-> Home -> Der LfD -> Tätigkeitsberichte -> 2009
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

29. Tätigkeitsbericht 2009 - Inhaltsverzeichnis

 

29. Tätigkeitsbericht 2009 - 4. Teil

4. Teil: Personalwesen

1. Rechnungsprüfungsamt gleicht Personaldaten ab

2. Dienstherr fragt heimlich Krankheitsgründe ab

3. Grundsätzlich keine Namen von Beschäftigten ins Internet

4. E-Mail-Kontrollen am Arbeitsplatz

1. Rechnungsprüfungsamt gleicht Personaldaten ab

Maßstab für Umfang und Tiefe der Prüfung durch ein Rechnungsprüfungsamt dürfen nicht die umfassenden Möglichkeiten einer modernen Analyse-Software zum Verknüpfen unterschiedlicher Datenbestände sein.

Im Jahr 2008 glichen sowohl bei einer Gemeinde als auch bei einem Landratsamt die Rechnungsprüfungsämter die Bankverbindungsdaten (das heißt Bankleitzahl und Kontonummer, also keine Umsatz- oder Überweisungsdaten) von Beschäftigten mit den entsprechenden Daten anderer Personen computergestützt ab.

Das Rechnungsprüfungsamt der Gemeinde glich die Bankverbindungsdaten von 1 796 Beschäftigten mehrerer Ämter und Eigenbetriebe der Gemeinde mit den entsprechenden Daten der Lieferanten dieser Ämter und Eigenbetriebe - jeweils getrennt - ab. Zweck des Datenabgleichs war nach Mitteilung des Rechnungsprüfungsamts das Aufdecken "doloser Handlungen", das heißt insbesondere, ob Beschäftigte Geld auf eigene Konten überwiesen haben. Die Ämter und Eigenbetriebe waren nach Mitteilung des Rechnungsprüfungsamts jeweils aufgrund ihrer höheren "Korruptionsgefährdung" ausgewählt worden, weil dort regelmäßig Aufträge vergeben und Zahlungen veranlasst würden. Konkrete Anfangsverdachtsmomente für "dolose Handlungen oder Korruption" hätten allerdings nicht vorgelegen. Der Abgleich ergab keine "Treffer".

Das Rechnungsprüfungsamt des Landratsamts glich die Bankverbindungsdaten aller Beschäftigten des Landratsamts (1 760 Abrechnungsfälle) mit den entsprechenden Daten der Empfänger der wirtschaftlichen Hilfen ab, welche das Sozialdezernat (ohne die Wohngeldstelle) gewährte. Anlass hierfür war, dass ein Beschäftigter in der Vergangenheit Gelder veruntreut hatte. Der Abgleich ergab "Treffer", also Übereinstimmungen dieser Bankverbindungsdaten. Das Rechnungsprüfungsamt stellte nach Mitteilung des Landratsamts jedoch keine "Auffälligkeiten" fest, die einen Verdacht auf Unregelmäßigkeiten begründeten.

Diese Datenabgleiche waren in der Weise, wie sie konkret erfolgt sind, im Ergebnis datenschutzrechtlich unzulässig. Es würde den Rahmen dieses Berichts sprengen, das hier im Einzelnen darzustellen. Deswegen spreche ich nachfolgend nur einzelne Punkte an. Einzelheiten sind dem Abschnitt I meines Berichts an den Landtag zum Datenabgleich bei der Gemeinde (LT-Drucksache 14/4675) zu entnehmen (diese ist über die Internet-Seite des Landtags von Baden-Württemberg - www.landtag-bw.de - abrufbar). Hinsichtlich des Datenabgleichs beim Landratsamt stellten sich, ungeachtet der unterschiedlichen Sachverhalte, letztlich vergleichbare Fragen.

Die Aufgaben des Rechnungsprüfungsamts sind in der Gemeindeordnung geregelt; seine Befugnisse werden in § 14 Abs. 2 der Gemeindeprüfungsordnung (GemPrO) konkretisiert. Das entspricht weitgehend den Vorschriften über die Ausgestaltung der Prüfung durch den Rechnungshof Baden-Württemberg.

§ 14 Abs. 2 GemPrO

Die Gemeinde hat den Prüfer bei seinen Aufgaben zu unterstützen. Der Prüfer kann alle Auskünfte und Unterlagen verlangen sowie eigene Erhebungen vornehmen, die zur Erfüllung seiner Aufgaben erforderlich sind.

Zunächst ist darauf hinzuweisen, dass der Zielkonflikt zwischen Rechnungsprüfung und Datenschutz in Bezug auf personenbezogene Daten über Beschäftigte bisher nur unzureichend beleuchtet, geschweige denn gelöst worden ist. Deswegen besteht insoweit noch weiterer Klärungsbedarf. Dieser erstreckt sich insbesondere darauf, welche Aufgaben ein Rechnungsprüfungsamt konkret wahrnehmen darf und welche einzelnen Maßnahmen zum Verarbeiten personenbezogener Daten geeignet und notwendig sind, um diese Aufgaben zu erfüllen.

Im Ergebnis halte ich "anlasslose" Überprüfungen (also Überprüfungen ohne konkreten Anfangsverdacht, wie er etwa Voraussetzung eines strafrechtlichen Ermittlungsverfahrens wäre) durch das Rechnungsprüfungsamt mit Blick darauf, dass es dabei letztlich auch um Steuergelder geht, nicht von vornherein und unter allen Umständen für unzulässig. Das hängt damit zusammen, dass die Rechnungsprüfung gegenüber anderen Nutzungszwecken gesetzlich privilegiert ist. Zum Wesen der Rechnungsprüfung gehört denknotwendig das Erhellen von Sachverhalten, die zu Beginn der Prüfung nicht bzw. nicht vollständig bekannt sind, bei denen aber aufgrund von praktischen Erfahrungen und logischen Schlussfolgerungen nicht auszuschließen ist, dass prüfungsrelevante Feststellungen im Verlauf der Prüfung getroffen werden können. Aus Sicht des Datenschutzes darf Anlass für einen Datenabgleich des Rechnungsprüfungsamts allerdings nicht lediglich ein hypothetisch denkbares Fehlverhalten x-beliebiger Beschäftigter sein. Wenn das Rechnungsprüfungsamt den Prüfungsgegenstand und die zu überprüfenden Personen auswählt sowie den Prüfungsumfang und die Prüfungstiefe festlegt, muss es aufzuklärende Geschehensabläufe (und sich daraus ergebende Schäden) zugrunde legen, die nicht nur abstrakt plausibel, sondern die auch mit einer hinreichenden Wahrscheinlichkeit anzutreffen sind.

Ich neige deswegen zur Auffassung, dass das Rechnungsprüfungsamt mit dem Ziel des Aufdeckens "doloser Handlungen" unter gewissen Voraussetzungen die Daten der Mitarbeiter von Organisationseinheiten mit strukturellem Gefährdungspotential überprüfen darf. Hierzu kann in geeigneten Fällen beispielsweise auch ein elektronischer Abgleich von Kontendaten von Lieferanten mit Kontendaten von bestimmten Beschäftigten mit Hilfe einer Analyse-Software in einer Vielzahl von Fällen gehören. Für solche Datenabgleiche sind jedoch künftig geeignete "Spielregeln" zu entwickeln und differenzierte verfahrensmäßige Sicherungen zur Wahrung der Grundrechte der Betroffenen vorzusehen. Diese Vorkehrungen müssen für mehr Transparenz und für eine stärkere Konkretisierung der geplanten Maßnahmen und der erzielten Ergebnisse sorgen und damit dem Verhältnismäßigkeitsgrundsatz stärker zur Geltung verhelfen.

Das Nutzen der Beschäftigtendaten durch das Rechnungsprüfungsamt muss - gemessen am (zulässigen) Prüfungszweck - zudem verhältnismäßig sein, also geeignet, erforderlich und im Hinblick auf den damit verbundenen Eingriff in das Recht der Beschäftigten auf informationelle Selbstbestimmung angemessen, das heißt auch im engeren Sinne verhältnismäßig. Erforderlich ist ein Abgleich personenbezogener Daten, um einen vom Rechnungsprüfungsamt zulässigerweise verfolgten Zweck zu erfüllen, wenn dafür kein anderes, gleich wirksames und das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht. Die Angemessenheit ist aufgrund einer konkreten Gesamtabwägung der Intensität des Eingriffs und des Gewichts der ihn rechtfertigenden Gründe festzustellen; maßgeblich sind dafür die Gesamtumstände. Dabei spielen die - allerdings noch näher zu präzisierenden - Aufgaben und Befugnisse des Rechnungsprüfungsamts eine nicht unwesentliche Rolle. Hier sind aus meiner Sicht insbesondere folgende Punkte zu beachten:

  • Das Rechnungsprüfungsamt hat von gleich gewichtigen Prüfungsthemen oder gleich effektiven Prüfungsmethoden diejenigen vorzuziehen, welche das Verarbeiten von weniger oder weniger bedeutsamen personenbezogenen Daten erfordern. Eine strukturelle Analyse ohne personenbezogene Daten ist daher, soweit möglich, einer Analyse mit personenbezogenen Daten vorzuschalten.
  • Stichprobenweise Untersuchungen besonders relevanter Sachverhalte haben stets Vorrang vor flächendeckenden Prüfungen unter undifferenzierter Einbeziehung der Daten aller Beschäftigten. Bei einem Datenabgleich ist der Kreis der Betroffenen soweit wie möglich einzugrenzen und allenfalls stufenweise auszudehnen.
  • Es sind ausschließlich die Daten über die Beschäftigten heranzuziehen, die, etwa im Falle von "Treffern", auch benötigt werden. Das war im konkreten Fall etwa hinsichtlich der vom Rechnungsprüfungsamt der Gemeinde verarbeiteten Anschriften der Beschäftigten nicht der Fall: Zur "späteren Identifizierung von ‚Treffern'" genügten nämlich die eindeutigen Personalnummern, die das Rechnungsprüfungsamt ebenfalls herangezogen hatte, und für einen um Namen und Anschriften erweiterten Abgleich waren sie bereits deswegen nicht notwendig, weil kein solcher Abgleich erfolgte.
  • Wünschenswert wäre ein weitgehendes Pseudonymisieren der zu verarbeitenden Daten, denn dann müsste der Personenbezug erst bei "Treffern" hergestellt werden.
  • Zu den Gründen, die einen Datenabgleich durch das Rechnungsprüfungsamt rechtfertigen können, gehört das beachtliche Interesse des Arbeitgebers und des Steuerzahlers an einer sparsamen und zweckentsprechenden Verwendung öffentlicher Haushaltsmittel und am Aufdecken bewusster Falschzahlungen.
  • Die Fürsorgepflicht des Arbeitgebers gebietet einen möglichst schonenden Umgang mit Beschäftigtendaten.
  • Die Bankleitzahl und Kontonummer eines Beschäftigten, also die Information, dass dieser bei einer bestimmten Bank ein Konto unterhält, ist für sich betrachtet nicht besonders schutzwürdig. Die Intensität des Eingriffs in das Recht auf informationelle Selbstbestimmung der Beschäftigten ist insoweit relativ gering.
  • Dem Ziel einer größtmöglichen Transparenz entspräche es, bereits vorab die entsprechenden Beschäftigten unmissverständlich darauf hinzuweisen, dass unter bestimmten Voraussetzungen personenbezogene Daten über sie zum Aufdecken "doloser Handlungen" abgeglichen werden. Sollte das nicht möglich sein, ohne den Prüfungszweck zu gefährden, dann sollten die Betroffenen aus Sicht des Datenschutzes jedenfalls im Nachhinein über den Datenabgleich und die dabei verarbeiteten Datenarten allgemein benachrichtigt werden.
  • Etwaige "Treffer", die sich als Verdachtsfälle darstellen, sind unverzüglich aufzuarbeiten. Auch dabei sind die schutzwürdigen Belange der Betroffenen zu wahren. In Anbetracht der möglichen Rufschädigung wären die im Zusammenhang mit solchen Verdachtsfällen gewonnenen Daten zudem vor unbefugten Zugriffen und zweckwidriger Verwendung besonders zu schützen. Wenn sich der Verdacht nicht bestätigt, sind die gewonnenen Daten unverzüglich irreversibel zu löschen. Die Betroffenen sind auch hierüber umgehend zu unterrichten.

