Datenschutz im Betrieb

Werbung
Datenschutz in
Betrieb und
Dienststelle
von Marc Hessling,
Rechtsanwalt in
Mülheim an der Ruhr
www.kanzlei-hessling.de
Abkürzungsverzeichnis
•
•
•
•
•
•
AG = Arbeitgeber
BR = Betriebsrat
PR = Personalrat
BAG = Bundesarbeitsgericht
ArbG = Arbeitsgericht
OVG =
Oberverwaltungsgericht
• BVerwG =
Bundesverwaltungsgericht
• BVerfG =
Bundesverfassungsgericht
• BGB = Bürgerliches
Gesetzbuch
Stand: 10.01.2009
• GG = Grundgesetz
• BetrVG =
Betriebsverfassungsgesetz
• BDSG =
Bundesdatenschutzgesetz
• BPersVG =
Bundespersonalvertretungsge
setz
• AiB = Arbeitsrecht im Betrieb
• AP = Arbeitsrechtliche Praxis
• CR = Computerreport
von Rechtsanwalt Marc Hessling
2
Übersicht
• Einführung ins
Datenschutzrecht
• Auswirkungen auf das
Arbeitsrecht
• Ausgewählte
Rechtsprechung
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
3
Einführung ins Datenschutzrecht
www.kanzlei-hessling.de
Begriffe und ihre Bedeutung
• Gesetzesbestimmung: § 3 BDSG
• Personenbezogene Daten sind Einzelangaben über persönliche
oder sachliche Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener), wie z.B. Alter, Anschrift, Vermögen,
Äußerungen, Überzeugungen.
• Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder
Nutzung personenbezogener Daten unter Einsatz von
Datenverarbeitungsanlagen.
• Nicht automatisierte Datei ist jede nicht automatisierte Sammlung
personenbezogener Daten, die gleichartig aufgebaut ist und nach
bestimmten Merkmalen zugänglich ist und ausgewertet werden
kann.
• Erheben ist das Beschaffen von Daten über den Betroffenen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
5
Begriffe und ihre Bedeutung
• Verarbeiten ist das ☞ Speichern, ☞ Verändern, ☞
Übermitteln, ☞ Sperren und ☞ Löschen von
personenbezogenen Daten.
• Nutzen ist das Verwenden von Daten, soweit nicht ☞
Verarbeiten vorliegt (z.B. Abruf auf Bildschirm).
• Speichern ist das Erfassen, Aufnehmen oder
Aufbewahren personenbezogener Daten auf einem
Datenträger zum Zweck ihrer weiteren ☞ Verarbeitung
oder ☞ Nutzung.
• Verändern ist das inhaltliche Umgestalten
personenbezogener gespeicherter Daten.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
6
Begriffe und ihre Bedeutung
• Übermitteln ist das Bekannt geben gespeicherter oder durch
Datenverarbeitung gewonnener personenbezogener Daten an einen
Dritten in der Weise, dass die Daten an den Dritten weitergegeben
werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene
Daten einsieht oder abruft.
• Sperren ist das Kennzeichnen gespeicherter personenbezogener
Daten, um ihre weitere ☞ Verarbeitung oder ☞ Nutzung
einzuschränken.
• Löschen ist das Unkenntlichmachen gespeicherter
personenbezogener Daten.
• Anonymisieren ist das Verändern personenbezogener Daten
derart, dass die Einzelangaben über persönliche oder sachliche
Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig
großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten
oder bestimmbaren natürlichen Person zugeordnet werden können.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
7
Begriffe und ihre Bedeutung
• Pseudonymisieren ist das Ersetzen des Namens und anderer
Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die
Bestimmung des Betroffenen auszuschließen oder wesentlich zu
erschweren.
• Verantwortliche Stelle ist jede Person oder Stelle, die
personenbezogene Daten für sich selbst erhebt, verarbeitet oder
nutzt oder dies durch andere im Auftrag vornehmen lässt.
• Empfänger ist jede Person oder Stelle, die Daten erhält.
• Dritter ist jede Person oder Stelle außerhalb der verantwortlichen
Stelle;
Dritte sind nicht
– der Betroffene sowie
– diejenigen Personen und Stellen, die im Inland, in einem anderen
Mitgliedstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum
personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
8
Begriffe und ihre Bedeutung
• Besondere Arten personenbezogener Daten sind
Angaben über die rassische und ethnische Herkunft,
politische Meinungen, religiöse oder philosophische
Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder Sexualleben.
• Mobile personenbezogene Speicher- und
Verarbeitungsmedien sind Datenträger,
– die an den Betroffenen ausgegeben werden,
– auf denen personenbezogene Daten über die Speicherung
hinaus durch die ausgebende oder eine andere Stelle
automatisiert verarbeitet werden können und
– bei denen der Betroffene diese Verarbeitung nur durch den
Gebrauch des Mediums beeinflussen kann.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
9
Datenschutz – warum?
•
•
Gesetzesbestimmungen: § 1 Abs 1 BDSG, Art 1 und 2 GG
Ziel des Datenschutzes ist es, den Menschen vor der Gefährdung durch die
nachteiligen Folgen einer Datenverarbeitung zu schützen. Das Gesetz
umschreibt seine Zweckbestimmung in § 1 Abs. 1 BDSG wie folgt:
– „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch
den Umgang mit seinen personenbezogenen Daten in seinem
Persönlichkeitsrecht beeinträchtigt wird “
•
•
Den gleichen Zweck verfolgen Datenschutzvorschriften in anderen
Gesetzen.
Das Persönlichkeitsrecht wird abgeleitet aus den Grundrechten der
Verfassung.
– „Die Würde des Menschen ist unantastbar Sie zu achten und zu schützen ist die
Verpflichtung aller staatlichen Gewalt.“ (Artikel 1 Abs. 1 Grundgesetz)
– „Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht
die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung
oder das Sittengesetz verstößt “ (Artikel 2 Abs. 1 Grundgesetz)
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
10
Datenschutz – warum?
• Das Bundesverfassungsgericht hat dazu im sog. Volkszählungsurteil
vom 15. Dezember 1983 (1 BvR 209/83) folgendes festgestellt:
– „Das Grundrecht gewährleistet insoweit die Befugnis des
Einzelnen, grundsätzlich selbst über die Preisgabe und
Verwendung seiner persönlichen Daten zu bestimmen“
– „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn
betreffenden Informationen in bestimmten Bereichen seiner sozialen
Umwelt bekannt sind, und wer das Wissen möglicher
Kommunikationspartner nicht einigermaßen abzuschätzen vermag,
kann in seiner Freiheit wesentlich gehemmt werden, aus eigener
Selbstbestimmung zu planen oder zu entscheiden Mit dem Recht auf
informationelle Selbstbestimmung wären eine Gesellschaftsordnung
und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der
Bürger nicht mehr wissen können, wer was wann und bei welcher
Gelegenheit über sie weiß Wer unsicher ist, ob abweichende
Verhaltensweisen jederzeit notiert und als Information dauerhaft
gespeichert, verwendet oder weitergegeben werden, wird versuchen,
nicht durch solche Verhaltensweisen aufzufallen “
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
11
Welche Datenschutzrechtliche
Vorschriften gibt es?
• Der Datenschutz ist vor allem im Bundesdatenschutzgesetz (BDSG)
und in den Landesdatenschutzgesetzen geregelt.
• Das Bundesdatenschutzgesetz stellt allgemeine
datenschutzrechtliche Grundregeln auf. Diese Grundregeln passen
allerdings nicht überall. Und sie sind nicht überall ausreichend. Man
braucht nur etwa an die Gesundheits- und Sozialbehörden, die
Meldeämter, die Polizei und den Verfassungsschutz zu denken.
Darum gibt es zahlreiche datenschutzrechtliche Spezialregelungen
in anderen Gesetzen, z.B.:
– Sozialgesetzbuch (SGB), Straßenverkehrsgesetz,
Melderechtsrahmengesetz, Bundeszentralregistergesetz,
Ausländerzentralregistergesetz, Bundesverfassungsschutzgesetz,
Bundespolizeigesetz, Telekommunikationsgesetz, Postgesetz,
Informations- und Kommunikationsdienste-Gesetz und andere mehr.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
12
Das Bundesdatenschutzgesetz
www.kanzlei-hessling.de
Anwendungsbereich
• Das Bundesdatenschutzgesetz gilt
uneingeschränkt für öffentliche Stellen des
Bundes und für nicht-öffentliche Stellen
(Private). Nur sehr eingeschränkt gilt es für die
öffentlichen Stellen der Länder sowie für
Rundfunkanstalten. Es findet keine Anwendung
im Bereich der Kirchen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
14
Grundsatz: Es ist alles verboten,
was nicht ausdrücklich erlaubt ist!
• Gesetzesbestimmungen: §§ 4, 4a BDSG
• Für die Erhebung, Verarbeitung und Nutzung
personenbezogener Daten gilt als allgemeiner
Grundsatz ein so genanntes Verbot mit
Erlaubnisvorbehalt. Das bedeutet, die Erhebung,
Verarbeitung und Nutzung von Daten sind verboten, es
sei denn,
– sie sind durch das BDSG oder eine andere Rechtsvorschrift
ausdrücklich erlaubt oder angeordnet oder
– der Betroffene hat dazu ausdrücklich seine Einwilligung erklärt.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
15
Grundsatz: Es ist alles verboten,
was nicht ausdrücklich erlaubt ist!
• Soll eine Einwilligung Grundlage für eine Erhebung,
Verarbeitung oder Nutzung sein, ist zu beachten:
– Die Einwilligung bedarf der Schriftform, soweit nicht wegen
besonderer Umstände eine andere Form angemessen ist.
