Arbeitswelt: Datenschutz: Der Gesetzgeber ist am Zug

Ausgabe 02/2017

Die EU-Datenschutzverordnung lässt den Mitgliedsstaaten großen Spielraum. Den sollte die Bundesregierung nutzen, um den Beschäftigtendatenschutz in einem eigenen Gesetz zu regeln.

Als das weltweit erste Datenschutzgesetz 1970 in Hessen in Kraft trat, dürften die meisten bei Datenverarbeitung an Lochkarten, Großcomputer oder Aktenordner gedacht haben. Heutzutage gehören Clouds und Smartphones zum Alltag und EDV-Unternehmen wie Google oder Facebook zu den mächtigsten Konzernen der Welt. Um das Recht an die neue Wirklichkeit anzupassen, hat die EU im April 2016 eine Datenschutz-Grundverordnung verabschiedet, die ab Mai 2018 gelten wird. Die Juristin Marita Körner von der Universität Hamburg hat sich in einem Gutachten für das Hugo Sinzheimer Institut für Arbeitsrecht mit diesem Regelwerk auseinandergesetzt. Sie plädiert dafür, die EU-Vorgaben durch ein deutsches Beschäftigtendatenschutzgesetz zu ergänzen.

Ziel der EU sei es, für einen einheitlichen und zeitgemäßen Datenschutz in den Mitgliedsstaaten zu sorgen, so Körner. Dieser Anspruch werde aber allenfalls teilweise eingelöst. Im Vergleich zur bestehenden Rechtslage biete die Verordnung nur punktuell Neues, größtenteils kämen alte Instrumente zur Anwendung. Den neuartigen Herausforderungen durch Big Data, Smart Data oder Cloudcomputing werde man so nicht gerecht. Auch für die zunehmende Vernetzung von Mensch und Maschine und neue Arbeitsformen wie Crowdworking seien keine passgenauen Ansätze erkennbar. Stattdessen setze die EU vorwiegend auf „generell-abstrakte Regelungen“. Die sehr vagen Formulierungen dürften nach Körners Einschätzung zu erheblicher Rechtsunsicherheit führen und den Gerichten viel Arbeit bescheren.

Die Gutachterin empfiehlt, auf nationaler Ebene aktiv zu werden. Der europäische Gesetzgeber habe den Einzelstaaten zahlreiche Gegenstände zur Konkretisierung oder Ausgestaltung überlassen – unter anderem den Beschäftigtendatenschutz. Dieser sei in Deutschland ohnehin „keineswegs in der nötigen Tiefe geregelt“, die ausdrücklichen Vorgaben beschränkten sich auf einen einzigen Paragrafen im Bundesdatenschutzgesetz. Darüber hinaus gebe es zwar zahlreiche Betriebsvereinbarungen, geholfen sei damit allerdings nur den Arbeitnehmern in mitbestimmten Firmen. Statt diesen unbefriedigenden Zustand einfach fortzuschreiben, spricht sich die Expertin für eine umfassende Lösung aus: In der EU-Grundverordnung sei ein klarer Auftrag an die Politik zu sehen, „das längst überfällige Beschäftigtendatenschutzgesetz zu schaffen“. Ein solches Gesetz müsste die von der EU vorgegebenen Mindeststandards erfüllen, könnte aber beliebig weit darüber hinausgehen.

Der Gesetzgeber sollte dem Gutachten zufolge zum einen durch konkrete Vorschriften den „Datenschutz durch Technik“ stärken. Möglich wäre es, Löschroutinen oder Verfalltermine für gespeicherte Arbeitnehmerdaten genau vorzugeben. Statt allgemeiner Normen empfiehlt Körner jeweils spezifische Regelungen für typische Verarbeitungsformen wie Videokontrolle, Ortungssysteme, die Überwachung von Kommunikationsverhalten oder das Screening von Bewerbern in sozialen Netzwerken. Für rechtswidrig erlangte Daten sollte ein Verwertungsverbot klar geregelt werden.

Akuter Regelungsbedarf besteht auch hinsichtlich der Einwilligung in die Verarbeitung von personenbezogenen Daten. Grundsätzlich habe zwar jeder das Recht, über seine persönlichen Daten frei zu verfügen, so die Expertin. Fraglich sei allerdings, inwieweit man in einem Arbeitsverhältnis wirklich freiwillig entscheiden kann. Denn zwischen Arbeitgeber und Arbeitnehmer bestehe ein „strukturelles Machtungleichgewicht“. Daher seien klare gesetzliche Einschränkungen nötig: Dass Beschäftigte in die Sammlung von sensiblen Daten – beispielsweise zu ihrem Gesundheitszustand oder ihrem Intimleben – oder in Totalüberwachung einwilligen, sollte explizit ausgeschlossen werden.

Betriebsvereinbarungen sollen laut der EU-Verordnung auch weiterhin ihre Bedeutung behalten. Um dieses Instrument noch effektiver zu machen, wäre es nach Körners Ansicht sinnvoll, die Mitbestimmung gesetzlich so auszubauen, dass Betriebsräte Betriebsvereinbarungen zur Nutzung von Arbeitnehmerdaten erzwingen können. Zudem regt sie an, ein Verbandsklagerecht auch für den Beschäftigtendatenschutz einzuführen.