Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

Compliance
13
Okt

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 5

Oktober 13, 2016, ,

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Den ganzen Artikel lesen.

31
Aug

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 4

August 31, 2016, ,

Mitautor: Christian Frerix*

Huch! Da bin ich ja schon wieder, obwohl wir noch gar nicht September haben. Doch wohl an. Diesmal geht es wieder um die EU-Datenschutzgrundverordnung, kurz DSGVO. In Teil 4 geht es um:

Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten 

[Bonustrack: Der Datenschutzbeauftragte unter der DSGVO]

Wir wir schon in Teil 1 „Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung“ sagten, bringt die im Mai 2018 Geltung erlangende und ab dann auch den Datenschutz in Deutschland regelnde europäische Datenschutzgrundverordnung (DSGVO)  jede Menge Änderungen mit sich, auf die sich Unternehmen künftig einstellen müssen. Es ändern sich sowohl die Begrifflichkeiten (siehe dazu Teil 2 „Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt“) als auch etliche Voraussetzungen zur Datenverarbeitung (Teil 3 – „Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen“).

Doch damit nicht genug. Die DSGVO verschärft die Dokumentationspflichten, die Datensicherungspflichten und die Meldepflichten. (Auch die Informations- und Auskunftspflichten, aber dazu wird es einen weiteren Artikel geben…). Das bedeutet, dass alle Unternehmen Ihre datenschutzrechtlichen Strukturen bis 2018 unbedingt auf den Prüfstand stellen sollten.

Den ganzen Artikel lesen.

02
Mai

Meldung in eigener Sache II: RA’in Diercks ist Sachverständige für IT-Produkte (rechtlich)

Mai 2, 2016, , , ,

Und zum zweiten Mal nutzen wir den Blog heute nicht, um ein rechtliches Problem verständlich zu sezieren, sondern zu einer weiteren Meldung in eigener Sache:

RA’in Diercks ist Sachverständige für IT-Produkte (rechtlich)

Den ganzen Artikel lesen.

19
Feb

Private Internetnutzung am Arbeitsplatz – Erlaubt der EGMR (Az. 61496/08) den Arbeitgebern wirklich das Lesen privater Nachrichten von Arbeitnehmern? Und wie ist eigentlich die Rechtslage in Deutschland? – Teil 2

Februar 19, 2016, , , ,

Mitautor: Christian Frerix*

Im ersten Teil dieses Artikels wurde die Rechtslage in Deutschland erläutert. Danach dürfen Arbeitgeber private Inhalte ihrer Arbeitnehmer in der Regel nie lesen. Unabhängig davon können protokollierte Inhalte aber trotzdem zum Beweis vorgebracht werden. Das sind nämlich zwei verschiedene Paar Schuhe. Jetzt soll der Frage nachgegangen werden, ob und inwieweit sich durch die EGMR-Rechtsprechung etwas daran ändert.

Den ganzen Artikel lesen.

16
Feb

Private Internetnutzung am Arbeitsplatz – Erlaubt der EGMR (Az. 61496/08) den Arbeitgebern wirklich das Lesen privater Nachrichten von Arbeitnehmern? Und wie ist eigentlich die Rechtslage in Deutschland? – Teil 1

Februar 16, 2016, , , ,

Mitautor: Christian Frerix*

In aller Regelmäßigkeit ist die Internet- und IT-Nutzung zu privaten Zwecken am Arbeitsplatz Gegenstand angeregter Diskussionen. Auch ich beschäftige mich mit dieser Thematik in schönster Regelmäßigkeit. Sowohl ganz praktisch am lebenden Herzen, also in den Unternehmen, als auch theoretisch in meinem Fachartikel oder im Blog. Nun gibt es erneut einen guten Grund, sich etwas vertiefter mit diesem Thema auseinanderzusetzen, nämlich ein jüngst erschienenes Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR, Urteil vom 12.01.2016 – Az. 61496/08).

In der Sache Barbulescu gegen Rumänien wurde um die Rechtmäßigkeit einer Kündigung gestritten. Die Kündigung hatte der Arbeitgeber ausgesprochen, weil der Arbeitnehmer während der Arbeitszeit am Dienst-PC den Dienst-Account eines Messengerdienstes zu privaten Zwecken genutzt und damit gegen betriebsinterne Vorgaben verstoßen hatte. Die Kündigung wurde durch den EGMR bestätigt. Soweit so altbekannt.