– Der Betroffene ist vorher über die Tragweite seiner Einwilligung
aufzuklären (z.B. über den Zweck der Erhebung, Verarbeitung
oder Nutzung); soweit nach den Umständen des Einzelfalls
erforderlich oder auf Verlangen ist er auch darüber zu
informieren, was geschieht, wenn er nicht einwilligt (z.B. dass
Ansprüche verloren gehen können).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
16
Der Zweckbindungsgrundsatz
• Gesetzesbestimmungen: §§ 14, 28, 29 BDSG
• Die Speicherung, Veränderung und Nutzung
personenbezogener Daten durch öffentliche Stellen ist
zulässig, wenn
– dies zur Erfüllung der in der Zuständigkeit der verantwortlichen
Stelle liegenden Aufgaben erforderlich ist und
– sie für die Zwecke erfolgt, für die die Daten erhoben worden sind
(falls keine Erhebung voranging: für die sie gespeichert worden
sind). Hiermit wird der Zweckbindungsgrundsatz angesprochen.
Das heißt, dass personenbezogene Daten grundsätzlich nur zu
den Zwecken verarbeitet werden dürfen, für die sie erhoben
beziehungsweise gespeichert worden sind. Von diesem
Grundsatz sieht das Gesetz aber eine Reihe zum Teil weit
reichender Ausnahmen vor.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
17
Welche Ausnahmen von der
Zweckbindung gibt es?
• Die Verarbeitung personenbezogener Daten für einen anderen
Zweck ist dann zulässig, wenn
–
–
–
–
eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
der Betroffene eingewilligt hat,
es offensichtlich im Interesse des Betroffenen liegt,
Angaben des Betroffenen überprüft werden müssen, weil begründete
Zweifel an ihrer Richtigkeit bestehen,
– die Daten allgemein zugänglich sind oder veröffentlicht werden dürften
(aber nicht, wenn das entgegenstehende schutzwürdige Interesse des
Betroffenen offensichtlich überwiegt),
• oder wenn sie
– zur Gefahrenabwehr, oder zur Wahrung erheblicher Belange des
Gemeinwohls zur Verfolgung von Straftaten oder Ordnungswidrigkeiten,
– zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte eines
anderen oder
– zur Durchführung wissenschaftlicher Forschung (nach näher
bestimmten Voraussetzungen) erforderlich ist.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
18
Der Zweckbindungsgrundsatz
• Für die nicht-öffentlichen Stellen gilt der
Zweckbindungsgrundsatz ebenfalls.
• Bereits bei der Erhebung personenbezogener
Daten sind die Zwecke, für die die Daten
verarbeitet oder genutzt werden sollen, konkret
festzulegen (vgl. § 28 Abs. 1 Satz 2 BDSG).
Dies gilt auch für die geschäftsmäßige
Datenverarbeitung (vgl. § 29 Abs. 1 Satz 2
BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
19
Welche Ausnahmen von der
Zweckbindung gibt es?
• Einen Ausnahmekatalog zu dem Grundsatz der
Zweckbindung gibt es auch für den nichtöffentlichen Bereich: Danach kommt eine
Verwendung für andere Zwecke in Betracht
– zur Wahrung berechtigter Interessen der
verantwortlichen Stelle,
– wenn die Daten allgemein zugänglich sind oder
veröffentlicht werden dürften,
– zu wissenschaftlichen Zwecken,
– für Zwecke der Werbung, der Markt- oder
Meinungsforschung bei listenmäßiger Übermittlung.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
20
Die Datenerhebung
• Gesetzesbestimmungen: §§ 4, 13, 28, 29 BDSG
• Die Erhebung von Daten ist sowohl bei öffentlichen Stellen als auch
bei den nicht-öffentlichen Stellen von den Zulässigkeitsregelungen
für die Datenverarbeitung umfasst.
• Die Datenerhebung darf nur in dem erforderlichen Umfang
erfolgen.
• Bei den öffentlichen Stellen heißt dies, dass sie für die Erfüllung der
gesetzlichen Aufgaben notwendig sein muss.
• Im nicht-öffentlichen Bereich wird der größte Teil der
personenbezogenen Daten von den Stellen als Mittel für die
Erfüllung eigener Geschäftszwecke verwendet. Dies ist z.B. der Fall
bei den Kundendaten einer Firma, den Daten über das eigene
Personal, über die Lieferanten und andere Geschäftspartner.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
21
Die Datenerhebung
• Bei einem Vertragsverhältnis (oder vertragsähnlichen
Vertrauensverhältnis) mit dem Betroffenen (etwa zwischen Bank und
Bankkunden, Arzt und Patienten, Versicherung und Versicherten;
entsprechend eingeschränkt auch schon vor Vertragsabschluss und
nach dessen Ende) ist Maßstab für die Datenerhebung der Vertrag
und dessen Zweck.
• Die Datenerhebung kann auch erforderlich sein zur Wahrung
berechtigter Interessen der verantwortlichen Stelle. Hier darf kein
Grund zu der Annahme bestehen, dass schutzwürdige Interessen
des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung
das Interesse der verantwortlichen Stelle an der Datenerhebung
überwiegen.
• Auch wenn Daten allgemein zugänglich sind oder veröffentlicht
werden dürften, können sie für eigene Geschäftszwecke erhoben
werden, es sei denn, schutzwürdige Interessen des Betroffenen
würden gegenüber den berechtigten Interessen der verantwortlichen
Stelle offensichtlich überwiegen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
22
Die Datenerhebung
• Die Daten sind grundsätzlich beim Betroffenen zu
erheben. Es ist ihm mitzuteilen, zu welchem Zweck dies
geschieht. Nur in Ausnahmefällen dürfen die Daten bei
anderen und ohne Kenntnis des Betroffenen erhoben
werden.
• Ist der Betroffene gegenüber einer öffentlichen Stelle zur
Auskunft verpflichtet (z.B. bei amtlichen Statistiken), so
muss ihm gesagt werden, nach welchen
Rechtsvorschriften das der Fall ist. Er ist auch
aufzuklären, wenn er ohne die von ihm verlangten
Auskünfte seine Ansprüche nicht durchsetzen kann oder
ihm sonstige Rechtsvorteile entgehen.
• Andernfalls muss dem Betroffenen gesagt werden, dass
die Auskunft freiwillig ist.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
23
Die Datenerhebung
• Ohne Mitwirkung des Betroffenen (z.B. durch Anfragen
bei Behörden oder anderen Stellen) dürfen Daten nur
erhoben werden, wenn
– eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt
(z.B. Einholung eines Strafregisterauszugs nach dem
Bundeszentralregistergesetz) oder
– die zu erfüllende Verwaltungsaufgabe ihrer Art nach eine
Erhebung bei anderen Personen oder Stellen erforderlich macht
und keine Beeinträchtigung überwiegender schutzwürdiger
Interessen des Betroffenen zu erwarten ist,
– die Erhebung beim Betroffenen einen unverhältnismäßig hohen
Aufwand zur Folge hätte (z.B., weil er sehr schwer zu finden ist)
und auch hier keine Anhaltspunkte dafür bestehen, dass
schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
24
Die Datenübermittlung
• Gesetzesbestimmungen: §§ 4b, 4c, 15, 16, 28 -30, 39
BDSG
• Für öffentliche Stellen kennt das Gesetz unterschiedliche
Regelungen, je nachdem, ob an
– eine andere öffentliche Stelle oder
– eine nicht-öffentliche Stelle
• übermittelt wird.
• Werden Daten zur Erfüllung der eigenen Aufgaben an
eine nicht-öffentliche Stelle übermittelt, so gelten
dieselben Regelungen wie bei einer Übermittlung an
eine öffentliche Stelle.
• Besondere Regelungen gelten bei einer
Datenübermittlung ins Ausland (siehe §§ 4b, 4c BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
25
Die vorherige Kontrolle risikoreicher
Datenverarbeitung (sog. Vorabkontrolle)
• Gesetzesbestimmungen: §§ 4d Abs 5 und 6, 4g und 4e
BDSG
• Für automatisierte Verarbeitungen, die besondere
Risiken für die Rechte und Freiheiten der Betroffenen
aufweisen, sieht das BDSG eine Prüfung vor Beginn der
Verarbeitung (Vorabkontrolle) vor (vgl. § 4d Abs. 5
BDSG). Beispielhaft – nicht abschließend – nennt das
Gesetz zwei Fallgestaltungen, in denen die
Vorabkontrolle notwendig ist:
– bei der Verarbeitung von personenbezogenen Daten besonderer
Art (§ 3 Abs. 9 BDSG),
– bei Verfahren, die dazu dienen, die Persönlichkeit des
Betroffenen zu bewerten einschließlich seiner Fähigkeiten,
seiner Leistung oder seines Verhaltens.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
26
Die vorherige Kontrolle risikoreicher
Datenverarbeitung (sog. Vorabkontrolle)
• Die Vorabkontrolle ist nicht durchzuführen in folgenden
Fällen:
– gesetzliche Verpflichtung zur Durchführung der
Datenverarbeitung,
– Einwilligung des Betroffenen,
– Erhebung, Verarbeitung oder Nutzung im Rahmen der
Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses.
• Zuständig für die Durchführung der Vorabkontrolle ist der
Datenschutzbeauftragte. Dem Datenschutzbeauftragten
sind von der verantwortlichen Stelle für die
Datenverarbeitung vor der Durchführung der
Vorabkontrolle bestimmte Informationen zur Verfügung
zu stellen (vgl. § 4g Abs. 2 Satz 1 i.V.m. § 4e Satz 1
BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
27
Technische und organisatorische
Maßnahmen des Datenschutzes
• Gesetzesbestimmungen: §§ 9, 10 BDSG
• Ein sehr wichtiger, oft arbeits- und kostenintensiver Bereich des
Datenschutzes sind die technischen und organisatorischen
Maßnahmen für die Erhebung, Verarbeitung und Nutzung von
personenbezogenen Daten, die getroffen werden müssen, damit
diese vor Missbrauch, Fehlern und Unglücksfällen möglichst sicher
sind. Welche Maßnahmen notwendig sind, hängt nicht nur von der
Art der Daten ab, sondern ebenso von der Aufgabe, den
organisatorischen Bedingungen, den räumlichen Verhältnissen, der
personellen Situation und anderen Rahmenbedingungen. Das
Gesetz verzichtet deshalb darauf, bestimmte einzelne Maßnahmen
zwingend vorzuschreiben, sondern verlangt nur allgemein,
– „die technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die Ausführungen der Vorschriften dieses
Gesetzes zu gewährleisten“.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
28
Technische und organisatorische
Maßnahmen des Datenschutzes
• Welche Wirkung diese Maßnahmen im Bereich der automatisierten
Verarbeitung haben müssen, legt das Gesetz in Form einer Anlage
zu § 9 BDSG katalogmäßig fest. Die Maßnahmen müssen
beispielsweise geeignet sein,
– Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren,
– zu verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können,
– zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich im Rahmen
ihrer Zugriffsberechtigung zugreifen können und personenbezogene
Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden können,
– zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten
getrennt verarbeitet werden können.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
29
Technische und organisatorische
Maßnahmen des Datenschutzes
• Während das Gesetz allgemein in Bezug auf technische Fragen
eher zurückhaltend ist, stellt es für die Einrichtung eines
automatisierten Verfahrens zum Abruf personenbezogener
Daten durch Dritte genaue Anforderungen auf, weil es darin eine
besonders einschneidende Maßnahme sieht.
