Vor wenigen Tagen hat das Bundesministerium für Inneres die (vorerst) letzte Version des „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“ veröffentlicht. Grund genug, mich heute mit dem „lex facebook“, wie es auch getauft wurde, näher zu beschäftigen. Schließlich rauscht es diesbezüglich doch immer wieder ganz gehörig durch den Blätter-Wald bzw. die Webseiten. Doch was ist eigentlich dran an dem Entwurf?
Zunächst einmal handelt es sich weniger um ein „lex facebook“ als eben um einen „Entwurf zur Regelung des Beschäftigtendatenschutzes“. Das heißt, mit dem Bundesdatenschutzgesetz sollen künftig auch explizit die personenbezogenen Daten von Beschäftigten besser geschützt werden. Bisher ergab sich dieser Schutz aus einer Zusammenschau des Bundesdatenschutzgesetzes (BDSG), des Betriebsverfassungsgesetzes und einigen gerichtlichen Einzelentscheidungen (wie es im Arbeitsrecht auch üblich ist, da das Arbeitsrecht vorwiegend „Richterrecht“ ist, d.h. mehr durch die Rechtsprechung als Gesetze geformt wurde). Laut Entwurf soll nun „durch klarere gesetzliche Regelungen […] die Rechtssicherheit für Arbeitgeber und Beschäftigte erhöht werden“. Da bin ich mal sehr gespannt, schließlich zeichnet sich das BDSG nicht gerade durch klare gesetzliche Regelungen aus. Schon gar nicht, wenn man es zusammen mit weiteren Normen wie etwa dem Telemediengesetz (TMG) lesen muss. Der Entwurf verspricht aber „praxisgerechte Lösungen“. Nun denn.
Konkret heißt das, dass der bisherige § 32 BDSG „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ aufgehoben und anstelle dessen die § 32 bis § 32 l BDSG-E, d.h. 12 Einzelnormen, geschaffen werden sollen. Darunter finden sich Regelungen zur Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungungen (§ 32 e BDSG-E), zu „ärztliche Untersuchungen und Eignungstests“ (§ 32 a BDSG-E), zur „Videoüberwachung“ oder zur „Ortung“ von Beschäftigten (§ 32 f und g BDSG-E). Kurz zusammengefasst werden hier also die öffentlich gewordenen Sünden der letzten Jahre großer deutscher Konzerne in Gesetz gegossen.
Insbesondere in § 32 und § 32 a (sowie § 32 i BDSG-E) finden sich die Regelungen, die für Social Media Anwendungen relevant sind.
§ 32 Datenerhebung vor Begründung eines Beschäftigungsverhältnisses
So heißt es in § 32 Abs. 1 BDSG-E:
„Der Arbeitgeber darf den Namen, die Anschrift, die Telefonnummer und die Adresse der elektronischen Post eines Beschäftigten […] vor Begründung eines Beschäftigungsverhältnisses erheben. Weitere personenbezogene Daten darf er erheben, soweit die Kenntnis dieser Daten erforderlich ist, um die Eignung des Beschäftigten für die vorgesehenen Tätigkeiten festzustellen. Er darf zu diesem Zweck insbesondere Daten über die fachlichen und persönlichen Fähigkeiten, Kenntnisse und Erfahrungen sowie über die Ausbildung und den bisherigen beruflichen Werdegang des Beschäftigten erheben.“
Weiter in Abs. 6
„Beschäftigtendaten sind unmittelbar bei dem Beschäftigten zu erheben. Wenn der Arbeitgeber den Beschäftigten vor der Erhebung hierauf hingewiesen hat, darf der Arbeitgeber allgemein zugängliche Daten ohne Mitwirkung des Beschäftigten erheben, es sei denn, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung das berechtigte Interesse des Arbeitgebers überwiegt. Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind. Mit Einwilligung des Beschäftigten darf der Arbeitgeber auch bei sonstigen Dritten personenbezogene Daten des Beschäftigten erheben; dem Beschäftigten ist auf Verlangen über den Inhalt der erhobenen Daten Auskunft zu erteilen. Die Absätze 1 bis 5 sowie § 32a bleiben unberührt.“
Übersetzt bedeutet dies, dass ein „Google-Check“ des potentiellen Arbeitnehmers, nach dem die Bewerbung eingegangen ist, grundsätzlich nur erfolgen darf, wenn der Arbeitgeber den Bewerber darauf hingewiesen hat. D.h., demnach dürfte ein an mir interessierter Arbeitgeber mich nicht googeln und meinen Blog finden, wenn er mich nicht schon bei Beginn des Bewerbungsprozesses darüber informiert hätte, dass er dies tun werde (bspw. in der Stellenanzeige o.ä.). Der „es sei denn Satz“ bedeutet: Selbst wenn der Arbeitgeber mich informiert hätte und ich aber keinen Rechts-Blog, sondern einen Blog über meinen Diddl-Maus-Fan-Club führen würde, könnte es sein, dass er diese Information nicht erheben dürfte, da ich ein berechtigtes schutzwürdiges Interesse haben könnte, mein Privatleben mit der Diddl-Maus auch privat halten zu dürfen. (Wobei sich hier schon die Katze in den Schwanz beißt, denn „Erheben“ heißt „Beschaffen von Daten“, der Personaler weiß die Tatsache des Diddl-Maus-Blogs aber doch schlicht in dem Moment, in dem er den Diddl-Maus-Blog gefunden hat und könnte daraus sowohl seine persönlichen wie-auch-immer-gearteten Ableitungen vornehmen als auch die entsprechende Aktennotiz im Kopf behalten.)
