Richtiger Umgang mit Arbeitnehmer- und Kundendaten

Arbeitnehmerdatenschutz beginnt bereits bei der Personal­akte. Nicht alles, was relevant erscheint, darf Eingang in die Personalakten finden. Zulässiger Inhalt sind objektive Unterlagen, also der Arbeitsvertrag, die Bewerbungsunterlagen, Personalfragebögen, Arbeitsunfähigkeitsbescheinigungen, Urlaubslisten, Zeugnisse über Weiterbildungen und Unterlagen über Gehaltspfändungen. Auch subjektive Unterlagen wie Arbeitszeugnisse und Abmahnungen gehören in die Personalakte, nicht aber persönliche Aufzeichnungen über die Fähigkeiten, das Verhalten oder gar Krankheiten des Arbeitnehmers.

Die Personalakten sind vom Arbeitgeber vertraulich zu behandeln. Sie sind so aufzubewahren, dass sie nicht all­gemein zugänglich sind. Zugang zu den Akten ist nur den Sachbearbeitern zu gewähren, wobei der Kreis der mit den Akten beschäftigten Mitarbeiter möglichst klein zu halten ist. Auch darf nicht jeder Sachbearbeiter Einsicht in die gesamte Akte nehmen, sondern nur in den jeweils benötigten Teil. Geht es um die Abrechnung der Urlaubstage, sind sensible Unterlagen wie Abmahnungen herauszunehmen oder in verschlossenen Umschlägen in die Akte zu heften.

Der Arbeitnehmer hat jederzeit das Recht, in die über ihn geführten Akten Einsicht zu nehmen, auch ohne beson­deren Anlass. Das Einsichtsrecht wird ergänzt durch Gestaltungsrechte. So kann der Arbeitnehmer zu Ab­mahnungen eine Gegendarstellung verfassen, die zur Akte zu nehmen ist.

Der Arbeitnehmer hat schließlich das Recht, Unterlagen aus der Akte entfernen zu lassen. Dieses Tilgungsrecht besteht immer dann, wenn die Unterlagen nicht in die Personalakte gehören, wie etwa Abmahnungen mit unzutreffendem Inhalt. Das Tilgungsrecht besteht auch hinsichtlich solcher Unterlagen, die nach einer gewissen Zeit an Bedeutung verloren haben und dadurch für das Arbeitsverhältnis irrelevant geworden sind. Das gilt in erster Linie für Abmahnungen, die regelmäßig nach zwei Jahren zu entfernen sind.

In Apotheken stellt sich häufig die Frage, ob die Arbeitnehmer von einer im Verkaufsraum installierten Videoanlage (mit-)überwacht werden dürfen. Eine Videoanlage im Verkaufsraum darf installiert werden, wenn sie der notwendi­gen Überwachung der Kunden dient und auf die Überwachung hingewiesen wird. Der Hinweis muss sowohl für Kunden als auch für Mitarbeiter sichtbar sein. Eine Überwachung der Arbeitsleistung der Mit­arbeiter hingegen ist grundsätzlich unzulässig, gleiches gilt für Tonaufnahmen.

Eine gezielte Überwachung der Mitarbeiter ist nur zulässig, wenn ein begründeter Verdacht besteht, dass Diebstähle, Unterschlagungen oder Sachbeschädigungen vorkommen. Dann ist, wenn kein anderes Aufklärungsmittel denkbar ist und es sich um keinen Einzelfall handelt, sogar vor­übergehend eine heimli­che Überwachung zulässig. Diese darf nötigenfalls auch im Warenlager stattfinden, Personalräume und das Notdienstzimmer bleiben aber tabu.

Relevant ist der Datenschutz in Apotheken nicht nur in Bezug auf sensible Daten der eigenen Mitarbeiter, sondern vor allem auch hinsichtlich der Speicherung von Kundendaten, beim Einsatz von Kundenkarten und ganz besonders nach Einführung der elektronischen Gesundheitskarte.

