Der 4. Juni 2009 hätte ein ganz normaler Arbeitstag sein können im beschaulichen Rathaus im Neckarstädtchen Remseck. Für einen Mitarbeiter des Bauamts war die Normalität aber nach einer nichtöffentlichen Sitzung des Gemeinderats zu Ende: Dort wurde ihm gekündigt. Mit sofortiger Wirkung war er von seiner Arbeit freigestellt. Der Grund: private Mail-Kommunikation vom Arbeitsplatz aus. Die hatte der Oberbürgermeister am 1. Januar 2008 per Dienstanweisung verboten. Diese Dienstanweisung mussten alle Mitarbeiter zur Kenntnis nehmen. Die Frage ist nun: Dürfen öffentliche Verwaltungen die elektronische Post der Mitarbeiter überhaupt überwachen und welche Maßnahmen sind zulässig?
"Der Umgang des Dienstherren mit der elektronischen Post der Beschäftigten ist ein weites Feld und in manchen Bereichen eine gewisse Grauzone. Die Datenschutzbeauftragten haben dazu eine Empfehlung gegeben wie E-Mails am Arbeitsplatz datenschutzgerecht genutzt werden können."
sagt dazu Rolf Klingbeil, Landesdatenschutzbeauftragter in Baden-Württemberg. Die Dienstanweisung des Oberbürgermeisters liegt dem Deutschlandfunk vor, wir haben Rolf Klingbeil dazu um eine Stellungnahme gebeten. Er hat sie mit den Empfehlungen der Datenschutzbeauftragten abgeglichen und sieht danach an einigen Stellen Klärungsbedarf. Zum Beispiel in Sachen Transparenz. So steht in der Dienstanweisung, dass die Nutzung der elektronischen Post vom IT-Administrator protokolliert wird. Das sei nicht präzise genug, mahnt Klingbeil:
"Beispielweise wenn die Rede ist von Protokollierung durch den Administrator, dann sollte man wissen, in welcher Form findet das statt, in welcher Form werden die Daten aufbewahrt, was schaut er sich dabei an."
Dieser Mangel an Transparenz sorgt für Verunsicherung. Das gilt auch für die Dauer der Zeiträume, für die eine Überwachung erfolgt. Dazu steht in der Dienstanweisung nichts. Im vorliegenden Fall hat sie nach Aussagen des Personalrats ein Jahr lang stattgefunden.
"Der Personalrat wurde während der gesamten Zeit nicht einbezogen. Die erste Information die der Personalrat erhalten hat war die, dass eine Zustimmung zur Kündigung gefordert wurde."
so die Personalratsvorsitzende Susanne Gronbach gegenüber dem Deutschlandfunk. Zu einem Interview mit Mikrofon war sie nicht bereit, bestätigte aber die Zitate. Auch Mails des Personalrats würden möglicherweise gelesen:
"Es gibt für mich persönlich Anlass zu sagen, dass auch in meine Mail reingeschaut wird."
lässt sich Gronbach zitieren. Bei dieser Aussage läuten beim Datenschutzbeauftragten Klingbeil die Alarmglocken:
"Wichtig ist, dass die Personen in einer Verwaltung die ein besonderes Vertrauensverhältnis genießen, das ist der Personalrat, das können die Schwertbehindertenvertreter sein, das kann die Gleichstellungsbeauftragte sein, dass die in ihrem E-Mail-Verkehr besonders geschützt werden."
In der Dienstanweisung des Remsecker OB ist davon nicht die Rede. Möglicherweise gibt es diese Regelungen, kommuniziert werden sie nicht. Der Oberbürgermeister selbst war während unserer Recherchen in Urlaub. Mit seinem Stellvertreter war ein Gespräch bereits vereinbart, wurde aber wieder abgesagt. Offen ist aus Sicht der Gewerkschaft Verdi auch die Frage, was der Oberbürgermeister per Dienstanweisung überhaupt regeln darf:
"Überall dort, wo es um die Frage der Kontrolle des Verhaltens der Mitarbeiter geht, gibt es ein Mitbestimmungsrecht des Personalrats, und da muss eine Dienstvereinbarung getroffen werden. Das kann der Arbeitgeber nicht allein entscheiden."
