Schließlich wurde in § 4f BDSG auch die Rechtsstellung der betrieblichen Datenschutzbeauftragten gestärkt
Datenschutzbericht 2008/2009 | 2. Entwicklung des Datenschutzrechts einzuleiten. Da der Verstoß gegen diese Informationsverpflichtung der verantwortlichen Stelle zugleich als Bußgeldtatbestand ausgestaltet ist, kann die Aufsichtsbehörde gegen Verletzungen dieser Informationsverpflichtung auch effektiv vorgehen.
Schließlich wurde in § 4f BDSG auch die Rechtsstellung der betrieblichen Datenschutzbeauftragten gestärkt. Für sie wurde ein erweiterter Kündigungsschutz eingerichtet, gleichzeitig stehen ihnen nunmehr Ansprüche auf Fortund Weiterbildung zu.
Als Reaktion auf die zahlreichen Datenschutzverstöße im Rahmen von Beschäftigungsverhältnissen hat der Bundesgesetzgeber mit § 32 BDSG eine „Auffangnorm" geschaffen, die von ihm selbst als Einstieg in eine grundsätzlichere Regelung zu personenbezogenen Daten von Beschäftigten verstanden wird. Bereits diese „deklaratorische" Vorschrift hat in der Arbeit der Aufsichtsbehörden eine beträchtliche Resonanz erfahren. Dies hängt insbesondere damit zusammen, dass in § 32 Abs. 1 Satz 2 BDSG erstmals gesetzlich festgeschrieben wird, was Arbeitgeber zur Aufdeckung von Straftaten von Beschäftigten unternehmen dürfen; zum anderen wurde der Anwendungsbereich des Bundesdatenschutzgesetzes im nicht-öffentlichen Bereich durch § 32 Abs. 2 BDSG erheblich ausgeweitet, weil das BDSG nunmehr auch Anwendung auf (handschriftliche) Personalakten findet. Hier bleibt abzuwarten, in welcher Weise der Bundesgesetzgeber seiner Ankündigung, ein Arbeitnehmerdatenschutzgesetz zu schaffen bzw. zumindest ein eigenes Kapitel im Bundesdatenschutzgesetz hierfür vorzusehen, zukünftig gerecht wird (s.a. Tz. 2.2.4).
Weiterer Novellierungsbedarf
Trotz der zahlreichen Novellierungen der vergangenen Jahre bleibt das Bundesdatenschutzgesetz in vielen Bereichen unzeitgemäß. Zahlreiche seiner Vorschriften muten antiquiert an, das Datenschutzrecht ist im „Internetzeitalter" noch lange nicht angekommen. Dementsprechend haben auch die Regierungsparteien in ihrem Koalitionsvertrag eine Modernisierung des Datenschutzrechts als wichtiges Ziel beschrieben.
Die Datenschutzbeauftragten der Länder und des Bundes leisten ihren Beitrag zu einer solchen Modernisierung dadurch, dass sie in einer eigens hierfür eingerichteten Arbeitsgruppe ein Eckpunktepapier erarbeiten und noch im Frühjahr 2010 vorlegen werden.
Wesentliche Zielsetzung ist hierbei die Ent-Bürokratisierung, Ent-Technisierung und Ent-Spezialisierung des Bundesdatenschutzgesetzes und diesem folgend der Landesdatenschutzgesetze. Angestrebt wird eine gut lesbare, auf die wesentlichen Gesichtspunkte reduzierte Regelung des Datenschutzes (Allgemeiner Teil BDSG), der ggf. um Spezialregelungen mit Technikbezug (Besonderer Teil BDSG) ergänzt werden kann.
Dieses Eckpunktepapier wird in den kommenden Monaten der Öffentlichkeit vorgestellt und sodann den Bundestagsfraktionen zugeleitet werden.
Arbeitnehmerdatenschutzgesetz
Die Bespitzelungs- und Datenmissbrauchsaffairen in einer Reihe großer Unternehmen und öffentlicher Stellen (Videoüberwachung und Erhebung von Gesundheitsdaten von Mitarbeitern in Discountern, massenhafte Datenabgleiche und Überwachung der E-Mail-Kommunikation zur Korruptionsbekämpfung) haben der politischen Diskussion zur Notwendigkeit eines Arbeitnehmerdatenschutzgesetzes neues Leben eingehaucht. Die Datenschutzbeauftragten des Bundes und der Länder fordern seit mehr als 25 Jahren ein eigenes Arbeitnehmerdatenschutzgesetz; trotz entsprechender Absichtserklärungen, Koalitionsvereinbarungen oder sonstiger Verlautbarungen aus dem politischen Umfeld wurde ein entsprechendes Gesetz jedoch nie auf den Weg gebracht.
