Kategorie: Beschäftigtendatenschutz

Beschwerden über den Umgang mit Beschäftigtendaten bei den Landesdatenschutzbehörden nehmen zu

10. März 2017

Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.

Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.

So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.

Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.

Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es „höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz“ sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.

Mehr Überwachung im Berufsleben

28. Februar 2017

Die zunehmende Digitalisierung macht auch vor der Arbeitswelt nicht halt: Fälle, in denen durch die Digitalisierung Indizien und Beweise für einen Kündigungsprozess geliefert wurden, werden nach Angaben der Gerichtspräsidentin des Bundesarbeitsgerichts (BAG) in Erfurt weiter zunehmen. In diesem Jahr sei mit mehreren Entscheidungen des höchsten deutschen Arbeitsgerichts zu rechnen, in denen die potenzielle Mitarbeiterkontrolle eine Rolle spielt.

Im Fokus werden dabei u. a. der Abruf dienstlicher E-Mails in der Freizeit stehen, aber auch der Einsatz von sog. Keyloggern, also Software, mit deren Hilfe sich Eingaben eines Arbeitnehmers an seiner Computertastatur protokollieren lassen. Häufig steht in Frage, inwieweit derlei Daten bei Kündigungsprozessen eine Rolle spielen dürfen.

Einen sehr interessanten Fall entschied das BAG bereits im vergangenen Herbst: Sofern kein milderes Mittel zur Aufklärung eines gegen Beschäftigte bestehenden Verdachts einer Straftat zur Verfügung steht, als eine verdeckte Videoüberwachung, die andere Arbeitnehmer miterfasst, ist nach § 32 Abs. 1 Satz 2 Bundesdatenschutzgesetz (BDSG) der Eingriff auch in deren allgemeines Persönlichkeitsrecht gerechtfertigt.

Weitergabe von E-Mail Zugangsdaten ist kritisch zu betrachten

14. Dezember 2016

Nicht selten reicht das gegenseitige Vertrauen unter Kollegen im Unternehmensalltag so weit, dass diese sich den Zugriff auf das persönliche E-Mail Postfach durch Weitergabe ihrer persönlichen Zugangsdaten untereinander gestatten. So positiv und produktiv das kollegiale Miteinander im Hinblick auf den Arbeitsalltag auch erscheinen mag, desto negativer können die Konsequenzen der Weitergabe dieser personenbezogenen Zugangsdaten für den betroffenen Kollegen ausfallen. Denn Folge dieser Weitergabepraxis ist nicht selten der mit den Zugangsdaten betriebene Missbrauch, der letztendlich zu einem Kontrollverlust über das eigene personengebundene E-Mail Postfach führt.

So kann der betroffene Kollege grundsätzlich nicht davor bewahrt werden, sich strafbar zu machen.

Zwar wird eine Verletzung des Fernmeldegeheimnisses, welches grundsätzlich den Übertragungsvorgang der E-Mails schützt, nach den § 206 Abs. 1 StGB bzw. § 88 TKG bestraft. Da der Arbeitgeber und seine Mitarbeiter gegenüber den Kommunikationspartnern aber keine geschäftlichen Telekommunikationsdienste nach § 88 TKG erbringen, ist eine Verletzung des Fernmeldegeheinnisses, das demnach nur zwischen dem Arbeitgeber und dem Arbeitnehmer Anwendung findet, ausgeschlossen.

Der betroffene Kollege muss aber mit einer Ordnungswidrigkeit nach § 43 Abs. 2 Bundesdatenschutzgesetz (BDSG) oder einer Strafbarkeit nach § 43 Abs. 2 i.V.m. § 44 BDSG rechnen. Denn personenbezogene Daten wie der Name oder die E-Mail-Adresse, die nicht allgemein zugänglich sind, dürfen nicht unbefugt erhoben, verarbeitet oder zum Abruf durch automatisierte Verfahren bereitgehalten werden, § 43 Abs. 2 Nr. 1 und Nr. 2 BDSG.

 

 

Bundesministerium des Inneren stellt neuen Entwurf des BDSG vor

25. November 2016

Wie die Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.) berichtet, hat das Bundesministerium des Inneren diese Woche einen Gesetzesentwurf zur Anpassung des nationalen Datenschutzrechts den Verbänden vorgelegt.

