Der LfD hat das Finanzamt auf Folgendes hingewiesen. Das Landesdisziplinargesetz regelt in § 30 Abs
Datenschutzbericht 2008/2009 | 6. Verbraucherschutz und Beschäftigtendatenschutz
Beschäftigtendatenschutz bei öffentlichen Arbeitgebern
Arztgeheimnis im Disziplinarverfahren
Wie dem LfD bekannt wurde, hatte ein Finanzamt in einer Disziplinarangelegenheit versucht, bei einer Klinik medizinische Daten des Beschäftigten in Form eines RehaEntlassberichts zu erhalten. In dem Schreiben an die Klinik führte das Finanzamt aus, durch die Übersendung des Berichts könne aus Vereinfachungsgründen eine mündliche Vernehmung des behandelnden Arztes vermieden werden; es bestehe eine diesbezügliche Auskunftsverpflichtung der Klinik nach dem Landesdisziplinargesetz auch in Bezug auf den Namen des behandelnden Arztes.
Der LfD hat das Finanzamt auf Folgendes hingewiesen:
Das Landesdisziplinargesetz regelt in § 30 Abs. 1, dass die Bestimmungen der Strafprozessordnung über die Pflicht, als Zeuge auszusagen oder als Sachverständiger ein Gutachten zu erstatten, entsprechend gelten. Nach § 53 Abs. 1 Nr. 3 StPO sind Ärzte über das, was ihnen in dieser Eigenschaft anvertraut worden oder bekannt geworden ist, zur Verweigerung des Zeugnisses berechtigt.
Ohne ausdrückliche Schweigepflichtsentbindungserklärung des Beamten besteht demnach keine Verpflichtung der Klinik, den Namen des behandelnden Arztes mitzuteilen. Für die Aufforderung, den vollständigen RehaEntlassbericht zu übersenden, gilt Entsprechendes, da ansonsten die o.g. Bestimmungen der Strafprozessordnung umgangen würden.
Soweit die Klinik vorliegend den Reha-Entlassbericht als Leistungserbringer i.S.d. Sozialgesetzbuches für einen Sozialleistungsträger gefertigt hat, kommen darüber hinaus die Vorschriften zum Schutz des Sozialgeheimnisses zur Anwendung. Die Verwendung des Berichts für ein behördliches Disziplinarverfahren stellt datenschutzrechtlich eine Nutzungsänderung dar. Diese ist u.a. dann zulässig ist, wenn die Daten für die Erfüllung von Aufgaben nach einer anderen Vorschrift des Sozialgesetzbuches als derjenigen, für die sie erhoben wurden, erforderlich ist (§ 67c Abs. 2 SGB X). Eine solche Vorschrift existiert im Sozialgesetzbuch jedoch nicht, so dass die Nutzung der vorhandenen Daten für ein behördliches Disziplinarverfahren (und damit selbstverständlich auch die Weitergabe der Daten an das Finanzamt) nicht zulässig ist. Dies betrifft auch die Mitteilung des Namens des behandelnden Arztes; auch diese Information wird vom Sozialgeheimnis umfasst.
Da das Finanzamt den Vorgang an die Oberfinanzdirektion Koblenz abgab, konnte die Angelegenheit bisher noch nicht abgeschlossen werden. „Bewerbergooglen" durch öffentliche Arbeitgeber
Laut einer im Sommer 2009 veröffentlichten Studie des Bundesverbraucherministeriums suchen rund ein Viertel der Arbeitgeber gezielt im Internet nach Informationen über Bewerber. Bei rund 25 Prozent der Firmen kommt es vor, dass ein Bewerber erst gar nicht zum Vorstellungsgespräch eingeladen wird. Der LfD geht aufgrund der Rückmeldungen in Fortbildungsveranstaltungen davon aus, dass auch öffentliche Arbeitgeber den Verlockungen des Internets bei der Informationsbeschaffung für die Bewerberauswahl erliegen, wenn auch nicht in dem genannten Ausmaß.
Eine datenschutzrechtliche Prüfung dieser Vorgehensweise hat eine Vielzahl von Gesichtspunkten zu berücksichtigen:
Das Bundesverfassungsgericht hat in der sog. Computergrundrechtsentscheidung (Az. 1 BvR 370/07 und 1 BvR 595/07) Grundsätze für Internetrecherchen durch öffentliche Stellen aufgestellt (s.a. Tz. 2.2.1, Tz. 2.2.5, Tz. 7.3, Tz. 13.3): Hiernach ist dem Staat die Kenntnisnahme öffentlich zugänglicher auch personenbezogener Informationen grundsätzlich nicht verwehrt.