meint Gabriele Frenzer-Wolf, Rechtsexpertin beim Landesverband der Gewerkschaft. Einer solchen Dienstvereinbarung, bei der sich Personalrat und Verwaltung verständigen, kann auch Datenschützer Klingbeil mehr abgewinnen als einseitigen Anweisungen. Die seien zwar möglich, aber nicht ratsam:
"Ich würde eine Dienstvereinbarung vorziehen, weil es um das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer geht, ich denke, dass man sich da nicht nur am rechtlichen Minimalstandard orientieren sollte, sondern da kann einfach auch viel Porzellan zerschlagen werden, wenn man nur einseitig geregelt Dinge vorsieht und die nicht aushandelt."
Noch besser aber wäre aus seiner Sicht, wenn diese Fragen in einem eigenen Gesetz geregelt würden. Die Datenschutzbeauftragten treten deshalb für ein eigenständiges Arbeitnehmerdatenschutzgesetz ein. Dann hätte der Mitarbeiter des Bauamts in Remseck gewusst, woran er ist. Nun werden sich die Gerichte mit diesem Fall beschäftigen müssen.
Datenschutzrecht oder Korruption?
Peter Welchering im Gespräch mit Manfred Kloiber
Manfred Kloiber: Ein Arbeitnehmerdatenschutzgesetz wird in dieser Legislaturperiode nicht mehr durch den Bundestag gebracht werden. Das wissen wir seit Mittwoch. Denn da hat die Große Koalition das Thema "Datenschutzgesetz" erst einmal von der parlamentarischen Tagesordnung abgesetzt.Was genau ist am Mittwoch im Berliner Reichstagsgebäude passiert, Peter Welchering?
Peter Welchering: Auf den ersten Blick nichts Spektakuläres: Tagesordnungspunkt sieben der 101. Sitzung des Innenausschusses des Bundestages ist abgesetzt worden. Auf den zweiten Blick aber, hat sich da etwas Hochdramatisches abgespielt. Im Innenausschuss sollte der Gesetzentwurf der Bundesregierung zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften beraten werden – übrigens in nicht-öffentlicher Sitzung, was von verschiedenen Beteiligten sehr heftig kritisiert wurde. Zu diesem Gesetzentwurf sollten drei Anträge beraten werden, die auch alle als Bundestagsdrucksachen vorliegen. Drei Anträge von den Grünen und der FDP. Und diese Anträge wären auch die Klammer zum Arbeitnehmerdatenschutzgesetz gewesen. Beim Regierungsentwurf hingegen ging es in erster Linie um den Verbraucherdatenschutz. Nachdem aber die Beratungen im Innenausschuss abgesagt worden waren, konnte in der gestrigen Sitzung des Bundestages auch nicht die Reform der Datenschutzgesetze beschlossen werden. Und deshalb ist der Datenschutz erst einmal von der parlamentarischen Agenda verschwunden. Und es wird sich weder beim Verbaucherdatenschutz, noch beim Arbeitnehmerdatenschutz in dieser Legislaturperiode noch groß etwas bewegen Da gehts wohl erst nach der Bundestagswahl Ende September wieder weiter.
Kloiber: Wer hat denn dafür gesorgt, dass der Datenschutz von der Agenda des Innenausschusses verschwunden ist?
