Arbeitsrecht: Datenschutzrecht – Anspruch des Betriebsrats auf Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Hat ein Betriebsrat im Rahmen des betriebsverfassungsrechtlichen Informationsanspruchs einen Anspruch auf einen Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Die Rechtsprechung, zum Beispiel das LAG Nürnberg vom 04.08.2004 in RDV 2006 84 L, verneint einen Anspruch aufgrund eines gesetzlichen Online-Zugriffrechts des Betriebsrats. In der zitierten Entscheidung forderte der Betriebsrat den Zugang zu einem SAP – Entgeltabrechungssystem des Arbeitgebers. Nach Ansicht des LAG Nürnberg steht dem Betriebsrat weder als Ausformung seiner Rechte aus § 80 BetrVG noch als Sachausstattung nach § 40 BetrVG ein eigenständiger oder auftragsgemäßer Zugang zu dem arbeitgebergebräuchlichen SAP – Entgeltabrechungssystem zu. Nach Ansicht der Richter des LAG Nürnberg existiere eine entsprechende Anspruchsgrundlage nicht.

Auch das Bundesarbeitsgericht hatte in seiner Entscheidung zum Zugangsrecht des Betriebsrats zum Internet gemäß § 40 Abs. 2 BetrVG vom 03.09.2003 (Az. DAGE 107,231 bzw. NZA 2004, Seite 280) keine Hinweise erteilt, dass sich aus § 40 Abs. 2 BetrVG ein Recht auf Online-Zugriff oder ein Recht auf sonstige Zugriffe auf beim Arbeitgeber elektronisch gespeicherte Daten des Betriebsrats ergeben könnte. Sämtliche weitere in Betracht kommenden Normen, insbesondere auch Überlegungen zur Auftragsdatenverarbeitung gemäß § 11 BDSG greifen hier nicht. Eine entsprechende Anspruchsgrundlage existiert nicht. Die einzige Möglichkeit bleibt letztlich, dass auf Grundlage einer freiwillig geschlossenen Betriebsvereinbarung zwischen Arbeitgeber und Betriebsrat ein über die Gesetzesgrundlagen hinausgehendes Recht eingeräumt wird. Gleichwohl ist hier zu berücksichtigen, dass ein als Online-Zugriffsrecht ausgestaltetes Informationsrecht des Betriebsrats an die Grenzen von § 80 Abs. 2 BetrVG gebunden ist. Es muss diesbezüglich ein konkreter Aufgabenbezug bestehen! Insofern kann der Betriebsrat nicht beliebig auf personenbezogene Daten des Arbeitsgebers online Zugriff nehmen. Dies kann er lediglich zur Erfüllung seiner betriebsverfassungsrechtlich garantierten Aufgaben.

Bereits das BAG hat in seiner Entscheidung vom 23.03.2010 (Az. 1 ABR 81/08) klargestellt, dass ein Betriebsrat nicht jede Auskunft verlangen kann, nur weil die dadurch vermittelten Erkenntnisse ihn insgesamt sachkundiger machen würden. Immerhin darf ein Online-Zugriff nicht dazu dienen, völlig aufgabenbezugslos die Unternehmensstrategie „auszuforschen“. Insofern ist ein schrankenloser Online-Zugriff auch aufgrund einer freiwilligen Betriebsvereinbarung des Betriebsrats mit dem Arbeitgeber nicht möglich, da es immer einen Aufgabenbezug geben muss.

Es bestehen darüber hinaus weitere andere Grenzen des Online-Zugriffs: Der Betriebsrat darf Informationen nicht um ihrer selbst Willen verlangen. Erst recht hat der Betriebsrat keine Möglichkeit, sich Informationen im Wege eines Selbsthilferechts zu beschaffen. Datenschutzrechtlich ist zu konstatieren, dass der Betriebsrat sowohl nach Auffassung des Bundesarbeitsgerichts als auch nach ganz herrschender Meinung Teil der verantwortlichen Stelle des Arbeitsgebers ist, also datenschutzrechtlich Teil des datenverarbeitenden Arbeitsgebers ist. Es ergibt sich jedoch eine Pflicht des Arbeitsgebers zur Ergreifung technischer Maßnahmen wie der Verschlüsselung, Anonymisierung, Pseudonymisierung oder des Mitspeicherns (Logging – Erstellen von Logfiles) aller durchgeführten Aktionen. Dies ergibt sich bereits aus dem Umstand, dass der Betriebsrat nach inzwischen überwiegender Auffassung dem Datengeheimnis gemäß § 5 Satz 1 BetrVG unterliegt (Vgl. hierzu Bundesarbeitsgericht in NZA 2009, Seite 1218).

