Kategorie: Beschäftigtendatenschutz
20. November 2018
Durch das Inkrafttreten der Datenschutz-Grundverordnung und des BDSG-neu sind die Anforderungen an Unternehmen im Allgemeinen schärfer geworden. Auch im Bereich des Bewerberdatenschutzes hat sich der Umgang mit den Daten stark verändert. Bei den wenigsten Unternehmen gehen noch Bewerbungen in Papierform ein. Zumeist erhalten die Unternehmen Online-Bewerbungen via E-Mail oder Website. Doch wie müssen Unternehmen mit den unterschiedlichen Bewerbungseingängen umgehen?
Bewerbungen die in Papierform bei einem Unternehmen eingehen sind datenschutzrechtlich weniger problematisch als Online-Bewerbungen zu bewerten. Erst wenn die Bewerbung digitalisiert wird oder die Bewerberdaten in ein System eingetragen werden spricht man von einer Verarbeitung im Sinne der DSGVO. Sobald die Daten in einen Verarbeitungsprozess eingebunden werden, sollte der Bewerber gemäß Art. 13 sowie Art. 14 DSGVO über die Verarbeitung sowie die Betroffenenrechte informiert werden.
Bei Bewerbungen die via E-Mail bei einem Unternehmen eingehen sollte vor allem eine verschlüsselte Übermittlung gewährleistet werden. Außerdem ist es zu empfehlen, dass die interne Weiterleitung zwischen den jeweiligen Mitarbeitern oder Abteilungen durch eine Arbeitsanweisung geregelt wird.
Ähnlich der Bewerbungen via E-Mail, muss im Fall einer Bewerbung durch die Website eine Verschlüsselung der Daten sichergestellt werden. Bei Bewerbungen die mittels eines externen Dienstleisters generiert werden, besteht die Möglichkeit, dass Dritte Zugang zu den Daten erlangen. Um sich dahingehend abzusichern sollte ein Vertrag zur Auftragsverarbeitung zwischen dem Unternehmen und dem externen Dienstleister abgeschlossen werden.
Generell gilt, das Daten von Bewerbern strikt von anderen Datensätzen zu trennen sind.
24. August 2018
Das Bundesarbeitsgericht (BAG) hat am 23.08.2018 entschieden, dass die Speicherung von Bildsequenzen aus einer rechtsmäßigen offenen Videoüberwachung keinem Verwertungsverbot unterliegen (Az.: 2 AZR 133/18).
Der Entscheidung liegt ein Fall aus NRW zu Grunde. Die Klägerin wurde von ihrem Arbeitgeber fristlos gekündigt, nachdem dieser auf gespeichertem Material einer offenen Videoüberwachung gesehen hat, dass die ehemalige Mitarbeiterin während der Arbeitszeit Straftaten zu seinen Lasten begangen hat.
Die Diebstähle wurden durch das Material einer Videoüberwachungskamera aufgedeckt, die der Arbeitgeber offen in dem Geschäft installiert hatte. Die Kamera filmte die ehemalige Mitarbeiterin bei ihren Taten. Darauf folgte sodann die fristlose Kündigung und eine Klage auf Schadensersatz. Dagegen wand sich die ehemalige Mitarbeiterin mit einer Kündigungsschutzklage. Der Grund auf den die Frau die Klage stützte war allerdings nicht die Videoüberwachung oder die Auswertung des Materials an sich, sondern die Dauer der Speicherung und vor allem die späte Auswertung.
Die Unregelmäßigkeiten fielen dem Betreiber im dritten Quartal 2016 auf, ab August 2016 wurde das Material gesichtet, wobei auffiel, dass die ehemalige Mitarbeiterin bereits Anfang Februar die Taten begangen hat. Die Überwachungsaufnahmen wurden demnach mehrere Monate gespeichert, bevor sie überhaupt gesichtet wurden.
Die Kündigungsschutzklage war in der Vorinstanzen, unter anderem Landesarbeitsgericht Hamm (Az.: 2 Sa 192/17), erfolgreich. Das LAG urteilte, dass der Betreiber die Kündigung nicht auf die Auswertung der Videoaufnahmen stützen kann, da diese wegen der langen Dauer, einem Verwertungsverbot unterliegen. Das Beweisverwertungsverbot beruht zum einen auf datenschutzrechtlichen Aspekten und zum einem auf dem Verstoß gegen das Allgemeine Persönlichkeitsrecht. Die Daten hätten zum Zeitpunkt der Auswertung längst gelöscht sein müssen.