Spannend wird das Ganze aber dadurch, dass der Arbeitgeber von der betriebsfremden PC-Nutzung Kenntnis erlangte, weil er diese überwachte und Chatverlaufsprotokolle erstellte. In Deutschland undenkbar? Nun ja, vielleicht nicht (mehr), wenn man bedenkt, dass der EGMR dieses Vorgehen gebilligt hat. Ermöglicht der EGMR den Arbeitgebern nun also tatsächlich – wie landauf landab den Schlagzeilen zu entnehmen war – das unbegrenzte Lesen und Auswerten privater Kommunikationsinhalte? Wer sich nun denkt ‚Wo kämen wir denn da hin‘, ist mit dieser Ansicht wohl nicht allein. Aber frei nach Marti kämen wir wohl nirgendwo hin, wenn wir nicht den Weg gehen würden, um zu schauen, wo wir denn hinkämen, wenn wir ihn gingen. In diesem Sinne: Fangen wir einmal von vorne an.

Das bedeutet, dass wir uns im ersten Teil des Artikels zunächst einmal mit der geltenden Rechtslage in Deutschland auseinandersetzen, bevor wir uns dann im zweiten Teil vertieft mit dem EGMR-Urteil beschäftigen.

Und ach ja, eine Ankündigung schon an dieser Stelle: Die Datenschutzbehörden haben eine aktuelle Orientierungshilfe zum Thema herausgegeben. Damit werden wir uns hier im Blog ebenfalls in Kürze befassen!

Wie ist die Rechtslage in Deutschland?

Jedes Arbeitsverhältnis lebt vom Zusammenspiel der Rechte von Arbeitnehmern und Arbeitgebern. Schließlich gibt  niemand seine Rechte mit Dienstbeginn an der Unternehmenstür irgendwo ab. Nutzt der Arbeitnehmer betriebliche Infrastruktur (Internet, Telefon, Fax etc.) zu Privatzwecken, so ist das zunächst eine Form der Persönlichkeitsentfaltung, die über die Persönlichkeitsrechte (in diesem Fall insbesondere das Recht auf informationelle Selbstbestimmung) grundrechtlichen Schutz genießen kann. Dem steht entgegen, dass die Infrastruktur vom Arbeitgeber grundsätzlich zu Betriebszwecken bereitgestellt wird. Ob und in welchem Umfang diese Mittel zu privaten Zwecken genutzt werden dürfen, regelt allein der Arbeitgeber. Dies erlaubt ihm das Recht am eingerichteten und ausgeübten Gewerbebetrieb. Problematisch wird’s logischerweise dann, wenn die betrieblichen Vorgaben nicht eingehalten werden. Um einen geregelten Betriebsablauf zu gewährleisten, gilt es deshalb die Rechte von Arbeitnehmern und Arbeitgebern in ein Gleichgewicht zu bringen. Wie auf europäischer Ebene auch, genießen die Rechte der einen Partei dabei nie grundsätzlichen Vorrang gegenüber den Rechten der anderen. Vielmehr ist in jedem Einzelfall zu prüfen, wessen Rechte schützenswerter sind (sog. Einzelfallabwägung). Die trotz eines Verbotes vom Dienst-PC verschickte Nachricht nach Hause, dass man länger im Büro bleibt, wird dabei anders bewertet als das exzessive Chatten mit Freunden auf Facebook. Während ersteres auf Grund des dienstlichen Bezuges im Zweifel sogar noch als dienstliche Nutzung gelten kann, ist letzteres ein klarer und zu ahndender Verstoß des Arbeitnehmers.

Wer darf denn nun was eigentlich  – oder doch nicht?

Mit dem Vorstehenden ist aber immer noch nicht die Frage beantwortet, was der Arbeitgeber unternehmen darf, um einer verbotswidrigen Nutzung entgegenzuwirken? Darf diese überwacht und dürfen daraus gezogene Erkenntnisse verwertet werden? Dürfen daraufhin auch Kündigungen ausgesprochen werden? Zur Lösung dieser Fragen wurden in der Vergangenheit verschiedene Fallgruppen gebildet, aus denen sich unterschiedliche Rechtsfolgen ergeben. Unterschieden wird zwischen dem Verbot, der Duldung und der Erlaubnis der Nutzung durch den Arbeitgeber. Je nachdem, wie dies im Unternehmen gehandhabt wird, verschieben sich auch die schützenswerten Interessen.

Was darf der Arbeitgeber wann (nicht) lesen?

