Das Arbeitnehmerdatennutzgesetz

Vor zwei Tagen nahm ich an einer Vortragsveranstaltung zum Thema Arbeitnehmerdatenschutz im DGB-Haus in München teil. Unter dem Motto „ArbeitnehmerDATENSCHUTZ – geht anders!“ stellte Rechtsanwalt Rüdiger Helm die rechtlichen Details des aktuellen Gesetzesentwurfs der Regierung zum Arbeitnehmerdatenschutz vor. Bereits in den letzten Monaten war dieser Entwurf Gegenstand zahlreicher Artikel in der informationstechnischen und rechtlichen Fachpresse und wurde mal mehr, mal weniger kritisch interpretiert. Auch der DGB ließ seine Rechtsabteilung in einer Form Stellung nehmen, die sich am ehesten als juristisch fundierter Totalverriss des Vorhabens zusammenfassen lässt.

Die wohl positivste Aussage, die man über den Gesetzesentwurf machen kann, besteht darin, dass aktuell datenschutzrelevante Themen wie Biometrie, Geoinformations- und Ortungsdienste, soziale Netzwerke, Videoüberwachung oder medizinische Tests an Arbeitnehmern überhaupt mal zum Gegenstand gesetzlicher Regelungen werden. Statt wie bisher in einer datenschutzrechtlichen Grauzone betrieben zu werden.

Bereits seit mehreren Legislaturperioden beinhaltete jeder Koalitionsvertrag auch eine Absichtserklärung zum Thema Arbeitnehmerdatenschutz. Und so findet man auch im Koalitionsvertrag der aktuellen CDU/CDSU/FDP-Regierung auf S. 106 diesen Absatz:

Privatheit ist der Kern persönlicher Freiheit. Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen. Es dürfen nur solche Daten verarbeitet werden, die für das Arbeitsverhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Arbeitsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, müssen zukünftig ausgeschlossen sein. Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden. Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.

Inhaltlich ist das geplante Arbeitnehmerdatenschutzgesetz jedoch zum wirtschaftsliberalen Arbeitnehmerdatennutzgesetz geworden, dass deshalb auch bezeichnenderweise mit „Der Arbeitgeber darf …“ eingeleitet wird. Es ersetzt den bisherigen § 32 im BDSG durch eine neue Formulierung mit zwölf Unterabschnitten sowie Einzelanpassungen in einigen anderen Gesetzen.

Das grundlegende Problem mit dem jede Form von Regelung zum Thema Daten im Arbeitsverhältnis umzugehen hat, ist das potentielle Misstrauen der Arbeitnehmer und Arbeitgeber einander gegenüber zu Beginn des potentiellen Arbeitsverhältnisses. Fehlendes Vertrauen soll durch Offenlegung bestimmter Informationen vor dem Eingehen eines Arbeitsverhältnisses ersetzt werden – das Geschäftsmodell der Wirtschaftsauskunfteien.  Dabei besteht jedoch ein beträchtliches Machtungleichgewicht. Während ein Bewerber bis kurz vor Abschluss des Arbeitsvertrages oft nicht mal über Elementarien wie Gehalt, Zusatzleistungen, Arbeitszeit, Urlaubsanspruch, Tarifbindung, Arbeitsumfeld, Chef und Kollegen, versprochene und tatsächliche Entwicklungschancen verbindlich aufgeklärt wird, hätten Unternehmen und Personaler gerne eine Offenlegung sämtlicher Details des Vorlebens aller Bewerber in einem Umfang, von der sonst Geheimdienste träumen.

Doch beginnen wir mit den fragwürdigen „Highlights“ des Gesetzesentwurfs:

§32c räumt dem Arbeitgeber erstmals ein Recht auf Nutzung von Daten zur Leistungs- und Verhaltenskontrolle ein. Er wird ergänzt durch § 32i, der stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrollen anhand von Telekommunikationsdaten ermöglicht. Damit könnten sämtliche Betriebsvereinbarungen zum Thema betriebliche IT-Systeme, die entsprechende Ausschlussklauseln enthalten, demnächst zur Diskussion gestellt werden. Die Wertigkeit des § 87.6 BetrVG, auf den sich Betriebsräte diesbezüglich meist stützen und mit dem sich eine Leistungs- und Verhaltenskontrolle praktisch ausschließen lässt, dürfte deutlich abnehmen. Damit wird ein Eckpfeiler der betrieblichen Mitbestimmung in Frage gestellt.

§32d räumt den Unternehmen eine Recht zur Massendatenverarbeitung zum Zwecke der „Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen“ ein. Mit ihm werden die diversen Datenskandale der letzten Jahre künftig legalisiert.  Gleichzeitig erhalten private Unternehmen so Befugnisse, die derzeit Ermittlungsbehörden und Staatsanwaltschaften vorbehalten sind. Ein besonderes Augenmerk hat dabei der Begriff der „schwerwiegenden Pflichtverletzung“ verdient. Er taucht häufiger im Gesetzestext auf und bedeutet mangels Inhalt das, was Arbeitgeber und Rechtsprechung im Laufe der Zeit daraus machen werden. Der Rechtsprechung zu Bagatellkündigungen kann man entnehmen, dass bereits der Verzehr von zum Wegwerfen bestimmten Nahrungsmitteln des Arbeitgebers eine solche „schwerwiegenden Pflichtverletzung“ darstellen kann.

Überhaupt ist der ganze Text gespickt mit unbestimmten Rechtsbegriffen wie „berechtigten“ oder „schutzwürdigen“ Interessen, „zulässigen“, „erforderlichen“, „geeigneten“ oder „verhältnismäßigen“ Dingen, „betrieblichen Gründen“, „tatsächlichen Anhaltspunkten“ sowie den bereits erwähnten „schwerwiegenden Pflichtverletzungen“. Das liest sich fluffig und sagt so gut wie nichts aus. Im Zweifel ist es somit den Entscheidern in den Unternehmen, ihren Rechtsabteilungen und Anwälten sowie den Gerichten überlassen, konkretere Bedeutungen in den Text hineinzulesen und herauszuurteilen. Eine Sprache, die an die Auswirkungen ausgiebigen THC-Konsums erinnert.

Auch in den weiteren Paragraphen lassen sich ähnliche Dinge finden, so z.B. die Pflicht für Beschäftigte an ärztlichen Untersuchungen und Eignungstests teilzunehmen (§ 32c) oder der erlaubte Einsatz von Ortungssystemen zur Koordinierung des Einsatzes der Beschäftigten (§ 32g).

Regierungen hatten in der Vergangenheit im Bereich des öffentlichen Rechts, welches die Beziehungen zwischen Staat und Bürger regelt, bereits häufiger versucht, ihre gesetzlichen Zugriffsmöglichkeiten auf Informationen über die Bevölkerung immer weiter auszudehnen. In Folge kam es auch etliche Male zu Urteilen des Bundesverfassungsgerichtes, dass ihnen dann Grenzen hinsichtlich der Zweckbindung, der Verhältnismäßigkeit, der Transparenz sowie der Sicherheit staatlicher Datensammelei setzte und dabei stets auch Normenklarheit forderte. So manches bewusst unklar formulierte Gesetz wanderte dann in den Shredder oder musste nachgebessert werden. Doch Bundestagsabgeordnete besitzen anscheinend leider oftmals den Intellekt und das Lernvermögen von Stubenfliegen, so dass es immer wieder zu solchen Gesetzen kommt.

Zumal dem Verfassen verfassungswidriger Gesetze seitens des Verfassungsschutzes weniger Aufmerksamkeit zufließt als dem Publizieren grundgesetzlich fragwürdiger Parteiprogramme. Zumindest fehlen in den jährlichen Verfassungsschutzberichten regelmäßig die Seiten über beobachtete Aktivitäten von Regierungsparteien, deren Abgeordnete häufiger grundgesetzwidrige Gesetze verfassen und beschließen.

In wie weit jedenfalls an Gesetze die das Verhältnis von Bürgern  und Unternehmen ähnliche Qualitätsansprüche anzulegen sind, wie an das Verhältnis zwischen Bürgern und Staat, wäre sicherlich eine interessante Rechtsfrage. Daher sehen Juristen wie z.B. Referent Helm durchaus Ansatzpunkte für Verfassungsklagen, sollte dieses Gesetz so in Kraft treten.

