Kategorie: Beschäftigtendatenschutz
8. Juni 2018
Auch wenn der Vorgesetzte es verlangt: Beschäftigte müssen ihre private Handynummer bei der Arbeit nicht mitteilen. Das hat das Thüringer Landesarbeitsgericht mit seinem Urteil vom 16.05.2018 entschieden.
Verhandelt wurde eine Klage von Mitarbeitern des kommunalen Gesundheitsamtes gegen den Landkreis Greiz. Der Kreis hatte die Bereitschaftszeiten neu organisiert und von seinen Beschäftigten verlangt, auch außerhalb der Dienstzeiten für die Rettungsleitstelle erreichbar zu sein. Zwei Mitarbeiter hatten sich dagegen zur Wehr gesetzt und nur ihre privaten Festnetznummern, nicht aber ihre Handynummern angegeben, was eine Abmahnung des Arbeitnehmers zur Folge hatte. Das Landesarbeitsgericht gab dem Kläger Recht und bestätigte damit ein Urteil des Arbeitsgerichts Gera von 2017. Nur unter besonderen Bedingungen und in engen Grenzen habe ein Arbeitgeber das Recht auf Kenntnis der privaten Handynummer eines Angestellten. Dies sei beispielsweise der Fall, wenn es keine andere Möglichkeit gebe, die Arbeitspflichten des Arbeitnehmers sinnvoll zu organisieren.
Eine Pflicht des Arbeitnehmers, stets die private Handynummer mitzuteilen, sei in der Regel ein nicht gerechtfertigter Eingriff in dessen Recht auf informationelle Selbstbestimmung.
Weiterhin heißt es im Urteil, eine Pflicht zur Bekanntgabe der privaten Mobilfunknummer greife besonders tief in die persönliche Sphäre des Arbeitnehmers ein. Der Arbeitnehmer könne sich aufgrund der ständigen Erreichbarkeit dem Arbeitgeber ohne Rechtfertigungsdruck nicht mehr entziehen und so nicht zur Ruhe kommen. Das gelte auch dann, wenn die Telefonnummer nur im Notfall verwendet werden soll. Entscheidend sei allein die potenzielle Erreichbarkeit.
Aus datenschutzrechtlicher Sicht ist hier entscheidend, ob die Datenverarbeitung tatsächlich zur Vertragserfüllung erforderlich ist. Der Arbeitgeber darf die Daten des Arbeitnehmers gemäß Art. 6 Absatz 1b DSGVO nur verarbeiten, soweit dies zur Vertragserfüllung notwendig ist. Dass zur Vertragserfüllung die private Handynummer des Mitarbeiters notwendig sein soll, dürfte auf wohl eher seltene Einzelfälle beschränkt bleiben. Arbeitgebern, die die private Handynummer ihrer Mitarbeiter nutzen wollen, müssten hierfür wohl eine eindeutige Einwilligung einholen.
7. Mai 2018
Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. „Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet“, sagte Datenschützerin Barbara Thiel.
Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.
Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.
Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.
20. März 2018
Das Interesse am Beschäftigtendatenschutz soll im Jahr 2017 erheblich gewachsen sein. So soll laut der Bremer Datenschutzbeauftragten, Imke Sommer, der Beschäftigtendatenschutz einen deutlich größeren Anteil der datenschutzrechtlichen Beschwerden in Bremen ausmachen. Nach dem Tätigkeitsbericht der Datenschutzbeauftragten weisen mittlerweile 20 % der Beschwerden einen Bezug zu Fragen des Beschäftigtendatenschutzes auf.
Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betrachtet den Beschäftigtendatenschutz als kommenden Tätigkeitsschwerpunkt im Bereich des Datenschutzrechts und hat deshalb einen Ratgeber für den Beschäftigtendatenschutz verfasst.
