Verbraucherschutz

Datenschutzbericht 2008/2009 | 6. Verbraucherschutz und Beschäftigtendatenschutz

Beschäftigte sollten vor Installation einer Videoüberwachungsanlage in jedem Falle schriftlich von ihrer Geschäftsführung informiert werden. Der Arbeitgeber sollte seine Angestellten über den Überwachungszweck, die Speicherdauer der Bilddaten und die Zugriffsmöglichkeiten auf die Daten in Kenntnis setzen. Dieser Zugriff und damit das Sichten und Auswerten des Bildmaterials darf nur bei begründetem Tatverdacht und nur im Zusammenwirken von Geschäftsführung und Betriebsrat erfolgen.

Folgende Grundsätze sind daher zu beachten:

Das berechtigte Interesse des Arbeitgebers, etwa zum Schutz vor Verlust von Firmeneigentum durch Diebstahl, Unterschlagung oder Verrat von Betriebsgeheimnissen, muss vor Beginn der Videoüberwachung durch konkrete Anhaltspunkte und Verdachtsmomente belegt sein. Eine vage Vermutung oder ein pauschaler Verdacht gegen die gesamte Belegschaft reicht hierfür nicht aus.

Eine unter diesen Voraussetzungen statthafte Videoüberwachung ist grundsätzlich offen nach vorheriger Information der Belegschaft durchzuführen.

Eine Überwachung durch verdeckte Kameras ist als letzte Möglichkeit nur ausnahmsweise zulässig, wenn dieses Mittel die einzige Möglichkeit darstellt, berechtigte schutzwürdige Interessen des Arbeitgebers zu wahren. Eine Totalüberwachung ist ebenso unzulässig wie die Aufzeichnung von Räumen, in denen Beschäftigte in ihrer körperlichen Intimsphäre betroffen wären (Tabubereiche Toilette, Dusche, Umkleidekabine).

Die Videoüberwachung unterliegt der Mitbestimmung des Betriebsrates oder der Personalvertretung. Aber auch die Zustimmung des Betriebs- oder Personalrates kann eine unzulässige Videoüberwachung nicht rechtfertigen.

Die durch eine datenschutzwidrige Überwachung gewonnenen Erkenntnisse unterliegen einem Verwertungsverbot und können im arbeitsgerichtlichen Verfahren regelmäßig nicht verwertet werden.

Einsatz von Ortungssystemen

Ein besonders gravierender Fall der Verletzung des informationellen Selbstbestimmungsrechts von Mitarbeitern hat den LfD im Jahre 2009 beschäftigt. Im Raum Trier ließ der Geschäftsführer eines mittelständischen Unternehmens ohne Kenntnis der betroffenen Mitarbeiter heimlich GPSOrtungssysteme in die Betriebs-Kraftfahrzeuge einbauen, um sich jederzeit ein Bild über den Standort seiner Außendienstmitarbeiter machen zu können. Damit nicht genug, setzte der Geschäftsführer dieses Ortungssystem sogar an Wochenenden gegenüber solchen Mitarbeitern ein, denen Betriebsfahrzeuge auch zur privaten Nutzung überlassen worden waren.

Man mag in engen Grenzen ein berechtigtes Interesse des Arbeitgebers anerkennen, sich über den Standort seiner Kundendienstfahrzeuge einen Überblick zu verschaffen. Durch das eingesetzte Verfahren könnte ­ so die Geschäftsführung ­ während der Geschäftszeiten stets der Standort der Fahrzeuge auf einem Monitor in den Betriebsräumen der Firma angezeigt, die zurückgelegten Fahrstrecken und die Fahrtunterbrechungen nach Ort und Zeit festgehalten und diese Daten gespeichert werden.

Das Informationssystem sei installiert worden, um Fahrzeuge und Mitarbeiter optimal einsetzen zu können. So ließen sich, während das Fahrzeug unterwegs ist, leichter Aufträge erteilen und ändern. Auch könne man die elektronischen Aufzeichnungen für die Abrechnung der Anfahrts- und Arbeitszeiten mit den Kunden nutzen. Eine Überwachung der Mitarbeiter sei zwar möglich, aber keineswegs beabsichtigt gewesen.

