Arbeitsrecht: Datenschutzrecht – Anspruch des Betriebsrats auf Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Hat ein Betriebsrat im Rahmen des betriebsverfassungsrechtlichen Informationsanspruchs einen Anspruch auf einen Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Die Rechtsprechung, zum Beispiel das LAG Nürnberg vom 04.08.2004 in RDV 2006 84 L, verneint einen Anspruch aufgrund eines gesetzlichen Online-Zugriffrechts des Betriebsrats. In der zitierten Entscheidung forderte der Betriebsrat den Zugang zu einem SAP – Entgeltabrechungssystem des Arbeitgebers. Nach Ansicht des LAG Nürnberg steht dem Betriebsrat weder als Ausformung seiner Rechte aus § 80 BetrVG noch als Sachausstattung nach § 40 BetrVG ein eigenständiger oder auftragsgemäßer Zugang zu dem arbeitgebergebräuchlichen SAP – Entgeltabrechungssystem zu. Nach Ansicht der Richter des LAG Nürnberg existiere eine entsprechende Anspruchsgrundlage nicht.

Auch das Bundesarbeitsgericht hatte in seiner Entscheidung zum Zugangsrecht des Betriebsrats zum Internet gemäß § 40 Abs. 2 BetrVG vom 03.09.2003 (Az. DAGE 107,231 bzw. NZA 2004, Seite 280) keine Hinweise erteilt, dass sich aus § 40 Abs. 2 BetrVG ein Recht auf Online-Zugriff oder ein Recht auf sonstige Zugriffe auf beim Arbeitgeber elektronisch gespeicherte Daten des Betriebsrats ergeben könnte. Sämtliche weitere in Betracht kommenden Normen, insbesondere auch Überlegungen zur Auftragsdatenverarbeitung gemäß § 11 BDSG greifen hier nicht. Eine entsprechende Anspruchsgrundlage existiert nicht. Die einzige Möglichkeit bleibt letztlich, dass auf Grundlage einer freiwillig geschlossenen Betriebsvereinbarung zwischen Arbeitgeber und Betriebsrat ein über die Gesetzesgrundlagen hinausgehendes Recht eingeräumt wird. Gleichwohl ist hier zu berücksichtigen, dass ein als Online-Zugriffsrecht ausgestaltetes Informationsrecht des Betriebsrats an die Grenzen von § 80 Abs. 2 BetrVG gebunden ist. Es muss diesbezüglich ein konkreter Aufgabenbezug bestehen! Insofern kann der Betriebsrat nicht beliebig auf personenbezogene Daten des Arbeitsgebers online Zugriff nehmen. Dies kann er lediglich zur Erfüllung seiner betriebsverfassungsrechtlich garantierten Aufgaben.

Bereits das BAG hat in seiner Entscheidung vom 23.03.2010 (Az. 1 ABR 81/08) klargestellt, dass ein Betriebsrat nicht jede Auskunft verlangen kann, nur weil die dadurch vermittelten Erkenntnisse ihn insgesamt sachkundiger machen würden. Immerhin darf ein Online-Zugriff nicht dazu dienen, völlig aufgabenbezugslos die Unternehmensstrategie „auszuforschen“. Insofern ist ein schrankenloser Online-Zugriff auch aufgrund einer freiwilligen Betriebsvereinbarung des Betriebsrats mit dem Arbeitgeber nicht möglich, da es immer einen Aufgabenbezug geben muss.

Es bestehen darüber hinaus weitere andere Grenzen des Online-Zugriffs: Der Betriebsrat darf Informationen nicht um ihrer selbst Willen verlangen. Erst recht hat der Betriebsrat keine Möglichkeit, sich Informationen im Wege eines Selbsthilferechts zu beschaffen. Datenschutzrechtlich ist zu konstatieren, dass der Betriebsrat sowohl nach Auffassung des Bundesarbeitsgerichts als auch nach ganz herrschender Meinung Teil der verantwortlichen Stelle des Arbeitsgebers ist, also datenschutzrechtlich Teil des datenverarbeitenden Arbeitsgebers ist. Es ergibt sich jedoch eine Pflicht des Arbeitsgebers zur Ergreifung technischer Maßnahmen wie der Verschlüsselung, Anonymisierung, Pseudonymisierung oder des Mitspeicherns (Logging – Erstellen von Logfiles) aller durchgeführten Aktionen. Dies ergibt sich bereits aus dem Umstand, dass der Betriebsrat nach inzwischen überwiegender Auffassung dem Datengeheimnis gemäß § 5 Satz 1 BetrVG unterliegt (Vgl. hierzu Bundesarbeitsgericht in NZA 2009, Seite 1218).

Der Arbeitgeber ist bekanntlich nach § 9 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG zu gewährleisten. Dies betrifft im Falle des Online-Zugriffs personenbezogener Daten durch den Betriebsrat auch diesen Datenfluss, sodass auch hier der Arbeitgeber zusammen mit dem Betriebsrat Maßnahmen ergreifen muss, damit im Sinne des § 9 BDSG bzw. der Anlage zu § 9 Satz 1 BDSG die Datensicherheit gewährleistet ist. Sofern es sich bei der Datenerhebung / Verarbeitung um eigene Daten des Betriebsrats handelt, unterliegt dieser lediglich der Selbstkontrolle. Handelt es sich hingegen um vom Arbeitgeber erhobene Daten, die der Betriebsrat durch Online-Zugriff dann nutzt bzw. verarbeitet, unterliegen diese Datenflüsse der Kontrolle des Datenschutzbeauftragten des Betriebs. Allerdings darf dies nicht dazu führen, dass das Gebot der Freiheit des Betriebsrats unterlaufen wird und quasi hier der Arbeitgeber durch den betrieblichen Datenschutzbeauftragten Kontrolle über die Tätigkeiten des Betriebsrats erlangt.

Fraglich ist, ob die betroffenen Arbeitnehmer über den konkreten Online-Zugriff des Betriebsrats auf personenbezogene Arbeitnehmerdaten des Arbeitgebers informiert werden müssen? Betriebsverfassungsrechtlich ergeben sich hier keine Anhaltspunkte. Es können sich jedoch aus dem Bundesdatenschutzgesetz entsprechende Verpflichtungen ergeben. Allerdings liegt im Zweifel bei dem bloßen Leserecht in Bezug auf die Daten des Arbeitsgebers eine Nutzung und keine Änderung oder Speicherung ohne Kenntnis des Arbeitnehmers vor, sodass die Betroffenen nicht gemäß § 33 BDSG zu informieren sind.

