Was bringt das Gesetz zur Änderung datenschutzrechtlicher Vorschriften?

von Rechtsanwalt Dr. Martin Hensche, Fachanwalt für Arbeitsrecht, Berlin

04.08.2009. Gesetzliche Regelungen, die speziell Arbeitnehmer vor unberechtigten Dateneingriffen schützen, gab es bislang in Deutschland nicht. Vielmehr enthält das Bundesdatenschutzgesetz (BDSG) einheitlich für alle geltende allgemeine Regeln darüber, unter welchen Voraussetzungen Dateneingriffe zulässig sind, und schützt damit auch Arbeitnehmer.

Im BDSG ist im Wesentlichen geregelt, dass Dateneingriffe immer einer Rechtsgrundlage bedürfen (§ 4 Abs. 1 BDSG). Gibt es keine spezielle Rechtsgrundlage, greift als Generalklausel § 28 BDSG ein. Danach darf ein Dateneingriff nur erfolgen, wenn er im Rahmen eines Vertragsverhältnisses erforderlich ist oder der Wahrnehmung berechtigter Interessen dient. Zudem muss eine Abwägung mit den Interessen der Betroffenen erfolgen. Darüber hinaus sind besonders sensible Daten, zu denen Gesundheit und Sexualleben, Gewerkschaftszugehörigkeit, religiöse und philosophische Überzeugung sowie die Herkunft gehören (§ 3 Abs. 9 BDSG), in besonderer Weise geschützt (§ 28 Abs. 6 BDSG).

Die Datenschutzskandale bei bekannten Unternehmen wie z.B. bei der Deutschen Bahn (wir berichteten in: Arbeitsrecht aktuell 09/025), bei Lidl (wir berichteten in: Arbeitsrecht aktuell 09/082) oder bei der Telekom, aber auch der verbreitete Einsatz von Datenverarbeitungsprogrammen durch Arbeitgeber mit (zu?) weitgehendem Zugriff auf Arbeitnehmerdaten führten dazu, dass die Forderungen nach einem speziellen Datenschutzgesetz für Arbeitnehmer lauter wurden.

Diese Forderungen sind nicht von der Hand zu weisen. Zwar waren die Rechtsverstöße bei den Skandalen der letzten Monate recht offensichtlich, so dass Gesetzesänderungen mit ihnen nicht ohne weiteres zu begründen sind. Doch führen weniger spektakuläre Fälle immer wieder zu dem Problem zu bestimmen, wann die Grenze des Zulässigen überschritten wird. Die Regelungen des BDSG sind weit und unklar gefasst, so dass sich im Einzelfall erhebliche Interpretationsspielräume bemerkbar machen. Ob ein Arbeitgeber im konkreten Fall zulässigerweise in Arbeitnehmerdaten eingreift, ist fast immer Auslegungssache.

Hinzu kommt, dass die im BDSG vorgesehenen Sanktionen bei unbefugten Dateneingriffen oft nicht greifen. Zwar sieht § 43 des BDSG die Möglichkeit vor, ein Bußgeld von bis zu 250.000 EUR bei unbefugten Dateneingriffen zu verhängen. Dafür muss derjenige, der Daten unbefugt verwendet, aber zumindest fahrlässig gehandelt haben. Je vager die zugrundeliegenden Vorschriften aber gefasst sind, desto schwieriger gestaltet sich der Nachweis des schuldhaften Handelns.

Nicht zu Unrecht stellte Bundesarbeitsminister Scholz daher Mitte Februar 2009 fest, dass es im Überschneidungsbereich von Arbeitsrecht und Datenschutzrecht Regelungslücken gibt, so z.B. bei der Videoüberwachung von Arbeitnehmern, bei der Kontrolle von E-Mails und der Internetnutzung am Arbeitsplatz, beim Einsatz von Detektiven gegenüber Arbeitnehmern sowie beim Schutz von Arbeitnehmern, die Missstände im Betrieb aufdecken (Pressemitteilung des Bundesministeriums für Arbeit und Soziales - BMAS - vom 16.02.2009).

