„Es kann nicht sein, dass aus Kostengründen oder um den Verwaltungsaufwand zu verringern, Grundrechte von Arbeitnehmern eingeschränkt werden“, sagt André Roeltgen mit Nachdruck. Der Präsident des OGBL ist formell: Die Priorität des Gewerkschaftsbunds liege darauf, „die geplante Änderung schleunigst rückgängig zu machen“.
Worum geht es? Mit dem Gesetzentwurf 7049 will die DP-LSAP-Grüne-Regierung das Genehmigungs- und Prüfverfahren für Überwachungen am Arbeitsplatz ändern: Bislang mussten Arbeitgeber, die eine Kamera am Arbeitsplatz installieren wollten, eine Stechuhr aufhängen oder persönliche Daten der Mitarbeiter speichern, dies von der nationalen Datenschutzkommission (CNPD) bewilligen lassen; in Zukunft soll eine einfache Anmeldung ausreichen.
Der Unterschied zwischen einer Meldepflicht und einer Genehmigung ist kein geringer: Bei der „Autorisation“ prüfen die Datenschützer im Vorfeld, ob ein Antrag auf eine Überwachung und Speicherung am Arbeitsplatz zweckmäßig und verhältnismäßig ist und die Auflagen des Datenschutzgesetzes von 2002 erfüllt. Künftig würden Unternehmen ihre Spähaktionen weiterhin der CNPD melden müssen, für die Inbetriebnahme würde jedoch die Empfangsbestätigung ausreichen.
„Die neue Regelung hat den Vorteil, dass wir unsere Ressourcen verstärkt in Kontrollen investieren können“, lobt Thierry Lallemang. Über zu wenig Arbeit kann der Datenschützer nicht klagen: Waren 2014 700 bis 800 Anträge zu bearbeiten, seien es im vergangenen Jahr „über 1 000“ gewesen. Zulassungen für Unternehmen machen etwa 85 Prozent des gesamten Prüf- und Genehmigungsaufwands der Datenschutzbehörde aus, heißt es im CNPD-Gutachten zum Gesetzentwurf. Dass mit der neuen Regelung mehr Unsicherheit entstehen könnte, wie es der OGBL befürchtet und die Arbeitnehmerkammer in ihrem Gutachten zu schreibt, sieht Lallemang indes nicht: „Wir werden auch in Zukunft gewissenhaft prüfen und die Kontrollen sogar ausweiten“, so der Datenschützer an die Adresse der Skeptiker.
Die Umstellung auf eine Meldepflicht begründet die Regierung damit, den Verwaltungsaufwand für die Unternehmen reduzieren zu wollen. Der Schritt sei außerdem nur folgerichtig, steht im Motivenbericht, da Luxemburg in der Europäischen Union mit seinem Ex-ante-Ansatz recht allein dastehe. Mit der neuen EU-Datenschutz-Grundverordnung, die im Sommer 2015 vom EU-Parlament nach monatelanger Hängepartie verabschiedet und im Mai 2018 in Kraft treten soll, würden die Meldepflicht und nachträgliche Kontrollen die Regel. André Roeltgen vom OGBL kontert: „Es ist falsch, es so darzustellen, als müsste sich Luxemburg an die Prozedur anderer Länder anpassen. Die Regierung könnte auch entscheiden, ein gutes Verfahren beizubehalten.“
Tatsächlich gibt es mit Inkrafttreten der EU-Datenschutzverordnung keinen Automatismus für Luxemburg, das Vorsorgeprinzip aufzugeben: Zwar sind die neuen Datenschutzregeln aus Brüssel eine Grundverordnung und daher unmittelbar in nationales Recht umzusetzen. Eine Öffnungsklausel in der Verordnung, die von der damaligen EU-Grundrechtekommissarin Viviane Reding auf den Weg gebracht wurde, erlaubt den Mitgliedstaaten aber, den Arbeitnehmerdatenschutz weiterhin selbst zu regeln. Oder wie es der grüne Europaabgeordnete und Berichterstatter besagter Verordnung, Jan Philipp Albrecht, in einer Diskussionsrunde des Deutschlandfunks vor einem Jahr formulierte: „Beim Arbeitnehmerdatenschutz ist das Feld noch völlig offen.“
In Luxemburg wurden Datenschutz-Grundrechte am Arbeitsplatz bisher über den Artikel 261,1 im Code du travail geregelt. Überwachungsmaßnahmen können zulässig sein, etwa wenn sie der Sicherheit des Personals oder dem Schutz von Gütern dienen, um den Produktionsprozess oder Präsenzzeiten zu überwachen. Mit Überwachung ist also nicht bloß die berüchtigte Kamera gemeint, obschon diese besonders tief in die Privatsphäre eingreift, steht der Beschäftigte doch unter permanenter Beobachtung. Dies kann gerechtfertigt sein am Schalter einer Bank oder der Kasse eines Supermarkts, wenn es darum geht, Diebstahl zu verhindern. „An der Tankstelle begrüßen Beschäftigte in der Regel eine Videoüberwachung, weil sie sich davon zusätzlichen Schutz versprechen“, weiß Thierry Lallemang.
Doch das Recht auf informationelle Selbstbestimmung und auf Privatsphäre sind Grundrechte; Eingriffe unterliegen deshalb besonderen Auflagen. So sind Mitarbeiter über geplante Kontrollmaßnahmen vorab zu informieren. In einem Fall hatte ein Arbeitgeber eine Überwachungskamera im Empfangsbereich seiner Firma aufgehängt. Weil sich im Schwenkbereich, und somit im Sichtfeld der Kamera, eine Sitzecke befand, in der sich Angestellte zur Pause trafen, wurde die Überwachung beanstandet: „Wäre noch Ton dabei gewesen, hätte der Arbeitgeber vertrauliche Mitarbeitergespräche belauschen können“, erzählt Jean-Claude Reding, Präsident der Salariatskammer, kopfschüttelnd.
Big Brother im Job kann noch subtiler erfolgen: beispielsweise wenn über Geolokalisation geprüft wird, welche Strecken ein Angestellter fährt, ob er Pausen- und Haltezeiten einhält. Im Lieferdienst macht das Sinn, woanders kann das unverhältnismäßig sein. In Deutschland wurde bekannt, dass die Deutsche Bahn ihre Manager über E-Mail ausspionierte. Über Apps lässt sich heutzutage der Arbeitsumfang digital erfassen, Privattelefonate können notiert, persönliche E-Mails durch den Chef gelesen werden. Das ist zwar meistens illegal, muss aber nicht immer mit Kontrollwahn zusammenhängen.
Oft verletzten Arbeitgeber datenbezogene Grundrechte nicht einmal böswillig, manchen fehlt schlicht das Verständnis für Datenschutz und Privatsphäre. „Kleineren Unternehmen fällt es mitunter schwer, die digitale Überwachung angemessen einzuschätzen“, sagt Lallemang. Während größere Unternehmen eigene Datenschutzbeauftragte haben, gilt das für kleinere und mittlere Unternehmen in der Regel nicht. „Der Wissensstand in punkto Datenschutz ist sehr unterschiedlich“, bestätigt Jean-Claude Reding. Die Salariatskammer setzt sich für mehr Aufklärung und Weiterbildung ein.
Unternehmen, die mehr als 150 Beschäftigte zählen, müssen diese in Überwachungsvorhaben einbinden. In einem Kleinbetrieb, einem Geschäft oder Restaurant, ist das meist nicht der Fall. Im Gaststättengewerbe kontrolliert die CNPD derzeit verstärkt, nachdem sich Restaurantbesucher wiederholt über Kammeras im Speisesaal beschwert hatten. „Essenzugehen ist oft eine private Aktivität, entsprechend gehört die Privatsphäre da geschützt“, so Lallemang.
Die Größe des Betriebs spielt bei der Meldung von Verstößen eine Rolle: In kleinen Betrieben ist es oft schwieriger, gegen eine unzulässige Überwachung vorzugehen, schon um keinen Konflikt mit dem Chef oder die Chefin zu provozieren. „Meldet der Arbeitnehmer das, fällt der Verdacht schneller auf ihn zurück“, so Lallemang. Um Beschäftigte vor Repressalien seitens des Arbeitgebers zu schützen, können Hinweisgeber Anonymität anfragen. Dann schauen die Datenschützer beim nächsten Kontrollgang vielleicht zufällig vorbei.
Um Unternehmen und Arbeitgeber über den regelkonformen Umgang mit Kamera, GPS, Biometrie, Drohnen und so weiter aufzuklären, hat die CNPD gemeinsam mit der Salariatskammer einen Leitfaden herausgegeben. Auf 50 Seiten steht in Deutsch und Französisch, wann eine Überwachung erlaubt ist und wann nicht – und welche Strafen bei Zuwiderhandlung drohen. Bisher durfte die CNPD nur Verwaltungsstrafen verhängen, mit Inkrafttreten der EU-Datenschutzverordnung ändert sich das: Arbeitgebern, die Datenschutzauflagen bewusst verletzen, drohen neben einer Abmahnung und der Aufforderung, bestehende Schutzlücken zu schließen, künftig empfindliche Geldstrafen. Auch deshalb weist Thierry Lallemang von der CNPD die Sorge der Arbeitnehmervertreter über Kontrolllücken ab 2018 zurück: „Die von uns im Rahmen einer Vorab-Genehmigung erteilten Auflagen können von böswilligen Arbeitgebern ebenso unterlaufen werden.“ Lallemang ist zuversichtlich, dass schwarze Schafe weiterhin entdeckt werden: „Wir erkennen oft schon bei der Antragstellung, wie ernst es ein Unternehmen mit dem Datenschutz meint.“ Fehle etwas oder seien Angaben unstimmig, hakten die Datenschützer nach. Die CNPD hat zudem für die neuen Aufgabenfelder, die im Rahmen der Europäischen Datenschutz-Grundverordnung auf sie zukommen wird, zusätzliches Personal beantragt: „Wird unser Antrag bewilligt, wären wir 49 Beschäftigte.“
Jean-Claude Reding von der Arbeitnehmerkammer und André Roeltgen überzeugt das trotzdem nicht: „Wir sind mit der bisherigen Gesetzgebung gut gefahren.“ Warum etwas ändern, das rundläuft, war denn auch das Credo, als Vertreter des OGBL kürzlich bei Staatsminister Xavier Bettel (DP) und Arbeitsminister Nicolas Schmit (LSAP) vorsprachen, um ihre Kritik vorzutragen. „Die Treffen machten auf uns den Eindruck, dass die Regierung gut zugehört hat. Jetzt warten wir ab, wie ihre Entscheidung ausfällt“, sagt André Roeltgen.