Telekommunikationsgesetz

Zum einen geht es um die Frage, ob die Übermittlung von Mitarbeiterdaten an andere - rechtlich selbstständige - Unternehmen zulässig ist.

Dies ist auch für Übermittlungen innerhalb Deutschlands relevant.

Zum anderen geht es um die Frage der Auslandsdatenverarbeitung, wobei insoweit unerheblich ist, ob die ausländische Stelle rechtlich selbstständig oder unselbstständig ist.

Soweit es sich nicht um konzerndimensionale Arbeitsverhältnisse handelt die im konkreten Fall überwiegend nicht vorliegen -, kommt nur § 28 Abs. 1 Nr. 2 BDSG (bzw. § 28 Abs. 2 Nr. 1 a BDSG) als gesetzlicher Erlaubnistatbestand des BDSG für Übermittlungen an andere Unternehmen in Betracht.

Da es keine Konzernklausel gibt, reicht das allgemeine Konzerninteresse an sich nicht aus zur Begründung des "berechtigten Interesses". Vielmehr muss für das übermittelnde bzw. das empfangende Unternehmen konkret ein berechtigtes Interesse vorliegen. Soweit also jedes beteiligte Unternehmen einen (individuellen) Vorteil aus der Spartenstruktur hat, wäre ein berechtigtes Interesse gegeben. Dies ist freilich nicht ohne weiteres zu begründen, ohne doch auf das allgemeine Konzerninteresse zurückgreifen zu müssen.

Schwieriger noch ist die Bewertung, ob schutzwürdige Belange der betroffenen Mitarbeiter entgegenstehen.

Soweit Personaldaten an beherrschende Unternehmen übermittelt werden, ist dies grundsätzlich problematisch. Konkret war dies zwar weniger relevant, da die Mitarbeiter in Deutschland überwiegend beim beherrschenden Unternehmen beschäftigt sind.

Gleichwohl gibt es auch in Deutschland Tochtergesellschaften, von denen Mitarbeiterdaten zum Teil an das beherrschende Unternehmen übermittelt werden.

Damit bei allen diesen Übermittlungen die Belange der Mitarbeiter gewahrt werden, wurde die Konzernbetriebsvereinbarung geschlossen. Diese stellt eine "andere Rechtsvorschrift" i.S.d. § 4 Abs. 1 BDSG dar.

Betriebsvereinbarungen können vom BDSG solange abweichen, wie sie die dort getroffenen Regelungen durch Schutzvorkehrungen ersetzen, die den je spezifischen Beschäftigungsbedingungen besser angepasst, allerdings mindestens ebenso weit reichend sind (Simitis in Simitis/Dammann/Geiger/ Mallmann/Walz, BDSG-Kommentar, § 28, Rdnr. 47).

Hinsichtlich des in der ersten Stufe implementierten unternehmensübergreifenden Bonussystems für eine besonders wichtige Konzernsparte wurde von der Aufsichtsbehörde insoweit kein Problem gesehen, da das System insgesamt zu einer deutlich überdurchschnittlichen Vergütung der betroffenen Spartenmitarbeiter führte. Die entsprechenden Regelungen in der Betriebsvereinbarung (bzw. der vorläufigen Regelabsprache) konnten nicht als Mittel zum Unterlaufen des BDSG bewertet werden.

Die Erweiterungen des Spartensystems waren schwieriger zu beurteilen und wurden intensiv diskutiert.

Aber angesichts der sehr dezidierten Regelungen in der Konzernbetriebsvereinbarung sah die Aufsichtsbehörde im Ergebnis keine Veranlassung, diese als datenschutzrechtlich unzureichend zu bewerten.

Hinsichtlich der Auslandsdatenverarbeitung war die Aufsichtsbehörde der Auffassung, dass die Vereinbarung mit den Koordinationsstellen für die Auslandsregionen den Anforderungen des WP 12 (siehe oben 10.1) entspricht und dadurch die schutzwürdigen Belange der Mitarbeiter gewahrt werden.

Da das beherrschende Unternehmen ein deutsches Unternehmen ist, ist von einer wirkungsvollen Umsetzung der Regelungen auszugehen. Auf eine Vertragsstrafen-Regelung zugunsten der Konzernmutter konnte daher angesichts der sonstigen Durchsetzungsmechanismen verzichtet werden.

Auf Anregung der Aufsichtsbehörde wurde jedoch noch die Regelung aufgenommen, dass Betroffene bei einem Datenschutzverstoß durch ausländische

Stellen einen Schadensersatzanspruch gegen ihren Arbeitgeber geltend machen können, der für die Auslandsdatenverarbeitung verantwortlich bleibt.

