Kurzbeitrag : Beschäftigtendatenschutz: Was wäre besser als der Status quo? : aus der RDV 4/2014, Seite 200 bis 203
Die 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat am 27.3.2014 eine Entschließung verabschiedet mit der Überschrift „Beschäftigtendatenschutz jetzt!“ Die Datenschutzbeauftragten verlangen, dass ein Beschäftigtendatenschutzgesetz alsbald geschaffen wird. Sie verweisen auf eine Vielzahl von Fragestellungen, für die es bislang noch keine klaren rechtlichen Vorgaben gebe. Die Datenschutzbeauftragten führen eine ganze Reihe solcher angeblich ungeklärter Fragen auf: „die immer umfassendere Videoüberwachung, Dokumentenmanagementsysteme, die die Leistung der Beschäftigten transparent werden lassen, die zunehmende Verquickung von Arbeit und Privatem verbunden mit der dienstlichen Nutzung von privaten Arbeitsmitteln wie Handy oder Laptop, die Nutzung von dienstlich zur Verfügung gestellten Kfz mit oder ohne die Erlaubnis privater Nutzung oder die private Nutzung der vom Arbeitgeber zur Verfügung gestellten E-Mail- und Internetzugänge, der zunehmende Einsatz biometrischer Verfahren sowie die Erhebung und Verarbeitung von Bewerberdaten beispielsweise aus sozialen Netzwerken.“
All diese genannten Fragestellungen sind wichtig, sie sind aber nur zum Teil ungeklärt. Schaut man sich diese Problembereiche näher an, erkennt man, dass hier Grundfragen der Rechtsbeziehung zwischen Arbeitgeber und Arbeitnehmer, Grundfragen des Arbeitsverhältnisses, betroffen sind – insbesondere die Reichweite und Zulässigkeit von Informationserhebungen im Arbeitsverhältnis. Dies zu regeln ist zunächst Aufgabe des Arbeitsvertragsrechts. In Deutschland gibt es nun kein kodifiziertes Arbeitsvertragsgesetz – die Gründe hierfür sind vielfältig. Deshalb sind hier zunächst die Arbeitsgerichte gefragt, welche selbstverständlich Rechtsgrundsätze zu einigen der aufgeworfenen Fragen entwickelt haben. Die Arbeitsgerichtsbarkeit kann dies natürlich nur tun, soweit Fallgestaltungen überhaupt an sie herangetragen werden, soweit also geklagt wird. Wenn man also fehlende gesetzliche Regelungen auf diesen Feldern beklagt, müsste man zunächst einmal das Arbeitsvertragsrecht kodifizieren und nebenbei bemerkt den Regelungsauftrag aus dem Einigungsvertrag erfüllen.
Dies zu schaffen wäre der erste Schritt, bevor man sich an die Kodifikation eines Beschäftigtendatenschutzgesetz macht, das all diese Fragestellungen aus seiner Perspektive lösen möchte – und das ist letztlich die Perspektive des Polizeirechts mit der Regelungstechnik Verbot mit Erlaubnisvorbehalt. Das passt nur bedingt ins Arbeitsverhältnis als ein Rechtsverhältnis zwischen Privatrechtssubjekten. Was die Datenschutzbeauftragten ebenfalls nicht vollständig in den Blick nehmen: Wir haben es im Arbeitsverhältnis mit weiteren Akteuren zu tun – neben den Arbeitsvertragsparteien, die natürlich auch Regelungen in diesen Bereichen vereinbaren können – insbesondere die Tarifvertragsparteien und in unserem Kontext besonders wichtig der Betriebsrat.
Aus meiner Sicht ist neben anderem an dieser Überambitioniertheit das Projekt der Bundesregierung mit ihrem Entwurf eines Beschäftigtendatenschutzgesetzes in der letzten Legislaturperiode gescheitert[1]. Er enthielt zu viele Regelungen einzelner genuin arbeitsvertragsrechtlicher Fragestellungen, die nur wegen der fortgeschrittenen Digitalisierung auch datenschutzrechtlich eingekleidet waren, und war verbunden mit einer aus dem Datenschutzrecht bekannten Regelungstechnik: weite, generalklauselartige Erlaubnistatbestände mit am Verhältnismäßigkeitsgrundsatz orientierten Abwägungsprogrammen. Bei solcher Regelungstechnik besteht die Gefahr, dass man als Rechtsunterworfener beides bekommt: sowohl Überregulierung und als auch Rechtsunsicherheit.
Damit bin ich bei der EU-Datenschutzgrundverordnung[2]. Angesichts des derzeitigen Stands der Diskussion besteht dieselbe Gefahr. Speziell zum Arbeitnehmerdatenschutz haben wir folgende Lage, sofern der Beschluss des Europäischen Parlaments Gesetz wird: Die Mitgliedstaaten können nun in den Grenzen der Verordnung den Beschäftigtendatenschutz eigenständig regeln – und zwar auch durch Kollektivverträge. Gleichzeitig enthält der Verordnungsvorschlag in der Fassung des Parlamentsbeschlusses aber Mindeststandards[3]. Diese stellen nicht unerhebliche Vorgaben auf und sind zum Teil aus dem Gesetzentwurf der Bundesregierung zum Beschäftigtendatenschutz aus der letzten Legislaturperiode entnommen – wie etwa das vollkommene Verbot heimlicher Videoüberwachung, das wiederum nach Auffassung des Bundesarbeitsgerichts die Grundrechte des Arbeitgebers aus Art. 12 und 14 GG unzumutbar verletzen soll[4]. Dieses Verbot der heimlichen Videoüberwachung wäre also eher eine Art „Höchststandard“. Wie dem auch sei: Wenn dieses Regelungsgeflecht so Gesetz wird, werden wir eine Vielzahl zu beachtender Regulierungsstandards auf den unterschiedlichen Regelungsebenen bekommen: Mindeststandards mit einer gewissen Regulierungstiefe auf europäischer Ebene; diese können von den Regelungen der Mitgliedstaaten zugunsten der Arbeitnehmer überboten werden; daneben kommen noch Betriebsvereinbarungen und Tarifverträge als Regelungsinstrumente in Betracht. Was wir nicht bekommen, sind einheitliche Regeln zum Arbeitnehmerdatenschutz in der gesamten EU, wie dies wohl Teile der Wirtschaft gewünscht haben. Und mit der Klarheit und Vorhersehbarkeit des Rechts dürfte es angesichts dieses Regelungsgeflechts im Mehrebenensystem der EU ebenfalls nicht zum Besten bestellt sein. Mutmaßlich bekommen wir also auch hier: Überregulierung und Rechtsunsicherheit.
Noch kurz ein Wort zur Kompetenz der EU für die arbeitsrechtlichen Regelungen der EU-Datenschutz-Grundverordnung[5]. Die Kommission nennt als Kompetenzgrundlage für die VO Art. 16 Abs. 2 AEUV und Art. 114 Abs. 1 AEUV. Art. 16 Abs. 2 AEUV trägt für arbeitsrechtliche Regelungen allerdings nichts bei, weil diese Vorschrift zum einen eine Rechtsgrundlage für die Schaffung datenschutzrechtlicher Regelungen hinsichtlich der Datenverarbeitung durch die Organe der Union und durch die Mitgliedstaaten statuiert; es geht also gerade nicht um die Datenverarbeitung durch Privatrechtssubjekte. Zum anderen erlaubt Art. 16 Abs. 2 AEUV den Erlass von Rechtsvorschriften über den freien Datenverkehr. Dies betrifft ebenfalls nicht Regelungen zum Arbeitnehmerdatenschutz, weil insoweit die Sicherung der ungehinderten Datenübertragung zwischen den Mitgliedstaaten in aller Regel nicht berührt ist. Bei Art. 114 Abs. 1 AEUV – die andere im Kommissionsvorschlag genannte Kompetenzgrundlage – handelt es sich um die allgemeine Kompetenzgrundlage für die Verwirklichung des Binnenmarkts. Diese Rechtsgrundlage gilt aber nach Art. 114 Abs. 2 AEUV nicht für „die Bestimmungen über die Rechte und Interessen der Arbeitnehmer“. Der Vorschlag der EU-Kommission für eine Datenschutzgrundverordnung enthält nicht mehr nur Regelungen wie die geltende EU-Datenschutzrichtlinie 95/46/EG, welche sich als Annex auf das Arbeitsrecht auswirken können, sondern er enthält genuine Bestimmungen über „Rechte und Interessen der Arbeitnehmer“. Daher kann eine derartige Regulierung wegen Art. 114 Abs. 2 AEUV nicht mehr auf Art. 114 AEUV gestützt werden, sondern nur auf die sozialpolitischen Vorschriften des AEUV, insbesondere Art. 153 AEUV. Diese begrenzen aber nach Form und Inhalt die Rechtssetzungskompetenz der Union wesentlich stärker: Es dürfen nur EU-Richtlinien mit mindestharmonisierenden Regelungen erlassen werden (Art. 153 Abs. 2 AEUV). In der Form einer vollständig harmonisierenden Verordnung sind also Regelungen zum Arbeitnehmerdatenschutz auf der Ebene der EU kompetenzwidrig.
