Beschäftigtendatenschutz in neuen Gewändern - Deutsche ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
3/2016 39. Jahrgang ISSN 0137-7767 12,00 Euro Deutsche Vereinigung für Datenschutz e.V. Beschäftigtendatenschutz www.datenschutzverein.de in neuen Gewändern ■ Beschäftigtendatenschutz in neuen Gewändern? ■ EU- US Privacy Shield ■ Das Phänomen Pokémon GO ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Inhalt Beschäftigtendatenschutz in neuen Gewändern? Frank Spaeing Der EU-US Privacy Shield aus Sicht der DVD 131 Werner Hülsmann Die Europäische Datenschutzgrundverordnung Das Phänomen Pokémon GO und der Beschäftigtendatenschutz 117 Frank Spaeing Karin Schuler, Thilo Weichert Pokémon GO und Datenschutz? 134 Vorschläge für ein modernes Beschäftigtendatenschutzrecht 119 Roland Appel Die Informationelle Selbstenthauptung 137 Monika Heim Persönlichkeitsrechte werden nicht Datenschutz Nachrichten am Werkstor abgegeben! 122 Deutschland 140 Lothar Schröder Zur Statik des Beschäftigtendatenschutzes 124 Ausland 144 EU-US Privacy Shield Technik 151 Neil Watkins Rechtsprechung 153 Transatlantic Compliance: Understanding today’s picture and best practice next steps 127 Buchbesprechungen 157 Victorine Kossi Der Weg zum EU-US Privacy Shield 129 Termine 21. und 22. Oktober 2016 Dienstag, 01. November 2016 Geheimdienste vor Gericht: Redaktionsschluss DANA 4/2016 Humboldt-Universität und Thema: Tracking, Profiling, Maxim Gorki Theater Berlin Werbung, Marketing http://www.ausgeschnueffelt.de Mittwoch, 01. Februar 2017 Samstag, 22. Oktober 2016 Redaktionsschluss DANA 1/2017 DVD-Vorstandssitzung Thema: Verbraucherschutz Bonn. Anmeldung in der Geschäftsstelle dvd@datenschutzverein.de Sonntag, 23. Oktober 2016 DVD-Mitgliederversammlung Bonn. dvd@datenschutzverein.de Foto: Uwe Schlick / pixelio.de DANA • Datenschutz Nachrichten 3/2016 114
Editorial DANA Datenschutz Nachrichten Gegen Ende des letzten Jahres zeichnete sich bereits ab, dass die DSGVO noch vor ISSN 0137-7767 Jahresende in ihrer Endversion vorliegen und dann zügig von den verbleibenden 39. Jahrgang, Heft 3 Instanzen verabschiedet werden würde. Auch war damals bereits bekannt, dass es zum Arbeitnehmerdatenschutz keine konkreten Regelungen in der DSGVO geben Herausgeber würde, sondern eine von den jeweiligen nationalen Gesetzgebern zu füllende Öff- Deutsche Vereinigung für nungs- bzw. Konkretisierungsklausel. Aufgrund der in Deutschland bevorstehenden Datenschutz e.V. (DVD) DVD-Geschäftstelle: Bundestagswahl im Herbst 2017 stand somit (rückwärts gerechnet) auch fest, dass Reuterstraße 157, 53113 Bonn die nationalen Anpassungen spätestens gegen Ostern 2017 verabschiedet sein müs- Tel. 0228-222498 sen, was wiederum bedeutete, dass sie den entsprechenden Gremien bereits gegen IBAN: DE94 3705 0198 0019 0021 87 Herbst 2016 vorliegen müssen. Wir gingen somit davon aus, dass die erste Entwurfs- Sparkasse KölnBonn version eines BDSG-Nachfolgegesetzes vor dem Erscheinen des Herbst-Heftes der E-Mail: dvd@datenschutzverein.de DANA vorliegen, veröffentlicht und heiß diskutiert werden würde. Somit beschlos- www.datenschutzverein.de sen wir, diesem Heft das Schwerpunktthema „Beschäftigtendatenschutz in neuen Redaktion (ViSdP) Gewändern“ zu geben. Riko Pieper, Frank Spaeing c/o Deutsche Vereinigung für Es kam jedoch anders: Eine erste Version eines Referentenentwurfs des „Allgemei- Datenschutz e.V. (DVD) nen Bundesdatenschutzgesetzes“ (ABDSG) ist der DVD tatsächlich kurz vor Redak- Reuterstraße 157, 53113 Bonn tionsschluss dieses Heftes in die Hände gefallen und Werner Hülsmann geht darauf dvd@datenschutzverein.de in seinem Artikel „Die Europäische Datenschutzgrundverordnung und der Beschäf- Den Inhalt namentlich gekenn- tigtendatenschutz“ ein. zeichneter Artikel verantworten die jeweiligen Autoren. Zusammengefasst kann man feststellen, dass das ABDSG bezüglich des Layout und Satz Beschäftigtendatenschutzes und der in diesem Zusammenhang auch wichtigen Rolle Frans Jozef Valenta, 53119 Bonn des Datenschutzbeauftragten folgende Eckpunkte enthält: valenta@datenschutzverein.de • Der § 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Be- Druck schäftigungsverhältnisses) wird in das ABDSG übernommen. Onlineprinters GmbH • Der § 3 Abs. 11 (Definition von Beschäftigten) wird in das ABDSG übernommen. Rudolf-Diesel-Straße 10 91413 Neustadt a. d. Aisch • Die Pflicht zur Bestellung eines DSB ist aus § 4f BDSG sinngemäß übernommen: www.diedruckerei.de „…soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung Tel. +49 (0) 91 61 / 6 20 98 00 personenbezogener Daten beschäftigen“ Fax +49 (0) 91 61 / 66 29 20 • Der Kündigungsschutz für DSBs wurde aus § 4f BDSG übernommen. Bezugspreis Einzelheft 12 Euro. Jahresabonne- Über den seit 2009 existierenden § 32 BDSG wurde von Anfang an viel diskutiert – ment 42 Euro (incl. Porto) für vier auch in den folgenden Artikeln dieses Heftes. Einerseits sollte der Beschäftigtenda- Hefte im Kalenderjahr. Für DVD- tenschutz deutlich umfangreicher geregelt werden als es in diesem einen Paragrafen Mitglieder ist der Bezug kostenlos. der Fall ist und andererseits wird von vielen Datenschützern seit Jahren gefordert, Das Jahresabonnement kann zum den Beschäftigtendatenschutz ganz aus dem BDSG (oder neu ABDSG) zu entfernen 31. Dezember eines Jahres mit einer und in einem separaten Arbeitnehmerdatenschutzgesetz zu regeln. Dass es wieder Kündigungsfrist von sechs Wochen gekündigt werden. Die Kündigung ist einmal nicht (inzwischen seit ca. acht Legislaturperioden) zu dem auch in vielen schriftlich an die DVD-Geschäftsstel- Wahlkämpfen zugesagten Arbeitnehmerdatenschutzgesetz kommt, ist mehr als är- le in Bonn zu richten. gerlich. Im aktuellen Koalitionsvertrag war es jedenfalls anders vereinbart und wir Copyright haben derzeit eine große Koalition und eine schwache Opposition – noch dazu eine, Die Urheber- und Vervielfältigungs- die sich kaum gegen ein Beschäftigtendatenschutzgesetz sperren würde. rechte liegen bei den Autoren. Das Argument, das man aus Regierungskreisen zur Beibehaltung (bzw. Übernahme) Der Nachdruck ist nach Genehmi- des § 32 BDSG derzeit hört ist, dass man die Verabschiedung der DSGVO min- gung durch die Redaktion bei Zu- sendung von zwei Belegexemplaren destens zwei Jahre früher erwartet hatte. Dann wäre Zeit gewesen, den Beschäftig- nicht nur gestattet, sondern durch- tendatenschutz noch in dieser Legislaturperiode grundlegend neu anzupacken. Aber aus erwünscht, wenn auf die DANA so war dafür halt keine Zeit und das Thema wird (wieder einmal) auf die nächste als Quelle hingewiesen wird. Legislaturperiode verschoben. Wir werden sehen. Leserbriefe Bezüglich der Kriterien zur Bestellung des DSB und dessen Kündigungsschutz hat Leserbriefe sind erwünscht. Deren die Regierung (jedenfalls bis zum geleakten 1. Referentenentwurf) Wort gehalten. Es Publikation sowie eventuelle Kür- zungen bleiben vorbehalten. wurde immer wieder von deutschen Regierungsvertretern erklärt, dass man an dem in Deutschland erfolgreichen Konzept des DSB und dessen Stellung nichts ändern Abbildungen, Fotos wollte. Jetzt müssen wir abwarten, ob dies auch so bleibt, bis das Gesetz verabschie- Frans Jozef Valenta det ist. Viele Datenschutzbeauftragte waren da skeptisch und werden es vermutlich noch ein paar Monate bleiben. DANA • Datenschutz Nachrichten 3/2016 115
