Datenschutz
[Start]

Seminare zu dem Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

Datenschutz ist ein Grundrecht...

...und kein Luxus, den man sich erst mal leisten können muss, wie wir gelegentlich von Arbeitgebern zu hören bekommen.

Das Recht auf Schutz der eigenen Daten leitet sich aus dem in Art. 2 Abs. 1 in Ver- bindung mit Art. 1 Abs. 1 GG geschützten allgemeinen Persönlichkeitsrecht ab. Das Bundesverfassungsgericht hat in seinem sog. “Volkszählungsurteil” vom 15.12.1983 ein “informationelles Selbstbestimmungsrecht” postuliert, und damit kein neues Recht geschaffen, sondern das allgemeine Persönlichkeitsrecht, das eines der wichtig- sten Grundrechte ist, weiterentwickelt. Auf dieser Grundlage kommt dem Bundesdaten- schutzgesetz und den anderen Vorschriften über den Datenschutz eine erhebliche Be- deutung gerade im Verhältnis zwischen Arbeitgeber und Arbeitnehmern zu, denn es gibt kaum einen Bereich, in dem der Einzelne in einem solchen Maße einer Preisgabe seiner persönlichen Daten ausgesetzt ist wie in seinem Arbeitsverhältnis.

Es gilt hier zunächst, einige gängige Missverständnisse zu beseitigen:

  • Datenschutz hat nicht nur eine Bedeutung bei den gängigen Personalinformations- und -abrechnungssystemen wie SAP HR, Peoplesoft, Paisy etc. Oft gibt es hier am wenigsten Probleme. Vielmehr entstehen an allen möglichen Stellen im Betrieb per- sonenbezogene Daten über Beschäftigte (z. B. in Telefonanlagen, bei der Zeiter- fassung, auf dem Proxy-Server, im Mailsystem etc.), deren Speicherung und Nut- zung jeweils auch strikt den Erfordernissen des Datenschtzes unterworfen werden müssen.
     
  • Alle Stellen im Betrieb (übrigens auch der Betriebsrat) haben sich an die Daten- schutzvorschriften zu halten. Es genügt nicht, nur die Personalabteilung zu über- prüfen bzw. den Vorschriften zu unterwerfen. Wenn z. B. ein Abteilungsleiter sich berufen führt, mit Excel eine eigene Anwesenheitstabelle zu führen, unterliegt das den Regeln des Datenschutzes genauso wie eine Datei in der Personalstelle.
     
  • Wenn ein Datenschutzbeauftragter bestellt ist, bedeutet das nicht, dass der Be- triebsrat damit nicht mehr dafür zuständig sei, die Einhaltung des Datenschutzes für die Beschäftigten zu überwachen - der Betriebsrat hat nach wie vor und immer eine Aufsichtspflicht gem. § 80 Abs. 1 Nr. 1 BetrVG, unabhängig vom Amt des Datenschutzbeauftragten.
     
  • Ein Betriebsrat kann nicht stellvertretend für die Beschäftigten auf (Grund-)Rechte verzichten. Wir haben nicht selten erlebt, dass Arbeitgeber versucht haben (und Betriebsräte dem gelegentlich sogar gefolgt sind), durch Betriebsvereinbarungen Regelungen des Datenschutzes außer Kraft zu setzen. Das ist nicht zulässig, und solche Betriebsvereinbarungen sind, zumindest in den Teilen, die gegen geltende Rechtsvorschriften verstoßen, unwirksam.
     
  • Die in manchen Betrieben übliche Haltung “Wer nichts zu verbergen hat, hat auch nichts zu befürchten, und deshalb dient der Datenschutz nur den finstren Elemen- ten, Faulenzern und Betrügern” ist schierer Unfug. Erstens steigt mit der Menge der Daten auch die Anzahl der Fehler, aus denen falsche Schlüsse und Fehlent- scheidungen getroffen werden - nicht selten zum Nachteil unbescholtener Betrof- fener. Zweitens dient der Datenschutz dem Schutz der Privatsphäre und des Persönlichkeitsrechts, und jeder Mensch hat Interesse an diesem und Anspruch auf diesen Schutz, und drittens ist das Bundesdatenschutzgesetz ein Gesetz, und das muss genauso eingehalten werden wie jedes andere Gesetz auch.

