Neuregelung des Beschäftigtendatenschutzes
der Abgeordneten Jan Korte, Dr. André Hahn, Ulla Jelpke, Petra Pau, Dr. Petra Sitte, Kersten Steinke, Frank Tempel, Kathrin Vogler, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Mit dem Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes reagierte die damalige Bundesregierung auf die Datenschutzskandale der späten 2000er-Jahre. Durch fehlende gesetzliche Vorgaben entstand bei den Arbeitgeberinnen und Arbeitgebern offenbar der Eindruck, dass das Überwachen ihrer Beschäftigten völlig legitim sei. Immer wieder gab es Berichte über heimliche Videoüberwachungen und PC-Durchsuchungen durch Arbeitgeber, über Bespitzelungen von Bewerbern oder Angestellten in sozialen Netzwerken oder das Sammeln, Weitergeben sowie den Abgleich von Sozialdaten weit über das Notwendige hinaus.
Der Gesetzentwurf der damaligen Bundesregierung wurde in der 17. Wahlperiode parlamentarisch in erster Lesung und in einer Sachverständigenanhörung im Innenausschuss des Deutschen Bundestages behandelt. Die Kritik am Entwurf war deutlich und vielfältig. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder war „enttäuscht“ von dem neuen Entwurf und attestierte ihm trotz bzw. wegen eingearbeiteter Änderungen in einer Entschließung vom 25. Januar 2013 „erhebliche Mängel“ (www.bfdi.bund.de „Beschäftigtendatenschutz nicht abbauen, sondern stärken!“). Dabei schätzten die Datenschutzbeauftragten insbesondere zwei Punkte als bedenklich ein: Zum einen die im Gesetzentwurf enthaltenen Vorgaben zur Videoüberwachung. Zwar seien versteckte Videoaufzeichnungen nun untersagt; offene dürften dafür exzessiver eingesetzt werden. Zudem seien die Regelungen diesbezüglich unverständlich und der Rechtssicherheit nicht zuträglich. Zum anderen standen die Regelungen zu Datenerhebungsbefugnissen im Bewerbungsverfahren im Fokus der Kritik. Hier wurde besonders der durch Änderungen quasi entfallene Ausschluss von Arbeitgeberrecherchen über Bewerberinnen und Bewerber in sozialen Netzwerken außerhalb spezieller Bewerbungsportale scharf kritisiert; so werde der Grundsatz der Direkterhebung bei den Betroffenen unterlaufen.
Massive Kritik äußerten auch die Gewerkschaften. Hier waren es insbesondere der Deutsche Gewerkschaftsbund (DGB) und die ver.di – Vereinte Dienstleistungsgewerkschaft, die sich über eine ungenügende Einbindung der Gewerkschaften in die Regelungen beschwerten und die fehlende Sanktionsmöglichkeiten bei Datenschutzverstößen rügten. Zudem wurde angemerkt, dass der Entwurf nicht die Arbeitnehmer schütze, sondern lediglich die Arbeitgeber davon profitierten (Passauer Neue Presse, 26. August 2010).
Konsequenz der heftigen Kritik waren der Verzicht auf eine Beschlussfassung im Parlament und die Ankündigung weiterer Gespräche. Bis zu diesem Datum existieren nach wie vor keine, die Beschäftigten angemessen und ausreichend schützenden Vorgaben.
