Rund zehn Millionen Lohn- und Gehaltsabrechnungen werden jeden Monat mit Software der Datev erstellt, davon acht Millionen im Rechenzentrum in Nürnberg. Dass Datenschutz für das Unternehmen höchste Priorität hat, ist deshalb selbstverständlich, denn darauf beruht das Geschäftsmodell der Genossenschaft, die vor allem IT-Dienstleister für Steuerberater und deren Mandanten ist.

"Was für unsere Kunden gilt, halten wir, angepasst an den rechtlichen Rahmen für Beschäftigtendaten, auch für unsere rund 6000 Mitarbeiter ein", sagt Rudolf Gerhard. Der 60-jährige Mathematiker ist Datenschutzbeauftragter des Unternehmens und vertritt in dieser Rolle die Rechte der Kunden, Geschäftspartner, Kollegen und der Geschäftsleitung.

Zwar ist jedes Unternehmen, das mindes-tens zehn Mitarbeiter hat, die sich mit IT beschäftigen, verpflichtet, einen Datenschutzbeauftragten zu bestellen. Viele Unternehmen kommen ihrer Verpflichtung aber nicht nach, und wenn doch, nehmen sie es mit dem Schutz ihrer Mitarbeiterdaten doch nicht so genau, wie es das Datenschutzgesetz vorschreibt.

Grundsätzlich fallen alle personenbezogenen Daten unter den Datenschutz. Dazu gehören Name, Adresse, Geburtsdatum und Bankverbindung. Doch das alles braucht ein Arbeitgeber, um Löhne und Gehälter ausbezahlen zu können. "Deshalb darf er nur die Daten erheben und speichern, die für das Arbeitsverhältnis notwendig sind - mehr nicht", sagt Susanne Dehmel, Bereichsleiterin Datenschutz, Wettbewerbs- und Verbraucherrecht beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) in Berlin.

Ebenso grundsätzlich gilt das Prinzip der Datensparsamkeit: "Der Arbeitgeber darf nur so viel wie unbedingt notwendig speichern." Und er darf personenbezogene Daten nicht mit anderen verbinden, etwa in einem Angebot an einen Kunden die Qualifikation des Mitarbeiters nennen, der sich um den Auftrag kümmern wird. Es sei denn, der Mitarbeiter stimmt dem zu. Die Verknüpfung von personenbezogenen Daten kann auch durch spezielle Vorschriften untersagt sein, etwa Fernmelde- und Postgeheimnis.

Das Fernmeldegeheimnis schützt den Inhalt von Telefonaten. Daher ist es dem Arbeitgeber verboten, Telefongespräche seines Mitarbeiters abzuhören. Nur in begründeten Fällen und nur mit Zustimmung des Betriebsrats darf der Arbeitgeber die gewählte oder die Nummer, von der aus der Beschäftigte angerufen wurde, ausfindig machen. Ähnlich schützt das Postgeheimnis den Inhalt von E-Mails, und an die Absender- oder Empfängeradressen kommt der Arbeitgeber nur bei begründeten Verdachtsmomenten. Selbst wenn er privaten E-Mail-Verkehr verboten hat, sind die Inhalte dieses Schriftverkehrs für ihn tabu.

Dehmel meint, dass gerade große Unternehmen sich immer professioneller um den Datenschutz ihrer Mitarbeiter kümmern. "Für kleine und mittelständische Betriebe ist es manchmal schwieriger, alle gesetzlichen Vorgaben umzusetzen." Auch sei die Einhaltung der Vorschriften je nach Branche unterschiedlich: "Ist die IT ein zentrales Element des Geschäftsmodells, spielt der Datenschutz eine große Rolle." Je weiter weg das Geschäft von der IT sei, desto mehr nehme die Bedeutung ab.

Datenschützer Gerhard von der Datev hat drei Mitarbeiter, gemeinsam hat das Team im Wesentlichen drei Aufgaben: "Wir prüfen bestehende und neue Verfahren, Prozesse und Software, in denen personenbezogene Daten verarbeitet und gespeichert werden, dahingehend, ob die Bestimmungen des Datenschutzes eingehalten werden." Bei Bedarf findet zuvor eine Beratung statt, und Mitarbeiter und Führungskräfte werden in Schulungen für den Datenschutz sensibilisiert. Vor allem die Manager haben eine Vorbildfunktion.

Verdi kritisiert neuen Entwurf

"Das Recht auf informationelle Selbstbestimmung ist ein in der Verfassung festgeschriebenes und damit höchstes Recht, das für jeden Bürger und somit für alle Beschäftigten gilt", sagt Jens Schubert, Leiter der Rechtsabteilung in der Bundesverwaltung der Dienstleistungsgewerkschaft Verdi in Berlin. Es besagt, dass persönliche Daten am Arbeitsplatz nur dann erhoben, genutzt, verarbeitet und gespeichert werden dürfen, wenn der Arbeitgeber gute Gründe hat, die einen Bezug zum Arbeitsverhältnis haben müssen. Nun will das Bundesinnenministerium den Datenschutz am Arbeitsplatz grundlegend erneuern. "Eine Katastrophe", findet der Mann von der Gewerkschaft, "weil der Gesetzentwurf das Verfassungsrecht entwertet." Das Grundrecht auf informationelle Selbstbestimmung soll nach den aktuellen Plänen auf eine Stufe mit dem Interesse des Arbeitgebers an der Erhebung von Daten seiner Beschäftigten gestellt werden. Der Entwurf würde zudem die Datenskandale etwa bei Telekom und Bahn im Nachhinein legalisieren. Die Gewerkschaft plädiert für ein eigenständiges Beschäftigtendatenschutzgesetz.

Heikle Videoüberwachung

Im Februar 2011 gab es die erste Lesung im Bundestag, bis Mitte des Jahres könnte die Neuregelung verabschiedet sein - sofern sie in der vorliegenden Form kommen wird. Schubert und Dehmel zweifeln daran.

Übrigens: Eine Videoüberwachung ist nach bestehendem Recht nur dann legal möglich, wenn in einer Abteilung beispielsweise besonders viele Diebstähle geschehen. Der Überwachung muss der Betriebsrat zustimmen, und falls der nicht schon auf eine Verhältnismäßigkeit geachtet hat, kann es sein, dass die Videoüberwachung vor Gericht nicht als Beweismittel gilt, weil sie unverhältnismäßig war. Eventuell hätte der Diebstahl mit weniger Aufwand und ohne pauschale Verdächtigung aller Mitarbeiter in der Abteilung aufgedeckt werden können. (hk)

Peter Ilg ist freier Journalist in Aalen.