Sandra Schulz: Lidl, Deutsche Bahn, Telekom – die Namen dieser Unternehmen stehen inzwischen nicht mehr nur für Supermärkte, öffentlichen Personenverkehr und Telefondienstleistungen, sondern haben den Stoff für eine Reihe von Skandalen geliefert. Es ging um die Überwachung und Bespitzelung von Arbeitnehmern im Job. Jetzt reagiert die Bundesregierung, sie will den Datenschutz von Beschäftigten verbessern. Den Gesetzentwurf hat das Kabinett jetzt auf den Weg gebracht. Am Telefon begrüße ich jetzt den Datenschutzbeauftragten von Schleswig-Holstein, Thilo Weichert. Guten Tag!
Thilo Weichert: Ich grüße Sie!
Schulz: Wir haben es gerade gehört: Die Kritik aus der Wirtschaft kommt recht breit. Sie sagen, die Regierung gehe zu weit, und fordern des wegen Nachbesserungen. Sehen Sie das auch so?
Weichert: Ich denke, dieser Gesetzentwurf kann so nicht verabschiedet werden, er muss tatsächlich nachgebessert werden, aber weniger in Richtung mehr Überwachungsmöglichkeiten für die Arbeitgeber, sondern tatsächlich noch Verbesserungen für die Arbeitnehmerinnen und Arbeitnehmer. Ich muss aber den Arbeitgebern konzedieren, dass dieses absolute Verbot von Videoüberwachung, was tatsächlich in der BAG-Rechtsprechung bisher nicht ausgesprochen worden ist, nicht sinnvoll ist, weil nämlich auf der anderen Seite der Gesetzentwurf sehr weitestgehend die offene Videoüberwachung erlaubt, und es macht natürlich überhaupt keinen Sinn, jetzt praktisch sämtliche Bereiche eines Betriebes offen Video zu überwachen, um eben dann die heimlichen Überwachungsverbote zu umgehen. Es gibt eine Vielzahl von anderen Regelungen, die definitiv noch verbessert werden müssen, auch die angesprochene Internetregelung, also die Nutzung von Internetdaten durch den Arbeitgeber. Meines Erachtens müsste es eine Whistleblower-Regelung geben, also die Möglichkeit, Mängel oder Missstände im Betrieb offenzulegen, ohne sofort die Identität offenbaren zu müssen, und meines Erachtens müsste es auch so eine Art Verbandsklage geben, aber ich glaube, das wird in der weiteren Diskussion jetzt sicher noch alles erörtert werden.
Schulz: Lassen Sie uns das Schritt für Schritt erarbeiten. Welche Korrekturen, abgesehen von dem, was Sie gerade konkret genannt haben, fordern Sie? Was haben Sie im Auge?
Weichert: Ich denke, es ist zunächst einmal notwendig, die Argumentation der Gewerkschaften und der Datenschützer, die bisher nicht berücksichtigt worden sind bei dem Gesetzentwurf, vollständig einzubringen. Zwar hat die FDP viele Datenschutzforderungen ja auch aufgegriffen und weiter berücksichtigt, aber einen direkten Dialog mit den Gewerkschaften, mit den Datenschützern hat es bisher nicht gegeben. Anders ist es offensichtlich, was die Begehrlichkeiten und Bedürfnisse der Arbeitgeberseite angeht, die sehr weitgehend schon im allerersten Referentenentwurf berücksichtigt wurden. Konkret geht es darum, jetzt ein ausgewogenes Verhältnis zwischen eben Privatsphäre im Betrieb und Kontroll-, auch legitimen Kontrollbefugnissen für den Arbeitgeber zu bekommen, und da gibt es einzelne sinnvolle Regelungen, teilweise geht es zu weit, teilweise ist aber zu kurz gesprungen, und ich habe die ganz große Hoffnung, dass da in dem gesellschaftlichen Dialog wirklich so was wie ein Konsens hergestellt wird.
Schulz: Sie kritisieren also das Verfahren. Aber sagen Sie uns noch mal und machen Sie es vielleicht auch noch konkreter: In welchen Punkten kommt der Arbeitnehmerschutz aus Ihrer Sicht zu kurz?
