Schmidl: „Auch wenn der Regierungsentwurf zu begrüßen ist, bleiben zahlreiche bedeutsame Fragen des Beschäftigtendatenschutzrechts offen“
05.10.2010
Herr Dr. Michael Schmidl, Partner der Kanzlei Baker & McKenzie in München, Fachanwalt für IT-Recht und langjähriger Datenschutzexperte, äußert sich in unserem Interview kritisch zum kürzlich verabschiedeten Entwurf der Bundesregierung zur Neuregelung des Beschäftigtendatenschutzes. Lesen Sie hier, was der Entwurf beinhaltet und welche Regelungen von der Bundesregierung bewusst ausgelassen wurden.
Kraska: Herr Schmidl, erst im September letzten Jahres waren neue Vorschriften im Beschäftigtendatenschutz in Kraft getreten. In der Zwischenzeit gab es zahlreiche teilweise sich widersprechende Referentenentwürfe. Die Bundesregierung hat sich nun auf eine Fassung geeinigt, die vergangenen Monat verabschiedet wurde. Warum wird das Beschäftigtendatenschutzrecht so häufig geändert?
Schmidl: Genau genommen gibt es ein kodifiziertes Beschäftigtendatenschutzrecht erst seit 1. September 2009. Zu diesem Zeitpunkt trat § 32 BDSG in Kraft. Ziel der Schaffung von § 32 BDSG war es, den datenschutzrechtlich besonders relevanten Bereich des Beschäftigtendatenschutzes speziell zu regeln, um den Besonderheiten der Datenverarbeitung im Beschäftigungsverhältnis Rechnung zu tragen. Bereits damals war klar, dass § 32 BDSG nur eine Übergangslösung sein konnte.
Die ausführlichen Regelungen zum Beschäftigtendatenschutz, wie sie jetzt in den §§ 32 – 32l des Regierungsentwurfs zu finden sind, sind auf einige politische Grundsatzentscheidungen zurückzuführen. Den dafür erforderlichen Konsens zu finden, war nicht leicht. Dies wird aus den verschiedenen Entwürfen für die Regelungen zum Beschäftigtendatenschutz deutlich.
Kraska: Warum wird das BDSG erneut geändert? Wäre es nicht besser gewesen, ein Beschäftigtendatenschutzgesetz außerhalb des BDSG zu schaffen?
Schmidl: Der gewählte Weg, nämlich das Bundesdatenschutzgesetz zu ergänzen statt ein eigenständiges Gesetz zu schaffen, überzeugt. Er unterstreicht zum einen die Selbstständigkeit des Beschäftigtendatenschutzrechts gegenüber dem allgemeinen Arbeitsrecht und zum anderen dessen untrennbare Verbindung zu „typischen“ datenschutzrechtlichen Themen, wie zum Beispiel die Unterrichtung oder internationale Datenübermittlungen. Ein eigenständiges Gesetz hätte zahlreiche Verweisungen erforderlich gemacht und wäre aufgrund der hohen Relevant allgemeiner datenschutzrechtlicher Regelungen kein effizienter Weg gewesen.
Kraska: Welche Neuregelungen beinhaltet der Entwurf der Bundesregierung für Arbeitgeber und Arbeitnehmer?
Schmidl: Der Regierungsentwurf sieht vor, 13 neue Regelungen zum Umgang mit Beschäftigtendaten nach § 31 BDSG einzufügen. Diese Regelungen gliedern sich in vier Gruppen:
- §§ 32, 32a, 32b behandeln die Erhebung, Verarbeitung und Nutzung von Daten vor Begründung eines Beschäftigungsverhältnisses;
- §§ 32c, 32d enthalten allgemeine Vorschriften für die Erhebung, Verarbeitung und Nutzung von Daten während eines Beschäftigungsverhältnisses;
- §§ 32e, 32f, 32g, 32h, 32i regeln die Behandlung spezieller Situationen während eines Beschäftigungsverhältnisses;
- §§ 32j, 32k, 32l sehen Rahmenregelungen zur Implementierung des Beschäftigtendatenschutzes vor.
Kraska: Wird durch die zahlreichen neuen Rechtsvorschriften letztlich mehr Klarheit erreicht und ist der Regierungsentwurf somit zu begrüßen?
Schmidl: Auch wenn der Regierungsentwurf zu begrüßen ist, bleiben zahlreiche bedeutsame Fragen des Beschäftigtendatenschutzrechts offen. Dies zeigen folgende Beispiele:
- Welche Voraussetzungen gelten für den Zugriff auf E-Mails eines Beschäftigten für den Regelfall der zulässigen Privatnutzung des betrieblichen E-Mail-Systems? In einem Hintergrundpapier des BMI ist zu lesen: „Eine Sonderregelung zur erlaubten privaten Nutzung von Telekommunikationsdiensten des Arbeitgebers enthält der Gesetzentwurf nicht. Es bleibt insofern bei der geltenden Rechtslage nach dem Telekommunikationsgesetz.“
- Welche Anforderungen gelten für internationale Übermittlungen von Beschäftigtendaten? Bleibt es hier bei der – von den deutschen Aufsichtsbehörden aufgestellten – Anforderung, konzernweit einheitliche Standards zur Gewährleistung der Datenschutzrechte der Betroffenen zu schaffen?
Auch neue Fragen wirft der Regierungsentwurf auf:
- Wie ist mit dem Verbot der Erhebung von Daten aus „sozialen Netzwerken, die der elektronischen Kommunikation dienen“ gemäß § 32 (6) Satz 2 Reg.-E. umzugehen?
- Ist die Einwilligung künftig wegen § 32l (1) Reg.-E. (Verbot der Einwilligung außerhalb der ausdrücklich vorgesehenen Fälle) auch dann unzulässig, wenn mit ihrer Hilfe ein für den Beschäftigten vorteilhafter Zustand erreicht werden soll, zum Beispiel, dass die private E-Mail-Nutzung bei gleichzeitiger Minimalkontrolle möglich ist?
- Eignet sich die Betriebsvereinbarung – die über § 4 (1) Regierungsentwurf (im Einklang mit der bislang schon herrschenden Meinung) ausdrücklich als „sonstige Rechtsvorschrift“ und damit als taugliche Grundlage der Erhebung, Verarbeitung und Nutzung von Daten anerkannt wird – auch dafür, von § 32 ff. Regierungsentwurf abweichende Regelungen zu schaffen oder schließt dies § 32l (5) Reg.-E. aus?
Kraska: Einige Punkte wie das Outsourcing von Arbeitnehmerdaten wurden auch in diesem Entwurf nicht wirklich geregelt. Warum fehlte dem Gesetzgeber hier der Mut zu einer klaren Regelung?
Schmidl: Das ist schwer zu sagen. Ein Erklärungsansatz ist, dass eines der Hauptprobleme bei der Einschaltung eines Outsourcing-Anbieters, d.h. die mit dessen Sitz außerhalb von EU/EWR einhergehende Definition als Dritter gemäß § 3 Abs. 8 Satz 3 BDSG und die daraus folgende Problematik von § 28 Abs. 6 BDSG und 32 BDSG, von den Autoren des Regierungsentwurfs möglicherweise nicht als brisant angesehen wird, weil die Aufsichtsbehörden hierfür seit einigen Jahren bereits die Lösung der sogenannten „Annexkompetenz“ gefunden haben. Die Erfahrungen der letzten Monate zeigten allerdings, dass einige Aufsichtsbehörden daran zweifeln, ob sich die „Annexkompetenz“ auch im Lichte von § 32 BDSG aufrechterhalten lässt. Eine Klarstellung des Gesetzgebers in diesem Bereich wäre mithin mehr als wünschenswert gewesen.
Kraska: Wenn Sie konkret Einfluss auf den weiteren Gesetzgebungsprozess nehmen könnten – welche Änderungen des Gesetzesentwurfes würden Sie sich wünschen?
Schmidl: Um das Ziel zu erreichen, dass im Regierungsentwurf gefordert wird („Durch klarere gesetzliche Regelungen soll die Rechtssicherheit für Arbeitgeber und Beschäftigte erhöht werden“) sollte unter anderem für folgende Fragen eine klare gesetzliche Regelung gefunden werden:
- Die Einwilligung sollte auch dann zulässig sein, wenn sie erforderlich ist, um eine für den Beschäftigten vorteilhaften Zustand zu erreichen;
- Etwaige besondere Anforderungen an die internationale Übermittlung von Beschäftigtendaten sollten gesetzlich geregelt oder auf die Einschlägigkeit der allgemeinen Vorschriften verwiesen werden, um klarzustellen, dass keine besonderen Anforderungen bestehen;
- Regelungen zum Zugriff auf E-Mails und Internet-Daten für den Fall der Zulässigkeit der Privatnutzung von E-Mail und Internet sollten wieder aufgenommen werden; die bloße Verweisung auf die bisherige Rechtslage in einem Hintergrundpapier greift zu kurz, weil sie die kontroverse Diskussion und die damit zusammenhängenden Zweifel nicht aufklärt;
- Die durch § 3 Abs. 8 Satz 3 BDSG ausgelöste unlogische Situation, wonach ein extra-europäischer Auftragnehmer zwar Dritter ist, aber gleichwohl im Rahmen des Standardvertrags für Auftragsdatenverarbeiter zu binden ist, sollte aufgelöst werden.
Kraska: Wie geht es jetzt eigentlich weiter? Wann können wir mit einem neuen Beschäftigtendatenschutzgesetz rechnen?
Schmidl: Der Gesetzesentwurf soll wohl noch dieses Jahr im Bundestag verabschiedet werden. Der Bundesrat würde entsprechend im kommenden Frühjahr über den Entwurf entscheiden. Es ist daher frühestens Mitte 2011 mit einem neuen Beschäftigtendatenschutzgesetz zu rechnen.
Kraska: Vielen Dank für das Gespräch.
Autor:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.