Beschäftigtendatenschutz in neuen Gewändern Interessant ist im Zusammenhang mit dem Kündigungsschutz für DSBs, dass die 1 Für den Beschäftigtendatenschutz gibt ersten Kommentatoren der DSGVO zu dem Schluss kamen, dass der im BDSG ver- es im Art. 88 DSGVO eine Öffnungs- klausel. Die betrifft jedoch die Rege- ankerte Kündigungsschutz mit der DSGVO nicht mehr möglich sein wird. Begrün- lung des Datenschutzes für Beschäftig- det wurde das damit, dass die DSGVO weder einen dem BDSG vergleichbaren Kün- te und keine arbeitsrechtlichen Aspekte. digungsschutz vorsieht noch eine Öffnungsklausel dafür. Auch Regierungsvertreter 2 Die „Bestellung“ nach § 4f BDSG sahen das noch bis vor wenigen Monaten so und stellten die Datenschutzbeauftrag- entspricht der „Benennung“ nach ten bereits darauf ein, dass sich dieser Punkt wohl nicht aus dem BDSG übernehmen Art. 37 DSGVO und heißt somit ließe. auch im ABDSG „Benennung“. Dann fand sich aber doch noch ein Argument, über das sich der Kündigungsschutz trotz der ansonsten vorrangigen DSGVO noch retten ließe: Es wurde argumentiert, dass der Kündigungsschutz für Datenschutzbeauftragte ja gar kein Datenschutzthe- Autorinnen und Auto- ma wäre, sondern ein Thema des Arbeitsrechts. Darüber sagt die DSGVO jedoch ren dieser Ausgabe: nichts aus, so dass man hierfür auch keine Öffnungsklausel bräuchte1. Warten wir ab, ob sich diese Sichtweise aufrechterhalten lässt. Roland Appel Falls es tatsächlich so bleibt, ist dieser Kündigungsschutz übrigens nicht nur für be- Jahrgang 1954, lebt und arbeitet als Unterneh- nannte2 interne Datenschutzbeauftragte eine gute Nachricht, sondern auch für exter- mensberater und Publizist in Bornheim / Rhein- ne. Für extern benannte Datenschützer gilt ein Kündigungsschutz zwar nicht, denn land, www.roaconsult.com und ist Mitherausge- ber des „Datenschutz-Führerschein“ sie haben ja keinen Arbeitsvertrag. Dafür haben sie aber ein sehr gutes Argument, www.datenschutz-lernen.de. Von 1990-2000 war weshalb sie als Externe unter Vertrag genommen werden sollten. Jedes Ding hat halt er Landtagsabgeordneter und Fraktionsvorsitzen- seine zwei Seiten. der der Grünen in NRW, Roland.Appel@RoaConsult.com Für die meisten Autoren dieses Heftes kommt der (bis Redaktionsschluss noch nicht öffentlich verfügbare) Referentenentwurf aber zu spät, so dass der Beschäftigtenda- Monika Heim tenschutz zunächst ohne Kenntnis der konkreten gesetzlichen Vorgaben aus Deutsch- Betriebsrätin und Sprecherin des EDV-Aus- land betrachtet werden musste. Hinzu kommt, dass sich vom Referentenentwurf bis schusses, Mitglied im Ortsvorstand der IG Metall Esslingen, monika.heim@beschds.de zum verabschiedeten Gesetz ja wie schon erwähnt auch noch einiges ändern kann. Dieses ungeplante Informationsdefizit hatte jedoch den Vorteil, dass die Autoren Werner Hülsmann ganz unvoreingenommen ihre Positionen darstellen konnten, was besonders deut- Vorstandsmitglied in der DVD, Mitglied des Beirats des Forum InformatikerInnen für Frieden lich in dem Beitrag der Betriebsrätin und Gewerkschafterin (IG Metall) Monika und gesellschaftliche Verantwortung (FIfF) e.V., Heim „Persönlichkeitsrechte werden nicht am Werkstor abgegeben!“ zum Ausdruck selbständiger Datenschutzberater, externer Daten- kommt. Ergänzt wird die Sicht der Arbeitnehmervertretung durch einen Artikel von schutzbeauftragter und Datenschutzsachverstän- diger, Ismaning und Berlin, Lothar Schröder, ver.di- und Aufsichtsratsmitglied (BR) der Telekom, der in seinem huelsmann@datenschutzverein.de Artikel auf „Die Statik des Beschäftigtendatenschutzes“ eingeht. Auch der Artikel von Karin Schuler und Thilo Weichert über „Vorschläge für ein Dr. Victorine Kossi, LL.M. modernes Beschäftigtendatenschutzrecht“ zählt eine Reihe konkreter Punkte auf, die Referentin Kundendatenschutz DB Mobility Logistics AG, Expertin für internationale Daten- ein neuer Arbeitnehmerdatenschutz regeln sollte. schutzfragen und französisches Datenschutzrecht, Der Artikel der amerikanischen Juristin Jayne Rothman „Transatlantic Compliance: kossi79@yahoo.de Understanding today’s picture and best practice next steps“ nähert sich dem Beschäf- Neil Watkins tigtendatenschutz über ein anderes aktuelles Thema – dem EU–US Privacy Shield. Head of Security and Compliance bei Epiq Sys- Ergänzend dazu gibt es auch einen Artikel einer betrieblichen Datenschützerin aus tems in Kansas City (Missouri, U.S.). Kontakt Deutschland, Frau Dr. Kossi, mit dem Titel: „Der Weg zum EU-US Privacy Shield“. über die DVD-Geschäftsstelle Beide Sichten auf den EU-US Privacy Shield sind aus Unternehmenssicht, zusätz- Lothar Schröder lich stellt Frank Spaeing in seinem Artikel die Position der DVD zum EU-US Pri- ver.di- und Aufsichtsratsmitglied (BR) der Tele- vacy Shield dar. kom, lothar.schroeder@verdi.de Ein ganz anderes – jedoch genauso aktuelles – Thema, das in diesem Heft mit zwei Beiträgen vertreten ist, betrifft das „Spiel“ Pokémon GO. Im ersten Beitrag stellt Karin Schuler Frank Spaeing Pokémon GO in seinen vielfältigen Facetten dar. Im sich anschlie- Informatikerin, freiberufliche Beraterin für Daten- schutz, IT-Sicherheit und Mitbestimmung, aner- ßenden Artikel mit dem Titel „Die informationelle Selbstenthauptung“ von Roland kannte Sachverständige für IT-Produkte, Appel wird klar, warum das Wort „Spiel“ in diesem Zusammenhang in Anführungs- schuler@netzwerk-datenschutzexpertise.de zeichen geschrieben werden muss. Frank Spaeing Wie immer schließen sich diesen Beiträgen nationale, internationale und technische externer Datenschutzbeauftragter, Vorstandsmit- Datenschutznachrichten an. Danach finden Sie Meldungen zu aktueller Rechtspre- glied in der DVD, spaeing@datenschutzverein.de chung und abschließend einige Buchbesprechungen. Dr. Thilo Weichert Eine anregende und informative Lektüre wünschen Ihnen Ehemaliger Leiter des Unabhängigen Landeszen- trums für Datenschutz Schleswig Holstein, Kiel, Riko Pieper und Frank Spaeing Vorstandsmitgied in der DVD, weichert@netzwerk-datenschutzexpertise.de DANA • Datenschutz Nachrichten 3/2016 116
