Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten Balance zwischen Datenschutz und Compliance sicherstellen Ansprechpartner: Abteilung Arbeitsrecht T +49 30 2033-1200 arbeitsrecht@arbeitgeber.de BDA Bundesvereinigung der Deutschen Arbeitgeberverbände
Zusammenfassung Deutschland verfügt über ein im internationalen Vergleich sehr hohes Datenschutzniveau. Dies gilt im Verhältnis des Bürgers zum Staat, es gilt ebenso für das Verhältnis der Bürger untereinander, insbesondere auch für das Arbeitsverhältnis. Vor dem Hintergrund des hohen Niveaus des Datenschutzes innerhalb der Mitgliedsstaaten haben auch Kommission und Rat der Europäischen U- nion ihr Vorhaben aufgegeben, eine eigenständige Richtlinie für den Arbeitnehmerdatenschutz zu entwickeln. Ein ausgewogener Datenschutz im Arbeitsverhältnis ist sinnvoll. Ein solcher Datenschutz muss die Vertraulichkeit der Daten und Geschäftsgeheimnisse von Arbeitgebern und Arbeitnehmern wahren. Ein ausgewogener Datenschutz muss gleichzeitig sicherstellen, dass Korruptionen und Kriminalität in den Betrieben wirkungsvoll bekämpft werden können. Im Einzelnen I. Grundsatzregelung 32 BDSG Die in das Bundesdatenschutzgesetz aufgenommene Grundsatzregelung zum Arbeitnehmerdatenschutz in einem neuen 32 BDSG war überflüssig und macht das Datenschutzrecht nicht transparenter. Sie ändert aber an der bestehenden Struktur des Datenschutzes im Arbeitsverhältnis nichts. Vielmehr soll sie das geltende Recht wiedergeben. 1. Struktur des 32 BDSG In 32 Abs. 1 BDSG werden im Wesentlichen zwei Fälle unterschieden. Nach Satz 1 dürfen für Zwecke des Beschäftigungsverhältnisses Daten des Beschäftigten erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung o- der Beendigung erforderlich ist. Zur Aufdeckung von begangenen Straftaten dürfen personenbezogene Daten eines Beschäftigten nach Satz 2 dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Daten zur Aufdeckung erforderlich sind und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Datenerhebung, -verarbeitung oder - nutzung nicht überwiegt, insbesondere die Datennutzung nicht unverhältnismäßig ist. a. Zweck des Beschäftigungsverhältnisses Ausweislich der Begründung beschränkt sich 32 BDSG darauf, 28 Abs. 1 Satz 1 Nr. 1 BDSG zu konkretisieren und Satz 2 desselben Absatzes überflüssig zu machen, wenn die Daten zum Zweck des Beschäftigungsverhältnisses erhoben Danach sollen die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis nicht geändert, sondern lediglich zusammengefasst Die Datenerhebung nach anderen Vorschriften des Bundesdatenschutzgesetzes oder anderer Gesetze (genannt werden ausdrücklich 4a BDSG und 22 Kunsturhebergesetz) soll möglich bleiben. Entsprechendes soll ausweislich der Gesetzesbegründung auch für 28 Abs. 1 Satz 1 Nr. 2 und 3 BDSG gelten, soweit die Datennutzung nicht zu Zwecken des Beschäftigungsverhältnisses stattfindet. Danach soll es möglich sein, zum Beispiel Maßnahmen zur Korruptionsbekämpfung auch präventiv zu ergreifen. b. Aufdeckung von Straftaten Satz 2 soll nur für begangene Straftaten bzw. deren Aufdeckung gelten. Entweder sind Maßnahmen zur Bekämpfung von Korruption mit dem Zweck des Beschäftigungsverhältnisses verbunden und wären demnach gem. 32 S. 1 BDSG zulässig oder sie dienen nicht unmittelbar dem Zweck der Durchführung des Beschäftigungsverhältnisses; dann können entsprechende Maßnahmen auf 28 Abs. 1 Satz 1 Nr. 2 und ggf. 3 BDSG gestützt Die Verhinderung von Straftaten bleibt nach der Begründung gestützt auf 28 Abs. 1 Nr. 2 und 3 BDSG oder gestützt auf 32 n. F. BDSG möglich. c. Begriff der Datei In Abs. 2 wird klargestellt werden, was unter Erhebung, Verarbeitung und Nutzung von Daten zu 2