Unabhängig von diesen rechnungsprüfungsrechtlichen Fragen fehlte es bei den geprüften Datenabgleichen jeweils an der Vorabkontrolle und an einem vollständigen Verfahrensverzeichnis:

  • Die Daten wurden ohne die nach § 12 Abs. 1 LDSG vorgeschriebene Vorabkontrolle abgeglichen.

    § 12 Satz 1 Halbsatz 1 LDSG

    Wer für den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten zuständig ist, das mit besonderen Gefahren für das Persönlichkeitsrecht verbunden sein kann, insbesondere aufgrund der Art oder der Zweckbestimmung der Verarbeitung, darf das Verfahren erst einsetzen, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische oder organisatorische Maßnahmen verhindert werden; ...

    Der Einsatz eines Programms zum Abgleich von Bankverbindungsdaten (Kontonummern und Bankleitzahlen) konnte hier mit besonderen Gefahren für das Persönlichkeitsrecht verbunden sein (es genügte, dass das so sein konnte; ob das tatsächlich so war und ob diese besonderen Gefahren gegebenenfalls durch technische oder organisatorische Maßnahmen verhindert werden konnten, wäre bei der Vorabkontrolle selbst zu beantworten gewesen). Denn bei den Abgleichen wurden personenbezogene Daten aus unterschiedlichen Zusammenhängen verknüpft (von Beschäftigten einerseits und von Lieferanten bzw. von Empfängern wirtschaftlicher Hilfen andererseits). Dadurch kann auch ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen (vgl. Bundesverfassungsgericht, Volkszählungsurteil vom 15. Dezember 1983, 1 BvR 209/83 u. a., BVerfGE 65, 1, 45).

  • Die Einträge in die Verfahrensverzeichnisse zu der Analyse-Software entsprachen nicht den gesetzlichen Vorgaben. Zu diesem allgemeinen Problem verweise ich auch auf die Ausführungen unter Nr. 2 im 7. Teil dieses Berichts. Die Gemeinde erschwerte unsere Prüfung zu diesem Punkt insbesondere dadurch, dass sie uns mehrere voneinander abweichende Auszüge aus dem Verfahrensverzeichnis zuleitete, die zudem noch teilweise unvollständig, widersprüchlich und nicht geeignet waren, einen hinreichenden Überblick über die Art und Weise des Verarbeitens personenbezogener Daten mit dem Verfahren zu verschaffen.

    • Das Innenministerium Baden-Württemberg hat zwischenzeitlich eine Arbeitsgruppe "Kommunale Rechnungsprüfung und Datenabgleich" ins Leben gerufen. Sie soll, wie von mir angeregt, für künftige Datenabgleiche geeignete "Spielregeln" entwickeln, die insbesondere dem Verhältnismäßigkeitsgrundsatz beim Nutzen von Beschäftigtendaten stärker zur Geltung verhelfen und die besondere Rolle der unabhängigen Rechnungsprüfung nach der Gemeindeordnung berücksichtigen sollen. In dieser Arbeitsgruppe sind neben dem Innenministerium Baden-Württemberg und dem Regierungspräsidium Stuttgart die Kommunalen Landesverbände, die Gemeindeprüfungsanstalt Baden-Württemberg, der Rechnungshof Baden-Württemberg und mein Amt vertreten.

     

    2. Dienstherr fragt heimlich Krankheitsgründe ab

    Ein Dienstherr (bzw. Arbeitgeber) fragte die Vorgesetzten nach ihnen bekannten Gründen für Erkrankungen von Beschäftigten.

