Enterprise 2.0: Datenschutzrechtliche Anforderungen
Das Web 2.0 trägt viele Blüten. Eine davon nennt sich „Enterprise 2.0“ und beschreibt den Einzug von typischen Web 2.0-Anwendungen in Unternehmen. Wikis, Projektblogs oder auch Bewertungsmöglichkeiten tragen im „Enterprise 2.0“ dazu bei, die Kommunikation unter den Mitarbeitern zu vereinfachen, Wissen zu bündeln und damit bisher brach liegende Synergien auszunutzen. Für das jeweilige Unternehmen kann damit eine Ersparnis von Zeit, von Mitarbeiterkapazitäten und schließlich auch von Geld einher gehen. Das Thema ist schon länger in aller Munde und ist vor allem aus datenschutzrechtlicher Sicht hochinteressant. Denn viele Web 2.0-Anwendungen sind gemeinhin als sehr „datenintensiv“ bekannt.
Vor dem Hintergrund zahlloser Datenschutz-Skandale in den letzten Monaten dürften Öffentlichkeit und Unternehmen gleichermaßen sensibilisiert sein, was den rechtmäßigen unternehmensinternen Umgang mit Mitarbeiterdaten angeht. Nachstehend soll in diesem Zusammenhang ein grober datenschutzrechtlicher Leitfaden für das „Enterprise 2.0“ und die Verwendung seiner Tools definiert werden.
Verarbeitung und Nutzung – Verbot mit Erlaubnisvorbehalt
Der Ausgangspunkt einer datenschutzrechtlichen Zulässigkeitsprüfung von „Enterprise 2.0“-Anwendungen ist zunächst einfach: Es gilt das allgemeine datenschutzrechtliche Verbot mit Erlaubnisvorbehalt, sofern personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Dass es sich bei den Informationen, die in solche Anwendungen eingestellt werden, auch um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG handeln kann (Email-Adressen, Namen, usw.), ist unzweifelhaft. Durch das Speichern, Bereithalten und die Abrufbarkeit der Daten im Intranet ist in der Regel der Tatbestand der „Datenverarbeitung” gemäß § 3 Abs. 4 S. 2 Nr. 3b BDSG erfüllt – jedenfalls liegt aber eine Datennutzung, § 3 Abs. 5 BDSG, vor.
Einwilligung
Da eine Nutzung personenbezogener Daten vorliegt, bedarf es der Einwilligung der Betroffenen oder eines gesetzlichen Erlaubnistatbestandes.
Die Einholung von entsprechenden Einwilligungen birgt dabei eine Reihe von Problemen. Zunächst scheidet unternehmensintern die elektronische Abgabe einer Einwilligung gemäß § 13 Abs. 2 und 3 TMG aus, da die Vorschriften im Arbeits- und Dienstverhältnis nicht anwendbar sind (§ 11 Abs. 1 Nr. 1 TMG). Insoweit ist auf § 4a BDSG und auch auf die dort grundsätzlich vorgesehene Schriftform zurückzugreifen.
Dort werden auch weitere Voraussetzungen für die Wirksamkeit von Einwilligungen formuliert. Eine davon ist das Erfordernis, dass die Einwilligung auf der freien Entscheidung des Betroffenen zu beruhen hat. Frei ist die Entscheidung des Betroffenen aber nur, wenn der Betroffene weiß, in welche Verarbeitungsvorgänge welcher konkreten personenbezogenen Daten er überhaupt einwilligt. Und genau hier liegt „der Hase im Pfeffer“: Kenntnis von den konkreten Daten, die genutzt oder verarbeitet werden sollen, erlangt der Mitarbeiter nur dadurch, dass sie bei Abgabe der Einwilligung von der „verantwortlichen Stelle“ ausdrücklich genannt werden. Mit anderen Worten: Das Unternehmen hat alle personenbezogenen Daten, die verarbeitet oder genutzt werden sollen, konkret und deutlich zu benennen. Angesichts der Vielzahl möglicher personenbezogener Daten, die zum Beispiel ein in einem unternehmensinternen Wiki oder Projektblog auftauchen können, ein überaus schwieriges Unterfangen. Gelingt es nicht, diese Daten konkret zu benennen, scheidet die Einholung von Einwilligungen als Legitimation aus.
Damit bleibt festzuhalten: Einwilligungen der Mitarbeiter zur Nutzung ihrer Daten in Enterprise 2.0-Anwendungen müssen vom Unternehmen vorab schriftlich eingeholt werden. Die Einwilligungen haben dabei hinreichend konkret zu sein und jedes in Frage kommende personenbezogene Datum zu benennen, das verarbeitet oder genutzt werden soll.