S. 2 geht aber noch weiter. Demnach sind auch allgemein zugängliche Daten aus sozialen Netzwerken selbst bei einem solchen Hinweis des Arbeitgebers unter keinen Umständen zu verwerten. Denn hier legt das Gesetz klar fest, dass in diesem Fall stets das „schutzwürdige Interesse“ des potentiell Beschäftigten überwiegt. Eine Abwägung zwischen den berechtigten Interessen des Arbeitgebers und dem schutzwürdigen Interesse des Arbeitnehmers ist also in Bezug auf soziale Netzwerke gar nicht möglich. Völlig unerheblich ist dabei auch, ob der Bewerber seine Daten der Allgemeinheit absolut offensiv zur Verfügung stellt, bspw. in dem er den Zugriff von Suchmaschinen auf sein Profil erlaubt und er keine Einstellung zu seiner Privatssphäre vornimmt, d.h. alle Texte und Bilder öffentlich sind. Gängige Rechtsprechung ist in solchen Fällen, bspw. im Presserecht, dass derjenige, der sich selbst seiner Rechte (allgemeines Persönlichkeitsrecht) derart begibt, deren Schutz nicht mehr einfordern kann. Mit dem Entwurf des BDSG wird dieser Grundsatz jedoch ad absurdum geführt.
Noch heiterer wird es meines Erachtens dann mit dem Folgesatz, der von der gesetzlichen Feststellung, dass eine Abwägung der Interessen bei Sozialen Netzwerken nicht möglich ist, diejenigen ausnimmt, die „zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind“. Welche sind das denn? Dem Grunde nach sicher Xing und LinkedIn. Doch auch diese Netzwerke werden von einigen zur Pflege Ihres privaten Freudeskreises verwendet, während etliche andere Facebook & Co (BranchOut!) zur Pflege Ihrer beruflichen Kontakte nutzen. Die Grenzen schwimmen also. Gezogen werden können Sie meines Erachtens so nicht auf eine sinnvolle Art und Weise.
Davon abgesehen ist aber die viel interessantere Frage: Wer kontrolliert das und wie soll das überhaupt kontrolliert werden? Ich zumindest weiß nicht, wer hinter den Suchabfragen steht, mit denen mein Blog gefunden wird. Bei Facebook weiß ich gar nicht, wer im Zweifel auf meiner Seite war und bei XING kann ich anonymisierte Besucher haben. Und muss das auch kontrolliert werden können? Sollte nicht vielmehr jeder selbst verantwortlich im Internet – und gerade in Sozialen Netzwerken (!) – mit seinen Informationen umgehen (müssen)?
Und sicher eine der interessantesten Fragen: Wie wirken sich diese Regelungen auf das Headhunter-Business aus? De facto vermutlich gar nicht. Denn schließlich ist das Headhunting via Google und Social Media Accounts schon jetzt an sich unzulässig und wird doch betrieben.