Zumal man auch ohne juristischen Sachverstand rasch erkennen kann, dass der Anspruch auf Verwirklichung der eigenen Persönlichkeit (Art 2 GG) mit einer solchen Rahmensetzung für betriebliches Datensammeln zur Hohlphrase verkommt.

Welche Formen des Widerstandes gegen das wirtschaftsliberale Arbeitnehmerdatennutzgesetz wären auf welcher Ebene denkbar?
•    Betrieblich Ebene: Abschluss entsprechend restriktiver Betriebsvereinbarungen sowie Information und Aufklärung der Beschäftigten im Rahmen von Betriebsversammlungen und Betriebsratspublikationen.
•    Arbeitsrechtliche Ebene: Klagen, die auf die Auslegung der zahlreichen unbestimmten Rechtsbegriffe abzielen.
•    Politische Ebene: Die bereits erwähnten Verfassungsklagen. Sowie Unterstützung von Organisationen sowie Mitarbeit bei Initiativen, die sich gegen Gesetze dieser Art einsetzen (Piratenpartei, Arbeitskreis Vorratsdatenspeicherung, Chaos Computer Club, Deutsche Vereinigung für Datenschutz, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, AK Elena beim DGB München …).

Bezüglich des Arbeitnehmerdatennutzgesetzes halte ich es mit Sarah Palin: „Don’t retreat – reload!“ (nicht zurückziehen – nachladen!)

Regierung legt erneut Entwurf zum Arbeitnehmerdatenschutz vor

Als vor einigen Wochen der erste Referentenentwurf eines Arbeitnehmerdatenschutzgesetzes vorgelegt wurde, zerrissen Experten das Papier förmlich in der Luft, da es in vielen Teilen Verschlechterungen des Datenschutzes für Beschäftigte vorsah, anstatt ihn zu verbessern.

Wir erinnern uns: Die ganze Debatte wurde in den letzten beiden Jahren erst durch zahlreiche Datenschutzskandale in der deutschen Wirtschaft ausgelöst. Es wurde immer mehr klar, dass in Sachen Datenschutz etwas grundsätzlich falsch läuft in den Unternehmen. Und dass man sich dort den Äußerungen diverser Entscheider nach wohl als rechtsfreien exterritorialen Raum ansah.

Nun wurde ein überarbeiteter Entwurfstext vorgelegt. Das Bundeskabinett will ihn in den nächsten Tagen auf den Gesetzgebungsweg bringen. Oberflächlich gelesen verspricht der Entwurf tatsächlich Verbesserungen. Allerdings wird er bereits mit den Worten „Mit den Neuregelungen werden Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption an die Hand gegeben“ eingeleitet, d.h. er wurde wohl bereits sehr deutlich wirtschaftslobbyistisch weichgespült.

Sehr intensiv hat man sich darin u.a. mit dem Thema Verarbeitung von Beschäftigtendaten zur Korruptionsbekämpfung befasst. Denn diese wurde in den Datenskandalen der Vergangenheit meist als Ausrede bemüht, wenn es galt Massenscreenings, Profiling und Arbeitnehmerüberwachung im Nachhinein halbwegs zu rechtfertigen. Auch wenn sich faule Deals auf Managerebene, Mauscheleien im Rahmen von Übernahmeverhandlungen, Bilanzbetrug, „goldene Handschläge“ bei der Entsorgung managerialer Altlasten, Kursmanipulationen zum Pushen eigener Aktienoptionen, Kartellvergehen sowie die meisten anderen Formen der Wirtschaftskriminalität so nicht nachweisen lassen. Massenscreenings werden nun wieder zulässig, sofern der Arbeitgeber „tatsächliche Anhaltspunkte“ für einen Verdacht auf Ordnungswidrigkeiten, Straftaten und andere Vergehen hat, die ggf. eine Kündigung aus wichtigen Grund rechtfertigen können. Die ergriffenen Maßnahmen der innerbetrieblichen „Horch & Guck“-Abteilung im Dienste der Compliance dürfen dabei „nicht unverhältnismäßig“ und sollten auch „erforderlich“ sein, um die Vergehen „aufzudecken oder um weitere schwerwiegende Vertragsverletzungen zu Lasten des Arbeitgebers, oder weitere Ordnungswidrigkeiten und Straftaten zu verhindern“. Da dürfte bald die windelweiche Rechtsprechung zur Verdachtskündigung, für die es auch keinen substanziell belastbaren Grund bedarf, durch die Hintertür hereinschwappen.

Als Fortschritt wird z.B. das ausnahmslose Verbot der heimlichen Videoüberwachung dargestellt sowie das Verbot des Ausspähen von Betriebsstätten, die überwiegend der privaten Lebensführung dienen (Toiletten, Umkleiden usw.). Tatsächlich schreibt das nur den Ist-Stand weiter fort. Das das den Unternehmen gesetzlich ins Stammbuch geschrieben werden muss, spricht eigentlich bereits Bände.

Offene Videoüberwachung beispielsweise an Firmeneingängen oder zur Qualitätskontrolle soll dagegen möglich sein – „soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich“ ist, Interessen der Angestellten nicht entgegenstehen und sie auf die Kameras hingewiesen werden. Damit wird der Ist-Stand klar zugunsten der Unternehmen aufgeweicht, denn derzeit gilt: Offene Videoüberwachung widerspricht Grundrechten der Beschäftigten und ist daher nur auf der Basis aufwendiger Mitbestimmungsprozesse möglich. Zudem hat der Unternehmer im Rahmen einer Grundrechteabwägung („geeignet – erforderlich – angemessen“) darzulegen, dass andere (ggf. auch teurere) Mittel, die weniger stark in die Grundrechte der Beschäftigten eingreifen, nicht ausreichen. Das muss er jetzt nicht mehr.

Tendenzbetrieben (Kirchen, politische Organisationen) werden erweiterte Zugriffsmöglichkeiten auf Beschäftigtendaten eingeräumt. So erhalten sie nun eine Rechtsgrundlage auf deren Basis sie Dinge wie Religionszugehörigkeit, Partei- und Gewerkschaftsmitgliedschaft oder auch Details zur Weltanschauung von Bewerbern abfragen und nutzen können.

Arbeitgeber könnten auf Basis des Entwurfes ganz legal Daten von Bewerbern aus sozialen Netzwerken recherchieren, sofern sie „für die Feststellung der Eignung des Beschäftigten für eine in Betracht kommende Tätigkeit oder für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich“ sind. Also auch wieder sehr auslegungsfähig. Bislang bewegten sie sich dabei in einer Art rechtlichen Grauzone, da nur klassische Business-Netzwerke wie XING den Schluss nahe legen, dass die darin veröffentlichten Daten der Nutzer zur Anbahnung von Geschäftskontakten verwendet werden können. Und soziale Netzwerke sind im Gegensatz zu Websites und Blogs nicht öffentlich, da man zu ihnen i.d.R. eine Nutzerkennung benötigt.

Auch das leidige Thema der regulierten Privatnutzung von Internetdiensten und die damit zusammenhängende Providereigenschaft des Unternehmens i.S.d. TKG wird neu geregelt, bestehende Unschärfen im Zusammenspiel von BDSG und TKG beseitigt. Allerdings wird dem Arbeitgeber auch eine Möglichkeit zur „stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle, einschließlich der Verhinderung oder Aufdeckung von Vertragsverletzungen zu Lasten des Arbeitgebers, Ordnungswidrigkeiten oder Straftaten im Beschäftigungsverhältnis“ eingeräumt. An jeder betrieblichen Mitbestimmung vorbei und als Standard.

In etlichen Bereichen des Textes werden den Unternehmen Rechte an Beschäftigtendaten eingeräumt, deren Reichweite an unbestimmte Rechtsbegriffe mit Auslegungsspielräumen gebunden wird. Beispiel: Häufig darf dem Text nach der Arbeitgeber etwas nur dann tun, wenn es „zur Wahrung seiner berechtigten Interessen erforderlich“ ist. Welcher Unternehmer wird im Zweifel seine Interesse nicht als berechtigt und die ergriffene Maßnahme als erforderlich ansehen? Und wer will ihm im Einzelfall als Lohnabhängiger widersprechen? Zumal die heute noch oftmals vorgesehenen rechtlich anspruchsvollen Güterabwägungen entfallen. Da kommt Arbeit auf die Herausgeber von Gesetzeskommentierungen sowie die Gerichte zu. Dementsprechend enthält der Text auch zu 12 Seiten Gesetzesentwurf bereits 23 Seiten Erläuterungen.

