Gläserne Belegschaften

"Das Handbuch zum Beschäftigtendatenschutz", wie es Autor und Verlag bezeichnen, ist in den vergangenen Jahr(zehnt)en (erstmals 1990 erschienen) für Arbeitnehmervertretungen zu einem Standardwerk avanciert. In der aktuellen 7. Auflage berücksichtigt der Autor das neue Datenschutzrecht der EU-DSGVO und des BDSG-neu. Die Ausführungen und juristischen Bewertungen, so der Autor im Vorwort, "mussten in fast allen Teilen grundlegend überarbeitet werden".

 

Uns interessiert dabei insbesondere, wie der Autor mit der ungewissen Zukunft des Datenschutzrechts umgeht, angesichts einer noch fehlenden gerichtlichen Auseinandersetzung zum neuen Recht. Außerdem interessieren uns natürlich die konkreten Empfehlungen für die Praxis der Arbeitnehmervertretungen, die der Autor aus dem neuen Recht ableitet. 

 

Wolfgang Däubler

Gläserne Belegschaften - Das Handbuch zum Beschäftigtendatenschutz

7. Auflage 2017

Bund-Verlag

ISBN 978-3-7663-6620-7

59,90 Euro

Nach einer Einleitung mit Beispielen von drastischen Verstößen gegen das Datenschutzrecht durch Arbeitgeber und einer Zielbestimmung dieses Buches legt der Autor in Kapitel 2 zunächst die grundsätzlichen rechtlichen Schranken der Datenverarbeitung im Betrieb dar. Dabei geht er u. a. auf die EU-DSGVO (Datenschutz-Grundverordnung der Europäischen Union) ein, welche die ab 25. Mai 2018 geltenden Vorschriften des Datenschutzrechts enthält. In seiner unvergleichlichen süffisant-kritischen Art beschreibt Däubler die wesentlichen Fakten, ohne jedoch seine Meinung "hinter den Berg" zu halten. Dabei ist ein gut lesbarer Text entstanden, in dem die wesentlichen Begriffe durch Fettdruck hervorgehoben sind; allerdings mangelt es an der aus den meisten juristischen Kommentaren bekannten klaren Textstruktur. Für die schnelle Suche nach bestimmten Inhalten sind daher die ausführlichen Inhalts- und Stichwortverzeichnisse und die vielen Zwischenüberschriften hilfreich. 

In einem Abschnitt des zweiten Kapitels stellt der Autor die wesentlichen Grundbegriffe des alten und des neuen Datenschutzrechts gegenüber, um das Verständnis des neuen Rechts zu erleichtern. Im Gegensatz zu einigen anderen Autoren stellt er u. a. fest, dass auch die DSGVO von einem "Verbot mit Erlaubnisvorbehalt" ausgeht. Im Gleichklang mit anderen Kommentatoren ist er jedoch ebenfalls der Ansicht, dass die DSGVO andere Spezialvorschriften zum Datenschutz überlagert, das bisherige Subsidiaritätsprinzip des BDSG-alt demnach abgelöst wird. Wer - wie ich - mehrere aktuelle Veröffentlichungen zum neuen Datenschutzrecht liest, ist nicht unbedingt glücklich über derartige Meinungsäußerungen, denen zumeist keine ausreichende Begründung beigefügt wird. 

In Kapitel 3 widmet sich Däubler dem informationellen Selbstbestimmungsrecht. Ausführlich arbeitet er heraus, dass auch nach Inkrafttreten der DSGVO dieses Grundrecht für den Datenschutz in Deutschland bestimmend sein wird, obwohl es im europäischen Kontext nicht diese herausragende Rolle spielt. Für die Praktiker unter den Leser/innen werden diese Ausführungen wohl nur einleitenden Charakter besitzen.

Kapitel 4 verspricht mit dem Titel "Voraussetzungen für eine wirksame Einwilligung" dann schon eher konkrete Hilfestellung. Die freiwillige Einwilligung von abhängig Beschäftigten wird bisher überwiegend als Unmöglichkeit angesehen. Ob die DSGVO dazu mehr Klarheit verschafft? 

Der Autor kritisiert zunächst die Unverständlichkeit und Unübersichtlichkeit der Regelungen zur Einwilligung in der DSGVO. Schließlich kommt er nach breiter Diskussion zu dem Ergebnis, dass eine Einwilligung im Arbeitsverhältnis regelmäßig dann als freiwillig angesehen werden kann, wenn diese dem Arbeitnehmer Vorteile verschafft. Letztendlich hat sich aber durch die DSGVO keine wesentliche Änderung gegenüber dem bisherigen Recht ergeben, kann daraus gefolgert werden. 

