A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
wirtschaftslexikon wirtschaftslexikon
 
Wirtschaftslexikon Wirtschaftslexikon

 

wirtschaftslexikon online lexikon wirtschaftslexikon
   
 
     
wirtschaftslexikon    
   
    betriebswirtschaft
     
 
x

Datenschutz und Datensicherheit


Inhaltsübersicht
I. Ziel des Datenschutzes
II. Rechtsquellen des Personaldatenschutzes
III. Das Bundesdatenschutzgesetz
IV. Datensicherheit gemäß BDSG
V. Kontrolle

I. Ziel des Datenschutzes


Aufgabe des Datenschutzes ist es, den Bürger vor der Beeinträchtigung des Persönlichkeitsrechts durch Andere, die seine Daten verarbeiten oder nutzen, zu schützen und damit gleichzeitig die Akzeptanz für die neuen Informations- und Kommunikationstechniken zu fördern. Nicht die Daten oder der Besitz an Daten soll geschützt werden, sondern der verfassungsrechtlich geschützte Anspruch des Betroffenen auf eine unantastbare Sphäre privater Lebensgestaltung. Das Bundesverfassungsgericht hat im Volkszählungsurteil aus dem Jahre 1993 (BVerfGE 65, 1) zur Beschreibung des Rechts auf informationelle Selbstbestimmung formuliert, dass die Befugnis des Einzelnen zu gewährleisten ist und er grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden hat.
Um diese Schutzziele zu erreichen, dokumentieren Datenschutzgesetze den Umgang mit personenbezogenen Daten und legen dabei den Daten verarbeitenden Stellen folgende grundsätzliche Pflichten bzw. Beschränkungen auf:
1. Die Verarbeitung und Nutzung von personenbezogenen Daten sind auf der Grundlage des Zweckbindungsprinzips nur zulässig, wenn der Betroffene zugestimmt hat oder eine Rechtsvorschrift diese erlaubt (Verbot mit Erlaubnisvorbehalt).
2. Die Zulässigkeit der Verarbeitung ist nur im Rahmen des für einen legitimen Zweck Erforderlichen genehmigt.
3. Für den Betroffenen soll durch Informations-/Benachrichtigungspflichten sowie durch Auskunftsrechte Transparenz darüber herrschen, wer welche Daten über ihn verarbeitet.
4. Unrichtige Daten müssen berichtigt werden; unzulässig gespeicherte, nicht mehr benötigte oder bestrittene Daten müssen gelöscht oder gesperrt werden.
5. Daten müssen vor Missbrauch Dritter, Verlust oder Zerstörung gesichert werden.
6. Die Einhaltung des Datenschutzes ist durch interne und externe Kontrollinstanzen zu gewährleisten.
7. Unzulässige Datenverarbeitung sowie Verstöße gegen datenschutzrechtliche Verpflichtungen sind als Ordnungswidrigkeiten oder Straftaten sanktioniert.

II. Rechtsquellen des Personaldatenschutzes


Das Datenschutzrecht der Bundesrepublik Deutschland beruht auf einer Fülle von quantitativ und qualitativ sehr unterschiedlichen Rechtsnormen. Es wird in Rahmen- oder Auffanggesetzen gestaltet, wie dem Bundesdatenschutzgesetz (BDSG) und den Landesdatenschutzgesetzen sowie in sog. bereichsspezifischen Vorschriften (z.B. Gesetze, Rechtsverordnungen, Satzungen, Tarifverträge, Betriebs-/Dienstvereinbarungen. Daneben haben internationale Regelungen zunehmend Einfluss auf das nationale Datenschutzrecht.

