Datenschutz

Was Sollen Sie über Datenschutz wissen? Die Privatsphäre und Arbeitnehmerdatenschutz

Der heute übliche Begriff Datenschutz wurde  1970 durch einen Aufsatz von Ulrich Seidel definiert „Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten“

Im öffentlichen Bereich ist Alles geregelt.

Im privaten Bereichen sind Unternehmen ab einer bestimmten Größe verpflichtet, das Bundesdatenschutzgesetz umzusetzen, nach dem  ein betrieblicher Datenschutzbeauftragter bestellt werden muss. Diese sind teilweise im Berufsverband der Datenschutzbeauftragten Deutschlands organisiert.

Datenschutz ist ein Begriff, der teilweise unterschiedlich definiert und interpretiert wird:

  • Schutz vor missbräuchlicher Datenverarbeitung
  • Schutz des Rechts auf informationelle Selbstbestimmung
  • Schutz des Persönlichkeitsrechts bei der Datenverarbeitung
  • Schutz der Privatsphäre

Grundrecht

Datenschutz wird häufig als Recht verstanden, dass jeder Mensch grundsätzlich selbst darüber entscheiden darf, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht (Recht auf informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt.

  • Recht auf Benachrichtigung
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Sperrung
  • Recht auf Widerspruch
  • Widerspruchsrecht gegen Werbung-,  Markt- oder Meinungsforschungsinstitut
  • Recht auf Schadenersatz
  • Recht auf Anrufung der Datenschutzbehörden

Datenschutz umfasst zunächst organisatorische und technische Maßnahmen gegen Missbrauch von Daten innerhalb einer Organisation.

Europaweit und weltweit

Die Europäische Union versteht unter Datenschutz „insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Art. 1 Abs. 1 Richtlinie 95/46/EG). Der Europarat definiert Datenschutz als Schutz des „Recht[s] auf einen Persönlichkeitsbereich […] bei der automatischen Verarbeitung personenbezogener Daten“ (Art. 1 Europäische Datenschutzkonvention). Im englischen Sprachraum spricht man von privacy (Schutz der Privatsphäre) und von data privacy oder information privacy (Datenschutz im engeren Sinne). Im europäischen Rechtsraum wird in der Gesetzgebung auch der Begriff data protection verwendet.

1981 verabschiedete der Europarat mit der Europäischen Datenschutzkonvention eines der ersten internationalen Abkommen zum Datenschutz. Die Europäische Datenschutzkonvention ist bis heute in Kraft und hat völkerrechtlich verbindlichen Charakter für alle 46 Staaten (Stand: 30. Juli 2013), die sie ratifiziert haben. Die Konvention steht Staaten weltweit offen.

Bedeutung

Der Datenschutz bezieht sich hauptsächlich auf die Erhebung, die Verarbeitung und die Nutzung personenbezogener Daten:

  • Erheben = Beschaffen, § 3 Abs. 3 BDSG.
  • Verarbeiten = Speichern, Verändern, Übermitteln, Sperren, Löschen, § 3 Abs. 4 BDSG.
  • Nutzen = Jedes Verwenden, soweit es sich nicht um Verarbeiten handelt, d. h. Verwenden ist der Oberbegriff für Verarbeiten und Nutzen, § 3 Abs. 5 BDSG.

Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, weil

  • Datensicherheit
  • Datenhaltung
  • Datenverarbeitung
  • Datenerfassung
  • Datenweitergabe
  • Datenanalyse

immer einfacher werden und durch die benutzung von CRM- und ERP-Systeme verbreitet wurden.

Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen neue Möglichkeiten zur Datenerfassung.

Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer Teile der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat.

Interesse an personenbezogenen Informationen haben sowohl staatliche Stellen als auch private Unternehmen.

  • Sicherheitsbehörden möchten beispielsweise durch Rasterfahndung, Telekommunikationsüberwachung und Bestandsdatenauskunft die Verbrechensbekämpfung verbessern, Finanzbehörden sind an Banktransaktionen interessiert, um Steuerdelikte aufzudecken.
  • Kundenprofile sollen beim Marketing einschließlich Preisdifferenzierung helfen und Auskunfteien die Zahlungsfähigkeit der Kunden sicherstellen (siehe Verbraucherdatenschutz, Schufa, Creditreform).

Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, nehmen die Gefahren hinsichtlich des Schutzes personenbezogener Daten laufend zu („Das Internet vergisst nicht.“).

Unwirksamkeit der Datenschutz

Die Verlagerung (z. B. Outsourcing, Offshoring) von IT-Aufgaben in Regionen, in denen deutsche und europäische Gesetze nicht durchsetzbar sind und ausländische Regierungen Zugang zu nicht für sie bestimmte Daten suchen, macht Datenschutz praktisch oft wirkungslos.

Datenschützer müssen sich deshalb zunehmend nicht nur mit den grundlegenden Fragen des technischen Datenschutzes (Datensicherheit), sondern besonders mit der effektiven Durchsetzbarkeit von Datenschutz auseinandersetzen, wenn sie Erfolg haben wollen.

Die neue Herausforderungen: Datenschutz und Kriminalitätsbekämpfung

In der Öffentlichkeit vielfach diskutiert ist der Konflikt zwischen Datenschutz und Kriminalitätsbekämpfung. Ein weitgehender Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten (auch von Unschuldigen/Unverdächtigen) erleichtert diesen die Arbeit.

Der Schutz der Grundrechte der Einwohner bedarf der gesetzlichen Regelung der Zugriffs- und Speichermöglichkeiten der Strafverfolgungsbehörden auf persönliche Daten. Dies wird politisch sehr umstritten.

Für die Abwägung der Interessen des Datenschutzes und der Kriminalitätsbekämpfung muss die konkrete Maßnahme betrachtet werden. Ansatzpunkte für eine Bewertung sind:

  • Schwere der Eingriffe in den Datenschutz
  • Grad der Eignung der Maßnahme zur Verbesserung der Kriminalitätsbekämpfung

Heute macht sich die Diskussion z. B. an DNA-Reihenuntersuchungen, der Einführung von biometrischen Daten (Fingerabdruck, Gesichtsmaße, zukünftig eventuell Irisscan) und RFID-Chips in den Reisepass (Biometrischer Reisepass) fest.

Am 24. Februar 2012 entschied das Bundesverfassungsgericht in Karlsruhe, dass Polizei und Nachrichtendienste bei ihren Ermittlungen nicht auf Passwörter und PIN-Codes zugreifen dürfen.

Zusätzlich sollte man bei Flugreisen die Passenger Name Records erwähnen.

Kosten des Datenschutzes

Datenschutz verursacht Kosten und steht damit im Konflikt zu dem Ziel von Unternehmen und Verwaltungen, kosteneffizient zu arbeiten.

  • für den Datenschutzbeauftragten und seine Organisation (z. B. Sachmittel, Mitarbeiterschulungen)
  • dadurch, dass die betriebliche Datenverarbeitung durch den Datenschutz komplizierter und damit teurer wird (z. B. Zugriffsrechtverwaltung, Lösch-, Archivierungs- und Sperrfunktionen)
  • durch die Bearbeitung der Anfragen von Dritten über gespeicherte Daten und Korrektur- oder Löschforderungen
  • durch die Dokumentation und Prüfung der vorgenommenen Maßnahmen des Datenschutzes

Datenschutz kann (wenn auch in geringerem Umfang) zu Kostenersparnissen beitragen. Zu Kostenersparnissen können z. B. beitragen:

  • Geringere Datenmengen aufgrund des Prinzips der Datensparsamkeit
  • Effizientere EDV-Systeme aufgrund systematischerer DV-Organisation und -Dokumentation

Beanstandungen

Auch fehlender Datenschutz verursacht Kosten in teils erheblicher Höhe bei den Organisationen. Als direkte Kosten sind hier z. B. Bußgelder für die Nichteinhaltung von Datenschutzbestimmungen zu nennen. Verstöße gegen Datenschutz sind potentiell geeignet, das Image der Organisation zu beschädigen und damit das Geschäft zu schädigen.

Arbeitnehmerdatenschutz

Unternehmen versprechen sich von Mitarbeiterüberwachung höhere Effizienz.

Arbeitnehmerdatenschutz ist der Schutz des allgemeinen Persönlichkeitsrechts und insbesondere des Rechts auf informationelle Selbstbestimmung von Personen in ihrer Eigenschaft als Arbeitnehmer im Unternehmen.

