RDV Aufsätze. Recht der Datenverarbeitung G Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht.

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 29. Jahrgang Juni 2013 Seiten Aufsätze BECKSCHULZE/FACKELDEY, Systematischer Aufbau von Betriebsverein barungen zum Schutz von Beschäftigtendaten FORST, Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? PÖTTERS/TRAUT, Videoüberwachung im Arbeitsverhältnis Kurzbeiträge GOLA, Aus den Berichten der Aufsichtsbehörden (7) KLUG, EU-Datenschutz-Grundverordnung: Datenschutzbeauftragte obligatorisch oder optional? REIF, Neues Bundesmeldegesetz verabschiedet WACKER/SUPPER, Liveübertragungen von Ratssitzungen im Internet Rechtsprechung Aus dem Inhalt BAG, Fragerecht des Arbeitgebers nach erledigtem Ermittlungsverfahren BAG, Frist zur Vorlage einer Arbeitsunfähigkeits bescheinigung BAG, Außerordentliche Kündigung wegen Handynutzung während einer Operation (Ls) BAG Zuständigkeit des Konzernbetriebsrats bei zentraler Personaldatenverarbeitung BAG Fristlose Kündigung wegen heimlichen Mitschnitts eines Personalgesprächs (Ls) Berichte, Informationen, Sonstiges Literaturhinweise Veranstaltungen

2 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 29. Jahrgang 2013 Heft 3 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze RA Martin BECKSCHULZE/ Dipl.-Ing. Arnd FACKELDEY Systematischer Aufbau von Betriebsverein - barungen zum Schutz von Beschäftigtendaten 109 Dr. Gerrit FORST Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? 122 Stephan PÖTTERS, LL.M./ Dr. Johannes TRAUT Videoüberwachung im Arbeitsverhältnis 132 Kurzbeiträge Prof. Peter GOLA, Aus den Berichten der Aufsichtsbehörden (7) 140 RA Christoph KLUG EU-Datenschutz-Grundverordnung: Datenschutzbeauftragte obligatorisch oder optional? 143 RAin Yvette REIF, LL.M. Neues Bundesmeldegesetz verabschiedet 145 Peter WACKER/Kristin SUPPER Liveübertragungen von Ratssitzungen im Internet 147 Rechtsprechung Fragerecht des Arbeitgebers nach erledigtem Ermittlungsverfahren (BAG, Urteil vom ) 152 Frist zur Vorlage einer Arbeitsunfähigkeits - bescheinigung (BAG, Urteil vom ) 155 Außerordentliche Kündigung wegen Handynutzung während einer Operation (Ls) (BAG, Urteil vom ) 157 Zuständigkeit des Konzernbetriebsrats bei zentraler Personaldatenverarbeitung (BAG, Beschluss vom ) 157 Fristlose Kündigung wegen heimlichen Mitschnitts eines Personalgesprächs (Ls) (BAG, Urteil vom ) 158 Auskunftspflicht des Arztes über Samenspender (Ls) (OLG Hamm, Urteil vom ) 159 Unzulässige Telefonwerbung wohltätiger Organisationen (OLG Köln, Urteil vom ) 159 Fassung des Unterlassungsantrages bei Telefonwerbung ohne Ein willi gung (Ls) (OLG Frankfurt, Urteil vom ) 160 Berichte, Informationen, Sonstiges Datenschutz in Europa stärken 161 Bundesgerichtshof erkennt Schadensersatz für den Ausfall eines Internetanschlusses zu 161 ULD: Facebook wird immer dreister die deutsche Politik schaut zu und macht mit 163 Datenschutz bei Compliance Programmen kostenlose Checkliste mit Erläuterungen und Best Practices 163 Literaturhinweise Reinhard Richardi/Hans-Jürgen Dörner/ Christoph Weber (Hrsg.), Personalvertretungsrecht (GOLA) 164 Jobst-Hubertus Bauer/Burkhard Göpfert/ Steffen Krieger, Allgemeines Gleichbehandlungsgesetz (REDAKTION) 164 Neuerscheinungen Aufsätze 165 Veranstaltungen 166

3 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Universität Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutz - beauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Rolf SCHWARTMANN, Fachhochschule Köln Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Schriftleitung Prof. Peter Gola (federführend) RA Dr. Georg Wronka RA Andreas Jaspers RDV-Schriftleitung@gdd.de Redaktionsanschrift Birgit Koppitsch Heinrich-Böll-Ring 10, Bonn Telefon: (02 28) Telefax: (02 28) RDV-Redaktion@gdd.de Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, MwSt. im Preis enthalten jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) weiss@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Abbestellungen Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Beilagenhinweis GDD-Mitteilungen 3/2013; DATAKONTEXT, Frechen; Verlag C.H.BECK, München Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung er beten. Für unverlangt eingesandte Manuskrip te wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; die se sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechts schutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Thomas Reinhard-Rief Hultschiner Straße 8 D München Telefon: (089) Fax: (089) reinhard@datakontext.com Geschäftsführer: Dr. Karl Ulrich Leitung: Hans-Günter Böse HRB

4 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter (federführend) RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn Redaktion: Birgit Koppitsch 29. Jahrgang 2013 Heft 3 Seiten Recht RDV der Datenverarbeitung Aufsätze RA Martin Beckschulze, Bochum/Dipl.-Ing. Arnd Fackeldey, Düren* Systematischer Aufbau von Betriebsvereinbarungen zum Schutz von Beschäftigtendaten Der Beschäftigtendatenschutz ist nicht zuletzt wegen der in diesem Bereich bestehenden Rechtsunsicherheit in aller Munde. Diese Situation sorgt dafür, dass sich die Betriebsparteien verstärkt mit dem Thema auseinandersetzen müssen und nach gemeinsamen Lösungen zur Handhabung des Datenschutzes im Unternehmen suchen. Da in der heutigen Zeit so gut wie alle betrieblichen Datenverarbeitungen automatisiert ablaufen, werden auch hier in der Regel personenbezogene Daten im Sinne des 3 Abs. 1 BDSG verarbeitet, bei denen aufgrund der technischen Einrichtung eine Leistungsüberwachung der Beschäftigten möglich ist. Somit ist neben dem BDSG auch das Mitbestimmungsrecht des Betriebsrats nach 87 Abs. 1 Nr. 6 BetrVG zu beachten. Die neuere Instanzrechtsprechung tendiert nun dazu, dass das TKG auch bei der privaten Nutzung von Informations- und Kommunikationstechnologie keine Anwendung mehr findet. 1 Trotz der teilweise rechtlich begründeten, unterschiedlichen Betrachtungs- und somit Herangehensweise an die zu behandelnden Themenfelder bietet es sich aus Sicht des BDSG und des BetrVG an, mögliche Synergien effizient zu nutzen. Die nachfolgenden Ausführungen sollen eine Hilfestellung dazu bieten, wie dies durch die Einführung einer Rahmenbetriebsvereinbarung zum Schutz von Beschäftigtendaten aussehen kann und welche zusätzlichen Vorteile sich neben der damit etablierten Rechtssicherheit für die Betriebsparteien daraus ergeben. I. Rechtsrahmen Nach der ständigen Rechtsprechung des BAG ist das Mitbestimmungsrecht des 87 Abs. 1 Nr. 6 BetrVG bereits dann gegeben, wenn eine technische Einrichtung lediglich die Möglichkeit einer Verhaltens- oder Leistungskontrolle der Arbeitnehmer bietet. Entscheidend ist nicht, ob diese Möglichkeit tatsächlich genutzt wird. So ist nach dem BAG ein datenverarbeitendes System bereits dann zur Überwachung von Verhalten oder Leistung der Arbeitnehmer bestimmt, wenn es individualisierte oder individualisierbare Verhaltensoder Leistungsdaten selbst erhebt und aufzeichnet, unabhängig davon, ob der Arbeitgeber die erfassten und festgehaltenen Verhaltens- oder Leistungsdaten auch auswerten oder zu Reaktionen auf festgestellte Verhaltens- oder Leistungsweisen verwenden will. Eine Überwachung in diesem Sinne ist dabei sowohl das Sammeln von Informationen als auch das Auswerten bereits vorliegender Informationen. 2 Dagegen handelt es sich bei den sog. Stammdaten 3 nicht um Daten, die * Rechtsanwalt Martin Beckschulze ist bei den Arbeitgeberverbänden Ruhr/Westfalen in Bochum tätig sowie Geschäftsführer der Arbeitgeber Ruhr GmbH. Dipl.-Ing. Arnd Fackeldey ist Datenschutzbeauftragter und Datenschutzauditor der Akzo Nobel GmbH sowie GDD ERFA Kreisleiter Aachen. 1 Näher unter V. 2 BAG vom ABR 45/11, NZA 2013, Name, Adresse, Telefonnummer, Geschlecht, Familienstand, Schule, Ausbildung in Lehr- und anderen Berufen, Fachschulausbildung/ Fachrichtung/Abschluss, Sprachkenntnisse.

5 110 RDV 2013 Heft 3 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen Aussagen über die Leistung und das Verhalten treffen können, so dass deren Verwendung nicht mitbestimmungspflichtig ist. 4 Allerdings geht es im Rahmen des 87 Abs. 1 Nr. 6 BetrVG nur um die Frage des wie der Einführung einer technischen Einrichtung und nicht um die Frage des ob. Der Arbeitgeber ist somit in seiner Entscheidung frei, ob und welche technischen Einrichtungen für den Arbeitsprozess eingeführt und angewandt werden. Der Betriebsrat darf nur unter dem Aspekt der Verhaltens- oder Leistungskontrolle bei der Datenerhebung, -verarbeitung und -nutzung die Art und Weise dieser Kontrollen durch technische Einrichtungen mitbestimmen. 5 Nicht unter die Mitbestimmung fällt dagegen der Einsatz technischer Hilfsmittel durch einen Menschen wie z.b. Taschenrechner oder die Verwendung von Google Maps und anderen Internetanwendungen (Wikipedia, Übersetzungsprogramme, Währungsrechner), da dadurch keine aussagekräftigen Leistungs- und Verhaltensdaten entstehen. Die Verwendung von Google Maps zur Kontrolle von Fahrgeldabrechnungen eines Arbeitnehmers ist daher nicht mitbestimmungspflichtig. 6 Für den Betriebsrat besteht nach 87 Abs. 1 BetrVG ferner kein Mitbestimmungsrecht, soweit eine gesetzliche Regelung vorliegt und diese keine Auswahlmöglichkeit zulässt, was im Einzelfall zu prüfen ist (z.b. Übermittlung von Beschäftigtendaten an öffentliche Stellen aufgrund gesetzlicher Vorschriften). Falls es bei Streitigkeiten zu keiner Einigung zwischen Arbeitgeber und Betriebsrat kommen sollte, ist nach 87 Abs. 2 BetrVG die Einigungsstelle ( 76 BetrVG) einzuberufen. Im Rahmen dieses Einigungsstellenverfahren kann ein eventueller Spruch nur in den Grenzen des Mitbestimmungsrechts getroffen werden. Auch hierzu bieten die nachfolgenden Ausführungen Anhaltspunkte, um zu einem für beide Seiten akzeptablen Ergebnis zu kommen. Neben den betriebsverfassungsrechtlichen Regelungen, die auch dem Schutz des allgemeinen Persönlichkeitsrechts des Arbeitnehmers dienen, ist insbesondere das BDSG zu beachten, sofern keine andere datenschutzrechtliche Regelung dem BDSG vorgeht ( 1 Abs. 3 BDSG). Allerdings ist das BetrVG, wie auch alle anderen datenschutzrechtlich vorrangigen Regelungen, nur dann als verdrängende Norm gegenüber dem BDSG anzunehmen, wenn dort konkrete Regelungen 7 zu Datenerhebung, -verarbeitung oder -nutzung vorgegeben und nicht alleine allgemeine Informationspflichten oder Regelungen benannt sind. 8 Grundsätzlich ist nach dem BDSG von einem Verbot personenbezogener Datenverarbeitungen auszugehen, es sei denn, dass das Gesetz (z.b. 32, 9 28 BDSG) oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt 10 hat ( 4 BDSG). Nach der ständigen Rechtsprechung des BAG kann eine solche andere Rechtsvorschrift auch eine Betriebs- oder Dienstvereinbarung sein. 11 Dies hätte durch die Änderung des BDSG in 4 Abs. 1 Satz 2 BDSG-E ausdrücklich klargestellt werden sollen. Zu berücksichtigen wäre dabei aber gewesen, dass 32 l Abs. 5 BDSG-E angeordnet hätte, dass von den Vorschriften über den Beschäftigtendatenschutz nicht zu Ungunsten der Beschäftigten hätte abgewichen werden dürfen. 12 Diese abzulehnende Regelung in 32 l Abs. 5 BDSG-E, welche auch nicht im Einklang zu den geplanten Änderungen in 4 BDSG gestanden hätte, wurde allgemein kritisiert und hätte nach den wieder verworfenen Entwürfen des Innenministeriums entsprechend angepasst werden sollen. In der betrieblichen Praxis hätte die Bewertung, was nun eine Abweichung zu Ungunsten der Beschäftigten ist, nur zu mehr Rechtsunsicherheit geführt, wie zutreffender Weise mehrfach kritisiert wurde. 13 Es hätte sich nämlich immer die Frage gestellt, wann eine noch zulässige Konkretisierung und wann eine unzulässige Abweichung bestanden hätte. Betriebsvereinbarungen sollen nach 77 Abs. 4 BetrVG aber einen sicheren Rechtsrahmen gewähren. Dabei bleibt den Betriebsparteien aber eine Einschätzungsprärogative, so dass nur bei offensichtlichen Abweichungen von den Grundsätzen des 75 BetrVG oder den Grundsätzen des BDSG eine Unwirksamkeit gegeben ist. Im Ergebnis sollte auch weiterhin die Faustregel von Ehmann gelten, dass das, was datenschutzrechtlich zulässig ist, auch im Mitbestimmungsverfahren vom Betriebsrat bei Ausübung seines Mit - bestimmungsrechts im Rahmen des Spruchs einer Einigungsstelle nicht für unzulässig erklärt werden kann. 14 Abzuwarten bleibt nun, ob in der von der EU geplanten europäischen Datenschutz grundverordnung 15 eine Betriebsvereinbarung als Erlaubnistatbestand sinnvollerweise explizit in Art. 82 oder Art. 6 der DS- GVO aufgenommen wird oder ob sie weiterhin als Rechtsvorschrift i.s.d. 4 BDSG und damit auch in den Grenzen der Verordnung nach Art. 82 GVO-Entwurf als Erlaubsnisnorm gelten kann. 4 BAG vom AZR 660/85, RDV 1987, Richardi, BetrVG 13. Auflage, 87 Rdn. 477; Ehmann, NZA 1993, 241, LAG Hamburg vom H 6 TaBV 103/11, n.rkr., anhängig beim BAG 1 ABR 43/12. 7 Z.B. 80 Abs. 2 BetrVG zur Einsicht in die Bruttoentgelte; BAG vom ABR 54 / 07; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz 5. Auflage Rn Gola/Schomerus, BDSG, 11. Auflage, 1 Rn. 24; TB HmbBfDI 2008/ 2009, Wybitul, BB 2010, 1085 zu Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz 5. Auflage Rn. 224 sowie Wybitul, Handbuch Datenschutz im Unternehmen 2011, Rn 119 ff zur Problematik der Freiwilligkeit. 11 BAG vom ABR 48/84, NZA 1986, 643; Erfurth, DB 2011, 1275; Joussen, ZfA 2012, 235, 258 ff m.w. N. zum Meinungsstand und zum Gesetzesentwurf. 12 Zum Entwurf eines Beschäftigtendatenschutzgesetzes vgl. Beckschulze/Natzel, BB 2010, 2368; dies. NWB 2011, 2132 m.w.n. 13 Beckschulze/Natzel, NWB 2011, 2132, 2143; Forst NZA 2010, 1044; Thüsing, NZA 2010, 16, 18; Kort, MMR 2011, 294, 298; Erfurth, DB 2011, 1275; Joussen, ZfA 2012, 235, 264; Franzen, ZfA 2012, 172, 194; laut Freckmann/Störing/Müller, BB 2011, 2549 keine Änderung der Rechtslage. 14 Ehmann, NZA 1993, 241, Wybitul/Fladung, BB 2012, 509; Hoeren/Giurgiu, NWB 2012, 1599, Forst NZA 2012, 364; Gola, EuZW 2012, 332.

