Aktuelles zum Datenschutz

Bekanntmachung des Innenministeriums (Nr. 33) über Hinweise zum Bundesdatenschutzgesetz für die private Wirtschaft und zum Bildschirmtext-Staatsvertrag. Vom 23. Dezember 1994, Az.: 2-0552.1/8. Die Veröffentlichung erfolgt im Anschluß an die Hinweise Nr. 32 im Staatsanzeiger für Baden-Württemberg Nr. 3 vom 12. Januar 1994 Seite 8.

  1. Wartung und Fernwartung von DV-Systemen
  2. Datenschutz bei der Verarbeitung und Nutzung personenbezogener Daten durch den Betriebsrat
  3. Übermittlung von Personaldaten zum Zweck des Outplacements
  4. Mieter-Datenschutz und SCHUFA-Selbstauskunft
  5. Verpflichtung auf das Datengeheimnis (§ 5 Satz 2 BDSG)

1. Wartung und Fernwartung von DV-Systemen

Bei Wartung und Fernwartung ist die Frage aufgetreten, ob die personenbezogenen Daten, welche die Wartungsfirma dabei zur Kenntnis nehmen kann, dieser gemäß § 3 Abs. 5 Nr. 3 BDSG ”übermittelt” werden. Nach dieser Vorschrift ist Übermitteln das ”Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Date an einen Dritten (Empfänger) in der Weise, daß

  1. die Daten durch die speichernde Stelle an den Empfänger weitergegeben werden oder
  2. der Empfänger von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.”.

Die Möglichkeit der Kenntnisnahme von personenbezogenen Daten stellt jedoch keine Datenübermittlung im Rechtssinne dar, da es nicht zum Zweck der Wartung oder Fernwartung gehört, daß die Wartungsfirma dabei Kenntnis vom Informationsgehalt von Daten erhält. Eine solche Kenntnisnahme erfolgt allenfalls nebenher bei der Erledigung der Wartungsaufgaben.

Wartung und Fernwartung wird teilweise als Nutzung personenbezogener Daten im Auftrag angesehen. Die Folge wäre, daß § 11 BDSG zur Anwendung käme und insbesondere ein schriftlicher Antrag (mit dem in § 11 Abs. 2 BDSG vorgegebenen Regelungsinhalt) erteilt werden müßte. Die Wartungsfirma unterläge darüber hinaus gemäß § 32 Abs. 1 Nr. 3 BDSG der Meldepflicht zum Datenschutzregister der zuständigen Aufsichtsbehörde.

Das Innenministerium vertritt mit der überwiegenden Zahl der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich die Auffassung, daß auch eine Datenverarbeitung im Auftrag zu verneinen ist, da der Zweck der Wartung oder Fernwartung nicht auf die Verarbeitung oder Nutzung der Daten gerichtet ist. Eine Meldepflicht nach § 32 Abs. 1 Nr. 3 BDSG besteht daher nicht.

Unbeschadet der datenschutzrechtlichen Einordnung von Wartung und Fernwartung ist darauf hinzuweisen, daß die speichernde Stelle nach § 9 BDSG und der Anlage hierzu die erforderlichen technischen und organisatorischen Maßnahmen treffen muß, um insbesondere einen Datenmißbrauch auszuschließen. Es sind daher praktisch die gleichen Festlegungen zu treffen wie im Falle der Auftragsdatenverarbeitung, insbesondere über Art und Umfang der Wartung. Wegen der in Nummer 10 der Anlage zu § 9 BDSG geforderten ”Organisationskontrolle” sind diese Festlegungen auch schriftlich zu vereinbaren. Es ist ferner sicherzustellen, daß das Wartungspersonal auf das Datengeheimnis verpflichtet worden ist.

[top]


2. Datenschutz bei der Verarbeitung und Nutzung personenbezogener Daten durch den Betriebsrat

Der Betriebsrat erhält in Zusammenhang mit der Ausübung seiner Mitwirkungs- und Mitbestimmungsrechte und der Wahrnehmung seiner allgemeinen Aufgaben nach § 80 Abs. 1 BetrVG Kenntnis von einer Vielzahl von Arbeitnehmerdaten. Zur Erfüllung dieser Aufgaben verarbeitet und nutzt der Betriebsrat die Daten, wobei dies zunehmend dateimäßig geschieht oder die Daten in vielen Fällen offensichtlich aus Dateien des Unternehmens stammen (§ 27 Abs. 2 BDSG).