Welchering: Nun, SPD-Verhandlungsführer Michael Bürsch meinte, dass sei wegen einer übervollen Tagesordnung passiert. Allerdings haben die Verbraucherschützer in der SPD-Fraktion Druck auf Fraktionschef Struck gemacht, weil sie die Verwendung personenbezogener Daten wie Adressdaten ohne Einwilligung der Verbraucher für Werbe- und Marketingzwecke nicht mittragen wollten. Sie machten geltend, der Entwurf des Bundesinnenministers sei zu stark verwässert worden. Aber dahinter steckt auch eine Kritik an Arbeitsminister Scholz. Der ist nämlich zuständig für den Arbeitnehmerdatenschutz. Und was da bisher an Vorschlägen aus dem Arbeitsministerium kam, hat weder der SPD- noch der CDU-Fraktion im Bundestag gereicht. Wolfgang Bosbach, CDU, beispielsweise bemängelt, dass in der gegenwärtigen Datenschutzdebatte dem Datenschutz in den Unternehmen nicht genügend Gewicht gegeben werde. Hinter solchen Bewertungen stecken viele unbeantwortete technische Fragen. Was zum Beispiel soll bei der Mail-Überwachung ausgewertet werden dürfen? Nur die Absender- und Empfängeradressen oder mehr? Das muss gesetzlich neu geregelt werden. Welche Überwachungsalgorithmen und Kontrollmechanismen dürfen eingesetzt werden? Da gehen in der Großen Koalition die Rissen quer durch die Fraktionen, etwa bei der Frage, ob Software für das Continuos Control Management eingesetzt werden darf, also einer ständigen Mitarbeiterüberwachung, und wie das dann zu regeln ist. Wer soll hier Entscheidungen treffen, mit treffen, wer muss wie informiert werden. Da brauchen wir neue gesetzliche Regelungen. Und es muss neu gefasst werden: Welche Regelungen brauchen wir für private Unternehmen, welche für Behörden, wie Rathäuser. Das zeigt ja nicht nur der gerade vorgestellte Fall im baden-württembergischen Remseck.
Kloiber: Was leistet denn Überwachungssoftware für das Continuos Control Management?
Welchering: Das geht von der einfachen Auswertung von Mail-Adressen über Alarmierungen, wenn Mail an bestimmte Empfänger geschickt wird, wie zum Beispiel Journalisten, bis hin zur Komplettüberwachung des Mitarbeiters an seinem Arbeitsplatz. Da kann etwa protokolliert werden, mit welchen Dateien ein Mitarbeiter gearbeitet hat, was er dort genau gemacht hat. Und mit CCM-Software kann sogar die gesamte digitale Kommunikation von Mitarbeitern überwacht werden, nicht nur, an wen sie Mails schicken, sondern auch, ob in der Mail bestimmte Stichworte oder Suchworte vorkommen. Auch mit Dateifiltern wird hier gern gearbeitet, so dass dann inkrimierte Mails gar nicht zum Empfänger gelangen, sondern von der Überwachungssoftware abgefangen und dann beispielsweise einem Vorgesetzten, etwa dem Rathauschef, vorgelegt werden. Die gegenwärtige Arbeit an der Reform der Datenschutzgesetze muss mit dem Problem fertig werden, dass genau diese aufgezeigten technischen Möglichkeiten geregelt werden müssen. Und das heißt beim Arbeitsnehmerdatenschutzgesetz nichts anderes als die Beantwortung der Frage: Wie komplett dürfen Arbeitnehmer überwacht werden? Technisch ist die Komplettüberwachung überhaupt kein Problem.
"Der Umgang des Dienstherren mit der elektronischen Post der Beschäftigten ist ein weites Feld und in manchen Bereichen eine gewisse Grauzone. Die Datenschutzbeauftragten haben dazu eine Empfehlung gegeben wie E-Mails am Arbeitsplatz datenschutzgerecht genutzt werden können."
sagt dazu Rolf Klingbeil, Landesdatenschutzbeauftragter in Baden-Württemberg. Die Dienstanweisung des Oberbürgermeisters liegt dem Deutschlandfunk vor, wir haben Rolf Klingbeil dazu um eine Stellungnahme gebeten. Er hat sie mit den Empfehlungen der Datenschutzbeauftragten abgeglichen und sieht danach an einigen Stellen Klärungsbedarf. Zum Beispiel in Sachen Transparenz. So steht in der Dienstanweisung, dass die Nutzung der elektronischen Post vom IT-Administrator protokolliert wird. Das sei nicht präzise genug, mahnt Klingbeil:
"Beispielweise wenn die Rede ist von Protokollierung durch den Administrator, dann sollte man wissen, in welcher Form findet das statt, in welcher Form werden die Daten aufbewahrt, was schaut er sich dabei an."
Dieser Mangel an Transparenz sorgt für Verunsicherung. Das gilt auch für die Dauer der Zeiträume, für die eine Überwachung erfolgt. Dazu steht in der Dienstanweisung nichts. Im vorliegenden Fall hat sie nach Aussagen des Personalrats ein Jahr lang stattgefunden.
