Aktuelle Nachrichten

Deutsche Bahn will Kundendaten vermarkten

Die Deutsche Bahn plant die Daten ihrer Reisenden zu vermarkten. Danach sollen Informationen von Vielfahrern an Banken, Versicherungen oder Fast-Food-Ketten verkauft werden. Während Datenschützer gegen das Geschäftsmodell protestieren, dementiert die Bahn.

>>>

Arbeitnehmer-Datenschutz: Reform vor dem Aus

Nach heftigen Protesten von Datenschützern, Gewerkschaften und Arbeitgebern gegen die geplante Überwachung von Beschäftigten will die schwarz-gelbe Koalition ihre umstrittenen Pläne zum Arbeitnehmerdatenschutz überarbeiten. Die geplante Verabschiedung ihres Gesetzesentwurfes ist damit erst einmal vom Tisch.

>>>

Aktuelle Diskussion

Gesetz zur Bestandsdatenauskunft passiert Bundesrat

Ausgerechnet am internationalen Tag der Pressefreiheit berät sich der Bundesrat zum umstrittenen Gesetz zur Bestandsdatenauskunft über Internetnutzer und Passwörter.

>>>

Facebook-Fahndung in der Diskussion

Seit einiger Zeit schon bezieht die Polizei Hannover das soziale Netzwerk Facebook in ihre Ermittlungen ein. Ein Beispiel, das aufgrund von Fahndungserfolgen Schule machen könnte.

>>>

Wichtige Änderungen der Datenschutznovelle

Am 01.09.2012 wird eine entscheidende Änderung der Datenschutznovelle in Kraft treten. Die betrifft vor allem den Datenschutz bei Werbung.

>>>

Startseite > Einführung Datenschutz > Die Anwendung des Bundesdatenschutzgesetzes

Die Anwendung des Bundesdatenschutzgesetzes

Die Grundsätze aus dem Volkszählungsurteil ergeben, dass Eingriffe in das informationelle Selbstbestimmungsrecht nur in zwei Fällen denkbar sind. Eingriffe können allerdings gerechtfertigt sein. Das überwiegende öffentliche Interesse daran ist ein Grund. Auswirken wird sich der Eingriff durch rechtliche Spezialnormen. Damit wäre ein Erlaubnis-Tatbestand gegeben, gemäß § 4 Abs 1 BDSG oder über einzelne Bestimmungen des BDSG zum Subsidiaritätsprinzip (§ 1 Abs 1 BDSG).

 

Gemeint können Vorschriften sein, die die Erhebung von Daten für die Bezahlung von Steuern oder für die Weiterleitung von Sozialabgaben regeln. Der Arbeitgeber ist ausführende Durchlaufstation, darf diese Daten nicht mit eigenen Zwecken verbinden.

 

Es kann ein Arbeitgeberinteresse bestehen, das die Grundrechte des Arbeitgebers betreffen. Das ist ein Grundrechtsbezug. Betroffen ist zum Beispiel die grundsätzliche Freiheit, sich unternehmerisch zu betätigen (Art 12 Abs 1 GG). Aber auch die Berufswahlfreiheit ist ein Grund dafür, dass bestehende Regelungen durchaus Ausnahmen zulassen müssen.

 

Stets muss der Arbeitgeber die Grundsätze der Datenvermeidung, der engen Zweckbindung und der Transparenz gegenüber den Betroffenen zwingend berücksichtigen. Unabhängigen Kontrollen muss sich der Arbeitgeber beugen.

 

Die wirksame Einwilligung

Jede Einwilligung unterliegt formellen Anforderungen. Sie muss vor der Erhebung, Verarbeitung und Nutzung vorliegen. Die Betroffenen müssen einsichtsfähig sein. Daraus ergibt sich weiter eine sogenannte informierte Einwilligung. Der Betroffene muss den Zweck der Erhebung seiner Daten erfahren und er muss die möglichen späteren Folgen kennen. Gleichwohl hat er über die Folgen der Verweigerung informiert zu sein.