Bei der Verarbeitung und Nutzung solcher Daten muß der Betriebsrat daher neben der für ihn geltenden speziellen gesetzlichen Geheimhaltungspflicht nach § 79 BetrVG auch die Regelungen des Bundesdatenschutzgesetzes beachten (etwa erforderliche organisatorische und technische Maßnahmen nach § 9 BDSG und der Anlage hierzu treffen, die Mitglieder des Betriebsrats gemäß § 5 BDSG auf das Datengeheimnis verpflichten und seine Mitteilungspflichten nach § 37 Abs. 1 Nr. 1 und Abs. 2 BDSG erfüllen). Als Teil des Unternehmens hat der Betriebsrat auch innerbetriebliche Regelungen zum Datenschutz einzuhalten und erforderlichenfalls selbst ergänzende Regelungen zu treffen, um einen ausreichenden Datenschutz sicherzustellen.

Dabei kommen beispielsweise Regelungen darüber in Betracht,

Zweck solcher Regelungen des Betriebsrats muß es sein, sicherzustellen, daß die Arbeitnehmerdaten bei ihm in datenschutzgerechter Weise verarbeitet und genutzt werden.

[top]


3. Übermittlung von Personaldaten zum Zweck des Outplacements

Die Umstrukturierung von Betrieben ist in vielen Fällen mit umfangreichen Personalreduzierungen verbunden. Zur Milderung der in Aussicht genommenen Kündigung bieten manche Unternehmen den Betroffenen Mitarbeitern an, ihnen bei der Suche nach einem neuen Arbeitsplatz durch die Einschaltung eines externen Outplacementmanagers behilflich zu sein. Outplacementmanagement ist ein Dienstleistungsangebot von Unternehmensberatern und privaten Arbeitsvermittlern. Auch wenn die Einschaltung eines Outplacementmanagers grundsätzlich im Interesse von Arbeitgeber und Arbeitnehmer liegen kann, ist die Tätigkeit des Outplacementmanagers nicht mehr von der Zweckbestimmung des Arbeitsvertrags mit dem betroffenen Mitarbeiter umfaßt. Die Hilfe des Arbeitgebers zur Arbeitsplatzbeschaffung außerhalb des Unternehmens ist keine arbeitsvertragliche Nebenpflicht, sondern eine freiwillige Fürsorgemaßnahme.

Die Übermittlung von Personaldaten der für das Outplacement vorgesehen Mitarbeiter an den Outplacementmanager ist deshalb nicht von § 28 Abs. 1 Nr. 1 BDSG gedeckt. Sie kann zwar ach § 28 Abs. 1 Nr. 2 BDSG zur Wahrung berechtigter Unternehmensinteressen erforderlich sein, wenn durch das Outplacement ein sozialverträglicher Personalabbau ermöglicht wird. Doch werden der Übermittlung von Personaldaten an den Outplacementmanager regelmäßig überwiegende schutzwürdige Belange der betroffenen Arbeitnehmer entgegenstehen. Damit scheidet das Bundesdatenschutzgesetz als Zulässigkeitsnorm für die Datenübermittlung aus. Das Outplacement ist auf eine Tätigkeit nach Beendigung der Betriebszugehörigkeit gerichtet; eine Betriebsvereinbarung, die die Übermittlung von Arbeitnehmerdaten im Rahmen des Outplacements zulassen würde, wäre daher von der Regelungsautonomie der Betriebspartner nicht gedeckt.

Die Übermittlung von Personaldaten für Zwecke des Outplacements setzt deshalb immer eine Einwilligung des betroffenen Mitarbeiters voraus. Dabei muß der Mitarbeiter im einzelnen darüber informiert werden, welche Daten für welche Zwecke an den Outplacementsmanager übermittelt werden sollen.

Mit dem Outplacementmanager müssen entsprechende vertragliche Regelungen getroffen werden, wobei darüber hinaus auch bestimmt werden muß, daß die Daten bei ihm nur für diese Zwecke verwendet werden dürfen und wann sie gelöscht werden müssen. Vertraglich sicherzustellen ist auch, daß eine Übermittlung von Daten an andere Unternehmen nur mit Einwilligung der betroffenen Arbeitnehmer erfolgen darf.