Beschäftigtendatenschutz in neuen Gewändern Werner Hülsmann Die Europäische Datenschutzgrundverordnung und der Beschäftigtendatenschutz Beschäftigtendatenschutz in der spruchnahme der mit der Beschäftigung von durch Rechtsvorschriften oder durch EU-DSGVO zusammenhängenden individuellen oder Kollektivvereinbarungen festgelegten kollektiven Rechte und Leistungen und Pflichten, des Managements, der Pla- Die Europäischen Datenschutzgrund- für Zwecke der Beendigung des Be- nung und der Organisation der Arbeit, verordnung (EU-DSGVO) enthält be- schäftigungsverhältnisses vorsehen. der Gleichheit und Diversität am Arbeits- dauerlicherweise fast keine direkt wir- (2) Diese Vorschriften umfassen ange- platz, der Gesundheit und Sicherheit am kenden Regelungen zum Beschäftig- messene und besondere Maßnahmen zur Arbeitsplatz sowie für Zwecke der Inan- tendatenschutz, sondern in erster Linie Wahrung der menschlichen Würde, der spruchnahme der mit der Beschäftigung in Artikel 88 nur eine Konkretisierungs- berechtigten Interessen und der Grund- zusammenhängenden individuellen oder klausel, die es den EU-Mitgliedstaaten rechte der betroffenen Person, insbeson- kollektiven Rechte und Leistungen und ermöglicht durch gesetzgeberische dere im Hinblick auf die Transparenz für Zwecke der Beendigung des Beschäf- Maßnahme und Kollektivvereinbarun- der Verarbeitung, die Übermittlung per- tigungsverhältnisses.“ gen den Beschäftigtendatenschutz zu sonenbezogener Daten innerhalb einer Die Beachtung dieses Rahmens sollte regeln und die so Rahmenbedingen vor- Unternehmensgruppe oder einer Gruppe dem nationalen Gesetzgeber leicht fallen. gibt. Im korrespondieren Erwägungs- von Unternehmen, die eine gemeinsame Bei der Aushandlung von Kollektivver- grund 155 werden Betriebsvereinbarun- Wirtschaftstätigkeit ausüben, und die einbarungen sieht es dagegen vermutlich gen als Beispiel für Kollektivvereinba- Überwachungssysteme am Arbeitsplatz. etwas schwieriger aus, da bisher bei den rungen explizit genannt. Auch in den (3) Jeder Mitgliedstaat teilt der Kom- datenschutzrechtlichen Bestandteilen von Begriffsbestimmungen des Artikel 4 mission bis zum 25. Mai 2018 die Rechts- Betriebsvereinbarungen kein vorgegebe- EU-DSGVO findet sich keine Definition vorschriften, die er aufgrund von Absatz 1 ner konkreter Rahmen zu beachten war. des Begriffs Beschäftigte, obwohl dieser erlässt, sowie unverzüglich alle späteren Die Regelungen des BDSG enthalten in Begriff in der EU-DSGVO doch mehr- Änderungen dieser Vorschriften mit.“ diesem Bezug nur abstrakte Formulie- mals auftaucht. Auch wenn Absatz 3 Anderes vermu- rungen. Zwar gibt auch das allgemeine ten lässt: Es ist auch nach dem 25. Mai Persönlichkeitsrecht der Beschäftigten 2018 den Mitgliedstaaten noch mög- und das Recht auf informationelle Selbst- „Artikel 88 Datenverarbeitung im lich, nationale Rechtsvorschriften zum bestimmung den Rahmen der möglichen Beschäftigungskontext [der EU- Beschäftigtendatenschutz zu erlassen. Regelungen vor, in der Praxis erfolgte DSGVO] Auch diese müssen dann der Kommissi- aber auch hier kein direkter Abgleich mit on unverzüglich mitgeteilt werden. diesen abstrakten Vorgaben. (1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kol- „Erwägungsgrund 155 [der Planungen der Bundesregierung lektivvereinbarungen spezifischere EU-DSGVO] zur nationalen Gesetzgebung Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten Im Recht der Mitgliedstaaten oder in Die Bundesregierung plant – laut hinsichtlich der Verarbeitung personen- Kollektivvereinbarungen (einschließ- übereinstimmenden Aussagen des BMI bezogener Beschäftigtendaten im Be- lich ’Betriebsvereinbarungen’) können und des zuständigen Mitarbeiters der schäftigungskontext, insbesondere für spezifische Vorschriften für die Verar- BfDI den § 32 BDSG in die Zeit nach Zwecke der Einstellung, der Erfüllung beitung personenbezogener Beschäf- der Ablösung des jetzigen BDSG zu des Arbeitsvertrags einschließlich der tigtendaten im Beschäftigungskontext „retten“ und somit zumindest diese mi- Erfüllung von durch Rechtsvorschrif- vorgesehen werden, und zwar insbeson- nimalistische Regelung zum Beschäftig- ten oder durch Kollektivvereinbarungen dere Vorschriften über die Bedingungen, tendatenschutz weiter gelten zu lassen: festgelegten Pflichten, des Manage- unter denen personenbezogene Daten im ments, der Planung und der Organisation Beschäftigungskontext auf der Grund- „§ 32 Datenerhebung, -verarbeitung der Arbeit, der Gleichheit und Diversität lage der Einwilligung des Beschäftig- und -nutzung für Zwecke des Be- am Arbeitsplatz, der Gesundheit und ten verarbeitet werden dürfen, über die schäftigungsverhältnisses Sicherheit am Arbeitsplatz, des Schut- Verarbeitung dieser Daten für Zwecke zes des Eigentums der Arbeitgeber oder der Einstellung, der Erfüllung des Ar- (1) Personenbezogene Daten eines Be- der Kunden sowie für Zwecke der Inan- beitsvertrags einschließlich der Erfüllung schäftigten dürfen für Zwecke des Be- DANA • Datenschutz Nachrichten 3/2016 117
Beschäftigtendatenschutz in neuen Gewändern schäftigungsverhältnisses erhoben, verar- aus und ist längst überfällig. In den letz- • die Transparenz der Verarbeitung, beitet oder genutzt werden, wenn dies für ten Jahren hat die Bundesregierung die • die Übermittlung personenbezogener die Entscheidung über die Begründung bevorstehende EU-DSGVO und eine Daten innerhalb einer Unternehmens- eines Beschäftigungsverhältnisses oder eventuell damit einhergehende EU-wei- gruppe oder einer Gruppe von Unter- nach Begründung des Beschäftigungs- te einheitliche Regelungen des Beschäf- nehmen, die eine gemeinsame Wirt- verhältnisses für dessen Durchführung tigtendatenschutzes als Begründung für schaftstätigkeit ausüben, und oder Beendigung erforderlich ist. Zur ihr Nichtstun in Sachen Beschäftigten- • die Überwachungssysteme am Ar- Aufdeckung von Straftaten dürfen perso- datenschutz angegeben. Diese Entschul- beitsplatz nenbezogene Daten eines Beschäftigten digung gilt seit Ende 2015 nicht mehr. im Blick haben. nur dann erhoben, verarbeitet oder ge- Nichtsdestotrotz ist bislang kein Gesetz- nutzt werden, wenn zu dokumentierende entwurf zum Beschäftigtendatenschutz Einzelne verstreute Regelungen