Bleibt zu hoffen, dass die öffentliche Diskussion zu diesem wichtigen Thema wieder Fahrt aufnimmt; von den Folgen der Gesetzesänderungen sind schließlich Millionen Arbeitnehmer (und ihre Arbeitgeber) betroffen.

An einigen Stellen wurde gegenüber den Ausschussbeschlüssen zurückgerudert – das gehört zum politischen Geschäft. In die nächste Runde hat es u.a. folgende Forderung geschafft:

[BDSG] § 4f wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Die guten Nachrichten: Der Bundesrat will die bisher ungeklärte datenschutzrechtliche Kontrolle der Interessenvertretungen regeln. Diese Kontrolle soll “eigentlich” der Beauftragte für den Datenschutz  übernehmen. Darüber habe ich mich zurecht gefreut.

Die weniger gute Nachricht steht am Anfang der Forderung: “Soweit eine Interessenvertretung keine andere Person betraut, …”  Als kritischer Datenschutzbeauftragter frage ich mich: Was soll das für eine Person ein? Die Begründung führt dazu u.a. aus

[...] In Ergänzung des Aufgabenbereichs des Beauftragten für den Datenschutz wird dazu eine Auffangzuständigkeit für die Überwachung des Datenschutzes bei der Interessenvertretung begründet, soweit diese ihr Wahlrecht zur Übertragung der Datenschutzkontrolle an den betrieblichen oder behördlichen Datenschutzbeauftragten, einen eigenen Beauftragten oder einen externen Dritten nicht ausübt. Ein von der Interessenvertretung benannter Datenschutzbeauftragter unterliegt allerdings nicht den Statusvorschriften des § 4f BDSG (z. B. Kündigungsschutz).

Wir wissen also, welchen Vorschriften der “von der Interessenvertretung benannte Datenschutzbeauftragte” nicht unterliegt. Im § 4f BDSG geht es aber nicht nur um den Kündigungsschutz des Beauftragten, sondern auch um so wesentliche Dinge wie die geforderte Zuverlässigkeit und Fachkunde. Die Anforderungen “irgendwie” erfüllen müssen – den Statusvorschriften nicht unterliegen – wie soll das funktionieren? Nach der wenig hilfreichen “kleinen Fachkunde” (“Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.”) droht aus meiner Sicht jetzt die Mini-Fachkunde. Das Nur-Betriebsrats-Datenschützerlein. Ein Alibi-Posten. Lass Dich darauf nicht ein, Bundestag!
Eine Einschränkung lasse ich gelten: Wenn die Interessenvertretung selbst “groß genug” für einen eigenen Datenschutzbeauftragten ist, kann sie sich einen leisten. Dann aber bitte einen richtigen…

Jetzt liegt der Ball auf dem Feld des Bundestages. Die nächsten Plenarsitzungen finden vom 24.-26.11. statt.

Wer sicher gehen will, vergleiche die Originaldokumente.

Detailinformationen zu strittigen (und ebenso interessant: unstrittigen) Punkten folgen an dieser Stelle – spätestens nach dem Beschluss des Bundesrates am 5.11.

Neben Korrekturen finden sich auch neue Gedanken (a.a.O., S. 8):

Der Bundesrat fordert die Bundesregierung auf, die Fragen des Konzerndatenschutzes bei den auf EU-Ebene anstehenden Verhandlungen zu einer Reform der EG-Datenschutzrichtlinie einzubringen und in absehbarer Zeit einen Gesetzentwurf zu Regelungen betreffend Datenübermittlungen in-nerhalb von Konzernen vorzulegen.

Die Schaffung eines Konzernprivilegs ist einerseits wünschenswert und spart Datenschutzbürokratie, andererseits kann eine solche Regelung nur europaeinheitlich eingeführt werden. Damit ständen den EU-Muttergesellschaften  die Türen zu den Daten ihrer Mitarbeiter in deutschen Tochterunternehmen ganz weit offen. Bei diesem Gedanken fröstelt es den einen oder anderen praxiserprobten Datenschutzbeauftragten vermutlich, denn das vielbeschworene einheitliche Datenschutzniveau innerhalb der EU zeigt bei näherer Betrachtung bemerkenswerte Höhen und Abgründe.

