 |
|||
| Stand: 31.01.2012 | Herausgeber: Prof. Dr. Maximilian Herberger | Home Impressum E-Mail an die Redaktion | |
Michael Wächter *Datenübermittlung und "Global Connectivity":
|
| Gliederung |
| I. | Die technische Behandlung der Datenübermittlung |
| 1. | Bodil Lindqvist und "Global Connectivity" |
| 2. | Das Phänomen der Massendatenverarbeitung |
| 3. | Die Perspektive der Technologieentwicklung |
| II. | Die rechtliche Behandlung der Datenübermittlung |
| 1. | Interpretationsbefugnis des EuGH |
| 2. | Interpretation der Datenübermittlung |
| III. | Die Implementierung der Datenübermittlung in Unternehmen |
| 1. | "Business Need" und Datenübermittlung |
| 2. | "Corporate Instructions and Guidelines" zur Datenübermittlung |
| a.) | Unternehmensregelungen bei Online-Zugriffen |
| b.) | Unternehmensregelungen bei Datenübermittlungen in Drittländer |
| 3. | "Industrial and Employee Relations (IR/ER)" bei Fragen der Datenübermittlung |
| a.) | Gegenstand der Mitbestimmung |
| b.) | Mitbestimmung als Verhandlungsgegenstand |
| c.) | Rolle eines spezifischen Arneitnmehmerdatenschutzes |
| IV. | Schlußbetrachtung: Wirkungen des EuGH-Urteils |
I. Die technische Behandlung der Datenübermittlung |
1. Bodil Lindqvist und "Global Connectivity" |
| Der Sachverhalt, der sich in Schweden ereignete, ist einfach. Dessen Behandlung durch den EuGH hat allerdings weitreichende Konsequenzen. Frau Bodil Lindqvist hat auf einer Internetseite den Umstand einer Fußverletzung und einer partiellen Krankschreibung einer Arbeitskollegin veröffentlicht. Sie wurde daraufhin angeklagt, gegen schwedische Rechtsvorschriften über den Schutz personenbezogener Daten verstossen zu haben. | JurPC Web-Dok. 147/2004, Abs. 1 |
| Das schwedische Gericht hat dem EuGH hierzu Fragen zur Auslegung der EU-Datenschutz-Richtlinie 95/46/EG vom 23.November 1995 vorgelegt. Dass daraufhin ergangene Urteil, welches den genannten Sachverhalt, fern ab von der Schnelligkeit wirtschaftlicher Aktivitäten behandelt, hat nach Auffassung des Verfassers Implikationen für die Implementierung von Datenschutz in Unternehmen. | Abs. 2 |
| Denn das Gericht behandelt die datenschutzrechtliche Einordnung der Nutzung des Internets angesichts seiner "Gobal Connectivity", d. h. seinen weltweiten Verbindungen und Zugriffsmöglichkeiten innerhalb der "networked world", in welcher Individuen und Unternehmen nicht lediglich "on the net", sondern "part of the net" sind. | Abs. 3 |
| Juristisch geht es hierbei im wesentlichen um die Findung "richtigen Datenschutzrechts"(1) bei Sachverhalten der Datenübermittlung. Und dies sowohl für im Unternehmen für den Datenschutz Verantwortliche in einer rechtlichen Ex-ante-Betrachtung bei Durchführung einer Datenverarbeitung als auch für diejenigen, die für einen datenschutzrechtlichen Sachverhalt ex post "wohlbegründete Urteile"(2) fällen müssen. | Abs. 4 |
2. Das Phänomen der Massendatenverarbeitung |
| Das Thema einer Global Connectivity als "globale Datenvernetzung" ist im Bundesdatenschutzgesetz (BDSG) nicht eigens berücksichtigt. Das bedeutet, der gesetzliche Tatbestand geht vom Normalfall der Datenübermittlung an "einen" Dritten aus, bei welcher der Dritte von vornherein bestimmt ist. Es geht damit um den Fall einer "dezidierten" Datenübermittlung. | Abs. 5 |
| Im vorliegenden Urteil verneint der EuGH bei Einstellung von personenbezogenen Daten in eine weltweit zugängliche Web-Site die Anwendung von Artikel 25 der EU-Datenschutz-Richtlinie, welche die Datenübermittlung in ein Drittland(3) regelt. Dies deshalb, weil die Kenntnisnahme von Daten zum einen durch eine sich in einem Mitgliedstaat aufhaltende Person erfolgte, und zum anderen, weil diejenige Person, die eine Web-Site unterhielt, in einem Mitgliedstaat ansässig ist. | Abs. 6 |
| Damit betrachtet das Gericht ex post nur eine singuläre Datenübermittlung und nicht den gesamten Sachverhalt. Die Ex-ante-Betrachtung der für den Datenschutz Verantwortlichen kann an dieser Stelle nicht stehen bleiben, weil Datenschutz die ordnungsgemäße Anwendung von Datenverarbeitung präventiv sicher stellen muss. Und hierbei sind alle Sachverhaltsvarianten zu betrachten. Damit auch die faktische Möglichkeit einer Kenntnisnahme von Daten durch eine Person in einem Drittland. | Abs. 7 |
| Auf den ersten Blick könnte das Urteil des EuGH zu größeren Handlungsspielräumen für Unternehmen führen. Solche Spielräume können sich um so mehr ergeben, als auch juristische Kommentierungen dazu neigen, ohne Berücksichtigung der heute gegebenen Massendatenverarbeitung Kardinalprobleme datenschutzgesetzlicher Rechtsanwendung auf normativer Ebene an Hand von Einzelfällen der Rechtsprechung "zu lösen", indem sie hieran generelle Tendenzaussagen zu Gunsten von Betroffenenrechten oder zu Gunsten der wirtschaftlichen Betätigungsfreiheit "grenzenloser Unternehmen" fest machen(4). | Abs. 8 |
