Recht der Datenverarbeitung

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht RDV G Recht der Datenverarbeitung Mit der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD), Bonn, herausgegeben von Prof. Dr. Ralf Bernd Abel Egbert Dietrich Ausems Boewer Dietrich Prof. Dr. Alfred Boewer Büllesbach Prof. Dr. Alfred Horst Ehmann Büllesbach Prof. Dr. Peter Dr. Horst Färber Ehmann Dr. Peter Joachim Färber W. Jacob Dr. Prof. Joachim Dr. Friedhelm W. Jacob Jobs Prof. Dr. Friedhelm Karl Linnenkohl Jobs Prof. Dr. h.c. Dr. Hans-Christoph Karl LinnenkohlMatthes Dr. Alexander h.c. Hans-Christoph OstrowiczMatthes Dr. Alexander Friedrich Pappai Ostrowicz Dr. Prof. Friedrich Dr. Friedhelm PappaiRost Prof. Peter Dr. Schaar Mathias Schwarz Prof. Dr. Dr. Mathias h.c. Spiros Schwarz Simitis Dr. Prof. Dr. Dr. Wolfram Dr. h.c. Zitscher Spiros Simitis Prof. Dr. Irini Dr. Vassilaki Wolfgang Zöllner Dr. Dr. Wolfram Zitscher Prof. Dr. Wolfgang Zöllner Jahrgang August Oktober Seiten Aus dem Inhalt: WEICHERT, Gesundheitsdaten von Bewerbern und Beschäftigten ZILKENS, Europäisches Datenschutzrecht Ein Überblick WRONKA, Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern BGH, Beweisverwertungsverbot von durch einen verdeckten Ermittler beim Beschuldigten erhobenen Daten BGH, Auskunftsanspruch des Verbrauchers gegen Telefongesellschaft bei unverlangten Werbe-SMS (Ls) BGH, Ausschließlichkeit der Widerspruchslösung bei Inverssuche BAG, Betriebliches Eingliederungsmanagement als Voraussetzung krankheitsbedingter Kündigung (Ls) BAG, Kündigung wegen Surfens im Internet während der Arbeitszeit KG Berlin, Veröffentlichung des Namens und Bildes eines früheren DDR-Grenztruppenoffiziers (Ls) OLG Düsseldorf, Schadensersatz des Urhebers für unbefugte Veröffentlichung von Fotos im Internet HessVGH, Löschung personenbezogener Daten beim BKA LAG München, Voraussetzung für ein Schmerzensgeld wegen Diskriminierung bei abgelehnter Stellenbewerbung ArbG Frankfurt a. M., Zusendung von s einer Gewerkschaft an dienstliche -Adressen der Mitarbeiter ArbG Darmstadt, Mitbestimmung bei BlackBerry (Ls) ArbG Frankfurt a. M., Mitbestimmung bei Einführung einer AGG-Beschwerdestelle (Ls) VerwG Lüneburg, Zahlung von Gebühren einer Datenschutzkontrolle BVerfG-Pressemitteilung: Vorschriften zum automatischen Kontenabruf verstoßen teilweise gegen den verfassungsrechtlichen Bestimmtheitsgrundsatz Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus den Ländern Sonstiges Literaturhinweise Veranstaltungen

2 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 23. Jahrgang 2007 Heft 5 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze Dr. Thilo WEICHERT Gesundheitsdaten von Bewerbern und Beschäftigten 189 Dr. Martin ZILKENS Europäisches Datenschutzrecht Ein Überblick 196 RA Dr. Georg WRONKA Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern 202 Rechtsprechung Beweisverwertungsverbot von durch einen verdeckten Ermittler beim Beschuldigten erhobenen Daten (BGH, Urteil vom ) 206 Auskunftsanspruch des Verbrauchers gegen Telefongesellschaft bei unverlangten Werbe-SMS (BGH, Urteil vom ) (Ls) 209 Ausschließlichkeit der Widerspruchslösung bei Inverssuche (BGH, Urteil vom ) 209 Betriebliches Eingliederungsmanagement als Voraussetzung krankheitsbedingter Kündigung (BAG, Urteil vom ) (Ls) 211 Kündigung wegen Surfens im Internet während der Arbeitszeit (BAG, Urteil vom ) 211 Veröffentlichung des Namens und Bildes eines früheren DDR-Grenztruppenoffiziers (KG Berlin, Urteil vom ) (Ls) 212 Schadensersatz des Urhebers für unbefugte Veröffentlichung von Fotos im Internet (OLG Düsseldorf, Urteil vom ) 212 Löschung personenbezogener Daten beim BKA (HessVGH, Urteil vom ) 213 Voraussetzung für ein Schmerzensgeld wegen Diskriminierung bei abgelehnter Stellenbewerbung (LAG München, Urteil vom ) 214 Zusendung von s einer Gewerkschaft an dienstliche -Adressen der Mitarbeiter (ArbG Frankfurt a. M., Urteil vom ) 215 Mitbestimmung bei BlackBerry (ArbG Darmstadt, Beschluss vom ) (Ls) 216 Mitbestimmung bei Einführung einer AGG-Beschwerdestelle (ArbG Frankfurt a. M., Beschluss vom ) (Ls) 216 Zahlung von Gebühren einer Datenschutzkontrolle (VerwG Lüneburg, Urteil vom ) 216 BVerfG-Pressemitteilung: Vorschriften zum automatischen Kontenabruf verstoßen teilweise gegen den verfassungsrechtlichen Bestimmtheitsgrundsatz (Beschluss vom ) 217 Berichte, Informationen, Sonstiges Aus der Europäischen Union EU-Kommission verklagt Deutschland in Sachen Datenschutz 219 Artikel 29-Datenschutzgruppe kritisiert neues Abkommen zur Fluggastdatenübermittlung in die USA 219 Aus der Gesetzgebung Bekämpfung der Computerkriminalität 220 Aus dem Bundestag Öffentliche Anhörungen zur Vorratsdatenspeicherung 221 Aus den Ländern Vierter Tätigkeitsbericht des Innenministeriums Baden-Württemberg 221 Sonstiges Zentrale Steuerdatei noch umfangreicher? 223 GI zur Identifizierung und Überwachung von Bürgern 223 Compliance-Praxis für die Personaladministration und Payroll (HENTSCHEL) 224 Rechtsgutachten Datenschutz- und presserechtliche Bewertung der Vorratsdatenspeicherung 225 Entwurf eines Bundesdatenschtzauditgesetzes 226 Bundesinnenministerium für mehr Transparenz bei Auskunfteien 226 Literaturhinweise Buchbesprechungen Hans-Jürgen Schaffland/Noeme Wiltfang, Bundesdatenschutzgesetz (Redaktion) 227 Friedrich Schoch/Michael Kloepfer/Hansjürgen Garstka, Archivgesetz (ArchG-ProfE) (Redaktion) 227 Helmut Redeker, IT-Recht (Redaktion) 227 Peter Gola/Rudolf Schomerus, Bundesdatenschutzgesetz (THÜR) 227 Neuerscheinungen 229 Aufsätze Veranstaltungen 230

3 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Dr. Peter FÄRBER, Rechtsanwalt, Düsseldorf Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Gesamthochschule Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein Dr. Friedrich PAPPAI, Ministerialdirigent a. D., Königswinter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Bonn Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h. c. Spiros SIMITIS, Universität Frankfurt Dr. Irini VASSILAKI, Universität Göttingen Dr. Dr. Wolfram ZITSCHER, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Beilagenhinweis: Schriftleitung: Redaktion: Redaktionsanschrift: Manuskripte: Urheber- und Verlagsrechte: GDD-Mitteilungen 5/2007; DATAKONTEXT GmbH, Frechen Prof. a. D. Peter Gola RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Birgit Koppitsch Pariser Str. 37, Bonn Tel. (02 28) , Fax (02 28) Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung erbeten. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; diese sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Erscheinungsweise: 6 x jährlich Bezugspreis: Jahresabonnement: 130, Einzelheft: 25, jeweils zzgl. Versandkosten Bestellungen: Abbestellungen: DATAKONTEXT GmbH Augustinusstraße 9d Frechen-Königsdorf Tel. ( ) Fax ( ) Internet: 6 Wochen vor Abonnementablauf Verlag: Satz: Druck: Anzeigenverwaltung: DATAKONTEXT GmbH Augustinusstraße 9d Frechen-Königsdorf Tel. ( ) Druckvorlagenservice Miriam Borgmann Ottostraße Bornheim-Sechtem Druckerei Raimund Roth GmbH Teschestraße 7, Solingen DATAKONTEXT GmbH Jasmin Dainat Augustinusstraße 9d Frechen-Königsdorf Tel. ( ) Fax ( )

4 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln Redaktion: Birgit Koppitsch 23. Jahrgang 2007 Heft 5 Seiten Recht RDV der Datenverarbeitung Aufsätze Dr. Thilo Weichert, Kiel* Gesundheitsdaten von Bewerbern und Beschäftigten Bei medizinischen Daten besteht bzgl. der Erhebung und Verarbeitung beim Betriebsarzt und beim Arbeitgeber ein besonderer Schutzbedarf. Dem wird das deutsche Recht weitgehend gerecht, auch wenn es keine einheitlichen Regelungen, etwa in einem Arbeitnehmerdatenschutzgesetz, gibt. Im Folgenden werden die ineinander greifenden Regelungen des Datenschutzrechtes, des Arbeitsrechtes und des Medizinrechtes dargestellt. I. Grundsätzlicher Interessenkonflikt Im Hinblick auf Gesundheitsinformationen über Arbeitnehmer sind die Interessen von diesen und die Interessen ihrer Arbeitgeber teilweise gleichlaufend, teilweise gegensätzlich. Der Arbeitgeber möchte, dass der Arbeitnehmer seine Arbeitskraft möglichst produktiv und profitabel einsetzt, was i.d.r. voraussetzt, dass der Arbeitnehmer körperlich und geistig gesund und auf der Höhe seiner Leistungsmöglichkeit ist. Dies setzt weiter voraus, dass der Arbeitgeber über gesundheitliche Arbeitsplatzrisiken und über die Wechselbeziehungen zwischen Arbeitnehmer und Arbeitsplatz so gut wie möglich Bescheid weiß. Hieran hat auch der Arbeitnehmer ein eigenes Interesse. Möglich ist aber auch, dass der größtmögliche Gewinn für den Arbeitgeber dadurch erlangt wird, dass die Gesundheit des Arbeitnehmers durch die Arbeit beeinträchtigt wird. Kein Interesse hat der Arbeitgeber daran, dass der Arbeitnehmer unter Vorspiegelung einer Krankheit der Arbeit fern bleibt; er möchte Krankfeiern vermeiden. In diesen beiden Fällen stehen die Kenntnisinteressen des Arbeitgebers und des Arbeitnehmers in jeweils diametralem Widerspruch zueinander. Arbeitnehmer sind nicht immer rundherum gesund und maximal leistungsfähig. Sie werden krank, sind durch Behinderungen eingeschränkt, durch besondere Vorkommnisse seelisch belastet oder sie können wegen eines Unfalls ihren Beruf nicht mehr ausüben. Ca. 20% der Arbeitnehmer scheidet aus gesundheitlichen Gründen vorzeitig aus dem Beruf aus; zurückzuführen ist dies v.a. auf Krankheiten des Bewegungsapparates sowie auf seelische Krankheiten und Verhaltensstörungen 1. Arbeitsplätze können gesundheitsschädlich sein. Die Vermeidung von arbeitsbedingten Arbeitsrisiken ist Ausdruck der Fürsorge gegenüber dem Arbeitnehmer wie auch einer guten mittel- und langfristigen unternehmerischen Planung. Um optimal planen zu können, benötigt der Arbeitgeber einen Überblick über den Gesundheitszustand seiner Belegschaft und über die medizinischen Risiken der Arbeit. Gesundheitliche Relevanz haben die technischen Gegebenheiten am Arbeitsplatz, aber auch die Beziehungen der Arbeitnehmer untereinander, wenn z.b. persönliche Spannungen bestehen oder gar konkret Mobbing passiert. Der Arbeitgeber hat ein starkes Interesse an einer möglichst umfassenden Kenntnis über den Gesundheitszustand im Betrieb. Dieser Neugier steht das Persönlichkeitsrecht der Arbeitnehmer und das diese schützende Patientengeheimnis entgegen. Der Gesundheitszustand ist nicht nur eine Produktionsbedingung, sondern auch ein höchst privater persönlicher Umstand, der grundsätzlich und vorrangig den Betroffenen etwas angeht. Dem Arbeitnehmer steht ein Recht auf informationelle und medizinische Selbstbestimmung zu. Er hat soweit keine Belange Dritter beeinträchtigt werden die Befugnis, über die Preisgabe seiner medizinischen Daten selbst zu bestimmten. Ja mehr als dies, er hat das Recht, seine Gesundheit Risiken und Beeinträchtigungen auszusetzen. Konsultiert er einen Arzt, so entsteht ein therapeutisches Vertrauensverhältnis, in dem ein Arbeitgeber grundsätzlich nichts zu suchen hat. Diese Geheimhaltung kann aber nicht so weit gehen, dass der Arbeitgeber nichts erfahren darf, wenn Gesundheitsgründe zu einer Beeinträchtigung der Arbeitsleistung führen. Daher bedarf es einer gewissen Kommunikation über die Gesundheit, des Austauschs von Gesundheitsdaten zwischen Arbeitnehmer und Arbeitgeber. Diese Kommunikation erfolgt i.d.r. über den Arzt, der durch seine Fachkunde besonders qualifiziert ist, medizinische Erkenntnisse zu erlangen und zu interpretieren. * Der Autor ist Landesbeauftragter für den Datenschutz Schleswig- Holstein und damit Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) in Kiel. 1 Nationaler Ethikrat Infobrief 03/05, S. 2, 4.

