Beschäftigtendatenschutz und Compliance

Effektive Compliance im Spannungsfeld von BDSG, Persönlichkeitsschutz und Mitbestimmung

Von Prof. Dr. Gregor Thüsing et al., Verlag C. H. Beck, 2. Auflage, München 2014, 423 Seiten, Preis: 89 Euro

Gegenüber der Vorauflage von 2010 ist das Handbuch um mehr als 100 Seiten erweitert worden. Mitautoren sind wissenschaftliche Mitarbeiter und Rechtsanwälte, die aus dem Institut für Arbeitsrecht und Recht der Sozialen Sicherheit (Universität Bonn) stammen. Zu dieser Bonner Schule gehören Forst, Pötters, Traut und Granetzky. Das Ziel von Thüsing ist es, vor allem für Arbeitgeber darzustellen, wie Compliance, Datenschutz und Mitbestimmung zusammengebracht werden können. Wie viel muss der Arbeitgeber wissen, was darf er wissen? Die sorgfältige Abwägung der divergierenden Interessen von Unternehmen und Beschäftigten – insbesondere des Persönlichkeitsschutzes – bei Kontrollen ist das Hauptthema des Buchs.

Die Autoren stellen für Unternehmen die Anforderungen zur Verhinderung von Straftaten dar und berücksichtigen dabei die wesentlichen Vorgaben des Datenschutzrechts. Hierzu gehören Themen wie Kollektivvereinbarungen, Einwilligung, Mitbestimmung des Betriebsrats, Datenschutzbeauftragter, Datentransfer im Konzern, internationaler Datenschutz, Informations- und Organisationspflichten bei der Datenverarbeitung und die Rechtsfolgen unerlaubter Datenverarbeitung. Diese ausführlichen Kommentierungen sind jedoch nicht als zusätzlicher BDSG-Kommentar gedacht, sondern dienen als Hilfestellung für die Verwirklichung eines rechtskonformen Beschäftigtendatenschutzes in Konzernen, Unternehmen und Betrieben. Die Autoren berücksichtigen die Ergebnisse der datenschutz- und arbeitsrechtlichen Diskussion seit der Vorauflage, die wesentlich vom gescheiterten Entwurf eines Beschäftigtendatenschutzgesetzes geprägt war.

Das Kernstück der Gesamtdarstellung, die sehr wohl als Handbuch oder Nachschlagelagewerk für die Verwirklichung von Compliance und Datenschutz genutzt werden kann, ist die stets umfassende und kenntnisreiche Erörterung der verschiedenen Kontroll- und Compliancemaßnahmen des Arbeitgebers. Hierzu gehören das Whistleblowing, das Fragerecht des Arbeitgebers, das Überwachen und Sichten von E-Mails und E-Mail-Logs, das Erheben personengebundener Merkmale – wie biometrische Daten –, die Überwachung von mobilen Mitarbeitern mittels GPS, Mobilfunk oder RFID, der elektronische Datenabgleich, Videoüberwachung, Telefonüberwachung und Social Media. Das aktuelle Thema der ärztlichen Untersuchungen wird nicht ausgespart. Thüsing & Co. orientieren sich in ihrer Darstellung durchgängig an dem Ziel, die Interessen der Arbeitgeber und der Beschäftigten zu einem gerechten Ausgleich zu bringen. Sie ordnen dabei immer die gesetzlichen Grundlagen ein und scheuen sich nicht davor, die herrschende Meinung zu kritisieren. Dies geschieht allerdings immer mit sorgfältig begründeten juristischen Argumenten, z. B. bei der Beantwortung der Frage, ob bei erlaubter Privatnutzung von E-Mail und Internet der Arbeitgeber zum Provider wird (§ 3 Rdnr. 74 ff.) und damit das Telekommunikationsgeheimnis gilt. Die anschließenden Darstellungen (§ 9 Rdnr. 110 ff.) berücksichtigen gerade in dieser Frage dann aber auch die herrschende Meinung, so dass sich z. B. Personalabteilungen ihre eigene juristische Position bilden können. Die Autoren wählen für die Interessenabwägung den Weg der Verhältnismäßigkeitsprüfung, die sowohl im BDSG (z. B. in § 32 und § 28 Abs. 6 Nr. 3) gefordert als auch aktuell vom BAG praktiziert wird. Sie prüfen für die Überwachungsmaßnahmen, ob das jeweilige Instrument geeignet, erforderlich und angemessen ist (§ 8 zum Datenabgleich Rdnrn. 4 ff., 8 ff.). An Beispielen wie Videoüberwachung, Biometrie (§ 13 Rdnr. 15), RFID oder Mail-Sichtung (§ 9 Rdnrn. 46, 56 ff.) werden die Stufen der Prüfung nachvollzogen und überprüft, ob es nicht mildere Mittel der Kontrolle oder Datenerhebung gibt.

Fazit: Insgesamt ist der Ansatz der Autoren sowohl für Personalabteilungen als auch für Interessenvertretungen durchaus lohnenswert. Der Streit um die Auslegung der gesetzlichen Grundlagen des Beschäftigtendatenschutzes tritt zu Recht dabei in den Hintergrund.
Die Vermittlung zwischen den Grundrechten des Arbeitgebers und der Arbeitnehmer ist wichtiger. Hervorzuheben sind zudem pragmatische Muster für Betriebsvereinbarungen oder Einwilligungen und die hilfreichen grafischen Darstellungen (z. B. § 7 Rdnr. 38, § 11 Rdnr. 63, § 18 Rdnr. 55). Der „Thüsing“ in der 2. Auflage ist praxisbezogen und für Richter, Anwälte, Personalabteilungen und Interessenvertretungen ein wichtiger Leitfaden, damit im betrieblichen Spannungsfeld von Compliance und Datenschutz der juristische Überblick und der Praxisbezug nicht verloren gehen. Er darf in keiner Arbeitsrechts- und Datenschutzhandbibliothek fehlen.

Dr. Eberhard Kiesche, AoB Bremen