Kategorie: Beschäftigtendatenschutz

Arbeitgeber sind für die Datenverarbeitung des Betriebsrats verantwortlich

13. Juli 2021

Am 18.06.2021 ist das Betriebsrätemodernisierungsgesetz in Kraft getreten (BGBl. 2021 I S. 1762). In dem neuen § 79a Betriebsverfassungsgesetz (BetrVG) wird das datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber geregelt. Damit endet der lange Streit um die datenschutzrechtliche Frage, ob der Betriebsrat dem Arbeitgeber als datenschutzrechtlich Verantwortlicher zuzuordnen oder als datenschutzrechtlich eigene verantwortliche Stelle einzuordnen ist. § 79a Satz 2 BetrVG stellt nun klar:

„Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

Die in § 78a Satz 3 BetrVG normierte, gegenseitige Unterstützungspflicht bei der Einhaltung der datenschutzrechtlichen Vorschriften beruht laut der Gesetzesbegründung auf der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers einerseits und der innerorganisatorischen Selbständigkeit und Weisungsfreiheit des Betriebsrats andererseits. Der Betriebsrat ist danach zum Beispiel nicht verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen, allerdings muss das Verarbeitungsverzeichnis des Arbeitgebers auch die Verarbeitungstätigkeiten des Betriebsrats enthalten. Hierfür ist der Arbeitgeber zwingend auf die Unterstützung des Betriebsrats angewiesen. Auch bei der Erfüllung etwaiger Auskunftsansprüche (Art. 15 DSGVO) die sich auf die durch den Betriebsrat verarbeiteten Daten beziehen, ist der Arbeitgeber auf die Unterstützung des Betriebsrats angewiesen.

Gemäß der Gesetzesbegründung muss der Betriebsrat innerhalb seines Zuständigkeitsbereichs auch eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO sicherstellen. Hierfür hat der Arbeitgeber den Betriebsrat mit den erforderlichen Sachmitteln, wie etwa geeigneten Sicherungseinrichtungen für Unterlagen mit personenbezogenen Daten, auszustatten.

Auch wenn der neue § 78 BetrVG Unklarheiten bzgl. der Zuständigkeit für die einzuhaltenden Datenschutzmaßnahmen klärt, stehen Unternehmen und Betriebsräte weiterhin vor der Herausforderung diese innerhalb des gesetzlich abgesteckten Rahmens einvernehmlich umzusetzen. Die Festlegung und Umsetzung von entsprechenden Prozessen sind hierfür notwendig. Die Gesetzesbegründung hebt in diesem Zusammenhang auch die mögliche Inanspruchnahme der Beratung des betrieblichen Datenschutzbeauftragten durch den Betriebsrat hervor.

Lieferando droht Bußgeld in Millionenhöhe

26. Mai 2021

Der Essenslieferdienst Lieferando speichert detaillierte Tracking-Daten seiner Fahrer. Dies berichtet der Bayerische Rundfunk. Den Stein ins Rollen gebracht hatten Angestellte von Lieferando, die Auskunft über ihre gespeicherten personenbezogenen Daten verlangten, die dem BR vorliegen.

Über die App “Scoober” werden pro Lieferung 39 Datenpunkte erfasst – von der Zuteilung der Bestellung über die Abholung bis zur Auslieferung an die Kunden. Alle 15 bis 20 Sekunden wird der genaue Standort des Fahrers gespeichert. Über diese Datenpunkte kann festgestellt werden, ob die Fahrer die jeweiligen Vorgaben erreichen, Verspätungen werden personalisiert gespeichert. Für Fahrer in Vollzeit kommen so 100.000 Datenpunkte pro Jahr zusammen. Die Datensätze reichen überdies zum Teil bis ins Jahr 2018 zurück.