Karsten Klug
Fachanwalt für Arbeitsrecht, Hamburg

Datenschutz: Datenschutzrecht in Europa

In Europa ist durch den europäischen Gesetzgeber in der Richtlinie EG-DSRl (Richtlinie 95/46/EG) der europäische Schutz personenbezogener Daten geregelt worden.

Die EG-DSRl waren so konzipiert, dass diese als einheitlicher Umsatzmaßstab (auf hohem Niveau) dienen sollte. Ausdrücklich sollte durch die Umsetzung dieser Richtlinie in den einzelnen Ländern keine Reduzierung des Schutzniveaus der personenbezogenen Daten stattfinden.

Daneben sind die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und die Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) erlassen worden. Letztere sorgt aktuell wieder für sehr viel Gesprächsstoff, da das europäische Parlament Deutschland zu einer entsprechenden Umsetzung bzw. bereits auch jetzt zur Vorratsdatenspeicherung auffordert.

Als ein wesentlicher Unterschied zwischen der EG-DSRl und dem BDSG ist unter anderem die fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nicht-öffentliche Stellen zu nennen. Dies steht jedoch nicht der Umsetzung bzw. der heutigen Regelung im BDSG und der dort vorgenommenen Differenzierung zwischen öffentlichen und privaten Stellen entgegen. Auch erfasst die EG-DSRl gleichermaßen die automatisierte und auch die nicht-automatisierte Verarbeitung. Schließlich liegt der EG-DSRl ein umfassender Begriff der Datenverarbeitung zugrunde, der auch die Datenerhebung und die Nutzung umfasst, was nun auch in § 3 Abs. 3 und Abs. 5 BDSG aufgenommen worden ist.

Die Umsetzung der EG-DSRl erfolgte (trotz Frist bis zum 24.10.1998) erst im Jahre 2001, nachdem bereits gegen Deutschland ein Vertragsverletzungsverfahren durch die Europäische Kommission eingeleitet worden war. Prägend war bereits dort die Aufnahme der Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), sowie des Datenschutzes durch Technik oder eines Datenschutzaudits (§§ 9, 9a BDSG).

Hier lag oder liegt ein großes Problem von Europa! Durch die Richtlinienkompetenz, galten diese Normen nicht unmittelbar und zwingend in den einzelnen EU-Ländern, sondern mussten erst jeweils umgesetzt werden. Allein dies sorgte natürlich für unterschiedliche Schutzniveaus.

Durch den Vertrag von Lissabon (in Kraft getreten am 01.12.2009) gab es noch einmal neue Impulse in Bezug auf das europäische Datenschutzrecht. Zum einen sind die drei Säulen der Europäischen Union, nämlich die Europäische Gemeinschaft (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitestgehend vereinigt worden. Zum anderen regelt Art. 16 Absatz 2 AEUV (Konsolidierte Fassung des Vertrages über die Arbeitsweise der Europäischen Union) nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass sowohl vom Parlament als auch vom Rat Datenschutzvorschriften im ordentlichen Gesetzgebungsverfahren erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und somit dessen Kompetenzen erheblich vergrößert.

Inhaltlich ist eine Erweiterung durch den Vertrag von Lissabon insoweit eingetreten, als dass die EU nun auch Regelungen aufstellen kann, die nicht nur für die Verarbeitung personenbezogener Daten für die europäischen Organe und Einrichtungen gelten, sondern auch für die Mitgliedstaaten. Zudem ist mit dem Vertrag von Lissabon die Europäische Grundrechte-Charta für alle Staaten (bis auf Großbritannien und Polen) rechtsverbindlich geworden, die in Art. 8 das Grundrecht des Schutzes personenbezogener Daten enthält.

 

Durch den Vertrag von Lissabon ist es Europa möglich geworden, selbst Datenschutzverordnungen zu erlassen, die sodann unmittelbar und zwingend in allen europäischen Ländern gelten.

Dies wird aktuell durch eine neue EU Datenschutzverordnung geplant. Ein erster Entwurf / Vorschlag ist am 25.1.2012 vorgelegt worden. 

Weitere Hinweise zur EU-Datenschutzverordnung finden Sie hier.

Datenschutz: Die Auftragsdatenverarbeitung (§ 11 BDSG)

Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Voraussetzung ist,

  • dass personenbezogene Daten
  • im Auftrag der verantwortlichen Stelle
  • durch eine andere Stelle erhoben, verarbeitet oder genutzt werden sollen.

Nach der Grundkonzeption liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftragnehmer weisungsgebunden (ohne eigenen Wertungs- und Entscheidungsspielraum) für den Auftraggeber tätig wird. Ist dies nicht der Fall, liegt eine Datenübermittlung an einen Dritten vor (Funktionsübertragung), so dass der Auftragnehmer selbst zur verantwortlichen Stelle wird. Entscheidend ist (wie immer) nicht der Wortlaut einer Vereinbarung, sondern der tatsächliche Inhalt des Auftrags bzw. wie dieser gelebt wird.

Zudem ist streitig, ob weitere Anforderungen hinzutreten müssen:
Nach der sog. „Funktionsübertragungstheorie“ kommt es auf die reine „Hilfsfunktion“ des Auftragnehmers an.
Nach der Vertragstheorie kommt es auf die vom Auftragnehmer übernommene Aufgabe an, d.h. auch hier auf die Weisungsgebundenheit. Es kommt somit nicht auf das an, was delegiert wird, sondern auf das wie.

Fälle der Auftragsdatenverarbeitung sind z.B. Marketingmaßnahmen, wenn diese streng von dem Auftraggeber vorgegeben werden, aber auch das klassische IT – Outsourcing, wenn zumindest der IT – Dienstleister an die Vorgaben des Auftraggebers gebunden bleibt.

Auch die Auftragsdatenverarbeitung im Konzern ist möglich, so lange keine Anhaltspunkte dafür vorhanden sind, dass sich die beauftragte Ober- oder Muttergesellschaft nicht an die erteilten Weisungen hält (so z.B. bei einer konzernweiten Personaldatenbank).

Quasi als Rechtsfolge bleibt bei der Auftragsdatenverarbeitung der Auftraggeber gem. §§ 11 Abs.1 S.1, 3 Abs. 7 BDSG allein für die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Anforderungen verantwortlich.

