Dr. Jan Tibor Lelley,          
LL.M., Rechtsanwalt und Fachanwalt für Arbeitsrecht, Essen*

 

Ein Arbeitnehmerdatenschutzgesetz -- zwingend notwendig oder Hyperaktivismus?

 

Für viele war es ein Schock: Bekannte Unternehmen der deutschen Wirtschaft -- quer durch verschiedene Branchen -- sehen sich mit massiven Vorwürfen konfrontiert. Und ein Ende scheint nicht absehbar. Was ist geschehen? Es handelt sich teilweise um schwere datenschutzrechtliche Verstöße.

 

I. Datenschutzvorfälle in Unternehmen verschiedener Branchen

Es fing an im März 2008 mit den Vorgängen bei dem Lebensmitteldiscounter Lidl. Dort hatte man in mehreren Fällen Arbeitnehmer in den Betriebsräumen überwacht und zwar durch externe Detektivunternehmen. Dabei wurden auch umfangreich Informationen über private Verhältnisse der Belegschaft gesammelt, z.B. aus privaten Gesprächen unter Kollegen. Die Datenschutzbeauftragten in den jeweiligen Bundesländern reagierten als zuständige Aufsichtsbehörden prompt: Es wurden Bußgeldbescheide in Millionenhöhe erlassen und von dem betroffenen Unternehmen auch einspruchslos akzeptiert.

Doch es ging weiter: Im Juni 2008 richtete sich das Augenmerk auf die Deutsche Telekom AG und eine dort herrschende Praxis, Arbeitnehmervertreter im mitbestimmten Aufsichtsrat der Gesellschaft und auch sonstige Mitarbeiter auszuspähen. Als führender Telekommunikationskonzern saß man wohl gewissermaßen an der Quelle, denn angeblich wurde vor allem der Telefonverkehr überwacht.

Ähnliche Vorwürfe trafen im Januar 2009 dann die Deutsche Bahn AG. Dort wurden -- als Maßnahme der Korruptionsprävention -- Mitarbeiterdaten mit Datensätzen von Lieferanten des Konzerns abgeglichen. Es sollte die potentielle Verquickung von beruflichen und privaten Interessen aufgedeckt werden, um Vorteilsgewährung oder Vorteilsnahme zu verhindern. Der Sachverhalt weitet sich immer mehr aus und inzwischen ist die Rede davon, unter dem ausgeschiedenen Vorstandsvorsitzenden Hartmut Mehdorn und Personalvorstand Margret Sukale habe ein "umfassendes Überwachungssystem" bestanden. Welche Vorwürfe zutreffen und welche nicht, bleibt vorerst offen. Die Ermittlungen ziehen sich in die Länge.

Parallel hierzu wurden im April 2009 andere Vorwürfe gegen den Discounter Lidl erhoben. Dort fand man außerhalb des Unternehmens zufällig eine Datensammlung, die sich vorwiegend aus Informationen über Krankendaten und Krankheitsverläufe von Arbeitnehmern zusammensetzte. Es wurde bekannt, dass Daten über Krankenstände und Krankheitsverläufe gesammelt und auch Krankenrückkehrgespräche geführt wurden. Angeblich ist das rechtswidrig.

 

II. Der Ruf nach dem Arbeitnehmerdatenschutzgesetz

Die Reihe der Vorfälle ist Wasser auf die Mühlen interessierter Kreise, die schon lange nach einem Arbeitnehmerdatenschutzgesetz (ADschG) rufen. Denn man ist der Meinung, das bestehende Datenschutzrecht, ergänzt durch ein AGG-verstärktes Antidiskriminierungsrecht (vgl. z.B. die Definition der besonderen personenbezogenen Daten in § 3 Abs. 9 BDSG mit überwiegendem Bezug zu den Benachteiligungsgründen des § 1 AGG), sei lückenhaft, ja sogar unzureichend. Doch ganz so einfach ist es wohl nicht. Es lohnt sich nämlich, genauer hinzusehen:

Festzuhalten sei erst einmal, dass es natürlich rechtswidrig ist, wenn Unternehmen personenbezogene Daten ihrer Arbeitnehmer ausspähen und ohne Rechtsgrundlage erheben, verarbeiten oder nutzen. Das sind Verstöße gegen das Allgemeine Persönlichkeitsrecht im Arbeitsverhältnis. Datenschutzrechtlich kann es sich um bußgeldbewehrte Ordnungswidrigkeiten oder sogar Straftaten handeln (§§ 43, 44 BDSG).