Lieferando selbst hält die Daten für notwendig, um den Lieferbetrieb ordnungsgemäß durchführen zu können. Außerdem stehe die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung. Eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter finde nicht statt. Daran zweifelt der Vorsitzende des Gesamt-Betriebsrats für Deutschland, Semih Yalcin, und hält die Datenverarbeitung für “totale Überwachung” und “unverhältnismäßig”.

Diese Kritik teilt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink. Er hat sich der Sache nach einer Beschwerde eines Fahrers angenommen. Die dauerhafte Überwachung der Arbeitsleistung sei nach Einschätzung seiner Behörde “klar rechtswidrig”. Allerdings hat er die Angelegenheit und seine Untersuchungsergebnisse an die niederländische Datenschutzbehörde weitergegeben. Lieferando gehört zum niederländischen Mutterkonzern Just Eat Take Away, daher muss die DPA die weiteren Ermittlungen anstellen. Diesem droht nun eine zweistellige Millionenstrafe: da der Umsatz von Just Eat Take Away in der Corona-Pandemie im Jahr 2020 um 54 % auf 2,4 Milliarden Euro gestiegen ist und nach der DSGVO die Strafe bis zu vier Prozent des weltweiten Jahresumsatzes betragen kann, droht ein Bußgeld von bis zu 96 Millionen Euro.

BAG zum Auskunftsanspruch entlassener Arbeitnehmer

28. April 2021

Mit Urteil vom 27.04.2021 hat das Bundesarbeitsgericht entschieden, dass ein entlassener Angestellter nicht vom früheren Arbeitgeber verlangen kann, eine Kopie seiner gesamten E-Mail-Kommunikation zur Verfügung gestellt zu bekommen (BAG, Urt. v. 27.4.2021, Az. 2 AZR 342/20). Der Kläger stützte sein Begehren auf Art. 15 Abs. 3 DSGVO.

Nach seiner Kündigung klagte der Wirtschaftsjurist auf Auskunft über die von ihm gespeicherten personenbezogenen Daten und forderte eine Kopie dieser Daten. Mit solchen Vorgehen versuchen Gekündigte nicht selten, in Kündigungsschutzprozessen Druck auf den Arbeitgeber auszuüben oder beispielsweise eine höhere Abfindung zu bekommen. Die Auskunft wurde ihm erteilt, wegen der Kopie des E-Mail-Verkehrs reichte der Gekündigte Klage ein. Bereits in der Vorinstanz beim Landesarbeitsgericht Niedersachsen musste er eine teilweise Niederlage einstecken. Von seinen eigenen E-Mails könne er keine Kopie verlangen, da ihm diese schon bekannt seien.

Dem anschließend hat der 2. Senat des BAG dem “Recht auf Kopie” nun klare Grenzen gesetzt. Der Auskunftsanspruch muss vom Arbeitgeber erfüllt werden. Eine Kopie muss er allerdings nur dann überlassen, wenn die Unterlagen genau bezeichnet werden. Daran fehlte es auch vorliegend. Da der Kläger lediglich ein pauschales Verlangen vorbrachte, die E-Mails aber nicht konkret benannte, war der Klageantrag nicht nach § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. In einem späteren Zwangsvollstreckungsverfahren sei sonst nicht klar, welche E-Mails der Arbeitgeber herausgeben müsse. In solchen Fällen, in denen die konkrete Bezeichnung nicht möglich ist, müsste der Anspruch im Wege einer Stufenklage nach § 254 ZPO verfolgt werden.

Durch diese Form der Klageabweisung hat es das BAG nun offengelassen, wie weit der materiell-rechtliche Anspruch auf Überlassung von Kopien tatsächlich reicht und ob E-Mails vom Anspruch aus Art. 15 Abs. 3 DSGVO überhaupt erfasst sind.

Kündigung wegen exzessiver Privatnutzung des Dienst-PC

16. April 2021

Nutzt ein Arbeitnehmer trotz Verbots der Privatnutzung seinen Dienst-PC während der Arbeitszeit, um damit umfangreich im Internet zu surfen oder private E-Mails zu verfassen, so kann dies eine fristlose Kündigung rechtfertigen. Das hat das Landesarbeitsgericht Köln (LAG Köln) im Falle eines Arbeitnehmers entschieden, der an mehreren Tagen durchgehend und über Monate hinweg regelmäßig Website-Aufrufe und E-Mails zu privaten Zwecken tätigte.