tatsächliche Anhaltspunkte den Verdacht seitens der Bundesregierung vorgelegt begründen, dass der Betroffene im Be- worden. zum Umgang mit Beschäftigten- schäftigungsverhältnis eine Straftat be- daten in der EU-DSGVO gangen hat, die Erhebung, Verarbeitung Tarif- und Betriebsvereinbarun- oder Nutzung zur Aufdeckung erforder- gen zum Beschäftigtendaten- Übermittlung von Beschäftigtendaten lich ist und das schutzwürdige Interesse schutz innerhalb von Unternehmensgrup- des Beschäftigten an dem Ausschluss pen. der Erhebung, Verarbeitung oder Nut- Bereits bisher wurden „Kollektivverein- zung nicht überwiegt, insbesondere Art barungen“, also Tarif- und Betriebsverein- Im Erwägungsgrund 48 wird die Über- und Ausmaß im Hinblick auf den Anlass barungen, die Regelungen zum Umgang mittlung von Beschäftigtendaten „inner- nicht unverhältnismäßig sind. mit Beschäftigtendaten enthalten, als „an- halb der Unternehmensgruppe für interne (2) (…) dere Rechtsvorschriften“ im Sinne des § 4 Verwaltungszwecke“ ausdrücklich als (3) Die Beteiligungsrechte der Inte- Absatz 1 BDSG angesehen. Mit diesen mögliches berechtigtes Interesse aufge- ressenvertretungen der Beschäftigten Vereinbarungen konnte und wurde für de- führt, so dass eine solche Übermittlung bleiben unberührt.“ ren Geltungsbereich der Beschäftigtenda- gemäß Artikel 6 Absatz 1 Buchstabe f In dem der Redaktion vorliegenden tenschutz in den einzelnen Unternehmen EU-DSGVO zulässig ist, „sofern nicht die „Entwurf eines Gesetzes zur Anpassung oder Unternehmensgruppen geregelt. Interessen oder Grundrechte und Grund- des Datenschutzrechts an die Daten- Durch die Regelung des Artikel 88 Absatz 1 freiheiten der betroffenen Person, die den schutz-Grundverordnung und zur Um- bleibt diese Möglichkeit erhalten. Dabei Schutz personenbezogener Daten erfor- setzung der Richtlinie (EU) 2016/680 gibt auch für diese Kollektivvereinbarun- dern, überwiegen“. (Datenschutz-Anpassungs- und -Um- gen der Absatz 2 des Artikel 88 den Rah- „Verantwortliche, die Teil einer Un- setzungsgesetz EU – DSAnpUG-EU)“ men für derartige Vereinbarungen vor. ternehmensgruppe oder einer Gruppe mit Stand von Anfang August finden Daher sind die in den bereits bestehen- von Einrichtungen sind, die einer zent- sich diese Passagen im darin als Artikel den Betriebs- und Tarifvereinbarungen ralen Stelle zugeordnet sind können ein 1 enthaltenen „Allgemeinen Bundesda- enthaltenen Regelungen dahingehend berechtigtes Interesse haben, personen- tenschutzgesetz – ABDSG“ wieder. zu überprüfen, ob sie diesen Anforde- bezogene Daten innerhalb der Unterneh- Da in der EU-DSGVO gemäß Artikel 4 rungen genügen, damit sie nach dem 25. mensgruppe für interne Verwaltungs- Absatz 2 nicht mehr zwischen „mit oder Mai 2018 Bestand haben. Daher sollte zwecke, einschließlich der Verarbeitung ohne Hilfe automatisierter Verfahren“ in den Betrieben auf Arbeitgeber- wie personenbezogener Daten von Kunden durchgeführter Datenverarbeitung un- auch auf Betriebsratsseite damit begon- und Beschäftigten, zu übermitteln. Die terschieden wird, wäre der Absatz 2 nen werden, die bestehenden Betriebs- Grundprinzipien für die Übermittlung per- eigentlich obsolet, findet sich aber im vereinbarungen daraufhin zu überprüfen, sonenbezogener Daten innerhalb von Un- Entwurf wieder. ob sie den Anforderungen aus Artikel 88 ternehmensgruppen an ein Unternehmen Die in den § 33 ABDSG-E übernom- Absatz 2 EU-DSGVO genügen. Be- in einem Drittland bleiben unberührt.“ menen Formulierungen des § 32 BDSG triebsvereinbarungen, deren datenschutz- (Erwägungsgrund 48 der EU-DSGVO) – ergänzt um die Begriffsbestimmung relevante Bestandteile diesen Anforde- In der Praxis wurde und wird in Unter- aus § 3 Absatz 11 BDSG – erfüllen zwar rungen nicht genügen, sollten rechtzeitig nehmen, bei denen kein Betriebsrat exis- die Anforderungen von Artikel 88 EU- angepasst werden. tiert und somit auch keine Betriebsver- DSGVO Absatz 2, nicht aber die An- Die datenschutzrelevanten Bestand- einbarung vereinbart werden kann, die als forderungen an ein Beschäftigtendaten- teile der Betriebsvereinbarungen müs- „andere Rechtsvorschrift“ gelten würde, schutzgesetz, das diesen Namen verdie- sen angemessene und besondere Maß- bislang auch schon die Interessenabwä- nen würde. Es ist zwar besser als nichts, nahmen zur Wahrung gung gemäß § 28 Absatz 1 Satz 1 Ziffer dass die Absätze 1 und 3 des bisherigen • der menschlichen Würde, 2 BDSG als Rechtfertigungsgrundlage für § 32 BDSG zum Beschäftigtendaten- • der berechtigten Interessen und konzerninterne Datenübermittlungen von schutz beibehalten werden, eine wirksa- • der Grundrechte der betroffenen Per- Beschäftigtendaten für unterschiedliche me und umfassende Regelung zum Be- son, Verwaltungszwecke herangezogen. Abge- schäftigtendatenschutz sähe aber anders enthalten und dabei insbesondere sehen davon, dass die Übermittlung von DANA • Datenschutz Nachrichten 3/2016 118
Beschäftigtendatenschutz in neuen Gewändern Beschäftigtendaten zu internen Verwal- haltungspflichten unterliegen, die sich aus es in der Praxis keine wesentlichen Ände- tungszwecken innerhalb einer Unterneh- EU- oder nationaler Gesetzgebung sowie rungen geben wird. mensgruppen in diesem Erwägungsgrund berufsständischer Verpflichtungen erge- ausdrücklich als mögliches berechtigtes ben können. Diese Einschränkung ent- Fazit Interesse angegeben ist, ändert sich ver- spricht der Regelung aus § 28 Absatz 7 mutlich nichts in der praktischen Umset- BDSG. Im BDSG ist allerdings eine Ver- Nach wie vor ist der nationale Gesetz- zung. wendung von Gesundheitsdaten zu Zwe- geber gefordert umfassende gesetzliche cken der Arbeitsmedizin und zur Beurtei- Regelungen zum Beschäftigtendaten- Beurteilung der Arbeitsfähigkeit lung der Arbeitsfähigkeit nicht ausdrück- schutz zu erlassen. Er kann sich nun nicht des Beschäftigten lich genannt. Zumindest die Nutzung von mehr auf anstehende EU-Regelungen Gesundheitsdaten für die Arbeitsunfähig- berufen. Arbeitgeber sowie Betriebs- und In Artikel 9 Absatz 2 Buchstabe h EU- keitsbescheinigung ist bereichsspezifisch Personalräte sind gefordert die bestehen- DSGVO wird die Verarbeitung von be- im § 5 des Gesetzes über die Zahlung den Betriebs- und Dienstvereinbarungen – sonderen Datenarten, zu denen u.a. die des Arbeitsentgelts an Feiertagen und insbesondere deren datenschutzrelevante Gesundheitsdaten gehören, zu Zwecken im Krankheitsfall (Entgeltfortzahlungs- Inhalte – auf ihren Bestand nach dem 25. „der Arbeitsmedizin, für die Beurteilung gesetz)1 geregelt. Die Arbeitsmedizin