Der Gesetzesentwurf berücksichtigt die ab dem 25.05.2018 geltenden Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO). Die DS-GVO enthält unter anderem sogenannte „Öffnungsklauseln“, die die EU-Mitgliedsstaaten ermächtigt bestimmte Sachverhalte in nationalen Gesetzen zu regeln. Hierzu gehört beispielsweise der Beschäftigtendatenschutz, der mangels Gesetzgebungskompetenz nicht von der EU, sondern von den Mitgliedsstaaten zu regeln ist.

Wie sich aus dem vorliegenden Gesetzesentwurf ergibt, wird unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen erhalten bleiben. Außerdem konkretisiert der Gesetzesentwurf die europarechtlichen Transparenzpflichten sowie die Rechte der Betroffenen.

Nun gilt es, die Rückmeldung der Verbände abzuwarten, so dass das Gesetzgebungsverfahren weiter fortschreiten kann.

Thüringer Polizei zeichnete tausende dienstliche Telefonate auf

4. August 2016

Die Art und Weise der Nutzung der dienstlichen Telekommunikationsinfrastruktur ist ein datenschutzrechtlich stets sensibel zu regelndes Datenschutzthema. Noch brisanter wird die Thematik dann, wenn derartige Gespäche aufgezeichnet werden. Die Thüringer Polizei, in Person eines ehemaligen Verantwortlichen des Innenministeriums, geriet nun in den Fokus der Staatsanwaltschaft Erfurt, da sie nach ersten Erkenntnissen diese Probelmatik final verschärfte, indem solche Aufzeichnungen seit 1999 auf bestimmten Apparaten ohne das Wissen der Gesprächsteilnehmer durchgeführt wurden. Zwar seien die Aufzeichnungen stets nach 180 Tagen gelöscht und auch nur durch administrative Mitarbeiter zur Kenntnis genommen worden, jedoch wurden hierzu Vermerke angefertigt, aus denen sich Rückschlüsse auf die Gesprächsinhalte ziehen ließen. Mittlerweile sei das Vorgehen, nach Kritik eines  seit Anfang Juli 2016 eingestellt worden. Die Ermittlungen der Staatsanwaltschaft basieren auf dem Fehlen einer für ein derartiger Vorgehen gesetzlich vorgeschriebenen richterlichen Ermächtigungsgrundlage in Form einer Anordnung. Erste Ergebnisse stehen noch aus.

Keine Pflicht für Gerichte zur Nennung der Kontaktdaten von Richtern

21. Juli 2016

Wie das Oberverwaltungsgericht Berlin-Brandenburg entschieden hat (Urt. v. 14.07.2016 Az. OVG 12 B 24.15), besteht keine Pflicht für Gerichte dienstliche Telefonnummern und E-Mailadressen der bei ihnen tätigen Richter öffentlich zu machen.

Das OVG stellt damit klar, dass der Auskunftsanspruch des Berliner Informationsfreiheitsgesetzes sich nicht auf Gerichte erstreckt, sofern diese nicht Verwaltungsaufgeben wahrnehmen. Zweck des Informationsfreiheitsgesetzes ist das in Akten festgehaltene Wissen und Handeln öffentlicher Stellen unter Wahrung des Schutzes personenbezogener Daten unmittelbar der Allgemeinheit zugänglich zu machen. Dies fördert die demokratischen Meinungs- und Willensbildung und ermöglicht eine Kontrolle des staatlichen Handelns.

Angaben zu Richtern als Organe der rechtsprechenden Gewalt gehören jedoch nicht zu veröffentlichten Informationen. Etwas anderes gilt jedoch, wenn der betroffene Richter seine Einwilligung in Veröffentlichung seiner Kontaktdaten erklärt hat.

Arbeitgeber darf Browserverlauf auf private Internetnutzung prüfen

18. Februar 2016

Zwischendurch auf der Arbeit schnell nach einem neuen Urlaubsziel suchen oder die Filmstarts der Woche recherchieren – die private Nutzung des Internets auf der Arbeit ist inzwischen üblich und für viele selbstverständlich. Dass das Thema „private Nutzung der dienstlichen IT am Arbeitsplatz“ kein einfaches Thema ist und sowohl Arbeitgeber als auch Gerichte immer wieder beschäftigt, zeigen verschiedene Urteile der letzten Zeit.

Wie beck-aktuell berichtet, hat sich nun erneut ein Gericht mit dem Thema beschäftigt, diesmal das LAG Berlin-Brandenburg. Es hat am 14. Januar 2016 entschieden, dass der Arbeitgeber nicht nur den Browserverlauf seines Arbeitnehmers einsehen, sondern die gefundenen Ergebnisse auch als Grundlage der folgenden Kündigung nutzen darf. Anders als oft üblich, hatte der Arbeitgeber dem Arbeitnehmer den Arbeitscomputer ausschließlich zu dienstlichen Zwecken überlassen.

Nach Auffassung des LAG handele es sich hinsichtlich des Browserverlaufs zwar um personenbezogene Daten, in deren Kontrolle der Arbeitnehmer nicht eingewilligt habe. Eine Verwertung der Daten sei jedoch statthaft, weil das Bundesdatenschutzgesetz eine Speicherung und Auswertung des Browserverlaufs zur Missbrauchskontrolle auch ohne eine derartige Einwilligung erlaube und der Arbeitgeber im vorliegenden Fall keine Möglichkeit gehabt habe, mit anderen Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen.

Das LAG Berlin-Brandenburg hat die Revision beim BAG zugelassen. Wir bleiben gespannt, wie dieses entscheiden wird.

Zum Thema „Überwachung am Arbeitsplatz“ empfehlen wir auch die Orientierungshilfe der Datenschutzbehörden des Bundes und der Länder, über die ebenfalls hier im Blog berichtet wurde.

Pflicht zur Archivierung von Emails vs Pflicht zum Löschen von Bewerberdaten

20. Januar 2016

Für geschäftliche Korrespondenz konstituieren handels- und steuerrechtliche Vorschriften eine Pflicht zur Aufbewahrung. Da Emails regelmäßig der Vorbereitung, Durchführung bzw. dem Abschluss oder der Rückgängigmachung von Handelsgeschäften dienen, sind sie als Handelsbriefe zu qualifizieren. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Die Frist, welche am jeweils am Jahresende des Jahres des Versandes/Empfangs der Email zu laufen beginnt, beträgt sechs Jahre. Für Buchungsbelege, Bilanzen und weitere Dokumente besteht sogar eine Aufbewahrungspflicht von zehn Jahren.

Diese Vorgaben in der Praxis für Emails umzusetzen ist – auf den ersten Blick – für Unternehmen dank automatischer Email-Archivierung technisch einfach umzusetzen, Speicherplatz ist dabei regelmäßig kein relevanter Kostenfaktor mehr. Betrachtet man die typische Korrespondenz, die in der Geschäftswelt per Email abgewickelt wird, jedoch genauer, so fällt auf, dass längst nicht alle Kommunikation in die o.g. Kategorien fällt. Dem Grundsatz der Datensparsamkeit folgend, besteht für solche Emails, für deren Aufbewahrung es keine gesetzliche Verpflichtung oder sonstige Rechtfertigung gibt, eine Pflicht zum Löschen.

Insbesondere im Bewerbungsprozess kommen die handels- und steuerrechtlichen Archivierungsfristen nicht zum Tragen. Wer sich heute auf eine Stelle bewirbt, tut dies regelmäßig per Email. Typischerweise wird hierzu ein gesondertes Postfach, z.B. jobs@…, verwendet. Gerne verteilt sich eine Bewerbung dann, ausgehend von der Personalabteilung, sternförmig im Unternehmen in die relevanten Abteilungen. Spätestens an dieser Stelle wird es faktisch unmöglich, eine Löschung umzusetzen. Sofern es nicht zur Eingehung eines Arbeitsverhältnisses kommt, besteht grundsätzlich noch die Möglichkeit des Klageverfahrens nach dem Allgemeinen Gleichstellungsgesetz (AGG). Anerkannt ist deshalb, dass zumindest für den Zeitraum von sechs Monaten eine Aufbewahrung noch zulässig ist, um ein arbeitsgerichtliches Verfahren bestreiten zu können. Danach folgt aus dem Recht auf informationelle Selbstbestimmung des Bewerbers die Verpflichtung, seine personenbezogenen Daten zu löschen.

Für das jobs@…-Postfach lässt sich dies noch durch eine automatische Löschung und eine Ausnahme von der Backup-Routine umsetzen. In den Postfächern der Abteilungen, in die die Bewerbung weitergeleitet wurde, ist das jedoch nicht mehr der Fall. Hier werden der Lebenslauf und die Bewerbung und alle weiteren Unterlagen dann wie sämtliche sonstige Korrespondenz archiviert.

Lösungsansätze

Viele Unternehmen entscheiden sich auch vor diesem Hintergrund zur Lösung über eigene oder fremd gehostete Bewerbungsplattformen. Bei diesen kann eine gesetzeskonforme Löschung regelmäßig umgesetzt werden, da nicht auf das Emailsystem zurückgegriffen wird.

