Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...

Die Seite wird erstellt Aaron-Arvid Blum
 
WEITER LESEN
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
3/2016
39. Jahrgang
                            ISSN 0137-7767
                                                                        12,00 Euro
         Deutsche Vereinigung für Datenschutz e.V.

                                                                                               Beschäftigtendatenschutz
                                                     www.datenschutzverein.de

                                                                                                 in neuen Gewändern

                                                                                     ■ Beschäftigtendatenschutz in neuen Gewändern? ■ EU-
                                                                                     US Privacy Shield ■ Das Phänomen Pokémon GO ■
                                                                                     Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
Inhalt

   Beschäftigtendatenschutz in neuen Gewändern?            Frank Spaeing
                                                           Der EU-US Privacy Shield aus Sicht der DVD           131
   Werner Hülsmann
   Die Europäische Datenschutzgrundverordnung              Das Phänomen Pokémon GO
   und der Beschäftigtendatenschutz                  117
                                                           Frank Spaeing
   Karin Schuler, Thilo Weichert                           Pokémon GO und Datenschutz?                          134
   Vorschläge für ein modernes
   Beschäftigtendatenschutzrecht                     119   Roland Appel
                                                           Die Informationelle Selbstenthauptung                137
   Monika Heim
   Persönlichkeitsrechte werden nicht                      Datenschutz Nachrichten
   am Werkstor abgegeben!                            122
                                                           Deutschland                                          140
   Lothar Schröder
   Zur Statik des Beschäftigtendatenschutzes         124   Ausland                                              144

   EU-US Privacy Shield                                    Technik                                              151

   Neil Watkins                                            Rechtsprechung                                       153
   Transatlantic Compliance: Understanding today’s
   picture and best practice next steps              127   Buchbesprechungen                                    157

   Victorine Kossi
   Der Weg zum EU-US Privacy Shield                  129

   Termine

    21. und 22. Oktober 2016               Dienstag, 01. November 2016
    Geheimdienste vor Gericht:             Redaktionsschluss DANA 4/2016
    Humboldt-Universität und               Thema: Tracking, Profiling,
    Maxim Gorki Theater Berlin             Werbung, Marketing
    http://www.ausgeschnueffelt.de
                                           Mittwoch, 01. Februar 2017
    Samstag, 22. Oktober 2016              Redaktionsschluss DANA 1/2017
    DVD-Vorstandssitzung                   Thema: Verbraucherschutz
    Bonn. Anmeldung in der
    Geschäftsstelle
    dvd@datenschutzverein.de
    Sonntag, 23. Oktober 2016
    DVD-Mitgliederversammlung
    Bonn.
    dvd@datenschutzverein.de

Foto: Uwe Schlick / pixelio.de

                                                                                      DANA • Datenschutz Nachrichten 3/2016

114
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
Editorial
               DANA
  Datenschutz Nachrichten                Gegen Ende des letzten Jahres zeichnete sich bereits ab, dass die DSGVO noch vor
           ISSN 0137-7767                Jahresende in ihrer Endversion vorliegen und dann zügig von den verbleibenden
         39. Jahrgang, Heft 3            Instanzen verabschiedet werden würde. Auch war damals bereits bekannt, dass es
                                         zum Arbeitnehmerdatenschutz keine konkreten Regelungen in der DSGVO geben
             Herausgeber                 würde, sondern eine von den jeweiligen nationalen Gesetzgebern zu füllende Öff-
      Deutsche Vereinigung für           nungs- bzw. Konkretisierungsklausel. Aufgrund der in Deutschland bevorstehenden
       Datenschutz e.V. (DVD)
          DVD-Geschäftstelle:
                                         Bundestagswahl im Herbst 2017 stand somit (rückwärts gerechnet) auch fest, dass
    Reuterstraße 157, 53113 Bonn         die nationalen Anpassungen spätestens gegen Ostern 2017 verabschiedet sein müs-
           Tel. 0228-222498              sen, was wiederum bedeutete, dass sie den entsprechenden Gremien bereits gegen
 IBAN: DE94 3705 0198 0019 0021 87       Herbst 2016 vorliegen müssen. Wir gingen somit davon aus, dass die erste Entwurfs-
         Sparkasse KölnBonn              version eines BDSG-Nachfolgegesetzes vor dem Erscheinen des Herbst-Heftes der
  E-Mail: dvd@datenschutzverein.de       DANA vorliegen, veröffentlicht und heiß diskutiert werden würde. Somit beschlos-
     www.datenschutzverein.de
                                         sen wir, diesem Heft das Schwerpunktthema „Beschäftigten­daten­schutz in neuen
         Redaktion (ViSdP)               Gewändern“ zu geben.
      Riko Pieper, Frank Spaeing
     c/o Deutsche Vereinigung für        Es kam jedoch anders: Eine erste Version eines Referentenentwurfs des „Allgemei-
        Datenschutz e.V. (DVD)           nen Bundesdatenschutzgesetzes“ (ABDSG) ist der DVD tatsächlich kurz vor Redak-
    Reuterstraße 157, 53113 Bonn         tionsschluss dieses Heftes in die Hände gefallen und Werner Hülsmann geht darauf
      dvd@datenschutzverein.de           in seinem Artikel „Die Europäische Datenschutzgrundverordnung und der Beschäf-
    Den Inhalt namentlich gekenn-
                                         tigtendatenschutz“ ein.
  zeichneter Artikel verantworten die
          jeweiligen Autoren.            Zusammengefasst kann man feststellen, dass das ABDSG bezüglich des
          Layout und Satz                Beschäftigten­datenschutzes und der in diesem Zusammenhang auch wichtigen Rolle
    Frans Jozef Valenta, 53119 Bonn      des Datenschutz­beauftragten folgende Eckpunkte enthält:
     valenta@datenschutzverein.de        • Der § 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Be-
                 Druck                      schäftigungsverhältnisses) wird in das ABDSG übernommen.
          Onlineprinters GmbH            • Der § 3 Abs. 11 (Definition von Beschäftigten) wird in das ABDSG übernommen.
         Rudolf-Diesel-Straße 10
      91413 Neustadt a. d. Aisch         • Die Pflicht zur Bestellung eines DSB ist aus § 4f BDSG sinngemäß übernommen:
          www.diedruckerei.de               „…soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung
    Tel. +49 (0) 91 61 / 6 20 98 00         personenbezogener Daten beschäftigen“
     Fax +49 (0) 91 61 / 66 29 20
                                         • Der Kündigungsschutz für DSBs wurde aus § 4f BDSG übernommen.
             Bezugspreis
  Einzelheft 12 Euro. Jahresabonne-      Über den seit 2009 existierenden § 32 BDSG wurde von Anfang an viel diskutiert –
  ment 42 Euro (incl. Porto) für vier    auch in den folgenden Artikeln dieses Heftes. Einerseits sollte der Beschäftigtenda-
   Hefte im Kalenderjahr. Für DVD-       tenschutz deutlich umfangreicher geregelt werden als es in diesem einen Paragrafen
  Mitglieder ist der Bezug kostenlos.    der Fall ist und andererseits wird von vielen Datenschützern seit Jahren gefordert,
  Das Jahresabonnement kann zum          den Beschäftigtendatenschutz ganz aus dem BDSG (oder neu ABDSG) zu entfernen
 31. Dezem­ber eines Jahres mit einer
                                         und in einem separaten Arbeitnehmerdatenschutzgesetz zu regeln. Dass es wieder
  Kündigungsfrist von sechs Wochen
 gekündigt werden. Die Kündigung ist     einmal nicht (inzwischen seit ca. acht Legislaturperioden) zu dem auch in vielen
 schriftlich an die DVD-Geschäftsstel-   Wahlkämpfen zugesagten Arbeitnehmerdatenschutzgesetz kommt, ist mehr als är-
          le in Bonn zu richten.         gerlich. Im aktuellen Koalitionsvertrag war es jedenfalls anders vereinbart und wir
               Copyright                 haben derzeit eine große Koalition und eine schwache Opposition – noch dazu eine,
  Die Urheber- und Vervielfältigungs-    die sich kaum gegen ein Beschäftigtendatenschutzgesetz sperren würde.
     rechte liegen bei den Autoren.      Das Argument, das man aus Regierungskreisen zur Beibehaltung (bzw. Übernahme)
   Der Nachdruck ist nach Genehmi-
                                         des § 32 BDSG derzeit hört ist, dass man die Verabschiedung der DSGVO min-
   gung durch die Redaktion bei Zu-
  sendung von zwei Belegexemplaren       destens zwei Jahre früher erwartet hatte. Dann wäre Zeit gewesen, den Beschäftig-
  nicht nur gestattet, sondern durch-    tendatenschutz noch in dieser Legislaturperiode grundlegend neu anzupacken. Aber
  aus erwünscht, wenn auf die DANA       so war dafür halt keine Zeit und das Thema wird (wieder einmal) auf die nächste
      als Quelle hingewiesen wird.       Legislaturperiode verschoben. Wir werden sehen.
              Leserbriefe                Bezüglich der Kriterien zur Bestellung des DSB und dessen Kündigungsschutz hat
   Leserbriefe sind erwünscht. Deren     die Regierung (jedenfalls bis zum geleakten 1. Referentenentwurf) Wort gehalten. Es
   Publikation sowie eventuelle Kür-
      zungen bleiben vorbehalten.
                                         wurde immer wieder von deutschen Regierungsvertretern erklärt, dass man an dem
                                         in Deutschland erfolgreichen Konzept des DSB und dessen Stellung nichts ändern
        Abbildungen, Fotos               wollte. Jetzt müssen wir abwarten, ob dies auch so bleibt, bis das Gesetz verabschie-
           Frans Jozef Valenta
                                         det ist. Viele Datenschutz­beauftragte waren da skeptisch und werden es vermutlich
                                         noch ein paar Monate bleiben.