1. Persönlichkeitsrechtsschutz im Arbeitsverhältnis


Das Bundesarbeitsgericht unterstellt die Geltung des allgemeinen Persönlichkeitsrechts im Arbeitsverhältnis und unterstreicht dies in der Personalfragebogenentscheidung (BAG,  1984, S. 2626) aus dem Jahre 1984, in dem es unter ausdrücklicher Berufung auf das Volkszählungsurteil betont, dass das informationelle Selbstbestimmungsrecht beeinträchtigt wird, wenn der Arbeitgeber Daten eines abgelehnten Bewerbers auf Dauer in seinem Einflussbereich belassen will. Ob das allgemeine Persönlichkeitsrecht durch die Erhebung oder weitere Verarbeitung von Arbeitnehmerdaten unzulässig beeinträchtigt wird, prüft das Bundesarbeitsgericht stets im Rahmen einer Güte- und Interessenabwägung unter Beachtung des Verhältnismäßigkeitsprinzips. Berechtigte Informationsinteressen des Arbeitgebers sind mit dem informationellen Selbstbestimmungsrecht des Beschäftigten in einen verhältnismäßigen Ausgleich zu bringen. Dies bedeutet, dass es im Rahmen der Zweckbestimmung des Arbeitsverhältnisses gestattet ist, bestimmte Personaldaten automatisiert zu verarbeiten. Die Grenze für die Zulässigkeit einer Datenverarbeitung ergibt sich vielmehr erst aus einer Abwägung der berechtigten Interessen des Arbeitgebers und der schutzwürdigen Interessen des Arbeitnehmers.
Die Rechtsprechung ist durchaus bereit, dem Arbeitgeber den EDV-Einsatz z.B. zur Auswertung von Fehlzeiten mit dem Ziel der Mitarbeiterkontrolle und der Reglementierung zu gestatten. Gleichzeitig zeigt sie deutlich die insoweit zu ziehenden Grenzen auf. Das Bundesarbeitsgericht hat wiederholt festgestellt, dass dem Arbeitgeber regelmäßig nicht gestattet ist, die Mitarbeiter am Arbeitsplatz jederzeit und ohne konkreten Hinweis per Video zu beobachten. Der hierdurch erzeugte „ lückenlose Überwachungsdruck “ ist mit dem Anspruch der Arbeitnehmer auf Persönlichkeitsrechtschutz regelmäßig nicht zu vereinbaren. Nur ausnahmsweise bei vorrangigen Sicherheitsinteressen oder bei konkretem Verdacht einer Straftat ist eine Videokontrolle gerechtfertigt. Auch das Bundesverfassungsgericht (BAG,  1992, S. 178) hat es mit der Geltung des Persönlichkeitsrechts im Arbeitsverhältnis als unvereinbar erkannt, dass Inhalte von Telefonaten heimlich mitgehört oder aufgezeichnet werden.

2. Betriebs-(Dienstvereinbarungen)


Wenn der Arbeitgeber neue Techniken einsetzt, etwa zur Erledigung der im Rahmen des Arbeitsverhältnisses geschuldeten Tätigkeit (z.B. betriebliche Kommunikationssysteme) und den betroffenen Mitarbeiter zur Benutzung der Techniken anweist, so ergibt sich die Berechtigung hierzu regelmäßig aus dem Direktionsrecht des Arbeitgebers. Dies gilt auch für den Einsatz von Techniken, die unmittelbar (z.B. automatisierte Zeiterfassung) oder mittelbar (z.B. Eingabekontrolle bei EDV-Nutzung oder automatisierte Telefondatenerfassung) auf eine Kontrolle der Mitarbeiter ausgerichtet sind. Unterliegt einer dem einzelnen Mitarbeiter gegenüber zulässigen Maßnahme ein Beteiligungsrecht des Betriebsrates (mitbestimmungspflichtige Versetzung gem. § 95 Abs. 3 Betriebsverfassungsgesetz, Einsatz einer mitbestimmungspflichtigen Kontrolleinrichtung gem. § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz) und ist dieser Mitbestimmungspflicht nicht genügt worden, so bedeutet dies individualrechtlich für den einzelnen Arbeitnehmer, dass er der Weisung an dieser Technik tätig zu werden, nicht Folge leisten muss. Die Ausübung des Mitbestimmungsrechts ist als Wirksamkeitsvoraussetzung für die sich aus dem Direktionsrecht ergebenen Weisungen bei dem einzelnen Arbeitnehmer anzusehen.
Regelmäßig werden die Bedingungen, unter denen der Arbeitgeber die Personaldaten automatisiert verarbeiten darf, zwischen der Mitarbeitervertretung und dem Arbeitgeber verbindlich in einer (Dienst-)Betriebsvereinbarung festgelegt, die dann als betriebsinternes Datenschutzrecht eine spezielle Erlaubnis bzw. Verbotsnorm im Sinne von § 4 Abs. 1 Bundesdatenschutzgesetz darstellt. Bei der inhaltlichen Gestaltung der Vereinbarung haben die Betriebsparteien jedoch den Mindeststandards des BDSG Rechnung zu tragen. Eine individualrechtlich unzulässige Datenverarbeitung kann auch nicht durch die Zustimmung der Mitarbeitervertretung legitimiert werden.

