Datenschutz im Beschäftigungsverhältnis – Europäische Aufgabe und Regelungsbedarf
Im Europäischen Parlament in Brüssel erörterten am 19.10.2011 Datenschutzverbände mit Europäischen Abgeordneten die Möglichkeiten der Einbindung des Beschäftigtendatenschutzes in europäische Regelungen. Die Veranstaltung fand auf Initiative der Deutschen Vereinigung für Datenschutz e.V. (DVD) und auf Einladung der Europaabgeordneten Cornelia Ernst statt.
Dokumentation: Gemeinsame Presseerklärung des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V., der Deutschen Vereinigung für Datenschutz e.V. und der Gesellschaft für Datenschutz und Datensicherheit e.V., 20.10.2011
Der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), die DVD und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) diskutierten dabei neben der Einladerin mit den Abgeordneten Birgit Sippel und Jan-Phillip Albrecht, Armin Duttine als Vertreter des Europäischen Wirtschafts- und Sozialausschusses und dem für Datenschutz zuständigen Direktor der Generaldirektion Justiz der Europäischen Kommission, Herrn Paul Nemitz.
Anlässlich dieses Expertengesprächs betonten alle drei großen deutschen Datenschutzvereinigungen gemeinsame Positionen. GDD, BvD und DVD forderten übereinstimmend, dass grundlegende Mindeststandards zum Schutz von Beschäftigten auf europäischer Ebene verbindlich verankert werden müssten. Sie setzten sich außerdem dafür ein, dass nationale Verbesserungen darüber hinaus möglich sein sollen, ohne jedoch hinter die Mindeststandards zurückzufallen.
Beispielhaft wurden in diesem Sinne Mindeststandards diskutiert, die nach übereinstimmender Meinung in vielen weiteren Bereichen entwickelt und etabliert werden müssen:
• Die Möglichkeit, eine Datenverarbeitung im Arbeitsverhältnis auf eine Einwilligung von Beschäftigten zu stützen, darf allenfalls in streng begrenzten Ausnahmefällen zugelassen werden.
• Die Durchführung medizinischer Untersuchungen von Beschäftigten muss sich streng an dem für den jeweiligen Arbeitsplatz erforderlichen Maß orientieren. Das Patientengeheimnis muss jederzeit gewahrt sein.
• Die behördlichen Kontrollmöglichkeiten müssen dem Gefährdungspotenzial entsprechen:
je stärker grenzübergreifende Datentransfers erleichtert werden, desto größer muss die Kontrolldichte sein, damit systematischer Missbrauch vereinfachter europäischer Regelungen unterbunden werden kann.
• Die Europäisierung des Modells betrieblicher Datenschutzbeauftragter, der als fachkundiger, unabhängiger Experte das Unternehmen zu datenschutzgerechter Organisation und Umsetzung führen soll, wurde von allen Anwesenden begrüßt.
Hierzu Prof. Peter Gola, Vorsitzender der GDD: „ Dies ist zwar eine Lösung, mit der wir besonders in Deutschland sehr vertraut sind, aber gerade wegen der positiven Erfahrungen können wir sie uneingeschränkt für den gesamten europäischen Raum empfehlen.“ Wichtig
sei, die in der EU-Datenschutzrichtlinie verankerte Unabhängigkeit der Datenschutzkontrollinstanzen für den Datenschutzbeauftragten EU-rechtlich zu konkretisieren und die Außerachtlassung von Vorabkontrollen zu sanktionieren.
Es wurde allgemein abgelehnt, Datenschutz hinter die Wirtschaftsförderung zurückzustellen. Karin Schuler, Vorsitzende der DVD merkte hierzu an: „Solange ein Datenschutzverstoß gleichsam ‚aus der Portokasse‘ bezahlt werden kann, darf der europäische Gesetzgeber sich
nicht auf die Einsicht der Unternehmen alleine verlassen. Thomas Spaeing, Vorsitzender des BvD, ergänzte: „Spätestens wenn Datenschutz als wirtschaftsfeindlich bezeichnet wird, ist es Zeit für den Gesetzgeber, Flagge zu zeigen und klarzustellen, dass es wirtschaftlichen Erfolg ohne Schutz der Beschäftigten nicht geben kann.“
Die anwesenden Experten sowie die Vertreter des Parlaments und der Kommission waren sich einig, dass die Diskussion fortgesetzt werden soll. Herr Nemitz betonte außerdem das fortbestehende Interesse der Kommission, die grundlegende Neugestaltung des
europäischen Datenschutzrechtes mit den Verbänden der Zivilgesellschaft zu diskutieren und Anregungen aufzunehmen.