6 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen RDV 2013 Heft II. Grundgedanken zu systematischen Betriebsvereinbarungen Neben möglichen Rechtsunsicherheiten zur Reichweite des Beurteilungsspielraums für Betriebsvereinbarungen, sind datenschutzrechtliche Begriffsdefinitionen nur in 3 BDSG zu finden, im BetrVG fehlen diese gänzlich. Um Missverständnissen bei Formulierungen in Betriebsvereinbarungen vorzubeugen, sind datenschutzrelevante Begriffe immer durchgängig und nur dann zu verwenden, wenn diese eindeutig definiert sind. Eine explizite Definition von in Betriebsvereinbarungen verwendeten Begriffen kann aber allenfalls dann ratsam sein, wenn diese Begriffe rechtlich durch das BDSG, andere Gesetze oder aber durch Normen, wie beispielsweise die DIN-ISO/IEC Norm, 16 nicht eindeutig definiert sind. Wenige notwendige Begriffe können ansonsten an den jeweiligen Stellen, an denen sie verwendet werden, oder in einer Anlage erläutert bzw. konkretisiert werden. Sollte man beispielsweise den Begriff Beschäftigtendaten durchgängig in einer Betriebsvereinbarung verwenden wollen, so könnte man diesen entsprechend des 3 Abs. 12 BDSG-E 17 definieren. Zum Verständnis der hier empfohlenen Herangehensweise ist es im Vorfeld notwendig, die Begriffe Verfahren und Datenverarbeitungssystem voneinander abzugrenzen. Beide Begriffe sind weder im BDSG noch im BetrVG explizit definiert. Der Begriff Datenverarbeitungssystem bezeichnet in diesem Zusammenhang informationstechnische Hilfsmittel, die eine festgelegte Aufgabe erfüllen. Diese Hilfsmittel sind nach außen als eine zusammenhängende Einheit zu erkennen, haben Schnittstellen nach außen und dienen zur Lösung von Aufgaben. Datenverarbeitungssysteme lassen sich in Teilsysteme zerlegen. So ist z.b. ein Mail-System ein Hilfsmittel zur Kommunikation, dass mit allen seinen Teilsystemen (Server, Netzwerk, PC-Arbeitsplatz, Software, Drucker, etc.) von außen als eine Einheit betrachtet wird. Ebenso ist der Begriff Verfahren im Sinne des BDSG zu erläutern. Ein Verfahren ist ein definierter, in einzelne Verfahrensschritte zerlegbarer, überprüfbarer Ablauf bzw. Prozess, der seitens des Verantwortlichen für die Verarbeitung beliebig oft wiederholbar ist, um einen bestimmten Zweck zu erreichen. Zur Abarbeitung einzelner Verfahren oder Verfahrensschritte können wiederum Datenverarbeitungssysteme eingesetzt werden. So werden beispielsweise -Server, Telefonan - lagen, Mobiltelefone, Videokonferenzen, WebKonferenzen etc. als einzelne Datenverarbeitungssysteme bei der Betrachtung des Verfahrens: Nutzung betrieb - licher Informations- und Kommunikations mittel berücksichtigt werden müssen. Der Begriff technische Einrichtung aus dem 87 Abs. 1 Nr. 6 BetrVG ist somit den Datenverarbeitungssystemen (das BAG verwendet den Begriff System ) gleichzusetzen und Teil eines Verfahrens. Daher wird bei der Betrachtung von Datenverarbeitungssystemen regelmäßig zu prüfen sein, ob 87 BetrVG einschlägig ist. Umgekehrt wird es Verfahren geben, welche nach dem BDSG zu betrachten sind, aber keiner Mitbestimmung im Sinne des 87 Abs. 1 Nr. 6 BetrVG unterliegen (z.b. Versendung der Lohn- und Gehaltsabrechnungen an Beschäftigte, sofern dies nicht automatisiert erfolgt). Der Grundgedanke bei systematischen Betriebsvereinbarungen ist es, grundlegende Vereinbarungen immer wieder an die nächsten Ebenen vom Kern aus weiter zu vererben. So werden immer wiederkehrende Diskussionen vermieden, allgemeingültige Aussagen im Umgang mit Beschäftigtendaten festgeschrieben und der Verhandlungsfokus auf die wirklichen Schwerpunkte der Einzelthemen gelegt. Die Betriebsvereinbarungen sind daher so aufzubauen, dass zunächst eine Rahmenbetriebsvereinbarung (Kern) erstellt wird, in der immer wiederkehrende, allgemeingültige Regelungsbereiche der Verfahren niedergeschrieben werden. Hierauf aufbauend werden dann verschiedene Detailbetriebsvereinbarungen (Ebene 1) abgeschlossen, die Besonderheiten der Verfahren in den einzelnen Regelungsbereichen (z.b. digitale Personalakte, Videoüberwachung, SAP-Einführung, Nutzung betrieblicher Informations- und Kommunikationsmittel) erläutern. Diese Detailbetriebs vereinbarung ist als Verfahrensverzeichnis gemäß 4 e, g BDSG aufgebaut. Sie enthalten wiederum Anlagen (Ebene 2), in der einzelne detaillierte Verfahrensschritte und Datenverarbeitungssysteme etc. genau beschrieben werden, damit bei späteren Änderungen nicht die Betriebsvereinbarung komplett geändert werden muss. Ebenenmodell, 2013 Beckschulze/Fackeldey Dieser einheitliche, systematische Aufbau prägt sich bei den Betriebsparteien gut ein und erhöht für alle Beteiligten die Lesbarkeit, Verständlichkeit und Akzeptanz, da die entsprechenden Informationen immer 16 Norm des internationalen Technologiestandards ISO/IEC für Informationstechnik (seit 1993). 17 Beschäftigtendaten sind personenbezogene Daten, die für Zwecke eines früheren, bestehenden oder zukünftigen Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden.

7 112 RDV 2013 Heft 3 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen wieder an der gleichen Stelle zu finden sind. Haben sich die Betriebsparteien einmal auf die Rahmenbetriebsvereinbarung (Kern) geeinigt, ist bei den nachfolgenden Detailregelungen nur noch Einigkeit über die inhaltliche Ausgestaltung der Angaben für das Verfahrensverzeichnis zu finden. Die verantwortliche Stelle muss dem Datenschutzbeauftragten nach 4 Abs. 2 BDSG eine Übersicht über die in 4 e Satz 1 BDSG genannten Angaben sowie über die zugriffsberechtigten Personen zur Verfügung stellen, die dieser dann in Form des sogenannten Verfahrensverzeichnisses verwaltet. Dies gilt für jedes Verfahren automatisierter Datenverarbeitung, welches unterschiedlichen Zwecken dient. Allerdings kann die Dokumentation mehrerer, gleichartiger Verfahren auch zusammengefasst erfolgen. Durch die einheitliche, formale Aufbereitung der Angaben wird auch dem Datenschutzbeauftragten die Arbeit erleichtert, und es ist sofort ersichtlich, wie bzw. ob alle datenschutzrechtlichen Belange in der erforderlichen Tiefe behandelt wurden. Diese Vorgehensweise ermöglicht auch eine schnelle Umsetzung und vermeidet Fehlformulierungen sowie Auslegungsschwierigkeiten. Weiterer Ansatz dieser Vorgehensweise ist es, in Unternehmen oder Konzernen einen einheitlichen Standard und Transparenz für den Beschäftigtendatenschutz zu schaffen. 18 Eine häufig anzutreffende Fehlformulierung wäre beispielsweise der pauschale Ausschluss jeglicher Leistungs- und Verhaltensüberwachung, 19 da anderenfalls bestimmte vereinbarte Verfahren ihre eigentliche Aufgabe (z.b. Zutrittskontrolle, Zeiterfassung, Videoüberwachung) nicht mehr erfüllen könnten. Dies gilt insbesondere für eine Aufnahme in die Rahmenvereinbarung (Kern). Hierbei ist vielmehr eine Positivliste mit den konkreten Zwecken der einzelnen Schritte des Verfahrens zur Datenerhebung, -verarbeitung und -nutzung zu vereinbaren (siehe unter III 4.). 1) Zuständigkeit des Betriebsrats Die systematischen Betriebsvereinbarungen können in allen Betriebs-/Organisationsformen angewandt werden. Es ist allerdings darauf zu achten, welche Betriebspartner tätig werden dürfen. Hierbei stellt sich häufig das Problem, inwiefern ein Konzernbetriebsrat nach 58 Abs. 1 Satz 1 Halbs. 1 BetrVG, ein Gesamtbetriebsrat nach 50 BetrVG oder der örtliche Betriebsrat originär zuständig ist. Wird eine Betriebsvereinbarung durch ein unzuständiges Gremium abgeschlossen, so ist diese nichtig. In Zweifelsfällen kann ein Beauftragungsbeschluss der Einzelbetriebsräte bzw. des Gesamtbetriebsrats sinnvoll sein ( 50 Abs. 2; 58 Abs. 2 BetrVG). Ein objektives Erfordernis für eine konzerneinheit - liche Regelung kann sich aus technischen oder recht - lichen Gründen ergeben. So kann die Verwendung derselben Programme, Eingabemasken oder Formate konzernweit erforderlich sein, um technisch den Da- tenimport und -export unternehmensübergreifend im Konzern zu gewährleisten. 20 Gleiches gilt für die Zuständigkeit des Gesamtbetriebsrats, wenn das elektronische Datenverarbeitungssystem betriebsübergreifend eingeführt werden soll und eine unterschiedliche Ausgestaltung in den einzelnen Bereichen mit der einheitlichen Funktion des Systems nicht vereinbar wäre. 21 Das BAG 22 hat jüngst die Zuständigkeit des Konzernbetriebsrats für Betriebsvereinbarungen zur Nutzung von ERP Systemen (z.b. SAP) aus technischen Gründen bestätigt. Zwar seien allein der Wunsch des Arbeitgebers nach einer konzerneinheitlichen oder unternehmensübergreifenden Regelung, sein Kostenoder Koordinierungsinteresse sowie reine Zweckmäßigkeitsgesichtspunkte nicht allein ausschlaggebend, aber ein zwingendes Erfordernis für eine unternehmensübergreifende Regelung ergebe sich aus der bestehenden zentralen Nutzungs- und Überwachungsmög - lichkeit. Sofern das ERP-System im Konzern der Arbeitgeberin von der jeweils personalverwaltenden Konzerngesellschaft im Einmandantenmodell genutzt wird, können die verarbeiteten Daten aufgrund einheitlicher Formate miteinander verknüpft, exportiert, importiert und für die Konzernunternehmen ohne zusätzlichen technischen Aufwand genutzt werden. ERP- Systeme verfügen i.d.r. über vielfältige Möglichkeiten, Daten unternehmensübergreifend verknüpfend auswerten zu können. Hierdurch können die von den Arbeitnehmern erhobenen Leistungs- und Verhaltensdaten konzernweit gefiltert und sortiert werden. Durch eigenständige und einheitliche Protokollierungsfunktionen ergebe sich ebenso eine zentrale Nutzungs- und Überwachungsmöglichkeit. Wenn auch dem BAG zur Zuständigkeit des Konzernbetriebsrats gefolgt werden kann, hat es damit auch die zutreffenden Ausführungen Vorinstanz des LAG Niedersachsen aufgehoben, wonach es schon aus verfassungsrechtlichen Gründen (Art. 14 GG) die freie Unternehmerentscheidung sei, ob und in welcher Form ein EDV-System betriebsoder konzernweitbezogen eingeführt werde. 23 Praxistipp: Sofern die Zuständigkeit nicht beim Konzern- bzw. Gesamtbetriebsrat liegen sollte, aber ein solches Gremium existiert, können die Parteien in einer solchen Vereinbarung den jeweils zuständigen Gremien dennoch empfehlen, die Grundsätze dieser Konzernbetriebsvereinbarung einzuhalten. In der Regel wird eine entsprechende praktische Handha- 18 So auch die KBV DS für die Deutsche Bahn, Fritz, ZfA 2012, 197, 199, die, vor dem Hintergrund der Datenaffäre, teilweise über den gesetzlichen Mindeststandard hinausgeht. 19 So auch Ehmann, NZA 1993, 241, Kort, NZA 2011, 1319, 1323; BAG vom ABR 8/95, DB 1996, BAG vom 14. November ABR 4/06, DB 2007, BAG vom ABR 45/ LAG Niedersachsen vom TaBV 55/09; in der der Sachverständige ausführte, dass das Anwendungssystem My SAP ERP- HR üblicherweise konzernweit angelegt wird und die Zuständigkeit der Konzernbetriebsräte die Praxis ist, die vom Arbeitgeber gewollte atypische Gestaltung eines Mehrmandantensystem auf örtlicher Betriebsebene aber machbar wäre.