3. Die Perspektive der Technologieentwicklung |
| Beim Datenschutz in der Privatwirtschaft geht es nicht um eine angemessene Verteilung von Informationen zur Schaffung einer "Datenverkehrsordnung"(5), sondern um Individualrechtsschutz für die Betroffenen. Dieser Schutz ist aber in engem Zusammenhang mit der Art der Technologienutzung zu sehen. Ein evolutionäres Rechtsdenken im Datenschutz muss deshalb die Facetten der Technologie-Nutzung mit einbeziehen. | Abs. 9 |
| Das technologische Umfeld hat sich von Mainframe-Anwendungen, über Client-Server-Technologien hin zur Nutzung des Internet entwickelt. Diese Entwicklung geht derzeit über in eine qualifizierte Nutzung des Internet, die es erlaubt, unter Nutzung und Zusammenschaltung unterschiedlichster Rechnerkapazitäten (d. h. verteilten Datenbanken und Rechnersystemen) Datenübermittlungen in einer neuen Qualität und in einem neuen Umfang zu ermöglichen. | Abs. 10 |
| Datenübermittlungen erfolgen komplex, weit verzweigt und innerhalb von Netzwerken unter Nutzung von Rechenzentren und vernetzten Computersystemen (sog. "grid computing"). Das Internet als globales Netzwerk verändert sich von einem "Transportmittel für Informationen" zu einem "transaktionsorientierten Medium", welches die "next evolution of e-business" unterstützt. | Abs. 11 |
| Die dargestellte technische Entwicklung wird begleitet durch die EU-Zielsetzung eines freien Datenverkehrs bei gleichzeitiger Schaffung einheitlicher Maßstäbe für den gesamten Gemeinschaftsbereich(6). Datenschutz in Europa muss hierbei inhaltlich sicherstellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, im besonderen ihr Recht auf Privatsphäre, geachtet wird. | Abs. 12 |
| Datenschutz ist dabei verknüpft mit "Prinzipienkollisionen", d. h. der Anwendung widerstreitender Prinzipien des "business need" (Wirtschaftliche Betätigungsfreiheit nach Art. 12 GG) und "Data Privacy" (Informationelle Selbstbestimmung nach Art. 1 Abs. 1 GG in Verbindung mit Art. 2 Abs. 1 GG), welche eine "Tatbestandsergänzung in Form von Vorrangbedingungen" erfordern(7). | Abs. 13 |
| Datenschutz ist vor diesem Hintergrund in seiner rechtlichen Beurteilung eine "Gemengelage von öffentlichem und privatem Recht" und ist für die Privatwirtschaft im Sinne der "Interessentheorie" im wesentlichen dem Privatrecht zuzuordnen(8). | Abs. 14 |
II. Die rechtliche Behandlung der Datenübermittlung |
1. Interpretationsbefugnis des EuGH |
| Der EuGH hat in seiner Entscheidung festgestellt, dass die EU-Datenschutz-Richtlinie unabhängig von den verwendeten technischen Mitteln auf die Verarbeitung personenbezogener Daten anwendbar ist. Damit ist im Fall Bodil Lindqvist der "Hinweis auf personenbezogene Daten" auf einer Internetseite eine automatisierte Verarbeitung im Sinne von Artikel 3 Absatz 1 der EU-Datenschutz-Richtlinie. Hierbei handelt es sich nach Auffassung des Gerichts um eine Datenübermittlung, allerdings nicht um eine solche in ein Drittland im Sinne von Artikel 25 der EU-Datenschutz-Richtlinie, wenn sich der Zugriff durch eine Person innerhalb der EU auf eine Web-Site erfolgt, deren Server in der EU gelegen ist. Die Interpretation der Datenübermittlung wird hierbei eingeengt, d. h. "teleologisch reduziert", was die Frage der Interpretationsbefugnis des EuGH nach sich zieht. | Abs. 15 |
| Eine solche Übermittlungsprivilegierung könnte nicht dedizierte Datenübermittlungen mittels Zugriffs auf länderübergreifende Business-Datenbanken und deren Datenbestände auf verteilten Servern betreffen. Ebenfalls die Bekanntgabe von Daten, z. B. als "Corporate Informations" durch Zugriff auf Web-Sites. Dies ist um so interessanter, als globale Unternehmen den einzelnen Business Units Frameworks, Tools und Datenbanken zur Verfügung stellen, um innerhalb "grenzenloser Unternehmen"(9) Daten zu übermitteln. | Abs. 16 |
| Der EuGH interpretiert jede Rechtsvorschrift des (EU-)Rechts zu einer spezifischen Rechtsfrage im Kontext des EU-Rechts. Das bedeutet, dass die rechtliche Interpretation hinzielt auf eine wirtschaftliche, soziale und politische Integration der Mitgliedstaaten. Damit ist die juristische Interpretation des EU-Rechts "auf Fortschritt programmiert"(10), wobei der EuGH ein "Auslegungsmonopol"(11) einfordert. Für konkrete Auslegungsbemühungen bedeutet dies, dass der EuGH - wie hier geschehen - die teleologische Interpretation(12) ins Zentrum setzt und - bei einem prinzipiellen Vorrang des EU-Rechts vor nationalem Recht - auch Überlegungen anderer Mitgliedstaaten zur Rechtsfrage miteinbezieht. | Abs. 17 |