Weichert: Zum Beispiel wird gesagt, solche Community-Daten dürften nicht genutzt werden, aber dann Social-Community-Daten aus irgendwelchen Plattformen, die was mit dem Beruf zu tun haben, also etwa XING. Es wird überhaupt nicht darauf eingegangen, was mit sonstigen Internet-Daten, Informationen aus Blogs, aus Foren oder aus Ähnlichem gemacht werden darf und soll. Also da muss einfach besser geregelt werden. Dann die öffentliche, also die transparente und auch nachvollziehbare Videoüberwachung ist viel zu weit geregelt. Es fehlt vollständig eine Regelung – das wurde auch schon angesprochen – zur privaten Nutzung von Telekommunikationseinrichtungen, also zum privaten Telefonieren am Arbeitsplatz. Das ist ein riesiges Problem schon seit 20 Jahren, was vom Gesetzgeber bisher nicht geregelt worden ist und hier geregelt werden könnte und müsste. Der Entwurf schweigt dazu.
Es gibt dann auch eine Vielzahl von Regelungen, die sicher hinterfragt werden müssen, weil sie eine zu allgemeine Abwägung vorsehen. Da steht dann einfach, Datenverarbeitung ist zulässig, wenn eine Abwägung das ergibt. Das gibt den Arbeitgebern und Arbeitnehmern nicht hinreichende Leitlinien, was denn jetzt erlaubt und was verboten sein soll. Also ich denke, es gibt hier noch einiges zu schleifen, um wirklich ein gutes Gesetz zu bekommen.
Schulz: Der Deutschlandfunk heute Mittag im Gespräch mit Thilo Weichert, dem Datenschutzbeauftragten von Schleswig-Holstein. – Wir wollen heute Mittag noch auf ein anderes Thema schauen. Computerexperten kritisieren Sicherheitsmängel beim elektronischen Personalausweis. Teilen Sie diese Skepsis?
Weichert: Ich habe mit großem Interesse die Überprüfung durch den Chaos-Computerclub und das ARD-Magazin mir angeschaut. Es ist tatsächlich ein Angriffs-Szenario, was jetzt hier verfolgt worden ist, was realistisch ist. Insofern, denke ich, muss hier das Innenministerium und das zuständige Bundesamt für die Sicherheit in Informationstechnik darauf reagieren, muss Hinweise geben. Es besteht natürlich generell das Problem – und das war sozusagen die offene Flanke, die der Chaos-Computerclub auch ausgenutzt hat -, dass die Datenverarbeitung auf dem privaten Rechner stattfindet, aber auch insofern haben wir schon den Vorschlag gemacht – und das geht in die gleiche Richtung wie der Chaos-Computerclub – zu sagen, nicht die Lesegeräte sollen dumm sein, sondern es sollten auch bessere Lesegeräte genutzt werden, sodass der Datenverkehr vom Lesegerät aus schon verschlüsselt ist, mit der Konsequenz, dass dann eben PIN und sonstiger Datenverkehr nicht mehr so leicht missbraucht, abgehört und dann auch zum Identitätsdiebstahl verwendet werden können.
Schulz: Aber jetzt sagt das Bundesamt für Sicherheit und Informationstechnik ja, dass ohnehin jeder Computernutzer, jeder Internetnutzer Schutzsoftware braucht auf seinem Rechner, um sich vor Viren zu schützen. Ist das kein richtiges Argument? Stimmt es nicht, dass dann auch dieses Lesegerät von diesem Schutz umfasst sein müsste?
