Veröffentlicht am Kategorien Aktivitäten, Kommentar, Literatur, News, Politik, Praxis, Praxis - Für Betroffene, Praxis - Verarbeitende Stellen, RechtTags , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Schmidl: „Arbeitnehmerdatenschutz muss auch den Schutz berechtigter Unternehmensinteressen sicherstellen“

Herr Dr. Michael Schmidl, Partner der Kanzlei Baker & McKenzie in München, Fachanwalt für IT-Recht und langjähriger Datenschutzexperte, äußert sich in unserem  Interview zu aktuellen Fragen des Arbeitnehmerdatenschutzrechts. Erst kürzlich hatte das Bundesinnenministerium ein Eckpunkte-Papier zur Neuregelung des Arbeitnehmerdatenschutzes veröffentlicht. Lesen Sie hier, warum dem Gesetzgeber eine Neuregelung so schwer fällt.

Kraska: Herr Schmidl, das Bundesinnenministerium arbeitet derzeit an einer Neuregelung des Arbeitnehmerdatenschutzes. Erst im September letzten Jahres waren neue Vorschriften im Arbeitnehmerdatenschutz in Kraft getreten. Warum gibt es schon wieder Änderungen?

Schmidl: Mit den Änderungen im vergangenen Herbst ist lediglich § 32 BDSG in das Gesetz aufgenommen worden, der nach Maßgabe der Gesetzesbegründung keine Neuerungen schaffen, sondern nur bisherige Grundsätze zusammenfassen sollte. § 32 BDSG regelt in sehr allgemeiner Form die Erhebung, Verarbeitung und Nutzung von Daten, die „für Zwecke des Beschäftigungsverhältnisses“ erforderlich ist. Ungeachtet dieser Aussage des Gesetzgebers begannen einige Aufsichtsbehörden unmittelbar nach Inkrafttreten von § 32 BDSG damit, vor dem 1. September 2009 als zulässig etablierte Vorgänge in den Unternehmen in Zweifel zu ziehen. Häufig wurde dies mit Zweifeln daran begründet, ob und in welchem Umfang neben § 32 BDSG noch andere Erlaubnistatbestände eingreifen können.

Kraska: Warum muss der Arbeitnehmerdatenschutz denn überhaupt in eigenen Vorschriften geregelt werden?

Schmidl: Dies entspricht der seit Jahren bestehenden Forderung, dass von der Datenverarbeitung besonders betroffene Bereiche in spezialgesetzlichen Normen geregelt werden sollten, um den Besonderheiten des jeweiligen Bereichs Rechnung tragen zu können. Auch wenn es gerade im Lichte der bevorstehenden Schaffung neuer Regelungen zum Arbeitnehmerdatenschutz ein leichtes wäre, dieser Argumentation beizupflichten, möchte ich betonen, dass auch das allgemeine Datenschutzrecht in der durch Rechtsprechung und Vorgaben der Aufsichtsbehörden konkretisierten Form bisher in der Lage gewesen ist, einen angemessenen Arbeitnehmerdatenschutz zu erreichen. Die für die Begründung der Erforderlichkeit spezieller Regelungen zitierten „Datenschutzskandale“, können nicht oder zumindest nicht ausschließlich mit den aus dem allgemeinen Datenschutzrecht resultierenden Unklarheiten begründet werden. Die Mehrheit der in der Öffentlichkeit diskutierten Fälle war auch nach dem durch Vorgaben von Rechtsprechung und Verwaltung konkretisierten allgemeinen Datenschutzrecht unzulässig.

Kraska: Warum hat sich der Gesetzgeber bislang so schwer getan, Regelungen in diesem Bereich zu fassen – und warum mussten letztlich erst Rechtsprechung und Aufsichtsbehörden durch eine konkretisierende verfassungskonforme Auslegung des Arbeitnehmerdatenschutzes einspringen?

Schmidl: Die Schaffung von Spezialregelungen zum Arbeitnehmerdatenschutz muss auch den Schutz berechtigter Unternehmensinteressen sicherstellen. Es ist rechtlich schwierig und politisch kontrovers, sich an dieser Aufgabe zu versuchen. Dies scheint mir der Grund für den langwierigen Prozess. Deutlich wird dies bereits im Zusammenhang mit der Verhandlung einer Betriebsvereinbarung, wenn es um die Konkretisierung der berechtigten Interessen des Arbeitgebers einerseits und seiner Mitarbeiter andererseits lediglich für einen bestimmten Betrieb geht. Auch wenn sich die Betriebsparteien auf abstrakter Ebene einig sind, dass Datenschutz im Unternehmen nicht dazu führen darf, dass das Unternehmen seine Geschäftszwecke nicht mehr erreichen kann, so gehen die Meinungen in aller Regel erheblich auseinander, wenn es um die Frage geht, wie viel Datenschutz zuviel Datenschutz ist. Das Unterfangen, ein Gesetz zu schaffen, dass diese Interessenskollision mit allgemeingültigen Entscheidungen auflöst, ist daher eine äußerst komplexe Herausforderung, die vor allem politische Grundsatzentscheidungen erforderlich macht.