Gerade für kleinere Unternehmen sind solche Lösungen auch aus Kostengründen regelmäßig jedoch uninteressant.

Aber auch mit „Bordmitteln“ lassen sich Prozesse entwickeln, die dem Datenschutz genügen. Neben einem Funktionspostfach (jobs@…), welches von der normalen Backup-Routine ausgenommen wird, und aus welchem Bewerbungen nach sechs Monaten gelöscht werden, sollten Bewerberdaten nicht intern per Email weitergeleitet werden. Vielmehr sollten die Bewerberdaten auf einem Laufwerk abgelegt werden, für welches wiederum eine fristgemäße Löschung implementiert ist. Die einzelnen Abteilungen bzw. Entscheider erhalten dann nur noch einen Zugriff auf die entsprechende Dateien.

Auch ohne kostspielige Tools lässt sich der Bewerberdatenschutz also gewährleisten. Allerdings müssen sich Unternehmen mit dieser Thematik befassen und aktiv Prozesse anstoßen. Die Belegschaft ist für die meisten Unternehmen heute das wichtigste Kapital, die Gewährleistung des Datenschutzes sollte, auch wegen der hohen Außenwirkung der Thematik, hohe Priorität haben.

 

Kategorien: Beschäftigtendatenschutz
Schlagwörter: ,

BfDI 2.0 – Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird oberste Bundesbehörde

7. Januar 2016

Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.

Beschäftigtendatenschutz: Rechtfertigung des Datenumgangs durch Einwilligungserklärungen

27. Oktober 2015

Lange Zeit wurde nahezu einhellig vertreten, dass Einwilligungserklärungen im Arbeitsverhältnis den Umgang mit Beschäftigtendaten nicht oder nur in speziellen Fällen legitimieren können. Hintergrund dieser Auslegung ist/war, dass § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) als Wirksamkeitsvoraussetzung einer Einwilligungserklärung vorgibt, dass diese auf der freien Entscheidung des Betroffenen beruht. Ob ein Beschäftigter im Rahmen seiner beruflichen Tätigkeit in der Tat frei entscheiden kann, wird/wurde wegen seines Abhängigkeitsverhältnisses oftmals zu Recht bezweifelt bzw. sogar auch grundsätzlich abgelehnt.

Insoweit stellt die Wertung des Bundesarbeitsgerichts (BAG), dass in einer Entscheidung zur Veröffentlichung von Videoaufnahmen eines Beschäftigten feststellte, dass auch im Arbeitsverhältnis eine freie Entscheidung der Beschäftigten im Hinblick auf die Ausübung des Rechts auf informationelle Selbstbestimmung möglich ist, eine Kehrtwendung dar. Der freien Entscheidung eines Beschäftigten stehen – so das Gericht – weder das einem Beschäftigtenverhältnis immanente Abhängigkeitsverhältnis noch ein bestehendes Weisungsrecht des Arbeitgebers entgegen.

Eine Einwilligungserklärung kommt somit als Legitimationsgrundlage im Beschäftigtenverhältnis grundsätzlich in Betracht. Erforderlich ist dafür jedoch (selbstverständlich), dass die übrigen Anforderungen aus dem BDSG einhalten werden. So muss der Beschäftigte genau wissen, welchen Umgang mit seinen personenbezogenen Daten er bestätigt. Die Einwilligung ist dementsprechend transparent und konkret zu gestalten. Ihm sollte darüber hinaus dargelegt werden, dass die Einwilligungserklärung stets mit Wirkung für die Zukunft widerrufen werden kann und die Nichtabgabe der Einwilligungserklärung sowie ein Widerruf keine negativen Auswirkungen auf das Beschäftigtenverhältnis haben. Auch gilt der Grundsatz der Schriftform, wenn nicht besondere Umstände ein Abweichen von der Schriftform rechtfertigen.

Bevor vorschnell der Weg über eine Einwilligungserklärung gewählt wird, sollte unternehmensseitig stets geprüft werden, ob nicht bereits eine (vorrangige) gesetzliche Rechtfertigung für den geplanten Umgang mit Beschäftigtendaten vorliegt. Dann wäre ein Rückgriff auf die Einholung von Einwilligungserklärungen nicht ratsam und in Einzelfällen sogar schädlich. Zudem sollte geprüft werden, ob es sich um einen mitbestimmungspflichtigen Sachverhalt handelt und eine Betriebsvereinbarung die Einholung von individuellen Einwilligungserklärungen ggf. ersetzen kann.

 

1 2