Dienstag, 12. Oktober 2010

5: Stellungnahmen

Stellungnahme des ULD zum Gesetzesentwurf der Bundesregierung zur Regelung des Beschäftigtendatenschutzes (BR-Drs. 535/10)

Der durch die Bundesregierung vorgelegte Entwurf eines Beschäftigtendatenschutzgesetzes als Teil des Bundesdatenschutzgesetzes weist neben handwerklichen Fehlern gravierende inhaltliche Defiziteauf. Es verstößt in einzelnen Regelungen gegen europarechtliche und gegen verfassungsrechtliche Vorgaben. Er geht auf die Absichtserklärung des Koalitionsvertrages auf Bundesebene von CDU, CSU und FDP vom Herbst 2009 zurück, wo es heißt: "Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen." Diese politische Absichtserklärung, die abgegeben wurde angesichts einer Vielzahl von Datenschutzskandalen im Arbeitsbereich in den Jahren 2008 und 2009, wird mit dem Entwurf leider nicht erreicht. Der Entwurf zielt darauf ab, Arbeitgebern umfangreiche Eingriffsrechte in die Persönlichkeits- und Freiheitsrechte der Beschäftigten an die Hand zu geben. Diese führen teilweise zu einer Legalisierung der in der Vergangenheit als Skandale bekanntgewordenen Praktiken, also von bisher eindeutig rechtswidrigen und von der öffentlichen Meinung abgelehnten Kontrollmaßnahmen durch Arbeitgeber.

Mit dem Beschäftigtendatenschutzrecht wird eine spezifische Form des Arbeitsrechtes normiert. Dem Entwurf gelingt es leider nicht, das Datenschutzrecht und das individuelle wie das kollektive Arbeitsrecht wirksam zusammenzuführen. Tatsächlich gibt es regelungsbedürftige Gemengelagen, z. B. hinsichtlich von Verwertungsverboten, kollektiver Regelungs- oder auch Klagemöglichkeiten oder Transparenzanforderungen.

Der Gesetzesentwurf ist von einem grundsätzlichen Argwohn von Arbeitgebern gegenüber ihren Beschäftigten geprägt. Das für eine nachhaltige Beschäftigungsbeziehung erforderliche Vertrauen zwischen den Beteiligten wird dadurch nicht gefördert. Der Entwurf legalisiert – oft unter Missachtung des Verhältnismäßigkeitsgrundsatzes – die Überwachung und Kontrolle von Beschäftigten durch Arbeitgeber. Er kann damit dazu beitragen, eine Atmosphäre des Misstrauens zu schüren.

Der Entwurf zur Regulierung des Beschäftigtendatenschutzes wählt, anders als bisher regelmäßig vorgeschlagen, eine Normierung im Bundesdatenschutzgesetzes. Zwar wird dadurch klar gestellt, dass neben diesen speziellen Normen auch Regelungen des allgemeinen Datenschutzes anwendbar bleiben. Dieser eher unbedeutende Vorteil wird aber mit einer Vielzahl von Nachteilen erkauft: Ein separates Beschäftigtendatenschutzgesetz wäre gegenüber Arbeitgebern und Arbeitnehmern leichter vermittelbar; eine Regulierung im BDSG (§§ 32 bis 32l) erleichtert weder die Vermittlung in der Praxis noch deren Anwendung (z. B. als Aushang für Arbeitnehmerinnen und Arbeitnehmer). Die Aufnahme von Spezialmaterien ins BDSG führt zu einer zunehmenden Unübersichtlichkeit und Unverständlichkeit des Gesamtgesetzes. 
Der Gesetzesentwurf lässt ein zentrales und in der Praxis zunehmendes Problem bewusst ungeregelt (siehe Begründung S. 1): die Übermittlung von Beschäftigtendaten innerhalb eines Konzerns und im internationalen Kontext. Die aufsichtsbehördliche Praxis zeigt, dass gerade insofern bei den Unternehmen, im Mittelstand wie in der Großindustrie, große Unsicherheit herrscht. Es ist wünschenswert, diese Rechtsunsicherheit zu beenden. Befugnisse zur Datenübermittlung in Konzernen sollten nicht generell im Datenschutzrecht eingeräumt werden, sondern spezifisch, z.B. bzgl. der Daten von Beschäftigten, denen die Konzerneingebundenheit ihres Unternehmens regelmäßig transparent ist.