 

Wirksam ist in der Regel die Schriftform. Die Einwilligung muss eindeutig gestaltet sein. Ein pauschaler Charakter verbietet sich, auch der Verstoß gegen das geltende Recht. Der Betroffene darf nach Treu und Glauben nicht unangemessen benachteiligt werden. Dabei besteht eine Beziehung zum Arbeitsverhältnis und das Interesse des Arbeitgebers ist objektiv gerechtfertigt.

 

Auch die Interessen des Arbeitnehmers müssen angemessen in die Vereinbarung einfließen, wenn auch der Arbeitnehmer ein besonderes Interesse an der Speicherung und Verarbeitung seiner Daten zeigt.

 

Was immer auch vereinbart wird, beruht auf einer freiwilligen Entscheidung. Dass der Arbeitgeber Druck machen könnte, ist wahr-scheinlich, weil er sich in einer überlegenen Position befindet. Eine Unwirksamkeit der Einwilligung kann aber aus dem Abhängigkeitsverhältnis nicht abgeleitet werden.

 

Wichtig ist das Recht auf Widerruf der Vereinbarung zur Speicherung und Verarbeitung persönlicher Daten.

 

Die Datenerhebung

Die Zulässigkeit der Datenerhebung hat sich im Anwendungsbereich des BDSG an § 28 Abs 1 Satz 1 Nr. '1 BDSG zu messen. Das gilt nicht, wenn rechtliche Normen den Arbeitgeber bereits über § 4 Abs, 1 BDSG zur Erhebung verpflichten.

 

Gemeint sind Daten im Rahmen eines vertragsähnlichen Vertrauensverhältnisses. Der Bezug besteht darin, dass die Arbeitszeit, das Gehalt, die Akkorderfassung wie Daten zur Arbeitsleistung (zum Beispiel durch Beurteilungen) erhoben werden dürfen. Der Arbeitgeber hat ein Fragerecht und die Pflicht zur speziellen Behandlung besonderer personenbezogener Daten im Sinne § 3 Abs. 9 BDSG.

 

 

Die Speicherung, Veränderung und Nutzung

Auch für die Zulässigkeit der Verarbeitung und Nutzung ist § 28 Abs 1 Satz 1 Nr. 1 BDSG einschlägig.

 

Zu achten ist auf die Einhaltung der Zweckbindung: Ist der Zweck festgelegt worden, dürfen Daten nur in diesem Rahmen erhoben und verarbeitet werden. Der Bezug zum Arbeitsvertrag ist hier weiterhin gegeben.

 

Es gibt Grundlagen für eine ausnahmsweise Zweckentwendung von Daten nach § 28 Abs 2 und 3 BDSG. Sie beschränken sich jedoch auf die Übermittlung und Nutzung und schließen insbesondere das Verändern (zum Beispiel durch Verknüpfung der Daten zur Gewinnung neuer Erkenntnisse) nicht ein.

 

Es gibt den Primärzweck, der dem Arbeitsverhältnis dient. Die Gehaltsabrechnung oder Ausgaben für die Kantinennutzung gelten als Sekundärzwecke bei der Speicherung, Veränderung und Nutzung von Daten.

 

Ausnahmen gelten dafür, wie die Datenschutzkontrolle, die Datensicherung oder der ordnungsgemäße Betrieb der Informationssysteme gespeichert wurden. Sie unterliegen dem strengen Zweckentfremdungsverbot des § 31 BDSG. Der § 6 BDSG verbietet ausschließlich Entscheidungen auf der Basis automatisierter Verarbeitungen zu treffen. Er kann sich nicht darauf berufen, ein Recht nicht einzuhalten, weil er technisch nicht willens oder in der Lage ist, es einzuhalten.

 

Auch bei Verfahren der Sozialauswahl, also zum Beispiel der Beförderung, müssen die Interessen der Betroffenen durch Anhörung berücksichtigt werden.

 

Bei der Verwendung von Chipkarten im Rahmen der  automatisierten Verarbeitungen im Unternehmen sind die Bestimmungen des § 6c BDSG zu berücksichtigen.

 

Die Übermittlung

Die gleichen Anforderungen gelten für außerhalb verbundene Unternehmen.