Nun zurück zur Ausgangsfrage: Was sollte man auf der Ebene der Gesetzgebung stattdessen tun?
Ich plädiere für eine Stärkung der Selbstregulierung und die Stärkung prozeduraler Lösungen[6]. Die zuständige Arbeitnehmervertretung und der betriebliche Datenschutzbeauftragte könnten präventiv wesentlich stärker eingebunden werden, als dies bislang auf der Ebene gesetzlicher Regulierungen der Fall ist. Beide Institutionen haben eine starke Stellung: Der Betriebsrat hat ein zwingendes Mitbestimmungsrecht bei der Einführung von technischen Einrichtungen, die zur Überwachung der Arbeitnehmer geeignet sind (§ 87 Abs. 1 Nr. 6 BetrVG). Außerdem gehört es zu seinen Aufgaben, da rüber zu wachen, ob die für die Arbeitnehmer geltenden Gesetze eingehalten werden (§ 80 Abs. 1 Nr. 1 BetrVG). Dazu gehören ebenso die jeweiligen datenschutzrechtlichen Regelungen, also auch das BDSG oder eine künftige EUDatenschutzverordnung. Der Betriebsrat hat also eine starke Stellung im Bereich des Arbeitnehmerdatenschutzes. Für den betrieblichen Datenschutzbeauftragten gilt Vergleichbares: Seine Unabhängigkeit wurde früher bezweifelt. Das Bundesarbeitsgericht meinte sogar im Jahr 1997, der betriebliche Datenschutzbeauftragte habe keine „neutrale Stellung“ inne und sei „verlängerter Arm“ des Arbeitgebers, weshalb der betriebliche Datenschutzbeauftragte die Daten verarbeitung des Betriebsrats nicht kontrollieren dürfe[7]. Dies kann man heute jedenfalls nicht mehr mit Grund so sehen. Seit 2009 ist der betriebliche Datenschutzbeauftragte nur noch außerordentlich kündbar. Dies hat seine Unabhängigkeit erheblich gestärkt. Das BAG scheint dies nun ähnlich zu sehen, wenn es die Ämter betrieblicher Datenschutzbeauftragter und Betriebsrat für kompatibel hält[8].
Man könnte nun diesen beiden Institutionen – betrieblicher Datenschutzbeauftragter und Betriebsrat – Kompetenzen im Hinblick auf die Konkretisierung der im Datenschutzrecht enthaltenen unbestimmten Rechtsbegriffe und des Abwägungsprogramms zubilligen – etwa in der Art: Wenn Arbeitnehmervertretung und betrieblicher Datenschutzbeauftragter einer bestimmten Datenerhebung, -verarbeitung oder –nutzung ausdrücklich zustimmen, wird der entsprechende Datenumgang datenschutzrechtlich privilegiert und ist nur unzulässig, wenn er offensichtlich von den durch das Datenschutzrecht aufgestellten Datenschutzstandards abweicht[9]. Unter den genannten Voraussetzungen – Zustimmung dieser beiden mit dem betrieblichen Datenschutz befassten Institutionen – könnte also die Kontrolldichte vor allem durch die Aufsichtsbehörde, aber auch durch Gerichte[10] reduziert werden.