In vielen Betrieben wird der Schutz personenbezogener Daten noch immer mit einer gewissen Nachlässigkeit gehandhabt. Es wird - nicht selten pro forma - ein Daten- schutzbeauftragter bestimmt, dessen Aufgabe vor allem darin besteht, die bestehen- den Verhältnisse abzusegnen, und wenn der Betriebsrat seine Ansprüche geltend macht, wird er darauf verwiesen, das alles in Ordnung sei, schließlich habe der Datenschutz- beauftragte keine Mängel feststellen können (wie auch...).

Es sollte ein Anliegen jedes Betriebsrats sein, klarzustellen, das Datenschutzgesetze Gesetze sind, die einzuhalten sind, weil dadurch Grundrechte der Beschäftigten ge- schützt werden - nicht anders als durch z. B. das Arbeitsschutzgesetz, die Arbeitszeit- verordnung oder andere Vorschriften. Und seine Aufgabe ist es, die Einhaltung dieses Gesetzes zumindest zu überwachen und wo möglich auch durchzusetzen.

Personenbezogene Daten

Der Begriff der personenbezogenen Daten ist sehr weit gefasst, im Gesetz aber nicht unbedingt besonders klar umrissen. Es heißt in § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG):

    “Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).”

Den Schutz ihrer Daten genießen nur natürliche Personen, also Menschen, nicht juris- tische Personen wie Kapitalgesellschaften, Vereine etc.

Die Person muss bestimmt oder bestimmbar sein. Das bedeutet, dass die Person namentlich bekannt sein kann, es aber auch genügt, wenn man anhand anderer Anga- ben, möglicherweise zusätzlicher Datenquellen, erst ermitteln muss, um welche Person es sich tatsächlich handelt. Eine “Pseudo-Anonymisierung” reicht also nicht aus, um das Entstehen personenbezogener Daten zu vermeiden, wenn es möglich ist, die Daten doch einer Person zuzuordnen. Wenn z. B. die Personalnummer, die IP-Adresse oder der NET- BIOS-Name eines PC, die Durchwahlnummer der Nebenstelle einer Telefonanlage, die Angabe des Zeitpunktes in einem Maschinenprotokoll etc. jeweils Bestandteil eines Da- tensatzes sind, handelt es sich um personenbezogene Daten, weil mit wenig Aufwand herauszufinden ist, welche Person an dem PC angemeldet war, die Nebenstelle benutzt bzw. zum fraglichen Zeitpunkt an der Maschine gearbeitet hat.

Der Begriff der “Einzelangaben” ist im Gesetz nicht näher erläutert. Im Wesentlichen meint man hier konkrete Angaben, also nicht Aussagen, die etwa allgemeiner oder ab- strakter Natur sind. Aber auch Angaben, die z. B. nicht als konkretes “Datum”, etwa als Datenfeld in einer Datenbank, festgehalten werden, sondern z. B. in einem umfangrei- cheren Text, etwa einem Zeugnis, enthalten sind, fallen unter diesen Begriff, zumal es möglich ist, mit geeigneter Software auch aus umfangreichen Texten einzelne Angaben herauszufiltern.

Angaben über persönliche Verhältnisse sind Informationen, die die Person selbst be- schreiben, also Geschlecht, Haarfarbe, Geburtsdatum, Religionszugehörigkeit, Familien- stand, Anzahl der Kinder, Berufsausbildung etc.

Angaben über sachliche Verhältnisse sind solche Angaben, die nicht die Person selbst unmittelbar beschreiben, aber Sachverhalte beschreiben, die etwas mit der Person zu tun haben, z. B. die Bankverbindung, der Kontostand, welches Auto die Person fährt, bei welcher Versicherung sie wie versichert ist, wer ihr Arbeitgeber ist, welche Tätigkeit sie dort ausübt etc.

Allein im Modul HR von SAP sind über 8000 Datenfelder vorgesehen, die dazu dienen, An- gaben über jeden einzelnen Beschäftigten zu speichern. In der Praxis wird allerdings stets nur ein kleiner Bruchteil davon verwendet. Aber personenbezogene Daten fallen  - wie oben bereits erwähnt - nicht nur im Personalinformationssystem an, sondern auch an einer Vielzahl anderer Stellen im Betrieb.