ist Mai 2018 zu überprüfen und gegebenen- der Arbeitsfähigkeit des Beschäftigten“ ebenfalls bereichsspezifisch im Gesetz falls anzupassen. ausdrücklich erlaubt. Die Daten dürfen da- über Betriebsärzte, Sicherheitsingenieure bei nur von Personen verarbeitet werden, und andere Fachkräfte für Arbeitssicher- 1 https://www.gesetze-im-internet. die einem Berufsgeheimnis (wie z.B. der heit (Arbeitssicherheitsgesetz, ASIG2) de/entgfg/__5.html ärztlichen Schweigepflicht) oder Geheim- geregelt. Von daher ist zu erwarten, dass 2 https://www.gesetze-im-internet. de/asig/index.html Karin Schuler, Thilo Weichert Vorschläge für ein modernes Beschäftigtendatenschutzrecht Mit Art. 88 der Europäischen Daten- Aufgabe, die allgemeinen Prinzipien der Das BDSG wäre zudem mit einem eige- schutz-Grundverordnung (DSGVO) DSGVO in Bezug auf die Verarbeitung nen Kapitel, so wie es der Regierungs- hat der europäische Gesetzgeber fest- von Beschäftigtendaten zu spezifizie- entwurf 2010 mit den §§ 32 bis 32l vor- gelegt, dass die Mitgliedstaaten der Eu- ren. Im Folgenden werden die hierbei sah, überfrachtet worden, was nicht zu ropäischen Union (EU) durch Rechts- relevanten Regelungsthemen sowie die einer erhöhten Klarheit beigetragen hät- vorschriften oder durch Kollektivver- dabei zu verfolgenden Erwägungen und te. Um den konkretisierenden Charakter einbarungen spezifische Datenschutz- Inhalte dargestellt. sowohl in Bezug auf das allgemeine vorschriften im Beschäftigtenkontext Datenschutzrecht als auch auf das Ar- regeln können. Damit stellt sich für den 1 Regelungsort beitsrecht herauszustreichen, empfiehlt deutschen Gesetzgeber verschärft die sich der Erlass eines eigenständigen Herausforderung, endlich ein nationa- Als Standort für ein nationales Be- Beschäftigtendatenschutzgesetzes. Eine les umfassendes Beschäftigtendaten- schäftigtendatenschutzrecht wurde von Regelung des Beschäftigtendatenschut- schutzrecht zu schaffen. Entsprechen- der Bundesregierung bisher das BDSG zes in einem das BDSG ablösenden AB- de Versuche waren seit mehr als drei gewählt. Dies basierte auf der Über- DSG, das ab 2018 in Kraft treten sollte, Jahrzehnten immer wieder gescheitert. legung, dass eine Konkretisierung der verbietet sich ebenso, weil ein solches Auch der Entwurf eines Allgemeinen allgemeinen BDSG-Regeln für das Ar- Ausführungsgesetz vorrangig eine ge- Bundesdatenschutzgesetzes (ABDSG), beitsverhältnis erfolgt. Diese Annahme nerell Ergänzungsfunktion zur DSGVO welches das bisherige Bundesdaten- ist unzutreffend. Wir haben es hier mit haben wird. Gemäß den Vorgaben des schutzgesetz (BDSG) als Umsetzungs- einer Schnittstelle zu tun, die in glei- Art. 88 DSGVO zum Beschäftigtenda- gesetz der DSGVO ablösen soll, sieht chem Maße Datenschutzrecht und Ar- tenschutz ist eine sehr weitgehende Re- nur eine inhaltliche Übernahme des beitsrecht ist. Die dort jeweils bestehen- gelung nötig, bei der nur in bestimmten bisherigen § 32 BDSG in einem § 33 den allgemeinen Regelungen müssen prozessualen Fragen auf die allgemei- ABDSG vor. Nunmehr stellt sich die beide vollständig anwendbar bleiben. nen Regelungen der DSGVO wie einem DANA • Datenschutz Nachrichten 3/2016 119
Beschäftigtendatenschutz in neuen Gewändern noch zu erlassenden nationalen Ausfüh- schäftigungsspezifischen Präzisierung zur IKT finden sich in § 87 Abs. 1 Nr. 7 rungsgesetz (künftig also das ABDSG) der allgemeinen gesetzlichen Regelun- (Gesundheitsschutz) und § 94 BetrVG zurückgegriffen werden kann und muss. gen führt. So kann es naheliegend sein, (Personalfragebögen). Soweit dies möglich und sinnvoll ist, branchenspezifische Konkretisierungen Soweit auf nationaler oder europä- sollten in diesem Gesetz zu konkreten vorzunehmen. Denkbar sind aber auch ischer Ebene eine datenschutzrechtli- Fragestellungen, Anwendungen und branchenübergreifende Regelungen zu che Zertifizierung von IKT-Produkten Zwecken gegenüber dem allgemeinen bestimmten Fragestellungen, wie etwa und -Verfahren vorgesehen ist, so die Datenschutzrecht (bisher BDSG, DS- zum Einsatz von Videotechnik oder zur Artt. 42, 43 DSGVO, sollte ihre Auf- GVO) spezielle Festlegungen vorge- digitalen Zeiterfassung. nahme in Kollektivvereinbarungen ge- nommen werden. Dabei sind sämtliche Regulatorische Vorbilder für die über- fördert werden, verbunden mit einer Pri- Regelungsansätze aus den Vorschlägen betrieblichen Kollektivvereinbarungen vilegierung von zertifizierten Produkten in der 17. Legislaturperiode des deut- können neben den Regelungen des im Rahmen der Einigungsverfahren auf schen Bundestags auf den Prüfstand zu BetrVG der § 38a BDSG und der Art. 40 überbetrieblicher wie auf Betriebsebene stellen, die z. B. zu folgenden Aspekten DSGVO sein, welche die Anerkennung (vgl. jetzt schon § 9a BDSG). Aussagen enthalten: Bewerbung, Ein- von Verhaltensregeln durch eine Auf- Einer Schnittstellenregelung bedarf es stellung, Gesundheitsuntersuchung, Ge- sichtsbehörde vorsehen. Anstelle von auch in Bezug auf die branchenspezifi- fahrenabwehr, Strafverfolgung, Video- Verbänden verarbeitender Stellen soll- schen Verhaltensregeln, die durch die überwachung, Ortung/Tracking, Bio- ten die Kollektivvereinbarungen in pa- Datenschutzaufsicht genehmigt werden metrieverfahren, Nutzung von Telekom- ritätisch von Arbeitgebern und Arbeit- können (§ 38a BDSG, Art. 27 EG-DSRl, munikations- und Telemediendiensten nehmern besetzten Gremien erarbeitet Artt. 40, 41 DSGVO). Diese kann z. B. (auch soziale Netzwerke) für dienstliche werden, die neu zu schaffen wären. darin bestehen, dass die Arbeitnehmer- und für private Zwecke, Heimarbeit, Auf der Beschäftigtenseite kommt da- seite in den Genehmigungsprozess der Konzerndatenverarbeitung. Auf spezifi- bei den Gewerkschaften eine wichtige Verhaltensregeln einbezogen wird. sche Regelungen, die keine sinnvollen Funktion zu. Unabhängig von den oben genannten und wirksamen Konkretisierungen all- Druckmittel zur Veranlassung von Klagemöglichkeiten im Rahmen über- gemeiner Vorschriften vornehmen, ist Verhandlungen und Vereinbarungen betrieblicher und betrieblicher Konflikte konsequent zu verzichten. können gesetzlich geregelte, aufschie- sollte auf betrieblicher Ebene für die Be- Die gegenüber dem nationalen Gesetz bende Vetos sein. Geregelt werden kann schäftigtenvertretung ein arbeitsrechtli- oder der DSGVO zu konkretisierenden auch, dass anlässlich eines konkreten ches Klagerecht gegen die Einführung Regelungsgegenstände können alles im Konfliktes die Pflicht auferlegt wird, datenschutzrechtlich unzulässiger Beschäftigtendatenschutzrecht