Kategorie: Beschäftigtendatenschutz
14. Dezember 2016
Nicht selten reicht das gegenseitige Vertrauen unter Kollegen im Unternehmensalltag so weit, dass diese sich den Zugriff auf das persönliche E-Mail Postfach durch Weitergabe ihrer persönlichen Zugangsdaten untereinander gestatten. So positiv und produktiv das kollegiale Miteinander im Hinblick auf den Arbeitsalltag auch erscheinen mag, desto negativer können die Konsequenzen der Weitergabe dieser personenbezogenen Zugangsdaten für den betroffenen Kollegen ausfallen. Denn Folge dieser Weitergabepraxis ist nicht selten der mit den Zugangsdaten betriebene Missbrauch, der letztendlich zu einem Kontrollverlust über das eigene personengebundene E-Mail Postfach führt.
So kann der betroffene Kollege grundsätzlich nicht davor bewahrt werden, sich strafbar zu machen.
Zwar wird eine Verletzung des Fernmeldegeheimnisses, welches grundsätzlich den Übertragungsvorgang der E-Mails schützt, nach den § 206 Abs. 1 StGB bzw. § 88 TKG bestraft. Da der Arbeitgeber und seine Mitarbeiter gegenüber den Kommunikationspartnern aber keine geschäftlichen Telekommunikationsdienste nach § 88 TKG erbringen, ist eine Verletzung des Fernmeldegeheinnisses, das demnach nur zwischen dem Arbeitgeber und dem Arbeitnehmer Anwendung findet, ausgeschlossen.
Der betroffene Kollege muss aber mit einer Ordnungswidrigkeit nach § 43 Abs. 2 Bundesdatenschutzgesetz (BDSG) oder einer Strafbarkeit nach § 43 Abs. 2 i.V.m. § 44 BDSG rechnen. Denn personenbezogene Daten wie der Name oder die E-Mail-Adresse, die nicht allgemein zugänglich sind, dürfen nicht unbefugt erhoben, verarbeitet oder zum Abruf durch automatisierte Verfahren bereitgehalten werden, § 43 Abs. 2 Nr. 1 und Nr. 2 BDSG.
25. November 2016
Wie die Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.) berichtet, hat das Bundesministerium des Inneren diese Woche einen Gesetzesentwurf zur Anpassung des nationalen Datenschutzrechts den Verbänden vorgelegt.
Der Gesetzesentwurf berücksichtigt die ab dem 25.05.2018 geltenden Regelungen der EU-Datenschutz-Grundverordnung (DS-GVO). Die DS-GVO enthält unter anderem sogenannte „Öffnungsklauseln“, die die EU-Mitgliedsstaaten ermächtigt bestimmte Sachverhalte in nationalen Gesetzen zu regeln. Hierzu gehört beispielsweise der Beschäftigtendatenschutz, der mangels Gesetzgebungskompetenz nicht von der EU, sondern von den Mitgliedsstaaten zu regeln ist.
Wie sich aus dem vorliegenden Gesetzesentwurf ergibt, wird unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen erhalten bleiben. Außerdem konkretisiert der Gesetzesentwurf die europarechtlichen Transparenzpflichten sowie die Rechte der Betroffenen.
Nun gilt es, die Rückmeldung der Verbände abzuwarten, so dass das Gesetzgebungsverfahren weiter fortschreiten kann.
4. August 2016
Die Art und Weise der Nutzung der dienstlichen Telekommunikationsinfrastruktur ist ein datenschutzrechtlich stets sensibel zu regelndes Datenschutzthema. Noch brisanter wird die Thematik dann, wenn derartige Gespäche aufgezeichnet werden. Die Thüringer Polizei, in Person eines ehemaligen Verantwortlichen des Innenministeriums, geriet nun in den Fokus der Staatsanwaltschaft Erfurt, da sie nach ersten Erkenntnissen diese Probelmatik final verschärfte, indem solche Aufzeichnungen seit 1999 auf bestimmten Apparaten ohne das Wissen der Gesprächsteilnehmer durchgeführt wurden. Zwar seien die Aufzeichnungen stets nach 180 Tagen gelöscht und auch nur durch administrative Mitarbeiter zur Kenntnis genommen worden, jedoch wurden hierzu Vermerke angefertigt, aus denen sich Rückschlüsse auf die Gesprächsinhalte ziehen ließen. Mittlerweile sei das Vorgehen, nach Kritik eines seit Anfang Juli 2016 eingestellt worden. Die Ermittlungen der Staatsanwaltschaft basieren auf dem Fehlen einer für ein derartiger Vorgehen gesetzlich vorgeschriebenen richterlichen Ermächtigungsgrundlage in Form einer Anordnung. Erste Ergebnisse stehen noch aus.