Wenn man z. B. den im Kapitel “Arbeitnehmer-Überwachung” beschriebenen Proxy- Server “Squid” unter Linux betrachtet, stellt man fest, dass er üblicherweise die Inter- net-Zugriffe protokolliert. Typischerweise werden über jeden Zugriff die Angaben über die IP-Adresse der zugreifenden Workstation, der Zeitpunkt des Zugriffs, die Zieladresse, die angefordert wurde, die Datenmenge, die übertragen wurde, der Erfolg des Zugriffes und die Information, ob die Daten aus dem Internet geholt werden mussten, oder ob sie aus dem Cache geliefert werden konnten, festgehalten.

Auf den ersten Blick handelt es sich nicht um personenbezogene Daten. Wenn man aber bedenkt, dass man anhand der IP-Adresse die Workstation und z. B. anhand der Ereig- nisanzeige von Windows den Benutzer, der zu diesem Zeitpunkt angemeldet war, ermit- teln kann, so ist es möglich, die Daten einer bestimmten Person zuzuordnen. Es handelt sich ohne Frage um Einzelangaben, und zwar solche, die ein “sachliches Verhältnis” der Person beschreiben: Sie hat bestimmte Informationen angefordert, also offenbar Inter- esse daran.

Also handelt es sich beim Proxy-Protokoll um personenbezogene Daten im Sinne des § 3 BDSG, die dem Datenschutz unterliegen. Ebenso verhält es sich mit den meisten Daten, die im Rahmen der Nutzung technischer Einrichtungen entstehen. Man spricht hier all- gemein von “Betriebsdaten”.

Fast immer, wenn Daten entstehen, die der Mitbestimmung auf Grund von § 87 Abs. 1 Nr. 6 BetrVG unterliegen, handelt es sich dabei auch um personenbezo- gene Daten i. S. d. § 3 BDSG. Aber nicht alle personenbezogenen Daten unterliegen auch der Mitbestimmung auf Grund von § 87 Abs. 1 Nr. 6 BetrVG - dafür wäre Voraus- setzung, dass sie Aussagen über das Verhalten oder die Leistung des Betroffenen erlau- ben.

Schutz der personenbezogenen Daten

Lt. § 4 Abs. 1 BDSG ist es im Grundsatz verboten, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen, wenn nicht ein besonderer Umstand vorliegt, der dies im Einzelfall erlaubt. Welche Umstände dies sind, ist dort genannt:

  • der Betroffene willigt ausdrücklich (und beweisbar, z. B. schriftlich) ein,
  • das Bundesdatenschutzgesetzt erlaubt es oder
  • eine andere Rechtsvorschrift erlaubt es oder ordnet es sogar an.

Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf einen bestimmten Zweck gerichtet ist. Ein allgemeiner Passus im Anstellungsvertrag im Sinne von “Ich erkläre mich damit einverstanden, dass der Arbeitgeber sämtliche Daten über mich speichert und zu beliebigen Zwecken verwendet” genügt den Erfordernissen des § 4a BDSG nicht und ist damit unwirksam. Z. B. wäre damit die Speicherung der personen- bezogenen Daten im Proxy-Server nicht gerechtfertigt.

Das Bundesdatenschutzgesetz erlaubt das Erheben, Speichern, Verarbeiten und Nutzen personenbezogener Daten unter bestimmten Bedingungen im § 28 Abs. 1. Die Bedingungen, die im Verhältnis zwischen Arbeitgeber und Arbeitnehmer erfüllt sein müs- sen, sind:

  • Die Nutzung muss für die Erfüllung eigener Geschäftszwecke erfolgen, also z. B. für die Gehaltsabrechnung, für das Betreiben einer technischen Anlage etc.
     
  • Es muss ein Vertragsverhältnis oder ein vertragsähnliches Vertrauensverhältnis (z. B. eine Bewerbung) bestehen und
  • die Nutzung der Daten muss der Erfüllung dieses Verhältnisses dienen. (§ 28 Abs. 1 Nr. 1 BDSG)
     
  • Oder es ist zur Wahrung “berechtigter Interessen der verantwortlichen Stelle erforderlich”, die Daten zu nutzen und
  • es gibt keinen Grund zu der Annahme, dass das “schutzwürdige Interesse des Betroffenen”, die Daten nicht zu nutzen, überwiegt. (§ 28 Abs. 1 Nr. 2 BDSG)

Andere Rechtsvorschriften können ebenfalls erlauben, Daten zu speichern. Zu nennen sind hier im Zusammenhang mit dem Verhältnis zwischen Arbeitgeber und Arbeitnehmer vor allem Vorschriften über das Ermitteln und Abführen von Lohnsteuer, Sozialabgaben etc.