| Diese Entscheidung könnte eine Vereinfachung der Datenverarbeitungspraxis international tätiger Unternehmen darstellen, weil dadurch Zulässigkeitsvoraussetzungen für die Bereitstellung von Daten auf einem Server nicht durch weitere Erfordernisse der "Zulässigkeitsvariante Datenübermittlung"(13) in Drittländer - wie das Erfordernis eines "angemessenen Datenschutzniveaus"(14) - eingeschränkt wird. Dies würde es auch mit sich bringen, dass Unternehmen Rechtsregeln mit einem reduzierten Standard exportieren könnten(15). | Abs. 18 |
2. Interpretation der Datenübermittlung |
| Datenübermittlung ist nach der Legaldefinition des § 3 Abs. 4 Nr. 3 BDSG die Weitergabe von Daten an Dritte(16). Das Übermitteln selbst betrifft hierbei das Bekanntgeben gespeicherter Daten an einen Dritten (Empfänger) in der Weise, dass die Daten "an den" Empfänger weitergegeben werden oder der Empfänger zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Dritter ist hierbei jede Person oder Stelle außerhalb der verantwortlichen Stelle. Der Pflichtenkreis der verantwortlichen Stelle ergibt sich hierbei in Abgrenzung zu § 10 BDSG(17). § 10 BDSG ist allerdings dann nicht anwendbar, wenn der Kreis der Zugriffsberechtigten nicht eingegrenzt ist, d. h. der Abruf jedermann zusteht(18). | Abs. 19 |
| Ist das deutsche Datenschutzrecht für Unternehmen bzw. Niederlassungen(19) anwendbar, liegt eine Datenübermittlung erst vor, wenn der Empfänger Daten abruft oder einsieht. Das Territorialprinzip kommt hier zum Tragen, wenn eine in der EU tätige Stelle eine Niederlassung im Inland hat und von dieser aus agiert. Interessant ist in diesem Zusammenhang auch eine Entscheidung des EuGH, der die Pflicht eines Mitgliedstaates zur Eintragung einer Zweigniederlassung einer nach dem Recht eines anderen Mitgliedstaates gegründeten Gesellschaft auch für den Fall anerkennt, dass die Zweigniederlassung faktisch die Hauptniederlassung ist(20). | Abs. 20 |
| Eine für die Privatwirtschaft relevante Sonderregelung ist, dass Personen oder Stellen, die im Inland, einem Mitgliedstaat der EU oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht als Dritte angesehen werden(21). Damit erfolgt in diesen Fällen keine Datenübermittlung im Sinne des BDSG. Für die Unternehmenspraxis ist weiterhin erheblich, dass Auftragnehmer im übrigen Ausland im Fall der Auftragsdatenverbeitung aber Dritte bleiben(22). | Abs. 21 |
| Das Interessante an vorliegender Rechtskonstellation ist, dass die Information der "Fußverletzung" vom EuGH als ein sensitives Datum eingestuft wird, diese Information aber nach allgemeiner Lebensanschauung für Dritte ohne größeres Interesse sein wird. Die Bereitstellung dieser Information auf einer Web-Site geht insofern eher in Richtung einer Veröffentlichung wie sie an Hand traditioneller Printmedien erfolgt. Es erfolgt damit kein gezielter Datenaustausch und es fehlt an einer Zugriffsintensität auf diese Information. | Abs. 22 |
| Der EuGH stellt hierzu fest, dass Internetseiten, auch wenn sie keine kommerziellen Elemente enthalten, in den Anwendungsbereich der EU-Datenschutz-Richtlinie fallen. Das Gericht stellt damit klar, dass das von Bodil Lindqvist "veröffentlichte Datum" auf seine datenschutzrechtliche Übermittlungszulässigkeit hin zu überprüfen ist. | Abs. 23 |
| Eine Datenübermittlung in ein Drittland verneint der EuGH allerdings. Denn würde man vorliegenden Sachverhalt anders betrachten, würde man eine Sonderegelung zu einer allgemeinen Regelung erheben. Artikel 25 der EU-Datenschutz-Richtlinie sei deshalb so auszulegen, dass "Vorgänge, wie sie von Frau Bodil Lindqvist ausgeführt worden sind, als solche keine Übermittlung von Daten in ein Drittland darstellen". Weitere Feststellungen, "ob eine Person aus einem Drittland zu der betreffenden Internetseite Zugang hatte oder ob sich der Server des betreffenden Providers in einem Drittland befindet", erübrigen sich damit. | Abs. 24 |
| Diese Betrachtungsweise des EuGH verdeutlicht, dass Unternehmen ihre Datenverarbeitung rechtlich dahingehend absichern müssen, ob eine Datenübermittlung in ein Drittland vorliegt, und welche Maßnahmen zum Datenschutz zu implementieren sind. | Abs. 25 |
III. Die Implementierung der Datenübermittlung in Unternehmen |
1. "Business Need" und Datenübermittlung |
| Die Vorgänge in der Privatwirtschaft sind anderer Art als bei Frau Bodil Lindqvist. Tendenz ist heute, dass sich das Business von einem "Asset Business Modell" (Verkauf von Produkten) zu einem "Labor Business Modell", d. h. zu Dienstleistungen und Geschäftslösungen beim Kunden hin bewegt. Dies betrifft sowohl das "stream revenue" der Unternehmen (ständige Einnahmen; in der Softwarebranche z. B. durch Softwarepflege) als auch das "transactuell business" (Neugeschäfte; in der Software z. B. ein Lizenzgeschäft mit einmaliger Überlassungsgebühr für einen bestimmten Nutzungsumfang einer Software). | Abs. 26 |