    Aufgrund eines Hinweises aus der Presse wurden meine Mitarbeiter und ich auf einen Vorgang in einer Gemeinde im Regierungsbezirk Tübingen aufmerksam, der dort bereits für Schlagzeilen gesorgt hatte. Das Haupt- und Personalamt der Gemeinde hatte nämlich jahrelang jährliche Umfragen unter den Führungskräften der Verwaltung durchgeführt, um Einzelheiten über die Krankheitsgründe von Mitarbeitern in Erfahrung zu bringen. Zuletzt ging es um Beschäftigte mit "mehr als 20 Krankheitstagen und/oder mehr als fünf Kurzerkrankungen" im Kalenderjahr. Der Dienstherr bat hierbei u. a. darum, "den Grund für die Erkrankungen nicht beim Mitarbeiter direkt zu erfragen". Die Befragungsaktion gehörte zum "Gesundheitsmanagement" der Gemeinde und verfolgte nach Mitteilung der Gemeinde u. a. das Ziel, bei Langzeiterkrankten und Mitarbeitern mit häufig auftretenden Kurzzeiterkrankungen mögliche Bezüge zwischen den Erkrankungen und den Arbeitsplatzbedingungen zu erkennen und künftigen Erkrankungen durch geeignete Maßnahmen vorzubeugen. Als mein Amt den Vorgang kontrollierte, speicherte der Dienstherr nach seiner Mitteilung keine solchen Angaben zu Krankheitsursachen mehr.

    Nach den Gründen befragt, machte das Stadtoberhaupt u. a. geltend, seine Vorgehensweise habe den heute geltenden "Vorgaben für ein betriebliches Eingliederungsmanagement" entsprochen. Er verwies dazu auf § 84 Abs. 2 des Neunten Buchs des Sozialgesetzbuchs (SGB IX).

    Der hier bedeutsame § 84 Abs. 2 Sätze 1 und 3 SGB IX lautet:

    1 Sind Beschäftigte innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig, klärt der Arbeitgeber mit der zuständigen Interessenvertretung im Sinne des § 93, bei schwerbehinderten Menschen außerdem mit der Schwerbehindertenvertretung, mit Zustimmung und Beteiligung der betroffenen Person die Möglichkeiten, wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann (betriebliches Eingliederungsmanagement).

    3 Die betroffene Person oder ihr gesetzlicher Vertreter ist zuvor auf die Ziele des betrieblichen Eingliederungsmanagements sowie auf Art und Umfang der hierfür erhobenen und verwendeten Daten hinzuweisen.

    Diesen Vorgaben hatte die Gemeinde indessen nicht entsprochen:

    • Die Krankheitsgründe wurden bereits bei mehr als 20 Krankheitstagen (diese entsprechen vier Wochen bei einer Fünf-Tage-Woche) oder mehr als fünf Kurzerkrankungen abgefragt und nicht erst dann, wenn Beschäftigte innerhalb eines Jahres länger als sechs Wochen arbeitsunfähig waren.
    • Nach der gesetzlich verlangten "Zustimmung" des Betroffenen wurde nicht gefragt. Das Haupt- und Personalamt wandte sich lediglich an deren Vorgesetzte.
    • Anders als gesetzlich vorgeschrieben, wies der Dienstherr nicht zuvor auf die Ziele des betrieblichen Eingliederungsmanagements und auf die Datenverarbeitung hin.

    Auch wenn ein Dienstherr aus "Fürsorge" nach den Krankheitsgründen seiner Beschäftigten fragt, darf er das nicht hinter deren Rücken tun. Außerdem muss er die Vorschriften über das betriebliche Eingliederungsmanagement beachten. Fürsorge des Dienstherrn und informationelle Selbstbestimmung sind so ohne weiteres miteinander in Einklang zu bringen.

     

    3. Grundsätzlich keine Namen von Beschäftigten ins Internet

    Dürfen personenbezogene Daten über Beschäftigte ins Internet? Diese Frage ist weiterhin aktuell. Sie ist datenschutzfreundlich zu beantworten.

    Das Veröffentlichen von Beschäftigtendaten im Internet war bereits mehrfach Gegenstand der Tätigkeitsberichte meiner Amtsvorgänger. Beispielsweise wurde im 23. Tätigkeitsbericht für das Jahr 2002 (LT-Drucksache 13/1500) darauf hingewiesen, dass ein Veröffentlichen von Beschäftigtendaten im Internet grundsätzlich nur mit Einwilligung zulässig ist; Ausnahmen seien nur hinsichtlich der Namen, dienstlichen Funktion und dienstlichen Erreichbarkeit von leitenden Beschäftigten sowie von Beschäftigten mit regelmäßigen Außenkontakten vertretbar, wobei auf die Umstände des jeweiligen Einzelfalls abzustellen sei. Im 26. Tätigkeitsbericht für das Jahr 2005 (LT-Drucksache 13/4910) wurde zudem gefordert, dass stets sorgfältig geprüft werden sollte, ob auf die Angabe des Namens des Beschäftigten verzichtet werden kann, weil die Angabe der dienstlichen Funktion und der dienstlichen Erreichbarkeit genügt. Dabei wurde darauf hingewiesen, dass beispielsweise eine funktionsbezogene E-Mail-Adresse ohne den Namen des Beschäftigten auskommt.