Unklar ist, ob das gewachsene Interesse in ein Beschäftigtendatenschutzgesetz erwächst. Zum aktuellen Zeitpunkt bestehen lediglich Forderungen nach einem Gesetz, jedoch kein Konsens dazu. Es bleibt abzuwarten, ob sich dies in der aktuellen Legislaturperiode ändert
29. Januar 2018
Seit Mai 2017 ist gesetzlich geregelt, dass die Bundespolizei kleine, am Körper getragene Kameras zum präventiven Schutz vor gewalttätigen Übergriffen einsetzen kann.
Hessen gilt als Vorreiter für den Einsatz von Bodycams. Dort werden die Bodycams vor allem in den sozialen Brennpunktgebieten eingesetzt. Die Gefilmten werden dabei ausdrücklich darauf hingewiesen, dass das Geschehen mitaufgezeichnet wird.
Kritisch beurteilt wird der Mitarbeiterdatenschutz hinsichtlich des Einsatzes der Bodycams.
Insbesondere betrifft es die Frage über die Zugriffsmöglichkeiten von Beurteilern und Disziplinarvorgesetzten auf die mitgeschnittenen Filme und die Frage der Anonymisierung bei Herausgabe an Dritte.
Die nordrhein-westfälische Polizei hat das Pilotprojekt aufgrund von Impraktikabilität und datenschutzrechtlichen Bedenken abgebrochen. Es müsse schon vorher geklärt werden, dass die Aufzeichnungen nicht zur Kontrolle der Polizeibeamten verwendet werden.
Es bleibt abzuwarten, wie die datenschutzrechtlichen Bedenken aufgelöst werden und dementsprechend der Einsatz von Bodycams verstärkt werden kann.
In seinem Urteil vom 16.05.2017 (AZ. 7 Sa 38/17) entschied das Landesarbeitsgericht Berlin-Brandenburg zu Gunsten des Arbeitgebers: Eine außerordentliche Kündigung des Arbeitsnehmers ist gerechtfertigt, wenn der Mitarbeiter nach durchgeführten Vertragsverhandlungen unmittelbar vor Abschluss eines Arbeitsvertrages mit einem Konkurrenten E-Mails mit betrieblichen Informationen in ungewöhnlichen Umfang an seinen privaten E-Mail-Account weiterleitet.
Das LAG sah in der Weiterleitung der E-Mails eine Verletzung der vertraglichen Rücksichtnahmepflicht aus § 241 Abs. 2 BGB. Der Mitarbeiter kann nicht ohne Einverständnis des Arbeitgebers sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu nutzen. Die schuldhafte Nebenpflichtverletzung stellt einen wichtigen Grund im Sinne von § 626 Abs. 1 BGB dar, sodass eine fristlose Kündigung gerechtfertigt sei.
Es stellt sich die Frage, ob eine Weiterleitung von dienstlichen E-Mails überhaupt an den privaten E-Mail-Account erlaubt ist. Eine Weiterleitung könnte grundsätzlich strafbewehrt sein, soweit es sich um Unterlagen, die dem Geschäfts- oder Betriebsgeheimnis unterliegen, handelt. Es handelt sich unter Umständen um die Herstellung einer Kopie gem. § 17 Abs. 2 Nr. 1b Gesetz gegen den unlauteren Wettbewerb (UWG). Mit der EU-Datenschutzgrunverordnung werden umfangreiche Dokumentations- und Nachweispflichten eingeführt, sodass jeder Zeit nachgewiesen werden muss, dass die Datenverarbeitung zulässig ist. Auch eine Weiterleitung stellt eine Verarbeitung dar und muss datenschutzrechtliche Vorgaben einhalten.
Entscheidend ist vor allem die dienstliche Notwendigkeit der Weiterleitung. Im vorliegenden Fall konnte der Mitarbeiter einen unternehmenseigenen Laptop für die Arbeit von zu Hause aus nutzen, dort hätte er auch die notwendigen Daten abspeichern können. Da viele Unternehmen eine private Nutzung von E-Mails oder Diensthandys ausschließen, spielen außerdem die Vorgaben im Arbeitsvertrag oder Betriebsvertrag eine entscheidende Rolle bei der Bewertung, ob eine Weiterleitung der E-Mails an notwendig ist.
