Dieses Interview wurde gekürzt. Sie können sich die Langfassung im Video anschauen.
Golineh Atai: Beim BigBrotherAward aus dem Bereich Arbeitswelt konnte die Jury sich in diesem Jahr nicht für einen konkreten Preisträger entschieden. Dazu möchte ich jetzt ein Jury-Mitglied auf die Bühne bitten. Er ist Professor für Arbeitsrecht und Recht in der Informationsgesellschaft an der Frankfurt University of Applied Sciences. Herzlich willkommen, Prof. Dr. Peter Wedde!
Herr Wedde, in diesem Jahr, 2019, gibt es keinen BigBrotherAward für den Bereich „Arbeitswelt“. Heißt das, dass irgendwie alles gut ist, oder gibt es da vieles, was wir nicht beobachten, aber nicht sehen oder nicht sehen können?
Peter Wedde: Es ist natürlich nicht alles gut. Wenn wir keinen BigBrotherAward in der Kategorie „Arbeitswelt“ mehr vergeben müssten, würde das ja heißen, dass Arbeitgeber Datenschutz und Persönlichkeitsrechte ernst nehmen und dass sie kein Geld mehr durch schlechten Datenschutz sparen wollen. Das ist natürlich nicht so.
Manche Unternehmen haben zwar dazugelernt oder wollen vielleicht auch nur Bußgelder vermeiden. Aber es gibt auch weiterhin eine ganze Reihe von Vorfällen, die aber nur nicht an die Oberfläche kommen. Hinzu kommt, dass das öffentliche Interesse erst dann einsetzt, wenn es sich um große Fälle handelt. Ich selbst erhalte immer wieder Presseanfragen wie: „Haben sie nicht mal etwas Spannendes?“ Und wenn ich dann sage „Ja, ich kenne eine Frau, Ende 50, der ist gerade anhand von datenschutzrechtlich unzulässig ausgewerteten Vertriebsdaten vorgeworfen worden, dass sie angeblich Arbeitszeitverstöße begangen hat und man hat ihr gekündigt“, dann winken die Anfrager ab. „Das ist zu klein, das zieht nicht so.“ Größere Fälle bleiben oft unter der Decke, weil viele Betriebe hier interne „Alarmsysteme“ eingerichtet haben, um Öffentlichkeit zu vermeiden. Der große „Big Bang“, der fehlt derzeit und damit auch ein Bewusstsein für Beschäftigtendatenschutz.
Atai: Haben Sie noch weitere Beispiele, damit wir uns ein Bild machen können?
Wedde (grinst): Wie viel Zeit haben wir?
Atai: Na, wir haben ein bisschen Zeit.
Wedde: Ich kenne viele Vorfälle, aber oft darf ich darüber nicht reden, weil ich als Sachverständiger oder Gutachter davon erfahren habe und deshalb Stillschweigen wahren muss. Deswegen mache ich es so: Die Fälle, die ich Ihnen jetzt erzähle, sind so verfremdet, dass man nicht auf die realen Firmen und Personen schließen kann. Aber deshalb sind sie trotzdem wahr.
Da ist zum Beispiel ein Vertriebsleiter, der in einem großen Unternehmen alle Administratoren-Rechte hat. Der kann damit natürlich in die Daten der Vertriebsorganisation reingucken. Dieser Mensch hat sich das Erstellen sogenannter „Rennlisten“ zum Hobby gemacht. Solche Listen weisen die besten, aber auch die schlechtesten Vertriebler aus. Solche „Rennlisten“ gibt es immer wieder, deshalb steht in einer geltenden Betriebsvereinbarung drin, dass deren Erstellung verboten ist. Der Vertriebsleiter in meinem Beispiel hat sie aber trotzdem geführt und auch noch mit der Gehaltsdatenbank verbunden, auf die er ebenfalls Zugriff hatte. Und dann hat er gesagt: „Mitarbeiter A ist älter und teuer, Mitarbeiterin B ist jünger, aber auch teuer und nicht so leistungsfähig - die müssen weg!“
Er hat schlecht bewertete Mitarbeiter dann angesprochen und sie gefragt, ob sie nicht ihre vorzüglichen Fähigkeiten besser woanders einbringen wollen. Wer nach diesem deutlichen Hinweis nicht „freiwillig“ ging, erhielt eine Kündigung mit vorgeschobenen Gründen – etwa wegen Arbeitszeitbetruges. Als das Ganze raus kam, hat er sich damit heraus geredet, er hätte diese Möglichkeit zufällig so beim Ausprobieren des Systems entdeckt und gar nicht gewusst, dass das datenschutzfeindlich ist.
Atai: Ganz „zufällig“ also?
Wedde: Genau, gaaanz zufällig!