Sachverhalt

Im vorliegenden Fall stellte der Arbeitgeber, ein IT-Dienstleistungsunternehmen, dem Arbeitnehmer als Arbeitsmittel ein Laptop zur Verfügung. Im Hinblick auf die Nutzung dieses dienstlichen Laptops vereinbarten die Parteien als Anlage zum Arbeitsvertrag unter anderem, das Verbot der Nutzung für private Zwecke, insbesondere des Besuchs von Internetseiten zu privaten Zwecken. Weiter vereinbarten Sie, dass der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten aus Zwecken der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüft und auswertet.

Trotz dieses Verbots nutzte der Arbeitnehmer das Laptop in ehrheblichem zeitlichen Umfang für private Angelegenheiten während seiner Arbeitszeit. So schrieb er diverse private E-Mails, surfte innerhalb eines Arbeitstages auf 205 Websites zu privaten Zwecken oder rief das E-Mail-Konto seiner privaten Firma insgesamt 559 Mal während seiner Arbeitszeit auf. Nachdem der Arbeitgeber dies bemerkte, kündigte er dem Arbeitnehmer fristlos aus wichtigtem Grund gem. § 626 Abs. 1 BGB, da er darin einen Arbeitszeitbetrug sah. Der Arbeitnehmer erhob dagegen Kündigungsschutzklage vor dem Arbeitsgericht, das die Klage abwies. Auch die Berufung des Arbeitsnehmers vor dem LAG Köln hatte keinen Erfolg.

Das LAG Köln sah in dem Verhalten des Arbeitnehmers ebenfalls eine Pflichtverletzung und mithin einen Arbeitszeitbetrug des Arbeitnehmers, der eine fristlose Kündigung des Arbeitgebers rechtfertigte. Insbesondere war für das Gericht offensichtlich, dass der Arbeitnehmer, entgegen seiner Behauptung, zwischen den einzelnen Website-Aufrufen innerhalb eines Zeitraums von weniger als ein bis zwei Minuten, keine Arbeitsleistung erbringen konnte.

Verstoß gegen Datenschutzvorschriften

Auch einen Verstoß gegen Datenschutzvorschriften verneinte das Gericht. Der Arbeitnehmer hatte “massive Verstoße gegen den Datenschutz” gerügt.

Der Arbeitgeber konnte die Internetaktivität des Arbeitnehmers durch eine Auswertung der Browser-Verläufe sowie des Browser-Caches nachweisen. Vor diesem Hintergrund musste das Gericht prüfen, ob die Inhalte der E-Mails auf dem dienstlichen Laptop sowie die Einträge in den Log-Dateien des Internet-Browsers einem prozessualen Verwertungsverbot unterliegen, da sie z.B. rechtswidrig erlangt worden sind.

Dies verneinte das Gericht. Dazu stellte es fest, dass es sich bei den in den Log-Dateien der Internet-Browser auf dem Laptop des Arbeitnehmers erfolgenden Protokollierungen sowie bei denen im E-Mail-Programm gespeicherten E-Mails zwar um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt, die ohne eine rechtswirksame Einwilligung des Arbeitnehmers im Rahmen der Protokollierung der Internetzugriffsdaten verarbeitet wurden gem. Art. 4 Nr. 2 DSGVO. Eine Rechtsgrundlage für eine wirksame Verarbeitung der personenbezogenen Daten des Arbeitnehmers sah das Gericht aber in § 26 Abs. 1 BDSG. Danach dürfen Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dieses Erfordernis bejahte das Gericht. Seine Begründung stützte es darauf, dass die Protokollierung der Verlaufsdaten sowie die Speicherung der E-Mails im Rahmen der Durchführung des Arbeitsverhältnisses erforderlich waren, um die Einhaltung des Verbots der privaten Nutzung des Internets und der E-Mails überprüfen zu können, d.h. zu Zwecken der Missbrauchskontrolle.

Zusammenfassung

Bei einem Verstoß gegen das Verbot der privaten Internetnutzung können Log-Dateien des Arbeitnehmers zum Nachweis des Missbrauchs verarbeitet werden. Voraussetzung dafür ist aber, dass die datenschutzrechtlichen Vorgaben von dem Arbeitgeber berücksichtigt werden und eine solche Verarbeitung nicht heimlich erfolgen sollte. Bei einem solchen Vorgang sollte daher zwingend eine entsprechende arbeits- sowie datenschutzrechtliche Expertise eingeholt werden.

Kein Schadensersatzanspuch bei einer Datenübermittlung in ein Drittland vor dem Geltungsbeginn der DSGVO

31. März 2021

Ein Verstoß gegen die Bestimmungen des 5. Kapitels der DSGVO (Art. 44 ff. DSGVO) liegt dann nicht vor, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an eine Konzernmutter in ein Drittland (USA) übermittelt wurden. Auch ein Anspruch auf Schadensersatz gem. Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter in den USA steht einem Beschäftigten nicht zu. Das hat das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil v. 25.02.2021, Az. 17 Sa 37/20 entschieden.

Wie wir bereits berichteten, stellt die Datenübermittlung in die USA seit dem Schrems-II-Urteil viele Unternehmen vor Herausforderungen. Eine Datenübermittlung in ein Drittland ist seitdem nur unter Einhaltung der in Kapitel 5 genannten Anforderungen der DSGVO zulässig, die in der Praxis aber nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, liegt ein Verstoß gegen die Bestimmungen der DSGVO vor.

Dieser Verstoß kann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.

Sachverhalt

Einen solchen Schadensersatzanspruch hat der Kläger im vorliegenden Fall geltend gemacht. Diesen begründete er damit, dass er durch die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und wegen der dortigen Verarbeitung seiner Daten, einen immateriellen Schaden erlitten habe. Als Schaden machte er die Gefahr eines Missbrauchs der Daten durch die Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend.

Die Entscheidung

Das Gericht erkannte in dem konreten Fall zwar an, dass solche Umstände grundsätzlich zur Begründung eines immateriellen Schadens im Sinne von Art. 82 DSGVO in Betracht kommen. Es verneinte eine Haftung des Arbeitgebers vorliegend jedoch, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehlte. Insbesondere erfordere Art. 82 DSGVO, dass der Schaden “wegen eines Verstoßes” gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Einen solchen Anknüpfungspunkt für den Schaden konnte das Gericht vorliegend aber nicht feststellen, da die Datenübermittlung in die USA stattgefunden hat, als die DSGVO noch nicht in Geltung war.

Schadensersatz für vergessenes Online-Profil nach Beendigung des Arbeitsverhältnisses

1. März 2021

Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.

Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.

Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.

Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.

Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:

Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.

Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.

Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.

Gemeinsamer Datenschutz-FAQ-Katalog für Unternehmen

28. Februar 2021

Nach einer großangelegten Umfrage durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse bei Thüringer Unternehmen sowie einer anschließenden Frageaktion der Kammern, ist in Kooperation mit den IHKs und HWKs ein umfangreicher FAQ– Katalog für Unternehmen fertiggestellt worden.

Die FAQs enthalten Antworten auf viele Fragestellungen, die dem TLfDI nach Auswertung der Unternehmensumfrage relevant erschienen. Darüber hinaus wurden auch Problemstellungen berücksichtigt, die von den Kammern an den TLfDI herangetragen wurden. Die FAQs sollen nun der Information und Unterstützung der Unternehmen bei Fragen zum Datenschutz dienen.

Inhaltlich werden viele Themen des Datenschutzes abgedeckt. So bietet der Katalog beispielsweise Antworten bei der Benennung des betrieblichen Datenschutzbeauftragten (bDSB), bei den rechtlichen Grundlagen für die Datenverarbeitung, den Beschäftigtendatenschutz, Werbung, technische und organisatorische Anforderungen, Auftragsverarbeitung und vieles mehr.

Bußgeld in Höhe von 10,4 Mio. Euro wegen Videoüberwachung von Beschäftigten

12. Januar 2021

Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.

Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente

Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.

Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.

Besondere Schwere des Grundrechtseingriffs betont

Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.

notebooksbilliger.de kündigt Einspruch an

Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.

Überwachung am Arbeitsplatz

11. Januar 2021

Die Überwachung von Angestellten ist für manche Arbeitgeber nicht nur per Videoüberwachung eine Option (wir berichteten), sondern auch direkt am Arbeitsrechner. Aufgrund der Zunahme der Home-Office-Tätigkeit weltweit, haben sich manche Arbeitgeber, getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“, auch intensiver mit dem Thema auseinandergesetzt, als zuvor.

Dabei ist aber zu beachten, dass – genau wie bei einer Videoüberwachung – eine anlasslose Überwachung ohne konkrete Verdachtsmomente rechtlich nicht zulässig ist. Der Vorgesetzte darf solche Kontrollen nur einführen, wenn er einen konkreten Verdacht auf ein pflichtwidriges oder strafbares Handeln zu seinen Lasten hegt.

Eine Überwachung am Arbeitsplatz ist technisch unkompliziert über Logfiles möglich, wenn der Angestellte einen Laptop vom Arbeitgeber erhält oder die gesamte Arbeitsumgebung auf einem Terminalserver des Arbeitgebers liegt.

Daneben gibt es die Option, dass auch eine Überwachung der Arbeitsweise und -Intensität der Angestellten direkt durch das genutzte Programm möglich ist. Beispielsweise bieten die Microsoft Office-Programme die Möglichkeit an, eine Produktivitätsbewertung vorzunehmen. Damit ist es möglich Daten darüber zu sammeln, wie viele Dateien der Angestellte aufruft, mit Kollegen teilt oder als Anhang verschickt. Gesammelt werden Kennzahlen wie: Kommunikation, Besprechungen, Zusammenarbeit an Inhalten, Teamarbeit, Mobilität, Endpunktanalyse, Netzwerkverbindungen und Microsoft 365 Apps-Integrität.

Microsoft weist darauf hin, dass die Informationen nur zur Weiterentwicklung der digitalen Transformationen mit Microsoft 365 vorgesehen sind. Allerdings können besonders neugierige Arbeitgeber anhand dieser Daten eine Produktivitätsbewertung auslesen und mit anderen Mitarbeitern vergleichen.

Diese Produktivitätsbewertung ist standardmäßig deaktiviert. Arbeitgeber sollten sich auch gut überlegen, ob sie diese Option aktivieren möchten. Denn wenn Angestellte mitbekommen, dass sie untereinander verglichen werden, führt das zu einer größeren Stressbelastung und kann letztlich die Produktivität verringern.

Eine solche systematische personenbezogene Überwachung darf außerdem rechtlich nicht ohne Einwilligung des Mitarbeiters erfolgen. Eine Ausnahme stellt der oben erwähnte konkrete Verdachtsmoment dar.

Arbeitgeber sollten also entweder ganz auf eine Überwachung verzichten oder die Ergebnisse anonymisiert bzw. in übergeordneten systematisch angelegten Zahlengruppen anzeigen lassen. So sind keine Rückschlüsse auf den einzelnen Mitarbeiter möglich, aber es ist trotzdem ersichtlich, bei welchen Punkten Verbesserungsbedarf besteht.

Rekordbußgeld gegen H&M wegen Datenschutzverstößen

8. Oktober 2020

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.

Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, “Welcome Back Talks” durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.

Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.

H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um “ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.” Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.

Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.

Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.

1 2 3 5