Kapitel 5 befasst sich mit der Datenerhebung gegenüber Bewerbern. Hier ist nach Aussage des Autors "alles beim Alten" geblieben. Er behandelt ausführlich die Rechte von Bewerber/innen, die daraus auch praktischen Nutzen ziehen dürften.

Die Datenerhebung gegenüber Beschäftigten ist das Thema des 6. Kapitels. Da sich die EU weitgehend zurückgehalten hat, ist im neuen Bundesdatenschutzgesetz alles Wesentliche dazu geregelt. Dies findet man in § 26 des neuen BDSG. Ausführlich geht der Autor auf die unterschiedlichen Formen der Erhebung personenbezogener Daten ein. Alle neuen Techniken werden von ihm einbezogen und rechtlich bewertet. 

Im 7. Kapitel geht es um die Auswertung der Daten, ergänzt um das Thema "Big Data". Zur Zulässigkeit der Auswertung von personenbezogenen Daten bietet der Autor diverse hilfreiche Beispiele aus der betrieblichen Praxis und der Rechtsprechung. Die durch Art. 6 Abs. 4 sowie §§ 23 und 24 BDSG-neu eingeschränkt zulässige Zweckentfremdung der erhobenen Daten behandelt der Autor ebenfalls sehr ausführlich. In dem Zusammenhang weist er auch darauf hin, dass im neuen Datenschutzrecht keine Entsprechung zu § 31 BDSG-alt zu finden ist, was jedoch seiner Ansicht nach nicht zu einer veränderten Praxis und Rechtsprechung führen wird. 

Ausführungen und Beispiele zur - verbotenen - Erstellung von Persönlichkeitsprofilen und automatisierten Entscheidungen, auch unter Verwendung von Big-Data-Analysen fließen in dieses Kapitel ein. 

Auftragsverarbeitung - der Autor verwendet weiterhin die bisherige Bezeichnung "Auftragsdatenverarbeitung" - und die Übermittlung von Daten im Inland sind die Themen in Kapitel 8. Auch in diesem Kontext geht der Autor auf die neuen technischen Entwicklungen ein. So erörtert er auch die Fragen rund um die Veröffentlichung von Arbeitnehmerdaten und Fotos im Internet. Für Betriebsräte dürfte außerdem besonders interessant sein, dass die Rechte der Arbeitnehmervertretung gegenüber dem Datenschutzrecht Vorrang besitzen und insbesondere nach § 26 Abs. 1 Satz 1 BDSG-neu keine wesentlichen Einschränkungen der Informationsrechte mehr bestehen. 

Als "besonders gefährliche Form der Übermittlung" bezeichnet Däubler die Übermittlung von Beschäftigtendaten ins Ausland; dies ist Thema in Kapitel 9. Das "Ausland" sind nach neuem Datenschutzrecht alle Staaten außerhalb der EU, denn durch die DSGVO werden einheitliche europäische Normen geschaffen, sodass man sich überall in der EU im "Inland" befindet, wie der Autor hervorhebt. 

In Kapitel 10 behandelt Däubler das Thema "Transparenz". Dazu gehört die Informationspflicht des Verarbeiters gemäß Art. 13 Abs. 1 DSGVO, über die erstmalige Verarbeitung der direkt erhobenen Daten ausführlich, außerdem nach jeder Zweckänderung über den neuen Zweck zu informieren. Der Autor stellt allerdings auch klar, dass das ab 25. Mai 2018 geltende neue Datenschutzrecht keine Informationspflichten zu den zuvor erhobenen Daten auslöst. Dies dürfte die Arbeitgeber aufatmen lassen ...

Art. 15 DSGVO gibt u. a. den Arbeitnehmern ein umfassendes Auskunftsrecht gegenüber dem Arbeitgeber. Dazu liefert der Autor wertvolle Hinweise zur praktischen Umsetzung dieses Rechts. Auch zu dem neuen Recht auf Datenübertragbarkeit (Art. 20 DSGVO) hält der Autor einige Hinweise parat, insbesondere weist er darauf hin, dass es kritisch sein könnte, wenn ein neuer Arbeitgeber alle Daten des vorherigen Arbeitgebers bekommt, was weit über sein Fragerecht hinausgeht.  

