02.12.2009
[] Am 10.07.2009 hat der Bundesrat dem zweiten Teil der Novellierung des geltenden Datenschutzrechts, der sog. Novelle II, zugestimmt.
Den ersten Teil der Überarbeitung des Datenschutzrechts, die Novelle I, hatte der Bundesrat bereits im April verabschiedet. Aus der Sicht eines Arbeitgebers ist insbesondere die Novelle II von Bedeutung: Auch wenn sich diese in wesentlichen Teilen mit Themen, die nicht für das Arbeitsrecht spezifisch sind (Verwendung von Daten für Werbezwecke sowie Markt- und Meinungsforschung) beschäftigt, enthält das Bundesdatenschutzgesetz jetzt ein Novum: Erstmalig hat der Mitarbeiter-Datenschutz in Deutschland eine gesetzliche (wenn auch nur sehr kurze) Regelung erfahren.
Anlass für diese Novellierung waren verschiedene Datenschutzskandale im vergangenen Jahr, die sich auf Daten von Mitarbeitern bezogen. Der Gesetzgeber sah hier „Handlungsbedarf beim Datenschutz im Arbeitsleben" (BT-Drs. 16/13657, Seite 34).
Sinn der Neuregelung Angesichts der Ausführungen der Materialien zu dieser neuen Regelung fragt sich bereits, welchen Sinn weite Teile der Regelung haben sollen. So hält der Gesetzgeber immer wieder fest, dass er letztlich nur das kodifizieren wollte, was die Rechtsprechung des Bundesgerichtshofs bereits festgelegt hat und verweist insbesondere auf die Entscheidung des Bundesarbeitsgerichts vom 22.10.1986 (NJW 1987, 2459 ff), derzufolge in die Privatsphäre des Arbeitnehmers nicht tiefer eingedrungen werden darf, als es der Zweck des Arbeitsverhältnisses unbedingt erfordert. Eine erste Betrachtung der Neuregelung lässt jedoch vermuten, dass jetzt auf Arbeitgeber, ungeachtet der Einschätzung des Gesetzgebers, einige Probleme zukommen könnten.
Mögliche Konsequenzen der Neuregelung
1. Ausdehnung des Bereichs des Datenschutzes
Bemerkenswert ist zunächst, dass der Anwendungsbereich des Datenschutzes durch den neuen § 32 BDSG ausgedehnt wurde. Bisher galt, dass Daten im Sinne des Bundesdatenschutzgesetzes entweder sich in einer elektronischen Bearbeitung bzw. Speicherung befinden oder zumindest aus einer solchen stammen. Nach der Neuregelung ist jede Form der Datenerhebung, auch wenn sie beispielsweise mündlich geschieht, den datenschutzrechtlichen Regelungen unterworfen. Der Anruf des potentiellen neuen Arbeitgebers beim früheren Arbeitgeber oder auch nur die handschriftliche Notiz aus einem Bewerbungsgespräch unterfallen jetzt den Regelungen über den Datenschutz (Deutsch/Diller, Die geplante Neuregelung des Arbeitnehmerdatenschutzes in § 32 BDSG, DB 2009, 1462). Erst recht gilt dies für die jetzt wieder in die Schlagzeilen geratene Überwachung von Mitarbeitern durch Privatdetektive (Spiegel-Online vom 23.07.2009).
2. Beschränkung auf die strenge Erforderlichkeit bei der Datenerhebung und -verarbeitung?
Noch problematischer ist die Neuregelung des § 32 Abs. 1 Satz 1 BDSG mit der Festlegung eines strengen Erforderlichkeitsprinzips. Hinsichtlich der Reichweite der Neuregelung ist die Gesetzesbegründung inkonsistent. Einmal spricht der Gesetzgeber nur von einer punktuellen Verdrängung der bisherigen Regelung, ein anderes Mal jedoch davon, dass ein großer Teil der bisher in § 28 BDSG enthaltenen Regelung hinter dem neuen § 32 BDSG zurücktritt. Die Konsequenzen dieses Widerspruchs in der Gesetzesbegründung könnten gravierend sein. Sollte tatsächlich der gesamte § 28 Abs. 1 BDSG im Arbeitsverhältnis nicht mehr anwendbar sein, so würde dies auch für § 28 Abs. 1 Satz 1 Nr. 2 BDSG gelten. Dieser ermöglichte eine Verarbeitung (und damit auch den Transfer) von Daten aufgrund der Abwägung von Interessen des Arbeitgebers und Arbeitnehmers. Diese Interessenabwägung konnte unter anderem die Rechtfertigung für konzerninterne Datentransfers sein, wenn beispielsweise verschiedene Tochtergesellschaften Funktionen „outgesourced" und auf die Konzernmutter „verlagert" haben.