Für das Kontrolldefizit im Bereich der Interessenvertretungen machen die Ausschüsse folgenden Vorschlag (a.a.O., S. 15):

§ 4f (Anm.: BDSG) wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Eine solche Regelung halte ich für vernünftig und überfällig.

Zu guter Letzt will der Bundesrat ins BDSG schreiben lassen, die Datenschutzaufsichtsbehörden “nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr” (a.a.O. S. 45) . Damit würde die Entscheidung des EuGH ausdrücklich auch im Bundesdatenschutzgesetz umgesetzt.

Eine Stellungnahme kam noch nicht zustande, stattdessen hat der Bundesrat einen Antrag auf Fristverlängerung gestellt (Download: zu535/10 – pdf).

Die dortige Begründung:

Mit dem Gesetzentwurf soll erstmals seit jahrzehntelanger Diskussion eine umfassende gesetzliche Regelung für den Arbeitnehmerdatenschutz getroffen werden. Bisher existieren nur wenige spezifische gesetzliche Regelungen. Der rechtliche Rahmen ergibt sich aus verschiedenen allgemeinen Gesetzen und einer Vielzahl von gerichtlichen Einzelentscheidungen.
Daraus ergibt sich eine hohe Komplexität der Materie und ein erheblicher Beratungsbedarf, der eine Verlängerung der Frist zur Stellungnahme erforderlich macht.

Damit verzögert sich der parlamentarische Prozess nach Artikel 76 des Grundgesetzes um weitere drei Wochen:

Der Gesetzesentwurf wurde dem Bundesrat am 3. September zugeleitet.  Eine Stellungnahme ist nun nach spätestens 9 Wochen, also am 5. November abzugeben.

Update am 15.10.: Der federführende Bundesratsausschuss für Innere Angelegenheiten berät in seiner Sitzung am 21.10. über den Entwurf, siehe Tagesordnung (pdf).
Bereits am 19.10. hat der Ausschuss für Arbeit und Soziales das Thema auf der Agenda (pdf); am 20.10. der Gesundheitsausschuss (pdf). Am 21.10. tagt letztlich auch der Wirtschaftsausschuss dazu (pdf).

26.11.2009 – 17/69 – Gesetzentwurf der Fraktion der SPD

Text des Gesetzentwurfes: pdf
Pressemitteilung Deutscher Bundestag (Original hier):

Die SPD-Fraktion fordert strengere Regelungen zum Schutz der Arbeitnehmer vor dem Missbrauch persönlicher Daten und hält dazu ein eigenständiges Gesetz für notwendig. ”Die Defizite der gesetzlichen Regelungen des Bundesdatenschutzgesetzes begründen die Notwendigkeit eines eigenständigen Beschäftigtendatenschutzgesetzes“, heißt es in einem Gesetzentwurf der SPD-Fraktion (17/69). Anlass des Vorstoßes sind die Datenschutzskandale in der Wirtschaft in den vergangenen Monaten. Im Umgang mit Arbeitnehmerdaten werde immer weniger Rücksicht auf Persönlichkeitsrechte der Beschäftigten genommen, heißt es in der Begründung. Beispiele dafür seien die ”erzwungene“ freiwillige Einwilligungen von Arbeitnehmern in umfassende Erhebungen und Verarbeitung von Daten durch Arbeitgeber, insbesondere im Bereich der Gesundheitsinformation, die unklare Situation bezüglich des Einsatzes von Videoanlagen außerhalb öffentlicher Räume oder auch das Fortbestehen der Möglichkeit heimlicher Überwachungen durch den Arbeitgeber, schreibt die Fraktion.

