Datenschutz: sinnvolle Datennutzung ermöglichen, Missbrauch verhindern


Datenschutz: Datennutzung ermöglichen, Missbrauch verhindern

Unser Kolumnist Alexander Zumkeller nimmt heute den Datenschutz in den Blick: Hatte zu Beginn der "Bewegung" noch keiner an Big-Data-Analysen gedacht, sind über die Jahre auch fragwürdige Datenschutzregeln entstanden. Die Frage bleibt: Wie kann der sinnvolle Gebrauch von Daten ermöglicht und gleichzeitig Missbrauch verhindert werden?

Ich gestehe: Ich war dabei. Das Datenschutzrecht war sozusagen in den Anfängen. Das Volkszählungsurteil gab es noch nicht. Aber dennoch: Ich war dabei. Ja, auch ich forderte die informationelle Selbstbestimmung. Es war der Beginn meines Jura-Studiums, ich war Mitglied einer politischen Jugendorganisation und der „Mutterpartei“, und Selbstbestimmung, auch und gerade die informationelle, war „in“. Und damals wussten wir noch nicht im Ansatz, was das später bedeuten könnte, denn die Zeit des PC war ja noch nicht gekommen.

Datenschutz, Arbeitnehmerdatenschutz, Datenschutzgrundverordnung – all dies ist „erwachsen“ geworden mit einer rasanten Entwicklung der technischen Möglichkeiten der EDV. Im Laufe der Jahre war ich zunächst in Sachen Datenschutz etwas laxer geworden – schließlich gibt ja jeder Teilnehmer eines x-beliebigen Preisrätsels oder jeder, der Kundenbindungskarten nutzt, auch freiwillig jede Menge personenbezogener Daten Preis. Früher habe ich noch gedacht, dass es unproblematisch sein müsse. Eine solche Masse an Daten könne schließlich sinnvoll gar nicht ausgewertet werden. Heute bin ich etwas anderer Meinung.

Datenschutz: schon erwachsen oder noch in der Adoleszenz?

Datenschutz, Arbeitnehmerdatenschutz, Datenschutzgrundverordnung – all dies ist „erwachsen“ geworden, nicht nur vor dem Hintergrund einer rasanten technologischen Entwicklung, sondern auch im Nebel des Missbrauchs. Leider zeigt sich immer wieder, dass das technisch Mögliche nicht nur ge-, sondern auch missbraucht wird. Krankenkassen, die ihre Mitglieder bespitzeln; Kaufhäuser, die ihre Kunden bespitzeln; Arbeitgeber, die ihre Arbeitnehmer bespitzeln. Schutz scheint hier nötig. Über die Wahl des Instruments (zum Beispiel im Arbeitsverhältnis meines Erachtens über Regelungen mit dem Betriebsrat eher als über ein Gesetz; und meines Erachtens eher über Schadenersatz und immaterielle Entschädigung statt über Pönalen) mag man streiten.

Datenschutz, Arbeitnehmerdatenschutz, Datenschutzgrundverordnung – all dies ist „erwachsen“ geworden … Erwachsen? Oder ist es doch im Heranwachsenden-Stadium hängen geblieben? Das möchte ich mir an ein paar Beispielen einmal überlegen:

Ich habe unlängst eine lästige Werbe-E-Mail erhalten. Fein, ich kann ja den Versender bitten mich endgültig aus seiner EDV zu löschen. „Recht auf Vergessen“. Also: Ich maile zurück „bitte streichen Sie alle personenbezogenen Daten, insbesondere Name, E-Mail, und soweit vorhanden Telefonnummer. Der neuerlichen Erhebung von Daten über meine Person widerspreche ich bereits heute“. Erledigt. Erledigt? Zwei Tage später, ich bekomme einen Anruf „hier XYZ. Sie haben gebeten, Ihre Daten zu löschen; darf ich Sie fragen, warum?“ Moment mal: meine Daten waren doch gelöscht worden. Woher hatte der Anrufende dann meine Daten …?

Arbeitsrecht: Auch hier tut Datenhaltung Not

Kommen wir – endlich – zum Arbeitsrecht: Müssen wir hier Daten, wenn ja welche, wirklich löschen? Gibt es hier wirklich ein „Recht auf Vergessen“?

Wie ich auf diese Frage komme? Nun, das allgemeine Gleichbehandlungsgesetz. Nach § 15 Abs. 4 AGG kann ein sich diskriminiert fühlender Arbeitnehmer innerhalb einer Frist von zwei Monaten klagen. Wer nun meint, alle Daten könnten nach zwei Monaten gelöscht werden, mag weiterlesen: Für Bewerber und verhinderte Beförderungen gilt das, ja, aber:  in Sonstigen Fällen gelten zwei Monate, nachdem von der Benachteiligung Kenntnis erlangt wurde.

AGG als Fundgrube für Beispiele zur Datenspeicherung

Nehmen wir einmal an, ein Vierzigjähriger schneidet, wegen seiner geschlechtlichen Orientierung, seiner religiösen Weltanschauung oder eines anderen pönalisierten Merkmals bei Entgeltrunden immer, um sagen wir 0,5 Prozent schlechter ab als alle anderen. Sein Ausscheiden mit 65 wird groß gefeiert, und nun passiert es: Nach einem Gläschen Sekt zu viel teilt der Assistent des Chefs ihm mit, dass das alles ganz witzig sei. Seit einem Vierteljahrhundert sei der Beschäftigte immer etwas kürzer gehalten worden als die Kollegen, aber nun könne man darüber ja offen reden…. Klar? Frist – läuft. Aber erst jetzt!

