31. Juli 2008 - Einsichtnahme? Ansichtssache!

Zugriffsbefugnisse des DSB auf personenbezogene Daten

Insbesondere in großen Unternehmen und Behörden kommt es immer wieder zum Streit darüber, welche Zugriffsbefugnisse der eigene Datenschutzbeauftragte besitzen muss und darf. Während dieser häufig darauf drängt, einen automatischen Zugriff auf alle Datenbestände zu erhalten, möchte die Geschäfts- bzw. Behördenleitung diesen Zugriff auf das unbedingt erforderliche Mindestmaß beschränken.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Nach den Datenschutzgesetzen (z.B. § 4g Abs. 1 BDSG) haben betriebliche oder behördliche Datenschutzbeauftragte pauschal die Aufgabe, auf die Einhaltung der Datenschutzgesetze und anderer Vorschriften über den Datenschutz hinzuwirken.

Zur Erfüllung dieser Aufgabe können sie die dazu notwendige Einsicht in Dateien und Akten der eigenen Stelle nehmen, soweit gesetzliche Regelungen nicht entgegenstehen.

Der Arbeitgeber muss den Datenschutzbeauftragten unterstützen

Die öffentlichen und die nicht öffentlichen Stellen sind dazu verpflichtet, Sie als Datenschutzbeauftragten bei der Erfüllung Ihrer Aufgaben aktiv zu unterstützen.

Insbesondere müssen sie Ihnen entsprechende Räume, Einrichtungen, Geräte und Mittel zur Verfügung stellen, soweit dies zur Erfüllung Ihrer Aufgaben erforderlich ist.

Zutritts-, Einsichts- und Zugriffsrechte

So muss Ihr Arbeitgeber Ihnen zweifellos folgende Rechte einräumen:

  • ein Zutrittsrecht zu Räumen, in denen eine personenbezogene Datenverarbeitung stattfindet
  • ein Einsichtsrecht in Geschäftsunterlagen
  • ein Zugriffsrecht auf personenbezogene Daten
Personal-, Steuer- und Geheimdaten
Strittig sind weiterhin generelle Zugriffsrechte des Datenschutzbeauftragten auf Personal-, Steuer- und Geheimdaten. Diese Zugriffsrechte machen viele Datenschutzgesetze von der Einwilligung der Betroffenen abhängig.

Soweit die Datenschutzgesetze keine Regelung vorsehen (z.B. das Bundesdatenschutzgesetz) und auch sonst keine gesetzlichen Regelungen vorhanden sind oder einem Zugriffsrecht entgegenstehen, können Datenschutzbeauftragte grundsätzlich auch auf diese Daten bzw. Akten zugreifen.

Im Einzelfall haben Sie immer ein Kontrollrecht!

Unter Beachtung des Verhältnismäßigkeitsprinzips kann Ihnen aber – egal, ob gesetzlich geregelt oder nicht – das Kontrollrecht im Einzelfall nicht versagt werden.

Die Dateneinsichtnahme muss zur Erfüllung der Aufgaben des Datenschutzbeauftragten erforderlich sein

Nähere Aussagen – insbesondere zum Umfang des Zugriffsrechts des Datenschutzbeauftragten auf Dateien mit personenbezogenem Inhalt – machen die Datenschutzgesetze nicht. Der einzige Gesetzesvorbehalt besteht damit darin, dass die Einsichtnahme zur Erfüllung seiner Aufgaben erforderlich sein muss.

Aber was ist „erforderlich“?

Doch was der Begriff „erforderlich“ in diesem Zusammenhang bedeutet, ist nirgends definiert. Häufig wird damit argumentiert, „das hängt von den näheren Umständen ab“ – eine Aussage, die niemandem wirklich weiterhilft.

Welche Einsicht erforderlich ist, legt letztendlich die Geschäftsleitung fest

Allerdings lässt sich eine allgemein gültige Aussage nur schwer treffen. Letztendlich entscheidet in der Praxis meist die Unternehmens- bzw. Behördenleitung in eigener Verantwortung, auf welche Daten der eigene Datenschutzbeauftragte Zugriffsrechte erhält.

Wenden Sie sich mit Ihren Zugriffswünschen an die Leitung und streben Sie eine einvernehmliche Regelung an

Daher sollten Sie Ihre Zugriffswünsche gut begründet der Firmen- bzw. Behördenleitung vorlegen und versuchen, auf dieser Grundlage eine einvernehmliche Regelung zu finden.

Kommt es zu keiner Einigung, können Sie nur vor den Folgen warnen

Sollte Ihr Ansinnen trotzdem abgelehnt werden, und Sie fürchten, dass es zu Beeinträchtigungen des Datenschutzes kommen kann, können Sie vor dieser Gefahr warnen.

Sie können anmerken, dass Ihre Kompetenzen und Kontrollmöglichkeiten durch die verweigerte Dateneinsichtnahme beschränkt werden. Letztendlich trägt die datenschutzrechtliche Verantwortung für die personenbezogene Datenverarbeitung sowieso die Behörden- bzw. Unternehmensleitung.

