Daten ohne Schutz: Gläserne Belegschaften? Gläserne Betriebe ...
Daten ohne Schutz: Gläserne Belegschaften? Gläserne Betriebe ...
Daten ohne Schutz: Gläserne Belegschaften? Gläserne Betriebe ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
24<br />
§ 32d Abs. 3 legalisiert Maßnahmen zur Compliancekontrolle und<br />
Korruptionsbekämpfung. Die Regelung ist datenschutzrechtlich nicht akzeptabel.<br />
Sie verstößt gegen das Prinzip der <strong>Daten</strong>sparsamkeit und <strong>Daten</strong>vermeidung, gegen<br />
den Erforderlichkeitsgrundsatz und ist zudem unverhältnismäßig. Das Regelungsziel<br />
des derzeit gültigen § 32 Abs. 1 S. 2 BDSG wird in sein Gegenteil verkehrt. Es gibt<br />
bisher keine Hinweise, dass "Rasterfahndungen" eine wirksame Methode zur<br />
Compliancekontrolle sein können. Deren Einsatz bei der Deutschen Bahn AG<br />
brachte keine sinnvollen Erkenntnisse. Die geplante Regel dient der<br />
Beweiserforschung und nicht der Beweiserhebung. Arbeitgeber dürften danach <strong>ohne</strong><br />
konkreten Verdacht und <strong>ohne</strong> Anlass Beschäftigtendaten in pseudonymer oder<br />
anonymer Form automatisiert erheben, verarbeiten und nutzen. Die Beschäftigten<br />
würden jeweils einem Generalverdacht ausgesetzt. Die Regelung ist nicht mit dem<br />
Recht auf informationelle Selbstbestimmung und dem durch das<br />
Bundesverfassungsgericht und dem Bundesarbeitsgericht anerkannten <strong>Schutz</strong> vor<br />
einer Vollüberwachung vereinbar (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Ziff<br />
148, BAG, Beschl. v. 26.08.2008, 1 ABR 16/07, Ziff. 15).<br />
Der Absatz hat zudem gravierende Regelungsschwächen. Gemäß § 3 Abs. 6 sind<br />
<strong>Daten</strong> nur anonym, wenn sie einer Person nicht mehr oder nur unter<br />
unverhältnismäßig hohem Aufwand zugeordnet werden können. Daher ist eine<br />
Personalisierung anonymisierter <strong>Daten</strong> schon begriffslogisch nicht möglich. Der<br />
Entwurf berücksichtigt nicht den Umstand, dass nach der aktuellen Rechtsprechung<br />
der Arbeitsgerichte Fälle des Diebstahls oder der Unterschlagung von geringwertigen<br />
Sachen als schwerwiegende Pflichtverletzungen angesehen werden.<br />
Rasterfahndungen mit Beschäftigtendaten wären damit voraussetzungslos möglich.<br />
Die bei der Deutschen Bahn AG im Jahr 2009 bekannt gewordenen<br />
<strong>Daten</strong>schutzverstöße, die in der Öffentlichkeit zu berechtigter Empörung und<br />
rechtlich zu einer massiven Ahndung führten, ließen sich über die geplante Regelung<br />
rechtfertigen.<br />
§ 32d Abs. 3 Satz 1 sollte die Straftatbestände, deren Verwirklichung durch die<br />
Maßnahmen der <strong>Daten</strong>rasterung aufgedeckt oder verhindert werden sollen, so<br />
konkret wie möglich und nicht nur beispielhaft nennen. Durch eine Bagatell- bzw.<br />
Relevanzschwelle ist eine unverhältnismäßige Verarbeitung von <strong>Daten</strong> für die<br />
Bekämpfung minimaler und irrelevanter Schäden zu vermeiden.<br />
Die automatisierte Verarbeitung von Beschäftigtendaten zur Einhaltung der<br />
Compliance kann nur aufgrund eines Stufensystems und streng zweckgebunden<br />
zugelassen werden. Ein dauerhaftes, systematisches und automatisiertes Auswerten<br />
personenbezogener <strong>Daten</strong> muss unzulässig bleiben. Gefordert werden muss in<br />
jedem Fall ein konkreter Anlass oder eine konkrete Kontrollnotwendigkeit. Der erste<br />
Schritt einer automatisierten Kontrolle darf nur mit gruppenbezogenen <strong>Daten</strong><br />
erfolgen. Ergibt sich ein erster Verdacht, ist die Gruppe der in Betracht kommenden<br />
Täter in Hinblick auf den Vorwurf einzugrenzen. Eine systematische Überwachung<br />
und Kontrolle dieser Gruppe erfolgt dann mit pseudonymen <strong>Daten</strong>. Konkretisiert oder<br />
bestätigt sich der Verdachtsfall, können die <strong>Daten</strong> personalisiert und bezogen auf<br />
konkrete Einzelpersonen ausgewertet werden. Diese Maßnahmen müssen<br />
ausnahmslos der Vorabkontrolle unterliegen.<br />
Zusätzlich sind Verfahrensgarantien für die personalisierte Auswertung von<br />
Beschäftigtendaten zu etablieren. Neben den bereits in Absatz 3 S. 3 und 4