computerwoche.de

Archiv

Professsorin Marie-Theres Tinnefeld fordert mehr Datenschutz für Arbeitnehmer

"Privatsphäre darf nicht zerstört werden"

13.04.2001
Offiziell dürfen Arbeitnehmer in den USA E-Mails und das Internet nur für geschäftliche Zwecke nutzen. Eine weltfremde Norm - denn laut Studien haben inzwischen 40 Prozent der E-Mails in US-Firmen private Bezüge. Höchste Zeit also, die Vorschrift zu kippen. Auch in Deutschland sind neue Regeln für den digitalen Informationsfluss im Arbeitsleben überfällig. Marie-Theres Tinnefeld, Professorin für Datenschutz und Wirtschaftsrecht an der Fachhochschule in München, kennt die Lage in beiden Ländern. Mit ihr sprach Helga Ballauf.*

CW: Die Bundesregierung plant ein "Gesetz über Information und Kommunikation im Arbeitsverhältnis". Warum?

Tinnefeld: Durch die neuen, leistungsfähigen IuK-Techniken ist eine Internet-Ökonomie entstanden, in der ein Großteil der geschäftlichen Information und Kommunikation über Intranets und das Internet läuft, und dies nicht nur bei Telearbeit. Wenn nun in dieser "Neuen-Netze-Arbeitswelt" alle Kontakte und alle E-Mails im Cyberspace eher öffentlich als privat behandelt werden, haben Arbeitnehmer wenig Gelegenheit, sich frei zu äußern, Dampf abzulassen oder eigene Gedanken zu sammeln. Es bedarf neuer Regelungen, damit die Privatsphäre im Arbeitsleben als sozialer Wert nicht zerstört wird.

CW: Was bedeutet das konkret?

Tinnefeld: Zum einen ist der vernetzte Arbeitsplatz fast ein Muss, wenn eine Firma leistungs- und konkurrenzfähig bleiben will. Andererseits können Videokameras, technisierte und schrankenlose Verhaltens- und Leistungskontrollen jeden persönlichen Austausch, der zur Pflege der Unternehmenskultur notwendig ist, gefährden.

CW: Was sollen, was können Unternehmen denn tun?

Tinnefeld: Es sind klare und ausgewogene Grundregeln zur Nutzung von E-Mail und Internet im Arbeitsleben erforderlich. Geltendes Recht sagt: Der Arbeitgeber kann den Ausdruck der geschäftlichen E-Mail verlangen. E-Mails entsprechen jedoch häufig der telefonischen Kommunikation. Daher sollten auch sie im angemessenen Umfang privat genutzt werden dürfen. Im Arbeitsvertrag oder in einer kollektivrechtlichen Vereinbarung könnten Art, Umfang und Kostenübernahme konkretisiert werden. Eine preiswerte und technisch unkomplizierte Lösung wäre es, künftig für jeden Beschäftigten zwei E-Mail-Adressen einzurichten und so beide Sphären zu trennen.

CW: Was hindert Firmen daran, das zu tun?

Tinnefeld: Derzeit fehlen klare rechtliche Regelungen, so dass Unternehmen dazu neigen, nur noch geschäftliche E-Mails zuzulassen. Dies auch deshalb, weil private E-Mail- und Internet-Nutzung bis vor kurzem als vermögenswerter Vorteil für den Arbeitnehmer eingestuft wurde, den der Arbeitgeber steuerrechtlich anrechnen musste. Außerdem passt die länderübergreifende interaktive Kommunikation nicht in die Schubfächer des traditionellen Datenschutzes. Das seit mehr als zehn Jahren angekündigte Reformgesetz ist daher überfällig (siehe Kasten: "Klare Regelungen fehlen")

CW: Welchen Stellenwert erhält das neue Gesetz?

Tinnefeld: Bisher sind viele Fragen des individuellen Arbeitnehmerdatenschutzes nur durch die Rechtsprechung konkretisiert worden. Der Gesetzgeber hat die Aufgabe, diesen Schutz ohne Rücksicht darauf, ob Daten manuell oder automatisiert verwendet werden, betriebsnah zu regeln. Richterrecht allein reicht nicht mehr aus. Der Bundestag will bis zur Sommerpause das neue Bundesdatenschutzgesetz verabschieden und damit die allgemeine EG-Datenschutzrichtlinie aus dem Jahr 1995 umsetzen. Die europäische Rahmenvereinbarung erlaubt ausdrücklich zusätzliche bereichsspezifische Regelungen beispielsweise für das Arbeitsleben.

CW: Was steckt in diesem Zusammenhang hinter der Diskussion um die Genomanalyse?

