Innenminister Thomas de Maizière (CDU) plant ein neues Gesetz zum Arbeitnehmer-Datenschutz. Anlass waren die Datenschutzskandale bei Unternehmen wie der Deutschen Bahn, Lidl oder der Deutschen Telekom. Doch über den Entwurf gibt es geteilte Meinungen. Datenschützer bemängeln, der Entwurf verschlechtere den Datenschutz für Beschäftigte sogar.
Rechtsanwalt und Datenschutzexperte Jens Nebel von der Wirtschaftskanzlei Kümmerlein Rechtsanwälte & Notare in Essen warnt aus anderen Gründen: „Die Umsetzung von Compliance-Richtlinien wird für Unternehmen deutlich erschwert.“ CIO.de sprach mit ihm.
CIO: Was halten Sie generell von einem neuen Arbeitnehmer-Datenschutzgesetz?
Jens Nebel: Man muss das Ganze differenziert betrachten. Beschäftigtendatenschutz ist ein wichtiges Thema, nicht nur für die Arbeitnehmer, sondern auch für die Unternehmen, die beim Umgang mit Daten natürlich gerne eine gewisse Rechtssicherheit hätten. Insoweit ist es zu begrüßen, dass es diese Gesetzesinitiative gibt. Man muss zum Hintergrund wissen: Das Thema ist mittlerweile ein Evergreen des Datenschutzrechts. Es geistert schon seit Jahren durch die Fachwelt. Bisher ist es aber nie zu einer Gesetzesinitiative gekommen.
CIO: Woran lag das?
Jens Nebel: Der Handlungsdruck war in der Vergangenheit nicht so hoch. Durch die sogenannten Datenschutzskandale der letzten Jahre hat er sich deutlich erhöht, das hat zu einer fast blindwütigen Aktivität des Gesetzgebers geführt.
CIO: Sie sagen "sogenannte Datenschutzskandale", waren das keine richtigen Skandale?
Jens Nebel: Sicherlich waren etliche Fälle dabei, wo man ganz klar sagen muss, das war so nicht in Ordnung. Mein Problem ist eher: Was ist die Folge davon, was wurde dadurch los getreten? Es wurde in der der Diskussion so getan, als sei das alles ein Problem mangelnder gesetzgeberischer Regelungen. Das ist mir jedoch zu pauschal. Vielfach handelt es sich um Dinge, die schon nach dem alten Datenschutzrecht ganz klar rechtswidrig waren. Deswegen kann mit diesen Vorfällen die Notwendigkeit einer Neuregelung jedenfalls nicht begründet werden.
CIO: Also wurden die bestehenden Gesetze bisher nicht richtig angewendet oder beachtet?
Jens Nebel: Das Datenschutzrecht in Deutschland ist in der Tat schon sehr restriktiv. Es ist so konzipiert, dass es von einem grundsätzlichen Verbot mit Erlaubnisvorbehalt ausgeht. Das heißt, eine Datenverarbeitung ist nach dem Gesetz erst einmal per se verboten. Es sei denn, derjenige der sie durchführt, kann eine Erlaubnis dafür vorweisen, also eine Einwilligung des Betroffenen oder einen gesetzlichen Ausnahmetatbestand. Derjenige, der in diesem Bereich etwas machen will, befindet sich konzeptionell in einer Rechtfertigungssituation. Die bisherige Rechtslage stellt also keineswegs einen Freifahrtschein für die Wirtschaft dar.
CIO: Wieso handelt der Innenminister mit der Novellierung Ihrer Meinung nach „blindwütig"?
Jens Nebel: Blindwütig ist die technische Art und Weise der Umsetzung. Es sind sicherlich viele Ansätze dabei, die man grundsätzlich mittragen kann. Das Problem, mit dem wir Juristen uns hinterher herum schlagen müssen, ist aber, dass der politische Wille, der hinter einer Gesetzesänderung steht, nicht gleichbedeutend ist mit dem Gesetz. Da kommt es darauf an, dass das, was man wollte, im Gesetzestext auch entsprechend umgesetzt worden ist - und dass es handhabbar ist. Beim Bundesdatenschutzgesetz haben wir es mit einer Materie zu tun, die in der Praxis unheimlich viele Probleme aufwirft. Es ist völlig unklar, wie sich die geplanten Änderungen in der Praxis auswirken und in welchem Sinnzusammenhang sie zu bisherigen Gesetzen stehen. Da ist sehr vieles ungeklärt und im Graubereich. Der Gesetzentwurf ist sehr undurchsichtig, für Laien völlig unverständlich, und für einen Juristen alles andere als ein Kinderspiel.