Synonym werden auch die Begriffe Mitarbeiterdatenschutz, Beschäftigtendatenschutz und Personaldatenschutz und Betriebsdatenschutz verwendet.

Datenschutz

Arbeitgeber und Arbeitnehmer stehen sich zwar rechtlich als gleichwertige Partner gegenüber, der Arbeitgeber ist dem Arbeitnehmer aber wirtschaftlich und strukturell überlegen.

  • Der Arbeitgeber bestimmt nämlich die konkrete Ausgestaltung des Arbeitsvertrags
  • Er legt die Arbeitsbedingungen fest.
  • Er ordnet an, wann, wo und wie der Arbeitnehmer tätig werden muss.
  • Der Arbeitnehmer kann sich diesen Vorgaben in der Regel nicht entziehen.
  • Besteht in einem Vertragsverhältnis eine einseitige Bestimmungsmacht, gebietet die Verfassung einen besonderen Schutz für den schwächeren Vertragspartner, insbesondere für Vertragsinhalte, welche Eingriffe in das allgemeine Persönlichkeitsrecht erlauben.

Datenschutz bei Leistungs- und Verhaltenskontrollen

Berührungspunkte zwischen dem Datenschutz der Arbeitnehmer und den Interessen des Arbeitgebers ergeben sich insbesondere dann, wenn der Arbeitgeber Leistungs- und Verhaltenskontrollen über Vermessungstechniken durchführt.

zum Beispiel Systeme mit der Möglichkeit zur:

  • Video- und Tonaufzeichnung,
  • Leistungsmessungen an Bildschirmarbeitsplätzen, z. B. automatische Messung der Texteingabegeschwindigkeit (per Keylogger o.ä.), Mousetracking,
  • Überwachung von Mitarbeitern, die Trouble Ticket Systeme (Help-Desk-Systeme, Task-Tracking-Systeme) verwenden,
  • Überwachung der Kommunikation (z. B. E-Mail, Telefon),
  • Überwachung des Informationsverhaltens,
  • Identifizierung von Telefonanrufern und Angerufenen,
  • Bezahlung von Kantinenessen.
  • Nachfrage der Ursache einer Krankheit…

Der Schutz der Persönlichkeitsrechte von Mitarbeitern hat hier eine sehr hohe Priorität.

Andererseits haben Arbeitgeber und Kunden eines Betriebes ein berechtigtes Interesse an einer optimalen Nutzung der Ressourcen dieses Betriebes.

Wichtige Instrumente dafür sind technische Einrichtungen beispielsweise zur Unterstützung des Qualitätsmanagements, zur Beobachtung der Kundenzufriedenheit und zum Schutz des geistigen Eigentums eines Unternehmens.

Hat der Arbeitgeber ein berechtigtes Interesse an den Kontrollen und beeinträchtigen die Kontrollen die Rechte des Arbeitnehmers nicht oder nur gering, so handelt der Arbeitgeber im Regelfall rechtmäßig.

Greift der Arbeitgeber zur Überwachung auf technische Einrichtungen zurück, beispielsweise auf Videokameras, Zeiterfassungssysteme oder elektronische Zutrittskontrollen, so hat der Betriebs- oder Personalrat ein Mitbestimmungsrecht, § 87 Abs. 1 Nr. 6 BetrVG.

Oft können für den Datenschutz erforderliche Verfahrensbeschreibungen nach § 4e BDSG bei Betriebsvereinbarungen oder Dienstvereinbarungen zur Leistungs- und Verhaltenskontrolle durch technische Einrichtungen wiederverwendet werden und damit die Zusammenarbeit zwischen Betriebsrat und Betriebsleitung erheblich vereinfachen.

Regelungen in Bezug auf die Überwachung der PC-Tätigkeiten von Arbeitnehmern finden sich unter Anderem in der Bildschirmarbeitsverordnung und im Betriebsverfassungsgesetz.

Gemäß Ziffer 22 des Anhangs zur Bildschirmarbeitsverordnung darf „[o]hne Wissen der Benutzer […] keine Vorrichtung zur qualitativen oder quantitativen Kontrolle verwendet werden“. Damit ist dem Arbeitgeber ein heimlicher Einsatz verboten.

Darf meine Personalakte von Dritten gelesen werden?

Sie kennen vielleicht diese Situation. Ein Berater sagt: „ich habe mir Ihr Profil angeschaut!…“.

