahre 2004 (entwickelt von der Internationalen Handelskammer) 28. Inhaltlich umfassen die Standardverträge Regelungen zu den Rechten und Pflichten, die die an der Datenübermittlung beteiligten Personen oder Stellen untereinander und gegenüber der Aufsichtsbehörde einzuhalten haben. Diese Rechte und Pflichten müssen unverändert durch die Parteien übernommen werden. Dazu stellt die EU-Kommission Formulare zur Verfügung, in welchen nur noch die näheren Umstände der Datenübermittlung (Datenarten, Beteiligte etc.) einzutragen sind Safe Harbor Principles Ein weiteres Instrument zur Sicherung eines angemessenen Datenschutzniveaus stellen die Safe Harbor Principles dar 29, welche im Rahmen von Datenübermittlungen an in den USA ansässige Unternehmen verwendet werden können. Die Safe Harbor Principles sind von der EU-Kommission in Zusammen - arbeit mit den USA verabschiedet worden 30. Sie beinhalten insgesamt sieben grundlegende Prinzipien 31, denen sich die an dem Datentransfer beteiligten Personen unterwerfen müssen. Zu den Prinzipien gehört zum Beispiel die Verpflichtung, Betroffene von der Datenübermittlung zu informieren (notice), oder die Zusicherung, dass angemessene Vorsichtsmaßnahmen ergriffen werden, die personenbezogenen Daten vor Verlust, Zugriff Dritter und Missbrauch schützen (security). Durch die anhand dieser Prinzipien vorgenommene Selbstzertifizierung soll sichergestellt werden, dass ein gewisser Datenschutzstandard innerhalb des die Daten empfangenden Unternehmens eingehalten wird. Eine Kontrolle externer Datenaufsichtsbehörden erfolgt darüber hinaus aber nicht. Es besteht nur eine Anzeigepflicht der US-amerikanischen Stellen bei der Federal Trade Commission (FTC). US-amerikanische Finanzdienstleister fallen z.b. nicht in die Kontrollzuständigkeit der FTC und können sich daher nicht anhand der Safe Harbor Principles selbst zertifizieren Binding Corporate Rules Bei Binding Corporate Rules (BCR) handelt es sich um verbindliche, konzernintern abgeschlossene Unternehmensrichtlinien. Sie binden in der Form eines Gruppenvertrages alle einbezogenen Unternehmen und können so für alle Teilnehmer verbindliche Datenschutzstandardards schaffen 32. Teilnehmer außerhalb der Gruppe werden hingegen nicht erfasst, so dass für einen Datentransfer in diesem Verhältnis weitere Regelungen getroffen werden müssen 33. Hinsichtlich der Etablierung von BCR können Konzerne auf das Arbeitsdokument 74 der Artikel-29- Datenschutzgruppe zurückgreifen 34, welches einige Hinweise für die Ausgestaltung enthält und durch das Working Paper 154 durch zahlreiche Grundsätze flankiert wird 35. Da im Unterschied zu den EU-Vertragsklauseln für die Verwendung der BCR die Genehmigung der Aufsichtsbehörde einzuholen ist, geben auch die bereits genehmigten BCR etwa The Daimler Code of Conduct for Customers 36 Eckpunkte für eine rechtskonforme Ausgestaltung vor und sollten bei der inhaltlichen Ausgestaltung verwendet werden Diese Möglichkeit wird daher hier nicht weiter besprochen. 24 Art. 42 (2) (b) (d) der Datenschutzgrundverordnung erwähnen Standardklauseln der EU, der Aufsichtsbehörden und individuelle Klauseln, die dann aber der Genehmigung durch die Aufsichtsbehörde bedürfen. 25 Abrufbar unter index_en.html. 26 Gola/Schomerus, BDSG, 11. Aufl. 2012, 4 c Rn. 12 ff. 27 Beschluss der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 5. Februar 2010, Abl. 39/5 vom 12. Februar EG-Kommissionsentscheidung 2001/497/EG vom ABl. EG Nr. L 181 und EG-Kommissionsentscheidung 2004/19/EG ABl. EG Nr. L 385 vom Dazu ausführlich Erd, Safe Harbor Abkommen, K&R 2010, S Entscheidung 2000/520/EG der Kommission vom 26. Juli ABl. EG Nr. L 215 vom Dazu etwa Erd, Safe Harbor Abkommen, K&R 2010, S Siehe auch Art. 43 des Entwurfs der Datenschutzgrundverordnung, wo sich Hinweise auf BCR finden. 33 Fraglich ist, was unter der EU-Datenschutzverordnung aus den Safe-Harbor-Systemen wird; denn im Entwurf der Verordnung sind diese nicht mehr ausdrücklich als Legitimationsgrundlage erwähnt. Allenfalls könnte Art. 44 (1) (h) herangezogen werden. 34 Working Paper 74, Übermittlung personenbezogener Daten in Drittländer. 35 Working Paper 154, Rahmen für BCR, / Abrufbar unter: _daimler-codeofconduct_de.pdf. 37 Zu einzelnen Regelungsinhalten siehe auch Grapentin, Datenschutz und Globalisierung, CR 2009, S. 694.

8 Hoeren, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau RDV 2012 Heft Auswahl des richtigen Instrumentes Die Auswahl des richtigen Instrumentes hängt letztlich von den mit den einzelnen Instrumenten verbundenen Vor- und Nachteilen ab. Dabei ist zu beachten, dass diese je nach Datenstruktur unterschiedlich ausfallen bzw. nutzbar gemacht werden können. Es ist daher je nach konkreter Sachlage eine Auswahl anhand folgender grundsätzlicher Abwägung zu treffen EU-Standardvertragsklauseln Die EU-Standardvertragsklauseln bieten gegenüber den anderen Instrumenten große Vorteile, vor allem dann, wenn sich nach der Analyse der Daten eine sternförmige Datentransferstruktur ergibt, bei der Daten von wenigen Unternehmen an wenige ausgewählte Konzernunternehmen übermittelt werden. In diesem Fall sind wie bereits angedeutet einzig die von der Europäischen Kommission bereitgehaltenen Vertragsklauseln zu übernehmen, die angehängten Formulare auszufüllen und an die Beteiligten auszugeben. Zu beachten ist dabei allerdings, dass manche EU-Mitgliedsstaaten höhere Anforderungen an die Formalitäten der Verträge etwa im Hinblick auf eine notarielle Beurkundung stellen. Ferner ist sehr klar vorab festzustellen, ob eine Controller-Controller- oder eine Controller-Processor-Konstellation vorliegt. Für den Fall des Datenaustausches gleichrangiger Unternehmen gelten nämlich die oben erwähnten Set I oder Set II. Für die Auftragsdatenverarbeitung (Controller-Processor) gilt das eigene EU-Muster aus Auch wenn mit den EU-Standardvertragsklauseln bereits jetzt ein hoher Standardisierungswert gegeben ist, ergeben sich aber Implementierungsschwierigkeiten, wenn nach der Analyse des Datenstroms feststeht, dass die Daten nicht sternförmig, sondern netzartig von vielen Unternehmen an viele andere Unternehmen übermittelt werden. In dieser Situation muss jeder Übermittler mit jedem Empfänger einen Vertrag nach den Vorgaben der Europäischen Kommission abschließen. Gleichsam müssen die Vertragsklauseln bzw. deren Anhänge immer dann angepasst werden, wenn sich bestehende Datenströme ändern oder die Konzernstrukturen (etwa durch Aufnahme neuer Gesellschaften) erweitert werden. Nachteilig kann zudem das durch die Vertragsklauseln etablierte Haftungsregime sein. So sieht etwa Klausel 6 Abs. 2 des Set I für Datenübermittlungen zwischen verantwortlichen Stellen 39 vor, dass die Vertragsparteien gesamtschuldnerisch haften, wenn nicht nachgewiesen werden kann, dass keine der Parteien den eingetretenen Schaden zu vertreten hat. Damit kann nicht nur die den Schaden tatsächlich verursachende Partei bei einer unzulässigen Datenverwendung haftbar gemacht werden, sondern auch die übrigen Parteien. Umgehen lassen sich die haftungsrechtlichen Nachteile zwar durch die Verwendung des Set II 40, das die gesamtschuldnerische Haftung aber durch wesentlich erhöhte Sorgfaltspflichten ersetzt BCR Ähnliche haftungsrechtliche Nachteile bestehen auch bei BCR, die nach der Empfehlung der Art.-29-Datenschutzgruppe die Regelung enthalten müssen, dass ein in der EU ansässiges Unternehmen für alle Rechtsverletzungen der übrigen Gesellschaften außerhalb der EU haftet 42. Vorteilhaft sind die BCR allerdings in der Praxis schon auf Grund ihrer höheren Flexibilität. So müssen bei Änderungen in der Konzernstruktur keine neuen Regelungen getroffen werden, sondern die neu hinzukommenden Unternehmen treten der Unternehmensrichtlinie schlichtweg bei. Zudem ist neben der für die Genehmigung durch die Behörden erforderlichen Regelungstiefe ausreichend Platz für Bestimmungen, die genau auf die Bedürfnisse der Unternehmensstruktur angepasst werden können. Damit einher geht allerdings ein zu Lasten der Rechtssicherheit gehendes, im Vergleich zu den EU-Vertragsklauseln geringeres Standardisierungsniveau, was es auf Grund der großen Spielräume schwer macht, die BCR materiell-rechtlich korrekt zu implementieren 43. Zu beachten ist auch, dass im Gegensatz zu den EU- Standardklauseln bei der Verwendung von BCR nach derzeitigem Rechtsstand 44 eine Genehmigung für die BCR von allen Aufsichtsbehörden einzuholen ist, in denen die beteiligten Unternehmen ihren Sitz haben (vgl. Art. 26 Abs. 2 EU-DSRL). Dies nimmt nicht nur Zeit in Anspruch 45, sondern verursacht zudem erhebliche Verwaltungskosten 46. Schließlich ist auch zu beachten, dass nach dem Arbeitspapier 153 Ziff. 2 der Art.-29-Datenschutzgruppe detaillierte Vorgaben in Bezug auf die praktische Überprüfung der BCR im Konzern gemacht werden. So ist 38 Zu Sonderkonstellationen siehe Thomas Helbing, Datenschutz im Konzern (Teil 3), 39 EG-Kommissionsentscheidung 2001/497/EG vom ABl. EG Nr. L EG-Kommissionsentscheidung 2004/19/EG ABl. EG Nr. L 385 vom Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr, CR 2011, S Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr, CR 2011, S Das schlägt sich in der bislang geringen Zahl genehmigter BCRs nieder; s. Auflistung bei Kuner, European Data Protection Law, 2. Aufl. 2007, Kap. 4 H Rn , S Die Datenschutzgrundverordnung könnte dies ändern, da dort nur noch von der Zuständigkeit einer einzelnen Aufsichtsbehörde die Rede ist (Art. 43 (1)). 45 Grapentin, Datenschutz und Globalisierung Bindung Corporate Rules als Lösung?, CR 2009, S Verfahrensvereinfachung bietet aber die Bündelung der Verfahren in einem Mitgliedsland im Rahmen der Lead Authority, vgl. Grapentin, Datenschutz und Globalisierung Binding Corporate Rules als Lösung?, CR 2009, S. 697.