5 190 RDV 2007 Heft 5 Weichert, Gesundheitsdaten von Bewerbern und Beschäftigten Eine sozialstaatliche Errungenschaft besteht darin, dass die Arbeitnehmer wegen Krankheit und Behinderung nur eingeschränkt gekündigt werden dürfen, dass die Solidargemeinschaft weitgehend die Versorgung der Kranken trägt und dass die krankheitsbedingten Verluste des Arbeitgeber zumindest teilweise kompensiert werden. Dies hat zur Folge, dass weitere Stellen an dem Gesundheitszustand der Arbeitnehmer ein berechtigtes Interesse haben: die diese Solidargemeinschaft vertretenden Sozial- bzw. Krankenversicherungen und die staatliche Gesundheitsverwaltung. Diese Stellen haben ebenso wie der Arbeitgeber die medizinische und informationelle Selbstbestimmung der Arbeitnehmer zu respektieren; Zurückhaltung und Respekt sind auch in Bezug auf die unternehmerischen Freiheiten der Arbeitgeber geboten. Diese komplexe Interessenlage in Bezug auf die Gesundheitsdaten der Arbeitnehmer wird vom Recht aufgegriffen und durch Kommunikationsrechte und -pflichten sowie Geheimhaltungsrechte und -pflichten konkretisiert 2. II. Rechtsgrundlagen In Ermangelung eines einheitlichen und übergreifenden Arbeitnehmerdatenschutzgesetzes mit Normierung des Gesundheitsdatenschutzes muss auf allgemeine Regelungen des Medizin-, des Arbeits-, des Sozial- und des Datenschutzrechtes zurückgegriffen werden. Für Ärzte gelten die Normen zur ärztlichen Schweigepflicht (das Patientengeheimnis, z.b. 9 Musterberufsordnung der Ärztekammern MBO ÄK, 203 Strafgesetzbuch StGB). Das medizinische Standesrecht enthält weitere Festlegungen zur Datenverarbeitung, etwa zu Dokumentationspflichten. Für die personenbezogene Datenverarbeitung durch private Arbeitgeber gilt das Bundesdatenschutzgesetz ( 1 Abs. 2 Nr. 3, 27 BDSG). In öffentlichrechtlichen Beschäftigungsverhältnissen gelten entsprechende Regeln des Bundes- und des Landesdatenschutzrechtes. Das Patientengeheimnis bleibt durch das BDSG gem. 1 Abs. 4 S. 2 BDSG unberührt. Die zentrale Regelung im BDSG ist 28 Abs. 1 S. 1 Nr. 1, der dem privaten Arbeitgeber die Datenverarbeitung für eigene Geschäftszwecke erlaubt, wenn es der Zweckbestimmung des Arbeitsvertragsverhältnisses dient. Im BDSG 2001 wurde die neue Kategorie der sog. sensitiven Daten, für die besondere Verarbeitungsvoraussetzungen gelten, geschaffen ( 3 Abs. 9, 28 Abs. 6-9 BDSG). Hierzu gehören neben anderen auch Angaben über die Gesundheit 3. Anwendbar sind weiterhin sozial- und arbeitsrechtliche Normen, z.b. aus dem Arbeitssicherheitsgesetz (ASiG) insbesondere zur Tätigkeit von Betriebsärzten, den Sozialgesetzbüchern (SGB), v.a. den SGB I, X (allgemeine Regeln), V (Krankenversicherung), VII (Unfallversicherung) und IX (Schutz behinderter Menschen). Im öffentlichen Bereich gibt es im Beamtenrecht (z.b. Bundesbeamtengesetz, BBG) sowie im Recht der öffentlich Angestellten spezifische Regelungen, auf die hier nicht gesondert eingegangen wird. In zumeist branchenspezifischen Normen finden sich weitere Regeln zur Gesundheitsvorsorge. Sowohl die Entbindung vom Patientengeheimnis wie auch die Ermächtigung zur Verarbeitung von Gesundheitsdaten können auf der Basis einer Einwilligung des Betroffenen erfolgen. Derartige Einwilligungen unterliegen den Anforderungen des 4a BDSG. Wird in die Verarbeitung sensitiver Daten nach 3 Abs. 9 BDSG eingewilligt, so muss sich die Erklärung hierauf ausdrücklich beziehen ( 4a Abs. 3 BDSG). Voraussetzung für eine wirksame Einwilligung ist, dass sie freiwillig ist. Angesichts der Abhängigkeit des Arbeitnehmer im Arbeitsverhältnis bestehen insofern erhebliche Zweifel 4. Damit sind aber Einwilligungen in Arbeitsverhältnissen nicht generell ausgeschlossen. Diese kommen z.b. in Frage, wenn sie ausschließlich oder zumindest vorrangig dem Interesse des Arbeitnehmers dienen oder explizit bzw. zumindest implizit nach gesetzlichen Regelungen vorgesehen sind 5. Die Einwilligungen werden hierdurch sowie durch die arbeitsvertraglichen Zwecke beschränkt 6. Sollen mit einer Einwilligung darüber hinausgehende Verarbeitungen und Zwecke legitimiert werden, so kann nicht mehr von einer Freiwilligkeit ausgegangen werden, mit der Folge, dass die Erklärung und die darauf beruhende Verarbeitung unzulässig sind 7. Generell sind Daten bei dem Arbeitnehmer direkt zu erheben. Ohne seine Mitwirkung dürfen Daten nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interesse des Arbeitnehmers beeinträchtigt werden ( 4 Abs. 2 BDSG). Eine heimliche Durchführung von medizinischen Tests ist im Bewerbungsverfahren wie während des Arbeitsverhältnisses generell unzulässig. Die Mitbestimmung des Betriebsrates umfasst nach 87 Abs. 1 Nr. 1, 7 BetrVG die Ordnung des Betriebes, das Verhalten der Arbeitnehmer im Betrieb, die Verhütung von Arbeitsunfällen und Berufskrankheiten sowie den Gesundheitsschutz und die Unfallverhütung. Dies schließt zwar i.d.r. die Mitbestimmung bei individuellen gesundheitsrelevanten Maßnahmen aus, erfasst aber allgemeine Regelungen über die Verarbeitung von Gesundheitsdaten, z.b. im Rahmen der Bewerbung, bei generellen Vorsorgeuntersuchungen, in Krankheits- und Rückkehrgesprächen, die systematische Arbeitnehmer-Befragung zur Erkundung von Gesundheitsproblemen 8 oder für das Verfahren des Eingliederungsmanagements. Regelungsaspekte für Betriebsvereinbarungen sind dabei der Anlass der Erhebung bzw. Verarbeitung der Daten, die Beteiligten und deren Rechte und Pflichten (Arbeitnehmer, Arbeitgeber, Betriebsrat, Betriebsarzt, besondere Organisationseinheiten), die Art und die Verwendung der Daten sowie der Umfang der Übermittlungen (Zweckbindung), die Datensicherheit, die Aufbewahrungsdauer und die Kontrolle durch den Betriebsrat oder den betrieblichen Datenschutzbeauftragten 9. III. Die Rolle des Betriebsarztes Bei der Verarbeitung von Gesundheitsdaten im Arbeitsverhältnis spielt der Betriebsarzt eine zentrale Rolle. Er soll die Arbeitssicherheit fördern und damit den Arbeitnehmer schützen und zugleich auch die Interessen des Arbeitgeber wahren. Um beides erreichen zu können, sollen ihm der Arbeitnehmer und der Arbeitgeber vertrauen können. Die Aufgaben der Betriebsärzte werden in 3 Arbeitssicherheitsgesetz 2 Weichert, DANA 2/2003, 6; ders., DANA 1/2004, 7. 3 Franzen, RDV 2003, 3 ff.; Gola, RDV 2001, 127; Engelien-Schulz, RDV 2005, 201; Däubler, Gläserne Belegschaften, 4. Aufl. 2002, Rz. 196 ff., 269 ff. 4 Art. 29-Datenschutzgruppe zur Verarbeitung personenbezogener Daten von Beschäftigten v , WP 48; Däubler, Gläserne Belegschaften, 4. Aufl. 2002, S. 88 ff.; ders., in: Däubler/Klebe/ Wedde/Weichert, Bundesdatenschutzgesetz, 2. Aufl. 2007, 4a Rz. 21; Gola, RDV 2002, 109, Däubler, Gläserne Belegschaften (Fn. 3), Rz. 23; z.b. Eingliederungsmanagement Gundermann/Oberberg, RDV 2007, 107 = AuR 2007, 22 f. 6 Wedde, in: Däubler/Klebe/Wedde/Weichert (Fn. 4), 28 Rz Simitis, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, 4a Rz. 62 ff. 8 HessLAG, RDV 2004, Gundermann/Oberberg, RDV 2007, 109 f.

6 Weichert, Gesundheitsdaten von Bewerbern und Beschäftigten (ASiG) beispielhaft aufgezählt. Zugleich unterliegen sie wie andere Ärzte der ärztlichen Schweigepflicht (Patientengeheimnis) nach 9 der MBO-ÄK bzw. 203 StGB auch gegenüber dem Arbeitgeber ( 8 Abs. 1 S. 3 ASiG). Hiervon gibt es aufgabentypische Ausnahmen: Bei Einstellungsuntersuchungen wird in der Bereitschaft zur Untersuchung das stillschweigende Einverständnis gesehen, das Ergebnis dem Arbeitgeber bekannt zu geben, aber nur, soweit es für die Tätigkeit relevant ist, also v.a., ob gegen eine bestimmte Beschäftigung gesundheitliche Bedenken bestehen oder nicht. Es besteht keine Informationspflicht und kein Informationsrecht über die Art der Erkrankung oder über eine voraussichtliche Krankheitsentwicklung 10. Generell gilt, dass eine Offenbarung (Datenweitergabe) durch den Betriebsarzt an den Arbeitgeber der Einwilligung des Arbeitnehmers bedarf. Widerspricht der Arbeitnehmer einer Offenbarung, so ist für die Annahme einer mutmaßlichen oder konkludenten Einwilligung kein Platz mehr. Eine pauschale vertragliche Vereinbarung im Arbeitsvertrag zur Entbindung des Betriebsarztes von der Schweigepflicht ist unwirksam. Dies gilt auch für eine gegenüber dem Betriebsarzt abgegebene allgemeine und pauschale Entbindungserklärung. Generell kann sich die Entbindung nur auf die Weitergabe von tätigkeitsbezogenen Tauglichkeitsurteilen beziehen 11. Arbeitsmedizinische Einstellungs- und Nachuntersuchungen sind teilweise in Gesetzen ausdrücklich geregelt. Nach 15 SGB VII 12 können Vorschriften von Unfallversicherungsträgern die Untersuchung von Angehörigen bestimmter Berufsgruppen vorsehen. Die von der Berufsgenossenschaft ermächtigten Ärzte haben jeden untersuchten Arbeitnehmer über den Untersuchungsbefund zu informieren und ihn schriftlich über etwaige gesundheitliche Bedenken im Hinblick auf die spezifische Tätigkeit zu beraten. Dem Arbeitgeber sind Datum und Ergebnis ärztlicher Vorsorgeuntersuchungen in Bezug auf den Arbeitsplatz mitzuteilen. Die Übermittlung von Diagnosedaten durch den Arbeitsmediziner an das Unternehmen ist aber ausdrücklich verboten ( 15 Abs. 2 Nr. 9 SGB VII; s.u. IV). Eine Übermittlungsregelung enthält 202 SGB VII i.v.m. 5 BKVO, wonach jeder Arzt und damit auch der Betriebsarzt im Fall des begründeten Verdachts auf eine Berufskrankheit verpflichtet wird, dies dem Träger der Unfallversicherung oder dem Gewerbearzt anzuzeigen. Darüber hat der Arzt den versicherten Arbeitnehmer zu unterrichten und den Empfänger der Anzeige zu benennen. Seit Mitte 2004 gilt 84 Abs. 2 SGB VII, der im Interesse der Gesundheitsprävention ein betriebliches Eingliederungsmanagement bei Arbeitnehmer vorsieht, die im Jahr länger als sechs Wochen krankheitsbedingt arbeitsunfähig waren. Ziel ist die Verhinderung krankheitsbedingter Kündigungen und die Verminderung von Arbeitsunfähigkeitszeiten. Die Einbeziehung des Betriebsarztes liegt in diesen Fällen nahe. Dem Arbeitgeber werden relevante Gesundheitsdaten des Arbeitnehmer nach einem geregelten und mit dem Betriebsrat abgestimmten Verfahren zur Verfügung gestellt. Ob sich der Arbeitnehmer diesem Verfahren und der damit verbundenen Offenlegung seiner medizinischen Daten unterwirft, unterliegt seiner freiwilligen Entscheidung 13. Umstritten ist, ob bzgl. des Untersuchungsergebnisses allgemeiner arbeitsmedizinischer Vorsorgeuntersuchungen ( 3 Abs. 1 Nr. 2 ASiG) eine Offenbarungsbefugnis des Betriebsarztes gegenüber dem Arbeitgeber besteht. Eine konkludente Einwilligung hierzu wird damit begründet, dass der Arbeitnehmer nicht zu einer solchen Vorsorgeuntersuchung gezwungen werden kann 14. Richtig ist aber wohl, dass hier eine ausdrückliche Einwilligung eingeholt werden kann und muss. Gerade wegen der Freiwilligkeit der Untersuchung RDV 2007 Heft muss der Arbeitnehmer nicht mit einer Weitergabe rechnen. Lediglich bei arbeitsmedizinisch notwendigen und gesetzlich geforderten Untersuchungen, die ein Beschäftigungsverbot auslösen können, kann von einer konkludenten Einwilligung ausgegangen werden, wenn nicht gar eine gesetzliche Mitteilungspflicht vorgesehen ist. In diesen Fällen ist aber zuvor dem Arbeitnehmer die Bedeutung der Untersuchung und das Untersuchungsergebnis mitzuteilen 15. Erfolgt eine Untersuchung bzw. Behandlung durch den Betriebsarzt auf Grund der Initiative des Arbeitnehmer, so gelten die allgemeinen Regelungen zur Beachtung des Patientengeheimnisses, wobei unerheblich ist, ob es sich bei dem Betriebsarzt um einen internen oder einen externen Arzt handelt. Eine Offenbarungsbefugnis gegenüber dem Arbeitgeber besteht damit grundsätzlich nur im Fall des Vorliegens einer wirksamen Einwilligung 16. Organisatorisch kann es sich bei dem Betriebsarzt um einen Teil des Arbeitgebers handeln oder um ein eigenständiges Unternehmen bzw. eine eigenständige Person. Er ist nicht zwangsläufig Teil der speichernden Stelle Arbeitgeber 17. Ist der Betriebsarzt Beschäftigter des Arbeitgeber, so ist sein Umgang mit Gesundheitsdaten dem Arbeitgeber zuzuschreiben; der Datenaustausch mit der Unternehmensleitung ist rechtlich eine Datennutzung ( 3 Abs. 5 BDSG). Wechselt in diesem Fall die Person des Betriebsarztes, so ist dies grundsätzlich wie eine Übergabe einer Arztpraxis zu behandeln mit der Folge, dass die Speicherung und Nutzung der Daten separat erfolgen muss (sog. Zwei-Schrank-Modell) und eine Aktenübernahme der ausdrücklichen aktiven Einwilligung bedarf 18. Handelt es sich beim Betriebsarzt bzw. beim betriebsärztlichen Dienst um eine eigenständige Rechtspersönlichkeit, so ist der Datenaustausch als Übermittlung zu bewerten ( 3 Abs. 4 Nr. 3 BDSG). Medizinische Daten haben grundsätzlich nichts in der Personalakte zu suchen. Der Betriebsarzt hat seine Akten getrennt von der allgemeinen Personaldatenverarbeitung zu führen und muss den Zugriff auf diese Daten auf seine Hilfspersonen beschränken 19. Ob der Betriebsarzt die ihm über 10 Jahre obliegende Dokumentation konventionell oder elektronisch vornimmt, ist grundsätzlich ihm selbst überlassen. Die Dokumentationspflicht obliegt dem jeweiligen Betriebsarzt, nicht dem Arbeitgeber. Sie kann aber im Rahmen des o.g. Zwei-Schrank-Verfahrens vom Nachfolger für den Vorgänger wahrgenommen werden. Die obigen zum Betriebsarzt gemachten Ausführungen lassen sich auf die Tätigkeit eines Betriebspsychologen übertragen, egal, ob dieser selbständig oder abhängig beschäftigt tätig ist ArbG Mannheim, RDV 2000, Wohlgemuth, Datenschutz für Arbeitnehmer, 2. Aufl. 1988, Rz Z.B. i.v.m. 3 ff. Unfallverhütungsvorschrift Arbeitsmedizinische Vorsorge (bisher VBG 100, nun BGV A4), Gesundheitsdienst (bisher VBG 103, nun BGV C8), berufsgenossenschaftlicher Grundsatz G 42 Tätigkeit mit Infektionsgefährdung, in dem HIV-Antikörpertests vorgesehen sind. 13 Gundermann/Oberberg, RDV 2007, Büllesbach, in: Roßnagel, Handbuch Datenschutzrecht, 2003, S Nassauer, Bundesgesundheitsblatt 1999, 482; Wohlgemuth (Fn. 11), Rz Zu den allgemein bestehenden gesetzlichen Offenbarungsbefugnissen vgl. z.b. Weichert, in: Kilian/Heussen, Computerrechts-Handbuch, 3/2002, Kap. 137 Rz So aber Wohlgemuth (Fn. 11), Rz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), uebergab.htm. 19 Däubler (Fn. 3), Rz. 397 f. 20 Däubler (Fn. 3), Rz. 399.

7 192 RDV 2007 Heft 5 Weichert, Gesundheitsdaten von Bewerbern und Beschäftigten IV. Die Erhebung von Gesundheitsdaten im Bewerbungsverfahren Die erste Informationsgrundlage des Arbeitgeber über den Arbeitnehmer ist die Bewerbung, bei der der Arbeitnehmer über sich bzw. über seine Arbeitskraft vieles offenlegen muss, um den Zuschlag zu bekommen. Die Grenzen zwischen Selbstanpreisung und Selbstentäußerung sind oft alles andere als klar. Dies gilt insbesondere hinsichtlich sensibler persönlicher Informationen. Spezifische Rechtsvorschriften sehen vor, dass in bestimmten Arbeitsbereichen bzw. bei bestimmten Personengruppen gesundheitliche Untersuchungen im Rahmen des Einstellungsverfahrens durchgeführt werden müssen. Nach 32 Jugendarbeitsschutzgesetz 21 darf ein Jugendlicher, der in das Berufsleben eintritt, nur beschäftigt werden, wenn er innerhalb der letzten vierzehn Monate von einem Arzt untersucht worden ist und dem Arbeitgeber eine entsprechende Bescheinigung vorlegt. Ein Jahr später muss sich der Arbeitgeber eine entsprechende weitere Bescheinigung vorlegen lassen. Nach 43 Abs. 1 Infektionsschutzgesetz (InfSchG) müssen Personen, die in der Produktion von Lebensmitteln oder in Küchen beschäftigt werden sollen, über eine Bescheinigung des Gesundheitsamtes oder eines beauftragten Arztes nachweisen, dass bestimmte infektiöse Krankheiten nicht vorliegen. Nach 60 Strahlenschutzverordnung 22 müssen beruflich strahlenexponierte Personen von einem Arzt gemäß 64 Abs. 1 S. 1 StrlSchVO untersucht werden, um nachzuweisen, dass keine gesundheitliche Bedenken bestehen. Weitere Untersuchungen sehen vor die Verordnung über Sicherheit und Gesundheitsschutz bei Tätigkeiten mit biologischen Arbeitsstoffen 23, die 28 ff. der Verordnung zum Schutz vor gefährlichen Stoffen 24, die 31 ff. der Verordnung über den Schutz vor Schäden durch Röntgenstrahlen 25 sowie 81 Abs. 1 Seemannsgesetz. Auf die Regelungen des SGB VII wurde schon oben (III.) hingewiesen. Bei all diesen Regelwerken ist der Arbeitgeber verpflichtet, seinem Arbeitnehmer derartige Untersuchungen anzubieten. Für diesen ist die Teilnahme freiwillig. Lediglich die StrlSchVO und die RöV enthalten für die Arbeitnehmer eine öffentlich-rechtliche Duldungspflicht. Weigert sich der Arbeitnehmer, an diesen Vorsorgeuntersuchungen teilzunehmen, so kann dies allenfalls vom Arbeitgeber als Verletzung einer vertraglichen Nebenpflicht geahndet werden 26. Sollen darüber hinausgehend regelmäßig Gesundheitsdaten im Rahmen des Einstellungsverfahrens erhoben werden, so sind derartige Auswahlrichtlinien mitbestimmungspflichtig ( 95 Abs. 1, 2 BetrVG). Um zu verhindern, dass der Arbeitnehmer seine gesamte Persönlichkeit zu Markte trägt, hat die Rechtsprechung das Fragerecht des Arbeitgeber beschränkt. Er hat nur einen Anspruch auf Informationen, an denen im Hinblick auf das Arbeitsverhältnis ein berechtigtes, billigenswertes und schutzwürdiges Interesse besteht 27. Fragen nach dem arbeitsplatzrelevanten Gesundheitszustand zum Zeitpunkt der Einstellung, d.h. über die für die vorgesehene Tätigkeit notwendige körperliche, geistige und gesundheitliche Eignung, sind zulässig. Zulässig sind insofern auch Fragen zur persönlichen Krankheitsvorgeschichte. Betrifft eine Frage kein berechtigtes Interesse des Arbeitgeber, so wird dem Bewerber bzw. dem Arbeitnehmer ein Recht auf Lüge zugestanden. Dieses Recht besteht auch im Hinblick auf gesundheitliche Verhältnisse 28. Mögliche zulässige gesundheitliche Fragestellungen sind solche nach einer Beeinträchtigung oder Krankheit, durch die die vorgesehene Tätigkeit auf Dauer oder wiederkehrend eingeschränkt ist, nach ansteckenden Krankheiten, die Kunden oder Kollegen gefährden können, sowie krankheitsbedingte absehbare längere Arbeitsunfähigkeitszeiten, z.b. durch Operation oder Kur 29. Nach Ansicht des Nationalen Ethikrates ist die Erhebung prädiktiver Gesundheitsinformationen, egal ob sie auf genetischen oder sonstigen Prognoseuntersuchungen beruhen, weitgehend unzulässig. Verwertbar sind insofern nur Angaben zu Krankheiten und Krankheitsanlagen, die sich mit überwiegender Wahrscheinlichkeit innerhalb eines gesetzlich oder tarifvertraglich zu definierenden Zeitraums nach der Einstellung (z.b. in Anlehnung an die übliche sechsmonatige Probezeit) in nicht unerheblichem Ausmaß auf seine Eignung für den Arbeitsplatz auswirken werden 30. Der Ethikrat wendet sich gegen die gängige Praxis, bei Einstellungen Vorsorgeuntersuchungen über den rechtlich vorgeschriebenen Umfang hinaus durchzuführen 31. Werden auf zulässige Gesundheitsfragen hin bei der Bewerbung falsche Antworten gegeben, so kann sich hieraus ein Anfechtungsrecht des Arbeitgeber bzgl. des Arbeitsvertrages ergeben. Darüber hinausgehende Schadensersatzansprüche, z.b. wegen entstehender Entgeltfortzahlungsansprüche bestehen jedoch nicht 32. Die Falschbeantwortung unzulässiger Fragen hat keinerlei rechtliche Folgen. Zu den gesundheitsrelevanten Fragen gehört im weiteren Sinn auch die nach der Schwangerschaft. Entgegen seiner früheren Rechtsprechung hat das Bundesarbeitsgericht (BAG) diese Frage im Rahmen des Bewerbungsverfahrens grundsätzlich verboten. Frauen sollen nicht wegen des Umstands ihrer Schwangerschaft bei Stellenbewerbungen benachteiligt werden. Dies würde gegen Art. 6 Abs. 4 Grundgesetz (GG) verstoßen, der u.a. werdenden Müttern einen Anspruch auf den Schutz und die Fürsorge der Gemeinschaft zuspricht. Einschränkungen dieses Frageverbotes gibt es bei befristeten Tätigkeiten, wenn während eines wesentlichen Teils der Vertragszeit wegen der Schwangerschaft keine Arbeitsleistung erbracht werden kann 33. Die Frage nach der Schwangerschaft lässt sich auch dann rechtfertigen, wenn diese den Bestand des Arbeitgeber-Betriebes beeinträchtigen würde, was z.b. bei einzelnen Hausangestellten der Fall sein kann (vgl. 9 Abs. 1 MuSchG). Demgegenüber hat der Europäische Gerichtshof (EuGH) die Frage nach der Schwangerschaft wegen der damit verbundenen Diskriminierungs- 21 JArbSchG v , BGBl. I, 965, zuletzt geändert BGBl. I 2006, StrlSchVO v , BGBl. I, 1714; zuletzt geändert BGBl. I 2005, Biostoffverordnung, v , BGBl. I 1999, 50 ff; dazu Nassauer, Bundesgesundheitsbl. 1999, 482 ff. 24 Gefahrstoffverordnung, GefStoffVO v , BGBl. I, 1782, 2049, zuletzt geändert BGBl. I 2004, Röntgenverordnung, RöV i.d.f. v , BGBl. I, Klöcker/Meister, Datenschutz im Krankenhaus, 2. Aufl. 2001, 156 ff. 27 BAG, NZA 1986, 739; BAG, DB 1987, Zur Frage nach der Schwangerschaft, BAG, RDV 2003, Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Aufl. 2004, Rz. 235 ff.; Franzen, RDV 2003, 1 f.; Beispiel für unzulässige Datenerhebung und -nutzung: Bundesbeauftragter für den Datenschutz (und die Informationsfreiheit) BfDI 19. Tätigkeitsbericht (TB) Kap Nationaler Ethikrat, Prädiktive Gesundheitsinformationen bei Einstellungsuntersuchungen, , S Zum Beispiel Chorea Huntington Nationaler Ethikrat (Fn. 25), S. 5 f.; VG Darmstadt, U.v , Az 1 E 470/04, BeckRS BAG, NJW 1991, BAG, DB 1993, 435 f.