III. Das Bundesdatenschutzgesetz


Das BDSG ist zuletzt am 23.05.01 auf Grundlage der EG-Datenschutzrichtlinie 95/46/EG novelliert worden (BGBl. I S. 2954). Zusätzlich aufgenommen wurden Regelungen zur Datenvermeidung und Datensparsamkeit (§ 3a), zu einem Datenschutzaudit (§ 9a), zur Videoüberwachung öffentlich zugänglicher Räume (§ 6b) und zum Einsatz von Chipkarten (§ 6c). Den Unternehmen ist zur Umsetzung der Neuerungen eine dreijährige Übergangsfrist eingeräumt worden.
Das BDSG findet auf jede Form der automatisierten Datenverarbeitung Anwendung und gilt damit auch für die Personaldatenverarbeitung.

1. Verbotsprinzip


Das BDSG spricht das grundsätzliche Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus. Anders ausgedrückt heißt dies, die Erhebung, Verarbeitung oder Nutzung von geschützten und personenbezogenen Daten bedarf jeweils einer besonderen Rechtfertigung. Sie sind daher nach § 4 Abs. 1 BDSG nur zulässig:
1. wenn eine Rechtsvorschrift außerhalb des BDSG die Verarbeitung gestattet oder hierzu ggf. sogar verpflichtet; der Vorrang dieser Erlaubnisvorschrift besteht auf Grund der sich aus § 1 Abs. 4 BDSG ergebenden Subsidiarität des BDSG gegenüber bereichsspezifischem Bundesrecht: gemäß § 4 Abs. 1 BDSG sind aber kollektiv-arbeitsrechtliche Normen (also Tarifverträge und Betriebsvereinbarungen) insoweit vorrangig. Es genügt, dass die vorrangige Vorschrift das Speichern, Übermitteln etc. gestattet, nicht erforderlich ist, dass die Erlaubnis ausdrücklich automatisierte Verarbeitungsverfahren vorsieht,
2. wenn das BDSG in seinen Zulässigkeitstatbeständen (für private Daten verarbeitende Stellen im 3. Abschnitt §§ 28 bis 31 BDSG) die Verarbeitung gestattet,
3. wenn der Betroffene in die entsprechende Verarbeitung seiner Daten eingewilligt hat. Die Einwilligung muss sich auf die konkreten Verarbeitungsvorgänge beziehen und regelmäßig schriftlich erklärt werden (§ 4a Abs. 1 BDSG). Besonders im Arbeitsverhältnis ist die Freiwilligkeit der Einwilligung und damit ihre Wirksamkeit stets kritisch zu hinterfragen.
Ist die Verarbeitung der Daten nicht durch einen derartigen Erlaubnistatbestand legitimiert, so sind unzulässig gespeicherte Daten zu löschen; es bestehen ggf. Unterlassungs-, Widerrufs- und Schadensersatzansprüche. Ferner kann eine Ordnungswidrigkeit bzw. Strafbarkeit nach §§ 43, 44 BDSG gegeben sein.