Bekommen Sie keine ausreichenden Zugriffsmöglichkeiten, können Sie Ihren Aufgaben nicht nachkommen

Ohne Zugriffsmöglichkeit auf personenbezogene Daten kann ein Datenschutzbeauftragter seinen Aufgaben schlicht nicht gerecht werden.

So könnten Sie beispielsweise keine Stichproben durchführen, um zu prüfen, ob die Verfahrensabwicklung im Rahmen der gesetzlichen Vorgaben geschieht. Denn dazu ist im Regelfall auch ein Zugriff auf personenbezogene Daten erforderlich.

Also können Sie nicht ersehen, inwieweit die erforderlichen und vorgegebenen Sicherheitsmaßnahmen beachtet und umgesetzt werden.

Im Streitfall können Sie sich an die Aufsichtsbehörde wenden

Sollte Ihnen eine dazu erforderliche Zugriffsberechtigung verweigert werden, haben Sie jederzeit die Möglichkeit, sich in dieser Angelegenheit mit der Bitte um Klärung an die Datenschutzaufsichtsbehörde zu wenden.

Informieren Sie Ihren Arbeitgeber im Vorfeld über dieses Vorgehen

Diesen Schritt sollten Sie – z.B. aufgrund der Treuepflicht aus dem Arbeitsverhältnis oder aufgrund einer Nebenpflicht aus dem Dienstvertrag eines externen Datenschutzbeauftragten – zuvor Ihrer Unternehmens- bzw. Behördenleitung ankündigen.

Damit vermeiden Sie unnötigen Ärger

Dadurch geben Sie dem Arbeitgeber nochmals die Möglichkeit, seine Vorgehensweise zu überdenken. Und Sie können unter Umständen eine schwerwiegende Verärgerung des Arbeitgebers vermeiden.

Die Kontrollrechte des DSB gegenüber der Personalvertretung sind umstritten

Streitigkeiten herrschen häufig auch zwischen der Personalvertretung und dem internen Datenschutzbeauftragten darüber, welche Kontrollrechte dieser gegenüber dem Betriebs- bzw. Personalrat hat.

Bundesarbeitsgericht untersagt eine Kontrolle bei der Personalvertretung

Gemäß einem – allerdings nicht ganz unstrittigen – Beschluss des Bundesarbeitsgerichts vom 11.11.1997 sind dem Datenschutzbeauftragten ein Kontrollrecht bei der Personalvertretung und damit auch der Zugriff auf deren Dateien versagt.

Diese Auffassung des Bundesarbeitsgerichts wird natürlich von den Personalvertretungen gerne dazu verwendet, dem Datenschutzbeauftragten ein Einsichtsrecht in ihre Unterlagen und gespeicherten personenbezogenen Daten zu verwehren.

Eine andere Position ist der Meinung, das zumindest bei Datenschutz-Verstößen eine Kontrolle erlaubt ist

Andererseits zweifeln einige maßgebliche Datenschutzexperten trotz des Gerichtsurteils daran, dass dem DSB keine Kontrollbefugnisse gegenüber der Personalvertretung zustehen.

Die im Betriebsverfassungsgesetz und in anderen Personalvertretungsgesetzen festgeschriebene Unabhängigkeit der Personalvertretung gegenüber dem Arbeitgeber schließt ihrer Meinung nach eine Kontrolle der Personalvertretung durch den Datenschutzbeauftragten als „verlängerter Arm des Arbeitgebers“ nicht unbedingt aus.

So müsste der Datenschutzbeauftragte zumindest in Fällen der Verstöße von Mitgliedern der Personalvertretung gegen Datenschutzbestimmungen – z.B. bei der Weitergabe sensibler personenbezogener Daten an Dritte – ein Kontrollrecht besitzen.

Setzen Sie am besten auf Kooperation mit der Personalvertretung

Trotzdem sollten Sie aufgrund der Rechtsprechung des Bundesarbeitsgerichts auf eine Kontrolle der Personalvertretung gegen deren Willen grundsätzlich verzichten. Legen Sie vielmehr Wert auf eine vertrauensvolle Zusammenarbeit.

Sie haben keinen Anspruch auf generellen Datenzugriff, aber zumindest auf Zugriff im Einzelfall

Zusammenfassend ist dem betrieblichen oder behördlichen Datenschutzbeauftragten zwar kein genereller Zugriff auf alle Dateien eines Unternehmens oder einer Behörde, sehr wohl aber der Zugriff im konkreten Einzelfall zu ermöglichen.

Doch auch der Anspruch im Einzelfall muss oft erst einmal durchgesetzt sein

Aber auch dieses Recht müssen Sie sich häufig erkämpfen, da nicht alle Unternehmen oder Behörden die Notwendigkeit des Datenschutzes erkennen und ihm positiv gegenüberstehen.

Diese Einstellung zum Datenschutz können Sie allerdings durch eine in der Sache zwar konsequente, aber ruhige und besonnene Handlungsweise selbst beeinflussen.

Udo Höhn
Udo Höhn arbeitet als Referent im Sachgebiet „Technik und Organisation“ beim Bayerischen Landesbeauftragten für den Datenschutz.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln