Kategorie: Beschäftigtendatenschutz

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer „rein wirtschaftlichen Größe“ zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort „Datensouveräntität“  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und „integraler und förderlicher Bestandteil“ von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei „in all ihren Ausprägungen auf den Prüfstand zu stellen“.

 

Fristlose Kündigung wegen Verstoßes gegen das Bundesdatenschutzgesetz

13. Oktober 2017

Die Leiterin einer Altenpflegeschule im Saarland sowie eine weitere Mitarbeiterin wurden fristlos entlassen, nachdem sie verschiedene Ausbildungsnachweise eines Lehrbeauftragten der Einrichtung an die vermeintlichen Aussteller versendet hatten, um deren Echtheit überprüfen zu lassen. Wie unter anderen die Süddeutsche Zeitung berichtete, habe es im Vorfeld Anlass zu Zweifeln an der Qualifikation des Kollegen gegeben, die jedoch durch eine interne Prüfung der Personalabteilung weder hätten ausgeräumt noch bestätigt werden können. So sei der Entschluss gereift, Bescheinigungen über eine Altenpflegerausbildung , ein Universitätsdiplom sowie eine Lehrberechtigung für katholischen Religionsunterricht von den jeweils zuständigen Stellen überprüfen zu lassen.

Allerdings sind im Rahmen der Prüfung vor der Übersendung Fehler in Hinsicht auf die umfassende Schwärzung der personenbezogenen Daten des betroffenen Mitarbeiters unterlaufen. Tatsächlich führte die Überprüfung zu der Erkenntnis, dass sämtliche Dokumente gefälscht worden waren. Dies soll sich teilweise aus Abgleichen der Personendaten sowie anhand sonstiger unstimmiger Angaben auf den Dokumenten ergeben haben. Nach verschiedenen Medienberichten hat der Mitarbeiter die Urkundenfälschungen eingeräumt und einem Aufhebungsvertrag zugestimmt. Zudem hat die Trägerin der Fachschule Strafanzeige erstattet.

Gleichwohl erhielten auch die beiden an der Aufdeckung Beteiligten fristlose Kündigungen, die sich darauf stützten, dass die Übermittlung von Auszügen aus den Personalunterlagen eigenmächtig erfolgt ist und insbesondere gegen datenschutzrechtliche Bestimmungen und die Verpflichtung zur Verschwiegenheit verstoßen wurde.

Die Schulleiterin hält eine fristlose Kündigung für ungerechtfertigt und hat Klage vor dem Arbeitsgericht erhoben. In diesem Verfahren wird sich das Gericht, nachdem es bislang zu keiner gütlichen Einigung zwischen den Beteiligten gekommen ist, insbesondere mit der Frage befassen müssen, ob die vermeintlichen Verstöße gegen das Datenschutzrecht eine fristlose Kündigung rechtfertigen können oder nicht doch zunächst eine Abmahnung angemessen gewesen wäre.

Privatnutzung des dienstlichen Internets kein zwingender Kündigungsgrund

5. September 2017

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am Dienstag ein möglicherweise richtungsweisendes Urteil zur Privatnutzung von dienstlichem Email-Account und Internetzugang gesprochen.

Geklagt hatte ein rumänischer Ingenieur, der von seinem Arbeitgeber wegen der privaten Nutzung der dienstlichen IT-Infrastruktur gekündigt worden war. Nach zwei erstinzanzlichen Niederlagen in Rumänien und vor der kleinen Kammer des EGMR entschieden nach jeweiliger Berufung nun final die 17 Richter der großen Kammer des EGMR zugunsten des Klägers. Danach bedeutet die Überwachung der elektronischen Kommunikation eines Arbeitnehmers eine Verletzung seiner Privatsphäre.

Konsequenz dessen muss daher für Unternehmen sein, nachhaltig feste Regelungen für die Privatnutzung zu installieren, um sich nicht der Kontrollmöglichkeiten zu berauben. Hierzu wird im besten Fall eine umfassende Betreibsvereinbarung, jedoch mindestens eine ebensolche Dienstanweisung installiert und zudem regelmäßige Kontrollen durchgeführt.

BAG Urteil zum Beschäftigtendatenschutz

11. August 2017

Das Bundesarbeitsgericht (BAG) hat kürzlich ein mit Spannung erwartetes Urteil (Az.: 2 AZR 681/16) zum Beschäftigtendatenschutz gefällt.

Das BAG musste sich mit der Kündigung eines Web-Entwicklers befassen, dem wegen eines vermuteten Arbeitszeitbetrugs durch seinen Arbeitgeber gekündigt wurde.

Die Vermutung beruhte auf einer Keylogger-Software die auf dem Dienst-PC des Gekündigten installiert war und dauerhaft sämtliche Tastatureingaben aufzeichnete und in regelmäßigen Abständen Screenshots von dem Bildschirm gemacht hat. Dadurch kam nach einer Auswertung der erstellten Daten der Verdacht auf, ein Gespräch mit dem Arbeitnehmer folgte und bestätigte die Daten. Daraufhin wurde der Web-Entwickler außerordentlich fristlos, hilfsweise ordentlich gekündigt.

Gegen die auf dieser Grundlage ausgesprochene Kündigung ging der Arbeitnehmer vor Gericht. In dem Kündigungsschutzverfahren konnte der Arbeitgeber die Pflichtverletzung des Arbeitszeitbetrugs dann allerdings nicht mehr nachweisen. Das BAG erklärte die aufgezeichneten Daten von der Keylogger-Software, wegen Verstoßes gegen das Datenschutzrecht, für unverwertbar. Es liegt ein Verstoß gegen § 32 Bundesdatenschutzgesetz (BDSG) vor. Die Software wurde ohne Verdacht auf Arbeitszeitbetrug ins Blaue hinein auf dem PC des Arbeitnehmers installiert.

Das BAG bestätigt damit die vorinstanzlichen Entscheidungen. Datenschutzwidrige Beweise sind vor den Gerichten nicht verwertbar.

Grundsätzlich lässt sich festhalten, dass der Einsatz einer solchen Keylogger-Software nicht illegal ist, allerdings braucht es zumindest bereits einen begründeten Verdacht einer Straftat oder sonstigen schwerwiegenden Pflichtverletzung. Somit ist die Verwendung nur in Ausnahmefällen datenschutzrechtlich unbedenklich.

Unzulässiger Einsatz von Keylogger-Software

31. Juli 2017

Das Bundesarbeitsgericht hat mit Urteil vom 27.07.17 entschieden, dass die verdeckte Überwachung eines Arbeitnehmers mittels Keylogger-Software gemäß § 32 Abs. 1 Bundesdatenschutzgesetz (BDSG) unzulässig ist, solange kein hinreichend konkreter Verdacht einer Straftat oder einer anderen schweren Straftat besteht. (vgl. BAG, Urt. v. 27.03.2003 Az. 2 AZR 51/02)

In dem konkreten Fall hatte ein Arbeitnehmer gegen die außerordentliche, fristlose Kündigung seines Arbeitgebers geklagt. Dieser hatte auf den PCs seiner Mitarbeiter Keylogger installiert, die das Verhalten der Angestellten kontrollierte, indem alle Tastatureingaben protokolliert, sowie regelmäßig Screenshots angefertigt wurden. Hierdurch kam zum Vorschein, dass der betroffene Mitarbeiter den PC, während seiner Anwesenheit, mehrere Stunden außerdienstlich genutzt hatte, um unter anderem ein Computerspiel zu programmieren, darüber hinaus hatte er täglich Aufträge des Unternehmens seines Vaters bearbeitet.

Bereits das Landesarbeitsgericht Hamm hatte in der Vorinstanz entschieden, dass der Einsatz von Keylogger Software unverhältnismäßig sei, da es beispielsweise auch möglich gewesen wäre, den Computer in Anwesenheit des Angestellten zu durchsuchen bzw. zu kontrollieren. Das BAG bestätigte das Urteil und entschied, dass es durch den Einsatz der Software zu einem Eingriff in das informationelle Selbstbestimmungsrecht des Angestellten gekommen sei.
Der Verstoß des Arbeitgebers gegen § 32 BDSG führt zu einem Verwertungsverbot. Eine Überwachung des Mitarbeiters war nach § 32 Abs. 1 BDSG nicht zulässig gewesen, da kein auf konkreten Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung bestand.