Dass gesetzliche Regelungen zum Beschäftigtendatenschutz allerdings unerlässlich sind, wird jedoch immer wieder deutlich. Neben den weiter wachsenden technischen Möglichkeiten zu profilingähnlichen Recherchen über Mitarbeiterinnen und Mitarbeiter, automatisierten Kontrollen und Überwachungen werden von Arbeitgebern auch andere schon vorhandene Datenbanken und Dateien genutzt, um ihre Belegschaften auszuforschen. Hierher gehören Meldungen, dass der Daimler-Konzern nun die Daten seiner Beschäftigten mit Anti-Terrorlisten abgleicht. Dies wurde am 12. November 2014 per Konzernvereinbarung durch den Vorstand der Daimler AG zusammen mit dem ansässigen Betriebsrat beschlossen. Demnach werden nun die Stammdaten der 280 000 Beschäftigten des Unternehmens einmal im Quartal mit den geführten Terrorlisten abgeglichen. Bei Übereinstimmungen folgen die Freistellung der Betroffenen und ein Gehaltszahlungsstopp. Darüber hinaus unterscheidet sich die Methodik der Überprüfung abhängig vom Status der Beschäftigten: Leitende Angestellte werden einem anderen Verfahren unterzogen als lohnabhängig Beschäftigte. Weiter soll der Abgleich nicht mehr, wie bisher, über die die Mitarbeiterkonten verwaltende Bank durchgeführt werden, sondern durch das Unternehmen selbst. Begründet wird diese Maßnahme mit den Antiterrorgesetzen der Europäischen Union (EU) und darüber hinausgehend mit denen der USA (www.datenschutz.de vom 18. Januar 2015 „Mitarbeiter-Screening mit Terrorlisten“).
Die bestehende Möglichkeit des anlasslosen Datenabgleichs bei einem Verdacht auf Straftaten wurde im Zusammenhang mit der Gesetzentwurfsevaluierung zum Beschäftigtendatenschutz durch den damaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, kritisiert, der konkrete Nachbesserungen forderte. Eine Reaktion seitens der Bundesregierung in Form von parlamentarischen Initiativen gab es bisher nicht. Offenbar vertraut man auf Regelungen, die irgendwann die europäische Ebene vorgeben soll.
Die Datenschutz-Grundverordnung der EU (DS-GVO) soll auch den Beschäftigtendatenschutz zumindest im Mindestmaß regeln. Im Streit um die seit Jahren geplante EU-Datenschutzreform warnt der DGB indes aktuell davor, „einer weitflächigen Überwachung im Betrieb Tür und Tor zu öffnen“. Als Beispiel nannte DGB-Vorstandsmitglied Annelie Buntenbach in der „Neuen Osnabrücker Zeitung (NOZ)“ vom 28. Januar 2015 die Möglichkeit von „Nacktscannern“ an Werkstoren und heimlicher Durchsuchungen von Beschäftigten-Computern. Nach derzeitigem Verhandlungsstand sehe die Verordnung für den Schutz von Beschäftigten lediglich minimale Standards vor, die nach Verabschiedung der DS-GVO unmittelbar bindendes Recht für die Mitgliedstaaten der Europäischen Union würden (vgl. NOZ vom 28. Januar 2015).
Wir fragen die Bundesregierung:
Fragen43
Auf welcher gesetzlichen Grundlage ist es Arbeitgebern möglich, die Daten ihrer Angestellten mit welchen Fahndungslisten, Antiterrorlisten oder ähnlichen, zum Zweck der Strafverfolgung und der Prävention geführten Datenbanken abzugleichen, und wie ist nach Kenntnis der Bundesregierung der unternehmerische Zugang jeweils geregelt (bitte nach polizeilichen und nachrichtendienstlichen Datenbanken und Dateien unterscheiden)?
Unter welchen gesetzlichen Voraussetzungen können Akteure der Privatwirtschaft auf die Datenbanken der nationalen und europäischen Sicherheitsdienste zurückgreifen?
Welche Datenbanken und Listen werden nach Kenntnis der Bundesregierung von welchen Sicherheitsbehörden zum Abgleich von Beschäftigtendaten mit welchem Zweck und auf welcher gesetzlichen Grundlage den Unternehmen zur Verfügung gestellt?
Welche Konsequenzen sieht die Bundesregierung für Beschäftigte, die unbegründet unter Terrorismusverdacht gesetzt werden?
Welche Rechtschutzmöglichkeiten haben die Beschäftigten bisher in Fällen eines Anti-Terrorlisten-Abgleichs, und plant die Bundesregierung diesbezüglich Regelungen zu schaffen, die es den Beschäftigten ermöglichen, sich juristisch gegen ihre Arbeitgeberinnen und Arbeitgeber zu wehren?
