1. Oktober 2009 - Aufsehenerregender Datenschutzkanal

Arbeitnehmerdatenschutz: wirkungslos?

Wie gut schützt das neue Datenschutzgesetz die Arbeitnehmer im Ernstfall? „Es fehlen klare Bußgeld-Reglungen“, so die erste Praxiserfahrung mit dem novellierten BDSG von Dr. Stefan Brink, Leiter des nicht-öffentlichen Bereichs beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz. Ihn beschäftigt der Fall eines Mainzer Unternehmers, der Personalakten mehrerer hundert Mitarbeiter in zwei großen, frei zugänglichen Containern entsorgte. Als diese voll waren, wurden weitere Akten in den umliegenden Altpapiertonnen im Wohngebiet verteilt.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Ein Unternehmer löste seinen Firmenstandort in Mainz-Weisenau auf und entsorgte den gesamten Personaldatenbestand. Es soll sich um eine Marketing-Firma aus dem Telekommunikationsbereich handeln.

2 Container voller personenbezogener Daten

Die Polizei stellte nach dem Hinweis eines aufmerksamen Anwohners Steuerunterlagen und Bankverbindungen sowie Telefon- und Handynummern sicher.

Daneben fanden sich Bewerbungsmappen mit sensiblen und geschützten Daten wie Lebensläufen, Fotografien, die eigentlich ohnehin nicht beim Unternehmer gelagert – geschweige denn unzulässig entsorgt – werden dürften, da dieser verpflichtet ist, Bewerbungen zurückzusenden.

Insgesamt handelte es sich um zwei große Container mit einem Volumen von rund 1.200 Litern.

Überstunden bei der Datenschutzaufsichtsbehörde

Inzwischen hat die Datenschutzaufsichtsbehörde nach vielen Überstunden das Material gesichtet. „Ohne die Amtshilfe von unseren Kollegen bei der Polizei wäre dies nicht zu realisieren gewesen. Wir haben weder die Fahrzeuge noch die Räumlichkeiten, um eine solche Unmenge von Akten zu transportieren und sicher zu lagern“, so Dr. Stefan Brink gegenüber Datenschutz PRAXIS.

Regelungen des neuen BDSG greifen

Das neue BDSG, das seit Anfang September in Kraft ist, greift hier insbesondere in zwei Punkten:

  1. Zum einen wurde der Anwendungsbereich des BDSG im Hinblick auf Arbeitnehmerdaten auf nicht „dateibezogene” Informationen erweitert. § 32 BDSG gilt jetzt prinzipiell für alle Formen der Speicherung oder Übermittlung von Beschäftigtendaten und ist daher auch auf handschriftliche Aufzeichnungen anzuwenden (also Schriftstücke, Dokumentationen Personalakten).
  2. Eine völlige Neuerung ohne Vorbild im deutschen Recht stellt die Informations- und Meldepflicht für Datenschutzverstöße nach § 42a dar.

Informationspflicht in der Praxis

Der betroffene Unternehmer ist nach dem neuen BDSG laut § 42a dazu verpflichtet, die Betroffenen „bei unrechtmäßiger Kenntniserlangung von Daten“ über diesen Umstand zu informieren.

 

„In der Praxis bedeutet dies, dass er jeden Betroffenen über den Fall informieren muss“, berichtet Dr. Stefan Brink. Der Verantwortliche bekommt dazu die Unterlagen überantwortet, und die Aufsichtsbehörde wird Sorge dafür tragen, dass jeder Einzelne angeschrieben wird und die Unterlagen anschließend ordnungsgemäß vernichtet werden.

BDSG-Verstoß ohne Bußgeld?

Der – mittlerweile aufwändig ausfindig gemachte – Unternehmer hat dabei in mehreren Punkten gegen das geltende BDSG verstoßen, so etwa gegen:

  • § 9 BDSG: Technische und organisatorische Maßnahmen
  • § 32 BDSG: Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses

Allerdings droht dem Unternehmer nach diesen beiden Paragrafen – gegen die er ja aufs Gröbste verstoßen hat – kein Bußgeld. Soll ein derartiger Datenschutzskandal straffrei enden?

Die Verfolgung ist rechtlich schwierig

„Wir werden ein spürbares Bußgeld nach BDSG § 43 Abs. 2 Nr. 1 ‚Unbefugte Datenübermittlung‘ anstreben. Allerdings sind einige andere Aufsichtsbehörden, die wir nach ihrer Ansicht gefragt haben, der Meinung, dass dieser Paragraf nicht einschlägig ist. Wir fordern daher klare Bußgeldvorschriften zur Verfolgung von solchen Verstößen“, so Dr. Stefan Brink.

Kurz vor Redaktionsschluss erklärt er: „Der Täter hat bei uns ein Geständnis abgelegt, die Akten werden ordnungsgemäß vernichtet und es ergeht ein Bußgeldbescheid in vierstelliger Höhe – von dem wir allerdings nicht sagen können, ob er – wegen der dargelegten unbefriedigenden Rechtslage – rechtskräftig wird.“

Mithilfe aus der Bevölkerung und gute Zusammenarbeit mit der Polizei

Trotz des offenkundig gravierenden Verstoßes gegen datenschutzrechtliche Bestimmungen hielt der Landesbeauftragte für den Datenschutz Rheinland-Pfalz (LfD) Edgar Wagner als sehr positiv fest, dass der Aufmerksamkeitsgrad in der Bevölkerung hinsichtlich datenschutzrechtlicher Probleme offenbar immer weiter zunehme. Auf eine solche Mitwirkung der Bevölkerung bei Datenschutzverstößen und -pannen bleibe der LfD auch weiterhin angewiesen.

Zudem lobte Wagner die äußerst zügige und kollegiale Zusammenarbeit mit den Mainzer Polizeibehörden.

Andrea Stickel
Andrea Stickel ist freie Journalistin.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln