Mit der Datenschutzreform 2009 kam auch der verschärfte § 32 BDSG in das Gesetz der die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Er wird von Fachleuten als die Keimzelle eines noch zu schaffenden Arbeitnehmerdatenschutzgesetzes gesehen, d.h. er reicht zwar nicht aus, ist aber besser als nichts. Zumal ein echtes Arbeitnehmerdatenschutzgesetz bereits seit mehr als vier Legislaturen in den jeweiligen Koalitionsverträgen versprochen wurde. Und die zahlreichen Datenschutzskandale der Wirtschaft – Lidl, Schlecker, Siemens, Deutsche Bahn, Telekom und Bank sowie zahlreiche andere Unternehmen lassen grüßen – zeigen dessen Notwendigkeit klar und deutlich.
Tatsächlich wird im Innenministerium an einem solchen Gesetz gearbeitet. Und erst Ende März hat Bundesinnenminister de Maizière Eckpunkte zur Neuregelung des Beschäftigtendatenschutzes vorgelegt. Außerdem sickerten einige inoffizielle Referentenentwürfe durch, die aber allesamt nicht Gutes verheißen. Die wirtschaftsliberal geprägte CDU/FDP-Regierung plant offenbar eher ein Arbeitnehmerdatennutzgesetz als ein wirksames Schutzgesetz zu etablieren.
Angeblich soll der Entwurf noch vor der Sommerpause vom Kabinett verabschiedet werden. Der geplante Ablauf legt den Schluss nahe, dass die Bundesregierung eine öffentliche Diskussion über das geplante Gesetz vermeiden möchte. Man erinnert sich offenbar noch an die heftigen Reaktionen auf das Zensursula-Gesetz zur Internetzensur.
Im Zentrum der Überlegungen der Regierung steht anscheinend nicht die Sicherung des allgemeinen Persönlichkeitsrechts der Arbeitnehmer, sondern das Ziel Unternehmen eine einfache und legale Möglichkeit zur Nutzung von Beschäftigtendaten zu Korruptionsbekämpfung und Compliance-Überwachung zu verschaffen.
Dumm nur, dass die Wirtschaft diese Möglichkeit auch vor der Verschärfung des BDSG zwar hatte. Aber niemals zur Überprüfung ihrer Vorstände und Führungskräfte einsetze, wie uns die Finanz- und Wirtschaftskrise ganz deutlich zeige. Stattdessen wurde allenfalls per Videokameraüberwacht, was Kassenkräfte im Discounter so tun. Oder per Massendatenabgleich geprüft, ob einer der 20.000 Bahnbeschäftigten ein Konto hat, das der nicht nur der Lohnabrechnung sondern auch Einkaufsabteilung bekannt wäre. Ober belauscht, was Gewerkschafter im Aufsichtstat so tun.
Die Unternehmen sind nicht vertrauenswürdig. Genauso wenig wie die Regierung. Und daher muss beiden auf die Finger gesehen werden und beide müssen bzgl. ihrer Machtbefugnisse gegenüber dem Volk kurzgehalten werden.
Die ganze Richtung der bisherigen Arbeit am Arbeitnehmerdatenschutz stimmt daher nicht! Nicht was Personalabteilungen gerne hätten oder wovon Arbeitgeberverbände träumen, sondern was zum Schutz der informationellen Selbstbestimmung der Beschäftigten erforderlich ist, muss Gegenstand der Überlegungen zu diesem Gesetz sein.
Ziel einer eigenständigen gesetzlichen Regelung muss es sein, für Arbeitgeber und Beschäftigte klare und möglichst verständliche Regelungen zu schaffen. Dass nützt Arbeitnehmern und Arbeitgebern gleichermaßen: Ein eindeutiger Rechtsrahmen schafft Sicherheit bei der praktischen Umsetzung im Betrieb und für die Betroffenen.
Daher haben Fachverbände wie die Deutsche Vereinigung für Datenschutz, das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), der FoeBuD sowie mehrere Einzelpersonen und Unternehmen eine gemeinsame Erklärung herausgegeben, in der sie die Mindestinhalte eines Arbeitnehmerdatenschutzgesetzes aus ihrer Sicht klar benennen. Dazu zählen:
• Einwilligungen im Arbeitsverhältnis dürfen nur dann als Zulässigkeitsgrundlage gelten, wenn die Erteilung nachweisbar freiwillig und ohne Druck erfolgen kann und erfolgt ist.
