GDD zu einem Arbeitnehmerdatenschutzgesetz

Bei einer gesetzlichen Regelung des Arbeitnehmerdatenschutzes zunächst die materiellen Regelungslücken hinsichtlich des Datenschutzes im Bereich des Arbeitsverhältnisses feststellen
Regelungsbedürftig ist aus Sicht der GDD auch die Zulässigkeit der Weitergabe von Mitarbeiterdaten im Unternehmensverbund

(18.06.08) - Im Zusammenhang mit der aktuell geführten Diskussion über die unzulässige Überwachung und Kontrolle von Arbeitnehmern wird die Frage nach einem Arbeitnehmerdatenschutzgesetz erneut aufgeworfen. Auch der Deutsche Bundestag hatte Anfang des letzten Jahres seine mehrfach erhobene Forderung aufgegriffen, den Arbeitnehmerdatenschutz gesetzlich zu regeln und die unverzügliche Vorlage eines entsprechenden Gesetzentwurfs verlangt.

Nach Auffassung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) sollten für eine gesetzliche Regelung des Arbeitnehmerdatenschutzes zunächst die materiellen Regelungslücken hinsichtlich des Datenschutzes im Bereich des Arbeitsverhältnisses festgestellt werden. Insofern ist zunächst die ungeklärte Frage der Kontrolle der personenbezogenen Datenverarbeitung beim Betriebsrat zu nennen, die nach einer Entscheidung des Bundesarbeitsgerichts aus dem Jahre 1997 gesetzlich ungeklärt ist. Das Bundesarbeitsgericht hatte seinerzeit entschieden, dass die Datenverarbeitung des Betriebsrates nicht durch den betrieblichen Datenschutzbeauftragten kontrolliert werden dürfe.

Seitdem besteht im Unternehmen ein quasi kontrollfreier Raum. Die Gesetzeslücke führt dazu, dass zwar das Unternehmen gegenüber dem Betroffenen als verantwortliche Stelle zur Gewährleistung des Datenschutzes verpflichtet ist, diesen jedoch gegenüber dem Betriebsrat nicht durchsetzen kann. Dass diese Gesetzeslücke jedoch zwangsläufig im Rahmen eines Arbeitnehmerdatenschutzgesetzes geschlossen werden muss, ist aus Sicht der GDD nicht zwingend. Hier kämen alternativ auch Regelungen im allgemeinen Bundesdatenschutzgesetz (BDSG) oder im Betriebsverfassungsgesetz (BetrVG) in Betracht.

Regelungsbedürftig ist aus Sicht der GDD auch die Zulässigkeit der Weitergabe von Mitarbeiterdaten im Unternehmensverbund. Angesichts der Tatsache, dass weder die EG-Datenschutzrichtlinie noch das Bundesdatenschutzgesetz ein "Konzernprivileg" kennen, ist vielfach ein notwendiger Austausch von Mitarbeiterdaten in verbundene Unternehmen datenschutzrechtlich nicht unproblematisch. Hier sollten für Tatbestände, die ehedem gängige Praxis sind, wie der Betrieb von Shared-Service-Centern, der zentralen Führungskräftebereuung oder die konzernweite Steuerung der IT-Infrastruktur, gesetzliche Zulässigkeitstatbestände geschaffen werden. Aber auch in dieser Frage ist nach Auffassung der GDD eine Regelung im allgemeinen BDSG möglich.

Sinnvolle Vorbilder für eine Konkretisierung des Arbeitnehmerdatenschutzes bietet das Beamtenrecht des Bundes und der Länder. Anforderungen an die getrennte Aufbewahrung oder Speicherung von Gesundheitsdaten verbunden mit Höchstspeicherfristen, an die Übermittlung von Arbeitnehmerdaten an Dritte, z.B. durch Arbeitgeberauskünfte, oder an die Zulässigkeit der Datenverarbeitung der Mitarbeitervertretung könnten auch in das BDSG bzw. in das BetrVG aufgenommen werden.

Im Zusammenhang mit der Diskussion um ein Arbeitnehmerdatenschutzgesetz wird auch eine Regelung zur E-Mail- und Internetnutzung am Arbeitsplatz gefordert, die insbesondere die Privatnutzung der Informations- und Kommunikationstechnik erlauben soll. Hier weist die GDD darauf hin, dass es zunächst eine unternehmerische Entscheidung des Arbeitgebers ist, ob er eine Privatnutzung der Arbeitsmittel am Arbeitsplatz durch die Arbeitnehmer erlaubt.

Entschließt sich der Arbeitgeber dafür, so kann er bereits auf praxiserprobte betriebsnahe Lösungen zurückgreifen, die auf der einen Seite die Persönlichkeitsrechte des Arbeitnehmers am Arbeitsplatz respektieren und auf der anderen Seite eine Kontrolle des Übermaßes der Privatnutzung sowie unternehmensschädlicher oder krimineller Handlungen ermöglichen. Insoweit ist nach Auffassung der GDD auf die betriebliche Selbstregulierung zu setzen und eine gesetzliche Regelung nicht erforderlich.

Brisant ist nach Auffassung der GDD der Einsatz bekannter und neuer Überwachungstechniken wie Video, RFID und GPS. Aber auch hier müsse eine Interessenabwägung bezogen auf den jeweiligen Einsatz durchgeführt werden. Diese Interessenabwägung sei aber ohnehin schon nach dem Bundesdatenschutzgesetz vorzunehmen. Insoweit sei nicht erkennbar, dass ein Arbeitnehmerdatenschutzgesetz hier eine rechtliche Konkretisierung und damit Vorteile biete.

Im Zusammenhang mit der Diskussion um die Schaffung eines Arbeitnehmerdatenschutzgesetzes weist die GDD zudem daraufhin, dass nach fast einhelliger Auffassung, die allseits geforderte Modernisierung des Datenschutzes auch die Beseitigung der Zersplitterung der Datenschutzmaterie beinhalten soll. Insoweit sei die Schaffung eines weiteren Spezialgesetzes kontraproduktiv. Offene Fragen des Arbeitnehmerdatenschutzes sollten deswegen nach Möglichkeit im BDSG als "Grundgesetz des Datenschutzes" verankert werden. (GDD: ra)