8 Weichert, Gesundheitsdaten von Bewerbern und Beschäftigten gefahr von Frauen praktisch vollständig für unzulässig erklärt 34. Fragen nach dem Gesundheitszustand sind unzulässig, soweit diese für die in Aussicht stehende Arbeit ohne Bedeutung sind 35. Da dies auch bei einer HIV-Infektion angenommen wird, darf hiernach grundsätzlich nicht gefragt werden. Anders ist der Fall bei Ausbruch einer Aidserkrankung zu beurteilen, wenn wegen der Art der Tätigkeit eine Übertragung des Virus zu befürchten ist 36. Der Arbeitgeber kann den Arbeitnehmer danach fragen, ob eine Schwerbehinderung amtlich festgestellt wurde, da damit nach dem Sozialgesetzbuch (SGB) IX für den Arbeitgeber zahlreiche Pflichten, aber auch Vergünstigungen verbunden sind. Dies soll auch gelten, wenn die Behinderung sich nicht auf die Arbeitsleistung auswirkt 37. Bei der Frage sollte auf die Freiwilligkeit der Antwort hingewiesen werden, soweit die Behinderung 38 keine konkrete Auswirkung auf die angestrebte Tätigkeit hat. Erfährt der Arbeitgeber von einer Behinderung, so gilt das Diskriminierungsverbot des Art. 3 GG sowie des konkretisierenden 81 SGB IX (seit 2004) und der 1, 7 AGG (seit 2006) 39. Nach der Einstellung ergibt sich wegen der damit verbundenen rechtlichen Konsequenzen eine Offenbarungspflicht bzgl. der förmlichen Feststellung der Schwerbehinderteneigenschaft 40. V. Die Erhebung von Gesundheitsdaten während des Arbeitsverhältnisses RDV 2007 Heft Der Arbeitnehmer ist arbeitsvertraglich verpflichtet, dem Arbeitgeber mitzuteilen, wenn er aus gesundheitlichen Gründen nicht mehr in der Lage ist, die übernommenen Aufgaben zu erfüllen. Eine solche Information liegt auch im Interesse des Arbeitnehmers, dessen individuelle Einschätzung dabei vorrangig zum Tragen kommt. Die Informationspflicht des Arbeitnehmers wird dann konkret, wenn durch die Gesundheitsbeeinträchtigung eine wesentliche Beeinträchtigung des Arbeitsergebnisses zu erwarten ist, oder wenn zu befürchten ist, dass diese sich z.b. durch Ansteckung auf den Betrieb erheblich auswirkt 41. Die Informationspflicht beschränkt sich aber auf diese Auswirkungen; die zugrunde liegenden Diagnosen bzw. die spezifischen medizinischen Daten gehen den Arbeitgeber nichts an. Führt der Arbeitgeber mit dem Arbeitnehmer nach einer krankheitsbedingten Fehlzeit ein Krankengespräch, so ist hierbei das Mitbestimmungsrecht des Betriebs- bzw. Personalrates zu beachten (s.o. II.). Der Arbeitnehmer muss der Aufforderung zu einem solchen Gespräch Folge leisten. Eine Pflicht zur Preisgabe medizinischer Daten trifft ihn jedoch nicht. Häufen sich Erkrankungen, so kann eine Kündigung wegen Krankheit zulässig sein. In dieser Situation ergibt sich u.u. eine Obliegenheit des Arbeitnehmers, Gesundheitsdaten offenzulegen oder den behandelnden Arzt von seiner Schweigepflicht zu entbinden, um durch eine differenzierte Darstellung der Hintergründe die Kündigung abzuwenden. Diese Obliegenheit besteht, wenn eine negative Zukunftsprognose nur so durch den Arbeitnehmer widerlegt werden kann. Der Arbeitgeber kann aber auch insofern nach Einwilligung des Arbeitnehmers eine Offenlegung nur von solchen Tatsachen verlangen, die für das Arbeitsverhältnis von Bedeutung sind. Nach 5 Abs. 1 MuSchG soll die Arbeitnehmerin dem Arbeitgeber eine Schwangerschaft mitteilen. Diese Empfehlung kann zur Rechtspflicht werden, wenn sich dies aus den Besonderheiten des Arbeitsverhältnisses ergibt, z.b. wenn ein Beschäftigungsverbot für Schwangere besteht. Erkrankt ein Arbeitnehmer, so muss dies dem Arbeitgeber mitgeteilt werden. Dies erfolgt über Arbeitsunfähigkeitsbescheinigungen 42, auf denen der behandelnde Arzt nur die Tatsache der Erkrankung, ihre zunächst vorauszusehende Dauer, nicht aber weitere Angaben wie z.b. die Diagnose aufnahmen darf. Sie kann u.u.: schon vom ersten Tag an gefordert werden 43. Von dem ausstellenden Arzt bzw. dem Arbeitnehmer sollte beachtet werden, dass aus der Facharztbezeichnung u.u. Rückschlüsse auf die Erkrankung möglich sind. Der Arbeitgeber hat gegenüber dem krankschreibenden Arzt keinerlei Anspruch auf Vorlage von Krankenunterlagen. Der Arbeitgeber kann bei begründetem Anlass auch berechtigt sein, den Arbeitnehmer zu verpflichten, durch ärztliche Bescheinigung nachzuweisen, dass er zur Leistung der arbeitsvertraglich geschuldeten Tätigkeit in der Lage ist; der Arbeitgeber hat in diesem Fall die Kosten der Untersuchung zu tragen Abs. 6 Nr. 3 BDSG regelt, dass die Erhebung und weitere Verarbeitung u.a. von Gesundheitsdaten zulässig ist, soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen dem gegenüber überwiegt. Diese Regelung ist zweifellos auch für das arbeitsvertragliche Verhältnis zwischen Arbeitgeber und Arbeitnehmer anwendbar. Erfasst sind aber nur die Durchsetzung rechtlicher Ansprüche, nicht schon deren Begründung, etwa durch besondere Vereinbarungen 45. Die gesetzlich vorgesehene Abwägung kann dazu führen, dass trotz der Geltendmachung rechtlicher Interessen die Beschaffung und Nutzung der Gesundheitsdaten unzulässig bleibt 46. In einzelnen Gesetzen sind Regelungen enthalten, die bestimmten Stellen die Befugnis geben, dem Arbeitgeber Gesundheitsdaten über den Arbeitnehmer mitzuteilen. So gestattet 69 Abs. 4 SGB X den Krankenkassen, dem Arbeitgeber mitzuteilen, ob die Fortdauer einer Arbeitsunfähigkeit oder eine erneute Arbeitsunfähigkeit eines Arbeitnehmers auf derselben Krankheit beruht; die Übermittlung von Diagnosedaten ist dabei aber nicht zulässig. Nur so kann der Arbeitgeber seiner Beweislast nachkommen, dass wegen des Fortdauerns einer Krankheit des Arbeitnehmers seine Entgeltfortzahlungspflicht erloschen ist ( 3 Abs. 1 S. 2 Entgeltfortzahlungsgesetz EFZG) 47. Gemäß der Rechtsprechung kann der Arbeitnehmer nicht nur durch Gesetz, sondern ebenso auf Grund einer tarif- oder einer individualarbeitsvertragsrechtlichen Regelung zur Mitwirkung an einer ärztlichen Untersuchung verpflichtet 34 EuGH, DB 2001, 2451 = NZA 2001, 1241 = RDV 2002, 81; Thüsing, Münchener Kommentar zum BGB, 5. Aufl. 2007, 11 AGG Rz. 19; Hold, RDV 2006, 254; vgl. auch EuGH, RDV 2003, BAG, NZA 1985, Hold, RDV 2006, 254; Gola/Wronka (Fn. 29), Rz. 249 ff. 37 BAG, NZA 1986, 635; BAG, RDV 1996, 137; BAG, RDV 1999, 119; LAG Düsseldorf, RDV 1992, 34; vgl. BAG, RDV 2001, Zum Begriff der Behinderung, EuGH, RDV 2007, Däubler (Fn. 3), Rz. 216; Gola/Wronka (Fn. 29), Rz. 228; Franzen, RDV 2003, 2; Rolfs/Paschke, BB 2002, 1261 f.; Thüsing/Lambrich, BB 2002, 1148 f. 40 Thüsing (Fn. 34), Rz. 20; vgl. BAG, RDV 2003, Zur Mitteilungspflicht über vorzeitiges Ende einer Schwangerschaft, BAG, RDV 2002, 313; BAG, RDV 2001, Vgl. 5 Abs. 1 EFZG, früher 37a BAT, vgl. bei Arbeitslosigkeit gegenüber dem Arbeitsamt, 311 SGB III. 43 BAG, RDV 2003, So ausdrücklich 3 TV-L, früher 7 BAT. 45 Gola, RDV 2001, 127; Simitis, in: Simitis (Fn. 7), 28 Rz. 333; Gundermann/Oberberg, RDV 2007, 106; a.a. Gaul, Aktuelles Arbeitsrecht, 2004, S Franzen, RDV 2003, 4; Wedde, in: Däubler/Klebe/Wedde/Weichert (Fn. 4), 28 Rz Franzen, RDV 2003, 5f. 48 BAG, DB 1999, 2369 = NZA 1999, 1209 = NJW 2000, 604.

9 194 RDV 2007 Heft 5 Weichert, Gesundheitsdaten von Bewerbern und Beschäftigten werden 48. Tarifvertragliche Regelungen spielen außerhalb des öffentlichen Dienstrechtes 49 praktisch keine wesentliche Rolle. Wohl aber wird immer wieder die Notwendigkeit einer ärztlichen Untersuchung über eine arbeitsvertragliche Nebenpflicht begründet, wenn ein besonderer Anlass besteht. Die Untersuchung muss sich auf die Abklärung des nahegelegten Krankheitsverdachtes beschränken. Ein Anwendungsfall kann bei dem Verdacht von ansteckenden Krankheiten gegeben sein, wenn eine Untersuchung im Interesse des Schutzes der Arbeitskollegen oder von Kunden geboten ist. Unabhängig davon hat der Arbeitgeber generell nach 11 ArbSchG 50 die Pflicht, seinen Arbeitnehmer zu ermöglichen, sich je nach den Gefahren für ihre Sicherheit bei der Arbeit regelmäßig arbeitsmedizinisch untersuchen zu lassen. Eine Datenerhebungsbefugnis für den Arbeitgeber ergibt sich aber hieraus nicht. Drogen- und Alkoholtests sind nur zulässig, wenn Umstände vorliegen, die die ernsthafte Besorgnis begründen, dass eine entsprechende Abhängigkeit besteht 51. Eine pauschale Untersuchung ohne konkreten Anlass ist dagegen unzulässig 52. Ein ausdrückliches gesetzliches Verarbeitungsverbot von Gesundheitsdaten enthält 291a Abs. 8 SGB V in Bezug auf die noch nicht praktisch eingeführte elektronische Gesundheitskarte (egk). Danach darf vom Inhaber der egk nicht verlangt werden, den Zugriff auf über die egk erschlossenen Daten zu anderen Zwecken als denen der Versorgung der Versicherten, einschließlich der Abrechnung der zum Zweck der Versorgung erbrachten Leistungen, zu gestatten. Mit den Karteninhabern darf nicht vereinbart werden, Derartiges zu gestatten. Und sie dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff bewirkt oder verweigert haben. Damit wird den Arbeitgeber normativ umfassend der Zugriff auf die medizinischen Daten der Arbeitnehmer verwehrt, die über die egk abgerufen werden können. Geschützt wird auch vor einer durch sozialen Druck erteilten Einwilligung 53. Eine besondere Kategorie von Gesundheitsdaten sind die Ergebnisse von genetischen Untersuchungen. Diese sind wegen ihrer Schicksalhaftigkeit, ihres prognostischen Gehalts und ihrer besonderen Sensitivität anders als die meisten konventionell erlangten Medizindaten zu behandeln. Auch wenn sie u.u. für das Arbeitsverhältnis von Relevanz sein können, dürfen derartige Untersuchungen vom Arbeitgeber in keinem Fall, weder bei einer Bewerbung noch während eines laufenden Beschäftigungsverhältnisses, abverlangt werden. Auch wenn der Arbeitnehmer einwilligt und/oder die Ergebnisse der Untersuchung des Arbeitnehmer schon bekannt sind, kann dies eine Offenbarung nur in besonderen Ausnahmefällen und bei schon ausgebrochenen Krankheiten rechtfertigen 54. Nicht ausgeschlossen ist, dass der Arbeitgeber dem Arbeitnehmer die Durchführung einer genetischen Untersuchung, z.b. im Hinblick auf die persönliche Verträglichkeit bei besonders gefährlichen Arbeitsplätzen, anbietet. Das Ergebnis solcher u.u. vom Arbeitgeber finanzierter Genanalysen darf aber nur dem Arbeitnehmer offenbart werden. Dieser kann dann selbst entscheiden, welche Konsequenzen er aus dem Untersuchungsergebnis im Hinblick auf das Arbeitsverhältnis zieht 55. VI. Speicherung und weitere Verarbeitung von Gesundheitsdaten Soweit der Arbeitgeber rechtmäßig in den Besitz von Daten über den Gesundheitszustand der Arbeitnehmer gelangt ist, ist er auch befugt, diese im Rahmen des Arbeitsvertragsverhältnisses zu speichern und weiter zu verarbeiten. Die Daten unterliegen in der Personalabteilung des Arbeitgeber nicht mehr dem Patientengeheimnis, auch wenn die Daten ursprünglich von einem Arzt übermittelt wurden. Sie unterliegen aber einer Zweckbindung, deren Umfang entweder durch die Einwilligung des Arbeitnehmers bestimmt wird oder durch den Zweck der Erhebung. Die Zweckbindung wird i.d.r. durch den Arbeitsvertrag definiert; so dürfen z.b. für Zwecke der Entgeltberechnung gespeicherte krankheitsbedingte Fehlzeiten auch für eine krankheitsbedingte Kündigung verwendet werden 56. U.U. können aber engere Zwecke vereinbart sein bzw. gelten. Sind in der Personalakte besonders sensible Daten abgelegt, z.b. ein medizinisches Gutachten oder ein Vermerk über den Gesundheitszustand des Arbeitnehmers, so muss die gewollte oder ungewollte nicht erforderliche Kenntnisnahme ausgeschlossen werden 57. Dies kann durch besondere technische oder organisatorische Maßnahmen erfolgen, etwa durch Ablage in einer separaten Akte oder in verschlossenem Umschlag, getrennte Aufbewahrung oder bei elektronischer Speicherung durch Verschlüsselung und differenzierte Zugriffsroutinen 58. Gesundheitsdaten sowohl bei Arbeitgeber wie auch beim Betriebsarzt können besonderen Zweckbindungen unterliegen. So dürfen z.b. Daten aus dem Eingliederungsmanagement nicht für krankheitsbedingte Kündigungen genutzt werden 59. Daraus ergeben sich Verwertungsverbote und evtl. die Pflicht, die Daten separat aufzubewahren oder besonders zu kennzeichnen bzw. den Zugang hierzu technisch-organisatorisch zu beschränken. Dem betrieblichen Datenschutzbeauftragten muss gem. 4g Abs. 1 BDSG auf entsprechende Anforderung umfassend Einblick auch die Personal- und Gesundheitsakten gegeben werden. Zur Verhinderung der Zweckentfremdung dieser Daten dient dessen Verschwiegenheitspflicht nach 4f Abs. 4 BDSG 60. Gesundheitsdaten sind nach 35 Abs. 2 BDSG durch den Arbeitgeber zu löschen, wenn sie unzulässig erhoben oder gespeichert wurden, ihre Richtigkeit nicht vom Arbeitgeber bewiesen werden kann oder ihre Kenntnis für die Erfüllung der Arbeitgeber-Pflichten nicht mehr erforderlich ist. Nach dem EFZG sind Krankheitsdaten für den Arbeitgeber nach Ablauf von 12 Monaten nach Beginn der Erkrankung nicht mehr zur Berechnung der Entgeltfortzahlung erforderlich und können daher gelöscht werden. Zur Begründung einer krankheitsbedingten Kündigung kann nach der Rechtsprechung auf einen Zeitraum von bis zu vier Jahren Bezug ge- 49 Z.B. 3 Abs. 5 TV-L, früher 7 Bundesangestellten-Tarif (BAT). 50 Arbeitsschutzgesetz ArbSchG v , BGBl. I, 1246; zul. geänd. mit G. v , BGBl. I, BAG, DB 1999, 2369 = NZA 1999, 1209 = NJW 2000, 604; kritisch zur Praxis BigBrotherAward, DANA 4/2002, 6 f., Weichert, DANA 1/2004, Däubler (Fn. 3), Rz. 279; a.a. Hold, RDV 2006, 254, der bei Einstellungsuntersuchungen nicht differenziert zw. per Test feststellbarem Konsum und Abhängigkeit; ähnlich Gola/Wronka (Fn. 29), Rz Hornung, Die digitale Identität, 2005, S. 238 f.; ausführlich zur egk allgemein Weichert, DuD 2004, Enger Schirmer, in: Roßnagel (Fn. 14), S. 1377; Däubler (Fn. 3), Rz. 285; ders., RDV 2003, 7 ff.; Gola/Wronka (Fn. 18), Rz. 245 ff.; Tinnefeld, RDV 2006, Weichert, DuD 2002, 144.; Däubler, RDV 2003, Franzen, RDV 2003, HessLAG, RDV 2007, 36; BAG, RDV 2007, 540 = NJW 2007, 794 = DANA 2007, BAG, DB 1987, 2571; Blaeser, Betriebliches Personalaktenrecht, 2. Aufl. 1999, Gundermann/Oberberg, RDV 2007, Däubler, in: Däubler/Klebe/Wedde/Weichert (Fn. 4), 4f Rz. 51 ff., 4g Rz. 8.