Zusammenfassend kann man sagen, dass dieser Entwurf zwar keine komplette Themenverfehlung ist, wie der zuletzt vorgelegte. Man sieht ihm aber sehr deutlich an, dass Unternehmer- und Arbeitgeberinteressen bei Abfassen des Textes Vorrang hatten während Grund- und Bürgerrechte sowie der Gedanke der informationellen Selbstbestimmung außen vor blieben.

Auch dieser Text ist in der vorliegenden Form unbrauchbar und sollte zurückgewiesen werden. Obgleich er streckenweise zumindest gute Ansätze aufweist, die in einem dritten Entwurf aufgegriffen werden können.

Sollte das Gesetz in ähnlicher Form in Kraft treten, dürften Betriebs- und Personalräte es mit als Erstes bemerken. Denn vieles was Arbeitgeber zuvor mit ihnen mühsam und unter Inkaufnahme von Kompromissen aushandeln mussten, stünde ihnen dann einfach so zu. An jeder Mitbestimmung elegant vorbei.

Datenlecks durch Green IT – Arbeitnehmerüberwachung per Steckdose

Grüne Informationstechnik, kurz auch Green IT genannt, ist immer mehr im Kommen. In der Regel allerdings nicht, weil Lohas und grüne Gutmenschen das IT-Management in den Unternehmen übernommen hätten. Sondern weil der Ausgabenposten für die Energieversorgung von Rechenzentren,  dezentralen Serverclustern und Arbeitsplatzrechnern einen immer größeren Teil des IT-Budgets der Unternehmen wegfrisst. Das macht es Firmen zunehmend schwerer in innovative Technik zu investieren oder den Investitionsstau an anderer Stelle abzubauen um so Wettbewerbsvorteile zu gewinnen.

Energie sparen wird so zur schlichten Notwendigkeit in den Unternehmen. Ein Hilfsmittel dafür ist die bereits erwähnte grüne Informationstechnik, bei der eine Kombination aus energieeffizienterer Technik, verbrauchsbewussterem Nutzungsverhalten sowie Konsolidierung und Abbau ungenutzter Gerätekapazitäten die Stromrechnung senken soll.

Allerdings kann grüne Informationstechnik auch Datenlecks an Stellen aufreißen, an denen man bislang nicht damit gerechnet hatte. Dazu zählt z.B. das Smart Metering, also die sog. „intelligenten Stromzähler“ in Haushalten und Firmen. Mit ihnen ist es möglich den Stromverbrauch  eines Haushaltes in kurzen Abständen und teilweise gerätespezifisch zu messen. Da diese Daten z.T. an Energieversorger gehen und dort die Bildung verhaltensabhängiger persönliche Lastprofile aus den gesammelten Kundendaten ermöglichen würden, werden sie von Datenschützern sehr kritisch gesehen. So ist es für die Versorger z.B. möglich personen- und gruppenbezogene Verbrauchsmuster zu bilden und in der Folge tageszeitabhängige Stromtarife anzubieten. Über kurz oder lang wäre der feste Strompreis abgeschafft und der Verbraucher verlöre jeden Überblick über das dann explosionsartig wachsende Chaos an Stromtarifen. Das Einschalten der Waschmaschine zur Unzeit könnte dann ähnliche Folgen haben wie das unüberlegte Nutzen des Handys im Auslandsurlaub, wenn sich durch Roaming mal eben die Telefongebühren orts- und zeitabhängig unbemerkt völlig legal verfünfzigfachen.

Inzwischen gibt es spezielle Energiemanagementsoftware für Unternehmen wie z.B. das auf der letzten CeBit vorgestellte Produkt „Greentrac“, mit der sich das Verbrauchsverhalten von PCs und damit indirekt das Arbeitsverhalten der Nutzer davor „managen“, d.h. in erster Linie überwachen lässt. Schließlich zieht ein PC an dem intensiv gearbeitet wird und auf dem mehrere Programme laufen auch mehr Strom aus dem Netz als ein Rechner im Leerlauf. Eine Software aber, die Daten über Aktiv- und Leerlaufphasen von PCs erhebt und auswertet, kann damit auch für Aussagen über die Arbeitszeiten an den Geräten genutzt werden. Wenn man weitere Umstände heranzieht, lassen sich auch präzise Angaben über die jeweilige Leistung und das Arbeitsverhalten der PC-Nutzer machen. Denn in Verbindung mit anderen Daten aus betrieblichen Informationssystemen, etwa einem Terminkalender, können so Rückschlüsse über die Anwesenheit am Arbeitsplatz und die Arbeitsleistung gegeben werden.

Damit wird das fortgeschrittene Energiesparen „mit Zusatznutzen“ zum Fall für die betriebliche Mitbestimmung. Denn § 87 Abs. 1 BetrVG räumt dem Betriebsrat weitreichende Mitbestimmungsrechte beim Einsatz von Programmen ein, die zur Überwachung der Arbeitnehmer geeignet ist. Zumindest dort wo er existiert.

In der Fachliteratur wird zudem kontrovers diskutiert in wie weit eine Betriebsvereinbarung zudem überhaupt als „andere Rechtsvorschrift“ i.S.d. §4 BDSG zu werten ist, die eine individuelle Einwilligung jedes einzelnen Betroffenen ersetzen kann. Zumal es Betriebsräten bei Ausgestalten von Betriebsvereinbarungen rechtlich gar nicht erlaubt ist, gesetzliche Schutzstandards zu unterlaufen oder zu verringern (Ausnahme: das Gesetz sieht hierfür eine Öffnungsklausel vor). Arbeitgeber gehen also das Risiko ein, im Konfliktfall ggf. mit einer zwar ordnungsgemäß abgeschlossenen aber inhaltlich nichtigen Betriebsvereinbarung dazustehen.

Arbeitgeberorientierte Rechtsberater empfehlen ihren Klienten daher, die Betriebsvereinbarung so auszuformulieren, dass sie eine „Erlaubnis für Zwecke des Beschäftigungsverhältnisses“ nach § 32 Abs.1 BDSG enthält und die Arbeitnehmerüberwachung per Steckdose über die neu ins BDSG gekommene Regelung zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses legitimiert.

Ob sich allerdings Arbeitnehmerüberwachung damit rechtlich wirksam begründen lässt, bezweifle ich. Der Paragraph ist allerdings erst 2009 in Gesetz gekommen und es gibt dazu noch kaum Aussagen im Schrifttum oder gefestigte Rechtsprechung.

Es zeigt sich einmal mehr, dass auch Betriebs- und Personalräte ohne fundierte Kenntnisse der Entwicklungen im Bereich der Informationstechnik auf aktuellem Stand der Dinge immer weniger auskommen.

Verschlimmbessert die Regierung den Arbeitnehmerdatenschutz?

Mit der Datenschutzreform 2009 kam auch der verschärfte § 32 BDSG in das Gesetz der die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Er wird von Fachleuten als die Keimzelle eines noch zu schaffenden Arbeitnehmerdatenschutzgesetzes gesehen, d.h. er reicht zwar nicht aus, ist aber besser als nichts. Zumal ein echtes Arbeitnehmerdatenschutzgesetz bereits seit mehr als vier Legislaturen in den jeweiligen Koalitionsverträgen versprochen wurde. Und die zahlreichen Datenschutzskandale der Wirtschaft – Lidl, Schlecker, Siemens, Deutsche Bahn, Telekom und Bank sowie zahlreiche andere Unternehmen lassen grüßen – zeigen dessen Notwendigkeit klar und deutlich.

Tatsächlich wird im Innenministerium an einem solchen Gesetz gearbeitet. Und erst Ende März hat Bundesinnenminister de Maizière Eckpunkte zur Neuregelung des Beschäftigtendatenschutzes vorgelegt. Außerdem sickerten einige inoffizielle Referentenentwürfe durch, die aber allesamt nicht Gutes verheißen. Die wirtschaftsliberal geprägte CDU/FDP-Regierung plant offenbar eher ein Arbeitnehmerdatennutzgesetz als ein wirksames Schutzgesetz zu etablieren.

Angeblich soll der Entwurf noch vor der Sommerpause vom Kabinett verabschiedet werden. Der geplante Ablauf legt den Schluss nahe, dass die Bundesregierung eine öffentliche Diskussion über das geplante Gesetz vermeiden möchte. Man erinnert sich offenbar noch an die heftigen Reaktionen auf das Zensursula-Gesetz zur Internetzensur.