DANA • Datenschutz Nachrichten 3/2016

                                                                                                                        115
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
Beschäftigtendatenschutz in neuen Gewändern

Interessant ist im Zusammenhang mit dem Kündigungsschutz für DSBs, dass die              1 Für den Beschäftigtendatenschutz gibt
ersten Kommentatoren der DSGVO zu dem Schluss kamen, dass der im BDSG ver-                 es im Art. 88 DSGVO eine Öffnungs-
                                                                                           klausel. Die betrifft jedoch die Rege-
ankerte Kündigungsschutz mit der DSGVO nicht mehr möglich sein wird. Begrün-
                                                                                           lung des Datenschutzes für Beschäftig-
det wurde das damit, dass die DSGVO weder einen dem BDSG vergleichbaren Kün-               te und keine arbeitsrechtlichen Aspekte.
digungsschutz vorsieht noch eine Öffnungsklausel dafür. Auch Regierungsvertreter
                                                                                         2 Die „Bestellung“ nach § 4f BDSG
sahen das noch bis vor wenigen Monaten so und stellten die Datenschutzbeauftrag-           entspricht der „Benennung“ nach
ten bereits darauf ein, dass sich dieser Punkt wohl nicht aus dem BDSG übernehmen          Art. 37 DSGVO und heißt somit
ließe.                                                                                     auch im ABDSG „Benennung“.
Dann fand sich aber doch noch ein Argument, über das sich der Kündigungsschutz
trotz der ansonsten vorrangigen DSGVO noch retten ließe: Es wurde argumentiert,
dass der Kündigungsschutz für Datenschutzbeauftragte ja gar kein Datenschutzthe-         Autorinnen und Auto-
ma wäre, sondern ein Thema des Arbeitsrechts. Darüber sagt die DSGVO jedoch              ren dieser Ausgabe:
nichts aus, so dass man hierfür auch keine Öffnungsklausel bräuchte1. Warten wir ab,
ob sich diese Sichtweise aufrechterhalten lässt.                                         Roland Appel
Falls es tatsächlich so bleibt, ist dieser Kündigungsschutz übrigens nicht nur für be-   Jahrgang 1954, lebt und arbeitet als Unterneh-
nannte2 interne Datenschutzbeauftragte eine gute Nachricht, sondern auch für exter-      mensberater und Publizist in Bornheim / Rhein-
ne. Für extern benannte Datenschützer gilt ein Kündigungsschutz zwar nicht, denn         land, www.roaconsult.com und ist Mitherausge-
                                                                                         ber des „Datenschutz-Führerschein“
sie haben ja keinen Arbeitsvertrag. Dafür haben sie aber ein sehr gutes Argument,        www.datenschutz-lernen.de. Von 1990-2000 war
weshalb sie als Externe unter Vertrag genommen werden sollten. Jedes Ding hat halt       er Landtagsabgeordneter und Fraktionsvorsitzen-
seine zwei Seiten.                                                                       der der Grünen in NRW,
                                                                                         Roland.Appel@RoaConsult.com
Für die meisten Autoren dieses Heftes kommt der (bis Redaktionsschluss noch nicht
öffentlich verfügbare) Referentenentwurf aber zu spät, so dass der Beschäftigtenda-      Monika Heim
tenschutz zunächst ohne Kenntnis der konkreten gesetzlichen Vorgaben aus Deutsch-        Betriebsrätin und Sprecherin des EDV-Aus-
land betrachtet werden musste. Hinzu kommt, dass sich vom Referentenentwurf bis          schusses, Mitglied im Ortsvorstand der IG Metall
                                                                                         Esslingen, monika.heim@beschds.de
zum verabschiedeten Gesetz ja wie schon erwähnt auch noch einiges ändern kann.
Dieses ungeplante Informationsdefizit hatte jedoch den Vorteil, dass die Autoren         Werner Hülsmann
ganz unvoreingenommen ihre Positionen darstellen konnten, was besonders deut-            Vorstandsmitglied in der DVD, Mitglied des
                                                                                         Beirats des Forum InformatikerInnen für Frieden
lich in dem Beitrag der Betriebsrätin und Gewerkschafterin (IG Metall) Monika            und gesellschaftliche Verantwortung (FIfF) e.V.,
Heim „Persönlichkeitsrechte werden nicht am Werkstor abgegeben!“ zum Ausdruck            selbständiger Datenschutzberater, externer Daten-
kommt. Ergänzt wird die Sicht der Arbeitnehmervertretung durch einen Artikel von         schutzbeauftragter und Datenschutzsachverstän-
                                                                                         diger, Ismaning und Berlin,
Lothar Schröder, ver.di- und Aufsichtsratsmitglied (BR) der Telekom, der in seinem       huelsmann@datenschutzverein.de
Artikel auf „Die Statik des Beschäftigtendatenschutzes“ eingeht.
Auch der Artikel von Karin Schuler und Thilo Weichert über „Vorschläge für ein           Dr. Victorine Kossi, LL.M.
modernes Beschäftigtendatenschutzrecht“ zählt eine Reihe konkreter Punkte auf, die       Referentin Kundendatenschutz DB Mobility
                                                                                         Logistics AG, Expertin für internationale Daten-
ein neuer Arbeitnehmerdatenschutz regeln sollte.                                         schutzfragen und französisches Datenschutzrecht,
Der Artikel der amerikanischen Juristin Jayne Rothman „Transatlantic Compliance:         kossi79@yahoo.de
Understanding today’s picture and best practice next steps“ nähert sich dem Beschäf-     Neil Watkins
tigtendatenschutz über ein anderes aktuelles Thema – dem EU–US Privacy Shield.
                                                                                         Head of Security and Compliance bei Epiq Sys-
Ergänzend dazu gibt es auch einen Artikel einer betrieblichen Datenschützerin aus        tems in Kansas City (Missouri, U.S.). Kontakt
Deutschland, Frau Dr. Kossi, mit dem Titel: „Der Weg zum EU-US Privacy Shield“.          über die DVD-Geschäftsstelle
Beide Sichten auf den EU-US Privacy Shield sind aus Unternehmenssicht, zusätz-           Lothar Schröder
lich stellt Frank Spaeing in seinem Artikel die Position der DVD zum EU-US Pri-
                                                                                         ver.di- und Aufsichtsratsmitglied (BR) der Tele-
vacy Shield dar.
                                                                                         kom, lothar.schroeder@verdi.de
Ein ganz anderes – jedoch genauso aktuelles – Thema, das in diesem Heft mit zwei
Beiträgen vertreten ist, betrifft das „Spiel“ Pokémon GO. Im ersten Beitrag stellt       Karin Schuler
Frank Spaeing Pokémon GO in seinen vielfältigen Facetten dar. Im sich anschlie-          Informatikerin, freiberufliche Beraterin für Daten-
                                                                                         schutz, IT-Sicherheit und Mitbestimmung, aner-
ßenden Artikel mit dem Titel „Die informationelle Selbstenthauptung“ von Roland          kannte Sachverständige für IT-Produkte,
Appel wird klar, warum das Wort „Spiel“ in diesem Zusammenhang in Anführungs-            schuler@netzwerk-datenschutzexpertise.de
zeichen geschrieben werden muss.
                                                                                         Frank Spaeing
Wie immer schließen sich diesen Beiträgen nationale, internationale und technische
                                                                                         externer Datenschutzbeauftragter, Vorstandsmit-
Datenschutznachrichten an. Danach finden Sie Meldungen zu aktueller Rechtspre-           glied in der DVD, spaeing@datenschutzverein.de
chung und abschließend einige Buchbesprechungen.
                                                                                         Dr. Thilo Weichert
Eine anregende und informative Lektüre wünschen Ihnen                                    Ehemaliger Leiter des Unabhängigen Landeszen-
                                                                                         trums für Datenschutz Schleswig Holstein, Kiel,
Riko Pieper und Frank Spaeing                                                            Vorstandsmitgied in der DVD,
                                                                                         weichert@netzwerk-datenschutzexpertise.de