• Damit die Zulässigkeit des Abrufverfahrens kontrolliert werden kann,
müssen die beteiligten Stellen folgendes schriftlich festlegen:
–
–
–
–
Anlass und Zweck des Abrufverfahrens,
Dritte, an die übermittelt wird,
Art der zu übermittelnden Daten,
nach § 9 BDSG erforderliche technische und organisatorische
Maßnahmen.
• Die Einrichtung des automatisierten Abrufverfahrens ist nur zulässig,
wenn es unter Berücksichtigung der schutzwürdigen Interessen der
Betroffenen einerseits und der Aufgaben oder Geschäftszwecke der
beteiligten Stellen andererseits angemessen ist.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
30
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Gesetzesbestimmungen: §§ 4f, 4g BDSG
• Mit den §§ 4f, 4g BDSG werden einheitliche
Bestimmungen für die Institution eines Beauftragten für
den Datenschutz im öffentlichen wie im nicht-öffentlichen
Bereich geschaffen.
• Die behördlichen und betrieblichen Beauftragten für den
Datenschutz sind wichtige Ansprechpartner in Fragen
des Datenschutzes für die Bürgerinnen und Bürger
sowie die Beschäftigten in den Behörden und
Unternehmen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
31
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Alle Behörden im Anwendungsbereich des
Bundesdatenschutzgesetzes müssen einen
behördlichen Beauftragten für den Datenschutz
bestellen. Je nach Struktur der Stelle genügt auch die
Bestellung eines Beauftragten für mehrere Bereiche.
• Bei den nicht-öffentlichen Stellen hängt die
Verpflichtung zur Bestellung eines Beauftragten für den
Datenschutz von der Größe der Stelle und der Zahl der
mit der Verarbeitung personenbezogener Daten
beschäftigten Arbeitnehmer ab. Die freiwillige Bestellung
eines Datenschutzbeauftragten mit der Folge, dass ggf.
eine sonst erforderliche Meldepflicht bei der
Aufsichtsbehörde entfällt, ist immer möglich.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
32
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Bei der geschäftsmäßigen Datenverarbeitung
zum Zweck der Übermittlung oder
anonymisierten Übermittlung muss immer ein
Datenschutzbeauftragter bestellt werden. Dies
gilt auch stets, wenn wegen besonders
risikoreicher Datenverarbeitung eine
Vorabkontrolle durchgeführt werden muss.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
33
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Der Beauftragte für den Datenschutz hat nach dem
Gesetz eine herausgehobene Stellung, die sich darin
zeigt, dass er dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen ist. Um
seine Unabhängigkeit in der Wahrnehmung seiner
fachlichen Aufgaben zu gewährleisten, bestimmt das
Gesetz, dass er in der Ausübung seiner Fachkunde
weisungsfrei ist. Damit kann ihm niemand, auch nicht
der Leiter der Stelle, vorschreiben, wie er
datenschutzrechtliche Fragen bewertet. Der Leiter der
Stelle kann sich aber über das Votum des
Datenschutzbeauftragten hinwegsetzen. Denn letztlich
trägt er die Verantwortung für die datenverarbeitende
Stelle.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
34
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Um der hohen Bedeutung des Datenschutzbeauftragten
für einen wirkungsvollen Datenschutz Rechnung zu
tragen, darf nach dem Gesetz für diese Aufgabe nur
bestellt werden, wer die erforderliche „Fachkunde und
Zuverlässigkeit“ besitzt. Der fachkundige
Datenschutzbeauftragte muss also sowohl die
technische als auch die rechtliche Seite seiner Aufgaben
kennen und gute Kenntnisse in allen Bereichen haben,
die für die Organisation, in der er arbeitet, von
Bedeutung sind.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
35
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Besonders bedeutsam für alle, die sich mit einer
datenschutzrechtlichen Beschwerde oder Frage
an ihn wenden, ist die gesetzliche
Verschwiegenheitspflicht des
Datenschutzbeauftragten. Über die Identität des
Betroffenen (Beschwerdeführers) oder
Umstände, die Rückschlüsse hierüber erlauben,
darf er keine Auskünfte geben. Eine Ausnahme
gilt nur, wenn die betroffene Person ihn von
seiner Verschwiegenheitsverpflichtung befreit.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
36
Der Datenschutzbeauftragte – verpflichtend
vorgeschrieben im öffentlichen
Bereich, eine bewährte Institution in der
Privatwirtschaft
• Die öffentlichen und nicht-öffentlichen Stellen müssen
dem Datenschutzbeauftragten eine Übersicht über die in
§ 4e Satz 1 BDSG genannten Angaben sowie über
zugriffsberechtigte Personen zur Verfügung stellen. Sie
sind auch im übrigen verpflichtet, ihn insgesamt bei der
Erfüllung seiner Aufgaben zu unterstützen.
• Zum Schutz des Datenschutzbeauftragten, auch mit dem
Ziel der Absicherung seiner Unabhängigkeit, bestimmt
das Gesetz, dass er nicht wegen der Erfüllung seiner
Aufgaben benachteiligt werden darf. Seine Bestellung
kann nur unter erschwerten Bedingungen widerrufen
werden.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
37
Die Aufgaben des
Datenschutzbeauftragten
• Die Aufgaben des Datenschutzbeauftragten sind vielfältig.
Insbesondere muss er:
– auf die Einhaltung des Bundesdatenschutzgesetzes und anderer
Vorschriften über den Datenschutz hinwirken,
– die ordnungsgemäße Programmanwendung überwachen,
– die bei der Verarbeitung personenbezogener Daten eingesetzten
Mitarbeiterinnen und Mitarbeiter mit den Anforderungen des
Datenschutzes vertraut machen,
– zum Schutz des informationellen Selbstbestimmungsrechtes die für
besonders risikoreiche Datenverarbeitungen erforderliche
Vorabkontrolle durchführen,
– die öffentlich zugänglichen Angaben des Verfahrensverzeichnisses (vgl.
§ 4e Satz 1, Nr. 1 – 8 BDSG) in geeigneter Weise auf Antrag jedermann
verfügbar machen. Einer besonderen Berechtigung oder Begründung
bedarf es für denjenigen, der von diesem Recht Gebrauch machen
möchte, nicht.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
38
Das Datenschutzaudit
• Gesetzesbestimmung: § 9a BDSG
• Mit dem sogenannten „Datenschutzaudit“
können sowohl Anbieter von
Datenverarbeitungssystemen und –programmen
als auch datenverarbeitende Stellen ihre
Datenschutzkonzepte sowie ihre technischen
Einrichtungen mit einem datenschutzrechtlichen
Gütesiegel versehen lassen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
39
Besonderheiten bei der Datenverarbeitung
durch nicht-öffentliche Stellen,
Privatwirtschaft, Vereine etc.
•
•
Gesetzesbestimmung: § 28 BDSG
Eine Besonderheit gilt bei der Datenverarbeitung für eigene Zwecke durch nichtöffentliche Stellen für die sogenannte listenmäßige oder sonst zusammengefasste
Übermittlung von Daten für Zwecke der Werbung, der Markt- oder
Meinungsforschung. Danach gestattet der Gesetzgeber die Übermittlung eines
bestimmten Kataloges von Daten. Dieser Katalog besteht aus
–
–
–
–
–
–
–
•
einer nicht näher bestimmten Angabe: Zugehörigkeit des Betroffenen zu einer bestimmten
Personengruppe (so genanntes freies Merkmal),
Berufs-, Branchen- oder Geschäftsbezeichnungen,
Namen,
Titel,
Akademische Grade,
Anschrift,
Geburtsjahr.
Übermittlungsfähig wären danach z.B. im Rahmen einer listenmäßigen Übermittlung
die katalogmäßig genannten Daten zusätzlich zu der Angabe, dass es sich bei der
Person, deren Daten übermittelt werden, um einen Wanderer handelt. Wenn dann
außerdem noch übermittelt würde, welche Automarke der Wanderer fährt, wäre aber
der zulässige Umfang bei der listenmäßigen Übermittlung bereits überschritten.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
40
Besonderheiten bei der Datenverarbeitung
durch nicht-öffentliche Stellen,
Privatwirtschaft, Vereine etc.
• Eine listenmäßige Übermittlung ist nicht zulässig,
– wenn es um die folgenden sensiblen Angaben geht:
• strafbare Handlungen,
• Ordnungswidrigkeiten,
• arbeitsrechtliche Verhältnisse
– und, wenn diese Angaben im Zusammenhang mit einem
Vertragsverhältnis (oder vertragsähnlichem
Vertrauensverhältnis) gespeichert worden sind.
• Für andere sensitive Daten wie die gesundheitlichen
Verhältnisse oder die politischen Meinungen und
religiösen Überzeugungen gelten die besonderen
Regelungen für die Übermittlung besonderer Arten
personenbezogener Daten (vgl. § 28 Abs. 6 BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
41
Die geschäftsmäßige Datenverarbeitung zum
Zweck der Übermittlung
• Gesetzesbestimmungen: §§ 29, 30 BDSG
• Auch die geschäftsmäßige Datenverarbeitung unterliegt
den allgemeinen Zulässigkeitsvoraussetzungen.