8 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen RDV 2013 Heft bung dafür sprechen, dass die örtlichen Betriebsräte und Geschäftsleitungen diese Grundsätze mit übernehmen und in den lokalen Betriebsvereinbarungen auf die bereits bestehenden Regelungen Bezug nehmen und auf sie verweisen. 2) Konzernregelung Betriebsvereinbarungen, gleich mit welchem Betriebsratsgremium (Konzern-, Gesamt-, örtlicher Betriebsrat) diese vereinbart wurden, können zunächst nur Wirkung innerhalb der Grenzen der Bundesrepublik Deutschland haben. Soll durch eine Betriebsvereinbarung die konzerninterne Weitergabe bzw. Übermittlung von Beschäftigtendaten in Drittländer (z.b. USA), beispielsweise aufgrund von Matrixstrukturen, 24 le - gitimiert werden, so müssen in die Betriebsvereinbarung ggf. entsprechende Formulierungen aufgenommen werden. Im Zeitalter der Globalisierung ist die Forderung nach grenzüberschreitenden Weitergaben von Beschäftigtendaten stark angestiegen. Datenschutzrechtlich muss zwischen der Datenweitergabe in der EU- bzw. dem EWR angehörige Länder und in sog. Drittländer unterschieden werden. Die Zulässigkeit des Datentransfers ins Ausland ist anhand einer zweistufigen Prüfung zu ermitteln. Zusätzlich zu den grundsätzlichen Anforderungen (erste Stufe) an Datenübermittlungen nach den 32, 28 und 4 ist in der zweiten Stufe die Frage zu beantworten, ob ein angemessenes Datenschutzniveau im Sinne des 4b BDSG oder aber ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechtes und der Ausübung der damit verbundenen Rechte im Sinne des 4 c Abs. 2 BDSG vorliegen. Diese Garantien sind durch verbindliche Unternehmensregelungen (z.b. BCR) bzw. Verträgen zwischen den Konzernunternehmen (z.b. EU-Standardvertragsklauseln) zu erreichen. Im Einzelfall können die Voraussetzungen der 32 und 28 BDSG, die in der 1. Stufe zu prüfen sind, gleichfalls durch diese Instrumente erfüllt werden. 25 Insbesondere bei Due-Diligence Prüfungen, Unternehmenskäufen und Betriebsübergängen mit einer Eingliederung der Firmen in den Konzern stellen sich häufig die datenschutzrechtlichen Fragen der Weiterleitung der Beschäftigtendaten an die Konzernmutter (eventuell auch ins Ausland). 26 In diesen Fällen sowie auch bei allen anderen Übermittlungen innerhalb eines Konzerns muss jeder einzelne Vorgang betrachtet und bewertet werden. Vom Versuch, ein globales, allgemeingültiges Konzerninteresse an Beschäftigtendaten (Konzernprivileg) in eine Betriebsvereinbarung aufzunehmen, kann jedoch nur abgeraten werden, da dies wohl regelmäßig nicht zu rechtfertigen ist. 27 Abzuwarten bleibt, ob hier durch die europäische DS-GVO eine Regelung zur Datenübermittlung im Konzern geschaffen wird, nachdem der sinnvolle Regelungsvorschlag des Bundesinnenministeriums in 32 m BDSG-E nicht umgesetzt wurde. 28 III. Rahmenbetriebsvereinbarung zu allen Verfahren (Kern) 1. Präambel Den Regelungen in der Betriebsvereinbarung könnte sinngemäß vorweggestellt werden, dass die Anwendung von Verfahren und Datenverarbeitungssystemen der Informations- und Kommunikationstechnologie (kurz IuK-Verfahren/-Systeme; siehe unter II) zu wirtschaftlichen und ordnungsgemäßen Erledigung der Unternehmensaufgaben sinnvoll und notwendig ist. Zugleich ist es aber auch erforderlich, dass die Ar - beitnehmer/innen vor missbräuchlichem Umgang mit ihren personenbezogenen Daten (Beschäftigtendaten) geschützt werden, ihre Persönlichkeitsrechte beachtet und die Beschäftigtendaten entsprechend dem Datenschutzrecht behandelt werden. Hier sollte bereits darauf geachtet werden, dass dem Betriebsrat lediglich die Kompetenz für die Beschäftigtendaten des von ihm vertretenen Personenkreises und nicht für andere Daten (z.b. der Kunden und Lieferanten) zusteht. Mit der Rahmenbetriebsvereinbarung sollten Regelungen für die Einführung, die Durchführung und die Änderung von IuK-Verfahren/-Systemen sowie den Umgang mit Beschäftigtendaten vereinbart werden. Nähere Einzelheiten könnten auf Wunsch einer Betriebspartei in ergänzenden Betriebsvereinbarungen (Ebene 1) von den jeweils zuständigen Betriebsparteien für einzelne IuK-Verfahren/-Systeme vereinbart werden. 2. Geltungsbereich Im Geltungsbereich ist festzulegen, für welche Betriebe, Unternehmen oder abhängigen Konzerngesellschaften ( 17 AktG) diese Rahmenbetriebsvereinbarung gilt. Im Rahmen der originären Zuständigkeit des Konzern- bzw. Gesamtbetriebsrats gilt die Betriebsvereinbarung für alle Konzernunternehmen bzw. Betriebe des Unternehmens. 29 Da es sich um eine Rahmenbetriebsvereinbarung handelt, sollte bei einer Konzernbetriebsvereinbarung aufgenommen werden, dass sie für alle in die Zuständigkeit des Konzernbetriebsrats ( 58 Abs. 1 BetrVG) fallenden IuK-Verfahren/-Systeme gilt, sofern diese bei konzernangehörigen Gesellschaften eingesetzt werden sollen. Hinsichtlich des persönlichen Geltungsbereiches sollte auf die Beschäftigten und die Auszubildenden verwiesen werden (vgl. Definition der Beschäftigten in 24 Bauer/Herzberg, NZA 2011, 713, GDD Praxishilfe Mitarbeiterdaten im Unternehmensverbund, Göpfert/Meyer, NZA 2011, 486, 492 zum Datenschutz beim Unternehmenskauf; Gola/Wronka, a.a.o. Rn 1116 ff. 27 Gola/Schomerus, BDSG, 11. Auflage, 32 Rn Schulz, BB 2011, 2552 zu Lösungsansätzen für ein Konzernprivileg. 29 Fitting, BetrVG, 26. Aufl. 77 Rn. 34.

9 114 RDV 2013 Heft 3 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen 3 Abs. 11 BDSG). Hierbei bietet sich eine dem 3 Abs. 12 BDSG-E vergleichbare Sprachregelung an (s.o.), die in die Rahmenbetriebsvereinbarung aufgenommen werden sollte. Auf Leitende Angestellte sind Regelungen in Betriebsvereinbarungen grundsätzlich nicht anzuwenden ( 5 Abs. 3 BetrVG). Es wird allenfalls eine Regelung mit dem Sprecherausschuss zu vereinbaren sein. Hinsichtlich der Leiharbeitnehmer hat der Betriebsrat in der Regel kein Mandat. Praxistipp: Leitende Angestellte sind zwar vom Geltungsbereich des BDSG erfasst, der Betriebsrat kann sie aber im Rahmen des BetrVG nicht wirksam vertreten. Es sollte aber eine entsprechende Anwendung für diesen Personenkreis erfolgen und ein Hinweis in die Betriebsvereinbarung aufgenommen werden, der garantiert, dass die Vorgehensweisen auch für diesen Personenkreis gelten. Sachlich sollte der Geltungsbereich weit gefasst sein. Die Betriebsvereinbarung sollte als Rahmenregelung danach auf alle technischen Einrichtungen und deren Anwendungen angewendet werden, die über elektronische Verarbeitungs-, Speicherungs- oder Auswertungsmöglichkeiten von Beschäftigtendaten verfügen und geeignet sind, Verhalten oder Leistung von Beschäftigten zu überwachen, da nur dann das Mitbestimmungsrecht des 87 Abs. 1 Nr. 6 BetrVG greift. 3. Zusammenarbeit der Betriebsparteien Um eine vertrauensvolle Zusammenarbeit i.s.d. 2 Abs. 1 BetrVG 30 zu gewährleisten, sollte eine Regelung aufgenommen werden, dass noch nicht abgestimmte Verfahren solange von den Beschäftigten und den Führungspersonen zu ignorieren sind, bis eine entsprechende Vereinbarung getroffen wurde. In der Praxis kommt es nicht selten vor, dass mitbestimmungspflichtige Verfahren bzw. Systeme durch automatische Updates (kleine Verbesserungen und Fehlerbehebungen) bzw. Upgrades (Releasewechsel) verändert werden. Dies kann bei gravierenden Änderungen (meist bei Upgrades) zu neuen Mitbestimmungsrechten führen. Praxistipp: In der Betriebsvereinbarung sollte daher festgehalten werden, dass ein erneutes Mitbestimmungsrecht nur bei Upgrades mit neuen wesentlichen Änderungen der Überwachungsmöglichkeiten der Beschäftigtendaten entsteht, der Betriebsrat aber generell informiert wird. Ein ebenfalls häufig auftretendes Problem ist es, dass von ausländischen Konzernmüttern nicht abgestimmte Umfragen durchgeführt werden, die auf einer freiwilligen Teilnahme der Beschäftigten aufbauen. So besteht auch bei einer von der ausländischen Konzernmutter durchgeführten Befragungsaktion per ein Mitbestimmungsrecht des Betriebsrats gemäß 94 Abs. 1 BetrVG gegenüber dem im Inland ansässigen Arbeitgeber, dessen Arbeitnehmer davon betroffen sind. 31 Regelungsbedarf besteht generell bezüglich der speziellen Rechte und Pflichten des Betriebsrats. Eine generelle Verpflichtung zur Datenvermeidung und -sparsamkeit im Sinne des BDSG sollte von beiden Betriebsparteien beachtet werden. Ein Schwerpunkt liegt hierbei auf Einsichtnahmeund Überprüfungsrechten des Betriebsrats. So hat das BAG entschieden, dass der Betriebsrat vom Arbeitgeber die Durchführung einer Betriebsvereinbarung nur verlangen kann, wenn er selbst Partei der Betriebs - vereinbarung ist oder ihm durch die Betriebsverein - barungen eigene betriebsverfassungsrechtliche Rechte eingeräumt wurden. Sollte der Gesamt- oder Konzernbetriebsrat in originärer Zuständigkeit ( 50, 58 BetrVG) mit dem Arbeitgeber Gesamt- oder Konzernbetriebsvereinbarungen abschließen, so habe der nicht beteiligte örtliche Betriebsrat aus eigenem Recht keinen Anspruch auf Durchführung dieser Betriebsvereinbarungen. 32 Um die Einhaltung der Betriebsvereinbarung überwachen zu können, wird seitens des Betriebsrats oft ein Online-Zugriffsrecht auf die Datenverarbeitungsverfahren gewünscht. Obwohl dies auch unternehmerseitig aus Vereinfachungsgründen häufig in Betracht gezogen wird, ist fraglich, ob dieses nicht vom Datenschutzbeauftragten kritisiert werden muss. Richtigerweise lässt sich weder aus 40 Abs. 2 BetrVG noch aus 80 Abs. 2 BetrVG ein Anspruch des Betriebsrats, online auf Beschäftigtendaten zuzugreifen, herleiten. Der Betriebsrat ist immer nur im Rahmen seiner konkret aus dem BetrVG ableitbaren Aufgaben befugt, auf diese Daten zuzugreifen. 33 Das BAG hat dies bestätigt und ausgeführt, dass ein Online-Zugriff die Grenzen des Informationsrechtes aus 80 Abs. 2 BetrVG überschreitet. Ein lesender Online-Zugriff würde dem Arbeitgeber das Wahlrecht nehmen, den Anspruch durch den Ausdruck des vorlagepflichtigen Detailinhalts zu erfüllen und sein Vorprüfungsrecht unberücksichtigt lassen. 34 Zum Nachweis der Einhaltung dieser Betriebsvereinbarung kann auch ein Fragenkatalog mit geschlossenen Fragen (ja/nein) erarbeitet werden. Dieser durch die Betriebsparteien und dem Datenschutzbeauftragten im Rahmen seines Überwachungsauftrages ( 4g Abs. 1 Nr. 1 BDSG) gemeinsam erarbeitete Fragenkatalog, auf den kein Anspruch seitens des Betriebsrats besteht, würde das Vertrauen des Betriebsrats in die Einhaltung der Betriebsvereinbarungen stärken. Sollte eine entsprechende Formulierung in die Rahmenbetriebsvereinbarung aufgenommen werden, so sollten hierin bereits Rahmenbedingungen für diesen Fragenkatalog (Anzahl, Fragen, zeitlicher Rahmen, Häufigkeit, Verwendung nur vorhandener Informationen, keine Sondererstellung von Listen etc.) festgelegt werden. Wie eventuelle Kontrollen durchzuführen sind, kann in der Detailbetriebsvereinbarung (Ebene 1) für das jeweilige Verfahren beschrieben werden. 30 Dazu Freckmann/Koller/van Delden, BB 2006, Hessisches LAG vom 5. Juli TaBV 153/00, DB 2001, BAG vom 18. Mai ABR 6/09, DB 2010, Kort, NZA 2010, BAG vom 16. August ABR 22/10, DB 2012, 638.