    Im Berichtszeitraum sind meine Mitarbeiter und ich dagegen immer wieder auf Internet-Seiten öffentlicher Stellen gestoßen, die nicht diesen Kriterien entsprachen. So fand meine Dienststelle auf der Internet-Seite einer Schule u. a. weltweit uneingeschränkt abrufbare Elternbriefe. Darin waren nicht nur neue Lehrkräfte mit Namen und Unterrichtsfächern genannt, sondern es war auch zu lesen, dass zwei namentlich genannte Lehrerinnen "mit Beginn der Mutterschutzfrist beurlaubt" wurden. Das war rechtswidrig und gemäß § 30 LDSG zu beanstanden, vor allem, weil meine Dienststelle eben diese Schule wenige Monate zuvor auf die datenschutzrechtlichen Anforderungen an das Veröffentlichen personenbezogener Daten über Lehrkräfte und Schüler hingewiesen hatte. Das lässt aus meiner Sicht auch mit Blick auf das weitere Defizit, was den Datenschutz an Schulen betrifft (dazu mehr beispielsweise im 25. Tätigkeitsbericht für das Jahr 2004, LT-Drucksache 13/3800, sowie im 3. Teil dieses Berichts), auf strukturelle Missstände schließen. Die Kultusverwaltung sollte jedenfalls wirksame Maßnahmen treffen, das an vielen Schulen erkennbar fehlende Datenschutzbewusstsein wieder zu beleben.

    Immerhin hielt auch das Kultusministerium die beanstandeten Veröffentlichungen in dem konkreten Fall für rechtswidrig. Es kündigte an, bei der beabsichtigten Neufassung der Verwaltungsvorschrift "Datenschutz an öffentlichen Schulen" unserer Bitte zu entsprechen, die für die Schulen wichtige Frage nach der Zulässigkeit einer Veröffentlichung personenbezogener Daten über Lehrkräfte durch Schulen aufzugreifen. Meine Dienststelle hat sich zu Entwürfen dieser Verwaltungsvorschrift geäußert. Das Kultusministerium hat sie nach unserer Kenntnis bisher nicht in Kraft gesetzt. Wenn das geschieht und in der Verwaltungsvorschrift klare Vorgaben enthalten sind, dann bleibt zu hoffen, dass die weitere Umsetzung zu einer Anhebung des Datenschutzniveaus führen wird.

    Aufgrund der Entwicklungen in letzter Zeit halte ich - über den Bereich der Schulen hinaus - das Veröffentlichen bzw. Zugänglichmachen personenbezogener Daten über Beschäftigte im Internet auch generell für kritisch. Ich halte es nur dann für zulässig, wenn eine normenklare Rechtsvorschrift es erlaubt oder wenn der Betroffene nach umfassender Aufklärung über die damit verbundenen Folgen bzw. Gefahren eingewilligt hat; dies sollte auch für leitende Beschäftigte sowie Beschäftigte mit regelmäßigen Außenkontakten gelten. Insoweit schreibe ich die bisherige Position meiner Dienststelle weiter fort. Hierbei spielt eine wesentliche Rolle, dass das Veröffentlichen bzw. Zugänglichmachen personenbezogener Daten im Internet besondere Gefahren für das Recht auf informationelle Selbstbestimmung begründet:

    • Internet-Veröffentlichungen haben eine andere Qualität als herkömmliche Veröffentlichungen, etwa in Printmedien. Sie sind mit besonderen Gefahren für das Persönlichkeitsrecht aller Betroffenen verbunden. Das ergibt sich insbesondere daraus, dass Daten im Internet weltweit abrufbar und damit weltweit verfügbar sind, dass sie mit anderen Daten (auch aus anderen Quellen) verknüpfbar sind und dass die Daten, insbesondere wenn sie von Suchmaschinen erfasst sind, kaum mehr "aus der Welt zu schaffen" sind, auch wenn sie auf der Internet-Seite, von der sie stammen, gelöscht sind. Den letztgenannten Problemkreis reißt der 26. Tätigkeitsbericht für das Jahr 2005 an (LT-Drucksache 13/4910). Das betrifft nicht nur Beschäftigte. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder betont in ihrer Entschließung vom 8./9. Oktober 2009 "Aktueller Handlungsbedarf beim Datenschutz - Förderung der Datenschutzkultur", dass die zunehmende Überwachung und die ausufernde Verknüpfung von Daten in Staat und Wirtschaft unser aller Persönlichkeitsrecht gefährden (vgl. Anhang 3).
    • Ich begrüße daher auch die im Koalitionsvertrag vom 26. Oktober 2009 zum Ausdruck kommende Haltung der Bundesregierung, wonach die Risiken der Digitalisierung, die es ermöglicht, quasi auf Knopfdruck Daten zusammenzuführen und durch die Auswertung digitaler Spuren umfassende Persönlichkeitsprofile zu bilden, nicht durch staatliches Handeln verstärkt werden dürfen. Nach dem Koalitionsvertrag soll auch geprüft werden, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, wobei auch von jedem Einzelnen ein verantwortungsvoller Umgang mit seinen persönlichen Daten im Internet erwartet wird.

    Jegliches Verarbeiten eines personenbezogenen Datums unterliegt dem gesetzlichen Verbot mit Erlaubnisvorbehalt (das Verarbeiten ist verboten, außer es ist durch Rechtsvorschrift oder Einwilligung erlaubt, vgl. § 4 Abs. 1 LDSG). Das gilt auch für personenbezogene Daten über Beschäftigte einer öffentlichen Stelle.

    Im Volkszählungsurteil des Bundesverfassungsgerichts (vom 15. Dezember 1983, 1 BvR 209/83 u. a., BVerfGE 65, 1, 45) heißt es zur Tragweite des Rechts auf informationelle Selbstbestimmung für Eingriffe, durch welche der Staat die Angabe personenbezogener Daten vom Bürger verlangt, u. a.:

    "Dabei kann nicht allein auf die Art der Angaben abgestellt werden. Entscheidend sind ihre Nutzbarkeit und Verwendungsmöglichkeit. Diese hängen einerseits von dem Zweck, dem die Erhebung dient, und andererseits von den der Informationstechnologie eigenen Verarbeitungs- und Verknüpfungsmöglichkeiten ab. Dadurch kann ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen; insoweit gibt es unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses' Datum mehr.

