Nickel-Eiding Rechtsanwälte Nickel-Eiding Rechtsanwälte
10.06.2012 | Arbeitsrecht

Datenschutz – was Unternehmen zu beachten haben

Niemand kann es sich heute leisten, den Schutz von personenbezogenen Daten zu vernachlässigen – dafür sind die Konsequenzen von Verstößen zu weitreichend.

Der Datenschutz hat in den vergangenen Jahren durch verschiedene medial aufgearbeitete Datenskandale nationaler und internationaler Wirtschaftsunternehmen viel Aufmerksamkeit erfahren. Die Öffentlichkeit ist seither für das Thema Datenschutz sensibilisiert. Unternehmen ist daher geraten, bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zur Meidung von Bußgeldzahlungen und Imageschäden Acht zu geben. Der vorliegende Beitrag soll das geltende Recht in seinen Grundzügen darstellen und im Weiteren die rechtlichen Grenzen im Zusammenhang mit der Nutzung von Kunden- und Mitarbeiterdaten aufzeigen.

Verbot mit Erlaubnisvorbehalt

Den Wenigsten ist bewusst, dass nach dem Bundesdatenschutzgesetz (BDSG), das die wichtigste Rechtsquelle im Zusammenhang mit dem Datenschutz im Privatrechtsverkehr darstellt, jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich unzulässig ist. Nur ausnahmsweise sind sie gestattet, nämlich wenn ein Gesetz oder eine andere Rechtsvorschrift (Betriebsvereinbarung, Tarifvertrag, Satzung, etc.) sie erlaubt oder der Betroffene in sie eingewilligt hat (§ 4 Abs. 1 BDSG).
Vor diesem Hintergrund braucht sowohl jede natürliche als auch jede juristische Person, Gesellschaft und andere Personenvereinigung des Privatrechts einen sogenannten Erlaubnistatbestand, um personenbezogene Daten erheben, verarbeiten oder nutzen zu dürfen.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Während Email- und IP-Adressen als solche anzusehen sind, fallen etwa Cookies nicht darunter.

Ein solcher sich aufgrund des unübersichtlichen und schwer verständlichen Datenschutzrechtes leider nicht ohne Weiteres bei einem Blick ins BDSG. Denn dieses offenbart nur unzureichend, was datenschutzrechtlich erlaubt bzw. verboten ist. Grund dafür ist, dass es sich beim Datenschutzrecht um eine „Querschnittsmaterie“ handelt, deren Erlaubnistatbestände nicht nur in einem, sondern in vielen verschiedenen Gesetzen zu finden sind und der Rechtsprechung eine entscheidende Rolle zukommt. All dies zusammengenommen macht das normierte Datenschutzrecht insgesamt zu einer wenig berechenbaren Rechtsmaterie, wobei letzteres insbesondere durch zahlreiche unpräzise Formulierungen des Gesetzes bedingt ist.
Darüber hinaus sind neben dem Verbot mit Erlaubnisvorbehalt verschiedene allgemeine Grundsätze und Gebote des Datenschutzrechts bei jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu beachten. So muss etwa dem Gebot der Direkterhebung, dem Gebot der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) sowie dem Grundsatz der Zweckbindung Rechnung getragen werden. Damit wird das Datenschutzrecht nicht nur für juristischen Laien, sondern auch für Fachleute teilweise unüberschaubar. Im Zweifel ist daher dazu geraten, einzelne Maßnahmen vor ihrer Vornahme von einem Sachverständigen überprüfen zu lassen, um einem bösen Erwachen vorzubeugen.
Zur groben Orientierung, was im Umgang mit Kunden- und Beschäftigtendaten zu beachten ist, soll folgender kurzer Überblick darstellen, was im Wesentlichen im Zusammenhang mit Kunden- und Mitarbeiterdaten zu berücksichtigen ist.

Schutz von Kundendaten

Es ist festzustellen, dass Kunden von Unternehmen heute mehr als früher sensibel auf den Umgang mit ihren Daten reagieren. Jeder Unternehmer, der ein Onlineportal oder einen Onlineshop betreibt, in dem Daten anfallen, die aufgrund ihrer Beschaffenheit schnell weiterverbreitet werden können, ist daher gut beraten, auf seiner Homepage neben obligatorischem Impressum und nützlichen AGB eine Datenschutzerklärung abzugeben. Diese sollte folgende Aussagen enthalten, wobei im Einzelfall weiter Angaben nötig sein können:

  • Zuallererst sollte klargestellt werden, dass alle Daten, die das Unternehmen erhebt und speichert, streng nach den Regeln des BDSG und anderer datenschutzrechtlicher Vorschriften behandelt werden.
  • Des Weiteren sollte angezeigt werden, zu welchen Zwecken erhobene und gespeicherte Daten verwendet werden.
  • Ferner sollte auch eine Angabe darüber enthalten sein, wann bzw. unter welchen Bedingungen erhobene und gespeicherte Daten gelöscht werden.
  • Mit Blick auf die Löschung von Daten sollte auch ein Hinweis auf das gesetzliche Löschungsrecht des Kunden (§ 35 Abs. 2 BDSG) gegeben werden, ebenso wie auf die weiteren Schutzrechte, die der Betroffene (Kunde) genießt. Des Weiteren ist darauf hinzuweisen, dass jederzeit ein Widerspruchsrecht hinsichtlich der Verwendung jeglicher erhobener und gespeicherter Daten besteht.
  • Eine Versicherung, dass keine Weitergabe zu Werbezwecken anderer Unternehmen erfolgt, ist ebenfalls empfehlenswert.
  • Dasselbe gilt für Angaben darüber, unter welchen Bedingungen das Unternehmen aus gesetzlichen Gründen zur Weitergabe an andere (staatliche) Institutionen verpflichtet ist.
  • Sinnvoll ist ferner ein Hinweis darauf, welche Informationen automatisch beim Besuch einer Homepage gespeichert und ggf. ausgewertet werden.
  • Unter Umständen empfehlen sich auch Angaben dazu, ob und welche Arten von Cookies erhoben werden und wie der Besucher einer Homepage dies verhindern kann.
  • Auf einen Hinweis, wie mit den Daten von Kindern und Jugendlichen verfahren wird, sollte auch nicht verzichtet werden.
  • Eine Anzeige der Sicherheitsmaßnahmen, die angewendet werden, um einen Missbrauch von Daten zu verhindern, ist ebenso sinnvoll.
  • Darauf, welche Haftungsregeln beim Verwenden von Links gelten, die von der Homepage auf andere Websites verweisen, sollte auch hingewiesen werden.
  • Wird auf der Webseite ein Gästebuch unterhalten, in dem Kunden eine Notiz hinterlassen können, ist auch darauf hinzuweisen, was mit diesen Informationen geschieht. Dasselbe gilt für Foren- und andere Einträge, die aufgrund von Web 2.0-Applikationen auf die Firmenwebseite hochgeladen werden können.

Beschäftigtendatenschutz

Der Beschäftigtendatenschutz soll nach dem Willen des Gesetzgebers in Kürze reformiert werden. Die Bundesregierung hat im August 2010 einen Gesetzentwurf vorgelegt, der eine Vielzahl neuer Regelungen vorsieht, die in das Bundesdatenschutzgesetz eingeführt werden sollen. Auf den ersten Blick erscheinen sie als Verbesserung des Datenschutzes im Beschäftigungsverhältnis. Auf den zweiten Blick rufen sie jedoch große Ernüchterung hervor. Grund dafür ist, dass die angedachten Regelungen wiederum nicht nur unu?bersichtlich und schwer verständlich sind, sondern auch vieles regeln, das bereits seit langem geltendes Recht ist. Vor diesem Hintergrund wird das Nachfolgende im Wesentlichen auch nach der Einführung des Gesetzes seine Gültigkeit nicht verlieren.