21. Juli 2016
Wie das Oberverwaltungsgericht Berlin-Brandenburg entschieden hat (Urt. v. 14.07.2016 Az. OVG 12 B 24.15), besteht keine Pflicht für Gerichte dienstliche Telefonnummern und E-Mailadressen der bei ihnen tätigen Richter öffentlich zu machen.
Das OVG stellt damit klar, dass der Auskunftsanspruch des Berliner Informationsfreiheitsgesetzes sich nicht auf Gerichte erstreckt, sofern diese nicht Verwaltungsaufgeben wahrnehmen. Zweck des Informationsfreiheitsgesetzes ist das in Akten festgehaltene Wissen und Handeln öffentlicher Stellen unter Wahrung des Schutzes personenbezogener Daten unmittelbar der Allgemeinheit zugänglich zu machen. Dies fördert die demokratischen Meinungs- und Willensbildung und ermöglicht eine Kontrolle des staatlichen Handelns.
Angaben zu Richtern als Organe der rechtsprechenden Gewalt gehören jedoch nicht zu veröffentlichten Informationen. Etwas anderes gilt jedoch, wenn der betroffene Richter seine Einwilligung in Veröffentlichung seiner Kontaktdaten erklärt hat.
18. Februar 2016
Zwischendurch auf der Arbeit schnell nach einem neuen Urlaubsziel suchen oder die Filmstarts der Woche recherchieren – die private Nutzung des Internets auf der Arbeit ist inzwischen üblich und für viele selbstverständlich. Dass das Thema “private Nutzung der dienstlichen IT am Arbeitsplatz” kein einfaches Thema ist und sowohl Arbeitgeber als auch Gerichte immer wieder beschäftigt, zeigen verschiedene Urteile der letzten Zeit.
Wie beck-aktuell berichtet, hat sich nun erneut ein Gericht mit dem Thema beschäftigt, diesmal das LAG Berlin-Brandenburg. Es hat am 14. Januar 2016 entschieden, dass der Arbeitgeber nicht nur den Browserverlauf seines Arbeitnehmers einsehen, sondern die gefundenen Ergebnisse auch als Grundlage der folgenden Kündigung nutzen darf. Anders als oft üblich, hatte der Arbeitgeber dem Arbeitnehmer den Arbeitscomputer ausschließlich zu dienstlichen Zwecken überlassen.
Nach Auffassung des LAG handele es sich hinsichtlich des Browserverlaufs zwar um personenbezogene Daten, in deren Kontrolle der Arbeitnehmer nicht eingewilligt habe. Eine Verwertung der Daten sei jedoch statthaft, weil das Bundesdatenschutzgesetz eine Speicherung und Auswertung des Browserverlaufs zur Missbrauchskontrolle auch ohne eine derartige Einwilligung erlaube und der Arbeitgeber im vorliegenden Fall keine Möglichkeit gehabt habe, mit anderen Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen.
Das LAG Berlin-Brandenburg hat die Revision beim BAG zugelassen. Wir bleiben gespannt, wie dieses entscheiden wird.
Zum Thema “Überwachung am Arbeitsplatz” empfehlen wir auch die Orientierungshilfe der Datenschutzbehörden des Bundes und der Länder, über die ebenfalls hier im Blog berichtet wurde.
20. Januar 2016
Für geschäftliche Korrespondenz konstituieren handels- und steuerrechtliche Vorschriften eine Pflicht zur Aufbewahrung. Da Emails regelmäßig der Vorbereitung, Durchführung bzw. dem Abschluss oder der Rückgängigmachung von Handelsgeschäften dienen, sind sie als Handelsbriefe zu qualifizieren. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Die Frist, welche am jeweils am Jahresende des Jahres des Versandes/Empfangs der Email zu laufen beginnt, beträgt sechs Jahre. Für Buchungsbelege, Bilanzen und weitere Dokumente besteht sogar eine Aufbewahrungspflicht von zehn Jahren.
Diese Vorgaben in der Praxis für Emails umzusetzen ist – auf den ersten Blick – für Unternehmen dank automatischer Email-Archivierung technisch einfach umzusetzen, Speicherplatz ist dabei regelmäßig kein relevanter Kostenfaktor mehr. Betrachtet man die typische Korrespondenz, die in der Geschäftswelt per Email abgewickelt wird, jedoch genauer, so fällt auf, dass längst nicht alle Kommunikation in die o.g. Kategorien fällt. Dem Grundsatz der Datensparsamkeit folgend, besteht für solche Emails, für deren Aufbewahrung es keine gesetzliche Verpflichtung oder sonstige Rechtfertigung gibt, eine Pflicht zum Löschen.
