Arbeitnehmerdatenschutzgesetz: Kommentierung des Gesetzentwurfs 2012

Der soll sich ändern, er soll „besser“ werden – was auch immer darunter zu verstehen ist. Dazu gibt es nunmehr den dritten Entwurf eines Arbeitnehmerdatenschutzgesetzes (nach Mai und Juni 2010 nun als dritter Entwurf seit dem August 2010), der so von der Bundesregierung auch in den Bundestag eingebracht wurde.

Update: Inzwischen ist bekannt geworden, dass im Januar 2013 der Entwurf beschlossen werden soll. Dies ist später dann aber doch nicht geschehen.

Im Folgenden analysiere ich den Gesetzentwurf vollumfänglich und stelle dar, was sich ändern wird und wie es sich in der Praxis wohl auswirken wird. 

Allgemeines

Zuerst einmal ist leider weiter festzustellen, dass der Entwurf die Überfrachtung des Bundesdatenschutzgesetzes weiter voran treibt. Ich meine damit keine Kritik daran, den Arbeitnehmerdatenschutz in das zu integrieren (und nicht als eigenes Gesetz zu etablieren), hier gibt es ebenso Pro- wie Contra-Argumente. Ich meine die Sprache des Gesetzes insgesamt: ist kein Selbstzweck, sondern letzten Endes die Sicherung der Rechte der Betroffenen. Diese können ihre Rechte aber nur nutzen, wenn sie diese auch begreifen – und das Gesetz als „Primärquelle“ des geltenden Rechts muss sich hier dem jeweiligen Betroffenen dem Grunde nach irgendwie erschließen können, ohne als erstes einen Rechtsanwalt zu konsultieren oder einen Gesetzes-Kommentar durchzuarbeiten.

Und um es deutlich zu sagen: Die grundlegenden Rechte, die hier gesichert werden sollen – und um die es im Datenschutz geht – lassen sich durchaus in einfachen Worten klarstellen. Notfalls, in dem die grundlegenden (wichtigsten) Rechte der Betroffenen in einen eigenen, klar formulierten Abschnitt ausgelagert werden.

Dass der Gesetzgeber diese Fähigkeit nicht besitzt, verdeutlicht schon die Lektüre des §34 BDSG in der aktuellen Fassung, der keinem Laien mehr auf Anhieb zugänglich sein dürfte. Alleine die Überschrift („Auskunft an den Betroffenen“) macht noch deutlich, worum es hier überhaupt geht. Mit dieser Tradition wollte man beim Arbeitnehmerdatenschutz wohl nicht brechen.

Hervorgehobene Punkte

Herausheben möchte ich nur in Kürze einige Punkte, die mir (mit Blick auf die Praxis) relevant bzw. interessant erscheinen:

Anwendbarkeit des BDSG

1) Im §12 IV BDSG n.F. wird angeordnet, dass hinsichtlich des Beschäftigtendatenschutzes anstelle der allgemeinen Regelungen im BDSG die neuen §§32 bis 35 BDSG (§34 BDSG n.F. nur teilweise) gelten.

Bewerbungsverfahren allgemein

2) Nach §32 BDSG wird recht deutlich reglementiert, welche Daten ein Arbeitgeber vor Anstellung, also im Laufe des Bewerbungsverfahrens, erheben darf. (Arbeitgeber iS.d. BDSG ist dann nicht nur, wer bereits beschäftigt, sondern auch wer erst noch beschäftigen will, §3 XIII BDSG!) Ausdrücklich gehören dazu die rudimentären Kontaktdaten, also Name, Anschrift, Telefonnummer und Mail-Adresse. Darüber hinaus dürfen Daten nur erhoben werden, wenn diese erforderlich (also besonders geeignet/notwendig) sind, um den Bewerber zu beurteilen – dazu gehören ganz besonders persönliche und fachliche Fähigkeiten sowie beruflicher Werdegang. Bzgl. besonderer Merkmale, die im AGG bereits geschützt sind, wird auf den §8 AGG verwiesen. Nicht ausdrücklich geregelt bleibt der Umgang mit sensiblen Daten aus dem Strafrecht, also etwa laufenden oder Vorstrafen.

Datenklauberei der Personalabteilungen in sozialen Netzen

3) Interessant wird es im §32 VI BDSG, wenn die Datenklauberei der Personalabteilungen im Internet eingeschränkt werden soll. Dort liest man dann:

Wenn der Arbeitgeber den Beschäftigten vor der Erhebung hierauf hingewiesen hat, darf der Arbeitgeber allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten erheben, es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt.
Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die der Darstellung der beruflichen Qualifikation dienen.

Es gilt also: Der Arbeitgeber darf allgemein zugängliche Daten (§§28, 29 BDSG) verwenden, muss aber den Arbeitnehemr/Bewerber vorher darauf hinweisen, dass so etwas praktiziert wird. Eine Ausnahme der Verwertung besteht bei einem schutzwürdigen Interesse des Arbeitnehmers (Hinweis: Im Vergleich zum Vorentwurf wurde das „offensichtlich“ gestrichen beim Schutzbedürfnis), das jedenfalls bei „sozialen Netzwerken“ grundsätzlich vermutet wird. Hier wieder ausgenommen „soziale Netzwerke“, die der Darstellung der beruflichen Qualifikation dienen.

Frage: Was ist ein soziales Netzwerk? Ist Twitter ein soziales Netzwerk? Oder Facebook? Warum soll Facebook geschützt werden, wenn der Nutzer dort seine Daten schützen könnte, es aber nicht tut? Ist es nicht wie beim Zugangserschwerungsgesetz: Anstelle Kontrolle über die Daten zu erarbeiten (hier: User sollen eigene Daten löschen und kontrollieren können), wird dem Arbeitgeber verboten, auf etwas zu sehen, was er ohnehin sehen kann.
Weiter: Sollen Diskussionsforen „soziale Netzwerke“ sein? Ist es dabei nicht gerade – je nach Beruf – eine fachliche Eignung, ob jemand ständig im „Klarnamen“ unterwegs ist und sich nicht anonymisiert? Zumindest ist es als konkretes Beispiel eine ebenso interessante wie berechtigte Frage eines zukünftigen Arbeitgebers an seinen potentiellen Datenschutzbeauftragten, warum dieser nicht von Pseudonymen Gebrauch macht.

Bei diesem Punkt sehe ich im Ergebnis zwei Probleme: Zum einen wird durch das „Verbot hinzusehen“ nicht gerade die Kompetenz und Verantwortung derjenigen gestärkt, die freimütig und unüberlegt Daten von sich ins Netz stellen. Weiterhin wird es eine spannende Frage sein, was wie als soziales Netzwerk definiert werden wird, auf die Gratwanderung zwischen Blog, Twitter, Facebook und Diskussionsforum bin ich jedenfalls gespannt. Auf den lebensnahen Aspekt, dass eine Personalabteilung sich letzten Endes von frei verfügbaren Daten so oder so zumindest beeinflussen lässt, gehe ich dabei gar nicht erst ein.

ärztliche Untersuchungen

4) Hinsichtlich ärztlicher Untersuchungen ist der §32a BDSG zu beachten. Dabei darf man gespannt sein, ob der Vorgabe gefolgt wird, dass bei ärztlichen Tests nur die Entscheidung ob man geeignet ist oder nicht an den Arbeitgeber gemeldet werden darf (also keine Untersuchungsdetails). Schade ist es, dass man hier (analog zum §32 BDSG in Sachen AGG) vergessen hat, deklaratorisch auf das Gendiagnostikgesetz zu verweisen. Das ändert zwar nichts an den Rechten die ohnehin bestehen, würde Betroffenen aber helfen, es im Auge zu halten.

Begründung des Arbeitsverhältnisses

5) Für die Verarbeitung von Daten vor Begründung des Arbeitsverhältnisses (also etwa im laufenden Bewerbungsverfahren) ist der §32b BDSG n.F. zu beachten. Dabei wird ausdrücklich festgehalten, dass nur im Einklang mit den Gesetzen erhobene Daten verwendet werden dürfen, die auch erforderlich sind.

Für die Verarbeitung von Daten während des Beschäftigungsverhältnisses muss man die §§32c ff. BDSG n.F. lesen, die teilweise jeglichen Boden normaler Sprache weit hinter sich lassen. Das Spiel aus Regel-Ausnahme-Ausnahme-Sonderregel ist hier m.E. mitunter Absurd.

Kameraüberwachung im Arbeitsverhältnis

Das zur Zeit wohl meist beachtete Thema dabei ist die Kameraüberwachung, wobei der §32f BDSG n.F. einen weiteren Erlaubnistatbestand im Vergleich zum Vorentwurf einführt: Die Qualitätssicherung. Wo angesichts der 7 Erlaubnistatbestände überhaupt noch eine Überwachung nicht möglich sein soll, bringt letztlich der §32f II BDSG n.F. auf den Punkt:

Eine von Teilen von Betriebsstätten, die überwiegend der privaten Lebensgestaltung des Beschäftigten dienen, ist unzulässig. Dies gilt insbesondere für Sanitär-, Umkleide- und Schlafräume.

Eben so verstehe ich es in der aktuellen Fassung auch: Die Überwachung nicht-öffentlich zugänglicher Räume via Kameras wird grundsätzlich und umfassend möglich sein, mit Ausnahme von Räumlichkeiten die überwiegend der privaten Lebensgestaltung dienen.

Wie wirr teilweise der Gesetzestext ist, merkt man, wenn man nach der Rechtsgrundlage sucht, um einen einer Straftat verdächtigen mit Kameras zu überwachen. Die findet man nämlich nicht im §32e BDSG n.F., denn der §32e IV Nr.3 BDSG n.F. schließt optische Überwachungsmaßnahmen (ausgenommen Fotoapparat und Ferngläser) aus. Wobei der Gesetzgeber die Dummheit begeht, zu vergessen, dass auch moderne Fotoapparate filmen können.

Man muss letzten Endes in den §32f III BDSG n.F. blicken, um die Videoüberwachung anlässlich Straftats-Verdachts zu finden. Dabei gibt es eine „Ultima Ratio“ Regelung, dass man den Weg der Videoüberwachung nur gehen darf, wenn alles andere aussichtslos oder zumindest erheblich erschwert wäre in der Wirkung. Allerdings gibt es keine ausdrückliche zeitliche Begrenzung (wie etwa beim §32e IV BDSG n.F., der maximal 24h am Stück oder 4 tage insgesamt vorsieht). Auch hier wird man letzten Endes auf einen umsichtigen Arbeitgeber angewiesen sein, der auch am Ende seiner Pflicht nachkommt, auf die (erledigte) Überwachung hinzuweisen. Dabei hat der Gesetzgeber es verschlafen, vorsichtshalber ausdrücklich das Recht des Arbeitnehmers aufzunehmen, auch den konkreten Grund samt aller Umstände zu erfahren, die zu dieser Überwachung geführt haben. M.E. besteht dieses Auskunftsrecht ohnehin, aber mancher Arbeitgeber wird sicherlich darüber streiten wollen.

automatisierten Abgleich

Interessant daneben ist die Regelung des §32d III BDSG n.F., der einen „automatisierten Abgleich“ von Daten der Arbeitnehmer in anonymisierter Form mit vorhandenen Date(ien) erlaubt, um anlasslos nach Straftaten zu suchen. Die in der Vergangenheit immer wieder von der Öffentlichkeit negativ wahrgenommenen „innerbetrieblichen Rasterfahndungen“ werden damit legalisiert, auch wenn – zumindest scheinbar – einige Grenzen gezogen werden. Allerdings dürfen die Daten bei einem „Verdachtsfall“ (wobei die Verdachtsstufe nicht konkretisiert wird) sofort personalisiert werden.

Telekommunikationsdienste

6) Neu sind die Regelungen zu Telekommunikationsdiensten im §32i BDSG n.F. – diese sind sehr umfangreich und werden hier nicht näher erläutert, zumal ich ohnehin befürchte, dass die hier geschriebenen Zeilen überholt sein werden, sobald der Bundestag mit dem Referentenentwurf fertig ist. Zu beachten ist aber, dass nach dem neuen §32i IV BDSG n.F. vorgesehen ist, dass Arbeitgeber auf private Daten (also private Mails etc.) in Zukunft zugreifen dürfen, sofern dies für den betrieblichen Ablauf notwendig ist und eine vorherige schriftliche Anzeige erfolgte. Hier wird sich die Rechtslage durchaus radikal ändern im Vergleich zur aktuellen Lage.

Auskunftspflichten

7) Neu sind auch die Auskunftspflichten des Arbeitgebers nach §32j BDSG n.F., der seine Arbeitnehmer bei unrechtmäßiger Kenntnisnahme von Daten durch Dritte umgehend zu informieren hat.

Biometrische Daten

8 ) Biometrische Daten dürfen, so §32h BDSG n.F. nur zu „Autorisierungszwecken“ erhoben werden, sprich: Um Zugangskontrollen (Fingerabdruckscan etc.) einrichten zu können. Zu keinem anderen Zweck.

Datenschutzbeauftragter

9) Interessant wird es bei § 32e V BDSG n.F., demzufolge §4d V BDSG Anwendung finden soll. Hieraus lese ich eine Pflicht für Unternehmen, spätestens bei versteckter Datenerhebung, zwingend einen Datenschutzbeauftragten zu bestellen.

Einwilligung

10) Die Möglichkeit, die vorgesehenen Regelungen durch eine Einwilligung zu umgehen, wird im §32l BDSG n.F. eingeschränkt: Nur dann, wenn eine Einwilligung ausdrücklich zugelassen ist, wird sie berücksichtigt. Damit dürften Arbeitgeber den Schutz der Arbeitnehmer jedenfalls nicht durch eine (abgenötigte) Einwilligung unterlaufen können.

11) Sofern sich der Arbeitgeber zur Überwachung seiner Arbeitnehmer eines externen Dienstleisters bemüht, ist im Übrigen §32l II BDSG n.F. zu beachten, der in erster Linie die für den Arbeitgeber geltenden Regelungen aufrecht zu erhalten versucht.

Fazit und erster Ausblick

Das BDSG wird wieder einmal umfangreicher und aufgeblähter, was m.E. erheblich zu Lasten des Verständnisses geht. Arbeitgeber werden sich einer Vielzahl von Änderungen ausgesetzt sehen, dabei wird man – gleich was hier am Ende raus kommt – im Regelfall die gesamte Art wie mit Daten von Arbeitnehmern umgegangen wird, geprüft und neu organisiert werden müssen. Im Falle eines Straftatverdachts sollte man zwingend (dies auch schon heute) von Anfang an einen erfahrenen Rechtsanwalt hinzuziehen, der das Vorgehen rechtlich absichert und koordiniert – eine Maßgabe, die zu oft missachtet wird. Meine wenigen Worte zu den Telekommunikationsdiensten sollte man gleichsam nicht falsch verstehen: Auch hier wartet sehr viel Arbeit auf die Arbeitgeber, ich warte an diesem Punkt schlicht auf das endgültige Ergebnis.

Letzten Endes ist nur noch einmal darauf zu drängen, dass Unternehmen sich endlich Datenschutzbeauftragte anschaffen, diese ausreichend fortbilden (sofern keine externen DSB beschäftigt werden) und deren Ratschläge umsetzen. Auch wenn der Staat weiterhin lieber auf zunehmende Gesetze statt brauchbare Kontrolle setzt (die ihn freilich Geld kosten würde): Das Arbeitnehmerdatenschutzgesetz kann durchaus dazu führen, dass eklatante Datenschutzverstöße auch kleinerer Unternehmen nicht nur vor die Gerichte, sondern auch in die Öffentlichkeit gezerrt werden.

Die in der Öffentlichkeit stehenden Themen, Internet und Kameraüberwachung im Job, sind m.E. nur halbherzig aufgegriffen: Im Ergebnis wird schlicht der private Lebensraum nun ausdrücklich geschützt (der bisher ohnehin geschützt ist), während andere Bereiche dem Gutdünken der Arbeitgeber ausgesetzt sind. Beim Bereich der Datenverarbeitung von selbst erhobenen Daten über den Bewerber aus dem Internet überlässt der Gesetzgeber es offensichtlich der Rechtsprechung, was geschützt sein soll und was nicht – womit es dem Arbeitnehmer obliegt, sich den jeweiligen Schutz einzuklagen. Bei dem entsprechenden Prozesskostenrisiko natürlich. Hinzu kommt die Frage, wo der Gesetzgeber den Schwerpunkt setzen möchte: Es fällt schon ins Auge, dass die vorgesehenen Bußgeldverstöße in erster Linie Unterrichtungspflichten betreffen, nicht aber vorwerfbares Verhalten bei der Erhebung von Daten.

Links dazu:

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.