Weichert: Dieses Argument ist grundsätzlich richtig, aber es ist nicht ausreichend. Natürlich muss jeder einen Grundschutz haben, wobei der Bundesgerichtshof gesagt hat, da kann dem Betroffenen nur das zugemutet werden, was er als technischer Laie eben einigermaßen noch hinkriegt. Die technischen Möglichkeiten von Kriminellen gehen aber weit über das oft hinaus und insofern müssen dann eben auch diese potenziellen weiteren Risiken mit berücksichtigt werden, und das ließe sich erreichen durch eine Änderung eben der Lesegeräte. Vielleicht in der ersten Generation kann man diese dummen Lesegeräte erst mal einsetzen. Ich denke aber, langfristig soll auf jeden Fall im Einsatz von dem Personalausweis wirklich auch hinreichende Akzeptanz und Sicherheit gegeben sein, und das, denke ich, macht ein Nachbessern technisch und insbesondere auch was die Information der Bevölkerung angeht notwendig.
Schulz: Und wenn diese Nachbesserung jetzt ausbleiben sollte, dann wäre das aus Ihrer Sicht ein Argument, auf den elektronischen Personalausweis für solche Geschäfte im Internet komplett zu verzichten?
Weichert: Ja und nein. Ich denke, die Idee des neuen Personalausweises ist absolut richtig und sinnvoll, eben eine Identifizierungsmöglichkeit im Internet zu schaffen und Geschäfte auch sicher abschließen zu können. Wenn aber jetzt solche großen Risiken entstehen, dann ist genau diese Sicherheit nicht mehr gegeben, mit der weiteren Konsequenz, dass die Akzeptanz eben abnimmt und dass wir dann tatsächlich bei vielen relevanten Geschichten eher von der Nutzung dieses Instrumentes abraten müssen. Ich glaube, es wäre im Interesse aller Beteiligten, insbesondere auch der Bundesregierung, dass jetzt hier diese Bedenken aufgegriffen würden und damit positiv umgegangen wird.
Schulz: Sind diese Sicherheitsmängel, die natürlich in der Diskussion um das Geschäft im Internet immer wieder auftauchen, nicht auch ein Totschlagargument? Gibt es denn überhaupt hundertprozentige Sicherheit?
Weichert: Nein. Eine hundertprozentige Sicherheit gibt es nirgendwo und schon gar nicht im Internet. Aber man kann natürlich das tun, was auf der einen Seite angemessen und auch bezahlbar ist, aber eben trotzdem eine hinreichende Sicherheit gibt, dass man dann auch einigermaßen unbeschwert dieses Medium nutzen kann, und das ist genau die Gratwanderung, die jetzt hier gegangen werden muss und wo wir, glaube ich, noch nicht am Ende des Weges sind.
Schulz: Der Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, heute hier in den "Informationen am Mittag". Danke schön!
Weichert: Gerne!
Thilo Weichert: Ich grüße Sie!
Schulz: Wir haben es gerade gehört: Die Kritik aus der Wirtschaft kommt recht breit. Sie sagen, die Regierung gehe zu weit, und fordern des wegen Nachbesserungen. Sehen Sie das auch so?
Weichert: Ich denke, dieser Gesetzentwurf kann so nicht verabschiedet werden, er muss tatsächlich nachgebessert werden, aber weniger in Richtung mehr Überwachungsmöglichkeiten für die Arbeitgeber, sondern tatsächlich noch Verbesserungen für die Arbeitnehmerinnen und Arbeitnehmer. Ich muss aber den Arbeitgebern konzedieren, dass dieses absolute Verbot von Videoüberwachung, was tatsächlich in der BAG-Rechtsprechung bisher nicht ausgesprochen worden ist, nicht sinnvoll ist, weil nämlich auf der anderen Seite der Gesetzentwurf sehr weitestgehend die offene Videoüberwachung erlaubt, und es macht natürlich überhaupt keinen Sinn, jetzt praktisch sämtliche Bereiche eines Betriebes offen Video zu überwachen, um eben dann die heimlichen Überwachungsverbote zu umgehen. Es gibt eine Vielzahl von anderen Regelungen, die definitiv noch verbessert werden müssen, auch die angesprochene Internetregelung, also die Nutzung von Internetdaten durch den Arbeitgeber. Meines Erachtens müsste es eine Whistleblower-Regelung geben, also die Möglichkeit, Mängel oder Missstände im Betrieb offenzulegen, ohne sofort die Identität offenbaren zu müssen, und meines Erachtens müsste es auch so eine Art Verbandsklage geben, aber ich glaube, das wird in der weiteren Diskussion jetzt sicher noch alles erörtert werden.
