Das Verwaltungsgericht Bremen hat den Schutz von Informanten gestärkt: Wird in Unternehmen mit personenbezogenen Daten nachlässig umgegangen und wendet sich ein Beschäftigter vertraulich an die Datenschutz-Aufsichtsbehörde, hat der Arbeitgeber nach Ansicht des Gerichts keinen Anspruch auf die Preisgabe der Identität des Informanten gegenüber der Aufsichtsbehörde. Der Beitrag erläutert, was die Entscheidung für die Unternehmen bedeutet.
Der Fall in Kürze
Der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hatte von einem Beschäftigten des klagenden Unternehmens eine E-Mail mit dem Betreff "Videoüberwachung am Arbeitsplatz" erhalten. Darin schilderte er, dass an seinem Arbeitsplatz eine ständige Überwachung mit zahlreichen Kameras erfolgte, ohne dass die Mitarbeiter darüber informiert worden wären.
Foto: Fotolia, Mirko Raatz
Eine akustische Überwachung und Aufzeichnung der Daten wollte er nicht ausschließen. Mit dem Hinweis, dass bislang aus Furcht vor Verlust des Arbeitsplatzes von niemandem etwas unternommen worden war und der Bitte, den Hinweis vertraulich zu behandeln, endete die Mitteilung.
Nachdem die Behörde das betreffende Unternehmen aufgefordert hatte, Auskunft zu den beschriebenen Vorgängen zu erteilen, verlangte dieses zunächst Akteneinsicht. Dem Verlangen kam die Aufsichtsbehörde nur teilweise nach. Die übersandten Unterlagen enthielten insbesondere keine Wiedergabe der E-Mail des Informanten. Außerdem war der Name des hinweisgebenden Beschäftigten in den übrigen Unterlagen geschwärzt. Beim Verwaltungsgericht Bremen wurde daraufhin durch das Unternehmen vollumfängliche Akteneinsicht bzw. Preisgabe des Namens des Informanten eingeklagt. Die Aufsichtsbehörde lehnte dies - aus Gründen des Informantenschutzes - ab und beantragte Klageabweisung.
Schutz von Informanten im Interesse des Datenschutzes
Dass mit Kenntniserlangung des Arbeitgebers von der Identität des Informanten negative Konsequenzen verbunden wären, liegt auf der Hand. Der Schutz von Informanten erfolgt aber nicht allein in deren Interesse, sondern auch um dem Datenschutzrecht zur Durchsetzung zu verhelfen. § 4f Abs. 5 S. 2 Bundesdatenschutzgesetz (BDSG) sieht beispielsweise vor, dass sich jeder Betroffene an den unternehmenseigenen Datenschutzbeauftragten wenden kann. Gemäß § 4f Abs. 4 BDSG ist dieser dann zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
Mitteilung muss für den Betroffenen risikofrei sein
Die Mitteilung darf für den Betroffenen in jedem Fall nicht mit einem Risiko verbunden sein. Müssten betroffene Beschäftigte etwa um ihren Arbeitsplatz fürchten, wenn sie sich an den Datenschutzbeauftragten oder die Aufsichtsbehörde wenden, blieben Missstände im Verborgenen.
Schutzbedürfnis besteht über die Dauer des Arbeitsverhältnisses hinaus
Besonders betont die Entscheidung, dass ein Schutzbedürfnis auch über die Dauer des Arbeitsverhältnisses hinaus bestehen kann. Selbst dann könne der Arbeitgeber noch Druck ausüben. Daneben droht natürlich gleichzeitig eine Rufschädigung, die sich insbesondere in kleinen Branchen sehr zum Nachteil des Betroffenen auswirken könnte.
Betroffene sind zu unterrichten
Neben der Identität des Informanten waren die Kläger auch daran interessiert, dass Dritte, insbesondere die von der Überwachungsmaßnahme betroffenen Beschäftigten, von der Überwachungsmaßnahme keine Kenntnis erlangen. Diesem Begehren stattzugeben sah sich das Gericht außer Stande, weil dies unvereinbar mit § 38 Abs. 1 S. 6 BDSG sei.
Hiernach ist die Aufsichtsbehörde befugt, bei Feststellung eines Datenschutzrechtsverstoßes, die davon Betroffenen darüber zu unterrichten. Das Gericht teilte die Ansicht der hierüber im Eilverfahren vorab entscheidenden Kammer, dass Verstöße gegen datenschutzrechtliche Bestimmungen vorliegen würden.
Grenze für Schutzbedürftigkeit: strafbares Verhalten
Nur wer wider besseres Wissen und nur um seinem Arbeitgeber zu schaden, Datenschutzrechtsverstöße behauptet, muss grundsätzlich damit rechnen, dass diesem seine Identität mitgeteilt wird. Daneben ist auch der Verrat von Betriebs- und Geschäftsgeheimnissen nach § 17 des Gesetzes gegen den unlauteren Wettbewerb ("UWG") untersagt.
Entscheidung interessant für Arbeitgeber
Für Arbeitgeber ist die Entscheidung insofern interessant, als sie ausdrücklich auf die unternehmensrelevanten Vorschriften des BDSG hinweist. Angefangen von der Bestellung eines Datenschutzbeauftragten nach § 4f BDSG bis hin zur Meldepflicht für automatisierte Datenverarbeitungen nach §§ 4d, 4e BDSG hat es der Arbeitgeber selbst in der Hand für einen Betriebsablauf zu sorgen, der im Einklang mit dem Datenschutzrecht steht.
Fazit
Die Datenschutz-Aufsichtsbehörden haben die Identität von Informanten zu schützen. Arbeitgeber haben nach der Entscheidung grundsätzlich keinen Anspruch in Erfahrung zu bringen, welcher Beschäftigte sich vertraulich an die Aufsichtsbehörde gewandt hat. Eine Grenze bildet strafrechtlich relevantes Verhalten des Beschäftigten. Um derartige Streitigkeiten und die Konsequenzen aufsichtsrechtlichen Einschreitens zu vermeiden sollten Unternehmen nach Möglichkeit im Vorfeld für eine datenschutzkonforme Unternehmensorganisation sorgen. (oe)
Kontakt:
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsanwältin, Karola Berger ist Juristin (univ.). IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de