2. Allgemeine Zulässigkeitsvoraussetzungen


Für die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Privatunternehmen für eigene Zwecke stellt das Gesetz (§ 28 Abs. 1 S. 1 Nr. 1) zunächst darauf ab, ob zwischen der Daten verarbeitenden Stelle und dem Betroffenen vertragliche oder vertragsähnliche Beziehungen bestehen (z.B. als Arbeitnehmer). Maßgebend für die Zulässigkeit der Datenverarbeitung ist dann die „ Zweckbestimmung “ der Rechtsbeziehung, wobei, wie das BAG (RDV 1987, S. 129) für das Arbeitsverhältnis festhält, „ in die Privatsphäre des Arbeitnehmers nicht tiefer eingedrungen werden darf, als es der Zweck des Arbeitsverhältnisses unbedingt erfordert “ . Maßgebend für die bei Datenspeicherungen im Rahmen eines Vertragsverhältnisses insoweit zu beachtende Zweckbestimmung ist der Grundsatz der Verhältnismäßigkeit.
Werden Arbeitnehmerdaten verarbeitet und unterliegen die Verarbeitungsvorgänge der Mitbestimmung des Betriebsrats (z.B. nach § 87 Abs. 1 Nr. 6 BetrVG), so ist die Zustimmung des Betriebsrats bzw. der Spruch der Einigungsstelle Zulässigkeitsvoraussetzung für die Datenverarbeitung. Unter Verstoß gegen Mitbestimmungsrechte gespeicherte Daten sind zu löschen.

3. Besondere Zulässigkeitsregelungen

a) Umgang mit sensitiven Daten


Das BDSG stellt bestimmte sensible Daten, sog. „ besondere Kategorien personenbezogener Daten “ , unter einen besonderen Schutz. Dazu zählen gemäß § 3 Abs. 9 BDSG Angaben über rassisch oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Die besonderen Voraussetzungen unter denen diese sensitiven Daten ausnahmsweise auch ohne Einwilligung des Betroffenen erhoben, verarbeitet oder genutzt werden dürfen, ergeben sich aus § 28 Abs. 6 bis 9 BDSG.
Für das Personalwesen von Bedeutung ist insbesondere der Zulässigkeitstatbestand des § 28 Abs. 6 BDSG, der vier Erlaubnistatbestände beinhaltet. Insbesondere die Regelung Nr. 3 ist von allgemeiner Bedeutung für die Datenverarbeitung im Rahmen von Vertrags- oder vertragsähnlichen Vertrauensverhältnissen. Danach ist die Erhebung, Verarbeitung und Nutzung der Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse an dem Ausschluss an der Erhebung, Verarbeitung oder Nutzung überwiegt. Da „ rechtliche Ansprüche “ auf Grund gesetzlicher als auch vertraglicher Grundlage bestehen, erfasst § 28 Abs. 6 Nr. 3 BDSG auch die gerichtliche und außergerichtliche Geltendmachung von Ansprüchen, die die Verarbeitung sensitiver Daten voraussetzen.
Auch sensitive Arbeitnehmerdaten können – ungeachtet vorrangiger Rechtsvorschriften – zur Klärung von gegen die verantwortliche Stelle gerichteten Ansprüchen erhoben und verarbeitet werden. So ist z.B. die Speicherung von krankheitsbedingten Fehlzeiten zur Feststellung von Entgeltfortzahlungsansprüchen oder zur Prüfung einer eventuellen krankheitsbedingten Kündigung zulässig. Bei der Abfrage von sensitiven Daten vor Vertragsabschluss können auch die Daten erhoben werden, die benötigt werden um abzuklären, welche zukünftigen Ansprüche entstehen und ob diese ordnungsgemäß erfüllt werden können.

b) Übermittlung von Personaldaten in Drittstaaten


Auf Grund der EG-Datenschutzrichtlinie haben die EU-Staaten ein weitgehend einheitliches Datenschutzrecht geschaffen. Dementsprechend sind Datenübermittlungen in Staaten der EU oder einen anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (Norwegen, Island, Liechtenstein) so zu behandeln, wie derartige Verarbeitungsschritte zwischen inländischen Stellen (§ 4b Abs. 1 BDSG). Außerhalb eines vertraglich vereinbarten Auslandeinsatzes sind Datenübermittlungen von Mitarbeitern in sog. Drittstaaten unzulässig, wenn das Drittland kein angemessenes Datenschutzniveau gewährleistet. Die entsprechende Beurteilung nimmt die übermittelnde Stelle selbst vor. Kann kein hinreichendes Datenschutzniveau festgestellt oder durch Vereinbarung der von der EU-Kommission entwickelten „ Standardvertragsklauseln “ hergestellt werden und liegen auch nicht dem Willen des Mitarbeiters entsprechende Übermittlungsbefugnisse nach § 4c BDSG vor, so kann die übermittelnde Stelle sich den grenzüberschreitenden Datenverkehr einzel- oder fallgruppenbezogen von der obersten Aufsichtsbehörde genehmigen lassen. Voraussetzung für die Genehmigung ist die Schaffung ausreichender Garantien für den Schutz der Betroffenen z.B. durch Vereinbarungen mit dem Datenempfänger bzw. unternehmensinterne „ Codes of Conduct “ . Genehmigt werden also nicht „ Codes of Conduct “ , sondern immer bestimmte Datenübermittlungen in Bezug auf die durch die Verhaltsregelungen geschaffenen Garantien. Problematisch ist vor diesem Hintergrund die Führung eines weltweit zugänglichen Personalinformationssystems. Dieses lässt sich nur durch eine Betriebsvereinbarung – als dem BDSG vorrangige Regelung – oder durch eine informierte Einwilligung gemäß § 4a BDSG legitimieren, wobei deren Wirksamkeit von ausreichenden Schutzgarantien im Drittstaat abhängig sein wird.