Daher ”sollen Unternehmen stärker als bisher verpflichtet werden, die Persönlichkeitsrechte des Einzelnen zu achten“, heißt es in dem Entwurf. Die SPD-Fraktion hält eine ”Ausweitung der Mitbestimmungsrechte bei Erhebung, Speicherung und Verarbeitung von Daten“ für erforderlich, ebenso die Stärkung der Individualrechte der Arbeitnehmer. Ziel sei es, ”mehr Rechtsklarheit und Rechtssicherheit“ zu schaffen. Dazu müsse klar geregelt werden, ”welche Daten eines Bewerbers im Einstellungsverfahren erhoben und verwendet werden dürfen“, heißt es weiter. Durch das Gesetz würden erstmals die Grenzen des Fragerechts des Arbeitgebers klar definiert – etwa bei Fragen nach der Religion, der sexuellen Identität, der politischen Einstellung oder gewerkschaftlicher Betätigung. ”Bei Dritten darf der Arbeitgeber Auskünfte über einen Bewerber nur mit dessen Einwilligung einholen“, schreibt die Fraktion. Gesundheitliche Untersuchungen sollten im Einstellungsverfahren nur noch unter klar benannten Voraussetzungen möglich sein.

Eine Videoüberwachung am Arbeitsplatz soll ebenso wie der Einsatz von Ortungssystemen und die Verwendung biometrischer Daten ”an konkrete Voraussetzungen“ geknüpft werden, heißt es in dem Entwurf. Eine gezielte Videoüberwachung soll grundsätzlich verboten werden und nur zulässig sein, wenn Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen. Die Erstellung von Persönlichkeitsprofilen will die SPD-Fraktion verbieten. Nutzen Beschäftigte Telefon, E-Mail und Internet am Arbeitsplatz, ”darf der Inhalt der Nutzung nicht erhoben werden“.

Beschäftigte, deren Daten unzulässig oder unrichtig erhoben oder verwendet wurden, sollen Anspruch auf Korrektur und Schadenersatz haben. In Betrieben mit fünf oder mehr Mitarbeitern soll nach dem Willen der SPD-Fraktion ein Beschäftigtendatenschutzbeauftragter bestellt werden.

Die Reaktionen auf den Entwurf werden wohl ähnlich ausfallen wie beim Scholz-Diskussionspapier Anfang September. Auf jeden Fall ein neuer Impuls, um das Thema Arbeitnehmerdatenschutz (oder auch Beschäftigtendatenschutz) in der parlamentarischen Diskussion zu halten.

13.11.2009 – 17/18 – Kleine Anfrage der Fraktion “Bündnis 90/Die Grünen”

Text der Kleinen Anfrage: pdf
Pressemitteilung Deutscher Bundestag (Original hier):

Nach ”Datenmissbrauch bei der Bundesagentur für Arbeit“ (BA) erkundigt sich die Fraktion Bündnis 90/Die Grünen in einer Kleinen Anfrage (17/18). Darin verweisen die Abgeordneten auf Presseberichte und Angaben des Bundesbeauftragten für Datenschutz, wonach es bei der BA sowohl bei der Jobbörse als auch bei dem sogenannten Vier-Phasen-Modell zur Erhebung der Daten von Arbeitslosen und Hilfebedürftigen erhebliche Datenschutzmängel gebe. So seien die Bewerbungsunterlagen von rund 3,8 Millionen Arbeitssuchenden, die sich über die Jobbörse um einen Arbeitsplatz bemühen, nicht hinreichend für Missbrauch geschützt. Wissen wollen die Abgeordneten unter anderem, wie viele Arbeitgeber sich im Schnitt wöchentlich bei der Jobbörse registrieren, um ein Stellenangebot einzustellen und Zugriff auf die Bewerberdaten zu erlangen. Ferner fragen sie, welche Angaben die BA von Stellenanbietern erhebt, bevor ihnen der Zugang zu nicht anonymisierten Bewerberdaten gestattet wird, und welche Maßnahmen ergriffen werden sollen, um die Bewerberdaten bei der Jobbörse künftig besser vor Missbrauch zu schützen.

Neben den Fragen zur BA bohren die Grünen auch zu den Themen “Kompetenzen des BfDI” und “Arbeitnehmerdatenschutz”.