HOME

Datenskandal bei der Bahn: Wie viel Spitzelei ist erlaubt?

Die Bahn hat Mitarbeiter und auch deren Ehefrauen widerrechtlich ausforschen lassen. Aber was darf ein Unternehmen mit den Daten seiner Angestellten machen und was nicht? Für stern.de klärt der Bundesdatenschutzbeauftragte Peter Schaar die wichtigsten Fragen.

Von Axel Hildebrand

Bei der Deutschen Bahn wurden Mitarbeiter offenbar systematisch ausgeforscht. Nach Informationen des stern waren mehr als 1000 Personen von der Bespitzelung betroffen, darunter ein Großteil des oberen Managements.

In allen Fällen, in denen dem stern interne Auftrags-Unterlagen vorliegen, war die Firma Network Deutschland GmbH aktiv, dieselbe Detektei, die auch bei der Telekom für Spitzeldienste eingesetzt wurde. Die Konzernrevision der Bahn beauftragt Network zuletzt 2007.

"Es darf keine Firmengeheimpolizei geben"

Für den Bundesdatenschutzbeauftragten Peter Schaar ist ein solches Vorgehen nichts ungewöhnliches: "In den Unternehmen gibt es eine Kultur, selbst Staatsanwaltschaft, Nachrichtendienst und Polizei zu sein", kritisiert er im Gespräche mit stern.de. Deren Funktionen wollten Unternehmen wie die Bahn ausüben - ohne sich jedoch an die geltenden Beschränkungen zu halten. Aber, so Schaar: "Es darf keine Firmengeheimpolizei geben." Die von den Spitzelaktionen Betroffenen würden dabei schlechter gestellt als Beschuldigte in einem Strafverfahren.

Was darf ein Unternehmen mit meinen Daten machen und was nicht? Schaar beantwortet auf stern.de die wichtigsten Fragen.

Wann darf ein Unternehmen personenbezogene Daten an dritte Firmen weitergeben?

"Das ist so allgemein schwierig zu sagen. Das Bundesdatenschutzgesetz ist hier sehr offen formuliert und erlaubt grundsätzlich eine Datenweitergabe, wenn es im berechtigten Interesse des Unternehmens liegt und schutzwürdige Interessen der Betroffenen eine Weitergabe nicht ausschließen. Grundsätzlich darf ein Unternehmen natürlich nur solche Daten weitergeben, die es selbst auch rechtmäßig verwenden dürfte. Deshalb muss zuerst geklärt werden: Darf das Unternehmen selbst die Daten verwenden?

Auch bei der Weitergabe von Daten an Behörden gilt: Es muss einen konkreter Verdacht vorliegen. Ermitteln die Behörden, gilt die Strafprozessordnung."

Darf ein Unternehmen die Daten seiner Angestellten großflächig auswerten?

"Eine präventive Rasterfahndung von Mitarbeitern, wie das bei der Bahn offensichtlich der Fall war, ist unzulässig. Wenn ich eine Gruppe von Personen nach bestimmten Merkmalen durchrastere und auch Daten anderer, zum Beispiel der Ehepartner, mit einbeziehe, dann ist das eine Rasterfahndung. Dazu hat ein Unternehmen keine Befugnis.

Gibt es einen konkreten Korruptionsverdacht, ist das Unternehmen berechtigt, diesem nachzugehen. Aber auch hier muss man peinlich genau darauf achten, dass die Gesetze eingehalten werden. Es dürfen etwa keine sensiblen Daten, zum Beispiel zur Gesundheit, Parteizugehörigkeit oder Gewerkschaftszugehörigkeit einbezogen werden.

Für Führungskräfte gibt es keine anderen Regeln. Auch sie stehen nicht unter Generalverdacht."

Darf ein Unternehmen interne Datenbanken anzapfen und die Informationen an Dritte weitergeben?

"Eine generelle Befugnis gibt es auf gar keinen Fall. Wenn im Einzelfall ein konkreter Verdacht gegen einen Mitarbeiter vorliegt, würde ich das nicht ausschließen."

Ein Unternehmen arbeitet mit einer Firma zusammen, die Daten auswerten soll. Ist es gezwungen, sich darüber zu informieren, wie diese arbeitet?