9 276 RDV 2012 Heft 6 Hoeren, BCR und Safe Harbor Principles Instrumente für ein angemessenes Datenschutzniveau neben der Gründung eines Mitarbeiterstabes, der die Einhaltung überwacht, beispielsweise auch die Bereitstellung ausreichender Schulungsmaßnahmen für die im Konzern tätigen Mitarbeiter erforderlich. Die Vorgaben der EU-Standardklauseln sind in dieser Hinsicht hingegen weiter formuliert und enthalten derartig genaue und mit weiteren Kosten verbundene Vorgaben nicht. Über die Regelung des Datenschutzes für den grenzüberschreitenden Datentransfer hinaus lassen sich, nicht zuletzt vor dem Hintergrund dieser aus den BCR folgenden Verpflichtungen, aber auch konzerneinheitliche Datenschutzkonzepte für die Behandlung sämt - licher Daten im Konzern verbinden. Dies schafft nicht nur Akzeptanz bei den Kunden, sondern beugt in einem einheitlichen Prozess anderen datenschutzrechtlichen Problemen vor Safe Harbor Principles Vor dem Hintergrund einer möglichst schnellen Implementierung bieten sich auch die Safe Harbor Principles an. Für diese bedarf es weder einer Genehmigung durch die Aufsichtsbehörde, noch einer vertraglichen Vereinbarung 47. Als Selbstzertifizierung ist allein die einseitige Anwendung durch den Datenempfänger erforderlich. Im Vergleich zu den Standardklauseln der EU haben die Safe Harbor Principles außerdem den Vorteil, dass sie für die Einrichtung einer Unterauftragsdatenverarbeitung mehr Spielraum für eigens konzipierte und daher flexiblere Regelungen lassen 48. Die erforderliche Selbstzertifizierung hat allerdings zur Folge, dass die nationalen Datenschutzbehörden regelmäßig nicht nur eine formale Zusicherung, sondern einen tatsächlichen Nachweis verlangen, welchen sich der Datenexporteur vorlegen lassen muss 49 ein vor dem Hintergrund der zahlreichen durch die Galexia Studie 50 aufgedeckten Missstände nachvollziehbares Verlangen. So hatte sich beispielsweise gezeigt, dass von den 1700 offiziell zertifizierten Unternehmen nur 348 Unternehmen die Kriterien des Abkommens tatsächlich einhalten ein Ergebnis, dass bei der Auswahl der Safe Harbor Principles erhöhte Bedeutung erhalten sollte. Zudem können die Safe Harbor Principles wohlgemerkt nur beim Datentransfer mit in den USA ansässigen Unternehmen verwendet werden. Eine konzerneinheitliche Regelung ist daher bei gleichzeitigem Transfer in andere Länder nicht möglich, was den Anwendungsbereich der Selbstzertifizierung stark begrenzt. Gleichzeitig sind die äußerst allgemein gehaltenen Prinzipien der Schaffung einer hinreichenden Rechtssicherheit wenig förderlich. 5. Anwendung der EU-Standardvertragsklauseln Auf Grund der nur eingeschränkten Nutzbarkeit der Safe Harbor Principles und der materiell-rechtlich und zeitlich nur schwer zu implementierenden BCR haben sich die EU-Standardklauseln zum wichtigsten Hilfsmittel für die nicht nur kurzfristige Sicherstellung eines angemessenen Datenschutzniveaus entwickelt 51. Daher soll im Folgenden auf ausgewählte Besonderheiten bei der praktischen Nutzung der Klauseln eingegangen werden Hinweise zur richtigen Klauselwahl Zunächst ist die richtige Auswahl zwischen den vorhandenen Klauselwerken zu treffen. Diese bestimmt sich grundsätzlich anhand der Unterscheidung der am Datentransfer beteiligten Stellen. Innerhalb der für die Übermittlung von verantwortlicher Stelle zu einer anderen verantwortlichen Stelle vorhandenen Werke hat sich der Nutzer aber zusätzlich zwischen dem Standardwerk I 52 und dem alternativen Standardwerk II 53 zu entscheiden. Neben den bereits benannten besonders bedeut - samen haftungsrechtlichen Vorteilen 54 sieht das alternative Standardwerk II weitere Vorteile für den Nutzer vor 55 und ist daher grundsätzlich zu bevorzugen. So ist beispielsweis nach Klausel 5 lit. c) der Datenimporteur verpflichtet, auf alle Anfragen der Aufsichtsbehörden tätig zu werden, während in den Standardklauseln II stets von Entscheidungen die Rede ist, was auf die Befolgung bloß rechtsverbindlicher Entscheidungen und Beschlüsse der Aufsichtsbehörden hindeutet. Ein weiterer praktischer Vorteil liegt zudem in der nach Ziffer VII. der Standardvertragsklausel II möglichen Änderung des Anhangs zu Aktualisierungszwecken. Damit ist es jederzeit möglich, das Vertragswerk schnell und ohne großen Verwaltungsaufwand an Änderungen der Konzernstruktur und mithin des Datenflusses anzupassen Hinweise zur richtigen Implementierung Bei der Implementierung der Standardklausel ist es verwaltungstechnisch ratsam, die Regelungen nicht als Einzelvertrag festzulegen, sondern im Rahmen eines Gruppenvertrages alle an der Datenübermittlung teilnehmenden Personen oder Stellen auf einer Urkunde unterschreiben zu lassen. Empfehlenswert ist daher 47 Wohl aber einer Anzeige bei der FTC, siehe Kapitel Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, S. 735 ff. 49 So etwa der Düsseldorfer Kreis, Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich vom 28./ ; dazu auch Erd, Safe Harbor Abkommen, K&R 2010, S Connolly, The US Safe Harbor Fact or Fiction; abrufbar unter 51 Moos, Die EU- Standardvertragsklauseln für Auftragsdatenverarbeiter 2010, CR 2010, S Abrufbar unter uri=oj:l:2001:181:0019:0031:de:pdf. 53 Abrufbar unter uri=oj:l:2004:385:0074:0084:de:pdf. 54 Siehe dazu Kapitel Kuner, European Data Protection Law, 2. Aufl. 2007, Kap. 4 Z Rn. 4.74, S. 195.

10 Wronka, Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers? RDV 2012 Heft die Verwendung der englischen Sprachfassung, dies kann aber je nach Land variiert werden. Vergessen werden sollte darüber hinaus nicht, dass die Verwendung der Vertragsklausel den Aufsichtsbehörden gemeldet werden muss, auch wenn eine Genehmigung nicht erforderlich ist. Damit besteht die Gefahr, einen ggf. zuvor datenschutzrechtlich nicht korrekt erfolgenden Datenfluss selber zu offenbaren. Dies gilt umso mehr, als bei der Meldung auch die Ermächtigungsgrundlage der Datenverwendung dargelegt werden muss. Daher sollte nicht nur die Sicherstellung des Datenschutzniveaus innerhalb des Konzerns gewährleistet sein, sondern auch alle anderen datenschutzrechtlich relevanten Handlungen sollten überprüft werden. Hierbei kann es auch hilfreich sein, EU-Standardklauseln und BCR jedenfalls mittelfristig parallel zu implementieren. In Bezug auf die Nutzung der Anhänge zu den Vertragsklauseln ist auf eine möglichst genaue Wiedergabe der Beteiligungen und der verwendeten Daten zu achten. Andererseits sind etwas allgemeinere Ausführungen vor allem vor dem Hintergrund zukünftiger Änderungen in den tatsächlichen Umständen hilfreich, um einer Erneuerung der Anhänge aus dem Wege gehen zu können. 6. Fazit Bei der Übermittlung von personenbezogenen Daten in Drittländer sehen sich die Konzerne bei der Schaffung eines angemessenen Datenschutzniveaus erheblichen rechtlichen Schwierigkeiten gegenübergestellt. Hilfe bieten hier die vorgestellten Instrumente, die je nach spezifischem Anwendungsfall mit einem überschau - baren Aufwand an Zeit und Kosten Abhilfe schaffen können. In typischen Fallkonstellationen sollten Konzernunternehmen daher bei kurzfristigem Umsetzungsbedarf und sternförmigen, sich nicht häufig ändernden Datenstrukturen auf die EU-Standardklauseln zurückgreifen, während bei einer gewünschten langfristigen Strategie hin zu einem konzernweit einheitlichen Datenschutzniveau die Etablierung von BCR naheliegen. Für Datentransfers in die USA stehen zudem die Safe Harbor Principles zur Verfügung, die allerdings auf Grund der aufgezeigten Nachteile mit Vorsicht zu genießen sind und bei denen der Datenexporteur gut daran tut, den Datenimporteur durch weitere vertragliche Regelungen (bspw. in Form von Vertragsstrafen oder zusätzlichen Kontrollrechten) auf die Einhaltung des Abkommens zu verpflichten. n RA Dr. Georg Wronka, Bonn* Berechtigte Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers? Entwicklungen in Literatur und Rechtsprechung lassen befürchten, dass in der Praxis das informationelle Selbstbestimmungsrecht des Arbeitnehmers nicht in dem Maß zum Zug kommt, in dem dieser es an sich erwarten könnte. An zwei Beispielen kann dieser Eindruck verdeutlicht werden. Zum einen handelt es sich um die Verdrängung individueller Rechtspositionen durch kollektivrechtliche Bestimmungen, genauer: das Verhältnis zwischen BDSG und BetrVG, zum anderen um die arbeitsgerichtlich geförderte Subordination von Persönlichkeitsinteressen unter unwägbare Entscheidungen des Betriebsrats. in welchem Umfang die Informationsverpflichtungen bzw. -ansprüche gem. 80 Abs. 2 S. 1 und S. 2 BetrVG durch das BDSG zurückgedrängt werden oder ob sie umgekehrt als ihm gegenüber vorrangige Erlaubnisnormen das Zulässigkeitsregime des BDSG verdrängen 1. Nach der wohl herrschenden Literaturmeinung soll die Unterrichtungspflicht generell nicht durch die Vorschriften des BDSG eingeschränkt werden 2. Die Begründung für diese Ansicht verblüfft allerding bisweilen: Der Betriebsrat ist i.s. des BDSG Teil der speichernden Stelle. Seine Unterrichtung ist daher keine Datenübermittlung 3. I. Vorrang des BetrVG gegenüber dem BDSG? Dass zu den vom Betriebsrat auf ihre Einhaltung durch den Arbeitgeber zu kontrollierenden Gesetzen ( 80 Abs. 1 Nr. 1 BetrVG) das BDSG gehört, steht inzwischen außer Frage. Umstritten ist dagegen, ob und ggf. * Der Autor ist Rechtsanwalt mit dem Schwerpunkt Datenschutzrecht. 1 Vgl. BAG, Beschluss vom ABR 15/08, Rdz. 27: gesetzlich angeordnete Subsidiarität gegenüber betriebsverfassungsrechtlichen Regelungen. 2 So etwa Fitting, BetrVG, 80 Rdn. 58; Schaub, Arbeitsrechts-Handbuch, 233 Rdn. 18; Kort, RDV 2012, 8(14). 3 Schaub, 233 Rdn. 18.

11 278 RDV 2012 Heft 6 Wronka, Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers? Mit dieser Feststellung, die inzwischen wohl allgemeingültig ist 4, kann man sich indes nicht begnügen, denn aus ihr lässt sich mitnichten die vorgebliche Subsidiarität des BDSG gegenüber den betriebsverfassungsrechtlichen Regelungen folgern. Immerhin ist der innerbetriebliche Datenfluss sei es zwischen einzelnen Abteilungen, sei es zum und vom Betriebsrat als Nutzung zu bewerten, auf welche ggf. auch das Verbot mit Erlaubnisvorbehalt des 4 Abs. 1 BDSG Anwendung finden müsste, und dass einer derartigen Nutzung von Beschäftigtendaten durchaus Grenzen gesetzt sind, ist keine neue Erkenntnis 5. Die entscheidende Frage, ob sich die Rückzugsanordnung des 1 Abs. 3 BDSG gerade auch im Verhältnis zu 80 Abs. 2 S. 1 und S. 2 BetrVG auswirkt, wird damit aber nicht beantwortet. Einvernehmen besteht darüber, dass die Subsidiarität des BDSG nur dann zum Tragen kommt, wenn der Regelungsgenstand einer spezielleren Norm deckungsgleich mit dem der betreffenden BDSG-Bestimmung ist, also eine Tatbestandskongruenz vorliegt 6. Von einer Deckungsgleichheit kann indes nicht ausgegangen werden, wenn die in Bezug genommene spezielle Regelung zwar Informationstransferprozesse anspricht, aber und das ist etscheidend die Verarbeitung personenbezogener Daten nicht expressis verbis erwähnt 7. Sieht man von 80 Abs. 2 S. 2 Halbs. 2 BetrVG ab 8, zielt 80 Abs. 2 BetrVG nicht auf die Weiterleitung individueller Mitarbeiter-bezogener Angaben ab. Sie werden zwar häufig Gegenstand der Informations - vermittlung durch den Arbeitgeber an den Betriebsrat sein, aber nicht zwangsläufig immer ihren Gegenstand bilden. Die gem. Abs. 2 S. 1 geforderte Unterrichtung über die Beschäftigung von Personen, die nicht in einem Arbeitsverhältnis zu einem Arbeitgeber stehen, mag vielleicht noch hinreichend verdeutlichen, dass sich die Zuleitung der diesen Personenkreis betreffenden Daten an den Betriebsrat vorrangig nach dieser Bestimmung richten und aus ihr ihre Rechtfertigung finden soll, für die Verarbeitung der Daten aller Mitarbeiter schlechthin trifft sie jedoch keine entsprechende Anweisung. Sie lässt sich auch durch Analogien oder extensive Ausdeutung nicht konstruieren. Kurzum: Eine Präklusion des BDSG ist in 80 Abs. 2 BetrVG nicht angelegt, weil die Norm nicht die dafür erforderlichen strukturellen Voraussetzungen aufweist. Aus diesem Befund ergeben sich Konsequenzen, die zwar in Einzelfällen zu einer Verringerung des Informationspotentials der Mitarbeitervertretung führen mögen, andererseits aber eine beträchtliche Stärkung des individuellen Persönlichkeitsrechts des Mitarbeiters bewirken können. Wenn der Arbeitgeber seinen Informationsverpflichtungen nach 80 Abs. 2 S. 1 BetrVG nachkommen will, kann er dabei nicht etwa um des guten Einvernehmens mit dem Betriebsrat willen oder in der irrigen Annahme, damit auch dem Gebot der vertrauensvollen Zusammenarbeit ( 2 Abs. 1 BetrVG) zu folgen freizügig und bedenkenlos die Mitarbeitervertretung mit Daten zu seinen Arbeitnehmern bedienen. Er hat vielmehr zuvor zu prüfen, ob die Datenzuführung gem. 32 oder u.u. 28 BDSG 9 an den Betriebsrat überhaupt erforderlich ist. Die Erforderlichkeit bestimmt sich dabei nicht allein oder maßgeblich nach den Erfor - dernissen der Betriebsratsarbeit 10, sondern wesentlich aufgrund einer Interessenabwägung der Vertragsparteien, also zwischen Arbeitgeber und Arbeitnehmer 11. Ein Unterlaufen der Informationsansprüche des Betriebsrats ist nicht zu befürchten, da der Arbeitgeber prinzipiell zur Unterrichtung und Auskunftsgewährung gegenüber der Mitarbeitervertretung verpflichtet bleibt. Die Informationsversorgung des Betriebsrats wird lediglich durch die Anwendung der BDSG-Prüfkriterien kanalisiert und ggf. korrigiert. Es bedeutet eine grobe Missachtung des informationellen Selbstbestimmungsrecht des betroffenen Mitarbeiters, wenn seine Interessen bei der Kommunikation zwischen Arbeitgeber und Arbeitnehmervertretung völlig außer Betracht bleiben und dem Fitting schen Credo blind gefolgt würde: Der ArbGeb. kann sich gegenüber einem Auskunftsverlangen des BR nicht auf den Schutz des Persönlichkeitsrechts des ArbN berufen 12. II. Prozessuale Verwertungsverbote bei mitbestimmungswidrig beschafften Daten Hat der Arbeitgeber ohne die erforderliche Zustimmung des Betriebsrats Daten über einen Mitarbeiter erhoben, so stellt sich die Frage, welche Relevanz diese Informationen in einem Gerichtsverfahren haben können. Wurden unter Missachtung des Mitbestimmungsrechts der Mitarbeitervertretung beispielsweise Videoaufzeichnungen vorgenommen (vgl. 87 Abs. 1 Nr. 6 BetrVG) und diese Aufnahmen in einen Kündigungsschutzprozess eingeführt, wird von der Rechtsprechung und der wohl h.m. unterschieden: Als mitbestimmungswidrig gewonnene Erkenntnisse sollen die aufgezeichneten Daten grundsätzlich einem Beweisverwertungsverbot unterliegen 13. Sie sind mithin als Mittel zum Beweis für ein streitiges 4 Vgl. zuletzt nur BAG, RDV 2012, 192(196); LAG Niedersachsen, Beschluss vom TaBV 39/11; Kort, RDV 2012, 8(10); Wybitul, ZD 2012, Vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdn. 936 ff. 6 Schmidt in Taeger/Gabel, BDSG, 1 Rdn. 33; Weichert in Däubler u.a., BDSG, 1 Rdn. 13; Gola/Schomerus, BDSG, 1 Rdn. 24; Dix in Simitis u.a., BDSG, 1 Rdn. 170: Nur eine deckungsgleiche, tat - bestandskongruente Norm geht dem BDSG vor. 7 Dix in Simitis u.a., 1 Rdn. 170 mit zahlreichen Beispielen; Büllesbach in Roßnagel (Hrg.), Handbuch Datenschutzrecht, Kap. 7.1 Rdn Zur teilweisen Sachverhaltskongruenz vgl. Weichert in Däubler u.a., 1 Rdn. 13; Gola/Schomerus, 1 Rdn Vgl. BAG RDV 2012, 192 (194 ff). 10 Vgl. Schaub, 233 Rdn. 16 zur 2-Stufenprüfung: Aufgabenbezug- Erforderlichkeit; Fitting, 80 Rdn. 51 f. 11 Vgl. Gola/Schomerus, 32 Rdn. 14; Zöll in Taeger/Gabel, 32 Rdn Fitting, 80 Rdn BAG, NZA 1998, 307; Fitting, 87 Rdn. 256; Schaub, 235 Rdn.24; Däubler, Gläserne Belegschaften?, Rdn. 838 c; Fischer, BB 1999, 154.