Geschäftsmäßige Datenverarbeitung liegt vor, wenn im
Rahmen einer auf Dauer angelegten Tätigkeit die
Datenverarbeitung als solche den Geschäftszweck
bildet. Das Gesetz selbst nennt als Beispiele die
geschäftsmäßige Datenverarbeitung zum Zweck der
Übermittlung, wenn dies der Werbung, der Tätigkeit von
Auskunfteien, dem Adresshandel oder der Markt- und
Meinungsforschung dient.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
42
Rechte der Bürgerinnen und
Bürger
• Welche Rechte die Bürgerinnen und Bürger im
Zusammenhang mit der Erhebung, Verarbeitung
und Nutzung ihrer Daten haben, regelt das
BDSG unter der Überschrift „Rechte des
Betroffenen“.
• Aber auch an anderer Stelle trifft das BDSG
Regelungen für bestimmte Bereiche, z.B. für die
Videoüberwachung, bei denen sich aus den
Pflichten für die datenverarbeitenden Stellen
spiegelbildlich die Rechte der Bürgerinnen und
Bürger ergeben.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
43
Das Recht auf Auskunft
• Gesetzesbestimmungen: §§ 19, 19a, 33, 34
BDSG
• Jeder – unabhängig von Alter, Wohnsitz und
Nationalität – hat das Recht auf Auskunft über
die zu seiner Person gespeicherten Daten.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
44
Welche Auskunft können Sie
verlangen?
• Über die zu Ihrer Person gespeicherten Daten,
einschließlich der Angabe, woher sie stammen
und an wen sie weitergegeben werden.
• über den Zweck der Speicherung (d.h. die
betreffende Verwaltungsaufgabe oder den
speziellen Geschäftszweck).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
45
Wie erhalten Sie Auskunft?
• Es empfiehlt sich, die Auskunft schriftlich anzufordern.
Zur Legitimation genügt es in der Regel, die Kopie eines
Personaldokuments beizulegen. Einschreiben ist nicht
erforderlich.
• Bei persönlicher Vorsprache wird eine sofortige
Erledigung oft nicht möglich sein.
• Wenn Sie anrufen, kann man Sie meist nicht sicher
identifizieren. Deshalb gilt der Grundsatz: Keine
telefonische Datenauskunft.
• Schreiben Sie möglichst genau, worüber Sie Auskunft
wünschen (also z.B. „meine Daten im Zusammenhang
mit Wohngeld“ oder „im Zusammenhang mit unserem
Mietvertrag“, aber nicht „alles, was die Stadtverwaltung
über mich hat“).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
46
Was kostet eine Auskunft?
• Grundsätzlich brauchen Sie für die Auskunft nichts zu
bezahlen. Es gibt hierzu aber Ausnahmen:
– Schriftliche Auskünfte von Kreditauskunfteien und ähnlichen
Einrichtungen, die Sie gegenüber Dritten wirtschaftlich nutzen
können (etwa um Ihre Bonität nachzuweisen). Das geforderte
Entgelt darf nicht höher sein als die entstandenen direkt
zurechenbaren Kosten. Aber auch bei derartigen Auskünften
brauchen Sie dafür nichts zu bezahlen, wenn besondere
Umstände dafür sprechen, dass Daten unrichtig oder unzulässig
gespeichert sind oder sich dies aus der Auskunft ergibt.
– Bei einer mündlichen Auskunft oder einer Auskunft auf einem
Blatt ohne Namensangabe entstehen Ihnen keine Kosten. Auf
die Möglichkeit, durch persönliche Kenntnisnahme die Auskunft
unentgeltlich zu erhalten, muss die speichernde Stelle Sie
ausdrücklich hinweisen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
47
Was ist an Besonderheiten zu
beachten?
• Bei öffentlichen Stellen
– Über personenbezogene Daten in Akten erhalten Sie
nur Auskunft, wenn
• Sie Angaben machen, die das Auffinden der Daten
ermöglichen, und
• der Arbeitsaufwand nicht außer Verhältnis zu Ihrem
Informationsinteresse steht. Legen Sie deshalb dar, warum
Ihnen die Auskunft wichtig ist.
– Eine Auskunft darüber, ob Daten an einen
Nachrichtendienst (Bundesamt für
Verfassungsschutz, Militärischer Abschirmdienst und
Bundesnachrichtendienst) übermittelt wurden, ist nur
mit dessen Zustimmung zugelassen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
48
Was ist an Besonderheiten zu
beachten?
• Bei nicht-öffentlichen Stellen
• Von Kreditauskunfteien und anderen Stellen, die
geschäftsmäßig Daten zum Zweck der Übermittlung
speichern, können Sie Auskunft auch über Daten
verlangen, die weder in einer automatisierten
Verarbeitung noch in einer nicht-automatisierten Datei
gespeichert sind (z.B. ungeordnete Akten oder Hefter).
• Diese Stellen müssen Ihnen auch sagen, woher sie Ihre
Daten haben und an wen sie die Daten weitergeben, es
sei denn, die Stelle könnte geltend machen, dass ihr
Interesse an der Wahrung des Geschäftsgeheimnisses
gegenüber Ihrem Auskunftsinteresse überwiegt.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
49
In welchen Fällen hat man keinen
Anspruch auf Auskunft?
• Öffentliche Stellen verweigern die Auskunft, soweit
– sonst die Gefahr besteht, dass sie ihre Aufgabe nicht ordnungsgemäß
erfüllen können, z.B. wenn laufende polizeiliche Ermittlungen gefährdet
würden,
– es notwendig ist zum Schutz der öffentlichen Sicherheit oder Ordnung
(kommt nur selten vor) oder
– die Daten oder die Tatsache, dass die Stelle sie speichert, geheim
gehalten werden müssen (aus gesetzlichen Gründen oder im
Geheimhaltungsinteresse eines Dritten, z.B. Adoptionsgeheimnis; im
übrigen sehr selten), und deswegen das Interesse des Betroffenen an
der Auskunft zurücktreten muss. Die Auskunft darf aber nie pauschal
abgelehnt werden, sondern nur nach sorgfältiger Abwägung im
Einzelfall.
• Nicht-öffentliche Stellen dürfen eine Auskunft nur in Fällen
ablehnen, in denen auch keine Benachrichtigungspflicht besteht
(Einzelheiten in § 34 Abs. 4 i.V.m. § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 –
7 BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
50
Was tun, wenn die Auskunft
verweigert wird?
• Sie haben grundsätzlich Anspruch auf eine vollständige Auskunft,
d.h. alle Angaben, für die nach dem Gesetz grundsätzlich eine
Auskunftsverpflichtung besteht, müssen Ihnen mitgeteilt werden.
Soweit die auskunftspflichtige Stelle von einer der oben
beschriebenen gesetzlichen Möglichkeiten Gebrauch macht und nur
teilweise Auskunft erteilt, muss sie auf die Unvollständigkeit der
Auskunft ausdrücklich hinweisen, damit Sie die Möglichkeit haben,
eine Überprüfung zu verlangen.
• Im Allgemeinen ist die Auskunft erteilende Stelle auch verpflichtet zu
begründen, aufgrund welcher gesetzlichen Bestimmung und
aufgrund welcher Tatsachen sie eine Auskunft über bestimmte
Punkte ablehnt. Eine solche Begründung ist nur entbehrlich, wenn
sonst der mit der Auskunftsverweigerung verfolgte Zweck (z.B.
laufende polizeiliche Ermittlungen nicht zu behindern) gefährdet
würde.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
51
Was tun, wenn die Auskunft
verweigert wird?
• Haben Sie Zweifel, ob Ihnen korrekt Auskunft
erteilt worden ist, können Sie sich an die
zuständige Datenschutzkontrollinstitution
wenden. Fügen Sie Ihren Schriftwechsel in
Kopie bei. Ihr Vorgang wird dann umfassend
überprüft, und Sie erhalten in jedem Fall
Bescheid, ob Ihre Rechte beachtet wurden.
• Sie haben außerdem die Möglichkeit einer
gerichtlichen Klage.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
52
Das Einsichtsrecht in das
Verfahrensverzeichnis
• Gesetzliche Bestimmungen: §§ 4g Abs 2, 4d
sowie 4e, 38 Abs 2 BDSG
• Die Behörden und öffentlichen Stellen des
Bundes führen ebenso wie die verantwortlichen
Stellen im nicht-öffentlichen Bereich eine
Übersicht über ihre automatisierten
Verarbeitungen, in denen personenbezogene
Daten gespeichert werden. Diese kann von
jedermann eingesehen werden.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
53
Die Rechte auf Benachrichtigung,
Berichtigung,
Sperrung oder Löschung
• Die Benachrichtigung
– Gesetzesbestimmungen: §§ 19 a, 33 BDSG
– Ein anderes wichtiges Mittel, damit Sie wissen (können), wer welche
Daten über Sie verarbeitet, ist die Benachrichtigung.
– Jede verantwortliche Stelle ist verpflichtet, alle Betroffenen individuell zu
benachrichtigen, über die sie Daten ohne deren Kenntnis erhoben hat
und deren Daten sie speichern oder verarbeiten möchte. Der Zeitpunkt
der Benachrichtigung ist unterschiedlich. Bei öffentlichen Stellen muss
die Unterrichtung, sofern eine Übermittlung vorgesehen ist, spätestens
bei der ersten Übermittlung erfolgen. Im nicht-öffentlichen Bereich
(Privatwirtschaft) benachrichtigen die Stellen, die geschäftsmäßig
personenbezogene Daten verarbeiten, ebenfalls erst bei der
erstmaligen Übermittlung. Die nicht-öffentlichen Stellen, die
personenbezogene Daten für eigene Zwecke verarbeiten, müssen
bereits zum Zeitpunkt der ersten Speicherung benachrichtigen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
54
Die Rechte auf Benachrichtigung,
Berichtigung,
Sperrung oder Löschung
– Die Benachrichtigung muss umfassen:
• Angabe der verantwortlichen Stelle,
• die Tatsache, dass erstmals Daten über die Person, die
benachrichtigt wird, gespeichert oder übermittelt werden, und
• die Art der Daten,
• die Zweckbestimmung der Erhebung bei Verarbeitung oder Nutzung
• sowie die Empfänger oder Kategorien von Empfängern, soweit der
Betroffene nicht mit der Übermittlung an diese rechnen muss.