Gibt es nach Kenntnis der Bundesregierung Regelungen, z. B. in Arbeitsverträgen, Betriebsvereinbarungen o. Ä., in denen die Beschäftigten ihre Einwilligung zu einem solchen Abgleich erklären (müssen)?
Erfahren die Beschäftigten nach Kenntnis der Bundesregierung von einem konkret anstehenden Abgleich, und existieren vor dem Vollzug des Abgleichs Widerspruchsmöglichkeiten für die Beschäftigten?
Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus der von der Daimler AG und dem hausinternen Betriebsrat am 12. November 2014 beschlossenen Konzernvereinbarung aus juristischer Perspektive und unter Datenschutzaspekten diesbezüglich?
Ist der Bundesregierung bekannt, auf welche EU-Gesetzgebung sich die Daimler AG konkret als gesetzliche Grundlage der Sicherheitsüberprüfung ihrer Beschäftigten beruft?
Wenn ja, welche ist dies, und welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung daraus?
Wie wurden die EU-Verordnungen (EG) Nr. 2580/2001, (EG) Nr. 881/2002 und (EU) Nr. 753/2011, die der Europäische Rat aufgrund eines UN-Sicherheitsratsbeschlusses im Dezember 2001 erlassen hat, nach Kenntnis der Bundesregierung in deutschen Unternehmen umgesetzt (bitte nach Arbeitsstätten in der Bundesrepublik Deutschland und im Ausland darstellen)?
Welche weiteren europäischen und deutschen Gesetze, Verordnungen bzw. Richtlinien beziehen sich nach Kenntnis der Bundesregierung auf diese Verordnungen?
Hat die Bundesregierung die Verfassungskonformität dieser Verordnung und ihrer Folgeregelungen überprüft?
Wenn ja, wann, und mit welchem Ergebnis?
Wenn nein, warum nicht?
Stimmt die Bundesregierung der Beurteilung des Bundes Deutscher Arbeitgeber (BDA) zu, der in seinem Leitfaden „Anti-Terrorgesetzgebung“ feststellt, dass „[i]n den Verordnungen […] nicht auf die Frage eingegangen wird, was konkret zu unternehmen ist“, und hält sie vor diesem Hintergrund die aktuelle Ausgestaltung der Grundrechtseingriffe für zulässig (bitte begründen)?
In welcher Form ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle in diese Screenings bzw. Abgleiche eingebunden, auf welcher Rechtsgrundlage geschieht das, wer kontrolliert die Arbeit des Bundesamtes, und welche weiteren Bundes- und Landesbehörden sind grundsätzlich, welche im Falle von Treffern eingebunden?
Ist der Bundesregierung bekannt, auf welche Datenbanken und Listen die Daimler AG bei der Sicherheitsüberprüfung konkret zurückgreift?
Wenn ja, welche sind dies, und auf welcher gesetzlichen Grundlage basiert jeweils der Abgleich?
Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus der Tatsache, dass die Daimler AG die Art der Sicherheitsüberprüfung vom Status ihrer Mitarbeiterinnen und Mitarbeiter abhängig macht?
Ist der Bundesregierung bekannt, ob weitere privatwirtschaftliche Konzerne und Unternehmen die Daten ihrer Beschäftigten regelmäßig mit den Datenbanken der deutschen und europäischen Sicherheitsbehörden abgleichen (bitte nach Konzern bzw. Unternehmen, Datenbank, Anzahl der abgeglichenen Datensätze, Behörde, gesetzlicher Grundlage und Begründung aufschlüsseln)?
In welchen Unternehmen wurden nach Kenntnis der Bundesregierung solche Abgleiche ohne Beteiligung der Personalvertretungen eingeführt?
Kann die Bundesregierung bestätigen, dass bei Siemens ohne Betriebsvereinbarung und bei jeder Gehaltszahlung ein Abgleich mit EU- und US-Terrorlisten durchgeführt wird (www.datenschutz.de vom 18. Januar 2015), und welche Schlussfolgerungen und Konsequenzen zieht sie aus diesem Verfahren?