Daher liege kein Eingriff in das allgemeine Persönlichkeitsrecht vor, wenn eine staatliche Stelle im Internet verfügbare Kommunikationsinhalte erhebt, die sich an jedermann oder zumindest an einen nicht weiter abgegrenzten Personenkreis richten. So liege es etwa, wenn die Behörde eine allgemein zugängliche Webseite im World Wide Web aufruft, eine jedem Interessierten offen stehende Mailingliste abonniert oder einen offenen Chat beobachtet. Ein Eingriff in das Recht auf informationelle Selbstbestimmung könne allerdings gegeben sein, wenn Informationen, die durch die Sichtung allgemein zugänglicher Inhalte gewonnen wurden, gezielt zusammengetragen, gespeichert und ggf. unter Hinzuziehung weiterer Daten ausgewertet werden und sich daraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergibt. Hierfür bedürfe es einer Ermächtigungsgrundlage.
In diesem Zusammenhang ist auch die Regelung des § 2 Abs. 5 LDSG zu sehen, wonach personenbezogene Daten, die allgemein zugänglich sind bzw. vom Betroffenen zur Veröffentlichung bestimmt wurden, grundsätzlich nicht dem Landesdatenschutzgesetz unterliegen. Etwas anderes gilt nur dann, wenn die allgeDatenschutzbericht 2008/2009 | 6. Verbraucherschutz und Beschäftigtendatenschutz mein zugänglichen Daten gesondert gespeichert und weiter verarbeitet werden.
Demnach hängt die datenschutzrechtliche Bewertung einer Internetrecherche durch öffentliche Arbeitgeber davon ab, ob Informationen erhoben werden, die mittels Suchmaschinen allgemein verfügbar sind, oder ob es sich um solche Daten handelt, die nach dem Willen des Betroffenen nur (bestimmten) Nutzern eines sozialen Online-Netzwerks zur Verfügung stehen sollen. Weiterhin muss differenziert werden, ob es sich um Daten handelt, die von dem Betroffenen selbst oder von Dritten über den Betroffenen eingestellt wurden. Ebenfalls nicht unwichtig ist die Frage, wie sich der Arbeitgeber Zugang zu diesem Netzwerk verschafft (Nutzung des eigenen privaten Accounts oder Vorgeben einer falschen Identität) und mit den erhobenen Daten umgeht. Außerdem muss geprüft werden, welcher Zweckbestimmung das Online-Netzwerk nach seinen Allgemeinen Geschäftsbedingungen unterliegt.
Der LfD geht im Rahmen seiner datenschutzrechtlichen Bewertung von folgenden Überlegungen aus:
Nutzt der Arbeitgeber personenbezogene Daten von Bewerbern, die nach der Zweckbestimmung des Netzwerks auch der Arbeitsvermittlung dienen (z.B. „XING"), ist dies datenschutzrechtlich unproblematisch und deshalb zulässig. Vor dem Hintergrund der o.g. Feststellungen des Bundesverfassungsgerichts und der Regelung in § 2 Abs. 5 LDSG bestehen auch keine Bedenken dagegen, wenn der öffentliche Arbeitgeber Informationen zur Kenntnis nimmt, die allgemein unter Verwendung von Suchmaschinen zugänglich sind.
Werden jedoch die im Internet über Bewerber verfügbaren Daten systematisch in einer Liste oder Tabelle erfasst und ausgewertet, ist hierfür eine gesonderte Rechtsgrundlage zu fordern. Die insoweit in Betracht kommenden Vorschriften im Landesbeamtengesetz bzw. § 31 LDSG setzen die „Erforderlichkeit" dieser Datenerhebung voraus, was mit Blick auf die ansonsten zur Verfügung stehenden Erkenntnismöglichkeiten eines Bewerbungsverfahrens bezweifelt werden kann. Außerdem liegt bei verdeckten Informationsbeschaffungen regelmäßig ein Verstoß gegen den Grundsatz der Direkterhebung beim Betroffenen vor, so dass im Ergebnis die personaldatenschutzrechtlichen Vorgaben dieser Vorgehensweise grundsätzlich entgegenstehen.