Dies umfasst

  • die Zulässigkeit der Erhebung, Verarbeitung, Nutzung der Daten nach allgemeinen und bereichsspezifischen Vorschriften
  • die Wahrung der Rechte des Betroffenen sowie
  • die Haftung gegenüber den Betroffenen.

Der Auftraggeber ist verpflichtet, den Auftragnehmer sorgfältig auszuwählen und zu überwachen.

§ 11 Abs. 2 S. 2 BDSG enthält eine nicht abschließende Liste von Punkten, die der Auftrag enthalten muss:

  • den Gegenstand und die Dauer des Auftrags,
  • den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Form des Auftrags ist die Schriftform.

Dem Auftragnehmer obliegen folgende Verpflichtungen:

  • Weisungsgebundenheit
  • Hinweispflichten bei Rechtsverstößen

Für die IT – Branche ist § 11 Abs. 5 BDSG interessant (Prüfung und Wartung von DV – Anlagen). Immer dann, wenn seitens externer Dienstleister bei der Systembetreuung die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, ist § 11 Abs. 5 BDSG anwendbar. Dies ist z.B. auch bei der Fernwartung (Remote-Access) zu beachten.

Falls Sie Fragen im Rahmen der Auftragsdatenverarbeitung haben oder Hilfestellung bei der Formulierung einer schriftlichen Vereinbarung benötigen, stehe ich Ihnen gerne zur Verfügung.

Datenschutz: Die Auskunftspflichten gegenüber dem Betroffenen

§ 34 BDSG:

§ 34 BDSG regelt den Anspruch auf Auskunft des Betroffenen gegenüber den datenverarbeitenden Stellen. Die Voraussetzungen des § 34 BDSG sind:

  • Auskunftsverlangen des Betroffenen
  • Identifikation des Betroffenen
  • Nähere Bezeichnung der Daten (sofern möglich – ist dies nicht möglich, wird der Antrag so ausgelegt, dass Auskunft über alle zu seiner Person gespeicherten Daten begehrt wird)

Der Umfang der Auskunft:

Grundsätzlich sind von dem Anspruch alle Daten erfasst, die zur Person des Betroffenen gespeichert sind.Insbesondere folgende Punkte:

  • „Daten zur Person des Betroffenen“ entspricht dem Begriff personenbezogene Daten gem. § 3 Abs. 1 BDSG.
  • Der Anspruch auf die Herkunft der Daten besteht nur, wenn diese Angabe in den Daten mitgespeichert wurde.
  • Daneben sind auch die Empfänger der Daten und die Kategorie von Empfängern (z.B. Adresshändler, Kreditinstitute etc.) mitzuteilen.
  • Der Zweck der Speicherung ist mitzuteilen (eine pauschale Umschreibung genügt).

§ 34 Abs. 1 S. 3, 4 , Abs. 3 und 4 BDSG enthalten Sonderreglungen für die geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung. In diesen Fällen sind auch solche Daten preiszugeben, die nicht gespeichert sind (sondern z.B. in Akten oder im Kopf des Mitarbeiters vorhanden sind). Auch sollen künftige Daten (über die erst zukünftig ein Personenbezug möglich ist) mitgeteilt werden. Des Weiteren ist der Betroffene darüber zu informieren, welche „Scorewerte“ an welche Personen in den letzten 12 Monaten vor dem Zugang des Auskunftsverlangens mitgeteilt worden sind. Eine Begrenzung des Anspruches wird durch das Erfordernis einer einzelfallbezogenen Interessenabwägung mit der Wahrung des Geschäftsgeheimnisses der verantwortlichen Stelle hergestellt.
Sofern Daten der Anfrage gespeichert werden, dürfen diese gem. Abs. 5 nur für diesen Zweck gespeichert werden. Eine anderweitige Nutzung ist ausgeschlossen.
Grundsätzlich wird gem. Abs. 6 die Schriftform verlangt, es sei denn, dass aufgrund besonderer Umstände auch eine andere Form angemessen ist. Aufgrund der Unsicherheiten im Emailverkehr sollten Auskünfte jedoch nicht per unverschlüsselter Email versandt werden.
Eine Auskunft kann nicht verlangt werden, sofern eine Ausnahmeziffer des § 33 Abs. 2 BDSG vorliegt (§ 34 Abs. 7).

Kosten?

Grundsätzlich sind die Auskünfte gem. § 34 Abs. 8 BDSG kostenfrei. Hiervon gibt es Ausnahmen, sofern die Auskünfte gegenüber Dritten zu wirtschaftlichen Zwecken genutzt werden können (§ 34 Abs. 8 S. 2 BDSG). Allerdings soll auch hier der Betroffene 1 mal pro Jahr eine kostenlose Selbstauskunft in Textform erhalten dürfen. Für jede weitere Auskunft kann dann ein Entgelt verlangt werden. Etwas anderes gilt gem. Abs. 8 S. 5 für den Fall der möglichen Unrichtigkeit der Daten.

Sofern die Auskunft entgeltlich ist, räumt Abs. 9 dem Betroffenen die Möglichkeit der persönlichen Kenntnisnahme ein (kostenfrei). Zudem wird die verantwortliche Stelle verpflichtet, auf diese Möglichkeit hinzuweisen.

Verstöße gegen die Auskunftsvorschriften stellen eine Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 8a BDSG dar und können mit einer Geldbuße bis zu 50.000,- Euro sanktioniert werden. Zudem kann der Betroffene Schadensersatz gem. § 823 Abs. 2 i.V.m. § 34 BDSG oder direkt aus § 7 BDSG geltend machen.

Mitgeteilt von Anwalt Karsten Klug.

Datenschutz: Die Einwilligung (§ 4a BDSG)

§ 4a BDSG regelt den Fall der Einwilligung in die Datenerhebung. Die Einwilligung stellt keinen Grundrechtsverzicht dar, sondern ist ein Fall der Grundrechtsausübung. Sie ist einseitig widerruflich. Durch eine Einwilligung können konkrete gesetzliche Erhebungs- und Verwendungsverbote nicht erlaubt werden (§ 134 BGB).

Sofern es sich nicht um besondere Sachverhalte (z.B. bei Banken oder Versicherungen) handelt, gilt grundsätzlich, dass Einwilligungen zur Datenerhebung auch zusammen mit anderen Willenserklärungen abgegeben werden können. Sofern jedoch AGB benutzt werden, muss eine Klausel drucktechnisch deutlich hervorgehoben werden. Für den Adresshandel ist dies ausdrücklich in § 28 Abs. 3a S. 2 BDSG geregelt. Im Falle der Online – Einwilligung sind auch noch die Anforderungen des § 13 Abs. 2 TMG zu beachten.

