Kategorie: Beschäftigtendatenschutz
5. September 2017
Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am Dienstag ein möglicherweise richtungsweisendes Urteil zur Privatnutzung von dienstlichem Email-Account und Internetzugang gesprochen.
Geklagt hatte ein rumänischer Ingenieur, der von seinem Arbeitgeber wegen der privaten Nutzung der dienstlichen IT-Infrastruktur gekündigt worden war. Nach zwei erstinzanzlichen Niederlagen in Rumänien und vor der kleinen Kammer des EGMR entschieden nach jeweiliger Berufung nun final die 17 Richter der großen Kammer des EGMR zugunsten des Klägers. Danach bedeutet die Überwachung der elektronischen Kommunikation eines Arbeitnehmers eine Verletzung seiner Privatsphäre.
Konsequenz dessen muss daher für Unternehmen sein, nachhaltig feste Regelungen für die Privatnutzung zu installieren, um sich nicht der Kontrollmöglichkeiten zu berauben. Hierzu wird im besten Fall eine umfassende Betreibsvereinbarung, jedoch mindestens eine ebensolche Dienstanweisung installiert und zudem regelmäßige Kontrollen durchgeführt.
11. August 2017
Das Bundesarbeitsgericht (BAG) hat kürzlich ein mit Spannung erwartetes Urteil (Az.: 2 AZR 681/16) zum Beschäftigtendatenschutz gefällt.
Das BAG musste sich mit der Kündigung eines Web-Entwicklers befassen, dem wegen eines vermuteten Arbeitszeitbetrugs durch seinen Arbeitgeber gekündigt wurde.
Die Vermutung beruhte auf einer Keylogger-Software die auf dem Dienst-PC des Gekündigten installiert war und dauerhaft sämtliche Tastatureingaben aufzeichnete und in regelmäßigen Abständen Screenshots von dem Bildschirm gemacht hat. Dadurch kam nach einer Auswertung der erstellten Daten der Verdacht auf, ein Gespräch mit dem Arbeitnehmer folgte und bestätigte die Daten. Daraufhin wurde der Web-Entwickler außerordentlich fristlos, hilfsweise ordentlich gekündigt.
Gegen die auf dieser Grundlage ausgesprochene Kündigung ging der Arbeitnehmer vor Gericht. In dem Kündigungsschutzverfahren konnte der Arbeitgeber die Pflichtverletzung des Arbeitszeitbetrugs dann allerdings nicht mehr nachweisen. Das BAG erklärte die aufgezeichneten Daten von der Keylogger-Software, wegen Verstoßes gegen das Datenschutzrecht, für unverwertbar. Es liegt ein Verstoß gegen § 32 Bundesdatenschutzgesetz (BDSG) vor. Die Software wurde ohne Verdacht auf Arbeitszeitbetrug ins Blaue hinein auf dem PC des Arbeitnehmers installiert.
Das BAG bestätigt damit die vorinstanzlichen Entscheidungen. Datenschutzwidrige Beweise sind vor den Gerichten nicht verwertbar.
Grundsätzlich lässt sich festhalten, dass der Einsatz einer solchen Keylogger-Software nicht illegal ist, allerdings braucht es zumindest bereits einen begründeten Verdacht einer Straftat oder sonstigen schwerwiegenden Pflichtverletzung. Somit ist die Verwendung nur in Ausnahmefällen datenschutzrechtlich unbedenklich.
31. Juli 2017
Das Bundesarbeitsgericht hat mit Urteil vom 27.07.17 entschieden, dass die verdeckte Überwachung eines Arbeitnehmers mittels Keylogger-Software gemäß § 32 Abs. 1 Bundesdatenschutzgesetz (BDSG) unzulässig ist, solange kein hinreichend konkreter Verdacht einer Straftat oder einer anderen schweren Straftat besteht. (vgl. BAG, Urt. v. 27.03.2003 Az. 2 AZR 51/02)
In dem konkreten Fall hatte ein Arbeitnehmer gegen die außerordentliche, fristlose Kündigung seines Arbeitgebers geklagt. Dieser hatte auf den PCs seiner Mitarbeiter Keylogger installiert, die das Verhalten der Angestellten kontrollierte, indem alle Tastatureingaben protokolliert, sowie regelmäßig Screenshots angefertigt wurden. Hierdurch kam zum Vorschein, dass der betroffene Mitarbeiter den PC, während seiner Anwesenheit, mehrere Stunden außerdienstlich genutzt hatte, um unter anderem ein Computerspiel zu programmieren, darüber hinaus hatte er täglich Aufträge des Unternehmens seines Vaters bearbeitet.