                                                                                                 DANA • Datenschutz Nachrichten 3/2016
116
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
Beschäftigtendatenschutz in neuen Gewändern

Werner Hülsmann

Die Europäische Datenschutzgrundverordnung und
der Beschäftigtendatenschutz

Beschäftigtendatenschutz in der             spruchnahme der mit der Beschäftigung        von durch Rechtsvorschriften oder durch
EU-DSGVO                                    zusammenhängenden individuellen oder         Kollektivvereinbarungen       festgelegten
                                            kollektiven Rechte und Leistungen und        Pflichten, des Managements, der Pla-
  Die Europäischen Datenschutzgrund-        für Zwecke der Beendigung des Be-            nung und der Organisation der Arbeit,
verordnung (EU-DSGVO) enthält be-           schäftigungsverhältnisses vorsehen.          der Gleichheit und Diversität am Arbeits-
dauerlicherweise fast keine direkt wir-        (2) Diese Vorschriften umfassen ange-     platz, der Gesundheit und Sicherheit am
kenden Regelungen zum Beschäftig-           messene und besondere Maßnahmen zur          Arbeitsplatz sowie für Zwecke der Inan-
tendatenschutz, sondern in erster Linie     Wahrung der menschlichen Würde, der          spruchnahme der mit der Beschäftigung
in Artikel 88 nur eine Konkretisierungs-    berechtigten Interessen und der Grund-       zusammenhängenden individuellen oder
klausel, die es den EU-Mitgliedstaaten      rechte der betroffenen Person, insbeson-     kollektiven Rechte und Leistungen und
ermöglicht durch gesetzgeberische           dere im Hinblick auf die Transparenz         für Zwecke der Beendigung des Beschäf-
Maßnahme und Kollektivvereinbarun-          der Verarbeitung, die Übermittlung per-      tigungsverhältnisses.“
gen den Beschäftigtendatenschutz zu         sonenbezogener Daten innerhalb einer            Die Beachtung dieses Rahmens sollte
regeln und die so Rahmenbedingen vor-       Unternehmensgruppe oder einer Gruppe         dem nationalen Gesetzgeber leicht fallen.
gibt. Im korrespondieren Erwägungs-         von Unternehmen, die eine gemeinsame         Bei der Aushandlung von Kollektivver-
grund 155 werden Betriebsvereinbarun-       Wirtschaftstätigkeit ausüben, und die        einbarungen sieht es dagegen vermutlich
gen als Beispiel für Kollektivvereinba-     Überwachungssysteme am Arbeitsplatz.         etwas schwieriger aus, da bisher bei den
rungen explizit genannt. Auch in den           (3) Jeder Mitgliedstaat teilt der Kom-    datenschutzrechtlichen Bestandteilen von
Begriffsbestimmungen des Artikel 4          mission bis zum 25. Mai 2018 die Rechts-     Betriebsvereinbarungen kein vorgegebe-
EU-DSGVO findet sich keine Definition       vorschriften, die er aufgrund von Absatz 1   ner konkreter Rahmen zu beachten war.
des Begriffs Beschäftigte, obwohl dieser    erlässt, sowie unverzüglich alle späteren    Die Regelungen des BDSG enthalten in
Begriff in der EU-DSGVO doch mehr-          Änderungen dieser Vorschriften mit.“         diesem Bezug nur abstrakte Formulie-
mals auftaucht.                                Auch wenn Absatz 3 Anderes vermu-         rungen. Zwar gibt auch das allgemeine
                                            ten lässt: Es ist auch nach dem 25. Mai      Persönlichkeitsrecht der Beschäftigten
                                            2018 den Mitgliedstaaten noch mög-           und das Recht auf informationelle Selbst-
„Artikel 88 Datenverarbeitung im            lich, nationale Rechtsvorschriften zum       bestimmung den Rahmen der möglichen
Beschäftigungskontext [der EU-              Beschäftigtendatenschutz zu erlassen.        Regelungen vor, in der Praxis erfolgte
DSGVO]                                      Auch diese müssen dann der Kommissi-         aber auch hier kein direkter Abgleich mit
                                            on unverzüglich mitgeteilt werden.           diesen abstrakten Vorgaben.
  (1) Die Mitgliedstaaten können durch
Rechtsvorschriften oder durch Kol-          „Erwägungsgrund 155 [der                     Planungen der Bundesregierung
lektivvereinbarungen        spezifischere   EU-DSGVO]                                    zur nationalen Gesetzgebung
Vorschriften zur Gewährleistung des
Schutzes der Rechte und Freiheiten             Im Recht der Mitgliedstaaten oder in        Die Bundesregierung plant – laut
hinsichtlich der Verarbeitung personen-     Kollektivvereinbarungen       (einschließ-   übereinstimmenden Aussagen des BMI
bezogener Beschäftigtendaten im Be-         lich ’Betriebsvereinbarungen’) können        und des zuständigen Mitarbeiters der
schäftigungskontext, insbesondere für       spezifische Vorschriften für die Verar-      BfDI den § 32 BDSG in die Zeit nach
Zwecke der Einstellung, der Erfüllung       beitung personenbezogener Beschäf-           der Ablösung des jetzigen BDSG zu
des Arbeitsvertrags einschließlich der      tigtendaten im Beschäftigungskontext         „retten“ und somit zumindest diese mi-
Erfüllung von durch Rechtsvorschrif-        vorgesehen werden, und zwar insbeson-        nimalistische Regelung zum Beschäftig-
ten oder durch Kollektivvereinbarungen      dere Vorschriften über die Bedingungen,      tendatenschutz weiter gelten zu lassen:
festgelegten Pflichten, des Manage-         unter denen personenbezogene Daten im
ments, der Planung und der Organisation     Beschäftigungskontext auf der Grund-         „§ 32 Datenerhebung, -verarbeitung
der Arbeit, der Gleichheit und Diversität   lage der Einwilligung des Beschäftig-        und -nutzung für Zwecke des Be-
am Arbeitsplatz, der Gesundheit und         ten verarbeitet werden dürfen, über die      schäftigungsverhältnisses
Sicherheit am Arbeitsplatz, des Schut-      Verarbeitung dieser Daten für Zwecke
zes des Eigentums der Arbeitgeber oder      der Einstellung, der Erfüllung des Ar-         (1) Personenbezogene Daten eines Be-
der Kunden sowie für Zwecke der Inan-       beitsvertrags einschließlich der Erfüllung   schäftigten dürfen für Zwecke des Be-