10 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen RDV 2013 Heft Ein weiterer Diskussionspunkt sind die Rechte des Betriebsrats zur Hinzuziehung von Sachverständigen. Dabei kann der Arbeitgeber zur Information des Betriebsrats innerbetriebliche EDV-Fachleute und außerbetriebliche Vertreter der EDV-Hersteller einsetzen und der Betriebsrat die Informationen durch diese Personen nicht ablehnen. 35 So kommt nach der zutreffenden Entscheidung des BAG eine Hinzuziehung betriebsfremder Sachverständiger gemäß 80 Abs. 3 BetrVG grundsätzlich erst dann in Betracht, wenn die betriebsinternen Informationsquellen ausgeschöpft sind. 36 Dementsprechend sollte aus Klarstellungsgesichtspunkten und zur Stärkung der Funktion des Datenschutzbeauftragten eine entsprechende Regelung dergestalt mit aufgenommen werden, dass bei Fragen zur Funktions- und betrieblichen Arbeitsweise von IuK-Verfahren/-Systemen und Fragen zum Datenschutz zunächst innerbetriebliche Informationenquellen (z.b. des Datenschutzbeauftragten) genutzt werden müssen. In diesem Zusammenhang kann der Betriebsrat auch nochmals auf das BDSG verpflichtet werden, da nach der schwer verständlichen Entscheidung des BAG der Betriebsrat zwar den Datenschutz zu beachten hat, aber die Einhaltung nicht durch den Datenschutzbeauftragten kontrolliert werden darf. 37 Das BAG hat diese Ansicht in einer neueren Entscheidung weder bestätigt noch aufgegeben, sondern dahingestellt sein lassen. 38 Mit Blick auf die Ausweitung des Sonderkündigungsschutzes des Datenschutzbeauftragten in 4f Abs. 3 S. 5 BDSG und seiner damit erlangten Unabhängigkeit gegenüber dem Arbeitgeber könnte dies nun auch anders beurteilt werden 39. Die Bedeutung des Datenschutzes auch für Betriebsräte hat das LAG Berlin-Brandenburg nochmals hervorgehoben, wonach Betriebsratsmitglieder bei unbefugtem Zugriff auf Personaldaten aus dem Betriebsrat ausgeschlossen werden können. 40 Ob in diesem Fall auch eine außerordentliche Kündigung in Betracht kommt, ist Sache des Einzelfalles. Jedenfalls trifft dies für einen heimlichen Mitschnitt eines Personalgesprächs zu. 41 Um jeden Anschein nicht datenschutzkonformen Verhaltens durch den Betriebsrat auszuschließen, könnte ebenfalls eine Kontrollerlaubnis des Betriebsrats durch den Datenschutzbeauftragten in der Betriebsvereinbarung vereinbart werden. Das Datengeheimnis nach 5 BDSG gilt auch für die Betriebsräte, da das BAG festgestellt hat, dass natürlich auch der Betriebsrat das BDSG zu beachten hat. 42 Inwiefern der Arbeitgeber die in 5 S. 2 BDSG vorgesehene Verpflichtung auf das Datengeheimnis vom Betriebsrat fordern kann, ist umstritten. 43 Richtigerweise ist dies zu bejahen, 44 da die Unabhängigkeit des Betriebsrats davon nicht berührt wird und es keinen Unterschied aufgrund des Betriebsratsamtes gibt, zumal die aufgrund einer anderen Arbeitstätigkeit erteilte Verpflichtung nach 5 BDSG weitergilt. Um jegliche unnötige Diskussionen zu vermeiden, sollten sich die Betriebsräte in Form einer Geschäftsordnung selbst auf den ordnungsgemäßen Umgang im Sinne des BDSG, hier speziell auch mit Blick auf die technischen und organisatorischen Maßnahmen bei der Betriebsratsarbeit, sowie die Wahrung des Datengeheimnisses des 5 BDSG verpflichten und dies gegenüber dem Arbeitgeber nachweisen, da dieser ansonsten Beschäftigtendaten nicht mehr auf elektronischem Wege an den Betriebsrat aushändigen kann, ohne möglicherweise vom BDSG gesteckte Grenzen zu überschreiten. 4. Umgang mit Beschäftigtendaten Unter diesem Punkt werden die in der Regel diskussionswürdigsten Punkte der Zweckbestimmung und der Leistungs- und Verhaltenskontrolle 45 angesprochen, da hier der Grund für die Mitbestimmung des Betriebsrats nach 87 Abs. 1 Nr. 6 BetrVG (s.o. unter I) liegt. Bei einer fehlenden Einigung der Betriebsparteien hat eine Einigungsstelle eine Interessenabwägung vorzunehmen und gesetzlich unzulässige Eingriffe auszuschließen. 46 Sie würde jedoch ihr Ermessen überschreiten, wenn sie gesetzlich zulässige Kontrollen ausschließen oder unter die Zustimmung des Betriebsrats stellen würde. 47 In der Betriebsvereinbarung sollte jedoch der Fokus auf einer positiven Formulierung der erlaubten Zwecke liegen. Praxistipp: Es sollte explizit geregelt werden, dass Beschäftigtendaten zu den in dieser Betriebsverein - barung vereinbarten Zwecke erhoben, verarbeitet und genutzt werden können, ohne dass für diese Zweckbestimmung eine gesonderte Betriebsvereinbarung erforderlich ist. Auf Wunsch einer Betriebspartei können dann einzelne Verfahren in einer detaillierten Betriebsvereinbarung ausgearbeitet werden. Zu diesen Zwecken können gesetzlich legitimierte Zwecke sowie Übermittlungsmöglichkeiten im Konzern gehören. In die Rahmenbetriebsvereinbarung sollten regelmäßig nachfolgende Zwecke bereits aufgenommen werden. Diese Zwecke können insbesondere sein: 35 Venema, NZA 1993, 252, BAG vom 4. Juni ABR 63/85, NZA 1988, BAG vom ABR 21/97; a.a. Joussen, ZfA 2012, 235, BAG vom AZR 562/ So auch Joussen, ZfA 2012, 235, LAG Berlin-Brandenburg vom 12. November TaBV 1318/ BAG vom AZR 8989/11, NZA 2013, BAG vom ABR 21/97; BAG vom ABR 19/02, wonach die Weitergabe von Arbeitszeiten namentlich benannter Arbeitnehmer an die Aufsichtsbehörde gegen 4, 5 BDSG verstieß und 89 BetrVG keine ausreichende Rechtsgrundlage war; Gola/Schomerus, a.a.o. 5 Rn Dafür Lelley, Commpliance im Arbeitsrecht 2012, Rn 274; dagegen Fitting, a.a.o., 79 Rn In diese Richtung auch Gola/Schomerus, a.a.o. 5 Rn Jacobs, ZfA 2012, 215 zum Datenschutz bei der Überwachung von Beschäftigten nach der jetzigen Rechtslage und zum Gesetzentwurf. 46 So auch Haußmann/Krets, NZA 2005, 259, So auch Haußmann/Krets, NZA 2005, 259, 262 für das Beispiel der Verwertung von Daten eines Zeiterfassungssystems.

11 116 RDV 2013 Heft 3 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen zur Erfüllung gesetzlicher oder gesetzesgleicher Vorschriften (z.b. steuerliche Belange, amtliche Statistiken, Sozialversicherung usw.); für die Durchführung und Dokumentation gesetzlich oder betrieblich notwendiger rechtlicher, technischer oder wirtschaftlicher Prüfungen (z.b. Wirtschaftsprüfer, Innenrevision); zur Lohn- und Gehaltsabrechnung; zur Personalaktenführung; zur Personaleinsatzplanung und Disposition; zur Erfassung von An- und Abwesenheitszeiten sowie Zutrittskontrollen zur Personalverwaltung (z.b. Darlehensabwicklung, Dienstwagenabwicklung, Versicherungen, betriebliche Altersversorgung); zum Personalberichtswesen; zur Personalplanung und zum Personalcontrolling; zur Personalentwicklung (insbesondere Nachwuchssicherung zum Personalaustausch und im Rahmen der Aus- und Fortbildung bzw. Zielsetzung und Zielerreichung); zur Speicherung von Wiedervorlagedaten (z.b. Ablauf der Probezeit, Befristung, Dauer des Mutterschutzes) für Kontrollen zur Sicherstellung ordnungsgemäßer Datenverarbeitung gem. 9 BDSG und dessen Anlage (z.b. Anmeldedaten bei IuK-Verfahren/-Systemen, Protokolldateien); zum Zwecke der Identifikation von Ansprechpartnern (z.b. Name, Telefonnummern, -Adressen) und Ansprache zur Durchführung betrieblicher Kommunikation; zur Durchführung von Mitarbeiterbefragungen auf freiwilliger Basis; zur Reisekostenabrechnung. In der Rahmenbetriebsvereinbarung könnte betriebsverfassungsrechtlich zulässig festgehalten werden, dass für den Einsatz der zugehörigen Verfahren der mit den Spiegelstrichen aufgeführten Zwecke eine detaillierte Betriebsvereinbarung (Ebene 1) nicht mehr erforderlich ist. Das Mitbestimmungsrecht des 87 Abs. 1 Nr. 6 BetrVG wäre insoweit ausgeübt. In diesem Fall müsste datenschutzrechtlich nur noch das Verfahrensverzeichnis nach dem BDSG erstellt werden. Die Aufnahme des zweiten Spiegelstrichs trägt auch dem Zweckbindungsgebot des 31 BDSG Rechnung, wonach personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke gespeichert werden dürfen. Zwar soll der Zweck der Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage eine Auswertung von Protokolldaten für Zwecke der Missbrauchsbekämpfung mit einschließen 48 ; jedoch soll keine weitere Zweckänderung möglich sein. Durch die explizite Auflistung der weiteren Zwecke wurde eine zulässige zusätzliche Zwecksetzung vorgenommen. 49 Neben diesen aufgeführten Zwecken sollte die Er - hebung, Verarbeitung und Nutzung von Beschäftigten - daten ggf. auch in Form einer Funktionsübertragung oder Auftragsdatenverarbeitung gestattet sein, wenn Sicherheitsgründe bei konkreten Anhaltspunkten für Unregelmäßigkeiten bestehen oder es einen Verdacht auf Verstöße gegen gesetzliche oder arbeitsvertragliche Bestimmungen gibt. Bevor personalisierte Überprüfungen erfolgen, sollten zunächst pseudonymisierte Verfahren zur Datenanalyse eingesetzt werden. So hat auch das BVerfG 50 ein Kreditkartenabgleich in einem Strafverfahren bezüglich eines konkreten Geldbetrages für zulässig erklärt. Sofern allein pseudonymisierte Daten durchsucht und erst bei Treffern diese auf Personen zurückgeführt werden, wäre ein in dieser Form durchgeführter Abgleich zulässig. Bei der Abwägung zwischen der Täterermittlung wegen des Besitzes kinderpornographischer Schriften und einem Eingriff in das Allgemeine Persönlichkeitsrecht war letzteres geringer zu bewerten, auch wenn ein zunächst Verdächtiger dennoch unschuldig sei. Sollte es wegen zu dokumentierender dringender Notwendigkeiten, z.b. Gefahr in Verzug, Angriffen auf Systeme etc. erforderlich sein, Maßnahmen sofort durchzuführen, sollte die Durchführung der dringend erforderlichen Maßnahmen zulässig sein. Der Betriebsrat und der Datenschutzbeauftragte sollten aber unverzüglich informiert werden. Von einer grundsätzlichen vorausgehenden Zustimmung des Betriebsrats bei Kontrollmaßnahmen ist abzusehen, da der Arbeitgeber sonst bei fristlosen Kündigungen die Zweiwochenfrist des 626 Abs. 2 BGB möglicherweise nicht einhalten könnte. Sollte der Betriebsrat oder einer seiner Mitglieder selbst Gegenstand einer Maßnahme sein, sollte der Datenschutzbeauftragte im Voraus einbezogen werden. Eine solche Regelung dürfte den beiderseitigen Interessen des Arbeitgebers und der Arbeitnehmer hinreichend Rechnung tragen, zumal nach dem LAG Düsseldorf der Betriebsrat keinen Anspruch darauf hat, dass von vornherein jede Verhaltens- und Leistungskontrolle unterbleibt. 51 Ein vollständiger Leistungs- und Verhaltensausschluss, wie er oftmals seitens des Betriebsrats gefordert wird, ist daher weder notwendig noch anzuraten, da die Beschäftigtendaten nur zu vereinbarten Zwecken verwendet werden dürfen und die vorstehenden Ausnahmen nur bei Gefahr in Verzug greifen. Zwar ist höchstrichterlich nicht geklärt, wie die Formulierung jegliche Leistungs- und Verhaltenskontrollen sind verboten auszulegen ist, jedoch sollte eine Aufnahme dieser Klausel unterbleiben, zumal diese auch nicht über eine Einigungsstelle umgesetzt werden könnte (s.o.). Nach vorzugswürdiger Meinung von Haußmann/Krets 52 ist eine solche Formulierung dahingehend zu interpretieren, dass nur systematische Kon- 48 Kort, NZA 2011, 1319, Kort, NZA 2011, 1319, BVerfG vom , 2 BvR 1372/ LAG Düsseldorf vom (6) TaBV 114/88, NZA 1989, Haußmann/Krets, NZA 2005, 259, 262 mit einer Musterformulierung.