erfassen: eine externe, zu veröffentlichende Ex- IKT-Verfahren vorgesehen werden. das materielle Recht ebenso wie die Ver- pertise einzuholen. Möglich ist die Re- Dies wäre eine sinnvolle normen- und pflichtung zu prozeduralen oder tech- gelung der Pflicht, eine Aufsichtsbehör- verfahrenskontrollierende Ergänzung zu nisch-organisatorischen Vorkehrungen. de oder einen sonstigen unabhängigen Art. 80 DSGVO, der u. a. vorsieht, dass Es sollte darauf geachtet werden, dass Moderator mit besonderer fachlicher in individualrechtlichen Datenschutz- diese Regelungen so konkret wie mög- Qualifikation als Schlichter hinzuzie- konflikten Betriebsräte oder Gewerk- lich und so offen wie nötig sind. Ziel hen. Vorbildfunktion könnte das Modell schaften in Vertretung der Betroffenen sollte eine größtmögliche Rechtssicher- der Einigungsstelle gemäß § 76 BetrVG datenschutzrechtliche Gerichtsverfah- heit sein, ohne zugleich die sinnvollen haben. Initiator für das Verhandeln von ren durchführen können. Offen ist, ob es Entwicklungsmöglichkeiten der Infor- Vereinbarungen könnte der unten er- zusätzlich zu der gerichtlichen Entschei- mations- und Kommunikationstechnik wähnte Datenschutzbeirat sein (s. u. 4). dung über Streitigkeiten im Rahmen von (IKT) zu beschneiden. Indirekt als Auslöser für Verhandlungen überbetrieblichen Vereinbarungen für und Vereinbarungen können Medienbe- Gewerkschaften einer Art Verbandskla- 2 Kollektivrechte richte und Gerichtsurteile wirken. gerecht bedarf. Mit einem solchen Kla- Parallel dazu sollte die Regelung zur gerecht könnte auf Seiten der Arbeitge- Neu eingeführt werden sollte die Mitbestimmung auf betrieblicher ber die Bereitschaft gesteigert werden, Konkretisierung gesetzlicher Regelun- Ebene präzisiert werden. Derzeit sieht den Abschluss von Vereinbarungen zu gen auf überbetrieblicher Ebene. Die z. B. § 87 Abs. 1 Nr. 6 BetrVG bei der suchen. hierbei zu treffenden Kollektivvereinba- „Einführung und Anwendung von tech- Die Regelung des § 8 Abs. 3 BetrVG, rungen können durch den deutschen Ge- nischen Einrichtungen, die dazu be- wonach der Betriebsrat „bei der Durch- setzgeber nur für die Arbeitsverhältnisse stimmt sind, das Verhalten und die Leis- führung seiner Aufgaben nach nähe- in Deutschland vorgesehen werden. Im tung der Arbeitnehmer zu überwachen,“ rer Vereinbarung mit dem Arbeitgeber Interesse möglichst weitgehender euro- eine Mitbestimmungspflicht nicht nur Sachverständige hinzuziehen (kann), päischer Einheitlichkeit sollte zumindest bei einer gezielten Arbeitnehmerüber- soweit dies zur ordnungsgemäßen Erfül- mittelfristig auch auf europäischer Ebe- wachung vor, sondern auch, wenn eine lung seiner Aufgaben erforderlich ist“, ne ein solcher Regelungsansatz verfolgt technische Einrichtung Verhaltens- und sollte im Hinblick auf die datenschutz- werden. Gegenstand solcher Vereinba- Leistungskontrollen ermöglicht. Weitere technische und -rechtliche Bewertung rungen sollte alles sein, was zu einer be- Mitbestimmungstatbestände mit Bezug präzisiert werden. DANA • Datenschutz Nachrichten 3/2016 120
Beschäftigtendatenschutz in neuen Gewändern Die Rolle der Datenschutzaufsichts- konkretisierung zunächst mit Pseudony- Bisher erfolgen öffentlich geförderte behörden (§ 38 BDSG, Artt. 51 ff. DS- men und Gruppenaggregaten gearbeitet Forschungs- und Entwicklungsan- GVO) sollte bereichsspezifischer ausge- werden muss. strengungen im Bereich des Daten- staltet werden. Es ist vorstellbar, dass die- Erwogen werden sollte, inwieweit schutzes zumeist jenseits des betrieb- sen als neutralen Stellen eine Mediato- eine Regelung zur Benutzung von Be- lichen Anwendungsfeldes. Dies muss renfunktion zwischen Arbeitgebern und schäftigten-Pseudonymen in der Au- sich angesichts der neuen Herausfor- Arbeitnehmern zugewiesen wird. Das ßenkommunikation von Beschäftigten derungen durch Anwendungen in den bestehende Recht des Betriebsrats, die möglich und sinnvoll ist. Bereichen Industrie 4.0 und Big Data Aufsichtsbehörde einzuschalten, ohne Zum Recht über die Personalakte ändern. Bisher laufen Forschungs- und sich Illoyalität vorwerfen lassen zu müs- sollte klargestellt werden, welchen In- Entwicklungsarbeiten auf Initiative von sen, sollte explizit normiert werden. Die halt eine Personalakte haben darf, welche IKT-Anbietern und Arbeitgebern ins- Aufsichtsbehörden benötigen für derarti- Aufbewahrungsfristen gelten, wer Zu- besondere darauf hinaus, die Beschäf- ge Fragen das Personal und die sonstigen griff darauf hat, unter welchen Vorausset- tigtenüberwachung zu perfektionieren. Ressourcen, um innerhalb kürzester Zeit zungen Aktenbestandteile (über wahre, Dem sind Anstrengungen für ein Mehr sprech- und antwortfähig sein. nachteilige Umstände) zu löschen sind, an Persönlichkeitsschutz entgegenzuset- Hinsichtlich der Bestellung und Ab- und welche Anforderungen an die digita- zen, die staatlich gefördert werden. berufung von betrieblichen Daten- le Aktenführung zu stellen sind. schutzbeauftragten (vgl. Artt. 37 ff. Zum Whistleblowing bedarf es nach 5 Abschließende Bemerkungen DSGVO) sollte der Beschäftigtenver- dem Urteil des Europäischen Gerichtsho- tretung ein Mitbestimmungsrecht ein- fes für Menschenrechte vom 21.07.2011 IKT hat große positive Auswirkungen geräumt werden. einer spezifischen Regelung. Dabei kann auf die Arbeitswelt. Sie führt zu Produk- auf eine Vielzahl von schon vorhandenen tivitätssteigerungen und kann, sinnvoll 3 Gebote und Verbote Vorschlägen zurückgegriffen werden. eingesetzt, dazu beitragen, den Arbeit- Aus Sicht der Arbeitnehmer kann eine nehmern ihre Tätigkeit zu erleichtern, sie Materiell-rechtlich sollte sich das Regelung, welche im Beschäftigten- zu qualifizieren und ihren Arbeitsplatz Beschäftigtendatenschutzrecht auf As- bereich eine Konzernprivilegierung zu sichern. Der Einsatz von IKT kann zu pekte beschränken, in denen ein wesent- vorsieht, die an die DSGVO anknüpft einer erhöhten Zufriedenheit bei den Be- licher zusätzlicher Regelungsgehalt zu (Art. 4 Nr. 19) vorteilhaft und sinnvoll schäftigten führen, etwa, wenn Kreativität den allgemeinen Vorschriften erforder- sein, wenn die Öffnung von Beschäf- gefördert wird, die Arbeitsleistungen bes- lich und möglich ist. Dies gilt u. a. für tigtendaten gegenüber mehreren verant- ser sichtbar werden oder spielerische und folgende Themen: wortlichen Stellen im Konzern durch Si- Team-Elemente bei der Arbeit einfließen. - zusätzliche Freiwilligkeitsanforderun- cherungen kompensiert wird und klare Arbeitnehmervertretungen sollten deshalb gen bei