Schulz: Lassen Sie uns das Schritt für Schritt erarbeiten. Welche Korrekturen, abgesehen von dem, was Sie gerade konkret genannt haben, fordern Sie? Was haben Sie im Auge?
Weichert: Ich denke, es ist zunächst einmal notwendig, die Argumentation der Gewerkschaften und der Datenschützer, die bisher nicht berücksichtigt worden sind bei dem Gesetzentwurf, vollständig einzubringen. Zwar hat die FDP viele Datenschutzforderungen ja auch aufgegriffen und weiter berücksichtigt, aber einen direkten Dialog mit den Gewerkschaften, mit den Datenschützern hat es bisher nicht gegeben. Anders ist es offensichtlich, was die Begehrlichkeiten und Bedürfnisse der Arbeitgeberseite angeht, die sehr weitgehend schon im allerersten Referentenentwurf berücksichtigt wurden. Konkret geht es darum, jetzt ein ausgewogenes Verhältnis zwischen eben Privatsphäre im Betrieb und Kontroll-, auch legitimen Kontrollbefugnissen für den Arbeitgeber zu bekommen, und da gibt es einzelne sinnvolle Regelungen, teilweise geht es zu weit, teilweise ist aber zu kurz gesprungen, und ich habe die ganz große Hoffnung, dass da in dem gesellschaftlichen Dialog wirklich so was wie ein Konsens hergestellt wird.
Schulz: Sie kritisieren also das Verfahren. Aber sagen Sie uns noch mal und machen Sie es vielleicht auch noch konkreter: In welchen Punkten kommt der Arbeitnehmerschutz aus Ihrer Sicht zu kurz?
Weichert: Zum Beispiel wird gesagt, solche Community-Daten dürften nicht genutzt werden, aber dann Social-Community-Daten aus irgendwelchen Plattformen, die was mit dem Beruf zu tun haben, also etwa XING. Es wird überhaupt nicht darauf eingegangen, was mit sonstigen Internet-Daten, Informationen aus Blogs, aus Foren oder aus Ähnlichem gemacht werden darf und soll. Also da muss einfach besser geregelt werden. Dann die öffentliche, also die transparente und auch nachvollziehbare Videoüberwachung ist viel zu weit geregelt. Es fehlt vollständig eine Regelung – das wurde auch schon angesprochen – zur privaten Nutzung von Telekommunikationseinrichtungen, also zum privaten Telefonieren am Arbeitsplatz. Das ist ein riesiges Problem schon seit 20 Jahren, was vom Gesetzgeber bisher nicht geregelt worden ist und hier geregelt werden könnte und müsste. Der Entwurf schweigt dazu.
Es gibt dann auch eine Vielzahl von Regelungen, die sicher hinterfragt werden müssen, weil sie eine zu allgemeine Abwägung vorsehen. Da steht dann einfach, Datenverarbeitung ist zulässig, wenn eine Abwägung das ergibt. Das gibt den Arbeitgebern und Arbeitnehmern nicht hinreichende Leitlinien, was denn jetzt erlaubt und was verboten sein soll. Also ich denke, es gibt hier noch einiges zu schleifen, um wirklich ein gutes Gesetz zu bekommen.
Schulz: Der Deutschlandfunk heute Mittag im Gespräch mit Thilo Weichert, dem Datenschutzbeauftragten von Schleswig-Holstein. – Wir wollen heute Mittag noch auf ein anderes Thema schauen. Computerexperten kritisieren Sicherheitsmängel beim elektronischen Personalausweis. Teilen Sie diese Skepsis?