Die Notwendigkeit einer gesetzlichen Ausgestaltung des Schutzes von Beschäftigtendaten liegt dabei auf der Hand:
Im Arbeitsverhältnis werden eine Vielzahl von hochsensiblen Informationen über Beschäftigte verarbeitet. Es geht dabei um Personalstammdaten (einschließlich Scheidung, Unterhaltspflichten, Religionszugehörigkeit, Pfändungsbeschlüsse), Leistungsbeurteilungen, Zeiterfassungs- und Telekommunikationsdaten sowie um Daten über die Gesundheit. Durch den Einsatz neuer Informations- und Kommunikationstechniken können diese Daten beliebig ausgewertet, zusammengeführt und anderweitig verwendet werden. Neue Softwareprogramme ermöglichen die heimliche Ortung des dienstlichen Mobiltelefons ebenso wie eine heimliche Totalüberwachung der PC-Nutzung durch sog. Keylogger, die jeden Tastaturanschlag aufzeichnen und unbemerkt Screenshots vom Bildschirm anfertigen können. Die Weiterentwicklung der IT-Anwendungen ermöglicht damit neue Kontrollpotentiale auf Seiten des Arbeitgebers, die im Verhältnis zu den Persönlichkeitsrechten der Beschäftigten gesetzlich austariert werden müssen.
Richtig ist, dass Arbeitnehmer derzeit, was ihre Persönlichkeitsrechte im Arbeitsverhältnis angeht, nicht rechtlos gestellt sind: Es gibt das Bundesdatenschutzgesetz, das Datenschutzbericht 2008/2009 | 2. Entwicklung des Datenschutzrechts
Allgemeine Gleichbehandlungsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und das neue Gendiagnostikgesetz, in denen jeweils auch Fragen des Mitarbeiterdatenschutzes geregelt sind. Das Problem liegt aber gerade in der Zersplitterung der einschlägigen Bestimmungen. Die Rechtsanwendung ist dadurch erheblich erschwert. Hinzu kommt, dass etwa das Fragerecht im Einstellungsverfahren weitgehend von den Arbeitsgerichten entwickelt wurde und man dem Betroffenen nicht zumuten kann, zunächst eine höchstrichterliche Entscheidung herbeizuführen, bevor er zu seinem Recht kommt. Außerdem fehlen derzeit abschreckende Sanktionsbestimmungen und solche, die den Betroffenen eine Entschädigungszahlung für erlittene Verletzungen ihres Persönlichkeitsrechts zugestehen.
Angesichts dessen hat auch der LfD im Berichtszeitraum seine Bemühungen zur Schaffung eines Arbeitnehmerdatenschutzgesetzes auf Bundesebene intensiviert. Mit seiner Unterstützung brachte die Landesregierung 2008 einen eigenen Entschließungsantrag zur „eigenständigen gesetzlichen Ausgestaltung des Arbeitnehmerdatenschutzes" im Bundesrat ein (BR-Drs. 665/2/08), der dort am 7. November 2008 einstimmig verabschiedet wurde.
Auf Initiative des LfD formulierte die Konferenz der Datenschutzbeauftragten im März 2009 Eckpunkte für ein Gesetz zum Beschäftigtendatenschutz. Dabei erhielten die Datenschützer unerwartet Unterstützung von prominenter Seite. Die Präsidentin des Bundesarbeitsgerichts, Ingrid Schmidt, hatte bei der Vorstellung ihres Jahresberichtes Änderungen beim Datenschutzrecht im Arbeitsleben angemahnt.
Eckpunkte für ein Gesetz zum Beschäftigtendatenschutz:
Die Regelungen des Beschäftigtendatenschutzgesetzes müssen sowohl für die Beschäftigten der Privatwirtschaft als auch für die Beschäftigten im öffentlichen Dienst gelten.
Es muss klar geregelt werden, welche Daten Unternehmen und öffentliche Stellen im Rahmen des Einstellungsverfahrens und im weiteren Verlauf des Arbeitslebens über ihre Beschäftigten erheben dürfen, wie sie damit verfahren müssen und wozu sie die Daten nutzen dürfen. Es bedarf besonderer Festlegungen im Hinblick auf Gesundheitsdaten (u.a. zur Frage der Zulässigkeit von DrogenScreening, psychologischen Testverfahren, ärztlichen Untersuchungen, etc.)