"Der Personalrat wurde während der gesamten Zeit nicht einbezogen. Die erste Information die der Personalrat erhalten hat war die, dass eine Zustimmung zur Kündigung gefordert wurde."
so die Personalratsvorsitzende Susanne Gronbach gegenüber dem Deutschlandfunk. Zu einem Interview mit Mikrofon war sie nicht bereit, bestätigte aber die Zitate. Auch Mails des Personalrats würden möglicherweise gelesen:
"Es gibt für mich persönlich Anlass zu sagen, dass auch in meine Mail reingeschaut wird."
lässt sich Gronbach zitieren. Bei dieser Aussage läuten beim Datenschutzbeauftragten Klingbeil die Alarmglocken:
"Wichtig ist, dass die Personen in einer Verwaltung die ein besonderes Vertrauensverhältnis genießen, das ist der Personalrat, das können die Schwertbehindertenvertreter sein, das kann die Gleichstellungsbeauftragte sein, dass die in ihrem E-Mail-Verkehr besonders geschützt werden."
In der Dienstanweisung des Remsecker OB ist davon nicht die Rede. Möglicherweise gibt es diese Regelungen, kommuniziert werden sie nicht. Der Oberbürgermeister selbst war während unserer Recherchen in Urlaub. Mit seinem Stellvertreter war ein Gespräch bereits vereinbart, wurde aber wieder abgesagt. Offen ist aus Sicht der Gewerkschaft Verdi auch die Frage, was der Oberbürgermeister per Dienstanweisung überhaupt regeln darf:
"Überall dort, wo es um die Frage der Kontrolle des Verhaltens der Mitarbeiter geht, gibt es ein Mitbestimmungsrecht des Personalrats, und da muss eine Dienstvereinbarung getroffen werden. Das kann der Arbeitgeber nicht allein entscheiden."
meint Gabriele Frenzer-Wolf, Rechtsexpertin beim Landesverband der Gewerkschaft. Einer solchen Dienstvereinbarung, bei der sich Personalrat und Verwaltung verständigen, kann auch Datenschützer Klingbeil mehr abgewinnen als einseitigen Anweisungen. Die seien zwar möglich, aber nicht ratsam:
"Ich würde eine Dienstvereinbarung vorziehen, weil es um das Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer geht, ich denke, dass man sich da nicht nur am rechtlichen Minimalstandard orientieren sollte, sondern da kann einfach auch viel Porzellan zerschlagen werden, wenn man nur einseitig geregelt Dinge vorsieht und die nicht aushandelt."
Noch besser aber wäre aus seiner Sicht, wenn diese Fragen in einem eigenen Gesetz geregelt würden. Die Datenschutzbeauftragten treten deshalb für ein eigenständiges Arbeitnehmerdatenschutzgesetz ein. Dann hätte der Mitarbeiter des Bauamts in Remseck gewusst, woran er ist. Nun werden sich die Gerichte mit diesem Fall beschäftigen müssen.
Datenschutzrecht oder Korruption?
Peter Welchering im Gespräch mit Manfred Kloiber
Manfred Kloiber: Ein Arbeitnehmerdatenschutzgesetz wird in dieser Legislaturperiode nicht mehr durch den Bundestag gebracht werden. Das wissen wir seit Mittwoch. Denn da hat die Große Koalition das Thema "Datenschutzgesetz" erst einmal von der parlamentarischen Tagesordnung abgesetzt.Was genau ist am Mittwoch im Berliner Reichstagsgebäude passiert, Peter Welchering?
Peter Welchering: Auf den ersten Blick nichts Spektakuläres: Tagesordnungspunkt sieben der 101. Sitzung des Innenausschusses des Bundestages ist abgesetzt worden. Auf den zweiten Blick aber, hat sich da etwas Hochdramatisches abgespielt. Im Innenausschuss sollte der Gesetzentwurf der Bundesregierung zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften beraten werden – übrigens in nicht-öffentlicher Sitzung, was von verschiedenen Beteiligten sehr heftig kritisiert wurde. Zu diesem Gesetzentwurf sollten drei Anträge beraten werden, die auch alle als Bundestagsdrucksachen vorliegen. Drei Anträge von den Grünen und der FDP. Und diese Anträge wären auch die Klammer zum Arbeitnehmerdatenschutzgesetz gewesen. Beim Regierungsentwurf hingegen ging es in erster Linie um den Verbraucherdatenschutz. Nachdem aber die Beratungen im Innenausschuss abgesagt worden waren, konnte in der gestrigen Sitzung des Bundestages auch nicht die Reform der Datenschutzgesetze beschlossen werden. Und deshalb ist der Datenschutz erst einmal von der parlamentarischen Agenda verschwunden. Und es wird sich weder beim Verbaucherdatenschutz, noch beim Arbeitnehmerdatenschutz in dieser Legislaturperiode noch groß etwas bewegen Da gehts wohl erst nach der Bundestagswahl Ende September wieder weiter.
