Niemand kann es sich heute leisten, den Schutz von personenbezogenen Daten zu vernachlässigen – dafür sind die Konsequenzen von Verstößen zu weitreichend.
Der Datenschutz hat in den vergangenen Jahren durch verschiedene medial aufgearbeitete Datenskandale nationaler und internationaler Wirtschaftsunternehmen viel Aufmerksamkeit erfahren. Die Öffentlichkeit ist seither für das Thema Datenschutz sensibilisiert. Unternehmen ist daher geraten, bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zur Meidung von Bußgeldzahlungen und Imageschäden Acht zu geben. Der vorliegende Beitrag soll das geltende Recht in seinen Grundzügen darstellen und im Weiteren die rechtlichen Grenzen im Zusammenhang mit der Nutzung von Kunden- und Mitarbeiterdaten aufzeigen.
Den Wenigsten ist bewusst, dass nach dem Bundesdatenschutzgesetz (BDSG), das die wichtigste Rechtsquelle im Zusammenhang mit dem Datenschutz im Privatrechtsverkehr darstellt, jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich unzulässig ist. Nur ausnahmsweise sind sie gestattet, nämlich wenn ein Gesetz oder eine andere Rechtsvorschrift (Betriebsvereinbarung, Tarifvertrag, Satzung, etc.) sie erlaubt oder der Betroffene in sie eingewilligt hat (§ 4 Abs. 1 BDSG).
Vor diesem Hintergrund braucht sowohl jede natürliche als auch jede juristische Person, Gesellschaft und andere Personenvereinigung des Privatrechts einen sogenannten Erlaubnistatbestand, um personenbezogene Daten erheben, verarbeiten oder nutzen zu dürfen.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Während Email- und IP-Adressen als solche anzusehen sind, fallen etwa Cookies nicht darunter.
Ein solcher sich aufgrund des unübersichtlichen und schwer verständlichen Datenschutzrechtes leider nicht ohne Weiteres bei einem Blick ins BDSG. Denn dieses offenbart nur unzureichend, was datenschutzrechtlich erlaubt bzw. verboten ist. Grund dafür ist, dass es sich beim Datenschutzrecht um eine „Querschnittsmaterie“ handelt, deren Erlaubnistatbestände nicht nur in einem, sondern in vielen verschiedenen Gesetzen zu finden sind und der Rechtsprechung eine entscheidende Rolle zukommt. All dies zusammengenommen macht das normierte Datenschutzrecht insgesamt zu einer wenig berechenbaren Rechtsmaterie, wobei letzteres insbesondere durch zahlreiche unpräzise Formulierungen des Gesetzes bedingt ist.
Darüber hinaus sind neben dem Verbot mit Erlaubnisvorbehalt verschiedene allgemeine Grundsätze und Gebote des Datenschutzrechts bei jeder Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu beachten. So muss etwa dem Gebot der Direkterhebung, dem Gebot der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) sowie dem Grundsatz der Zweckbindung Rechnung getragen werden. Damit wird das Datenschutzrecht nicht nur für juristischen Laien, sondern auch für Fachleute teilweise unüberschaubar. Im Zweifel ist daher dazu geraten, einzelne Maßnahmen vor ihrer Vornahme von einem Sachverständigen überprüfen zu lassen, um einem bösen Erwachen vorzubeugen.
Zur groben Orientierung, was im Umgang mit Kunden- und Beschäftigtendaten zu beachten ist, soll folgender kurzer Überblick darstellen, was im Wesentlichen im Zusammenhang mit Kunden- und Mitarbeiterdaten zu berücksichtigen ist.
Es ist festzustellen, dass Kunden von Unternehmen heute mehr als früher sensibel auf den Umgang mit ihren Daten reagieren. Jeder Unternehmer, der ein Onlineportal oder einen Onlineshop betreibt, in dem Daten anfallen, die aufgrund ihrer Beschaffenheit schnell weiterverbreitet werden können, ist daher gut beraten, auf seiner Homepage neben obligatorischem Impressum und nützlichen AGB eine Datenschutzerklärung abzugeben. Diese sollte folgende Aussagen enthalten, wobei im Einzelfall weiter Angaben nötig sein können:
Der Beschäftigtendatenschutz soll nach dem Willen des Gesetzgebers in Kürze reformiert werden. Die Bundesregierung hat im August 2010 einen Gesetzentwurf vorgelegt, der eine Vielzahl neuer Regelungen vorsieht, die in das Bundesdatenschutzgesetz eingeführt werden sollen. Auf den ersten Blick erscheinen sie als Verbesserung des Datenschutzes im Beschäftigungsverhältnis. Auf den zweiten Blick rufen sie jedoch große Ernüchterung hervor. Grund dafür ist, dass die angedachten Regelungen wiederum nicht nur unu?bersichtlich und schwer verständlich sind, sondern auch vieles regeln, das bereits seit langem geltendes Recht ist. Vor diesem Hintergrund wird das Nachfolgende im Wesentlichen auch nach der Einführung des Gesetzes seine Gültigkeit nicht verlieren.