Der Arbeitgeber ist bekanntlich nach § 9 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG zu gewährleisten. Dies betrifft im Falle des Online-Zugriffs personenbezogener Daten durch den Betriebsrat auch diesen Datenfluss, sodass auch hier der Arbeitgeber zusammen mit dem Betriebsrat Maßnahmen ergreifen muss, damit im Sinne des § 9 BDSG bzw. der Anlage zu § 9 Satz 1 BDSG die Datensicherheit gewährleistet ist. Sofern es sich bei der Datenerhebung / Verarbeitung um eigene Daten des Betriebsrats handelt, unterliegt dieser lediglich der Selbstkontrolle. Handelt es sich hingegen um vom Arbeitgeber erhobene Daten, die der Betriebsrat durch Online-Zugriff dann nutzt bzw. verarbeitet, unterliegen diese Datenflüsse der Kontrolle des Datenschutzbeauftragten des Betriebs. Allerdings darf dies nicht dazu führen, dass das Gebot der Freiheit des Betriebsrats unterlaufen wird und quasi hier der Arbeitgeber durch den betrieblichen Datenschutzbeauftragten Kontrolle über die Tätigkeiten des Betriebsrats erlangt.

Fraglich ist, ob die betroffenen Arbeitnehmer über den konkreten Online-Zugriff des Betriebsrats auf personenbezogene Arbeitnehmerdaten des Arbeitgebers informiert werden müssen? Betriebsverfassungsrechtlich ergeben sich hier keine Anhaltspunkte. Es können sich jedoch aus dem Bundesdatenschutzgesetz entsprechende Verpflichtungen ergeben. Allerdings liegt im Zweifel bei dem bloßen Leserecht in Bezug auf die Daten des Arbeitsgebers eine Nutzung und keine Änderung oder Speicherung ohne Kenntnis des Arbeitnehmers vor, sodass die Betroffenen nicht gemäß § 33 BDSG zu informieren sind.

Karsten Klug
Fachanwalt für Arbeitsrecht, Hamburg

Datenschutz: Die Einwilligung (§ 4a BDSG)

§ 4a BDSG regelt den Fall der Einwilligung in die Datenerhebung. Die Einwilligung stellt keinen Grundrechtsverzicht dar, sondern ist ein Fall der Grundrechtsausübung. Sie ist einseitig widerruflich. Durch eine Einwilligung können konkrete gesetzliche Erhebungs- und Verwendungsverbote nicht erlaubt werden (§ 134 BGB).

Sofern es sich nicht um besondere Sachverhalte (z.B. bei Banken oder Versicherungen) handelt, gilt grundsätzlich, dass Einwilligungen zur Datenerhebung auch zusammen mit anderen Willenserklärungen abgegeben werden können. Sofern jedoch AGB benutzt werden, muss eine Klausel drucktechnisch deutlich hervorgehoben werden. Für den Adresshandel ist dies ausdrücklich in § 28 Abs. 3a S. 2 BDSG geregelt. Im Falle der Online – Einwilligung sind auch noch die Anforderungen des § 13 Abs. 2 TMG zu beachten.

Im Rahmen der Nutzung der Daten zu Werbezwecken für Email oder SMS – Anschreiben ist grundsätzlich § 7 Abs. 2 S. 3 UWG zu beachten. Die unverlangte Emailwerbung stellt grundsätzlich eine unzumutbare Belästigung dar. Aufgrund dessen ist, auch wenn ggf. das Datenschutzrecht diese Nutzung noch erlaubt, das UWG zu beachten und ggf. die Nutzung gleichwohl untersagt. In der sogenannten „Payback – Entscheidung“ hatte der BGH (NJW 2008, 3055) klargestellt, dass aufgrund der besonderen wettbewerbsrechtlichen Komponente eine ausdrückliche Einwilligung erfolgen müsse (Opt-in-Lösung).

Die Einwilligung muss bestimmt sein. Eine zu pauschale Einwilligung, die z.B. die Zweckbestimmung der beabsichtigten Datenverwendung oder die Empfänger einer beabsichtigten Datenübermittlung nicht nennt, ist unzulässig.

Folglich müssen sich aus der Einwilligung

  • die Art der personenbezogenen Daten
  • der Zweck der Erhebung oder Verwendung
  • und ggf. die Empfänger (im Falle der Übermittlung)

ergeben.

Bei der Erhebung sensitiver Daten (§ 3 Abs. 9 BDSG) muss auf den besonderen Schutz und die Sensitivität hingewiesen werden.

Die Einwilligung bedarf grundsätzlich der Schriftform, es sei denn, dass besondere Umstände ein Abweichen vom Formerfordernis angemessen erscheinen lassen. Dies ist z.B. bei der Kommunikation über das Internet oder via Email der Fall. Im Gegensatz zum § 13 Abs. 2 TMG ist bei der Regelung des § 4a Abs. 1 S. 3 BDSG nicht erforderlich, dass der Betroffene seine Einwilligung jederzeit abrufen können muss. Dies jedoch fordert § 13 Abs. 2 TMG.