– In bestimmten im Gesetz genannten Fällen erfolgt keine
Benachrichtigung, etwa weil eine überwiegende
Geheimhaltungspflicht besteht, die Unterrichtung einen
unverhältnismäßigen Aufwand erfordert oder der Betroffene auf
andere Weise Kenntnis von der Speicherung oder der
Übermittlung erlangt hat (vgl. hierzu im Einzelnen §§ 19a Abs. 2,
33 Abs. 2 BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
55
Die Rechte auf Benachrichtigung,
Berichtigung,
Sperrung oder Löschung
• Das Recht auf Berichtigung
– Gesetzesbestimmungen: §§ 20, 35 BDSG
– Jede Stelle ist verpflichtet, unrichtige Daten zu
berichtigen. Es liegt aber auch am Betroffenen selbst,
darauf hinzuweisen, wenn Daten unrichtig oder
überholt sind.
– In nicht dateimäßig strukturierten Akten werden
unrichtige Daten nicht durch richtige ausgetauscht, es
wird aber ein Berichtigungsvermerk beigefügt.
Ebenso ist zu vermerken, wenn der Betroffene die
Richtigkeit bestreitet.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
56
Die Rechte auf Benachrichtigung,
Berichtigung,
Sperrung oder Löschung
•
Wann sind personenbezogene Daten zu löschen?
– Von öffentlichen Stellen, wenn
• ihre Speicherung unzulässig ist, etwa weil schon die Erhebung unzulässig war, oder
• die Kenntnis der Daten für die Aufgabenerfüllung nicht mehr erforderlich ist.
– Von nicht-öffentlichen Stellen, wenn
• die Speicherung unzulässig ist, etwa weil schon die Erhebung unzulässig war, oder
• es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen,
religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit,
über Gesundheit oder das Sexualleben,
• strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der
verantwortlichen Stelle nicht bewiesen werden kann, oder
• für eigene Zwecke verarbeitete Daten für die Erfüllung des Speicherungszwecks nicht
mehr erforderlich sind, oder
• geschäftsmäßig zum Zweck der Übermittlung verarbeitete Daten aufgrund einer am
Ende des vierten Kalenderjahres nach der ersten Speicherung vorzunehmenden
Prüfung nicht mehr erforderlich sind (z.B. bei Auskunfteien und Adressverlagen).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
57
Die Rechte auf Benachrichtigung,
Berichtigung,
Sperrung oder Löschung
• Wann sind personenbezogene Daten zu sperren?
– Personenbezogene Daten sind immer dann zu sperren, wenn
einer fälligen Löschung besondere Gründe entgegenstehen,
etwa
• gesetzlich, satzungsmäßig oder vertraglich festgelegte
Aufbewahrungsfristen,
• schutzwürdige Interessen des Betroffenen, etwa weil ihm
Beweismittel verloren gingen, oder
• ein unverhältnismäßig hoher Aufwand wegen der besonderen Art
der Speicherung.
– Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur
übermittelt oder genutzt werden, wenn dies
• zu wissenschaftlichen Zwecken,
• zur Behebung einer bestehenden Beweisnot oder
• aus sonstigen im überwiegenden Interesse der verantwortlichen
Stelle oder eines Dritten liegenden Gründen unerlässlich ist.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
58
Das Widerspruchsrecht
• Gesetzesbestimmungen § 20 Abs 5, 35 Abs 5 BDSG
• Das Widerspruchsrecht nach § 20 Abs. 5 und § 35 Abs.
5 BDSG richtet sich gegen rechtmäßige
Datenverarbeitungen.
• Der Widerspruch ist begründet,
– sofern besondere Umstände in der Person des Betroffenen
vorliegen,
– und das schutzwürdige Interesse des Betroffenen das Interesse
der verantwortlichen Stelle an der Erhebung, Verarbeitung oder
Nutzung der entsprechenden personenbezogenen Daten
überwiegt.
• Achtung: Es gibt kein Widerspruchsrecht, wenn eine
Rechtsvorschrift eine Verpflichtung zur Erhebung,
Verarbeitung oder Nutzung vorschreibt.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
59
Die Rechte bei automatisierten
Einzelentscheidungen
• Gesetzesbestimmung: § 6a BDSG
• Die Maschine darf nicht über den Menschen entscheiden!
Diesen Grundsatz setzt das BDSG in der Regelung zur
automatisierten Einzelentscheidung in § 6a BDSG um.
• Danach dürfen Entscheidungen,
– die für den Betroffenen eine rechtliche Folge nach sich ziehen
– oder ihn erheblich beeinträchtigen,
• nicht ausschließlich auf automatisierte Verarbeitung
personenbezogener
• Daten gestützt werden, die der Bewertung einzelner
Persönlichkeitsmerkmale dient. Gemeint sind automatisierte
Entscheidungsverfahren, die beispielsweise die berufliche
Leistungsfähigkeit, die Kreditwürdigkeit, die Zuverlässigkeit oder
eine sonstige Verhaltensweise betreffen können.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
60
Die Rechte bei automatisierten
Einzelentscheidungen
• Ein Beispiel ist das sog. „Scoring-Verfahren“, das u. a.
von Kreditauskunfteien verwandt wird. ScoringVerfahren, auch Punktwertverfahren genannt, stellen
eine auf mathematisch-statistischen Verfahren
gründende Auswertungsmethode dar, die eine Mehrzahl
von Menschen oder Merkmalen in eine Reihenfolge
nach einem oder mehreren Kriterien bringt. Der
ermittelte Score-Wert wird dann als Risikoprognose an
Vertragspartner weitergegeben. Solche Verfahren
können durchaus zulässig sein. Maßgeblich ist, dass
eine für den Betroffenen negative Entscheidung nicht
allein auf einen Score-Wert gestützt wird.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
61
Die Rechte bei automatisierten
Einzelentscheidungen
• Das Verbot der automatisierten Entscheidung
gilt nicht,
– wenn die Entscheidung im Rahmen eines
Vertragsverhältnisses oder sonstigen
Rechtsverhältnisses ergeht und dem Anliegen des
Betroffenen stattgegeben wird,
– wenn die berechtigten Interessen des Betroffenen
durch geeignete Maßnahmen gewährleistet sind
– und der Betroffene von der verantwortlichen Stelle
über die Tatsache des Vorliegens einer
automatisierten Entscheidung (nach § 6a Abs. 1
BDSG) informiert wird.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
62
Die Rechte bei automatisierten
Einzelentscheidungen
• Als eine geeignete Maßnahme zur Sicherung
der Interessen des Betroffenen gilt
insbesondere, wenn ihm die Möglichkeit
eingeräumt wird, seinen Standpunkt geltend zu
machen und die verantwortliche Stelle daraufhin
ihre Entscheidung erneut überprüft. Die erneute
Überprüfung darf dann nicht in ausschließlich
automatisierter Form erfolgen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
63
Die Rechte beim Einsatz von
Videoüberwachung
•
•
•
•
Gesetzesbestimmung: § 6b BDSG
§ 6b bestimmt die Voraussetzungen, unter denen die „Beobachtung öffentlich
zugänglicher Räume mit optisch-elektronischen Einrichtungen“ (Videoüberwachung)
zulässig ist. Unter „öffentlich zugänglichem Raum“ ist der Raum zu verstehen, in dem
sich jedermann berechtigt aufhalten kann, ohne in irgendwelche Rechtsbeziehungen
zum Inhaber des Hausrechts dieses Raumes treten zu müssen. Im Einzelfall bedarf
es der Auslegung, was darunter zu fassen ist. Beispiele für öffentlich zugängliche
Räume sind Kaufhäuser, Bürgersteige oder auch Einkaufspassagen.
Nicht erfasst ist die Beobachtung im Arbeitnehmerbereich innerhalb von
Unternehmen oder Behörden (Merke: hier kann die Überwachung als Verstoß
gegen das allgemeine Persönlichkeitsrecht unwirksam sein).
Erlaubt ist die Überwachung
–
–
–
•
zur Aufgabenerfüllung öffentlicher Stellen,
zur Wahrnehmung des Hausrechts oder
zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke,
soweit sie erforderlich ist. Das bedeutet, dass immer zu prüfen ist, ob es für den
angestrebten Zweck wirklich einer Videoüberwachung bedarf, welche Alternativen es
hierzu möglicherweise gibt, und ob nicht in das Persönlichkeitsrecht weniger
einschneidende Maßnahmen infrage kommen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
64
Die Rechte beim Einsatz von
Videoüberwachung
• Eine heimliche Beobachtung ist unzulässig. Die Videoüberwachung
muss durch geeignete Maßnahmen kenntlich gemacht werden. Da
bei einer Videoüberwachung öffentlich zugänglicher Räume damit
gerechnet werden muss, dass Menschen verschiedener
Nationalitäten erfasst werden, sollten die Hinweisschilder
mehrsprachig sein. Die hier zu stellenden Anforderungen müssen
nach der Lage im Einzelfall beurteilt werden.
• Wenn die durch Videoüberwachung erhobenen Daten einer
bestimmten Person zugeordnet werden, muss diese Person über
die Verarbeitung oder Nutzung entsprechend §§ 19a und 33 BDSG
benachrichtigt werden. So ist gewährleistet, dass diese von der
Überwachung und der anschließenden Auswertung Kenntnis erhält
und selbst für die Wahrung ihrer Rechte eintreten kann.
• Daten, die nicht mehr für den angestrebten Zweck der Überwachung
benötigt werden, müssen unverzüglich gelöscht werden. Dasselbe
gilt, wenn schutzwürdige Interessen des Betroffenen der weiteren
Speicherung entgegenstehen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
65
Das Recht auf Anrufung des Bundesbeauftragten
für den Datenschutz und die Informationsfreiheit
sowie anderer Kontrollinstitutionen
•
•
•
Gesetzesbestimmungen: §§ 21, 38 BDSG
Wer annimmt, bei der Erhebung, Verarbeitung oder Nutzung seiner
persönlichen Daten durch öffentliche Stellen des Bundes oder ein
Telekommikations- oder Postdienstunternehmen in seinen Rechten verletzt
worden zu sein, kann sich an den Bundesbeauftragten für den Datenschutz
und die Informationsfreiheit wenden. Als unabhängige Beschwerdeinstanz
mit umfassenden Kontrollbefugnissen geht der Bundesbeauftragte allen
Eingaben nach und unterrichtet den Betroffenen vom Ergebnis.