12 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen RDV 2013 Heft trollen verboten sind, jedoch nicht die Verwertung einzelner Daten in einem konkreten Fall. So würde sich die Betriebsvereinbarung widersprechen, wenn die festgelegte Zweckbestimmung sonst nicht erreicht werden könnte. Eine Klarstellung zur Zulässigkeit in bestimmten Fällen, wie oben erläutert, ist daher zu empfehlen. Ein allgemeiner Ausschluss der Verhaltens- und -leistungskontrolle wäre auch deshalb nicht angebracht, da dann beispielsweise keine Zeiterfassung mehr möglich wäre. Ein solcher kompletter Ausschluss wäre auch unter Compliance-Gesichtspunkten nicht hinnehmbar. So gehört die Mitarbeiterkontrolle zu den fünf Kardinalpflichten, die aus der Aufsichtspflicht des Arbeitgebers aus 130 Abs. 1 OWiG bzw. 91 Abs. 2 AktG abgeleitet werden. 53 Andererseits ist die Einhaltung des Datenschutzes ebenfalls Teil der Compliance. 54 Weiterhin sollte in der Betriebsvereinbarung ein allgemeiner Hinweis darauf erfolgen, dass Datenverarbeitungen in Form einer Auftragsdatenverarbeitung ( 11 BDSG) und/oder einer Funktionsübertragung erfolgen können, 55 soweit die Vorschriften dieser Betriebs - vereinbarung eingehalten werden. Weitergehende Erklärungen sind zur gesetzlichen festgelegten Auftrags - datenverarbeitung nicht erforderlich. Durch eine Auftragsdatenverarbeitung kann ein für das System eventuell gegebenes Mitbestimmungsrecht nicht umgangen werden, 56 es bleibt aber die freie unternehmerische Entscheidung, ob die Datenverarbeitung durch das eigene Unternehmen oder aber outgesourct und durch einen Auftragsdatenverarbeiter durchgeführt bzw. im Rahmen einer Funktionsübertragung vergeben wird. Die Bewertung, ob es sich um eine Auftragsdatenverarbeitung oder aber eine Funktionsübertragung handelt, trifft das Unternehmen unter Berücksichtigung der Vorgaben des BDSG. dass grundsätzlich Auswertungen, wie Übermittlungen von Daten oder systematischen Methoden zur Mustererkennung (z.b. Data-Mining ), jederzeit zulässig sind, sofern sie ausschließlich mit den Daten von nichtbestimmbaren Arbeitnehmern durchgeführt werden. Gleichfalls kann auch bei Maßnahmen der IT-Sicherheit, z.b. durch den Einsatz von Security Incident and Event Management-Systemen (SIEM), ein Mitbestimmungsrecht des Betriebsrats nach 87 Abs. 1 Nr. 6 BetrVG ausscheiden, wenn keine personenbezogenen Daten aus Logdateien bzw. reine Protokolldaten verarbeitet werden, 59 was aber nicht der Regelfall ist. 6. Verzeichnis/Gestaltung der IuK-Verfahren/-Systeme Dieser Punkt stellt die Schnittstelle zu den Detailregelungen in den gesonderten Betriebsvereinbarungen (Ebene 1) zu den speziellen IuK-Verfahren/-Systemen dar. In der Rahmenvereinbarung wird daher festgelegt, dass zur korrekten und einheitlichen Dokumentation die zuständigen Betriebsparteien die nachfolgend aufgeführten Informationen für jedes einzelne IuK-Verfahren/-System in ein Verfahrensverzeichnis aufnehmen. Dabei orientieren sich die aufgeführten Informationen an den unter IV aufgeführten Punkten, die mit den Angaben im Verfahrensverzeichnis nach 4 e Satz 1 BDSG übereinstimmen. Zur besseren Lesbarkeit sollten diese Punkte als Stichwörter in die Betriebsvereinbarung aufgenommen werden. Dieses Verfahrensverzeichnis muss regelmäßig überprüft und gepflegt werden, wobei die Einzelheiten mit dem Datenschutzbeauftragten abzustimmen sind, da diesem die Übersicht zur Verfügung zu stellen ist und der Datenschutzbeauftragte sie auf Antrag jedermann in geeigneter Weise verfügbar zu machen hat ( 4 g BDSG). 5. Übermittlung und Auswertung von anonymisierten/ pseudonymisierten Daten Werden nur anonymisierte oder pseudonymisierte Daten verarbeitet, greift das Mitbestimmungsrecht des 87 Nr. 6 BetrVG regelmäßig nicht, 57 und das BDSG beschränkt den Umgang mit diesen Daten nicht, da es sich nicht mehr um personenbezogene Daten handelt Abs. 6 und 6 a BDSG definieren die Begriffe anonymisieren und pseudonymisieren. Da in der Praxis aufgrund der Gruppenstärken von Abteilungen häufig dennoch Rückschlüsse möglich sind, sollte in der Betriebsvereinbarung geregelt werden, ab wann die Beschäftigtendaten als nicht mehr bestimmbar anzusehen sind. Dabei hat sich als Größe herausgebildet, dass Arbeitnehmer dann als nicht mehr bestimmbar gelten, wenn ihre Daten in Gruppen von fünf oder mehr Personen zusammengefasst werden, die Daten anonymisiert oder auf eine Weise pseudonymisiert werden, die einen Rückschluss auf einzelne Arbeitnehmer nur unter unverhältnismäßig großem Aufwand möglich machen. Dem sollte vorangestellt werden, 7. Zugriff auf Beschäftigtendaten Eine Zugriffsberechtigung auf Beschäftigtendaten darf nur erteilt werden, soweit das jeweilige Aufgabenbzw. Arbeitsgebiet des betreffenden Arbeitnehmers dies erfordert und die zugriffsberechtigten Mitarbeiter auf das Datengeheimnis nach 5 BDSG verpflichtet sind. In der Rahmen-BV ist daher noch keine Konkretisierung erforderlich, diese erfolgt erst in der Detailregelung in der Ebene 1 unter Zugriffsberechtigung, wobei die jeweiligen Funktionen und nicht die Namen der Mitarbeiter festgehalten werden sollten. 53 Maschmann, Compliance versus Datenschutz, NZA 2012, Beilage Zu diesem Spannungsverhältnis auch Franzen, ZfA 2012, 172, 194; Fritz, ZfA 2012, 197, Zur Abgrenzung siehe Artikel-29 Gruppe, WP 169: Stellungnahme 1/ Gola/Wronka, a.a.o. Rn 1712 ff. 57 Gebhardt/Annuß, NZA 1995, 105; GK-Wiese, BetrVG, 9.Aufl., 87 Rn Geschonnek/Meyer/Scheben, BB 2011, Kort, NZA 2011, 1319, 1322 zu SIEM-Systemen.

13 118 RDV 2013 Heft 3 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen Hierbei ist auch zu beachten, dass diese Regelung auch für den Betriebsrat gilt. So kann der Betriebsrat aufgrund seiner Überwachungsrechte aus 80 BetrVG (s.o. III 3) berechtigt sein, Beschäftigtendaten anzufordern. Nach Abschluss des betriebsverfassungsrechtlichen Vorgangs ist er jedoch verpflichtet, diese betreffenden Arbeitnehmerdaten wieder zu löschen. Er darf keine eigene Datenbank aufbauen. Dies gilt auch für größere Betriebe mit über 100 Arbeitnehmern für eine generelle Speicherung von Grundstammdaten (Name, Alter, Familienstand, Arbeitsplatz, Vergütungsgruppe und Eintrittsdatum). 60 Mit dem LAG Hamburg ist daher Voraussetzung für die Weitergabe von perso - nenbezogenen Arbeitnehmerdaten nach 80 Abs. 2 BetrVG, dass die Kenntnis der Daten zur Durchführung einer gesetzlichen Aufgabe des Betriebsrats er - forderlich ist. Diese Erforderlichkeit besteht nicht, solange der Betriebsrat seine Aufgaben mit Hilfe anonymisierter Angaben erfüllen kann. 61 Der Betriebsrat darf daher keine Parallelpersonaldatenbank aufbauen. 62 Die Richtigkeit dieser Aussage hat das BAG mit der Entscheidung, wonach dem Betriebsrat kein lesender Online-Zugriff zusteht, bekräftigt. 63 Ein Beispiel für die Ausübung eines entsprechenden Rechts des Betriebsrats, hat das BAG beim betrieblichen Eingliederungsmanagement (BEM) gesehen. Danach kann der Betriebsrat aufgrund seines Auskunftsrechts nach 80 Abs. 2 Satz 2 BetrVG in Verbindung mit 84 Abs. 2 Satz 7 SGB IX unabhängig von einer Zustimmung des einzelnen Arbeitsnehmers die Angabe sämtlicher Mitarbeiter verlangen, die die gesetzliche Voraussetzung für die Einleitung eines BEM erfüllen. 64 Innerhalb des Betriebsrats ist zu beachten, dass nach dem BAG jedes einzelne Betriebsratsmitglied nach 34 Abs. 3 BetrVG ein unabdingbares Recht hat, auf Datenträgern gespeicherte Dateien und s des Betriebsrats auf elektronischem Wege zu lesen, welches auch nicht durch Maßnahmen nach 9 S. 1 BDSG beschränkt werden kann Zuwiderhandlungen und Konfliktlösungsmechanismus Es empfiehlt sich nicht, ein eigenständiges Beweisverwertungsverbot aufzunehmen, wonach Beweise, die unter Verstoß gegen die Regelungen der Betriebsvereinbarung erlangt werden, später bei rechtlichen Streitigkeiten in individuellen Kündigungsschutzprozessen nicht mehr verwertbar wären. In der Betriebsverein barung genügt der klarstellende Hinweis, dass die Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten und der Einsatz von IuK-Verfahren/-Sys - temen unzulässig sind, wenn sie gegen gesetzliche Bestimmungen oder gegen Betriebsvereinbarungen verstoßen. Ein eigenständiges Beweisverwertungsverbot hätte eigenständige Bedeutung und würde unabhängig von der weiteren Rechtslage dazu führen, dass sich Mitarbeiter, unabhängig von der Schwere ihres selbst begangenen Verstoßes, in einem individuellen Kündigungsrechtsstreit auf dieses Verwertungsverbot stützen könnten. Die ansonsten erforderliche Interessenabwägung durch das Arbeitsgericht wäre dann nicht mehr notwendig. Es wäre dann im Einzelfall eine ergänzende anlassbezogene Betriebsvereinbarung erforderlich, um eventuelle Straftaten von Arbeitnehmern arbeitsrechtlich sanktionieren zu können, wenn die Beweise unter Verstoß gegen die Rahmen-BV ermittelt worden wären. Um in diesen Fällen zu einem interessengerechten Ergebnis zu kommen, ist jeweils aber eine Interessenabwägung erforderlich, die von den Gerichten durchgeführt wird. So hat das Bundesarbeitsgericht entschieden, dass allein in dem Verstoß gegen eine Betriebsvereinbarung noch kein Beweisverwertungsverbot zu sehen ist, sondern es einer Abwägung mit dem betroffenen Persönlichkeitsrechtsschutz des Arbeitsnehmers bedarf. 66 Diese Abwägung zwischen dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers und den Interessen des Arbeitgebers an der Aufdeckung von Straftaten hat das BAG in einer Entscheidung zur verdeckten Videoüberwachung nochmals bekräftigt. 67 Das LAG Hamm hat ebenso aus einer ggf. gegen 206 StGB, 88 TKG, 32 BDSG und 87 Abs. 1 Nr. 1 und 6 BetrVG verstoßenden Erlangung der auf einem Arbeitsplatzrechner vorgefundenen abgespeicherten Chatprotokolle kein Beweisverwertungsverbot gefolgert, wenn der Arbeitgeber seinen Arbeitnehmern lediglich eine gelegentliche private Nutzung elektronischer Ressourcen gestattet und zugleich darauf hinweist, dass, bei einer Abwicklung persönlicher Angelegenheiten auf elektronischen Geräten und über das Netzwerk, der Mitarbeiter keine Vertraulichkeit erwarten und der Arbeitgeber die Nutzung überwachen und bei gegebener Notwendigkeit die Daten einsehen kann, die der Mitarbeiter anlegt oder mit anderen austauscht. Ein Arbeitnehmer muss, wenn er illegale Aktivitäten gegen seinen Arbeitgeber entwickelt, bei einer derart eingeschränkten Vertraulichkeit der Privatnutzung damit rechnen, dass Spuren, die er durch die Nutzung von elektronischen Ressourcen des Arbeitgebers hinterlässt, in einem Prozess gegen ihn verwendet werden. 68 Empfehlenswert ist es, einen Konfliktlösungsmechanismus zu vereinbaren. Bei dem Verdacht einer Betriebspartei auf eine unzulässige Datennutzung sollte dieser ebenso eingreifen wie bei einer Uneinigkeit über die Auslegung der Betriebsvereinbarung. Dabei 60 So auch Jordan/Bissels/Löw, BB 2010, 2889, 2992; Joussen, ZfA 2012, 235, 251; andere Ansicht: BVerwG vom 4. September P 28/87; Wunder, NZA 2010, 1110; Gola/Wronka, NZA 1991, 792, LAG Hamburg vom 26. November TaBV 2/ Ebenso Joussen, ZfA 2012, 235, BAG vom 16. August ARB 22/10, DB 2012, 638 (siehe oben). 64 BAG vom 7. Februar ABR 46/10, BB 2012, 2310 mit Anmerkung Neufeld, BB 2012, BAG vom ABR 15/08, DB 2009, 2439; ebenso Joussen, ZfA 2012, 235, BAG vom 13. Dezember AZR 537/06, DB 2008, BAG vom 21. Juni AZR 153/11, DB 2012, 2227, dazu Bayreuther, DB 2012, 2222 und Bauer/Schanzker, NJW 2012, 3537; Bergwitz, NZA 2012, 1205; Byers/Pracka, BB 2013, LAG Hamm vom Sa 1711/10, n.rkr., anhängig beim BAG 2 AZR 743/12, Termin:

14 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen RDV 2013 Heft kann in der Rahmen-BV festgelegt werden, dass ein paritätischer Ausschuss einberufen werden soll, der sich beispielsweise aus x konzernangehörigen Personen zusammenzusetzen hat. Ferner kann hierin die Zeitspanne festgelegt werden, in der eine Lösung mit einfacher Mehrheit herbeigeführt werden soll. Im Falle einer Konzern- oder Gesamtbetriebsvereinbarung kann auch die Empfehlung gegeben werden, dass die jeweils zuständigen Betriebsparteien in ihrem Zuständigkeitsbereich eine entsprechende Regelung aufnehmen. Für den Fall der Nichteinigung innerhalb dieser Frist über mitbestimmungspflichtige Tatbestände kann dann jede Seite die Einigungsstelle gemäß 76 BetrVG anrufen, die verbindlich innerhalb einer weiteren zu setzenden Frist entscheidet. Die Ausgestaltung eines Konfliktlösungsmechanismus dürfte dabei je nach Betriebsgröße unterschiedlich ausfallen. 9. Sonstige Regelungen Aus Sicht des Betriebsrats werden häufig Schulungen von Führungskräften, von Betriebsratsmitgliedern und/oder Mitarbeitern gefordert. Dabei ist wiederum darauf zu achten, dass Inhouse-Schulungen bzw. Schulungen zum Thema Datenschutz durch den internen Datenschutzbeauftragten vorrangig sind. 10. Schlussbestimmungen In den Schlussbestimmungen sind der Beginn und die erstmalige Kündigungsmöglichkeit aufzunehmen. Als hilfreich hat sich erwiesen, ausdrücklich die Ablösung eventuell vorhandener Betriebsvereinbarungen zu den einzelnen Themen festzulegen und diese im Zweifelsfall auch explizit zu bezeichnen. Ferner ist zu fragen, inwiefern eine Nachwirkung vereinbart werden soll oder nicht. Sollte eine Rahmenvereinbarung einmal abgeschlossen sein, so bietet sich regelmäßig die Vereinbarung einer Nachwirkung an. Für den Fall, dass eine Nachwirkung auch für mitbestimmungsfreie Angelegenheiten vereinbart wurde, kann das Ende der Nachwirkung auch durch Spruch einer Einigungsstelle ersetzt werden. 69 IV. Regelungsbereiche der einzelnen Verfahren (Ebene 1) Die Beschreibung der einzelnen Verfahren wird in separaten Betriebsvereinbarungen vorgenommen, die auch bei einer auf einer höheren Ebene getroffenen Rahmenbetriebsvereinbarung von den jeweils örtlich zuständigen Betriebsparteien abgeschlossen werden können. Zu den zu regelnden Verfahren gehören diejenigen, die unter das Mitbestimmungsrecht des 87 Abs. 1 Nr. 6 BetrVG fallen, wie z.b. Videoüberwachung, digitale Personalakte, 70 ERP-Einführung. Diese separaten Betriebsvereinbarungen werden so aufgebaut, wie es die Rahmenbetriebsvereinbarung (siehe III Nr. 6) bereits vorsieht. Die detaillierten Beschreibungen der Datenverarbeitungssysteme werden in Anlagen (Ebene 2) vorgenommen. Damit können technisch oder organisatorisch bedingte Änderungen an bereits abgeschlossenen Betriebsvereinbarungen punktuell angepasst werden, ohne nochmals die gesamte Betriebsvereinbarung verhandeln zu müssen. Einleitend ist in den jeweiligen Betriebsvereinbarungen der Bezug zur Rahmenbetriebsvereinbarung deutlich zu machen, der ggf. geänderte Geltungsbereich sowie sonstige mögliche Abweichungen fest - zuhalten. Damit sind die allgemein Regelungen der Rahmenbetriebsvereinbarung auch für das einzelne Verfahren gültig, und inhaltlich müssen hier dann nur noch die in 4 e BDSG vorgeschriebenen Angaben zum Verfahrensverzeichnis aufgenommen werden. Taugliche Praxisbeispiele zum Aufbau eines Verfahrensverzeichnisses finden sich auf den Internetseiten verschiedener Aufsichtsbehörden. 71 Den wesentlichen Hauptteil der Betriebsvereinbarung bildet das Verfahrensverzeichnis. Unter einer aussagekräftigen Bezeichnung für das Verfahren werden sodann die verantwortliche Stelle nebst Anschrift sowie der Leiter der Datenverarbeitung benannt. Nachfolgend sind die konkreten Zwecke des Verfahrens bzw. der einzelnen Verfahrensschritte aufzuführen, wobei eine zu allgemeine Zweckbeschreibung nicht ausreicht. Diese detaillierten Betriebsvereinbarungen sind so zu gestalten, dass sie für das jeweilige Verfahren eine i.s.d. BetrVG abschließende Regelung treffen, so dass sich Formulierungen wie weitere Mitbestimmungsrechte bleiben unberührt verbieten. Praxistipp: Die Auflistung der konkretisierenden Zweckbestimmungen in den einzelnen Verfahren sollte zwingend immer mit dem Hinweis erfolgen, dass die aufgeführten Zwecke ergänzend zu den in der Rahmenbetriebsvereinbarung (Kern) gelten. Weiterhin sind die betroffenen Personengruppen (z.b. Mitarbeiter ggf. nach verschiedenen Abteilungen differenziert; Bewerber; Auszubildende, Ruheständler), die zu verarbeitenden Daten (z.b. Vor- und Nachname, Geburtsdatum, Entgelt, Kfz-Kennzeichen, Konto- Nr., Personal-Nr., Beruf) oder Datenkategorien (Kontaktdaten) zu benennen. Wenn besondere Arten personenbezogener Daten ( 3 Abs. 9 BDSG) im Verfahren erforderlich sein sollten, so ist immer eine entsprechende Zweckbestimmung anzugeben. Des Weiteren sind die Empfänger oder Kategorien von Empfängern zu benennen, wobei hier zu beachten ist, dass ein Empfänger nicht nur eine Stelle ist, die mit Daten beliefert wird (z.b. Finanzamt, Sozialversicherungsträger), sondern auch eine Stelle sein kann, die aktiv auf die Datenbe- 69 Zur Spruchkompetenz der Einigungsstelle bei Nachwirkung freiwilliger BVs Trebe/von Broich, NZA 2012, Gola, RDV 2008, 135; Diller/Schuster, 2008, 928; Will, PuR 2012, Z.B. unter Muster-Verfahrensverzeichnis.rtf.