In Fällen, wo keiner dieser drei Erlaubnistatbestände vorliegt, ist das Erheben, Speichern, Verarbeiten oder Nutzen personenbezogener Daten illegal und eine Ordnungswidrigkeit.

Dass bestimmte Daten im Personalabrechnungssystem erhoben werden müssen, ergibt sich einerseits aus § 28 Abs. 1 Nr. 1 - wenn der Vertrag lautet “Arbeit (in Zeit oder Leis- tung gemessen) gegen Geld”, muss der Arbeitgeber die Möglichkeit haben, einerseits die aus dem Vertrag geschuldete Leistung zu ermitteln, andererseits die von ihm geschul- dete Entlohnung zu errechnen.

Außerdem ist er nicht nur berechtigt, sondern auf Grund verschiedener Vorschriften sogar verpflichtet, die Lohnsteuer, die Beiträge für Sozialversicherungen, aber auch andere, z. B. statistische Angaben, zu ermitteln und solche Informationen an die ent- sprechenden Stellen weiterzugeben.

Damit sind aber nur die Daten gemeint, die wirklich allein für diesen Zweck benötigt wer- den. Das personenbezogene Datum “Religionszugehörigkeit” z. B. darf der Arbeitgeber speichern - schließlich muss er die Kirchensteuer errechnen und abführen. Da es aber nur zwei Religionszugehörigkeiten gibt, aus denen eine Kirchensteuerpflicht entsteht, darf er in diesem Feld nur die Information “evangelisch-Lutherisch”, “römisch-katholisch” oder “keine” festhalten. Informationen über die Zugehörigkeit zu anderen Relgions- gemeinschaften dürfen dort nicht gespeichert werden, weil dies für den Zweck der Ver- tragserfüllung oder zur Erfüllung einer Rechtsvorschrift nicht erforderlich ist.

Eine mögliche Rechtsvorschrift, die das Erheben, Speichern, Verarbeiten oder Nutzen personenbezogener Daten der Beschäftigten erlauben kann, ist eine Betriebsverein- barung.

Verantwortliche Stelle - Betrieb, Unternehmen oder Konzern?

Im § 3 Abs. 7 BDSG wird definiert, was eine “verantwortliche Stelle” im Sinne des Daten- schutzes ist. Leider steht diese Begriffsbestimmung nicht ohne weiteres im Einklang mit dem Begriff “Betrieb”, der im § 1 BetrVG bestimmt wird.

Die Formulierung “Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt” deutet da- rauf hin, dass das BDSG auf eine rechtliche Selbständigkeit als Voraussetzung dafür, “verantwortliche Stelle” zu sein, abzielt. Insofern ist hier das Unternehmen gemeint und nicht der Betrieb i. S. d. § 1 BetrVG. Die rechtliche Selbständigkeit ist aber auch hin- reichende Voraussetzung dafür, als “verantwortliche Stelle” zu gelten. Der Konzern als übergreifende Organisation kommt hierfür also nicht in Frage, sondern in aller Regel das Unternehmen.

Daher genügt es z. B. auch, wenn ein “betrieblicher” Datenschutzbeauftragter für das gesamte Unternehmen (nicht jedoch für den gesamten Konzern) bestimmt wird (der häufig verwendete Begriff “betrieblicher” ist in diesem Zusammenhang unglücklich und kommt im Gesetz auch nicht vor).

Als Faustformel kann man davon ausgehen, dass in den meisten Fällen der Vertrags- partner der Arbeitnehmer, mit dem sie jeweils einen Anstellungsvertrag abgeschlossen haben, die speichernde Stelle i. S. d. BDSG ist.

Das macht die Aufgaben des Betriebsrats im Zusammenhang mit dem Datenschutz nicht gerade einfacher, denn in vielen Fällen kann es vorkommen, dass der normale Ansprech- partner des Betriebsrats die verantwortliche Person im Betrieb ist, der Ansprechpartner für den Datenschutz jedoch die verantwortliche Person im Unternehmen.