Da das Bundesdatenschutzgesetz im Bereich der Kirchen und bei
kirchlichen Einrichtungen mit Blick auf das verfassungsrechtlich
garantierte Selbstbestimmungsrecht von Religionsgemeinschaften nicht gilt,
haben die Evangelische Kirche in Deutschland, die Evangelischen
Landeskirchen und die Bistümer der Katholischen Kirche in Deutschland
eigene Datenschutzvorschriften erlassen, die auch die Einrichtung
kirchlicher Datenschutzbeauftragten vorsehen. An diese kann man sich mit
Anfragen und Beschwerden datenschutzrechtlicher Art wenden.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
66
Das Recht auf Schadensersatz
• Gesetzesbestimmungen: §§ 7, 8 BDSG
• Wenn eine verantwortliche Stelle einem Betroffenen
durch eine unzulässige oder unrichtige
Datenverarbeitung einen Schaden zufügt, ist sie zum
Ersatz des Schadens verpflichtet (vgl. § 7 BDSG). Diese
Schadensersatzverpflichtung gilt sowohl für öffentliche
als auch für nicht-öffentliche Stellen.
• Bei einer schweren Verletzung des Persönlichkeitsrechts
ist dem Betroffenen auch der Schaden, der nicht
Vermögensschaden ist, angemessen in Geld zu
ersetzen (Schmerzensgeld). Der
Schmerzensgeldanspruch bei der
verschuldensabhängigen Haftung ergibt sich aus dem
Bürgerlichen Gesetzbuch (BGB).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
67
Das Recht auf Schadensersatz
• Die verantwortliche Stelle kann sich von der Haftung
befreien, wenn sie den Nachweis erbringt, dass sie den
Schaden nicht zu vertreten hat. Sie muss beweisen,
dass sie die nach den Umständen des Falles gebotene
Sorgfalt beachtet hat.
• Öffentliche Stellen haften auch unabhängig von einem
Verschulden bis zu einem Höchstbetrag von 130.000
Euro (Gefährdungshaftung). Auch bei der
verschuldensunabhängigen Haftung gibt es bei
schweren Persönlichkeitsverletzungen einen
Schmerzensgeldanspruch (vgl. § 8 Abs. 2 BDSG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
68
Auswirkungen auf das
Arbeitsrecht
Individualarbeitsrecht
www.kanzlei-hessling.de
Schutz des Arbeitnehmers
• Im Arbeitsrecht ist der Schutz des Arbeitnehmers
auch im Hinblick auf den Datenschutz auch
gewährleistet durch
– das allgemeine Persönlichkeitsrecht (§§ 611, 242
BGB i.V.m. Art. 1 und 2 GG)
• Der Arbeitgeber muss alles unterlassen, was die
Rechte des Arbeitnehmers beeinträchtigt und
nicht durch die Sicherung und Verfolgung
eigener, höherwertiger Rechte geboten ist.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
70
Einzelne Auswirkungen des
Datenschutzes auf das Arbeitsverhältnis
• Videoüberwachung
– Ist grundsätzlich zulässig. Wenn ein Betriebsrat vorhanden, hat dieser
ein erzwingbares Mitbestimmungsrecht. Ohne Zustimmung des
Betriebsrats hergestellte Videoaufnahmen dürfen grundsätzlich nicht
zum Nachteil von Arbeitnehmern verwertet werden, es sei denn der
Arbeitgeber hatte keine andere Möglichkeit sonst seine Rechtsgüter
(Eigentum, Vermögen) vor Übergriffen zu schützen (vgl. BAG v.
27.03.2003 – 2 AZR 51/02). Eine verdeckte Videoüberwachung der
Arbeitsleistung eines Arbeitnehmers stellt einen Eingriff in das
Persönlichkeitsrecht des Arbeitnehmers dar, der in der Regel auch
durch Interessen des Arbeitgebers nicht gerechtfertigt werden kann. Bei
einer offenen Videoüberwachung kommt es auf die Umstände des
Einzelfalles an, insbesondere auf Anlass, Überwachungsintensität und
Verhältnismäßigkeit (BAG v. 29.03.2004 – 1 ABR 21/03). Der Eingriff in
das Persönlichkeitsrecht des Arbeitnehmers setzt überwiegende
schutzwürdige Belange des Arbeitgebers voraus (BAG v. 14.12.2004 –
1 ABR 74/03).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
71
Einzelne Auswirkungen des
Datenschutzes auf das Arbeitsverhältnis
• Genanalyse
– Ist grundsätzlich unzulässig, da ein unverhältnismäßiger Eingriff
in das allgemeine Persönlichkeitsrecht des Arbeitnehmers.
• Telefondatenerfassung / Erfassung besuchter
Internetseiten / E-Mail-Verkehr
– Ist bei Dienstapparaten / Dienstcomputern grundsätzlich
zulässig (der Betriebsrat / Personalrat hat ein
Mitbestimmungsrecht), wenn dies etwa der Kostenkontrolle
dient. Bei Telefonen / Computern des Betriebsrats / Personalrats
ist die Datenerfassung i.d.R. unzulässig.
– Das heimliche Abhören von Telefongesprächen ist ein
unverhältnismäßiger Eingriff in das Persönlichkeitsrecht des
Arbeitnehmers und daher unzulässig.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
72
Einzelne Auswirkungen des
Datenschutzes auf das Arbeitsverhältnis
• Überwachung der Arbeitsleistung durch Produktographen /
Workflowmanagementsysteme etc.
– Ist grundsätzlich zulässig, unterliegt aber der Mitbestimmung des
Betriebsrats / Personalrats. Ohne seine Zustimmung durchgeführte
Überwachung ist unzulässig.
• Detektiveinsatz
– Ist jedenfalls im Einzelfall zulässig, wenn der konkrete Verdacht besteht,
dass ein Arbeitnehmer sich in erheblichem Maße vertragswidrig verhält
(z.B. Verrichtung anderweitiger Arbeit während der Arbeitsunfähigkeit).
Wird der Arbeitnehmer „erwischt“, hat er im Wege des
Schadensersatzes auch die Kosten des Detektiveinsatzes zu tragen.
Ein Mitbestimmungsrecht des Betriebsrats / Personalrats besteht nach
h.M. nicht; es kommt allenfalls in Betracht, wenn das sog.
Ordnungsverhalten von Arbeitnehmern im Betrieb erforscht wird (§ 87
Abs. 1 Nr. 1 BetrVG).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
73
Einzelne Auswirkungen des
Datenschutzes auf das Arbeitsverhältnis
• Einsatz von Fahrtenschreibern (soweit nicht gesetzlich
vorgeschrieben, vgl. BAG v. 10.07.1979, AP Nr. 3 zu § 87 BetrVG
1972 Überwachung) oder GPS-Ortungssystemen = grundsätzlich
erlaubt, aber mitbestimmungspflichtig.
• Einsatz von Personal Computern = grundsätzlich erlaubt, aber
mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu
überwachen.
• Einsatz von Unternehmens-Datenverarbeitungssystemen (z.B.
SAP etc) = grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil
generell geeignet, Arbeitnehmer zu überwachen.
• Einsatz von biometrischen Identifikationsverfahren =
grundsätzlich erlaubt, aber mitbestimmungspflichtig, weil generell
geeignet, Arbeitnehmer zu überwachen (BAG v. 27.01.2004, NZA
2004, 556ff.).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
74
Einzelne Auswirkungen des
Datenschutzes auf das Arbeitsverhältnis
•
•
•
•
•
Einführung von Arbeitszeiterfassungssystemen = grundsätzlich erlaubt,
aber mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu
überwachen.
Einführung von Wissensdatenbanken / Expertensystemen mit
Mitarbeiterprofilen = grundsätzlich erlaubt, aber mitbestimmungspflichtig,
weil generell geeignet, Arbeitnehmer zu überwachen.
Einführung von Workflow-Systemen = grundsätzlich erlaubt, aber
mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu
überwachen.
Einführung von Telefonanlagen = grundsätzlich erlaubt, aber
mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu
überwachen.
Einsatz von Programmen zur Überwachung der PC-Arbeit / der
Internetnutzung (z.B. „Sniffer“, „KGB“ etc) = grundsätzlich erlaubt, aber
mitbestimmungspflichtig, weil generell geeignet, Arbeitnehmer zu
überwachen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
75
Auswirkungen auf das
Arbeitsrecht
Kollektivarbeitsrecht
www.kanzlei-hessling.de
Handlungsprobleme des Betriebsrats
bei neuen Technologien
•
Im BetrVG ist kein umfassendes Mitbestimmungsrecht für neue Technologien
oder auch einzelne konkrete Anwendungsfälle, wie Personalinformations- oder
Betriebsdatenerfassungssysteme, vorgesehen. Es gibt allerdings Normen, die sich
direkt auf Technik und deren Einsatz beziehen, wie z. B. § 87 Abs. 1 Nr. 6, § 90
Abs. 1 Nr. 2 oder auch § 111 Nr. 4 BetrVG. Diese und eine Reihe weiterer allgemein
formulierter Rechte können vom Betriebsrat bei technologischen Veränderungen im
Betrieb eingesetzt werden. So kann der Betriebsrat z. B. seine Informations- und
Beratungsrechte neben § 90 BetrVG auch je nach Sachlage auf §§ 92, 106, 111
oder auf §§ 80 Abs. 2, 3, 111 Satz 2 BetrVG stützen, wenn er sachkundige
Arbeitnehmer oder einen Sachverständigen einschalten will. Mitbestimmungsrechte
können sich nicht nur aus § 87 Abs. 1 Nr. 6 oder § 112 BetrVG ergeben, sondern
ebenso aus § 87 Abs. 1 Nrn. 1, 7 und Nr. 13, §§ 91, 94, 95 BetrVG oder aber auch
aus § 87 Abs. 1 Nrn. 2, 3 oder Nrn. 10 bis 12 BetrVG. Es ist für den Betriebsrat von
großer Bedeutung, diese Vorschriften nicht isoliert zu sehen, sondern je nach
Sachlage zu kombinieren, um den Arbeitnehmern im Betrieb den erforderlichen
Schutz zu geben und die Arbeitsbedingungen sozial zu gestalten. Eine solche
Sichtweise ist vor dem Hintergrund der gravierenden strukturellen Veränderungen in
Betrieb und Unternehmen, die vor allem auf der Basis der Computertechnologien
durchgeführt wurden und werden, unverzichtbar.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
77
Handlungsprobleme des Betriebsrats
bei neuen Technologien
•
Die bis heute aufgebauten und zukünftig zu erwartenden DV-Netzwerke verändern
massiv das zwischen Arbeitgeber und Betriebsrat bestehende Kräfteverhältnis.