12 Wronka, Eingrenzungen des informationellen Selbstbestimmungsrechts des Arbeitnehmers? RDV 2012 Heft vertragswidriges Verhalten des Arbeitnehmers in einem Kündigungsschutzverfahren nicht zugelassen. Beweistauglichkeit billigt das BAG derartigen unter Verstoß gegen das Mitbestimmungsrecht erlangten Dokumentationen allerdings dann zu, wenn die Mitarbeitervertretung ihrer Einführung in den Prozess durch den Arbeitgeber nachträglich zustimmt 14, damit also faktisch nicht nur eine entsprechende Datennutzung genehmigt, sondern zwangsläufig inzidenter auch die vorangehende Erhebung und Speicherung im Nachhinein absegnet: Ohne Speicherung der erhobenen Daten wäre deren Nutzung wohl schwerlich möglich. Ist der Betriebsrat dazu nicht bereit, soll die Ein - führung nicht mitbestimmt generierter Informationen (Video- und andere technische Aufzeichnungen) gleichwohl keineswegs irrelevant sein. Das BAG wertet vielmehr ihre Vorlage als Tatsachenvortrag des Arbeitgebers mit der Folge, dass das ArbG an ihn gebunden ist und ihn bei seiner Entscheidung berücksichtigen muss, wenn der Arbeitnehmer den veranschaulichten Sachverhalt nicht bestreitet 15. Diese arbeits- und prozessrechtliche Sichtweise kollidiert im Hinblick auf die Aussagen des Gerichts zur Beweiskraft von Unterlagen, die unter Außerachtlassung des Mitbestimmungsrechts vom Arbeitgeber produziert wurden, mit datenschutzrechtlichen Geboten. Das BAG (5. Senat) hatte in seinem Urteil vom entschieden, dass eine Datenerhebung, die unter Verstoß gegen das Mitbestimmungsrecht des Betriebsrats erfolgt, rechtswidrig und die sich anschließende Speicherung der Daten ebenso unzulässig ist: Sollten sie dennoch gespeichert werden, kann der Arbeitnehmer ihre Löschung verlangen 17. Der 1. Senat hatte sich dieser Beurteilung angeschlossen 18. Das Gericht hatte seinerzeit zwar von einem Löschungsverlangen des Betroffenen gesprochen, damit aber den Umfang der Rechtsposition des Arbeitnehmers in den beiden Verfahren nicht streitentscheidend nur unvollständig beschrieben. Ist die Rechtswidrigkeit der Speicherung von Videodaten allein bzw. maßgeblich auf die Verletzung des Mitbestimmungsrechts des Betriebsrats zurückzuführen, hat die Datenlöschung aufgrund der dadurch begründeten unzulässigen Speicherung kraft Gesetzes unverzüglich zu erfolgen 19. Gem. 35 Abs. 2 S. 2 BDSG sind die Daten vom Arbeitgeber zu löschen, ohne dass der Arbeitnehmer aktiv werden muss; er braucht weder das zu seinen Gunsten bestehende Recht ( 6 Abs. 1 BDSG) ausdrücklich geltend zu machen, noch ist es erforderlich, dass er sich mit einem Ersuchen oder einer Anweisung an die verantwortliche Stelle also den Arbeit - geber wendet 20. Nun wird in der Literatur die Ansicht vertreten, dass eine zunächst infolge des Mitbestimmungsmangels unzulässige Speicherung geheilt, d.h. rechtswirksam werden kann, wenn die Ausübung des Mitbestimmungsrechts später erfolgt 21. Zur Begründung wird im Wesentlichen auf das Tatbestandsmerkmal ist in 35 Abs. 2 S. 2 Nr. 1 BDSG abgestellt, das angeblich eine ex nunc-beurteilung fordere. Ob diese Interpretation immer zu überzeugenden Ergebnissen führt, mag dahinstehen. Immerhin lag bis zur nachgeholten Zustimmung des Betriebsrats eine rechtswidrige Speicherung vor, die sofort ohne Hinzutreten irgendwelcher Willensäußerungen durch Löschung hätte beseitigt werden müssen. Gerade wenn sich der Arbeitgeber über einen längeren Zeitraum nicht gesetzestreu verhalten, weil nicht gelöscht, hat: Soll ihm ex post auf einmal qua entsprechender und einigermaßen unberechenbarer Spätreaktion des Betriebsrats das Testat eines legalen Datenumgangs erteilt werden? Es erscheint überaus fraglich, ob die strikte Löschungsanweisung des Gesetzes sozusagen als disponibel angesehen und die Befolgung von der Goutierung durch den Betriebsrat abhängig gemacht werden kann. Und soll die nachträgliche Zustimmung des Betriebsrats auch den bereits vollendeten Ordnungswidrigkeitentatbestand des 43 Abs. 2 Nr. 1 BDSG kassieren? Sei s drum, das BAG mag sich bei der Gestattung der Videoaufzeichnung als Beweismittel nach Abnicken des Betriebsrats post festum 22 nicht an derartigen datenschutzrechtlichen Bedenken gestoßen haben. Im Ergebnis steht es seinem Spruch zufolge im Belieben der Mitarbeitervertretung, darüber zu befinden, ob sie nachträglich die Erhebung, Speicherung und Nutzung der Mitarbeiterdaten rechtswirksam genehmigen und dem Betroffenen seinen gesetzlichen Löschungsanspruch Bestandteil seines informationellen Selbstbestimmungsrechts 23 zugestehen will. Oder anders ausgedrückt: Das individuelle Recht auf informationelle Selbstbestimmung wird aufgrund gerichtlicher Ermächtigung des Betriebsrats einer unkalkulierbaren und keineswegs zwingend stets im Schutzinteresse des Betroffenen liegenden Kollektiventscheidung untergeordnet. n 14 BAG, NZA 2003, 1193; ebenso Schaub, 235 Rdn. 24; Fitting, 87 Rdn BAG, NZA 2008, 1008; ebenso Schaub, a.a.o.; Fitting, a.a.o. Kritisch zu den begrenzten Möglichkeiten des Bestreitens durch den Arbeitnehmer Rolf/Stöhr, RDV 2012, 119 (124 f). 16 RDV 1987, 129 Personalfragebogen. 17 RDV 1987, 129 (130). 18 RDV 1988, 197 (199) Fahrtenschreiber ; ebenso Däubler, Gläserne Belegschaften?, Rdn Zu der Berücksichtigung anderer die Rechtswidrigkeit begründender Sachverhalte und den dabei evtl. anzustellenden Überlegungen bzgl. einer Rechtsgüter- und Interessenabwägung vgl. BAG vom AZR 537/06 Taschenkontrollen ; Rolf/Stöhr, RDV 2012, 119 ff. 20 Dix in Simitis u.a., 35 Rdn Däubler in Däubler u.a., 35 Rdn. 18; Gola/Schomerus, 35 Rdn. 11; Meents in Taeger/Gabel, 35 Rdn. 19 f. 22 NZA 2003, Dix in Simitis u.a., 6 Rdn. 3.

13 280 RDV 2012 Heft 6 Hrach / Nöbel / Richthof / Alt, Datenschutz im Call Center Christian Hrach /Lars Nöbel / Niels Sören Richthof /Prof. Dr. Rainer Alt, Leipzig* Datenschutz im Call Center: Aufzeichnung und Verwendung personen - bezogener Daten Abstract Dienstleister in der Telekommunikationsbranche sind zu einem sensiblen Umgang mit personenbezogenen Daten verpflichtet. Dies bezieht sich nicht nur auf Kundendaten, sondern ebenso auf mitarbeiterbezogene Daten zur Führung eines Call Centers. Je nach Situation und Anwendungsfall regeln das allgemeine Persönlichkeitsrecht und das Bundesdatenschutzgesetz (BDSG) die Verwendungsmöglichkeiten dieser Daten in Call Centern. Bei der Entwicklung und dem Einsatz von Anwendungssystemen ergibt sich hier ein Spannungsfeld aus der Einhaltung rechtlicher Vorgaben einerseits und dem häufig detailreichen Informationsbedarf des Call Center-Managements andererseits. Dieser Beitrag unternimmt eine Bestimmung der Grenzen und Grauzonen bezüglich der Verwendungsmöglichkeiten von Leistungsdaten zur Mitarbeiterüberwachung und -beurteilung (z.b. verdecktes Mithören oder Gesprächsaufzeichnung). I. Relevanz des Datenschutzes in Call Centern Heutige Call Center (CC) setzen umfassend Informa - tions- und Kommunikationstechnologien (IKT) zur Unterstützung ihrer Aufgaben ein. Beispiele sind Kampagnenmanagement-Systeme, Predictive Dialer und Systeme zur Gesprächsaufzeichnung. Daraus geht hervor, dass nicht nur die unmittelbare Kundeninteraktion betroffen ist, sondern CC auch intern ein Controlling ihrer Abläufe durchführen. Sowohl für Anrufe von Kunden (sog. Inbound Calls ) als auch Anrufe an Kunden (sog. Outbound Calls ) besteht die Möglichkeit zur Erfassung, Speicherung und Verwendung von Gesprächs- und Kundendaten, bspw. in Form einer Echtzeitüberwachung der Arbeitsleistung sowie des Sprechverhaltens der Agenten 1. Da CC zusätzlich zu den vor Gesprächsbeginn erfassten Daten (z.b. aus Webformularen oder der Kundendatenbank des Auftraggebers) auch die Gesprächsdaten selbst auswerten könnten, stellt sich die Notwendigkeit zum sensiblen Umgang mit den anfallenden personenbezogenen Daten 2. Bei der konkreten Ausgestaltung der allgemeinen Datenschutzregeln für Dienstleistungsunternehmen sind CC als Anwendungsbereich von besonderem Interesse: Einerseits ist bei deutschlandweit über Mitarbeitern in ca Unternehmen 3 und einer durchaus siebenstelligen Anzahl von Gesprächen pro Jahr in mittelgroßen CC alleine das Aufkommen personenbezogener Daten sehr hoch. Zum anderen beruht das Qualitätsniveau eines CC in hohem Maße auf der Beratungsqualität, was sich etwa in einer zeitnahen Beantwortung von Kundenanfragen oder der Lösung von Kundenproblemen niederschlägt. Daher besteht seitens des CC-Unternehmens und dessen Auftraggeber eine Motivation zur Kontrolle der Gesprächsführung. Zur Verfolgung der Arbeitsleistung der CC-Agenten sind Maßnahmen zur Beobachtung und Bewertung von Gesprächsverhalten, Kundenorientierung und Fachkenntnissen etabliert 4. Mit dem Einsatz von IKT haben CC in den vergangenen Jahren verstärkt Möglichkeiten zur automatischen, teilweise sogar in Echtzeit während der Gesprächsführung erfolgenden Gesprächsanalyse erhalten. Bei einem durchschnittlichen Mitarbeiterwachstum von 8% p.a. 5 bilden umfassende Daten aus den operativen Telefoniesyste men die Voraussetzung für feingranulare Auswertungen von Mitarbeiterdaten. Die meisten CC- Unternehmen erfassen mittlerweile regelmäßig Daten aus dem operativen Betrieb, wie etwa die Anzahl der Gespräche pro Zeiteinheit, die durchschnittliche Gesprächsdauer oder kumulierte Pausenzeiten. Sie nutzen die daraus gewonnenen Informationen sowohl zur verbesserten Arbeitszeit- und Leistungsüberwachung der Agenten durch das Leitungspersonal und zur Abrechnung gegenüber den externen Auftraggebern als auch zur Qualitätsverbesserung in der Gesprächsführung 6. Die nachfolgende Standortbestimmung zeigt die Möglichkeiten und Grenzen der dabei auftretenden Verwendung personenbezogener Daten. II. Bundesdatenschutzgesetz als rechtliche Basis Nach 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natür- * Prof. Dr. Rainer Alt ist Inhaber des Lehrstuhls für Anwendungs - systeme in Wirtschaft und Verwaltung an der Universität Leipzig. Christian Hrach ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Anwendungssysteme in Wirtschaft und Verwaltung an der Universität Leipzig. Lars Nöbel ist Director Research der IT Sonix AG. Niels Sören Richthof ist Director Professional Services der IT Sonix UK Ltd. 1 Hrach/Alt, Fallstudien zum Einsatz von Business Intelligence in Call Centern (Institut für Wirtschaftsinformatik Universität Leipzig, Leipzig, 2010). 2 Hrach/Alt/Nöbel, Datenschutz im Callcenter, HMD Praxis der Wirtschaftsinformatik 281 (2011), S Call Center Atlas 2009, profitel consultpartner GmbH, Hoss, Callcenter: Mitarbeiterkontrollen auf dem datenschutzrechtlichen Prüfstand. Universität Kassel, bitstream/urn:nbn:de:hebis: /3/hosscallcenter.pdf; Zugriff am Call Center Atlas 2009, profitel consultpartner GmbH, Hrach/Alt, a.a.o.