Kraska: Nun ist ja vom Bundesinnenministerium ein Eckpunkte-Papier zur Neuregelung des Arbeitnehmerdatenschutzes veröffentlich worden. Was erwartet uns in dem Bereich?

Schmidl: Soweit veröffentlicht sind dies gemäß des Eckpunkte-Papiers verkürzt folgende Punkte:

  1. Das Fragerecht des Arbeitgebers im Einstellungsverfahren soll gesetzlich geregelt werden.
  2. Gesundheitliche Untersuchungen oder Prüfungen sollen nur zulässig sein, wenn sie erforderlich sind.
  3. Die Korruptionsbekämpfung und die Durchsetzung von Compliance-Anforderungen sollen aufgrund klarer gesetzlicher Grundlagen erfolgen können.
  4. Ganz allgemein soll die Videoüberwachung von nicht öffentlich zugänglichen Betriebsstätten nur zulässig sein, soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich und verhältnismäßig ist.
  5. Die Erhebung von Beschäftigtendaten durch Ortungssysteme soll nur während der Arbeits- und Bereitschaftszeiten zur Sicherheit des Beschäftigten oder zur Koordinierung des Einsatzes des Beschäftigten zugelassen werden.
  6. Biometrische Merkmale eines Beschäftigten soll der Arbeitgeber elektronisch nur erheben und verwenden dürfen, soweit dies aus betrieblichen Gründen zu Autorisierungs- und Authentifikationszwecken erforderlich ist.
  7. Der Arbeitgeber soll – insbesondere zur Gewährleistung des ordnungsgemäßen technischen Betriebs, zu Abrechnungszwecken sowie zu Zwecken der Korruptionsbekämpfung/Compliance – die Nutzung von Telekommunikationsdiensten und Telemedien am Arbeitsplatz im erforderlichen Maß kontrollieren dürfen.
  8. In Betriebs-/Dienstvereinbarungen oder Tarifverträgen sollen wie bisher eigenständige Grundlagen und Einschränkungen für eine zulässige Datenerhebung und -verwendung im Beschäftigungsverhältnis vorgesehen werden können.
  9. Die Zulässigkeit der individuellen Einwilligung des Beschäftigten in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten soll auf ausdrücklich geregelte Fälle beschränkt werden,
  10. Der Arbeitgeber darf Beschäftigtendaten auch erheben, verarbeiten und nutzen soweit deren Kenntnis erforderlich ist, um nach der Beendigung des Beschäftigungsverhältnisses bestehende Pflichten – etwa buchhalterische oder steuerliche Nachweiszwecke – zu erfüllen.

Kraska: Wie beurteilen Sie diese Pläne?

Schmidl: Grundsätzlich sind die veröffentlichten Eckpunkte zu begrüßen. Es bleibt aber abzuwarten, wie die konkreten Regelungen ausfallen werden. Es wäre aus meiner Sicht zudem wünschenswert gewesen, auch die Fragen der Einschaltung von Auftragsdatenverarbeitung im Bereich der Verwaltung von Personaldaten explizit zu regeln und eine Erleichterung beim Austausch von Arbeitnehmerdaten im Konzern zu schaffen. Denn gerade im Konzern führt das Datenschutzrecht häufig zu komplexen Rechtsfragen und die Durchsetzung berechtigter Konzerninteressen ist nicht immer ohne rechtliche Risiken möglich.

Kraska: Gerade das Outsourcing von Personaldaten ist ja mit Einführung des § 32 BDSG in die Diskussion geraten. Was war der Hintergrund?

Schmidl:  Einige Aufsichtsbehörden vertreten die Auffassung, dass eine Auslagerung von Personaldaten auf Grundlage von § 32 BDSG nicht mehr möglich, zumindest aber rechtlich zweifelhaft sei und auch ein Rückgriff auf andere datenschutzrechtliche Erlaubnistatbestände ausscheide. Für die Praxis hätte dies gravierende Folgen.

Kraska: Was ist der aktuelle Sachstand?

Schmidl: Derzeit tauschen sich die verschiedenen Aufsichtsbehörden der Länder in diesem Punkt aus. Man kann nur hoffen, dass hier eine praxisgerechte Lösung gefunden wird.

Kraska: Vielen Dank für das Gespräch.

Kontakt
  • Kontakt zu Dr. Michael Schmidl, LL.M. Eur. (Rechtsanwalt/Maître en Droit)
  • Weiterführender Artikel: Schmidl, Arbeitnehmerdatenschutz vor der Reform – Fehlanzeige?
  • Treffen Sie Herrn Schmidl als Referenten auf dem 11. Datenschutzkongress 2010 in Berlin
  • Das Interview führte RA Dr. Sebastian Kraska, externer Datenschutzbeauftragter
  • Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *