Es kommt immer wieder vor, dass sich Dritte mit Auskunftsersuchen über Beschäftigte an deren Arbeitgeber wenden. Klassiker sind hier Anfragen von Polizei oder Staatsanwaltschaft zu Adressdaten, da der Beschäftigte als Zeuge oder Beschuldigter zur Vernehmung geladen werden soll, eine Abfrage bei den Meldebehörden aber keine ladungsfähige Anschrift hervorgebracht hat. Auch kommt es immer wieder zu Anfragen von Arbeitsagenturen oder Sozialämtern. Hier geht es oft um Daten zu Beendigungsgründen des Beschäftigungsverhältnisses, um Beschäftigungszeiträume in der Vergangenheit oder die Frage nach der Höhe der Bezüge. Motive sind hier regelmäßig die Fragen, ob ehemalige Beschäftigte bspw. zu Unrecht Sozialleistungen bezogen haben, Sperrzeiten für Sozialleistungen vorliegen oder um ausstehende Unterhaltszahlungen. Auch melden sich immer wieder Rechtsanwälte, die bspw. Auskunft zur Gehaltshöhe eines Beschäftigten „fordern“.

Die Verantwortung des Arbeitgebers

In solchen Fällen ist es die Pflicht des Arbeitgebers sorgfältig zu prüfen, ob er zur Übermittlung der Daten gesetzlich verpflichtet ist (bspw. nach Vorgaben der Strafprozessordnung), oder ob er ein eigenes Recht zur Übermittlung hat. Hierbei ist zu beachten, dass die Beschäftigtendaten ursprünglich auf Basis des § 32 Abs. 1 Satz 1 BDSG erhoben worden sind und daher vom Arbeitgeber grundsätzlich nur zweckgebunden für das Beschäftigungsverhältnis verarbeitet und genutzt werden dürfen. Entweder muss demnach ein Gesetz die Übermittlung zu anderen Zwecken anordnen, oder eine Regelung im BDSG lässt eine Übermittlung zu einem anderen Zweck ausdrücklich zu (bspw. § 28 Abs. 2 Ziffer 2a oder 2b BDSG).

Reden ist Silber – Schreiben ist Gold!

In einem ersten Schritt ist es sicherlich immer empfehlenswert auf Anfragen per Telefon oder E-Mail keine Auskunft zu geben. Stattdessen sollte stets auf eine schriftliche Anfrage unter Angabe eines Ermittlungsaktenzeichens (bei Behördenanfragen) bestanden werden.

Anfragen von Rechtsanwälten aufgrund vermeintlicher Ansprüche gegen den Beschäftigten scheiden hier bereits fast immer aus, da diesem Auskunftsinteressen regelmäßig Forderungen der Mandantschaft des Anwalts zugrunde liegen, ohne dass der Anwalt die Auskunft einfordern kann. Ausnahmen können dann bestehen, wenn der Anwalt einen vollstreckbaren Titel vorlegen kann, wie bspw. einen Pfändungs- und Überweisungsbeschluss. Eine Übermittlungsbefugnis aus dem BDSG scheitert hier regelmäßig an dem schützenswerten Interessen der Beschäftigten am Ausschluss der Übermittlung.

Pflicht zur Auskunft?

Sofern bei Behördenanfragen eine spezialgesetzliche Norm greift, die den Arbeitgeber zur Auskunft verpflichtet, schließt diese aufgrund der Kollisionsregelung in § 1 Abs. 3 Satz 1 BDSG die Anwendung der Normen des BDSG für diese konkrete Anfrage aus. Daher schützen dann auch das Zweckbindungsprinzip und der § 32 BDSG nicht vor einer Übermittlungspflicht. In der Praxis gestaltet sich die Prüfung solcher vorrangiger Normen jedoch nicht immer einfach.

Teilweise geben die anfragenden Behörden gar keine Rechtsnormen an, auf die sie eine Pflicht zur Auskunft stützen. Dies liegt dann u.U. daran, dass sich die Behörde die eigene Ermittlungsarbeit selbst sehr stark vereinfachen will. Das durch den Arbeitgeber zu beachtende Datenschutzrecht wird hierbei von der Behörde nicht zwingend erkannt. Oft greift auch keine normierte konkrete Auskunftspflicht. Hin und wieder berufen sich Behörden in dem Anschreiben auf Generalklauseln, die lediglich die allgemeinen Ermittlungsaufgaben der Behörde beschreiben. Hier darf der Arbeitgeber nicht in einem Anfall von Obrigkeitshörigkeit die Anfrage beantworten, nur weil diese von einer Behörde stammt. Dies schützt ihn nicht vor etwaigen Bußgeldern oder Schadensersatzforderungen des Betroffenen, wenn das Unternehmen die Daten unzulässiger Weise übermittelt.

Wenn eine Norm von der Behörde angeführt wird, die vermeintlich zur Auskunft verpflichtet, so muss der Arbeitgeber prüfen, ob die Voraussetzungen der Norm grundsätzlich vorliegen und ob die angeforderten Daten überhaupt erforderlich sind.