Überall dort, wo es um eine Verarbeitung von Informationen, die entsprechende
Steuerung von Betriebsabläufen und deren Kontrolle geht, erlangen die Arbeitgeber
eine neue Beweglichkeit. Standort- wie auch Entscheidungen über eine kurzfristige
oder dauerhafte Verlagerung von Unternehmens-Funktionen können flexibel
getroffen werden. Auch die Möglichkeiten arbeitsteiligen Vorgehens nehmen zu.
Internationale virtuelle Unternehmen entstehen, projektbezogene, zeitlich
begrenzte Kooperationen rechtlich unabhängiger Unternehmen oder
Nunternehmensbereiche, um bestimmte Produkte und Dienstleistungen zu erstellen.
Reale Ressourcen werden so problembezogen in flexiblen UN-Netzwerken verknüpft.
Nach Aufgabenerfüllung wird die Zusammenarbeit beendet und ggf. ein Netzwerk mit
anderen Partnern aufgebaut. Ein Unternehmen mit festem Standort, genau
definierten rechtlichen Grenzen, festen Organisationsstrukturen und einer eher
dauerhaften Ressourcenzuordnung, um langfristig bestimmte Produkte und
Dienstleistungen zu erstellen, also die vom BetrVG vorausgesetzte stabile
Organisationsgrundlage für Betriebsratsarbeit, ist dann nicht mehr erkennbar.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
78
Handlungsprobleme des Betriebsrats
bei neuen Technologien
• Die Arbeitgeber erschließen sich erhebliche
Rationalisierungspotenziale. Nicht nur die Kosten der
Informationsverarbeitung werden geringer. Diese selbst
ermöglicht weltweite Produktivitäts- und
Kostenvergleiche und damit ggf. – je nach Bedarf und
strategischer Entscheidung – den Wegfall von
Doppelarbeiten und der hierdurch entstehenden Kosten.
Die Unternehmen erlangen hierdurch ein erhebliches
Druckpotenzial gegenüber Arbeitnehmern, Betriebsräten
und Gewerkschaften. Dies wird noch dadurch gesteigert,
dass enorm verdichtete, zeitnahe Informationen zu einer
beschleunigten Umsetzungsgeschwindigkeit von
Managemententscheidungen führen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
79
Handlungsprobleme des Betriebsrats
bei neuen Technologien
• Die hier beschriebenen Entwicklungen führen nicht nur
zu einer erheblichen Machtverschiebung zugunsten der
Arbeitgeberseite und zur Schwächung der Betriebsräte
sowie erheblichen Beschäftigungsrisiken für die
Arbeitnehmerschaft, mit ihnen sind weitere Probleme
verbunden. So kann der Einsatz neuer Technologien zu
Gefährdungen des Persönlichkeitsrechts führen.
• Ebenso können für den Beschäftigten
Gesundheitsgefahren auftreten, wie dies für
Bildschirmarbeitsplätze exemplarisch diskutiert wurde.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
80
Handlungsprobleme des Betriebsrats
bei neuen Technologien
• Der Einsatz neuer Technologien kann schließlich auch
zu einer Entwertung der bei den Arbeitnehmern
vorhandenen Qualifikationen führen.
• Diese Entwicklungen sind jedoch keineswegs
zwangsläufig, sondern sozial gestaltbar. Ebenso ist es
nämlich denkbar, dass Betriebsrat eine
vorausschauende Personal- und Qualifikationsplanung
im Interesse der Beschäftigten durchsetzen (vgl. §§ 92,
92a, 97 BetrVG) und humanere Formen der
Arbeitsorganisation, die den Beschäftigten mehr
Kommunikation, interessantere Tätigkeiten, mehr
Selbstständigkeit und Gelegenheiten verschaffen,
entsprechend ihrer Qualifikation zu arbeiten.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
81
Das Mitbestimmungsrecht des Betriebsrats
gem § 87 Abs. 1 Ziffer 6 BetrVG
• Das Mitbestimmungsrecht wurde geschaffen, da
technische Kontrolleinrichtungen stark in den
persönlichen Bereich der Arbeitnehmer eingreifen (vgl.
BT-Drucks. VI/1786, S. 49). Es dient dem
Persönlichkeitsschutz der Arbeitnehmer und
konkretisiert den in § 75 Abs. 2 BetrVG enthaltenen
Grundsatz (vgl. z. B. BAG 14.5.74, 9.9.75, AP Nrn. 1, 2
zu § 87 BetrVG 1972 Überwachung; 15.12. 92, CR 94,
111 [114]; 8.11.94, DB 95, 783). Der Betriebsrat soll mit
Hilfe des Mitbestimmungsrechts zugunsten der potentiell
in ihrer Persönlichkeitssphäre betroffenen Arbeitnehmer
eine präventive Schutzfunktion wahrnehmen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
82
Das Mitbestimmungsrecht des Betriebsrats
gem § 87 Abs. 1 Ziffer 6 BetrVG
• Die Einführung und Anwendung von technischen
Einrichtungen, die geeignet sind, das Verhalten oder die
Leistung von Arbeitnehmern zu überwachen ist gem. §
87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Wichtig
ist dabei, dass das Mitbestimmungsrecht bei Einführung
und Anwendung solcher technischer Einrichtungen auch
dann besteht, wenn der Arbeitgeber überhaupt nicht
beabsichtigt, die Einrichtungen auch tatsächlich zur
Arbeitnehmerüberwachung zu verwenden, es kommt
hier allein darauf an, dass technische Einrichtungen
eingeführt oder betrieben werden, die zur
Arbeitnehmerüberwachung objektiv geeignet sind,
unabhängig von ihrer konkreten Verwendung im
Einzelfall (zuletzt BAG v. 27.01.2004, NZA 2004, 556ff.).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
83
Das Mitbestimmungsrecht des Betriebsrats
gem § 87 Abs. 1 Ziffer 6 BetrVG
•
•
Die Überwachung muss durch eine technische Einrichtung erfolgen, d. h.,
die Überwachung nur durch einen Menschen ist nicht erfasst. Es unterliegt
daher nicht der Mitbestimmung nach dieser Vorschrift, wenn ein
Vorgesetzter oder der Werkschutz Kontrollen durchführt (BAG 23. 0.84, AP
Nr. 8 zu § 87 BetrVG 1972; 26.3.91, AP Nr. 21 zu § 87 BetrVG 1972
Überwachung). Darüber hinaus wird bereits bei der Definition der
technischen Einrichtung gefordert, dass diese in ihrem Kern selbst eine
Überwachung bewirken, eine eigenständige Kontrollwirkung haben
müsste (BAG 9.9.75, AP Nr. 2 zu § 87 BetrVG 1972 Überwachung).
Demzufolge sollen z. B. Uhr, Lupe, Brille, Fernglas, Taschenrechner oder
Schreibgeräte (BAG 24.11.81, AP Nr. 3 zu § 87 BetrVG 1972 Ordnung des
Betriebes) keine technischen Einrichtungen sein.
Bei DV-Anlagen hat das BAG ohne weitere Untersuchung das Vorliegen
einer technischen Einrichtung in den Entscheidungen zum
Technikerberichtssystem, dem rechnergesteuerten Textsystem und dem
Personalinformationssystem PAISY bejaht (14.9.84, 23.4.85, 11.3.86, AP
Nrn. 9, 12, 14 zu § 87 BetrVG 1972 Überwachung; vgl. auch für ein sog.
Arbeitswirtschaftsinformationssystem [ARWIS] BAG 26.7.94, NZA 95, 185
[186]).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
84
Das Mitbestimmungsrecht des Betriebsrats
gem § 87 Abs. 1 Ziffer 6 BetrVG
•
•
Einführung der technischen Einrichtung ist die Entscheidung, ob, für welchen
Zeitraum, an welchem Ort, mit welcher Zweckbestimmung und Wirkungsweise sie,
ggf. auch zunächst nur probeweise, betrieben werden soll.
Die Einführung beginnt mit der Entscheidung des AG, eine bestimmte technische
Einrichtung anzuwenden. Da die Planung noch nicht erfasst wird und die
Entscheidung des AG häufig nicht sichtbar ist, wird das Mitbestimmungsrecht faktisch
regelmäßig erst realisierbar sein, wenn konkrete Vorbereitungsmaßnahmen zur
Anwendung der technischen Einrichtung ergriffen werden (vgl. ArbG Hamburg
19.9.95, CR 96, 742 [743]), wenn die Entscheidung umgesetzt wird. Der AG hat also
das Mitbestimmungsrecht jedenfalls dann zu beachten, wenn die AN, die an den
neuen Maschinen arbeiten sollen, eingewiesen werden, wenn ihnen z. B. erklärt wird,
wann sie welche Tasten an einem Produktographen zu bedienen haben. Das
Mitbestimmungsrecht greift auch bereits ein, wenn eine Kamera installiert wird, und
nicht erst dann, wenn der entsprechende Film eingelegt oder abgespielt wird. Auf
Computer bezogen bedeutet dies, dass die Erprobung von Programmen mit
fiktiven Daten der Mitbestimmung unterliegt, da die Entscheidung des AG über die
Anwendung des Systems bereits getroffen ist (ArbG Hamburg, a. a. O.). Auch die
manuelle Erfassung von AN-Daten unterliegt der Mitbestimmung, falls diese in den
Computer eingespeichert werden sollen und eine Verarbeitung zulassen, die eine
Kontrolle von Verhalten und Leistung ermöglicht (ArbG Offenbach 29.1.85 – 3 BVGa
1/85).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
85
Das Mitbestimmungsrecht des Betriebsrats
gem § 87 Abs. 1 Ziffer 6 BetrVG
•
•
•
Unter Überwachung hat das BAG zunächst einen Vorgang verstanden,
durch den Informationen über das Verhalten oder die Leistung der AN
erhoben und in aller Regel irgendwie aufgezeichnet werden, damit diese
auch der menschlichen Wahrnehmung zugänglich gemacht werden (so
BAG v. 6.12.83, AP Nr. 7 zu § 87 BetrVG 1972 Überwachung).