DANA • Datenschutz Nachrichten 3/2016
                                                                                                                             117
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
Beschäftigtendatenschutz in neuen Gewändern

schäftigungsverhältnisses erhoben, verar-   aus und ist längst überfällig. In den letz-   • die Transparenz der Verarbeitung,
beitet oder genutzt werden, wenn dies für   ten Jahren hat die Bundesregierung die        • die Übermittlung personenbezogener
die Entscheidung über die Begründung        bevorstehende EU-DSGVO und eine                 Daten innerhalb einer Unternehmens-
eines Beschäftigungsverhältnisses oder      eventuell damit einhergehende EU-wei-           gruppe oder einer Gruppe von Unter-
nach Begründung des Beschäftigungs-         te einheitliche Regelungen des Beschäf-         nehmen, die eine gemeinsame Wirt-
verhältnisses für dessen Durchführung       tigtendatenschutzes als Begründung für          schaftstätigkeit ausüben, und
oder Beendigung erforderlich ist. Zur       ihr Nichtstun in Sachen Beschäftigten-        • die Überwachungssysteme am Ar-
Aufdeckung von Straftaten dürfen perso-     datenschutz angegeben. Diese Entschul-          beitsplatz
nenbezogene Daten eines Beschäftigten       digung gilt seit Ende 2015 nicht mehr.        im Blick haben.
nur dann erhoben, verarbeitet oder ge-      Nichtsdestotrotz ist bislang kein Gesetz-
nutzt werden, wenn zu dokumentierende       entwurf zum Beschäftigtendatenschutz
                                                                                          Einzelne verstreute Regelungen
tatsächliche Anhaltspunkte den Verdacht     seitens der Bundesregierung vorgelegt
begründen, dass der Betroffene im Be-       worden.                                       zum Umgang mit Beschäftigten-
schäftigungsverhältnis eine Straftat be-                                                  daten in der EU-DSGVO
gangen hat, die Erhebung, Verarbeitung      Tarif- und Betriebsvereinbarun-
oder Nutzung zur Aufdeckung erforder-       gen zum Beschäftigtendaten-                   Übermittlung von Beschäftigtendaten
lich ist und das schutzwürdige Interesse    schutz                                        innerhalb von Unternehmensgrup-
des Beschäftigten an dem Ausschluss                                                       pen.
der Erhebung, Verarbeitung oder Nut-           Bereits bisher wurden „Kollektivverein-
zung nicht überwiegt, insbesondere Art      barungen“, also Tarif- und Betriebsverein-       Im Erwägungsgrund 48 wird die Über-
und Ausmaß im Hinblick auf den Anlass       barungen, die Regelungen zum Umgang           mittlung von Beschäftigtendaten „inner-
nicht unverhältnismäßig sind.               mit Beschäftigtendaten enthalten, als „an-    halb der Unternehmensgruppe für interne
   (2) (…)                                  dere Rechtsvorschriften“ im Sinne des § 4     Verwaltungszwecke“ ausdrücklich als
   (3) Die Beteiligungsrechte der Inte-     Absatz 1 BDSG angesehen. Mit diesen           mögliches berechtigtes Interesse aufge-
ressenvertretungen der Beschäftigten        Vereinbarungen konnte und wurde für de-       führt, so dass eine solche Übermittlung
bleiben unberührt.“                         ren Geltungsbereich der Beschäftigtenda-      gemäß Artikel 6 Absatz 1 Buchstabe f
   In dem der Redaktion vorliegenden        tenschutz in den einzelnen Unternehmen        EU-DSGVO zulässig ist, „sofern nicht die
„Entwurf eines Gesetzes zur Anpassung       oder Unternehmensgruppen geregelt.            Interessen oder Grundrechte und Grund-
des Datenschutzrechts an die Daten-         Durch die Regelung des Artikel 88 Absatz 1    freiheiten der betroffenen Person, die den
schutz-Grundverordnung und zur Um-          bleibt diese Möglichkeit erhalten. Dabei      Schutz personenbezogener Daten erfor-
setzung der Richtlinie (EU) 2016/680        gibt auch für diese Kollektivvereinbarun-     dern, überwiegen“.
(Datenschutz-Anpassungs- und -Um-           gen der Absatz 2 des Artikel 88 den Rah-         „Verantwortliche, die Teil einer Un-
setzungsgesetz EU – DSAnpUG-EU)“            men für derartige Vereinbarungen vor.         ternehmensgruppe oder einer Gruppe
mit Stand von Anfang August finden             Daher sind die in den bereits bestehen-    von Einrichtungen sind, die einer zent-
sich diese Passagen im darin als Artikel    den Betriebs- und Tarifvereinbarungen         ralen Stelle zugeordnet sind können ein
1 enthaltenen „Allgemeinen Bundesda-        enthaltenen Regelungen dahingehend            berechtigtes Interesse haben, personen-
tenschutzgesetz – ABDSG“ wieder.            zu überprüfen, ob sie diesen Anforde-         bezogene Daten innerhalb der Unterneh-
   Da in der EU-DSGVO gemäß Artikel 4       rungen genügen, damit sie nach dem 25.        mensgruppe für interne Verwaltungs-
Absatz 2 nicht mehr zwischen „mit oder      Mai 2018 Bestand haben. Daher sollte          zwecke, einschließlich der Verarbeitung
ohne Hilfe automatisierter Verfahren“       in den Betrieben auf Arbeitgeber- wie         personenbezogener Daten von Kunden
durchgeführter Datenverarbeitung un-        auch auf Betriebsratsseite damit begon-       und Beschäftigten, zu übermitteln. Die
terschieden wird, wäre der Absatz 2         nen werden, die bestehenden Betriebs-         Grundprinzipien für die Übermittlung per-
eigentlich obsolet, findet sich aber im     vereinbarungen daraufhin zu überprüfen,       sonenbezogener Daten innerhalb von Un-
Entwurf wieder.                             ob sie den Anforderungen aus Artikel 88       ternehmensgruppen an ein Unternehmen
   Die in den § 33 ABDSG-E übernom-         Absatz 2 EU-DSGVO genügen. Be-                in einem Drittland bleiben unberührt.“
menen Formulierungen des § 32 BDSG          triebsvereinbarungen, deren datenschutz-      (Erwägungsgrund 48 der EU-DSGVO)
– ergänzt um die Begriffsbestimmung         relevante Bestandteile diesen Anforde-           In der Praxis wurde und wird in Unter-
aus § 3 Absatz 11 BDSG – erfüllen zwar      rungen nicht genügen, sollten rechtzeitig     nehmen, bei denen kein Betriebsrat exis-
die Anforderungen von Artikel 88 EU-        angepasst werden.                             tiert und somit auch keine Betriebsver-
DSGVO Absatz 2, nicht aber die An-             Die datenschutzrelevanten Bestand-         einbarung vereinbart werden kann, die als
forderungen an ein Beschäftigtendaten-      teile der Betriebsvereinbarungen müs-         „andere Rechtsvorschrift“ gelten würde,
schutzgesetz, das diesen Namen verdie-      sen angemessene und besondere Maß-            bislang auch schon die Interessenabwä-
nen würde. Es ist zwar besser als nichts,   nahmen zur Wahrung                            gung gemäß § 28 Absatz 1 Satz 1 Ziffer
dass die Absätze 1 und 3 des bisherigen     • der menschlichen Würde,                     2 BDSG als Rechtfertigungsgrundlage für
§ 32 BDSG zum Beschäftigtendaten-           • der berechtigten Interessen und             konzerninterne Datenübermittlungen von
schutz beibehalten werden, eine wirksa-     • der Grundrechte der betroffenen Per-        Beschäftigtendaten für unterschiedliche
me und umfassende Regelung zum Be-             son,                                       Verwaltungszwecke herangezogen. Abge-
schäftigtendatenschutz sähe aber anders     enthalten und dabei insbesondere              sehen davon, dass die Übermittlung von

                                                                                                DANA • Datenschutz Nachrichten 3/2016
118
Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
Beschäftigtendatenschutz in neuen Gewändern

Beschäftigtendaten zu internen Verwal-       haltungspflichten unterliegen, die sich aus   es in der Praxis keine wesentlichen Ände-
tungszwecken innerhalb einer Unterneh-       EU- oder nationaler Gesetzgebung sowie        rungen geben wird.
mensgruppen in diesem Erwägungsgrund         berufsständischer Verpflichtungen erge-
ausdrücklich als mögliches berechtigtes      ben können. Diese Einschränkung ent-          Fazit
Interesse angegeben ist, ändert sich ver-    spricht der Regelung aus § 28 Absatz 7
mutlich nichts in der praktischen Umset-     BDSG. Im BDSG ist allerdings eine Ver-          Nach wie vor ist der nationale Gesetz-
zung.                                        wendung von Gesundheitsdaten zu Zwe-          geber gefordert umfassende gesetzliche
                                             cken der Arbeitsmedizin und zur Beurtei-      Regelungen zum Beschäftigtendaten-
Beurteilung der Arbeitsfähigkeit             lung der Arbeitsfähigkeit nicht ausdrück-     schutz zu erlassen. Er kann sich nun nicht
des Beschäftigten                            lich genannt. Zumindest die Nutzung von       mehr auf anstehende EU-Regelungen
                                             Gesundheitsdaten für die Arbeitsunfähig-      berufen. Arbeitgeber sowie Betriebs- und
  In Artikel 9 Absatz 2 Buchstabe h EU-      keitsbescheinigung ist bereichsspezifisch     Personalräte sind gefordert die bestehen-
DSGVO wird die Verarbeitung von be-          im § 5 des Gesetzes über die Zahlung          den Betriebs- und Dienstvereinbarungen –
sonderen Datenarten, zu denen u.a. die       des Arbeitsentgelts an Feiertagen und         insbesondere deren datenschutzrelevante
Gesundheitsdaten gehören, zu Zwecken         im Krankheitsfall (Entgeltfortzahlungs-       Inhalte – auf ihren Bestand nach dem 25.
„der Arbeitsmedizin, für die Beurteilung     gesetz)1 geregelt. Die Arbeitsmedizin ist     Mai 2018 zu überprüfen und gegebenen-
der Arbeitsfähigkeit des Beschäftigten“      ebenfalls bereichsspezifisch im Gesetz        falls anzupassen.
ausdrücklich erlaubt. Die Daten dürfen da-   über Betriebsärzte, Sicherheitsingenieure
bei nur von Personen verarbeitet werden,     und andere Fachkräfte für Arbeitssicher-      1 https://www.gesetze-im-internet.
die einem Berufsgeheimnis (wie z.B. der      heit (Arbeitssicherheitsgesetz, ASIG2)          de/entgfg/__5.html
ärztlichen Schweigepflicht) oder Geheim-     geregelt. Von daher ist zu erwarten, dass     2 https://www.gesetze-im-internet.
                                                                                             de/asig/index.html