c) Outsourcing der Personaldatenverarbeitung


Adressat des BDSG sind Personen und Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen oder die Erhebung, Verarbeitung und Nutzung durch Andere (im Auftrag) vornehmen lassen (verantwortliche Stelle gem. § 3 Abs. 7 BDSG). Maßgebend ist, wer juristisch für die Verarbeitung verantwortlich ist, d.h. „ verantwortliche Stelle “ ist das Unternehmen und für die Arbeitnehmerdaten damit der Arbeitgeber.
Fiktiver Teil der speichernden Stelle sind Personen und Stellen, die Daten im Auftrag, d.h. nach ausschließender Vorgabe der verantwortlichen Stelle, verarbeiten. Auftragnehmer werden als Einheit mit der auftraggebenden Stelle betrachtet, da diese die Verantwortung für die Rechtmäßigkeit trägt. Der Weitergabe der Daten an den Auftragnehmer steht das BDSG damit nicht entgegen, d.h. diese ist keine dem „ Verbot mit Erlaubnisvorbehalt “ unterliegende Datenübermittlung. Die Privilegierung der Auftragsdatenverarbeitung gilt nicht für Stellen mit Sitz in einem ausländischen Nicht-EU-Staat. Hier ist der Auftragnehmer „ Dritter “ und die Zulässigkeit der Datenübermittlung unter den besonderen Voraussetzungen für Datenübermittlungen in Drittstaaten zu prüfen. Das Outsourcing der Personaldatenverarbeitung im Rahmen einer Auftragsdatenverarbeitung ist zulässig, wenn ein dem § 11 BDSG konformer Vertag vorliegt, der insbesondere den Zweck der Datenverarbeitung und die technischen und organisatorischen Maßnahmen regelt.
Wird im Rahmen der Personalverwaltung im Konzern allerdings einer „ anderen “ Stelle die eigenständige Verarbeitung oder Nutzung übertragen, so liegt eine sog. Funktionsübertragung vor, die eine Datenübermittlung voraussetzt. Diese Übermittlung ist nur zulässig, wenn eine entsprechende (vertragliche) Einwilligung oder Betriebsvereinbarung vorliegt.

IV. Datensicherheit gemäß BDSG


Im Gegensatz zu den sonstigen Vorschriften des BDSG, die grundsätzlich unabhängig von der Schutzbedürftigkeit der personenbezogenen Daten gelten, sind gemäß § 9 BDSG Datensicherungsmaßnahmen nur erforderlich, soweit ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Welche technischen und organisatorischen Datensicherungsmaßnahmen zu treffen sind, ist daher jeweils an den konkreten Umständen des Einzelfalls zu messen. Der Schutzbedarf bestimmt den Umfang der Sicherungsmaßnahmen, wobei der Grundsatz der Verhältnismäßigkeit anzuwenden ist. Dabei ist dem Stand der technischen Entwicklung Rechnung zu tragen. So stellt z.B. der Einsatz von Personalcomputern anders geartete Anforderungen an Datensicherungsmaßnahmen als es bei einem Großrechenzentrum der Fall ist.
Dazu schreibt das BDSG in einer Anlage zu § 9 folgende acht Kontrollen vor. Diesen gesetzlichen Geboten sind beispielhaft Umsetzungsmaßnahmen zugeordnet:
Zutrittskontrolle

