Kanzlei Lachenmann Onlinerecht IT-Recht

Gesetz zum Arbeitnehmerdatenschutz: Viel Lärm um ein sinnvolles Gesetz

Nachdem es in den letzten 2 Jahren nicht danach aussah, als ob das Gesetz zum Arbeitnehmerdatenschutz nun doch noch kommen würde, kam nun überraschend Bewegung in das Verfahren. Am 16. Januar wird die neue Version, eingebracht durch die Regierungskoalition, im Bundestag diskutiert werden. Bislang wird der Arbeitnehmerdatenschutz in § 32 BDSG rudimentär und sehr abstrakt geregelt, die Ausgestaltung war Aufgabe der Gerichte. Insofern ist es zu begrüßen, dass nun eine ausführliche Regelung endlich kommt – die größtenteils die bestehende Rechtsprechung kodifiziert. Die genaue Bezeichnung ist nicht Arbeitnehmerdatenschutz, sondern Beschäftigtendatenschutz, da neben dem Arbeitnehmerdatenschutz auch der von Bewerbern, Betriebsrentnern, Beamten usw. geregelt wird.

Positives am Gesetz zum Arbeitnehmerdatenschutz:

Der nun eingebrachte Entwurf stellt eine Verbesserung gegenüber dem ursprünglichem Gesetzesentwurf (BT-Drucks. 17/4230) dar, ist aber stellenweise noch zu weitgehend. Es werden sowohl einige grobe redaktionelle Fehler behoben (andere belassen) als auch die inhaltlichen Regelungen geändert. Im Folgenden sollen, ohne jeden Anspruch auf Vollständigkeit, ein paar geplante Änderungen des Gesetzes zum Arbeitnehmerdatenschutz dargestellt werden.

  • Zu begrüßen ist, dass die Definition des Begriffs „Dritte“ in § 3 Abs. 8 Satz 3 BDSG neu gefasst wird: Dies stellt eine formelle Vereinfachung für Arbeitgeber vor, ohne den Schutz der Arbeitnehmer zu beeinträchtigen. Auftragsdatenverarbeitung darf auch durch Anbieter in Ländern durchgeführt werden, bei denen EU-Kommission ein den EU-Standards entsprechenden Niveau festgestellt hat (z.B.: Schweiz, Guernsey, Andorra). Wenn teilweise zu lesen ist, dass hiermit die Verarbeitung in China gestattet würde, ist das schlicht Unfug. Arbeitnehmer brauchen sich hier also nicht zu sorgen.
  • Überraschend, jedoch sehr zu begrüßen, ist, dass endlich ein Konzernprivileg für Arbeitnehmerdaten eingeführt wird (§ 32m BDSG-E n.F.). Der Arbeitgeber ist nun nicht mehr auf Einwilligungen (die nun doch nicht mehr vollständig verboten werden sollen) der Arbeitnehmer angewiesen, oder gar eine Weitergabe ohne Erlaubnis. Stattdessen liegen nun klare Regelungen vor, nach denen die Daten weitergegeben werden können. Dies entspricht der Notwendigkeit in einem Unternehmen und schließt eine bislang bestehende, nicht hinzunehmende Lücke.
  • Zu begrüßen ist die Regelung zu Informationen aus dem Internet/social networks zu Arbeitnehmern: Das Arbeitnehmerdatenschutz-Gesetz gestattet die Einholung von öffentlich verfügbaren Informationen und verbietet die Einholung von privat gehaltenen Informationen (z.B. indem ein Profil nur für Kontakte freigeschaltet ist). Wer Informationen über sich im Internet veröffentlicht, muss nuneinmal damit rechnen, dass andere diese lesen. Zudem wäre ein Verbot sinnlos: Eine Vornahme durch den Arbeitgeber ist schlicht nicht nachweisbar.
  • Sinnvoll ist es, klare Regelungen aufzustellen, wann die Ortung von Arbeitnehmern gestattet wird (§ 32g BDSG-E). Dies betrifft nicht nur GPS-Systeme an Betriebsfahrzeugen (der Arbeitgeber hat ein Interesse zu wissen, wo sich diese befinden), sondern auch an mobilen Endgeräten: die Kehrseite von „Bring your own device“ ist, dass der Arbeitgeber Informationen über den Arbeitnehmer erhält.
  • Zu begrüßen ist, dass Arbeitgeber Arbeitnehmerprofile erstellen können zur Planung von Versetzungen (§ 32 Abs. 2 BDSG-E). Dies ist eine sinnvolle Ergänzung der geringen Befugnisse zur Datenspeicherung für Arbeitgeber. Jedoch wäre es sinnvoll, dies unter (z.B. zeitliche) Begrenzungen zu stellen, bislang sind diese zu weitgehend.
  • Positiv ist die Gestattung von Mitarbeiterscreenings in vorgegebenem Rahmen (§ 32d Abs. 3): Die Untersuchungen zur Aufdeckung von bestimmten Straftaten müssen nun anonym durchgeführt werden und können nur im Falle konkreter Anhaltspunkte auch personenbezogen ausgeführt werden. Diese Regelung ist schlicht notwendig: Denn durch die Compliance-Gesetze sind Arbeitgeber zu solchen Screenings verpflichtet. Zudem wurden die Befugnisse im neuen Entwurf deutlich eingeschränkt.
  • Nachvollziehbar ist die Regelung des § 32e Abs. 2 BDSG-E, wonach Arbeitgeber Daten von Arbeitnehmern erheben dürfen, wenn ein konkreter Verdacht auf ein Verhalten vorliegt, das die fristlose Kündigung rechtfertigen würde. Allerdings erscheint die Regelung bislang sehr weitgehend.
  • In der neu zu diskutierenden Fassung wurde tatsächlich auf die Kritik seitens der Wissenschaft (teilweise) eingegangen, wie sich u.a. an der redaktionellen Anpassung des § 32f Abs. 3 BDSG-E zeigt: Bislang gab es mehrere – offensichtlich auf Schlampigkeit zurückzuführende – Bezeichnungen für den „Zweck der Speicherung“. Dies wurde angepasst. Die Erwartung von Prof. Dr. Thüsing wird also nicht erfüllt werden, der treffend zusammenfasste: „Man freut sich auf die Doktorarbeit, die sachkundig herausarbeiten wird, wo der Unterschied zwischen Zweck, Speicherungszweck und Zweck der Speicherung liegt.“ (NZA 2011, 16; der weitere handwerkliche Schwächen kritisiert – lesenswert!).