10 Weichert, Gesundheitsdaten von Bewerbern und Beschäftigten nommen werden, weshalb für diesen Zweck maximal eine vierjährige Speicherung zulässig ist 61. Übersteigen in einem Zeitraum von einem Jahr die Fehlzeiten sechs Wochen, so dürfen sie wegen einer potenziellen Kündigungsmöglichkeit vier Jahre lang gespeichert bleiben; liegen sie darunter, so ist nur eine einjährige Speicherung gerechtfertigt 62. Bei Daten zum Eingliederungsmanagement dürfte nach einer Aufbewahrungszeit von 3 Jahren keine Erforderlichkeit zur weiteren Aufbewahrung mehr bestehen 63. Medizinische Unterlagen über Arbeitnehmer sind für den Arbeitgeber i.d.r. keine Geschäftsbriefe und ohne steuerrechtliche Relevanz mit der Folge, dass keine Aufbewahrungspflicht nach den 257 HGB und 147 AO besteht. Die Löschfristen sind vom Arbeitgeber bzw. vom Betriebsarzt unabhängig von einem Antrag des Arbeitnehmers zu beachten. VII. Betroffenenrechte Der Arbeitnehmer hat hinsichtlich seiner Gesundheitsdaten unabhängig voneinander sämtliche datenschutzrechtlichen, gegenüber dem Arbeitgeber die arbeitsrechtlichen und gegenüber dem Betriebsarzt die medizinrechtlichen Betroffenenrechte 64. Dieses sind Ansprüche auf Auskunft und Akteneinsicht ( 34 BDSG), auf Berichtigung, Löschung, Sperrung und Gegendarstellung ( 35 BDSG), auf Widerspruch ( 35 Abs. 5 BDSG) und auf Schadenersatz ( 823 ff. BGB, 7 BDSG). Rechte, die daran anknüpfen, dass die Daten in der Personalakte gespeichert sind, bestehen lediglich gegenüber dem Arbeitgeber, soweit sie tatsächlich den Personalaktenbegriff erfüllen. Dies gilt etwa für den Anspruch auf Einblick in die Personalakte ( 83 Abs. 1 BetrVG), der gegenüber dem Arbeitgeber besteht, nicht aber gegenüber dem Betriebsarzt, da die Betriebsarztunterlagen materiell nicht zur Personalakte gehören. Etwas anderes gilt, wenn die Unterlagen aus bestimmten Gründen dem Zugriff des Arbeitgeber unterliegen 65. Der Arbeitnehmer hat einen umfassenden medizinrechtlich begründeten Anspruch gegenüber dem Betriebsarzt auf Einsicht in seine Patientenakte 66. Beantragt ein Arbeitnehmer eine Datenkorrektur, also die Berichtigung, Löschung, Sperrung ( 35 BDSG), erklärt er eine Gegendarstellung (in ärztlichen Dokumentationen, in der Personalakte) oder erklärt er einen Widerspruch gegen die weitere Datenverarbeitung ( 35 Abs. 5 BDSG), so bedarf es einer individuellen Prüfung und Entscheidung 67. Im Fall des Widerrufs einer zuvor erteilten Einwilligung bleibt die hierauf erfolgte Datenverarbeitung rechtmäßig. Unzulässig werden jedoch weitere Datenverwendungen. Die gleiche Wirkung kann mit der Geltendmachung schutzwürdiger Intressen über eine Interessenabwägung erreicht werden, wenn die bisherige Datenverarbeitung des Arbeitgeber oder des Betriebsrates auf 28 Abs. 1 Nr. 2 BDSG mit deren berechtigtem Interesse begründet war. Durch den Widerruf einer Einwilligung und die damit einhergehende Verwendungsbeschränkung oder gar durch die Datenlöschung kann sich die Rechtsposition des Arbeitnehmers verschlechtern 68. Beweispflichten können dadurch vom Arbeitgeber auf den Arbeitnehmer übergehen. Wegen der umfassenden mindestens 10 Jahre bestehenden ärztlichen Dokumentationspflicht ( 10 MBO-Ä) kann der Arbeitnehmer keine Berichtigung und keine Löschung dokumentationspflichtiger ärztlicher Unterlagen verlangen. An deren Stelle tritt die Gegendarstellung und evtl. die Sperrung der falschen oder unzulässig erhobenen Daten 69. Eine medizinrechtliche Besonderheit bei den Betroffenenrechten ist das Recht auf Nichtwissen. Ausdruck der informationellen und der medizinischen Selbstbestimmung ist, dass dem Betroffenen Informationen über dessen Gesundheitszustand grundsätzlich nicht aufgedrängt werden dürfen. So kann der Betroffene einen Arzt um eine medizinische Untersuchung bitten verbunden mit der Aufforderung, ihm das Ergebnis nicht oder nicht vollständig mitzuteilen. Insbesondere im Bereich der genetischen Diagnostik spielt das Recht auf Nichtwissen eine wichtige Rolle, wenn prädiktiv Krankheiten diagnostiziert werden, die weder akut behandelt werden können noch denen präventiv vorgebeugt werden kann. Es ist niemandem zuzumuten, mit dem Wissen über nicht behandelbare medizinische Dispositionen zu leben 70. Zu den Betroffenenrechten im weiteren Sinne gehört das Recht auf freie Arztwahl, das dem Arbeitnehmer im gleichen Maße zusteht wie dem Patienten allgemein. Lediglich wenn eine gesetzliche Regelung die Zuständigkeit des Betriebsarztes, des Medizinischen Dienstes der Krankenkassen ( 275 ff. SGB V) oder des Amtsarztes des Gesundheitsamtes begründet, ist das Recht eingeschränkt. Die arbeitsrechtliche Rechtsprechung hat aus den 611 i.v.m. 12, 862, 1004 BGB als Unterlassungs- und Beseitigungsanspruch einen subjektiven Anspruch auf Vornahme von technisch-organisatorischen Maßnahmen abgeleitet, mit denen objektiv rechtswidrige Eingriffe in das Persönlichkeitsrecht unterbunden werden. So kann der Arbeitnehmer z.b. verlangen, dass zur Wahrung der Vertraulichkeit sensibler Vorgänge medizinische Vorgänge in der Personalakte in einem verschlossenen Umschlag abgeheftet werden, zu dem lediglich ermächtigte Personen, z.b. der Leiter der Personalabteilung bzw. dessen Stellvertreter, öffnungsberechtigt sind 71. VIII. Perspektiven RDV 2007 Heft Seit über 20 Jahren wird von Arbeitnehmer-Seite, insbesondere von Betriebsräten und Gewerkschaften, wie von Datenschützern die Ausarbeitung eines Arbeitnehmer-Datenschutzgesetzes gefordert 72. Hintergrund sind einerseits die im Volkszählungsurteil des BVerfG 73 erhobene Forderung nach bereichsspezifischen Datenschutzregelungen und andererseits die Gefährdungen des Persönlichkeitsrechtes für Arbeitnehmer durch die Entwicklung der elektronischen Datenverarbeitung und durch den medizinischen Fortschritt. Die Forderung nach einem kohärenten und normenklaren Arbeitnehmerdatenschutzrecht konnten sich in der Politik bisher nicht gegen den Widerstand der Arbeitgeber-Seite durchsetzen, die hierdurch eine Eingrenzung ihrer Verarbeitungsmöglichkeiten befürchtete. Tatsächlich ist aber das bisherige, v.a. durch Rechtsprechung konkretisierte Arbeitnehmerdaten- 61 HessLAG, RDV 2007, Franzen, RDV 2003, Gundermann/Oberberg, RDV 2007, Generell zu Patientenrechten, Weichert, DANA 1/2003, Däubler (Fn. 3), Rz. 542 f. 66 Vgl. 3 Abs. 2 ASiG, Weichert, DANA 1/2003, Däubler, in: Däubler/Klebe/Wedde/Weichert (Fn. 4), 35 Rz Gundermann/Oberberg, RDV 2007, Weichert, DANA 1/2003, Weichert, DuD 2002, BAG, DuD 2007, 538; HessLAG, RDV 2007, Z.B. Gola, Personalwirtschaft 1988, 310; Linnenkohl/Rauschenberg/Schüttler/Schütz, BB 1988, 57; Teske, CR 1988, 670; Simitis, NJW 1998, 2397; ders., AuR 2001, 429; ders., in: Simitis (Fn. 7), 28 Rz. 9; Weichert, in: Krämer/Richter/Wendel/Zinssmeister, Schöne neue Arbeit, 1997, S. 146; Deutsche Vereinigung für Datenschutz, DANA 4/1998, 36; Däubler, RDV 1999, 243: BfDI, zuletzt 18. TB , Kap. 18.1; 19. TB , Kap. 21.1; 20. TB , Kap. 10.1; 21. TB , Kap BVerfGE 65, 1 = NJW 1984, 419.

11 196 RDV 2007 Heft 5 Zilkens, Europäisches Datenschutzrecht Ein Überblick schutzrecht relativ arbeitnehmerfreundlich. Mit der Normierung der hierbei entwickelten Grundsätze wäre voraussichtlich keine Verschiebung der Interessengewichtung, sondern eher erhöhte Rechtssicherheit für alle Seiten verbunden. Ein Indiz für die Mängel des nationalen Gesetzesrechtes ist die Europäische Datenschutzrichtlinie (EU-DRSL). Art. 8 Abs. 2b EU-DSRL erlaubt anders als bisher der deutsche Gesetzgeber die Verarbeitung von sensiblen Daten, also auch von Gesundheitsdaten, wenn dies erforderlich ist, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist. Derartige Verarbeitungsbefugnisse mit entsprechenden Schutzregelungen gibt es im deutschen Recht bisher nur in Rudimenten 74. Die Europäisierung des Arbeitsmarktes macht es mittelfristig notwendig, die Datenschutzrechte der Arbeitnehmer auf einem einheitlich hohen Niveau festzuschreiben. Mit diesem Motiv leitete die EU-Kommission am eine erste Phase der Anhörung der Sozialpartner zum Datenschutz von Arbeitnehmer ein und bat nach Art. 138 Abs. 2 EG-Vertrag die Sozialpartner um Stellungnahmen. Zwei der hierbei genannten vier Schwerpunkte stammen aus dem Gesundheitsbereich. Neben der Einwilligungsproblematik und der Überwachung und Kontrolle am Arbeitsplatz trieb die Kommission insbesondere um: Zugang und Verarbeitung medizinischer Daten im Beschäftigungskontext sowie Drogenund Gentests im Beschäftigungskontext 75. Diese Initiative ist nach einer zweiten Phase der Anhörung im Jahr 2003 soweit ersichtlich bisher nicht weiter verfolgt worden. Dies darf aber nicht als Hinweis darauf verstanden werden, dass kein Regulierungsbedarf bestünde. So ist inzwischen weitgehend unstreitig, dass z.b. die Verarbeitung von genetischen Daten einer klaren Regelung zugeführt werden muss. Ein entsprechendes Gendiagnostikgesetz mit Normen zum Schutz von Arbeitnehmer wird seit 2002 vom Gesetzgeber diskutiert 76. Der Bedarf nach einer Weiterentwicklung des Medizindatenschutzes für Arbeitnehmer erweist sich nicht nur durch die zunehmende Möglichkeiten genetischer Diagnosen. Dies ist vielmehr nur ein Bestandteil einer umfassenderen Entwicklung, die gepägt ist vom medizinischen Präventionsgedanken, einer erhöhten Manipulationsbereitschaft auf medizinischem Sektor (Einsatz von Psychopharmaka, Leistungsverstärkern, Drogen) und dem Verschwimmen der Grenzen zwischen Krankheitsbekämpfung und Life-Style- Gestaltung 77. Dies ändert aber nichts an dem Umstand, dass der Mensch einen hohen Schutz seiner Gesundheitsdaten erwartet und dies insbesondere in seiner Rolle als Arbeitnehmer gegenüber dem Arbeitgeber. Zu einer grundsätzlichen Veränderung der gesellschaftlichen Interessenlagen werden die neuen Entwicklungen nicht führen. Es wird wohl weniger zu einer Einebnung der Interessen als zu einer Verschärfung von Konflikten kommen, wenn medizinisch bedingte Sonderbehandlungen dadurch zunehmen, dass die Daten für diese positiven und negativen Diskriminierungen leicht verfügbar gemacht werden können. 74 Gundermann/Oberberg, RDV 2007, 106 sprechen insofern von einer unvollständigen Umsetzung der EU-DSRL; a.a. wohl Gola, RDV 2001, 127, der in 28 Abs. 6 Nr. 3 BDSG eine Art. 8 Abs. 2b EU-DSRL voll umfassende Regelung sieht. 75 European Commission, Second stage consultation of social partners on the protection of wokers personal data, comm/employment_social/soc-dial/labour/dataprot_en.pdf; Gesellschaft für Datenschutz und Datensicherheit GDD-Mitteilungen 5// Weichert, DuD 2002, Weichert, DANA 1/2004, 6. Dr. Martin Zilkens, Düsseldorf* Europäisches Datenschutzrecht Ein Überblick I. Einleitung Auf europäischer Ebene spielen datenschutzrechtliche Fragen heute eine wichtige Rolle. Die grenzüberschreitenden Datenströme haben durch die Schaffung des europäischen Binnenmarktes und durch die Fortschritte in der Informationstechnik erheblich zugenommen. So ist der Schutz der Privatsphäre zu einem grenzüberschreitenden europäischen, mittlerweile globalen Thema geworden 1. Das war nicht immer so: Die Datenschutzsituation in den einzelnen Mitgliedsstaaten differierte noch Anfang der 90er Jahre erheblich. Dieses unterschiedliche Schutzniveau stellte ein Hindernis für den innergemeinschaftlichen Handel dar. Daher hat die EU ein Regelungsgeflecht geschaffen, das das Datenschutzrecht der Mitgliedsstaaten auf möglichst hohem Niveau angleicht, damit grenzüberschreitend aktive Unternehmen nicht in heute 27 Ländern ein divergierendes Schutzniveau beachten müssen 2. II. Europäische Rechtsquellen zum Datenschutz 1. Primärrecht Rechtsquellen zum Datenschutz in Europa finden sich bereits auf oberster Ebene. Grundlegend für den Datenschutz ist zunächst die Europäische Menschenrechtskonvention (EMRK) aus dem Jahr 1950, die mehrfach durch Zusatzpro- * Der Autor ist Datenschutzbeauftragter der Landeshauptstadt und der Heinrich-Heine Universität Düsseldorf. 1 Zur Frage der Ausstrahlungswirkung der Datenschutzrichtlinie auf Drittländer am Beispiel der USA vgl. Klug, RDV 1999, 109 ff. 2 Nach dem Bericht der Kommission an das Europäische Parlament und an den Rat über den Stand des Arbeitsprogramms für eine bessere Durchführung der Datenschutzrichtlinie vom hat die Anzahl der Länder zugenommen, in denen ein angemessenes Schutzniveau festgestellt wurde; eine weitere Harmonisierung wird erwartet.