Bereits das Landesarbeitsgericht Hamm hatte in der Vorinstanz entschieden, dass der Einsatz von Keylogger Software unverhältnismäßig sei, da es beispielsweise auch möglich gewesen wäre, den Computer in Anwesenheit des Angestellten zu durchsuchen bzw. zu kontrollieren. Das BAG bestätigte das Urteil und entschied, dass es durch den Einsatz der Software zu einem Eingriff in das informationelle Selbstbestimmungsrecht des Angestellten gekommen sei.
Der Verstoß des Arbeitgebers gegen § 32 BDSG führt zu einem Verwertungsverbot. Eine Überwachung des Mitarbeiters war nach § 32 Abs. 1 BDSG nicht zulässig gewesen, da kein auf konkreten Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung bestand.
28. Juli 2017
Microsoft Office 365 kann auch in der Cloud betrieben werden. Und genau dies macht die Einführung dieses Systems im Unternehmen spannend wie auch datenschutzrechtlich kompliziert. Dies geht zurück auf aktuelle Praxisprobleme rund um die Cloud, insbesondere aus datenschutzrechtlicher Sicht. Hier ist noch eine Menge in Bewegung. Vor allem ist bereits jetzt abzuschätzen, dass die Rechtslage durch die DSGVO noch weiter an Komplexität zunehmen wird. Mit Microsoft Office 365 ist es jedenfalls möglich nicht nur alle Dokumente, sondern auch Telefonverbindungen, Termine, Emails usw. in die Cloud zu übertragen.
Dadurch wird möglich, dass alle Mitarbeiter auf alle Daten zugreifen und von überall auch bearbeiten können. So schön das auch klingt, ist der Datenschutz dabei nicht zu vernachlässigen. Denn möglich ist eben auch eine fast vollständige Überwachung der Mitarbeiter, so dass dem Begriff der Leistungskontrolle dadurch eine völlig neue Tragweite zukommt. Der Arbeitgeber kann nämlich beispielsweise nachvollziehen, wer wie lange an einem Dokument gearbeitet hat oder wer, wem, wie lange eine Email geschrieben hat. Ausgeschlossen ist überdies nicht, dass Daten miteinander verknüpft werden können. Auf diese Weise können aussagekräftige Bewegungsprofile des Mitarbeiters erstellt werden.
Aus Sicht der Unternehmen geht es freilich um wertvolle Informationen, wollen sie herausfinden wie viel ein Mitarbeiter leisten kann, um daraus wiederum Leistungsvorgaben definieren zu können. Gerade diese Vor- und Nachteile je nach einzunehmender Sichtweise, macht es erforderlich, dass der Betriebsrat die Einführung von Microsoft Office 365 bestätigt. Insofern hat der Betriebsrat hier ein Mitbestimmungsrecht.
- 87 Betriebsverfassungsgesetz
(„1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen (…)
6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (…)“
Dieses Recht sichert letztlich das Persönlichkeitsrecht der Mitarbeiter und ist somit eng verbunden mit dem Datenschutzrecht, da das Persönlichkeitsrecht hier wegen der unfreiwilligen Preisgabe personenbezogener Daten der Mitarbeiter verletzt werden kann.
Im Rahmen der Betriebsvereinbarung kommt es maßgeblich darauf an, darauf zu achten, dass insbesondere die IT-Sicherheit gewährleistet ist. Daneben müssen Mitarbeiter darüber informiert werden, welche Daten von ihnen erhoben, verarbeitet und genutzt werden.
