Kreditinstitut
Kontrolle des Betriebsrates durch den betrieblichen Datenschutzbeauftragten?
Dem betrieblichen Datenschutzbeauftragten ist gemäß § 37 Abs. 1 BDSG die Aufgabe zugewiesen, die Ausführung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz sicherzustellen.
Der Betriebsrat eines Unternehmens vertrat die Ansicht, dass der betriebliche Datenschutzbeauftragte nicht das Recht habe, die Einhaltung des Datenschutzes im Betriebsrat sicherzustellen.
Wir haben den Betriebsrat darauf hingewiesen, dass seine Rechtsansicht unrichtig ist.
Bereits der weitgefaßte Wortlaut des § 37 Abs. 1 BDSG legt es nahe, dass das Kontrollrecht des betrieblichen Datenschutzbeauftragten gegenüber jeder speichernden Stelle nach § 3 Abs. 8 BDSG besteht. Als Teil der speichernden Stelle im Unternehmen ist aber auch der Betriebsrat anzusehen, da die von ihm wahrgenommene Datenverarbeitung nicht im Auftrag des Arbeitgebers stattfindet, er also nicht Dritter im Sinne des § 3 Abs. 9 BDSG ist.
Das Bundesdatenschutzgesetz soll eine Beeinträchtigung des Persönlichkeitsrechtes des einzelnen durch den Umgang mit seinen personenbezogenen Daten verhindern. Um diesen Schutz umfassend sicherstellen zu können, ist es erforderlich, auch den Betriebsrat der Kontrolle des betrieblichen Datenschutzbeauftragten zu unterwerfen, da ansonsten die Gefahr bestände, dass im Betriebsrat eine datenschutzfreie Zone entstehen könnte. Als Alternative für eine Kontrolle des betrieblichen Datenschutzbeauftragten käme nämlich nur die Kontrolle durch die Aufsichtsbehörde in Betracht. Bei der Kontrolle durch die Aufsichtsbehörde ist aber zu bedenken, dass sie nach § 38 Abs. 1 BDSG nur zulässig ist, wenn der Aufsichtsbehörde hinreichende Anhaltspunkte für die Verletzung der Vorschriften über den Datenschutz vorliegen. Eine regelmäßige Überwachung ist damit nicht möglich. Außerdem ist eine solche Kontrolle weniger wirksam, da die Aufsichtsbehörde mit den betrieblichen Gegebenheiten nicht vertraut ist und eine Kontrolle sämtlicher Betriebsräte auch die personellen und sächlichen Mittel der Aufsichtsbehörde übersteigt.
Wir erkennen an, dass ein vorrangiges Prinzip des Betriebsverfassungsgesetzes der Grundsatz der Eigenständigkeit des Betriebsrats darstellt. Danach muss der Betriebsrat seine Aufgaben vom Arbeitgeber unabhängig und eigenständig wahrnehmen können.
Es besteht aber nicht die Gefahr, dass eine Überwachung des Betriebsrats durch den betrieblichen Datenschutzbeauftragten zu einer mittelbaren Kontrolle des Betriebsrats durch den Arbeitgeber führt.
Der betriebliche Datenschutzbeauftragte ist gemäß § 36 Abs. 3 BDSG bei seiner Tätigkeit nicht den Weisungen des Arbeitgebers unterworfen und darf wegen der Erfüllung seiner Aufgabe nicht benachteiligt werden. Auch der Widerruf seiner Bestellung ist nur eingeschränkt möglich. Dies zeigt, dass der betriebliche Datenschutzbeauftragte nach der gesetzlichen Regelung eben nicht vom Arbeitgeber abhängig ist, sondern eine neutrale Stellung einnimmt. Er ist deswegen auch nicht der Vertrauensmann des Arbeitgebers, sondern vertrauensvoller Ansprechpartner aller Betroffenen in deren Datenschutzangelegenheiten. Die Behauptung, der betriebliche Datenschutzbeauftragte sei vom Arbeitgeber abhängig, steht also im Widerspruch zu der eindeutigen gesetzlichen Vorschrift. Auch besteht keine Gefahr, dass der betriebliche Datenschutzbeauftragte Geheimnisse des Betriebsrats an den Arbeitgeber verrät. Zum einen ist der betriebliche Datenschutzbeauftragte gemäß § 5 BDSG auf das Datengeheimnis verpflichtet; zum anderen unterliegt er noch einer besonderen Verschwiegenheitspflicht gemäß § 36 Abs. 4 BDSG. Folglich ist er nach der gesetzlichen Regelung nicht berechtigt, die Informationen, die er durch die Kontrolle des Betriebsrats erlangt hat, an den Arbeitgeber weiterzugeben.