    Wieweit Informationen sensibel sind, kann hiernach nicht allein davon abhängen, ob sie intime Vorgänge betreffen. Vielmehr bedarf es zur Feststellung der persönlichkeitsrechtlichen Bedeutung eines Datums der Kenntnis seines Verwendungszusammenhangs."

    Dazu ist Folgendes festzuhalten:

    • Bei einem Veröffentlichen von Daten im Internet gibt es keinen wirksam festlegbaren Verwendungszusammenhang. Diese Daten können zu allen denkbaren Zwecken verwandt werden.
    • Wenn eine öffentliche Stelle auf ihrer Internet-Seite einen Ansprechpartner namentlich nennt, erklärt sie damit regelmäßig zugleich, dass er dort beschäftigt ist.
    • Weil das Veröffentlichen bzw. Zugänglichmachen personenbezogener Daten über Beschäftigte im Internet besondere Gefahren für das Recht auf informationelle Selbstbestimmung begründet, dürfen personenbezogene Daten über Beschäftigte ausnahmslos nur dann übers Internet abrufbar sein, wenn eine normenklare Rechtsvorschrift diese Veröffentlichungsform ausdrücklich erlaubt, zumindest jedoch bewusst einbezieht, oder wenn der Betroffene eingewilligt hat. Das ist bei § 12 Abs. 5 des Landeshochschulgesetzes (LHG) der Fall. Nach der Gesetzesbegründung dazu kann das dort geregelte Veröffentlichen unter Umständen auch die Aufnahme personenbezogener Daten in Internet-Auftritten umfassen (LT-Drucksache 13/3640, S. 184).

      § 12 Abs. 5 LHG

      Die Hochschulen dürfen in ihren Veröffentlichungen bei Angaben über die dienstliche Erreichbarkeit ihrer Mitglieder und Angehörigen ohne deren Einwilligung nur Name, Amts-, Dienst- und Funktionsbezeichnung, Telefon- und Telefaxnummern sowie E-Mail- und Internet-Adressen aufnehmen, soweit die Aufgabe der Hochschule und der Zweck der Veröffentlichung dies erfordern. Betroffene können der Veröffentlichung widersprechen, wenn ihr schutzwürdiges Interesse wegen ihrer besonderen persönlichen Situation das Interesse der Hochschule an der Veröffentlichung überwiegt. Andere als die in Satz 1 aufgeführten Angaben dürfen nur veröffentlicht werden, soweit die Betroffenen eingewilligt haben.

      Dagegen stellt etwa § 36 Abs. 1 LDSG keine solche normenklare Rechtsvorschrift dar.

      § 36 Abs. 1 LDSG

      Personenbezogene Daten von Beschäftigten dürfen nur verarbeitet werden, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher planerischer, organisatorischer, personeller, sozialer oder haushalts- und kostenrechnerischer Maßnahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung es vorsieht.

    • Die Meinung, mit dem Nennen des Namens, der Dienstbezeichnung, der dienstlichen Telefonnummer und der dienstlichen E-Mail-Adresse eines Beamten würden "keine in irgend einer Hinsicht schützenswerten personenbezogenen Daten preisgegeben", so dass sich die Frage nach einer für Eingriffe in individuelle Rechte erforderlichen Ermächtigungsgrundlage nicht stelle (vgl. Bundesverwaltungsgericht, Beschluss vom 12. März 2008, 2 B 131.07, Rdnr. 8), bezog sich auf einen Einzelfall bei einer Bibliothek in Rheinland-Pfalz. Ich teile diese Auffassung auch mit Blick auf das Volkszählungsurteil nicht. Das gilt auch für das weitere Argument des Gerichts, dass eine juristische Person des öffentlichen Rechts, soweit sie befugt ist, ihre behördliche und organisatorische Struktur zu regeln, auch ohne ausdrückliche gesetzliche Ermächtigung befugt sei, dem außenstehenden Benutzer, für dessen Bedürfnisse sie eingerichtet ist, einen Hinweis darauf zu geben, welche natürlichen Personen als Amtswalter (Beschäftigte) mit der Erfüllung einer bestimmten Aufgabe betraut und damit in einer auf Außenkontakt gerichteten Behörde für das Publikum die zuständigen Ansprechpartner seien, und dass es allein im organisatorischen Ermessen der Behörde liege, ob sie diesen Hinweis etwa durch Übersichtstafeln, Namensschilder oder auf ihrer Internet-Seite gebe.
      Auch wenn die Entscheidung des Dienstherrn (bzw. Arbeitgebers) für einen "personalisierten" Behördenauftritt im Internet in dessen "Organisationsermessen" liegt, so macht das eine normenklare Rechtsvorschrift nicht entbehrlich, die es erlaubt, personenbezogene Daten über Beschäftigte im Internet zu veröffentlichen bzw. zugänglich zu machen. Das gilt auch dann, wenn es um personenbezogene Daten über Beamte geht und diese in ihrer Stellung als Amtsträger betroffen sind.