Der Entwurf lässt viele weitere u. E. regelungsbedürftige Fragen ungeregelt, so z. B. die Zulassung von kollektivrechtlichen Klagemöglichkeiten, die Durchführung von Tele- bzw. Heimarbeit, die private Nutzung von Telekommunikationseinrichtungen oder ein strukturiertes Verfahren des Whistleblowing. Bei den meisten der genannten Themen geht es um eine Klärung und Verbesserung der Rechtslage für alle Beteiligten, also Arbeitnehmer- wie Arbeitgeberschaft.

Rechtlich unklar ist, inwieweit der Entwurf Arbeitnehmer im öffentlichen Dienst von Ländern und Kommunen erfassen soll. 
Der Entwurf soll Gegenstand der Beratungen des Ausschusses für Innere Angelegenheiten des Bundesrates voraussichtlich Ende Oktober sein. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) schlägt Änderungen des Gesetzesentwurfes vor. Diese werden im Folgenden dargestellt und begründet.

Einzelanmerkungen

§ 3 Abs. 12

Die Norm, wonach personenbezogene Daten von Beschäftigten „Beschäftigtendaten“ sind, lässt einen Regelungsinhalt vermissen. Eine Bezugnahme und Eingrenzung bei der Definition des Begriffs „Beschäftigtendaten“ auf Daten aus bzw. im Beschäftigungsverhältnis ist hinsichtlich der Intention des Entwurfes sinnvoll. Nach der vorliegenden Definition werden – wohl unbeabsichtigt - auch Daten eines Beschäftigten, die offensichtlich nicht zum Zweck der Ausfüllung eines Beschäftigungsverhältnisses verarbeitet werden, erfasst. Es wird eine Konkretisierung empfohlen.

§ 4 Abs. 1 i.V.m. Ziff. 7 § 32l Abs. 5

§ 4 Abs. 1 des Entwurfes stellt klar, dass sich die Rechtmäßigkeit der Datenverarbeitung auch aus Betriebsvereinbarungen ergeben kann. § 32 Abs. 5 verbietet zwar eine Abweichung zu Ungunsten Beschäftigter. Daraus ergibt sich jedoch nicht zwangsläufig, dass das Schutzniveau des BDSG durch eine Betriebsvereinbarung nicht unterlaufen wird. Der Verweis auf die herrschende Meinung in der Gesetzesbegründung ist u. E. nicht ausreichend. Vor allem von Seiten der Arbeitgeber wird diese Rechtsauffassung nicht geteilt. Eine gesetzliche Klarstellung ist zu empfehlen.

Im Interesse der Rechtsklarheit ist zudem wünschenswert, dass auch Tarifverträgeausdrücklich erfasst werden. 
§ 32l Abs. 5 kann wie folgt formuliert werden:
„Von den Vorschriften dieses Unterabschnittes darf nicht zu Ungunsten der Beschäftigten abgewichen werden. Dies gilt auch für Rechtsvorschriften gemäß § 4 Abs. 1 Satz 2.“

§ 27 Abs. 3

Die Klarstellung, dass auch Personalakten unter den Anwendungsbereich des BDSG fallen, ist zu begrüßen.

§ 32 Abs.2

Die Regelung dient einer Einschränkung der Verarbeitung besonders sensibler Daten. Dies ist aber sowohl gesetzestechnisch wie auch inhaltlich nicht geglückt. Die Verweisung in § 32 Abs. 2 auf § 8 Abs. 1 AGG erfasst auch Vermögensverhältnisse, Vorstrafen und Ermittlungsverfahren. Diese Merkmale sind jedoch nicht Gegenstand des § 8 Abs. 1 AGG. § 8 Abs. 1 AGG regelt - entgegen der Begründung - keine strengen Voraussetzungen der Verarbeitung sensibler Daten. Hinsichtlich der Rechtsfolgen sind die §§ 13 ff. AGG anwendbar. Die Bezugnahme des Verweises sollte korrigiert bzw. geklärt werden.

Die Erhebung von Angaben zu Vermögensverhältnissen ist in Übereinstimmung mit der Rechtsprechung des Bundesarbeitsgerichtes (BAG) nur dann zulässig, wenn dies im Sinne des § 32 Abs. 1 für die spätere auszuübende Tätigkeit des Betroffenen erforderlich ist. In Betracht kommen aber nur Tätigkeiten, die eine außergewöhnliche personale Vertrauensstellung begründen (z. B. leitende Angestellte). Allgemeine finanzielle Risiken dürfen eine Bonitätsprüfung in keinem Fall rechtfertigen und schon gar keine Erhebung der „Vermögensverhältnisse“. Genau dieses sieht der Entwurf aber vor. Eine schlechte Bonitätsbewertung ist nicht ansatzweise ein Indiz für zu erwartende Untreue im Betrieb. Arbeitseinkommen soll Menschen dazu bringen, finanzielle Engpässe zu überwinden. Die Regelung läuft darauf hinaus, dass überschuldete Personen es künftig erheblich schwerer haben werden, einkömmliche Beschäftigungen zu finden. Dies wäre in jeder Hinsicht nicht akzeptabel.