3. Januar 2018
Spätestens seit der jüngsten Finanzkrise, die neben (betriebs-) wirtschaftlichen Fehleinschätzungen vor allem durch individuelles sowie kollektives Fehlverhalten (u.a. Manipulation von Referenzzinssätzen, Verstoß gegen Embargos) geprägt war, hat die innerbetriebliche Compliance-Funktion zunächst innerhalb der Finanzindustrie in nie dagewesenem Maße an Bedeutung hinzugewonnen. Auch in der Industrie hat man spätestens im Zuge der aktuellen Verfehlungen in der Automobilbranche erkannt, dass eine effektive Compliance-Funktion geradezu essentiell für den Fortbestand eines ganzen Konzerns sein kann.
Das den obigen Beispielen jeweils zugrundeliegende Fehlverhalten führte jedes Mal zu exorbitant hohen Strafzahlungen und nicht quantifizierbaren Reputationsschäden für die betroffenen Unternehmen. Vor diesem Hintergrund scheint es nicht verwunderlich, dass Unternehmen unterschiedlichster Größe und verschiedenster Branchen ihre Compliance-Abteilungen seitdem massiv auf- und ausbauen. Dabei geht es einer effektiven Compliance-Funktion vor allem darum, durch regelmäßige sowie anlassbezogene Kontrollen das Unternehmen vor Vermögensschäden durch rechtswidriges Verhalten seiner Mitarbeiter bzw. Kunden zu schützen. Dabei ist die Compliance-Abteilung naturgemäß daran interessiert, über möglichst weitreichende Zugangs-, Einsichts- und Auskunftsrechte zu verfügen.
Doch wie verträgt sich dieser grundsätzlich zu begrüßende Trend hin zu „mehr Compliance“ mit der ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu)?
Fest steht, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens geahndet werden können (Art. 83 Abs. 5 DSGVO). In Bezug auf den VW-Konzern mit einem Jahresumsatz in Höhe von rund 217 Mrd. Euro in 2016 würde dies ein Bußgeld von maximal rund 8,7 Mrd. Euro bedeuten. Hinzu kommen, wie auch im Falle gravierender Compliance-Verstöße, nicht quantifizierbare Reputationsschäden.
Klar ist auch, dass weder die Befolgung der jeweiligen einschlägigen Compliance-Verpflichtungen einen umfassenden Datenschutz verhindern, noch die Einhaltung der neuen Datenschutz-Normen eine effektive innerbetriebliche Compliance-Funktion unterbinden soll. Vielmehr sind diese beiden Interessen in einen angemessenen Ausgleich miteinander zu bringen. Allerdings wird sich nur in wenigen Fällen aus einer zugrundzulegenden Compliance-Vorschrift ergeben, welche Daten im Rahmen der Ausübung der Kontrollfunktion erhoben werden dürfen. Ungeachtet dessen, muss die weitere Verarbeitung grundsätzlich den Vorgaben aus der DSGVO sowie dem BDSG-neu entsprechen. Die Herausforderung für Unternehmen wird künftig also mehr denn je darin bestehen, weder gegen Compliance- noch gegen Datenschutzauflagen zu verstoßen.
Dementsprechend sollten sich Unternehmen bereits mit den drei folgenden Aspekten eingehend beschäftigt haben:
Überprüfung existierender Compliance-Maßnahmen
Der Überprüfung bereits implementierter Compliance-Maßnahmen kommt eine große Bedeutung zu, denn eine Art Bestandsschutz für bereits implementierte Kontrollpläne existiert in diesem Sinne nicht. Die Maßnahmen müssen künftig DSGVO- und BDSG-konform ausgestaltet sein. Daher ist zwingend zu prüfen, ob eine Anpassung an die neuen Regelungen erforderlich ist. Das Ergebnis der Prüfung sowie die ggf. vorgenommenen Anpassungen sind revisionssicher zu dokumentieren.