Zweckbindung, Verhältnismäßigkeit, Datensparsamkeit und Transparenz

Diese vier Prinzipien sind die Säulen des Datenschutzes.

Man muss im Zusammenhang mit der Zweckbindung, der Verhältnismäßigkeit und der Datensparsamkeit die §§ 28 Abs. 1 Satz 2 sowie 3a BDSG besonders berücksichtigen.

§ 28 Abs. 1 Satz 2 BDSG sagt, dass die Zwecke, zu denen Daten verarbeitet oder ge- nutzt werden sollen, schon bei der Erhebung, also bevor sie genutzt werden dürfen, konkret - und damit ausschließlich und bindend - festzulegen sind. Mit dieser Zweck- bindung verpflichtet das BDSG die verantwortliche Stelle, zunächst überhaupt einmal Zwecke zu definieren, zu denen die Daten benötigt werden (woran es in vielen Betrieben schon hapert), und die Daten später auch wirklich ausschließlich für die Zwecke zu nutzen, die vorher feststanden.

In § 3a BDSG heißt es, dass das Ziel sein muss, “keine oder so wenig wie möglich personenbezogene Daten” zu verarbeiten. Wenn es möglich sei, einen bestimmten Zweck zu erreichen, ohne dabei personenbezogene Daten zu verarbeiten bzw. dieser Zweck auch mit anonymisierten Daten erreichbar ist, so ist die verantwortliche Stelle verpflichtet, auf die personenbezogenen Daten zu verzichten.

Daten dürfen also nur zweckbestimmt (und natürlich nur zu zulässigen Zwecken) erho- ben, gespeichert, verarbeitet und genutzt werden, und wenn es möglich ist, einen be- stimmten Zweck auch ohne die Nutzung personenbezogener Daten zu erreichen, dann ist auf die personenbezogenen Daten zu verzichten.

Wenn man sich Fälle in der Praxis anschaut, wird man häufig genug feststellen, dass das Gesetz nicht richtig und vollständig eingehalten wird. Dabei ist das Problem meistens gar nicht so sehr ein ggf. vorhandenes Personalinformations- bzw. -abrechnungssystem. Vielmehr werden an allen möglichen Stellen Betriebsdaten oder - gerade von untergeord- neten Stellen - auch direkt auf Personen bezogene Daten gespeichert und genutzt, ohne dass auch nur ansatzweise Regeln des Datenschutzes dabei beachtet werden.

Es werden Betriebsdaten erfasst, so viel eben entstehen, sie werden für alle möglichen Zwecke verwendet, ohne dass sich jemand irgendwann die Mühe gemacht hätte, so etwas wie eine Zweckbestimmung vorzugeben, jeder, der sich dazu berufen fühlt, kann die Daten einsehen, und weder der Datenschutzbeauftragte noch der Betriebsrat erfahren auch nur etwas davon.

Betrachten wir die Aspekte der Zweckbindung und der Datensparsamkeit bzw. Da- tenvermeidung etwas genauer am bereits genannten Beispiel “Proxy-Server”.

Zunächst müsste geprüft werden, ob überhaupt dokumentiert ist, welche Daten welcher Beschäftigten zu welchem Zweck hier erfasst werden. Man kann getrost davon ausge- hen, dass es in vielen - wenn nicht den meisten - Betrieben schon an dieser Dokumen- tation fehlt.

Fragt man nach dem Zweck, wird der Arbeitgeber natürlich sagen, er habe einen guten Grund und ein berechtigtes Interesse, die personenbezogenen Daten der Beschäftigten im Protokoll der Internet-Nutzung zu speichern. Er müsse sich schließlich vor miss- bräuchlicher Nutzung z. B. für private Zwecke, schützen, außerdem müsse er sich dagegen schützen, dass Beschäftigte im Internet Dinge tun, die urheber- oder straf- rechtlich verboten seien, weil dies dazu führen könne, dass er in die Mithaftung genom- men werde. Weiter könnte missbräuchliche Internetnutzung für Mobbing oder sexuelle Belästigung genutzt werden, was er verhindern will. Schließlich müsse er verhindern, dass durch falsche Nutzung Schädlinge, etwa Viren, Würmer und trojanische Pferde eingeschleppt werden.