Im Rahmen der Nutzung der Daten zu Werbezwecken für Email oder SMS – Anschreiben ist grundsätzlich § 7 Abs. 2 S. 3 UWG zu beachten. Die unverlangte Emailwerbung stellt grundsätzlich eine unzumutbare Belästigung dar. Aufgrund dessen ist, auch wenn ggf. das Datenschutzrecht diese Nutzung noch erlaubt, das UWG zu beachten und ggf. die Nutzung gleichwohl untersagt. In der sogenannten „Payback – Entscheidung“ hatte der BGH (NJW 2008, 3055) klargestellt, dass aufgrund der besonderen wettbewerbsrechtlichen Komponente eine ausdrückliche Einwilligung erfolgen müsse (Opt-in-Lösung).

Die Einwilligung muss bestimmt sein. Eine zu pauschale Einwilligung, die z.B. die Zweckbestimmung der beabsichtigten Datenverwendung oder die Empfänger einer beabsichtigten Datenübermittlung nicht nennt, ist unzulässig.

Folglich müssen sich aus der Einwilligung

  • die Art der personenbezogenen Daten
  • der Zweck der Erhebung oder Verwendung
  • und ggf. die Empfänger (im Falle der Übermittlung)

ergeben.

Bei der Erhebung sensitiver Daten (§ 3 Abs. 9 BDSG) muss auf den besonderen Schutz und die Sensitivität hingewiesen werden.

Die Einwilligung bedarf grundsätzlich der Schriftform, es sei denn, dass besondere Umstände ein Abweichen vom Formerfordernis angemessen erscheinen lassen. Dies ist z.B. bei der Kommunikation über das Internet oder via Email der Fall. Im Gegensatz zum § 13 Abs. 2 TMG ist bei der Regelung des § 4a Abs. 1 S. 3 BDSG nicht erforderlich, dass der Betroffene seine Einwilligung jederzeit abrufen können muss. Dies jedoch fordert § 13 Abs. 2 TMG.

Achtung bei der formularmäßigen Einwilligung (z.B. in Arbeitsverträgen):
Es ist dabei darauf zu achten, dass als Pflichtfelder nur diejenigen Datenfelder ausgewiesen werden, mit denen Daten aufgrund einer gesetzlichen Erlaubnis erhoben werden. Die freiwillige Angabe weiterer Daten des Betroffenen ist indes möglich. Allerdings liegt eine wirksame Einwilligung (dieser freiwilligen Daten) nicht bereits durch die Eingabe vor. Vielmehr muss bei der Eingabemaske ausdrücklich auf folgende Punkte gem. § 4a Abs. 1 S. 2 BDSG hingewiesen werden:

  • Vorgesehenen Zweck der Erhebung
  • Welche Verarbeitung / Nutzung erfolgt
  • Ggf. auf die Folgen der Weigerung der Einwilligung hinzuweisen.
  • Im Rahmen der freiwilligen Einwilligung bestehen Koppelungsverbote bzw. werden solche diskutiert.

Niederschlag hat das Koppelungsverbot in § 28 Abs. 3 b BDSG gefunden, wonach eine verantwortliche Stelle den Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verarbeitung oder Nutzung für Zwecke des Adresshandels oder der Werbung abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Datenschutz: Aufbau des BDSG – Teil II

Meldepflichten gem. § 4 d BDSG:

Sie dienen der Vorabkontrolle. Es gibt grundsätzlich ein Regel – Ausnahme – Prinzip.

Die Regel:

Die Regel besagt, dass zunächst einmal alle verantwortlichen Stellen meldepflichtig sind. Gegenstand dieser Meldepflicht sind „Verfahren automatisierter Verarbeitungen“. Mit Verfahren sind nicht einzelne Verarbeitungsvorgänge, sondern ganze „Verarbeitungspakete“, die einem einheitlichen Zwecke dienen, gemeint. Die Meldung hat gem. Abs. 1 gegenüber der zuständigen Aufsichtsbehörde zu erfolgen (bei nicht-öffentlichen Stellen). Eine bestimmte Form ist nicht vorgeschrieben. Die Behörden akzeptieren grundsätzlich auch Emails bzw. Emailanhänge, da die Behörden Musterformulare zur Verfügung stellen und man diese dann ausgefüllt als Emailanhang senden kann.

Ausnahmen von der Meldepflicht (§ 4 d Abs. 2 – 3 BDSG):

Ausnahmen bestehen für folgende Tatbestände:

Die Bestellung eines eigenen Beauftragten für den Datenschutz (unabhängig davon, ob eine sonstige Verpflichtung dazu besteht oder nicht).

Die Erhebung, Verarbeitung, Nutzung der Daten für eigene Zwecke und hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung, Nutzung beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung, Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Seit der BDSG – Novelle 2009 ist durch die Formulierung „in der Regel“ klargestellt, dass damit nicht Personen gemeint sind, die sporadisch Daten verarbeiten, sondern diese neun Personen müssen wirklich überwiegend mit der Verarbeitung, Erhebung oder Nutzung beschäftigt sein. Mithin zählen die Mitarbeiter nicht mit, die dies nicht regelmäßig, als freie Mitarbeiter, in Teilzeit oder nur hin und wieder tun.

Ausnahme von der Ausnahme (Abs. 4):
Die Ausnahme (Befreiung von der Meldepflicht) gilt nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle zum Zwecke der (auch anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung gespeichert werden (gemeint sind Datenverarbeitungen gem. §§ 29, 30, 30 a BDSG).

Schließlich gibt es noch die Vorabkontrolle (Abs. 5 – 6):
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

Die weiteren §§ des BDSG:

§ 4 e BDSG regelt den Inhalt der Meldepflicht
§ 5 BDSG regelt das Datengeheimnis der beschäftigen Personen
§ 6 BDSG regelt die Rechte des Betroffenen mit einem Verweis auf § 34 (Auskunft), § 35 (Löschung, Sperrung) und erklärt die Unabdingbarkeit
§ 6a BDSG enthält die automatisierte Einzelentscheidung (z.B. beim Kreditantrag etc.)
§ 6b BDSG regelt die Videoüberwachung und deren Voraussetzungen.
§ 6c BDSG regelt die Nutzung mobiler personenbezogener Speicher- und Verarbeitungsmedien.
§ 7 BDSG ist Anspruchsgrundlage eines Schadensersatzanspruches des Betroffenen gegen die verantwortliche Stelle.
§ 8 BDSG regelt dies konkret für öffentliche Stellen (natürlich mit einer Haftungsbeschränkung auf 130.000,- Euro).
§ 9 BDSG regelt technische und organisatorische Maßnahmen der verantwortlichen Stelle zur Durchsetzung des BDSG, wie z.B.:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle

§ 9a BDSG regelt das Datenschutzaudit (Zertifizierungsmöglichkeit zur Verbesserung des Datenschutzes).
§ 10 BDSG Einrichtung eines automatisierten Abrufverfahrens.

Mitgeteilt von Anwalt Karsten Klug

Datenschutz: Der Aufbau und einige wichtige Grundsätze des BDSG

Der grundsätzliche Aufbau:

  • Allgemeine und gemeinsame Vorschriften §§ 1 – 11 BDSG (Definitionen, Zweck und Anwendungsbereich des Gesetzes, Prinzipien des Datenschutzes, Datenschutzbeauftragter, etc.).
  • Datenverarbeitung der öffentlichen Stellen §§ 12 – 26 BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen und schließlich Regelungen in Bezug auf den Bundesbeauftragten für den Datenschutz).
  • Datenverarbeitung nicht – öffentlicher Stellen und öffentlich – rechtlicher Wettbewerbsbetriebe §§ 27 – 38a BDSG (Rechtsgrundlagen der Datenverarbeitung, Rechte des Betroffenen, Aufsichtsbehörde).
  • Regelungen über Sondervorschriften §§ 39 – 42a BDSG (Daten bei Berufs- oder Amtsgeheimnis, Forschungseinrichtungen, Medien).
  • Übergangs- und Bußgeldvorschriften §§ 43 – 48 BDSG (§§ 43 und 44 BDSG Bußgeld- und Strafvorschriften).

Die einzelnen Vorschriften des allgemeinen Teils:

Anwendungsbereich (§ 1 Abs. 2 BDSG):
Adressaten des Gesetzes sind

  • Öffentliche Stellen des Bundes
  • Öffentliche Stellen der Länder                                            eine Definition enthält § 2 BDSG
  • Nicht-öffentliche Stellen

Der sachliche Anwendungsbereich erstreckt sich auf die in § 3 Abs. 3 – 5 genannte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mit automatisierten Systemen. Zwar sieht die EG-DSRl vor, dass von dieser bei öffentlichen Stellen sowohl die automatisierte als auch die nicht – automatisierte Verarbeitung erfasst sein sollen. Letztere jedoch nur, wenn sie nach personenbezogenen Kriterien geordnet sind. Gleichwohl konnte der deutsche Gesetzgeber hiervon abweichen. Für nicht-öffentliche Stellen enthält § 1 Abs. 2 Nr. 3 eine Anordnung, wonach das BDSG nicht anwendbar ist, soweit Daten in nicht.

Bei der Datenverarbeitung durch öffentliche Stellen der Länder gilt die Besonderheit, dass durch die Länderkompetenz in mittlerweile allen Bundesländern spezialgesetzliche landesdatenschutzrechtliche Bestimmungen erlassen worden sind. Diese gehen in jedem Falle dem BDSG vor. Soweit jedoch die Länder Bundesaufgaben wahrnehmen, gilt dann das BDSG. Dies gilt darüber hinaus gem. § 1 Abs. 2 Nr. 2b auch, soweit die Bundesländer als Organe der Rechtspflege tätig werden und in dieser Funktion Verwaltungstätigkeit ausüben.

Das BDSG findet keine Anwendung, sofern die Datenverarbeitung im nicht-öffentlichen Bereich ausschließlich zu persönlichen oder familiären Zwecken erfolgt.

§ 1 Abs. 3 BDSG enthält einen „Vorrang des besonderen Datenschutzrechts“. Dies meint z.B. folgende Normen:

Das Allgemeine Gleichbehandlungsgesetz, Ausländergesetz, Bundesgrenzschutzgesetz, das Kreislaufwirtschafts- und Abfallgesetz, das Postgesetz, die Sozialgesetze, das Telekommunikationsgesetz, etc.

In § 1 Abs. 5 BDSG ist die internationale Anwendbarkeit geregelt.

§ 3 BDSG enthält einige Legaldefinitionen:

  • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1).
  • Automatisierte Verarbeitung (§ 3 Abs. 2)
  • Erheben (§ 3 Abs. 3)
  • Verarbeiten (§ 3 Abs. 4):
    • Speichern
    • Verändern
    • Übermitteln
    • Sperren
    • Löschen
  • Nutzen (§ 3 Abs. 5)
  • Anonymisieren (§ 3 Abs. 6)
  • Pseudonymisieren (§ 3 Abs. 6a)
  • Verantwortliche Stelle (§ 3 Abs. 7)
  • Empfänger / Dritter (§ 3 Abs. 8 )
  • Besondere Arten personenbezogener Daten (§ 3 Abs. 9)
  • Mobile personenbezogene Speicher- und Verarbeitungsmedien (§ 3 Abs. 10)
  • Beschäftigte (§ 3 Abs. 11).

Die Grundsätze des BDSG

Es gelten gem. § 3 a BDSG die Grundsätze der Datenvermeidung und Datensparsamkeit:
Dies resultiert aus dem Konzept des BDSG als Verbotsgesetz mit Erlaubnisvorbehalt. Danach dürfen personenbezogene Daten nur ausnahmsweise und unter engen Voraussetzungen verwendet werden, so dass zwangsläufig möglichst sparsam mit den Daten umgegangen werden soll. Geeignete Methoden sind hier die Anonymisierung und die Pseudonymisierung. Diese Konkretisierung der Grundsätze der Datensparsamkeit und Datenvermeidung unterliegen dem Zweckvorbehalt. D. h. es ist nur dann erforderlich, diese Verfahren zu benutzen, wenn dies zum einen technisch möglich ist und zum anderen der Zweck der Datenerhebung immer noch erreicht werden kann.

Beide Grundsätze sind letztlich auch dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz geschuldet, da zum einen die Datenverarbeitung für die Erreichung des angestrebten Ziels geeignet, erforderlich und schließlich verhältnismäßig im engeren Sinne sein muss. Insofern kommt es im Rahmen des BDSG immer konkret auf den Zweck bzw. das Ziel an.