Dieser strengen Anwendung des Datenschutzrechts erteilte das BAG auf die Revision des Betreibers eine Absage. Das Urteil des LAG wurde aufgehoben und zur Entscheidung, unter Beachtung der Rechtsansicht des BAG, an das LAG zurückverwiesen. Das BAG begründete seine Entscheidung damit, dass der Betreiber einer Videoüberwachung die Daten ohne Anlass nicht sofort sichten muss. Es ist ausreichend, die gespeicherten Materialien erst auf Anlass zu untersuchen.
Zumindest die Pressemitteilung hat offen gelassen, wie lange Videomaterial schlussendlich gespeichert werden darf, ob in den Entscheidungsgründen Ausführungen dazu enthalten sind, bleibt abzuwarten.
Das Urteil ist nicht als Freibrief zu verstehen, Material aus Videoüberwachung jahrelang zu Speichern, um die Option offen zu lassen, irgendwann, wenn Anlass für eine Überprüfung besteht, eine Sichtung vorzunehmen. Eine Speicherdauer, die im Einklang mit den einschlägigen Gesetzen steht, sollte definiert und eingehalten werden.
8. Juni 2018
Auch wenn der Vorgesetzte es verlangt: Beschäftigte müssen ihre private Handynummer bei der Arbeit nicht mitteilen. Das hat das Thüringer Landesarbeitsgericht mit seinem Urteil vom 16.05.2018 entschieden.
Verhandelt wurde eine Klage von Mitarbeitern des kommunalen Gesundheitsamtes gegen den Landkreis Greiz. Der Kreis hatte die Bereitschaftszeiten neu organisiert und von seinen Beschäftigten verlangt, auch außerhalb der Dienstzeiten für die Rettungsleitstelle erreichbar zu sein. Zwei Mitarbeiter hatten sich dagegen zur Wehr gesetzt und nur ihre privaten Festnetznummern, nicht aber ihre Handynummern angegeben, was eine Abmahnung des Arbeitnehmers zur Folge hatte. Das Landesarbeitsgericht gab dem Kläger Recht und bestätigte damit ein Urteil des Arbeitsgerichts Gera von 2017. Nur unter besonderen Bedingungen und in engen Grenzen habe ein Arbeitgeber das Recht auf Kenntnis der privaten Handynummer eines Angestellten. Dies sei beispielsweise der Fall, wenn es keine andere Möglichkeit gebe, die Arbeitspflichten des Arbeitnehmers sinnvoll zu organisieren.
Eine Pflicht des Arbeitnehmers, stets die private Handynummer mitzuteilen, sei in der Regel ein nicht gerechtfertigter Eingriff in dessen Recht auf informationelle Selbstbestimmung.
Weiterhin heißt es im Urteil, eine Pflicht zur Bekanntgabe der privaten Mobilfunknummer greife besonders tief in die persönliche Sphäre des Arbeitnehmers ein. Der Arbeitnehmer könne sich aufgrund der ständigen Erreichbarkeit dem Arbeitgeber ohne Rechtfertigungsdruck nicht mehr entziehen und so nicht zur Ruhe kommen. Das gelte auch dann, wenn die Telefonnummer nur im Notfall verwendet werden soll. Entscheidend sei allein die potenzielle Erreichbarkeit.
Aus datenschutzrechtlicher Sicht ist hier entscheidend, ob die Datenverarbeitung tatsächlich zur Vertragserfüllung erforderlich ist. Der Arbeitgeber darf die Daten des Arbeitnehmers gemäß Art. 6 Absatz 1b DSGVO nur verarbeiten, soweit dies zur Vertragserfüllung notwendig ist. Dass zur Vertragserfüllung die private Handynummer des Mitarbeiters notwendig sein soll, dürfte auf wohl eher seltene Einzelfälle beschränkt bleiben. Arbeitgebern, die die private Handynummer ihrer Mitarbeiter nutzen wollen, müssten hierfür wohl eine eindeutige Einwilligung einholen.
7. Mai 2018
Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. „Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet“, sagte Datenschützerin Barbara Thiel.
Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.
Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.
Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.
20. März 2018
Das Interesse am Beschäftigtendatenschutz soll im Jahr 2017 erheblich gewachsen sein. So soll laut der Bremer Datenschutzbeauftragten, Imke Sommer, der Beschäftigtendatenschutz einen deutlich größeren Anteil der datenschutzrechtlichen Beschwerden in Bremen ausmachen. Nach dem Tätigkeitsbericht der Datenschutzbeauftragten weisen mittlerweile 20 % der Beschwerden einen Bezug zu Fragen des Beschäftigtendatenschutzes auf.
Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betrachtet den Beschäftigtendatenschutz als kommenden Tätigkeitsschwerpunkt im Bereich des Datenschutzrechts und hat deshalb einen Ratgeber für den Beschäftigtendatenschutz verfasst.
Unklar ist, ob das gewachsene Interesse in ein Beschäftigtendatenschutzgesetz erwächst. Zum aktuellen Zeitpunkt bestehen lediglich Forderungen nach einem Gesetz, jedoch kein Konsens dazu. Es bleibt abzuwarten, ob sich dies in der aktuellen Legislaturperiode ändert
29. Januar 2018
Seit Mai 2017 ist gesetzlich geregelt, dass die Bundespolizei kleine, am Körper getragene Kameras zum präventiven Schutz vor gewalttätigen Übergriffen einsetzen kann.
Hessen gilt als Vorreiter für den Einsatz von Bodycams. Dort werden die Bodycams vor allem in den sozialen Brennpunktgebieten eingesetzt. Die Gefilmten werden dabei ausdrücklich darauf hingewiesen, dass das Geschehen mitaufgezeichnet wird.
Kritisch beurteilt wird der Mitarbeiterdatenschutz hinsichtlich des Einsatzes der Bodycams.
Insbesondere betrifft es die Frage über die Zugriffsmöglichkeiten von Beurteilern und Disziplinarvorgesetzten auf die mitgeschnittenen Filme und die Frage der Anonymisierung bei Herausgabe an Dritte.
Die nordrhein-westfälische Polizei hat das Pilotprojekt aufgrund von Impraktikabilität und datenschutzrechtlichen Bedenken abgebrochen. Es müsse schon vorher geklärt werden, dass die Aufzeichnungen nicht zur Kontrolle der Polizeibeamten verwendet werden.
Es bleibt abzuwarten, wie die datenschutzrechtlichen Bedenken aufgelöst werden und dementsprechend der Einsatz von Bodycams verstärkt werden kann.
In seinem Urteil vom 16.05.2017 (AZ. 7 Sa 38/17) entschied das Landesarbeitsgericht Berlin-Brandenburg zu Gunsten des Arbeitgebers: Eine außerordentliche Kündigung des Arbeitsnehmers ist gerechtfertigt, wenn der Mitarbeiter nach durchgeführten Vertragsverhandlungen unmittelbar vor Abschluss eines Arbeitsvertrages mit einem Konkurrenten E-Mails mit betrieblichen Informationen in ungewöhnlichen Umfang an seinen privaten E-Mail-Account weiterleitet.
Das LAG sah in der Weiterleitung der E-Mails eine Verletzung der vertraglichen Rücksichtnahmepflicht aus § 241 Abs. 2 BGB. Der Mitarbeiter kann nicht ohne Einverständnis des Arbeitgebers sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu nutzen. Die schuldhafte Nebenpflichtverletzung stellt einen wichtigen Grund im Sinne von § 626 Abs. 1 BGB dar, sodass eine fristlose Kündigung gerechtfertigt sei.
Es stellt sich die Frage, ob eine Weiterleitung von dienstlichen E-Mails überhaupt an den privaten E-Mail-Account erlaubt ist. Eine Weiterleitung könnte grundsätzlich strafbewehrt sein, soweit es sich um Unterlagen, die dem Geschäfts- oder Betriebsgeheimnis unterliegen, handelt. Es handelt sich unter Umständen um die Herstellung einer Kopie gem. § 17 Abs. 2 Nr. 1b Gesetz gegen den unlauteren Wettbewerb (UWG). Mit der EU-Datenschutzgrunverordnung werden umfangreiche Dokumentations- und Nachweispflichten eingeführt, sodass jeder Zeit nachgewiesen werden muss, dass die Datenverarbeitung zulässig ist. Auch eine Weiterleitung stellt eine Verarbeitung dar und muss datenschutzrechtliche Vorgaben einhalten.