Im Zentrum der Überlegungen der Regierung steht anscheinend nicht die Sicherung des allgemeinen Persönlichkeitsrechts der Arbeitnehmer, sondern das Ziel Unternehmen eine einfache und legale Möglichkeit zur Nutzung von Beschäftigtendaten zu Korruptionsbekämpfung und Compliance-Überwachung zu verschaffen.

Dumm nur, dass die Wirtschaft diese Möglichkeit auch vor der Verschärfung des BDSG zwar hatte. Aber niemals zur Überprüfung ihrer Vorstände und Führungskräfte einsetze, wie uns die Finanz- und Wirtschaftskrise ganz deutlich zeige. Stattdessen wurde allenfalls per Videokameraüberwacht, was Kassenkräfte im Discounter so tun. Oder per Massendatenabgleich geprüft, ob einer der 20.000 Bahnbeschäftigten ein Konto hat, das der nicht nur der Lohnabrechnung sondern auch Einkaufsabteilung bekannt wäre. Ober belauscht, was Gewerkschafter im Aufsichtstat so tun.

Die Unternehmen sind nicht vertrauenswürdig. Genauso wenig wie die Regierung. Und daher muss beiden auf die Finger gesehen werden und beide müssen bzgl. ihrer Machtbefugnisse gegenüber dem Volk kurzgehalten werden.

Die ganze Richtung der bisherigen Arbeit am Arbeitnehmerdatenschutz stimmt daher nicht! Nicht was Personalabteilungen gerne hätten oder wovon Arbeitgeberverbände träumen, sondern was zum Schutz der informationellen Selbstbestimmung der Beschäftigten erforderlich ist, muss Gegenstand der Überlegungen zu diesem Gesetz sein.

Ziel einer eigenständigen gesetzlichen Regelung muss es sein, für Arbeitgeber und Beschäftigte klare und möglichst verständliche Regelungen zu schaffen. Dass nützt Arbeitnehmern und Arbeitgebern gleichermaßen: Ein eindeutiger Rechtsrahmen schafft Sicherheit bei der praktischen Umsetzung im Betrieb und für die Betroffenen.

Daher haben Fachverbände wie die Deutsche Vereinigung für Datenschutz, das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), der FoeBuD sowie mehrere Einzelpersonen und Unternehmen eine gemeinsame Erklärung herausgegeben, in der sie die Mindestinhalte eines Arbeitnehmerdatenschutzgesetzes aus ihrer Sicht klar benennen. Dazu zählen:

•    Einwilligungen im Arbeitsverhältnis dürfen nur dann als Zulässigkeitsgrundlage gelten, wenn die Erteilung nachweisbar freiwillig und ohne Druck erfolgen kann und erfolgt ist.

•    Datenerhebungen müssen immer beim Beschäftigten erfolgen. Unrechtmäßig erworbene Daten müssen einem Beweisverwertungsverbot unterliegen.

•    Das Fragerecht des Arbeitgebers bei der Einstellung muss streng an der Bedeutung und Erforderlichkeit für die angestrebte Beschäftigung orientiert sein.

•    Die „berechtigten Interessen“ des Arbeitgebers müssen in Bezug auf Vorhaben konzernweiter Verarbeitung von Beschäftigtendaten (z. B. Personaldatenverarbeitung in einer Konzernzentrale) gem. § 28 Abs. 1 Nr. 2 bzw. § 28 Abs. 2 Nr. 1 BDSG präzisiert und konkretisiert werden.

•    Wenn der Arbeitgeber Beschäftigtendaten im Rahmen einer Auftragsdatenverarbeitung durch einen Dienstleister verarbeiten lässt, von dem er wirtschaftlich abhängt (z. B. die Konzernmutter), muss die gem. § 11 BDSG vorgesehene Kontrolle des Auftragnehmers mangels realer Durchsetzbarkeit durch eine externe, unabhängige Instanz ausgeübt werden.

•    Es ist klarzustellen, dass der Arbeitgeber gegenüber seinen Beschäftigten kein Diensteanbieter im Sinne der Telekommunikationsgesetzgebung ist. Zum Schutz privater E-Mails müssen klare, dem Schutzniveau des Telekommunikationsgeheimnisses entsprechende Regeln definiert werden, die eine Einsichtnahme und Verwendung durch den Arbeitgeber ausschließen.

•    Die Beobachtung und Überwachung von Beschäftigten mittels Video- oder Tonaufnahmen ist grundsätzlich zu untersagen. Der Schutz gilt am Arbeitsplatz und im privaten Umfeld gleichermaßen. Ausnahmen sind nur in streng begrenzten Gefährdungslagen zuzulassen.

•    Verbote und Informationspflichten beim Umgang mit Beschäftigtendaten, die für den Arbeitgeber gelten, sind auch beim Einsatz externer Dienstleister einzuhalten.

•    Die Auskunftspflicht des Arbeitgebers gegenüber den Beschäftigten bzgl. der über sie automatisiert verarbeiteten Daten ist so zu konkretisieren, dass eine wirksame Umsetzung garantiert ist.

•    Ärztliche Untersuchungen dürfen nur angeordnet werden, wenn sie gesetzlich vorgeschrieben sind. Die ärztliche Schweigepflicht für Betriebsärzte darf nicht aufgeweicht werden.

•    Die Arbeitnehmervertretung muss das Recht erhalten, im Namen von Beschäftigten in Datenschutzfragen zu klagen.

•    Die Arbeitnehmervertretung ist an der Auswahl des betrieblichen oder behördlichen Datenschutzbeauftragten zu beteiligen.

•    Die verbindlich bereitzustellende Arbeitskapazität und Ressourcen des betrieblichen oder behördlichen Datenschutzbeauftragten müssen systematisch an der Zahl der Beschäftigten orientiert sein.

•    Die gesetzlichen Schutzvorgaben dürfen durch Betriebs- oder Dienstvereinbarungen nicht unterschritten werden.

Es werden also Konkretisierungen und Nachbesserungen im Datenschutz, Klarstellungen und Bereinigungen bisheriger gesetzlicher Mängel beim Zusammenwirken von BDSG und TKG, wirksamere Rechte für die betriebliche Mitbestimmung sowie eine Verbesserung der Position des betrieblichen Datenschutzbeauftragten gefordert.

So notwendig diese Dinge sind, so sehr dürfte Bundeskanzlerin Angela Merkel recht haben, wenn sie sich in einer Rede vor dem DGB wie folgt dazu äußert: „Ich glaube, darüber wird es eine heiße Diskussion geben. Aber dass wir ein entsprechendes Gesetz brauchen, ist unbestritten.“

Es gilt also für alle am wirksamen Arbeitnehmerdatenschutz und am Abbau von Wirtschaftswillkür und Datenlecks Interessierten, dran zu bleiben am Thema. Und Druck auf die Regierung zu machen, wo immer möglich.

Wie bereits die Wahl in NRW zeigte, fällt es den beiden Volksparteien CDU und SPD immer schwerer tragfähige politische Mehrheiten zu organisieren, da das Vertrauen in ihr Handeln seit Jahren schwindet.

Elena – Datenkrake mit 800 Armen?

Unter diesem Motto stand ein Abendvortrag, an dem ich gestern im DGB-Haus in München teilnahm. Und der auch mehr als hundert weitere Leute mobilisiert hatte, so dass sich der große Vortragssaal im Gewerkschaftshaus rasch füllte. Als Referenten angekündigt waren immerhin Dr. Thomas Petri, bayerischer Landesbeauftragter für den Datenschutz sowie Evi Kraft-Smuda, Betriebsratsvorsitzende aus der Sozialwirtschaft und Elena-Aktivistin bei Ver.di.

Zunächst erläuterte Dr. Petri die (offiziellen) Hintergründe des Gesetzes zum elektronischen Entgeltnachweis (Elena). Beginnend mit Arbeitslosengeld, Wohngeld und Elterngeld sollen bald alle Sozialleistungsanträge, bei denen das Einkommen eine Rolle spielt und bisher entsprechende Bescheinigungen vom Arbeitgeber vorzulegen sind, auf elektronische Verfahrensabwicklung umgestellt werden. Kleiner Datenschutzvorteil: Der (Ex-)Arbeitgeber bekommt es nicht mehr mit, wenn jemand solche Leistungen beantragt. Die erforderlichen Daten liefert dann Elena.