Aus dem Leben eines Datenschutzbeauftragten

Fall 1: Der „kranke“ Beamte

In einem Praxisfall verlangte eine Behörde von einem Unternehmen Informationen zu einem Beschäftigten. Es wurde hierbei auf eine Norm abgestellt, die die Behörde zur Ermittlung in beamtendisziplinarrechtlichen Fragen befugte und tatsächlich eine Mitwirkungspflicht von Dritten als Zeugen statuierte. Die Behörde verwies in ihrer Anfrage ausdrücklich auf die Mitwirkungspflicht und Maßnahmen wie eine Vorführung des zuständigen Filialleiters im Falle der Weigerung der Mitwirkung. Hintergrund der Anfrage war, dass der Betroffene in einer Nebenbeschäftigung bei dem Unternehmen tätig war. Im Hauptberuf war der Betroffene als Polizeibeamter tätig. An einem Tag, an dem der Betroffene sich bei der Polizei krank gemeldet hatte, wurde er von Augenzeugen in seiner Nebentätigkeit beobachtet. Die zuständige Polizeibehörde ermittelte daher ausdrücklich aufgrund eines Verstoßes gegen die Dienstpflichten an diesem Tag. Darüber hinaus forderte die Behörde u.a. jedoch sämtliche Schichtpläne des Betroffenen der letzten drei Jahre an. Hier schoss die Behörde eindeutig über Ihr selbst gestecktes Ziel. Man konnte annehmen, dass die Behörde aufgrund des einen Verdachts nun alle Krankenfehlzeiten der letzten drei Jahre des Beamten mit den Einsatzplänen abgleichen wollte. Das konkret vorgeworfene und zu ermittelnde Fehlverhalten bezog sich jedoch auf nur einen bestimmten Tag. Im Ergebnis beantwortet das Unternehmen die Frage nach einem Arbeitseinsatz an diesem konkreten Tag (basierend auf der Zeugenpflicht aus dem einschlägigen Beamtengesetz) und verweigerte darüber hinaus die Aussage. Dabei konnte es sich darauf stützen, dass die angefragte weitergehende Auskunft eine unzulässige Datenübermittlung und somit eine Ordnungswidrigkeit dargestellt hätte. Aus der Gefahr der Verfolgung der Ordnungswidrigkeit heraus stand ihr auch ein solches Zeugnisverweigerungsrecht rechtlich zu. Man stelle sich nur vor, der Beamte hätte aufgrund möglicher Nachweise aus den erbetenen Schichtplänen seinen Beamtenstatus verloren. Die rechtlichen Folgen für den Arbeitgeber, der die Daten nicht hätte herausgeben dürfen wären beträchtlich gewesen.

Fall 2: Steuergeheimnis vs. Datenschutz?

In einem anderen Fall verlangte die Steuerfahndung Daten über einen Beschäftigten (u.a. zum Gehalt und zu anderen geldwerten Vorteilen), der selbst gar nicht Beteiligter des Ermittlungsverfahrens war. Die Behörde ermittelte nachweislich gegen Dritte. Die Behörde stützte sich hier auf § 93 Abgabenordnung (AO) und verweigerte unter Bezugnahme auf das Steuergeheimnis selbst jede Art von Auskünften, warum die Daten des Beschäftigten relevant seien, obwohl gegen diesen selbst nicht ermittelt wurde. Auch hier machte das Unternehmen Gebrauch vom Zeugnisverweigerungsrecht (in diesem Fall nach § 103 AO), da es mangels Überprüfbarkeit der Erforderlichkeit der Auskünfte Gefahr laufe, Daten unrechtmäßig zu übermitteln. Auch wenn § 93 AO eine weitreichende Auskunftspflicht statuiert, so muss die verantwortliche Stelle aus Sorgfaltsgründen, wie bei jeder anderen Behördenanfrage auch, die Möglichkeit haben zu prüfen, ob die angeforderten Daten unter die Auskunftspflicht fallen.

Fazit

Bei Anfragen Dritter zu Informationen über Beschäftigte ist Vorsicht geboten. Selbst Behörden geht es nicht selten um einen größtmöglichen Erkenntnisgewinn, ohne dass etwaige Datenschutzverstöße des Arbeitgebers durch die Behörde bei der Anfrage beachtet werden. Der Arbeitgeber bleibt immer in der Verantwortlichkeit zu prüfen, ob er die Daten herausgeben muss oder darf. Aufgrund des Zweckbindungsprinzips sind auch mögliche Erlaubnisnormen des BDSG, wie bspw. § 28 Abs. 2 Ziff. 2a und 2b BDSG restriktiv auszulegen. Diese Normen des BDSG verpflichten den Arbeitgeber nicht, Daten herauszugeben. Es handelt sich um Kann Bestimmungen, bei denen immer eine Interessensabwägung erfolgen muss.