Datenschutzrechtlich unzulässig ist nach Auffassung des LfD ebenfalls das Erheben von Informationen, die Betroffene in sozialen Online-Netzwerken einem nur eingeschränkten Personenkreis gegenüber veröffentlicht haben, z. B. nur den registrierten Nutzern des Netzwerks oder nur den sog. Freunden des Betroffenen. Denn die Allgemeinen Geschäftsbedingungen der Netzbetreiber sehen in aller Regel die Nutzung nur für private Zwecke vor. Außerdem bringen die Nutzer durch die Beschränkung der bestehenden Zugriffsmöglichkeiten zum Ausdruck, dass ihre Daten gerade nicht außerhalb der Zweckbestimmung des Netzwerks durch jedermann Verwendung finden sollen. Öffentliche Arbeitgeber verstoßen mit verdeckten Recherchen gegen die Allgemeinen Geschäftsbedingungen der Netzbetreiber, und zwar unabhängig davon, ob dabei der eigene private Account zweckwidrig verwendet wird oder sich der Arbeitgeber unter einem falschem Namen Zugang verschafft. Staatliche Stellen sind aufgrund von Art. 20 Abs. 3 GG an Recht und Gesetz gebunden. Eine heimliche Informationsbeschaffung hinter dem Rücken des Betroffenen ist mit diesen Vorgaben grundsätzlich nicht zu vereinbaren und würde die insoweit schutzwürdigen Belange der Betroffenen unverhältnismäßig beeinträchtigen.
Inwiefern diese Bewertung auch auf den privaten Bereich übertragen kann, wird derzeit unter den Datenschutzaufsichtsbehörden diskutiert. Gerichtliche Entscheidungen, die die Grenzen der Informationsbeschaffung durch den künftigen Arbeitgeber aufzeigen, liegen zumindest bislang nicht vor.
Datenschutz bei Telearbeit
Zu der Frage, welche rechtlichen und technisch-organisatorischen Anforderungen an die Einrichtung von Telearbeitsplätzen aus datenschutzrechtlicher Sicht zu stellen sind, hat sich der LfD im 16. Tb. (Tz. 21.7), 17. Tb. (Tz. 17.3) und 20. Tb. (Tz. 17.1) ausführlich geäußert.
Neu in diesem Zusammenhang ist die Frage, inwiefern vom Heimarbeitsplatz aus auf landes- bzw. bundeseinheitliche Verfahren (z.B. Einwohnermeldedaten, polizeiliche Verbunddateien, wie INPOL/POLIS, Daten des Kraftfahrzeugbundesamtes) zugegriffen werden darf.
Wie eine Auswertung der Protokolldaten von Zugriffen auf das landeseinheitliche Einwohnermeldeverfahren ergeben hat (21. Tb., Tz. 4.2), fanden in einem nennenswerten Umfang unzulässige Abfragen statt. Es ist jedenfalls davon auszugehen, dass durch die Situation am Heimarbeitsplatz das ohnehin vorhandene Missbrauchspotenzial noch vergrößert wird.
Eine datenschutzrechtliche Bewertung hat ebenfalls den allgemeinen Verhältnismäßigkeitsgrundsatz zu berücksichtigen. Vor dem Hintergrund, dass mit der Einrichtung Datenschutzbericht 2008/2009 | 6. Verbraucherschutz und Beschäftigtendatenschutz eines Zugriffs auf zentrale Verfahren ein enorm großer Personenkreis betroffen ist (mehrere Millionen Datensätze) und die erforderlichen Zugriffe bei alternierenden Telearbeitsplätzen durch eine entsprechende Arbeitsaufteilung grundsätzlich auch von der Dienststelle aus erledigt werden können, bestehen gegen die Einrichtung von Telearbeitsplätzen mit Zugriff auf landes- bzw. bundesweite Informationssysteme erhebliche datenschutzrechtliche Bedenken. Der LfD hat sich gegenüber anfragenden Stellen aus dem Bereich der Kommunen, der Oberfinanzdirektion und der Polizei in diesem Sinne geäußert.
Der LfD hält es für notwendig, dass die Institutionen, die eine Zertifizierung von öffentlichen Arbeitgebern zur Vereinbarkeit von Familie und Beruf anbieten, den datenschutzrechtlichen Belangen mehr Beachtung schenken würden.
Beschäftigtendatenschutz bei privaten Arbeitgebern
Der Schutz personenbezogener Daten in Arbeitsverhältnis ist aus verschiedenen Gründen ein besonderer Schwerpunkt in der Tätigkeit des LfD: Zum einen sind die betroffenen Arbeitnehmer in besonderer Weise darauf angewiesen, dass ihre personenbezogenen Daten im Beschäftigungsverhältnis sorgsam behandelt werden.
