Mitteilung muss für den Betroffenen risikofrei sein
Die Mitteilung darf für den Betroffenen in jedem Fall nicht mit einem Risiko verbunden sein. Müssten betroffene Beschäftigte etwa um ihren Arbeitsplatz fürchten, wenn sie sich an den Datenschutzbeauftragten oder die Aufsichtsbehörde wenden, blieben Missstände im Verborgenen.
Schutzbedürfnis besteht über die Dauer des Arbeitsverhältnisses hinaus
Besonders betont die Entscheidung, dass ein Schutzbedürfnis auch über die Dauer des Arbeitsverhältnisses hinaus bestehen kann. Selbst dann könne der Arbeitgeber noch Druck ausüben. Daneben droht natürlich gleichzeitig eine Rufschädigung, die sich insbesondere in kleinen Branchen sehr zum Nachteil des Betroffenen auswirken könnte.
Betroffene sind zu unterrichten
Neben der Identität des Informanten waren die Kläger auch daran interessiert, dass Dritte, insbesondere die von der Überwachungsmaßnahme betroffenen Beschäftigten, von der Überwachungsmaßnahme keine Kenntnis erlangen. Diesem Begehren stattzugeben sah sich das Gericht außer Stande, weil dies unvereinbar mit § 38 Abs. 1 S. 6 BDSG sei.
Hiernach ist die Aufsichtsbehörde befugt, bei Feststellung eines Datenschutzrechtsverstoßes, die davon Betroffenen darüber zu unterrichten. Das Gericht teilte die Ansicht der hierüber im Eilverfahren vorab entscheidenden Kammer, dass Verstöße gegen datenschutzrechtliche Bestimmungen vorliegen würden.
Grenze für Schutzbedürftigkeit: strafbares Verhalten
Nur wer wider besseres Wissen und nur um seinem Arbeitgeber zu schaden, Datenschutzrechtsverstöße behauptet, muss grundsätzlich damit rechnen, dass diesem seine Identität mitgeteilt wird. Daneben ist auch der Verrat von Betriebs- und Geschäftsgeheimnissen nach § 17 des Gesetzes gegen den unlauteren Wettbewerb ("UWG") untersagt.
Entscheidung interessant für Arbeitgeber
Für Arbeitgeber ist die Entscheidung insofern interessant, als sie ausdrücklich auf die unternehmensrelevanten Vorschriften des BDSG hinweist. Angefangen von der Bestellung eines Datenschutzbeauftragten nach § 4f BDSG bis hin zur Meldepflicht für automatisierte Datenverarbeitungen nach §§ 4d, 4e BDSG hat es der Arbeitgeber selbst in der Hand für einen Betriebsablauf zu sorgen, der im Einklang mit dem Datenschutzrecht steht.
Fazit
Die Datenschutz-Aufsichtsbehörden haben die Identität von Informanten zu schützen. Arbeitgeber haben nach der Entscheidung grundsätzlich keinen Anspruch in Erfahrung zu bringen, welcher Beschäftigte sich vertraulich an die Aufsichtsbehörde gewandt hat. Eine Grenze bildet strafrechtlich relevantes Verhalten des Beschäftigten. Um derartige Streitigkeiten und die Konsequenzen aufsichtsrechtlichen Einschreitens zu vermeiden sollten Unternehmen nach Möglichkeit im Vorfeld für eine datenschutzkonforme Unternehmensorganisation sorgen. (oe)
Kontakt:
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsanwältin, Karola Berger ist Juristin (univ.). IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de