Das Bundesdatenschutzgesetz schützt in erster Linie das Recht auf informationelle Selbstbestimmung. Danach soll jeder selbst darüber entscheiden, wann, von wem und zu welchem Zweck seine Daten genutzt werden dürfen. Bei vertraulichen Daten ist die ausdrückliche Erlaubnis des Kunden notwendig. Der Apotheker darf also nicht ohne Weiteres Daten über verschriebene Medikamente oder Krankheiten speichern. Per­sonenbezogene Kundendaten sind zu löschen, sobald sie ihren Zweck erfüllt haben. Werden Daten für die Abrechnung gespeichert, sind sie nach Abschluss des Abrechnungsprozesses also zu löschen.

Die wenigsten Apotheken verfügen über einen Datenschutzbeauftragten – weil die wenigsten Apotheker wissen, dass sie einen solchen brauchen. In Apotheken mit mindestens 20 Mitarbeitern, die Zugang zu Kundendaten haben, ist zwingend ein Datenschutzbeauftragter zu bestellen, ebenso, wenn mehr als neun Mitarbeiter mit der automatisierten Verarbeitung von Kundendaten beschäftigt sind. Eine automatisierte Verarbeitung von Kundendaten ist stets bei Nutzung elektronischer Kundenkarten der Fall. Nach Einführung der elektroni­schen Gesundheitskarte wird jede Apotheke automatisiert Kundendaten verarbeiten.

Die Einhaltung des Datenschutzgesetzes ist Pflicht des Apothekenleiters. Der Datenschutzbeauftragte hat dabei eine unterstützende, beraten­de und überwachende Funktion. Der Apothekenleiter kann sich nicht selbst kontrollieren und scheidet somit als Datenschutzbeauftragter aus. Aufgrund der Verschwiegenheitsverpflichtung liegt es nahe, einem Mitarbeiter die Aufgabe des Datenschutzbeauftragten zusätzlich zu übertragen. Dieser muss zuverlässig sein und ist sowohl im Hinblick auf die technischen Fragen als auch auf die rechtlichen Grundlagen des Datenschut­zes hinreichend zu schulen.

Der Datenschutzbeauftragte unterliegt hinsichtlich seiner Bestellung einem besonderen Kündigungsschutz. Die Bestellung zum Datenschutzbeauftragten kann nur widerrufen werden, wenn hierfür ein wichtiger Grund vorliegt, der es dem Apotheker unzumutbar macht, ihn weiter mit dieser Aufgabe zu betrauen. Dieser besondere Kündigungsschutz besteht deshalb, um es dem Datenschutzbeauftragten zu ermöglichen, auf Miss­stände objektiv hinweisen zu können, ohne Sanktionen befürchten zu müssen.

Bislang war umstritten, ob ihm damit ein Sonderkündigungsschutz auch in Bezug auf sein Arbeitsverhältnis zusteht. Nun sieht die am 3. Juli 2009 verabschiedete Novelle des Bundesdatenschutzgesetzes ab 1. September 2009 einen echten Sonderkündigungsschutz des Datenschutzbeauftragten vor. Dann darf ein Datenschutzbeauftragter, der gleichzeitig Arbeitnehmer ist, während seiner Tätigkeit grundsätzlich nicht und auch nach seiner Abberufung als Datenschutzbeauftragter für die Dauer von einem weiteren Jahr nicht gekündigt werden. Davon ausgenommen sind natürlich Kün­digungen aus wichtigem Grund. Ein Datenschutzbe­auftragter darf nach wie vor z.B. wegen Verletzung der Verschwiegenheitspflicht außerordentlich gekündigt werden, womit sein Amt automatisch ebenfalls endet.

Dieser Kündigungsschutz wird einige Arbeitgeber dazu bewegen, einen externen Datenschutzbeauftragten zu bestellen, was grundsätzlich möglich ist. In diesem Fall ist zu gewährleisten, dass dieser nur im absolut notwendigen Umfang Zugang zu Kundendaten erhält. Der externe Datenschutzbeauftragte unterliegt zwar einer gesetzlichen Verschwiegenheitsverpflichtung, dennoch sollte er zusätzlich eine umfassende Verschwiegenheitserklärung unterzeichnen, die auf die Besonderheiten des Apothekenbetriebs zugeschnitten ist.

Jasmin Theuringer, Rechts-
anwältin, Bellinger Rechts-
anwälte und Steuerberater,
40212 Düsseldorf, E-Mail:
theuringer@bellinger.de