Gesetzliche Erlaubnistatbestände
Neben der ausdrücklichen Einwilligung der Mitarbeiter kann sich eine Legitimation aber auch aus gesetzlichen Erlaubnistatbeständen ergeben. Wegen des Subsidiaritätsgrundsatzes des § 1 Abs. 3 BDSG kommen zunächst die speziellen Erlaubnisnormen des Telemediengesetzes in Betracht. Der Ausschluss des § 11 Abs. 1 Nr.1 TMG greift allerdings auch hier. Es bleibt damit nur der Rückgriff auf die Vorschriften der §§ 27 ff. BDSG, die erst vor kurzem novelliert worden sind.
Nach § 28 Abs. 1 S. 1 Nr. BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für die Erfüllung eigener Geschäftszwecke dann zulässig, wenn es für die Zweckbestimmung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Vertrauensverhältnisses erforderlich ist. Als „rechtsgeschäftliche Vertrauensverhältnisse” kommen in Bezug auf die Datennutzung danach nur die Arbeitsverträge mit den Mitarbeitern in Betracht. Man würde aber über das Ziel hinaus schießen und die Vorschrift deutlich überspannen, wenn man die Verwendung von „Enterprise 2.0“- Anwendungen als zweckmäßig für die Erfüllung und Wahrnehmung des Arbeitsverhältnisses ansehen wollte. Denn schließlich besteht der Zweck des Arbeitsverhältnisses zumindest überwiegend nicht darin, an unternehmeninternen Web 2.0-Anwendungen teilzunehmen und dort personenbezogene Daten zu hinterlassen. Der Anwendungsbereich dieser Vorschrift ist damit nicht eröffnet.
Der Anwendungsbereich des § 28 Abs. 1 S. 1 Nr. 2 BDSG ist ungleich weiter und nicht auf die Zweckbestimmung eines Vertragsverhältnisses beschränkt. Nach dieser Vorschrift ist die Verarbeitung und Nutzung personenbezogener Daten für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung „berechtigter Interessen” erforderlich ist und kein Grund zur Annahme besteht, dass „schutzwürdige Interessen” des Betroffenen entgegen stehen.
Insgesamt eine sehr schwammige Vorschrift mit vielen normativen Begriffen und Interessensabwägungen. So darf man sich durchaus fragen, was überhaupt „berechtigte“ und „schutzwürdige“ Interessen sind und auch, was unter „erforderlich“ verstanden werden muss. Aus dem Gesetz ergibt sich eine dahingehende Antwort für den Anwender der Vorschrift zumindest nicht.
Versucht man diese Vorschrift anzuwenden, dann ergibt sich folgende Linie: Ist das Unternehmen bei vernünftiger Betrachtung tatsächlich und alternativlos auf die entsprechende Anwendung und die dahinter stehende Datenverarbeitung angewiesen? Oder sind die Interessen der Betroffenen so gewichtig, dass sie eine Datenverarbeitung- beziehungsweise Nutzung ausschließen können? Kurzum: Wie sind berechtigte Unternehmensinteressen und schutzwürdige Interessen der Betroffenen bei der Datenverarbeitung- und Nutzung im „Enterprise 2.0“ in Einklang zu bringen?
Ein berechtigtes Unternehmensinteresse kann grundsätzlich alles sein, was von der Rechtsordnung gebilligt wird. Betriebliche Einspar- und Optimierungsprozesse durch Enterprise 2.0-Anwendungen fallen damit auch unter diesen Begriff. Die Datennutzung muss darüber hinaus aber auch noch „erforderlich” sein. Eine solche Erforderlichkeit liegt in Bezug auf die Datennutzung immer dann vor, wenn das Unternehmen bei vernünftiger Betrachtung alternativlos darauf angewiesen ist.
Auf Seiten der Betroffenen Arbeitnehmer müssen nicht nur die Privat-, Intim- und Vertrauenssphäre als schutzwürdig angesehen werden, sondern auch die beruflichen und wirtschaftlichen Interessen der Mitarbeiter.
Es kommt bei einer Abwägung also auf den berühmten Einzelfall an und auch auf die einzelnen, in Frage stehenden Anwendungen. In Zeiten wirtschaftlichen Wettbewerbs und Verdrängung sind Einspar- und Optimierungsmöglichkeiten für Unternehmen durch Enterprise 2.0-Anwendungen grundsätzlich nicht zu beanstanden und den Mitarbeitern auch aus datenschutzrechtlicher Sicht zumutbar, sofern die Wahrscheinlichkeit eines Datenmissbrauchs oder die Verwendung durch externe Dritte ausgeschlossen ist. Die Daten sollten darüber hinaus in zumindest mittelbarem Bezug zum Arbeitsverhältnis stehen. Die Nutzung besonders sensibler Daten, wie sie in § 3 Abs. 9 BDSG genannt sind, sollte im Enterprise 2.0 grundsätzlich ausgeschlossen sein. Auch der Grundsatz der Datenvermeidung und Datensparsamkeit nach § 3a BDSG darf nicht in Vergessenheit geraten.
Eine pauschale Legitimation zur Datenverarbeitung und Datennutzung lässt sich aus § 28 Abs. 1 S.1 Nr. 2 BDSG jedenfalls nicht herleiten, es ist immer auf den Einzelfall, die konkrete Anwendung und die entsprechenden, dort genutzten Daten zu schauen.
Schließlich ist an den neu ins BDSG aufgenommenen § 32 zu denken. In dessen Satz 1 des Absatzes 1 heißt es nämlich u.a., dass personenbezogene Daten für „Zwecke des Beschäftigungsverhältnisses” erhoben werden dürfen, sofern dies „für dessen Durchführung erforderlich” ist. Welche Vorgänge genau dabei Zwecken des Beschäftigungsverhältnisses dienen sollen, hat der Gesetzgeber genauso offen gelassen wie eine Klarstellung, was in diesem Zusammenhang unter „erforderlich“ verstanden zu verstehen ist.
Mit dem neu geschaffenen § 32 BDSG hat der Gesetzgeber gleichwohl eine Regelung getroffen, die sich speziell auf den Datenschutz von Arbeitnehmern bezieht. Insoweit werden die bisherigen „Auffangtatbestände“ des § 28 BDSG modernisiert und vervollständigt. Die generalklauselartige Formulierung lässt dabei vermuten, dass der Gesetzgeber auch ihm bisher unbekannten datenschutzrechtlichen Problemen Raum lassen wollte. Enterprise 2.0-Anwendungen dienen (wenn auch nicht ausschließlich) Zwecken des Beschäftigungsverhältnisses im Sinne der Vorschrift und sind damit von ihrem Anwendungsbereich damit erfasst (im Gegensatz zum engeren Anwendungsbereich des § 28 Abs. 1 S. 1 Nr. 1 BDSG, s.o.).
Diese Erkenntnis allein enthebt freilich noch nicht der Frage, ob Enterprise 2.0-Tools auch zur Durchführung eines Beschäftigungsverhältnisses „erforderlich“ sind. Es erscheint vorteilhaft, den Begriff der Erforderlichkeit innerhalb des § 32 BDSG keiner starren Definition und Abwägung zuzuführen, sondern ihn in einem dynamischen Zusammenhang verstehen zu wollen. Eine Entwicklung wie die des „Enterprise 2.0“, die gerade erst begonnen hat, ist möglicherweise schon in wenigen Jahren zentraler Bestandteil der Unternehmenskommunikation und von Arbeitsprozessen. Noch vor 15 Jahren wären Mitarbeiter-Email-Adressen oder Intranetauftritte auch nicht als „erforderlich“ im Sinne der Vorschrift betrachtet worden, wohingegen sie heute einen überragenden Stellenwert einnehmen. Das Begriffsverständnis von „erforderlich“ ist damit schnelllebig und unterliegt einem permanenten Wandel.
Für die Durchführung eines Beschäftigungsverhältnis „erforderlich” gemäß § 32 Abs. 1 S. 1 BDSG sind demnach solche Enterprise 2.0-Anwendungen, die im Unternehmensalltag nützlich, wenn nicht gar unerlässlich sind. Welche konkrete Anwendung in welchem Unternehmen als nützlich anzusehen ist, kann hier nicht beantwortet werden sondern muss im Einzelfall gesondert betrachtet werden. Denn für ein Unternehmen mit mehreren 1000 Mitarbeitern gelten andere Anforderungen als für eines mit 30 Mitarbeitern.
Fazit
Die einfachen und praktischen Anwendungen des „Enterprise 2.0“ bedürfen einer genauen datenschutzrechtlichen Betrachtung im Einzelfall. Unternehmen sollten sich bei der Verwendung von Enterprise 2.0-Anwendungen im eigenen Interesse die Mühe machen, nach Möglichkeit wirksame Einwilligungen der Mitarbeiter einzuholen. Zwar geben auch die Erlaubnistatbestände der §§ 27 ff. BDSG, sowie § 32 BDSG einer Legitimation gewisse Spielräume. Eine pauschale und umfassende datenschutzrechtliche Erlaubnis kann aber auch daraus nicht abgeleitet werden. Denn auch Einspar- und Optimierungsmöglichkeiten für Unternehmen im „Enterprise 2.0” dürfen in Zeiten harten wirtschaftlichen Wettbewerbs nicht dazu führen, das informationelle Selbstbestimmungsrecht der Mitarbeiter auszuhöhlen.