Karin Schuler, Thilo Weichert

Vorschläge für ein modernes
Beschäftigtendatenschutzrecht

  Mit Art. 88 der Europäischen Daten-        Aufgabe, die allgemeinen Prinzipien der       Das BDSG wäre zudem mit einem eige-
schutz-Grundverordnung (DSGVO)               DSGVO in Bezug auf die Verarbeitung           nen Kapitel, so wie es der Regierungs-
hat der europäische Gesetzgeber fest-        von Beschäftigtendaten zu spezifizie-         entwurf 2010 mit den §§ 32 bis 32l vor-
gelegt, dass die Mitgliedstaaten der Eu-     ren. Im Folgenden werden die hierbei          sah, überfrachtet worden, was nicht zu
ropäischen Union (EU) durch Rechts-          relevanten Regelungsthemen sowie die          einer erhöhten Klarheit beigetragen hät-
vorschriften oder durch Kollektivver-        dabei zu verfolgenden Erwägungen und          te. Um den konkretisierenden Charakter
einbarungen spezifische Datenschutz-         Inhalte dargestellt.                          sowohl in Bezug auf das allgemeine
vorschriften im Beschäftigtenkontext                                                       Datenschutzrecht als auch auf das Ar-
regeln können. Damit stellt sich für den     1 Regelungsort                                beitsrecht herauszustreichen, empfiehlt
deutschen Gesetzgeber verschärft die                                                       sich der Erlass eines eigenständigen
Herausforderung, endlich ein nationa-           Als Standort für ein nationales Be-        Beschäftigtendatenschutzgesetzes. Eine
les umfassendes Beschäftigtendaten-          schäftigtendatenschutzrecht wurde von         Regelung des Beschäftigtendatenschut-
schutzrecht zu schaffen. Entsprechen-        der Bundesregierung bisher das BDSG           zes in einem das BDSG ablösenden AB-
de Versuche waren seit mehr als drei         gewählt. Dies basierte auf der Über-          DSG, das ab 2018 in Kraft treten sollte,
Jahrzehnten immer wieder gescheitert.        legung, dass eine Konkretisierung der         verbietet sich ebenso, weil ein solches
Auch der Entwurf eines Allgemeinen           allgemeinen BDSG-Regeln für das Ar-           Ausführungsgesetz vorrangig eine ge-
Bundesdatenschutzgesetzes (ABDSG),           beitsverhältnis erfolgt. Diese Annahme        nerell Ergänzungsfunktion zur DSGVO
welches das bisherige Bundesdaten-           ist unzutreffend. Wir haben es hier mit       haben wird. Gemäß den Vorgaben des
schutzgesetz (BDSG) als Umsetzungs-          einer Schnittstelle zu tun, die in glei-      Art. 88 DSGVO zum Beschäftigtenda-
gesetz der DSGVO ablösen soll, sieht         chem Maße Datenschutzrecht und Ar-            tenschutz ist eine sehr weitgehende Re-
nur eine inhaltliche Übernahme des           beitsrecht ist. Die dort jeweils bestehen-    gelung nötig, bei der nur in bestimmten
bisherigen § 32 BDSG in einem § 33           den allgemeinen Regelungen müssen             prozessualen Fragen auf die allgemei-
ABDSG vor. Nunmehr stellt sich die           beide vollständig anwendbar bleiben.          nen Regelungen der DSGVO wie einem

DANA • Datenschutz Nachrichten 3/2016
                                                                                                                                119
Beschäftigtendatenschutz in neuen Gewändern