Dies wäre bei alleiniger Anwendung des neuen § 32 BDSG nicht mehr möglich, weil die Auslagerung von Funktionen gerade nicht erforderlich ist, um ein Arbeitsverhältnis abzuwickeln. Andere Möglichkeiten, den Datentransfer im Konzern zu legitimieren, stehen aber nach der Ansicht der Datenschutzbehörden kaum zur Verfügung: So sind die deutschen Datenschutzbehörden der Ansicht, dass wegen des Über-Unterordnungs-Verhältnisses von Arbeitgeber und Arbeitnehmer die Einwilligung gemäß § 4 a BDSG als Rechtfertigung für einen Datentransfer regelmäßig ausscheidet.
Eine Rechtfertigung durch eine Betriebsratsvereinbarung ist zwar denkbar; jedoch kann eine solche Betriebsratsvereinbarung kaum von dem abweichen, was das Gesetz erlaubt. Dies ist nur ein Beispiel der Probleme, die sich durch die Neuregelung stellen werden.
3. Verwendung von Daten zur Aufdeckung von Straftaten
Auch die Konsequenzen der neuen Regelung des § 32 BDSG zur Verwendung von Daten zur Aufdeckung von Straftaten des Arbeitnehmers – zur Aufdeckung von Straftaten dürfen Daten nur bei konkreten Verdachtsmomenten und nach einer Abwägung mit den Interessen des Arbeitnehmers verwendet werden – sind unklar. Dies ist besonders misslich, weil Straftaten (und im Übrigen auch andere Regelungsverstöße) von Arbeit-nehmern nicht nur erhebliche Konsequenzen für das Ansehen eines Unternehmens, sondern auch handfeste rechtliche Sanktionen nach sich ziehen können. Für viele Unternehmen, insbesondere wenn sie Teil eines internationalen Konzerns sind, ist das Thema „Compliance" deshalb von größter Bedeutung. Es ist völlig offen, was vor dem Hintergrund der Neuregelung mit den verbreiteten Ethik-Richtlinien (auch „Codes of Conduct") oder den „Whistleblowing-Programmen" passieren soll. Erste Ratschläge gehen dahin, dass bei wichtigen Ermittlungsmaßnahmen innerhalb eines Unternehmens sogar eine vorherige Abstimmung mit den Datenschutzbehörden ratsam ist (Wybitol, Das neue Bundesdatenschutzgesetz, Verschärfte Regelungen für Compliance und interne Ermittlungen, BB 2009, 1582 ff). Teilweise wird die Neuregelung sogar als „völlig missraten" gebrandmarkt (Deutsch/Diller, aaO, 1463).
Fazit
Die Neuregelung des § 32 BDSG hat die Situation eines Arbeitgebers nicht verbessert. Vielmehr sieht sich jeder Arbeitgeber einer erheblichen Unsicherheit gegenüber, wenn er in Zukunft überlegen muss, wie er mit den Daten der Mitarbeiter umgeht. Vor diesem Hintergrund bleibt auch die Frage offen, ob man von der noch immer angekündigten umfassenden Kodifizierung des Datenschutzes im Beschäftigungsverhältnis (§ 32 BDSG sollte hier immer ein erster Schritt sein) Abhilfe erhoffen oder noch Schlimmeres befürchten soll. Die umfassende Regelung im Rahmen eines Arbeitnehmerdatenschutzgesetzes steht nach Presseberichten weiterhin „auf der Tagesordnung" (vgl. Handelsblatt vom 08.07.2009).