12 Zilkens, Europäisches Datenschutzrecht Ein Überblick tokolle ergänzt wurde. Art. 8 EMRK gewährleistet das Recht auf Achtung des Privat- und Familienlebens 3. Auch der EU- Vertrag verpflichtet in Art. 6 Abs. 2 zur Achtung der Menschenrechte. Art. 286 des EG-Vertrags bestimmt, dass die Rechtsakte der Gemeinschaft zum Schutz personenbezogener Daten auf die Organe und Einrichtungen der Gemeinschaft Anwendung finden 4. Auch Art. 8 der Charta der Grundrechte der EU, die als Teil der EU-Verfassung vorgesehen ist, befasst sich mit dem Datenschutz. Die Europaratskonvention 108/81 v hat die Entwicklung internationaler Datenschutzstandards maßgeblich beeinflusst und wurde als verbindliches Abkommen von allen Mitgliedsstaaten ratifiziert Sekundärrecht Im Übrigen sind auf sekundärrechtlicher Ebene in Verordnungen und Richtlinien Regelungen zum Datenschutz getroffen worden. Dazu zählen in erster Linie die Datenschutzrichtlinie 95/46/EG (DSRL) 7 und die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (EK-DSRL) 8. Daneben sind zwischenzeitlich weitere Richtlinien erlassen worden, die den Datenschutz ebenfalls berühren, so die Richtlinie zur Vorratsspeicherung von Kommunikationsdaten 2006/24/EG 9 sowie die sog. E-Commerce -Richtlinie 2000/31/EG 10. Erlassen wurde ferner die EU-Verordnung Nr. 45/ , die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der EU betrifft. Die beiden Datenschutz-Richtlinien richten sich an die EU-Mitgliedstaaten und verpflichten sie, ihren Inhalt in innerstaatliches Recht umzusetzen. Das EU-Sekundärrecht setzt damit detaillierte Standards für den Datenschutz in den Mitgliedstaaten und für die EU-Organe. Die Umsetzungsfrist der DSRL hatte drei Jahre betragen; der deutsche Gesetzgeber hat diese Frist überschritten, weil die Gesetzgebungsverfahren für das BDSG auf Bundesebene sich so lange hinzogen 12. Auf Landesebene sind daher teilweise schon früh deutlich modernere Datenschutzgesetze entstanden 13. Die jüngste Richtlinie zur Datenvorratsspeicherung verpflichtet die Mitgliedstaaten, nationale Gesetze zu erlassen, nach denen bestimmte Daten, die bei der Bereitstellung und Nutzung öffentlicher elektronischer Kommunikationsdienste anfallen, von den Diensteanbietern auf Vorrat gespeichert werden müssen, um schwere Straftaten besser verfolgbar zu machen. Verbindungsdaten 14 müssen danach mindestens sechs Monate 15 gespeichert werden. Zu den Inhalten der vorgenannten Richtlinien im Einzelnen: a) EU-Datenschutzrichtlinie Ziel der EU-DSRL ist es, einen Mindest-Grundrechtsschutz im Bereich des Schutzes der Privatsphäre und eine Harmonisierung der Rechtssysteme in den einzelnen Mitgliedstaaten herbeizuführen. Sie ist anwendbar auf personenbezogene Daten, Art. 2 lit. a) DSRL unabhängig davon, welchen Aspekt der Person sie betreffen 16. Der Begriff der Verarbeitung, Art. 2 lit. b) DSRL, schließt sämtliche Einzelphasen der Manipulation ein: das Erheben, Speichern, Ordnen, Auslesen etc. Wichtig ist hierbei, dass die Richtlinie technikneutral formuliert ist, um länger Bestand zu haben. Adressat der DSRL ist der für die Verarbeitung Verantwortliche. Für die Verarbeitung der Daten ist derjenige verantwortlich, der über Zwecke und Mittel zu entscheiden hat. Maßgeblich ist dabei die tatsächliche, nicht die rechtliche Zuordnung der Entscheidung 17. RDV 2007 Heft Weiterhin müssen gemäß Art. 6 Abs. 1 lit. a), 7 DSRL die Zwecke der Datenverarbeitung rechtmäßig sein. Bei sensiblen Daten sind nach Art. 8 DSRL besondere Voraussetzungen zu erfüllen. Darüber hinaus muss die Datenverarbeitung den Grundsätzen von Treu und Glauben entsprechen, Art. 6 Abs. 1 lit. a) DSRL. Dies umfasst insbesondere die Transparenz der Datenverarbeitung. Es bestehen zudem die Pflichten zur Meldung aller Verarbeitungen an unabhängige Kontrollbehörden oder an Datenschutzbeauftragte gemäß Art. 28 DSRL. Ferner besteht die Pflicht, den Betroffenen zu informieren. Die Pflichten des Verantwortlichen der Datenverarbeitung regelt wesentlich Art. 6 DSRL. Art. 6 Abs. 1 lit. b) DSRL legt eine Zweckbestimmung und -bindung fest. Unter Zweckbestimmung ist zu verstehen, dass Zwecke ausdrücklich und so konkret wie möglich festgelegt werden. Zweckbindung liegt dann vor, wenn die Daten im Rahmen der festgelegten Zwecke verarbeitet werden. Die DSRL geht insoweit von einem engen Zweckbindungsgrundsatz aus; eine spätere Änderung der Zweckbestimmung ist nur dann rechtmäßig, wenn sie mit der ursprünglichen Zweckbestimmung vereinbar ist 18. Ferner ist in Art. 6 Abs. 1 lit. c) DSRL der Verhältnismäßigkeitsgrundsatz statuiert. Danach sind drei Voraussetzungen zu erfüllen: Zunächst muss die Verarbeitungsmaßnahme dem Zweck entsprechen. Weiterhin müssen die Daten für die Zweckerreichung erheblich sein. Zuletzt darf kein Verstoß gegen das Verbot des Übermaßes der Verarbeitung personenbezogener Daten vorliegen. Das BDSG leitet aus 3 Nach dessen Abs. 1 hat jede Person das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. Gemäß Abs. 2 darf eine Behörde in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer. 4 Umgesetzt durch EG-VO Nr. 45/ BGBl. 1985, II, S Vgl. dazu Gola/Klug, Grundzüge des Datenschutzrechts, 2003, S :cs,&pos=1&page=1&nbl=1&pgs=10&hwords=&checktexte =checkbox&visu=#texte :cs,&pos=1&page=1&nbl=1&pgs=10&hwords=&checktexte =checkbox&visu=#texte :cs,&pos=1&page=1&nbl=1&pgs=10&hwords=&checktexte =checkbox&visu=#texte de pdf :cs,&pos=1&page=1&nbl=1&pgs=10&hwords=&checktexte =checkbox&visu=#texte 12 Novelle des BDSG von Mai Vgl. z.b. das DSG NRW mit seiner Novelle von Mai In der deutschen Umsetzung: Verkehrsdaten 15 Über diesen Zeitraum, der ein Kompromiss zwischen Befürwortern und Gegnern ist, wird immer noch diskutiert. 16 Dammann/Simitis, EG-Datenschutzrichtlinie, Kommentar, 1997, Art. 2, Erl. 2; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Kurzkommentar, 1999, Art. 2, Rdnr. 14 f. 17 Dammann/Simitis, a.a.o., Art. 2, Erl. 11 ff; Ehmann/Helfrich, a.a.o., Art. 2, Rdnrn. 39 ff. 18 Vgl. Innenministerium B-W, Hinweise zum BDSG für die Privatwirtschaft, Nr. 40, in: RDV 2002, 148, 152.

13 198 RDV 2007 Heft 5 Zilkens, Europäisches Datenschutzrecht Ein Überblick der letzten Voraussetzung die Grundsätze der Datensparsamkeit und der Datenvermeidung ab. Die in Artt. 17, 6 Abs. 1 lit. d) DSRL verankerten Grundsätze der Datensicherheit und -richtigkeit betreffen zum einen das Wahrnehmen geeigneter technischer und organisatorischer Maßnahmen zum Schutz vor Beeinträchtigungen und vor unberechtigtem Zugang und zum anderen die Aktualität und die Vollständigkeit der Daten. Auch die Rechte der betroffenen Personen sind in der DSRL geregelt. Zunächst hat der Betroffene ein Recht auf Auskunft nach Art. 12 lit. a) DSRL. Dieser Auskunftsanspruch ist ein klassisches Element jedes Datenschutzsystems. Die zu gewährende Auskunft beinhaltet Angaben über die Existenz eines Datenverarbeitungsvorgangs, über deren Zweckbestimmungen, sowie über die Kategorien der Daten, die Gegenstand der Datenverarbeitung sind. Ferner muss Auskunft über den oder die Empfänger der Daten gegeben werden. Dem Betroffenen steht darüber hinaus ein Anspruch auf Berichtigung, Löschung und Sperrung zu, wenn die Datenverarbeitung gegen die DSRL verstößt oder Daten unrichtig bzw. unvollständig verarbeitet worden sind. Dieser Anspruch ist notwendige Folge des Auskunftsrechts, ohne diesen wäre das Auskunftsrecht letztlich wirkungslos, da es nicht durchgesetzt werden könnte. Ferner umfasst Art. 12 lit. a) DSRL auch das Recht auf Kenntnis des logischen Aufbaus der Verarbeitung. Darunter fallen Neuerungen im Datenschutzrecht. Dieses Rechtsinstitut ist eine Reaktion auf immer kompliziertere Entscheidungen, denen der Einzelne im öffentlichen und privaten Bereich ausgesetzt ist. So soll Transparenz in die Bewertung und Berechnung bei Datenverarbeitung gebracht werden. Weiterhin soll der Betroffenen Kenntnis von der Herkunft der Daten erhalten. Dies ist insbesondere dann von Bedeutung, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Art. 12 lit. a) DSRL beinhaltet somit einen Zurückverfolgungsanspruch des Betroffenen. Zuletzt darf der Einzelne gemäß Art. 15 DSRL keiner erheblichen, beeinträchtigenden Maßnahme unterworfen werden, die ausschließlich auf automatisierter Datenverarbeitung zum Zweck der Bewertung von Personen ergeht. Auch die Kontrolle der Datenverarbeitung ist in der DSRL geregelt. In Art. 28 DSRL wird festgeschrieben, dass unabhängige Kontrollen stattzufinden haben. Dazu müssen die Mitgliedstaaten externe Kontrollstellen schaffen. Solche externen Kontrollen sind ein wesentliches Element des Datenschutzes. Diese müssen völlig unabhängig sein, es wird daher verlangt, dass der Leiter nicht ausschließlich durch die Exekutive ernannt wird. Die Kontrollstelle darf keinen Weisungen unterworfen sein, und es dürfen ihr durch anderweitige Aufgaben keine Interessenkonflikte entstehen. Ferner hat sie einen Anspruch auf Ausstattung mit notwendigen Personalund Sachmitteln. Die Befugnisse der Kontrollstelle sind in Art. 28 Abs. 3 DSRL als Mindestbefugnisse geregelt. Danach kann die Kontrollstelle Untersuchungen anstellen, sich also Zugang zu personenbezogenen Daten verschaffen und Informationen einholen. Die Kontrollstelle kann auch in die Datenverarbeitung eingreifen, sie kann beispielsweise die Sperrung, Löschung oder Vernichtung von Daten oder das Verbot einer Verarbeitung anordnen 19. Die Kontrollstelle kann die für die Verarbeitung Verantwortlichen verwarnen und Parlamente oder andere Institutionen dazu bringen, sich mit einem Vorfall zu befassen. Sie hat zudem ein Klagerecht bei Verstößen gegen Vorschriften, die die DSRL umsetzen. Zuletzt hat sie bei Rechtsverordnungen und Verwaltungsvorschriften, die die Verarbeitung von personenbezogenen Daten betreffen, ein Anhörungsrecht. b) EU-Datenschutzrichtlinie für elektronische Kommunikation Die EK-DSRL ist Teil des EU-Normenpakets von 2002, welches die sektorspezifische Regulierung der elektronischen Kommunikation grundlegend neu gestaltet. Sie hat die bis dahin geltende TK-DSRL 97/66/EG abgelöst. Die bereichsspezifischen Regelungen der EK-DSRL gehen denen der DSRL vor. Eine wesentliche Neuerung ist ihr erweiterter Anwendungsbereich. Nicht nur die EK-DSRL, sondern der gesamte neue Rechtsrahmen für die elektronische Kommunikation wurde technikneutral gestaltet und trägt damit dem rasanten technologischen Fortschritt in diesem Sektor sowie der Konvergenz der verschiedenen Übertragungswege Rechnung. Als wesentliche Regelung enthält die EK-DSRL in ihrem Art. 5 die Vertraulichkeit der Kommunikation. Insbesondere das Mithören, Abhören oder Speichern von Nachrichten und Verkehrsdaten ohne Einwilligung der Nutzer ist zu untersagen. Zudem dürfen sogenannte Cookies 20 nach Art. 5 Abs. 3 EK-DSRL nur unter engen Voraussetzungen gespeichert werden. Dazu muss der Betroffene vorher umfassend über Zwecke der Verarbeitung informiert und auf sein Recht zur Verweigerung der Verarbeitung hingewiesen worden sein. Die Verwendung von Cookies, Spyware etc. soll nur für rechtmäßige Zwecke und mit Wissen des Nutzers gestattet sein. In Art. 9 EK-DSRL wird eine Regelung zur Nutzung von Standortdaten getroffen. Diese Regelung betrifft neue Standortdienste; hierzu zählen Navigationshilfen jeder Art. Die Speicherung und Verarbeitung von Daten, die sich auf den Standort des Endgeräts beziehen, sind nur nach Anonymisierung oder Einwilligung des Nutzers zulässig. Dies gilt beispielsweise für die Standortbestimmung von Mobiltelefonen. Die Teilnehmer müssen die Standortdaten auch unterdrücken können. Direktwerbung über Fax, etc. bedarf der vorherigen Einwilligung des Betroffenen gemäß Art. 13 EK- DSRL. Ausnahme sind allerdings bestehende Kundenbeziehungen. Diese Einwilligungsmöglichkeit könnte sich als Einfallstor für Spam herausstellen. Art. 15 EK-DSRL ermöglicht jedoch weitgehende Einschränkungen dieser Rechte z.b. aus Gründen der Landesverteidigung, der öffentlichen Sicherheit und der Strafverfolgung. Die EK-DSRL bedurfte der Umsetzung in nationales Recht. In Deutschland wurde die Standortregelung in 102 TKG umgesetzt. Die Cookie Regelung, vormals in 4 Abs. 1 S.2 TDDSG geregelt, wurde hingegen bisher nicht gesondert umgesetzt 21. Die Spam Regelung (Art. 13 EK- DSRL) findet sich nunmehr in 7 UWG. Die EK-DSRL legte eine Vereinheitlichung des Datenschutzes für den gesamten Bereich der elektronischen Kommunikation nahe (TDSV, TDDSG). Der deutsche Gesetzgeber scheute jedoch den großen Wurf. So wurde im Juni 2004 zunächst nur die TDSV in das TKG ( 91 bis 107 TKG) integriert; das TDDSG blieb weiter in Kraft. Der Grund hierfür liegt in der Kompetenzaufteilung zwischen Bund (zuständig für Tele- 19 In Deutschland wurde dies enger umgesetzt: Nach 38 Abs. 5 S. 1 BDSG bestehen Anordnungsbefugnisse der Aufsichtsbehörde nur hinsichtlich technisch-organisatorischer Maßnahmen. 20 Ein Cookie (Deutsche Entsprechung: Profildatei) ist ein kurzer Eintrag in einer meist kleinen Datenbank bzw. in einem speziellen Dateiverzeichnis auf einem Computer und dient dem Austausch von Informationen zwischen Computerprogrammen oder der zeitlich beschränkten Archivierung von Informationen. 21 Der deutsche Gesetzgeber sieht dazu keinen Handlungsbedarf, da Transparenzvorschriften bereits vorhanden sind.