Folgende Unterlagen werden typischerweise als rechtlich zulässige Teile einer Personalakte angesehen:

  • Die Bewerbungsunterlagen,
  • ein Personalfragebogen,
  • Nachweise über Vor-, Aus- und Fortbildung,
  • Zeugnisse, Bescheinigungen,
  • Arbeitserlaubnisse,
  • Arbeitsvertrag und Ernennungsurkunden,
  • Versetzungsverfügungen,
  • Nebentätigkeitsgenehmigungen,
  • Beurteilungen,
  • Abmahnungen,
  • Rügen,
  • Vereinbarungen mit dem Arbeitgeber über Darlehen oder Vorschüsse,
  • Lohnabtretungen, Gehaltspfändungen und
  • Schriftwechsel, die das Arbeitsverhältnis betreffen.

Auch haben Beschäftigte selbstverständlich das Recht, Einsicht in die eigene Akte zu bekommen. Und man kann verlangen, dass falsche Angaben darin berichtigt werden.

Sind bestimmte Angaben zu Unrecht in der Akte vermerkt oder sind sie vermerkt geblieben, nachdem die Einwilligung zur Speicherung widerrufen wurde, kann die bzw. der Betroffene die Löschung verlangen. All dies richtet sich nach den allgemeinen Regeln des Bundesdatenschutzgesetzes.

Die Personalakte darf zudem nicht von jedermann gelesen werden können.

Sie muss vielmehr vor unbefugtem Zugriff gesichert sein, auch und gerade wenn sie elektronisch geführt wird. Der Kreis derjenigen, die Zugriff auf die Akte haben, muss auf die Personen beschränkt sein, die für ihre Aufgaben innerhalb des Unternehmens oder der Behörde auf die in der Akte enthaltenen Informationen angewiesen sind. Wird die Sicherung vernachlässigt und geraten dadurch vertrauliche Inhalte der Personalakte in die Hände Unbefugter oder gar in die Öffentlichkeit, kann sich daraus ein Schadensersatzanspruch der/des Betroffenen ergeben.

Gibt es unerlaubte Fragen? nein!

Der Begriff „Unerlaubte Fragen“ ist etwas irreführend.

Es ist dem Personaler nämlich juristisch nicht verboten, unerlaubte Fragen zu stellen. Er kann nach dem Vorstellungsgespräch jedoch wegen Diskriminierung verklagt werden“.

Allgemein nicht zulässig:

  • Fragen zur Familienplanung
  • Fragen zur Religion und Konfession
  • Fragen zur Parteizugehörigkeit
  • Fragen zur Gewerkschaftszugehörigkeit
  • Fragen zur sexuellen Neigung (homo- oder heterosexuell)
  • Generell Fragen zum Privatleben

Beispiel

  • Sind Sie Solo?
  • Unterstützen Sie finanziell oder zeitlich einen Familienmitglied?
  • Was macht Ihr Partner von Beruf?
  • Sind Sie schwanger?
  • Haben Sie eine Behinderung?
  • Wie steht es mit Ihrem Kinderwunsch?
  • Sind Sie religiös?
  • Gehören Sie einer Partei an?
  • Was machen Sie in der Freizeit?
  • Haben Sie eine bestimmte Krankheit?
  • Waren Sie mal im Gefängnis?
  • Wann wurden Sie das letzte Mal gewalttätig?
  • Wie steht es um Ihr Sexualleben?
  • Wofür geben Sie Ihr Geld aus?
  • Sind Sie schon einmal verschuldet gewesen?
  • Was trinken Sie abends?

Darf er fragen, woran ich erkrankt bin?

Ja, er darf schon – je nachdem, wie das Vertrauensverhältnis zwischen Arbeitgeber und Beschäftigtem ist, ist das sogar üblich. Und vielleicht ja sogar wünschenswert. Allerdings ist der Arbeitnehmer nicht verpflichtet, die Frage richtig – oder überhaupt zu beantworten. Weigert er sich, den Grund seiner Arbeitsunfähigkeit zu nennen, so dürfen ihm daraus keine Nachteile entstehen.

Generell geht es den Arbeitgeber nichts an, woran ein Arbeitnehmer erkrankt ist. Allerdings darf er einen Detektiv beauftragen, um herauszufinden, was der kranke Mitarbeiter treibt.