Gegenstand der Überwachung muss Verhalten oder Leistung der AN sein.
Demzufolge wird eine technische Einrichtung, die ausschließlich Daten über
den Lauf oder die Nutzung von Maschinen sammelt, nicht erfasst.
Das Mitbestimmungsrecht scheidet nicht bereits deshalb aus, weil lediglich
auf eine Gruppe von AN bezogene Daten erhoben oder verarbeitet
werden, also keine auf den einzelnen Beschäftigten rückführbare
Informationen. Das BAG hat das Mitbestimmungsrecht dann bejaht, wenn
die AN in einer überschaubaren Gruppe (z. B. 6 bis 8 Mitglieder) im
Gruppenakkord arbeiten, weil der von der technischen Einrichtung
ausgehende Überwachungsdruck auf die Gruppe auf den einzelnen AN
durchschlägt (18.2.86, AP Nr. 13 zu § 87 BetrVG Überwachung).
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
86
Das Mitbestimmungsrecht des Betriebsrats
gem § 87 Abs. 1 Ziffer 6 BetrVG
• Der Betriebsrat kann die Unterlassung von
mitbestimmungswidrigen Maßnahmen vom
Arbeitgeber verlangen und ggf. auf dem
Rechtsweg (Beschlussverfahren) durchsetzen,
ggf. auch durch Beantragung einer einstweiligen
Verfügung.
• Der Betriebsrat kann zudem die Regelung
dieser Fragen in einer Betriebsvereinbarung
verlangen. Kommt eine Einigung nicht zustande,
so entscheidet die Einigungsstelle.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
87
Was hat der Personalrat zu
beachten?
• Für den PR ergibt sich das Mitbestimmungsrecht
aus § 75 Abs. 3 Ziffer 17 BPersVG.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
88
Ausgewählte Rechtsprechung
www.kanzlei-hessling.de
Der Datenschutzbeauftragte hat keinen
eigenständigen Kündigungsschutz
• Urteil des Landesarbeitsgerichts Niedersachsen vom 16. Juni 2003,
Az.: 8 Sa 1968/02
• Leitsätze:
– Aus § 4f Abs. 3 Satz 3 und 4 BDSG folgt kein genereller
Ausschluss der ordentlichen Kündigung.
– Mit der Beendigung des Arbeitsverhältnisses ist auch die
Bestellung als Datenschutzbeauftragter automatisch beendet.
• Die auch vom BAG bestätigte Entscheidung (BAG, 27. Oktober
2003, Az.: 2 AZR 474/03) verneint einen eigenständigen
Kündigungsschutz des betrieblichen Datenschutzbeauftragten. Sie
beendet zugleich die Debatte um die Selbständigkeit oder
Akzessorietät seiner Bestellung/Abberufung im Verhältnis zum
Arbeitvertrag. Eine Beendigung des Arbeitsverhältnisses - gleich
welcher Art - gilt „automatisch“ auch für die Stellung als
Datenschutzbeauftragter.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
90
Veröffentlichung von Grunddaten
eines Beamten im Internet zulässig
•
Urteil des Oberverwaltungsgerichts Rheinland-Pfalz vom 10. September 2007, Az: 2
A 10413/07
•
Leitsätze:
•
–
Im Interesse einer transparenten, bürgernahen öffentlichen Verwaltung ist der
Dienstherr von Rechts wegen nicht gehindert, Namen, Funktion und dienstliche
Erreichbarkeit jedenfalls solcher Beamter, die mit Außenkontakten betraut sind, auch
ohne deren Einverständnis im Internet bekannt zu geben. Etwas anderes gilt lediglich
dann, wenn einer solchen Bekanntgabe Sicherheitsbedenken entgegenstehen.
–
§ 11 Abs. 2 IFG regelt nur eine Verpflichtung zur Mindestausgestaltung veröffentlichter
Zuständigkeitsübersichten, ohne deren Personalisierung auszuschließen.
–
Das Grundrecht auf informationelle Selbstbestimmung steht - ungeachtet der Frage
seiner Anwendbarkeit auf Amtsträger - einer Veröffentlichung nicht entgegen.
Die Entscheidung bejaht die Zulässigkeit der Publikation von Namen, Funktion und
dienstliche Erreichbarkeit von Beamten nach rheinland-pfälzischem Landesrecht. Die
einschlägigen Vorschriften des Landesdatenschutzgesetzes und des
Landesbeamtengesetzes erklärt sie für verfassungsgemäß und als für die
Maßnahme ausreichend.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
91
Anspruch der Personalvertretung auf Information über
automatisierte Zeiterfassungsdaten
•
•
Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen,
Fachsenat für Bundespersonalvertretungssachen, Az.: 1 A 4935/04.PVB
Leitsatz:
– Der Informationsanspruch der Personalvertretung kann es im
Zusammenhang mit der Aufgabe der Überwachung der
Arbeitszeitschutzbestimmungen einschließen, dass der Leiter der
Dienststelle die vorzulegenden Unterlagen (Übersichtslisten) bezogen auf
die einzelnen Beschäftigten mit festen Kennziffern versehen muss.
•
Die Entscheidung entwickelt für die datenschutzrechtlichen Grenzen der
Personalvertretung eine praxisorientierte Linie: Soweit bei einer
statistischen, d.h. nicht auf bestimmte Personen bezogenen Unterrichtung
einzelne Datensätze mitzuteilen sind, ist eine Bezeichnung der Personen
nur durch Kennziffern eine ausreichende Schutzmaßnahme, auch wenn
eine Identifizierbarkeit in besonderen Konstellationen dadurch allein nicht
ganz ausgeschlossen ist.
Die Entscheidung entspricht der Forderung des § 3 BDSG nach
Datenvermeidung und –anonymisierung, und erleichtert zugleich die
sachgerechte Information der Personalvertretung.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
92
Eine Videoüberwachung am Arbeitsplatz ist nur
verdachtsgestützt und verdachtsorientiert zulässig
•
•
Beschluss des Bundesarbeitsgerichts (BAG) vom 14.12.2004, Az.: 1 ABR 34/03
Leitsatz:
–
1. Die Einrichtung einer Videoüberwachung in einem Postverteilungszentrum die das Verhalten der
Beschäftigten dauerhaft während fast der gesamten Arbeitszeit erfasst, ist auch unter
Berücksichtigung ihres Zweckes, das Postgeheimnis, das Eigentum der Postkunden und die
wirtschaftlichen Interessen des Postdienst-Unternehmens zu schützen, nicht verhältnismäßig und
verletzt daher das Persönlichkeitsrecht der Beschäftigten, wenn sie nicht auf konkrete
Verdachtsmomente gestützt ist und entsprechend räumlich und zeitlich eingegrenzt wird.
2. Der Eingriff ist nicht durch ausdrückliche gesetzliche Regelungen gerechtfertigt. Die Vorschrift
des § 6a BDSG zur Videoüberwachung in öffentlich zugänglichen Räumen ist auf nicht-öffentliche
Räume nicht entsprechend anwendbar.
3. Die Videoüberwachung ist dem Arbeitgeber auch nicht allein auf Grund seines Hausrechts
gestattet.
•
Die Entscheidung enthält bedeutende Aussagen zur Videoüberwachung und zum
Arbeitnehmerdatenschutz. Sie stärkt diesen gegenüber dem Hausrecht des
Arbeitgebers. Dessen wirtschaftliches Interesse und der Schutz von Postdienstkunden
rechtfertigt zwar Kontrollmaßnahmen, aber nur soweit bei der konkreten Sachlage notwendig und
angemessen. Soweit die Betroffenen sich einer Überwachung nicht entziehen können, sind die
Regelungen des § 6a BDSG für die Videoüberwachung an öffentlich zugänglichen Orten auch
nicht analog anwendbar.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
93
Eine Teilentfernung von Personalaktendaten erfolgt durch
Schwärzung; der Anspruch auf Entfernung nach Zeitablauf
umfasst keinen Anspruch auf Neufassung eines
Personalgesprächsvermerks
•
•
Beschluss des Bundesverwaltungsgerichts vom 9. Dezember 1999,
Aktenzeichen: 1 WB 55/99
Leitsätze:
– Enthält ein zur Personalakte eines Soldaten genommener
Personalgesprächsvermerk neben zu entfernenden Feststellungen auch
solche, die in der Akte zu verbleiben haben, wird der Vorschrift des § 29
Abs. 5 Satz 3 des Soldatengesetzes genügt, wenn die zu entfernenden Teile
unkenntlich gemacht werden.
– Ein Anspruch auf Neufassung eines durch Schwärzung teilweise
unkenntlich gemachten Gesprächsvermerks besteht nicht.
•
Die Entscheidung verdeutlicht den Unterschied zwischen einer Entfernung
von Vorgängen aus einer Personalakte und der datenschutzrechtlichen
Berichtigung. Bei der Entfernung von Teilvorgängen, die durch Schwärzung
von Passagen erfolgt, bleiben deutliche Indizien auf das Entfernte
vorhanden; der Betroffene muss sich mit dem weniger wirksamen
Benachteiligungsverbot begnügen.
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
94
Haben Sie noch Fragen?
• Anwaltsbüro Hessling
Marc Hessling, Rechtsanwalt
Friedrichstraße 28
45468 Mülheim an der Ruhr
Tel.: 0208 – 437 2358
Fax: 0208 – 437 8204
[email protected]
www.kanzlei-hessling.de
Stand: 10.01.2009
von Rechtsanwalt Marc Hessling
95
Ende
www.kanzlei-hessling.de
Herunterladen