Dazu haben Firmen monatlich eine Vielzahl an Daten über ihre sozialversicherungspflichtig Beschäftigten in einem standardisierten verschlüsselten Datensatz an die sog. „zentrale speichernde Stelle, ein Rechenzentrum in Würzburg zu übermitteln. Kleiner Datenschutzvorteil: Sobald der Arbeitgeber diese Daten abgeliefert hat, besteht für ihn kein Grund mehr diese Daten weiter selbst zu speichern (es sei denn, sie werden für andere Personalabrechnungszwecke noch benötigt). Er hat sie also aufgrund ihrer Zweckbindung zu löschen, sobald sich der Zweck erledigt hat oder entfallen ist. Arbeitgeber können zudem aus Elena ihrerseits keine Daten abrufen.

Das ist derzeit den Sozialbehörden vorbehalten, bei denen ab 2012 die entsprechenden Leistungen beantragt werden. Der Antragsteller hat dazu mit Hilfe einer Chipkarte der Behörde den Datenzugriff fallweise zu genehmigen, damit sei Antrag bearbeitet werden kann. Das ist auch vom Grundgedanken her der einzige Punkt an dem jemand die verschlüsselten Elena-Daten zu sehen bekommt (und so ggf. auf Korrektheit prüfen kann). Der einzelne Arbeitnehmer kann also trotz bestehendem Recht auf Selbstauskunft nicht prüfen, was über ihn gespeichert wurde. Und auch die Fachbehörden bekommen – logischerweise – mit der Chipkarten-Autorisierung durch den Antragsteller nur den Teil der Daten zu sehen, der für den Antrag relevant ist.

Allerdings nimmt nur ein Bruchteil der etwa 40 Millionen sozialversicherungspflichtig Beschäftigten je eine der genannten Sozialleistungen in Anspruch. Die Daten werden aber von allen erhoben und für etwa 2-5 Jahre (abhängig von ihrer sozialrechtlichen Relevanz) gespeichert. Es findet also eine „überschießende Datenspeicherung“ statt, wie es Juristen ausdrücken und gleichzeitig besteht ein Vollzugsdefizit, da der Einzelne seine Daten nicht selbst prüfen kann, obwohl er das Recht dazu hätte (§§ 103 SGB IV, 83 SGB X, 34 BDSG). Denn die ZSS kann sie derzeit noch nicht für ihn entschlüsseln.

Der Hauptkritikpunkt an Elena ist aber die maßlose und intransparente Vorratsdatenspeicherung besonders sensibler Sozialdaten von in etwa der halben Bevölkerung.  Das ist auch der Kerngegenstand der aktuell anlaufenden Verfassungsbeschwerde. Teilnehmen können alle von Elena Betroffenen, also sozialversicherungspflichtig Beschäftigte deren Daten „elenalisiert“ wurden.

Wie aber kam es, das so ein Ding wie Elena im April letzten Jahres ordnungsgemäß im Bundestag beschlossen werden konnte, ohne dass die Zivilgesellschaft davon  Notiz nahm und dagegen mobilisierte? Nun – seit Jahren werden Bürgerrechte nicht einzeln zurückgeschnitten sondern mit dem Kampfpanzer geplättet. Im letzten Jahr dominierten daher politische Sauereien wie die Vorratsdatenspeicherung, die Pläne zur Internetzensur, der Vorlauf zu SWIFT und ACTA sowie die Einschränkungen der Versammlungsfreiheit und des Demonstrationsrechts das politische Geschehen. Hinzu kamen Bildungsstreiks, Sozialdemos und Aktionen gegen die Wirtschaftskrise. Da ist Elena wohl schlicht „unterm Radar durchgeflogen“. Obwohl Herr Dr. Petri darauf hinwies, dass Datenschützer bereits seit Jahren auf die Gefahren solcher Massendatensammelverfahren hinweisen. Allerdings oftmals nur in der Fachpresse und vor Fachpublikum.

Evi Kraft-Smuda warf einen Blick zurück ins Jahr 2002, als die Schröder-Regierung im Rahmen der Hartz-Reformen u.a. die JobCard-Initiative plante. Ein Vorhaben, das bereits in etwa Elena entsprach, dann aber wegen politischer Prioritätenänderung zurückgestellt und in Fachausschüssen weiter bearbeitet wurde. Die Merkel-Regierung fand also ein mehr oder weniger fertiges Gesetz vor, das nur noch etwas nachbearbeitet werden musste. Aus Sicht von Betriebsräten, Vertrauensleuten und Gewerkschaften geht es bei Elena aber um nichts weniger als die elektronische Vollerfassung der arbeitenden Bevölkerung. Zu noch unklaren aber bestimmt nicht dem sozialen Allgemeinwohl dienenden Zwecken der politischen Eliten. Denn mit Elena entsteht eine zentrale Informations- und Kontrollstruktur, die sich rasch verselbstständigen kann. Zumal der Staat die Möglichkeit besitzt, die Zweckbindung der erhobenen Daten jederzeit einseitig durch Parlamentsbeschluss zu ändern oder ganz aufzuheben.

Doch was kann der Einzelne dagegen tun, dass seine Daten „elenalisiert“ werden? Erst mal recht wenig – das Gesetz ist ordnungsgemäß zustande gekommen und damit erst mal rechtsgültig und umzusetzen. Wer zu spät kommt, den bestraft das Leben …

Aber auf betrieblicher Ebene kann gehandelt werden. Betriebsräte können Elena zum Thema auf Betriebsversammlungen machen. Viele Elena-Daten sind zudem nicht verpflichtend sondern fakultativ. Ihre Lieferung ist entweder freiwillig (z.B. ausfüllbare Freitextfelder für Kommentare) oder an Bedingungen geknüpft, die in manchen Unternehmen zutreffen, in anderen nicht. Über diesen Anteil der Daten können Betriebsräte ein Mitbestimmungsrecht zur Ausgestaltung des Gesetzes auf betrieblicher Ebene geltend machen und Betriebsvereinbarungen abschließen, welche den Umfang der abzuliefernden Daten auf das Notwendigste begrenzen.

Ein Vorschlag, den ein anwesender Personalrat der Landeshauptstadt München, der derzeit selbst Gespräche zum Thema Elena mit dem Arbeitgeber führt, bekräftigte. Zumal vor kurzem die Münchner Stadtratsfraktion der Grünen einen Antrag stellte, den Vollzug des Elena-Verfahrens innerhalb der Stadtverwaltung auszusetzen, bis unter Beteiligung der Datenschutzbeauftragten eine verfassungskonforme und mit den Grundsätzen des Datenschutzes vereinbare Regelung geschaffen wird.

Zumal Organisationen wie die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V., ein vom Bundesministerium für Wirtschaft finanzierter arbeitgebernaher Thinktank zum Thema Verwaltungsreform, bereits Arbeitgeberhandbücher herausgeben, die eine recht großzügige und umfängliche Ablieferung von Beschäftigtendaten durch die Unternehmen propagieren.

Natürlich kann man auch an der Elena-Verfassungsbeschwerde teilnehmen. Allerdings ist am 1.4. aus rechtlichen Gründen (Fristablauf) Schluss mit der Eintragung von Teilnehmern.

Und man kann selbstverständlich datenschutzrechtliche Auskunftsanfragen an den eigenen Arbeitgeber stellen, was der so an Elena abliefert. Dies ist zudem aktuell die einzige Möglichkeit zeitnah kontrollieren zu können, ob die abgelieferten Daten der Wahrheit entsprechen.

Dazu hat der DGB München Mustervorlagen als PDF zum Download bereitgestellt:
•    Vorschlag einer Betriebsvereinbarung
•    Musterschreiben für eine individuelle Geltendmachung eines monatlichen Ausdruckes der übermittelten Daten
•    Resolution von der ELENA-Veranstaltung

IT-Recht 2010 – was demnächst auf Unternehmen zukommt

Die diesjährige CeBit brachte neben Trendthemen wie Green IT, Cloud Computing oder neue mobile Endgeräte auch zahlreiche IT-rechtliche Dinge zutage, die auf die Unternehmen zurollen bzw. diese schon seit einiger Zeit beschäftigen.

