letzte Änderung am 1. März 2004

LabourNet Germany

Home -> Solidarität gefragt! -> Danfoss -> Datenschutz Suchen

UNABHÄNGIGES LANDESZENTRUM FÜR DATENSCHUTZ SCHLESWIG-HOLSTEIN


Danfoss Compressors GmbH

Postfach 1443
24904 Flensburg

Kiel, 9. Januar 2002

Aufsicht nach § 38 Bundesdatenschutzgesetz
Ihr Schreiben vom 19.12.2001, unsere Telefonate vom 29.11. und 13.12.2001

Sehr geehrter Herr XXX,

vielen Dank für ihre Schreiben, in denen Sie mir die Vernichtung von Teilnehmerlisten des Netzwerkes IG Metall Küste durch die Danfoss Compressors GmbH mitgeteilt und den Beschluss des LG Flensburg vom 21.12.2001 übersandt haben. Da Sie zu meinen Schreiben vom 13. November und 3. Dezember 2001 schriftlich inhaltlich nicht mehr Stellung genommen haben, gehe ich aufgrund Ihrer telefonischen Auskünfte und das von Ihnen freundlicherweise beigefügten Beschlusses von folgendem Sachverhalt aus:

Zunächst ist nicht eindeutig zu klären, auf welche Weise die Firma Danfoss Compressors GmbH in den Besitz der Teilnehmerlisten des Netzwerkes der IG Metall Küste gelangt ist. Konkrete Anhaltspunkte, dass sich ein Mitarbeiter der Firma Danfoss Compressors GmbH die Liste aktiv beschafft hat, liegen mir jedenfalls derzeit nicht vor. Denkbar ist beispielsweise, dass ein Mitglied des Netzwerkes von sich aus die Teilnehmerliste an den betreffenden Mitarbeiter Ihres Hauses übersandt hat. Da eine Datenerhebung nur vorliegt, wenn die verantwortliche Stelle sich personenbezogene Informationen beschafft, wäre die bloße Entgegennahme der Liste datenschutzrechtlich nicht zu beanstanden.

Nach Ihrer Auskunft ist jedoch unstreitig, dass der Mitarbeiter Ihres Hauses die besagte Liste dazu verwendet hat, um einzelne Mitglieder der Liste anzumailen und zu einer Mitteilung aufzufordern, ob sie Mitglied bei der IG Metall seien. Darüber hinaus wurde die besagte Liste in Ihrem Hause gespeichert. Im Übrigen wurde die Liste im Rahmen eines arbeitsgerichtlichen Kündigungsschutzverfahrens (ArbG Flensburg, Urteil vom 13.6.2001 - Aktenzeichen: 1 Ca 333/01) als Beweismittel eingeführt.

1. Diese Verwendungen der Liste stellen Verarbeitungen personenbezogener Daten dar, die gemäß § 4 Abs. 1 BDSG einer Rechtsgrundlage bedürfen. Eine solche Rechtsgrundlage kann entweder eine Einwilligung des jeweiligen Betroffenen oder aber eine Rechtsvorschrift sein, die den jeweiligen Verwendungsvorgang rechtfertigt.

Mangels Einwilligung der betroffenen Teilnehmer des Netzwerkes Küste kämen in Bezug auf den vorliegenden Sachverhalt allenfalls Rechtsvorschriften in Betracht, welche die betreffenden Verarbeitungsvorgänge rechtfertigen. Solche Rechtsgrundlagen sind indes nicht ersichtlich.

2. Die Firma Danfoss Compressors GmbH durfte die Teilnehmer des Netzwerkes Küste nicht anmailen und nach ihrer Gewerkschaftszugehörigkeit befragen. Die Tatsache, ob eine Person der Gewerkschaft IG Metall angehört, stellt eine personenbezogene Information dar, die besonders schutzwürdig im Sinne der §§ 3 Abs. 9, 28 Abs. 6-9 BDSG ist. Eine verantwortliche Stelle, die nicht selbst gewerkschaftlich ausgerichtet ist, darf solche Informationen nur nach Maßgabe von § 28 Abs. 6-8 BDSG erheben.