Entscheidend ist vor allem die dienstliche Notwendigkeit der Weiterleitung. Im vorliegenden Fall konnte der Mitarbeiter einen unternehmenseigenen Laptop für die Arbeit von zu Hause aus nutzen, dort hätte er auch die notwendigen Daten abspeichern können. Da viele Unternehmen eine private Nutzung von E-Mails oder Diensthandys ausschließen, spielen außerdem die Vorgaben im Arbeitsvertrag oder Betriebsvertrag eine entscheidende Rolle bei der Bewertung, ob eine Weiterleitung der E-Mails an notwendig ist.
3. Januar 2018
Spätestens seit der jüngsten Finanzkrise, die neben (betriebs-) wirtschaftlichen Fehleinschätzungen vor allem durch individuelles sowie kollektives Fehlverhalten (u.a. Manipulation von Referenzzinssätzen, Verstoß gegen Embargos) geprägt war, hat die innerbetriebliche Compliance-Funktion zunächst innerhalb der Finanzindustrie in nie dagewesenem Maße an Bedeutung hinzugewonnen. Auch in der Industrie hat man spätestens im Zuge der aktuellen Verfehlungen in der Automobilbranche erkannt, dass eine effektive Compliance-Funktion geradezu essentiell für den Fortbestand eines ganzen Konzerns sein kann.
Das den obigen Beispielen jeweils zugrundeliegende Fehlverhalten führte jedes Mal zu exorbitant hohen Strafzahlungen und nicht quantifizierbaren Reputationsschäden für die betroffenen Unternehmen. Vor diesem Hintergrund scheint es nicht verwunderlich, dass Unternehmen unterschiedlichster Größe und verschiedenster Branchen ihre Compliance-Abteilungen seitdem massiv auf- und ausbauen. Dabei geht es einer effektiven Compliance-Funktion vor allem darum, durch regelmäßige sowie anlassbezogene Kontrollen das Unternehmen vor Vermögensschäden durch rechtswidriges Verhalten seiner Mitarbeiter bzw. Kunden zu schützen. Dabei ist die Compliance-Abteilung naturgemäß daran interessiert, über möglichst weitreichende Zugangs-, Einsichts- und Auskunftsrechte zu verfügen.
Doch wie verträgt sich dieser grundsätzlich zu begrüßende Trend hin zu „mehr Compliance“ mit der ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu)?
Fest steht, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens geahndet werden können (Art. 83 Abs. 5 DSGVO). In Bezug auf den VW-Konzern mit einem Jahresumsatz in Höhe von rund 217 Mrd. Euro in 2016 würde dies ein Bußgeld von maximal rund 8,7 Mrd. Euro bedeuten. Hinzu kommen, wie auch im Falle gravierender Compliance-Verstöße, nicht quantifizierbare Reputationsschäden.
Klar ist auch, dass weder die Befolgung der jeweiligen einschlägigen Compliance-Verpflichtungen einen umfassenden Datenschutz verhindern, noch die Einhaltung der neuen Datenschutz-Normen eine effektive innerbetriebliche Compliance-Funktion unterbinden soll. Vielmehr sind diese beiden Interessen in einen angemessenen Ausgleich miteinander zu bringen. Allerdings wird sich nur in wenigen Fällen aus einer zugrundzulegenden Compliance-Vorschrift ergeben, welche Daten im Rahmen der Ausübung der Kontrollfunktion erhoben werden dürfen. Ungeachtet dessen, muss die weitere Verarbeitung grundsätzlich den Vorgaben aus der DSGVO sowie dem BDSG-neu entsprechen. Die Herausforderung für Unternehmen wird künftig also mehr denn je darin bestehen, weder gegen Compliance- noch gegen Datenschutzauflagen zu verstoßen.
Dementsprechend sollten sich Unternehmen bereits mit den drei folgenden Aspekten eingehend beschäftigt haben:
Überprüfung existierender Compliance-Maßnahmen
Der Überprüfung bereits implementierter Compliance-Maßnahmen kommt eine große Bedeutung zu, denn eine Art Bestandsschutz für bereits implementierte Kontrollpläne existiert in diesem Sinne nicht. Die Maßnahmen müssen künftig DSGVO- und BDSG-konform ausgestaltet sein. Daher ist zwingend zu prüfen, ob eine Anpassung an die neuen Regelungen erforderlich ist. Das Ergebnis der Prüfung sowie die ggf. vorgenommenen Anpassungen sind revisionssicher zu dokumentieren.