Bei rechtlichen Themen geht es im Grunde fast immer darum Interessensgegensätze neu auszutarieren und die Verteilung von Risiken zu regeln. Und genau diese Dinge stehen als Folge treibender Technologie sowie ökonomischer Exzesse der Vergangenheit (Beispiel: die zahlreichen Datenskandale der letzten Jahre in der Wirtschaft) aktuell mal wieder zur Klärung an. Die wichtigsten zehn IT-rechtlichen Baustellen des Jahres dürften sich bei folgenden Fragestellungen finden lassen:

Richtlinien für private Nutzung von Internet und E-Mail
Als Folge neuer Konzepte der Unternehmensführung lösen sich die Grenzen zwischen Arbeit und Freizeit zunehmend auf. Viele Arbeitgeber streben die Entgrenzung zwischen Dienst und Privat bewusst an, um sich zusätzliche Arbeitszeit und Leistungsbereitschaft ihrer Beschäftigten ohne  entsprechende Zeiterfassung und Entgeltpflicht aneignen zu können (Beispiel: indirekte Steuerung mit Vertrauensarbeitszeit). Als Folge dieser Entwicklung wird aber die Erledigung privater Angelegenheiten in der Arbeitszeit immer natürlicher (Fachleute sprechen von sozialaqädatem Verhalten). Zudem werden immer größere Bereiche des Lebens online organisiert (z.B. über soziale Netzwerke). Arbeitnehmer nutzen daher immer selbstverständlicher die betriebliche IT-Infrastruktur auch für private Angelegenheiten.

Dabei stecken in Themen wie der privaten Internet- und E-Mail-Nutzung zahlreiche rechtlich alles andere als triviale Detailfragen. Einerseits kann man vom Arbeitgeber nicht verlangen, dass er sein Eigentum den Beschäftigten zur privaten Nutzung überlässt (umgekehrt geht das schon – z.B. als Dienstfahrten mit dem Privat-PKW und unbezahlte Überstunden). Andererseits darf er auch nicht so ohne weiteres an private Daten heran (und sei es nur zur Systemüberwachung), wenn er die Privatnutzung nicht explizit ausschließt.

Ein Problem ganz eigener Art sind mögliche Imageschäden für die Firma, wenn ein Beschäftigter z.B. bei Hantieren mit Pornografie im Dienst erwischt wird. Zwar ist das Image der meisten Unternehmen in Deutschland längst nicht so prächtig, als dass es ein einzelner Beschäftigter nennenswert beeinträchtigen könnte. Aber z.B. für eine Stadtverwaltung kann es mehr als unangenehme politische Folgen haben, wenn Bürger und Stadträte wissen wollen, warum sowas überhaupt möglich war.

Auslagerung der Verarbeitung personenbezogener Daten (Auftragsdatenverarbeitung)
Die Datenschutzverschärfungen 2009 brachten auch deutliche Nachbesserungen bei der Regulierung der Auftragsdatenverarbeitung mit sich. Unternehmen müssen nun ihre entsprechenden Verträge mit Dienstleistern auf Konformität mit den aktuellen Regelungen des BDSG (insbes. § 11) prüfen. Zudem sind sie verpflichtet, ihre Dienstleister auch regelmäßig zu prüfen, anstatt sich nur auf die Aktenlage zu verlassen.

Datenlecks vermeiden, Publizitätspflicht im Datenschutzgesetz
Geht trotzdem etwas schief und sickern personenbezogene Daten durch Datenlecks, gestohlene Datenträger und Geräte oder gezielte Hackerangriffe nach draußen, wird es unangenehm und teuer für die Unternehmen. Denn sie müssen den Vorfall nicht nur der datenschutzrechtlichen Aufsichtsbehörde melden. Sondern im Falle der schwerwiegenden Beeinträchtigung der Rechte und Interessen der Betroffenen auch publik machen. Notfalls in Form halbseitiger Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen.

Datenschutz nachschärfen, personenbezogene Daten sichern
Das hat zur Folge, dass sämtliche Konzepte und Maßnahmen im Bereich der IT-Sicherheit und des Datenschutzes zu prüfen und ggf. dem aktuellen Stand der Technik anzupassen sind. So ist z.B. sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass zu unterschiedlichen Zwecken erhobene Daten getrennt und ausschließlich zweckbezogen verarbeitet werden können. In der Vergangenheit allzu laxe Handhabung solcher Fragen verbunden mit allgemeiner Investitionsunwilligkeit in der IT führen daher nun zu teilweise beträchtlichem Aufholbedarf in den Unternehmen.

Systematisches Archivieren und Löschen von Dokumenten
Die revisionssichere Langzeitarchivierung ist spätestens mit der GdPdU und der elektronischen Steuerprüfung sowie der stärkeren rechtlichen Überwachung des Einhaltens von handelsrechtlichen Aufbewahrungsfristen in den Unternehmen angekommen. Neu hinzugekommen ist allerdings das Thema e-Discovery, also die Pflicht unternehmensinterne Informationen im Zuge staatsanwaltlicher Ermittlungen im Rahmen von IT-forensischen Beweissicherungspflichten innerhalb kurzer Fristen herausgeben zu müssen. Insbesondere die weit reichenden und oftmals sehr kurzfristig geltend gemachten Offenlegungspflichten gegenüber der US-Justiz konfligieren dabei mit den Datenschutzauflagen der EU oder dem deutschen Datenschutzgesetz. Umgekehrt fordern inzwischen zunehmend Gesetze oder Verfahrensvorschriften auch eine zeitnahe Löschung von nicht mehr erforderlichen Daten. Daher sollten Unternehmen neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Datenbeständen aufstellen und umsetzen.

SLAs und Outsourcing-Verträge an neue Technologieentwicklungen anpassen
Der allfällige technologische Wandel im IT-Bereich sowie sich ausbreitende neue Managementkonzepte machen eine regelmäßige Überprüfung von Outsourcing-Verträgen und SLAs notwendig. Leistungsbeschreibungen, Metriken und Kennzahlen sollten den technischen Besonderheiten neuer Technologien Rechnung tragen. Dabei werden Unterschiede über den Leistungsinhalt von den Beteiligten allerdings oftmals erst nach Vertragsschluss im Tagesgeschäft bemerkt und werden dann zum Konfliktherd. Vertragsinhalte und deren technische Umsetzung müssen daher einerseits detailliert und vollständig, andererseits aber auch mit genügend Flexibilität zur Handhabung beschrieben werden, um Missverständnisse und rechtliche Auseinandersetzungen zu vermeiden.

Risikoverlagerung in IT-Verträgen prüfen
Dabei wird von größeren „Partnern“ gerne mal versucht, den kleineren Partner vertraglich über den Tisch zu ziehen, in dem Risiken unangemessen verteilt und Margen abgeschöpft werden. Im Automobilbau ist dieser Umgang mit Lieferanten seit langem Standard seitens der Konzerne und hat im Krisenjahr 2009 bereits zu zahlreichen Insolvenzen geführt. Umgekehrt zeigen Abmahnbetrug und Abzockerklauseln in Lizenzverträgen, dass das Gaunertum auch in IT-Firmen heimisch ist. Und man daher speziell bei Verträgen zum Cloud Computing oder für Mietsoftware (Software as a Service) sehr genau und mit juristischen Sachverstand ins Kleingedruckte der Outsourcing-Dienstleister sehen sollte.

Lizenzrechtliche Lage, Pflege und Support bei Virtualisierung von Softwareprodukten prüfen
Wer im Unternehmen Applikationen virtualisieren will, stößt rasch auf zwei Probleme. Einerseits den ungeregelten Wildwuchs bei Lizenzbedingungen, in dem Aussagen zur Virtualisierung jedoch meist fehlen und daher nachverhandelt werden müssen, bevor man die Software virtualisiert (davon kann es abhängen, ob sich das Virtualisierungsprojekt wirtschaftlich überhaupt lohnt). Und andererseits die Frage nach Herstellersupport bei Problemen. Viele Softwareanbieter schließen Support für den Betrieb ihrer Produkte in einer virtuellen Umgebung explizit aus, da es ihnen noch an einschlägigen Erfahrungen mangelt oder dem technische Probleme in der Software entgegenstehen. Zumal zielen Virtualisierungsprojekte meist darauf ab, Einsparungen bei Software- und Lizenzkosten durch Mehrfachnutzung und bessere Ressourcenauslastung im Serverpark zu erzeugen. Daran haben Softwarehersteller naturgemäß kaum Interesse.