In der Tat hat der Arbeitgeber ein berechtigtes Interesse, solche missbräuchliche Nut- zung zu verhindern, die Frage ist nur, ob die Speicherung der Daten sämtlicher Internet- Zugriffe aller Beschäftigten das einzige Instrument ist, dieses berechtigte Interesse durchzusetzen, und ob es überhaupt auch nur dazu geeignet ist.

Wenn Beschäftigte das Internet während der Arbeitszeit für private Zwecke nutzen, erbringen sie die vertraglich zugesicherte Leistung nicht und verstoßen damit gegen den Arbeitsvertrag. Es ist ein gutes Recht des Arbeitgebers, solche Verstöße aufzudecken und dagegen vorzugehen. Ob das Proxy-Protokoll ein geeignetes Instrument ist, diese Verstöße aufzudecken, ist aber durchaus fraglich:

  • Das Proxy-Protokoll zeigt zwar an, zu welchem Zeitpunkt eine Seite aufgerufen wurde; wie lange der Benutzer sie betrachtet hat, kann man daraus aber nicht schließen - es kann ja sein, dass er das Browserfenster sofort geschlossen hat, dann erfolgt kein weiterer Eintrag im Protokoll. Ob er die Seite eine Sekunde oder eine Stunde lang betrachtet hat, wird aus dem Protokoll nicht ersichtlich.
     
  • Es kann jederzeit vorkommen, dass man versehentlich eine Seite öffnet, von der man vermutet, dass sie die gewünschte (dienstlich benötigte) Information enthält. Diesen Irrtum zu begehen, ist kein Fehlverhalten.
     
  • Wenn ein Arbeitnehmer die Leistung, die er erbringen soll, nicht bringt, dann sollte das auffallen - dazu gibt es schließlich Vorgesetzte. Wenn es im Betrieb ein Führungsproblem gibt, dann ist das Protokoll der Internetnutzung wohl kaum das geeignete Instrument, dieses Problem zu beseitigen.
     
  • Warum eigentlich wird das nicht Erbringen einer Leistung geahndet, wenn der Arbeitnehmer privat im Internet surft, während sein Kollege, der die Leistung dadurch nicht erbringt, dass er Zeitung liest, aus dem Fenster schaut oder auf der Toilette schläft, ungestraft davonkommt? Auch hier gilt: Festzustellen, ob ein Arbeitnehmer seine Pflicht erfüllt oder nicht, ist Aufgabe des Vorgesetzten, nicht eines Protokolls, dessen Aussagekraft höchst fragwürdig ist.

Natürlich hat der Arbeitgeber auch ein berechtigtes Interesse daran, strafbare Hand- lungen, Störungen des Betriebsfriedens, Mobbing, sexuelle Belästigungen, Sabotage etc. zu verhindern. Auch hier kann man aber entgegnen:

  • Mit dem Protokoll verhindert man nichts, man kann damit bestenfalls im Nachhinein ermitteln, wer die verbotene Handlung begangen hat.
     
  • Es gibt durchaus geeignete Instrumente, um unerwünschte Handlungen zu ver- hindern: Konsequent und korrekt administrierte Netzwerke und Workstations, Negativlisten mit verbotenen Begriffen oder verbotenen Adressen, Software bzw. Dienstleister, die diese Listen ständig aktualisieren, Port-Blockaden, die das Ausführen unerwünschter Programme oder Dienste unterbinden, stets aktualisierte Anti-Viren-Software und dergleichen sind ungleich wirkungsvollere Instrumente, unerwünschte Handlungen bzw. Funktionen von vorn herein zu verhindern, was ja - laut Arbeitgeber - der eigentliche Zweck der Verarbeitung der personenbezogen- en Daten im Protokoll ist.

Und schließlich: Die bloße Möglichkeit, dass vielleicht einzelne Arbeitnehmer sich nicht korrekt verhalten, rechtfertigt nicht, dass das gesamte Verhalten aller Beschäftigten in vollem Umfang gespeichert wird - dies wäre ein deutlicher Verstoß gegen das Prinzip der Verhältnismäßigkeit.