Abläufe bei künftigen Compliance-Maßnahmen (insb. Einbeziehung des Beauftragten für den Datenschutz)
Neben der Überprüfung und etwaigen Anpassung der bereits existierenden Kontrollpläne, ist ebenfalls die Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung künftiger Kontrollpläne sicherzustellen. Diesbezüglich erscheint es geboten, den Beauftragten für den Datenschutz in den Prozess der Erstellung jedes neuen Kontrollplanes mit einzubeziehen. Dies gilt umso mehr, wenn es sich bei der Compliance-Maßnahme nicht um eine regelmäßige Kontrolle, sondern um eine einzelfallbezogene außerordentliche Investigativ-Maßnahme handelt. Die Einbeziehung des Beauftragten für den Datenschutz selbst, aber auch die Art und Weise sind im Form von internen Richtlinien/Arbeitsanweisungen festzulegen.
Angemessene Ausstattung des Beauftragten für den Datenschutz
Vor allem mit Blick auf die neue potentielle Tragweite datenschutzrechtlicher Verstöße erscheint es doch sehr verwunderlich, warum eine Vielzahl von Unternehmen sich noch immer nicht ausreichend mit den Auswirkungen der DSGVO und des BDSG-neu auseinandergesetzt zu haben scheint. Wie oben bereits gezeigt, werden die möglichen Bußgelder sowie Reputationsschäden bei mangelndem Datenschutz den Sanktionen im Compliance-Bereich künftig in keiner Weise mehr nachstehen. Dementsprechend und auch um einer Haftung aus § 130 Abs. 1 OWiG zu begegnen sollte zeitnah überprüft werden, ob die Ausstattung des Beauftragten für den Datenschutz vor dem Hintergrund der gestiegenen Anforderungen noch als dem Risiko angemessen erscheint.
14. Dezember 2017
Ein neues Logistikzentrum von Amazon ist ins Blickfeld der niedersächsischen Datenschutzbeauftragten gerückt. Das Zentrum des Online-Händlers in Winsen/Luhe soll von der niedersächsischen Datenschutzbeauftragten Barbara Thiel überprüft werden.
Das Kontrollverfahren soll bereits angelaufen sein. Bereits zum aktuellen Zeitpunkt soll Amazon ein Fragenkatalog vorliegen, auf den bis zum Jahresende geantwortet werden muss.
Laut dem Magazin Panorama 3 des NDR, besteht ein Verdacht auf Datenschutzverstöße durch das genannte Logistikzentrum des Konzerns, das erst im Sommer den Betrieb aufgenommen hat. In der Kritik steht, dass der Konzern die Leistungen und Arbeitsweise seiner Mitarbeiter ohne Ausnahme erfassen soll. Dafür sollen insbesondere Kameras verwendet werden, die zu diesem Zweck in Räumlichkeiten mit Spinden und anderen Räumen installiert wurden.
Laut Jens Thurow, Mitarbeiter der Pressestelle der Datenschutzbeauftragten, will Barbara Thiel diesen aufgekommenen Verdacht prüfen.
Laut Amazon gebe es keine Datenschutzverstöße. Sprecher des Konzerns verweisen darauf, dass in der Vergangenheit bereits mehrfach die, in Verdacht stehenden, Systeme geprüft wurden. Die genannten Kameras sollen danach nur den Schutz der Mitarbeiter bezwecken. Zudem verweisen die Sprecher darauf, dass nicht alle Räume mit Kameras versehen wurden. Die Leistungsüberwachung werde dagegen gar nicht durchgeführt.
18. Oktober 2017
Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.