Tinnefeld: Die EG-Datenschutzrichtlinie stellt sensitive Angaben wie Gesundheitsdaten oder Daten über die Gewerkschaftszugehörigkeit, grundsätzlich unter ein Verarbeitungsverbot. Ausnahmen sind zugelassen etwa im Arbeitsrecht. Die Richtlinie sieht auch vor, dass die Verwendung sensitiver Daten von den Mitgliedsstaaten verboten werden kann, selbst wenn die betroffene Person einwilligt. Der Bundesgesetzgeber sollte in dem geplanten Reformgesetz untersagen, dass Arbeitgeber die Ergebnisse von Genomanalysen erheben, verlangen oder annehmen. Andernfalls könnten Arbeitssuchende mit erblichen Belastungen zu einer "genetischen Unterschicht" werden, die weder lokal noch global vermittelbar wäre. Anzumerken ist, dass die Genomanalyse nur relativ sichere Auskünfte über bestimmte Erbkrankheiten gibt, andere Dispositionen sich jedoch erst im Zusammenspiel mit weiteren Faktoren entwickeln.

CW: Wozu aber das Verbot der Genomanalyse selbst bei Zustimmung des Arbeitnehmers?

Tinnefeld: Es gibt gerade in Zeiten eines angespannten Arbeitsmarktes nicht nur in den USA, sondern auch in Europa zunehmend Fälle, in denen Stellenbewerber ihre Genomanalyse dem Arbeitgeber "aufdrängen". Nach dem Motto: Seht, ich bin der Weltmeister, den ihr sucht! Hierbei handelt es sich um eine schleichende Entsolidarisierung der Arbeitnehmer.

CW: Zu den heiklen Fragen im Arbeitsrecht gehört der Transfer von Personaldaten über das Netz.

Tinnefeld: Richtig, es muss klare Vorschriften geben, um die ungeschützte Weitergabe von Personaldaten - etwa aus Skill-Datenbanken - an Tochterfirmen oder Auftragnehmer zu verhindern. Die datenschutzrechtlichen Forderungen nach Datensparsamkeit und -vermeidung sind hier zwei unverzichtbare Prinzipien. Ohne Anonymisierung oder Pseudonymisierung besteht das Risiko, dass jedermann auf Personaldaten in der Internet-Arena zugreifen kann und so die Arbeitschancen der betroffenen Person global vernichtet werden können.

CW: Ist auf diesem Weg auch der grenzüberschreitende Austausch von Personaldaten zu regeln?

Tinnefeld: Sobald die Datenschutzrichtlinie in allen Mitgliedsstaaten umgesetzt worden ist, ist die EU datenschutzrechtlich als Inland zu betrachten. Das Gemeinschaftsrecht lässt einen Datentransfer in Drittstaaten nur zu, wenn es dort einen angemessenen Datenschutz gibt. Dieser ist für die Schweiz, Ungarn und die USA inzwischen anerkannt worden. Bei der Umsetzung spielen die verschiedenen Rechtskulturen eine große Rolle.

CW: Wie unterscheiden sich etwa die deutsche und die US-amerikanische Sicht des Datenschutzes?

Tinnefeld: In Deutschland wird der Datenschutz "top-down" geregelt. Primär ist der Gesetzgeber gefragt. In den USA gilt das Prinzip des "bottom-up", also die Selbstregulierung durch die Firmen. Dies beginnt sich zu ändern. Ein Beispiel ist das Nachdenken über die Zulassung privater E-Mails, um Kommunikation zwischen den vernetzten Arbeitsplätzen zu ermöglichen.

*Helga Ballauf ist freie Journalistin in München

LesetippMarie-Theres Tinnefeld/Hans Peter Viethen: Arbeitnehmerdatenschutz und Internet-Ökonomie, in: Neue Zeitschrift für Arbeitsrecht 18/2000, S. 977-983.

Klare Regelungen fehlenEs fehlen klare Regelungen zum Umgang mit Arbeitnehmerdaten durch den Arbeitgeber (AG), insbesondere im vernetzten Geschäftsverkehr. Zur Debatte über das "Gesetz über Information und Kommunikation im Arbeitsverhältnis" stehen:

- Grundregeln über die private Nutzung des Arbeitnehmers von E-Mail und Internet;

- Regelungen über die Kostenübernahme bei privater Nutzung und Verbot der Inhaltskontrolle;

- Regelungen über die Pflichten des Mitarbeiters bei der Wahrung von Betriebsgeheimnissen;

- Festlegung, in welcher Form der Transfer von Personaldaten, beispielsweise aus Skill-Datenbanken, über Internet und Intranet zulässig ist;

- Verbot der genetischen Sortierung von Mitarbeitern aufgrund von Genomanalysen, selbst im Fall der Einwilligung;

- Beteiligung des Betriebsrats (BR) bei der Bestellung des betrieblichen Datenschutzbeauftragten.