Welche Unternehmen verzichten nach Kenntnis der Bundesregierung auf gesonderte Abgleiche und führen stattdessen bei den Gehaltszahlungen direkt bei den Banken diesen Abgleich durch?
Welche Unternehmen unterscheiden nach Kenntnis der Bundesregierung bei den Screenings bzw. den Abgleichen, wie beispielsweise Thyssen-Krupp (www.datenschutz.de vom 18. Januar 2015), der nur einen Teil seiner Beschäftigten, nämlich die im Kriegsschiffbau Tätigen, screent, nach Unternehmenssparten (z. B. Rüstungssparte, Sicherheitstechnologien etc.)?
Inwieweit und ggf. auf welcher Rechtsgrundlage werden auch Geschäftspartner und Kunden der Unternehmen mit welchen Terrorlisten abgeglichen, und in welcher Form werden diese Abgleiche nach Kenntnis der Bundesregierung mit welchen Daten der Geschäftspartner und Kunden durchgeführt, in welcher Form werden sie wann über dieses Verfahren informiert, und wie informieren sie wiederum ihre Mitarbeiterinnen und Mitarbeiter?
Ist der Bundesregierung bekannt, ob auch Daten der Beschäftigten im öffentlichen Dienst außerhalb vorgeschriebener Sicherheitsüberprüfungsregelungen zum Zwecke der Terrorismusbekämpfung mit den Datenbanken der nationalen und europäischen Sicherheitsbehörden abgeglichen werden?
Wenn ja, welche öffentliche Stelle gleicht die Daten ihrer Beschäftigten auf welcher gesetzlichen Grundlage mit den Datenbanken der nationalen und europäischen Sicherheitsbehörden ab (bitte nach öffentlicher Stelle, Anzahl der abgeglichenen Daten, Abgleichsbehörde, Abgleichsdatenbank und jeweiliger gesetzlicher Grundlage aufschlüsseln)?
Existieren für Angestellte im öffentlichen Bereich andere Regelungen hinsichtlich des Abgleichs ihrer Daten mit den Datenbanken und Listen der Sicherheitsbehörden in Bezug auf Methode und Häufigkeit?
Wenn ja, welche, und mit welcher Begründung?
Wie viele „Treffer“ haben sich seit dem Jahr 2002 in der Bundesrepublik Deutschland außer dem öffentlich gewordenen Fall des Daimler-Mitarbeiters S. I. im Jahr 2006 ergeben (www.datenschutz.de vom 18. Januar 2015), und welche Folgen hatte das nach Kenntnis der Bundesregierung für die jeweils Betroffenen?
Gibt es konkrete Planungen der Bundesregierung, noch in dieser Legislaturperiode explizite Regelungen zum Beschäftigtendatenschutz in Form eines eigenen Beschäftigtendatenschutzgesetzes zu schaffen?
Wenn ja, wie ist diesbezüglich der aktuelle Stand, und welcher Zeitplan existiert?
Wenn nein, warum nicht?
Plant die Bundesregierung beim Beschäftigtendatenschutz unterschiedliche gesetzliche Regelungen für den öffentlichen und den privaten Bereich?
Wenn ja, mit welcher Begründung, und worin wird der Unterschied bestehen?
Plant die Bundesregierung, verbindliche Regelungen für den Abgleich von Beschäftigtendaten mit Drittstellen zu schaffen?
Wenn ja, zu welchem Zweck, wie sollen diese aussehen, und welche davon sollen automatisiert erfolgen (bitte unter Angabe der angedachten Drittstellen)?
Wenn nein, warum nicht?
Welche Auskunftspflichten des Arbeitgebers gegenüber dem Arbeitnehmer hinsichtlich der von ihm gespeicherten Daten bezüglich der Erhebung, Speicherung und Weitergabe an Dritte sieht die Bundesregierung in möglichen Neuerungen zum Beschäftigtendatenschutz vor?
Welche Regelungen für die Videoüberwachung am Arbeitsplatz, plant die Bundesregierung einzuführen?
Welche Regelungen hinsichtlich von PC-Durchsuchungen von Arbeitnehmern, plant die Bundesregierung einzuführen?