noch zu erlassenden nationalen Ausfüh-       schäftigungsspezifischen Präzisierung       zur IKT finden sich in § 87 Abs. 1 Nr. 7
rungsgesetz (künftig also das ABDSG)         der allgemeinen gesetzlichen Regelun-       (Gesundheitsschutz) und § 94 BetrVG
zurückgegriffen werden kann und muss.        gen führt. So kann es naheliegend sein,     (Personalfragebögen).
   Soweit dies möglich und sinnvoll ist,     branchenspezifische Konkretisierungen         Soweit auf nationaler oder europä-
sollten in diesem Gesetz zu konkreten        vorzunehmen. Denkbar sind aber auch         ischer Ebene eine datenschutzrechtli-
Fragestellungen, Anwendungen und             branchenübergreifende Regelungen zu         che Zertifizierung von IKT-Produkten
Zwecken gegenüber dem allgemeinen            bestimmten Fragestellungen, wie etwa        und -Verfahren vorgesehen ist, so die
Datenschutzrecht (bisher BDSG, DS-           zum Einsatz von Videotechnik oder zur       Artt. 42, 43 DSGVO, sollte ihre Auf-
GVO) spezielle Festlegungen vorge-           digitalen Zeiterfassung.                    nahme in Kollektivvereinbarungen ge-
nommen werden. Dabei sind sämtliche             Regulatorische Vorbilder für die über-   fördert werden, verbunden mit einer Pri-
Regelungsansätze aus den Vorschlägen         betrieblichen Kollektivvereinbarungen       vilegierung von zertifizierten Produkten
in der 17. Legislaturperiode des deut-       können neben den Regelungen des             im Rahmen der Einigungsverfahren auf
schen Bundestags auf den Prüfstand zu        BetrVG der § 38a BDSG und der Art. 40       überbetrieblicher wie auf Betriebsebene
stellen, die z. B. zu folgenden Aspekten     DSGVO sein, welche die Anerkennung          (vgl. jetzt schon § 9a BDSG).
Aussagen enthalten: Bewerbung, Ein-          von Verhaltensregeln durch eine Auf-          Einer Schnittstellenregelung bedarf es
stellung, Gesundheitsuntersuchung, Ge-       sichtsbehörde vorsehen. Anstelle von        auch in Bezug auf die branchenspezifi-
fahrenabwehr, Strafverfolgung, Video-        Verbänden verarbeitender Stellen soll-      schen Verhaltensregeln, die durch die
überwachung, Ortung/Tracking, Bio-           ten die Kollektivvereinbarungen in pa-      Datenschutzaufsicht genehmigt werden
metrieverfahren, Nutzung von Telekom-        ritätisch von Arbeitgebern und Arbeit-      können (§ 38a BDSG, Art. 27 EG-DSRl,
munikations- und Telemediendiensten          nehmern besetzten Gremien erarbeitet        Artt. 40, 41 DSGVO). Diese kann z. B.
(auch soziale Netzwerke) für dienstliche     werden, die neu zu schaffen wären.          darin bestehen, dass die Arbeitnehmer-
und für private Zwecke, Heimarbeit,          Auf der Beschäftigtenseite kommt da-        seite in den Genehmigungsprozess der
Konzerndatenverarbeitung. Auf spezifi-       bei den Gewerkschaften eine wichtige        Verhaltensregeln einbezogen wird.
sche Regelungen, die keine sinnvollen        Funktion zu.                                  Unabhängig von den oben genannten
und wirksamen Konkretisierungen all-            Druckmittel zur Veranlassung von         Klagemöglichkeiten im Rahmen über-
gemeiner Vorschriften vornehmen, ist         Verhandlungen und Vereinbarungen            betrieblicher und betrieblicher Konflikte
konsequent zu verzichten.                    können gesetzlich geregelte, aufschie-      sollte auf betrieblicher Ebene für die Be-
   Die gegenüber dem nationalen Gesetz       bende Vetos sein. Geregelt werden kann      schäftigtenvertretung ein arbeitsrechtli-
oder der DSGVO zu konkretisierenden          auch, dass anlässlich eines konkreten       ches Klagerecht gegen die Einführung
Regelungsgegenstände können alles im         Konfliktes die Pflicht auferlegt wird,      datenschutzrechtlich        unzulässiger
Beschäftigtendatenschutzrecht erfassen:      eine externe, zu veröffentlichende Ex-      IKT-­Verfahren vorgesehen werden.
das materielle Recht ebenso wie die Ver-     pertise einzuholen. Möglich ist die Re-     Dies wäre eine sinnvolle normen- und
pflichtung zu prozeduralen oder tech-        gelung der Pflicht, eine Aufsichtsbehör-    verfahrenskontrollierende Ergänzung zu
nisch-organisatorischen Vorkehrungen.        de oder einen sonstigen unabhängigen        Art. 80 DSGVO, der u. a. vorsieht, dass
Es sollte darauf geachtet werden, dass       Moderator mit besonderer fachlicher         in individualrechtlichen Datenschutz-
diese Regelungen so konkret wie mög-         Qualifikation als Schlichter hinzuzie-      konflikten Betriebsräte oder Gewerk-
lich und so offen wie nötig sind. Ziel       hen. Vorbildfunktion könnte das Modell      schaften in Vertretung der Betroffenen
sollte eine größtmögliche Rechtssicher-      der Einigungsstelle gemäß § 76 BetrVG       datenschutzrechtliche Gerichtsverfah-
heit sein, ohne zugleich die sinnvollen      haben. Initiator für das Verhandeln von     ren durchführen können. Offen ist, ob es
Entwicklungsmöglichkeiten der Infor-         Vereinbarungen könnte der unten er-         zusätzlich zu der gerichtlichen Entschei-
mations- und Kommunikationstechnik           wähnte Datenschutzbeirat sein (s. u. 4).    dung über Streitigkeiten im Rahmen von
(IKT) zu beschneiden.                        Indirekt als Auslöser für Verhandlungen     überbetrieblichen Vereinbarungen für
                                             und Vereinbarungen können Medienbe-         Gewerkschaften einer Art Verbandskla-
2 Kollektivrechte                            richte und Gerichtsurteile wirken.          gerecht bedarf. Mit einem solchen Kla-
                                                Parallel dazu sollte die Regelung zur    gerecht könnte auf Seiten der Arbeitge-
  Neu eingeführt werden sollte die           Mitbestimmung auf betrieblicher             ber die Bereitschaft gesteigert werden,
Konkretisierung gesetzlicher Regelun-        Ebene präzisiert werden. Derzeit sieht      den Abschluss von Vereinbarungen zu
gen auf überbetrieblicher Ebene. Die         z. B. § 87 Abs. 1 Nr. 6 BetrVG bei der      suchen.
hierbei zu treffenden Kollektivvereinba-     „Einführung und Anwendung von tech-           Die Regelung des § 8 Abs. 3 BetrVG,
rungen können durch den deutschen Ge-        nischen Einrichtungen, die dazu be-         wonach der Betriebsrat „bei der Durch-
setzgeber nur für die Arbeitsverhältnisse    stimmt sind, das Verhalten und die Leis-    führung seiner Aufgaben nach nähe-
in Deutschland vorgesehen werden. Im         tung der Arbeitnehmer zu überwachen,“       rer Vereinbarung mit dem Arbeitgeber
Interesse möglichst weitgehender euro-       eine Mitbestimmungspflicht nicht nur        Sachverständige hinzuziehen (kann),
päischer Einheitlichkeit sollte zumindest    bei einer gezielten Arbeitnehmerüber-       soweit dies zur ordnungsgemäßen Erfül-
mittelfristig auch auf europäischer Ebe-     wachung vor, sondern auch, wenn eine        lung seiner Aufgaben erforderlich ist“,
ne ein solcher Regelungsansatz verfolgt      technische Einrichtung Verhaltens- und      sollte im Hinblick auf die datenschutz-
werden. Gegenstand solcher Vereinba-         Leistungskontrollen ermöglicht. Weitere     technische und -rechtliche Bewertung
rungen sollte alles sein, was zu einer be-   Mitbestimmungstatbestände mit Bezug         präzisiert werden.

                                                                                               DANA • Datenschutz Nachrichten 3/2016
120
Beschäftigtendatenschutz in neuen Gewändern

  Die Rolle der Datenschutzaufsichts-           konkretisierung zunächst mit Pseudony-          Bisher erfolgen öffentlich geförderte
behörden (§ 38 BDSG, Artt. 51 ff. DS-           men und Gruppenaggregaten gearbeitet         Forschungs- und Entwicklungsan-
GVO) sollte bereichsspezifischer ausge-         werden muss.                                 strengungen im Bereich des Daten-
staltet werden. Es ist vorstellbar, dass die-      Erwogen werden sollte, inwieweit          schutzes zumeist jenseits des betrieb-
sen als neutralen Stellen eine Mediato-         eine Regelung zur Benutzung von Be-          lichen Anwendungsfeldes. Dies muss
renfunktion zwischen Arbeitgebern und           schäftigten-Pseudonymen in der Au-           sich angesichts der neuen Herausfor-
Arbeitnehmern zugewiesen wird. Das              ßenkommunikation von Beschäftigten           derungen durch Anwendungen in den
bestehende Recht des Betriebsrats, die          möglich und sinnvoll ist.                    Bereichen Industrie 4.0 und Big Data
Aufsichtsbehörde einzuschalten, ohne               Zum Recht über die Personalakte           ändern. Bisher laufen Forschungs- und
sich Illoyalität vorwerfen lassen zu müs-       sollte klargestellt werden, welchen In-      Entwicklungsarbeiten auf Initiative von
sen, sollte explizit normiert werden. Die       halt eine Personalakte haben darf, welche    IKT-Anbietern und Arbeitgebern ins-
Aufsichtsbehörden benötigen für derarti-        Aufbewahrungsfristen gelten, wer Zu-         besondere darauf hinaus, die Beschäf-
ge Fragen das Personal und die sonstigen        griff darauf hat, unter welchen Vorausset-   tigtenüberwachung zu perfektionieren.
Ressourcen, um innerhalb kürzester Zeit         zungen Aktenbestandteile (über wahre,        Dem sind Anstrengungen für ein Mehr
sprech- und antwortfähig sein.                  nachteilige Umstände) zu löschen sind,       an Persönlichkeitsschutz entgegenzuset-
  Hinsichtlich der Bestellung und Ab-           und welche Anforderungen an die digita-      zen, die staatlich gefördert werden.
berufung von betrieblichen Daten-               le Aktenführung zu stellen sind.
schutzbeauftragten (vgl. Artt. 37 ff.              Zum Whistleblowing bedarf es nach         5 Abschließende Bemerkungen
DSGVO) sollte der Beschäftigtenver-             dem Urteil des Europäischen Gerichtsho-
tretung ein Mitbestimmungsrecht ein-            fes für Menschenrechte vom 21.07.2011           IKT hat große positive Auswirkungen
geräumt werden.                                 einer spezifischen Regelung. Dabei kann      auf die Arbeitswelt. Sie führt zu Produk-
                                                auf eine Vielzahl von schon vorhandenen      tivitätssteigerungen und kann, sinnvoll
3 Gebote und Verbote                            Vorschlägen zurückgegriffen werden.          eingesetzt, dazu beitragen, den Arbeit-
                                                   Aus Sicht der Arbeitnehmer kann eine      nehmern ihre Tätigkeit zu erleichtern, sie
   Materiell-rechtlich sollte sich das          Regelung, welche im Beschäftigten-           zu qualifizieren und ihren Arbeitsplatz
Beschäftigtendatenschutzrecht auf As-           bereich eine Konzernprivilegierung           zu sichern. Der Einsatz von IKT kann zu
pekte beschränken, in denen ein wesent-         vorsieht, die an die DSGVO anknüpft          einer erhöhten Zufriedenheit bei den Be-
licher zusätzlicher Regelungsgehalt zu          (Art. 4 Nr. 19) vorteilhaft und sinnvoll     schäftigten führen, etwa, wenn Kreativität
den allgemeinen Vorschriften erforder-          sein, wenn die Öffnung von Beschäf-          gefördert wird, die Arbeitsleistungen bes-
lich und möglich ist. Dies gilt u. a. für       tigtendaten gegenüber mehreren verant-       ser sichtbar werden oder spielerische und
folgende Themen:                                wortlichen Stellen im Konzern durch Si-      Team-Elemente bei der Arbeit einfließen.
- zusätzliche Freiwilligkeitsanforderun-        cherungen kompensiert wird und klare         Arbeitnehmervertretungen sollten deshalb
   gen bei Einwilligungen,                      Verantwortlichkeiten festgelegt werden.      die Einführung derartiger Systeme grund-
- Benennung der Fälle, in denen eine                                                         sätzlich fördern und fordern.
   Einwilligung als Rechtsgrundlage für         4 Politisch bestimmbare Rahmenbe-               Es sollte jedoch allen Seiten, auch den
   die Datenerhebung, -verarbeitung und         dingungen                                    Arbeitnehmervertretungen und den Be-
   -nutzung ausgeschlossen wird,                                                             schäftigten, vermittelt werden, dass die
- Ausnahmeregelung von einer grund-                Eine adäquate Gesetzgebung ist die        Attraktivität von IKT-Systemen eine per-
   sätzlichen Verpflichtung zur Trennung        Grundlage für eine Verbesserung des          sönlichkeitsgefährdende Kehrseite hat.
   zwischen privater und dienstlicher           Datenschutzes in einer sich immer mehr       Arbeitgeber betonen gerne die mit IKT
   Datenverarbeitung,                           digitalisierenden Arbeitswelt. Das Heil      verbundenen Verbesserungen für ihre
- die Regelung der privaten Nutzung             des Persönlichkeitsschutzes für Beschäf-     Beschäftigten, verschweigen jedoch die
   von dienstlichen Telekommunikati-            tigte kann nicht ausschließlich in der       damit verbundenen zusätzlichen Überwa-
   onseinrichtungen,                            Gesetzgebung liegen. Vielmehr müssen         chungs- und Kontrollmöglichkeiten. Diese
- Nutzungsverbote von Kundendaten               in den Betrieben, Branchenverbänden,         Möglichkeiten sind jedoch oft der eigent-
   von Mitarbeitenden für Personalzwe-          Gewerkschaften, Beschäftigtenvertre-         liche Grund für die Einführung bestimm-
   cke,                                         tungen, Aufsichtsbehörden und bei den        ter Systeme. Ein solcher Einsatz führt zu
- Verbot von Erhebung, Verarbeitung             Anbietern von IKT-Lösungen Konzepte          einer schleichenden Entmündigung der
   und Nutzung von Beschäftigtenda-             für einen datenschutzkonformen IKT-          Betroffenen. Diese ist nicht nur persönlich
   ten durch den Arbeitgeber, die aus           Einsatz am Arbeitsplatz erforscht, dis-      eine Gefahr für die Betroffenen, sondern
   betriebsärztlichen    Untersuchungen         kutiert, entwickelt und implementiert        auch für jede demokratische Gesellschaft,
   stammen.                                     werden. Hierfür kann als Instrument der      deren Grundlage mündige, meinungs-
                                                politischen Planung die Einrichtung ei-      freudige und kreative Menschen sind.
  Hinsichtlich der Abklärung von Ver-           nes Datenschutzbeirats im Bundesar-          Der Persönlichkeitsschutz von Beschäf-
stößen gegen arbeitsrechtliche Pflich-          beitsministerium sinnvoll sein. Dieser       tigten sollte daher letztlich das ureigene
ten sollte ein gestuftes Verfahren vorge-       kann Vorschläge für überbetriebliche         Interesse der Unternehmensleitungen sein.
sehen werden, bei dem bei Fehlen eines          Vereinbarungen machen oder diese gar         In einem Klima der Überwachung und der
individuellen Verdachtes zur Verdachts-         verbindlich initiieren.                      Kontrolle werden Kreativität, Motivation