| Damit stehen Mitarbeiter, Kunden und Lieferanten immer mehr im Fokus der Geschäftsdurchführung, wodurch es vermehrt zu personenbezogener Verarbeitung von Daten und der Übermittlung dieser Daten kommt. Damit werden Mitarbeiter von Unternehmen, ihre Jobrollen und ihr Skill nach außen immer transparenter(23). | Abs. 27 |
| Hier könnte die Entscheidung des EuGH Anlaß sein, die Serverkonzepte und die Datenflüsse internationaler Unternehmensorganisationen näher zu betrachten, im besonderen dann, wenn sich Datenbanken bzw. Server für eine Anwendung im Ausland befinden. Der "freie Datenverkehr" (24) muss hier durch entsprechende Serverkonzepte und eine Zugriffssteuerung, z. B. durch eine Zugriffsbeschränkung auf Kunden, Lieferanten und Mitarbeiter in EU-Ländern(25), begrenzt werden. | Abs. 28 |
| In international tätigen Unternehmen ergibt sich ein Business Need, d. h. eine unternehmerische bzw. betriebliche Notwendigkeit, eine Vielzahl neuer Anwendungen und Tools für die Steuerung des Unternehmens und zur Unterstützung der Mitarbeiter zu implementieren. | Abs. 29 |
| Die Ausführungen des EuGH in seinem Urteil könnten deshalb Unternehmen veranlassen, die Speicherung der Daten so auszugestalten, dass sie im Rechenzentrum eines Unternehmen "im Auftrag"(26) anderer Unternehmen in Europa erfolgt. Die Privilegierung der Auftragsdatenverarbeitung betrifft aber auch nach diesem Urteil keineswegs das Nicht-EU-Ausland(27). Für wirtschaftliche Betätigungen ist der besondere Fall der Frau Bodil Linqvist kein Freibrief. | Abs. 30 |
2. "Corporate Instructions and Guidelines" zur Datenübermittlung |
| Für die Datenschutzpraxis internationaler Unternehmen spielen Geschäftsgrundsätze als "gesammelte Verhaltensleitlinien und -regeln" als Wertesysteme eine wichtige Rolle. Sie sind mehr als "Codes of Conduct" bzw. "Ethikrichtlinien"(28), weil sie die rechtlichen Rahmenbedingungen reflektieren müssen. | Abs. 31 |
| Stehen in einem internationalen Unternehmensverbund Server verteilt in unterschiedlichen Unternehmen und Ländern, so stellt sich die Frage der datenschutzrechtlichen Regelungserfordernisse. | Abs. 32 |
| Eine Lösung könnte darstellen, dass bei international agierenden Unternehmen eine Speicherung von personenbezogenen Daten "im Auftrag" des jeweiligen Owners der Anwendung in den Rechenzentren des Unternehmens erfolgt. Hierbei hat die Sicherung und der Schutz der Daten nach unternehmens-internen Richtlinien zur Informationssicherung und zum Datenschutz, die mindestens ein dem BDSG entsprechendes Schutzniveau sicherstellen, zu erfolgen. | Abs. 33 |
| Eine "Privacy Policy zum Schutz personenbezogener Daten" beschreibt hierbei weltweit gültige Grundsätze zum Datenschutz. Sie stellt sicher, dass personenbezogene Daten innerhalb des Unternehmens in allen Ländern gleich behandelt werden und den gleichen Schutz genießen, auch wenn sie über Landesgrenzen hinweg weitergegeben werden. Eine solche Privacy Policy mit den dazu gehörenden Corporate Instructions und Guidelines gilt in den jeweiligen Ländern in Ergänzung zu gegebenenfalls vorhandenen gesetzlichen Regelungen, wobei im Zweifelsfall die jeweils strengere Bestimmung Vorrang hat. | Abs. 34 |
| Sollen personenbezogene Daten an andere Gesellschaften des Unternehmens übermittelt werden, ist zu prüfen, ob die Weitergabe in anonymisierter Form ausreicht. Eine Übermittlung an Dritte in unveränderter Form bedarf einer Rechtsgrundlage. Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. | Abs. 35 |
| Anerkennen Unternehmen und die Mitbestimmung den Business Need, so sind neben der Zulässigkeiten Fragen der Datensicherheit Fragen des Schutzes des Persönlichkeitsrechts und der Leistungs- und Verhaltenskontrolle von wesentlicher Bedeutung. Und hier muss der Zugriff auf die gespeicherten Daten besser gesteuert werden. Damit ist im Unternehmen der zuständige Datei-/ Verfahrens- bzw. Programmverantwortliche ist zu benennen. | Abs. 36 |
| Die Zugriffsberechtigung ist auf der Basis definierter Aufgaben festzulegen: Wer hat zum Zwecke welcher Aufgaben welchen Zugriff. Hierbei empfiehlt es sich, dem Systemadministrator Zugriff zum Zwecke der Steuerung des Systems zu geben. Der Systemowner hat Zugriff zum Zwecke der Autorisierung der Administratoren. Darüber hinaus erfolgen Zugriffe nur auf verdichtete, d. h. summarische Daten ohne Personenbezug. | Abs. 37 |
| Besteht ein Business-Need empfiehlt es sich für den Online-Zugriff und die Datenübermittlung in Drittländer Regelungen zu treffen: | Abs. 38 |
|
a.) Unternehmensregelungen bei Online-Zugriffen |
| Daten können an Dritte übermittelt werden, indem diesen Zugriffe zu den entsprechenden Anwendungen bzw. Datenbeständen eingerichtet werden. Vor der Aktivierung solcher Zugriffe ist zu beachten, das die Übermittlung zulässig sein muss. | Abs. 39 |
| Beide beteiligten Stellen müssen eine schriftliche Vereinbarung treffen, die mindestens folgende Punkte enthält: | Abs. 40 |
| * | Anlaß und Zweck der Übermittlung, | Abs. 41 |
| * | Dritte, an die übermittelt wird, |
| * | Art der zu übermittelnden Daten und |
| * | Erforderliche Maßnahmen zur Datensicherheit. |
| Die Zugriffe Dritter müssen bei gegebenem Anlaß festgestellt und überprüft werden können. Im Betriebssystem und/oder in der Anwendung müssen entsprechende Kontrollverfahren verfügbar sein. | Abs. 42 |
| Dritte sind hierbei auch Konzernunternehmen(29). Allerdings können hierbei teilweise reduzierte Vereinbarungen getroffen werden, sofern unternehmensweit entsprechende Security-Guidelines gelten. | Abs. 43 |
| Führungskräfte, für deren Verantwortungsbereich Online-Zugriffe auf personenbezogene Daten des Unternehmens für Dritte eingerichtet werden, stellen sicher, dass die Übermittlung zulässig ist und der erforderliche Vertrag abgeschlossen wird. Die Bekanntgabe kann durch eine Weitergabe der Information oder ein Einsehen oder Abrufen durch den Empfänger erfolgen. | Abs. 44 |
|
b.) Unternehmensregelungen bei Datenübermittlungen in Drittländer |
| Unternehmensregelungen sind selbst weder genehmigungsbedürftig noch genehmigungsfähig. Nach § 4c Abs. 2 BDSG sind dies nur konkrete Datenübermittlungen. Allerdings sind Unternehmensregelungen bei der Prüfung der Genehmigungsfähigkeit von Datenübermittlungen heranzuziehen, um beurteilen zu können, ob ausreichende Garantien hinsichtlich des "Schutzniveaus" für das Persönlichkeitsrecht und der Ausübung der damit verbundenen Rechte gegeben sind(30). | Abs. 45 |
| In diesem Kontext sind verbindliche Unternehmensregelungen bei der Beurteilung des angemessenen Datenschutzniveaus gemäß § 4 b Abs. 2 Satz 2 BDSG von Bedeutung. Dieser Erlaubnistatbestand steht unabhängig neben den Erlaubnisvorschriften von § 4c Abs. 1 BDSG und § 4c Abs. 2 BDSG. Ist § 4b Abs. 2 Satz 2 BDSG erfüllt, kommt es auf § 4c Abs. 2 nicht mehr an. | Abs. 46 |
| So hat das Unternehmen nach § 4 b Abs. 2 Satz 2 BDSG in Verbindung mit § 4b Abs. 3 BDSG zu beurteilen, ob "bei den in Satz 1 genannten Stellen" , also bei den datenimportierenden Stellen, ein "angemessenes Datenschutzniveau" gewährleistet ist, wobei nach § 4 b Abs. 3 BDSG die Beurteilung ,,unter Berücksichtigung aller Umstände" - also auch unter Einbeziehung von Unternehmensregelungen - erfolgt. Auch Art. 26 Abs. 2 der EU-Datenschutz-Richtlinie stellt auf die konkreten Umstände beim Datenempfänger ab. | Abs. 47 |
| Bei der Beurteilung eines angemessenes Datenschutzniveaus sind insbesondere die Art der Daten, die Zweckbestimmung, die Dauer der Verarbeitung, das Empfängerland sowie die für den betreffenden Empfänger geltenden Sicherheitsmaßnahmen, Privacy Policies und vertraglichen Regelungen von Bedeutung. | Abs. 48 |
| Diesen Stellenwert der Eigenkontrolle der Unternehmen schreibt das BDSG in § 4 b Abs. 5 ausdrücklich fest. Denn danach trägt das die Daten übermittelnde Unternehmen die Verantwortung für die Zulässigkeit der Datenverarbeitung. Vor diesem Hintergrund empfiehlt es sich für Unternehmen, ihre eigenen Regelungen inhaltlich an den Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten in Drittländer zu orientieren, im besonderen auch im Hinblick auf die Drittbegünstigtenklausel und die Haftungsregelung. | Abs. 49 |
3. "Industrial and Employee Relations (IR/ER)" und Datenübermittlung |
|
a.) Gegenstand der Mitbestimmung |
| Datenschutz in Unternehmen betrifft die "Freigabe von Anwendungen aus IT-Sicht". Verankert ist diese Sichtweise explizit bei "besonderen Risiken für die Recchte und Freiheiten der Betroffenen (vgl. § 4d Abs. 5 BDSG). | Abs. 50 |
| Für die Mitbestimmung sind die Zugriffssteuerung auf unternehmensinterne Daten und auch die Art der zu erhebenden Mitarbeiterdaten von besonderem Interesse. Ebenso die Zielsetzungen der Verarbeitungen von Arbeitnehmerdaten. Diese Themen stellen auch die Schnittstellen und Ansatzpunkte dar, welche zu einer "Verhaltens- und Leistungsüberwachung" (vgl. § 87 Abs. 1 Nr. 6 BetrVG) von Mitarbeitern führen können. | Abs. 51 |
| Werden Arbeitsabläufe in Unternehmen verbessert, welche die Arbeit der Mitarbeiter durch neue bzw. verbesserte Anwendungen bzw. Tools erleichtern, wird beim Betriebsrat hierfür eine prinzipielle Akzeptanz gegeben sein. Anders kann dies bei Audit- und Kontrollsachverhalten sein. Hierzu gehören die Vidoeüberwachung als optische Datenerfassungen wie auch Scanningprozesse von Softwareprogrammen als Überwachung der IT als Betriebsmittel. | Abs. 52 |
| Während Videoüberwachungen dem Unternehmensschutz dienen, dient das Softwarescanning dazu, den e-client auf unzulässige Software (peer-to-peer, d. h. zwischen 2 Anwendungen ohne dazwischengeschalteten Server) zu untersuchen. Ein solches Workstation Asset Management Tool dient dazu, Software zu finden, die nicht Bestandteil zulässiger Anwendungen ist. | Abs. 53 |
| Damit soll unzulässige private Softwarenutzung ausgeschlossen und Security-Problemen, z. B. bei Viren, begegnet werden. Netzwerkkosten sollen reduziert und die Performance im Netzwerk gesteigert werden. Dies verdeutlicht auch eine zunehmende Verquickung des Datenschutzrechts mit dem Lizenzrecht. | Abs. 54 |
|
b.) Mitbestimmung als Verhandlungsgegenstand |
| Diese neuen Sachverhalte versuchen die Betriebspartner in der Regel durch ein Denken in Interessen statt in Positionen zu lösen(31). Errreicht werden sollen "Kuchenvergrößerungen" und Win-Win-Situationen(32). Dies gilt in besonderer Weise bei Aktivitäten der sog. "Work-Life-Balance"(33), bei welchen der Arbeitgeber Daten im Interesse des Mitarbeiters, z. B. zur Freizeitgestaltung und Gesunderhaltung, an Dritte übermittelt. Das Unternehmen wird für Mitarbeiter hier zur "Wohngemeinschaft"(34), was zusätzliche Probleme für die Privatheit der einzelnen Mitarbeiter mit sich bringt. | Abs. 55 |
| In diesem Kontext sind themenspezifische Vereinbarungen gefragt, welche flexibel auf neue Impulse und neue rechtliche Festlegungen der Rechtsmaterie reagieren. Häufig erfolgt dies - bei einer gegebenen Rahmenvereinbarung zu Grundsatzfragen - auf Basis eines "Baukastensystems", nach welchem Spezialthemen nach und nach in Form zusätzlicher Betriebsvereinbarungen bzw. Protokollnotizen behandelt werden. | Abs. 56 |
| Die dazu zentrale gesetzliche Regelung des § 87 Abs. 1 Nr. 6 BetrVG betrifft hierbei die "Beschränkung der Datenbeschaffung" und im wesentlichen nicht den unternehmensinternen Gebrauch von Daten(35). Betriebsvereinbaurngen sind in diesem Rahmen dann nach den "common values" des Unternehmens abzuschliessen. | Abs. 57 |
| Wesentliche Eckpunkte einer solchen Rahmenbetriebsvereinbarung sind: | Abs. 58 |
| * Informationspflicht: Die Geschäftsleitung informiert den Betriebsrat - auf Verlangen schriftlich anhand von Unterlagen - und rechtzeitig über Planung, Einführung, Betrieb und Änderung von IT-Systemen sowie den zu erwartende Auswirkungen auf Arbeitsplätze, Arbeitsleistungen, Arbeitsinhalte, Arbeitsqualifikation und Arbeitsabläufe. Rechtzeitig ist jeweils der Zeitpunkt, zu dem Einwände und Vorschläge des Betriebsrats noch in vollem Umfang berücksichtigt werden können. | Abs. 59 |
| * Verhaltens- und Leistungskontrolle: Die Geschäftsleitung verpflichtet sich, Programme mit Überwachungs- und Beurteilungsmöglichkeiten nur zu entwickeln bzw. einzuführen, wenn mit dem Betriebsrat in jedem Einzelfall eine entsprechende Regelung getroffen wurde. | Abs. 60 |
| * Sonderauswertungen / Reports: Die Geschäftsleitung verpflichtet sich, die Programme so auszugestalten, dass Daten und andere Angaben, die zur Überwachung von Mitarbeitern geeignet sind, weder automatisch noch manuell sichtbar und hörbar gemacht, ausgewertet oder extern gespeichert werden. Sollte es notwendig werden, kontrollgeeignete Daten anzusehen, auszuwerten oder extern zu speichern, ist dies nur mit Zustimmung des Betriebsrates möglich. Sonderauswertungen, d. h. sog. Reports dürfen nicht das Ziel der Kontrolle eines Mitarbeiters haben, sondern dienen ausschließlich der Aufarbeitung von Arbeitsrückständen, der Fehlerbehebung, von Verteilungs- und technischen Problemen. Dies gilt nicht für Daten arbeitstechnischen Charakters, die keine Kontrollen beinhalten und als solche gemeinsam definiert werden (z. B. Qualitätskontrolldaten). | Abs. 61 |
| Aus dem Urteil des EuGH ergeben sich hierbei folgende Fragen für die Regelung von Spezialthemen (Einzelanwendungen bzw. Tools), die es vor der Verhandlung zu einer Betriebsvereinbarung zu beantworten gilt: | Abs. 62 |
| * Wer ist Application-Owner? | Abs. 63 |
| * Handelt es sich um eine nationale, europäische oder globale Anwendung? | Abs. 64 |
| * Wo befindet sich die Datenbank, auf der die personenbezogenen Daten gespeichert werden? | Abs. 65 |
| * Welcher Geschäftsbereich wird die Anwendung nutzen und welche Mitarbeitergruppen sind davon betroffen? | Abs. 66 |
| Bei einzelnen Anwendungen ist der Zweck des Systems, im besonderen sein Business-Need zu beschreiben. Dies entspricht dem klasssichen Erforderlichkeits-Kriterium im Datenschutz. Danach sind die Funkionen des Systems zu erörtern. Anhand "Screen Shots" und "Datenbank Views" werden die Inhalte hierbei regelmäßig ermittelt. Danach - und dies ist wesentlich - ist der Zugriff auf die gespeicherten Daten mit Personenbezug zu regeln. Die Zugriffsberechtigten sind zu nennen. | Abs. 67 |
| Aufgrund des EuGH-Urteils sollte dann in die Betriebsvereinbarung eingefügt werden: | Abs. 68 |
| Die Speicherung der Daten erfolgt im Auftrag des Unternehmens in dessen Rechenzentren. Die Sicherung und der Schutz der Daten ist nach den internen Richtlinien zur Informationssicherung und zum Datenschutz, die mindestens ein dem BDSG entsprechendes Schutzniveau hat, sicher zu stellen. | Abs. 69 |
| Ferner ist zu regeln, ob ein Transfer personenbezogener Daten zu anderen Systemen stattfindet und ob eine Auswertung, z. B. Reports, d. h. Berichte mit spezifischen Geschäfts- und/oder Mitarbeiterinformation für eigens definierte Zielsetzungen stattfinden. | Abs. 70 |
|
c.) Rolle eines spezifischen Arneitnmehmerdatenschutzes |
| Heute stellt sich die Frage, ob bei der Vielzahl der sehr spezifischen Fragestellungen in den Unternehmen und der Verflechtung internationaler Unternehmen, die ihre Geschäftspolitik an einem beliebigen Ort in der Welt festlegen, eine spezifisch deutsche Sichtweise auf den Arbeitnehmerdatenschutz nicht eher kontraproduktiv ist. | Abs. 71 |
| Eine Lösung wäre vor diesem Hintergrund der Erlass einer Arbeitnehmer-Datenschutzrichtlinie. Der Erfolg der EU-Datenschutz-Richtlinie könnte künftig davon abhängig sein, dass sie auch im Rahmen bereichsspezifischer Regelungen, im besonderen auch im Feld es Arbeitnehmerdatenschutzes umgesetzt wird (vgl. Erwägungsgrund Nr. 68 der EU-Datenschutz-Richtlinie). | Abs. 72 |
| Der Übergang von allgemeinen Datenschutzregelungen auf bereichsspezifische Arbeitnehmerdatenschutzvorschriften macht aber nur Sinn, wenn diese Vorschriften gemeinsame Grundsätze des europäischen Datenschutzes (z. B. zur Direkterhebung, Zweckbindung und dem Schutz sensitiver Daten) aufgreifen und auf der anderen Seite auch den Business Need internationaler Unternehmen reflektieren. | Abs. 73 |
IV. Schlußbetrachtung: Das Urteil des EuGH und seine Wirkungen |
| Das EuGH-Urteil hat gezeigt, dass die Aussage(36), wonach "das Einstellen von Daten in das Internet eine - zudem grenzüberschreitende - Übermittlung ist, die nur ausnahmsweise ohne Einwilligung des Betroffenen zulässig ist", das Thema nicht ausreichend beleuchtet. | Abs. 74 |
| Das EuGH-Urteil belegt ferner, dass Datenschutz eine praktische Disziplin ist und das Datenschutzrecht an "der tatsächlichen Datenverarbeitung" ansetzt. Datenverarbeitung in einem "offenen Staat" (37) und in einer "offenen Gesellschaft"(38) erfordert hierbei einen "progressive set of values", um den modernen Anforderungen des "computing and its application to business" gerecht zu werden. | Abs. 75 |
| In datenschutzrechtlichen
Detailfragen wissen wir nicht, sondern wir raten(39). Und hierbei geht es darum, die
interessanten Ausführungen des EuGH-Urteils offensiv aufzugreifen. Wie
sich die Technik und das Datenschutzrecht fortentwickeln, wird sicherlich
noch spannend. Für den Datenschutz können wir mit Popper sagen: "Wir
können zwar vieles wissen, nur nicht das, was wir in Zukunft wissen
werden".
|
JurPC Web-Dok. 147/2004, Abs. 76 |
Fußnoten:(1) Wesensbestandteile "richtigen Datenschutzrechts" sind dessen ordnungsgemäße Gesetztheit, dessen soziale Wirksamkeit sowie - ganz zentral - dessen "inhaltliche Richtigkeit". S. dazu auch Robert Alexy, Begriff und Geltung des Rechts, 2. A. (1994), S. 31 ff., 39 ff. Und 139 ff. (2) Karl Engisch, Einführung in das juristische Denken, 8. A. (1983), Vorwort S. 5. Dieses Werk ist nach wie vor zentrale Basis für Grundfragen rechtlicher Entscheidungsfindung. (3) S. zu den Regelungen der EU-Datenschutz-Richtlinie Michael Wächter, Falsifikation und Fortschritt im Datenschutz, 2000, S. 397-399; vgl. auch ders., Datenschutz im Unternehmen, 3. A. (2003), Randziffern 167 f., 742 ff. (4) S. dazu die Buchbesprechungen von Giselher Rüpke / Kai von Lewinski zu den BDSG-Kommentierungen von Gola / Schomerus, Schaffland / Wiltfang und Simitis (Hrsg.), NJW 2004, 349 f. (5) S. zu dieser Diskussion bereits schon Rudolf Schomerus, ZRP 1981, 291 ff. (6) Eine Dokumentation der Entwicklungslinien europäischen Gemeinschaftsrechts und nationaler Gesetzgebungen bieten Spiros Simitis / Ulrich Dammann / Marita Körner als Herausgeber des Werks: Datenschutz in der Europäischen Gemeinschaft - Gesetzessammlung, zuletzt mit der 11. Lieferung Oktober 2003. (7) S. dazu Hans-Jochim Koch / Helmut Rüßmann, Juristische Begründungslehre, 1982, S. 244-246. (8) S. zur rechtstheoretischen Fundierung dieser Fragestellung Franz Bydlinski, Fundamentale Rechtsgrundsätze: Zur rechtsethischen Verfassung der Sozietät, 1988, S. 31 ff. (37 f.). (9) S. dazu Arnold Picot / Ralf Reichwald / Rolf T. Wigand, Die grenzenlose Unternehmung, 1996. (10) So auch Werner Schroeder, JuS 2004, 180 ff. (186). (11) Werner Schroeder, JuS 2004, 180 ff. (181). (12) S. Franz Bydlinski, Juristische Methodenlehre und Rechtsbegriff, 2. A. (1991), S. 428 ff. (453 ff.), der die "objektiv-teleologische" Auslegungsmethode eher als "Back-up" gegenüber den anderen Methoden sieht, im besonderen dann, wenn die gesetzgeberische Intention einer Gesetzesvorschrift nicht wörtlich, d. h. grammatisch bzw. systematisch-logisch erfasst werden kann und auch die historische Auslegung zur Ermittlung des gesetzgeberischen Willens nicht zielführend ist. (13) S. zur Datenübermittlung als "Phase" der Datenverarbeitung Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffern 191 ff. (195). (14) S. zu den Regeln "angemessenen Schutzniveaus" im grenzüberschreitenden Datenverkehr Herbert Burkert, in: Handbuch Datenschutzrecht, Hrsg. Alexander Roßnagel, 2003, Teil 2. 