Plant die Bundesregierung die Einführung von einheitlichen Regelungen zum Datenschutz im Bewerbungsverfahren, insbesondere der Erhebung und Verarbeitung von Bewerberdaten aus sozialen Netzwerken?
Wenn ja, welche?
Welche Regelungen plant die Bundesregierung hinsichtlich des Einsatzes von biometrischen Verfahren zur Erfassung und Überwachung von Arbeitnehmerinnen und Arbeitnehmern?
Welche konkrete Rolle misst die Bundesregierung den Personal- und Betriebsräten bei der Datenerhebung, -verwaltung und -speicherung bei?
Plant die Bundesregierung die Einführung von betriebsinternen Einschränkungs- oder Ausschlussmöglichkeiten der gesetzlichen Regelungen zum Beschäftigtendatenschutz durch beispielsweise Kollektiv- oder Betriebsvereinbarung?
Welche Rolle misst die Bundesregierung den betrieblichen Datenschutzbeauftragten bei, welche Voraussetzungen sollten diese ihrer Meinung nach erfüllen, und plant sie, diesen bei einer Neuregelung des Beschäftigtendatenschutzes mehr Befugnisse, beispielsweise Sanktionsmöglichkeiten bei Datenschutzverstößen, zukommen zu lassen?
Inwieweit, aus welchen Gründen und in welchen konkreten Punkten hält die Bundesregierung die zukünftige DS-GVO für eine geeignete Grundlage zur Regelung des Beschäftigtendatenschutzes, und in welcher Form sollten diese Vorgaben in die nationale Gesetzgebung implementiert werden?
Teilt die Bundesregierung die Befürchtung von DGB-Vorstandsmitglied Annelie Buntenbach, dass „audiovisuelle Überwachungsmaßnahmen oder der Einsatz von Chipkarten im Betrieb“ mangels eines ausdrücklichen Regelungsverbots dieser Schutzlücke im Verordnungsentwurf erlaubt wären (bitte begründen)?
Trifft es zu, dass Betriebsvereinbarungen, die solche Praktiken heute verbieten, wegen des Vorrangs des Europarechts nach Verabschiedung der DS-GVO ihre Wirkung verlieren würden?
Trifft es zu, dass sich die europäischen Innen- und Justizminister im Dezember 2014 darauf verständigt haben, dass nach Verabschiedung der DS-GVO nationale Gesetze die EU-Vorgaben nicht im Sinne des Datenschutzes strenger ausformen dürften, wodurch strengere deutsche Regelungen und die Urteile des Bundesverfassungsgerichts ggf. unterlaufen würden?
Ist die Bundesregierung bemüht, Öffnungsklauseln in diesem Bereich der Datenschutzgrundverordnung zu integrieren, und wenn ja, an welcher Stelle, mit jeweils welcher Begründung, und welchem Ziel?
Welche EU-Mitgliedstaaten verfolgen nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen, wie es Jan Philipp Albrecht, der Berichterstatter des Europäischen Parlaments für die DS-GVO, kritisierte (www.heise.de vom 4. März 2015 „ ,Rote Linie überschritten‘: Scharfe Kritik an Aufweichung der EU-Datenschutzreform“), welche Regelungen sind hierfür derzeit angedacht, und welche Position hat die Bundesregierung selbst bei den entsprechenden Beratungen dazu jeweils vertreten?
Soll künftig nach Auffassung der Bundesregierung die EU-Datenschutzgrundverordnung Behörden und Unternehmen erlauben, Daten auch für Zwecke zu verwenden, die die Verbraucher zuvor nicht genehmigt haben, und dass diese Daten auch an Dritte weitergeben dürfen?
Wenn ja, warum?
Befürwortet die Bundesregierung, dass künftig auf Grundlage der EU-Datenschutzgrundverordnung Unternehmen oder Behörden den Verbraucher nicht über eine Datenweitergabe an Dritte oder eine andere, als die genehmigte Verwendung informieren müssen, wenn sie begründen können, dass ihr Interesse überwiegt, und wer definiert und kontrolliert das Überwiegen des Unternehmensinteresse?