Achtung bei der formularmäßigen Einwilligung (z.B. in Arbeitsverträgen):
Es ist dabei darauf zu achten, dass als Pflichtfelder nur diejenigen Datenfelder ausgewiesen werden, mit denen Daten aufgrund einer gesetzlichen Erlaubnis erhoben werden. Die freiwillige Angabe weiterer Daten des Betroffenen ist indes möglich. Allerdings liegt eine wirksame Einwilligung (dieser freiwilligen Daten) nicht bereits durch die Eingabe vor. Vielmehr muss bei der Eingabemaske ausdrücklich auf folgende Punkte gem. § 4a Abs. 1 S. 2 BDSG hingewiesen werden:

  • Vorgesehenen Zweck der Erhebung
  • Welche Verarbeitung / Nutzung erfolgt
  • Ggf. auf die Folgen der Weigerung der Einwilligung hinzuweisen.
  • Im Rahmen der freiwilligen Einwilligung bestehen Koppelungsverbote bzw. werden solche diskutiert.

Niederschlag hat das Koppelungsverbot in § 28 Abs. 3 b BDSG gefunden, wonach eine verantwortliche Stelle den Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verarbeitung oder Nutzung für Zwecke des Adresshandels oder der Werbung abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Datenschutz: Aufbau des BDSG – Teil II

Meldepflichten gem. § 4 d BDSG:

Sie dienen der Vorabkontrolle. Es gibt grundsätzlich ein Regel – Ausnahme – Prinzip.

Die Regel:

Die Regel besagt, dass zunächst einmal alle verantwortlichen Stellen meldepflichtig sind. Gegenstand dieser Meldepflicht sind „Verfahren automatisierter Verarbeitungen“. Mit Verfahren sind nicht einzelne Verarbeitungsvorgänge, sondern ganze „Verarbeitungspakete“, die einem einheitlichen Zwecke dienen, gemeint. Die Meldung hat gem. Abs. 1 gegenüber der zuständigen Aufsichtsbehörde zu erfolgen (bei nicht-öffentlichen Stellen). Eine bestimmte Form ist nicht vorgeschrieben. Die Behörden akzeptieren grundsätzlich auch Emails bzw. Emailanhänge, da die Behörden Musterformulare zur Verfügung stellen und man diese dann ausgefüllt als Emailanhang senden kann.

Ausnahmen von der Meldepflicht (§ 4 d Abs. 2 – 3 BDSG):

Ausnahmen bestehen für folgende Tatbestände:

Die Bestellung eines eigenen Beauftragten für den Datenschutz (unabhängig davon, ob eine sonstige Verpflichtung dazu besteht oder nicht).

Die Erhebung, Verarbeitung, Nutzung der Daten für eigene Zwecke und hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung, Nutzung beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung, Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Seit der BDSG – Novelle 2009 ist durch die Formulierung „in der Regel“ klargestellt, dass damit nicht Personen gemeint sind, die sporadisch Daten verarbeiten, sondern diese neun Personen müssen wirklich überwiegend mit der Verarbeitung, Erhebung oder Nutzung beschäftigt sein. Mithin zählen die Mitarbeiter nicht mit, die dies nicht regelmäßig, als freie Mitarbeiter, in Teilzeit oder nur hin und wieder tun.

Ausnahme von der Ausnahme (Abs. 4):
Die Ausnahme (Befreiung von der Meldepflicht) gilt nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle zum Zwecke der (auch anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung gespeichert werden (gemeint sind Datenverarbeitungen gem. §§ 29, 30, 30 a BDSG).

Schließlich gibt es noch die Vorabkontrolle (Abs. 5 – 6):
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

Die weiteren §§ des BDSG:

§ 4 e BDSG regelt den Inhalt der Meldepflicht
§ 5 BDSG regelt das Datengeheimnis der beschäftigen Personen
§ 6 BDSG regelt die Rechte des Betroffenen mit einem Verweis auf § 34 (Auskunft), § 35 (Löschung, Sperrung) und erklärt die Unabdingbarkeit
§ 6a BDSG enthält die automatisierte Einzelentscheidung (z.B. beim Kreditantrag etc.)
§ 6b BDSG regelt die Videoüberwachung und deren Voraussetzungen.
§ 6c BDSG regelt die Nutzung mobiler personenbezogener Speicher- und Verarbeitungsmedien.
§ 7 BDSG ist Anspruchsgrundlage eines Schadensersatzanspruches des Betroffenen gegen die verantwortliche Stelle.
§ 8 BDSG regelt dies konkret für öffentliche Stellen (natürlich mit einer Haftungsbeschränkung auf 130.000,- Euro).
§ 9 BDSG regelt technische und organisatorische Maßnahmen der verantwortlichen Stelle zur Durchsetzung des BDSG, wie z.B.:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle

§ 9a BDSG regelt das Datenschutzaudit (Zertifizierungsmöglichkeit zur Verbesserung des Datenschutzes).
§ 10 BDSG Einrichtung eines automatisierten Abrufverfahrens.

