Seit einigen Jahren sind datenschutzrechtliche Fragestellungen insbesondere für Verbände stark in den Vordergrund getreten. Kernpunkt der Diskussion sind hier die rechtlichen Grenzen der Nutzung von Mitgliederdaten. Da die hauptamtlich geführten Verbände aber auch eine Arbeitgeberfunktion ausüben, mit anderen Worten etwa in der Verbandsgeschäftsstelle eine oder mehrere Arbeitnehmer beschäftigen, wird künftig auch der Arbeitnehmerdatenschutz in den Vordergrund rücken.
Die CDU/FDP/CSU-Koalition hat sich im Koalitionsvertrag zum Ziel gesetzt, Fragen des Arbeitnehmerdatenschutzes gesetzlich zu regeln, da bislang — mit Ausnahme von §§ 28 und 32 Bundesdatenschutzgesetz — BDSG — keine expliziten Regelungen für den Arbeitnehmerdatenschutz vorhanden sind. Damit waren datenschutzrechtliche Fragen immer Gerichtsentscheidungen vorbehalten, sodass die unbefriedigende Situation eintreten kann, dass ein und derselbe Sachverhalt von einem Arbeitsgericht anders beurteilt wird als von einem anderen Arbeitsgericht.Seit dem 25. August 2010 gibt es einen Kabinettsbeschluss zur Umsetzung des Beschäftigtendatenschutzrechts in den neuen §§ 32 bis 32l BDSG, mit anderen Worten soll der Arbeitnehmerdatenschutz jetzt innerhalb der Vorschriften des Bundesdatenschutzgesetzes geregelt werden.
Der Gesetzentwurf im kurzen Überblick
Daten im Sinne des Datenschutzrechtes sind sämtliche individualisierbaren Informationen, wobei das Datenschutzrecht schon heute nicht zwischen privaten und öffentlichen Arbeitgebern unterscheidet. Insgesamt wird die neue gesetzliche Regelung erhebliche Informationspflichten, Dokumentationspflichten und auch Löschungspflichten für die Verbände als Arbeitgeber erbringen.
Vor Beginn eines möglichen Beschäftigungsverhältnisses, d. h. innerhalb des Bewerbungsphase, darf der Arbeitgeber nach neuem Recht im Gesetzesentwurf nur noch Name, Anschrift, Telefonnummer und die sogenannte Adresse der elektronischen Post, das ist der gesetzgeberische Ausdruck für E-Mail-Adressen, erheben. Darüber hinausgehende weitere Datenerhebungen sind nur noch zulässig, wenn diese zur Feststellung der Eignung eines Bewerbers für den bestimmten Arbeitsplatz auch erforderlich sind. Dies sind etwa Daten zu fachlichen und persönlichen Fähigkeiten, Kenntnissen, Ausbildung und dem beruflichen Werdegang. Zwar wird auch in Zukunft jeder Bewerber, der an einem Arbeitsplatz interessiert ist, schon zu Zwecken der Eigenvermarktung solche Daten innerhalb der Bewerbungsunterlagen von sich aus mitteilen. Damit ist aber noch nicht gesagt, dass die Bewerber mit jeder weiteren datenschutzrelevanten Nutzung solcher von ihnen mitgeteilten Daten auch einverstanden sind. Problematisch sind in diesem Zusammenhang etwa sogenannte Human-Resources-Datenbanken, also Datenbanken, die sich Verbände über ehemalige Bewerber aufgenommen haben, um bei Bedarf später wieder auf die Daten zurückgreifen zu können. Dieses typische Arbeitgeberverhalten wird zukünftig nur noch dann möglich sein, wenn explizit in die Verwendung solcher Daten vom Bewerber eingewilligt wurde.
Im Grundsatz geht das Datenschutzrecht davon aus, dass der Arbeitgeber die Daten beim Beschäftigten selbst erhebt, also etwa in der Anbahnungsphase eines Beschäftigungsverhältnisses durch die Bewerbungsunterlagen. In der Praxis hat sich aber auch herauskristallisiert, dass man zumindest für gehobene Leitungspositionen aus Arbeitgebersicht einmal eine flächendeckende Ermittlung der öffentlich und hier insbesondere im Internet zugänglichen Daten vornimmt. Damit bieten sich besonders soziale Netzwerke an, in die sich diverse Arbeitgeber nur deshalb „eingeloggt“ haben, um hier für den Fall der Bewerbung ein Persönlichkeitsprofil erstellen zu können.
Daten aus sozialen Netzwerken
Nach neuem Recht im Gesetzesentwurf darf auf Daten aus sozialen Netzwerken nur dann zurückgegriffen werden, wenn das soziale Netzwerk auch der Darstellung der beruflichen Qualifikation dient, z. B. Xing oder Yasni. Dient das soziale Netzwerk im Wesentlichen der privaten Kommunikation (z. B. Facebook, Twitter oder Wer-kennt-wen), so ist die Ermittlung von Daten aus solchen Netzwerken nach der Vorstellung des Bundeskabinetts unzulässig.
Die Datenerhebung und -nutzung im laufenden Beschäftigungsverhältnis
Hier will der Gesetzgeber dem Arbeitgeber die Erhebung und Nutzung solcher Daten erlauben, die er für die ordnungsgemäße Abwicklung des Arbeitsverhältnisses, d. h. etwa die Erfüllung von Zahlungspflichten, Meldepflichten und sonstigen Pflichten im Zusammenhang mit der Führung der Personalakte benötigt. Weiterhin darf der Arbeitgeber selbstverständlich alle anderen Daten zulässigerweise erheben und nutzen, die er zur Erfüllung von Arbeitgeberrechten und Pflichten benötigt.