Unternehmen können kaum gegen Mitarbeiter vorgehen
CIO: Wie ist der Stand des Verfahrens?
Der Referententwurf ist noch nicht vom Kabinett verabschiedet. Offenbar will die Bundesregierung erst im Herbst weiter über das Thema beraten.
CIO: Was sind Ihre Hauptkritikpunkte?
Jens Nebel: An vielen Stellen wurden Positionen von Datenschützern, insbesondere der datenschutzrechtlichen Aufsichtsbehörden, mehr oder weniger unreflektiert ins Gesetz übernommen. Diese vertreten in der Regel eine sehr restriktive Position. Das ist nun mal deren Job. Gleichwohl muss man das Gesamtbild sehen, und es gibt sehr valide Interessen der Wirtschaft für bestimmte Vorgänge. Unternehmen sind ja dazu verpflichtet, Vorkehrungen gegen bestimmte Risiken zu treffen. Da legt der aktuelle Gesetzentwurf den Unternehmen aber erhebliche Steine in den Weg.
Die Umsetzung von Compliance-Richtlinien, die Einhaltung gesetzlicher Anforderungen, zum Beispiel an die IT-Sicherheit und - paradoxerweise - auch an den Datenschutz, würde damit deutlich schwerer fallen. Ein Beispiel: Wie soll der Compliance-Beauftragte einer Firma überprüfen, ob ein Mitarbeiter beispielsweise regelmäßig Gelder auf die Caymans transferiert, wenn er selbst bei erheblichen Verdachtsmomenten die Zahlungen nicht personenbezogen zum Täter zurückverfolgen darf?
Ein anderes Beispiel: Der Einblick in Mails, Faxe und Telefongespräche der Mitarbeiter, um mögliche Rechtsverstöße zu kontrollieren, wird verboten - jedenfalls wenn Mitarbeiter diese Medien auch für private Zwecke nutzen dürfen. Der Arbeitgeber rutscht hier in die gleiche datenschutzrechtliche Verantwortlichkeit wie ein IT-Serviceprovider, etwa T-Online. Er muss also das Fernmeldegeheimnis beachten, was dazu führt, dass übliche Compliance-Maßnahmen wie etwa die stichprobenhafte Auswertung des E-Mail-Verkehrs auf einmal unzulässig und sogar strafbar werden. Aber: Unternehmen können dann kaum mehr gegen Mitarbeiter vorgehen, die im Internet strafbare Äußerungen machen oder die sich Kinderpornoseiten anschauen. Die Empfehlung kann dann nur noch lauten, die Privatnutzung von dienstlichen Telekommunikationsmitteln kategorisch zu verbieten. Das ist im Einzelfall rechtlich aber nicht immer möglich, wenn sich eine Privatnutzung bereits etabliert hat. Die technische Trennung der privaten und beruflichen Nutzung ist hingegen meist zu teuer und zu aufwändig.
CIO: Sie sehen Schwierigkeiten auf die Unternehmen zukommen, verschiedene gesetzliche Regelungen zu beachten, die sich gegenseitig widersprechen?
"Systematik des Gesetzentwurfs ist unausgegoren"
Jens Nebel: Richtig, das ist eine Folge der unausgegorenen Systematik des Gesetzentwurfs. Auch die jetzige Situation lässt bereits viele Unklarheiten. Doch die Lösung kann nicht darin bestehen, die Unklarheiten jetzt so aufzulösen, dass Unternehmen dazu verpflichtet werden, etwas zu tun, was sie rechtlich auf der anderen Seite gar nicht dürfen. Da muss man sich noch einmal Gedanken machen, wie man diese Pflichtenkollision in einer für die Unternehmen verträglichen Weise auflösen kann. Meine Bitte lautet, etwas mehr Sorgfalt in den Gesetzgebungsprozess zu stecken. Denn wir Praktiker müssen uns im Zweifel nachher damit herumärgern. Es hilft ja niemandem, wenn Unternehmen gezwungen werden, sich zwischen zwei rechtlich fragwürdigen Szenarien zu entscheiden. Das ist kein tragbarer Zustand - auch im Sinne des Wirtschaftsstandortes Deutschland. Schon durch die letzten Novellen ist das Datenschutzrecht nicht gerade besser oder durchschaubarer geworden.
Jens Nebel (34) ist Rechtsanwalt für IT-Recht und Experte für Datenschutz bei der Kanzlei Kümmerlein Rechtsanwälte & Notare. Als größte Wirtschaftskanzlei des Ruhrgebietes berät sie vom Standort Essen aus mit über 40 Anwälten und Notaren Industriekonzerne und Familienunternehmen aus der Region und dem Bundesgebiet; dazu kommen Auftraggeber aus Behörden und Kommunen.