DANA • Datenschutz Nachrichten 3/2016
                                                                                                                                  121
Beschäftigtendatenschutz in neuen Gewändern

und Produktivität beeinträchtigt, die aber   lassen werden. Es muss – insbesondere        nalisiert, dass er die Ausarbeitung eines
andererseits Voraussetzung für wirtschaft-   nachdem Europa den Rahmen gesteckt           nationalen Beschäftigtendatenschutzge-
lichen Erfolg sind.                          hat – auch ein Anliegen des nationalen       setzes fordert und dass er sich an des-
   Deshalb sollte und kann das Anliegen      Gesetzgebers sowie der Vertretungen von      sen Ausarbeitung konstruktiv beteiligen
eines modernen Beschäftigtendaten-           Beschäftigten und Arbeitgebern sein. Der     will. Die Diskussion über ein modernes
schutzes nicht länger durch sehr allge-      Deutsche Gewerkschaftsbund (DGB)             Beschäftigtendatenschutzgesetz muss
mein gehaltene Regelungen erfüllt und        hat, nachdem über den Text der DSGVO         heute und mit hoher Priorität geführt und
die Auslegung den Arbeitsgerichten über-     Einvernehmen erzielt worden war, sig-        zu einem Erfolg gebracht werden.

Monika Heim

Persönlichkeitsrechte werden nicht
am Werkstor abgegeben!
Überlegungen einer Betriebsrätin zu einem wirkungsvollen Beschäftigtendaten-
schutzgesetz

   Beschäftigtendatenschutz – eine never     (wenngleich wir uns 2013 beim letzten            Test, ärztliche Untersuchungen, wenn
ending story. In den vergangenen Jahren,     Versuch einer Regierung, ein Beschäftig-         das Stellenprofil dies nicht zwingend
wurde das Thema von den unterschied-         tendatenschutzgesetz auf den Weg zu brin-        erfordert
lichsten Regierungskoalitionen aufge-        gen, auch ungefragt massiv einmischten).     •   Anlasslose Screenings (Deutsche
griffen, zuletzt Anfang 2013. Es wurde                                                        Bahn, Telekom), Massenscreenings
geredet, festgestellt, dass unbedingt eine   Regelungsinhalte                                 aus vorgeblichen Compliance-Grün-
gesetzliche Regelung notwendig sei,                                                           den, Verwendung von Zufallsfunden
manche Entwürfe wurden erstellt, alle          Vorausschicken möchte ich eines: Ein           anderer Art bei begründeten Scree-
wurden letztendlich verworfen – zum          Unternehmen, ein Chef soll kontrollie-           nings
Glück, möchte man sagen.                     ren dürfen, ob seine Beschäftigten die       •   Einsatz von IT-gestützten Überwa-
   Aus meiner Sicht waren die Entwürfe       geforderte Arbeitsleistung erbringen             chungsmaßnahmen bei nur vermute-
der jeweiligen Regierungsparteien zum        oder ob sie das Unternehmen schädi-              tem Fehlverhalten einer Beschäftig-
Nachteil der Beschäftigten. Die Wün-         gen. Den Ansatz allerdings, jedem Be-            ten, besonders in Bezug auf Bagatell-
sche der Arbeitgeber waren stets höher       schäftigten generell Betrugsabsicht zu           delikte
gewichtet, ein Ausgleich fand meist nur      unterstellen und dies mit Hilfe moder-       •   Heimliche Überwachung, generelle
sehr bedingt statt.                          ner Überwachungsmethoden verhindern              offene Videoüberwachung
   Videoüberwachung zum Beispiel wur-        zu wollen, halte ich für grundsätzlich       •   Allgemeine Persönlichkeitsprofile
de immer als notwendige Maßnahme ak-         falsch. Kontrolle kann auch stattfinden      •   Aufzeichnung von Telefongesprächen
zeptiert. Der Schutz des Eigentums wog       durch Präsenz und Gespräche. Eine                ohne festgeschriebene Löschfristen
gegenüber dem Persönlichkeitsrecht der       Führungskraft, die Login-Zeiten kont-        •   Ein Konzernprivileg, insbesondere
Beschäftigten immer schwerer.                rolliert statt Arbeitsergebnisse, die Al-        dann, wenn sich Konzernteile außer-
   Sehr auffällig war vor allem eines:       gorithmen die Beurteilung ihrer Leute            halb der Europäischen Union befinden
Die Betroffenen wurden nicht befragt.        überlässt, zeigt letztlich nur eines: Füh-   •   Struktur und Sprache wie im letzten
Juristen, insbesondere aus den Reihen        rungsschwäche.                                   Entwurf von 2013, die auch Juristen
der Politik und Spitzenfunktionäre der                                                        verzweifeln ließen
Arbeitgeberverbände unterhielten sich        Das geht gar nicht!
darüber, was im Beschäftigtenverhältnis                                                      Ein Beschäftigtendatenschutzgesetz
an Überwachung zumutbar sei und was          • Bewerbung: Fragen nach Schwan-             muss als Prämisse haben, die Persön-
nicht. Wenige GewerkschafterInnen und          gerschaft, Ermittlungsverfahren, Be-       lichkeitsrechte von Beschäftigten zu
noch weniger BetriebsrätInnen wurden           hinderungen, das Nutzen von Such-          wahren. Was braucht es dazu?
in die Überlegungen einbezogen, auch           maschinen oder Erkundigungen beim
Ideen von DatenschützerInnen fanden            aktuellen oder vorigen Arbeitgeber         • Wer nicht hören will, muss zahlen!
merkwürdigerweise nur wenig Resonanz         • Einstellung: Bluttests, psychologische       Festgeschrieben werden muss vor al-