15 120 RDV 2013 Heft 3 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen stände zugreift (z.b. Personalabteilung, Buchhaltung, Auftragsdatenverarbeiter). Insofern sollten die jeweiligen Zugriffsberechtigungslisten abgestimmt werden. 72 Hierbei sind auch Regelungen bei Matrixstrukturen, grundsätzliche Berechtigungen von Personalleitern, Vorgesetzten und Administratoren sowie Sonderrechte für Stabsfunktionen aufzunehmen. Praxistipp: Grundsätzlich sollte auf Namensnennungen verzichtet, und stattdessen sollten Funktionsbezeichnungen verwendet werden. Dies gilt insbesondere für Empfänger und die damit verbundenen Zugriffsberechtigungslisten. Ein weiterer Punkt betrifft die Regelfristen für die Löschung der Daten, d.h. den Zeitraum, nach dessen Ablauf die Daten zu löschen sind. Gemäß 35 Abs. 2 Nr. 3 BDSG sind personenbezogene Daten zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Hierbei ist zu berücksichtigen, dass einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen können. Der Zeitraum für die Löschung ist so konkret wie möglich zu definieren. Sofern es keine vorgeschriebenen Fristen gibt, wird die Zweckbestimmung im Wesentlichen ausschlaggebend für den Zeitpunkt der Löschung sein. Da personenbezogene Daten nur in solche Dritt - staaten außerhalb der EU übermittelt werden dürfen, 73 die ein angemessenes Schutzniveau gewährleisten ( 4 b, c BDSG), ist anzugeben, ob Übermittlungen in Drittstaaten geplant sind. In diesen Fällen sind weitergehende Informationen bezüglich des Datenschutz - niveaus, der Empfänger und der Art der Daten aufzunehmen. Danach erfolgt die Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen der zu diesem Verfahren eingesetzten Verfahrensschritte und Datenverarbeitungssysteme. Hier ist eine allgemeine Beschreibung notwendig, die aufzeigt, welche Maßnahmen nach 9 BDSG nebst Anlage eingesetzt sind. Über die im BDSG geforderten Inhalte eines Ver - fahrensverzeichnisses hinaus, sind der Zeitpunkt der Aufnahme und die geplante Dauer des Verfahrens anzugeben. Ferner können noch weitergehende Regelungen aufgenommen werden, die sich aus Beteiligungsrechten des Betriebsrats nach dem BetrVG ergeben, wie z.b. erforderliche Schulungsmaßnahmen, inhalt - liche Ausgestaltung von Kontrollen zur Einhaltung der datenschutzrechtlichen Vorgaben bzw. der Vorschriften in den einzelnen Betriebsvereinbarungen. V. Besonderheiten bei privater Internet- und -Nutzung Bei Detailbetriebsvereinbarungen (Ebene 1) zu IuK- Verfahren/-Systemen (z.b. Internet- und -Nutzung) stellt sich ggf. die Frage der Anwendbarkeit des Fernmeldegeheimnisses nach 88 TKG im Arbeitsverhältnis. Nachdem früher in der Literatur häufig bei der zugelassenen Privatnutzung des Internet- und -Verkehrs das Fernmeldegeheimnis des 88 TKG auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer für anwendbar gehalten und auf die strafrechtliche Absicherung nach 206 StGB hingewiesen wurde, ist nunmehr aufgrund der Rspr. eindeutig, dass das Fernmeldegeheimnis nur den Zeitraum des Übertragungsvorgangs erfasst und endet, wenn der Übertragungsvorgang abgeschlossen ist. 74 Es ist daher allenfalls die laufende Kommunikation von 88 TKG geschützt und damit nur verboten, s abzufangen und mitzulesen. Liegt die erst einmal auf einem Rechner, ist sie in demselben Rahmen geschützt wie alle anderen Daten dort auch. Das LAG Berlin-Brandenburg geht nun über die bisherige Rspr. hinaus und hat rechtskräftig eine Anwendbarkeit des Fernmeldegeheimnisses verneint. Danach wird ein Arbeitgeber nicht allein dadurch zum Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG), dass er seinen Beschäftigten gestattet, einen dienstlichen -Account auch privat zu nutzen. 75 Ohne nähere Begründung, aber im Ergebnis zutreffend, hat sich das LAG Berlin-Brandenburg damit gegen die Ansicht gestellt, die bei privater Nutzungsmöglichkeit das Fernmeldegeheimnis des 88 TKG für anwendbar hält. 76 So wird zunehmend der Arbeitgeber nicht als Diensteanbieter im Sinne des 3 Nr. 6 TKG gesehen, da er weder geschäftsmäßig Telekommunikationsdienstleistungen erbringe noch an diesen mitwirke, wie die Definition in 3 Nr. 6 TKG verlangt. 77 Weiter definiert 3 Nr. 10 TKG als geschäftsmäßiges Erbringen von Telekommunikationsdiensten das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht. Hieran anknüpfend können die betreffenden Arbeitnehmer keine Dritten i.s.d. 3 Nr. 10 TKG sein. Fülbier/ Splittgerber legen den Begriff des Dritten durch 72 Ein Mitbestimmungsrecht des Betriebsrats bejahend Klebe in D/K/K/W, BetrVG 13. Aufl. 2012, 87 Rn Weiterführend Bitkom, Leitfaden von zur Übermittlung personenbezogener Daten Inland, EU-Länder, Drittländer, abrufbar unter 74 BVerfG vom BvR 2099/04; BVerfG v BvR 902/06; Wybitul, BB 2011, Heft 37, Behling, BB 2010, 892I; Hessischer Verwaltungsgerichtshof vom , 6 A 2672/08.Z, NJW 2009, 2470; dazu Beckschulze, DB 2009, 2097, 2098; LAG Niedersachsen v Sa 875/09 mit Anm. Tiedemann, MMR 2010, LAG Berlin Brandenburg vom 16. Februar Sa 2132/10; im Ergebnis ebenso Fülbier/Splittgerber, NJW 2012, 1995; Löwisch, DB 2009, Wisskirchen/Glaser, DB 2011, 1447, 1450; Mengel BB 2004, 2014; Kort DB 2011, 2092; Wellhöner/Byers, BB 2009, 2310; Göpfert/Wilke, NZA 2012, 765, 767 zur Smartphonenutzung im Rahmen von BYOD; Sassenberg/Mantz, BB 2013, Kritisch bereits Beckschulze/Henkel, DB 2001, 1491, 1496, wonach fraglich sei, ob allein durch die Gestattung gelegentlicher privater s bereits das erforderliche Anbieter- und Nutzer-Verhältnis vorliege.

16 Beckschulze/Fackeldey, Systematischer Aufbau von Betriebsvereinbarungen RDV 2013 Heft teleologische Reduktion in Verbindung mit der Zielsetzung des 1 TKG als Wettbewerbsgesetz aus. Der Begriff des Dritten ist im Datenschutzrecht jedoch auch in 3 Abs. 8 Satz 2, 3 BDSG definiert. 78 Danach sind Dritte Personen oder Stellen außerhalb der verantwortlichen Stelle und nicht Betroffene. Der Arbeitgeber ist die verantwortliche Stelle. Der Betriebsrat und die Arbeitnehmer sind dagegen keine Dritten, sondern Teil der verantwortlichen Stelle, so dass in diesem Ver - hältnis das TKG keine Anwendung finden kann. 79 Der Vorrang des TKG vor dem BDSG gilt nach 1 Abs. 3 BDSG nicht, da der Dritte nicht im TKG definiert ist und dafür die allg. Datenschutzdefinition des BDSG gelten muss. Es verbleibt lediglich bei dem Grundrechtsschutz aus Art. 10 GG bzw. dem Allgemeinen Persönlichkeitsrecht, wobei diese widerstreitenden Interessen im Rahmen der Verhältnismäßigkeitsprüfung gegeneinander abzuwägen sind, wie dies das BAG auch bei der Prüfung der Zulässigkeit einer Videoüberwachung vorgenommen hat. 80 Im Ergebnis führt die fehlende Anwendbarkeit des 88 TKG dazu, dass eine Betriebsvereinbarung als Rechtsgrundlage ausreichend ist und nicht die frühere Empfehlung der zusätzlichen Einwilligung jedes Mitarbeiters mit den Vorgaben der Betriebsvereinbarung (private Nutzungsmöglichkeit in dem angegebenen Rahmen bei den dort vorgesehenen Kontrollmöglichkeiten) als Anlage zur Betriebsvereinbarung erforderlich ist. Um Restrisiken zu vermeiden, sollte aber bis zur höchstrichterlichen Klärung dieser Rechtsfrage wie bisher verfahren werden, zumal auch der Gesetzentwurf in 32i BDSG-E (anders als der nicht weiter verfolgte Entwurf des Innenministeriums) hierzu keine Lösungsmöglichkeit aufzeigt. VI. Detaillierte Verfahrensschritte bzw. Daten - ver arbeitungssysteme (Ebene 2) Wie bereits unter IV. beschrieben, werden detaillierte Beschreibungen der einzelnen Verfahrensschritte (z.b. Vergabe und Dokumentation von Zugriffsberechti - gungen, Erstellung von Reports) sowie der Datenver - arbeitungssysteme (z.b. Mail-System, ERP-System, Netzwerke, PC-Arbeitsplätze) in Anlagen (Ebene 2) vorgenommen. Allerdings sollte die Ausgestaltung nur insoweit erfolgen, wie dies für die beiden Betriebsparteien wesentlich erscheint und von ihnen gewünscht wird. Gleiches gilt für die Detailtiefe der Anlagen (Ebene 2). Eine solche systematische Vorgehensweise ermöglicht es, dass technisch oder organisatorisch bedingte Änderungen einzelner Verfahrensschritte oder Datenverarbeitungssysteme punktuell angepasst werden, ohne nochmals die gesamte Betriebsvereinbarung verhandeln zu müssen. So können die Betriebsparteien bei Änderungen den Fokus auf die sinnvollen Schwerpunkte legen. Sofern sich die Verfahren zur Informations- und Kommunikationstechnologie des Cloud Computings 81 bedienen, sind die technischen Beschreibungen in der Anlage (Ebene 2) zur Detailbetriebsvereinbarung (Ebene 1) vorzunehmen. Dabei wird ein Cloud Computing i.d.r. in Form einer Auftragsdatenverarbeitung nach 11 BDSG erfolgen. 82 Die Ausgestaltung bei einem Verfahren zur Reisekostenerstattung unter Einsatz von Cloud Computing sollte zumindest die nachfolgend aufgeführten Punkte enthalten: Rahmenbetriebsvereinbarung (Kern) Allgemeine, grundsätzliche Vereinbarung gelten Reisekostenabrechnung gilt als grundsätzlich vereinbartes Verfahren Regeln zur Übermittlung an Dritte sind möglicherweise getroffen Betriebsvereinbarung (Ebene 1) Bezeichnung des Verfahrens Verantwortlich Handelnde Beschreibung der Daten, Zwecke, etc. für dieses spezielle Verfahren Drittstaatenübermittlung, falls zutreffend Beschreibung der technischen und organisatorischen Maßnahmen Bewertung der getroffenen Sicherheitsmaßnahmen ggf. Regelungen zur Kontrolle des Verfahrens zusätzliche Vereinbarungen mit Wirkung für die Beschäftigten Aufnahmezeitpunkt und Dauer des Verfahrens Anlage (Ebene 2) Genaue technische Beschreibung des Datenverarbeitungssystems Zugriffsberechtigungsliste Liste der Reports Netzwerkanbindungen und Schnittstellen zu Fremdanbietern Vertrag zur Auftragsdatenverarbeitung u.a. Detailangaben 78 Eine Änderung träte auch bei einer Neufassung der Definition des Dritten durch 3 Abs. 8 BDSG-E nicht ein. 79 Ebenso Wybitul, Handbuch Datenschutz im Unternehmen 2011, Rn. 196; ders. BB 2011, S. VII. 80 BAG vom 26. August ABR 16/07, DB 2008, Gaul/Koehler, BB 2011, 2229; 2234 zur Rechtfertigung mittels BV. 82 Orientierungshilfe der Arbeitskreise Technik und Medien der DSB des Bundes und der Länder vom ,