Datenschutzrechtlich ist demgegenüber festzuhalten, dass ein solcher Überblick regelmäßig auch dadurch erzielt werden kann, dass die Mitarbeiter bei bestehendem Anlass auf dem dienstlichen Mobiltelefon angerufen und nach ihrem Standort befragt werden. Werden solche Überwachungsmaßnahmen zudem noch heimlich und auch außerhalb der Arbeitszeiten der Mitarbeiter durchgeführt, so handelt es sich um einen äußerst gravierenden Verstoß gegen datenschutzrechtliche Bestimmungen, welcher mit einem spürbaren Bußgeld sanktioniert werden muss.

Da mit einer derartigen Nutzung eines GPS das Risiko eines nicht unerheblichen Eingriffs in das Persönlichkeitsrecht der Mitarbeiter verbunden ist, muss die Firma zudem eine so genannte Vorabkontrolle nach § 4d Abs. 5 BDSG durchführen. Ferner muss sie schriftlich festlegen, welche mit Hilfe des GPS erlangten Informationen für welche Zwecke und wie lange gespeichert und genutzt werden dürfen. Dabei müssen die Grundsätze der Erforderlichkeit und der Angemessenheit beachtet werden.

Ferner muss es eine Datenlöschkonzeption geben. Diese muss unter anderem vorsehen, dass die Angaben über den Standort der Kundendienstfahrzeuge alsbald nach Beendigung der Betriebsfahrten gelöscht werden.

Internet- und E-Mail-Nutzung am Arbeitsplatz

Auch die Nutzung moderner Kommunikationstechnologien am Arbeitsplatz ist ein sehr häufiger Eingabegegenstand beim LfD. Bei unsachgemäßer Einrichtung der Kommunikationssysteme und bei unberechtigten Kontrollmaßnahmen des Arbeitgebers macht dieser sich im Einzelfall sogar strafbar.

Umgekehrt stellt der LfD bei der Bearbeitung von Eingaben immer wieder fest, dass eine große Anzahl von Datenschutzbericht 2008/2009 | 6. Verbraucherschutz und Beschäftigtendatenschutz

Arbeitnehmern sich auch bei der erlaubten Nutzung von Internet oder E-Mail am Arbeitsplatz beobachtet und kontrolliert fühlen und sich ­ ebenso wie die Arbeitgeberseite ­ häufig über die Zulässigkeit ihres Verhaltens im Unklaren sind.

Eine Orientierungshilfe der Datenschutzbeauftragten des Bundes und der Länder steht zum Abruf bereit: http://www.datenschutz.rlp.de/downloads/oh/dsb_oh_email_int ernet.pdf

Betriebliches Eingliederungsmanagement

Durch die Eingabe eines Bürgers wurde der LfD darauf aufmerksam gemacht, dass in einem bundesweit tätigen Unternehmen mit Zweigniederlassung in Rheinland-Pfalz so genannte Krankenrückkehrgespräche durchgeführt werden. Dies wurde zum Anlass genommen, ein persönliches Gespräch mit Vertretern des Betriebsrates durchzuführen.

Dabei stellte sich heraus, dass dieses Gesundheits- und Fehlzeitenmanagement bereits seit einigen Jahren praktiziert wird. Hauptsächliches Ziel ist Fehlzeitenreduktion, da der Krankenstand in den 1990er Jahren in einem für das Unternehmen grenzwertigen Bereich stand. Von Unternehmensseite her suchte man einen Weg, die Arbeitsbedingungen in dieser Hinsicht zu verbessern bzw. die Mitarbeiter gemäß ihren Einschränkungen, ggf. auch an einer anderen Stelle als bisher, einzusetzen.

Im Einzelnen ist folgende Praxis vorgesehen: Nach jeder krankheitsbedingten Abwesenheit eines Mitarbeiters, unabhängig davon, wie lange diese andauerte, wird mit dem Vorgesetzten ein Gespräch geführt, in welchem ergründet werden soll, ob die Krankheit betriebsbedingte Ursachen hatte und falls ja, welche. Insofern erfolgt eine Protokollierung des Besprochenen, welche jedoch beim Vorgesetzten verbleibt. Tritt innerhalb eines bestimmten Zeitraums erneut eine Fehlzeit auf, findet ein Gespräch, nunmehr der Stufe zwei, statt. Möglich sind Gespräche bis zur Stufe fünf, wobei ab Stufe drei Betriebsrat und werksärztlicher Dienst hinzugezogen werden können. Tritt hingegen innerhalb dieses Zeitraums keine erneute Krankheit auf, fällt der betreffende Mitarbeiter wieder in Stufe eins zurück.