27. März 2017
Das Landesarbeitsgericht Hamburg (LAG) hatte zu entscheiden, ob der datenschutzrechtliche Kündigungsschutz auch für den stellvertretenden Datenschutzbeauftragten gilt.
Geklagt hatte ein stellvertretender Datenschutzbeauftragter gegen die gegen ihn ausgesprochene Kündigung. Erstinstanzlich hatte er bereits gegen seinen ehemaligen Arbeitgeber vor dem Arbeitsgericht Hamburg (AG) obsiegt. Dieses Urteil bestätigte das LAG.
Der Kläger war als stellvertretender Datenschutzbeauftragter in dem beklagten Unternehmen bestellt, weil der eigentlich bestellte Datenschutzbeauftragte aus Krankheitsgründen seiner Tätigkeit nicht nachkommen konnte. Trotz dieser kündigungstechnischen Sonderstellung wurde dem Kläger gekündigt. Dieser berief sich auf die Schutzvorschrift des § 4f Bundesdatenschutzgesetz (BDSG) und war der Ansicht die Kündigung sei unwirksam. Der Arbeitgeber hielt den § 4f BDSG für nicht anwendbar.
Anderer Ansicht sind die entscheidenden Gerichte. Sowohl das Arbeitsgericht Hamburg als auch das Landesarbeitsgericht Hamburg halten den § 4f BDSG auch für den stellverstretenden Datenschutzbeauftragten für anwendbar.
Als Begründung führte das LAG an, dass nur aus dem Grund, dass es keine eigenen Regelungen für den Stellvertreter gibt, nicht geschlussfolgert werden kann, dass die genannte Norm für diesen nicht gilt. Es ist interessengerecht, dass auch der Stellvertreter in den Genuss der kündigungsrechtlichen Schutzregelungen des BDSG kommt. Das LAG tätigte aber eine wichtige Einschränkung. Der Kündigungsschutz soll jedenfalls dann auch für den Stellvertreter gelten, wenn er, wie vorliegend, die tatsächliche Arbeit eines Datenschutzbeauftragten aus beispielsweise Krankheitsgründen übernehmen muss.
10. März 2017
Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.
Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.
So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.
Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.
Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es “höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz” sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.
28. Februar 2017
Die zunehmende Digitalisierung macht auch vor der Arbeitswelt nicht halt: Fälle, in denen durch die Digitalisierung Indizien und Beweise für einen Kündigungsprozess geliefert wurden, werden nach Angaben der Gerichtspräsidentin des Bundesarbeitsgerichts (BAG) in Erfurt weiter zunehmen. In diesem Jahr sei mit mehreren Entscheidungen des höchsten deutschen Arbeitsgerichts zu rechnen, in denen die potenzielle Mitarbeiterkontrolle eine Rolle spielt.
Im Fokus werden dabei u. a. der Abruf dienstlicher E-Mails in der Freizeit stehen, aber auch der Einsatz von sog. Keyloggern, also Software, mit deren Hilfe sich Eingaben eines Arbeitnehmers an seiner Computertastatur protokollieren lassen. Häufig steht in Frage, inwieweit derlei Daten bei Kündigungsprozessen eine Rolle spielen dürfen.
Einen sehr interessanten Fall entschied das BAG bereits im vergangenen Herbst: Sofern kein milderes Mittel zur Aufklärung eines gegen Beschäftigte bestehenden Verdachts einer Straftat zur Verfügung steht, als eine verdeckte Videoüberwachung, die andere Arbeitnehmer miterfasst, ist nach § 32 Abs. 1 Satz 2 Bundesdatenschutzgesetz (BDSG) der Eingriff auch in deren allgemeines Persönlichkeitsrecht gerechtfertigt.
14. Dezember 2016
Nicht selten reicht das gegenseitige Vertrauen unter Kollegen im Unternehmensalltag so weit, dass diese sich den Zugriff auf das persönliche E-Mail Postfach durch Weitergabe ihrer persönlichen Zugangsdaten untereinander gestatten. So positiv und produktiv das kollegiale Miteinander im Hinblick auf den Arbeitsalltag auch erscheinen mag, desto negativer können die Konsequenzen der Weitergabe dieser personenbezogenen Zugangsdaten für den betroffenen Kollegen ausfallen. Denn Folge dieser Weitergabepraxis ist nicht selten der mit den Zugangsdaten betriebene Missbrauch, der letztendlich zu einem Kontrollverlust über das eigene personengebundene E-Mail Postfach führt.