§ 32a Abs. 2 Eignungstests vor Begründung eines Beschäftigungsverhältnisses
In § 32a Abs. 2 BDSG-E heißt es dann:
„Der Arbeitgeber darf die Begründung des Beschäftigungsverhältnisses von einer
sonstigen Untersuchung oder Prüfung abhängig machen, wenn die Untersuchung
oder Prüfung wegen der Art der auszuübenden Tätigkeit oder der Bedingungen ihrer
Ausübung erforderlich ist, um festzustellen, ob der Beschäftigte zum Zeitpunkt der Arbeitsaufnahme für die vorgesehenen Tätigkeiten geeignet ist (Eignungstest). Der Beschäftigte muss in den Eignungstest nach Aufklärung über dessen Art und Umfang
sowie in die Weitergabe des Ergebnisses des Eignungstests an den Arbeitgeber eingewilligt haben. Der Eignungstest ist nach wissenschaftlich anerkannten Methoden
durchzuführen, sofern solche bestehen. Dem Beschäftigten ist das Ergebnis des Eignungstests mitzuteilen. Sind Eignungstests ganz oder teilweise durch Personen durchzuführen, die einer beruflichen Schweigepflicht unterliegen, darf dem Arbeitgeber insoweit nur mitgeteilt werden, ob der Beschäftigte nach dem Ergebnis des Eignungstests für die vorgesehenen Tätigkeiten geeignet ist.“
Viele Unternehmen führen mittlerweile (E-)Assessments, also (elektronische) Eignungstests durch. Interesssant ist bei dieser Regelung, dass nun explizit eine Einwilligung des Bewerbers zu diesem Test nach Aufklärung über Art und Umfang und zur Weitergabe der Daten an den Arbeitgeber vorliegen muss. D.h. demnach müsste auch hier (wie bei der Einwilligung zum Erhalt von Email-Werbung) eine Double-Opt-In-Lösung angewendet werden. Meines Erachtens ein bißchen viel des Guten. Schließlich hat der Bewerber einerseits doch schon mit seiner Bewerbung kund getan, dass er den Bewerbungsprozess gerne durchlaufen möchte. Und andererseits: Was passiert, wenn der Bewerber nicht einwilligt? Er wird den Test nicht machen dürfen/können und damit auch ganz sicher nicht eingestellt werden. Insoweit ist die hier gesetzlich geregelte Einwilligung de facto eine Zustimmungspflicht für den Bewerber.
Weiter sind die Ergebnisse dem Bewerber mitzuteilen. Was heißt denn das? Zusage „Sie sind eine Runde weiter“ und Absage „Sie sind leider nicht mehr dabei“ oder aber die konkreten Test-Ergebnisse?Im letzteren Fall würden sich sicher die Dienstleister freuen, die diese Tests und die Ergebnisse erstellen. Denn die müssten dann von den Arbeitgebern den zusätzlichen Auftrag bekommen, die (nackten) Test-Ergebnisse jeweils verständlich für den Bewerber aufzubereiten. Die Arbeitgeber hingegen wären über eine solche Auslegung der Norm vermutlich „not amused“. Insbesondere da diese extra aufbereiteten Daten im Falle der Absage wieder gelöscht werden müssten (vgl. § 32c BDSG-E).
Fazit:
Die Regelungen zum Beschäftigten-Datenschutz in Bezug auf Social Media zeigen , dass der Gesetzgeber entweder immer noch nicht verstanden hat, was Social Media eigentlich bedeutet. Denn meines Erachtens sind die in diesem Entwurf vorgenommenen Regelungen für Social Media Anwendungen in Bezug auf potentielle Bewerber so überflüssig wie ein Kropf – was sich insbesondere aus oben genannten Gründen in der Formulierung „dies gilt nicht für soziale Netzwerke, die zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind“ spiegelt.
Oder aber dieser Teil des Entwurfs dient schlicht der populistischen Befriedigung der Angst vor den großen „bösen“ Datenkraken, derer sich dann die Arbeitgeber bedienen. Vergessen wird dabei aber doch, dass es jedem einzelnen überlassen ist, was er im Netz der Allgemeinheit zur freien Verfügung stellt.
Ob der Schutz personenbezogener Daten durch diese Regelungen „klarer“ wird und „praxisorientierte Lösungen“ bietet, lass ich jetzt einfach mal dahingestellt…
PS: § 32 i BDSG-E wird dann noch mal im Zusammenhang mit Social Media Policies besprochen. Ich will ja niemanden mit Romanen erschlagen…