Abläufe bei künftigen Compliance-Maßnahmen (insb. Einbeziehung des Beauftragten für den Datenschutz)
Neben der Überprüfung und etwaigen Anpassung der bereits existierenden Kontrollpläne, ist ebenfalls die Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung künftiger Kontrollpläne sicherzustellen. Diesbezüglich erscheint es geboten, den Beauftragten für den Datenschutz in den Prozess der Erstellung jedes neuen Kontrollplanes mit einzubeziehen. Dies gilt umso mehr, wenn es sich bei der Compliance-Maßnahme nicht um eine regelmäßige Kontrolle, sondern um eine einzelfallbezogene außerordentliche Investigativ-Maßnahme handelt. Die Einbeziehung des Beauftragten für den Datenschutz selbst, aber auch die Art und Weise sind im Form von internen Richtlinien/Arbeitsanweisungen festzulegen.
Angemessene Ausstattung des Beauftragten für den Datenschutz
Vor allem mit Blick auf die neue potentielle Tragweite datenschutzrechtlicher Verstöße erscheint es doch sehr verwunderlich, warum eine Vielzahl von Unternehmen sich noch immer nicht ausreichend mit den Auswirkungen der DSGVO und des BDSG-neu auseinandergesetzt zu haben scheint. Wie oben bereits gezeigt, werden die möglichen Bußgelder sowie Reputationsschäden bei mangelndem Datenschutz den Sanktionen im Compliance-Bereich künftig in keiner Weise mehr nachstehen. Dementsprechend und auch um einer Haftung aus § 130 Abs. 1 OWiG zu begegnen sollte zeitnah überprüft werden, ob die Ausstattung des Beauftragten für den Datenschutz vor dem Hintergrund der gestiegenen Anforderungen noch als dem Risiko angemessen erscheint.
14. Dezember 2017
Ein neues Logistikzentrum von Amazon ist ins Blickfeld der niedersächsischen Datenschutzbeauftragten gerückt. Das Zentrum des Online-Händlers in Winsen/Luhe soll von der niedersächsischen Datenschutzbeauftragten Barbara Thiel überprüft werden.
Das Kontrollverfahren soll bereits angelaufen sein. Bereits zum aktuellen Zeitpunkt soll Amazon ein Fragenkatalog vorliegen, auf den bis zum Jahresende geantwortet werden muss.
Laut dem Magazin Panorama 3 des NDR, besteht ein Verdacht auf Datenschutzverstöße durch das genannte Logistikzentrum des Konzerns, das erst im Sommer den Betrieb aufgenommen hat. In der Kritik steht, dass der Konzern die Leistungen und Arbeitsweise seiner Mitarbeiter ohne Ausnahme erfassen soll. Dafür sollen insbesondere Kameras verwendet werden, die zu diesem Zweck in Räumlichkeiten mit Spinden und anderen Räumen installiert wurden.
Laut Jens Thurow, Mitarbeiter der Pressestelle der Datenschutzbeauftragten, will Barbara Thiel diesen aufgekommenen Verdacht prüfen.
Laut Amazon gebe es keine Datenschutzverstöße. Sprecher des Konzerns verweisen darauf, dass in der Vergangenheit bereits mehrfach die, in Verdacht stehenden, Systeme geprüft wurden. Die genannten Kameras sollen danach nur den Schutz der Mitarbeiter bezwecken. Zudem verweisen die Sprecher darauf, dass nicht alle Räume mit Kameras versehen wurden. Die Leistungsüberwachung werde dagegen gar nicht durchgeführt.
18. Oktober 2017
Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.
Die Datenschutzbehörden warnen davor, Daten zu einer „rein wirtschaftlichen Größe“ zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort „Datensouveräntität“ zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und „integraler und förderlicher Bestandteil“ von Fortschritt in Politik, Wirtschaft und Gesellschaft.
Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.
Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei „in all ihren Ausprägungen auf den Prüfstand zu stellen“.