-

Zutritt zum Gelände mit Ausweisleser oder Anmeldung beim Pförtner (Besucherschein)

-

Zutritt zur Rechenzentrumsetage mit Ausweisleser (eigene Berechtigungsstufe) oder Operating-Mitarbeiter

-

Zutritt zum Bandarchiv nur durch Ausweisleser

-

geschlossenes Gelände mit Kameraüberwachung durch Pförtner


Zugangskontrolle

-

Zugangsschutzmaßnahmen

-

Passwortschutz

-

Verschlüsselung


Zugriffskontrolle

-

Mehrstufige Firewall-Systeme sichern und prüfen Zugriffe aus dem Intranet und Internet

-

Protokollierung

-

Passwortschutz

-

Berechtigungs- und Betreiberkonzepte


Weitergabekontrolle

-

Verschlüsselung

-

Regelung des Kommunikationsverkehrs

-

Protokollierung


Eingabekontrolle

-

Sicherungssoftware wie RACF

-

Protokollierung

-

Berechtigungskonzept


Auftragskontrolle

-

Weisungen des Auftraggebers

-

Betreiberkonzept

-

Protokollierung


Verfügbarkeitskontrolle

-

Sicherungskopien an einem anderen Ort

-

Maßnahmen zum Katastrophenschutz


Trennungsgebot

-

logische, keine physische Trennung

-

Benutzerprofile

-

Berechtigungen


Die vom BDSG geforderten technischen und organisatorischen Maßnahmen werden ergänzt durch die Prinzipien der Datenvermeidung und der Datensparsamkeit gemäß § 3a BDSG. Danach hat sich die Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Diese Zielvorgabe hebt jedoch nicht das „ Erforderlichkeitsprinzip “ auf, d.h. dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nach den Zulässigkeitstatbeständen des BDSG gestattet sind, wenn sie für den berechtigten Zweck „ erforderlich “ sind.

V. Kontrolle


Das BDSG geht von einem mehrphasigen Kontrollsystem aus.

1. Betroffener Mitarbeiter


Der Betroffene in seiner Eigenschaft als Arbeitnehmer kontrolliert seine Daten selbst. Dazu erhält er Kenntnis über die Art der gespeicherten Daten durch die Verpflichtung der speichernden Stelle zur Benachrichtigung und Auskunftserteilung. Sind die Daten zu beanstanden, so hat der Betroffene den Berichtigungs-, Sperrungs- und Löschungsanspruch.

2. Betrieblicher Datenschutzbeauftragter


Aufgabe des Datenschutzbeauftragten ist es, für die Beachtung des BDSG sowie anderer Vorschriften des Datenschutzes im Unternehmen zu sorgen. Er soll auf die Wahrung der Rechte der Betroffenen bei der Verarbeitung ihrer personenbezogenen Daten achten. Hierzu hat er für den Vollzug des BDSG betriebsinterne Verfahren, Anweisungen und Richtlinien zu erarbeiten und deren Einhaltung zu kontrollieren. Das Gesetz legt ihm darüber hinaus zwei besonders genannte Pflichten auf. Er muss

-

die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, überwachen; in kritischen Fällen obliegt ihm die ausdrücklich geregelte „ Vorabkontrolle “ .

-

die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Gesetzes wie auch anderen Vorschriften im Datenschutz vertraut machen.