Oder auch nett: Bei einer Diskriminierung anlässlich eines Berufsaufstiegs beginnt die Frist „mit dem Zugang der Ablehnung“. In 25 Jahren, wenn dem Beschäftigten offenbar wird, er sei wegen eines pönalisierten Merkmals nicht befördert worden – gibt es da noch eine Nachweismöglichkeit? Und was, wenn die Ablehnung mündlich erfolgte? Oder der Ablehnende (der die sachlichen Gründe kannte) verstorben ist? Das heißt: das AGG ist ein wahrer Pfrund für alle, die es lieben, Daten zu sammeln und eine Rechtfertigung hierfür suchen.

Arbeitsmedizinische Vorsorge: Ein datenschutzrechtlicher Teufelskreis?

Besonders aber fasziniert hat mich die Verordnung zur arbeitsmedizinischen Vorsorge (ArbMedVV): Pflichtvorsorge, Angebotsvorsorge, Wunschvorsorge. § 3 Abs. 4 ArbMedVV „Der Arbeitgeber hat eine Vorsorgekartei zu führen mit Angaben, dass, wann und aus welchen Anlässen arbeitsmedizinische Vorsorge stattgefunden hat; … Der Arbeitgeber hat der zuständigen Behörde auf Anordnung eine Kopie der Vorsorgekartei zu übermitteln.“ Und, wichtig: „Bei Beendigung des Beschäftigungsverhältnisses hat der Arbeitgeber der betroffenen Person eine Kopie der sie betreffenden Angaben auszuhändigen“.

Nehmen wir folgendes Szenario an: Der Beschäftigte erhält nach seinem Ausscheiden aus dem Unternehmen die Vorsorgekartei per Post zugesandt. Die Post kommt nie an, er verlangt gegenüber seinem bisherigen Arbeitgeber Herausgabe. Ein Doppel hat der Arbeitgeber (mangels datenschutzrechtlicher Rechtfertigung – er hat „die“ Datei ja herauszugeben) nicht. Er kann nicht einmal nachweisen, dass er sie versandt hat – denn die Aufbewahrung etwa einer Kopie mit dem Vermerk „an den Arbeitnehmer per Einschreibebrief am Datum versandt“ würde ja bedeuten, der Arbeitgeber habe „die“ Datei noch – also entgegen dem ArbMedVV nicht herausgegeben… ein Circulus Vitiosus. Da muss man doch hoffen, dass die „zuständige Behörde“ die Datei einmal abverlangte. Denn sie muss die Daten nach Ausscheiden des Arbeitnehmers nicht vernichten oder herausgeben…

Daten verknüpfen: neue Kompetenzen, neue Möglichkeiten

Die Masse an verfügbaren Daten auszuwerten – sinnvoll auszuwerten, Korrelationen zu finden, etwa im Sinne der Gesundheit, auch und insbesondere im Arbeitsverhältnis – ist und bleibt ein Kunststück.

Aber: Während Datenschützer (gemäß DSGVO und BDSG) nach dem Need-to-know-Prinzip agieren, sind längst begabte Menschen mit Verknüpfungskompetenz – einer zur sinnvollen Bearbeitung von Datenmassen erforderliche neue Schlüsselkompetenz – aufgetaucht, die eben nicht vorher bestimmen können, welche Daten sie benötigen. Vielmehr können sie dies erst im Rahmen von Verknüpfungen bestimmen – und hier kann der Datenschutz den Fortschritt verhindern.

KI: Missbrauch verhindern, sinnvollen Gebrauch rechtssicher gestatten

Es kommt „künstliche Intelligenz“ auf (wobei die heute sogenannten Lösungen lediglich intelligent programmierte Algorithmen sind – zur KI ist es noch ein weiter Weg), die Entscheidungen, auch zum Beispiel Auswahlentscheidungen in Personalprozessen, vereinfachen. Und wir müssen zusehen, dass solche Instrumente sinnvoll und sinnstiftend gebraucht statt missbraucht werden – mehr Schutz und Verbote helfen hier niemandem (auch den Arbeitnehmern nicht). Der Gebrauch, und sei er „nur“ sinnvoll und nicht „notwendig“, sollte gestattet sein, Missbrauche dagegen wirksam verhindert werden.

Klar, ein hilfreiches Mittel können Pönalen in Millionenhöhe sein, wie es in der DSGVO der Fall ist. Aber klare Gesetzgebung, wonach erforderliche (siehe das Beispiel der ArbMedVV) und skalierbare Nutzungsmöglichkeiten zum Beispiel mit dem Betriebsrat vereinbart werden können (§ 26 BDSG, Art. 88 DSGVO sehen das vor), sind der bessere Weg zu mehr Rechtssicherheit im Einzelfall. Die Monster an zu vereinbarenden Formulierungen werden allerdings hin und wieder länger, als die Regelung selbst und sind daher wenig förderlich (auch, weil sie für den Arbeitnehmer häufig nicht verständlich sind).

Und, was, wenn es keinen Betriebsrat gibt? Schriftliche Vereinbarung mit Widerrufsrecht? Das ist eine Lösung, ja – aber leider keine rechtssichere, solange ein Teil der Lehre meint, im Arbeitsverhältnis sei rein gar nichts freiwillig vereinbar.

Informationelle Selbstbestimmung ja, aber…

Bereue ich, dass ich damals für das Recht auf informationelle Selbstbestimmung auf die Straße gegangen bin? Nein. Aber hätte ich geahnt, welche Auswirkungen das einmal wird haben können, wären die Rufe präziser gewesen. Aber ich war jung …


Alexander R. Zumkeller, Präsident des Bundesverbands der Arbeitsrechtler in Unternehmen (BVAU), blickt in seiner Kolumne aus der Unternehmenspraxis auf arbeitsrechtliche Themen und Trends.

Schlagworte zum Thema:  Datenschutz, Datenaustausch, Arbeitsrecht