14 Hrach / Nöbel / Richthof / Alt, Datenschutz im Call Center RDV 2012 Heft lichen Person. Ihre Erhebung, Verarbeitung und Nutzung unterliegt nach 4 Abs. 1 BDSG grundsätzlich einem Verbot mit Erlaubnisvorbehalt, wonach ein solcher Vorgang nur dann zulässig ist, wenn er durch eine rechtsverbindliche Einwilligung des Betroffenen bzw. durch das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift gestattet ist. Hierbei ist es unerheblich, ob es sich um personenbezogene Kunden- oder Mitarbeiterdaten handelt. Zunächst sind sämtliche personenbezogene Daten betreffende Kontrollmechanismen an die Mitbestimmungsregelungen des Betriebsverfassungsgesetzes gebunden. Diese gelten jedoch nur, wenn in einem CC ein Betriebsrat existiert (s. 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG sowie 94 Abs. 2 BetrVG). Einer auf CC- Bedürfnisse zugeschnittenen Betriebsvereinbarung 7 kommt dabei die Stellung eines innerbetrieblichen Datenschutzrechts zu, das nach 77 Abs. 4 BetrVG gegenüber den allgemeinen datenschutzrechtlichen Vor - schriften vor ran gig anzuwenden ist. Für CC ohne Betriebsrat bzw. ohne Vereinbarung mit der Beschäftigtenvertretung ist das Bundesdatenschutzgesetz (BDSG) direkt anzuwenden, das auf einfachgesetzlicher Ebene allgemeine rechtliche Grundsätze zum Datenschutz festschreibt, um die Persönlichkeitsrechte von Einzelpersonen zu schützen. Im Allgemeinen dürfen Unternehmen Telefondaten der Mitarbeiter zur Missbrauchskontrolle und zur Analyse der Kosten nutzen 8, nicht aber zur darüber hinausgehenden umfassenden Kontrolle der Leistung hinsichtlich des Verhaltens am Telefon. Bezogen auf die CC-Branche ist der im aktuellen Gesetzesentwurf zum Beschäftigtendatenschutz (BDSG-E) neu formulierte sog. Call Center Paragraph 32i BDSG 9 von besonderem Interesse. Dieser soll in Zukunft regeln, inwiefern ein Call Center die Arbeitsleistung und Qualität eines Mitarbeiters erfassen und verarbeiten darf. Neben dem BDSG haben CC auch Grundrechte zu beachten. So liegt bspw. bei einer Verarbeitung personenbezogener Daten gegen den Willen der betroffenen Person ein Eingriff in die informationelle Selbstbestimmung vor 10. Darüber hinaus zählt das Recht am gesprochenen Wort nach 75 Abs. 2 BetrVG zu den Schutzgütern des allgemeinen Persönlichkeitsrechts. Es beinhaltet die jedermann zustehende Befugnis darüber zu entscheiden, ob das gesprochene Wort nur dem Gesprächspartner oder auch mithörenden Dritten zugänglich sein soll. Ein CC-Betreiber besitzt zahlreiche Möglichkeiten zur Analyse und Verwendung von Kundendaten 11. Dazu gehören bspw. das Mithören der Gespräche mit oder ohne Aufzeichnung sowie das Speichern und retrospektive Auswerten der kundenspezifischen Daten, Gesprächsinhalte und Verbindungsdaten. Bei Vertragsverhältnissen muss nach 28 Abs. 1 Nr. 1 BDSG die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im direkten Zusammenhang zum jeweiligen Vertragszweck stehen. Ein Umgang mit diesen Daten ist nur zur Erfüllung und Unterstützung der gegen - sei tigen, sich aus dem Vertrag ergebenden Pflichten gestattet. Gleiches gilt bei vertragsähnlichen Vertrauensverhältnissen, wie vor- oder nachvertraglichen Verhältnissen 12. Vorvertragliche Vertrauensverhältnisse im Sinne des 311 Abs. 2 Nr. 2 BGB sind im CC dann anzunehmen, wenn ein telefonischer Kontakt zum Kunden in Vorbereitung eines späteren Vertragsabschlusses stattgefunden hat. In jedem Fall ist vor einer Speicherung von im Gespräch mitgeteilten, nicht aber mit dem Geschäftszweck unmittelbar in Zusammenhang stehenden Daten immer die ausdrückliche Einwilligung des Kunden erforderlich (z.b. wenn der Agent bei der telefonischen Vermittlung eines Bankkredits erfährt, dass das Geld für den Kauf eines PKWs bestimmt ist). Die separate Speicherung personenbezogener Daten in analyseorientierten Speicherstrukturen (z.b. Data Warehouses) und ihre Verwendung zur Kundensegmentierung bzw. -klassifikation sowie ein auf diesen Ergebnissen aufbauendes Marketing sind grundsätzlich nicht durch den ursprünglichen Vertragszweck gedeckt. Dies wäre nur dann der Fall, wenn die Speicherung personenbezogener Daten im Data Warehouse und deren Auswertung Gegenstand der Vertragsbeziehung sind oder sich aus den vertraglichen oder vertragsähnlichen Zwecken eindeutig ableiten lassen 13. Klare organisatorische Richtlinien sowie Regeln in Anwendungssystemen sollten verhindern, dass CC-Mitarbeiter durch Abfragen unzulässige Persönlichkeitsprofile erstellen. Möglich ist dagegen nach 28 Abs. 1 Nr. 2 BDSG die Verwendung selbsterstellter oder aus öffentlichen Quellen entnommener personenbezogener Daten für eigene Geschäftszwecke zur Wahrung berechtigter Interessen des CC, wenn entgegenstehende schutzwürdige Interessen des Betroffenen nicht anzunehmen sind, z.b. die Speicherung der Kontaktdaten eines Ansprechpartners von einer Unternehmens-Webseite. Eine Entscheidung hier über ist jedoch aufgrund des Fehlens von gesetzlichen Spezifikationen und Gerichtsurteilen zur generellen Auslegung dieser Formulierung für jeden Anwendungsfall individuell zu prüfen. Bei der Erstellung eines Kundenprofils, das etwa aus dem Einkaufsverhalten, den Vorlieben und dem bisherigen Zahlungsverhalten besteht, sind überwie- III. Datenschutz für Kundendaten 7 Brandenburger, DPVKOM schließt Musterbetriebsvereinbarung ab DPVKOM Magazin (2010) Jan/Feb, S Mengel, Kontrolle der Telefonkommunikation am Arbeitsplatz Betriebs Berater (2004) 26, S Bundesministerium der Justiz, Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes vom images/stories/entwurf-beschaeftigtendatenschutz.pdf; Zugriff am Vgl. BVerfG , NJW 1984, Siehe Tabelle Büllesbach, Datenschutz bei Data Warehouses und Data Mining Computer und Recht (2000) 1, S Büllesbach, a.a.o.

15 282 RDV 2012 Heft 6 Hrach / Nöbel / Richthof / Alt, Datenschutz im Call Center gend schutzwürdige Interessen des Betroffenen anzunehmen 14. Personenbezogene Daten sind nach 28 BDSG bei Vorliegen berechtigter Interessen eines Dritten für andere Zwecke nutzbar. Dies gilt jedoch nur dann, wenn auch hier keine schutzwürdigen Interessen anzunehmen sind bzw. kein Widerspruch vorliegt. Bei der Datenerhebung ist der Verarbeitungszweck immer konkret anzugeben und es sind nach 3a BDSG personenbezogene Daten so sparsam wie möglich zu verarbeiten und zu nutzen. Beispielsweise sind für die Erhebung eines rein geschlechterspezifischen Meinungsbildes Geburtsdatum und Adresse nicht notwendig. Unabhängig von geltenden Rechtsvorschriften kann der Betroffene die Verarbeitung und Nutzung seiner Daten gestatten. Grundsätzlich ist eine solche Einwilligung nach 4a Abs. 1 BDSG explizit zu formulieren und schriftlich abzugeben, wobei Ausnahmen aufgrund besonderer Umstände nach 4a Abs. 1 BDSG in der Regel zulässig sind, wie etwa das Drücken einer Telefontaste oder das Fortführen eines Telefonats nach einer Ansage 15. Das CC muss den Betroffenen für eine rechtswirksame Einwilligung nach 4 Abs. 3 BDSG aber über die Tragweite seiner Einverständniserklärung informieren, wobei die Informationspflicht bei der Erhebung der Daten (z.b. im Kundengespräch) bzw. bei der erstmaligen Speicherung beginnt. Ge - nerisch verfasste Informationen (wie eine Datenverwendung zu allgemeinen Werbezwecken ) sind nicht ausreichend, vielmehr ist der jeweilige Verarbeitungszweck konkret zu benennen. Eine Einwilligung zur Datenauswertung im Sinne des 4a Abs. 1 BDSG kann zum Zeitpunkt der Datenerhebung nur dann wirksam erfolgen, wenn der Verarbeitungszweck konkret bekannt und angegeben ist. Sollte sich bei Auswertungen der Verarbeitungszweck erst nachträglich aus dem Ergebnis der Verarbeitung ergeben (etwa bei ungerichteter Suche nach Datenmustern beim Data Mining), dann verbleibt als Alternative das Verwenden anonymisierter Daten im Sinne des 3 Abs. 6 BDSG. Sollten durch Einwilligung legitimierte Auswertungen oder andere Maßnahmen zur Erstellung eines Persönlichkeitsprofils führen, so ist dieser Eingriff in das Persönlichkeitsrecht einer Person aber unter Umständen nicht mehr mit einer rechtswirksam erteilten Einwilligung zu rechtfertigen 16, d.h. selbst bei rechtlich einwandfrei erteilten Einwilligungen sind umfassende Kundenanalysen zumindest mitzuteilen oder gar zu verhindern 17. IV. Datenschutz für Mitarbeiterdaten 1. Grundsätzliche Regelungen Wie in Kap. 2 erwähnt, dürfen nach aktueller Gesetzeslage Unternehmen personenbezogene Mitarbeiterdaten für