Gegen diese Praxis bestehen nach Auffassung des LfD dann keine datenschutzrechtlichen Bedenken, wenn die gesetzlichen Vorgaben zum sog. Betrieblichen Eingliederungsmanagement (vgl. § 84 Abs. 2 SGB IX) beachtet werden. Dem Arbeitgeber/Dienstherrn sind bei der Erhebung von Krankheitsdaten im Zusammenhang mit der Arbeitsunfähigkeit nämlich enge Grenzen gesetzt.

Zwar ist es ihm im Rahmen seiner Fürsorgepflicht unbenommen, einzelne Mitarbeiter auf ihre Fehlzeiten und die damit einhergehende Mehrbelastung der Kolleginnen und Kollegen hinzuweisen. Datenschutzrechtlich unzulässig ist es jedoch, wenn die Mitarbeiter bei sog. Rückkehrgesprächen aufgefordert werden, dem Arbeitgeber Auskunft über ihre Erkrankung zu geben. Bei Arbeitsunfähigkeit ist ein Bediensteter ­ abgesehen bei Gesundheitsgefahren für Kollegen, etwa durch eine ansteckende Krankheit ­ nicht verpflichtet, dem Arbeitgeber Näheres über seine Erkrankung (z. B. Diagnose, Symptome, Ursachen) mitzuteilen. Dies ergibt sich aus den arbeits- und sozialrechtlichen Vorschriften zur Arbeitsunfähigkeitsbescheinigung, die die Weitergabe von Informationen über die Art der Erkrankung des Arbeitnehmers an den Arbeitgeber gerade nicht vorsehen.

Das betriebliche Eingliederungsmanagement, welches bei jedem Beschäftigten mit wiederholten oder ununterbrochenen Fehlzeiten von mehr als sechs Wochen im Jahr durchzuführen ist, steht und fällt folgerichtig mit der informierten Einwilligung des Betroffenen. Er ist über die Ziele des betrieblichen Eingliederungsmanagements sowie darauf hinzuweisen, dass er zur Offenbarung über Art, Ausmaß und Hintergründe seiner Erkrankung weder verpflichtet ist noch seine Weigerung, Gesundheitsdaten zu offenbaren, zu beruflichen Nachteilen führt. Die Dokumentation von Gesprächen im Zusammenhang mit dem betrieblichen Eingliederungsmanagement ist ebenso wie sonstige Aufzeichnungen über sog. Mitarbeiter- oder Personalführungsgespräche, deren Ergebnisse in einer Zielvereinbarung festgehalten werden, aufgrund ihrer Zielsetzung (Verbesserung der Führungs- und Kooperationsbeziehungen zwischen Vorgesetztem und Mitarbeiter) kein zulässiger Gegenstand der Personalakte. Es empfiehlt sich, Fragen des Datenschutzes (Aufbewahrungsdauer, Zweckbindung, Zugriffsbefugnisse) in der Integrationsvereinbarung nach § 83 SGB IX zu regeln.

Datenschutzbericht 2008/2009 | 7. Polizei

7. Polizei

Vorbemerkung:

Der LfD hat sich besonders intensiv um den Datenschutz im Bereich der inneren Sicherheit gekümmert. Gerade hier wird der Datenschutz oft als nachrangig angesehen und allgemeinen Sicherheitsinteressen „geopfert". Diesen Eindruck kann man gewinnen, wenn man sich die vielen Sicherheitsgesetze vergegenwärtigt, die der Bund und die Länder seit dem September 2001 erlassen haben und wenn man zugleich die einschlägigen Entscheidungen des Bundesverfassungsgerichts mit berücksichtigt, mit denen immer wieder einschlägige Gesetze zumindest teilweise als verfassungswidrig verworfen wurden.