Zweites Beispiel, und da wird es dann schon kritischer: Stellen sie sich eine große Bank vor. In einem großen Raum sitzen dort die System-Administratoren vor ihren Monitoren – Menschen, die ja auch die Geld-Daten im System sehen können. Also wird überwacht, was sie tun und das ist eigentlich auch vernünftig. Es gibt aber zwei Kategorien von Überwachung. Auf der einen Seite des Raumes werden die Menschen mit zwei Kameras überwacht. Eine Kamera ist auf den Monitor gerichtet, die andere auf die Tastatur. Das sind Beschäftigte eines externen Dienstleisters. Auf der anderen Seite sitzen die Angestellten der Bank, da sind keine Kameras.
Die Beschäftigten des Dienstleisters haben ihrem eigenen Betriebsrat gesagt: „Was soll das?“ Der hat den Chef der Dienstleistungsfirma darauf angesprochen, und dieser hat dann gesagt: „Ja, das ist unschön für Euch, aber wenn wir die Videoüberwachung beim Kunden vertraglich ausschließen, sind wir den Auftrag los.“ Für die direkt bei der Bank Beschäftigten hat der Betriebsrat den Einsatz von Kameras in dieser Form durch eine Betriebsvereinbarung ausgeschlossen. Da merkt man, wie eine Schere auseinander geht.
Banken verweisen oft darauf, dass eine solche Überwachung angeblich von der BaFin, von der Bundesanstalt für Finanzdienstleistungsaufsicht gefordert würde. Ich habe bei der BaFin mal nachgefragt. Dort sagte man: „Wir fordern das so nie, das wäre ja nicht rechtens!“ Und dann behaupten Arbeitgeber gerne auch auch, „das steht im Gesetz.“ Im Gesetz stehen solche Maßnahmen aber auch nicht.
Atai: Also die Arbeitgeber wissen eigentlich, dass sie Datenschutz missachten, aber sie wissen ganz genau, welche Karten sie zücken müssen?
Wedde: Nein, das würde ich nicht so pauschalisieren. Ich kenne Arbeitgeber, die sehr auf Datenschutz achten, eine ganze Menge sogar. Aber es gibt eben auch immer wieder welche, die solche Ausreden suchen.
Atai: Sie haben von den Betriebsräten gesprochen. Welche Rolle spielen diese? Sind sie ausreichend aktiv?
Wedde: Wo Betriebsräte existieren, sind die auch aktiv. Sie sind aber nur in ungefähr in einem Drittel der Betriebe gewählt – meist in großen, in vielen mittelständischen und in ein paar kleinen Betrieben. Das heißt, zwei Drittel der Beschäftigten sind ohne Betriebsrat.
Betriebsräte können ein Stück weit regeln, was mit einzelnen IT-Systemen passiert. Sie können aber nicht verhindern, dass Arbeitgeber rechtswidrig handeln – davon müssen sie erst einmal wissen. Und selbst wenn sie davon erfahren, haben sie relativ schwache Regelungs- und Reaktionsmöglichkeiten. Insbesondere zum Datenschutz haben Betriebsräte bis heute kein Mitbestimmungsrecht. Und dass, obwohl die neue Datenschutzgrundverordnung ausdrücklich sagt, dass man Betriebsvereinbarungen zum Datenschutz abschließen kann. Aber wie sollen sie das tun, ohne Mitbestimmungsrecht? Der Gesetzgeber weiß das, tut aber aktuell nichts dafür, um Betriebsräten die Umsetzung seiner Rechte aus der DSGVO zu ermöglichen.
Atai: Ich stelle mir gerade die Situation vor, wenn ich die Betroffene wäre, als Beschäftigte, und mir fällt ein Datenschutzverstoß auf. Welche Möglichkeiten habe ich, so etwas öffentlich zu machen?
Wedde: Das ist sehr schwierig. Man muss wissen, im deutschen Arbeitsrecht gibt es das Instrument der Verdachtskündigung. Wenn der Arbeitgeber meint, es hätte ein Arbeitnehmer ihm schlechtes getan, dann kann er erst mal kündigen, auch wenn an entsprechenden Vorwürfen gar nichts dran ist. Davor haben natürlich viele Beschäftigte Angst.
Ich kriege oft Anrufe von Menschen, die meinen Namen im Internet gefunden haben und die datenschutzwidrige Sachverhalte berichten und fragen, was sie tun können. Ich frage dann oft zurück: „Wollen Sie das wirklich öffentlich machen?“ Und dann ist die Antwort oft „Nein, ich wollte das ja nur mal wissen. Was kann ich jetzt tun?“
Atai: Und was können Sie solchen Anrufern raten?