Kloiber: Wer hat denn dafür gesorgt, dass der Datenschutz von der Agenda des Innenausschusses verschwunden ist?
Welchering: Nun, SPD-Verhandlungsführer Michael Bürsch meinte, dass sei wegen einer übervollen Tagesordnung passiert. Allerdings haben die Verbraucherschützer in der SPD-Fraktion Druck auf Fraktionschef Struck gemacht, weil sie die Verwendung personenbezogener Daten wie Adressdaten ohne Einwilligung der Verbraucher für Werbe- und Marketingzwecke nicht mittragen wollten. Sie machten geltend, der Entwurf des Bundesinnenministers sei zu stark verwässert worden. Aber dahinter steckt auch eine Kritik an Arbeitsminister Scholz. Der ist nämlich zuständig für den Arbeitnehmerdatenschutz. Und was da bisher an Vorschlägen aus dem Arbeitsministerium kam, hat weder der SPD- noch der CDU-Fraktion im Bundestag gereicht. Wolfgang Bosbach, CDU, beispielsweise bemängelt, dass in der gegenwärtigen Datenschutzdebatte dem Datenschutz in den Unternehmen nicht genügend Gewicht gegeben werde. Hinter solchen Bewertungen stecken viele unbeantwortete technische Fragen. Was zum Beispiel soll bei der Mail-Überwachung ausgewertet werden dürfen? Nur die Absender- und Empfängeradressen oder mehr? Das muss gesetzlich neu geregelt werden. Welche Überwachungsalgorithmen und Kontrollmechanismen dürfen eingesetzt werden? Da gehen in der Großen Koalition die Rissen quer durch die Fraktionen, etwa bei der Frage, ob Software für das Continuos Control Management eingesetzt werden darf, also einer ständigen Mitarbeiterüberwachung, und wie das dann zu regeln ist. Wer soll hier Entscheidungen treffen, mit treffen, wer muss wie informiert werden. Da brauchen wir neue gesetzliche Regelungen. Und es muss neu gefasst werden: Welche Regelungen brauchen wir für private Unternehmen, welche für Behörden, wie Rathäuser. Das zeigt ja nicht nur der gerade vorgestellte Fall im baden-württembergischen Remseck.
Kloiber: Was leistet denn Überwachungssoftware für das Continuos Control Management?
Welchering: Das geht von der einfachen Auswertung von Mail-Adressen über Alarmierungen, wenn Mail an bestimmte Empfänger geschickt wird, wie zum Beispiel Journalisten, bis hin zur Komplettüberwachung des Mitarbeiters an seinem Arbeitsplatz. Da kann etwa protokolliert werden, mit welchen Dateien ein Mitarbeiter gearbeitet hat, was er dort genau gemacht hat. Und mit CCM-Software kann sogar die gesamte digitale Kommunikation von Mitarbeitern überwacht werden, nicht nur, an wen sie Mails schicken, sondern auch, ob in der Mail bestimmte Stichworte oder Suchworte vorkommen. Auch mit Dateifiltern wird hier gern gearbeitet, so dass dann inkrimierte Mails gar nicht zum Empfänger gelangen, sondern von der Überwachungssoftware abgefangen und dann beispielsweise einem Vorgesetzten, etwa dem Rathauschef, vorgelegt werden. Die gegenwärtige Arbeit an der Reform der Datenschutzgesetze muss mit dem Problem fertig werden, dass genau diese aufgezeigten technischen Möglichkeiten geregelt werden müssen. Und das heißt beim Arbeitsnehmerdatenschutzgesetz nichts anderes als die Beantwortung der Frage: Wie komplett dürfen Arbeitnehmer überwacht werden? Technisch ist die Komplettüberwachung überhaupt kein Problem.