Insbesondere im Bewerbungsprozess kommen die handels- und steuerrechtlichen Archivierungsfristen nicht zum Tragen. Wer sich heute auf eine Stelle bewirbt, tut dies regelmäßig per Email. Typischerweise wird hierzu ein gesondertes Postfach, z.B. jobs@…, verwendet. Gerne verteilt sich eine Bewerbung dann, ausgehend von der Personalabteilung, sternförmig im Unternehmen in die relevanten Abteilungen. Spätestens an dieser Stelle wird es faktisch unmöglich, eine Löschung umzusetzen. Sofern es nicht zur Eingehung eines Arbeitsverhältnisses kommt, besteht grundsätzlich noch die Möglichkeit des Klageverfahrens nach dem Allgemeinen Gleichstellungsgesetz (AGG). Anerkannt ist deshalb, dass zumindest für den Zeitraum von sechs Monaten eine Aufbewahrung noch zulässig ist, um ein arbeitsgerichtliches Verfahren bestreiten zu können. Danach folgt aus dem Recht auf informationelle Selbstbestimmung des Bewerbers die Verpflichtung, seine personenbezogenen Daten zu löschen.
Für das jobs@…-Postfach lässt sich dies noch durch eine automatische Löschung und eine Ausnahme von der Backup-Routine umsetzen. In den Postfächern der Abteilungen, in die die Bewerbung weitergeleitet wurde, ist das jedoch nicht mehr der Fall. Hier werden der Lebenslauf und die Bewerbung und alle weiteren Unterlagen dann wie sämtliche sonstige Korrespondenz archiviert.
Lösungsansätze
Viele Unternehmen entscheiden sich auch vor diesem Hintergrund zur Lösung über eigene oder fremd gehostete Bewerbungsplattformen. Bei diesen kann eine gesetzeskonforme Löschung regelmäßig umgesetzt werden, da nicht auf das Emailsystem zurückgegriffen wird.
Gerade für kleinere Unternehmen sind solche Lösungen auch aus Kostengründen regelmäßig jedoch uninteressant.
Aber auch mit „Bordmitteln“ lassen sich Prozesse entwickeln, die dem Datenschutz genügen. Neben einem Funktionspostfach (jobs@…), welches von der normalen Backup-Routine ausgenommen wird, und aus welchem Bewerbungen nach sechs Monaten gelöscht werden, sollten Bewerberdaten nicht intern per Email weitergeleitet werden. Vielmehr sollten die Bewerberdaten auf einem Laufwerk abgelegt werden, für welches wiederum eine fristgemäße Löschung implementiert ist. Die einzelnen Abteilungen bzw. Entscheider erhalten dann nur noch einen Zugriff auf die entsprechende Dateien.
Auch ohne kostspielige Tools lässt sich der Bewerberdatenschutz also gewährleisten. Allerdings müssen sich Unternehmen mit dieser Thematik befassen und aktiv Prozesse anstoßen. Die Belegschaft ist für die meisten Unternehmen heute das wichtigste Kapital, die Gewährleistung des Datenschutzes sollte, auch wegen der hohen Außenwirkung der Thematik, hohe Priorität haben.
7. Januar 2016
Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.
27. Oktober 2015
Lange Zeit wurde nahezu einhellig vertreten, dass Einwilligungserklärungen im Arbeitsverhältnis den Umgang mit Beschäftigtendaten nicht oder nur in speziellen Fällen legitimieren können. Hintergrund dieser Auslegung ist/war, dass § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) als Wirksamkeitsvoraussetzung einer Einwilligungserklärung vorgibt, dass diese auf der freien Entscheidung des Betroffenen beruht. Ob ein Beschäftigter im Rahmen seiner beruflichen Tätigkeit in der Tat frei entscheiden kann, wird/wurde wegen seines Abhängigkeitsverhältnisses oftmals zu Recht bezweifelt bzw. sogar auch grundsätzlich abgelehnt.