Festzuhalten ist aber auch, dass die öffentlich gewordenen Fälle wenig gemeinsam haben -- außer vielleicht dem pauschalen und sicher so allgemein nicht zutreffenden Vorwurf, Unternehmen hätten grundsätzlich einen über das Erlaubte hinausgehenden Drang zur Sammlung und Verwertung personenbezogener Daten. Denn so verschieden die betroffenen Branchen (Einzelhandel, Telekommunikation, Transport/Verkehr), so verschieden sind auch die tatsächlichen und rechtlichen Hintergründe in jedem einzelnen Fall.

Betrachten wir zunächst einmal den Einzelhandel. Hier konnte man schon vor geraumer Zeit in einem Bericht des Nachrichtenmagazins "Spiegel Online" lesen, dass hier jährliche Verluste durch sog. Inventurdifferenzen in Höhe von 4,5 Mrd. € entstehen. Laut dem Bericht entfallen davon 2,1 Mrd. € auf "unehrliche Kunden" und 2,4 Mrd. € auf Schäden, die in den Geschäften selbst verursacht wurden, z.B. Diebstahl durch Mitarbeiter. Selbstverständlich kann man Rechtsbruch nicht mit Rechtsbruch rechtfertigen. Wenn aber die von "Spiegel Online" vorgelegten Zahlen stimmen, ist wohl auch davon auszugehen, dass hier eine ganze Branche mit einem teilweise existenzbedrohenden Phänomen konfrontiert ist. Laut "Spiegel Online" nämlich übersteigen in vielen Unternehmen die Verluste durch "Inventurdifferenzen" die Gewinne. Dass dann stärker als in anderen Fällen auf Kontrolle und Prävention gesetzt wird, dürfte nur zu verständlich sein. Dabei ergibt sich von selbst, dass geltendes Recht, insbesondere Datenschutzrecht, strikt zu beachten ist. Begangene Verstöße sind abzustellen und zu ahnden -- wie es ja auch geschah. Ein ADSchG braucht es dazu aber nicht. Das geltende Recht reicht völlig, wie die vorliegenden Fälle zeigten.

Anders ist die Situation möglicherweise, wenn ein international aufgestelltes Telekommunikationsunternehmen auf den Gedanken kommt, Arbeitnehmervertreter im Aufsichtsrat und/oder Gewerkschafter auszuforschen, pikanterweise unter Ausnutzung der eigenen Stellung als Telekommunikationsanbieter. Dass solche Sachverhalte, wenn sie zutreffen, massive datenschutzrechtliche Verstöße darstellen, daran besteht kein Zweifel. Aber deshalb ein ADSchG? Soweit bekannt, haben die Vorfälle bei der Telekom gar nichts oder nur sehr wenig mit den Arbeitsverhältnissen des Unternehmens zu tun. Man scheint eher der Versuchung erlegen zu sein, die "im Hause" vorhandenen Daten zu Zwecken zu nutzen, die mit geltendem Recht nicht vereinbar sind. Aber auch hier dürfte bestehendes Datenschutz- und Strafrecht den angemessenen Rahmen zur Aufklärung und Ahndung liefern. Die Staatsanwaltschaft ermittelt ja auch schon.