Eine Stärkung der Selbstregulierung kann ferner darin liegen, das Anerkennungsverfahren nach § 38a BDSG auf unternehmens- und/oder konzerninterne Regelungen auszudehnen[11]. Nach dieser Vorschrift können bislang bereits Berufsverbände und andere Vereinigungen, welche bestimmte Gruppen von verantwortlichen Stellen repräsentieren, also etwa auch Arbeitgeberverbände, Verhaltensregeln erarbeiten und diese sich in einer Art Vorabrechtmäßigkeitskontrolle von der zuständigen Aufsichtsbehörde bewilligen lassen. Diese Vorschrift geht auf Art. 27 Abs. 2 RL 95/46/EG und letztlich auf niederländische und irische Erfahrungen zurück[12]. Sie hat in der Praxis bislang kaum eine Rolle gespielt[13]. Diese Möglichkeiten könnten erweitert und auf einzelne speichernde Stellen ausgedehnt werden. Auch für Arbeitgeberverbände läge hier noch ein zu beackerndes, derzeit noch brachliegendes Feld – vor allem für Verbände aus Branchen mit in aller Regel nur kleinen Betrieben, in denen es nur selten Betriebsräte gibt.
Ich möchte schließen mit drei konkreten Vorschlägen im Sinne der Frage, was ist besser als der jetzige Zustand?
1. Klarstellung, dass Tarifverträge und Betriebsvereinbarungen Erlaubnisnormen im Sinne von § 4 Abs. 1 BDSG sind.
Das entspricht zwar bereits bislang der Rechtsprechung des BAG. Allerdings stammen die einschlägigen Entscheidungen bereits aus den 1980er Jahren. In der Zwischenzeit wurde diese Rechtsprechung in der datenschutzrechtlichen Literatur zunehmend angegriffen. Zusätzliche Unsicherheit erzeugte der Regierungsentwurf zum Beschäftigtendatenschutz aus der letzten Legislaturperiode. Danach wurde dies zwar ebenfalls klargestellt, allerdings um ein Günstigkeitsprinzip erweitert: Die Betriebsvereinbarung oder der Tarifvertrag durften danach nicht von den datenschutzrechtlichen Regelungsstandards des BDSG zum Nachteil der Arbeitnehmer abweichen. Dies führt zu Rechtsunsicherheit und hat in der Literatur die Diskussion um die Erlaubnisnormqualität von Betriebsvereinbarung und Tarifvertrag negativ befeuert. In zwei neueren Entscheidungen aus 2013 hat das BAG seine bisherige Sichtweise allerdings bekräftigt[14].
2. Klarstellung, dass der Arbeitgeber kein Diensteanbieter im Sinne des TKG und TMG ist, wenn er private E-Mail- und Internetnutzung erlaubt.
Dieses Problem ist in der Literatur und der instanzgerichtlichen Rechtsprechung sehr umstritten. Inzwischen geht eine gewisse Tendenz dahin, den Arbeitgeber insoweit nicht als Diensteanbieter anzusehen[15]. Eine Klarstellung würde dazu führen, dass auf solche Fragen das allgemeine Datenschutzrecht anwendbar ist. In Verbindung mit der Klarstellung, dass auch Betriebsvereinbarungen Erlaubnisnormen im Sinne des § 4 Abs. 1 BDSG sein können, erlangten Arbeitgeber und Arbeitnehmer damit ein zusätzliches Maß an Rechtssicherheit. Dann könnten nämlich durch Betriebsvereinbarung Nutzungs- und Überwachungsstandards für die private Nutzung von E-Mails und Internet am Arbeitsplatz im Einklang mit dem Datenschutzrecht gesetzt werden.
3. Ein offenes Regelungsproblem stellt immer noch die Übermittlung von Personaldaten in Konzernen dar.
Das Datenschutzrecht knüpft seine Verantwortlichkeiten bekanntlich an den jeweiligen Rechtsträger, die sogenannte verantwortliche Stelle, an. Konzernunternehmen sind also im Verhältnis zueinander eigenständige speichernde Stellen. Die Übermittlung von Personaldaten im Konzern muss daher datenschutzrechtlich im Prinzip genauso gerechtfertigt werden wie die Übermittlung an eine andere speichernde Stelle außerhalb von Konzernverbindungen. Eine sachgerechte Regelung könnte etwa an den Gedanken anknüpfen, den wir aus der Problematik der Übermittlung von Daten in Drittländer her kennen. Dort fragen wir: Werden im Drittland angemessene Datenschutzstandards eingehalten? Dieser Gedanke erscheint mir auf die Problematik der Datenübermittlung im Konzern übertragbar zu sein. Im Beschluss des Europäischen Parlaments über den Vorschlag der EU-Kommission für eine Datenschutzgrundverordnung ist dieses Problem angesprochen. Dort lautet die entsprechende Passage in Art. 82 Abs. 1d Vorschlag Datenschutzgrundverordnung: „Die Übermittlung und Verarbeitung von personenbezogenen Beschäftigtendaten zwischen rechtlich selbständigen Unternehmen innerhalb einer Unternehmensgruppe und mit rechts- und steuerberatenden Berufsangehörigen ist zulässig, soweit sie für den Geschäftsbetrieb relevant ist und der Abwicklung von zweckgebundenen Arbeits- oder Verwaltungsvorgängen dient und sie den schutzwürdigen Interessen und Grundrechten des Betroffenen nicht entgegensteht“. Ich würde hier noch ergänzen: Letzteres ist dann der Fall, wenn das Zielunternehmen Gewähr dafür bietet, dass die geltenden datenschutzrechtlichen Standards eingehalten werden.