Der LfD verkennt allerdings nicht, dass es vor dem Hintergrund vor allem terroristischer Bedrohungen schwierig ist, den notwendigen Ausgleich zwischen Sicherheit und Datenschutz zu finden. Dies ist letztendlich überhaupt nur möglich, wenn man die Interessen und Anliegen der jeweils anderen Seite versteht. Der LfD hat deshalb in vielen Gesprächen den Kontakt mit dem zuständigen Ministerium und den jeweiligen Sicherheitsorganen gesucht und für eine hinreichende Berücksichtigung des Datenschutzes geworben.

Aus diesen Gesprächen und den vielen örtlichen Feststellungen und Prüfungen in den Polizeidienststellen des Landes hat der Lfd die Überzeugung gewonnen, dass Polizei und Verfassungsschutz durchaus sensibel auf datenschutzrechtliche Anforderungen reagieren. Die Bereitschaft, dem Datenschutz in der täglichen Arbeit Rechnung zu tragen, ist groß. Grundlage dafür ist ein beachtliches Vertrauensverhältnis zwischen den beiden Seiten, das bereits seit vielen Jahren besteht und von allen Beteiligten gefördert und ausgebaut wird. Dazu zählt auch, dass der LfD künftig regelmäßig mit den Datenschutzbeauftragten im Polizeibereich zusammenkommen wird. Angestrebt ist ein ähnlich intensiver Kontakt wie zu den behördlichen Datenschutzbeauftragten in anderen Bereichen (vgl. Tz. 3.4 und Tz. 5.1).

Vorratsdatenspeicherung ­ ein prinzipielles Problem

Ausgangslage Vorratsdatenspeicherung bezeichnet die Verpflichtung der Anbieter von Telekommunikationsdiensten zur Registrierung von elektronischen Kommunikationsvorgängen, ohne dass ein Anfangsverdacht oder konkrete Hinweise auf Gefahren bestehen. Kommunikationsinhalte sind von dieser Pflicht nicht betroffen, es müssen ausschließlich sog. „Verbindungsdaten" erfasst und gespeichert werden.

Mit Hilfe der auf Vorrat zu speichernden Daten lässt sich ­ ohne dass auf Kommunikationsinhalte zugegriffen wird ­ das Kommunikationsverhalten jedes Teilnehmers analysieren. Diese Pflicht wurde auf europäischer Ebene begründet (Richtlinie 2006/24/EG), um den Strafverfolgungsbehörden zu ermöglichen, im konkreten Verdachtsfall Kommunikationsstrukturen der Verdächtigen aufzuklären.

Diese Möglichkeit soll einheitlich allen Strafverfolgern in der EU zur Verfügung stehen. Organisierte Kriminalität und Terrorismus sind die Bedrohungslagen, denen in erster Linie damit begegnet werden soll.

Die Vorratsdatenspeicherung ist in Deutschland durch das „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" eingeführt worden, das mit dem 1. Januar 2008 in Kraft trat.

Konkrete Reichweite der Maßnahme Verpflichtet werden die Anbieter von Telefondiensten einschließlich Mobilfunk- und Internet-Telefondiensten, folgende Daten zu speichern: die Rufnummer oder andere Kennung des anrufenden und des angerufenen Anschlusses sowie im Falle von Umoder Weiterschaltungen jedes weiteren beteiligten Anschlusses; Beginn und Ende der Verbindung nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone; in Fällen, in denen im Rahmen des Telefondienstes unterschiedliche Dienste genutzt werden können, Angaben zu dem genutzten Dienst; im Fall mobiler Telefondienste ferner: die internationale Kennung für mobile Teilnehmer für den anrufenden und den angerufenen Anschluss; die internationale Kennung des anrufenden und des angerufenen Endgerätes; die Bezeichnung der durch den anrufenden und den angerufenen Anschluss bei Beginn der Verbindung genutzten Funkzellen; im Fall im Voraus bezahlter anonymer Dienste auch die erste Aktivierung des Dienstes nach Datum, Uhrzeit und Bezeichnung der Funkzelle; im Fall von Internet-Telefondiensten auch die IP-Adresse des anrufenden und des angerufenen Anschlusses. Das gilt entsprechend bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht; hierbei sind die Zeitpunkte der Versendung und des Empfangs der Nachricht zu speichern.