Weichert: Ich habe mit großem Interesse die Überprüfung durch den Chaos-Computerclub und das ARD-Magazin mir angeschaut. Es ist tatsächlich ein Angriffs-Szenario, was jetzt hier verfolgt worden ist, was realistisch ist. Insofern, denke ich, muss hier das Innenministerium und das zuständige Bundesamt für die Sicherheit in Informationstechnik darauf reagieren, muss Hinweise geben. Es besteht natürlich generell das Problem – und das war sozusagen die offene Flanke, die der Chaos-Computerclub auch ausgenutzt hat -, dass die Datenverarbeitung auf dem privaten Rechner stattfindet, aber auch insofern haben wir schon den Vorschlag gemacht – und das geht in die gleiche Richtung wie der Chaos-Computerclub – zu sagen, nicht die Lesegeräte sollen dumm sein, sondern es sollten auch bessere Lesegeräte genutzt werden, sodass der Datenverkehr vom Lesegerät aus schon verschlüsselt ist, mit der Konsequenz, dass dann eben PIN und sonstiger Datenverkehr nicht mehr so leicht missbraucht, abgehört und dann auch zum Identitätsdiebstahl verwendet werden können.
Schulz: Aber jetzt sagt das Bundesamt für Sicherheit und Informationstechnik ja, dass ohnehin jeder Computernutzer, jeder Internetnutzer Schutzsoftware braucht auf seinem Rechner, um sich vor Viren zu schützen. Ist das kein richtiges Argument? Stimmt es nicht, dass dann auch dieses Lesegerät von diesem Schutz umfasst sein müsste?
Weichert: Dieses Argument ist grundsätzlich richtig, aber es ist nicht ausreichend. Natürlich muss jeder einen Grundschutz haben, wobei der Bundesgerichtshof gesagt hat, da kann dem Betroffenen nur das zugemutet werden, was er als technischer Laie eben einigermaßen noch hinkriegt. Die technischen Möglichkeiten von Kriminellen gehen aber weit über das oft hinaus und insofern müssen dann eben auch diese potenziellen weiteren Risiken mit berücksichtigt werden, und das ließe sich erreichen durch eine Änderung eben der Lesegeräte. Vielleicht in der ersten Generation kann man diese dummen Lesegeräte erst mal einsetzen. Ich denke aber, langfristig soll auf jeden Fall im Einsatz von dem Personalausweis wirklich auch hinreichende Akzeptanz und Sicherheit gegeben sein, und das, denke ich, macht ein Nachbessern technisch und insbesondere auch was die Information der Bevölkerung angeht notwendig.
Schulz: Und wenn diese Nachbesserung jetzt ausbleiben sollte, dann wäre das aus Ihrer Sicht ein Argument, auf den elektronischen Personalausweis für solche Geschäfte im Internet komplett zu verzichten?
Weichert: Ja und nein. Ich denke, die Idee des neuen Personalausweises ist absolut richtig und sinnvoll, eben eine Identifizierungsmöglichkeit im Internet zu schaffen und Geschäfte auch sicher abschließen zu können. Wenn aber jetzt solche großen Risiken entstehen, dann ist genau diese Sicherheit nicht mehr gegeben, mit der weiteren Konsequenz, dass die Akzeptanz eben abnimmt und dass wir dann tatsächlich bei vielen relevanten Geschichten eher von der Nutzung dieses Instrumentes abraten müssen. Ich glaube, es wäre im Interesse aller Beteiligten, insbesondere auch der Bundesregierung, dass jetzt hier diese Bedenken aufgegriffen würden und damit positiv umgegangen wird.
Schulz: Sind diese Sicherheitsmängel, die natürlich in der Diskussion um das Geschäft im Internet immer wieder auftauchen, nicht auch ein Totschlagargument? Gibt es denn überhaupt hundertprozentige Sicherheit?
Weichert: Nein. Eine hundertprozentige Sicherheit gibt es nirgendwo und schon gar nicht im Internet. Aber man kann natürlich das tun, was auf der einen Seite angemessen und auch bezahlbar ist, aber eben trotzdem eine hinreichende Sicherheit gibt, dass man dann auch einigermaßen unbeschwert dieses Medium nutzen kann, und das ist genau die Gratwanderung, die jetzt hier gegangen werden muss und wo wir, glaube ich, noch nicht am Ende des Weges sind.
Schulz: Der Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, heute hier in den "Informationen am Mittag". Danke schön!
Weichert: Gerne!