Insoweit stellt die Wertung des Bundesarbeitsgerichts (BAG), dass in einer Entscheidung zur Veröffentlichung von Videoaufnahmen eines Beschäftigten feststellte, dass auch im Arbeitsverhältnis eine freie Entscheidung der Beschäftigten im Hinblick auf die Ausübung des Rechts auf informationelle Selbstbestimmung möglich ist, eine Kehrtwendung dar. Der freien Entscheidung eines Beschäftigten stehen – so das Gericht – weder das einem Beschäftigtenverhältnis immanente Abhängigkeitsverhältnis noch ein bestehendes Weisungsrecht des Arbeitgebers entgegen.
Eine Einwilligungserklärung kommt somit als Legitimationsgrundlage im Beschäftigtenverhältnis grundsätzlich in Betracht. Erforderlich ist dafür jedoch (selbstverständlich), dass die übrigen Anforderungen aus dem BDSG einhalten werden. So muss der Beschäftigte genau wissen, welchen Umgang mit seinen personenbezogenen Daten er bestätigt. Die Einwilligung ist dementsprechend transparent und konkret zu gestalten. Ihm sollte darüber hinaus dargelegt werden, dass die Einwilligungserklärung stets mit Wirkung für die Zukunft widerrufen werden kann und die Nichtabgabe der Einwilligungserklärung sowie ein Widerruf keine negativen Auswirkungen auf das Beschäftigtenverhältnis haben. Auch gilt der Grundsatz der Schriftform, wenn nicht besondere Umstände ein Abweichen von der Schriftform rechtfertigen.
Bevor vorschnell der Weg über eine Einwilligungserklärung gewählt wird, sollte unternehmensseitig stets geprüft werden, ob nicht bereits eine (vorrangige) gesetzliche Rechtfertigung für den geplanten Umgang mit Beschäftigtendaten vorliegt. Dann wäre ein Rückgriff auf die Einholung von Einwilligungserklärungen nicht ratsam und in Einzelfällen sogar schädlich. Zudem sollte geprüft werden, ob es sich um einen mitbestimmungspflichtigen Sachverhalt handelt und eine Betriebsvereinbarung die Einholung von individuellen Einwilligungserklärungen ggf. ersetzen kann.
16. Juli 2015
Das im August 2014 in Kraft getretene Mindestlohngesetz (MiLoG) verpflichtet seit 1.1.2015 Arbeitgeber in Deutschland, einen flächendeckenden, branchenunabhängigen gesetzlichen Mindestlohn zu zahlen. Diese kontrovers diskutierte Neuerung hat sich auch in der täglichen Beratung zum Datenschutz bemerkbar gemacht. Durch § 13 MiLoG i.V.m. § 14 Arbeitnehmer-Entsendegesetz (AEntG) ergibt sich nun nämlich eine Pflicht des Auftraggebers, die Einhaltung des Mindestlohns auch bei seinen Dienstleistern und deren Subunternehmern zu überwachen und für deren Einhaltung letztlich auch im Rahmen der Generalunternehmerhaftung zu haften. In der Praxis geschieht dies z.T. dadurch, dass Auftraggeber ihre Auftragnehmer auffordern, ihre komplette Lohnbuchhaltung offenzulegen.
Diese Praxis dürfte über das Ziel von § 13 MiLog, § 14 AEntG hinausschießen und aus datenschutzrechtlicher Sicht jedenfalls zu beanstanden sein. Aus dem Gesetz ergibt sich nämlich weder die Pflicht des Auftragegbers in die Lohnbuchhaltung Einsicht zu nehmen noch die Pflicht des Auftraggebers, diese offen zu legen. Ein Auftragnehmer, der einer enstprechenden Aufforderung folgt, setzt sich hier dem Risiko eines Datenschutzverstoßes aus. Diese Problematik ist mittlerweile auch durch die Landesdatenschutzbeauftragten erkannt worden, welche auf ihrer 89. Jahrestagung in Wiesbaden bereits den Bundesgesetzgeber aufgefordert haben, die datenschutzrechtlichen Belange bei der Überwachung des Mindestlohnes stärker als bisher zu beachten. Auch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein warnt davor, Informationen zu Familienstand, Steuerklasse, Geburtsdatum, Privatanschrift von Beschäftigten oder gar deren Konfessionzugehörigkeit zu offenbaren (bei letzterer handelt es sich sogar um ein sog. besonderes personenbezogenes Datum i.S.v. § 3 Abs. 9 BDSG).
Unternehmen die sich derartigen Forderungen ihrer Auftraggeber ausgesetzt sehen, tun gut daran, nicht auf diese einzugehen. Das Gesetz fordert bei genauer Betrachtung derartige Offenbarungen auch nicht. Vielmehr dürfte ein Unternehmer seiner Überwachungspflicht in der Regel dadurch gerecht werden, dass er sich von seinem Auftragnehmer vertraglich unter Aufnahme einer Vertragsstrafenregelung zusichern lässt, dass der Mindestlohn gezahlt wird. Hinsichtlich etwaiger Subunternehmer ist laut einem Urteil des BAG auch eine Haftungsfreistellung möglich.