Notwendigkeit einer Betriebsvereinbarung für die Einführung von Microsoft Office 365

28. Juli 2017

Microsoft Office 365 kann auch in der Cloud betrieben werden. Und genau dies macht die Einführung dieses Systems im Unternehmen spannend wie auch datenschutzrechtlich kompliziert. Dies geht zurück auf aktuelle Praxisprobleme rund um die Cloud, insbesondere aus datenschutzrechtlicher Sicht. Hier ist noch eine Menge in Bewegung. Vor allem ist bereits jetzt abzuschätzen, dass die Rechtslage durch die DSGVO noch weiter an Komplexität zunehmen wird. Mit Microsoft Office 365 ist es jedenfalls möglich nicht nur alle Dokumente, sondern auch Telefonverbindungen, Termine, Emails usw. in die Cloud zu übertragen.

Dadurch wird möglich, dass alle Mitarbeiter auf alle Daten zugreifen und von überall auch bearbeiten können. So schön das auch klingt, ist der Datenschutz dabei nicht zu vernachlässigen. Denn möglich ist eben auch eine fast vollständige Überwachung der Mitarbeiter, so dass dem Begriff der Leistungskontrolle dadurch eine völlig neue Tragweite zukommt. Der Arbeitgeber kann nämlich beispielsweise nachvollziehen, wer wie lange an einem Dokument gearbeitet hat oder wer, wem, wie lange eine Email geschrieben hat. Ausgeschlossen ist überdies nicht, dass Daten miteinander verknüpft werden können. Auf diese Weise können aussagekräftige Bewegungsprofile des Mitarbeiters erstellt werden.

Aus Sicht der Unternehmen geht es freilich um wertvolle Informationen, wollen sie herausfinden wie viel ein Mitarbeiter leisten kann, um daraus wiederum Leistungsvorgaben definieren zu können. Gerade diese Vor- und Nachteile je nach einzunehmender Sichtweise, macht es erforderlich, dass der Betriebsrat die Einführung von Microsoft Office 365 bestätigt. Insofern hat der Betriebsrat hier ein Mitbestimmungsrecht.

  • 87 Betriebsverfassungsgesetz

 

(„1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen (…)

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (…)“

 

Dieses Recht sichert letztlich das Persönlichkeitsrecht der Mitarbeiter und ist somit eng verbunden mit dem Datenschutzrecht, da das Persönlichkeitsrecht hier wegen der unfreiwilligen Preisgabe personenbezogener Daten der Mitarbeiter verletzt werden kann.

Im Rahmen der Betriebsvereinbarung kommt es maßgeblich darauf an, darauf zu achten, dass insbesondere die IT-Sicherheit gewährleistet ist. Daneben müssen Mitarbeiter darüber informiert werden, welche Daten von ihnen erhoben, verarbeitet und genutzt werden.

 

 

 

 

 

 

Datenschutzrechtlicher Kündigungsschutz gilt auch für den Stellvertreter

27. März 2017

Das Landesarbeitsgericht Hamburg (LAG) hatte zu entscheiden, ob der datenschutzrechtliche Kündigungsschutz auch für den stellvertretenden Datenschutzbeauftragten gilt.

Geklagt hatte ein stellvertretender Datenschutzbeauftragter gegen die gegen ihn ausgesprochene Kündigung. Erstinstanzlich hatte er bereits gegen seinen ehemaligen Arbeitgeber vor dem Arbeitsgericht Hamburg (AG) obsiegt. Dieses Urteil bestätigte das LAG.

Der Kläger war als stellvertretender Datenschutzbeauftragter in dem beklagten Unternehmen bestellt, weil der eigentlich bestellte Datenschutzbeauftragte aus Krankheitsgründen seiner Tätigkeit nicht nachkommen konnte. Trotz dieser kündigungstechnischen Sonderstellung wurde dem Kläger gekündigt. Dieser berief sich auf die Schutzvorschrift des § 4f Bundesdatenschutzgesetz (BDSG) und war der Ansicht die Kündigung sei unwirksam. Der Arbeitgeber hielt den § 4f BDSG für nicht anwendbar.

Anderer Ansicht sind die entscheidenden Gerichte. Sowohl das Arbeitsgericht Hamburg als auch das Landesarbeitsgericht Hamburg halten den § 4f BDSG auch für den stellverstretenden Datenschutzbeauftragten für anwendbar.