Neben dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit ist jeweils noch das Gebot der Normklarheit zu beachten. Dies bedeutet letztlich, dass der Gesetzgeber keine allzu unbestimmten Rechtsbegriffe und keine zu weit gefassten Generalklauseln verwenden darf. Es muss dem Bürger trotz aller unbestimmter Rechtsbegriffe und der Formulierung generalisierender Klauseln möglich sein zu erkennen, welches Verbot oder Gebot eine Norm ausspricht.

Mittels desGrundsatzes der Zweckbindung werden Einschränkungen des Rechts auf informationelle Selbstbestimmung auf das Unvermeidbare reduziert. Das Erheben von personenbezogenen Daten darf nur für eindeutig festgelegte und rechtmäßige Zwecke erfolgen. Des Weiteren darf die Weiternutzung (Nutzung / Verarbeitung) der Daten nur auf eine mit der Zweckbestimmung zu vereinbarenden Weise erfolgen.

Grundsatz der Transparenz: Dieser wird durch das Recht des Betroffenen, Einsicht in seine gespeicherten personenbezogenen Daten zu nehmen, gewährleistet. Dieser Grundsatz wird zum einen durch die Informationspflichten für die datenverarbeitende Stelle und zum anderen durch das Auskunftsrecht des Betroffenen realisiert.

Gibt es Rechtsfolgen bei Verstößen gegen § 3a BDSG?

Nein!!! Die entsprechende Datenverarbeitung bleibt rechtmäßig und auch die Bußgeld- und Strafvorschriften gem. §§ 43, 44 BDSG enthalten diesbezüglich keine Regelung.

§ 4 BDSG – Regelungen zur Zulässigkeit der Datenerhebung – Verbot mit Erlaubnisvorbehalt
In dieser Norm ist das grundsätzliche Verbot der Datenerhebung und der Erlaubnisvorbehalt für den Fall geregelt, dass das BDSG oder ein anderes Gesetz dieses ausdrücklich erlauben oder eine konkrete Einwilligung des Betroffenen vorliegt.

Öffentliche Stellen haben dieses Verbot bei jeder Form der Erhebung und Verwendung von personenbezogenen Daten zu beachten (§ 1 Abs. 2 Nr. und 2 BDSG).

Nicht-öffentliche Stellen haben dieses Verbot nur zu beachten, wenn die personenbezogenen Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten unter Einsatz von Datenverarbeitungsanlagen oder in bzw. aus Dateien verwendet werden (§ 1 Abs. 2 Nr. 3 BDSG).

Verstöße gegen dieses Verbot haben weitreichende Konsequenzen. Neben einem Bußgeldverfahren und Schadensersatzan-sprüchen (§ 823 Abs. I bzw. § 823 Abs. 2 i.V.m. der Norm des BDSG) besteht die Möglichkeit einer strafrechtlichen Verfolgung gem. § 44 BDSG.

Die Verwendung der Daten ist unzulässig gem. § 20 Abs. 2 bzw. § 30 Abs. 3 oder § 35 Abs. 2 BDSG. Der Betroffene hat ggf. einen Löschungsanspruch.

Maßgebliche Normen, die die Datenerhebung für nicht-öffentliche Stellen (und auch für die öffentlich-rechtlichen Wettbewerbsunternehmen) erlauben, sind die §§ 28 – 30, 35 und 40 BDSG.

Auch für nicht-öffentliche Stellen gibt es außerhalb des BDSG Normen, die die Speicherung von Daten erlauben (z.B. § 91 AktG, § 10 WpHG, etc.).

Im Arbeitsrecht werden Tarifverträge und Betriebsvereinbarungen (§ 77 BetrVG ordnet die normative Außenwirkung für Betriebsvereinbarungen an) als entsprechende Normen in diesem Sinne anerkannt.

§ 4 Abs. 2 S. 1 BDSG (Regel) ordnet zudem den Grundsatz der Direkterhebung an. D. h. die Daten sollen möglichst durch Mitwirkung oder zumindest Kenntnis des Betroffenen erhoben werden. Die heimliche oder in Unkenntnis des Betroffenen erhobene Datenspeicherung ist hiervon natürlich nicht erfasst.

§ 4 Abs. 2 S. 2 BDSG (Ausnahme) regelt die Möglichkeit der Datenerhebung ohne Mitwirkung des Betroffenen. Die Möglichkeit besteht, wenn eine Rechtsvorschrift dies vorsieht (1. Alt.) oder gar zwingend voraussetzt (2. Alt.). Hiervon werden unter anderem die Fälle der verdeckten Ermittlung, Rasterfahndung, Postbeschlagnahme, TÜ (Telekommunikationsüberwachung), Bildaufnahme im Zuge von Observationen oder z.B. automatisierte Auskunftsverfahren bezüglich der bei Telekommunikationsdiensteanbietern gespeicherten Kundendaten (§ 111 ff. TKG) erfasst.

§ 4 Abs. 3 BDSG regelt die Unterrichtungs-, Hinweis- und Aufklärungspflichten des Betroffenen.
Bereits bei der Erhebung hat die verantwortliche Stelle den Betroffenen über

  • die Identität der erhebenden Stelle
  • die Zweckbestimmungen der Erhebung, Verarbeitung und Nutzung und
  • die Kategorien von Empfängern zu unterrichten (soweit der Betroffene mit der Übermittlung an diese nicht rechnen muss)

Bei natürlichen Personen und Gesellschaften bürgerlichen Rechts (GbR) genügen

  • Name und Anschriften der Personen
  • Telefonnummer
  • Emailadresse

Bei juristischen Personen sind

  • die Firmenbezeichnung einschließlich der vollen Namen (Vor- und Zuname) der Vertretungsberechtigten
  • die ladungsfähige Anschrift (kein Postfach)
  • Telefonnummer
  • Emailadresse
  • Registergericht und Registernummer

anzugeben.

Datenschutzrecht: Das Auskunftverlangen

Urteil des Landgerichts München vom 20.09.2005 Aktenzeichen 2 S 3548/05

In der zuvor zitierten Entscheidung hat das Landgericht München festgestellt, dass ein gemäß § 34 Bundesdatenschutzgesetz (BDSG) gerichtlich geltend zu machender Auskunftsanspruch voraussetzt, dass der „vermeindliche“ Anspruchsteller darlegt und glaubhaft macht, dass er „Betroffener“ im Sinne des § 3 Abs. I Bundesdatenschutzgesetz (BDSG) ist. Somit muss die Beklagte personenbezogene Daten über ihn gespeichert haben oder speichern.