Nach § 28 Abs. 6 Nr. 3 BDSG kann eine Datenerhebung wie die erfolgte Befragung zwar zulässig sein, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung überwiegt. Im vorliegenden Fall jedoch überwog das schutzwürdige Interesse der Betroffenen an dem Ausschluss der weiteren Datenerhebung ganz offensichtlich:

  • Zunächst erfolgte bereits die Datenübermittlung an die Danfoss Compressors GmbH unter Verstoß der Regeln des Netzwerkes und gegen §§ 28 Abs. 9 Satz 3 i.V.m. § 4a Abs. 3 BDSG. Eine Verwertung rechtswidrig verarbeiteter personenbezogener Daten ist nach der arbeitsgerichtlichen Rechtsprechung regelmäßig datenschutzrechtlich unzulässig (für die Verwertung im Prozess vgl. beispielsweise LAG Hamm, U. v. 24. Juli 2001 - 11 Sa 1524/00 -).
  • Darüber hinaus handelte es sich um ein gewerkschaftliches Netzwerk, in dem sich Gewerkschaftsmitglieder und gewerkschaftsnahe Personen in erster Linie über bestimmte gewerkschaftstypische Fragen austauschten. Die Betroffenen nutzten diese Kommunikationsmöglichkeit im Vertrauen auf die Vertraulichkeit des Informationsaustausches. Dies ergibt sich bereits aus den Regeln des Netzwerkes, wonach eine Kommunikationsteilnahme nur mit einem von der Gewerkschaft erteilten Passwort ermöglicht werden sollte. Das Anmailen der Betroffenen zum Zwecke der weiteren Datenerhebung bedeutete damit eine Beeinträchtigung dieser Vertraulichkeit, die den Datenschutzverstoß der Datenübermittlung an die Firma Danfoss Compressors GmbH fortsetzte.

Die Betroffenen hatten somit ein überwiegendes schutzwürdiges Interesse, nicht von der Danfoss Compressers GmbH in der geschehenen Weise angemailt zu werden.

Die Betroffenen haben ihre personenbezogenen Daten auch nicht "offenkundig öffentlich" gemacht, so dass das Anmailen der Betroffenen auch nicht nach § 28 Abs. 6 Nr. 2 BDSG gerechtfertigt ist. Ich weise insoweit nochmals auf den Passwortschutz und die Teilnahmeregeln des Netzwerkes hin. Selbst wenn ein Betroffener des Netzwerkes mit der Verwendung der Liste einverstanden gewesen ist, führt dies nicht dazu, dass die übrigen Teilnehmer ihre personenbezogenen [Daten] selbst offenkundig veröffentlicht haben. Selbst wenn man unterstellt, dass die IG Metall entgegen der schriftlichen Teilnahmebedingungen (vgl. Punkt 5 der in Kopie beigefügten Teilnahmebedingungen des Netzwerkes) auch gewerkschaftsnahen Nichtmitgliedern einen Zugang zum Netzwerk gestattete, ändert dies nichts an der Nichtöffentlichkeit des Netzwerkes als solchen. Dies ergibt sich bereits aus § 28 Abs. 9 Satz 2 BDSG. Danach dürfen Gewerkschaften personenbezogene Daten auch von Personen verarbeiten, die im Zusammenhang mit dem Tätigkeitszweck der betreffenden Gewerkschaft regelmäßig Kontakte mit ihr unterhalten. Insoweit werden gewerkschaftsnahe Personen ausdrücklich mit in den Schutzbereich der gewerkschaftseigenen Kommunikation einbezogen.

3. Nach Vorstehendem stellte die Einführung der Liste in den arbeitsgerichtlichen Prozess eine Datenübermittlung dar, die ebenfalls durch keine Rechtsvorschrift gerechtfertigt war. Denn soweit sensible personenbezogene Daten rechtswidrig an eine verantwortliche Stelle übermittelt werden, darf diese verantwortliche Stelle die Daten entsprechend der Rechtsidee des § 383 Abs. 3 ZPO auch nicht im Rahmen eines arbeitsgerichtlichen Prozesses zur Beweisermittlung verwenden, weil dadurch die entstandene Persönlichkeitsrechtsverletzung fortgesetzt wird (vgl. die Nachweise bei Greger in Zöller, Kommentar zur Zivilprozessordnung, 22. Auflage 2001, § 286 Rn. 15a und b.