    Der Dienstherr kann den Anliegen, die für "personalisierte" Behördenauftritte im Internet vorgebracht werden, auch Rechnung tragen, ohne personenbezogene Daten über Beschäftigte im Internet preiszugeben:

    • Dritte können den zuständigen Beschäftigten bei einer öffentlichen Stelle auch erreichen, wenn nur dessen Sachgebiet, die Telefondurchwahl und beispielsweise eine funktionsbezogene E-Mail-Adresse angegeben sind. Die zusätzliche Angabe des Namens trägt nicht dazu bei, dass sie die öffentliche Stelle besser oder schneller erreichen.
      Mir erschließt sich auch deswegen nicht, aufgrund welcher Vorstellungen und mit welcher Zielrichtung darauf hingewiesen wird, kein Bediensteter einer Behörde habe Anspruch darauf, von Publikumsverkehr und von der Möglichkeit, postalisch oder elektronisch von außen mit ihm Kontakt aufzunehmen, abgeschirmt zu werden, es sei denn, legitime Interessen z. B. der Sicherheit geböten dies (vgl. Bundesverwaltungsgericht, Beschluss vom 12. März 2008, 2 B 131.07, Rdnr. 8). Das ist eine Selbstverständlichkeit. Doch was soll das damit zu tun haben, ob auf der Internet-Seite einer öffentlichen Stelle zusätzlich zur dienstlichen Telefondurchwahlnummer und zur etwaigen dienstlichen funktionsbezogenen E-Mail-Adresse der Name des Beschäftigten genannt wird oder nicht? Das wird niemanden dazu bringen oder davon abhalten, sich an den Beschäftigten zu wenden.
    • Für "personalisierte" Behördenauftritte wird auch ins Feld geführt, es wirke sich positiv auf das Verhältnis "des Bürgers zur Verwaltung" aus, wenn er wisse, dass er sich an den richtigen Ansprechpartner wende und nicht mit einer Stelle kommunizieren müsse, die mit seiner Angelegenheit nicht vertraut sei. Müsse der Einzelne die Behörde als solche anschreiben, bleibe für ihn das weitere Prozedere ungewiss und die Verwaltung erscheine ihm als anonymes, schwer zu durchschauendes Gebilde. Diese Belange sind mit Angaben ohne Personenbezug ohne Probleme erfüllbar.
    • Ebenso wird gelegentlich vorgebracht, bei mehreren Mitarbeitern mit demselben Nachnamen innerhalb einer Behörde könne der Dritte am Vornamen erkennen, ob er es mit derselben oder mit einer anderen Person zu tun habe. Durch die Angabe der Amtsbezeichnung werde erkennbar, wo sich der Beamte nach seiner Stellung innerhalb des Ämtergefüges befinde. Ähnliches treffe auf Funktionsbezeichnungen zu. Diese Aspekte mögen zwar für manche Personen interessant sein. Trotzdem kann dienstlichen Belangen mit Angaben ohne Personenbezug (etwa der dienstlichen Telefondurchwahlnummer des Leiters eines bestimmten Referats einer Behörde) Rechnung getragen werden.
    • Die Öffentlichkeit könne, so wird auch hervorgehoben, infolge entsprechender Angaben im Internet Handlungen bestimmten Amtswaltern zuordnen. Personalisierte Behördenauftritte förderten deshalb die Verwaltungstransparenz. Sofern es um für die Öffentlichkeit bedeutsame Vorgänge geht, sind Auskünfte zu den konkreten Vorgängen aus meiner Sicht jedoch grundsätzlich beim letztlich verantwortlichen Leiter der öffentlichen Stelle oder bei der Pressestelle zu erfragen. Zudem ist Angaben zu Zuständigkeiten nicht stets zu entnehmen, welcher Beschäftigte tatsächlich mit einem konkreten Vorgang befasst ist. Abgesehen davon tritt nach außen in der Regel ohnehin allein die Behörde als Einheit in Erscheinung, unabhängig davon, welcher Beschäftigter (als Organwalter der Behörde) jeweils tatsächlich gehandelt hat.
    • Wenn ich selbst ein Anliegen an eine öffentliche oder private Stelle habe und mit dieser Kontakt aufnehmen will, kommt es mir entscheidend darauf an, dass ich den zuständigen Beschäftigten möglichst schnell erreiche. Ob ich dazu vorab dessen Namen erfahre und ob die Stelle sich in ihrem Internet-Auftritt als "modern" darzustellen versucht, ist für mich dabei von nachrangiger Bedeutung. Soweit im Zusammenhang mit "personalisierten" Behördenauftritten auf die Privatwirtschaft verwiesen wird, will ich den Blick auf die dort verbreiteten Callcenter lenken. Dort gibt es - meines Wissens - gerade keine Zuständigkeiten eines bestimmten Beschäftigten für bestimmte Fragen oder für bestimmte Kunden. Ich fühle mich jedoch weder schlecht noch unpersönlich behandelt, wenn ich dort anrufe, ohne dass ich zuvor den Namen des Gesprächspartners aus dem Internet erfahren habe. Jedenfalls hängt die Qualität eines Callcenters nicht vom Namen des Gesprächspartners ab.