Wenn es also, wie hier dargelegt, möglich ist, die erwünschten Ziele mit anderen Mitteln - letztlich sogar wirkungsvoller - zu erreichen, dann sind diese anderen Mittel anzuwen- den und ist lt. § 3a BDSG von der Möglichkeit der Anonymisierung Gebrauch zu machen, indem z. B. die Benutzernamen und/oder die Identifikation der Workstation im Protokoll nicht mit aufgenommen werden.

Spätestens nach dieser Argumentation wird natürlich (s. oben) das Argument vorge- bracht, dass dadurch ja nur die Übeltäter geschützt werden - wer sich korrekt verhalte, habe schließlich nichts zu befürchten.

Dieses Argument ist (s. oben) falsch: Erstens ist es besser, Übeltaten zu verhindern, als Übeltäter zu erwischen. Zweitens ist die Beweiskraft des Protokolls höchst fragwürdig, drittens entstehen mit mehr Daten auch mehr falsche Informationen, die zu falschen Schlussfolgerungen und/oder Entscheidungen führen, und viertens gibt es niemanden, der sich stets und ununterbrochen korrekt verhält - auch der versierteste Benutzer wird mal eine falsche Seite anklicken, und der Versuchung, mal eben etwas zu lesen, was von privatem Interesse ist, wird auch nicht jeder ständig widerstehen können. Daraus gleich einen Vertragsbruch zu konstruieren wäre grotesk.

Das Prinzip der Transparenz schließlich bedeutet, dass jederzeit bekannt sein muss, welche Daten zu welchem Zweck wie und wo erfasst, gespeichert, verarbeitet und ge- nutzt werden. Diese Vorschrift ergibt sich aus zwei Regelungen des BDSG:

  • § 4e schreibt ein sog. “Verfahrensverzeichnis” vor. Näheres dazu auf der entspre- chenden Seite.
  • § 34 schreibt vor, dass ein Betroffener auf Verlangen jederzeit Auskunft darüber erhalten muss, welche Daten zu welchem Zweck über ihn gespeichert werden.

Das können wir für Sie tun:

  • Wir beraten und unterstützen Sie als Sachverständige im Rahmen des § 80 Abs. 3 BetrVG bei Ihren Aufgaben.
     
  • Wir prüfen für Sie und mit Ihnen gemeinsam, wo und in welcher Funktion perso- nenbezogene Daten in Ihrem Betrieb erfasst, gespeichert, verarbeitet oder genutzt werden.
     
  • Wir ermitteln für Sie und mit Ihnen zusammen, ob die Regelungen des Daten- schutzes zum Schutz der Beschäftigten in Ihrem Betrieb eingehalten werden, und entwickeln bei Bedarf ein Datenschutzkonzept.
     
  • Wir entwerfen für Sie Betriebsvereinbarungen, die an die Verhältnisse in Ihrem Betrieb angepasst sind.*
     
  • Wir prüfen und überarbeiten Ihre vorhandenen bzw. zur Verhandlung anstehenden Betriebsvereinbarungen.*
     
  • Wir bereiten die Verhandlungen zum Abschluss von Betriebsvereinbarungen mit Ihnen gemeinsam vor und unterstützen Sie auf Wunsch auch bei den Verhand- lungen selbst.*
     
  • Wir unterstützen Sie bei der Überwachung der Einhaltung von Betriebsverein- barungen
     
  • Wir führen für Sie Schulungen im Rahmen des § 37 Abs. 6 BetrVG durch, die an Ihre Bedürfnisse und Ansprüche angepasst sind.
  • * Ggf. erforderliche Rechtsberatung wird durch Rechtsanwälte erbracht, mit denen wir zusammenarbeiten.

Hier finden Sie Seminare zu dem Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

E04: Mitbestimmung bei der Nutzung von SAP® - Aufgaben des Betriebsrats zur Wahrung der Interessen der Beschäftigten

Hier finden Sie weitere Informationen im Detail:

[Gesetzestext] [Verfahrensverzeichnis] [Datenschutzbeauftragte] [Mitbestimmung] [Daten im Ausland]

© Axel Janssen, Berlin - Alle Angaben, Inhalte etc. ohne Gewähr

Telefon: 030-305 24 25, Fax: 030-305 24 22


Seminare für alle Betriebsräte und Personalräte

Zum Seminarprogramm