14 Zilkens, Europäisches Datenschutzrecht Ein Überblick kommunikation) und Ländern (zuständig für die Inhalte und den Rundfunk). Diese ließ sich nicht kurzfristig vereinheitlichen. Zunächst war ein Datenschutzgesetz für elektronische Medien geplant, das sämtliche Medien, aber nur datenschutzrechtlich, erfassen sollte 22. Dann fand eine Einigung mit den Ländern zur Zuständigkeit statt; Ergebnis ist das Telemediengesetz, welches an die Stelle des Teledienstegesetztes und des Teledienste-Datenschutzgesetzes sowie des Medienstaatsvertrages der Länder getreten ist. Das TMG ist am in Kraft getreten und enthält u.a. einen bußgeldbewehrten SPAM-Tatbestand. c) EU-Richtlinie zur Vorratsspeicherung von Kommunikationsdaten Eine Einschränkung erfährt der Datenschutz durch die EU Richtlinie zur Vorratsspeicherung von Kommunikationsdaten (2006/24/EG). Diese verpflichtet die Mitgliedsstaaten, nationale Gesetze zu erlassen, nach denen bestimmte Daten, die bei der Bereitstellung und Nutzung öffentlicher elektronischer Kommunikationsdienste anfallen, von den Diensteanbietern 6 Monate lang gespeichert werden müssen. Erste Bestrebungen einer solchen Richtlinie zur Vorratsspeicherung gab es bereits 2002, als Reaktion auf den terroristischen Anschlag vom Ein Hauptstreitpunkt war, wie lange die Daten mindestens und maximal zu speichern sind. Infolge der Zuganschläge von Madrid im Jahre 2004 wurden eine Speicherfrist von Monaten sowie eine Verwendungsfreigabe für alle Straftaten in Betracht gezogen. Trotz zwischenzeitlich weiterer Anschläge in London enthielt ein neuer Entwurf 2005 eine verkürzte Speicherfrist von 6 24 Monaten. Problematisch war auch, auf welcher Rechtsgrundlage die Regelung erlassen werden sollte. Zunächst wurde eine Rahmenvereinbarung im Rahmen der dritten Säule der EU der gemeinsamen Justiz- und Polizeizusammenarbeit in Betracht gezogen. Hiergegen gab es jedoch Widerstand des Europäischen Parlaments, dessen Beteiligungsrechte dafür nicht erforderlich gewesen wären. Das Europäische Parlament ging vielmehr von einer zustimmungspflichtigen Binnenmarktregelung auf der Basis der ersten Säule der EU der EG aus, die realisiert wurde. Die Richtlinie wurde nach 200 Änderungsanfragen des Europäischen Parlaments am erlassen. Anbieter von elektronischen Kommunikationsdienstleistungen sind nach ihr verpflichtet, Daten für die Ermittlung, Feststellung und Verfolgung von schweren Straftaten eine bestimmte Zeit lang zu speichern. Gemeint sind damit Verkehrsdaten und Standortdaten sowie alle im Zusammenhang stehenden Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind. Die Definition einer schweren Straftat im Sinne der Richtlinie soll durch nationales Recht erfolgen. Die Umsetzung in Deutschland steht bevor 23. Zwei Mitgliedsstaaten haben gegen die Richtlinie Klage beim EuGH erhoben. Im Hinblick hierauf hat die Kommission mittlerweile angekündigt, eine Sachverständigengruppe einzusetzen, um die Probleme bei der Umsetzung der Richtlinie in innerstaatliches Recht zu erörtern. III. Datenschutzbeauftragter der EU Der Europäische Datenschutzbeauftragte ist eine unabhängige Behörde der Europäischen Gemeinschaft, der die EG Organe und Einrichtungen datenschutzrechtlich berät und überwacht. Es handelt sich um eine weisungsfreie Kontrollbehörde mit Sitz in Brüssel 24. Wie die Mitglieder des RDV 2007 Heft EuGH, so genießt auch der Datenschutzbeauftragte Immunität. Im Rahmen der sogenannten Art. 29 Datenschutzgruppe arbeitet der EU Datenschutzbeauftragte mit den nationalen Datenschutzbehörden zusammen. Das Budget des EU Datenschutzbeauftragten betrug im Jahre 2006 ca. 3,8 Mio. Euro 25. Die Einrichtung des Europäischen Datenschutzbeauftragten reicht zurück ins Jahr 1997, als sich die Mitgliedsstaaten der EG verständigten, eine unabhängige Kontrollbehörde für den Datenschutz innerhalb der EU Verwaltung einzurichten. Hierfür wurde der Vertrag zur Gründung der Europäischen Gemeinschaft um einen neuen Art. 213b 26 ergänzt. Dort wurde festgelegt, dass die EG- Datenschutzvorschriften mit Wirkung vom nicht mehr nur für die Mitgliedsstaaten, sondern auch für die Organe und Einrichtungen der Europäischen Gemeinschaft selbst gelten. Art. 213b EG in der Amsterdamer Fassung wurde zunächst nicht umgesetzt. Erst im Dezember 2001 wurde die neue Datenschutzbehörde durch die EG Verordnung 45/2001 eingerichtet. Erster (und derzeit amtierender) Datenschutzbeauftragter ist der Niederländer Peter Johan Hustinx. Sein Stellvertreter ist der Spanier Joaquìn Bayo Delgado. Hustinx und Delgado wurden am vom Europäischen Parlament und vom Rat ernannt; sie sind seit dem im Amt. Ihre Amtszeit dauert fünf Jahre. Die Behörde beschäftigt ca. 15 Mitarbeiter. Die Aufgaben des Europäischen Datenschutzbeauftragten sind in Art. 46 der Datenschutzrichtlinie kodifiziert 27. Sie bestehen in der Beratung und der Überwachung der Organe und der Einrichtungen der EG bei der Verarbeitung personenbezogener Daten. Ihm obliegt es, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen; hierzu zählt insbesondere deren Recht auf Privatsphäre. Zur Erfüllung seiner Aufgaben stehen dem Europäischen Datenschutzbeauftragten Informations- und Zugangsrechte zu. Zudem hat er weitgehende Eingriffs- und Anordnungsrechte gegenüber den Gemeinschaftsorganen und -einrichtungen: Er kann unter anderem unzulässige Datenverarbeitungen verbieten, rechtswidrig gespeicherte Daten berichtigen, löschen, sperren oder vernichten lassen und die Verantwortlichen ermahnen oder verwarnen. Der Europäische Datenschutzbeauftragte ist Ansprechpartner für Personen, die sich durch Maßnahmen der EG Organe oder Institutionen in ihren in Art. 286 EG genannten Rechten insbesondere in ihrem Recht auf Privatsphäre verletzt fühlen. Auch die Mitarbeiter der Organe und Einrichtungen selbst können sich ohne Einhaltung des Dienstwegs jederzeit an ihn wenden. 22 Entwurf eines sog. Elektronische Medien -DSG. 23 Das Gesetz zur Änderung telekommunikationsrechtlicher Vorschriften (TKomÄndG) i.d.f.d.b. v (BGBl. I 2007, 106 ff.) hat diese Umsetzung noch nicht durchgeführt; sie ist vielmehr geplant durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG (BT-Drs. 16/5846) und soll voraussichtlich im Jan in Kraft treten; zu diesem Gola/Klug/Reif, NJW 2007, 2599 ff. 24 Zwischen ihm und den nationalen Datenschutzbeauftragten besteht keine Hierarchie; vielmehr sind alternative Zuständigkeitsbereiche festgelegt Jetzt Art. 286 EG. 27 Vgl. den Bericht zum Europäischen Datenschutzbeauftragten in RDV 2003, 32 ff.

15 200 RDV 2007 Heft 5 Zilkens, Europäisches Datenschutzrecht Ein Überblick IV. Rechtsprechung des EuGH zum Datenschutz 28 insbesondere die Fluggastdatenentscheidung 29 Nach dem zwangen die USA alle dort landeberechtigten Fluggesellschaften dazu, ihnen Zugriff auf die Buchungs- und Reservierungssysteme zu geben. In einem am in Kraft getretenen Abkommen 30 anerkannten Kommission und Rat die Angemessenheit des Datenschutzes. Das Parlament erhob dagegen erfolgreich Nichtigkeitsklage (Art. 230 EG) beim EuGH. Die Abgeordneten kritisierten im Hinblick auf das EU Datenschutzrecht vor allem die Datenmenge, die Willkür bei der Informationsübermittlung sowie mangelnde Auskunftsbereitschaft gegenüber Betroffenen. Da es jedoch nach Ansicht der Richter bereits an einer erforderlichen Rechtsgrundlage fehlte, äußerte sich der EuGH zu den datenschutzrechtlichen Bedenken des Parlaments nicht. Die Datenschutzrichtlinie 95/46/EG scheidet als Rechtsgrundlage aus, da die Richtlinie dann nicht greift, wenn es um Zwecke der öffentliche Sicherheit oder Strafverfolgung geht. Genau dies war jedoch der Zweck der Weitergabe der Flugdaten. Auch Art. 95 Abs. 1 EG i.v.m. Art. 300 Abs. 2 EG scheidet als Rechtsgrundlage aus, weil die öffentliche Sicherheit und Strafverfolgung verbotener Regelungsgegenstand sind. Aufgrund der ungenügenden Interessenabwägung und der mangelnden Auskunftsbereitschaft der USA liegt nach Ansichten in der Literatur zusätzlich ein Verstoß gegen Art. 8 Abs. 2 EMRK vor 31. Die EU hat mittlerweile mit den USA ein internationales Abkommen über die Verarbeitung von Fluggastdaten ( PNR ) zum Zwecke der Verbrechensbekämpfung abgeschlossen 32. Unter deutscher EU-Ratspräsidentschaft hat man sich inzwischen auf die Modalitäten des Austausches von Flugpassagier- und Zahlungsverkehrsdaten mit US-amerikanischen Stellen geeinigt. Dies ist bereits in einer Resolution vom Europäischen Parlament als datenschutzwidrig und undemokratisch kritisiert worden 33. V. Datenschutzrechtliche Vorhaben und Projekte 1. Geplanter Rahmenbeschluss zum Datenschutz bei polizeilicher und justizieller Zusammenarbeit Die Zusammenarbeit der EU Mitglieder bei Polizei und Justiz wird immer weiter ausgebaut 34. Europol erhält immer mehr Kompetenzen; 2002 wurde Eurojust gegründet. Im Zeitalter von Globalisierung und islamistischem Terror müssen die Staaten besser bei der Strafverfolgung zusammenarbeiten. Das geschieht im Rahmen der dritten Säule der EU, der polizeilichen und justitiellen Zusammenarbeit (Art. 29 EU). Die Kommission hat hier nur geringe Rechte und kann keine Richtlinien erlassen; dies ist nur im Rahmen der ersten Säule, der Europäischen Gemeinschaft, möglich. Deswegen sind die bisherigen Datenschutzrichtlinien nicht anwendbar; und die Angemessenheitsentscheidung der Kommission zu den Flugdaten war demzufolge rechtswidrig: Die Kommission kann nur Rahmenbeschlüsse des Rates entwerfen. Im Oktober 2005 hat die Kommission zwei Rahmenbeschlüsse vorgeschlagen. Der erste sieht die Einführung des Verfügbarkeitsgrundsatzes 35 vor. Der Verfügbarkeitsgrundsatz bedeutet, dass strafverfolgungsrelevante Informationen überall in der Union nach denselben Bedingungen auszutauschen sind. Ein Strafverfolgungsbeamter oder Europolbediensteter, der für seine Arbeit innerhalb des gesetzlich vorgeschriebenen Rahmens Informationen benötigt, soll diese Informationen von dem Mitgliedstaat, der über sie verfügt, für den erklärten Zweck erhalten können. Damit geht ein großer Regelungsbedarf für den Datenschutz einher. Die Kommission hat bereits einen Entwurf für einen Rahmenbeschluss 36 des Rates erstellt. Das Parlament gab daraufhin eine Stellungnahme ab und äußerte Änderungswünsche. Das Verfahren für die beiden Vorschläge läuft; ein Entschluss des Rates bleibt abzuwarten. Der geplante Rahmenbeschluss sieht vor, dass sich die Pflichten des Datenverarbeitenden nach der Datenschutzrichtlinie 95/46/EG (DSRL) richten. So sollen die Grundzüge der Datenschutzrichtlinie übernommen werden, also die Anforderungen an Richtigkeit der Daten, deren Authentizität sowie deren Speicherung auf Zeit. Entsprechend den speziellen Erfordernissen der Strafverfolgung, haben die Mitgliedstaaten für eine korrekte und konkrete Bezeichnung der Rolle der betroffenen Person zu sorgen. Es ist folglich danach zu unterscheiden, ob es sich um Daten eines Verurteilten, eines Verdächtigen oder eines Opfers handelt. Nach dem geplanten Rahmenbeschluss ist jedem Betroffenen ein Auskunftsrecht zu gewähren. Dieser Rahmenbeschluss soll eine abschließende Regelung darstellen. Die Mitgliedstaaten sollen sicherstellen, dass die Verfügbarkeit von Daten für Behörden anderer EU Staaten nicht aus datenschutzrechtlichen Gründen eingeschränkt wird. 2. Geplante EU-Richtlinie zum Arbeitnehmerdatenschutz Als Vorstufe zu einem Arbeitnehmerdatenschutzgesetz ist eine entsprechende EU Richtlinie seit mehreren Jahren im Gespräch. Bereits im Jahr 2001 gab es eine erste kontroverse Anhörung. Die EU Kommission hat eine spezifische Richtlinie zum Schutz personenbezogener Daten im Arbeitsbereich für erforderlich gehalten. Ein entsprechender Entwurf der Kommission liegt bereits vor. Arbeitgeberorganisationen lehnen eine solche Richtlinie jedoch momentan noch ab. Der Arbeitgeberverband UNICE (Vereinigung der Industrie- und Arbeitgeberverbände Europas) hält den bestehenden Rechtsrahmen für ausreichend. Die Arbeitgeberorganisation hat die Kommission aufgefordert, zunächst einen Bericht über die Umsetzung der allgemeinen Datenschutzrichtlinie (95/46 EG) vorzulegen und den Austausch von Informationen und sogenannten best practice -Beispielen zwischen den nationalen Datenschutzbehörden im Rahmen der Art. 29 Datenschutzgruppe zu fördern 37. Der Entwurf der Kommission sieht eine Vorabkontrolle für bestimmte Verfahren vor. Eine solche Vorabkontrolle soll bei der Verarbeitung sensitiver Daten, Gentest Daten und im Be- 28 Überblick bei Klug, BDSG-Interpretation, 3. Aufl. 2007, S. 226 ff. 29 EuGH, Entscheidung 2004/535/EG AZ C 317 /04 ; vgl. dazu näher Simitis, NJW 2006, 2011 ff.; ders., RDV 2007, 143 ff, Beschluss des Rates vom /496/EG. 31 Vgl. Rusteberg, Die EG-Richtlinie zur Vorratsspeicherung von Verkehrsdaten im System des europäischen Grund- und Menschenrechtsschutzes, in: VBl. BW 2007, 171 ff. 32 ABl. L 298 vom , S Vgl. FAZ v ; Simitis, RDV 2007, 143 ff, Angesichts der verstärkten Zusammenarbeit europäischer Polizeiund Justizbehörden werden auch europaweit hohe Datenschutz- Standards für diesen Bereich als immer wichtiger angesehen; vgl. z.b. die bereits dritte Stellungnahme des europäischen DSB zur Thematik v , abrufbar unter PSWEB/edps/lang/en/pid/ KOM (2005) 490 endg. vom KOM (2005) 475 endg. vom Abgedruckt in RDV 2003, 37 ff.; dazu Gola/Klug, a.a.o., S. 23 ff.

16 Zilkens, Europäisches Datenschutzrecht Ein Überblick reich der Arbeitnehmerüberwachung stattfinden. Der Entwurf sieht ferner eine Datenschutzkontrolle durch die Arbeitnehmervertretungen vor. Durch Betriebsvereinbarungen soll die Möglichkeit einer flexiblen Selbstregulierung ermöglicht werden. Aufgrund des faktisch bestehenden Über-/ Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer ist die Rolle der Einwilligung problematisch; sie wird demzufolge kontrovers diskutiert. Die Kommission will daher die Bedeutung der Einwilligung zurückdrängen. Nach dem Vorschlag der Kommission soll die Einwilligung im Arbeitsverhältnis lediglich als ultima ratio heranziehbar sein. In bestimmten Bereichen soll sie lediglich eine eingeschränkte und teilweise gar keine Legitimationswirkung entfalten 38. Aus Teilen der Wirtschaft wird dem entgegengehalten, dass bestimmte Datenverarbeitungen gerade im Interesse des Arbeitnehmers liegen können. So könne die Datenübermittlung in einem internationalen Konzern durchaus auch dem Arbeitnehmer zu Gute kommen, der z.b. eine Karriere im Ausland anstrebt. Der Kommissionsvorschlag entspricht im Wesentlichen den bisherigen Regelungen im Arbeitnehmerdatenschutz und der einschlägigen Rechtsprechung in Deutschland. Nachdem im Jahr 2002 die zweite Anhörungsphase eröffnet wurde, hat es keine Bewegung in diesem Verfahren mehr gegeben. 3. Private Initiativen in einzelnen Mitgliedsstaaten In Deutschland berät und unterstützt die Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. 39 die Daten verarbeitenden Stellen in Privatwirtschaft und öffentlicher Verwaltung insbesondere auch die Datenschutzbeauftragten bei der Lösung und Umsetzung der vielfältigen mit Datenschutz und Datensicherheit verbundenen rechtlichen, technischen und organisatorischen Anforderungen. In Frankreich gründeten im September 2004 zwei Unternehmen und eine Anwaltskanzlei eine Vereinigung betrieblicher Datenschutzbeauftragter. Ihr Ziel ist zum einen die Abstimmung in Datenschutzfragen zwischen einzelnen Unternehmen und dem Staat, und zum anderen der Austausch zwischen den Mitgliedern zur Förderung besserer Berufspraktiken. Mittlerweile befinden sich unter den Mitgliedern der Vereinigung zahlreiche namhafte Unternehmen 40. Die österreichische Gesellschaft für Datenschutz die Arge Daten 41 beschäftigt sich schon seit 1983 mit Fragen des Informationsrechts und des Datenschutzes. Der Verein bemüht sich um eine enge Kommunikation mit Forschungseinrichtungen, Universitäten, Industrie und Behörden. Der schweizer Verein Datenschutz Forum 42 wurde 1999 von Datenschutzfachleuten aus der Privatwirtschaft, der öffentlichen Verwaltung und der Wissenschaft gegründet. Das Datenschutz Forum Schweiz unterstützt aktiv die Datenschutzdiskussion unter Interessierten aller Fachrichtungen aus Wirtschaft, öffentlicher Verwaltung und Wissenschaft. Das Forum stellt Informationen zu Datenschutz und Datensicherheit zur Verfügung und bietet dazu Aus- und Weiterbildung an. Die niederländische Gesellschaft von Funktionären für den Datenschutz, die NGFG 43, wurde 2003 offiziell gegründet. Neben der Förderung von Entwicklungen auf dem Gebiet des Datenschutzes möchte die Gesellschaft einen besseren Erfahrungsaustausch ermöglichen. Zu den Zielen der NGFG zählt auch die weitere Sensibilisierung der niederländischen Gesellschaft auf dem Gebiet des Datenschutzes. VI. Ausblick RDV 2007 Heft Seit Ende 2005 ist in der EU Kommission für den Datenschutz nicht mehr die Generaldirektion Binnenmarkt, sondern die Generaldirektion Justiz, Freiheit, Sicherheit zuständig. Diese Zuständigkeitsänderung kann Einfluss auf die EU Datenschutzgesetzgebung haben. Zwischenzeitlich haben sämtliche Mitgliedstaaten die Datenschutz-Richtlinie in innerstaatliches Recht umgesetzt. Ihre Kernelemente finden sich in den nationalen Vorschriften wieder. Dies ist auch auf den strukturierten Dialog, Folge der Arbeiten zur Erstellung des Ersten Durchführungsberichts , zurückzuführen. Darin gelangte die Kommission zu dem Ergebnis, dass zwar keine Änderungen am Rechtstext erforderlich seien, dass aber die Durchführung der Richtlinie noch beträchtlich verbessert werden könne. Im Rahmen einer Mitteilung an das europäische Parlament und an den Rat hat die EU-Kommission einen Zwischenbericht über den Stand des Arbeitsprogramms für eine bessere Durchführung der EU-Datenschutzrichtlinie vorgelegt [KOM (2007) 87 v ] 45. Einige Mitgliedstaaten haben Mängel in den nationalen Vorschriften zur Umsetzung der Datenschutzrichtlinie eingeräumt und sich zu erforderlichen Korrekturen verpflichtet. In Fällen hingegen, in denen das Gemeinschaftsrecht fortdauernd verletzt wird, leitet die Kommission ein Vertragsverletzungsverfahren ein. Dies ist teilweise bereits geschehen. Die Kommission beanstandet unter anderem, dass die Datenschutzaufsichtsbehörden nicht die gesetzlich festgelegte Unabhängigkeit von den Regierungen aufweisen 46. Die Kommission wird die Durchführung der Richtlinie weiter beobachten und mit den Beteiligten zusammenarbeiten, um die länderspezifischen Unterschiede weiter zu verringern. Die Kommission ist zwar der Auffassung, dass die Richtlinie technologisch neutral formuliert ist, dass also ihre Grundsätze und Bestimmungen so allgemein gehalten sind, dass sie sich auch auf neue Technologien und Situationen übertragen lassen. Gleichwohl wird aber zu prüfen sein, ob durch bereichsspezifische Vorschriften dafür gesorgt werden muss, dass die Grundsätze des Datenschutzes auf neue Technologien Anwendung finden und so dem öffentlichen Bedürfnis nach Datensicherheit Rechnung getragen wird. Eine Ratifizierung des Verfassungsvertrags hätte enorme Auswirkungen auf Bereich des Europäischen Datenschutzes. Das derzeit in Art. 8 der Grundrechte-Charta verankerte Recht auf Schutz personenbezogener Daten soll als Art. II- 68 in den Verfassungsvertrag eingehen. Eine neue Perspektive würde sich daraus ergeben, dass der Vertrag in Art. I-51 eine eigenständige Rechtsgrundlage bereithielte, die der EU eine eigene Gesetzgebungskompetenz in diesen Fragen verleihen würde. So könnten auf alle Bereiche anwendbare Rechtsakte erlassen werden. 38 RDV 2003, 37 ff Sie tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein Association Francaise des Correspondants à la Protection des Données a Caractére Personnel Erster Bericht über die Durchführung der Datenschutzrichtlinie (EG/95/46), KOM (2003) 265, vom ; gemäß Art. 33 der Richtlinie. 45 Der Bericht ist im Volltext abrufbar unter justice_home/fsj/privacy/docs/lawreport/com_2007_87_f_de.pdf. 46 Diese Kritik bezieht sich auf Deutschland.

17 202 RDV 2007 Heft 5 Wronka, Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern RA Dr. Georg Wronka, Berlin* Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern 1. Vorbemerkung Offenbar ein Dauerthema unter den für den nichtöffentlichen Bereich zuständigen Datenschutzaufsichtsbehörden ist die Frage, ob der bundesweite Versand einer primär an den Arbeitgeberinteressen orientierten Zeitung/Zeitschrift an die Privatadressen von Arbeitnehmern datenschutzrechtlich zulässig ist. Dies behauptet jedenfalls der jüngste Tätigkeitsbericht der baden-württembergischen Datenschutzaufsicht 1. Ob mit dieser wohl etwas übertriebenen Feststellung die Brisanz des Themas unterstrichen werden oder ob sie nur die breite Darstellung einer bestimmten Rechtsauffassung zu einem bereits seit Jahrzehnten unverändert praktizierten Verfahren rechtfertigen soll, mag dahinstehen. Erstaunlich ist vielmehr etwas anderes: Mit der Zulässigkeit der Datenverarbeitung und Nutzung der privaten Mitarbeiteradressen durch die Arbeitgeber zum Zweck der postalischen Zustellung der Zeitung Aktiv befasste sich unlängst der Düsseldorfer Kreis. Die Ansichten der Aufsichtsbehörden waren dabei geteilt. Das ist nicht ungewöhnlich und stärkt eher das Vertrauen in die Unabhängigkeit der Kontrollinstanzen bei der Meinungsbildung. Einigermaßen überraschend ist aber die Veröffentlichung der rechtlichen Sichtweise von Baden-Württemberg in einem offiziellen Dokument, ohne dass irgendein Hinweis auf abweichende Standpunkte anderer Angehöriger des Düsseldorfer Kreises erfolgt. Durch diese fast demonstrativ anmutende Äußerungsform entsteht der Eindruck einer Monopolisierung der baden-württembergischen Rechtsauffassung oder zumindest eines durchgängigen Einvernehmens unter der deutschen Datenschutzaufsicht. Es stimmt nachdenklich, wenn der Anschein einer völlig zweifelsfreien Beurteilung erweckt wird, obwohl das Meinungsbild von Kontroversen bestimmt ist 2. Dass aber und darauf kommt es eigentlich nur an die Begründung des wie richtungsweisend wirkenden Standpunkts, der erhebliche negative wirtschaftliche Konsequenzen nach sich zieht, sehr schwach und deshalb auch nicht überzeugend ausgefallen ist, ist das eigentliche Problem. 2. Politische Bedeutung Schon in den 70 er Jahren wurde die Belieferung von Arbeitnehmern mit dem Titel Aktiv unter ihrer Privatadresse heftig angegriffen. Die Kritik kam im Wesentlichen von Gewerkschaften und Betriebsräten, die eine unerlaubte politische Einflussnahme der Arbeitgeber auf ihre Mitarbeiter rügten. Datenschutzrechtliche Argumente wurden sozusagen hilfsweise und flankierend herangezogen, um eine halbwegs tragfähige Grundlage für einen Unterlassungsanspruch der Arbeitnehmerorganisationen zu finden. Den Mitarbeitervertretungen ging es weniger um die Wahrung der Persönlichkeitssphäre der Beschäftigten als vielmehr um die Unterbindung der Infiltration arbeitgebergeprägten Gedankenguts. Mit ihren ersten, ausschließlich auf betriebsverfassungsrechtliche Vorschriften gestützten Anträgen, waren sie bereits vor den Arbeitsgerichten gescheitert. Es verwundert daher nicht, dass auch dieses Mal wieder ein Betriebsrat und nicht etwa ein betroffener Aktiv -Empfänger - bei der baden-württembergischen Aufsichtsbehörde vorstellig geworden ist und Unterstützung gefunden hat. Dass die hinter ihm stehende Gewerkschaft den Erfolg dann sofort per Rundschreiben bekannt gab, hat auch nicht überrascht. Es hat erneut den Anschein, als ob der Datenschutz als Vehikel zur Lenkung gesellschaftlicher Prozesse eingesetzt werden soll. Um einer Fehlentwicklung oder gar einem Missbrauch entgegenzuwirken, ist es unabdingbar, nicht nur besonders sorgfältig die Grenzen datenschutzrechtlicher Befugnisse, sondern auch die Freiräume wirtschaftlicher Betätigung auszuloten. 3. Sachverhalt Die Zeitung Aktiv erscheint 14-tägig in einer Auflage von ca. 1 Million Exemplaren. Herausgeber ist die Deutsche Instituts-Verlag GmbH (DIV) in Köln. Wesentliche Aufgabe des populär gestalteten Printmediums ist es, Arbeitnehmer über Entwicklungen der betreffenden Branche bzw. Unternehmen zu informieren und Verständnis für Positionen von Arbeitgebern(-Verbänden) in zentralen Fragen der Arbeitswelt und der Wirtschafts- und Gesellschaftspolitik zu wecken. Leserbefragungen belegen, dass die Zeitung bei den Beziehern u.a. wegen vielfacher Hinweise und Tipps in Verbraucher-, Steuer-, Versicherungsfragen etc. hohe Akzeptanz genießt. Der Versand der Zeitung an die Arbeitnehmer wird durch den jeweiligen Arbeitgeber veranlasst, der sie für seine Mitarbeiter beim DIV abonniert. Dabei wird in aller Regel so verfahren, dass der Arbeitgeber die Privatanschriften seiner Beschäftigten dem DIV zum Zweck des unmittelbaren Postversands an die Wohnadresse zuleitet. Nach der diesem Ablauf zugrunde liegenden Datenschutzvereinbarung sollen die Adressdaten von dem DIV als Auftragsdatenverarbeiter gemäß den Weisungen des Auftraggebers eingesetzt werden. In weiteren Passagen der Vereinbarung sichert der DIV ausdrücklich u.a. die Verwendung der Daten ausschließlich zum Zweck des Zeitungsversands zu. 4. Einordnung des Daten umgangs Es scheint zumindest das lässt sich dem Bericht der baden-württembergischen Aufsichtsbehörde entnehmen und wurde auch im Düsseldorfer Kreis nicht vertieft problematisiert weitgehend Übereinstimmung darüber zu herrschen, dass der DIV als Auftragnehmer der Arbeitgeber fungiert. Die Bereitstellung der Adressen durch die Arbeitgeber ist deshalb auch nicht als Übermittlung zu qualifizieren und nach Maßgabe datenschutzrechtlicher Zulässigkeitskriterien zu bewerten. In der Tat erfüllt der DIV sowohl formal als auch inhaltlich alle von 11 BDSG geforderten Vorausset- * Der Autor ist Hauptgeschäftsführer des Zentalverbandes der deutschen Werbewirtschaft (ZAW). 1 Vierter Tätigkeitsbericht des Innenministeriums nach 39 des Landesdatenschutzgesetzes, 2007, S An diesem Eindruck ändert auch der Obersatz Wir vertreten hierzu folgende Ansicht nichts, da sich aus ihm eine relativierende Bedeutung nicht ableiten lässt; vgl. die gegenteilige Auffassung des ULD Schleswig-Holstein, www. datenschutzzentrum.de/wirtschaft/ arbeitnehmerdaten-arbeitgeberzeitschrift.htm.

18 Wronka, Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern zungen 3. Der Einsatz der Adressen für die Versandzwecke kann deshalb, wovon auch Baden-Württemberg zutreffend ausgeht 4, nur als Datennutzung im Auftrag des jeweiligen Arbeitgebers eingeordnet werden. Die Ordnungsmäßigkeit der Auftragsverarbeitung ist übrigens am 3. September 2007 vom TÜV Rheinland zertifiziert worden. 5. Zulässigkeitsvoraussetzungen Unstrittig dürfte auch die Eingrenzung der Erlaubnistatbestände ( 4 Abs. 1 BDSG) sein: Außerhalb des BDSG angesiedelte Rechtsnormen, die die Datennutzung durch die Arbeitgeber legitimieren würden, existieren ebenso wenig wie Einwilligungen der Betroffenen (= belieferten Beschäftigten) gem. 4a BDSG. Vielmehr kommen als Rechtfertigungsbestimmungen lediglich 28 Abs. 1 Satz 1 Nr. 1 und Nr. 2 in Betracht. Die Alternative des 28 Abs. 1 Satz 1 Nr. 1 BDSG (Zweckbestimmung des Arbeitsvertrages) lässt sich nicht derart extensiv auslegen, dass darunter auch die Zusendung der Zeitung Aktiv subsumiert werden könnte anders, als es etwa bei einer klassischen Werkszeitung der Fall wäre. So ist es nicht nur Zweck einer Werkszeitung, die Mitarbeiter mit für ihre Tätigkeit unbedingt notwendigen Informationen zu versorgen. Vielfach werden auch allgemeine Informationen über die Auftragslage etc. vermittelt oder Jubiläen, runde Geburtstage, Verbesserungsvorschläge, Auszeichnungen, Beförderungen etc. von Mitarbeitern publiziert. Diese Informationen dienen der Motivation, der Bindung an den Betrieb oder der Pflege des Betriebsklimas. Ein derartiges Bestreben des Arbeitgebers ist noch als Bestandteil der arbeitsvertraglichen Zweckbestimmung zu sehen, so dass z.b. die dem Versand einer solchen Zeitschrift zugrunde liegende Nutzung der Personaldatei als im Rahmen der vertraglichen Zweckbestimmung liegend gerechtfertigt ist. Den sich aus dem Arbeitsverhältnis ergebenden Informationsbefugnissen des Arbeitgebers sind jedoch nur solche Mitteilungen zuzurechnen, die unmittelbaren Bezug zu dem Arbeitsverhältnis bzw. dem Betrieb haben und diese Kriterien erfüllt Aktiv mit den überwiegend allgemeinen Arbeitgeberinformationen nicht. Eingehender Prüfung ist deshalb vielmehr 28 Abs. 1 Satz 1 Nr. 2 BDSG zu unterziehen, auf den auch der badenwürttembergische Bericht abstellt, wenngleich er zu einem unzutreffenden Ergebnis gelangt Abs. 1 Satz 1 Nr. 2 BDSG als Befugnisnorm für die Adressennutzung durch den Arbeitgeber RDV 2007 Heft Die Anwendbarkeit der Bestimmung im Rahmen von Arbeitsverhältnissen wird nicht dadurch ausgeschlossen, dass eine vorgängige Prüfung des Abs. 1 Satz 1 Nr. 1 BDSG zu einem negativen Ergebnis geführt hat. Sicherlich, mithilfe von Abs. 1 Satz 1 Nr. 2 BDSG lässt sich ein Verarbeitungs-/ Nutzungsprozess nicht rechtfertigen, der sich erkennbar unter den Kriterien von Abs. 1 Satz 1 Nr. 1 BDSG verbieten würde 5, oder anders ausgedrückt: Abs. 1 Satz 1 Nr. 1 kann nicht mit Abs. 1 Satz 1 Nr. 2 unterlaufen werden. Nicht eingeschränkt ist hingegen der Rückgriff auf Abs. 1 Satz 1 Nr. 2, wenn es um die Wahrnehmung berechtigter Interessen des Arbeitgebers geht, die sich nicht unmittelbar aus dem Vertragszweck ergeben, sondern nur mehr oder weniger eng an den Arbeitsvertrag angekoppelt sind 6. Dann ist der Einstieg in die 3 Prüfschritte Verfolgung berechtigter Interessen des Adressennutzers, Erforderlichkeit zur Interessenwahrung, Gewichtung von Nutzer- und Betroffeneninteressen nicht nur möglich, sondern sogar geboten. 6.1 Berechtigte Interessen des Arbeitgebers Die Frage, ob man für die Annahme eines berechtigten Interesses positiv fordert, dass es von der Rechtsordnung als schutzwürdig anerkannt wird 7 oder es genügen lässt, dass es nicht im Widerspruch zu ihr stehen darf 8, ist für die Beurteilung der Interessenlage der Arbeitgeber im Hinblick auf den Versand von Aktiv an die Privatanschriften ihrer Mitarbeiter von peripherer Bedeutung. Von der Verfolgung berechtigter Interessen geht denn auch Baden-Württemberg ohne nähere Würdigung aus i.e: zu Recht: Die Arbeitgeber verfolgen mit der von ihnen veranlassten Versendung von Aktiv das Ziel, aus ihrer Sicht bedeutsame wirtschafts- und gesellschaftspolitische Themen in dem Aktiv -spezifischen redaktionellen Zuschnitt ihren Mitarbeitern näher zu bringen. Aktiv ist ein Presseorgan, das solche Sachverhalte aufgreift und kommuniziert, an deren Weiterleitung den Arbeitgebern besonders gelegen ist und bei denen sie auch ein entsprechendes Informationsbedürfnis ihrer Arbeitnehmer vermuten. Dass der Titel dabei besonders den arbeitgeberorientierten Blickwinkel berücksichtigt, ist kein Geheimnis, sondern gerade Anlass für gewerkschaftliche Gegenreaktionen unterschiedlichster Art. Die Vermittlung von Fakten und Meinungen soll die Mitarbeiter in die Lage versetzen, zu bestimmten Themen einen eigenen Standpunkt zu beziehen und diese Position auch zu vertreten sei es im Sinn der Arbeitgeber, sei es (sicherlich weniger gewünscht) gegen sie gerichtet. Ob die Arbeitnehmer sich tatsächlich mit dem Inhalt von Aktiv kritisch auseinandersetzen, ihn gläubig übernehmen oder blind ablehnen, ist nicht so sehr von Bedeutung. Entscheidend ist die legitime Absicht der Arbeitgeber, Verständnis für ihre Sichtweise zu wecken und durch die Bekanntgabe wertneutraler Nachrichten (z.b. zu Steuern, Versicherungen, Terminen) ihren Mitarbeitern Hilfestellung für den Alltag zu bieten. Dass dieser Informationstransfer durch die Arbeitgeber möglicherweise auch noch verfassungsrechtlich gestützt wird etwa durch Art. 5 Abs. 1 Satz 1 9 oder Art. 9 Abs. 3 GG 10 würde quasi eine Verstärkerfunktion hinsichtlich der Berechtigung ihrer Interessen bedeuten. 6.2 Erforderlichkeit der Adressennutzung Die baden-württembergische Aufsichtsbehörde stellt in Abrede, dass der Heim-Versand von Aktiv zur Wahrnehmung der Arbeitgeberinteressen erforderlich ist. Immerhin zitiert sie einige Argumente aus dem von ihr erwähnten Rechtsgutachten, mit denen die Erforderlichkeit gerade die- 3 Vgl. dazu Wronka, RDV 2003, S. 132 ff. 4 Tätigkeitsbericht S Vgl. Gola/Schomerus, BDSG, 9. Aufl. (2007), 28 Rdn. 9; Gola/ Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Aufl. (2004), Rdn Vgl. dazu näher unten unter Gola/Schomerus, 28 Rdn Dammann, Neue Wirtschaftsbriefe 12 (vom ), S. 839 (845). 9 Vgl. vor allem Lerche, Rechtsgutachten, insbes. S. 18 ff.; Schuster, RDV 1989, S. 157 (159); Simitis, Zur Verwertung von Arbeitnehmerdaten für publizistische Zwecke Einfluss und Grenzen des Datenschutzes, in: Festschrift für Martin Löffler, 1980, S. 319 (337 ff.). 10 Mayer-Maly, DB 1980, S (1443 ff.).