Die Tätigkeit des Datenschutzbeauftragten ist also die eines innerbetrieblichen Kontrollorgans. Die für allgemeine Fragen der Organisation oder der Sicherheit im Unternehmen zuständigen Organisationseinheiten sowie die Daten verarbeitenden Stellen im Unternehmen werden aus ihrer primären Verantwortung für den Datenschutz und die Datensicherung durch den Datenschutzbeauftragten nicht entlassen.
Sie haben den Datenschutzbeauftragten bei der Wahrnehmung seiner Kontrollfunktionen zu unterstützen und insbesondere eine Übersicht über die stattfindenden Verarbeitungen zur Verfügung zu stellen (Verfahrensverzeichnis), welche er bei Antrag jedermann zugänglich machen muss.
Ferner hat die verantwortliche Stelle die Pflicht, den Datenschutzbeauftragten über neue Vorhaben automatisierter Datenverarbeitung rechtzeitig vorher Informationen zukommen zu lassen sowie die für die Tätigkeit erforderlichen Hilfskräfte, Räume, Einrichtungen und Mittel zur Verfügung zu stellen.
Regelmäßig wird der Datenschutzbeauftragte seine Aufgabe im Rahmen eines Arbeitsverhältnisses wahrnehmen. In kleineren Unternehmen wird er hierfür nur einen Teil seiner Arbeitszeit aufwenden müssen (sog. nebenamtlicher DSB). Hierbei ist jedoch darauf zu achten, dass der DSB mit der übrigen Tätigkeit keine Aufgaben ausübt, die er gleichzeitig zu kontrollieren hat. Die sich daraus ergebende Interessenkollision wird regelmäßig die gesetzlich geforderte Zuverlässigkeit in Frage stellen.
Bei Anwendung seiner Fachkunde, d.h. bei der Beurteilung datenschutzrechtlicher Fragen, ist er weisungsunabhängig. Diese Unabhängigkeit wird dadurch abgesichert, dass er „ Abberufungsschutz “ genießt, d.h. dass ihm die DSB-Position nur aus wichtigem Grund entzogen werden kann, wodurch auch das Kündigungsrecht des Arbeitgebers eingeschränkt ist.

3. Aufsichtsbehörde


Die nach Landesrecht zuständigen Aufsichtsbehörden überprüfen die Ausführung des BDSG sowie anderer Vorschriften über den Datenschutz im privaten Bereich. Sie haben dazu das Recht der anlassunabhängigen Kontrolle. Beanstandungen insbesondere von Betroffenen haben sie nachzugehen. Bei ihnen kann bzw. muss der betriebliche Datenschutzbeauftragte Rat und Unterstützung suchen. Organisationsverstöße können mit einem Bußgeld in Höhe von 25.000 Euro, Verstöße gegen die materielle Rechtmäßigkeit der Datenverarbeitung mit einem Bußgeld in Höhe von 250.000 Euro geahndet werden. Im Übrigen haben die Aufsichtbehörden ein eigenes Strafantragsrecht, sofern ein Datenschutzdelikt in Bereicherungs- oder Schädigungsabsicht erfolgt.