Soweit die ausländische Stelle keine unselbstständige Filiale des deutschen Arbeitgebers ist, ist dies nicht selbstverständlich, zumal auch nicht von einer Auftragsdatenverarbeitung ausgegangen werden kann. Die Regelung ist sachgerechter, als den Betroffenen einen Schadensersatzanspruch gegen die ausländischen Daten verarbeitenden Stellen einzuräumen.

Da vertragliche Regelungen etwaige Zugriffe ausländischer Behörden nicht verhindern können, wäre es nicht akzeptabel, wenn die Matrixstrukturen so gestaltet wären, dass Personaldaten zu "Vorgesetzten" in totalitären Staaten übermittelt würden. Dies ist jedoch nicht der Fall.

11. Arbeitnehmerdatenschutz

Zugriffe des Arbeitgebers auf Mitarbeiter-E-Mails

Ein Mitarbeiter, der als Administrator des unternehmensweiten E-MailSystems beschäftigt ist, erhielt von seinem Arbeitgeber den Auftrag, eine Rücksicherung von bestimmten E-Mails aus den Monatssicherungen vergangener Jahre durchzuführen. Bisher hatte dieser Mitarbeiter diese Rücksicherungen nur dann durchgeführt, wenn der Besitzer einer E-Mail-Adresse ihm persönlich den Auftrag erteilt hatte, weil er z. B. eine bestimmte E-Mail frühzeitig gelöscht hatte und doch noch einmal auf diese zugreifen musste.

Da der Administrator datenschutzrechtliche Bedenken hinsichtlich des verlangten Zugriffs hatte, bat er die Aufsichtsbehörde um Auskunft, inwieweit er dem Ansinnen seiner Vorgesetzten nachkommen müsse oder damit gegen bestehende Rechtsnormen verstoße.

Bedauerlich war bei diesem Vorfall, dass der Mitarbeiter zum betrieblichen Datenschutzbeauftragten nicht das vollständige Vertrauen aufbringen konnte, um diese Angelegenheit mit ihm zu klären. Bei einer ordnungsgemäßen Tätigkeit eines betrieblichen Beauftragten für den Datenschutz muss zunächst dieser versuchen, eine Klärung im eigenen Unternehmen herbeizuführen und erst dann, wenn er sich außerstande sieht, eine endgültige Aussage zu treffen, sollte auf die Aufsichtsbehörde zurückgegriffen werden.

Im Unternehmen bestand die eindeutige Weisung, dass das Mail-System ausschließlich betrieblichen Zwecken zu dienen hat. Eine private Nutzung war somit ausgeschlossen. Der Arbeitgeber war daher weder Anbieter von Telekommunikationsdiensten i.S.d. Telekommunikationsgesetzes noch von Telediensten i.S.d. TDDSG.

Dies bedeutet jedoch nicht, dass die Protokollierung und Auswertung der E-Mail-Nutzung unbegrenzt zulässig wäre.

Vielmehr ist zunächst § 31 BDSG zu berücksichtigen.

Soweit die Daten für Zwecke der Datensicherung gespeichert wurden, ist die enge Zweckbindung des § 31 BDSG zu beachten, d.h. eine spätere Nutzung für andere Zwecke ist ausgeschlossen.

Wenn Daten nicht nur für Zwecke der Datensicherung, sondern auch für andere Zwecke, insbesondere für eine Verhaltens- und Leistungskontrolle der Mitarbeiter genutzt werden sollen, muss von vornherein eine entsprechend erweiterte Zweckbindung festgelegt werden.

Dabei muss die Mitbestimmungspflicht des Betriebsrates gemäß Betriebsverfassungsgesetz beachtet werden.

Grundsätzlich sind Kontrollen nach Maßgabe des Verhältnismäßigkeitsgrundsatzes zulässig. Demzufolge muss der Arbeitnehmer eine Kontrolle nur dann hinnehmen, wenn die diesbezüglichen Maßnahmen des Arbeitgebers erforderlich und geeignet sind, um den Zweck des Arbeitsverhältnisses zu erreichen.

Als legitimes Interesse des Arbeitgebers kommt der Schutz der firmeneigenen Dateien vor elektronischen Viren und der Schutz der Betriebssysteme vor Überlastung in Betracht. (Diese Zwecke lassen sich auch unter § 31 BDSG subsumieren, sodass insoweit kein Problem der unzulässigen Zweckänderung besteht.) Bezüglich der Inhaltskontrolle ist danach zu differenzieren, ob die E-Mails den Schriftverkehr ersetzen oder von der Nutzung her eher mit Telefonverkehr vergleichbar sind.