§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) 1Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 2Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
Aktuell findet sich in § 32 BDSG eine zentrale Erlaubnisnorm, die festlegt, wann und unter welchen Umständen eine Datenerhebung zu Zwecken des Beschäftigungsverhältnisses zulässig ist. Allerdings ist auch bei ihr zu berücksichtigen, dass sie nur ein Bruchteil der Datenerhebungen, -verarbeitungen und -nutzungen erlaubt, die im Unternehmen nötig sind. So ist auf Grundlage des § 32 BDSG weder der Austausch von Daten zwischen Konzernunternehmen noch die Erhebung und Weitergabe von Daten zur Gewährung einer Firmenkreditkarte möglich. Der Arbeitgeber muss daher nicht selten auf alternative Erlaubnistatbestände zurückgreifen. Dies ist jedoch nicht unproblematisch. Hintergrund ist, dass im Beschäftigungsverhältnis die Einwilligung aufgrund ihrer Verweigerbarkeit und Widerrufbarkeit keine verlässliche Rechtsgrundlage darstellt, die sich für Massengeschäfte eignet. Zudem ist es wohl herrschende, wenn auch nicht per se zustimmungswürdige Ansicht der Datenschutz-Aufsichtsbehörden, dass eine vom Arbeitnehmer erteilte Einwilligung regelmäßig unzulässig ist, da sie aufgrund des in der Regel vorliegenden Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer nicht freiwillig erklärt werden kann. Insofern bleibt dem Arbeitgeber regelmäßig nichts anders übrig, als darauf hinzuwirken, (ein Betriebsrat vorausgesetzt) eine Betriebsvereinbarung zu treffen, die eine geeignete Rechtsgrundlage enthält.
Mit Blick darauf kann abgehoben vom Einzelfall lediglich sicher gesagt werden, dass eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Beschäftigungsverhältnis entsprechend der Rechtsprechung des Bundesarbeitsgerichts (BAG) grundsätzlich nur dann zulässig ist,
Die Erhebung, Verarbeitung oder Nutzung der Daten muss demnach praktisch durch das Beschäftigungsverhältnis „diktiert“ werden. Das heiß jedoch nicht, dass die Erhebung und Verarbeitung der betreffenden Daten zwingend nötig sein muss. Denn erweisen sich andere Möglichkeiten der Zielerreichung als weniger effizient, organisatorisch aufwendiger oder unwirtschaftlich, so kann sie dennoch erforderlich sein.
Um Vertragsverletzungen, Ordnungswidrigkeiten und Straftaten im Beschäftigungsverhältnis zu verhindern und aufzudecken, muss der Arbeitgeber dokumentierte, tatsächliche Anhaltspunkte haben, die einen entsprechenden Verdacht begründen. Darüber hinaus muss die Ausspähung des Mitarbeiters stets verhältnismäßig sein. Wann eine Maßnahme nicht mehr verhältnismäßig ist, lässt sich nicht ohne Weiteres beantworten. Deshalb sollte sich der Arbeitgeber gerade bei derartigen Datenerhebungen fachkundigen Rat einholen.
Damit ist längst nicht alles über den Datenschutz im Unternehmen gesagt. Der Artikel hat lediglich den Anspruch weiter den Datenschutz zu sensibilisieren. Gleichzeitig soll er dafür werben, Arbeitsplätze zur Sicherung des betrieblichen Datenschutzes einzurichten, die bereits heute für viele Unternehmen zu einer Selbstverständlichkeit geworden sind. Ein interner oder externer Datenschutzbeauftragter kann eine hilfreiche Institution sein und viele Schwierigkeit vermeiden helfen, bevor sie entstehen.
Office Hanau / Sophie Scholl Platz 6 / Hanau
E-Mail info@nickel.de
Tel +49 (0)6181 30410-0