Bekanntmachung des Innenministeriums (Nr. 33) über Hinweise zum Bundesdatenschutzgesetz für die private Wirtschaft und zum Bildschirmtext-Staatsvertrag vom 23. Dezember 1994

Az.: 2-0552.1/8. Die Veröffentlichung erfolgt im Anschluß an die Hinweise Nr. 32 im Staatsanzeiger für Baden-Württemberg Nr. 3 vom 12. Januar 1994 Seite 8.

  1. Wartung und Fernwartung von DV-Systemen
  2. Datenschutz bei der Verarbeitung und Nutzung personenbezogener Daten durch den Betriebsrat
  3. Übermittlung von Personaldaten zum Zweck des Outplacements
  4. Mieter-Datenschutz und SCHUFA-Selbstauskunft
  5. Verpflichtung auf das Datengeheimnis (§ 5 Satz 2 BDSG)

1. Wartung und Fernwartung von DV-Systemen

Bei Wartung und Fernwartung ist die Frage aufgetreten, ob die personenbezogenen Daten, welche die Wartungsfirma dabei zur Kenntnis nehmen kann, dieser gemäß § 3 Abs. 5 Nr. 3 BDSG ”übermittelt” werden. Nach dieser Vorschrift ist Übermitteln das ”Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Date an einen Dritten (Empfänger) in der Weise, daß

  1. die Daten durch die speichernde Stelle an den Empfänger weitergegeben werden oder
  2. der Empfänger von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.”.

Die Möglichkeit der Kenntnisnahme von personenbezogenen Daten stellt jedoch keine Datenübermittlung im Rechtssinne dar, da es nicht zum Zweck der Wartung oder Fernwartung gehört, daß die Wartungsfirma dabei Kenntnis vom Informationsgehalt von Daten erhält. Eine solche Kenntnisnahme erfolgt allenfalls nebenher bei der Erledigung der Wartungsaufgaben.

Wartung und Fernwartung wird teilweise als Nutzung personenbezogener Daten im Auftrag angesehen. Die Folge wäre, daß § 11 BDSG zur Anwendung käme und insbesondere ein schriftlicher Antrag (mit dem in § 11 Abs. 2 BDSG vorgegebenen Regelungsinhalt) erteilt werden müßte. Die Wartungsfirma unterläge darüber hinaus gemäß § 32 Abs. 1 Nr. 3 BDSG der Meldepflicht zum Datenschutzregister der zuständigen Aufsichtsbehörde.

Das Innenministerium vertritt mit der überwiegenden Zahl der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich die Auffassung, daß auch eine Datenverarbeitung im Auftrag zu verneinen ist, da der Zweck der Wartung oder Fernwartung nicht auf die Verarbeitung oder Nutzung der Daten gerichtet ist. Eine Meldepflicht nach § 32 Abs. 1 Nr. 3 BDSG besteht daher nicht.

Unbeschadet der datenschutzrechtlichen Einordnung von Wartung und Fernwartung ist darauf hinzuweisen, daß die speichernde Stelle nach § 9 BDSG und der Anlage hierzu die erforderlichen technischen und organisatorischen Maßnahmen treffen muß, um insbesondere einen Datenmißbrauch auszuschließen. Es sind daher praktisch die gleichen Festlegungen zu treffen wie im Falle der Auftragsdatenverarbeitung, insbesondere über Art und Umfang der Wartung. Wegen der in Nummer 10 der Anlage zu § 9 BDSG geforderten ”Organisationskontrolle” sind diese Festlegungen auch schriftlich zu vereinbaren. Es ist ferner sicherzustellen, daß das Wartungspersonal auf das Datengeheimnis verpflichtet worden ist.

[top]


2. Datenschutz bei der Verarbeitung und Nutzung personenbezogener Daten durch den Betriebsrat

Der Betriebsrat erhält in Zusammenhang mit der Ausübung seiner Mitwirkungs- und Mitbestimmungsrechte und der Wahrnehmung seiner allgemeinen Aufgaben nach § 80 Abs. 1 BetrVG Kenntnis von einer Vielzahl von Arbeitnehmerdaten. Zur Erfüllung dieser Aufgaben verarbeitet und nutzt der Betriebsrat die Daten, wobei dies zunehmend dateimäßig geschieht oder die Daten in vielen Fällen offensichtlich aus Dateien des Unternehmens stammen (§ 27 Abs. 2 BDSG).

Bei der Verarbeitung und Nutzung solcher Daten muß der Betriebsrat daher neben der für ihn geltenden speziellen gesetzlichen Geheimhaltungspflicht nach § 79 BetrVG auch die Regelungen des Bundesdatenschutzgesetzes beachten (etwa erforderliche organisatorische und technische Maßnahmen nach § 9 BDSG und der Anlage hierzu treffen, die Mitglieder des Betriebsrats gemäß § 5 BDSG auf das Datengeheimnis verpflichten und seine Mitteilungspflichten nach § 37 Abs. 1 Nr. 1 und Abs. 2 BDSG erfüllen). Als Teil des Unternehmens hat der Betriebsrat auch innerbetriebliche Regelungen zum Datenschutz einzuhalten und erforderlichenfalls selbst ergänzende Regelungen zu treffen, um einen ausreichenden Datenschutz sicherzustellen.

Dabei kommen beispielsweise Regelungen darüber in Betracht,

  • welche Mitglieder des Betriebsratsrats auf welche Daten in Personaldateien des Unternehmens Zugriff nehmen dürfen;
  • ob und auf welche Weise Mitgliedern des Betriebsrats vor Sitzungen Unterlagen mit besonder schutzbedürftigen Daten (z.B. Daten über gesundheitliche Verhältnisse oder spezielle Kündigungsgründe) zugeleitet werden, oder ob solche Unterlagen nur in der Sitzung ausgeteilt, zur Einsicht bereitgehalten oder mündlich bekanntgegeben werden. Sofern den Mitgliedern des Betriebsrats entsprechende Unterlagen überlassen werden, empfehlen sich auch Regelungen darüber, daß solche Unterlagen nach der Sitzung nicht bei den Mitgliedern verbleiben, sondern an den Vorsitzenden des Betriebsrats zurückzugeben und zu vernichten sind;
  • über die Zweckbindung personenbezogener Daten, die das Unternehmen dem Betriebsrat im Zusammenhang mit der Ausübung von Mitwirkungs- und Mitbestimmungsrechten zur Verfügung stellt, und über die Verpflichtung, diese Daten dem Arbeitgeber nach Ausübung der Beteiligungsrechte wieder zurückzugeben oder zu vernichten bzw. zu löschen;
  • welche Arbeitnehmerdaten der Betriebsrat zur Erfüllung seiner allgemeinen Aufgaben längerfristig speichert und
  • über die Erteilung von Auskünften und die Berichtigung, Sperrung und Löschung von Daten von Arbeitnehmern, die beim Betriebsrat gespeichert sind.

Zweck solcher Regelungen des Betriebsrats muß es sein, sicherzustellen, daß die Arbeitnehmerdaten bei ihm in datenschutzgerechter Weise verarbeitet und genutzt werden.

[top]


3. Übermittlung von Personaldaten zum Zweck des Outplacements

Die Umstrukturierung von Betrieben ist in vielen Fällen mit umfangreichen Personalreduzierungen verbunden. Zur Milderung der in Aussicht genommenen Kündigung bieten manche Unternehmen den Betroffenen Mitarbeitern an, ihnen bei der Suche nach einem neuen Arbeitsplatz durch die Einschaltung eines externen Outplacementmanagers behilflich zu sein. Outplacementmanagement ist ein Dienstleistungsangebot von Unternehmensberatern und privaten Arbeitsvermittlern. Auch wenn die Einschaltung eines Outplacementmanagers grundsätzlich im Interesse von Arbeitgeber und Arbeitnehmer liegen kann, ist die Tätigkeit des Outplacementmanagers nicht mehr von der Zweckbestimmung des Arbeitsvertrags mit dem betroffenen Mitarbeiter umfaßt. Die Hilfe des Arbeitgebers zur Arbeitsplatzbeschaffung außerhalb des Unternehmens ist keine arbeitsvertragliche Nebenpflicht, sondern eine freiwillige Fürsorgemaßnahme.