Aus dem bei dieser Gelegenheit vollmundig angekündigten „eigenständigen Arbeitnehmerdatenschutzgesetz“ ist zwar bislang nichts geworden (wir berichteten darüber in Arbeitsrecht aktuell 09/064), doch konnte man sich immerhin noch in dieser Legislaturperiode dazu aufraffen, einen speziell für Beschäftigte geltenden Paragraphen in das BDSG einzufügen:

Der von der Bundesregierung erarbeitete Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften vom 18.02.2009 (BT-Drucksache 16/12011) passierte in geänderter Fassung (Bundestags-Drucksache 16/13657) am 03.07.2009 den Bundestag und eine Woche später bzw. am 10.07.2009 den Bundesrat (Bundesrat-Drucksache 636/09-B). Er wird als „Gesetz zur Änderung datenschutzrechtlicher Vorschriften“ am 01.09.2009 in Kraft treten.

Die neue gesetzliche Regelung zum Arbeitnehmerdatenschutz findet sich künftig in § 32 BDSG. Die neue Vorschrift trägt die Überschrift „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“. Absatz 1 dieser Vorschrift hat folgenden Wortlaut:

„(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat began-gen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Absatz 2 stellt klar, dass diese Regelung nicht nur für automatisierte Daten gilt, Absatz 3, dass die Mitbestimmungsrechte des Betriebs- bzw. Personalrats unverändert bestehen bleiben. Die Neufassung enthält im Bezug auf Arbeitnehmerdaten damit kaum Neuerungen. Im Endeffekt regelt der erste Teil des neuen § 32 BDSG im Bezug auf Arbeitnehmer nichts anderes als bisher § 28 BDSG.

Die bisherige Regelung, dass der Eingriff im Rahmen eines Vertragsverhältnisses erforderlich und verhältnismäßig sein muss, wird dadurch ersetzt, dass der Eingriff im Rahmen eines „Beschäftigungsverhältnisses“ erforderlich und verhältnismäßig sein muss. Lediglich im Falle des Verdachts einer Straftat wird genauer als bisher geregelt, dass ein konkreter Verdacht auf eine im Zusammenhang mit dem Arbeitsverhältnis begangene Straftat erforderlich ist. Im übrigen ist § 32 BDSG so vage wie die übrigen Vorschriften des Gesetzes.

Im Ergebnis ist damit keine der von Olaf Scholz Mitte Februar angesprochenen Fragen des Arbeitnehmerdatenschutzes geklärt bzw. geregelt worden. § 32 BDSG kann daher als Augenwischerei bezeichnet werden. Es gibt keinen Grund zu der Annahme, dass aufgrund von § 32 BDSG Arbeitnehmerdaten künftig besser als bisher geschützt werden. Mehr als eine solche Gesetzesattrappe war von der großen Koalition im Jahr der Bundestagswahl aber ohnehin kaum zu erwarten.

Nähere Informationen finden Sie hier:

• Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften vom 18.02.2009, BT-Drucksache 16/12011
• Beschlussempfehlung und Bericht des Innenausschusses (4. Ausschuss) zu dem Gesetzesentwurf der Bundesregierung – Drucksache 16/12011, 01.07.2009, Bundestags-Drucksache 16/13657
• Pressemitteilung des Bundesministeriums für Arbeit und Soziales - BMAS - vom 16.02.2009
• Arbeitsrecht aktuell: 12/101 Datenschutz - Betriebsrat darf Arbeitszeiten erfahren
• Arbeitsrecht aktuell: 10/175 Entwurf eines Gesetzes zum Schutz von Beschäftigtendaten
• Arbeitsrecht aktuell: 10/085 Eckpunktepapier zum Arbeitnehmerdatenschutz
• Arbeitsrecht aktuell: 09/239 Ärztliche Untersuchung und Datenschutz
• Arbeitsrecht aktuell 09/064: Das Arbeitnehmerdatenschutzgesetz kommt (nicht)
• Arbeitsrecht aktuell 09/082: Krankheitsdaten im Müll
• Arbeitsrecht aktuell 09/025: Was darf die Bahn?