Einen umfassenden anlass- und verdachtslosen Datenabgleich darf es nicht geben. Der Zugriff von Kontrollinstanzen wie z. B. der Innenrevision auf erhobene Personaldaten bedarf enger gesetzlicher Vorgaben.
Moderne Informations- und Kommunikationstechnologien dürfen nicht zu lückenlosen Verhaltens- und Leistungskontrollen eingesetzt werden. Da die Nutzung von Telefon, Internet und E-Mail-Diensten nicht mehr aus dem Arbeitsleben wegzudenken ist, sind auch die Voraussetzungen für eine beschäftigtenbezogene Auswertung dieser Kommunikationsmittel eindeutig und restriktiv festzulegen.
Dabei ist auch zu regeln, welcher Personenkreis solche Auswertungen durchführen darf und ab welchem Verfahrensstand ggf. Dritte (z.B. Mitarbeitervertretungen oder Datenschutzbeauftragte) hinzugezogen werden müssen. Auswertungen von Datenbeständen der Zugangs- und Personalinformationssysteme sind strikt zu begrenzen.
Der Einsatz von Überwachungssystemen, wie z. B. Videokameras und Ortungssystemen, ist auf das unbedingt notwendige Maß zu beschränken und unter Wahrung der Beteiligungsrechte der Mitarbeitervertretungen zulässig.
Die Verwendung biometrischer Verfahren bedarf besonders enger Vorgaben.
Es bedarf der Festlegung der Rechte der Beschäftigten, z.B. im Hinblick auf Auskunfts-, Einsichts-, Widerrufs-, Berichtigungs-, Löschungs- und Schadensersatzansprüche.
Der Schutz von Persönlichkeitsrechten der in Deutschland tätigen Beschäftigten weltweit agierender Unternehmen oder Konzerne ist sicherzustellen.
Eine effektive Kontrolle durch die zuständigen Datenschutzbehörden muss gewährleistet werden. Die betrieblichen und behördlichen Datenschutzbeauftragten sind bei allen personaldatenschutzrechtlich relevanten Verfahren und Entscheidungen frühzeitig einzubinden und umfassend zu beteiligen. Ihre Rechte und Befugnisse gegenüber den Mitarbeitervertretungen sind gesetzlich festzulegen.
Verstöße gegen die Bestimmungen des Beschäftigtendatenschutzgesetzes müssen ein gesetzliches Verwertungsverbot der dadurch gewonnenen Daten nach sich ziehen. Zur Abschreckung bedarf es wirksamer Sanktionen.
Der von der Vorgänger-Regierung kurz vor Ablauf der Legislaturperiode noch eilig eingebrachte Gesetzesentwurf zum Datenschutz im Beschäftigungsverhältnis (BTDrs. 17/69 vom 25. November 2009) griff viele dieser Forderungen auf. Eine Realisierungschance bestand wegen der unmittelbar bevorstehenden Bundestagswahl nicht. Sie war mit dem Gesetzentwurf offenbar auch gar nicht angestrebt worden. Das ist bedauerlich, weil eine rechtzeitige Einbringung des Gesetzentwurfs immer wieder angemahnt worden war und auch möglich gewesen wäre.
Es ist erfreulich, dass im Koalitionsvertrag der die neue Bundesregierung tragenden Parteien ein neuer Anlauf angekündigt wird. Dass allerdings kein eigenes Gesetz, sondern nur ein Abschnitt im Bundesdatenschutzgesetz Datenschutzbericht 2008/2009 | 2. Entwicklung des Datenschutzrechts angestrebt wird, lässt aufhorchen. Denn ganz offensichtlich ist mit dieser Festlegung auch die Federführung für den einzubringenden Gesetzentwurf vorentschieden worden. Dies macht skeptisch.
BKA-Gesetz
Die Neufassung des BKA-Gesetzes (durch das Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt) wurde vom Deutschen Bundestag am 12. November 2008 verabschiedet. Sie ist zum 1. Januar 2009 in Kraft getreten und räumt dem Bundeskriminalamt Befugnisse ein, die bislang nur Landespolizeien und Nachrichtendiensten zustanden.
Neben der umstrittenen Online-Durchsuchung (vgl. Tz. 2.2.1, Tz. 6.2.2, Tz. 7.3, Tz. 13.3) haben die neuen §§ 20a bis 20x des Gesetzes unter anderem folgende Befugnisse der Gefahrenabwehr neu geregelt: Raster- und Schleierfahndung, Einsatz von verdeckten Ermittlern, Lauschangriff (auch innerhalb der Wohnung dritter Personen), Videoüberwachung innerhalb der Wohnung.