Wenn der Mitarbeiter beispielsweise mittels E-Mail Verträge über Warenlieferungen oder Ähnliches für das Unternehmen abschließt, kann der Vorgesetzte - wie bei Schriftstücken auch - verlangen, dass der Mitarbeiter ihm den Inhalt der entsprechenden E-Mails zugänglich macht. Im Übrigen darf eine Inhaltskontrolle erfolgen, wenn ein begründeter Verdacht bezüglich des Verrats von Geschäftsgeheimnissen, Mobbing oder einer Straftat besteht (Post-Ortmann, RDV 1999, 102). Mangels genauerer Angaben durch den Administrator konnte die Aufsichtsbehörde keine konkrete Bewertung des Falles vornehmen. Es bleibt zu hoffen, dass die Angelegenheit letztlich datenschutzgerecht geregelt werden konnte.

Abhören und Aufzeichnen von Telefonaten

Eine Funk-Taxi-Genossenschaft hatte die Telefongespräche ihrer Mitarbeiter ohne deren Wissen abgehört und kündigte an, die Gespräche künftig vollständig aufzuzeichnen. Eine Betroffene wandte sich an die Aufsichtsbehörde.

Die Genossenschaft verwies darauf, dass das Führen privater Telefongespräche untersagt sei und rechtfertigte die Maßnahmen damit, dass die erforderlichen Arbeits- und Leistungskontrollen nur durch die Aufzeichnung der Gespräche erfolgen könne. Andernfalls sei die Arbeitsleistung der Mitarbeiter in der Taxizentrale überhaupt nicht kontrollierbar.

Wenngleich bei Telefonaufzeichnungen der Dateibegriff und damit die Anwendbarkeit des BDSG zweifelhaft ist, so ist doch zu beachten, dass auch dienstliche Telefongespräche dem verfassungsrechtlichen Schutz des allgemeinen Persönlichkeitsrechtes unterliegen. Der Schutz des Rechtes am eigenen Wort als Ausprägung des allgemeinen Persönlichkeitsrechtes wird durch die Kenntnis der Betroffenen von einer Abhörmöglichkeit nicht beseitigt (Linnenkohl RDV 1992, 205 f., BverfGE 34, S. 238 f. [245], 45, S. 148 f.

[154]).

Obwohl bei reinen telefonischen Bestellvorgängen (wie hier die Entgegennahme von Taxibestellungen) der objektive Gehalt des Gesagten so sehr im Vordergrund stehen kann, dass die Persönlichkeit des Sprechenden nahezu völlig dahinter zurücktritt, muss gleichwohl die Verfügungsbefugnis des Einzelnen anerkannt werden, soweit es um Leistungs- und Verhaltenskontrollen geht (Linnenkohl a.a.O.).

Darüber hinaus ist der Schutzbereich des § 201 StGB betroffen, jedenfalls wenn Gespräche mittels "Abhöreinrichtungen" i.S.d. § 201 StGB unbefugt mitgehört werden. Das unbefugte Aufzeichnen ist ebenfalls strafbar.

Als Rechtfertigungsgrund kommt grundsätzlich nur eine Einwilligung des Betroffenen in Betracht, wobei in strafrechtlicher Hinsicht unter Umständen auch eine mutmaßliche oder konkludente Einwilligung genügt.

Angesichts der arbeitnehmertypischen Abhängigkeit ist jedoch kritisch zu hinterfragen, ob eine vom Arbeitgeber eingeholte Einwilligung tatsächlich als wirksam anerkannt werden kann. Insoweit ist maßgeblich, ob es unter Berücksichtigung der Interessen beider Parteien als angemessen erscheint, dass die Übertragung der Telefontätigkeit von der Einwilligung in Abhörund Aufzeichnungsmaßnahmen abhängig gemacht wird.

Im konkreten Fall hielt die Aufsichtsbehörde es für unangemessen, wenn der Vorstand einer Taxi-Genossenschaft die unbeschränkte Möglichkeit hat, sämtliche Gespräche jederzeit mitzuhören. Selbst wenn hierfür Einwilligungen eingeholt würden bzw. wenn man Qualitätsverpflichtungen etc. im Arbeitsvertrag als Einwilligung im weitesten Sinne bewerten könnte, wären diese wohl unwirksam. Gleiches gilt für die unbeschränkte Aufzeichnung der Telefongespräche.