Die Erhebung von Informationen über laufende Ermittlungsverfahren sollte unter Beachtung des Grundsatzes der Unschuldsvermutung nur dann zulässig sein, wenn ein überwiegendes berechtigtes Interesse seitens der verantwortlichen Stelle vorliegt. Grundsätzlich ist von einer Unzulässigkeit der Frage auszugehen. Nur im Falle des Schutzes besonders hochwertiger Rechtsgüter wie z. B. Leben oder sexuelle Selbstbestimmung ist eine Abweichung von diesem Grundsatz zu rechtfertigen.

Informationen zu Vorstrafen sind nur zulässig, soweit das Bundeszentralregistergesetzeine Auskunft aus dem Register zulässt. Betriebliche Praktiken zur Umgehung der Vorgaben des Bundeszentralregistergesetzes (Einholung einer Eigenauskunft der Betroffenen, Geltendmachung des datenschutzrechtlichen Auskunftsanspruches gegenüber Strafverfolgungsbehörden) müssen gesetzlich ausgeschlossen sein.

§ 32 Abs. 6 Satz 2ff.

Die Regelung bemüht sich erfolglos um eine differenzierte Regelung vonInternetrecherchen durch den Arbeitgeber. Eine Überprüfung der Einhaltung der in § 32 Abs. 6 S. 2ff. BDSG vorgesehenen Ausnahmen vom Direkterhebungsprinzip ist in der Praxis nicht durchsetzbar. Eine Abweichung von den allgemeinen Regelungen ist auch nicht nötig. Daher sollte auf eine Internet-Regelung völlig verzichtet werden.
Die generelle Erhebungsbefugnis aus allgemein zugänglichen Quellen ist nicht zu rechtfertigen. Es besteht hierfür keine Notwendigkeit. In jedem Fall muss gewährleistet werden, dass für die Betroffenen Transparenz hergestellt wird, so wie dies aus § 4 Abs. 2 Nr. 2b BDSG abzuleiten ist. Im Rahmen des Bewerbungsverfahrens müssen die Betroffenen die Möglichkeit haben, zu aus allgemeinen Quellen erlangten Erkenntnissen Stellung zu beziehen. In ihrer Entschließung vom 22.06.2010 hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die Erwartung ausgesprochen, dass der Gesetzgeber Datenerhebungen aus allgemein zugänglichen Quellen "untersagt oder zumindest wirksam begrenzt und die Arbeitgeber dazu verpflichtet, die Betroffenen aktiv - und nicht erst auf Nachfrage - darüber aufzuklären, woher die verwendeten Daten stammen."

In der Praxis ist eine Unterscheidung zwischen Sozialen Netzwerken, die der Pflege von rein privaten Beziehungen und der Darstellung der beruflichen Qualifikation dienen, nicht möglich. Ebenso ist eine Unterscheidung zwischen Sozialen Netzwerken und sonstigen öffentlichen Quellen nicht vornehmbar.

§ 32a Abs. 1

Die Durchführung ärztlicher Untersuchungen soll davon abhängig gemacht werden, dass der zu untersuchenden Gesundheitszustand eine wesentliche und entscheidende Anforderung für die Besetzung der Stelle ist. Die Anforderungen sollten aber nicht individuell, sondern generalisierend, z. B. durch gesetzlich oder berufsgenossenschaftlich anerkannte Regelungen, definiert worden sein. Der Entwurf überlässt es dem Arbeitgeber zu entscheiden, welches die Anforderungen sind. Der Entwurf bedarf insofern einer Konkretisierung.

Der Zeitpunkt der Durchführung der Untersuchung sollte klargestellt werden. Ärztliche Einstellungsuntersuchungen sind erst vorzunehmen, wenn die grundsätzliche Entscheidung über die Einstellung des Beschäftigten bereits getroffen und die Begründung des Beschäftigungsverhältnisses lediglich von der Feststellung der gesundheitlichen Eignung abhängig ist. Diese Anforderung ergibt sich nicht aus dem Entwurf.

Die in § 32a Abs. 1 S. 2 erwähnte „Einwilligung“ ist aus datenschutzrechtlicher Sicht fragwürdig, da diese durch den Beschäftigten nicht bzw. nur beschränkt freiwillig abgegeben wird. Ist die Untersuchung notwendiger Bestandteil des Verfahrens, kann der Beschäftigte nur mit der Folge der Nichtbegründung des Beschäftigungsverhältnisses die Einwilligung verweigern. Daher sollte das Einwilligungserfordernis durch eine reine Informationsverpflichtung des Arbeitgebers ersetzt werden.