4. Betriebsrat


Auch wenn das Betriebsverfassungsgesetz den Begriff „ Datenschutz “ und spezielle datenschutzbezogene Beteiligungsrechte – schon auf Grund seines Entstehungszeitpunktes (1972) – nicht kennt, weist es dem Betriebsrat eine Reihe von Beteiligungsrechten zu, die den Persönlichkeitsrechtschutz der Beschäftigten verwirklichen helfen sollen. Ausgangspunkt diesbezüglicher Verpflichtung ist § 75 Abs. 2 BetrVG, der Arbeitgeber und Betriebsrat gleichermaßen verpflichtet, die freie Entfaltung der Persönlichkeit der Mitarbeiter zu wahren und zu fördern.
Nicht zu verkennen ist jedoch, dass dem Betriebsrat im Rahmen seiner Beteiligungsrechte – angefangen von der Einstellung bis zur Kündigung – auch in ggf. sehr sensiblen Bereichen Daten der Mitarbeiter mitgeteilt werden, woraus sich wiederum Datenschutzverpflichtungen der Mitarbeitervertretung selbst ergeben.
Im Rahmen seiner Datenschutzkontrolle zu Gunsten der Beschäftigten hat der Betriebsrat zunächst darauf zu achten, dass die Personaldatenverarbeitungen den gesetzlichen Anforderungen genügen, wobei er dann anstreben muss, in der Bandbreite des Zulässigen und vom Arbeitgeber Gewünschten, die Interessen der Mitarbeiter hinreichend zum Ausdruck zu bringen.
Die Rechtsprechung hat diese Beteiligungsrechte – und im Hinblick auf die automatisierte Verarbeitung von Personaldaten vorrangig § 87 Abs. 1 Nr. 6 BetrVG – extensiv ausgelegt, mit dem Ergebnis, dass generell jegliche Erhebung, Verarbeitung oder Nutzung von Arbeitnehmerdaten der Zustimmung der Mitarbeitervertretung bedarf.
Daneben schreibt sie dem Betriebsrat, abgeleitet aus § 80 Abs. 1 Nr. 1 BetrVG, hinsichtlich der Kontrolle der Rechtmäßigkeit der Personaldatenverarbeitungen des Arbeitgebers eine umfassende Kontrollkompetenz zu. Nach § 80 Abs. 1 Nr. 1 BetrVG gehört es zu den Aufgaben des Betriebsrats, die Durchführung der zu Gunsten der Beschäftigten geltenden Normen zu überwachen. Dass zu den arbeitnehmerschützenden Gesetzen auch das BDSG und die sonstigen den Personaldatenschutz gewährleistenden Gesetze gehören, steht außer Frage.
Zur Wahrnehmung seiner Kontrollaufgabe ist der Betriebsrat umfassend über die im Betrieb stattfindenden Verarbeitungen von Personaldaten zu informieren. Ggf. kann er sich des Sachverstands externer Sachverständiger bedienen.
Literatur:
BAG, : (Personalfragebogen), Urt. v. 06.06.1984 – 5 AZR 286/81  – , DB 1984, S. 2626
BAG, : (Videokontrolle), Urt. v. 15.05.1991 – 5 AZR 115/90 – , RDV 1992, S. 178
Bolten, R./Pulte, P. : Aufbwewahrungsnormen und -fristen im Personalbereich, 5. A., Frechen 2002
Däubler, W. : Gläserne Belegschaften, 4. A., Frankfurt/M. 2002
Dworatschek, S./Büllesbach, A./Koch, H. D. : PC & Datenschutz, 6. A., Frechen 2000
Ernestus, W. : „ ? da waren\'s nur noch 8! “ , in: RDV, 2002, S. 22 – 25
Gola, P. : Datenschutz im Call Center, 2. A., Frechen 2006
Gola, P. : Datenschutz und Multimedia am Arbeitsplatz, Frechen 2006
Gola, P. : Neues BDSG – die Auswirkungen für die Personalarbeit, in: LOHN+GEHALT, H. 5/ 2001, S. 70 – 73
Gola, P./Jaspers, A. : Das neue BDSG im Überblick, 3. A., Frechen 2006
Gola, P./Müthlein, T. : TDG/TDDSG – Teledienstegesetz/Teledienstedatenschutzgesetz – Kommentierung für die Praxis, Frechen 2002
Gola, P./Schomerus, R. : Bundesdatenschutzgesetz – Kommentar, 8. A., München 2005
Gola, P./Wronka, G. : Handbuch zum Arbeitnehmerdatenschutz, 3. A., Frechen 2004
Haaz, H. : Tätigkeitsfeld Datenschutzbeauftragter, 2. A., Frechen 2003
Halang, R. F./Halang, W. A. : Sichere Abwehr vor Viren, Frechen 2002
Hentschel, B. : HR-Outsourcing im neuen BDSG, in: LOHN+GEHALT, H. 5/2001, S. 67 – 69
Hentschel, B. : ASP in der Personalwirtschaft – Software aus der Steckdose, Frechen 2002
Hentschel, B./Jaspers, A. : Auskunfts-, Bescheinigungs- und Meldevorschriften im Personalwesen, 6. A., Frechen 2003
Hentschel, B./Kolzter, H. J. : Computergestützte Entgeltabrechnung, Frechen 1997
Jaspers, A./Müthlein, T. : Datenschutz-Kurz-Check, in: IT-Sicherheit, H. 3/2003, S. 34 – 37
Klug, C. : BDSG – Interpretation, 2. A., Frechen 2003
Koch, H. D. : Der betriebliche Datenschutzbeauftragte, 5. A., Frechen 2003
Kruth, W. : IT-Grundlagenwissen für Datenschutz- und Sicherheitsbeauftragte, 2. A., Frechen 2004
Münch, P. : Technisch-organisatorischer Datenschutz, 2. A., Frechen 2005
Müthlein, T./Heck, J. : Outsourcing und Datenschutz, 3. A., Frechen 2006
Simitis, S. : Kommentar zum Bundesdatenschutzgesetz, 5. A., Baden-Baden 2003

 

 


 

<< vorhergehender Begriff
nächster Begriff >>
Datenschutz
 
Datensicherheit