Wird die Nutzung zu privaten Zwecken durch den Arbeitgeber untersagt, so muss dieser auch dafür Sorge tragen, dass das Verbot eingehalten wird. Eingebürgert hat sich dabei die Zulässigkeit einer stichprobenartigen Überprüfung des Nutzungsverhaltens. Will der Chef also wissen, ob der Messenger auf dem Dienst-PC ausschließlich zu dienstlichen Zwecken genutzt wird, so darf er dies vereinzelt überprüfen lassen. Mit den Rechten des Arbeitnehmers ist das auch vereinbar, da der Arbeitgeber auf Grund des Verbotes nicht damit rechnen muss, bei der Überprüfung auf private Inhalte zu stoßen.

Was aber tun, wenn sich dabei doch Privates findet? Beschäftigtendaten dürfen nur erhoben und gespeichert werden, wenn dies zum Zwecke der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 32 BDSG). Erforderlich wäre in diesem Fall das Wissen, ob der Messenger (auch) privat genutzt wird oder nicht. Nicht erforderlich ist dagegen zu wissen, was genau im Rahmen der privaten Nutzung kommuniziert wurde.  Das hat den Arbeitgeber nur in den seltensten Fällen zu interessieren (z.B. beim Verdacht betriebsbezogener Straftaten). So die Theorie. Insbesondere bei Social Media-Nutzungen stellt sich jedoch die Frage, wie man feststellen will, ob diese privat oder dienstlich genutzt werden, wenn die Inhalte nicht gelesen werden dürfen? Dazu sogleich.

Trägt der Arbeitgeber nicht dafür Sorge, dass alle sich konsequent an das Verbot halten, so droht die Gefahr einer Duldung, die dann zu einer faktischen Nutzungserlaubnis führt. Wird ein Verbot betreffend die gesamte Infrastruktur ausgesprochen, den Mitarbeitern die Nutzung bspw. des Dienst-PC‘s zu privaten Zwecken aber vereinzelt erlaubt, so ist hier eine strikte Trennung zwischen Verbot und (Teil-) Erlaubnis kaum mehr möglich. Eine stichprobenartige Überprüfung des Dienst-PCs kann nun nicht mehr durchgeführt werden, da der Arbeitgeber hier damit rechnen muss, auch auf private Inhalte zu stoßen und das Persönlichkeitsrecht des Arbeitnehmers zu verletzen. Das heißt auch, dass der Arbeitgeber aus diesem Grunde auch nicht mehr „mal eben“ auf die Emails und die Ordner-Struktur der Mitarbeiter zugreifen kann. Um eben nicht Gefahr zu laufen, vom „Persönlichkeitsrecht des Arbeitnehmers im eigenen Betrieb erstickt zu werden“, ist es so immens wichtig, Regelungen für eine private Nutzung zu treffen. Warum eine Trennung von dienstlicher und privater Kommunikation heutzutage realistischerweise nicht mehr möglich ist, können Sie hier nachlesen.

Dementsprechend klarer wird die Sache, wenn die private Nutzung ausdrücklich erlaubt ist. Eine Erlaubnis allein reicht jedoch nicht. Vielmehr muss damit eine Regelung einhergehen, die die Interessen von Arbeitnehmer (Recht auf informationelle Selbstbestimmung) und Arbeitgeber (Recht am eingerichteten und ausgeübten Gewerbebetrieb) in einen verhältnismäßigen Ausgleich bringt. In meinem Fachaufsatz habe ich auf S. 6 des Artikels in Form von Bulletpoints 10 besonders wichtige Regelungsinhalte herausgegriffen. Zu diesen 10 Punkten gehört unter anderem eine Definition des inhaltlichen (privat/dienstbezogen) Umfangs der Nutzung,  Regelungen zur Vertretung von Zugriffsrechten im Krankheitsfall, Regelungen zur Kontrolle in Verdachtsfällen oder Regelungen zur Nutzung von unternehmenseigenen mobile devices. Im Einzelnen bitte einfach hier (S. 6) nachlesen.

Wir halten also fest, dass das Lesen privater Nachrichten durch den Arbeitgeber – bis auf wenige Ausnahmen – nicht zulässig ist. Lediglich die stichprobenartige Überwachung ist im Falle eines Nutzungsverbotes erlaubt. Werden dabei jedoch private Inhalte entdeckt, gilt der Grundsatz: Finger weg!

Was darf das Gericht wann (nicht) lesen?