§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) 1Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 2Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

Aktuell findet sich in § 32 BDSG eine zentrale Erlaubnisnorm, die festlegt, wann und unter welchen Umständen eine Datenerhebung zu Zwecken des Beschäftigungsverhältnisses zulässig ist. Allerdings ist auch bei ihr zu berücksichtigen, dass sie nur ein Bruchteil der Datenerhebungen, -verarbeitungen und -nutzungen erlaubt, die im Unternehmen nötig sind. So ist auf Grundlage des § 32 BDSG weder der Austausch von Daten zwischen Konzernunternehmen noch die Erhebung und Weitergabe von Daten zur Gewährung einer Firmenkreditkarte möglich. Der Arbeitgeber muss daher nicht selten auf alternative Erlaubnistatbestände zurückgreifen. Dies ist jedoch nicht unproblematisch. Hintergrund ist, dass im Beschäftigungsverhältnis die Einwilligung aufgrund ihrer Verweigerbarkeit und Widerrufbarkeit keine verlässliche Rechtsgrundlage darstellt, die sich für Massengeschäfte eignet. Zudem ist es wohl herrschende, wenn auch nicht per se zustimmungswürdige Ansicht der Datenschutz-Aufsichtsbehörden, dass eine vom Arbeitnehmer erteilte Einwilligung regelmäßig unzulässig ist, da sie aufgrund des in der Regel vorliegenden Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer nicht freiwillig erklärt werden kann. Insofern bleibt dem Arbeitgeber regelmäßig nichts anders übrig, als darauf hinzuwirken, (ein Betriebsrat vorausgesetzt) eine Betriebsvereinbarung zu treffen, die eine geeignete Rechtsgrundlage enthält.
Mit Blick darauf kann abgehoben vom Einzelfall lediglich sicher gesagt werden, dass eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Beschäftigungsverhältnis entsprechend der Rechtsprechung des Bundesarbeitsgerichts (BAG) grundsätzlich nur dann zulässig ist,

  • wenn sie im Zusammenhang mit dem Beschäftigungsverhältnis steht bzw. für dessen Zwecke erfolgt und
  • der Arbeitgeber an ihr ein berechtigtes, überwiegendes Interesse hat, hinter dem das Interesse des Beschäftigten an Geheimhaltung seiner Daten zurückzustehen hat.

Die Erhebung, Verarbeitung oder Nutzung der Daten muss demnach praktisch durch das Beschäftigungsverhältnis „diktiert“ werden. Das heiß jedoch nicht, dass die Erhebung und Verarbeitung der betreffenden Daten zwingend nötig sein muss. Denn erweisen sich andere Möglichkeiten der Zielerreichung als weniger effizient, organisatorisch aufwendiger oder unwirtschaftlich, so kann sie dennoch erforderlich sein.
Um Vertragsverletzungen, Ordnungswidrigkeiten und Straftaten im Beschäftigungsverhältnis zu verhindern und aufzudecken, muss der Arbeitgeber dokumentierte, tatsächliche Anhaltspunkte haben, die einen entsprechenden Verdacht begründen. Darüber hinaus muss die Ausspähung des Mitarbeiters stets verhältnismäßig sein. Wann eine Maßnahme nicht mehr verhältnismäßig ist, lässt sich nicht ohne Weiteres beantworten. Deshalb sollte sich der Arbeitgeber gerade bei derartigen Datenerhebungen fachkundigen Rat einholen.
Damit ist längst nicht alles über den Datenschutz im Unternehmen gesagt. Der Artikel hat lediglich den Anspruch weiter den Datenschutz zu sensibilisieren. Gleichzeitig soll er dafür werben, Arbeitsplätze zur Sicherung des betrieblichen Datenschutzes einzurichten, die bereits heute für viele Unternehmen zu einer Selbstverständlichkeit geworden sind. Ein interner oder externer Datenschutzbeauftragter kann eine hilfreiche Institution sein und viele Schwierigkeit vermeiden helfen, bevor sie entstehen.