Cloud-Computing I: Vertragliche Regelungen zu Verfügbarkeitsrisiken prüfen
Insbesondere Mittelständler und neu gegründete Firmen können durch den Einsatz von Cloud Computing rasch skalierbare IT-Infrastruktur beshaffen, ohne größere Investitionen tätigen zu müssen. Allerdings birgt die Anwendung von Cloud Computing rechtliche Risiken ganz eigener Art, da es hier noch keine allgemeinen Leistungsstandards gibt.

Daher ist es entscheidend, dass die Vertragsgrundlagen sorgfältige Beschreibungen aller relevanten Leistungen enthält. Zudem bedeutet der Einsatz von Cloud Computing zur Unterstützung kritische Geschäftsprozesse auch kritische Abhängigkeiten vom Cloud-Lieferanten. Wichtige Punkte, die sich im Vertrag wiederfinden müssen, sind daher die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien sowie Regelungen über Teilleistungen und deren Kündigung.

Cloud-Computing II: Compliancefragen regeln
Unternehmen können vieles auf Zuarbeiter, Dienstleister und Lieferanten delegieren. Und in vielen Fällen macht das auch Sinn, da erfahrene Experten ihr Geschäft i.A. besser, schneller und fehlerfreier abwickeln können, als ein Unternehmen, das sich nur nebenbei damit befasst, aber eigentlich ganz andere Kernkompetenzen hat. Nicht jeder gute Fliesenleger ist auch ein guter Personaler, Informatiker, Rechtsanwalt und Bilanzexperte.

Allerdings lässt sich die Letztverantwortung nicht wegdelegieren. Bauen die Zulieferer Mist, ist der Auftraggeber geschädigten Dritten gegenüber dafür verantwortlich. Die gesetzliche Verantwortung (Organisationspflicht) bleibt im Rahmen von Sorgfaltspflichten bei der Unternehmensführung (§ 91 II, 93 AktG, § 43 GmbHG), die den Lieferanten ausgewählt, geprüft und für tauglich befunden hat. Nur stur nach dem Preis zu schielen, kann daher übel ausgehen.

Speziell beim Cloud Computing wird man sich bei der Vertragsgestaltung daher auch Gedanken über kundenseitige Prüf- und Überwachungsrechte (Auftragsdatenverarbeitung – s.o.) sowie Geheimhaltungspflichten und die Einhaltung rechtlicher Auflagen (Compliance) machen müssen. Sowie über Haftungsfragen und Schadensersatz im Falle von Problemen bei diesen Themen.

Es gibt also mehr als genug zu tun für die verantwortlichen Entscheider und ihre Stäbe in den Unternehmen. Zumal die meisten genannten Problemfelder Unternehmen jeglicher Größe betreffen. Sich also Mittelständler und Kleinunternehmer nicht zurücklehnen können, in der Annahme, das wäre nur was für Konzerne. Diese Annahme kann in ungünstigen Fälle rasch für Ärger und Kosten in beträchtlichem Umfang sorgen.

Zudem werden bei vielen der genannten Themen auch die Mitbestimmungsrechte von Betriebsräten tangiert, was es ratsam erscheinen lässt, sie frühzeitig in die anstehenden Entscheidungsfindungsprozesse einzubinden.

Was Einwilligungen wert sind

Der Begriff der „Einwilligung“ spielt im Datenschutzrecht eine besondere Rolle. Denn das Bundesdatenschutzgesetz sieht für das Nutzen personenbezogener Daten anderer ein Verbot mit Erlaubnisvorbehalt vor. D.h. das Nutzen solcher Informationen ist grundsätzlich unzulässig, kann aber im Einzelfall und zu festgelegten Zwecken erlaubt sein. Erlaubt ist eine Nutzung personenbezogener Daten nur, wenn es dafür eine gesetzliche Grundlage gibt (z.B. eine Erfassungs- und Dokumentationspflicht) oder die Betroffenen der Nutzung zugestimmt haben; wenn sie also eine Einwilligung i.S.d. Datenschutzes abgegeben haben.

Hintergrund dafür ist das Recht auf informationelle Selbstbestimmung. Jeder soll über Speicherung und Nutzung seiner Daten frei entscheiden können.

Diese Einwilligung  hat daher auf einer freien Entscheidung des Betroffenen zu beruhen und muss im Regelfall schriftlich sowie bezogen auf einen bestimmten Zweck abgegeben werden (§4a BDSG).  Auch die Folgen einer Nicht-Einwilligung (z.B. das Nichtzustandekommens eines Geschäftes oder Vertrages) müssen aufgezeigt werden. Und hier beginnen die Dinge heikel zu werden. Denn wenn etwas Wichtiges wie z.B. ein Mietvertrag, eine neue Stelle usw. von dieser Einwilligung abhängt, kann ihre „Freiwilligkeit“ rechtlich durchaus bezweifelt werden.

Und so hat die Rechtsprechung auch im Laufe der Zeit den Standpunkt entwickelt, dass es z.B. Einwilligungen von Arbeitnehmern regelmäßig an der Freiwilligkeit mangelt, da sie in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen. Hier ist der Arbeitgeber auf der sicheren Seite, wenn er sich auf die Daten beschränkt, deren Erhebung und Nutzung für den Beginn, die Fortführung oder die Beendigung der Beschäftigung erforderlich sind (§ 32 BDSG). Dazu dürften Kontonummern, Adress- und Sozialversicherungsdaten mit Bestimmtheit zählen. Weniger jedoch umfängliche Persönlichkeitsprofile oder die Ergebnisse mal mehr, mal weniger seriöser psychologischer Tests. Ebenso kritisch ist der Umgang mit Bewerberdaten zu sehen, da auch hier (vorvertragliche) Abhängigkeitsverhältnisse und Machtungleichgewichte vorliegen. Der Bewerber will den Job – notfalls auch mit Abgabe umfangreicher medizinischer Testdaten und sachfremder Analysen ohne Bezug zur konkreten Tätigkeit. Ein Umstand der auch nicht kollektivrechtlich, z.B. durch Abschluss von Betriebsvereinbarungen umgangen werden kann, da Betriebsvereinbarungen kein Ersatz für fehlende Rechtsgrundlagen oder individuelle Einwilligungen sind.

Die Sache wird nicht unbedingt einfacher dadurch, dass es die Einwilligung auch an anderer Stelle in anderen Gesetzen gibt. So z.B. im § 13 des Telemediengesetzes (TMG), wo es allerdings um den speziellen Fall der Nutzung von elektronischen Informations- und Kommunikationsdiensten geht. Hier greift die Gesetzesrangfolge: Das Datenschutzgesetz regelt für Datenfragen das, was nicht in anderen spezielleren Normen geregelt ist. Es ist ein „Gesetz der letzten Instanz“.

Datenschutzrechtliche Einwilligungen kommen im Geschäftsverkehr häufig durch schlüssiges (konkludentes) Handeln zustande. Da wird z.B. etwas in einem Online-Shop bestellt und dazu die Bestelladresse sowie Bankdaten zum Zweck der Bestellabwicklung und Bezahlung angegeben. Das sieht an sich bereits wie eine datenschutzrechtliche Einwilligung aus. Sie würde allerdings wegen der fehlenden Schriftlichkeit im Falle rechtlicher Probleme nicht als solche akzeptiert werden, auch wenn so tagtäglich Hunderttausende Geschäfte getätigt werden. Rechtliche Probleme – das können auch Abmahnungen und Unterlassungsklagen von Wettbewerbern oder Abmahnvereinen sein.

Worin besteht nun eigentlich das Problem mit diesen Einwilligungen? Nun, wenn die Einwilligung unwirksam weil nicht ordentlich zustande gekommen ist, ist auch die Verarbeitung und Nutzung der entsprechenden Daten illegal. Die zahlreichen Datenschutzverstöße der letzten eineinhalb Jahre sowie die Verschärfungen des gesetzlichen Datenschutzes zeigen, dass diesem Problem langsam aber zunehmend mehr öffentliche Aufmerksamkeit zukommen wird.

Dabei muss man sich bei der Planung entsprechender Geschäftsabläufe lediglich Folgendes vergegenwärtigen und es richtig umsetzen:

1. Die Einwilligung wird vom Betroffenen freiwillig abgegeben.
2. Er wurde klar auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten sowie die Folgen der Nichterteilung der Einwilligung hingewiesen.
3. Er gibt seiner Einwilligung dazu schriftlich ab.
4. Die Einwilligung zur Nutzung personenbezogener Daten ist in den Vertragsdokumenten oder geschäftlichen Unterlagen besonders hervorgehoben.