17 122 RDV 2013 Heft 3 Forst, Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? Dr. Gerrit Forst, Regensburg* Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? Im Jahr 2012 legte die SPD einen Entwurf für ein Hinweisgeber-Schutzgesetz vor. Sie reagierte damit auf Betrügereien im Lebensmittelbereich und auf die Entscheidung in der Rechtssache Heinisch des EGMR. Kritisiert wurde an dem Entwurf, dass dieser keine speziellen Regelungen zum Datenschutz beim Whistleblowing enthalte. Aufgrund neuer Betrugsfälle im Lebensmittelbereich steht zu erwarten, dass das Whistleblowing auch nach der anstehenden Bundestagswahl ein aktuelles politisches Thema bleiben wird. Der Beitrag ist der Frage gewidmet, ob wir tatsächlich spezielle datenschutzrechtliche Regeln brauchen. weise starke Zurückhaltung gegenüber dem Whistleblowing in Deutschland und Frankreich wird darüber hinaus mit den Lehren aus dem Nationalsozialismus und der DDR bzw. dem Vichy-Regime erklärt 7. Ganz anders verhält es sich im Vereinigten Königreich: Hier lässt schon der Titel des Gesetzes über das Whistleblowing des Public Interest Disclosure Act (PIDA) 8 erkennen, dass dem Whistleblowing jenseits des Kanals ein anderer Stellenwert eingeräumt wird 9. Der PIDA dient nicht in erster Linie dazu, Unternehmen im Kampf gegen Bilanzfälscher und ähnliche Missetäter in den eigenen Reihen aufzurüsten, son- I. Einleitung Whistleblowing lässt sich allgemein definieren als die Weitergabe von Informationen über Missstände durch einen Hinweisgeber an eine zur Entgegennahme solcher Informationen zuständige Stelle mit dem Ziel, den Missstand zu beenden. International 1 lassen sich trotzdem wenigstens zwei Rechtskulturen des Whistleblowing unterscheiden: In Frankreich dort spricht man von der alerte professionelle bzw. der alerte éthique 2 und der Schweiz wird das Whistleblowing in erster Linie als Instrument betrachtet, das es dem Leitungsorgan eines Unter - nehmensträgers ermöglicht, Rechtsverstöße innerhalb des Unternehmens aufzudecken und zu verhindern 3. Auch in Deutschland konzentrieren sich Stellungnahmen in der Regel auf diese Funktion 4. Dieses enge Verständnis hat seine Ursache darin, dass das Whistleblowing in Kontinentaleuropa erst durch den US-amerikanischen Sarbanes-Oxley Act (SOX) von 2002 an Bedeutung gewann 5. Dieses Gesetz verpflichtet Gesellschaften, deren Wertpapiere (Aktien, Anleihen etc.) an einem US-amerikanischen regulierten Finanzmarkt notieren, interne Kontrollsysteme einzurichten, um zu gewährleisten, dass Bilanzierungsvorschriften beachtet werden (s. 302 (4) (A) SOX). Diese Kontrollsysteme müssen sich auch auf konsolidierte Tochtergesellschaften erstrecken (s. 302 (4) (B) SOX). Diese Tochtergesellschaften können sich auch im Ausland befinden, etwa in der EU. Ein notwendiger Bestandteil interner Kontrollsysteme ist ein Verfahren, das es Arbeitnehmern erlaubt, anonyme Meldungen über mögliche Verstöße gegen Rechnungslegungsvorschriften einzureichen (s. 301 (4) SOX). Diese Hinweisgeber werden durch das Gesetz besonders geschützt (s. 806 SOX). Anlass für den Erlass des SOX waren die Bilanzfälschungen bei Enron und Worldcom, die in der Insolvenz dieser Gesellschaften endeten und Anlegern weltweit Milliardenverluste eintrugen 6. Die vergleichs- * Der Autor ist Vertreter des Lehrstuhls für Bürgerliches Recht und Arbeitsrecht der Universität Regensburg. 1 Rechtsvergleichend zu Europa Forst, EuZA 6 (2013), 37-82; zu den USA Groneberg, Whistleblowing, 2011; Reiter, RIW 2005, 168 ff.; global, aber nicht mehr ganz aktuell Calland/Dehn, Whistleblowing Around the World: Law, Culture and Practice, 2004; oberflächlich Albiol/Maucci/Slattery/Neighbour/De la Villa, La Semaine Juridique Social (S.J.S.) 2010, 47 ff. 2 Zur Terminologie Barrière, La Semaine Juridique Entreprise & Af - faires (S.J.E. & A.) 2011, 1527, Für Frankreich: Cass. soc , S.J.S. 2010, 1091 mit Anmerkung Antonmattéi; TGI de Libourne , Communication Commerce électronique 2005, 191; CNIL, Autorisation unique Nr. AU-004 Délibération Nr v , geändert durch Délibération Nr v ; Antonmattéi/ Vivien, Chartes d éthique, alerte professionnelle et droit du travail français: état des lieux et perspectives, 2007; Barrière, S.J.E. & A. 2011, 1527 ff.; Wafa Ayed, La Semaine Juridique Générale (S.J.G.) 2011, 96 ff.; Creux-Thomas, S.J.G. 2011, 69 ff.; für die Schweiz: Ledergerber, Whistleblowing unter dem Aspekt der Korruptions - bekämpfung, 2005; Hunziker, Festschrift für von der Crone, 2007, S. 163 ff.; Sethe, Festschrift für H.Weber, 2011, S. 189 ff.; Portmann, Aktuelle Juristische Praxis (AJP) 2010, 987; Von Kaenel, Schweize - rische Juristen-Zeitung (SJZ) 103 (2007), 309 ff. 4 Düsseldorfer Kreis, Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz, 2007, abrufbar unter (letzter Abruf: ); aus dem Schrifttum exemplarisch Lampert, in: Hauschka, Corporate Compliance, 2. Aufl. 2010, 9 Rn. 34 f.; Thüsing, Arbeitnehmerdatenschutz und Compliance, 2010, Rn. 44; Mengel, Compliance und Arbeitsrecht, 2009, Kapitel 7 Rn. 37 ff.; Fleischer/Schmolke, WM 2012, 1013 ff.; Grau, KSzW 2012, 66 ff.; Hauschka/Greve, BB 2007, 165, 171; U. H. Schneider, ZIP 2003, 645; Schmolke, RIW 2012, 224 ff.; von Busekist/Fahrig, BB 2013, 119 ff.; von Zimmermann, RDV 2006, 242 ff. 5 Für Frankreich: Antonmattéi/Vivien, Chartes d éthique, alerte professionnelle et droit du travail français: état des lieux et perspectives, 2007, S. 9; für Deutschland: U. H. Schneider, ZIP 2003, 645 f.; für die Schweiz: Sethe, in: Festschrift für Weber, 2011, S. 189, Boswell/Dinino/Johnston, in: Transparency International (Hrsg.), Global Corruption Report 2004 USA, 2004, S. 270: A series of multi billion dollar corporate scandals spurred Congress to enact the Sarbanes-Oxley Act of Für Deutschland statt vieler Mahnhold, NZA 2008, 737; für Frankreich Barrière, S.J.E. & A. 2011, 1527, 1530: En France, dénonciation renvoie à Occupation. 8 Der PIDA fügte die Sections 43A ff. neu in den Employment Rights Act 1996 ein. 9 Zum Whistleblowing im Vereinigten Königreich etwa Bowers/ Fodder/Lewis/Mitchell, Whistleblowing Law and Practice, 2. Aufl. 2011; Deakin/Morris, Labour Law, 6. Aufl. 2012, Rn ff.; Lewis, Whistleblowing at Work, 2001; Lewis, Industrial Law Journal (I.L.J.) 39 (2010), 325 ff.; Wynn-Evans, I.L.J. 34 (2005), 178 ff.; s. auch den Überblick bei Forst, EuZA 6 (2013), 37, 54 ff.

18 Forst, Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? RDV 2013 Heft dern er wurde als Reaktion auf zwei schwere Unfälle erlassen 10 : Am sank die Autofähre MS Herald of Free Enterprise, deren Untergang 193 Menschen das Leben kostete. Am kam es zum Clapham Junction Zugunglück, das 35 Todesopfer und 500 Verletzte forderte. Beide Unglücke hätten verhindert werden können, wären Warnungen rechtzeitig beachtet worden. Das Gesetz dient also dem Schutz der Öffentlichkeit vor allerlei Gefahren. Dieser holistische Ansatz liegt auch vereinzelten Vorschriften wie 81a, 137 Abs. 1d, 197a SGB V oder 17 Abs. 2 ArbSchG zugrunde, hat infolge mehrerer Betrugsfälle in der Lebensmittelbranche ( Gammelfleisch ) und der Entscheidung des EGMR in der Rs. Heinisch aus dem Jahr hierzulande aber erheblich an Aufmerksamkeit gewonnen. In jener Entscheidung hatte eine Altenpflegerin aus Berlin Missstände in einer Einrichtung des Arbeitgebers bei der Staatsanwaltschaft angezeigt und erhielt dafür die Kündigung. Gesetzentwürfe der SPD und der Grünen über eine Regelung des Whistleblowing aus dem Jahr 2012 greifen diese Sachverhalte auf und gehen weit über den Bereich der Rechnungslegung hinaus 12. Aufgrund der erneuten Betrugsfälle im Lebensmittelbereich (Pferdestatt Rindfleisch, Überbelegung von Stallungen bei angeblichen Freilandeiern, Mykotoxine im Tierfutter) steht zu erwarten, dass das Whistleblowing auch nach der Bundestagswahl, die voraussichtlich am stattfinden wird, ein aktuelles politisches Thema bleiben wird. An dem Entwurf der SPD wurde unter anderem kritisiert, dass er keine Regelungen über den Datenschutz enthalte, sondern sich mit einem Verweis auf das geltende Datenschutzrecht begnüge 13. Datenschutzrecht - liche Relevanz kann das Whistleblowing dadurch erlangen, dass es sich bei den Informationen, die ein Hinweisgeber weitergibt, um personenbezogene Daten handeln kann. Wenn dem so ist, muss jede Form von Whistleblowing auch die Vorgaben eines etwaig anzuwendenden Datenschutzrechts beachten 14. Diese Vorgaben können sehr stark variieren, je nachdem, welches Datenschutzrecht zur Anwendung gelangt. Ebenso wie das anzuwendende Recht beeinflussen aber auch die jeweiligen Tatsachen die datenschutzrechtliche Bewertung. Einige Fallgruppen treten dabei immer wieder auf, die in diesem Beitrag kurz vorgestellt werden (II.). Sodann wird das Whistleblowing aus der Sicht der EG-Datenschutzrichtlinie (DSRL) betrachtet (III.). Vor diesem Hintergrund wird schließlich der Frage nachgegangen, welche Punkte eine gesetzliche Regelung des Whistleblowing in Deutschland aus der Sicht des Datenschutzes ansprechen sollte und wie diese Regelungen beschaffen sein könnten (IV.). Eine Zusammenfassung der Ergebnisse in Thesen rundet den Beitrag ab (V.). Die geplante EU-Datenschutzgrundverordnung 15 ( VO-E ) wird nur punktuell einbezogen. Eine systematische Untersuchung unterbleibt, weil noch unklar ist, ob und mit welchem Inhalt sie verabschiedet werden wird 16. II. Fallgruppen des Whistleblowing Das Whistleblowing gibt es nicht. Es unterscheidet sich nicht nur in den verschiedenen Rechtskulturen, sondern es begegnet auch in sehr unterschiedlichen Sachverhaltskonstellationen. Fallgruppen lassen sich anhand der Unterscheidungskriterien (1.) Identifizierbarkeit des Hinweisgebers, (2.) Adressat des Hinweises sowie (3.) Organisation des Hinweisgebersystems bilden. 1. Anonymes und offenes Whistleblowing Das erste Kriterium erlaubt es, zwischen anonymem und offenem Whistleblowing zu unterscheiden. Bei dem anonymen Whistleblowing ist die Person des Hinweisgebers nicht bekannt und sie ist zumindest in der Theorie auch nicht bestimmbar. Bei dem offenen Whistleblowing gibt sich der Hinweisgeber zu erkennen. Eine Zwischenform nimmt das vertrauliche Whistleblowing ein. Hier gibt sich der Hinweisgeber gegenüber einer zur Entgegennahme von Hinweisen zuständigen Stelle ( Whistleblowing-Stelle ) zu erkennen, die ihrerseits verpflichtet ist, die Identität des Hinweisgebers geheimzuhalten. S. 301 (4) SOX verlangt von Unternehmen, das anonyme Whistleblowing zu ermöglichen. Die Gruppe von Staaten gegen Korruption im Europarat ( GRECO ) und die Parlamentarische Versammlung des Europarats sprechen sich hingegen ebenso gegen anonyme Meldungen aus wie die Artikel-29-Datenschutzgruppe, die französische Commission nationale de l informatique et des libertés ( CNIL ) und die Cour 10 Berichterstatter Omtzigt, in: Parlamentarische Versammlung des Europarats, Doc : The protection of whistle-blowers, 2009, S Urt. v /08, NJW 2011, 3501; dazu Forst, NJW 2011, 3477 ff. Sachverhalte aus dem Gesundheitswesen bildeten schon häufig die Grundlage für Leitentscheidungen, vgl. für die Schweiz: BG v , BGE 127 III, 310; für das UK: NHS Manchster v. Fecitt [2011] EWCA Civ 1190 und ALM Medical Services Ltd. v. Bladon [2002] EWCA Civ BT-Drucks. 17/8567 (SPD); BT-Drucks. 17/9782 (Grüne). 13 Exemplarisch Mengel, CCZ 2012, 146, 148; Wybitul, ZD-Aktuell 2012, Abs. 3 des Entwurfs der SPD bestimmt: [D]aten- schutzrechtliche Vorschriften bleiben unberührt. Eine Einschränkung der Rechte der Hinweisgeberinnen und Hinweisgeber nach diesem Gesetz ist ausgeschlossen. S. auch bereits Kort, in: Datenschutz im Arbeitsverhältnis, 2012, 45, 64 ff. 14 Zum Whistleblowing aus datenschutzrechtlicher Sicht für Deutschland: Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl. 2010, Rn. 668 ff.; Mengel, Compliance und Arbeitsrecht, 2009, 7 Rn. 40 ff.; Breinlinger/Krader, RDV 2006, 60 ff.; Grau, KSzW 2012, 66, 70 ff.; Müller-Bonanni/Schell, ArbRB 2006, 299 ff.; Schmidl, DuD 2006, 353; von Zimmermann, RDV 2006, 242 ff.; für das UK: Bowers/Fodder/Lewis/Mitchell, Whistleblowing Law and Practice, 2. Aufl. 2011, Rn ; Jones/Warren, Privacy and Data Protection (P.D.P.) 9 (2008), 11; Pritchett, P.D.P. 11 (2011), 6. In Frankreich wird das Whistleblowing fast ausschließlich aus der Sicht des Datenschutzes betrachtet (dazu unten IV.1.). 15 KOM (2012) Das Europäische Parlament hat bis zum mehr als Änderungsanträge gestellt, die unter oeil/popups/ficheprocedure.do?lang=en&reference=2012/0011%28c OD%29 abrufbar sind (letzter Abruf: ).