Davon zu trennen ist die Frage, ob die Gerichte die Überwachungsinhalte (nach Einführung in den Prozess) lesen und verwerten dürfen. Die Berücksichtigung der Inhalte zur Urteilsfindung könnte den Arbeitnehmer ebenfalls in seinen o.g. Rechten verletzen. Hierbei gilt aber der Grundsatz, dass die Nichtberücksichtigung in den Prozess eingeführter Beweismittel in Widerspruch zu den Grundprinzipien des deutschen Zivil- und Arbeitsgerichtsverfahrens steht. Das heißt also, dass die Gerichte grundsätzlich alle Beweismittel zu berücksichtigen haben. Das gilt erst recht, wenn sich um die zu beweisenden Tatsachen gestritten wird. Einen Sonderfall bilden dabei Beweismittel, die rechtswidrig erlangt wurden. So muss also zwischen der Erlangung einer Information oder eines Beweismittels und dessen Verwertung getrennt werden. Aus dem Umstand, dass eine Information oder ein Beweismittel unzulässig erlangt wurde, ergibt sich nämlich noch nicht zwingend deren Nichtverwertbarkeit. Erst wenn durch die Verwertung erneut erheblich geschützte (Grund-)Rechte des Arbeitnehmers verletzt werden, kann ein prozessuales Verbot einer Verwertung in Betracht kommen. Deshalb wird also in einem ersten Schritt geprüft, ob das Beweismittel rechtswidrig erlangt wurde. Ist das nicht der Fall, darf/muss es verwertet werden. Ist es doch der Fall, erfolgt eine weitere Prüfung dahingehend, ob eine Verwertung den Betroffenen schon wieder in seinen Rechten verletzt. Das Ergebnis hängt immer vom Einzelfall ab.

Insgesamt heißt das also, dass Arbeitgeber private Inhalte in der Regel nie lesen dürfen. Unabhängig davon können protokollierte Inhalte aber trotzdem zum Beweis vorgebracht werden. Das sind nämlich zwei verschiedene Paar Schuhe.

Nun wissen wir, wie die Rechtslage in Deutschland ist. Wir wissen aber noch nicht, was der EGMR damit zu tun hat. Angesichts des fortgeschrittenen Umfangs dieses ersten Teils – und um die Spannung aufrecht zu erhalten – verschieben wir die Beantwortung dieser Frage einfach in den zweiten Teil, auf den Sie sich bitte schon einmal freuen dürfen.

In diesem Sinne,

bis dahin!

*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.

Das könnte Sie in diesem Zusammenhang auch noch interessieren:

Einsatz von „Keyloggern“ zur Mitarbeiterüberwachung grundsätzlich unzulässig (BAG, Az. 2 AZR 681/16)

Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung

Einsatz von Skype und zeitversetzten Video-Interviews in Personalauswahlverfahren unzulässig?

Kündigung wegen Beleidigung von Vorgesetzten mittels Emoticons (LAG BaWü, Az. 4 Sa 5/16)

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Kündigung wegen Äußerungen in Social Media – Teil 2 (ArbG Herne, Az. 5 Ca 2806/15)

Kündigung wegen Äußerungen in Social Media – Teil 1 (ArbG Mannheim, Az. 6 Ca 190/15)

Fristlose Kündigung und Schadensersatz wegen privater Internetnutzung am Arbeitsplatz (LAG Rheinland-Pfalz, Az. 5 Sa 10/15)

Erlaubt der EGMR das Lesen privater Nachrichten von Arbeitnehmern durch Arbeitgeber?

1 4 5 6 7 8

Rechtsanwältin Nina Diercks – Partnerin bei MÖHRLE HAPP LUTHER

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin bei MÖHRLE HAPP LUTHER und verantwortet dort den Bereich IT- und Datenschutzrecht. Dem entsprechend ist sie ausschließlich in den Bereichen  IT- | Medien-| Datenschutz- und dem angrenzenden Arbeitsrecht tätig. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

MÖHRLE HAPP LUTHER

MÖHRLE HAPP LUTHER ist eine führende Wirtschaftskanzlei aus Norddeutschland, in der Wirtschaftsprüfer, Steuerberater und Rechtsanwälte Hand in Hand arbeiten. Diese multidisziplinäre Aufstellung zeichnet uns aus. Verbunden mit langjähriger Erfahrung führt sie zu kurzen Wegen und schneller Bearbeitung. So bieten wir unseren Mandanten eine hochqualifizierte Beratung und persönliche Betreuung in allen Rechts-, Wirtschafts- und Steuerfragen. Mit mehr als 350 Mitarbeitern beraten wir Unternehmen sowie Unternehmer zielorientiert und engagiert – im Tagesgeschäft und bei komplexen Fragestellungen.

Anmeldung zum Blog-Newsletter

Informationen zur Datenverarbeitung

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @MHL_ITDS.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.