Eröffnungsrede von Cornelia Ernst
Liebe Kolleginnen und Kollegen, sehr verehrte Gäste
ich bin froh, dass wir heute die Gelegenheit haben, ein Thema zu besprechen, das in den letzten Jahren zunehmend an Bedeutung gewonnen hat – leider auch zunehmend an schlechten Beispielen. In Deutschland waren das die heimlichen Überwachungsmaßnahmen bei Lidl, die Überwachungsaffäre der Telecom oder der Deutschen Bahn. Der MDR hat vor zwei Jahren Bluttests bei Neueinstellungen verlangt und musste dies unter Druck aufgeben.
Die Forderung nach stringenten Regelungen zum Schutz der Arbeitnehmer vor allzu großer Neugier der Arbeitgeber ist Jahrzehnte alt, aber es gibt sie nicht, weder national, mit Blick auf Deutschland, auch nicht europäisch. In der Bundesrepublik gibt es die Diskussion zum Entwurf zu einem Beschäftigtendatenschutzgesetz, der, ich zitiere aus der Stellungnahme der Deutschen Vereinigung für Datenschutz e.V., sein Ziel verfehlt, weil es all das nicht beinhaltet, worum es eigentlich geht: klare gesetzliche Differenzierungen zwischen personenbezogenen Daten und verfolgten Zwecken, keine informationelle Gewaltenteilung in Betrieb und Unternehmen, schutzwürdige Interessen von Beschäftigten sind nur allgemein formuliert und es gibt keine wirklichen effektiven Verfahren und Sanktionen zum Schutz der Beschäftigten vor Missbräuchen.
EU-Regelungen zum Beschäftigtendatenschutz auf diesem Gebiet sind unserer Meinung als Linke im EP nicht nur wünschenswert und überfällig, sondern auch in der Kompetenz der EU regelbar, siehe Artikel 16 des AEUV Datenschutz in allen Bereichen oder Artikel 153 (1)(b) und 2) (b), wo Arbeitsbedingungen EU-Kompetenz sind, sogar mit ordentlichem Gesetzgebungsverfahren. Im Voss-Bericht zum Datenschutzgesamtkonzept wird unter Erwägung 7 auf die neue Rechtsgrundlage Artikel 16 AEUV hingewiesen, jedoch wird der Bereich der Arbeitsbeziehungen nicht explizit erwähnt.
Fakt ist, dass die Spezifik von Arbeitsbeziehungen im Unterschied zu Geschäftsbeziehungen wie etwa Geschäftsbeziehungen zwischen Polizei und Justiz nicht wahrgenommen wird.
Die meisten wissen es aus eigener Erfahrung, dass Arbeitgeber und Arbeitnehmer rechtlich zwar formal gleichberechtigte Partner sind, aber de facto die konkrete Ausgestaltung der Arbeitsverträge vom Arbeitgeber dominiert wird, er hat auch das Weisungsrecht.
Wer eingestellt werden will, ist daher gewollt oder nicht bereit, dafür auch Zugeständnisse hinzunehmen. Wenn an den Arbeitsvertrag Klauseln zur Offenbarung bestimmter Daten versehen sind, ist es auf dem Arbeitsmarkt schwer, die Klauseln abzulehnen, selbst wenn man das Recht formal auf seiner Seite hat. Arbeitsnehmer befinden sich daher objektiv in einem besonderen Abhängigkeitsverhältnis zum Arbeitgeber und bedürfen daher auch des besonderen Schutzes.
Schaut man in die VO 45/2001 (Datenschutz durch EU-Institutionen) dann gilt diese ganz klar auch für Beschäftigungsverhältnisse, sie enthält das Zustimmungsprinzip („die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben“) Diese Formulierung blendet die Spezifik von Arbeitsbeziehungen eben aus, Arbeitnehmer bleiben erpressbar. Wir haben im Voss-Bericht auf unseren Antrag hin eine etwas günstigere Formulierung unter Punkt 13: „weist darauf hin, dass die freiwillige Zustimmung im Bereich der Arbeitsverträge nicht vorausgesetzt werden kann“).
Ich finde, wir sollten, auch auf Grund der großen Uneinheitlichkeit des Datenschutzes in den Mitgliedsstaaten, auf EU-Ebene klare Regelungen zum Datenschutz der Arbeitnehmer anstreben.
Wir unterstützen sehr die Grundsatzposition des DVD, dass Einwilligungen im Arbeitsverhältnis nur in Ausnahmefällen als Zulässigkeitsgrundlage dienen dürfen.
Ein hohes Schutzniveau ist nötig, klare Begrenzungen für die Verarbeitung von Beschäftigten Daten, das Verbot, Beschäftigte per Video oder Ton zu überwachen. Ein Punkt weckt meinen besonderen Ehrgeiz. Ärztliche Untersuchungen dürfen nur dann beispielweise als Einstellungsvoraussetzung erfolgen, wenn dies für die konkrete Tätigkeit erforderlich ist. Die ärztliche Schweigepflicht muss das bleiben, was sie ist – eine Schweigepflicht und keine Legitimation zum Datensammeln, die Ärzte dürfen nicht zu Datenkontrolleuren gemacht werden. Dies ermöglicht aber die VO 45/2001.
Mein persönlicher Wunsch ist, dass die EU und das Europäische Parlament hier eine Vorreiterrolle spielen.
Ich sage vor dem Hintergrund, dass bis zum heutigen Tag EU-Beamte einschließlich aller unserer beim Parlament eingestellten Assistenten eine medizinische Untersuchung vor der bzw. im Zusammenhang mit der Einstellung zu absolvieren haben, deren Datenschutzwidrigkeit himmelschreiend ist. Sowohl die medizinische Untersuchung als auch der dazu gehörige Fragebogen spotten jedes Datenschutzes. Neben den üblichen Fragen zur Person werden dort Fragen nach der Krankengeschichte der Familie gestellt, nach einer ganzen Liste möglicher Krankheiten wird gefragt, auch Geschlechtskrankheiten. Ob man je bei einem Neurologen oder Psychiater war, wenn ja, bei wem und aus welchem Grund, klassische Lifestyle-Fragen, für Frauen Urintest unter Berücksichtigung der Menstruation mit Angabe der letzten Periode. Bluttest für alle, EKG usw. Speicherzeit übrigens 30 Jahre. Ich habe gemeinsam mit einigen GUE-Kollegen und Kollegen anderer Fraktionen diese Problematik mehrfach aufgegriffen. Einige Assistenten der GUENGL haben sich lange Zeit geweigert, Untersuchung und Fragebogen nachzukommen. Ich persönlich habe mich an den Europäischen Datenschutzbeauftragten, an den EP-Präsiedenten Herrn Buzek, die Präsidenten und den Medizinischen Dienst selbst gewandt und stieß auf eine Wand des Unterverständnisses, der Ablehnung, obwohl wir sogar ein wissenschaftliches Gutachten als Fraktion erarbeiten ließen, das glasklar die Rechtswidrigkeit dieser Gesundheitsfragenbögen ergab.
Mir wurde vorgeworfen, ich würde die gesundheitliche Betreuung meiner Assistenten verhindern, eine Art Nestbeschmutzerin, die das Gute im Kern nicht erkennt. Schließlich wurden die Assistenten brachial unter Druck gesetzt, die sofortige Kündigung angedroht. es gab seitens der Verwaltung keinerlei Einsicht, noch nicht einmal einen Kompromiss. Was ich verlange, ist dass das EP, die EU wenigstens selbst die Grundnormen des Schutzes personenbezogener Daten einhält. Ich finde, dass ist wirklich nicht zuviel verlangt.
Liebe Kolleginnen und Kollegen, umso nötiger ist die heutige Debatte. Ich freue mich, dass wir mit dem Direktor für Grundrechte und Unionsbürgerschaft, Herrn Nemitz, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit Prof. Gola, dem Vorsitzenden des Bundesverbandes der Datenschutzbeauftragten Deutschlands, Herrn Spaeing und der Vorsitzenden der Deutschen Vereinigung für Datenschutz Frau Karin Schuler sowie meinen Kolleginnen und Kollegen der anderen Fraktionen geballte Kompetenz an einem Tisch haben und wünsche der Veranstaltung guten Verlauf.