3: Grundlagen des Datenschutzes: Internationale Grundlagen, Randziffern 58-63. (15) S. zur Frage des Exports nationaler Rechtsregeln Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 163. (16) Vgl. dazu nur Peter Gola / Rudolf Schomerus, Bundesdatenschutzgesetz: Kommentar, 7. A. (2002), § 3 Randziffer 3. (17) S. dazu Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 693; vgl. näher zum automatisierten Abrufverfahren Jochen Schneider, Handbuch des EDV-Rechts, 3. A. (2003), Allgemeiner Teil: Abschnitt B, Randziffern 221 ff. (18) S. dazu Michael Wächter, in: Hans-Werner Moritz / Thomas Dreier, Rechts-Handbuch zum E-Commerce, 2002, Teil D: Haftung der im Netz Tätigen, Randziffer 745. (19) S. Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 161 ff.; siehe zu den originären Regelungen zu Niederlassungen der EU-Datenschutzrichtlinie Michael Wächter, Falsifikation und Fortschritt im Datenschutz, 2000, S. 391 f. (20) Vgl. dazu EuGH, NJW 1999, 2027 ff. "Centros". Vgl. Zu diesem Themenkomplex des Exports nationalen Gesellschaftsrechts auch die Urteile "Überseering", NJW 2002, 3614 ff., und "Inspire Art Ltd", NJW 2003, 3331 ff.; S. dazu insgesamt Daniel Zimmer, NJW 2003, 3585 ff. (21) Vgl. zur Auftragsdatenverarbeitung innerhalb der EU Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 169. (22) Näher zurAuftragsdatenverarbeitung in Drittländern Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffern 750 ff. (siehe speziell zu Standardvertragsklauseln Randziffer 751). (23) Vgl zur Übermittlung von Arbeitnehmerdaten Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffern 718-721, 764-766. (24) S. zum Gebot des freien Datenverkehrs Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 160. (25) S. zu Datenübermittlungen innerhalb der EU Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 740. (26) S. zu den Vertragsinhalten bei Auftragsdatenverarbeitung auch Jochen Schneider, Handbuch des EDV-Rechts, Allgemeiner Teil, Abschnitt B., Randziffer 220. (27) Normalerweise liegt hier eine Datenübermittlung, dann evtl. in ein Drittland, vor; vgl. dazu Jochen Schneider, Handbuch des EDV-Rechts, Allgemeiner Teil, Abschnitt B., Randziffer 233. (28) Vgl. dazu Peter Gola / Rudolf Schomerus, Bundesdatenschutzgesetz: Kommentar, § 4c Randziffer 9 und §38a Randziffern 1 ff. (3); s. Ferner für die Facette des Arbeitrechts Bernd Borgmann, NZA 2003, 352 ff. (29) Eine Übermittlungsprivilegierung im Konzern besteht nicht. Eine sog. "Konzernklausel" enthält das BDSG nicht; s. dazu Michael Wächter, Datenschutz im Unternehmen, 3. A. (2003), Randziffer 701. (30) Vgl.dazu Peter Gola/Rudolf Schomerus, Bundesdatenschutzgesetz: Kommentar, 7.A. (2002), § 4c Randziffer 6. (31) Vgl. dazu Fritjof Haft, Einführung in das juristische Lernen: Unternehmen Jurastudium, 6. A. (1997), S. 261 ff. (32) Fritjof Haft, Einführung in das juristische Lernen: Unternehmen Jurastudium, 6. A. (1997), S. 276 f. (33) S. kritisch zur "Work-Life-Balance" Judith Mair, Schluss mit Lustig! Warum Leistung und Disziplin mehr bringen als emotionale Intelligenz, Teamgeist und Soft Skills, 2002, S. 84 ff. (89), deren Argumente auch die datenschutzkritischen Implikationen verdeutlichen: "Im Büro leben, zu Hause arbeiten". (34) Judith Mair, Schluss mit Lustig! Warum Leistung und Disziplin mehr bringen als emotionale Intelligenz, Teamgeist und Soft Skills, 2002, S. 95. (35) Vgl. dazu Michael Wächter, DuD 1994, 428 ff. (433). (36) Peter Gola/Rudolf Schomerus, Bundesdatenschutzgesetz: Kommentar, 7.A. (2002), § 3 Randziffer 33. (37) Instruktiv hierzu Rainer Wahl, JuS 2003, 1145 ff. (38) S. dazu das epochale Grundlagenwerk von Karl Popper, Die offene Gesellschaft und ihre Feinde, 7. A. (1992), Band 1: "Der Zauber Platons" und Band 2: "Falsche Propheten: Hegel, Marx und die Folgen". (39) Zitat: Karl Popper, Logik der Forschung, 10.A. (1994), S. 223. |
| * Michael Wächter, Assessor Dr. jur., ist seit 09/2003 Personalleiter Deutschland Süd der IBM Deutschland GmbH. Von 03/1992 bis 06/1997 war er als Personaljurist bei der DEKRA AG, einer technischen Sachverständigenorganisation, und von 07/1997 bis 07/2003 als Leiter Vertragswesen und Justiziar der BRAIN International AG, einem Enterprise Resource Planning-Softwarehaus, tätig. Er beschäftigt sich seit vielen Jahren mit Themen des Datenschutzes. |
| [online seit: 03.09.2004 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs. |