Diese Einwilligung kann vom Betroffenen natürlich später widerrufen werden. Um damit verbundene organisatorische Probleme zu vermeiden, sollten Geschäftsabläufe grundsätzlich datenarm organisiert werden (Prinzip der Datensparsamkeit und Datenvermeidung).

Für denjenigen, der eine solche Einwilligung abgibt, sollten sich aus den begleitenden Informationen die „6 W-Fragen der datenschutzrechtlichen Einwilligung“ beantworten lassen:

1. Willige ich in etwas ein?
2. Warum mache ich das?
3. Welche Daten werden dafür erhoben?
4. Wozu werden diese erhoben?
5. Was geschieht, wenn ich ablehne?
6. Wer erhält die Daten und wozu?

Ein datenschutztechnisches Qualitätsmerkmal im Geschäftsleben besteht darin, dass Kunden, die Einwilligungen abgeben sollen, diese Fragen ohne weiteres Nachfragen aus den ihnen zur Verfügung gestellten Begleitinformationen beantworten können.

Ein Kundenstamm mit solchen Einwilligungen stellt einen nicht zu unterschätzenden immateriellen Wert im Unternehmen dar.

People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM (“Vier-Phasen-Modell”) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Schufa-Auskunft für den Chef – ist das legal?

Die Schufa sammelt und aggregiert zahlreiche Finanzdaten von Unternehmen und Verbrauchern. Über eine Schufa-Auskunft lässt sich u.a. ein Überblick über vorhandene Bankkonten, Kreditkarten und Handyverträge, laufende Kreditverpflichtungen aber auch Negativeinträge wie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften (Mahnbescheide, geplatzte Schecks, Kreditprobleme) und Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen wie z.B. den Schuldner- und Insolvenzverzeichnissen der Amtsgerichte gewinnen.

Daher gibt es Unternehmen, die im Rahmen ihres Risikomanagements von ihren Angestellten neben einem polizeilichen Führungszeugnis auch eine jährlich erneut vorzulegende Schufa-Selbstauskunft haben wollen. Bankgeheimnis hin oder her.

Doch ist das legal?

Schließlich darf ein Arbeitgeber gemäß § 32 BDSG personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erheben und nutzen. Und auch das nur dann, wenn es erforderlich ist. Reine Neugier oder Nützlichkeitserwägungen reichen also nicht. Und Schufa-Auskünfte enthalten außer Namen, Adresse und Kontonummer nichts, was für Zwecke des Beschäftigungsverhältnisses wirklich erforderlich ist.

Besonderes Interesse am Finanzstatus ihrer Beschäftigten haben Unternehmen des Wach- und Sicherheitsgewerbes. Dort will man – wohl auch angesichts branchenüblich magerer Entlohnung – sichergehen, dass die Fahrer von Geldtransporten eine finanziell gesehen einwandfreie Lebensführung aufweisen. Dazu nahm die Bundesvereinigung Deutscher Geld- und Wertdienste (BDGW), ein Arbeitgeberverband im Sicherheitsgewerbe im Rahmen eines satzungsgemäß für die Verbandsmitglieder verbindlichen jährlich erneut durchzuführenden „Sicherheitschecks“ die Anforderung auf, von Bewerbern Schufa-Selbstauskünfte einzufordern:

Der „klassische“ Sicherheits-Check 1 befasst sich vor allem mit baulich-technischen und personellen Anforderungen sowie der ordnungsgemäßen Durchführung von Geld- und Werttransporten. Überprüfungsschwerpunkte fangen bereits bei den Einstellungsvoraussetzungen für das Personal an. Hier werden wesentlich höhere Maßstäbe angelegt als in den meisten anderen Branchen. Die Vorlage eines polizeilichen Führungszeugnisses, eine ärztlich bestätigte physische und psychische Tauglichkeit, eine persönliche und eine Schufa-Selbstauskunft sowie eine Verschwiegenheitserklärung sind nur einige der Punkte, die von den Bewerbern verlangt werden.

(Quelle: BDGW-Imagebroschüre, PDF 1,2 MB)

Dumm nur, das so eine Klausel rechtlich gesehen die Verbindlichkeit eines Wunsches besitzt. Und in den Unternehmen, in denen ein Betriebsrat existiert, dieser diese Praxis unterbinden kann. Worauf kürzlich die Gewerkschaft Verdi in ihrem Brancheninfodienst „Sicherheitsnadel“ im Rahmen einer ausführlichen juristischen Stellungnahme hinwies.

Arbeitgeber müssen Gesetze einhalten. Da hat ihnen auch kein Betriebsrat dreinzureden. Mitbestimmung gibt es nur da, wo der Gesetzgeber dafür Spielräume gelassen oder explizit Mitbestimmungsrechte eingeräumt hat.

Verbandssatzungen sind aber keine Gesetze. Und sie dürfen auch kein gesetzeswidriges Verhalten zur Norm für die Verbandsmitglieder erheben (legt man das streng aus, könnte ein Verband deswegen sogar verboten werden). Durch sie werden zudem nur die Verbandsmitglieder zu etwas verpflichtet, nicht deren Beschäftigte.

Das Gleiche gilt auch für Verträge aller Art, wie z.B. Versicherungsverträge auf die sich in solchen Fällen auch gern mal bezogen wird. Ein Blick ins BGB zeigt in § 134 dass Verträge, deren Inhalt gegen Gesetze verstößt, nichtig sind.

(interessanter Nebenaspekt: Wie kann man aus einer potentiell nichtigen Versicherungspolice im Schadensfall Leistungen einfordern?)

Hin und wieder müssen ausgerechnet beufsgenossenschaftliche Unfallverhütungsvorschriften wie die für Wach- und Sicherungsdienste relevante Vorschrift BGV C7 „Besondere Bestimmungen für Geldtransporte“, herhalten, um einen gesetzesgleichen Anspruch auf das Einfordern von Schufa-Auskünften abzuleiten.  Eine Durchführungsanweisung zum § 24 (Eignung des Personals) könnte tatsächlich dahingehend ausgelegt werden:

Bei der Eignungsbeurteilung (des Bewerbers für den Wachdienst) ist insbesondere auch auf Unbescholtenheit sowie eine geordnete Lebensführung zu achten, z.B. durch die unbeschränkte Auskunft nach § 41 Abs. 1 Nr. 9 Bundeszentralregistergesetz (BZRG), polizeiliches Führungszeugnis, die aktuelle Schufa-Selbstauskunft.

Allerdings sind auch Durchführungsanweisungen nicht mehr als unverbindliche Handlungsempfehlungen und können gesetzliche Vorschriften wie das Bundesdatenschutzgesetz nicht außer Kraft setzen. Im Gegenteil: Es ist anzunehmen, dass solche Handlungsempfehlungen als Folge von Gesetzesänderungen und Rechtsprechung früher oder später geräuschlos korrigiert werden. Zum auch hier die Schufa-Auskunft nicht als Norm sondern als mögliches Beispiel zu deren Erfüllung genannt wird.

Die Tücke beim Umgang mit Rechtsquellen steckt demnach häufig in den Details, welche gelesen und auch verstanden werden wollen.

So kam auch Arbeitsrechtler Tobias Wolters in der „Sicherheitsnadel“ (Ausgabe 12, S. 7) zu dem Fazit, dass das Einfordern von Schufa-Auskünften von Beschäftigten oder Bewerbern zwar mit unter die Mitbestimmung des Betriebsrats fällt, da es um Fragen des Ordnungsverhaltens der Arbeitnehmer geht. Dieser aber keine entsprechende Betriebsvereinbarung abschließen kann, da auch Betriebsvereinbarungen (ähnlich wie Verträge) nichts Gesetzeswidriges enthalten dürfen.

Er empfiehlt daher das Thema Schufa-Auskünfte aus entsprechenden Verbandssatzungen, Versicherungsverträgen und Anmerkungen zu berufsgenossenschaftlichen Regeln komplett zu streichen.

Wer einmal seine eigene Schufa-Auskunft prüfen will, kann das unter www.meineschufa.de tun. Wer mehr über Scoring-Methoden generell erfahren will, dem bietet die Schufa unter www.scoring-wissen.de eine Einführung in das Thema an.