19 204 RDV 2007 Heft 5 Wronka, Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern ser Form des Aktiv -Vertriebs belegt werden sollte. Warum sie sich mit ihnen dann aber nicht auseinandersetzt, sondern sich schlicht auf den Hinweis versteift, mit dem bloßen Auslegen der Zeitung im Betrieb werde der Interessenwahrnehmung in ausreichendem Maß Rechnung getragen, ist einigermaßen unverständlich. Was heißt erforderlich? Der Grundsatz der Erforderlichkeit ist hier wie anderswo nicht im Sinne absolut zwingender Notwendigkeit zu verstehen, sondern im Sinne eines bei vernünftiger Betrachtung Angewiesenseins auf das in Frage stehende Mittel 11. Er bedeutet nicht unerlässlich im Sinn einer conditio sine qua non 12, sondern fordert zunächst eine Prüfung, ob die Verarbeitung oder Nutzung der Daten zur Wahrnehmung der berechtigten Interessen geeignet und zweckmäßig ist 13. Anschließend ist die Feststellung zu treffen, dass nach den Gesamtumständen die Wahl einer anderen Informationsmöglichkeit oder der Verzicht hierauf nicht sinnvoll oder unzumutbar wäre 14. Wenn inzwischen wohl diejenige Literaturmeinung gesichert ist, die als erforderlich nur solche Verwendungen ansieht, zu denen es keine objektiv zumutbare Alternative gibt 15, hätte man schon eine intensivere Befassung der Behörde mit der Zumutbarkeit des von ihr als allein statthaft angesehenen Auslegens der Zeitung im Betrieb erwarten können. Sicherlich hat, worauf schon vor etlichen Jahren hingewiesen wurde 16, der Arbeitgeber die Möglichkeit, Aktiv im Betrieb auszulegen und die Zeitung auf diese Weise den Mitarbeitern zugänglich zu machen. Das Aufzeigen einer solchen Alternative wäre allerdings nur beachtlich, wenn sie im Hinblick auf das angestrebte Ziel qualitativ mindestens gleichwertig gegenüber dem zurzeit praktizierten Postversand über den DIV wäre. Immerhin stellte das BAG bereits früher fest: Es ist zuzugeben, dass eine Werbung und Information außerhalb der Betriebe möglicherweise nicht weniger erfolgversprechend ist als innerhalb der Betriebe; gibt es doch sogar gewerkschaftliche Stimmen, die vor allem die Propaganda in den Wohnungen der Arbeitnehmer für erfolgversprechender halten als anderswo 17. Was für gewerkschaftliche Informationspraktiken gilt, kann entsprechenden Aktivitäten der Arbeitgeberseite wohl kaum abgesprochen werden 18. Ausschlaggebend dürfte letztendlich sein, dass wie das BAG bereits angedeutet hat der Direktversand an die Privatanschrift der Arbeitnehmer tatsächlich die effizienteste Art der Informationsverschaffung darstellt. Dadurch wird gewährleistet, dass die betreffenden Mitarbeiter nicht nur räumlich in Berührung mit der Zeitung gelangen, sondern sich in welcher Form immer auch näher mit ihr befassen. Es entspricht der Lebenserfahrung, dass Presseerzeugnisse, die auf Interesse der Leser stoßen, intensiver konsumiert werden, wenn für die Durchsicht und ggf. Diskussion der Themen ausreichend Zeit zur Verfügung steht und das ist erfahrungsgemäß im häuslichen Bereich eher der Fall als im Betrieb. Das ist im Übrigen auch der Hauptgrund für die Entscheidung der IG Metall gewesen, ab dem 1. September 2007 die Metallzeitung ihren Mitgliedern nach Hause zu schicken und nicht mehr im Betrieb verteilen zu lassen. Zudem stellt sich bei einem Auslegen im Betrieb die Frage, an welchen Stellen dies überhaupt möglich ist, um auch alle Arbeitnehmer zu erreichen. Wie können Mitarbeiter darauf zugreifen, die auf auswärtigen Arbeitsstellen tätig sind (z.b. Monteure) und wochenlang den Betrieb des Arbeitgebers nicht betreten? Wie gelangt die Zeitung an Kranke oder Urlaubsabwesende? Wie an Beschäftigte auf Heimarbeitsplätzen (Telearbeit)? Wer die betriebliche Praxis kennt, weiß, welche psychologischen Hemmschwellen für einen Arbeitnehmer bestehen können, der sich erkennbar für Informationsmaterial der politischen Gegenseite interessiert. Mancher wird sich davon abhalten lassen, ein ausgelegtes Exemplar an sich zu nehmen, wenn er dabei von Betriebsräten/Gewerkschaftern beobachtet werden und ggf. dadurch in unerfreuliche Konfliktsituationen geraten könnte. Nur unter der Voraussetzung, dass mehrere Mittel zur Zielerreichung gleich gut geeignet sind, lässt sich die Auswahl dahingehend treffen, dass eines von diesen Mitteln das erforderliche (= geringsteingreifende) ist 19. Dass sich das Auslegen von Aktiv im Betrieb als Äquivalent zum Versand erweisen soll und das Versenden deshalb nicht erforderlich ist, ist eine nicht nachvollziehbare Einschätzung der Aufsichtsbehörde. 6.3 Gegenläufige schutzwürdige Interessen der Arbeitnehmer 28 Abs. 1 Satz 1 Nr. 2 BDSG verlangt schließlich, dass voraussichtlich dem Nutzungsinteresse der Arbeitgeber an den Privatadressen keine überwiegenden schutzwürdigen Ausschluss-Interessen der betroffenen Arbeitnehmer entgegenstehen. Durch die Nutzung der Daten dürfen nicht schon von vornherein gegenläufige, von der Rechtsordnung ebenfalls akzeptierte und geschützte Positionen der betroffenen Personen beeinträchtigt werden; dies ist im Weg einer summarischen Pauschalprüfung ( kein Grund zu der Annahme ) festzustellen. Und wieder erstaunt die Entschiedenheit, mit der sich die Aufsichtsbehörde kurz, bündig, apodiktisch und falsch äußert: Zudem überwiegen auch die schutzwürdigen Interessen der Betroffenen am Ausschluss der Nutzung. Der Arbeitnehmer soll sich darauf verlassen können, dass seine Daten nur für den Zweck verwendet werden, zu dem er sie dem Arbeitgeber als seinem Vertragspartner gegeben hat. Eine solche angebliche Zweckbindung geht an der Lebenswirklichkeit vorbei. Sie lässt sich auch nicht der gesetzlichen Regelung entnehmen. Soll ein Arbeitgeber Daten seiner Mitarbeiter generell nicht nutzen dürfen, die zwar das arbeitsvertragliche Synallagma nicht betreffen, aber ausschließlich zu seinem Vorteil eingesetzt werden? Darf ein Arbeitgeber grundsätzlich seine Beschäftigten nicht gezielt ansprechen, wenn er ihnen günstige Darlehen anbieten möchte, auf vereinbarte Sonderkonditionen mit Versicherungsgesellschaften verweisen, freigewordene Werkswohnungen, Kindergartenplätze, betriebseigene Erholungseinrichtungen offerieren oder Bezugsmodalitäten für (vergünstigte) Aktien oder Produkte des Unternehmens bekannt geben will? Gerade dies sind doch die Fälle, die nur sehr bedingt von 28 Abs. 1 Satz 1 Nr. 1 BDSG erfasst werden, die sich aber sachgerecht über 28 Abs. 2 Satz 1 Nr. 2 BDSG lösen lassen. Der Arbeitnehmer verlässt sich nicht darauf, dass sein Arbeitgeber kompromisslos-unflexibel die Daten nur für die Erfüllung der unmittelbaren 11 Zöllner, ZHR 149 (1985), S. 179 (191). 12 Simitis, in: Simitis u.a., 28 Rdn Tiedemann, NJW 1981, S. 945 (949). 14 Gola/Schomerus, 28 Rdn. 34; ähnlich BGH NJW 1984, S (1887). 15 Simitis, in: Simitis u.a., 28 Rdn Simitis, Festschrift Löffler, S DB 1967, S Schuster, RDV 1989, S. 157 (158), vgl. auch Mayer-Maly, DB 1980, S (1444). 19 Lerche, Gutachten, S. 36; ebenso Schuster, RDV 1989, S. 157 (158).

20 Wronka, Versand einer Wirtschaftszeitung an die Privatanschriften von Arbeitnehmern wechselseitigen vertraglichen Rechte und Verpflichtungen sowie der sie begleitenden Fürsorge- und Obhutspflichten einsetzt, sondern er erwartet, dass sie darüber hinaus in seinem Interesse genutzt werden, wo immer sich für ihn Vergünstigungen ergeben mögen. Unbestritten ist, dass es Grenzfälle gibt, aber sie sind eben nach sorgfältiger Austarierung der Interessenlage zu entscheiden, zu der nicht schon a limine wie Baden-Württemberg meint der Zugang verschlossen ist. Wie verhält es sich nun mit den schutzwürdigen Interessen der Arbeitnehmer bei der Belieferung mit Aktiv? Die Privatanschriften werden für die Adressierung einer Zeitung eingesetzt, die der Empfänger schon von außen eindeutig identifizieren kann. Findet er das Presseorgan in seinem Briefkasten vor und missfällt ihm die Zusendung, kann er es, ohne zu lesen, entsorgen. Ein Eindringen in seinen Persönlichkeitsbereich oder eine inakzeptable Belästigung sonstiger Art findet von vornherein nicht statt 20. Die Grundsätze, die Rechtsprechung und Literatur zur unverlangten Zusendung von Werbematerial entwickelt haben, lassen sich ohne weiteres sinngemäß übertragen. Nach ihnen sind nicht nur Wurfsendungen 21, die der Empfänger als Werbung sofort erkennt, stets zulässig, sondern auch der Einwurf von Prospekten, Katalogen, Handzetteln 22, Anzeigenblättern etc. Anders sieht es aus, wenn sich Werbepost als private Briefpost tarnt und den Empfänger dazu verleitet, sich mit dem Inhalt näher zu befassen, oder wenn er sich in welcher Form auch immer gegen die Entgegennahme von Werbung ausgesprochen hat. Hier kann ein Verstoß gegen 3, 7 UWG ebenso vorliegen wie eine Verletzung des Persönlichkeitsrechts 23. Der Grund liegt also nicht in der als sozialadäquat eingestuften und deshalb hinnehmbaren Werbesendung als solcher, sondern in der Missachtung des erklärten entgegenstehenden Willens des Beworbenen. Eine solche den Empfänger irreführende Camouflage wird beim Aktiv -Versand nicht praktiziert. Der Empfänger, der sich nicht zuvor ausdrücklich oder jedenfalls für den Absender erkennbar gegen die Zusendung von Aktiv und inzident die damit verbundene Datennutzung gewandt hat, wird nicht in einem Maß tangiert, das die Annahme einer Verletzung seiner schutzwürdigen Interessen nahe legt geschweige denn solcher, die gegenüber den berechtigten Belangen des Arbeitgebers überwiegen. Dem Auftragsverhältnis zwischen dem DIV und den Arbeitgebern liegt die Vereinbarung zugrunde, dass Widersprüche von Arbeitnehmern gegen die Zustellung von Aktiv zu beachten und die Adressen für diese Zwecke zu sperren sind. Der Behördenbericht hält die Einräumung einer Widerspruchsmöglichkeit gegenüber dem Verlag der sich verpflichten könnte, den Arbeitgebern die Namen der Verweigerer zur Vermeidung etwaiger Nachteile nicht mitzuteilen für irrelevant, da es bereits an der Erforderlichkeit der Datennutzung fehle. In der Tat: Ist die Nutzung unzulässig, muss sie auch ohne Ein- oder Hinwirkung des Betroffenen unterbleiben. Nur: Hätte die Aufsichtsbehörde sich intensiver mit der Frage der Erforderlichkeit befasst Anlass dazu hätte sie aufgrund des ihr vorliegenden Gutachtens gehabt, hätten sich zumindest Zweifel bei ihr einstellen müssen. Dann wäre auch eine Würdigung der Widerspruchsmöglichkeiten des Arbeitnehmers geboten gewesen und nicht die simple Unterstellung ihrer Unbeachtlichkeit. 6.4 Widerspruch und Einwilligung Der Arbeitgeber kann, wie gesagt, zunächst bedenkenlos davon ausgehen, dass die Belieferung seiner Mitarbeiter mit RDV 2007 Heft Aktiv und die diesem Zweck dienende vorangestellte Adressennutzung die datenschutzrechtlich relevante Schutzsphäre der Beschäftigten nicht berührt. Soweit einzelne Betroffene sich dezidiert gegen diesen Prozess aussprechen, ist der Widerspruch ohne Einschränkung vom Arbeitgeber zu beachten. Da der Versand der Zeitung durch den DIV ohne jeglichen Hinweis auf den veranlassenden Unternehmer erfolgt, gehen die (wenigen) Remonstrationen regelmäßig auch dem Verlag zu, der die Anschriften für den weiteren Versand (Druck der Adressenaufkleber) sperrt. Der Gefahr, dass der DIV diesen Widerspruch an seinen Auftraggeber (= Arbeitgeber des Betroffenen) weiterleitet, lässt sich durch entsprechende zusätzliche vertragliche Absprachen zwischen DIV und Unternehmen begegnen. Wird vereinbart, dass der DIV zwar befugt ist, Widersprüche zu registrieren und zu beachten, der Arbeitgeber aber auf sein Recht verzichtet, über die Sperrung personenbezogen Auskunft vom DIV zu verlangen, ist auch nicht zu befürchten, dass der Arbeitgeber eine schwarze Liste mit den Namen der Renitenten anlegt. Der Arbeitgeber könnte sogar durch Abdruck eines ausdrücklichen Hinweises in der Zeitung nicht nur zusichern, dass Empfänger, die die Zusendung von Aktiv nicht wünschen, der Nutzung ihrer Daten beim DIV widersprechen können, sondern dass er auch entsprechend der Zweckbestimmung der Daten hierauf nicht zugreifen wird, d.h. eine abgeschottete Verarbeitung der Daten bei der von ihm beauftragten Stelle garantieren. Eine derartige zivilrechtliche Absprache zwischen Arbeitgeber und DIV mit Drittwirkung berührt das eigenen Regeln folgende datenschutzrechtliche Auftragsinstitut entgegen den Zweifeln der Aufsichtsbehörde überhaupt nicht 24. Wenig plausibel ist dagegen der Hinweis der Behörde, die Adressennutzung für den Aktiv -Versand lasse sich ausschließlich über eine Einwilligung der Empfänger legitimieren. Was wird damit für den Betroffenen erreicht? Wenn schon befürchtet wird, die Liste von Annahmeverweigerern berge das Risiko von Benachteiligungen durch den Arbeitgeber, um wie viel mehr erhöht sich die Gefahr, wenn ad personam vom Arbeitgeber eine Einwilligung erbeten wird, diese aber bei ihm nicht eingeht? Die Bemerkung von Baden- Württemberg, eine Einwilligung im Arbeitsverhältnis sei wegen der geforderten Freiwilligkeit allerdings nicht einfach zu realisieren, mag ja richtig sein. Das Einholen einer einwandfreien Zustimmung ist aber durchaus in vielfachen Gestaltungsvarianten möglich. Ob den Betroffenen, die auf diese Weise ihr Recht auf informationelle Selbstbestimmung im Sinn einer Ablehnung ausgeübt haben, damit gedient ist, auf direktem Weg in einem Nixie-Pool oder in einer Robinsonliste des Arbeitgebers zu landen, mag dahinstehen. 20 Vgl. Lerche, Gutachten, S. 42; Schuster, RDV 1989, S. 157 (161); für politische Werbesendungen, vgl. Schmitz, Grundrechtskollisionen zwischen politischen Parteien und Bürgern, 1995, S. 47; Brocker, NJW 2002, S (2074); BVerfG, NJW 2002, S (2939):...der Betroffene wird durch den Einwurf der Werbesendung nicht gezwungen, deren Inhalt zur Kenntnis zu nehmen oder sich gar mit ihm auseinander zu setzen... Ebenso schon BVerfG, NJW 1991, S. 910 (911). 21 BGH, GRUR 1973, S Vgl. BGH, GRUR 1989, S Vgl. Wronka, Archiv für Presserecht (AfP) 1973, S. 440; im Einzelnen auch Köhler in: Hefermehl/Köhler/Bornkamm, Wettbewerbsrecht, 25. Aufl. (2007), 7 UWG Rdn. 15 ff. 24 Zu einzelnen zivilrechtlichen Vertragskonstruktionen vgl. auch Gola/Wronka, RDV 2007, S. 59 (60 f.).