Datenschutz in Betrieb und Dienststelle von Marc Hessling, Rechtsanwalt in Mülheim an der Ruhr www.kanzlei-hessling.de Abkürzungsverzeichnis • • • • • • AG = Arbeitgeber BR = Betriebsrat PR = Personalrat BAG = Bundesarbeitsgericht ArbG = Arbeitsgericht OVG = Oberverwaltungsgericht • BVerwG = Bundesverwaltungsgericht • BVerfG = Bundesverfassungsgericht • BGB = Bürgerliches Gesetzbuch Stand: 10.01.2009 • GG = Grundgesetz • BetrVG = Betriebsverfassungsgesetz • BDSG = Bundesdatenschutzgesetz • BPersVG = Bundespersonalvertretungsge setz • AiB = Arbeitsrecht im Betrieb • AP = Arbeitsrechtliche Praxis • CR = Computerreport von Rechtsanwalt Marc Hessling 2 Übersicht • Einführung ins Datenschutzrecht • Auswirkungen auf das Arbeitsrecht • Ausgewählte Rechtsprechung Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 3 Einführung ins Datenschutzrecht www.kanzlei-hessling.de Begriffe und ihre Bedeutung • Gesetzesbestimmung: § 3 BDSG • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), wie z.B. Alter, Anschrift, Vermögen, Äußerungen, Überzeugungen. • Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. • Nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. • Erheben ist das Beschaffen von Daten über den Betroffenen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 5 Begriffe und ihre Bedeutung • Verarbeiten ist das ☞ Speichern, ☞ Verändern, ☞ Übermitteln, ☞ Sperren und ☞ Löschen von personenbezogenen Daten. • Nutzen ist das Verwenden von Daten, soweit nicht ☞ Verarbeiten vorliegt (z.B. Abruf auf Bildschirm). • Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren ☞ Verarbeitung oder ☞ Nutzung. • Verändern ist das inhaltliche Umgestalten personenbezogener gespeicherter Daten. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 6 Begriffe und ihre Bedeutung • Übermitteln ist das Bekannt geben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. • Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere ☞ Verarbeitung oder ☞ Nutzung einzuschränken. • Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. • Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 7 Begriffe und ihre Bedeutung • Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. • Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. • Empfänger ist jede Person oder Stelle, die Daten erhält. • Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle; Dritte sind nicht – der Betroffene sowie – diejenigen Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 8 Begriffe und ihre Bedeutung • Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. • Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, – die an den Betroffenen ausgegeben werden, – auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und – bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 9 Datenschutz – warum? • • Gesetzesbestimmungen: § 1 Abs 1 BDSG, Art 1 und 2 GG Ziel des Datenschutzes ist es, den Menschen vor der Gefährdung durch die nachteiligen Folgen einer Datenverarbeitung zu schützen. Das Gesetz umschreibt seine Zweckbestimmung in § 1 Abs. 1 BDSG wie folgt: – „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird “ • • Den gleichen Zweck verfolgen Datenschutzvorschriften in anderen Gesetzen. Das Persönlichkeitsrecht wird abgeleitet aus den Grundrechten der Verfassung. – „Die Würde des Menschen ist unantastbar Sie zu achten und zu schützen ist die Verpflichtung aller staatlichen Gewalt.“ (Artikel 1 Abs. 1 Grundgesetz) – „Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt “ (Artikel 2 Abs. 1 Grundgesetz) Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 10 Datenschutz – warum? • Das Bundesverfassungsgericht hat dazu im sog. Volkszählungsurteil vom 15. Dezember 1983 (1 BvR 209/83) folgendes festgestellt: – „Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ – „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen “ Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 11 Welche Datenschutzrechtliche Vorschriften gibt es? • Der Datenschutz ist vor allem im Bundesdatenschutzgesetz (BDSG) und in den Landesdatenschutzgesetzen geregelt. • Das Bundesdatenschutzgesetz stellt allgemeine datenschutzrechtliche Grundregeln auf. Diese Grundregeln passen allerdings nicht überall. Und sie sind nicht überall ausreichend. Man braucht nur etwa an die Gesundheits- und Sozialbehörden, die Meldeämter, die Polizei und den Verfassungsschutz zu denken. Darum gibt es zahlreiche datenschutzrechtliche Spezialregelungen in anderen Gesetzen, z.B.: – Sozialgesetzbuch (SGB), Straßenverkehrsgesetz, Melderechtsrahmengesetz, Bundeszentralregistergesetz, Ausländerzentralregistergesetz, Bundesverfassungsschutzgesetz, Bundespolizeigesetz, Telekommunikationsgesetz, Postgesetz, Informations- und Kommunikationsdienste-Gesetz und andere mehr. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 12 Das Bundesdatenschutzgesetz www.kanzlei-hessling.de Anwendungsbereich • Das Bundesdatenschutzgesetz gilt uneingeschränkt für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen (Private). Nur sehr eingeschränkt gilt es für die öffentlichen Stellen der Länder sowie für Rundfunkanstalten. Es findet keine Anwendung im Bereich der Kirchen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 14 Grundsatz: Es ist alles verboten, was nicht ausdrücklich erlaubt ist! • Gesetzesbestimmungen: §§ 4, 4a BDSG • Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gilt als allgemeiner Grundsatz ein so genanntes Verbot mit Erlaubnisvorbehalt. Das bedeutet, die Erhebung, Verarbeitung und Nutzung von Daten sind verboten, es sei denn, – sie sind durch das BDSG oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder – der Betroffene hat dazu ausdrücklich seine Einwilligung erklärt. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 15 Grundsatz: Es ist alles verboten, was nicht ausdrücklich erlaubt ist! • Soll eine Einwilligung Grundlage für eine Erhebung, Verarbeitung oder Nutzung sein, ist zu beachten: – Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. – Der Betroffene ist vorher über die Tragweite seiner Einwilligung aufzuklären (z.B. über den Zweck der Erhebung, Verarbeitung oder Nutzung); soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen ist er auch darüber zu informieren, was geschieht, wenn er nicht einwilligt (z.B. dass Ansprüche verloren gehen können). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 16 Der Zweckbindungsgrundsatz • Gesetzesbestimmungen: §§ 14, 28, 29 BDSG • Die Speicherung, Veränderung und Nutzung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn – dies zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und – sie für die Zwecke erfolgt, für die die Daten erhoben worden sind (falls keine Erhebung voranging: für die sie gespeichert worden sind). Hiermit wird der Zweckbindungsgrundsatz angesprochen. Das heißt, dass personenbezogene Daten grundsätzlich nur zu den Zwecken verarbeitet werden dürfen, für die sie erhoben beziehungsweise gespeichert worden sind. Von diesem Grundsatz sieht das Gesetz aber eine Reihe zum Teil weit reichender Ausnahmen vor. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 17 Welche Ausnahmen von der Zweckbindung gibt es? • Die Verarbeitung personenbezogener Daten für einen anderen Zweck ist dann zulässig, wenn – – – – eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, der Betroffene eingewilligt hat, es offensichtlich im Interesse des Betroffenen liegt, Angaben des Betroffenen überprüft werden müssen, weil begründete Zweifel an ihrer Richtigkeit bestehen, – die Daten allgemein zugänglich sind oder veröffentlicht werden dürften (aber nicht, wenn das entgegenstehende schutzwürdige Interesse des Betroffenen offensichtlich überwiegt), • oder wenn sie – zur Gefahrenabwehr, oder zur Wahrung erheblicher Belange des Gemeinwohls zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, – zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte eines anderen oder – zur Durchführung wissenschaftlicher Forschung (nach näher bestimmten Voraussetzungen) erforderlich ist. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 18 Der Zweckbindungsgrundsatz • Für die nicht-öffentlichen Stellen gilt der Zweckbindungsgrundsatz ebenfalls. • Bereits bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (vgl. § 28 Abs. 1 Satz 2 BDSG). Dies gilt auch für die geschäftsmäßige Datenverarbeitung (vgl. § 29 Abs. 1 Satz 2 BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 19 Welche Ausnahmen von der Zweckbindung gibt es? • Einen Ausnahmekatalog zu dem Grundsatz der Zweckbindung gibt es auch für den nichtöffentlichen Bereich: Danach kommt eine Verwendung für andere Zwecke in Betracht – zur Wahrung berechtigter Interessen der verantwortlichen Stelle, – wenn die Daten allgemein zugänglich sind oder veröffentlicht werden dürften, – zu wissenschaftlichen Zwecken, – für Zwecke der Werbung, der Markt- oder Meinungsforschung bei listenmäßiger Übermittlung. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 20 Die Datenerhebung • Gesetzesbestimmungen: §§ 4, 13, 28, 29 BDSG • Die Erhebung von Daten ist sowohl bei öffentlichen Stellen als auch bei den nicht-öffentlichen Stellen von den Zulässigkeitsregelungen für die Datenverarbeitung umfasst. • Die Datenerhebung darf nur in dem erforderlichen Umfang erfolgen. • Bei den öffentlichen Stellen heißt dies, dass sie für die Erfüllung der gesetzlichen Aufgaben notwendig sein muss. • Im nicht-öffentlichen Bereich wird der größte Teil der personenbezogenen Daten von den Stellen als Mittel für die Erfüllung eigener Geschäftszwecke verwendet. Dies ist z.B. der Fall bei den Kundendaten einer Firma, den Daten über das eigene Personal, über die Lieferanten und andere Geschäftspartner. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 21 Die Datenerhebung • Bei einem Vertragsverhältnis (oder vertragsähnlichen Vertrauensverhältnis) mit dem Betroffenen (etwa zwischen Bank und Bankkunden, Arzt und Patienten, Versicherung und Versicherten; entsprechend eingeschränkt auch schon vor Vertragsabschluss und nach dessen Ende) ist Maßstab für die Datenerhebung der Vertrag und dessen Zweck. • Die Datenerhebung kann auch erforderlich sein zur Wahrung berechtigter Interessen der verantwortlichen Stelle. Hier darf kein Grund zu der Annahme bestehen, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung das Interesse der verantwortlichen Stelle an der Datenerhebung überwiegen. • Auch wenn Daten allgemein zugänglich sind oder veröffentlicht werden dürften, können sie für eigene Geschäftszwecke erhoben werden, es sei denn, schutzwürdige Interessen des Betroffenen würden gegenüber den berechtigten Interessen der verantwortlichen Stelle offensichtlich überwiegen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 22 Die Datenerhebung • Die Daten sind grundsätzlich beim Betroffenen zu erheben. Es ist ihm mitzuteilen, zu welchem Zweck dies geschieht. Nur in Ausnahmefällen dürfen die Daten bei anderen und ohne Kenntnis des Betroffenen erhoben werden. • Ist der Betroffene gegenüber einer öffentlichen Stelle zur Auskunft verpflichtet (z.B. bei amtlichen Statistiken), so muss ihm gesagt werden, nach welchen Rechtsvorschriften das der Fall ist. Er ist auch aufzuklären, wenn er ohne die von ihm verlangten Auskünfte seine Ansprüche nicht durchsetzen kann oder ihm sonstige Rechtsvorteile entgehen. • Andernfalls muss dem Betroffenen gesagt werden, dass die Auskunft freiwillig ist. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 23 Die Datenerhebung • Ohne Mitwirkung des Betroffenen (z.B. durch Anfragen bei Behörden oder anderen Stellen) dürfen Daten nur erhoben werden, wenn – eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt (z.B. Einholung eines Strafregisterauszugs nach dem Bundeszentralregistergesetz) oder – die zu erfüllende Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht und keine Beeinträchtigung überwiegender schutzwürdiger Interessen des Betroffenen zu erwarten ist, – die Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand zur Folge hätte (z.B., weil er sehr schwer zu finden ist) und auch hier keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 24 Die Datenübermittlung • Gesetzesbestimmungen: §§ 4b, 4c, 15, 16, 28 -30, 39 BDSG • Für öffentliche Stellen kennt das Gesetz unterschiedliche Regelungen, je nachdem, ob an – eine andere öffentliche Stelle oder – eine nicht-öffentliche Stelle • übermittelt wird. • Werden Daten zur Erfüllung der eigenen Aufgaben an eine nicht-öffentliche Stelle übermittelt, so gelten dieselben Regelungen wie bei einer Übermittlung an eine öffentliche Stelle. • Besondere Regelungen gelten bei einer Datenübermittlung ins Ausland (siehe §§ 4b, 4c BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 25 Die vorherige Kontrolle risikoreicher Datenverarbeitung (sog. Vorabkontrolle) • Gesetzesbestimmungen: §§ 4d Abs 5 und 6, 4g und 4e BDSG • Für automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, sieht das BDSG eine Prüfung vor Beginn der Verarbeitung (Vorabkontrolle) vor (vgl. § 4d Abs. 5 BDSG). Beispielhaft – nicht abschließend – nennt das Gesetz zwei Fallgestaltungen, in denen die Vorabkontrolle notwendig ist: – bei der Verarbeitung von personenbezogenen Daten besonderer Art (§ 3 Abs. 9 BDSG), – bei Verfahren, die dazu dienen, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 26 Die vorherige Kontrolle risikoreicher Datenverarbeitung (sog. Vorabkontrolle) • Die Vorabkontrolle ist nicht durchzuführen in folgenden Fällen: – gesetzliche Verpflichtung zur Durchführung der Datenverarbeitung, – Einwilligung des Betroffenen, – Erhebung, Verarbeitung oder Nutzung im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses. • Zuständig für die Durchführung der Vorabkontrolle ist der Datenschutzbeauftragte. Dem Datenschutzbeauftragten sind von der verantwortlichen Stelle für die Datenverarbeitung vor der Durchführung der Vorabkontrolle bestimmte Informationen zur Verfügung zu stellen (vgl. § 4g Abs. 2 Satz 1 i.V.m. § 4e Satz 1 BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 27 Technische und organisatorische Maßnahmen des Datenschutzes • Gesetzesbestimmungen: §§ 9, 10 BDSG • Ein sehr wichtiger, oft arbeits- und kostenintensiver Bereich des Datenschutzes sind die technischen und organisatorischen Maßnahmen für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die getroffen werden müssen, damit diese vor Missbrauch, Fehlern und Unglücksfällen möglichst sicher sind. Welche Maßnahmen notwendig sind, hängt nicht nur von der Art der Daten ab, sondern ebenso von der Aufgabe, den organisatorischen Bedingungen, den räumlichen Verhältnissen, der personellen Situation und anderen Rahmenbedingungen. Das Gesetz verzichtet deshalb darauf, bestimmte einzelne Maßnahmen zwingend vorzuschreiben, sondern verlangt nur allgemein, – „die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften dieses Gesetzes zu gewährleisten“. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 28 Technische und organisatorische Maßnahmen des Datenschutzes • Welche Wirkung diese Maßnahmen im Bereich der automatisierten Verarbeitung haben müssen, legt das Gesetz in Form einer Anlage zu § 9 BDSG katalogmäßig fest. Die Maßnahmen müssen beispielsweise geeignet sein, – Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren, – zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können, – zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich im Rahmen ihrer Zugriffsberechtigung zugreifen können und personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, – zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 29 Technische und organisatorische Maßnahmen des Datenschutzes • Während das Gesetz allgemein in Bezug auf technische Fragen eher zurückhaltend ist, stellt es für die Einrichtung eines automatisierten Verfahrens zum Abruf personenbezogener Daten durch Dritte genaue Anforderungen auf, weil es darin eine besonders einschneidende Maßnahme sieht. • Damit die Zulässigkeit des Abrufverfahrens kontrolliert werden kann, müssen die beteiligten Stellen folgendes schriftlich festlegen: – – – – Anlass und Zweck des Abrufverfahrens, Dritte, an die übermittelt wird, Art der zu übermittelnden Daten, nach § 9 BDSG erforderliche technische und organisatorische Maßnahmen. • Die Einrichtung des automatisierten Abrufverfahrens ist nur zulässig, wenn es unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen einerseits und der Aufgaben oder Geschäftszwecke der beteiligten Stellen andererseits angemessen ist. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 30 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Gesetzesbestimmungen: §§ 4f, 4g BDSG • Mit den §§ 4f, 4g BDSG werden einheitliche Bestimmungen für die Institution eines Beauftragten für den Datenschutz im öffentlichen wie im nicht-öffentlichen Bereich geschaffen. • Die behördlichen und betrieblichen Beauftragten für den Datenschutz sind wichtige Ansprechpartner in Fragen des Datenschutzes für die Bürgerinnen und Bürger sowie die Beschäftigten in den Behörden und Unternehmen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 31 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Alle Behörden im Anwendungsbereich des Bundesdatenschutzgesetzes müssen einen behördlichen Beauftragten für den Datenschutz bestellen. Je nach Struktur der Stelle genügt auch die Bestellung eines Beauftragten für mehrere Bereiche. • Bei den nicht-öffentlichen Stellen hängt die Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz von der Größe der Stelle und der Zahl der mit der Verarbeitung personenbezogener Daten beschäftigten Arbeitnehmer ab. Die freiwillige Bestellung eines Datenschutzbeauftragten mit der Folge, dass ggf. eine sonst erforderliche Meldepflicht bei der Aufsichtsbehörde entfällt, ist immer möglich. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 32 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Bei der geschäftsmäßigen Datenverarbeitung zum Zweck der Übermittlung oder anonymisierten Übermittlung muss immer ein Datenschutzbeauftragter bestellt werden. Dies gilt auch stets, wenn wegen besonders risikoreicher Datenverarbeitung eine Vorabkontrolle durchgeführt werden muss. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 33 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Der Beauftragte für den Datenschutz hat nach dem Gesetz eine herausgehobene Stellung, die sich darin zeigt, dass er dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen ist. Um seine Unabhängigkeit in der Wahrnehmung seiner fachlichen Aufgaben zu gewährleisten, bestimmt das Gesetz, dass er in der Ausübung seiner Fachkunde weisungsfrei ist. Damit kann ihm niemand, auch nicht der Leiter der Stelle, vorschreiben, wie er datenschutzrechtliche Fragen bewertet. Der Leiter der Stelle kann sich aber über das Votum des Datenschutzbeauftragten hinwegsetzen. Denn letztlich trägt er die Verantwortung für die datenverarbeitende Stelle. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 34 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Um der hohen Bedeutung des Datenschutzbeauftragten für einen wirkungsvollen Datenschutz Rechnung zu tragen, darf nach dem Gesetz für diese Aufgabe nur bestellt werden, wer die erforderliche „Fachkunde und Zuverlässigkeit“ besitzt. Der fachkundige Datenschutzbeauftragte muss also sowohl die technische als auch die rechtliche Seite seiner Aufgaben kennen und gute Kenntnisse in allen Bereichen haben, die für die Organisation, in der er arbeitet, von Bedeutung sind. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 35 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Besonders bedeutsam für alle, die sich mit einer datenschutzrechtlichen Beschwerde oder Frage an ihn wenden, ist die gesetzliche Verschwiegenheitspflicht des Datenschutzbeauftragten. Über die Identität des Betroffenen (Beschwerdeführers) oder Umstände, die Rückschlüsse hierüber erlauben, darf er keine Auskünfte geben. Eine Ausnahme gilt nur, wenn die betroffene Person ihn von seiner Verschwiegenheitsverpflichtung befreit. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 36 Der Datenschutzbeauftragte – verpflichtend vorgeschrieben im öffentlichen Bereich, eine bewährte Institution in der Privatwirtschaft • Die öffentlichen und nicht-öffentlichen Stellen müssen dem Datenschutzbeauftragten eine Übersicht über die in § 4e Satz 1 BDSG genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung stellen. Sie sind auch im übrigen verpflichtet, ihn insgesamt bei der Erfüllung seiner Aufgaben zu unterstützen. • Zum Schutz des Datenschutzbeauftragten, auch mit dem Ziel der Absicherung seiner Unabhängigkeit, bestimmt das Gesetz, dass er nicht wegen der Erfüllung seiner Aufgaben benachteiligt werden darf. Seine Bestellung kann nur unter erschwerten Bedingungen widerrufen werden. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 37 Die Aufgaben des Datenschutzbeauftragten • Die Aufgaben des Datenschutzbeauftragten sind vielfältig. Insbesondere muss er: – auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinwirken, – die ordnungsgemäße Programmanwendung überwachen, – die bei der Verarbeitung personenbezogener Daten eingesetzten Mitarbeiterinnen und Mitarbeiter mit den Anforderungen des Datenschutzes vertraut machen, – zum Schutz des informationellen Selbstbestimmungsrechtes die für besonders risikoreiche Datenverarbeitungen erforderliche Vorabkontrolle durchführen, – die öffentlich zugänglichen Angaben des Verfahrensverzeichnisses (vgl. § 4e Satz 1, Nr. 1 – 8 BDSG) in geeigneter Weise auf Antrag jedermann verfügbar machen. Einer besonderen Berechtigung oder Begründung bedarf es für denjenigen, der von diesem Recht Gebrauch machen möchte, nicht. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 38 Das Datenschutzaudit • Gesetzesbestimmung: § 9a BDSG • Mit dem sogenannten „Datenschutzaudit“ können sowohl Anbieter von Datenverarbeitungssystemen und –programmen als auch datenverarbeitende Stellen ihre Datenschutzkonzepte sowie ihre technischen Einrichtungen mit einem datenschutzrechtlichen Gütesiegel versehen lassen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 39 Besonderheiten bei der Datenverarbeitung durch nicht-öffentliche Stellen, Privatwirtschaft, Vereine etc. • • Gesetzesbestimmung: § 28 BDSG Eine Besonderheit gilt bei der Datenverarbeitung für eigene Zwecke durch nichtöffentliche Stellen für die sogenannte listenmäßige oder sonst zusammengefasste Übermittlung von Daten für Zwecke der Werbung, der Markt- oder Meinungsforschung. Danach gestattet der Gesetzgeber die Übermittlung eines bestimmten Kataloges von Daten. Dieser Katalog besteht aus – – – – – – – • einer nicht näher bestimmten Angabe: Zugehörigkeit des Betroffenen zu einer bestimmten Personengruppe (so genanntes freies Merkmal), Berufs-, Branchen- oder Geschäftsbezeichnungen, Namen, Titel, Akademische Grade, Anschrift, Geburtsjahr. Übermittlungsfähig wären danach z.B. im Rahmen einer listenmäßigen Übermittlung die katalogmäßig genannten Daten zusätzlich zu der Angabe, dass es sich bei der Person, deren Daten übermittelt werden, um einen Wanderer handelt. Wenn dann außerdem noch übermittelt würde, welche Automarke der Wanderer fährt, wäre aber der zulässige Umfang bei der listenmäßigen Übermittlung bereits überschritten. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 40 Besonderheiten bei der Datenverarbeitung durch nicht-öffentliche Stellen, Privatwirtschaft, Vereine etc. • Eine listenmäßige Übermittlung ist nicht zulässig, – wenn es um die folgenden sensiblen Angaben geht: • strafbare Handlungen, • Ordnungswidrigkeiten, • arbeitsrechtliche Verhältnisse – und, wenn diese Angaben im Zusammenhang mit einem Vertragsverhältnis (oder vertragsähnlichem Vertrauensverhältnis) gespeichert worden sind. • Für andere sensitive Daten wie die gesundheitlichen Verhältnisse oder die politischen Meinungen und religiösen Überzeugungen gelten die besonderen Regelungen für die Übermittlung besonderer Arten personenbezogener Daten (vgl. § 28 Abs. 6 BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 41 Die geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung • Gesetzesbestimmungen: §§ 29, 30 BDSG • Auch die geschäftsmäßige Datenverarbeitung unterliegt den allgemeinen Zulässigkeitsvoraussetzungen. Geschäftsmäßige Datenverarbeitung liegt vor, wenn im Rahmen einer auf Dauer angelegten Tätigkeit die Datenverarbeitung als solche den Geschäftszweck bildet. Das Gesetz selbst nennt als Beispiele die geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung, wenn dies der Werbung, der Tätigkeit von Auskunfteien, dem Adresshandel oder der Markt- und Meinungsforschung dient. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 42 Rechte der Bürgerinnen und Bürger • Welche Rechte die Bürgerinnen und Bürger im Zusammenhang mit der Erhebung, Verarbeitung und Nutzung ihrer Daten haben, regelt das BDSG unter der Überschrift „Rechte des Betroffenen“. • Aber auch an anderer Stelle trifft das BDSG Regelungen für bestimmte Bereiche, z.B. für die Videoüberwachung, bei denen sich aus den Pflichten für die datenverarbeitenden Stellen spiegelbildlich die Rechte der Bürgerinnen und Bürger ergeben. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 43 Das Recht auf Auskunft • Gesetzesbestimmungen: §§ 19, 19a, 33, 34 BDSG • Jeder – unabhängig von Alter, Wohnsitz und Nationalität – hat das Recht auf Auskunft über die zu seiner Person gespeicherten Daten. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 44 Welche Auskunft können Sie verlangen? • Über die zu Ihrer Person gespeicherten Daten, einschließlich der Angabe, woher sie stammen und an wen sie weitergegeben werden. • über den Zweck der Speicherung (d.h. die betreffende Verwaltungsaufgabe oder den speziellen Geschäftszweck). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 45 Wie erhalten Sie Auskunft? • Es empfiehlt sich, die Auskunft schriftlich anzufordern. Zur Legitimation genügt es in der Regel, die Kopie eines Personaldokuments beizulegen. Einschreiben ist nicht erforderlich. • Bei persönlicher Vorsprache wird eine sofortige Erledigung oft nicht möglich sein. • Wenn Sie anrufen, kann man Sie meist nicht sicher identifizieren. Deshalb gilt der Grundsatz: Keine telefonische Datenauskunft. • Schreiben Sie möglichst genau, worüber Sie Auskunft wünschen (also z.B. „meine Daten im Zusammenhang mit Wohngeld“ oder „im Zusammenhang mit unserem Mietvertrag“, aber nicht „alles, was die Stadtverwaltung über mich hat“). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 46 Was kostet eine Auskunft? • Grundsätzlich brauchen Sie für die Auskunft nichts zu bezahlen. Es gibt hierzu aber Ausnahmen: – Schriftliche Auskünfte von Kreditauskunfteien und ähnlichen Einrichtungen, die Sie gegenüber Dritten wirtschaftlich nutzen können (etwa um Ihre Bonität nachzuweisen). Das geforderte Entgelt darf nicht höher sein als die entstandenen direkt zurechenbaren Kosten. Aber auch bei derartigen Auskünften brauchen Sie dafür nichts zu bezahlen, wenn besondere Umstände dafür sprechen, dass Daten unrichtig oder unzulässig gespeichert sind oder sich dies aus der Auskunft ergibt. – Bei einer mündlichen Auskunft oder einer Auskunft auf einem Blatt ohne Namensangabe entstehen Ihnen keine Kosten. Auf die Möglichkeit, durch persönliche Kenntnisnahme die Auskunft unentgeltlich zu erhalten, muss die speichernde Stelle Sie ausdrücklich hinweisen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 47 Was ist an Besonderheiten zu beachten? • Bei öffentlichen Stellen – Über personenbezogene Daten in Akten erhalten Sie nur Auskunft, wenn • Sie Angaben machen, die das Auffinden der Daten ermöglichen, und • der Arbeitsaufwand nicht außer Verhältnis zu Ihrem Informationsinteresse steht. Legen Sie deshalb dar, warum Ihnen die Auskunft wichtig ist. – Eine Auskunft darüber, ob Daten an einen Nachrichtendienst (Bundesamt für Verfassungsschutz, Militärischer Abschirmdienst und Bundesnachrichtendienst) übermittelt wurden, ist nur mit dessen Zustimmung zugelassen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 48 Was ist an Besonderheiten zu beachten? • Bei nicht-öffentlichen Stellen • Von Kreditauskunfteien und anderen Stellen, die geschäftsmäßig Daten zum Zweck der Übermittlung speichern, können Sie Auskunft auch über Daten verlangen, die weder in einer automatisierten Verarbeitung noch in einer nicht-automatisierten Datei gespeichert sind (z.B. ungeordnete Akten oder Hefter). • Diese Stellen müssen Ihnen auch sagen, woher sie Ihre Daten haben und an wen sie die Daten weitergeben, es sei denn, die Stelle könnte geltend machen, dass ihr Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber Ihrem Auskunftsinteresse überwiegt. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 49 In welchen Fällen hat man keinen Anspruch auf Auskunft? • Öffentliche Stellen verweigern die Auskunft, soweit – sonst die Gefahr besteht, dass sie ihre Aufgabe nicht ordnungsgemäß erfüllen können, z.B. wenn laufende polizeiliche Ermittlungen gefährdet würden, – es notwendig ist zum Schutz der öffentlichen Sicherheit oder Ordnung (kommt nur selten vor) oder – die Daten oder die Tatsache, dass die Stelle sie speichert, geheim gehalten werden müssen (aus gesetzlichen Gründen oder im Geheimhaltungsinteresse eines Dritten, z.B. Adoptionsgeheimnis; im übrigen sehr selten), und deswegen das Interesse des Betroffenen an der Auskunft zurücktreten muss. Die Auskunft darf aber nie pauschal abgelehnt werden, sondern nur nach sorgfältiger Abwägung im Einzelfall. • Nicht-öffentliche Stellen dürfen eine Auskunft nur in Fällen ablehnen, in denen auch keine Benachrichtigungspflicht besteht (Einzelheiten in § 34 Abs. 4 i.V.m. § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 – 7 BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 50 Was tun, wenn die Auskunft verweigert wird? • Sie haben grundsätzlich Anspruch auf eine vollständige Auskunft, d.h. alle Angaben, für die nach dem Gesetz grundsätzlich eine Auskunftsverpflichtung besteht, müssen Ihnen mitgeteilt werden. Soweit die auskunftspflichtige Stelle von einer der oben beschriebenen gesetzlichen Möglichkeiten Gebrauch macht und nur teilweise Auskunft erteilt, muss sie auf die Unvollständigkeit der Auskunft ausdrücklich hinweisen, damit Sie die Möglichkeit haben, eine Überprüfung zu verlangen. • Im Allgemeinen ist die Auskunft erteilende Stelle auch verpflichtet zu begründen, aufgrund welcher gesetzlichen Bestimmung und aufgrund welcher Tatsachen sie eine Auskunft über bestimmte Punkte ablehnt. Eine solche Begründung ist nur entbehrlich, wenn sonst der mit der Auskunftsverweigerung verfolgte Zweck (z.B. laufende polizeiliche Ermittlungen nicht zu behindern) gefährdet würde. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 51 Was tun, wenn die Auskunft verweigert wird? • Haben Sie Zweifel, ob Ihnen korrekt Auskunft erteilt worden ist, können Sie sich an die zuständige Datenschutzkontrollinstitution wenden. Fügen Sie Ihren Schriftwechsel in Kopie bei. Ihr Vorgang wird dann umfassend überprüft, und Sie erhalten in jedem Fall Bescheid, ob Ihre Rechte beachtet wurden. • Sie haben außerdem die Möglichkeit einer gerichtlichen Klage. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 52 Das Einsichtsrecht in das Verfahrensverzeichnis • Gesetzliche Bestimmungen: §§ 4g Abs 2, 4d sowie 4e, 38 Abs 2 BDSG • Die Behörden und öffentlichen Stellen des Bundes führen ebenso wie die verantwortlichen Stellen im nicht-öffentlichen Bereich eine Übersicht über ihre automatisierten Verarbeitungen, in denen personenbezogene Daten gespeichert werden. Diese kann von jedermann eingesehen werden. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 53 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung • Die Benachrichtigung – Gesetzesbestimmungen: §§ 19 a, 33 BDSG – Ein anderes wichtiges Mittel, damit Sie wissen (können), wer welche Daten über Sie verarbeitet, ist die Benachrichtigung. – Jede verantwortliche Stelle ist verpflichtet, alle Betroffenen individuell zu benachrichtigen, über die sie Daten ohne deren Kenntnis erhoben hat und deren Daten sie speichern oder verarbeiten möchte. Der Zeitpunkt der Benachrichtigung ist unterschiedlich. Bei öffentlichen Stellen muss die Unterrichtung, sofern eine Übermittlung vorgesehen ist, spätestens bei der ersten Übermittlung erfolgen. Im nicht-öffentlichen Bereich (Privatwirtschaft) benachrichtigen die Stellen, die geschäftsmäßig personenbezogene Daten verarbeiten, ebenfalls erst bei der erstmaligen Übermittlung. Die nicht-öffentlichen Stellen, die personenbezogene Daten für eigene Zwecke verarbeiten, müssen bereits zum Zeitpunkt der ersten Speicherung benachrichtigen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 54 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung – Die Benachrichtigung muss umfassen: • Angabe der verantwortlichen Stelle, • die Tatsache, dass erstmals Daten über die Person, die benachrichtigt wird, gespeichert oder übermittelt werden, und • die Art der Daten, • die Zweckbestimmung der Erhebung bei Verarbeitung oder Nutzung • sowie die Empfänger oder Kategorien von Empfängern, soweit der Betroffene nicht mit der Übermittlung an diese rechnen muss. – In bestimmten im Gesetz genannten Fällen erfolgt keine Benachrichtigung, etwa weil eine überwiegende Geheimhaltungspflicht besteht, die Unterrichtung einen unverhältnismäßigen Aufwand erfordert oder der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat (vgl. hierzu im Einzelnen §§ 19a Abs. 2, 33 Abs. 2 BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 55 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung • Das Recht auf Berichtigung – Gesetzesbestimmungen: §§ 20, 35 BDSG – Jede Stelle ist verpflichtet, unrichtige Daten zu berichtigen. Es liegt aber auch am Betroffenen selbst, darauf hinzuweisen, wenn Daten unrichtig oder überholt sind. – In nicht dateimäßig strukturierten Akten werden unrichtige Daten nicht durch richtige ausgetauscht, es wird aber ein Berichtigungsvermerk beigefügt. Ebenso ist zu vermerken, wenn der Betroffene die Richtigkeit bestreitet. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 56 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung • Wann sind personenbezogene Daten zu löschen? – Von öffentlichen Stellen, wenn • ihre Speicherung unzulässig ist, etwa weil schon die Erhebung unzulässig war, oder • die Kenntnis der Daten für die Aufgabenerfüllung nicht mehr erforderlich ist. – Von nicht-öffentlichen Stellen, wenn • die Speicherung unzulässig ist, etwa weil schon die Erhebung unzulässig war, oder • es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, • strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, oder • für eigene Zwecke verarbeitete Daten für die Erfüllung des Speicherungszwecks nicht mehr erforderlich sind, oder • geschäftsmäßig zum Zweck der Übermittlung verarbeitete Daten aufgrund einer am Ende des vierten Kalenderjahres nach der ersten Speicherung vorzunehmenden Prüfung nicht mehr erforderlich sind (z.B. bei Auskunfteien und Adressverlagen). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 57 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung • Wann sind personenbezogene Daten zu sperren? – Personenbezogene Daten sind immer dann zu sperren, wenn einer fälligen Löschung besondere Gründe entgegenstehen, etwa • gesetzlich, satzungsmäßig oder vertraglich festgelegte Aufbewahrungsfristen, • schutzwürdige Interessen des Betroffenen, etwa weil ihm Beweismittel verloren gingen, oder • ein unverhältnismäßig hoher Aufwand wegen der besonderen Art der Speicherung. – Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn dies • zu wissenschaftlichen Zwecken, • zur Behebung einer bestehenden Beweisnot oder • aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 58 Das Widerspruchsrecht • Gesetzesbestimmungen § 20 Abs 5, 35 Abs 5 BDSG • Das Widerspruchsrecht nach § 20 Abs. 5 und § 35 Abs. 5 BDSG richtet sich gegen rechtmäßige Datenverarbeitungen. • Der Widerspruch ist begründet, – sofern besondere Umstände in der Person des Betroffenen vorliegen, – und das schutzwürdige Interesse des Betroffenen das Interesse der verantwortlichen Stelle an der Erhebung, Verarbeitung oder Nutzung der entsprechenden personenbezogenen Daten überwiegt. • Achtung: Es gibt kein Widerspruchsrecht, wenn eine Rechtsvorschrift eine Verpflichtung zur Erhebung, Verarbeitung oder Nutzung vorschreibt. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 59 Die Rechte bei automatisierten Einzelentscheidungen • Gesetzesbestimmung: § 6a BDSG • Die Maschine darf nicht über den Menschen entscheiden! Diesen Grundsatz setzt das BDSG in der Regelung zur automatisierten Einzelentscheidung in § 6a BDSG um. • Danach dürfen Entscheidungen, – die für den Betroffenen eine rechtliche Folge nach sich ziehen – oder ihn erheblich beeinträchtigen, • nicht ausschließlich auf automatisierte Verarbeitung personenbezogener • Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient. Gemeint sind automatisierte Entscheidungsverfahren, die beispielsweise die berufliche Leistungsfähigkeit, die Kreditwürdigkeit, die Zuverlässigkeit oder eine sonstige Verhaltensweise betreffen können. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 60 Die Rechte bei automatisierten Einzelentscheidungen • Ein Beispiel ist das sog. „Scoring-Verfahren“, das u. a. von Kreditauskunfteien verwandt wird. ScoringVerfahren, auch Punktwertverfahren genannt, stellen eine auf mathematisch-statistischen Verfahren gründende Auswertungsmethode dar, die eine Mehrzahl von Menschen oder Merkmalen in eine Reihenfolge nach einem oder mehreren Kriterien bringt. Der ermittelte Score-Wert wird dann als Risikoprognose an Vertragspartner weitergegeben. Solche Verfahren können durchaus zulässig sein. Maßgeblich ist, dass eine für den Betroffenen negative Entscheidung nicht allein auf einen Score-Wert gestützt wird. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 61 Die Rechte bei automatisierten Einzelentscheidungen • Das Verbot der automatisierten Entscheidung gilt nicht, – wenn die Entscheidung im Rahmen eines Vertragsverhältnisses oder sonstigen Rechtsverhältnisses ergeht und dem Anliegen des Betroffenen stattgegeben wird, – wenn die berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet sind – und der Betroffene von der verantwortlichen Stelle über die Tatsache des Vorliegens einer automatisierten Entscheidung (nach § 6a Abs. 1 BDSG) informiert wird. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 62 Die Rechte bei automatisierten Einzelentscheidungen • Als eine geeignete Maßnahme zur Sicherung der Interessen des Betroffenen gilt insbesondere, wenn ihm die Möglichkeit eingeräumt wird, seinen Standpunkt geltend zu machen und die verantwortliche Stelle daraufhin ihre Entscheidung erneut überprüft. Die erneute Überprüfung darf dann nicht in ausschließlich automatisierter Form erfolgen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 63 Die Rechte beim Einsatz von Videoüberwachung • • • • Gesetzesbestimmung: § 6b BDSG § 6b bestimmt die Voraussetzungen, unter denen die „Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen“ (Videoüberwachung) zulässig ist. Unter „öffentlich zugänglichem Raum“ ist der Raum zu verstehen, in dem sich jedermann berechtigt aufhalten kann, ohne in irgendwelche Rechtsbeziehungen zum Inhaber des Hausrechts dieses Raumes treten zu müssen. Im Einzelfall bedarf es der Auslegung, was darunter zu fassen ist. Beispiele für öffentlich zugängliche Räume sind Kaufhäuser, Bürgersteige oder auch Einkaufspassagen. Nicht erfasst ist die Beobachtung im Arbeitnehmerbereich innerhalb von Unternehmen oder Behörden (Merke: hier kann die Überwachung als Verstoß gegen das allgemeine Persönlichkeitsrecht unwirksam sein). Erlaubt ist die Überwachung – – – • zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke, soweit sie erforderlich ist. Das bedeutet, dass immer zu prüfen ist, ob es für den angestrebten Zweck wirklich einer Videoüberwachung bedarf, welche Alternativen es hierzu möglicherweise gibt, und ob nicht in das Persönlichkeitsrecht weniger einschneidende Maßnahmen infrage kommen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 64 Die Rechte beim Einsatz von Videoüberwachung • Eine heimliche Beobachtung ist unzulässig. Die Videoüberwachung muss durch geeignete Maßnahmen kenntlich gemacht werden. Da bei einer Videoüberwachung öffentlich zugänglicher Räume damit gerechnet werden muss, dass Menschen verschiedener Nationalitäten erfasst werden, sollten die Hinweisschilder mehrsprachig sein. Die hier zu stellenden Anforderungen müssen nach der Lage im Einzelfall beurteilt werden. • Wenn die durch Videoüberwachung erhobenen Daten einer bestimmten Person zugeordnet werden, muss diese Person über die Verarbeitung oder Nutzung entsprechend §§ 19a und 33 BDSG benachrichtigt werden. So ist gewährleistet, dass diese von der Überwachung und der anschließenden Auswertung Kenntnis erhält und selbst für die Wahrung ihrer Rechte eintreten kann. • Daten, die nicht mehr für den angestrebten Zweck der Überwachung benötigt werden, müssen unverzüglich gelöscht werden. Dasselbe gilt, wenn schutzwürdige Interessen des Betroffenen der weiteren Speicherung entgegenstehen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 65 Das Recht auf Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie anderer Kontrollinstitutionen • • • Gesetzesbestimmungen: §§ 21, 38 BDSG Wer annimmt, bei der Erhebung, Verarbeitung oder Nutzung seiner persönlichen Daten durch öffentliche Stellen des Bundes oder ein Telekommikations- oder Postdienstunternehmen in seinen Rechten verletzt worden zu sein, kann sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden. Als unabhängige Beschwerdeinstanz mit umfassenden Kontrollbefugnissen geht der Bundesbeauftragte allen Eingaben nach und unterrichtet den Betroffenen vom Ergebnis. Da das Bundesdatenschutzgesetz im Bereich der Kirchen und bei kirchlichen Einrichtungen mit Blick auf das verfassungsrechtlich garantierte Selbstbestimmungsrecht von Religionsgemeinschaften nicht gilt, haben die Evangelische Kirche in Deutschland, die Evangelischen Landeskirchen und die Bistümer der Katholischen Kirche in Deutschland eigene Datenschutzvorschriften erlassen, die auch die Einrichtung kirchlicher Datenschutzbeauftragten vorsehen. An diese kann man sich mit Anfragen und Beschwerden datenschutzrechtlicher Art wenden. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 66 Das Recht auf Schadensersatz • Gesetzesbestimmungen: §§ 7, 8 BDSG • Wenn eine verantwortliche Stelle einem Betroffenen durch eine unzulässige oder unrichtige Datenverarbeitung einen Schaden zufügt, ist sie zum Ersatz des Schadens verpflichtet (vgl. § 7 BDSG). Diese Schadensersatzverpflichtung gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. • Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen auch der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen (Schmerzensgeld). Der Schmerzensgeldanspruch bei der verschuldensabhängigen Haftung ergibt sich aus dem Bürgerlichen Gesetzbuch (BGB). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 67 Das Recht auf Schadensersatz • Die verantwortliche Stelle kann sich von der Haftung befreien, wenn sie den Nachweis erbringt, dass sie den Schaden nicht zu vertreten hat. Sie muss beweisen, dass sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. • Öffentliche Stellen haften auch unabhängig von einem Verschulden bis zu einem Höchstbetrag von 130.000 Euro (Gefährdungshaftung). Auch bei der verschuldensunabhängigen Haftung gibt es bei schweren Persönlichkeitsverletzungen einen Schmerzensgeldanspruch (vgl. § 8 Abs. 2 BDSG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 68 Auswirkungen auf das Arbeitsrecht Individualarbeitsrecht www.kanzlei-hessling.de Schutz des Arbeitnehmers • Im Arbeitsrecht ist der Schutz des Arbeitnehmers auch im Hinblick auf den Datenschutz auch gewährleistet durch – das allgemeine Persönlichkeitsrecht (§§ 611, 242 BGB i.V.m. Art. 1 und 2 GG) • Der Arbeitgeber muss alles unterlassen, was die Rechte des Arbeitnehmers beeinträchtigt und nicht durch die Sicherung und Verfolgung eigener, höherwertiger Rechte geboten ist. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 70 Einzelne Auswirkungen des Datenschutzes auf das Arbeitsverhältnis • Videoüberwachung – Ist grundsätzlich zulässig. Wenn ein Betriebsrat vorhanden, hat dieser ein erzwingbares Mitbestimmungsrecht. Ohne Zustimmung des Betriebsrats hergestellte Videoaufnahmen dürfen grundsätzlich nicht zum Nachteil von Arbeitnehmern verwertet werden, es sei denn der Arbeitgeber hatte keine andere Möglichkeit sonst seine Rechtsgüter (Eigentum, Vermögen) vor Übergriffen zu schützen (vgl. BAG v. 27.03.2003 – 2 AZR 51/02). Eine verdeckte Videoüberwachung der Arbeitsleistung eines Arbeitnehmers stellt einen Eingriff in das Persönlichkeitsrecht des Arbeitnehmers dar, der in der Regel auch durch Interessen des Arbeitgebers nicht gerechtfertigt werden kann. Bei einer offenen Videoüberwachung kommt es auf die Umstände des Einzelfalles an, insbesondere auf Anlass, Überwachungsintensität und Verhältnismäßigkeit (BAG v. 29.03.2004 – 1 ABR 21/03). Der Eingriff in das Persönlichkeitsrecht des Arbeitnehmers setzt überwiegende schutzwürdige Belange des Arbeitgebers voraus (BAG v. 14.12.2004 – 1 ABR 74/03). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 71 Einzelne Auswirkungen des Datenschutzes auf das Arbeitsverhältnis • Genanalyse – Ist grundsätzlich unzulässig, da ein unverhältnismäßiger Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers. • Telefondatenerfassung / Erfassung besuchter Internetseiten / E-Mail-Verkehr – Ist bei Dienstapparaten / Dienstcomputern grundsätzlich zulässig (der Betriebsrat / Personalrat hat ein Mitbestimmungsrecht), wenn dies etwa der Kostenkontrolle dient. Bei Telefonen / Computern des Betriebsrats / Personalrats ist die Datenerfassung i.d.R. unzulässig. – Das heimliche Abhören von Telefongesprächen ist ein unverhältnismäßiger Eingriff in das Persönlichkeitsrecht des Arbeitnehmers und daher unzulässig. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 72 Einzelne Auswirkungen des Datenschutzes auf das Arbeitsverhältnis • Überwachung der Arbeitsleistung durch Produktographen / Workflowmanagementsysteme etc. – Ist grundsätzlich zulässig, unterliegt aber der Mitbestimmung des Betriebsrats / Personalrats. Ohne seine Zustimmung durchgeführte Überwachung ist unzulässig. • Detektiveinsatz – Ist jedenfalls im Einzelfall zulässig, wenn der konkrete Verdacht besteht, dass ein Arbeitnehmer sich in erheblichem Maße vertragswidrig verhält (z.B. Verrichtung anderweitiger Arbeit während der Arbeitsunfähigkeit). Wird der Arbeitnehmer „erwischt“, hat er im Wege des Schadensersatzes auch die Kosten des Detektiveinsatzes zu tragen. Ein Mitbestimmungsrecht des Betriebsrats / Personalrats besteht nach h.M. nicht; es kommt allenfalls in Betracht, wenn das sog. Ordnungsverhalten von Arbeitnehmern im Betrieb erforscht wird (§ 87 Abs. 1 Nr. 1 BetrVG). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 73 Einzelne Auswirkungen des Datenschutzes auf das Arbeitsverhältnis • Einsatz von Fahrtenschreibern (soweit nicht gesetzlich vorgeschrieben, vgl. BAG v. 10.07.1979, AP Nr. 3 zu § 87 BetrVG 1972 Überwachung) oder GPS-Ortungssystemen = grundsätzlich erlaubt, aber mitbestimmungspflichtig. • Einsatz von Personal Computern = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. • Einsatz von Unternehmens-Datenverarbeitungssystemen (z.B. SAP etc) = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. • Einsatz von biometrischen Identifikationsverfahren = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen (BAG v. 27.01.2004, NZA 2004, 556ff.). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 74 Einzelne Auswirkungen des Datenschutzes auf das Arbeitsverhältnis • • • • • Einführung von Arbeitszeiterfassungssystemen = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. Einführung von Wissensdatenbanken / Expertensystemen mit Mitarbeiterprofilen = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. Einführung von Workflow-Systemen = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. Einführung von Telefonanlagen = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. Einsatz von Programmen zur Überwachung der PC-Arbeit / der Internetnutzung (z.B. „Sniffer“, „KGB“ etc) = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu überwachen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 75 Auswirkungen auf das Arbeitsrecht Kollektivarbeitsrecht www.kanzlei-hessling.de Handlungsprobleme des Betriebsrats bei neuen Technologien • Im BetrVG ist kein umfassendes Mitbestimmungsrecht für neue Technologien oder auch einzelne konkrete Anwendungsfälle, wie Personalinformations- oder Betriebsdatenerfassungssysteme, vorgesehen. Es gibt allerdings Normen, die sich direkt auf Technik und deren Einsatz beziehen, wie z. B. § 87 Abs. 1 Nr. 6, § 90 Abs. 1 Nr. 2 oder auch § 111 Nr. 4 BetrVG. Diese und eine Reihe weiterer allgemein formulierter Rechte können vom Betriebsrat bei technologischen Veränderungen im Betrieb eingesetzt werden. So kann der Betriebsrat z. B. seine Informations- und Beratungsrechte neben § 90 BetrVG auch je nach Sachlage auf §§ 92, 106, 111 oder auf §§ 80 Abs. 2, 3, 111 Satz 2 BetrVG stützen, wenn er sachkundige Arbeitnehmer oder einen Sachverständigen einschalten will. Mitbestimmungsrechte können sich nicht nur aus § 87 Abs. 1 Nr. 6 oder § 112 BetrVG ergeben, sondern ebenso aus § 87 Abs. 1 Nrn. 1, 7 und Nr. 13, §§ 91, 94, 95 BetrVG oder aber auch aus § 87 Abs. 1 Nrn. 2, 3 oder Nrn. 10 bis 12 BetrVG. Es ist für den Betriebsrat von großer Bedeutung, diese Vorschriften nicht isoliert zu sehen, sondern je nach Sachlage zu kombinieren, um den Arbeitnehmern im Betrieb den erforderlichen Schutz zu geben und die Arbeitsbedingungen sozial zu gestalten. Eine solche Sichtweise ist vor dem Hintergrund der gravierenden strukturellen Veränderungen in Betrieb und Unternehmen, die vor allem auf der Basis der Computertechnologien durchgeführt wurden und werden, unverzichtbar. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 77 Handlungsprobleme des Betriebsrats bei neuen Technologien • Die bis heute aufgebauten und zukünftig zu erwartenden DV-Netzwerke verändern massiv das zwischen Arbeitgeber und Betriebsrat bestehende Kräfteverhältnis. Überall dort, wo es um eine Verarbeitung von Informationen, die entsprechende Steuerung von Betriebsabläufen und deren Kontrolle geht, erlangen die Arbeitgeber eine neue Beweglichkeit. Standort- wie auch Entscheidungen über eine kurzfristige oder dauerhafte Verlagerung von Unternehmens-Funktionen können flexibel getroffen werden. Auch die Möglichkeiten arbeitsteiligen Vorgehens nehmen zu. Internationale virtuelle Unternehmen entstehen, projektbezogene, zeitlich begrenzte Kooperationen rechtlich unabhängiger Unternehmen oder Nunternehmensbereiche, um bestimmte Produkte und Dienstleistungen zu erstellen. Reale Ressourcen werden so problembezogen in flexiblen UN-Netzwerken verknüpft. Nach Aufgabenerfüllung wird die Zusammenarbeit beendet und ggf. ein Netzwerk mit anderen Partnern aufgebaut. Ein Unternehmen mit festem Standort, genau definierten rechtlichen Grenzen, festen Organisationsstrukturen und einer eher dauerhaften Ressourcenzuordnung, um langfristig bestimmte Produkte und Dienstleistungen zu erstellen, also die vom BetrVG vorausgesetzte stabile Organisationsgrundlage für Betriebsratsarbeit, ist dann nicht mehr erkennbar. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 78 Handlungsprobleme des Betriebsrats bei neuen Technologien • Die Arbeitgeber erschließen sich erhebliche Rationalisierungspotenziale. Nicht nur die Kosten der Informationsverarbeitung werden geringer. Diese selbst ermöglicht weltweite Produktivitäts- und Kostenvergleiche und damit ggf. – je nach Bedarf und strategischer Entscheidung – den Wegfall von Doppelarbeiten und der hierdurch entstehenden Kosten. Die Unternehmen erlangen hierdurch ein erhebliches Druckpotenzial gegenüber Arbeitnehmern, Betriebsräten und Gewerkschaften. Dies wird noch dadurch gesteigert, dass enorm verdichtete, zeitnahe Informationen zu einer beschleunigten Umsetzungsgeschwindigkeit von Managemententscheidungen führen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 79 Handlungsprobleme des Betriebsrats bei neuen Technologien • Die hier beschriebenen Entwicklungen führen nicht nur zu einer erheblichen Machtverschiebung zugunsten der Arbeitgeberseite und zur Schwächung der Betriebsräte sowie erheblichen Beschäftigungsrisiken für die Arbeitnehmerschaft, mit ihnen sind weitere Probleme verbunden. So kann der Einsatz neuer Technologien zu Gefährdungen des Persönlichkeitsrechts führen. • Ebenso können für den Beschäftigten Gesundheitsgefahren auftreten, wie dies für Bildschirmarbeitsplätze exemplarisch diskutiert wurde. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 80 Handlungsprobleme des Betriebsrats bei neuen Technologien • Der Einsatz neuer Technologien kann schließlich auch zu einer Entwertung der bei den Arbeitnehmern vorhandenen Qualifikationen führen. • Diese Entwicklungen sind jedoch keineswegs zwangsläufig, sondern sozial gestaltbar. Ebenso ist es nämlich denkbar, dass Betriebsrat eine vorausschauende Personal- und Qualifikationsplanung im Interesse der Beschäftigten durchsetzen (vgl. §§ 92, 92a, 97 BetrVG) und humanere Formen der Arbeitsorganisation, die den Beschäftigten mehr Kommunikation, interessantere Tätigkeiten, mehr Selbstständigkeit und Gelegenheiten verschaffen, entsprechend ihrer Qualifikation zu arbeiten. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 81 Das Mitbestimmungsrecht des Betriebsrats gem § 87 Abs. 1 Ziffer 6 BetrVG • Das Mitbestimmungsrecht wurde geschaffen, da technische Kontrolleinrichtungen stark in den persönlichen Bereich der Arbeitnehmer eingreifen (vgl. BT-Drucks. VI/1786, S. 49). Es dient dem Persönlichkeitsschutz der Arbeitnehmer und konkretisiert den in § 75 Abs. 2 BetrVG enthaltenen Grundsatz (vgl. z. B. BAG 14.5.74, 9.9.75, AP Nrn. 1, 2 zu § 87 BetrVG 1972 Überwachung; 15.12. 92, CR 94, 111 [114]; 8.11.94, DB 95, 783). Der Betriebsrat soll mit Hilfe des Mitbestimmungsrechts zugunsten der potentiell in ihrer Persönlichkeitssphäre betroffenen Arbeitnehmer eine präventive Schutzfunktion wahrnehmen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 82 Das Mitbestimmungsrecht des Betriebsrats gem § 87 Abs. 1 Ziffer 6 BetrVG • Die Einführung und Anwendung von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen ist gem. § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Wichtig ist dabei, dass das Mitbestimmungsrecht bei Einführung und Anwendung solcher technischer Einrichtungen auch dann besteht, wenn der Arbeitgeber überhaupt nicht beabsichtigt, die Einrichtungen auch tatsächlich zur Arbeitnehmerüberwachung zu verwenden, es kommt hier allein darauf an, dass technische Einrichtungen eingeführt oder betrieben werden, die zur Arbeitnehmerüberwachung objektiv geeignet sind, unabhängig von ihrer konkreten Verwendung im Einzelfall (zuletzt BAG v. 27.01.2004, NZA 2004, 556ff.). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 83 Das Mitbestimmungsrecht des Betriebsrats gem § 87 Abs. 1 Ziffer 6 BetrVG • • Die Überwachung muss durch eine technische Einrichtung erfolgen, d. h., die Überwachung nur durch einen Menschen ist nicht erfasst. Es unterliegt daher nicht der Mitbestimmung nach dieser Vorschrift, wenn ein Vorgesetzter oder der Werkschutz Kontrollen durchführt (BAG 23. 0.84, AP Nr. 8 zu § 87 BetrVG 1972; 26.3.91, AP Nr. 21 zu § 87 BetrVG 1972 Überwachung). Darüber hinaus wird bereits bei der Definition der technischen Einrichtung gefordert, dass diese in ihrem Kern selbst eine Überwachung bewirken, eine eigenständige Kontrollwirkung haben müsste (BAG 9.9.75, AP Nr. 2 zu § 87 BetrVG 1972 Überwachung). Demzufolge sollen z. B. Uhr, Lupe, Brille, Fernglas, Taschenrechner oder Schreibgeräte (BAG 24.11.81, AP Nr. 3 zu § 87 BetrVG 1972 Ordnung des Betriebes) keine technischen Einrichtungen sein. Bei DV-Anlagen hat das BAG ohne weitere Untersuchung das Vorliegen einer technischen Einrichtung in den Entscheidungen zum Technikerberichtssystem, dem rechnergesteuerten Textsystem und dem Personalinformationssystem PAISY bejaht (14.9.84, 23.4.85, 11.3.86, AP Nrn. 9, 12, 14 zu § 87 BetrVG 1972 Überwachung; vgl. auch für ein sog. Arbeitswirtschaftsinformationssystem [ARWIS] BAG 26.7.94, NZA 95, 185 [186]). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 84 Das Mitbestimmungsrecht des Betriebsrats gem § 87 Abs. 1 Ziffer 6 BetrVG • • Einführung der technischen Einrichtung ist die Entscheidung, ob, für welchen Zeitraum, an welchem Ort, mit welcher Zweckbestimmung und Wirkungsweise sie, ggf. auch zunächst nur probeweise, betrieben werden soll. Die Einführung beginnt mit der Entscheidung des AG, eine bestimmte technische Einrichtung anzuwenden. Da die Planung noch nicht erfasst wird und die Entscheidung des AG häufig nicht sichtbar ist, wird das Mitbestimmungsrecht faktisch regelmäßig erst realisierbar sein, wenn konkrete Vorbereitungsmaßnahmen zur Anwendung der technischen Einrichtung ergriffen werden (vgl. ArbG Hamburg 19.9.95, CR 96, 742 [743]), wenn die Entscheidung umgesetzt wird. Der AG hat also das Mitbestimmungsrecht jedenfalls dann zu beachten, wenn die AN, die an den neuen Maschinen arbeiten sollen, eingewiesen werden, wenn ihnen z. B. erklärt wird, wann sie welche Tasten an einem Produktographen zu bedienen haben. Das Mitbestimmungsrecht greift auch bereits ein, wenn eine Kamera installiert wird, und nicht erst dann, wenn der entsprechende Film eingelegt oder abgespielt wird. Auf Computer bezogen bedeutet dies, dass die Erprobung von Programmen mit fiktiven Daten der Mitbestimmung unterliegt, da die Entscheidung des AG über die Anwendung des Systems bereits getroffen ist (ArbG Hamburg, a. a. O.). Auch die manuelle Erfassung von AN-Daten unterliegt der Mitbestimmung, falls diese in den Computer eingespeichert werden sollen und eine Verarbeitung zulassen, die eine Kontrolle von Verhalten und Leistung ermöglicht (ArbG Offenbach 29.1.85 – 3 BVGa 1/85). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 85 Das Mitbestimmungsrecht des Betriebsrats gem § 87 Abs. 1 Ziffer 6 BetrVG • • • Unter Überwachung hat das BAG zunächst einen Vorgang verstanden, durch den Informationen über das Verhalten oder die Leistung der AN erhoben und in aller Regel irgendwie aufgezeichnet werden, damit diese auch der menschlichen Wahrnehmung zugänglich gemacht werden (so BAG v. 6.12.83, AP Nr. 7 zu § 87 BetrVG 1972 Überwachung). Gegenstand der Überwachung muss Verhalten oder Leistung der AN sein. Demzufolge wird eine technische Einrichtung, die ausschließlich Daten über den Lauf oder die Nutzung von Maschinen sammelt, nicht erfasst. Das Mitbestimmungsrecht scheidet nicht bereits deshalb aus, weil lediglich auf eine Gruppe von AN bezogene Daten erhoben oder verarbeitet werden, also keine auf den einzelnen Beschäftigten rückführbare Informationen. Das BAG hat das Mitbestimmungsrecht dann bejaht, wenn die AN in einer überschaubaren Gruppe (z. B. 6 bis 8 Mitglieder) im Gruppenakkord arbeiten, weil der von der technischen Einrichtung ausgehende Überwachungsdruck auf die Gruppe auf den einzelnen AN durchschlägt (18.2.86, AP Nr. 13 zu § 87 BetrVG Überwachung). Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 86 Das Mitbestimmungsrecht des Betriebsrats gem § 87 Abs. 1 Ziffer 6 BetrVG • Der Betriebsrat kann die Unterlassung von mitbestimmungswidrigen Maßnahmen vom Arbeitgeber verlangen und ggf. auf dem Rechtsweg (Beschlussverfahren) durchsetzen, ggf. auch durch Beantragung einer einstweiligen Verfügung. • Der Betriebsrat kann zudem die Regelung dieser Fragen in einer Betriebsvereinbarung verlangen. Kommt eine Einigung nicht zustande, so entscheidet die Einigungsstelle. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 87 Was hat der Personalrat zu beachten? • Für den PR ergibt sich das Mitbestimmungsrecht aus § 75 Abs. 3 Ziffer 17 BPersVG. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 88 Ausgewählte Rechtsprechung www.kanzlei-hessling.de Der Datenschutzbeauftragte hat keinen eigenständigen Kündigungsschutz • Urteil des Landesarbeitsgerichts Niedersachsen vom 16. Juni 2003, Az.: 8 Sa 1968/02 • Leitsätze: – Aus § 4f Abs. 3 Satz 3 und 4 BDSG folgt kein genereller Ausschluss der ordentlichen Kündigung. – Mit der Beendigung des Arbeitsverhältnisses ist auch die Bestellung als Datenschutzbeauftragter automatisch beendet. • Die auch vom BAG bestätigte Entscheidung (BAG, 27. Oktober 2003, Az.: 2 AZR 474/03) verneint einen eigenständigen Kündigungsschutz des betrieblichen Datenschutzbeauftragten. Sie beendet zugleich die Debatte um die Selbständigkeit oder Akzessorietät seiner Bestellung/Abberufung im Verhältnis zum Arbeitvertrag. Eine Beendigung des Arbeitsverhältnisses - gleich welcher Art - gilt „automatisch“ auch für die Stellung als Datenschutzbeauftragter. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 90 Veröffentlichung von Grunddaten eines Beamten im Internet zulässig • Urteil des Oberverwaltungsgerichts Rheinland-Pfalz vom 10. September 2007, Az: 2 A 10413/07 • Leitsätze: • – Im Interesse einer transparenten, bürgernahen öffentlichen Verwaltung ist der Dienstherr von Rechts wegen nicht gehindert, Namen, Funktion und dienstliche Erreichbarkeit jedenfalls solcher Beamter, die mit Außenkontakten betraut sind, auch ohne deren Einverständnis im Internet bekannt zu geben. Etwas anderes gilt lediglich dann, wenn einer solchen Bekanntgabe Sicherheitsbedenken entgegenstehen. – § 11 Abs. 2 IFG regelt nur eine Verpflichtung zur Mindestausgestaltung veröffentlichter Zuständigkeitsübersichten, ohne deren Personalisierung auszuschließen. – Das Grundrecht auf informationelle Selbstbestimmung steht - ungeachtet der Frage seiner Anwendbarkeit auf Amtsträger - einer Veröffentlichung nicht entgegen. Die Entscheidung bejaht die Zulässigkeit der Publikation von Namen, Funktion und dienstliche Erreichbarkeit von Beamten nach rheinland-pfälzischem Landesrecht. Die einschlägigen Vorschriften des Landesdatenschutzgesetzes und des Landesbeamtengesetzes erklärt sie für verfassungsgemäß und als für die Maßnahme ausreichend. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 91 Anspruch der Personalvertretung auf Information über automatisierte Zeiterfassungsdaten • • Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen, Fachsenat für Bundespersonalvertretungssachen, Az.: 1 A 4935/04.PVB Leitsatz: – Der Informationsanspruch der Personalvertretung kann es im Zusammenhang mit der Aufgabe der Überwachung der Arbeitszeitschutzbestimmungen einschließen, dass der Leiter der Dienststelle die vorzulegenden Unterlagen (Übersichtslisten) bezogen auf die einzelnen Beschäftigten mit festen Kennziffern versehen muss. • Die Entscheidung entwickelt für die datenschutzrechtlichen Grenzen der Personalvertretung eine praxisorientierte Linie: Soweit bei einer statistischen, d.h. nicht auf bestimmte Personen bezogenen Unterrichtung einzelne Datensätze mitzuteilen sind, ist eine Bezeichnung der Personen nur durch Kennziffern eine ausreichende Schutzmaßnahme, auch wenn eine Identifizierbarkeit in besonderen Konstellationen dadurch allein nicht ganz ausgeschlossen ist. Die Entscheidung entspricht der Forderung des § 3 BDSG nach Datenvermeidung und –anonymisierung, und erleichtert zugleich die sachgerechte Information der Personalvertretung. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 92 Eine Videoüberwachung am Arbeitsplatz ist nur verdachtsgestützt und verdachtsorientiert zulässig • • Beschluss des Bundesarbeitsgerichts (BAG) vom 14.12.2004, Az.: 1 ABR 34/03 Leitsatz: – 1. Die Einrichtung einer Videoüberwachung in einem Postverteilungszentrum die das Verhalten der Beschäftigten dauerhaft während fast der gesamten Arbeitszeit erfasst, ist auch unter Berücksichtigung ihres Zweckes, das Postgeheimnis, das Eigentum der Postkunden und die wirtschaftlichen Interessen des Postdienst-Unternehmens zu schützen, nicht verhältnismäßig und verletzt daher das Persönlichkeitsrecht der Beschäftigten, wenn sie nicht auf konkrete Verdachtsmomente gestützt ist und entsprechend räumlich und zeitlich eingegrenzt wird. 2. Der Eingriff ist nicht durch ausdrückliche gesetzliche Regelungen gerechtfertigt. Die Vorschrift des § 6a BDSG zur Videoüberwachung in öffentlich zugänglichen Räumen ist auf nicht-öffentliche Räume nicht entsprechend anwendbar. 3. Die Videoüberwachung ist dem Arbeitgeber auch nicht allein auf Grund seines Hausrechts gestattet. • Die Entscheidung enthält bedeutende Aussagen zur Videoüberwachung und zum Arbeitnehmerdatenschutz. Sie stärkt diesen gegenüber dem Hausrecht des Arbeitgebers. Dessen wirtschaftliches Interesse und der Schutz von Postdienstkunden rechtfertigt zwar Kontrollmaßnahmen, aber nur soweit bei der konkreten Sachlage notwendig und angemessen. Soweit die Betroffenen sich einer Überwachung nicht entziehen können, sind die Regelungen des § 6a BDSG für die Videoüberwachung an öffentlich zugänglichen Orten auch nicht analog anwendbar. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 93 Eine Teilentfernung von Personalaktendaten erfolgt durch Schwärzung; der Anspruch auf Entfernung nach Zeitablauf umfasst keinen Anspruch auf Neufassung eines Personalgesprächsvermerks • • Beschluss des Bundesverwaltungsgerichts vom 9. Dezember 1999, Aktenzeichen: 1 WB 55/99 Leitsätze: – Enthält ein zur Personalakte eines Soldaten genommener Personalgesprächsvermerk neben zu entfernenden Feststellungen auch solche, die in der Akte zu verbleiben haben, wird der Vorschrift des § 29 Abs. 5 Satz 3 des Soldatengesetzes genügt, wenn die zu entfernenden Teile unkenntlich gemacht werden. – Ein Anspruch auf Neufassung eines durch Schwärzung teilweise unkenntlich gemachten Gesprächsvermerks besteht nicht. • Die Entscheidung verdeutlicht den Unterschied zwischen einer Entfernung von Vorgängen aus einer Personalakte und der datenschutzrechtlichen Berichtigung. Bei der Entfernung von Teilvorgängen, die durch Schwärzung von Passagen erfolgt, bleiben deutliche Indizien auf das Entfernte vorhanden; der Betroffene muss sich mit dem weniger wirksamen Benachteiligungsverbot begnügen. Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 94 Haben Sie noch Fragen? • Anwaltsbüro Hessling Marc Hessling, Rechtsanwalt Friedrichstraße 28 45468 Mülheim an der Ruhr Tel.: 0208 – 437 2358 Fax: 0208 – 437 8204 [email protected] www.kanzlei-hessling.de Stand: 10.01.2009 von Rechtsanwalt Marc Hessling 95 Ende www.kanzlei-hessling.de