                                                                                                  DANA • Datenschutz Nachrichten 3/2016
122
Beschäftigtendatenschutz in neuen Gewändern

    lem eines: Ein Beweisverwertungs-             legInnen. Sensibilisierung hier kann        nen Empfängern. Besonderer Schutz
    verbot von unrechtmäßig erhobenen             auch zu einem besseren Verständnis          bei der elektronischen Kommunika-
    Daten verbunden mit einer empfind-            von Datenschutz allgemein führen.           tion rings um Finanzen, Gesundheit,
    lichen Geldstrafe. Verstöße gegen den     •   Zwingende Konsultation des Be-              Versicherungen, etc.
    Datenschutz müssen wehtun.                    triebsrates                               • Beschwerdemöglichkeiten für Be-
•   Es kann nur einen geben!?                     Datenschutzbeauftragte sollen prüfen,       schäftigte
    Besonders in großen Betrieben leiden          ob ein Verfahren Leistungs- und Ver-      • In aller Regel sind Beschäftigte ver-
    betriebliche Datenschutzbeauftragte           haltenskontrolle ermöglicht. Mitunter       pflichtet, ihre Beschwerden intern zu
    (bDSB) unter einer hohen Arbeitsbe-           gibt es zu diesem Punkt unterschied-        melden. Dafür gibt es den Betriebsrat,
    lastung. Zudem kennen sie sich mit            liche Sichtweisen (immerhin wird ein        das Personalwesen, den bDSB und
    den Abläufen oft nicht in der erforder-       bDSB vom Unternehmen bestellt und           vielleicht eine Compliance-Stelle.
    lichen Detailtiefe aus. Die Bestellung        kann aus Sicht eines Betriebsrates auf      Was aber, wenn den Beschwerden dort
    von geschulten „Datenschutzkoordi-            der Unternehmerseite stehen). Inso-         nicht nachgegangen wird? Im Gesetz
    natorInnen“ in größeren oder beson-           fern sollte ein Verfahren erst dann als     sollte daher das Recht auf Beschwer-
    ders sensiblen Bereichen wie etwa             erlaubt gelten, wenn sowohl bDSB als        de ohne Nachteile außerhalb der eige-
    Personalverwaltung oder Betriebsrat,          auch Betriebsrat ihre Zustimmung ge-        nen Firma festgeschrieben sein.
    die dem bDSB zuarbeiten, sorgt dafür,         geben haben. Das Recht des Betriebs-
    dass Vorabkontrollen und Prüfungen            rates ergibt sich zwar schon aus dem        Zusätzlich zu Regelungen der weiter
    kenntnisreicher und effektiver ablau-         Betriebsverfassungsgesetz, gut wäre       oben angesprochenen Punkte
    fen. Als Beispiel mag hier die Funk-          aber ein entsprechender Passus auch       • Regelung zu Kontrolle der elektroni-
    tion der Sicherheitsbeauftragten aus          im Beschäftigtendatenschutzgesetz.          schen Personalakten
    den Arbeitsschutzgesetzen dienen.         •   Ausweitung und Sicherstellung der         • Regelungen zu Cloud-Diensten, Big
•   Nein!                                         personellen Kapazitäten in den Daten-       Data, Festschreibung eines persönli-
    Betriebliche Datenschutzbeauftragte           schutzbehörden                              ches Rechts auf Verarbeitung im euro-
    müssen ein Vetorecht haben, das sich          Die Aufsichtsbehörden sind chronisch        päischen Raum
    im Zweifel auch gerichtlich durchset-         unterbesetzt und können ihren Kon-        • Eine Formulierung, die auch zukünf-
    zen lässt. Das ist besonders in Betrie-       trollpflichten nur schwer nachkom-          tige Technologien mit einschließt und
    ben wichtig, wo kein Betriebsrat bei          men. Wünschenswert ist daher, dass          dem Schutzgedanken Rechnung trägt.
    Verstößen gegen das Beschäftigtenda-          in einem Beschäftigtendatenschutz-
    tenschutzgesetz Klage beim Arbeits-           gesetz auch diesem Aspekt Rechnung        Alles nur Träume?
    gericht erheben kann.                         getragen wird.
•   Gesamtschau / „Technologiefolgen-         •   Privacy by Design                           Ihnen mögen diese Überlegungen
    abschätzung“                                  Bevorzugung von Software, die (Be-        utopisch, als ein „Wünsch Dir was“ er-
    Das Unternehmen muss gemeinsam                schäftigten-)Datenschutz bereits ein-     scheinen, fernab jeglicher Realität.
    mit dem bDSB und – falls vorhan-              gebaut hat. Bisher ist es ja häufig so,     Nun, es wird tatsächlich schwierig
    den – dem Betriebsrat regelmäßig die          dass eine Software mehr kann als ur-      zu verhandeln und durchzusetzen sein.
    Summe aller eingesetzten Verfahren,           sprünglich benötigt wird. Vor allem       Legen wir aber einen Entwurf vor, der
    die mittelbar oder unmittelbar der            Standardsoftware soll vielen Einsatz-     bereits Arbeitgeberinteressen berück-
    Leistungs- und Verhaltenskontrolle            szenarien gerecht werden können.          sichtigt, so wird unweigerlich ein Kom-
    dienen können, prüfen. Die Prüfung            Meist wird das Programm erst nach         promiss eines Kompromisses gefunden.
    auf eine einzelne Kamera zum Bei-             der Installation mit Rollen und Be-       Die politischen Abstimmungsprozesse
    spiel mag ergeben, dass deren Einsatz         rechtigungen versehen. Es ist alles       der Vergangenheit zum Beschäftigten-
    notwendig und sinnvoll scheint. Sind          erlaubt und wird erst später Schritt      datenschutz belegen dies eindrucksvoll.
    allerdings schon viele Kameras in un-         für Schritt eingeschränkt. Das bringt       In der Abwägung zwischen wirt-
    terschiedlichen Bereichen (jede ein-          manchen Arbeitgeber erst auf die          schaftlichen Interessen und Persönlich-
    zeln betrachtet sinnvoll und notwen-          Idee, man könnte doch...                  keitsrechten der Beschäftigten muss der
    dig) im Einsatz, mag sich ein anderes     •   Freiwillige Transparenz und Aus-          Mensch Vorrang haben – kompromisslos.
    Bild ergeben.                                 kunftspflicht zu erhobenen und ge-          Wir haben 2013 gelernt, dass Protes-
•   Pflicht zu Schulungen                         speicherten Daten, ebenso zu den          te wirksam und erfolgreich sein kön-
    Nicht nur der bDSB soll sich regel-           verwendeten Verfahren, insbesondere       nen. Wichtig wird sein, dass unsere
    mäßig fortbilden, auch für die Be-            dann, wenn staatliche Stellen Aus-        politischen Bündnispartner uns schnell
    schäftigten, ganz besonders für die           künfte über den / die Beschäftigte        alarmieren, sobald der erste Entwurf
    Führungskräfte aller Ebenen, halte            nachfragen.                               bekannt wird. Auch die Gewerkschaf-
    ich Pflichtschulungen, die regelmäßig     •   Recht auf Verschlüsselungstechniken       ten sind in der Pflicht zu informieren,
    wiederholt werden, für notwendig.             auch im innerbetrieblichen Mailver-       denn sie werden im Rahmen von Kon-
    Manches Mal, so meine Erfahrung,              kehr                                      sultationen ebenfalls relativ früh in das
    kommt der Wunsch nach Überwa-             •   Pflicht zum verschlüsselten Daten-        Gesetzgebungsverfahren eingebunden.
    chung auch aus den Reihen der Kol-            transfer zwischen Betrieb und exter-      Es sollen nicht nur unsere Funktionäre

DANA • Datenschutz Nachrichten 3/2016
                                                                                                                               123
Sie können auch lesen