So kann der betroffene Kollege grundsätzlich nicht davor bewahrt werden, sich strafbar zu machen.
Zwar wird eine Verletzung des Fernmeldegeheimnisses, welches grundsätzlich den Übertragungsvorgang der E-Mails schützt, nach den § 206 Abs. 1 StGB bzw. § 88 TKG bestraft. Da der Arbeitgeber und seine Mitarbeiter gegenüber den Kommunikationspartnern aber keine geschäftlichen Telekommunikationsdienste nach § 88 TKG erbringen, ist eine Verletzung des Fernmeldegeheinnisses, das demnach nur zwischen dem Arbeitgeber und dem Arbeitnehmer Anwendung findet, ausgeschlossen.
Der betroffene Kollege muss aber mit einer Ordnungswidrigkeit nach § 43 Abs. 2 Bundesdatenschutzgesetz (BDSG) oder einer Strafbarkeit nach § 43 Abs. 2 i.V.m. § 44 BDSG rechnen. Denn personenbezogene Daten wie der Name oder die E-Mail-Adresse, die nicht allgemein zugänglich sind, dürfen nicht unbefugt erhoben, verarbeitet oder zum Abruf durch automatisierte Verfahren bereitgehalten werden, § 43 Abs. 2 Nr. 1 und Nr. 2 BDSG.
25. November 2016
Wie die Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.) berichtet, hat das Bundesministerium des Inneren diese Woche einen Gesetzesentwurf zur Anpassung des nationalen Datenschutzrechts den Verbänden vorgelegt.
Der Gesetzesentwurf berücksichtigt die ab dem 25.05.2018 geltenden Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO). Die DS-GVO enthält unter anderem sogenannte „Öffnungsklauseln“, die die EU-Mitgliedsstaaten ermächtigt bestimmte Sachverhalte in nationalen Gesetzen zu regeln. Hierzu gehört beispielsweise der Beschäftigtendatenschutz, der mangels Gesetzgebungskompetenz nicht von der EU, sondern von den Mitgliedsstaaten zu regeln ist.
Wie sich aus dem vorliegenden Gesetzesentwurf ergibt, wird unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen erhalten bleiben. Außerdem konkretisiert der Gesetzesentwurf die europarechtlichen Transparenzpflichten sowie die Rechte der Betroffenen.
Nun gilt es, die Rückmeldung der Verbände abzuwarten, so dass das Gesetzgebungsverfahren weiter fortschreiten kann.
4. August 2016
Die Art und Weise der Nutzung der dienstlichen Telekommunikationsinfrastruktur ist ein datenschutzrechtlich stets sensibel zu regelndes Datenschutzthema. Noch brisanter wird die Thematik dann, wenn derartige Gespäche aufgezeichnet werden. Die Thüringer Polizei, in Person eines ehemaligen Verantwortlichen des Innenministeriums, geriet nun in den Fokus der Staatsanwaltschaft Erfurt, da sie nach ersten Erkenntnissen diese Probelmatik final verschärfte, indem solche Aufzeichnungen seit 1999 auf bestimmten Apparaten ohne das Wissen der Gesprächsteilnehmer durchgeführt wurden. Zwar seien die Aufzeichnungen stets nach 180 Tagen gelöscht und auch nur durch administrative Mitarbeiter zur Kenntnis genommen worden, jedoch wurden hierzu Vermerke angefertigt, aus denen sich Rückschlüsse auf die Gesprächsinhalte ziehen ließen. Mittlerweile sei das Vorgehen, nach Kritik eines seit Anfang Juli 2016 eingestellt worden. Die Ermittlungen der Staatsanwaltschaft basieren auf dem Fehlen einer für ein derartiger Vorgehen gesetzlich vorgeschriebenen richterlichen Ermächtigungsgrundlage in Form einer Anordnung. Erste Ergebnisse stehen noch aus.