§ 32a Abs. 1 kann wie folgt gefasst werden:
Der Arbeitgeber darf nach Feststellung der fachlichen Eignung und Befähigung des Beschäftigten für das Beschäftigungsverhältnis dessen Begründung von einer ärztlichen Untersuchung abhängig machen, wenn und soweit die Erfüllung bestimmter gesundheitlicher Voraussetzungen wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer Ausübung eine wesentliche und entscheidende berufliche Anforderung zum Zeitpunkt der Arbeitsaufnahme darstellt. Die Voraussetzungen der gesundheitlichen Eignung müssen durch gesetzliche oder berufsgenossenschaftlich anerkannte Regelungen definiert sein. Der Beschäftigte muss über die Art, den Umfang und den Zweck der Untersuchung sowie die Weitergabe des Untersuchungsergebnisses an den Arbeitgeber vorher aufgeklärt werden. Dem Beschäftigten ist das vollständige Untersuchungsergebnis mitzuteilen. Dem Arbeitgeber darf nur mitgeteilt werden, ob der Beschäftigte nach dem Untersuchungsergebnis für die vorgesehenen Tätigkeiten geeignet ist.

§ 32a Abs. 2

Satz 2, 2. Halbsatz ist ersatzlos zu streichen. Die Einschränkung der Anforderung an dieWissenschaftlichkeit des Eignungstest ließe abstruse derartige Tests zu. Tests mit zweifelhaftem Aussagegehalt über die Eignung eines Beschäftigten sind nicht erforderlich für die Einstellungsuntersuchung. Nur Eignungstests mit wissenschaftlicher Anerkennung in Hinblick auf den Untersuchungsgegenstand sollten datenschutzrechtlich zulässig sein.

§ 32b Abs. 2

§ 32b Abs. 2, wonach Daten im Bewerbungsverfahren genutzt werden dürfen, "wenn der Beschäftigte die Daten dem Arbeitgeber übermittelt hat, ohne dass der Arbeitgeber hierzu Veranlassung gegeben hat", ist nicht normenklar. Erfasst werden alle Daten, die dem Arbeitgeber durch den Beschäftigten unaufgefordert zugesandt wurden. Dies gilt auch für Daten, von denen er nach den Erhebungsvorschriften des §§ 32, 32a keine Kenntnis haben darf. Die Regelung soll Initiativbewerbungen erfassen. Der Anwendungsbereich der Norm ist jedoch viel weiter. Es werden auch Fälle geregelt, in denen z. B. der Beschäftigte vor Begründung des Beschäftigtenverhältnisses Kunde des Unternehmens war oder versucht hat zu werden. So könnten Unternehmen nach dieser Vorschrift abgelehnte Kreditanträge, Kundenbeschwerden oder Ähnliches in den Entscheidungsprozess einbeziehen. Der Satz sollte daher lauten:
Satz 1 Nummer 2 gilt nicht, wenn der Beschäftigte die Daten dem Arbeitgeber zum Zweck der Begründung eines Beschäftigungsverhältnisses übermittelt hat, ohne dass der Arbeitgeber hierzu Veranlassung gegeben hat.

§ 32b Abs. 3 letzter Halbsatz

§ 32 Abs. 3 letzter Halbsatz erfasst die Situation, dass am Ende eines Einstellungsverfahrens die zu diesem Zweck erhobenen Daten gelöscht werden müssen. Es kann jedoch im Interesse des Beschäftigten und des Arbeitgebers sein, die Daten über diesen Zeitpunkt hinaus aufzubewahren, vor allem, wenn zu einem späteren Zeitpunkt möglicherweise eine andere Stelle zu besetzen ist. Die Formulierung sollte die Zweckbestimmung der Einwilligungserteilung präzise beschreiben, z. B. durch die Formulierung „z. B. in Hinblick auf eine möglich, spätere Begründung eines Beschäftigungsverhältnisses“ ergänzt werden.

Die derzeitige Formulierung widerspricht der Wertung des AGG. Gemäß § 15 Abs. 4 AGG müssen abgelehnte Bewerber innerhalb von 2 Monaten Ansprüche auf Schadensersatz wegen eines Verstoßes gegen das Benachteiligungsverbot geltend machen. Die Frist beginnt im Falle einer Bewerbung oder eines beruflichen Aufstiegs mit dem Zugang der Ablehnung. § 15 Abs. 4 AGG ist keine gesetzliche Aufbewahrungsvorschrift i.S.d. § 35 Abs. 3 Nr. 1 BDSG, die einer Löschung der Daten entgegensteht. Die Anwendung des Entwurfes hätte die Vereitelung des Rechtsschutzes sowohl für die Beschäftigten als auch den Arbeitgeber zur Folge. Für die Geltendmachung einer unzulässigen Benachteiligung genügt der Nachweis von Indizien. Der Arbeitgeber kann gemäß § 22 AGG verpflichtet sein, das Gegenteil zu beweisen. Eine Verpflichtung zur sofortigen Löschung würde die Beweisführung für den Arbeitgeber erheblich erschweren. In der Praxis der Aufsichtsbehörden wird dem Arbeitgeber eine verlängerte Frist gewährt. In dieser müssen die Daten gesperrt, jedoch nicht gelöscht werden. Eine explizite Regelung für diese Vorgehensweise existiert derzeit nicht. Das Problem könnte hier einer Lösung zugeführt werden.

§ 32c Abs. 1

Der Katalog der in § 32c Abs. 1 Satz 2 genannten Zwecke für die Erhebung personenbezogener Daten im Beschäftigungsverhältnis ist abschließend und erfasst sämtliche möglichen Gründe für eine Erhebung. Es ist nicht erforderlich, durch die Verwendung des Wortes „insbesondere“ weitere Zwecke zuzulassen. Das Wort ist zu streichen.

Die pauschale Zulassung von „Leistungs- und Verhaltenskontrollen“ nach Abs. 1 S. 2 Nr. 3, eingeschränkt nur durch das Verhältnismäßigkeitsprinzip (Abs. 4), kehrt das generell geltende Regel-Ausnahme-Verhältnis in sein Gegenteil.

Satz 3 verweist auf die Erhebungsvorschrift des § 32 Abs. 6 und lässt eine Erhebung von Beschäftigtendaten im Arbeitsverhältnis auch über das Internet oder soziale Netzwerke zu. Schon im Bewerbungsverfahren ist die Erhebung aus allgemein zugänglicher Quellenproblematisch; während eines bestehenden Beschäftigungsverhältnisses gibt es hierfür keine erkennbare Notwendigkeit. Die Verweisung auf § 32 Abs. 6 ist zu streichen.

§ 32c Abs. 3 bezieht sich auf die Erhebung von Daten durch Gesundheits- und Eignungstest gemäß § 32b. Die vorgeschlagenen Beschränkungen für die Erhebung von Informationen aus derartigen Test ist auch auf diesen Absatz anzuwenden. Gerade in einem Beschäftigungsverhältnis sollte zum Schutz der Vertrauensbeziehung auf nicht erforderliche Untersuchungen verzichtet werden.

§ 32d Abs. 3

§ 32d Abs. 3 legalisiert Maßnahmen zur Compliancekontrolle und Korruptionsbekämpfung. Die Regelung ist datenschutzrechtlich nicht akzeptabel. Sie verstößt gegen das Prinzip der Datensparsamkeit und Datenvermeidung, gegen den Erforderlichkeitsgrundsatz und ist zudem unverhältnismäßig. Das Regelungsziel des derzeit gültigen § 32 Abs. 1 S. 2 BDSG wird in sein Gegenteil verkehrt. Es gibt bisher keine Hinweise, dass "Rasterfahndungen" eine wirksame Methode zur Compliancekontrolle sein können. Deren Einsatz bei der Deutschen Bahn AG brachte keine sinnvollen Erkenntnisse. Die geplante Regel dient der Beweiserforschung und nicht der Beweiserhebung. Arbeitgeber dürften danach ohne konkreten Verdacht und ohne Anlass Beschäftigtendaten in pseudonymer oder anonymer Form automatisiert erheben, verarbeiten und nutzen. Die Beschäftigten würden jeweils einem Generalverdacht ausgesetzt. Die Regelung ist nicht mit dem Recht auf informationelle Selbstbestimmung und dem durch das Bundesverfassungsgericht und dem Bundesarbeitsgericht anerkannten Schutz vor einer Vollüberwachung vereinbar (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Ziff 148, BAG, Beschl. v. 26.08.2008, 1 ABR 16/07, Ziff. 15).

Der Absatz hat zudem gravierende Regelungsschwächen. Gemäß § 3 Abs. 6 sind Daten nur anonym, wenn sie einer Person nicht mehr oder nur unter unverhältnismäßig hohem Aufwand zugeordnet werden können. Daher ist eine Personalisierung anonymisierter Daten schon begriffslogisch nicht möglich. Der Entwurf berücksichtigt nicht den Umstand, dass nach der aktuellen Rechtsprechung der Arbeitsgerichte Fälle des Diebstahls oder der Unterschlagung von geringwertigen Sachen als schwerwiegende Pflichtverletzungen angesehen werden. Rasterfahndungen mit Beschäftigtendaten wären damit voraussetzungslos möglich. Die bei der Deutschen Bahn AG im Jahr 2009 bekannt gewordenen Datenschutzverstöße, die in der Öffentlichkeit zu berechtigter Empörung und rechtlich zu einer massiven Ahndung führten, ließen sich über die geplante Regelung rechtfertigen.

§ 32d Abs. 3 Satz 1 sollte die Straftatbestände, deren Verwirklichung durch die Maßnahmen der Datenrasterung aufgedeckt oder verhindert werden sollen, so konkret wie möglich und nicht nur beispielhaft nennen. Durch eine Bagatell- bzw. Relevanzschwelle ist eine unverhältnismäßige Verarbeitung von Daten für die Bekämpfung minimaler und irrelevanter Schäden zu vermeiden.

Die automatisierte Verarbeitung von Beschäftigtendaten zur Einhaltung der Compliance kann nur aufgrund eines Stufensystems und streng zweckgebunden zugelassen werden. Ein dauerhaftes, systematisches und automatisiertes Auswerten personenbezogener Daten muss unzulässig bleiben. Gefordert werden muss in jedem Fall ein konkreter Anlass oder eine konkrete Kontrollnotwendigkeit. Der erste Schritt einer automatisierten Kontrolle darf nur mit gruppenbezogenen Daten erfolgen. Ergibt sich ein erster Verdacht, ist die Gruppe der in Betracht kommenden Täter in Hinblick auf den Vorwurf einzugrenzen. Eine systematische Überwachung und Kontrolle dieser Gruppe erfolgt dann mit pseudonymen Daten. Konkretisiert oder bestätigt sich der Verdachtsfall, können die Daten personalisiert und bezogen auf konkrete Einzelpersonen ausgewertet werden. Diese Maßnahmen müssen ausnahmslos der Vorabkontrolle unterliegen.

Zusätzlich sind Verfahrensgarantien für die personalisierte Auswertung von Beschäftigtendaten zu etablieren. Neben den bereits in Absatz 3 S. 3 und 4 genannten Bedingungen ist der Arbeitgeber zu verpflichten, die tatsächlichen Anhaltspunkte für den Verdacht zu dokumentieren.

§ 32e Abs. 2

Die verdeckte Erhebung von Beschäftigtendaten begegnet grundsätzlichen Bedenken. Die geplante Formulierung des § 32e erlaubt Maßnahmen zur Aufklärung von Straftaten und schwerwiegenden Pflichtverletzungen, die staatlichen Vollzugsorganen, die einer intensiveren Aufsicht unterliegen, aus verfassungsrechtlichen Gründen verwehrt bleiben.

Die heimliche Verarbeitung personenbezogener Daten sollte nur dann zulässig sein, wenn Tatsachen den Verdacht einer Straftat begründen und der Verstoß eine gewisse Erheblichkeit aufweist. Bagatellfälle sind auszuschließen.
§ 32e Abs. 2 kann wie folgt formuliert werden:
„Der Arbeitgeber darf Beschäftigtendaten ohne Kenntnis des Beschäftigten nur erheben, wenn 
1.     Tatsachen den dringenden Verdacht begründen, dass der Beschäftigte im Beschäftigungsverhältnis eine Straftat begangen und 
2.     die Erhebung erforderlich ist, 
um die Straftat aufzudecken oder um damit im Zusammenhang stehende weitere Straftaten des Beschäftigten zu verhindern.“

§ 32e Abs. 4

Die in § 32e Abs. 4 genannten Zeiträume für verdeckte Überwachungsmaßnahmenerscheinen willkürlich. Der zeitliche Umfang einer Überwachung muss sich am Zweck der Maßnahme orientieren. Die Zeitvorgaben müssen sich im Rahmen des Verhältnismäßigen bewegen.
Nach der Begründung soll die Regelung eine heimliche Videoüberwachung verbieten (Begr. S. 19). Dies gibt aber der Wortlaut nicht her.

§ 32e Abs. 5

Der Verweis bei verdeckten Maßnahmen auf § 4d Abs. 5, der die Vorabkontrolle regelt, geht ins Leere, da diese Norm nicht anwendbar ist, wenn die Verarbeitung der Durchführung eines rechtsgeschäftlichen Schuldverhältnisses dient. Diese Ausnahme vom Erfordernis einer Vorabkontrolle ist im Arbeitsverhältnis regelmäßig gegeben. Statt des Verweises sollte daher eine die direkte Verpflichtung zur Vorabkontrolle vorgesehen werden, über die eine umfassende Beteiligung der oder des betrieblichen Datenschutzschutzbeauftragten gewährleistet werden sollte. Wünschenswert ist insofern auch eine Einbindung der betrieblichen Interessenvertretung der Arbeitnehmerschaft.

§ 32e Abs. 7

Das absolute Verbot der Datenverarbeitung, wenn der Kernbereich privater Lebensgestaltung betroffen ist, sollte eine verfassungsrechtliche Selbstverständlichkeit sein, die nicht nur im Arbeitsrecht gilt. Auf eine Regelung könnte u. E. verzichtet werden. Unklar ist aber im Regelungsfall, welche Informationen zu den Daten des Kernbereiches privater Lebensgestaltung gehören. Das Erhebungsverbot muss sich auf sämtliche Informationen erstrecken, die nicht unmittelbar mit dem Beschäftigungsverhältnis und der aufzuklärenden Straftat im Zusammenhang stehen.

§ 32f Abs. 1

§ 32 f Abs. 1 regelt die Zwecke, zu denen eine Videoüberwachung zulässig ist. Diese Zwecke sind derart weit und unbestimmt formuliert, dass Arbeitgeber jederzeit und an jedem Ort eine offene Videoüberwachung rechtfertigen können. Daher bedarf es einer Konkretisierung der Überwachungszwecke. Das angebliche vollständige Verbot heimlicher Videoüberwachung (s.o.) ist aus Datenschutzsicht kein Gewinn, wenn, wie geplant, eine Totalüberwachung offen erlaubt wird.

Die Weite der Erhebungszwecke hat zur Folge, dass eine mehrfache Rechtfertigung einer Videoüberwachung möglich wird. Eine Abgrenzung der unterschiedlichen Zwecke kann so nicht erfolgen. So ist z. B. der Unterschied zwischen der Zutrittskontrolle und der Wahrnehmung des Hausrechtes nicht klar. Völlig unbestimmt ist z. B. auch, was unter Qualitätskontrolle zu verstehen ist (Qualität des Arbeitsplatzes, der Arbeitsleistung, der erzeugten Produkte?).

Es bedarf der gesetzlichen Klarstellung, dass eine Rundum- und Dauerüberwachungunzulässig ist. Entsprechend der bisherigen Rechtsprechung sollte eine dauerhafte Überwachung von Beschäftigtenarbeitsplätzen untersagt werden.

§§ 32f Abs. 1 Nr. 4, 32g Abs. 1 S. 1 Nr. 1

Anstelle des unbestimmten Zwecks der „Sicherheit des Beschäftigten“ sollte der arbeitsrechtlich etablierte Begriff der Arbeitssicherheit gewählt werden.

§ 32h Abs. 1

Die Erhebung und Verarbeitung biometrischer Daten kann einen tiefgreifenden Eingriff in Persönlichkeitsrechte darstellen. In diesem Absatz fehlt die Abwägung zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen der Arbeitnehmer. Nach der Formulierung könnte jeder Bedarf an Authentifikation oder Autorisierung eine Verarbeitung biometrischer Daten rechtfertigen. Daher sollten hier die überwiegenden sicherheitsrelevanten Gründe aufgezählt werden, für die die Nutzung biometrischer Daten erforderlich ist. Es sollte ein Verbot des Einsatzes derartiger Daten zur Leistungs- und Verhaltenskontrolle (z. B. Zeiterfassung) aufgenommen werden.

§ 32i

§ 32i Abs. 2 rechtfertigt Eingriffe in das verfassungsrechtlich geschützteFernmeldegeheimnis. Diese Eingriffe sind auf die Anwendungsfälle zu beschränken, bei denen eine gesetzliche Aufzeichnungspflicht besteht oder die Telefonleistung wesentlicher Bestandteil des Vertrages zwischen dem Beschäftigten und dem Arbeitgeber und den Anrufern bzw. Angerufenen ist. Das regelmäßige Mithören und Aufzeichnen zu Zwecken der Qualitätskontrolle oder bei der Markt- und Meinungsforschung sollte ausdrücklich untersagt werden.