Durch die Darlegung der Betroffenheit soll der Missbrauch ausgeschlossen werden. Insbesondere vor dem Hintergrund, dass das Datenschutzrecht keine anderen Hürden kennt, und ohne die Darlegung der Betroffenheit letztlich jeder einfach Auskunft begehren könnte, stellt die Darlegung der eigenen Betroffenheit eine wesentliche Voraussetzung dar.

Es muss aus der Sicht eines typischen oder der speziellen Betroffenen eine Verarbeitung von personenbezogenen Daten denkbar erscheinen. Dies ist zum Beispiel bei verantwortlichen Stellen, die ihrem Geschäftsmodell nach Daten über Jedermann haben könnten (wie zum Beispiel Auskunft über ein Schufa Telekom Dienstleistungen Online Anbieter) grundsätzlich der Fall. In anderen Fällen genügt es, wenn der Auskunftssuchende die Art der zu beauskunftenden Daten darlegt, gemäß seinen Obliegenheiten nach § 34 Abs. I Satz 2 Bundesdatenschutzgesetz.

Karsten Klug

Fachanwalt für Arbeitsrecht

Datenschutzrecht: Die Bestellung zum Datenschutzbeauftragten

Urteil des Bundesarbeitsgerichts vom 13.03.2007, Aktenzeichen 9 AZR 612/05:

In der zuvor zitierten Entscheidung stellte das Bundesarbeitsgericht fest, dass in dem Falle, in dem ein Arbeitnehmer von seinem Arbeitgeber mit Zustimmung des Arbeitnehmers gemäß § 4 f Abs. I Satz 1 Bundesdatenschutzgesetz (BDSG) zum Beauftragten für den Datenschutz des Betriebes bestellet wird, sich regelmäßig der Inhalt des Arbeitsvertrages verändert. Die Aufgaben des Datenschutzbeauftragten werden insoweit zur zusätzlichen Arbeitsaufgabe.

Allein eine Veränderung durch Ausübung des Direktionsrechts seitens des Arbeitsgebers genügt nicht. Ein solches umfassendes Direktionsrecht besteht nicht. Gehört zudem die Tätigkeit des Datenschutzbeauftragten zum arbeitsvertraglichen Pflichtenkreis des Arbeitnehmers, können die Bestellungen nach § 4 f Abs. III Satz 4 Bundesdatenschutzgesetz (BDSG) nur bei gleichzeitiger Teilkündigung der arbeitsvertraglich geschuldeten Sonderaufgabe wirksam widerrufen werden. Das schuldrechtliche Grundverhältnis sowie die Bestellung nach dem Bundesdatenschutzgesetz sind zwangsläufig miteinander verknüpft. Allerdings ist eine Teilkündigung hinsichtlich der Aufgaben des Datenschutzbeauftragten zulässig. In diesem Falle fällt dann die Aufgabe des Datenschutzbeauftragten weg.

Geklagt hatte ein Arbeitnehmer der bei einem Krankenhausträger seit mehreren Jahren auch als Datenschutzbeauftragter berufen war. In 2000 bzw. 2003 gab es Abberufungen des Klägers als Datenschutzbeauftragter durch den Landrat des Landkreises. Hiergegen wandte sich der Kläger mit einem Feststellungsbegehren und hatte in allen Instanzen Erfolg. Das Bundesarbeitsgericht führte hierzu aus, dass nach § 4 Abs. III Satz 4, 1. Halbsatz Bundesdatenschutzgesetz (BDSG) die Bestellung zum Beauftragten für den Datenschutz in entsprechende Anwendung von § 626 BGB widerrufen werden könne. Allerdings werde, sofern die Bestellung eines Arbeitnehmers unter gleichzeitiger einvernehmlicher Änderung der arbeitsvertraglichen Rechte und Pflichten erfolge, die Abberufung nur dann wirksam, wenn auch der Inhalt des Arbeitsverhältnisses entsprechend geändert wird. Die Bestellung eines Arbeitnehmers zum Datenschutzbeauftragten gemäß § 4 f Abs. I Satz 1 Bundesdatenschutzgesetz (BDSG) bedürfe regelmäßig einer entsprechenden Erweiterung der arbeitsvertraglichen Aufgaben durch Vertragsänderung. Das Bundesdatenschutzgesetz regelt gerade nicht, welches Rechtsverhältnis mit der Bestellung begründet werden soll. Insofern verlangt § 4 f Abs. II Satz 1 Bundesdatenschutzgesetz (BDSG) lediglich die erforderliche Fachkunde sowie Zuverlässigkeit. Auch müsste der Datenschutzbeauftragte kein Beschäftigter des beauftragenden Unternehmens sein. Auf der einen Seite steht somit die schuldrechtliche Verpflichtung die besonderen Aufgaben als Verantwortlicher für den Datenschutz zu übernehmen und auf der andreren Seite die öffentlich rechtliche Verpflichtung bzw. Ernennung nach dem BDSG. Lediglich in Ausnahmefällen wird neben dem Arbeitsvertrag lediglich ein Geschäftsbesorgungsvertrag nach § 611 und 675 BGB geschlossen. Hierzu bedürfe es jedoch einer ausdrücklichen Abrede. Nach Ansicht des Bundesarbeitsgerichts lasse sich der regelmäßige Abschluss eines Geschäftsbesorgungsvertrages nicht damit begründen, dass dieser die gemäß § 4 f Abs. III Satz 2 BDSG bestehende Weisungsfreiheit des Datenschutzbeauftragten eine andere Grundlage als einen Arbeitsvertrag erfordere. Das Argument, dass ein Arbeitsvertrag als Gestaltungsmittel grundsätzlich ausscheide wegen der Weisungsgebundenheit eines Arbeitnehmers, überzeugt nicht. Denn gerade wenn der Datenschutzbeauftragte bereits aufgrund seines Grundverhältnisses keinerlei Weisungen des beauftragenden Unternehmens unterworfen sei, hätte es der Regelungen in § 4 f Abs. III Satz 2 Bundesdatenschutzgesetz BDSG überhaupt nicht bedurft. Diese Vorschrift jedoch schließt ausdrücklich möglicherweise schon bestehende Weisungsrechte für die Tätigkeit des Datenschutzbeauftragten aus. Auch werde der Datenschutzbeauftragte nicht gänzlich weisungsfrei tätig. Dies trifft lediglich auf die Bereiche der Verantwortung für den Datenschutz zu. Zudem entscheidet zwar der Datenschutzbeauftragte eigenverantwortlich, (§ 4 f Abs. III Satz 2 Bundesdatenschutzgesetz), der Arbeitgeber kann jedoch Prüfaufträge erteilen. Schließlich sei der Arbeitgeber auch berechtigt die Amtsausübung des Datenschutzbeauftragten zu überwachen.