Die Übermittlung von Personaldaten der für das Outplacement vorgesehen Mitarbeiter an den Outplacementmanager ist deshalb nicht von § 28 Abs. 1 Nr. 1 BDSG gedeckt. Sie kann zwar ach § 28 Abs. 1 Nr. 2 BDSG zur Wahrung berechtigter Unternehmensinteressen erforderlich sein, wenn durch das Outplacement ein sozialverträglicher Personalabbau ermöglicht wird. Doch werden der Übermittlung von Personaldaten an den Outplacementmanager regelmäßig überwiegende schutzwürdige Belange der betroffenen Arbeitnehmer entgegenstehen. Damit scheidet das Bundesdatenschutzgesetz als Zulässigkeitsnorm für die Datenübermittlung aus. Das Outplacement ist auf eine Tätigkeit nach Beendigung der Betriebszugehörigkeit gerichtet; eine Betriebsvereinbarung, die die Übermittlung von Arbeitnehmerdaten im Rahmen des Outplacements zulassen würde, wäre daher von der Regelungsautonomie der Betriebspartner nicht gedeckt.

Die Übermittlung von Personaldaten für Zwecke des Outplacements setzt deshalb immer eine Einwilligung des betroffenen Mitarbeiters voraus. Dabei muß der Mitarbeiter im einzelnen darüber informiert werden, welche Daten für welche Zwecke an den Outplacementsmanager übermittelt werden sollen.

Mit dem Outplacementmanager müssen entsprechende vertragliche Regelungen getroffen werden, wobei darüber hinaus auch bestimmt werden muß, daß die Daten bei ihm nur für diese Zwecke verwendet werden dürfen und wann sie gelöscht werden müssen. Vertraglich sicherzustellen ist auch, daß eine Übermittlung von Daten an andere Unternehmen nur mit Einwilligung der betroffenen Arbeitnehmer erfolgen darf.

[top]


4. Mieter-Datenschutz und SCHUFA-Selbstauskunft

Groß-Vermieter verlangen häufig von Mietinteressenten die Vorlage einer SCHUFA-Selbstauskunft. Dies ist nach § 28 Abs. 1 Satz 2 BDSG unzulässig, soweit die Daten in einer Datei gespeichert werden sollen. Maßgeblich dafür sind insbesondere folgende Erwägungen:

  • Eine SCHUFA-Selbstauskunft enthält zahlreiche Angaben über Kreditgeschäfte und Kontoverbindungen, deren Kenntnis zur Überprüfung der Zahlungsfähigkeit des Mietinteressenten nicht erforderlich ist. Vermieter haben daher kein berechtigtes und schutzwürdiges Interesse an der Kenntnis der in der SCHUFA-Selbstauskunft enthaltenen Daten und dürfen diese von Mietinteressenten nicht erheben und speichern.
  • Die SCHUFA (Schutzgemeinschaft für allgemeine Kreditsicherung) ist eine Kreditschutzorganisation der Banken und Sparkassen und anderer kreditgewährender Unternehmen; Vermieter erhalten keine Auskünfte aus dem Datenbestand der SCHUFA. Den Betroffenen, zu deren Person die SCHUFA Daten speichert, steht aufgrund des Bundesdatenschutzgesetzes ein Rechtsanspruch auf Auskunft zu. Es kommt einem Verstoß gegen Treu und Glauben gleich und stellt deshalb gemäß § 28 Abs. 1 Satz 2 BDSG eine unzulässige Datenerhebung dar, wenn Vermieter Mietinteressenten veranlassen, auf dem ”Umweg” über die Vorlage von SCHUFA-Selbstauskünften detaillierte Angaben über ihre finanziellen Verhältnisse zu machen.