Innenrevision bei Banken und Arbeitnehmerdatenschutz
In einer Berliner Bank geriet ein Mitarbeiter in den dringenden Verdacht, durch Straftaten, denen eine Bereicherungsabsicht zugrunde lag, seinen Arbeitgeber geschädigt zu haben. Zur Überprüfung der Angelegenheit schaltete das Bankhaus seine Innenrevision ein. Bei der Revision wurden u. a. zahlreiche Mitarbeiterkonten kontrolliert.
Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats
Auch bei den ohne Zweifel grundsätzlich rechtmäßigen Revisionsmaßnahmen müssen die Banken darauf achten, dass das informationelle Selbstbestimmungsrecht der Mitarbeiter nicht in rechtswidriger Weise berührt wird. Obwohl der Grundsatz gilt, daß die Prüfungshandlungen der Innenrevision sich auf die Betriebsabläufe aller Teilbereiche des Kreditinstitutes erstrecken können, kann es kein uneingeschränktes Revisionsrecht geben.
Grundsätzlich hat die Revision selbstverständlich das Recht, Kundenkonten zu kontrollieren. Im vorliegenden Fall interessierte sich die Revision jedoch nicht für die Konten als Kundenkonten, sondern ausschließlich als Mitarbeiterkonten. Hierbei hat die Revision den Umstand ausgenutzt, dass die jeweiligen Mitarbeiter eigentlich eher zufällig bei ihrem Arbeitgeber ihr Privatkonto führten. Diese Konten darf die Innenrevision nur überprüfen, wenn sie als normale Kundenkonten für die Revision von Bedeutung sind. Die generelle Kontrolle von Mitarbeiterkonten ist auch und gerade zur Aufklärung von Straftaten insbesondere ohne vorherige Einschaltung des Betriebsrates und Mitteilung an die Betroffenen nicht zu akzeptieren. Lediglich bei konkreten Verdachtsmomenten im Einzelfall können Kontrollmaßnahmen gerechtfertigt sein, bevor die Bank als Arbeitgeber die Strafverfolgungsbehörden einschaltet, um das betrügerische Verhalten eines Mitarbeiters zu unterbinden.
Widerspruch gegen Werbung
Ein Bürger nahm an einem Quiz, das von einer Berliner Zeitung organisiert wurde, teil. Als er im Anschluß an die Quizveranstaltung von der Zeitung Werbung erhielt, legte er Widerspruch gegen die weitere Nutzung seiner Anschrift für Werbezwecke ein.
Trotz des Widerspruches erhielt er nach etwa drei Monaten wiederum Werbung der betreffenden Zeitung. Daraufhin beschwerte sich der Bürger darüber, dass sein Widerspruch nach der ersten Werbung nicht beachtet war. Außerdem machte er von seinem Recht gemäß § 34 Abs. 1 Nr. 1 BDSG Gebrauch. Danach kann der Betroffene Auskunft verlangen über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft und die Empfänger beziehen. Die Zeitung teilte ihm daraufhin mit, daß sie nicht in der Lage sei, ihm die Herkunft der Daten mitzuteilen, da seine Daten im Anschluß an sein letztes Schreiben gelöscht wurden. Inzwischen hat der Bürger insgesamt vier Werbeschreiben der Zeitung erhalten.
Wir wiesen die Zeitung darauf hin, dass die datenspeichernde Stelle rechtswidrig handelt, wenn sie den Auskunftsanspruch des Bürgers dadurch umgeht, dass sie seine Daten nach Erhalt des Auskunftsverlangens löscht. Im konkreten Fall stellte sich heraus, dass sich die Zeitung für ihre Werbeaktionen mit Ausnahme der ersten Werbung mehrerer Adressenhändler bedient hatte.
Die Bürger, die einer Werbung widersprachen, wurden aus dem Adressenbestand der Zeitung gelöscht. Anschließend besorgte sich die Zeitung für eine neue Werbeaktion neue Adressen über einen Adressenhändler. Falls sich die Adresse eines Bürgers, der der Werbung widersprochen hatte, in dem neuen Adressenbestand befand, erhielt er wiederum ein Werbeschreiben der Zeitung. Da eine zweite Werbung nach erfolgtem Widerspruch rechtswidrig ist, handelte die Zeitung rechtswidrig.
Um eine derartige rechtswidrige Werbeaktion in Zukunft zu vermeiden, wird die Zeitung eine hausinterne Robinsonliste einführen. Wenn die Zeitung zukünftig mit Adressenunternehmen zusammenarbeit, wird sie sicherstellen, dass diese Unternehmen nur Personen bewerben, die nicht auf dieser Liste geführt werden. Die Sicherstellung soll insbesondere mit Hilfe von Vertragsstrafen erreicht werden.
Nachsendeantrag und Adressenhandel Uns gingen mehrere Beschwerden von Bürgern zu, die sich über die Werbung einer Lottogesellschaft beschwerten. Das Besondere an der Werbeaktion der Lottogesellschaft war, dass sie zahlreiche Minderjährige zur Teilnahme am Glücksspiel einlud. Die Bürger wollten insbesondere erfahren, woher die Lottogesellschaft die Daten der minderjährigen Kinder erhalten hatte.
Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats
Es gelang uns in den vorliegenden Fällen, den gesamten Datenfluß nachzuvollziehen. Die Bürger hatten vor etwa einem Jahr einen Nachsendeantrag bei der Deutschen Post AG gestellt. Die Umzugsmeldekarte der Post enthielt auch die Namen der Kinder.
Die Deutsche Post AG und die Deutsche Postadress GmbH haben einen Vertrag geschlossen, in dem sich die Deutsche Post AG verpflichtet, alle bei ihr über Umzugsmeldekarten gemeldeten Umzüge an die Deutsche Postadress GmbH zu übermitteln, sofern die Betroffenen einer Weitergabe der Umzugsmeldungen nicht widersprochen haben. Die von der Deutschen Post AG übermittelten personenbezogenen Daten (alte und neue Anschrift) werden von der Deutschen Postadress GmbH manuell erfaßt und anschließend in der dort geführten Umzugsadressendatei gespeichert.
Die Deutsche Postadress GmbH ist ein Adressenhändler, der die genannte Umzugsadressendatei an verschiedene Institutionen verkauft. So wird die Datei u. a. von Firmen verwendet, die
wie z. B. Versandhäuser ihre Kundendaten aktualisieren wollen. In den vorliegenden Fällen wurden die Daten für Werbezwecke verkauft. Die Lottogesellschaft kaufte von der Deutschen Postadress GmbH Adressen von männlichen Personen für die oben erwähnte Werbeaktion. Für die Vertragspartner war obwohl dies offensichtlich nicht ausdrücklich geregelt wurde klar, dass die Lottogesellschaft kein Interesse an männlichen Kindern und Jugendlichen hatte. Da allerdings in der Umzugsadressendatei auch Kinderadressen gespeichert waren, hat die Deutsche Postadress GmbH auch diese an die Lottogesellschaft verkauft. Die Deutsche Postadress GmbH behauptet, bei dem Verkauf der Daten versehentlich nicht daran gedacht zu haben, daß auch Kinder und Jugendlichen in der Umzugsadressendatei enthalten sind.
Der Adressenhandel stellt eine geschäftsmäßige Datenverarbeitung für fremde Zwecke dar, für die die Rechtsvorschriften des BDSG gelten (§§ 27 bis 38, insbesondere § 29 BDSG). Die Speicherung personenbezogener Daten durch Adressenhandelsunternehmen ist zulässig, soweit kein Grund zu der Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG). Das Speichern ist auch zulässig, soweit die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen worden sind (§ 29 Abs. 1 Satz 1 Nr. 2 BDSG). Die Übermittlung von Adreßdaten zur Direktwerbung erfolgt in der Regel nach § 29 Abs. 2 Satz 1 Nr. 1 b) i. V. m.
§ 28 Abs. 2 Satz 1 Nr. 1 b) BDSG. Nach diesen Vorschriften ist die Übermittlung von listenmäßig oder sonst zusammengefaßten Daten über Angehörige einer Personengruppe zulässig, wenn sie sich auf gewisse Kriterien wie Namen, Titel, akademische Grade, Anschrift etc. beschränkt und kein Grund zu der Annahme besteht, dass dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden. Im Regelfall werden schutzwürdige Belange weder durch die Speicherung noch durch die Datenübermittlung beeinträchtigt. Auch das werbende Unternehmen handelt grundsätzlich nicht rechtswidrig, wenn es die durch ein Adreßhandelsunternehmen erlangten personenbezogenen Daten für Werbezwecke nutzt. Der Betroffene hat allerdings das Recht zu verlangen, dass seine Daten gelöscht bzw. nicht mehr weiter für Werbezwecke genutzt (beim werbenden Unternehmen) oder übermittelt (beim Adressenhändler) werden.
In den vorliegenden Fällen kann allerdings ausnahmsweise davon ausgegangen werden, dass die Werbeaktion der Lottogesellschaft rechtswidrig erfolgte. Bei der Werbung von Jugendlichen für Glücksspiele ist offensichtlich, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung oder Nutzung zu Werbezwecken hat (vgl. § 28 Abs. 2 Nr. 1 b) BDSG). Da die Lottogesellschaft die Daten vom Adressenhändler in gutem Glauben erworben hat, liegt kein vorsätzlich rechtswidriges Handeln der unter unserer Kontrolle stehenden Lottogesellschaft vor (die Deutsche Postadress GmbH befindet sich nicht in unserem örtlichen Zuständigkeitsbereich). Wir werden der Lottogesellschaft allerdings empfehlen, sich in Zukunft von Adressenhändlern zusichern zu lassen, dass die Adressen nur von volljährigen Personen stammen. Die Zusicherung sollte mit einer Vertragsstrafenvereinbarung bekräftigt werden.