• Datenerhebungen müssen immer beim Beschäftigten erfolgen. Unrechtmäßig erworbene Daten müssen einem Beweisverwertungsverbot unterliegen.
• Das Fragerecht des Arbeitgebers bei der Einstellung muss streng an der Bedeutung und Erforderlichkeit für die angestrebte Beschäftigung orientiert sein.
• Die „berechtigten Interessen“ des Arbeitgebers müssen in Bezug auf Vorhaben konzernweiter Verarbeitung von Beschäftigtendaten (z. B. Personaldatenverarbeitung in einer Konzernzentrale) gem. § 28 Abs. 1 Nr. 2 bzw. § 28 Abs. 2 Nr. 1 BDSG präzisiert und konkretisiert werden.
• Wenn der Arbeitgeber Beschäftigtendaten im Rahmen einer Auftragsdatenverarbeitung durch einen Dienstleister verarbeiten lässt, von dem er wirtschaftlich abhängt (z. B. die Konzernmutter), muss die gem. § 11 BDSG vorgesehene Kontrolle des Auftragnehmers mangels realer Durchsetzbarkeit durch eine externe, unabhängige Instanz ausgeübt werden.
• Es ist klarzustellen, dass der Arbeitgeber gegenüber seinen Beschäftigten kein Diensteanbieter im Sinne der Telekommunikationsgesetzgebung ist. Zum Schutz privater E-Mails müssen klare, dem Schutzniveau des Telekommunikationsgeheimnisses entsprechende Regeln definiert werden, die eine Einsichtnahme und Verwendung durch den Arbeitgeber ausschließen.
• Die Beobachtung und Überwachung von Beschäftigten mittels Video- oder Tonaufnahmen ist grundsätzlich zu untersagen. Der Schutz gilt am Arbeitsplatz und im privaten Umfeld gleichermaßen. Ausnahmen sind nur in streng begrenzten Gefährdungslagen zuzulassen.
• Verbote und Informationspflichten beim Umgang mit Beschäftigtendaten, die für den Arbeitgeber gelten, sind auch beim Einsatz externer Dienstleister einzuhalten.
• Die Auskunftspflicht des Arbeitgebers gegenüber den Beschäftigten bzgl. der über sie automatisiert verarbeiteten Daten ist so zu konkretisieren, dass eine wirksame Umsetzung garantiert ist.
• Ärztliche Untersuchungen dürfen nur angeordnet werden, wenn sie gesetzlich vorgeschrieben sind. Die ärztliche Schweigepflicht für Betriebsärzte darf nicht aufgeweicht werden.
• Die Arbeitnehmervertretung muss das Recht erhalten, im Namen von Beschäftigten in Datenschutzfragen zu klagen.
• Die Arbeitnehmervertretung ist an der Auswahl des betrieblichen oder behördlichen Datenschutzbeauftragten zu beteiligen.
• Die verbindlich bereitzustellende Arbeitskapazität und Ressourcen des betrieblichen oder behördlichen Datenschutzbeauftragten müssen systematisch an der Zahl der Beschäftigten orientiert sein.
• Die gesetzlichen Schutzvorgaben dürfen durch Betriebs- oder Dienstvereinbarungen nicht unterschritten werden.
Es werden also Konkretisierungen und Nachbesserungen im Datenschutz, Klarstellungen und Bereinigungen bisheriger gesetzlicher Mängel beim Zusammenwirken von BDSG und TKG, wirksamere Rechte für die betriebliche Mitbestimmung sowie eine Verbesserung der Position des betrieblichen Datenschutzbeauftragten gefordert.
So notwendig diese Dinge sind, so sehr dürfte Bundeskanzlerin Angela Merkel recht haben, wenn sie sich in einer Rede vor dem DGB wie folgt dazu äußert: „Ich glaube, darüber wird es eine heiße Diskussion geben. Aber dass wir ein entsprechendes Gesetz brauchen, ist unbestritten.“
Es gilt also für alle am wirksamen Arbeitnehmerdatenschutz und am Abbau von Wirtschaftswillkür und Datenlecks Interessierten, dran zu bleiben am Thema. Und Druck auf die Regierung zu machen, wo immer möglich.
Wie bereits die Wahl in NRW zeigte, fällt es den beiden Volksparteien CDU und SPD immer schwerer tragfähige politische Mehrheiten zu organisieren, da das Vertrauen in ihr Handeln seit Jahren schwindet.
Verfasst von Guido Strunck 