§ 32 Abs. 2 kann wie folgt formuliert werden:
Inhalte einer ausschließlich zu beruflichen oder dienstlichen Zwecken erlaubten Nutzung von Telefondiensten darf der Arbeitgeber nur erheben, verarbeiten und nutzen, soweit
1.    die erbrachte telefonische Dienstleistung wesentlicher Inhalt der geschuldeten Arbeitsleistung ist oder
2.    gesetzliche Dokumentationspflichten auf Seiten der verantwortlichen Stelle eine Aufzeichnung der Inhalte erforderlich machen.
Der Beschäftigte und seine Kommunikationspartner sind im Einzelfall vorher über die Aufzeichnung zu informieren und müssen in diese einwilligen.[…]

In Abs. 4 wird der datenschutzrechtlich völlig neue Begriff der „privaten Daten“ verwendet, ohne dass erkennbar ist, was hierunter verstanden werden soll. Auch aus der Begründung ergibt sich nicht, ob hiermit die private Nutzung von Telekommunikationsanlagen des Arbeitgebers geregelt werden soll, was aus dem Kontext heraus zu vermuten ist. Hieraus würde folgen, dass die Speicherung und Auswertung von Daten aus der privaten Telekommunikation mit dem Argument der Wahrung „des ordnungsgemäßen Dienst- und Geschäftsbetriebes“ gerechtfertigt werden kann. Diese Eingriffe, die nicht einmal eine Abwägung mit den Schutzinteressen der Betroffenen vorsieht, sind im Hinblick auf Art. 10 GG viel zu weit und daher nicht akzeptabel.

§ 32l

Abs. 4, der vor einer Beschwerde bei einer Datenschutzbehörde eine Anzeige beim Arbeitgeber einfordert, verstößt gegen Europarecht und gegen nationales Verfassungsrecht. Art. 28 Abs. 4 der Europäischen Datenschutzrichtlinie (EU-DSRL) erlaubt ebenso wie Art. 17 Grundgesetz (GG) jeder Person, zum Schutz der diese Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten sich an die Kontrollstelle mit einer Eingabe zu wenden. Dieses Petititonsrecht würde beschnitten, wenn vorab die Einhaltung des Dienstweges oder eine Befassung des Arbeitgebers verpflichtend wäre.

Die aufsichtsbehördliche Praxis zeigt, dass Beschäftigte in hohem Maße ein Interesse daran haben, nicht gegenüber ihrem Arbeitgeber genannt zu werden. Häufig befürchten Petenten Sanktionen. Das Vertrauensverhältnis zwischen dem Arbeitgeber und Beschäftigtenist hier nicht schutzwürdig, da das Vertrauen des Beschäftigten, der meint, sich an die Aufsichtsbehörde wenden zu müssen, zumeist erschüttert ist. Aufgabe der Aufsichtsbehörde ist in dieser Situation, den Verstoß zu untersuchen, ihn abzustellen und dadurch das Vertrauen wieder herzustellen.

Die Regelung demonstriert beispielhaft die Schieflage des gesamten Gesetzesentwurfes: Dem Arbeitgeber werden umfassende Eingriffsbefugnisse zugestanden, um sich gegen unredliche und unehrliche Beschäftigte zu schützen. Den Beschäftigten werden aber keine wirksamen Mittel an die Hand zu geben, Überwachungsmaßnahmen in Frage zustellen und unabhängig überprüfen zu lassen.
§ 38 Abs. 1 Satz 7 BDSG gewährt jedermann das Recht, sich an die Aufsichtsbehörde wenden. Dem gegenüber hält der Absatz den Beschäftigte an, sich zunächst an den Arbeitgeber zu wenden. Die Regelung hätte zur Folge, dass eine nicht betroffene nahestehende Person das Recht hätte, direkt die Aufsichtsbehörde anzurufen, nicht aber der Betroffene selbst. Vorzugswürdig ist, wenn überhaupt eine Regelung beabsichtigt ist, ein ausdrückliches Benachteiligungsverbot aufzunehmen:
„Beschäftigte dürfen wegen einer Eingabe oder Anfrage bei einer Aufsichtsbehörde durch den Arbeitgeber nicht diskriminiert oder in sonstiger Weise benachteiligt werden.“

§ 32l sollte außerdem um die Festlegung eines Verwertungsverbotes ergänzt werden. Die aufsichtsbehördliche Praxis zeigt, dass unzulässige Datenerhebungen und -verarbeitungen genutzt werden, um arbeitsrechtliche Maßnahmen zu begründen. Vor den Arbeitsgerichten fallen Beweise, die unter Verstoß gegen datenschutzrechtliche Bestimmungen erlangt wurden, selten oder nie unter das Beweisverwertungsverbot. Daher ist ein neuer Absatz einzufügen:
„Unzulässig erhobene oder verarbeitete Beschäftigtendaten dürfen für arbeitsrechtliche Maßnahmen und in arbeitsgerichtlichen Verfahren nicht verwertet werden.“