verstehen ist. Die Vorschrift ist vor dem Hintergrund von 3 Abs. 2 BDSG überflüssig. d. Beteiligungsrecht der Interessenvertretung Die Rechte des Betriebsrates bleiben nach 32 Abs. 3 BDSG unberührt. Dies bestätigt eine Selbstverständlichkeit. Mit der Einfügung des 32 BDSG ist keine Ausweitung des Mitbestimmungsrechts des Betriebsrats, insbesondere nicht des Mitbestimmungsrechts nach 87 Abs. 1 Nr. 6 BetrVG verbunden. 2. Bewertung Die BDA hat auf die nun vorgenommene Klarstellung in der Gesetzesbegründung gedrängt, dass mit der Aufnahme des 32 BDSG die bisherige Rechtslage nicht geändert wird. Eine solche Veränderung war auch vor dem Hintergrund des Kabinettsbeschlusses vom 18. Februar 2009 nicht beabsichtigt. Es handelt sich lediglich um eine Zusammenfassung der bestehenden Rechtslage und Rechtsprechung und ebenfalls ausweislich der Gesetzesbegründung soll kein Präjudiz für mögliche weitere gesetzliche Modifizierungen geschaffen Trotzdem ist die Zusammenfassung bestehender Grundsätze in der konkreten Form kritisch zu würdigen. Die Erfahrung mit der Rechtsprechung zu gesetzlichen Regelungen im Zusammenhang mit der Datenerfassung in den letzten Jahren gebietet besondere Wachsamkeit. Trotz der ausdrücklichen Betonung, dass es sich lediglich um eine Klarstellung handelt, bleiben Risiken, die sich aus jeder intransparenten Neuregelung ergeben. So hat beispielsweise das BAG sogar vor dem klaren Wortlaut des 87 Abs. 1 Nr. 6 BetrVG, in dem es heißt "Der Betriebsrat hat (...) in folgenden Angelegenheiten mitzubestimmen: 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistungen des Arbeitnehmers zu überwachen; (...) " in sehr weitgehender "Rechtsfortbildung" diese Formulierung dazu bestimmt" uminterpretiert in die Formulierung, die dazu geeignet sind". Eine entsprechende Interpretation halten wir auf Grund der Gesetzesbegründung hinsichtlich des 32 BDSG nicht für zulässig. Klar muss sein: Überall dort, wo der Zweck der Datennutzung ein anderer ist, als die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses, greift wie bisher unter anderem 28 BDSG. Steht die Verhinderung von Rechtsverstößen im Vordergrund, gilt nicht der strenge Maßstab des 32 S. 2 BDSG, sondern die Zulässigkeit richtet sich nach den 32 S. 1, 28 Abs. 1 BDSG oder weiteren Spezialvorschriften. Dies sollte im Falle weiterer Modifikationen des Datenschutzrechts ausdrücklich klargestellt Kritisch zu würdigen ist außerdem die sehr enge Regelung zur Datennutzung zur Aufdeckung von Straftaten. Hier muss zukünftig klargestellt werden, dass beispielsweise auch verdachtsunabhängige Kontrollen im Zusammenhang mit möglichen Ordnungswidrigkeiten und Vertragsverletzungen durchgeführt werden dürfen. Das Risiko einer unzulässigen Datenverarbeitung trägt der Arbeitgeber, er hat daher ein berechtigtes Interesse daran, dieses Risiko zu minimieren bzw. auszuschließen. II. Änderungen der Regelung zur Auftragsdatenverarbeitung Mit den aktuellen Änderungen des Bundesdatenschutzgesetzes wurde neben der Einfügung des 32 BDSG und der überflüssigen Regelung eines Sonderkündigungsschutzes des betrieblichen Datenschutzbeauftragten auch die Regelung des 11 BDSG zur Auftragsdatenverarbeitung verkompliziert. Gemäß des bisherigen 11 BDSG war der Auftraggeber bereits für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich, wenn personenbezogene Daten in seinem Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt wurden. Durch die Neuregelung im BDSG werden den Unternehmen nun detaillierte Vorgaben gemacht, welche Bereiche im Vertrag mit dem Auftragnehmer zu regeln sind. Gleichzeitig werden den Unternehmern umfangreiche - bürokratische - Kontrollpflichten auferlegt. Es sollte zukünftig klargestellt werden, dass für den Fall der sorgfältigen Auswahl des Auftrag- 3
nehmers durch den Arbeitgeber eine Exkulpationsmöglichkeit des Arbeitgebers bei Pflichtverletzungen durch den Auftragnehmer besteht. Außerdem sollte die Möglichkeit geschaffen werden, auch vertraglich eine Übernahme der Gewährleistung/Haftung durch den Auftragnehmer zu regeln. Insbesondere die Entgeltabrechnung oder Pensionsabwicklung durch Dritte muss durch eine Vereinfachung des 11 BDSG erleichtert III. Für einen überschaubaren Datenschutz Die Entscheidung der Regierungskoalition mögliche weitere Modifikationen des Datenschutzrechts im Zusammenhang mit dem Arbeitsverhältnis in das geltende Bundesdatenschutzgesetz zu integrieren, ist richtig. Ein separates Arbeitnehmerdatenschutzgesetz ist nicht erforderlich. Solche Änderungen müssen sich auf datenschutzrechtliche Fragestellungen