Mitgeteilt von Anwalt Karsten Klug

Datenschutzrecht: Das Auskunftverlangen

Urteil des Landgerichts München vom 20.09.2005 Aktenzeichen 2 S 3548/05

In der zuvor zitierten Entscheidung hat das Landgericht München festgestellt, dass ein gemäß § 34 Bundesdatenschutzgesetz (BDSG) gerichtlich geltend zu machender Auskunftsanspruch voraussetzt, dass der „vermeindliche“ Anspruchsteller darlegt und glaubhaft macht, dass er „Betroffener“ im Sinne des § 3 Abs. I Bundesdatenschutzgesetz (BDSG) ist. Somit muss die Beklagte personenbezogene Daten über ihn gespeichert haben oder speichern.

Durch die Darlegung der Betroffenheit soll der Missbrauch ausgeschlossen werden. Insbesondere vor dem Hintergrund, dass das Datenschutzrecht keine anderen Hürden kennt, und ohne die Darlegung der Betroffenheit letztlich jeder einfach Auskunft begehren könnte, stellt die Darlegung der eigenen Betroffenheit eine wesentliche Voraussetzung dar.

Es muss aus der Sicht eines typischen oder der speziellen Betroffenen eine Verarbeitung von personenbezogenen Daten denkbar erscheinen. Dies ist zum Beispiel bei verantwortlichen Stellen, die ihrem Geschäftsmodell nach Daten über Jedermann haben könnten (wie zum Beispiel Auskunft über ein Schufa Telekom Dienstleistungen Online Anbieter) grundsätzlich der Fall. In anderen Fällen genügt es, wenn der Auskunftssuchende die Art der zu beauskunftenden Daten darlegt, gemäß seinen Obliegenheiten nach § 34 Abs. I Satz 2 Bundesdatenschutzgesetz.

Karsten Klug

Fachanwalt für Arbeitsrecht

Allgemeine Informationen zum Datenschutz

Das Datenschutzrecht umfasst die Rechtsvorschriften, die zum Schutz personenbezogener Daten des Betroffenen vor Beeinträchtigungen seines Persönlichkeitsrechts insbesondere durch Missbrauch und Verlust dieser Daten, erlassen worden sind. Dieses Datenschutzrecht ist von dem Persönlichkeitsrecht des Einzelnen, die Privatsphäre, das Recht zur informationellen Selbstbestimmung sowie das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abzugrenzen. Auch hiervon abzugrenzen sind das Datengeheimnis und die Datensicherheit (Sicherung genereller Daten – nicht nur der personenbezogenen Daten).

Datenschutz ist der Schutz personenbezogener Daten bei der Erhebung, Verarbeitung und der Nutzung. Das ursprüngliche auch seinerzeit vom Bundesverfassungsgericht in dem sog. Volkszählungsurteil (BVerfGE 65,1) erfasste Problem war die Bedrohung der (zentralen) Datenverarbeitungs – Systeme oder auch „das Gefährdungspotential der „Modernen Datenverarbeitung“ “. Hierbei gilt die Sorge nicht nur jedweden Missbrauchsformen, sondern auch der Sorge vor der Transparenz und die permanente Beobachtung jedes Einzelnen (z.B. durch den Staat oder Dritten). Betroffen sind folglich nicht nur EDV / IT – Bereiche sondern auch andere Bereiche, wie z.B. die öffentliche Videoaufnahme / -überwachung von öffentlichen Plätzen, Internet-, Telekommunikation- und Telefonüberwachung und schließlich auch bei den Krankenkassen die Erweiterung der gespeicherten Daten auf den Chip – Karte der Krankenkassen, etc. Viele aktuelle Probleme aus der Presse berühren oder greifen in das Datenschutzrecht ein.

Zweck des Datenschutzes

Gemäß § 1 Abs. 1 BDSG „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Entgegen dem Wort „Datenschutz“ sind natürlich Schutzgut des Datenschutzes gerade nicht die Daten selber sondern der Schutz der Persönlichkeitsrechte des Einzelnen. Im Datenschutzrecht geht es folglich um eine Mittel – Zweck – Relation. Grundlage ist das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt: Jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist im Geltungsbereich der Norm verboten ,es sei denn sie ist durch eine Norm oder die wirksame Einwilligung des Betroffenen erlaubt (sog. Verbotsprinzip).

Das Datenschutzrecht bedient sich folgender Instrumentarien:
– Zulässigkeitsvoraussetzungen
– Kontrollinstitutionen
– Rechte des Betroffenen
– Technisch / organisatorische Maßnahmen