Aufgrund der Tatsache, dass im vorliegenden zu entscheidenden Fall eine entsprechende formwirksame Teilkündigung des Arbeitsvertrages nicht bestand und eine Änderung der arbeitsvertraglichen Pflichten nicht durchgeführt worden ist, sondern es lediglich bei der formalen Abberufung des Datenschutzbeauftragten (des Klägers) blieb, hielt das Bundesarbeitsgericht diese reine Abberufung für nicht ausreichend, so dass dem Feststellungsantrag des Klägers stattzugeben war.

Es sei in diesem Zusammenhang auf folgende Umstände hingewiesen:

  1. Wegen des Nachteilverbotes des § 4 Abs. III Satz 2 Bundesdatenschutzgesetz ist eine unbezahlte Mehrbelastung durch eine zusätzliche Aufgabe verboten.
  2. Die Abberufung allein rechtfertigt wegen des Benachteiligungsverbotes auch keine Beendigungskündigung oder Änderungskündigung mit eventuellen Nachteilen wie zum Beispiel Wegfall einer Zulage
  3. Es bleibt dem Arbeitgeber, sofern er den Datenschutzbeauftragten nicht mehr als Datenschutzbeauftragten haben möchte nur die Möglichkeit eine Teilkündigung. Es fällt dann lediglich die Aufgabe des Datenschutzbeauftragten weg. Der Arbeitgeber ist verpflichtet eine solche genaue exakte Zeitkündigung gegenüber dem Arbeitnehmer zu erklären.

Karsten Klug

Fachanwalt für Arbeitsrecht

Abgrenzungen des Datenschutzes zu anderen Rechten

Im Bereich des Datenschutzrechts gibt es zahlreiche Querverbindungen zu anderen Rechtsgebieten sowie zahlreiche europarechtliche Normen, die solange sie noch nicht in nationales Recht umgesetzt worden sind, ebenfalls zu beachten sind:
Wichtig in diesem Zusammenhang ist das durch den I. Senat des Bundesverfassungsgerichts mit Urteil vom 27.02.2008 neu definierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . In dieser Entscheidung hatte das Bundesverfassungsrecht Vorschriften des Verfassungsschutzgesetzes des Landes Nordrhein-Westfalen zu prüfen. Insbesondere gab es dort eine Regelung die die „Online – Dursuchung“ regelte. Das neue Grundrecht wurde vom BVerfG wie folgt begründet:
„Die Nutzung informationstechnischer Systeme ist für die Persönlichkeitsentfaltung vieler Bürger von zentraler Bedeutung, begründet gleichzeitig aber auch neuartige Gefährdungen der Persönlichkeit. Eine Überwachung der Nutzung solcher Systeme und eine Auswertung der auf den Speichermedien befindlichen Daten können weit reichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen. Hieraus folgt ein grundrechtlich erhebliches Schutzbedürfnis. Di Gewährleistungen der Art. 10 GG (Telekommunikationsgeheimnis) und Art. 13 GG (Unverletzlichkeit der Wohnung) wie auch die bisher in der Rechtsprechung des Bundesverfassungsgerichts entwickelten Ausprägungen des allgemeinen Persönlichkeitsrechtstragen dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung.“

Beispielsweise erstreckt sich der Schutz des Art. 10 Absatz 1 GG nicht auf die nach Abschluss eines Kommunikationsvorgangs gespeicherten Inhalte und Umstände der Telekommunikation. Das Telekommunikationsgeheimnis erfasst auch nicht die Überwachung eines informationstechnischen Systems als solches oder die Durchsuchung von Speichermedien. Diese Schutzlücke hat das Bundesverfassungsgericht nun mit dem neuen Grundrecht zu schließen versucht.

Die Auswirkungen dieses “neuen” Grundrechts sind noch weitestgehend ungeklärt. Insoweit bleibt abzuwarten, in welche Bereiche dieses Grundrecht strahlt. Nach dem Willen und der Begründung des Bundesverfassungsgerichts soll das Grundrecht in jedem Falle subsidiär gelten (also nachrangig gegenüber den Grundrechten auf Fernmeldegeheimnis (Art. 10 GG), Unverletzlichkeit der Wohnung (Art. 13 GG) sowie das Recht auf informationelle Selbstbestimmung. Folgende Voraussetzungen hat das BVerfG aufgestellt:
„Dieses Grundrecht ist anzuwenden, wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.“

Die genauen Auswirkungen des neuen Grundrechts sind derzeit noch nicht prognostizierbar. Hier wird es insbesondere weiterer Recherchen der Literatur sowie weitere Entscheidungen erfordern, um hier eine Rechtssicherheit zu schaffen. Insofern ist bereits unklar, welche „Systeme“ gemeint sind bzw. unter den Schutzbereich des Grundrechts fallen. Fraglich ist insbesondere, ob sich dadurch für Software etwas ändert. Problematisch dürften beispielsweise die Update – Routinen der Programme sein, die sich automatisch bei einer Internetverbindung mit dem Hersteller – Internetseiten verbinden und nach Updates suchen, wobei durch die die Registrierung bzw. Aktivierung bereits wieder diverse Nutzerdaten gespeichert und abgefragt werden. Teilweise wird in der Literatur angenommen, dass solche Routinen nunmehr sogar verboten sein sollen .

Allerdings können auch Auswirkungen auf Arbeitsverhältnisse vorstellbar sein, wie z.B. die Computerdurchsuchung am Arbeitsplatz, bei dem jedoch der Arbeitnehmer personenbezogene Daten gespeichert hat.

Das Datenschutzrecht ragt natürlich auch in die Bereiche des E – Commerce, Telemedien- und Telekommunikationsrechts hinein. So haben Anbieter sowohl die Informationspflichten des MediendiensteG / Telediensterechts und des E – Commerce, als auch des Datenschutzes zu beachten .