Auch im bestehenden Arbeitsverhältnis gilt, dass der Arbeitgeber seine Daten grundsätzlich beim Arbeitnehmer selbst zu erheben hat, d. h. diesen um die entsprechenden Informationen zu bitten hat. Beschäftigtendaten dürfen ohne Kenntnis des Arbeitnehmers nur in Ausnahmefällen erhoben werden, so etwa bei Vorliegen eines Verdachts auf eine Straftat oder andere schwerwiegende Pflichtwidrigkeiten. Hiermit will das Gesetz letztlich die Korruptionsbekämpfung durch Arbeitgeber ermöglichen und ihm auch den Aufbau von sogenannten Compliance-Systemen gestatten. Im bestehenden Beschäftigungsverhältnis sind sämtliche Daten aus dem Kernbereich der privaten Lebensführung tabu.
Schon heute stellen Datenerhebungen im Zusammenhang mit der Nutzung von Telekommunikationsdiensten ein Problem dar. Telekommunikationsdienste in diesem Sinne sind etwa E-Mail-Systeme, Nutzung von Webseiten mit Download-Bereichen, Telefax und Telefon. Zunächst einmal grenzt das Datenschutzrecht die dienstliche Nutzung solcher Kommunikationsdienste von der privaten Nutzung ab. Ist mit anderen Worten die private Nutzung vom Arbeitgeber gestattet, so ist dieser Bereich jeglichem Zugriff schon aus datenschutzrechtlichen Gründen entzogen.
Im Übrigen dürfen im Zusammenhang mit der dienstlichen Nutzung von Telekommunikationsdiensten Daten nur dann erhoben werden, wenn dies zum ordnungsgemäßen Betrieb von Telekommunikationsanlagen notwendig ist, sodann zu Abrechnungszwecken und zu einer anlassbezogenen Leistungs- oder Verhaltenskontrolle.
Inhalte solcher Nutzung von Telekommunikationsdiensten, so etwa der Inhalt von E-Mails, dürfen nach dem Gesetzesentwurf nur dann eingesehen werden, wenn ein berechtigtes Interesse des Arbeitgebers vorliegt, der Arbeitnehmer vorher hierüber informiert wurde und dessen Einwilligung gegeben ist. Besonders relevant wird dies im Zusammenhang mit der sogenannten Vertreterregelung, also wenn etwa aufgrund Urlaubsabwesenheit eines Mitarbeiters ein anderer Mitarbeiter zwingend auf dessen E-Mail-Verkehr zugreifen muss.
Für die Praxis wird das Datenschutzrecht in den einzelnen Dienststellen zu einer klareren und auch verschärfenden Regelung im Zusammenhang mit der privaten Nutzung solcher Einrichtungen führen, weil der Arbeitgeber ansonsten Gefahr läuft, Daten praktisch überhaupt nicht mehr erheben zu können.
Mitarbeiterdaten nach Beendigung des Beschäftigungsverhältnisses
Nach Beendigung eines Beschäftigungsverhältnisses sind die Daten, die erforderlich sind, das Beschäftigungsverhältnis zu beenden und die Pflichten des beendeten Beschäftigungsverhältnisses zu erfüllen, etwa Zeugnispflicht, weiter zulässigerweise in der Nutzung des Arbeitgebers. Ist der Arbeitnehmer „ausgesteuert“ und mithin der Zweck erreicht, besteht eine Rechtspflicht zur Löschung.
Aus allgemeinen Grundsätzen ist es wichtig, dass es sich bei den neuen gesetzlichen Regelungen nach Vorstellung des Gesetzgebers um einen Mindeststandard handeln wird, der auch durch Individualvereinbarungen etwa im Rahmen von Arbeitsverträgen nicht herabgesenkt werden darf. Wichtig ist weiterhin, dass Arbeitnehmer nicht generell in die Erhebung von Daten einwilligen dürfen. Neben dem Vorliegen einer Einwilligung von Arbeitnehmern wird es nämlich erforderlich sein, dass der Gesetzgeber dem Arbeitnehmer die Einwilligung auch erlaubt hat, mit anderen Worten die Einwilligung für den speziellen Sachverhalt im Gesetz vorgesehen ist. Eine praktisch pauschale Einwilligung ist damit nicht möglich. Generell gilt im Arbeitnehmerdatenschutzrecht der allgemeine Grundsatz des Datenschutzrechts, dass alles, was nicht erlaubt ist, verboten ist.
Man wird jetzt abwarten müssen, welchen Verlauf das Gesetzgebungsverfahren nehmen wird. Es besteht zweifellos ein klares Bedürfnis, die Zulässigkeit der Datenerhebung und -nutzung im Arbeitsverhältnis gesetzlich zu regeln. Deshalb besteht auch politischer Konsens über das Gesetzesvorhaben als solches. Ob es im Rahmen des Gesetzgebungsverfahrens noch zu Abmilderungen oder Verschärfungen kommt, kann natürlich nicht vor-ausgesehen werden. Allerdings reichen schon die bislang im Gesetzesentwurf enthaltenen formalen Dokumentations-, Informations- und Löschungspflichten aus, auch den Verband in seiner Funktion als Arbeitgeber in Zukunft verstärkt mit datenschutzrechtlichen Regelungen zu beschäftigen, sodass die Notwendigkeit besteht, sich auch mit diesem Aspekt des Datenschutzes für die Verbandspraxis einmal auseinanderzusetzen.