Einwilligungen, Verantwortlichkeiten festgelegt werden. die Einführung derartiger Systeme grund- - Benennung der Fälle, in denen eine sätzlich fördern und fordern. Einwilligung als Rechtsgrundlage für 4 Politisch bestimmbare Rahmenbe- Es sollte jedoch allen Seiten, auch den die Datenerhebung, -verarbeitung und dingungen Arbeitnehmervertretungen und den Be- -nutzung ausgeschlossen wird, schäftigten, vermittelt werden, dass die - Ausnahmeregelung von einer grund- Eine adäquate Gesetzgebung ist die Attraktivität von IKT-Systemen eine per- sätzlichen Verpflichtung zur Trennung Grundlage für eine Verbesserung des sönlichkeitsgefährdende Kehrseite hat. zwischen privater und dienstlicher Datenschutzes in einer sich immer mehr Arbeitgeber betonen gerne die mit IKT Datenverarbeitung, digitalisierenden Arbeitswelt. Das Heil verbundenen Verbesserungen für ihre - die Regelung der privaten Nutzung des Persönlichkeitsschutzes für Beschäf- Beschäftigten, verschweigen jedoch die von dienstlichen Telekommunikati- tigte kann nicht ausschließlich in der damit verbundenen zusätzlichen Überwa- onseinrichtungen, Gesetzgebung liegen. Vielmehr müssen chungs- und Kontrollmöglichkeiten. Diese - Nutzungsverbote von Kundendaten in den Betrieben, Branchenverbänden, Möglichkeiten sind jedoch oft der eigent- von Mitarbeitenden für Personalzwe- Gewerkschaften, Beschäftigtenvertre- liche Grund für die Einführung bestimm- cke, tungen, Aufsichtsbehörden und bei den ter Systeme. Ein solcher Einsatz führt zu - Verbot von Erhebung, Verarbeitung Anbietern von IKT-Lösungen Konzepte einer schleichenden Entmündigung der und Nutzung von Beschäftigtenda- für einen datenschutzkonformen IKT- Betroffenen. Diese ist nicht nur persönlich ten durch den Arbeitgeber, die aus Einsatz am Arbeitsplatz erforscht, dis- eine Gefahr für die Betroffenen, sondern betriebsärztlichen Untersuchungen kutiert, entwickelt und implementiert auch für jede demokratische Gesellschaft, stammen. werden. Hierfür kann als Instrument der deren Grundlage mündige, meinungs- politischen Planung die Einrichtung ei- freudige und kreative Menschen sind. Hinsichtlich der Abklärung von Ver- nes Datenschutzbeirats im Bundesar- Der Persönlichkeitsschutz von Beschäf- stößen gegen arbeitsrechtliche Pflich- beitsministerium sinnvoll sein. Dieser tigten sollte daher letztlich das ureigene ten sollte ein gestuftes Verfahren vorge- kann Vorschläge für überbetriebliche Interesse der Unternehmensleitungen sein. sehen werden, bei dem bei Fehlen eines Vereinbarungen machen oder diese gar In einem Klima der Überwachung und der individuellen Verdachtes zur Verdachts- verbindlich initiieren. Kontrolle werden Kreativität, Motivation DANA • Datenschutz Nachrichten 3/2016 121
Beschäftigtendatenschutz in neuen Gewändern und Produktivität beeinträchtigt, die aber lassen werden. Es muss – insbesondere nalisiert, dass er die Ausarbeitung eines andererseits Voraussetzung für wirtschaft- nachdem Europa den Rahmen gesteckt nationalen Beschäftigtendatenschutzge- lichen Erfolg sind. hat – auch ein Anliegen des nationalen setzes fordert und dass er sich an des- Deshalb sollte und kann das Anliegen Gesetzgebers sowie der Vertretungen von sen Ausarbeitung konstruktiv beteiligen eines modernen Beschäftigtendaten- Beschäftigten und Arbeitgebern sein. Der will. Die Diskussion über ein modernes schutzes nicht länger durch sehr allge- Deutsche Gewerkschaftsbund (DGB) Beschäftigtendatenschutzgesetz muss mein gehaltene Regelungen erfüllt und hat, nachdem über den Text der DSGVO heute und mit hoher Priorität geführt und die Auslegung den Arbeitsgerichten über- Einvernehmen erzielt worden war, sig- zu einem Erfolg gebracht werden. Monika Heim Persönlichkeitsrechte werden nicht am Werkstor abgegeben! Überlegungen einer Betriebsrätin zu einem wirkungsvollen Beschäftigtendaten- schutzgesetz Beschäftigtendatenschutz – eine never (wenngleich wir uns 2013 beim letzten Test, ärztliche Untersuchungen, wenn ending story. In den vergangenen Jahren, Versuch einer Regierung, ein Beschäftig- das Stellenprofil dies nicht zwingend wurde das Thema von den unterschied- tendatenschutzgesetz auf den Weg zu brin- erfordert lichsten Regierungskoalitionen aufge- gen, auch ungefragt massiv einmischten). • Anlasslose Screenings (Deutsche griffen, zuletzt Anfang 2013. Es wurde Bahn, Telekom), Massenscreenings geredet, festgestellt, dass unbedingt eine Regelungsinhalte aus vorgeblichen Compliance-Grün- gesetzliche Regelung notwendig sei, den, Verwendung von Zufallsfunden manche Entwürfe wurden erstellt, alle Vorausschicken möchte ich eines: Ein anderer Art bei begründeten Scree- wurden letztendlich verworfen – zum Unternehmen, ein Chef soll kontrollie- nings Glück, möchte man sagen. ren dürfen, ob seine Beschäftigten die • Einsatz von IT-gestützten Überwa- Aus meiner Sicht waren die Entwürfe geforderte Arbeitsleistung erbringen chungsmaßnahmen bei nur vermute- der jeweiligen Regierungsparteien zum oder ob sie das Unternehmen schädi- tem Fehlverhalten einer Beschäftig- Nachteil der Beschäftigten. Die Wün- gen. Den Ansatz allerdings, jedem Be- ten, besonders in Bezug auf Bagatell- sche der Arbeitgeber waren stets höher schäftigten generell Betrugsabsicht zu delikte gewichtet, ein Ausgleich fand meist nur unterstellen und dies mit Hilfe moder- • Heimliche Überwachung, generelle sehr bedingt statt. ner Überwachungsmethoden verhindern offene Videoüberwachung Videoüberwachung zum Beispiel wur- zu wollen, halte ich für grundsätzlich • Allgemeine Persönlichkeitsprofile de immer als notwendige Maßnahme ak- falsch. Kontrolle kann auch stattfinden • Aufzeichnung von Telefongesprächen zeptiert. Der Schutz des Eigentums wog durch Präsenz und Gespräche. Eine ohne festgeschriebene Löschfristen gegenüber dem Persönlichkeitsrecht der Führungskraft, die Login-Zeiten kont- • Ein Konzernprivileg, insbesondere Beschäftigten immer schwerer. rolliert statt Arbeitsergebnisse, die Al- dann, wenn sich Konzernteile außer- Sehr auffällig war vor allem eines: gorithmen die Beurteilung ihrer Leute halb der Europäischen Union befinden Die Betroffenen wurden nicht befragt. überlässt, zeigt letztlich nur eines: Füh- • Struktur und Sprache wie im letzten Juristen, insbesondere aus den Reihen rungsschwäche. Entwurf von 2013, die auch Juristen der Politik und Spitzenfunktionäre der verzweifeln ließen Arbeitgeberverbände unterhielten sich Das geht gar nicht! darüber, was im Beschäftigtenverhältnis Ein Beschäftigtendatenschutzgesetz an Überwachung zumutbar sei und was • Bewerbung: Fragen nach Schwan- muss als Prämisse haben, die Persön- nicht. Wenige GewerkschafterInnen und gerschaft, Ermittlungsverfahren, Be- lichkeitsrechte von Beschäftigten zu noch weniger BetriebsrätInnen wurden hinderungen, das Nutzen von Such- wahren. Was braucht es dazu? in die Überlegungen einbezogen, auch maschinen oder Erkundigungen beim Ideen von DatenschützerInnen fanden aktuellen oder vorigen Arbeitgeber • Wer nicht hören will, muss zahlen! merkwürdigerweise nur wenig Resonanz • Einstellung: Bluttests, psychologische Festgeschrieben werden muss vor al- DANA • Datenschutz Nachrichten 3/2016 122