4. In Ermangelung eines zulässigen Verwendungszweckes war bereits die dauerhafte Speicherung der Teilnehmerliste datenschutzrechtswidrig. Gemäß § 35 Abs. 2 Nr. 1 BDSG sind personenbezogene Daten unverzüglich zu löschen, wenn ihre Speicherung unzulässig ist. Danach war die Liste zu löschen, sobald nach einer ersten Prüfung die Unzulässigkeit der Datenspeicherung feststand. Eine Löschung der Teilnehmerliste ist gemäß Ihrem Schreiben vom 19. Dezember 2001 jedoch erst am 12. Dezember 2001 erfolgt. Die Beschlussbegründung des LG Flensburg bestätigt diese rechtliche Bewertung. Zunächst stellt das Gericht ausdrücklich fest, dass die Firma Danfoss Compressors GmbH als Verfügungsbeklagte zumindest außerhalb des arbeitsgerichtlichen Prozesses nicht berechtigt war, die Teilnehmerliste des Netzwerkes Küste zu speichern und zu verbreiten.

Bitte berücksichtigen Sie diesbezüglich, dass das Gericht lediglich das Vorliegen eines Anspruches auf Beseitigung und zukünftige Unterlassung zum Zeitpunkt der mündlichen Verhandlung prüft, während [das] Unabhängige Landeszentrum den in der Vergangenheit liegenden Sachverhalt zu beurteilen hat. Dass das Landgericht es infolgedessen wegen einer bereits eventuell erfolgten Löschung für fraglich hält, ob die Liste noch gespeichert ist, ist die datenschutzrechtliche Beurteilung des in der Vergangenheit liegenden Sachverhaltes irrelevant.

Da das Unabhängige Landeszentrum für Datenschutz jeden in seinem Zuständigkeitsbereich erfolgten Datenschutzverstoß zu verfolgen hat, kommt es insoweit auch nicht darauf an, ob die Klagebefugnis der Verfügungsklägerin gegeben war oder nicht (vgl. dazu Seite 3 des Beschlusses). Insoweit maßgeblich ist vielmehr, dass die betroffenen Teilnehmer des Netzwerkes Küste in ihren Datenschutzrechten verletzt wurden.

5. Deshalb beanstande ich als datenschutzwidrig, dass die Firma Danfoss Compressors GmbH durch einen ihrer Mitarbeiter

  • Teilnehmer des Netzwerkes Küste zu dem Zweck angemailt hat, die Gewerkschaftszugehörigkeit der betroffenen Teilnehmer zu klären;
  • die Teilnehmerliste sowohl automatisiert als auch in ausgedruckter Form gespeichert hat;
  • die Teilnehmerliste in den arbeitsgerichtlichen Prozess vor dem ArbG Flensburg, (Aktenzeichen: 1 Ca 333/01) eingeführt hat.

 

Bitte tragen Sie dafür Sorge, dass die Firma Danfoss Compressors GmbH künftig vergleichbare Verstöße vermeidet.

Selbstverständlich begrüße ich, dass die Firma Danfoss Compressors GmbH mittlerweile eine Löschung der Dateien vorgenommen hat. Dabei gehe ich angesichts Ihrer Erklärung vom 12. Dezember 2001 davon aus, dass die Firma Danfoss Compressors GmbH sämtliche bei ihr gespeicherten Teilnehmerlisten des Netzwerkes gelöscht hat, das heißt, dass sämtliche personenbezogenen Daten der Teilnehmerliste unkenntlich gemacht worden sind. Deshalb sehe ich insoweit auch weitere aufsichtsbehördliche Maßnahmen nach meinem derzeitigen Kenntnisstand als nicht erforderlich an.

Falls Sie Rückfragen haben, stehe ich Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen

gez.: Dr. Thomas Petri

LabourNet Germany Top ^