Sollten doch Teile der Lohnbuchhaltung offenbart werden, so sollten jedenfalls nur anonymisierte Daten herausgegeben werden, die nicht mehr einem einzelnen Arbeitnehmer zugeordnet werden können. Den Grundsätzen der Datensparsmkeit sowie der Zweckbindung folgend, sollten nur insoweit Daten offenbart werden, als dies zur Erfüllung des Zwecks (Überwachung der Einhaltung des MiLoG) unbedingt erforderlich ist. Unternehmer die an dieser Stelle zu freigiebig Daten herausgeben setzen sich ansonsten nicht nur Haftungsansprüchen ihrer Mitarbeiter aus, sondern auch möglichen Sanktionen von Aufsichtsbehörden. Darüber hinaus sollte auch das Risiko eines publikumswirksamen “Datenlecks” zu Vorsicht im Umgang mit Beschäftigtendaten mahnen.
21. Mai 2015
In einem Urteil von Anfang diesen Jahres hat der BGH geurteilt (vgl. BGH vom 20.01.2015 VI ZR 137/14), dass ein Klinikträger die Privatanschrift eines bei ihm beschäftigten Arztes nicht herausgeben muss.
Grundlage dieser Entscheidung war, dass der Kläger, ein Patient im Krankenhaus des beklagten Klinikträgers, beabsichtigte, den Klinikträger sowie einen bei diesem angestellten Arzt auf Schadensersatz und Schmerzensgeld wegen eines Behandlungsfehlers zu verklagen.
Um die Klage dem Arzt zuzustellen, forderte der Kläger den Klinikträger auf, ihm die Privatanschrift des Arztes zu nennen. Dies verweigerte der Beklagte. Daraufhin verklagte der Kläger den Klinikträger auf Auskunft.
Nachdem die Klage den Instanzenzug durchlief, urteilte der BGH schließlich, dass ein solcher Auskunftsanspruch nicht besteht.
Die Anspruchsgrundlage für den Auskunftsanspruch des Patienten gegen den Klinikträger ergibt sich aus den Grundsätzen von Treu und Glauben, § 242 BGB. Danach ist derjenige zur Auskunft verpflichtet, der in zumutbarer Weise Auskünfte beschaffen kann und der Anspruchsteller diese Auskünfte zur Vorbereitung oder Durchführung seines Rechts nicht selber beschaffen kann.
Die Privatanschrift des Arztes ist hier jedoch nicht zur Vorbereitung oder Durchführung der Rechte des klagenden Patienten notwendig, so der BGH in seiner Urteilsbegründung.
Zunächst ist für eine wirksame Zustellung einer Klage nicht erforderlich, dass die Klageschrift dem Beklagten an dessen Privatanschrift zugestellt wird. Daneben stehen auch datenschutzrechtliche Grundsätze der Weitergabe der Privatadresse entgegen.
Gemäß § 32 BDSG durfte der Klinikträger als Arbeitgeber des Arztes dessen Privatanschrift – ein personenbezogenes Datum – zur Durchführung des Beschäftigungsverhältnisses erheben und nutzen. In diesem Umfang ist eine Datenverarbeitung der Privatanschrift zulässig. Die Weitergabe der Privatanschrift ist von dem Zweck der Durchführung des Beschäftigungsverhältnisses jedoch nicht mehr gedeckt. Die Auskunft an den klagenden Patienten würde mithin gegen den im Datenschutzrecht geltenden Zweckbindungsgrundsatz verstoßen. Dieser besagt, dass Daten nur für den vorweg festgelegten Zweck verarbeitet werden dürfen.
Da die Weitergabe zum Zwecke der Rechtsverfolgung nicht mehr in den Umfang der Durchführung des Beschäftigungsverhältnisses fällt, kann der Klinikträger auch nicht zur Weitergabe verpflichtet werden. Auch die Voraussetzungen einer nachträglichen Zweckänderung der Datenverarbeitung waren im vorliegenden Fall nicht gegeben.
In diesem Fall überwog das Interesse des Arztes an seiner Privatsphäre dem Auskunftsersuchen des Patienten. Dieser kann seine Klage dem Arzt allerdings auch wirksam an dessen Arbeitsplatz zustellen und nicht zwingend an dessen Privatanschrift.