Wedde: Beschäftigte können sich natürlich an den betrieblichen Datenschutzbeauftragten wenden. Dazu hat aber das Bundesarbeitsgericht schon 1997 gesagt, betriebliche Datenschutzbeauftragte nicht neutral sind, denn sie werden vom Arbeitgeber eingesetzt. Es gibt betriebliche Datenschutzbeauftragte, die machen dennoch einen tollen Job. Aber es gibt auch ganz viele, die sind sozusagen „his master’s voice“. Sie sind Mitarbeiter des Arbeitgebers und wenn da ein Beschäftigter hinkommt, wird es für ihn schnell schwierig.
Gerade letzte Woche habe ich einen Fall gehört, da hat sich ein Arbeitnehmer beim betrieblichen Datenschutzbeauftragten schriftlich beschwert. Er wurde dann eine Woche später vor seinen Chef zitiert, der den Beschwerdebrief auf dem Tisch hatte. Der Datenschutzbeauftragte ist mit dem Beschwerdebrief also offenkundig direkt zum Chef marschiert. Das ist dann ein Datenschutzverstoß des Datenschutzbeauftragten – dem Arbeitnehmer hilft das aber im Zweifel nicht, der ist dran.
Atai: Wo könnten Arbeitnehmer noch hingehen?
Wedde: Zu den Landesdatenschutzbeauftragten zum Beispiel. Die machen einen guten Job, sind aber personell meistens sehr schlecht ausgestattet. Ich habe ein Schreiben gesehen, da hat ein Beschäftigter von der zuständigen staatlichen Stelle die Antwort bekommen „Ihre Datenschutzbeschwerde hat die Nummer 5430.“ Kein Witz, 5430. Und weiter hieß es: „Wir schaffen es in diesem Jahr nicht mehr, uns mit ihrem Fall zu beschäftigen.“
Es ist wirklich eigentlich ein Skandal, dass die staatlichen Datenschutzaufsichtsbehörden nicht besser ausgestattet werden. Auch deshalb bleibt Arbeitnehmern nicht viel mehr übrig, als den Rechtsverstoß zu ertragen und zu schlucken.
Betriebsräte und Datenschutzbeauftragte können immer nur ein Stück weit helfen. Die sind nicht aufgestellt wie eine Polizei, man wählt eine Nummer und dann kommt jemand und hilft, wenn ein Einbrecher im Haus ist. So funktionieren diese Stellen nicht.
Atai: Sie haben jetzt mehrfach Beispiele genannt, bei denen die Menschen, die Datenverstöße melden wollten, sich selbst gefährdet haben. Hilft es, wenn wir über Maßnahmen zum Informantenschutz in der Arbeitswelt nachdenken? Was wäre da möglich?
Wedde: Informanten- und Whistleblower-Schutz wird seit Jahren gefordert, aber wir haben zu diesem Thema immer noch kein Gesetz in Deutschland. Es gab schon vor Jahren Anhörungen im Bundestag, es gibt Gesetzentwürfe, aber da kommt so recht nichts voran, obwohl jeder, der sich mit diesem Thema befasst, sagt, „man braucht das“. Nun ist ein Arbeitsverhältnis immer existenziell für einen Menschen, deswegen werden Beschäftigte ohne so ein Gesetz ziemlich allein gelassen. Und die Betriebsräte müssten wie gesagt mehr Instrumente und Rechte haben, um Änderungen durchzusetzen oder Missstände abzustellen oder zu verhindern.
Insofern mache ich Werbung in eigener Sache für uns: Die BigBrotherAwards in der Kategorie „Arbeitswelt“ haben in den vergangenen Jahren immer eine große und gute Wirkung gehabt. Da sind Kündigungen von Betriebsratsmitgliedern zurückgenommen worden, da sind Kameras abgebaut worden, da wurden viele Missstände abgestellt und Betriebsvereinbarungen nachgebessert. Wir als Jury und Team hinter den Preisen wissen ja meist sehr viel mehr über einzelne Fälle, als wir hier sagen. Und unsere Preisverleihung zeigt den Arbeitgebern, dass jemand aufpasst.
Von daher können wir nur einladen, Datenschutzverstöße in der Arbeitswelt an uns zu melden. „Nach dem Spiel ist vor dem Spiel“ - es gibt auch einen BigBrotherAward 2020. Wir nehmen den Informantenschutz immer sehr ernst. Da geht nichts raus, was jemandem schaden könnte – lieber verzichten wir auf eine Nominierung, bevor wir den Absender einer Information gefährden. Deshalb kann ich alle Beschäftigten nur ermutigen, uns von Datenschutzverstößen zumindest zu erzählen, und dann schauen wir weiter.
Atai: Herr Wedde, ich bedanke mich sehr für diesen Einblick.