Zum anderen belegt die Vielzahl von Eingaben gerade in diesem Bereich, dass sich viele Arbeitnehmer an ihrem Arbeitsplatz überwacht und kontrolliert fühlen und daher den LfD besonders häufig um Unterstützung bitten.
Schließlich hat der Datenschutz durch die Neufassung des Bundesdatenschutzgesetzes zum 1. September 2009 mit dem neuen § 32 BDSG zur „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses" eine erhebliche Stärkung erfahren. Anders als noch im Gesetzgebungsverfahren diskutiert, schützt § 32 Abs. 1 BDSG personenbezogene Daten im Beschäftigungsverhältnis nämlich nunmehr wesentlich intensiver als zuvor. Der Maßstab für den Umgang mit personenbezogenen Daten ist nun nicht mehr jener der Dienlichkeit, sondern der wesentlich schärfere der Erforderlichkeit: Nur für das Arbeitsverhältnis notwendige Datenverarbeitungen sind noch gestattet. Zudem ist der Anwendungsbereich des Bundesdatenschutzgesetzes in § 32 Abs. 2 auch auf nicht automatisierte Dateien erweitert worden, also auch auf die regelmäßig in Schriftform vorliegenden Personalakten. Damit erweitern sich auch die Kontroll- und Eingriffsmöglichkeiten des LfD erheblich.
Von den zahlreichen Problemfeldern im Bereich des Arbeitnehmerdatenschutzes können hier nur einige stellvertretend kurz beleuchtet werden:
Videoüberwachung von Mitarbeitern
Auch der LfD macht die Feststellung, dass aufgrund der mittlerweile relativ billigen Videotechnik viele Arbeitgeber auf die Idee kommen, ihre Arbeitnehmer am Arbeitsplatz bzw. während ihrer Tätigkeit mit oder ohne Aufzeichnung der Videobilder zu überwachen, beispielsweise in Bäckereien, Pflegeeinrichtungen, in der Systemgastronomie und in Einzelhandelsgeschäften. Immer häufiger werden Kameras zur gezielten Personalüberwachung eingesetzt, wobei auch Pausen oder Umkleidebereiche ins Visier kommen. Teilweise werden Minikameras in Rauchmeldern oder in der Deckenverkleidung von Geschäften installiert. Anders als bei der Überwachung eines unbestimmten Personenkreises in öffentlich zugänglichen Räumen sind die Arbeitnehmer im Betrieb dem Arbeitgeber persönlich bekannt; jede Verhaltensweise und Kommunikation unterliegt so der Kontrolle. Wer sich aber nicht sicher ist, zu welchem Zweck und wann er überwacht wird, wird versuchen, sich angepasst zu verhalten. Dieser Anpassungsdruck wird durch die wirtschaftliche Abhängigkeit der Beschäftigten vom Arbeitgeber verstärkt. Für die Beschäftigten gibt es oft keine Möglichkeit, sich der Erfassung durch Kameras zu entziehen.
Arbeitgeber führen in erster Linie den Schutz ihres Personals vor Übergriffen und den Diebstahlschutz als Gründe für diese Überwachungsmaßnahmen an. Der eigentliche Grund ist aber häufig die Leistungs- und Verhaltenskontrolle der Beschäftigten durch die Geschäftsführung. Dabei kontrolliert sie auch das Verhalten ihrer Angestellten gegenüber den Kunden, die korrekte Abrechung bei Bezahlvorgängen oder die Einhaltung von Pausenzeiten. Viele solcher Kameras werden zudem heimlich installiert. Eine heimliche Kamerainstallation ist jedoch ohne ein konkretes Verdachtsmoment stets rechtswidrig (vgl. § 32 Abs. 1 Satz 2 BDSG).
Darüber hinaus sind stets arbeitsrechtliche Vorgaben zu beachten. Insbesondere ist die Zulässigkeit der Überwachung am Arbeitsplatz mittels Videobeobachtung am Persönlichkeitsrecht der Beschäftigten zu messen. Bereits die Möglichkeit der jederzeitigen Überwachung erzeugt einen Überwachungsdruck, der mit dem Anspruch der Beschäftigten auf Wahrung ihrer Persönlichkeitsrechte nicht zu vereinbaren ist. Insoweit ist eine Videoüberwachung am Arbeitsplatz nur durch besondere Sicherheitsinteressen des Arbeitgebers ausnahmsweise gerechtfertigt.