Mit der Neufassung hat das Bundeskriminalamt außerdem das Recht erhalten, präventive Ermittlungen ohne konkreten Tatverdacht in eigener Regie durchzuführen. Im Rahmen der „Vorfeldermittlungen" unterliegt das Bundeskriminalamt nicht mehr der Leitungsbefugnis der Staatsanwaltschaft. Abhörmaßnahmen dürfen auch gegen Berufsgeheimnisträger (§ 53 StPO), mit Ausnahme der Verteidiger, Abgeordneten und Geistlichen einer staatlich anerkannten Religionsgemeinschaft, durchgeführt werden (§ 20u BKAG).
Im April 2009 haben verschiedene Journalisten sowie der ehemalige Innenminister Gerhart Baum und der Präsident der Bundesärztekammer Verfassungsbeschwerde gegen dieses Gesetz eingelegt, die vom Deutschen JournalistenVerband unterstützt wird. Zur Begründung wurde darauf verwiesen, Sicherheitsbelange würden auf Kosten der Freiheit der Bürger ausgeweitet, zum Beispiel durch die Möglichkeiten der Online-Durchsuchung und der Überwachung der Telekommunikation. Der Schutz des Kernbereichs privater Lebensgestaltung werde verletzt und der Schutz von Patienten, Mandanten und Informanten relativiert. Von den Auswirkungen des Gesetzes seien nicht nur einige Berufsgruppen, sondern alle Bürger betroffen (Presseerklärung des Deutschen Journalisten-Verbandes vom 23. April 2009).
Über diese Verfassungsbeschwerde ist bislang noch nicht entschieden worden.
Der Bundesdatenschutzbeauftragte hat begrüßt, dass im Laufe des parlamentarischen Gesetzgebungsverfahrens Änderungen beschlossen wurden, wonach nunmehr die Anordnung der Online-Durchsuchung ausnahmslos dem Richtervorbehalt unterstellt wird und die Durchsicht der durch diese Maßnahme erlangten Daten auf kernbereichsrelevante Inhalte ebenfalls nur dem Richter obliegt.
Der verfassungsrechtlich gebotene Schutz kernbereichsrelevanter Informationen auf der ersten Stufe schon bei der Datenerhebung bleibe jedoch weiterhin defizitär. Auch wenn es den Anschein habe, dass in dem Gesetz im Übrigen die Vorgaben des Bundesverfassungsgerichts zur Ausgestaltung der Online-Durchsuchung umgesetzt seien, habe er weiterhin Zweifel, inwieweit eine derartige, tief in die Privatsphäre eingreifende Befugnis im Hinblick auf den damit verfolgten Zweck vertretbar sei. Gegen die Eignung der Online-Durchsuchung spreche, dass sie in jedem Einzelfall die Entwicklung maßgeschneiderter Software erforderlich mache und damit technisch sehr aufwendig sei. Damit seien Zweifel angebracht, dass das BKA hiermit entsprechenden Gefahrenlagen rasch begegnen könne.
Außerdem bleibe fraglich, ob die mit der Online-Durchsuchung verbundenen Risiken für die informationstechnischen Systeme, z. B. im Zusammenhang mit der Aufbringung entsprechender Software auf dem Zielsystem, wirksam zu beherrschen seien (22. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 2007-2008, S. 47).
Diese Zweifel teilt der LfD. In jedem Fall müssen die Erfahrungen mit dieser neuen Befugnis sorgfältig beobachtet werden. Entscheidend ist die Frage, ob mit dieser Maßnahme ein adäquater Gewinn an Sicherheit erzielt werden kann und ob die gesetzlich vorgegebenen Schutzvorkehrungen die erforderliche Wirkung entfalten. Die Befristung der Befugnis zur Online- Durchsuchung informationstechnischer Systeme bis zum 31. Dezember 2020 ist aus der Sicht des LfD jedenfalls zu lang; eine entsprechende Bewertung muss früher zu gesetzgeberischen Konsequenzen führen.
Personalausweisgesetz
Im letzten Tätigkeitsbericht (21. Tb., Tz. 21.3.4) wurden der elektronische Reisepass der zweiten Generation Gesichtsbild und Zeigefinger als elektronisch lesbare biometrische Merkmale sowie der weiterentwickelte Zugriffs- bzw. Ausleseschutz vorgestellt.
Als nächsten Schritt sieht das am 18. Juni 2009 verkündete Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz) mit seinem weitgehenden Inkrafttreten am 1. November 2010 die Einführung bzw. erste Ausgabe neuer Personalausweise vor.