Die Datenschutzbehörden warnen davor, Daten zu einer „rein wirtschaftlichen Größe“ zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort „Datensouveräntität“ zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und „integraler und förderlicher Bestandteil“ von Fortschritt in Politik, Wirtschaft und Gesellschaft.
Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.
Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei „in all ihren Ausprägungen auf den Prüfstand zu stellen“.
13. Oktober 2017
Die Leiterin einer Altenpflegeschule im Saarland sowie eine weitere Mitarbeiterin wurden fristlos entlassen, nachdem sie verschiedene Ausbildungsnachweise eines Lehrbeauftragten der Einrichtung an die vermeintlichen Aussteller versendet hatten, um deren Echtheit überprüfen zu lassen. Wie unter anderen die Süddeutsche Zeitung berichtete, habe es im Vorfeld Anlass zu Zweifeln an der Qualifikation des Kollegen gegeben, die jedoch durch eine interne Prüfung der Personalabteilung weder hätten ausgeräumt noch bestätigt werden können. So sei der Entschluss gereift, Bescheinigungen über eine Altenpflegerausbildung , ein Universitätsdiplom sowie eine Lehrberechtigung für katholischen Religionsunterricht von den jeweils zuständigen Stellen überprüfen zu lassen.
Allerdings sind im Rahmen der Prüfung vor der Übersendung Fehler in Hinsicht auf die umfassende Schwärzung der personenbezogenen Daten des betroffenen Mitarbeiters unterlaufen. Tatsächlich führte die Überprüfung zu der Erkenntnis, dass sämtliche Dokumente gefälscht worden waren. Dies soll sich teilweise aus Abgleichen der Personendaten sowie anhand sonstiger unstimmiger Angaben auf den Dokumenten ergeben haben. Nach verschiedenen Medienberichten hat der Mitarbeiter die Urkundenfälschungen eingeräumt und einem Aufhebungsvertrag zugestimmt. Zudem hat die Trägerin der Fachschule Strafanzeige erstattet.
Gleichwohl erhielten auch die beiden an der Aufdeckung Beteiligten fristlose Kündigungen, die sich darauf stützten, dass die Übermittlung von Auszügen aus den Personalunterlagen eigenmächtig erfolgt ist und insbesondere gegen datenschutzrechtliche Bestimmungen und die Verpflichtung zur Verschwiegenheit verstoßen wurde.
Die Schulleiterin hält eine fristlose Kündigung für ungerechtfertigt und hat Klage vor dem Arbeitsgericht erhoben. In diesem Verfahren wird sich das Gericht, nachdem es bislang zu keiner gütlichen Einigung zwischen den Beteiligten gekommen ist, insbesondere mit der Frage befassen müssen, ob die vermeintlichen Verstöße gegen das Datenschutzrecht eine fristlose Kündigung rechtfertigen können oder nicht doch zunächst eine Abmahnung angemessen gewesen wäre.
5. September 2017
Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am Dienstag ein möglicherweise richtungsweisendes Urteil zur Privatnutzung von dienstlichem Email-Account und Internetzugang gesprochen.
Geklagt hatte ein rumänischer Ingenieur, der von seinem Arbeitgeber wegen der privaten Nutzung der dienstlichen IT-Infrastruktur gekündigt worden war. Nach zwei erstinzanzlichen Niederlagen in Rumänien und vor der kleinen Kammer des EGMR entschieden nach jeweiliger Berufung nun final die 17 Richter der großen Kammer des EGMR zugunsten des Klägers. Danach bedeutet die Überwachung der elektronischen Kommunikation eines Arbeitnehmers eine Verletzung seiner Privatsphäre.
Konsequenz dessen muss daher für Unternehmen sein, nachhaltig feste Regelungen für die Privatnutzung zu installieren, um sich nicht der Kontrollmöglichkeiten zu berauben. Hierzu wird im besten Fall eine umfassende Betreibsvereinbarung, jedoch mindestens eine ebensolche Dienstanweisung installiert und zudem regelmäßige Kontrollen durchgeführt.