Beschäftigtendatenschutz in neuen Gewändern lem eines: Ein Beweisverwertungs- legInnen. Sensibilisierung hier kann nen Empfängern. Besonderer Schutz verbot von unrechtmäßig erhobenen auch zu einem besseren Verständnis bei der elektronischen Kommunika- Daten verbunden mit einer empfind- von Datenschutz allgemein führen. tion rings um Finanzen, Gesundheit, lichen Geldstrafe. Verstöße gegen den • Zwingende Konsultation des Be- Versicherungen, etc. Datenschutz müssen wehtun. triebsrates • Beschwerdemöglichkeiten für Be- • Es kann nur einen geben!? Datenschutzbeauftragte sollen prüfen, schäftigte Besonders in großen Betrieben leiden ob ein Verfahren Leistungs- und Ver- • In aller Regel sind Beschäftigte ver- betriebliche Datenschutzbeauftragte haltenskontrolle ermöglicht. Mitunter pflichtet, ihre Beschwerden intern zu (bDSB) unter einer hohen Arbeitsbe- gibt es zu diesem Punkt unterschied- melden. Dafür gibt es den Betriebsrat, lastung. Zudem kennen sie sich mit liche Sichtweisen (immerhin wird ein das Personalwesen, den bDSB und den Abläufen oft nicht in der erforder- bDSB vom Unternehmen bestellt und vielleicht eine Compliance-Stelle. lichen Detailtiefe aus. Die Bestellung kann aus Sicht eines Betriebsrates auf Was aber, wenn den Beschwerden dort von geschulten „Datenschutzkoordi- der Unternehmerseite stehen). Inso- nicht nachgegangen wird? Im Gesetz natorInnen“ in größeren oder beson- fern sollte ein Verfahren erst dann als sollte daher das Recht auf Beschwer- ders sensiblen Bereichen wie etwa erlaubt gelten, wenn sowohl bDSB als de ohne Nachteile außerhalb der eige- Personalverwaltung oder Betriebsrat, auch Betriebsrat ihre Zustimmung ge- nen Firma festgeschrieben sein. die dem bDSB zuarbeiten, sorgt dafür, geben haben. Das Recht des Betriebs- dass Vorabkontrollen und Prüfungen rates ergibt sich zwar schon aus dem Zusätzlich zu Regelungen der weiter kenntnisreicher und effektiver ablau- Betriebsverfassungsgesetz, gut wäre oben angesprochenen Punkte fen. Als Beispiel mag hier die Funk- aber ein entsprechender Passus auch • Regelung zu Kontrolle der elektroni- tion der Sicherheitsbeauftragten aus im Beschäftigtendatenschutzgesetz. schen Personalakten den Arbeitsschutzgesetzen dienen. • Ausweitung und Sicherstellung der • Regelungen zu Cloud-Diensten, Big • Nein! personellen Kapazitäten in den Daten- Data, Festschreibung eines persönli- Betriebliche Datenschutzbeauftragte schutzbehörden ches Rechts auf Verarbeitung im euro- müssen ein Vetorecht haben, das sich Die Aufsichtsbehörden sind chronisch päischen Raum im Zweifel auch gerichtlich durchset- unterbesetzt und können ihren Kon- • Eine Formulierung, die auch zukünf- zen lässt. Das ist besonders in Betrie- trollpflichten nur schwer nachkom- tige Technologien mit einschließt und ben wichtig, wo kein Betriebsrat bei men. Wünschenswert ist daher, dass dem Schutzgedanken Rechnung trägt. Verstößen gegen das Beschäftigtenda- in einem Beschäftigtendatenschutz- tenschutzgesetz Klage beim Arbeits- gesetz auch diesem Aspekt Rechnung Alles nur Träume? gericht erheben kann. getragen wird. • Gesamtschau / „Technologiefolgen- • Privacy by Design Ihnen mögen diese Überlegungen abschätzung“ Bevorzugung von Software, die (Be- utopisch, als ein „Wünsch Dir was“ er- Das Unternehmen muss gemeinsam schäftigten-)Datenschutz bereits ein- scheinen, fernab jeglicher Realität. mit dem bDSB und – falls vorhan- gebaut hat. Bisher ist es ja häufig so, Nun, es wird tatsächlich schwierig den – dem Betriebsrat regelmäßig die dass eine Software mehr kann als ur- zu verhandeln und durchzusetzen sein. Summe aller eingesetzten Verfahren, sprünglich benötigt wird. Vor allem Legen wir aber einen Entwurf vor, der die mittelbar oder unmittelbar der Standardsoftware soll vielen Einsatz- bereits Arbeitgeberinteressen berück- Leistungs- und Verhaltenskontrolle szenarien gerecht werden können. sichtigt, so wird unweigerlich ein Kom- dienen können, prüfen. Die Prüfung Meist wird das Programm erst nach promiss eines Kompromisses gefunden. auf eine einzelne Kamera zum Bei- der Installation mit Rollen und Be- Die politischen Abstimmungsprozesse spiel mag ergeben, dass deren Einsatz rechtigungen versehen. Es ist alles der Vergangenheit zum Beschäftigten- notwendig und sinnvoll scheint. Sind erlaubt und wird erst später Schritt datenschutz belegen dies eindrucksvoll. allerdings schon viele Kameras in un- für Schritt eingeschränkt. Das bringt In der Abwägung zwischen wirt- terschiedlichen Bereichen (jede ein- manchen Arbeitgeber erst auf die schaftlichen Interessen und Persönlich- zeln betrachtet sinnvoll und notwen- Idee, man könnte doch... keitsrechten der Beschäftigten muss der dig) im Einsatz, mag sich ein anderes • Freiwillige Transparenz und Aus- Mensch Vorrang haben – kompromisslos. Bild ergeben. kunftspflicht zu erhobenen und ge- Wir haben 2013 gelernt, dass Protes- • Pflicht zu Schulungen speicherten Daten, ebenso zu den te wirksam und erfolgreich sein kön- Nicht nur der bDSB soll sich regel- verwendeten Verfahren, insbesondere nen. Wichtig wird sein, dass unsere mäßig fortbilden, auch für die Be- dann, wenn staatliche Stellen Aus- politischen Bündnispartner uns schnell schäftigten, ganz besonders für die künfte über den / die Beschäftigte alarmieren, sobald der erste Entwurf Führungskräfte aller Ebenen, halte nachfragen. bekannt wird. Auch die Gewerkschaf- ich Pflichtschulungen, die regelmäßig • Recht auf Verschlüsselungstechniken ten sind in der Pflicht zu informieren, wiederholt werden, für notwendig. auch im innerbetrieblichen Mailver- denn sie werden im Rahmen von Kon- Manches Mal, so meine Erfahrung, kehr sultationen ebenfalls relativ früh in das kommt der Wunsch nach Überwa- • Pflicht zum verschlüsselten Daten- Gesetzgebungsverfahren eingebunden. chung auch aus den Reihen der Kol- transfer zwischen Betrieb und exter- Es sollen nicht nur unsere Funktionäre DANA • Datenschutz Nachrichten 3/2016 123
Sie können auch lesen