    Die Gefahren, die mit dem Veröffentlichen bzw. Zugänglichmachen personenbezogener Daten im Internet verbunden sind, sind zu verringern:

    • Die Internet-Seite einer öffentlichen Stelle sollte nicht als Treffer genannt werden, wenn ein Dritter (etwa der neugierige Nachbar) bei einer Suchmaschine den Namen des Beschäftigten als Suchkriterium eingibt. Dazu sind im 26. Tätigkeitsbericht für das Jahr 2005 (LT-Drucksache 13/4910), auf den ich insoweit verweise, zwei Varianten dargestellt. Hierbei ist die datenschutzfreundlichere Variante, personenbezogene Daten aufgrund eines Dialogs anzuzeigen (dort 2. Punkt), der Variante vorzuziehen, die Seiten entsprechend zu kennzeichnen (dort 1. Punkt).
      Die Wirksamkeit der Kennzeichen-Variante hängt davon ab, dass die Suchmaschinen-Betreiber das Kennzeichen beachten und die Seiten nicht indexieren; das Kennzeichen schließt einen Zugriff der Suchmaschinen auf die Seiten mit den personenbezogenen Daten nämlich nicht technisch aus. Deswegen kann jede inländische oder ausländische Stelle - nicht nur die Suchmaschinen-Betreiber - diese Daten uneingeschränkt zu jedem beliebigen Zweck erfassen und weiter verarbeiten.
      Bei der Dialog-Variante besteht diese Gefahr jedenfalls derzeit im Allgemeinen nicht: Dabei können die Suchmaschinen bereits technisch nicht auf die Daten zugreifen, weil die Seiten mit den personenbezogenen Daten, die im Rahmen eines Dialogs abgerufen werden müssen, vor den Suchmaschinen verborgen sind.
    • Selbst dann, wenn eine normenklare Rechtsvorschrift oder eine informierte Einwilligung es erlaubt, personenbezogene Daten über das Internet zugänglich zu machen, sind die Daten der Betroffenen vor einer zweckentfremdenden Verwendung so weit wie möglich zu schützen und nicht "ohne Not" unbeschränkten Zugriffen preiszugeben. Dazu ist aus Sicht des Datenschutzes ein Zugriff von Suchmaschinen auf diese Daten mittels der datenschutzfreundlicheren Dialog-Variante technisch auszuschließen. Das gilt auch bei Einwilligungen der Betroffenen nach umfassender Aufklärung über die Risiken. Zudem bestehen bei Beschäftigten wegen des bestehenden Abhängigkeitsverhältnisses Besonderheiten: Der betroffene Beschäftigte willigt möglicherweise nur deswegen ein, weil er nicht als illoyal oder "schwierig" gelten möchte oder bei einer Weigerung Nachteile befürchtet. Jedenfalls wurde mir schon von "Stress" in der Belegschaft einer öffentlichen Stelle berichtet, als der Vorgesetzte auf die Veröffentlichung der Namen der Mitarbeiter (mit Fotos) gedrängt habe.

    Dem Grundsatz der Datenvermeidung ist bei Internet-Seiten mehr Gewicht als bisher beizumessen. Personenbezogene Daten, die nicht von einer Internet-Seite abrufbar sind, können auch nicht beliebig weiterverarbeitet werden. Das ist der wirksamste Schutz von Daten.

    Personenbezogene Daten über Beschäftigte sind ausschließlich aufgrund einer normenklaren Rechtsvorschrift im Internet zu veröffentlichen bzw. zugänglich zu machen oder aufgrund einer informierten Einwilligung der Beschäftigten. Die Einwilligung sollte sich lediglich auf die Dialog-Variante beziehen, das heißt keinen Zugriff von Suchmaschinen zulassen.

     

    4. E-Mail-Kontrollen am Arbeitsplatz

    Darf der Dienstherr E-Mails seiner Beschäftigten kontrollieren?

    Der Dienstherr (bzw. Arbeitgeber) muss seinen Beschäftigten nicht erlauben, den dienstlichen Internet-Zugang oder die dienstliche E-Mail-Funktion privat zu nutzen. Erteilt er jedoch eine solche Erlaubnis, dann darf er sie grundsätzlich an einschränkende Voraussetzungen knüpfen, etwa in Gestalt einer angemessenen Kontrolle. Hinweise hierzu sind in der "Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internet-Diensten am Arbeitsplatz" des Arbeitskreises Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. September 2007 dargestellt (abrufbar über die Internet-Seite meines Amts unter "Service" --> "Gemeinsame Materialien von BfD und LfDs"). Auch meine Pressemitteilung vom 27. Juli 2009 (abrufbar über die Internet-Seite meines Amts unter "Der LfD und seine Aufgaben" --> "Pressemitteilungen" und dem genannten Datum) befasst sich mit der Kontrolle von E-Mails. Deswegen spreche ich nachfolgend lediglich einzelne Punkte an.

    Der Dienstherr darf grundsätzlich stichprobenweise prüfen, ob die Beschäftigten die E-Mail-Funktion in zulässiger Weise nutzen (etwa ausschließlich dienstlich oder zwar auch privat, aber nur in einem bestimmten Rahmen). Dabei muss er u. a. Folgendes beachten (unabhängig davon, ob ausschließlich dienstliche oder auch private Nutzung erlaubt ist):

    • Der Dienstherr muss das Protokollieren, das Auswerten und die Kontrolle des Nutzens der E-Mail-Funktion so regeln, dass er dabei jeweils keine, ansonsten möglichst wenige personenbezogene Daten verarbeitet. Das gilt auch für das sonstige Verarbeiten personenbezogener Daten im Zusammenhang mit E-Mails. Diese Regelungen müssen eindeutig sein.
    • Der Dienstherr muss die Beschäftigten umfassend über Art und Umfang des Verarbeitens ihrer personenbezogenen Daten informieren. Dazu gehören auch mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen.

    Wenn der Dienstherr das Nutzen der E-Mail-Funktion durch die Beschäftigten kontrolliert, dann muss er sich insbesondere an die Grundsätze der Datenvermeidung, der Datensparsamkeit und der Transparenz halten. Die Beschäftigten sind über die Vorgehensweise vorab umfassend in Kenntnis zu setzen.

     

    nach oben