Abzulehnende Regelungen des Gesetz zum Arbeitnehmerdatenschutz:

Aber wo Licht ist, gibt es auch Schatten. Neben den bereits geschilderten, oft zu weitgehenden Befugnissen des Gesetzes zum Arbeitnehmerdatenschutz, gibt es eine Reihe von klar abzulehnenden Vorschriften. Zudem ist die Beseitigung aller in der Literatur aufgezeigter Schwächen bislang nicht ausreichend. Mehrere Regelungen in dem Gesetz zum Arbeitnehmerdatenschutz sind deutlich zu weitgehend und greifen nicht hinnehmbar in Rechte der Arbeitnehmer ein:

  • Unklar ist weiterhin, ob die Rechte der Arbeitnehmervertretungen zu Datenübermittlungen nun eingeschränkt werden sollen oder nicht. So regelt § 4 Abs. 1 BDSG-E nun ausdrücklich, dass auch Tarifverträge und Betriebsvereinbarungen eine Erlaubnis für die Datenübermittlung über die rechtlichen Zulässigkeitstatbestände hinaus bieten können; was zudem § 32l Abs. 4 BDSG-E n.F. und die Gesetzesbegründung bestätigt wird. Daher hätte der § 32l Abs. 5 BDSG-E gestrichen werden müssen, da er im Widerspruch dazu das Gegenteil zu regeln versucht. Angesichts der Formulierung der Gesetzesbegründung ist zu vermuten, dass die Materie schlichtweg nicht verstanden wurde.
  • Nicht nachvollziehbar ist, weshalb die Erlaubnis von Bluttests gegenüber der bisherigen Rechtsprechung ausgeweitet werden sollte. Dies betrifft elementare Grundrechte eines jeden und Daten, die auch einen Arbeitgeber nicht zu interessieren haben. Hier wäre eine strengere Regulierung/Untersagung sinnvoll gewesen.
  • Auch dass psychologische Auswahlprüfungen nicht mehr nach wissenschaftlich anerkannten Methoden durchgeführt werden müssen (§ 32a Abs. 2 BDSG-E), erscheint wenig sinnvoll, da auch der Arbeitgeber an zuverlässigen Ergebnissen interessiert sein sollte – einer Willkür braucht keine Tür geöffnet zu werden.
  • Dass Daten über laufende Ermittlungsverfahren erhoben werden dürfen, auch wenn es nur in bestimmten Berufsfeldern der Fall ist (§ 32 Abs. 2 BDSG-E), ist nicht verständlich und ein Verstoß gegen die Unschuldsvermutung.
  • Auch die umfangreicher gestattete Überwachung der Leistung in Call-Centern erscheint als weitgehend.
  • Am meisten Wirbel dürften die Pläne zur Videoüberwachung (§ 32f BDSG-E) verursacht haben. Diese werden allerdings viel heißer gekocht, als sie tatsächlich sind. Wer den § liest, bemerkt schnell, dass keine Rede davon sein kann, dass pauschal die offene Überwachung zulässig sei, die verdeckte hingegen stets ausgeschlossen. Stattdessen wird versucht, eine ausgeglichene Regelung zu schaffen. Allerdings erscheint dieser derzeit noch zu weitgehend und sollte noch weiter eingeschränkt werden. Es kann jedenfalls keine Rede davon sein, dass die Überwachung nun „praktisch immer“ zulässig wäre.

Insoweit also ein kleiner Überblick über das Gesetz zum Arbeitnehmerdatenschutz. Da größtenteils die bestehende Rechtslage kodifiziert wird, ist dieser zu begrüßen. Jedoch sind weiterhin Verbesserungen notwendig. Es bleibt spannend, wie die endgültige Version aussehen wird.

Anmerkung: Die vorliegende Bewertung beruht auf der Synopse zum Änderungsantrag zum 16.1.2013 von „extdsb“. Dieser nennt wiederum keine Quelle für die Änderungen, so dass bislang nicht überprüft werden kann, ob die Angaben korrekt sind. Prof. Dr. Wrede, der den zweiten Artikel dieses Blogs schrieb, wäre es jedenfalls zu empfehlen gewesen, die Synopse durchzulesen, da er dann den Entwurf korrekt hätte wiedergeben können.

Update 13.32h: CMS Hasche Sigle, die zuerst über den neuen Plan berichtet hatten, haben mich über Twitter darauf hingewiesen, dass der Text des offiziellen Änderungsantrages nun online ist (Ausschussdrucks. 17(4)636). Nach kursorischer Durchsicht scheint die Synopse dem offiziellen Änderungsantrag zu entsprechen.

Update 16. Januar, 15.30h: Die Koalition hat das Gesetz wieder von der Tagesordnung genommen, es wird sich also weiter verzögern. Mehr Infos bei Heise.de.

Weiterführende Links (Stand: 18.20h):

Autor:

RA Matthias Lachenmann.

Dieser Beitrag wurde in Arbeitsrecht, Blog, Compliance, Datenschutzrecht, Persönlichkeitsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

Ein Trackback