Und die Deutsche Bahn? Zum sog. "Konten-Ausspäh-Skandal" fragte Martin Diller zuletzt schon sehr richtig: Wo ist das Problem? Der Abgleich von Kontonummern der Mitarbeiter mit solchen von Lieferanten und Dienstleistern des Konzerns war eine Maßnahme der Korruptionsprävention bzw. -bekämpfung. Diese Aktion ist datenschutzrechtlich ohne Zweifel zulässig (arbeitsrechtlich übrigens auch). Was die weitergehenden Vorwürfe eines "umfassenden Überwachungssystems" angeht, so wird sich zeigen, was wirklich davon zutrifft. Auch hier laufen die Ermittlungen noch.

Der Kreis schließt sich, wenn man nun zum Lebensmitteldiscounter Lidl zurückkehrt und dessen zuletzt bekannt gewordener Praxis, Krankenakten über Arbeitnehmer zu führen. Erneut erheben sich Vorwürfe, dies alles sei datenschutzrechtlich unzulässig und stelle sogar einen unerlaubten Eingriff in die Privatsphäre der Mitarbeiter dar. Aber ist das wirklich so richtig? Oder wollte Lidl vielleicht nur seiner gesetzlichen Pflicht zum betrieblichen Eingliederungsmanagement nachkommen (§ 84 Abs. 2 SGB IX)? Ein solches Eingliederungsmanagement ist für alle Arbeitnehmer gesetzlich vorgeschrieben, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt krank waren. Dabei soll die Arbeitgeberseite zusammen mit dem Mitarbeiter die Möglichkeiten prüfen, wie Arbeitsunfähigkeit überwunden und neuer Arbeitsunfähigkeit vorgebeugt werden kann. Es bedarf schon einiger Phantasie, sich vorstellen, wie eine Arbeitgeberin diesem gesetzlichen Auftrag ohne nähere Kenntnisse über die Umstände einer Erkrankung nachkommen soll -- z.B. also die Kenntnis der Krankheitsgründe. Und gibt es einen besonderen Grund, dies nicht in Formularen festzuhalten? Sicher nicht. Jedenfalls ist es datenschutzrechtlich unbedenklich, wenn die Einwilligung / Zustimmung der betroffenen Mitarbeiter vorliegt (vgl. § 4 Abs. 1 BDSG i.V.m. § 84 Abs. 2 S. 1 SGB IX). Der eigentliche datenschutzrechtliche Skandal dürfte so auch in dem Umstand liegen, dass solche personenbezogenen Mitarbeiterdaten völlig ungesichert außerhalb des Unternehmens auftauchen und so für jedermann zugänglich waren. Aber auch hier wird ein ADschG nicht weiterhelfen.

 

III. Was ist wirklich nötig?

Damit kann man festhalten, dass die aktuellen Vorfälle -- soweit es sich wirklich rechtlich um Verstöße handelt -- bei Lidl, der Telekom oder der Deutschen Bahn auch nach bisheriger Rechtslage Rechtsverstöße und sogar Straftaten darstellen. Dies ist auch in der aktuellen Diskussion um ein ADSchG Konsens. Konsens ist aber auch, und das schon seit Jahren, dass geltendes Datenschutzrecht sich für den Praktiker nicht gerade durch Benutzerfreundlichkeit auszeichnet. Den Regelungen des Bundesdatenschutzgesetzes (BDSG) wird schon lange ein "erheblicher Abschreckungswert" für die Praxis attestiert (Däubler) und man weist darauf hin, dass der Gesetzestext lesbare und überschaubare Regelungen weitgehend konterkariert (Gola). Nur ein Blick in den für den Datenschutz im Arbeitsverhältnis maßgeblichen § 28 BDSG bestätigt diese Diagnose eindrucksvoll. Wenn der Gesetzgeber also aktiv werden soll, dann doch bitte nicht um mehr Quantität, sondern mehr Qualität zu schaffen. Den Formelkompromissen eines durch die Interessengruppen begleiteten Gesetzgebungsverfahrens zum ADSchG sieht der Praktiker schon jetzt mit Grausen entgegen. Wie so oft gilt auch hier: Weniger ist mehr.

 

*  Partner bei Buse Heberer Fromm.

 




Zurück