beschränken. Es gibt z.b. Anpassungsbedarf betreffend einiger Regelungen zur Verwendung von Daten im Konzern oder zur Nutzung moderner Kommunikationstechnologien auf arbeitgeberseitig gestelltem Arbeitsmaterial durch Arbeitnehmer. Inhaltliche Verbesserungen hinsichtlich Rechtsklarheit und -sicherheit sind hinsichtlich folgender Themenbereiche denkbar: Die effektive Kriminalitätsbekämpfung und die Bekämpfung von Korruption sind von herausragender Bedeutung für die Unternehmen. Im Zuge einer Novellierung des Bundesdatenschutzgesetzes muss daher klargestellt werden, dass zum Beispiel gegenüber einer konkreten Gruppe von Arbeitnehmern, unter denen es Verdachtsfälle gibt, ein so genanntes Screening, also ein Abgleich vorhandener Daten, möglich ist. Die Vertraulichkeit von Unternehmensdaten muss gewährleistet Diese müssen wirkungsvoll vor dem Zugriff Unbefugter geschützt Vertragsverletzungen und strafrechtlich relevantes Verhalten im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologien am Arbeitsplatz müssen ausgeschlossen und ein effizientes Risikomanagement betrieben werden können. Dazu gehört, wie das Beispiel Finnland zeigt, auch die Möglichkeit, E-Mails zu überprüfen. Das Mitbestimmungsrecht des Betriebsrates kann diesen in eine kritische Lage bringen, wenn er bei der Überwachung durch moderne Informations- und Kommunikationseinrichtungen einbezogen werden muss. Es ist daher zu überlegen, die Zustimmungsnotwendigkeit partiell durch eine nachträgliche Informationspflicht zu ersetzen. Der Datenaustausch im Konzern muss auch über nationale Grenzen hinweg erleichtert Diese Forderung betrifft auch das europäische Recht. Bereits auf nationaler Ebene kann aber klargestellt werden, dass die Funktionsübertragung im Konzernverbund ebenso wie die Auftragsdatenverarbeitung möglich ist, ohne die Einzeleinwilligung der betroffenen Arbeitnehmer einholen zu müssen. Insbesondere sollte klargestellt werden, dass Konzernunternehmen nicht als Dritte im Sinne des Datenschutzrechts gelten. Auch die Frage der Geltung des Fernmeldegeheimnisses bei der Nutzung betrieblicher Kommunikationsmittel durch die Arbeitnehmer ist gesetzgeberisch wenig überzeugend gelöst. Die Auffassung, dass der Arbeitgeber Anbieter im Sinne des Telekommunikationsrechts ist, sollte aufgegeben Notwendig sind Regelungen, die einen an die Besonderheiten des Arbeitsverhältnisses angepassten Ausgleich zwischen dem Persönlichkeitsrecht des Arbeitnehmers und dem berechtigten Kontrollinteresse des Arbeitgebers ermöglichen. Die derzeitige Rechtslage führt dazu, dass sich Arbeitgeber bei der Kontrolle - selbst bei offensichtlichen Missbrauchsfällen - in einer rechtlichen Grauzone befinden. Es muss sichergestellt werden, dass Betriebsvereinbarungen als Rechtsvorschriften entsprechend der bestehenden Rechtslage anerkannt sind, so dass eine Datenerhebung und verarbeitung auch auf die Regelung in einer Betriebsvereinbarung gestützt werden kann. 4
Für die Erhebung und Verarbeitung von Gesundheitsdaten darf es keinen gesetzlichen Wertungswiderspruch geben. Dies gilt insbesondere für gesetzlich vorgeschriebene Untersuchungen, bei der Durchführung eines betrieblichen Eingliederungsmanagements oder auch bei Untersuchungen, die aufgrund der Fürsorgepflicht notwendig In diesen Fällen muss der Betriebsarzt entsprechend den Regeln der ärztlichen Diagnostik die erforderlichen Untersuchungen veranlassen können. IV. Datenschutz, Korruptionsbekämpfung und Compliance Der verantwortungsvolle Umgang mit persönlichen Daten im Rahmen des Arbeitsverhältnisses ist für die Arbeitgeber eine Selbstverständlichkeit. Gleichzeitig tragen die Unternehmen die Verantwortung für eine zuverlässige Anwendung der Gesetze (Compliance). So sind sie beispielsweise zu einer effizienten Korruptionsbekämpfung verpflichtet. Um sicherzustellen, dass die Gesetze und internen Regelungen des Unternehmens eingehalten werden, ist Kontrolle notwendig. auch die des einzelnen Arbeitnehmers. Die Möglichkeit des Einsatzes moderner Informations- und Kommunikationstechnik in diesem Bereich darf nicht zu Lasten einer wirksamen Compliance eingeschränkt 5