19 124 RDV 2013 Heft 3 Forst, Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? de cassation 17. Auch im Vereinigten Königreich warnt die Literatur vor dem anonymen Whistleblowing, weil es schwer sei, einem anonymen Hinweisgeber Schutz zukommen zu lassen 18. Tatsächlich sprechen kaum Gründe für das anonyme Whistleblowing, jedoch viele dagegen: Das gängige Argument von Befürwortern lautet, anonymes Whistleblowing diene dem Schutz des Hinweisgebers am effektivsten, da er nicht identifiziert werden könne 19. Die mitgeteilten Informationen lassen jedoch häufig einen Rückschluss auf die Person des Hinweisgebers zu oder ermöglichen es zumindest, eine Gruppe potentieller Hinweisgeber zu identifizieren. Soweit vorgebracht wird, der SOX verlange ein anonymes Meldesystem 20, ist dem entgegenzuhalten, dass der US-amerikanische Gesetzgeber außerhalb des Hoheitsgebiets der USA keine Gesetzgebungskompetenz besitzt. Auch wirtschaftlich ist eine Börsennotierung in den USA für Nicht-US-Unternehmen nicht zwingend, wie zahlreiche deutsche Gesellschaften (z.b. Allianz, BASF, Bayer, E.ON, Siemens) beweisen, die ihre US-Notierung infolge des SOX beendet haben. Gegen 21 das anonyme Whistleblowing spricht, dass es zum Missbrauch einlädt, die mitgeteilten Informationen nicht verifiziert werden können, dass der Angezeigte nur eingeschränkte Möglichkeiten zur Verteidigung hat und dass es schwer ist, einen enttarnten Whistleblower zu schützen, weil es kaum möglich ist, dem Angezeigten nachzuweisen, dass dieser den Informanten enttarnt und gerade für den Hinweis gemaß - regelt hat. Ein offenes System, das nur solche Hinweise erlaubt, welche die Identität des Whistleblowers für den Angezeigten erkennbar machen, ist hingegen abzulehnen, weil die Risiken für den Whistleblower zu groß bzw. die Hemmschwelle zu hoch ist. Einen praktikablen Ausgleich der Interessen ermöglicht ein System, das eine Whistleblowing-Stelle für zuständig erklärt, Hinweise entgegenzunehmen und das diese Stellen zur Geheimhaltung in Bezug auf die Identität des Hinweisgebers verpflichtet. 2. Internes und externes Whistleblowing Das zweite Kriterium erlaubt es, zwischen dem internen und dem externen Whistleblowing zu unterscheiden. Ein internes Whistleblowing liegt vor, wenn die Meldung gegenüber einer Whistleblowing-Stelle erfolgt, die mit dem Angezeigten identisch ist bzw. die in dessen Organisation eingebunden ist. Das externe Whistleblowing bezeichnet demgegenüber eine Meldung an Außenstehende, etwa Aufsichtsbehörden, die Staatsanwaltschaft oder gar die Presse. Auch hier gibt es Zwischenformen, die je nach Ausgestaltung als semiintern oder semiextern klassifiziert werden können. So ist es in größeren Unternehmen nicht unüblich, dass eine Compliance-Stelle überwacht, ob die den Unternehmensträger treffenden Vorschriften eingehalten werden. Nimmt sie Hinweise entgegen, handelt es sich grundsätzlich um eine Form des internen Whist- leblowing. Allerdings können derartige Stellen autonom ausgestaltet sein, so dass sie nicht an Weisungen des Leitungsorgans oder anderer Vorgesetzter gebunden sind. Dann handelt es sich um semiinternes Whistleblowing. Ebenso ist es möglich, dass ein Unternehmen einen Dritten damit beauftragt, die Funktion einer Whistleblowing-Stelle zu übernehmen. Inzwischen gibt es auf derartige Dienstleistungen spezialisierte Anbieter. Grundsätzlich handelt es sich dabei um eine Form des externen Whistleblowing. Anders als bei einer staatlichen Stelle oder der Presse gewinnt das Unternehmen aber zumindest einen wirtschaftlichen Einfluss auf die Whistleblowing-Stelle, so dass diese Konstellation als semiexternes Whistleblowing bezeichnet werden kann. Die Vorteile des internen Whistleblowing sind, dass es regelmäßig nicht zu einem Verrat von Geschäftsgeheimnissen ( 17 UWG) durch den Hinweisgeber führt und dass es dem Leitungsorgan durch beherztes Eingreifen die Möglichkeit zur Deeskalation und zur Diskretion verschafft. Außerdem ist die Missbrauchsgefahr tendenziell geringer als beim externen Whistleblowing. Die Nachteile des internen Whistleblowing sind, dass seine Effektivität stark von der Rechtstreue des Leitungsorgans abhängt. Ist dieses an einem rechtskonformen Verhalten nicht interessiert, droht ein Hinweis zu versanden. Ferner drohen dem Hinweisgeber durch Vorgesetzte und Kollegen Repres - sionen. Schließlich kann das interne Whistleblowing kostspieliger sein als das externe Whistleblowing, weil ein externer Anbieter durch Skaleneffekte zu einer besseren Auslastung seines Systems gelangen kann. Das externe Whistleblowing spiegelt diese Vor- und Nachteile. Seine Vorteile sind, dass es in der Regel sehr effektiv ist gerade bei Meldungen an die Staatsanwaltschaft oder die Presse und dass es potentielle Kostenvorteile bietet. Die Nachteile sind, dass es in der Regel mit einem Geheimnisverrat einhergeht (der gerecht - 17 GRECO, Seventh General Activity Report (2006), 2007, S. 12; Berichterstatter Omtzigt, in: Parlamentarische Versammlung des Europarats, Doc : The protection of whistle-blowers, 2009, Rn. 116 lit. f).; Artikel-29-Datenschutzgruppe, Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime ( WP 117 ), S. 11; abrufbar unter (letzter Abruf: ); CNIL, Autorisation unique Nr. AU-004 Délibération Nr v , geändert durch Délibération Nr v , dort Art. 2. Abrufbar unter (letzter Abruf: ). Es handelt sich dabei um eine generell-abstrakte Erlaubnis, daneben kann die CNIL im Einzelfall eine autorisation individuelle erteilen. Cass. soc , S.J.S. 2010, Lewis, Whistleblowing at Work, 2001, S. 119; Jones/Warren, P.D.P. 9 (2008), 11; Pritchett, P.D.P. 11 (2011), 6, Aus dem deutschen Schrifttum etwa Mengel, Compliance und Arbeitsrecht, 2009, 7 Rn. 39; von Zimmermann, RDV 2006, 242, 243; Behrendt/Kaufmann, CR 2006, 642, 648; Berndt/Hoppler, BB 2005, 2623, Mengel, Compliance und Arbeitsrecht, 2009, 7 Rn. 39; Grau, KSzW 2012, 66, Ablehnend aus dem deutschen Schrifttum etwa Gola/Schomerus, BDSG, 11. Aufl. 2012, 4 Rn. 27a; Neundorf, in: Hauschka (Hrsg.), Corporate Compliance, 2. Aufl. 2010, 30 Rn. 32; Runte/Schreiber/ Held et al., CRi 2005, 135, 138.

20 Forst, Whistleblowing und Datenschutz Brauchen wir eine spezielle Regelung? RDV 2013 Heft fertigt sein kann), leicht zu einer Eskalation der Lage führt, ein hohes Risiko der Kündigung für den Hinweisgeber birgt und dass es missbrauchsanfällig ist. International werden diese Argumente unterschiedlich gewichtet. In Frankreich erlaubt Art. L Code du travail es dem Hinweisgeber anscheinend, frei zwischen internem und externem Whistleblowing zu wählen. Das englische Recht differenziert. Hier darf sich der Hinweisgeber in bestimmten Fällen sofort an staatliche Stellen wenden, muss in allen anderen Fällen aber zunächst nach innerbetrieblicher Abhilfe suchen, es sei denn, diese ist aussichtlos oder birgt die Gefahr, dass der Angezeigte Beweise vernichtet 22. Auch das schweizerische BG 23 und der EGMR 24 halten einen Hinweisgeber grundsätzlich für verpflichtet, zunächst eine innerbetriebliche Abhilfe zu versuchen, erkennen aber ebenfalls Ausnahmen an, wenn diese von vornherein aussichtslos erscheint oder überwiegende Interessen gefährdet sind. Die deutsche Rechtsprechung äußert sich ähnlich Zentrales und dezentrales Whistleblowing Das dritte Kriterium erlaubt es schließlich, zwischen zentralem und dezentralem Whistleblowing zu unterscheiden. Das Whistleblowing erfolgt zentral, wenn die eingehenden Hinweise bei einer Stelle gebündelt werden, die für das gesamte Unternehmen, einen gesamten Verwaltungsstrang oder einen bestimmten Lebensbereich zuständig ist. Das Whistleblowing erfolgt dezentral, wenn in jeder Organisationseinheit (Betrieb, Behörde etc.) eine eigene Whistleblowing-Stelle existiert. Eine Mischform liegt vor, wenn die dezentralen Whistleblowing-Stellen einer zentralen Stelle nachgeordnet sind, an die sie stets oder in bestimmten Fällen Hinweise weiterreichen. Ein dezentrales Whistleblowing kann sich vor allem bei weniger schwerwiegenden Missständen anbieten, die nicht die Aufmerksamkeit der zentralen Leitung einer Organisation erfordern, sondern auf lokaler Ebene effizienter gelöst werden können. Beispiele bilden Verstöße gegen das Arbeitsschutzgesetz, die in der Regel vor Ort am effizientesten abgestellt werden können. Der Nachteil eines dezentralen Systems besteht darin, dass Missstände leichter vertuscht werden können. Auch können die Kosten eines dezentralen Systems höher sein als die eines zentralen Systems. Ein zentrales Whistleblowing erschwert es zwar, Missstände zu verheimlichen, doch werfen zentrale Systeme besondere datenschutzrechtliche Fragen auf, weil sie häufig eine Übermittlung personenbezogener Daten voraussetzen, gegebenenfalls in einen Drittstaat. III. Vorgaben der EG-Datenschutzrichtlinie Die DSRL enthält keine Vorschriften zum Whistle - blowing. Sie bewirkt nach Ansicht des EuGH aber eine Vollharmonisierung 26, so dass die Mitgliedstaaten grundsätzlich nicht von ihr abweichen dürfen. Allerdings sind viele ihrer Vorgaben so allgemein gehalten, dass eine Konkretisierung durch die Mitgliedstaaten unausweichlich ist, sollen die Regelungen einen praktischen Nutzen haben. Dies lässt sich auch für das Whistleblowing fruchtbar machen. Die Artikel-29-Datenschutzgruppe hat darüber hinaus im Jahr 2006 in einem Arbeitspapier ihre Position zum Whistleblowing dargelegt. Sie beschränkt sich darin auf das interne Whistleblowing durch Arbeitnehmer, das dem Zweck dient, Verstöße gegen Rechnungslegungsvorschriften aufzudecken 27. Der enge Fokus erklärt sich dadurch, dass das Arbeitspapier auf Drängen der CNIL erstellt wurde, nachdem in Frankreich Fälle aufgetreten waren, in denen französisches Datenschutzrecht mit dem SOX kollidierte. Nach Ansicht der Artikel-29-Datenschutzgruppe kann ein Whistleblowing-System auf Art. 7 lit. c) DSRL 28 gestützt werden, sofern das Recht des jeweiligen Mitgliedstaats eine entsprechende Verpflichtung enthält, derartige Systeme einzurichten. Recht eines Drittstaats wie der SOX könnten keine rechtliche Verpflichtung im Sinne der Vorschrift begründen, weil anderenfalls das EU-Datenschutzrecht durch auslän dische Gesetzgebung umgangen werden könne 29. Fehle es an einer mitgliedstaatlichen rechtlichen Verpflichtung, könne ein Whistleblowing-System auf Art. 7 lit. f) DSRL 30 gestützt werden. Den SOX befolgen zu wollen, könne ein berechtigtes Interesse des Verantwortlichen begründen, das gegen die Interessen des Betroffenen abzuwägen sei 31. Die Artikel-29-Datenschutzgruppe legt schließlich detailliert dar, wie ein Whistleblowing-System, das einen solchen Interessenausgleich herstellt, ihrer Auffassung nach auszusehen hat. Wie alle Stellungnahmen der Artikel-29-Datenschutzgruppe sind auch diese Ausführungen unverbindlich. 22 Ausführlich Forst, EuZA 6 (2013), 37, 55 m.w.n. 23 BG, Urt. v , BGE 127 III 310, 316; zum Meinungsstand Hunziker, Festschrift von der Crone, S. 163, 173 m.w.n. 24 EGMR, Urt. v /08, NJW 2011, 3501 Heinisch/Deutschland; dazu Forst, NJW 2011, 3477 ff. 25 BAG, Urt. v AZR 235/02, BAGE 107, 36 = NJW 2004, 1547, 1549 f.; BAG, Urt. v AZR 400/05, NJW 2007, 2204, 2205 f. 26 EuGH, Urt. v C-101/01, Slg. 2003, I Rn. 96 Lindqvist; EuGH, Urt. v C-524/06, Slg. 2008, I-9705 Rn. 51 Huber; EuGH, Urt. v C-468/10 u.a., RDV 2012, 22 Rn. 28 ASNEF/FECEMD. 27 WP 117, S Die Vorschrift lautet in der deutschen Fassung: [Die Verarbeitung darf erfolgen, wenn dies] für die Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der für die Verarbeitung Verantwortliche unterliegt. 29 WP 117, S. 7 f. 30 Die Vorschrift lautet in der deutschen Fassung: [Die Verarbeitung darf erfolgen, wenn dies] erforderlich zur Verwirklichung des berechtigten Interesses [ist], das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person [...] überwie[g]en. 31 WP 117, S. 8 f.