Kapitel 11 behandelt die Rechte der Beschäftigten auf Intervention: Berichtigung, Löschung, "Vergessenwerden", Einschränkung der Verarbeitung (früher: Sperren), Widerspruch - und auch das Recht auf Gegendarstellung, das sich aus dem BetrVG ergibt. Die DSGVO bietet in dieser Hinsicht wenig Neues, mit Ausnahme des Vergessenwerdens. Dieses Recht diskutiert der Autor und verweist auf erste Ansätze zur technischen Realisierung, die er jedoch allesamt erst im Anfangsstadium der Entwicklung sieht. So stehen Vorschläge im Raum, zu Datenfeldern jeweils ein zweites Datenfeld mit dem Löschdatum hinzuzufügen, alle Daten einzeln zu verschlüsseln und bei Erreichen der Aufbewahrungsfrist den Schlüssel zu vernichten sowie das "digitale Radiergummi", mit dem die Daten bei Verfallsdatum automatisch gelöscht werden sollen. 

Anschließend geht es in Kapitel 12 um die Durchsetzung des neuen Datenschutzrechts. Däubler beginnt das Kapitel mit einer deprimierenden Darstellung der Schwächen des Individualrechts, die auch nach 40 Jahren Datenschutzgesetzen deutlich zutage treten, so dass wohl auch in Zukunft keine große Verbesserung zu erwarten ist. Allerdings listet der Autor die vielfältigen Maßnahmen der DSGVO auf, mit denen zumindest versucht werden soll, eine grundlegende Besserung der Rechtsdurchsetzung des Individuums gegen die Allmacht der Datenverarbeiter zu erreichen. So sollen Verbände und Organisationen, also z. B. auch die Gewerkschaften, Verhaltensregeln u. a. für den Beschäftigtendatenschutz aufstellen können, außerdem wird der Zertifizierung von Verarbeitungsvorgängen mehr Gewicht beigemessen als nach dem alten BDSG. Ebenso ist die neue "Rechenschaftspflicht" für die Verarbeiter ein hoffentlich wirksames Mittel, bessere Dokumentation und dadurch mehr Transparenz für den Einzelnen zu erzeugen. Ebenso soll die ebenfalls neue "Datenschutz-Folgenabschätzung" wirken, die bei Personaldatenverarbeitung mit voraussichtlich hohem Risiko verpflichtend durchgeführt werden muss. 

Während beim betrieblichen Datenschutzbeauftragten nicht viel Neues zu erwarten ist, könnte die neue unabhängige Aufsichtsbehörde an Bedeutung gewinnen, stellt der Autor in Aussicht. Schließlich soll die enorme Höhe der Bußgelder dem Datenschutzrecht zu mehr Beachtung verhelfen. Däubler sieht darin eine grundlegende Veränderung des rechtlichen Rahmens. Allerdings muss der Autor einräumen: "Wie sich die Praxis entwickeln wird, lässt sich derzeit noch nicht abschätzen; vermutlich wird die Berufung auf das Verhältnismäßigkeitsprinzip eine große Rolle spielen."

Als "Hüter des zwingenden Rechts" bezeichnet der Autor zu Beginn von Kapitel 13 den Betriebsrat, dessen Kontrollrechte hier erörtert werden. Neben den bisher geltenden Informationsrechten zugunsten des Betriebsrats verlangt die DSGVO nun zusätzliche Informationen für den Betriebsrat. Dies bezieht sich auf die Rechenschaftspflicht und auf die Datenschutz-Folgenabschätzung, evtl. auch auf Verhaltensregeln und Zertifizierungen; im Einzelfall sind nach Ansicht des Autors sogar Mitbestimmungsrechte berührt. Bei der eigenen Datenverarbeitung muss der Betriebsrat alle Vorschriften des neuen Datenschutzrechts beachten, somit kommt auf ihn ebenfalls zusätzliche Arbeit zu. Der Autor behandelt im weiteren Verlauf dieses Kapitels diverse Rechte von Betriebsräten und geht damit über das eigentliche Thema, den Datenschutz, hinaus. Zum Schluss geht er kurz auf das Verhältnis zum Datenschutzbeauftragten ein; potenzielle Neuerungen auf Grundlage der DSGVO werden von ihm auch in diesem Punkt nicht gesehen.  

In Kapitel 14 geht es weiterhin um die Betriebsratsrechte, hier speziell zur Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG und zum Abschluss von Betriebsvereinbarungen. Ausführlich thematisiert Däubler die Grundlagen dieses Paragrafen des Betriebsverfassungsgesetzes, seine Historie und die allgemeine Interpretation der Regelungen, die in vielen Jahren durch Rechtsprechung geklärt und gefestigt wurde. 