Da rechtswidrig erlangte Informationen nicht rechtmäßig gespeichert werden können, machen sich Vermieter gemäß § 43 Abs. 1 Nr. 1 BDSG strafbar, wenn sie Angaben aus SCHUFA-Selbstauskünften in Kenntnis der Unzulässigkeit dateimäßig speichern.

[top]


5. Verpflichtung auf das Datengeheimnis (§ 5 Satz 2 BDSG)

Über den Kreis der zu verpflichtenden Personen bestehen in der Praxis und der Literatur verschiedene Auffassungen. Nach § 5 Satz 2 BDSG sind die ”bei der Datenverarbeitung beschäftigten Personen” auf das Datengeheimnis zu verpflichten. Damit werden nicht nur solche Personen erfaßt, die mit der Datenverarbeitung im Sinne des § 3 Abs. 5 BDSG, also mit der Speicherung, Veränderung, Übermittlung, Sperrung und Löschung personenbezogener Daten beschäftigt sind. Das Bundesdatenschutzgesetz bezweckt, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Das Datengeheimnis ist daher von allen Personen zu beachten, die aufgrund der von ihnen wahrgenommenen Tätigkeit dauernd oder regelmäßig personenbezogene Daten zur Kenntnis nehmen, sie verarbeiten oder nutzen. Dazu zählen die Mitarbeiter im Rechenzentrum, die Beschäftigten in den Fachabteilungen, das Personal im Schreib- und Registraturdienst, die Posteingangs- und Postausgangsstelle und der Botendienst. Dabei kommt es auf die Art des Beschäftigungsverhältnisses nicht an; auch Teilzeitbeschäftigte, Aushilfen, Praktikanten, Auszubildende und freie Mitarbeiter sind zu verpflichten. Auch der Datenschutzbeauftragte selbst, Revisoren und die Mitglieder des Betriebsrates dürfen nicht vergessen werden.

Die Verpflichtung der Mitarbeiter erfüllt jedoch nur dann ihren Zweck, wenn sie mit einer Belehrung über die auf die jeweilige Tätigkeit abgestimmten Befugnisse und Pflichten des Beschäftigten verbunden ist. Nicht zu verpflichten sind allerdings der Unternehmensinhaber, die Geschäftsführer der GmbH oder die Organmitglieder von Kapitalgesellschaften (Vorstand und Aufsichtsrat).

Beschäftigte, die keinen direkten Bezug zur Datenverarbeitung haben, die jedoch aufgrund ihrer Tätigkeit wiederholt Zugang zu Räumen mit Datenverarbeitungsanlagen (auch PC) oder Datenträgern haben (z.B. Reinigungskräfte oder Wartungspersonal) müssen durch ausreichende Datensicherungsmaßnahmen daran gehindert werden, personenbezogene Daten zur Kenntnis zu nehmen. Ist dies mit vertretbarem Aufwand nicht in ausreichendem Maße möglich, ist es zweckmäßig, auch diesen Personenkreis auf das Datengeheimnis zu verpflichten.

Soweit Mitarbeiter von Fremdfirmen (beispielsweise Leiharbeitnehmer, Wartungs- und Reinigungspersonal, Angehörige von Unternehmensberatungsfirmen, Boten- oder Kurierdienste, Bewachungsunternehmen usw.) im oder für das Unternehmen tätig sind, fallen auch diese unter die Regelung des § 5 BDSG. Allerdings obliegt die Verpflichtung dem jeweiligen Arbeitgeber. Im Hinblick auf die Verantwortung, die jede speichernde Stelle für ihre Daten trägt, sollte das Unternehmen, das eine Fremdfirma beauftragt, sich von dieser schriftlich bestätigen lassen, daß deren Arbeitnehmer auch tatsächlich auf das Datengeheimnis verpflichtet sind.

Akten