[top]


4. Mieter-Datenschutz und SCHUFA-Selbstauskunft

Groß-Vermieter verlangen häufig von Mietinteressenten die Vorlage einer SCHUFA-Selbstauskunft. Dies ist nach § 28 Abs. 1 Satz 2 BDSG unzulässig, soweit die Daten in einer Datei gespeichert werden sollen. Maßgeblich dafür sind insbesondere folgende Erwägungen:

Da rechtswidrig erlangte Informationen nicht rechtmäßig gespeichert werden können, machen sich Vermieter gemäß § 43 Abs. 1 Nr. 1 BDSG strafbar, wenn sie Angaben aus SCHUFA-Selbstauskünften in Kenntnis der Unzulässigkeit dateimäßig speichern.

[top]


5. Verpflichtung auf das Datengeheimnis (§ 5 Satz 2 BDSG)

Über den Kreis der zu verpflichtenden Personen bestehen in der Praxis und der Literatur verschiedene Auffassungen. Nach § 5 Satz 2 BDSG sind die ”bei der Datenverarbeitung beschäftigten Personen” auf das Datengeheimnis zu verpflichten. Damit werden nicht nur solche Personen erfaßt, die mit der Datenverarbeitung im Sinne des § 3 Abs. 5 BDSG, also mit der Speicherung, Veränderung, Übermittlung, Sperrung und Löschung personenbezogener Daten beschäftigt sind. Das Bundesdatenschutzgesetz bezweckt, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Das Datengeheimnis ist daher von allen Personen zu beachten, die aufgrund der von ihnen wahrgenommenen Tätigkeit dauernd oder regelmäßig personenbezogene Daten zur Kenntnis nehmen, sie verarbeiten oder nutzen. Dazu zählen die Mitarbeiter im Rechenzentrum, die Beschäftigten in den Fachabteilungen, das Personal im Schreib- und Registraturdienst, die Posteingangs- und Postausgangsstelle und der Botendienst. Dabei kommt es auf die Art des Beschäftigungsverhältnisses nicht an; auch Teilzeitbeschäftigte, Aushilfen, Praktikanten, Auszubildende und freie Mitarbeiter sind zu verpflichten. Auch der Datenschutzbeauftragte selbst, Revisoren und die Mitglieder des Betriebsrates dürfen nicht vergessen werden.

Die Verpflichtung der Mitarbeiter erfüllt jedoch nur dann ihren Zweck, wenn sie mit einer Belehrung über die auf die jeweilige Tätigkeit abgestimmten Befugnisse und Pflichten des Beschäftigten verbunden ist. Nicht zu verpflichten sind allerdings der Unternehmensinhaber, die Geschäftsführer der GmbH oder die Organmitglieder von Kapitalgesellschaften (Vorstand und Aufsichtsrat).

Beschäftigte, die keinen direkten Bezug zur Datenverarbeitung haben, die jedoch aufgrund ihrer Tätigkeit wiederholt Zugang zu Räumen mit Datenverarbeitungsanlagen (auch PC) oder Datenträgern haben (z.B. Reinigungskräfte oder Wartungspersonal) müssen durch ausreichende Datensicherungsmaßnahmen daran gehindert werden, personenbezogene Daten zur Kenntnis zu nehmen. Ist dies mit vertretbarem Aufwand nicht in ausreichendem Maße möglich, ist es zweckmäßig, auch diesen Personenkreis auf das Datengeheimnis zu verpflichten.

Soweit Mitarbeiter von Fremdfirmen (beispielsweise Leiharbeitnehmer, Wartungs- und Reinigungspersonal, Angehörige von Unternehmensberatungsfirmen, Boten- oder Kurierdienste, Bewachungsunternehmen usw.) im oder für das Unternehmen tätig sind, fallen auch diese unter die Regelung des § 5 BDSG. Allerdings obliegt die Verpflichtung dem jeweiligen Arbeitgeber. Im Hinblick auf die Verantwortung, die jede speichernde Stelle für ihre Daten trägt, sollte das Unternehmen, das eine Fremdfirma beauftragt, sich von dieser schriftlich bestätigen lassen, daß deren Arbeitnehmer auch tatsächlich auf das Datengeheimnis verpflichtet sind.