Als Begründung führte das LAG an, dass nur aus dem Grund, dass es keine eigenen Regelungen für den Stellvertreter gibt, nicht geschlussfolgert werden kann, dass die genannte Norm für diesen nicht gilt. Es ist interessengerecht, dass auch der Stellvertreter in den Genuss der kündigungsrechtlichen Schutzregelungen des BDSG kommt. Das LAG tätigte aber eine wichtige Einschränkung. Der Kündigungsschutz soll jedenfalls dann auch für den Stellvertreter gelten, wenn er, wie vorliegend, die tatsächliche Arbeit eines Datenschutzbeauftragten aus beispielsweise Krankheitsgründen übernehmen muss.

Beschwerden über den Umgang mit Beschäftigtendaten bei den Landesdatenschutzbehörden nehmen zu

10. März 2017

Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.

Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.

So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.

Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.

Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es „höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz“ sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.

Mehr Überwachung im Berufsleben

28. Februar 2017

Die zunehmende Digitalisierung macht auch vor der Arbeitswelt nicht halt: Fälle, in denen durch die Digitalisierung Indizien und Beweise für einen Kündigungsprozess geliefert wurden, werden nach Angaben der Gerichtspräsidentin des Bundesarbeitsgerichts (BAG) in Erfurt weiter zunehmen. In diesem Jahr sei mit mehreren Entscheidungen des höchsten deutschen Arbeitsgerichts zu rechnen, in denen die potenzielle Mitarbeiterkontrolle eine Rolle spielt.

Im Fokus werden dabei u. a. der Abruf dienstlicher E-Mails in der Freizeit stehen, aber auch der Einsatz von sog. Keyloggern, also Software, mit deren Hilfe sich Eingaben eines Arbeitnehmers an seiner Computertastatur protokollieren lassen. Häufig steht in Frage, inwieweit derlei Daten bei Kündigungsprozessen eine Rolle spielen dürfen.

Einen sehr interessanten Fall entschied das BAG bereits im vergangenen Herbst: Sofern kein milderes Mittel zur Aufklärung eines gegen Beschäftigte bestehenden Verdachts einer Straftat zur Verfügung steht, als eine verdeckte Videoüberwachung, die andere Arbeitnehmer miterfasst, ist nach § 32 Abs. 1 Satz 2 Bundesdatenschutzgesetz (BDSG) der Eingriff auch in deren allgemeines Persönlichkeitsrecht gerechtfertigt.

Weitergabe von E-Mail Zugangsdaten ist kritisch zu betrachten

14. Dezember 2016

Nicht selten reicht das gegenseitige Vertrauen unter Kollegen im Unternehmensalltag so weit, dass diese sich den Zugriff auf das persönliche E-Mail Postfach durch Weitergabe ihrer persönlichen Zugangsdaten untereinander gestatten. So positiv und produktiv das kollegiale Miteinander im Hinblick auf den Arbeitsalltag auch erscheinen mag, desto negativer können die Konsequenzen der Weitergabe dieser personenbezogenen Zugangsdaten für den betroffenen Kollegen ausfallen. Denn Folge dieser Weitergabepraxis ist nicht selten der mit den Zugangsdaten betriebene Missbrauch, der letztendlich zu einem Kontrollverlust über das eigene personengebundene E-Mail Postfach führt.

So kann der betroffene Kollege grundsätzlich nicht davor bewahrt werden, sich strafbar zu machen.

Zwar wird eine Verletzung des Fernmeldegeheimnisses, welches grundsätzlich den Übertragungsvorgang der E-Mails schützt, nach den § 206 Abs. 1 StGB bzw. § 88 TKG bestraft. Da der Arbeitgeber und seine Mitarbeiter gegenüber den Kommunikationspartnern aber keine geschäftlichen Telekommunikationsdienste nach § 88 TKG erbringen, ist eine Verletzung des Fernmeldegeheinnisses, das demnach nur zwischen dem Arbeitgeber und dem Arbeitnehmer Anwendung findet, ausgeschlossen.

Der betroffene Kollege muss aber mit einer Ordnungswidrigkeit nach § 43 Abs. 2 Bundesdatenschutzgesetz (BDSG) oder einer Strafbarkeit nach § 43 Abs. 2 i.V.m. § 44 BDSG rechnen. Denn personenbezogene Daten wie der Name oder die E-Mail-Adresse, die nicht allgemein zugänglich sind, dürfen nicht unbefugt erhoben, verarbeitet oder zum Abruf durch automatisierte Verfahren bereitgehalten werden, § 43 Abs. 2 Nr. 1 und Nr. 2 BDSG.

 

 

1 2 3