Zwecke des Beschäftigungsverhältnisses erheben, verarbeiten oder nutzen, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist und keine umfassende Leistungskontrolle umfasst (vgl. 32 Abs. 1 Satz 1 BDSG). Für CC besteht die Besonderheit, dass Telefongespräche im Gegensatz zu den meisten anderen Unternehmen die zentrale Tätigkeit innerhalb des Leistungsprozesses darstellen. Nach der geplanten Novellierung des BDSG sollen Arbeitgeber bei Tätigkeiten mit einem wesentlichen Anteil an Telefondiensten erweiterte Kontrollbefugnisse erhalten. Dazu dürfte der Arbeitgeber nach dem Entwurf des 32i Abs. 2 Satz 2 die ausschließlich zu beruflichen oder dienstlichen Zwecken genutzten Telefondienste als wesentlichen Bestandteil der geschuldeten Arbeitsleistung betrachten und damit verbundene Inhalte erheben, verarbeiten und weiternutzen. Allerdings wären der Beschäftigte und seine Kommunikationspartner vorher über diese Möglichkeit zu informieren und müssten ihre Einwilligung erteilt haben. Nach einer Entscheidung des Bundesarbeitsgerichts 18 zur Verwendung von Telefondaten in CC können Arbeitgeber bei einer automatisierten Telefondatenerfassung die Zahl und die Dauer der eingehenden Anrufe registrieren und bspw. als Bedienplatzreports auswerten. Daraus ist u.a. die Pausenhäufigkeit und -dauer der Agenten ablesbar. Auch Verhaltens- und Leistungskontrollen durch den Arbeitgeber sind nach 32 Abs. 1 Satz 1 BDSG grundsätzlich zulässig, dürfen aber nicht zu tief in das Persönlichkeitsrecht der Mitarbeiter ein greifen 19. Nach derzeitiger Rechtsprechung sind konkrete Kontrollvorhaben nach 28 Abs. 1 Satz 1 Nr. 1 BDSG einzelfallbezogen einer Prüfung auf Verhältnismäßigkeit und Erforderlichkeit bezüglich des Arbeitsverhältnisses zu unterziehen, wobei über mäßige Leistungskontrollen hinsichtlich des allgemeinen Telefonverhaltens dem Mitarbeiteranspruch auf freie Persönlichkeitsentfaltung nach 75 Abs. 2 BetrVG widersprechen. Regelmäßig stattfindende Analysen in aggregierter bzw. anonymisierter Form sind aufgrund des fehlenden Bezugs zu Einzelpersonen nicht dem Datenschutzrecht unterworfen. So sind Daten zur Arbeits leistung durch die Bildung von Mitarbeitergruppen wirksam anonymisier bar, wobei es von Gruppengrößen und Überwachungszeiträumen abhängt, ob es sich nicht doch um eine personenbezogene Mitarbeiterkontrolle handelt. Sobald jedoch die Verarbeitung von Gruppendaten zur Überwachung von Verhalten und Leistung einzelner Agenten geeignet ist und sich daraus konkrete Konsequenzen (z.b. Nachschulungen) ableiten lassen, dann ist bei der Implementierung dieser Datenverarbeitung nach 87 Abs. 1 Nr. 6 BetrVG der Betriebsrat einzubeziehen Büllesbach, a.a.o. 15 Gola, Datenschutz im Call Center, 2. Aufl., Datakontext Fachverlag, Frechen, 2006, S Gola, a.a.o., S. 104 ff. 17 Voigt, Gesprächsaufzeichnung im Servicecallcenter Opt-In oder Opt-Out? Datenschutz und Datensicherheit, 32 (2008) 12, S Vgl. BAG, NZA 1996, Vgl. BVerfG , NJW 1992, Gola, Datenschutz im Call Center, 2. Aufl., Datakontext Fachverlag, Frechen, 2006, S. 39.

16 Hrach / Nöbel / Richthof / Alt, Datenschutz im Call Center RDV 2012 Heft Mithören von Gesprächen Das offene Mithören von Agentengesprächen ist möglich, sofern es für das Anlernen der Mitarbeiter innerhalb der Probezeit erforderlich bzw. nicht dauerhaft angelegt ist 21. Insbesondere für Trainings- und Schulungszwecke ist diese Maßnahme auch weit verbreitet. Verdeckte Mithörmaßnahmen, wie das sogenannte Silent Monitoring, sind dagegen restriktiver zu hand - haben, da ein verdecktes Mithören von Telefonge - sprächen ohne Kenntnisnahme durch die beteiligten Personen nach 201 StGB im Allgemeinen verboten ist. Zu Ausbildungszwecken und zur Kontrolle der dienstlichen Aufgabenerfüllung ist in CC ein verdecktes Mithören der Agentenstimme wiederum als zulässig zu erachten, falls Mitarbeiter über die generelle Anwendung dieser Maßnahme informiert sind und die Verhältnismäßigkeit gewahrt bleibt 22. Das Beobachten oder offene Mithören durch den Vorgesetzten im Einzelfall und das erkennbare entfernte Mithören müssen Agenten auch ohne Einverständniserklärung akzeptieren 23. In Fällen, in denen das Kontrollrecht des Arbeitgebers (Einzelfall, anlassbezogen, unter Wahrung des Verhältnismäßigkeitsprinzips) greift, hat der Mitarbeiter nach geltender Rechtsauffassung nicht das Recht, sich dem Mithören zu entziehen 24. Dies gilt nach einem Urteil des BAG 25 insbesondere in der erwähnten Anlernphase während der Probezeit. 3. Aufzeichnen von Gesprächen Gegenüber dem Mithören macht die Aufzeichnung Gespräche jederzeit nachvollziehbar und dauerhaft verfügbar. Bei modernen Telefonanlagen, wie etwa der Internet-basierten Telefonie (Voice over Internet Protocol, VoIP), ist eine zumindest kurzzeitige Gesprächsaufzeichnung schon technisch bedingt, da hier die ankommenden Datenpakete zunächst zu puffern und dann wieder zu einem Sprachstrom zusammenzufügen sind. Bis jetzt ist hier keine klare rechtliche Regelung ersichtlich, ab welchem Speicherungszeitraum eine Gesprächsaufzeichnung vorliegt, d.h. ab wann eine Zustimmung beider Gesprächspartner zur Aufzeichnung erforderlich wird. Fraglich ist etwa, ob eine Gesprächsanalyse in Echtzeit (bspw. eine Stresslevelanalyse oder eine Inhaltserkennung), abgesehen von der offensichtlichen Datenauswertung, bereits den Tatbestand der Aufzeichnung erfüllt, da die Gesprächs - daten zumindest für einige Sekunden im Speicher vorgehalten werden. Um eine lückenlose Überwachung von Agenten (vgl. 75 Abs. 2 BetrVG) zu vermeiden, sollten CC das Mithören von Gesprächen gegenüber dem Aufzeichnen vorrangig anwenden, da es einen geringeren Eingriff in das Persönlichkeitsrecht bedeutet. Aufzeichnungen für Schulungen und zur Kontrolle der Gesprächsqualität im Rahmen der Betriebsvereinbarung sollten stichprobenartig (Einschränkungen nach zeitlichen bzw. objektiven Kriterien) oder einzelfallbezogen (bspw. wegen einer Kundenbeschwerde) erfolgen, wobei den Agenten ein zeitweises Unterbrechen der Aufzeichnung zu ermöglichen ist und diese über das Ende der Aufzeichnungen informiert sein sollten. Neben der Informa - tionspflicht (analog zum verdeckten Mithören) ist im Allgemeinen die freiwillige Einwilligung einer Person bezüglich Gesprächsaufzeichnungen zur Aufhebung der Strafbarkeit nach 201 StGB zwingend erforderlich. Dies gilt auch bei Auf zeich nungen zur Gewinnung von Beweismitteln für zivilrechtliche Streitigkeiten 26. Die Einwilligung muss die Zustimmung zu automatischen Datenauswertungen explizit enthalten 27. Für die Agenten ist die Einwilligung zur Datenverarbeitung i.d.r. direkter Bestandteil ihres Arbeitsvertrages 28. Initiiert das CC Kundenanrufe ( Outbound Calls ), dann müssen die Kunden der Aufzeichnung des ganzen Gesprächs zustimmen. Für die Dokumentation der Rechtssicherheit erfolgt dies etwa mittels Bandansage, durch einen Tastendruck des Kunden oder einer entsprechenden Frage während der Aufzeichnungsphase. Um die gespeicherten Gespräche auch ohne Einwilligung des Kunden verwenden zu können, bieten sich aktuelle Lösungen zur Gesprächsaufzeichnung (z.b. One Way Recordings ) an, die nur die Agentenstimme aufzeichnen. 4. Automatisierte Analysen Eine automatisierte Auswertung von Gesprächsdaten ist die Voraussetzung für umfassende Kundenanalysen und das Monitoring der Agententätigkeit. Beispielsweise kann automatisiert eine Zuordnung anrufender Kunden ( Inbound Calls ) zu einem entsprechenden Service-Team stattfinden. Weitere Anwendungsszenarien sind die Erlangung von Rechtssicherheit bei Vertragsabschlüssen, die Zustimmung zur Verwendung der personenbezogenen Daten in Bezug auf die Geschäftsbeziehung sowie die Bestimmung des Gesprächscharakters, beispielsweise zur Deeskalation eines Gesprächs. Hierfür stehen Daten zu Gesprächsinhalten und zum Sprechverhalten zur Verfügung, die gesetzeskonform aus dem Mithören und Mitschneiden von Telefonaten gewonnen worden sind. Auswertungen der Rahmen- 21 Vgl. BAG , NZA 1996, Mengel, Kontrolle der Telefonkommunikation am Arbeitsplatz Betriebs Berater (2004) 26, S Gesetzesbegründung zum 32 BDSG BT-Drs. 16/13657, S. 20 f. 24 Gola, Datenschutz im Call Center, 2. Aufl., Datakontext Fachverlag, Frechen, 2006; S Vgl. BAG, NZA 1996, Vgl. BVerfG vom BvR 1611/96, 1 BvR 805/ Gola, Datenschutz im Call Center, 2. Aufl., Datakontext Fachverlag, Frechen, 2006; S S. ausführlich Gola, a.a.o., S. 53 ff.