"Paragraf 11 Bundesdatenschutzgesetz verpflichtet den Auftraggeber, sich zu vergewissern, ob es sich um einen zuverlässigen Auftragnehmer handelt. Er muss sich auch ein Bild machen, ob der Datenschutz technisch und organisatorisch funktioniert. Nur der Auftraggeber darf entscheiden, was mit den Daten passiert. Eine pauschale Übermittlung, so nach dem Motto "guckt doch mal, ob da irgendein Korruptionsverdacht besteht", ist unzulässig. Zudem muss ein Unternehmen schriftlich festhalten, was die Firma mit den Daten macht. Eine rein mündliche Vereinbarung wäre ein Verstoß gegen Paragraf 11 des Bundesdatenschutzgesetzes.

Und wer ist verantwortlich? Existiert kein schriftlicher Vertrag, liegt die Verantwortung datenschutzrechtlich voll beim Auftraggeber. Handelt es sich beim Auftragnehmer um einen Kriminellen, ist der Auftraggeber natürlich nicht verantwortlich."

Inwieweit darf ein Unternehmen Informationen zu Ehepartnern oder zum Privatleben sammeln und auswerten?

"Unternehmen gehen die privaten Lebensverhältnisse ihrer Angestellten prinzipiell nichts an. Es sei denn, dass ein konkretes, nachweisbares Interesse besteht, das stärker als die Privatsphäre wiegt. Etwa: Ein Mitarbeiter soll dem Unternehmen seiner Frau Aufträge zuschanzen.

Der Auftraggeber bleibt verantwortlich. Das gilt, soweit der Auftragnehmer im Rahmen des Auftrags tätig ist. Wenn allerdings dieser Rahmen verlassen wird, etwa eine Firma kriminell handelt, dann ist sie selber dafür verantwortlich."

Darf ein Unternehmen geschäftliche oder private E-Mails lesen?

"Grundsätzlich dürfen rein dienstliche E-Mails vom Unternehmen auch ausgewertet werden. Der Betroffene ist schließlich im Auftrag des Unternehmens unterwegs. Bearbeitet er beispielsweise Aufträge und wird krank, muss der Arbeitgeber ins Postfach schauen dürfen. Im Regelfall muss der Betroffene das aber wissen.

Wenn private E-Mails generell verboten sind, darf er das Verbot zwar kontrollieren, aber die Mails nicht komplett lesen. Handelt es sich um ein dienstliches Postfach, stellt sich die Frage, ob es den Angestellten erlaubt ist, auch private Mails zu schreiben. Wenn ja: Dann darf nicht zugegriffen werden.

Eine automatisierte Vollkontrolle ist nicht zulässig. Außer es gibt einen konkreten Missbrauchsverdacht.

Generell gilt: E-Mails sind vertraulich zu behandeln. Der Zugriff auf die Daten des Arbeitnehmers muss nach klaren Regeln - und für den Betroffenen offen - geschehen. Mails an den Betriebsrat dürfen nie gelesen werden - egal von wem."

Wann müssen Unternehmen ihre Angestellten über eine Überwachung informieren?

"Die Betroffenen müssen informiert werden. Nicht so früh, dass Spuren verwischt werden können, aber so schnell wie möglich. Auch jene, die sich als unschuldig herausstellten, müssen selbstverständlich informiert werden.

Der Arbeitgeber muss in einer Betriebsvereinbarung klar angeben, was er machen will. Gibt es ein eindeutiges Verbot, private E-Mails zu schreiben, dann darf das Unternehmen die Mails lesen, aber nur im konkreten Verdachtsfall. Ansonsten gilt das allgemeine Datenschutz- und Fernmelderecht.

Grundsätzlich muss dann der Datenschutz berücksichtigt werden. Das bedeutet, im Zweifel muss der Betriebsrat und der betriebliche Datenschutzbeauftragten informiert werden."

Wann und wie müssen Daten anonymisiert werden?

"Da gibt es keine klaren Regelungen. Das müsste in einem Arbeitnehmerdatenschutzgesetz festgehalten werden, welches es leider immer noch nicht gibt."

Unter welchen Umständen darf ein Unternehmen PC-Festplatten kopieren?

"Ist die private Nutzung erlaubt, dann darf das Unternehmen nicht zugreifen. Das wird nicht durch ein Arbeitsverhältnis gerechtfertigt. Hier gilt das Fernmeldegeheimnis. Anders verhält es sich bei Computer, die rein dienstlich genutzt werden. Hier darf es nicht zu einer vollständigen Auswertung der elektronischen Daten des Arbeitnehmers kommen. Ist die private Nutzung nicht erlaubt, muss ein konkreter Verdachtsfall vorliegen."