Zusammenfassend: Was ist besser als der jetzige Zustand? Drei Dinge: 1. Klarstellung, dass Tarifverträge und Betriebsvereinbarungen Erlaubnisnormen im Sinne von § 4 Abs. 1 BDSG sind. 2. Klarstellung, dass der Arbeitgeber kein Diensteanbieter im Sinne des TKG und TMG ist, wenn er private E-Mail- und Internetnutzung der Arbeitnehmer am Arbeitsplatz erlaubt. 3. Sachgerechte Regelung der Problematik „Übermittlung von Personaldaten im Konzern“.
* Impulsreferat gehalten auf dem von der Gesellschaft für Europäische Sozialpolitik und der Gesellschaft für Datenschutz und Datensicherheit veranstalteten Diskussionsforum „Datenschutz – Was tun? Aktuelle Herausforderungen aus Europa – Vorhaben des Koalitionsvertrags“ am 04.06.2014 in Berlin. Die Vortragsform wurde beibehalten.
** Der Autor ist Inhaber des Lehrstuhls für deutsches, europäisches, internationales Arbeitsrecht und Bürgerliches Recht an der Juristischen Fakultät der LMU München
[1] Entwurf der Bundesregierung eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drucksache 17/4230.
[2] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr KOM (2012) 11/4 vom 25.1.2012.
[3] Vgl. Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Plenarsitzungsdokument A7-0402/2013 vom 21.11.2013.
[4] BAG 21.6.2012 NZA 2012, 1025 Rn. 41; BAG 21.11.2013 NZA 2014, 810 Rn. 51; der EGMR 5.10.2010 – 420/07 – Kröpke – hält diese Rechtsprechung für vereinbar mit der EMRK.
[5] Näher dazu Franzen, DuD 2012, 322 ff.
[6] Vgl. schon Franzen, RdA 2010, 257 ff.
[7] BAG 11.11.1997 AP Nr. 1 zu § 36 BDSG.
[8] BAG 23.3.2011 NZA 2011, 1036.
[9] Siehe dazu ausführlicher Franzen, RdA 2010, 257, 261 ff.
[10] Arbeitsgerichtliche Auseinandersetzungen zwischen Arbeitnehmer und Arbeitgeber um datenschutzrechtliche Probleme sind selten. Zumeist spielen diese Themen im Rahmen von Kündigungsschutzklagen bei der Frage eine Rolle, ob der Arbeitgeber eine gegebenenfalls (datenschutz-) rechtswidrig erlangte Information im Prozess verwerten darf, siehe dazu etwa Lunk, NZA 2009, 457; Morgenroth, NZA 2014, 408; aus der Rechtsprechung etwa BAG 21.11.2013 NJW 2014, 810.
[11] In dieser Richtung rechtspolitisch auch Arbeitskreis „Datenschutz in Recht und Praxis“ im BvD, DuD 2010, 254, 256; Weichert, DuD 2010, 7, 12.
[12] Siehe näher Bizer, in Simitis (Hrsg.), BDSG, 6. Aufl. 2006, § 38a Rn. 14.
[13] Vgl. Weichert, DuD 2010, 7, 12.
[14] BAG 9.7.2013 NZA 2013, 1433 Rn. 31; BAG 25.9.2013 NZA 2014, 41 Rn. 32.
[15] Siehe zur Problematik etwa Walther/Zimmer, BB 2013, 2933; Schuster, CR 2014, 21; Sander, CR 2014, 176.