17 284 RDV 2012 Heft 6 Hrach / Nöbel / Richthof / Alt, Datenschutz im Call Center daten eines Telefonats (z.b. gewählte Rufnummer, Gesprächsdauer und -zeit punkt) bedürfen ebenfalls einer datenschutzrechtlichen Erlaubnis. Wie bereits erwähnt, sind Maßnahmen zur lückenlosen Telefondatenüberwachung der Mitarbeiter und die Erstellung eines Persönlichkeitsprofils zu vermeiden, wobei jedoch die Ermittlung und Darstellung des aktuellen Arbeitsstatus eines Agenten (z.b. im Kundengespräch, in Nachbearbeitung) als zulässig anzusehen ist 29. Die Abgrenzung von lückenloser Telefonüberwachung und Erstellung eines Persönlichkeitsprofils sollte sich individuell aus der Interessenabwägung zwischen dem CC und seinen Mitarbeitern und den jeweils eingesetzten Analyseverfahren ergeben. Beispielsweise könnte eine automatisierte Sprachanalyse bei Agenten zum Erkennen von Schimpfwörtern häufiger zum Einsatz kommen, da diese die Geschäftsbeziehung zwischen CC/Auftraggeber und Endkunde nachhaltig schädigen können und das CC dies frühzeitig erkennen sollte. Ähnliches gilt möglicherweise auch für die Analyse des sprachlichen Emotionslevels von Agenten, um rechtzeitig Hinweise zur Notwendigkeit eines Deeskalationstrainings zu erhalten. Haben Gesprächspartner einer Aufzeichnung und Analyse des Gesprächs zugestimmt, kann es bei nachträglichen automatisierten Analysen (sog. Batch-Analysen) zu einem technischen Konflikt kommen, da für die langfristige Speicherung die Aufzeichnungen zur Einsparung von Speicherplatz häufig kom primiert werden. Durch die Komprimierung leidet jedoch die Aufnahmequalität und somit die Qualität der Spracherkennung. Dies hat insbesondere Einfluss auf die sichere automatisierte Erkennung der Rechtskraft von Vertragsabschlüssen oder Opt-Ins und führt im Zweifelsfall zu manuellen Nachbearbeitungsmaßnahmen. V. Fazit Für CC und andere Unternehmen bleibt u.a. aufgrund der wachsenden Verbreitung von Multi-Channel-Strategien im Kundenkontakt auch weiterhin der Schutz personenbezogener Daten und die adäquate Gestaltung und Nutzung betrieblicher Anwendungssysteme von Bedeutung. Die für die wachsende CC-Branche notwendige klare Rechtsprechung zum Umgang mit personenbezogenen Daten im Rahmen des Telefonieprozesses ist jedoch nur partiell gegeben. Dies mag sich mit der in der Entstehung befindlichen EU-Verordnung zum Datenschutz ändern, welche als gesetzliche Basis mit unmittelbarer Wirkung ohne Umsetzungsspielräume innerhalb der gesamten EU gelten würde. Bis dahin sind bei den verschiedenen CC-Anwendungsszenarios mehr oder weniger konkret formulierte Richtlinien zu beachten (siehe Tabelle 1). 29 Gola, a.a.o., S. 38. Tabelle 1: Verwendbarkeit kunden- und mitarbeiterbezogener Daten in verschiedenen CC-Anwendungsszenarios Anwendungsszenarios im Call Center Verwendbarkeit Kundendaten Offenes Mithören Verdecktes Mithören Aufzeichnen von Gesprächen Speichern und retrospektives Auswerten der Daten Grundsatz Sparsame Verwendung personenbezogener Daten Wahrung des Verhältnismäßigkeitsprinzips (keine Erstellung eines Persönlichkeitsprofils) Verwendung personenbezogener Daten, solange kein Widerspruch durch den Kunden besteht Erlaubt für Gesprächsinhalte bzw. Kundendaten/-historie, wenn Mitarbeiterdaten Grundsatz freiwillige Einwilligung des Kunden besteht Wahrung des Verhältnismäßigkeitsprinzips (Einzelfall, anlassbezogen bzw. innerhalb der Probezeit) ein damit in direktem Zusammenhang stehender Vertragszweck existiert, bzw. berechtigte Interessen vorliegen und ein schutzwürdiges Interesse des Kunden nicht anzunehmen ist Wahrung des Verhältnismäßigkeitsprinzips (keine Erstellung eines Persönlichkeitsprofils) Erlaubt für Gesprächsinhalte bzw. Telefondaten (z.b. Dauer des Gesprächs, Login- Status des Agenten), wenn Maßnahmen nicht dauerhaft bestehen Maßnahmen nicht dauerhaft bestehen Mitarbeiter über die generelle Anwendung informiert sind Maßnahmen nicht dauerhaft bestehen freiwillige Einwilligung des Mitarbeiters erteilt ist zeitweise Unterbrechung der Aufzeichnungen möglich ist Ende der Aufzeichnungen im aktuellen Kontrollzeitraum angezeigt wird keine lückenlose Überwachung besteht

18 Kurzbeiträge Insbesondere für die Verwendung von Mitarbeiterdaten bei Gesprächsaufzeichnungen und -analysen zur Kontrolle der Agentenleistung ist zwischen den Arbeitgeberinteressen und dem allgemeinen Persönlichkeitsrecht der Arbeitnehmer abzuwägen. Dies betrifft u.a. das Fehlen von Grenzwerten zu Überwachungsintensität und -inhalten. Allgemein hat der Arbeitgeber die Grenze der zulässigen Kontrolle erreicht, wenn die Erstellung einer Persönlichkeitsbeschreibung möglich ist. Punktuelle Eingriffe in das Persönlichkeitsrecht der Mitarbeiter, die keinen übermäßigen Überwachungsdruck aufbauen und auf Ausnahmen beschränkt bleiben, sind dagegen in der Regel möglich. Existiert im CC ein Betriebsrat, kann der Abschluss einer Betriebsvereinbarung mit präzisen Regelungen zu Art und Umfang der Überwachung die Rechtssicherheit in Bezug auf die Kontrolle der Mitarbeiter erhöhen. Auch bei Kundendaten sind die Verwendungsmöglichkeiten bisher nicht in allen Bereichen ausreichend eindeutig gesetzlich beschrieben. Die Forderung nach einer freiwilligen Einwilligung durch den Kunden in eine konkret zu beschreibende Datenverwendung (z.b. für Mithör- oder Aufzeichnungsmaßnahmen) ist relativ einfach umsetzbar. Doch bereits die Entscheidung, ob es sich bei einer Zusammenstellung personenbezogener Kundendaten um ein unzulässiges Persönlichkeitsprofil handelt oder wann schutzwürdige Interessen anzunehmen sind, ist von der Art der Datenquelle, der (angenommenen) Einstellung des Kunden, den Absichten des Datenverwenders, dem Informationsgehalt der Daten und den technischen Hilfsmitteln (z.b. analytische Anwendungssysteme) abhängig. RDV 2012 Heft In jedem Falle sind angesichts der hohen Relevanz personenbezogener Daten für CC klare datenschutzrechtliche Vorgaben für die Gestaltung interner Prozesse sinnvoll. Dies beginnt schon bei einer (ggf. vorkonfigurierten) datenschutzkonformen Definition der Nutzer- und Zugriffsrechte. Gleichzeitig ist es möglich, im Falle sensibler Auswertungsanfragen (z.b. in automatischen Dialern) diese nicht auszuführen oder zumindest mit Warnhinweisen für die CC-Mitarbeiter anzuzeigen. Auch für die Erstellung von Gesprächsleitfäden und Dialogmasken in Kampagnenmanagement-Systemen sind in Richtung Datensparsamkeit weiterentwickelte Setup Wizards mit Positiv-/Negativ- Beispielen bzw. Hintergrundinformationen zum Datenschutz einsetzbar. Unter Verfolgung der informationstechnischen Möglichkeiten (z.b. Automatic Dialer, Speech and Emotion Recognition, Realtime Analysis bzw. Vocal Coaches) sollten CC proaktiv einen transparenten Umgang der Datenverwendung gegenüber Kunden und Mitarbeitern anstreben. Darüber hinaus ist für ein CC die Umsetzung datenschutzrechtlicher Vorgaben in Anwendungssystemen nicht zuletzt auch ein Beleg für eine datenschutzkonforme Auftragserfüllung gegenüber ihren Auftraggebern. Insbesondere in den rechtlichen Grauzonen sollten sie mit Vorsicht agieren, da negative Eindrücke seitens der Kunden die gesamte Kundenbeziehung beeinträchtigen und überzogene Kontrollmaßnahmen die Motivation der Mitarbeiter negativ beeinflussen können. n Kurzbeiträge Aus den Berichten der Aufsichtsbehörden (4) Prof. Peter Gola, Königswinter* Die Ortung mobiler Beschäftigter 1. Rechtsgrundlagen Die datenschutzrechtliche Rechtfertigung der Ortung extern Beschäftigter mittels GPS oder Handyortung kann sich aus arbeitsvertraglichen Kontrollrechten bzw. der im Direktionsrecht des Arbeitgebers liegenden Befugnis zur Organisation der Arbeitsabläufe ergeben. Die sich hieraus ergebenden Maßnahmen sind der Durchführung des Beschäftigungsverhältnisses zuzurechnen und damit in ihrer Erforderlichkeit im Rahmen des 32 Abs. 1 S. 1 BDSG zu prüfen (4. TB (2009) der Datenschutzaufsicht Thüringen für den nicht-öffentlichen Bereich, S. 15 = RDV 2010 S. 96 ). Nach dem LfD Baden-Württemberg (30. TB, 2010/ 2011, 2. Abschnitt Ziff. 7) kann auch 28 Abs. 1 S. 1 * Der Autor ist Ehrenvorsitzender des Vorstandes der Gesellschaft für Datenschutz und Datensicherheit, Bonn.