 

Wird Personal überlassen, ist die Übermittlung von Arbeitnehmer-Daten zulässig, wenn das für das Rechtsverhältnis notwendig sein sollte. Dagegen dürfen Daten nicht an Branchen-Auskunftsdienste oder andere, fremde Unternehmen weitergeleitet werden. Banken und Gläubigern darf die Höhe des Entgelts nicht mitgeteilt werden. Sollten Daten an Unternehmen übermittelt werden, die dem Standard der Europäischen Union nicht entsprechen, kommen besondere Regelungen zum Tragen.

 

Der Übermittlung von personenbezogenen Daten an Gewerkschaften muss der Arbeitnehmer zustimmen.

 

Die Sicherstellung von Betroffenenrechten

Der Arbeitgeber muss seinen Mitarbeitern die gesetzlichen Betroffenenrechte einräumen. Eins dieser Rechte ist das der Transparenz.

 

Transparenz meint: Bei der erstmaligen Speicherung hat der Arbeitnehmer ein Recht auf Benachrichtigung gemäß § 33 BDSG und auf Unterrichtung gemäß § 4 Abs 3 BDSG. Einschränkungen gibt es im Fall von Strafermittlungsverfahren oder bei der Mitteilung, wo die Daten aufbewahrt werden. Das Recht auf Einsicht in die eigene Personalakte ist Teil des Transparenzverfahrens nach § 83 BetrVg.

 

Es wird empfohlen:

  • Übersendung eines Auszugs aus dem Personalinformationssystem einmal jährlich
  • Regelmäßige Aufklärung der Mitarbeiter über deren Rechte
  • Sicherstellung der Betroffenenrechte in innerbetrieblichen Anweisungen oder einer Betriebsvereinbarung

 

Kontrolle des Datenschutzes

Der Datenschutzbeauftragte hat eine Kontrollfunktion. Im Arbeitnehmerschutz bilden auch die betrieblichen und behördlichen Interessenvertretungen ein wesentliches Element der Sicherstellung, wenn es um datenschutzrechtliche Vorgaben und die unabhängige Kontrolle geht.

 

 

Die Verpflichtung auf das Datengeheimnis

Jeder, der mit personenbezogenen Daten beschäftigt ist, muss auf das Datengeheimnis bei Aufnahme der Tätigkeit verpflichtet werden.

 

Datensicherung von Mitarbeiter-Daten

Die technische und organisatorische Sicherung von mitarbeiterbezogenen Daten liegt zumeist bereits im eigenen Geheimhaltungsinteresse des Arbeitgebers. Grundsätzlich kann davon ausgegangen werden, dass kein Arbeitgeber ein ernsthaftes Interesse daran hat, Gehaltsdaten und andere Listen firmenintern öffentlich zu machen.

 

Zumindest werden diese Informationen im Rahmen der IT-Sicherheit zumindest im Ansatz geschützt sein. Das BDSG nennt im § 9 nebst Anlage die Bereiche, in denen die Schutzmaßnahmen in Anwendung des Verhältnismäßigkeitsprinzips genügen müssen.

 

Empfehlung:

  • Entwicklung eines Datenschutzkonzeptes
  • Festlegung von Verantwortlichen
  • Festlegung von technischen und organisatorischen Maßnahmen zum Datenschutz
  • Festlegung der mitbestimmungsrechtlichen Normen
  • Festlegung des rechtlichen Rahmens

 

Nicht nur der Datenschutzbeauftragte hat eine Kontroll- und Aufsichtsfunktion. Er hat wesentliche Rechte. Dies gilt ebenso für die Aufsichtsbehörden, die betrieblichen und behördlichen Interessenvertretungen. Bei der Sicherstellung der Einhaltung datenschutzrechtlicher Normen im Arbeitsverhältnis besitzen sie auch Pflichten.

 

Zentrale Rechtsvorschriften:

 

§§ 80 Abs. 1 Nr. 1 und 75

Abs. 2 BetrVG

Zurück zum Anfang "Die Anwendung des Bundesdatenschutzgesetzes"

Nächste Schritte

Persönlichen Rückruf anfordern
Allgemeine Informationen erhalten
Anmeldung zum Seminar Datenschutzbeauftragter