Interessant ist die Aussage des Autors, dass sich durch Betriebsvereinbarungen und Einigungsstellensprüche seiner Ansicht nach keine Verbesserungen zu den durch die DSGVO gewährten Rechte regeln lassen, jedoch sei im Art. 88 DSGVO eine "inhaltlich gebundene Ermächtigung" zu sehen, den Schutz der dort genannten Grundwerte zu verstärken. Von abschließenden Regelungen der DSGVO seien in dem Sinne weder nach unten noch nach oben Abweichungen zulässig. 

Däubler sieht bei der Frage nach einer Anpassung bestehender Betriebsvereinbarungen an die DSGVO einerseits keinen großen Handlungsbedarf, behauptet andererseits jedoch, dass der Anpassungsbedarf nicht unterschätzt werden dürfe. Dies gelte u. a. bei Regelungen zur Auftragsdatenverarbeitung, zur Datenübermittlung ins Ausland, zur Datenschutz-Folgenabschätzung sowie zu den Dokumentationspflichten. So richtig schlau wird man aus diesen Ausführungen leider nicht... 

Das kurze Kapitel 15 ist den Personalvertretungen gewidmet, für die der Autor einige Besonderheiten der Mitbestimmung und Rechtsprechung darstellt. Ergänzend wäre es hilfreich, wenn auch den Mitarbeitervertretungen aus kirchlichen und diakonischen/caritativen Einrichtungen ein Abschnitt bzw. Kapitel gewidmet wäre. Eine Anregung für die nächste Auflage des Buches?

Im vorletzten Kapitel mit der Nummer 16 stellt Däubler die Möglichkeiten und Beispiele staatlichen Zugriffs auf Beschäfigtendaten dar. Den Ausführungen ist zu entnehmen, dass durch die DSGVO die Zugriffe dieser Art keineswegs eingeschränkt werden. 

Zum Abschluss blickt Däubler mit seinen Ausführungen in Kapitel 17 in die Zukunft. Auf Grundlage eines historischen Rückblicks auf die Entwicklung des Datenschutzes fällt dieser Blick nicht gerade rosig aus. Im Gegensatz zu den letztendlich gescheiterten Reformversuchen zum BDSG bezeichnet er die DSGVO als "Paukenschlag", die bei den "flankierenden Maßnahmen neue Impulse" setzt, allerdings auch den Verzicht auf einige wichtige Regelungen des alten BDSG mit sich bringt. Ein wenig Hoffnung setzt der Autor in den Datenschutz als Wettbewerbsfaktor. Völlig gescheitert ist seiner Ansicht nach der Versuch, mehr Transparenz zu erzeugen. Und für die Zukunft fehlen dringende Regelungen zum Cloud Computing, Big Data und Internet. Am Ende ein weitgehend düsteres Fazit seinerseits. 

Und das Fazit des Rezensenten zu dem Buch? Nicht düster, sondern eher "durchwachsen". Der Autor ergeht sich in vielen historischen Details, die den Umfang des Buches steigern, nicht jedoch den Erkenntniswert für den Praktiker. Die Zielgruppe der Arbeitnehmervertreter/innen benötigt klare Aussagen - soweit dies im juristischen Bereich überhaupt möglich ist - oder doch zumindest klare Leitlinien, an denen man sich in den täglichen Auseinandersetzungen im Betrieb orientieren kann. Sie sind vorhanden, doch manchmal hinter eher uninteressanten Ausführungen versteckt. Dieser Leser/innenkreis möchte zum aktuellen Zeitpunkt auch und vor allem Anderen wissen, was sich nun konkret durch die DSGVO und das BDSG-neu ändert. Auch dies ist sehr wohl im Buch zu finden, doch man muss manchmal danach suchen, um die wesentlichen Aussagen zu entdecken. Der Autor vermeidet es, zu den einzelnen Kapiteln jeweils ein abschließendes Fazit zu formulieren, das in diesem Sinne Klarheit verschaffen könnte. 

Aufgrund der durch die neue Verordnung und das neue Gesetz reichlich unklaren Rechtslage wird man die hoffentlich bald gefällten ersten neuen Urteile der zuständigen Gerichte sehnsüchtig erwarten und interpretieren, ebenso die allerorten entstehenden konkreten Verfahren zur Umsetzung des neuen Rechts. Dies lässt vermuten, dass vermutlich relativ bald die nächste Auflage dieses Buches erscheinen wird. Darin möge der Autor noch die folgenden Hinweise berücksichtigen: Rn 379 ist doppelt vergeben, die DSGVO tritt nicht am 18., sondern am 25. Mai in Kraft (Rn 941), und es heißt nicht 'privacy by device', sondern 'privacy by design' (Rn 941) - mit freundlichem Gruß des Rezensenten!