19 286 RDV 2012 Heft 6 Kurzbeiträge Nr. 2 BDSG den Erlaubnistatbestand bilden, wenn der Arbeitgeber die Daten nicht zur Durchführung des Beschäftigungsverhältnisses erhebt eine Fallkons - tellation, zu der aber ein Beispiel nicht genannt wird. Zur Durchführung des Beschäftigungsverhältnisses werden Daten erhoben, die der Arbeitgeber zur Wahrnehmung der sich aus dem Beschäftigungsverhältnis ergebenden Rechte und Pflichten benötigt. Zu den Rechten des Arbeitgebers gehört auch die Gestaltung der Organisation des Betriebes, in den der Arbeitnehmer zur Erfüllung seiner Arbeitspflicht eingegliedert ist. Erforderlich sind die in diesem Rahmen anfallenden Datenerhebungen und -verarbeitungen jedoch nur, wenn die berechtigten Informationsinteressen des Arbeitgebers auf andere, weniger eingreifende Weise nicht oder nicht angemessen gewahrt werden können. Zu beachten ist, dass bereits bisher Möglichkeiten der Kontrolle von nicht an einen betrieblichen Arbeitsplatz gebundenen Mitarbeitern bestanden. So konnte der Arbeitgeber die Beschäftigten mit Mobiltelefonen ausstatten, über die sie jederzeit erreichbar sind, um ihren Aufenthaltsort und die dortige Tätigkeit nachzufragen oder um ihnen einen geänderten Arbeitsplan mitzu teilen (auf den Vorrang dieser Möglichkeit vor der Standort-Überwachung weist der LfD Rheinland- Pfalz (TB , Ziff ) hin). Hiervon abzuweichen bedarf der Begründung. Dass die Angaben des Mitarbeiters hier nicht überprüfbar sind, ist, für sich allein genommen, kein Argument. Gerechtfertigt werden kann die Aufzeichnung der Bewegungsdaten ausnahmsweise auch durch Einwil - ligung des Arbeitnehmers. Eine notwendigerweise freiwillige Einwilligung ( 4a Abs. 1 BDSG) liegt beispielsweise vor, wenn die Erhebung und Speicherung der Wegzeiten erfolgt, weil Außendienstmitarbeiter diese Daten für ihre Einkommenssteuer benötigen und die Fahrtenbuchfunktion von diesen nach Belieben ein- und abgestellt werden kann (LfD Baden-Württemberg, 30. TB, 2010/2011, 2. Abschnitt Ziff. 7). Sichergestellt sein muss jedoch, dass nur der betroffene Mitarbeiter die Ausdrucke der Daten erhält. nebst Tag, Kilometerstand und bei Kunden verbrachter Zeit können zur Abrechnung der dem Kunden in Rechnung zu stellenden Beträge erforderlich sein. Der Arbeitgeber muss sich nicht darauf beschränken, dass ihm entsprechende Notizen des Beschäftigten ausgehändigt werden (zur Berechtigung diesbezüglicher Kontrollen siehe auch Innenministerium Baden-Württemberg, TB 2007/2009, Abschnitt B 10.5 = RDV 2009, 243). Die Daten dürfen über die Abrechnung beim Kunden hinaus solange gespeichert werden, wie mit Kundenreklamationen normalerweise zu rechnen ist. Der LfD Baden-Württemberg (30. TB, 2010/2011, 2. Abschnitt, Ziff. 7) sieht eine Frist von 90 Tagen noch als angemessen an. Die Erfassung der Daten kann auch der Feststellung in der Vergangenheit liegender Arbeitsleistungen dienen, um z.b. Zulagen für Außendiensttätigkeiten abzurechnen (LDI NRW, 20. TB, 2011, Ziff. 7.6). 3. Optimierung des Personaleinsatzes Legitime Ziele sind darüber hinaus die Unterstützung des Managements des externen Kundendienstes oder die Optimierung der Transportplanung durch die Senkung von Verwaltungsaufwand, Zeitersparnis und Überstundenabbau. Für die Speicherung der Daten besteht jedoch nur solange ein berechtigter Anlass, wie der Standort sich noch nicht verändert hat. 4. Diebstahl- und Zweckentfremdungsschutz Zu nennen ist natürlich auch eine GPS-Überwachung des Fuhrparks oder von Baumaschinen, die allein der Nachspürung bei einem Autodiebstahl oder bei Unfall dient. Hier genügt es, wenn der Sender im Gefährdungsfall aktiviert wird; so z.b. wenn das Fahrzeug unbeobachtet abgestellt ist oder sich außerhalb des erlaubten Bewegungsspielraums befindet. Ggf. sollte die Aktivierung seitens des Fahrers so z.b. bei einem Unfall oder Betriebsschaden erfolgen können. 2. Gründe zur Kontrolle der Arbeitszeit bzw. -einsätze Im Rahmen der Durchführung des Beschäftigungsverhältnisses ist der Arbeitgeber befugt, die Einhaltung der Arbeitszeit zu kontrollieren. So wie die Kontrolle der Einhaltung der Arbeitszeit durch Zeiterfassungsgeräte erfolgen kann, kann sie bei externen Mitarbeitern auch mit GPS-Ortungstechnik erfolgen, wenn Beginn oder Ende der Arbeitszeit mit Beginn bzw. Ende der Fahrt mit dem Dienstwagen zusammenfällt. Ggf. besteht aber auch ein berechtigtes Interesse an der nachkontrollierbaren zeitgenauen Erfassung des Beginns und des Endes der Arbeitszeit am jeweiligen Arbeitsort. Die Erfassung der An- und Abfahrtszeiten 5. Sicherheit der Mitarbeiter Der Sicherheit der Beschäftigten kann die Ortung eines Geldtransportfahrzeugs bzw. seiner Besatzung dienen. Gleiches gilt für den GPS-Sender im Einsatzanzug eines Feuerwehrmanns oder im Überlebens - anzug des Mitarbeiters einer Bohrinsel. 6. Geheime Überwachung Soll die Überwachung geheim erfolgen, so kann das zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten zulässig sein. In jedem Falle ist das Überwachungsinteresse im Rahmen des Verhält-

20 Kurzbeiträge nismäßigkeitsprinzips abzuwägen mit entgegenstehenden schutzwürdigen Interessen des Beschäftigten. Fälle aus den aktuellen Tätigkeitsberichten der Aufsichtsbehörden machen dies konkret. Eine geheime Überwachung kann nach der geltenden Rechtslage durch 32 Abs. 1 S. 2 BDSG gerechtfertigt sein. Voraussetzung ist, dass tatsächliche Anhaltspunkte zur missbräuchlichen Verwendung des Fahrzeugs oder sonstigen Fehlverhalten des Mitarbeiters vorliegen und dass der Fahrer des Dienstwagens bei seiner be ruflichen Tätigkeit Straftaten oder vergleichbare Verfehlungen begangen hat. Die Erhebung und Speicherung der Daten muss zur Aufklärung und Verhinderung weiterer Taten unabdingbar erforderlich sein. Zudem darf das schutzwürdige Interesse des Betrof - fenen am Unterbleiben der Maßnahme nicht über - wiegen, was z.b. bei Unverhältnismäßigkeit der Maßnahme gegeben sein kann. Ein Überwachungsbedarf kann nach Auffassung der Aufsichtsbehörde Thüringen (4. TB, 2009, S. 15 = RDV 2010, S. 96) befristet für 5 Tage bestehen, wenn ein Mietwagenunternehmer auf Grund konkreter Hinweise den Verdacht hat, dass ein Mitarbeiter den Dienst wagen während und nach dem Dienst unbefugt für Privatfahrten nutzt. 7. Zugriffs- und Einsichtsrechte Zugang zu den Standortdaten dürfen alle die Vor - gesetzten haben, die diese zur Wahrnehmung ihrer Funktion benötigen. Dazu gehört bespielweise der Transportleiter, nicht aber der Personalleiter. Ein ständiges Einsichtsrecht steht auch dem Betriebsrat im Rahmen seiner Kontrollaufgaben nicht zu und kann ihm auch nicht durch Betriebsvereinbarung eingeräumt werden (LfD Baden-Württemberg, 30. TB, 2010/2011, 2. Abschnitt Ziff. 7). Das Einsichtsrecht der betroffenen Beschäftigten ergibt sich aus 34 BDSG. 8. Transparenz Wird das Mobiltelefon geortet, so sieht 98 TKG die Information des Mitarbeiters in doppelter Weise vor. Der Teilnehmer (Arbeitgeber) ist aber gemäß 98 Abs. 1 Satz 2 TKG verpflichtet, die Nutzer (Arbeitnehmer) über eine erteilte Einwilligung zur Standorterfassung zu unterrichten. Daneben ist der Diensteanbieter verpflichtet, den Nutzer über die erfolgte Ortung per nachträglicher Textmitteilung zu informieren. Einige Diensteanbieter fordern darüber hinaus eine von dem zu ortenden Telefonnutzer abzugebende Einwilligungserklärung (BfDI, 23. TB, 2009/2010, Ziff. 7.2). Eine geheime Telefonortung ist somit ausgeschlossen. Nach dem BDSG ist auf Grund des Gebots der Direkterhebung des 4 Abs. 3 BDSG, die Überwachungsmöglichkeit dem Mitarbeiter transparent zu machen. Über das Speichern der Bewegungs daten ist nach 33 Abs. 1 BDSG zu informieren. 9. Kontrollgrenzen RDV 2012 Heft Ein unzulässiger Eingriff in das Persönlichkeitsrecht der Beschäftigten ist jedoch gegeben, wenn der Mit - arbeiter, losgelöst von einem bestimmten kon kreten Informationsbedarf des Arbeitgebers, einer Rundumkontrolle seiner Bewegungen außerhalb des Be - triebes unterworfen würde (zur Unzulässigkeit per ma - nenten Kontrolldrucks vgl. NdsLDSB, XX. TB, 2009/ 2010, S. 31). Damit verbietet sich auch eine allgemeine Überwachung zur Kontrolle des Verbotes privater Nutzung. Diesem Überwachungsinteresse genügt die Führung eines manuellen Fahrtenbuches. Gleiches gilt für die Unverhältnismäßigkeit der Überwachung, um Umwegfahrten oder Pausenzeiten zu ermitteln und zu sanktionieren Einen Beispielfall schildert die Aufsichtsbehörde Baden-Württemberg (LfD Baden-Württemberg, 30. TB, 2010/2011, 2. Abschnitt Ziff. 7). In dem beurteilten Fall waren in Dienstwagen von im Außendienst tätigen Verkäufern neben dem Navigationsgerät auch eine Telematik-Rechnereinheit mit GPS-Empfänger und Mobilfunkmodul zur Übertragung der Positionsdaten in Echtzeit an ein webbasiertes Portal eingebaut. Das webbasierte Portal wurde von einem EDV-Dienstleister im Auftrag des Unternehmens betrieben. In dem Portal konnte der jeweilige Standort der Fahrzeuge von allen Vorgesetzten der betreffenden Fahrer eingesehen werden. In der dazu abgeschlossenen Betriebsverein barung war auch dem örtlich zuständigen Betriebsrat ein Einsichtsrecht eingeräumt. Außerdem wurden Datum, Uhrzeit und Aufenthaltsort zu Beginn und Ende der jeweiligen Einzelfahrt sowie der je weilige Kilometerstand des Fahrzeugs (Fahrtenbuch) notiert. Anzumerken ist, dass die Zulässigkeit des Verfahrens sich nicht daraus ergeben konnte, dass es Gegenstand einer datenschutzwidrigen Betriebsvereinbarung war (zu dem Inhalt einer nach 87 Abs. 6 BetrVG abzuschließenden Betriebsvereinbarung vgl. ULD SH Tb. 2010, Ziff )