Header graphic for print

Datenschutz

News & Trends

Rubrik: Beschäftigtendatenschutz, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

DSGVO: Deutsches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung – Erste Eckdaten bekannt geworden

BMI legt ersten Referentenentwurf für ein deutsches Gesetz zur Ausführung der EU-Datenschutz-Grundverordnung vor

Ab dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (“DSGVO“). Das Bundesministerium des Inneren (“BMI“) hatte bereits seit geraumer Zeit angekündigt, einen Gesetzentwurf zur Ausführung der DSGVO in Deutschland vorzulegen. Zwar wirkt die DSGVO als EU-Verordnung nach Art. 288 AEUV direkt und unmittelbar in allen Mitgliedsstaaten. Allerdings sind flankierende Regelungen wie etwa zur Zuständigkeit nationaler Behörden, durchaus erlaubt. Zudem sieht die DSGVO an einer Reihe von Stellen die Möglichkeit vor, einzelne Punkte im Recht der Mitgliedsstaaaten spezifischer zu regeln. Mittlerweise sind erste Eckdaten des Referentenentwurfs des BMI zur Anpassung des deutschen Datenschutzrechts an die Vorgaben der DSGVO bekannt geworden. Kernstück der Neuregelung soll der Entwurf für ein Allgemeines Bundesdatenschutzgesetz (“ABDSG-E“) werden.

Nachstehend sind einige erste Eckpunkte des Entwurfs des BMI zusammengefasst, die für Unternehmen besonders maßgeblich sind:

  • Hintergrund der Neuregelung: Der ABDSG-E soll das derzeit geltende BDSG zum 25.05.2018 ersetzen. Er soll ein reibungsloses Zusammenspiel der DSGVO und der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr “mit dem stark differenzierten deutschen Datenschutzrecht” sicherstellen. Der Referentenentwurf zielt deutlich darauf ab, den von Brüssel vorgegebenen Spielraum für nationale Regelungen möglichst weitgehend auszunutzen.

 

  • Umfang und Struktur des Entwurfs: Der ABDSG-E soll künftig das deutsche Datenschutzrecht in 60 Paragrafen an die Regelungen der DSGVO anpassen. Teilweise gibt der ABDSG-E die Regelungen der DSGVO wieder, etwa bei den Definitionen. Zudem regelt der Entwurf etliche Fragen, in denen die DSGVO den einzelnen Mitgliedsstaaten einen gewissen Spielraum einräumt. Dies betrfft etwa die Pflicht zur Bestellung eines Datenschutzbeauftragten, denBeschäftigtendatenschutz bei den Zuständigkeiten der Aufsichtsbehörden oder die Verhängung von Bußgeldern. Zudem sollen die Betroffenenrechte (Art. 12 ff. DSGVO) “unter Berücksichtigung” von Art. 23 DSGVO beschränkt werden. Diese Beschränkungen orientieren sich laut dem Referentenentwurf “sehr weitgehend an den bestehenden Regelungen des Bundesdatenschutzgesetzes“.

 

  • Datenverarbeitung im Beschäftigungskontext: Der Beschäftigtendatenschutz ist in § 33 ABDSG-E geregelt. Art. 88 DSGVO erlaubt nationale Regelungen zur Datenverarbeitung Beschäftigungskontext. § 33 ABDSG-E schreibt das bisherige deutsche Recht fort und entspricht weitgehend den bisherigen §§ 32 und 3 Abs. 11 BDSG. Wird der Entwurf in dieser Form umgesetzt, werden deutsche Arbeitsrichter weiterhin die vom BAG entwickelten strengen Maßstäbe anlegen und die Zulässigkeit der Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage einer Verhältnismäßigkeitsprüfung bewerten. Auch die nichtautomatisierte Verarbeitung personenbezogener Daten im Beschäftigungskontext soll nach § 33 Abs. 2 ABDSG-E den Anforderungen des Datenschutzes unterliegen. Im Ergebnis läuft der Vorschlag des BMI darauf hinaus, dass der derzeit geltende § 32 BDSG auch noch nach dem 25.05.2018 in Deutschland weiter gelten soll. § 32 wurde bereits 2009 eigentlich nur als Übergangslösung eingeführt. Folgt der Deutsche Bundestag dem Vorschlag des BMI, so wird dies einer provisorischen Regelung eine erstaunliche lange Lebensdauer bescheren.

 

  • Bestellung von Datenschutzbeauftragten (DSB): Grundsätzlich sieht die DSGVO eine Pflicht zur Bestellung eines DSB nur unter recht engen Voraussetzungen vor. Falls aber eine Bestellung nach dem Recht der Mitgliedsstaaten vorgesehen ist, müssen Unternehmen dennoch einen DSB bestellen, Art. 37 Abs. 4 DSGVO. Der ABDSG-E macht von dieser Möglichkeit Gebrauch. Gemäß § 14 Abs. 1 Satz 2 ABDSG-E müssen Verantwortliche und Auftragsverarbeiter auch dann einen DSB bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.” Die bislang in Deutschland geltende Bestellpflicht würde damit weitgehend beibehalten. Das Unternehmen veröffentlicht zudem Angaben zur Erreichbarkeit des DSB und teilt diese der Bundesbeauftragten für den Datenschutz mit. Ebenso muss die Bundesbeauftragte von Neubestellungen von DSB unterrichtet werden. Für als Arbeitnehmer beschäftigte DSB ist eine Kündigung des Arbeitsverhältnisses nur aus wichtigem Grund zulässig. Zudem wirkt der Sonderkündigungsschutz des DSB auch nach einer Abberufung für ein Jahr nach.

 

  • Einschränkung von Betroffenenrechten: Die Art. 12 bis 22 DSGVO sehen umfangreiche Betroffenenrechte vor. So müssen Verantwortliche betroffene Personen bei der Erhebung ihrer personenbezogenen Daten umfassend informieren, Art. 13 und 14 DSGVO. Betroffene haben das Recht, Auskunft über ihre von einem Verantwortlichen verarbeiteten Daten sowie eine Kopie dieser Daten zu verlangen, Art. 15 DSGVO. Hinzu kommen unter anderem Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen Datenverarbeitung und enge Vorgaben zum Profiling. Der ABDSG-E soll diese Betroffenenrechte einschränken. Beispielsweise soll eine Informationspflicht bei Datenerhebung entfallen, soweit diese einen unverhältnismäßigen Aufwand erfordern würde, § 7 Abs. 2 und § 8 Abs. 2 lit. d ABDSG-E. Auch die sonstigen Betroffenenrechte sollen eingeschränkt werden. Viele der vorgeschlagenen Regelungen entsprechen denen des bisherigen BDSG.

 

  • Bußgelder: Grundsätzlich richten sich die Bußgelder nach Art. 83 gegen Verantwortliche und Autragsverarbeiter, die die Vorgaben der DSGVO nicht einhalten. Die Bußgelder können bis zu 20 Millionen Euro betragen – oder sogar bis zu vier Prozent des globalen Umsatzes, je nachdem, welcher Betrag letztlich höher ist. Im deutschen Ordnungswidrigkeitenrecht gilt der sogenannte Einheitstäterbegriff des § 14 OWiG. Beteiligt sich eine natürliche Person an einem vom Unternehmen begangenen Datenschutzverstoß, so drohen ihr grundsätzlich ähnlich hohe Bußgelder wie dem Unternehmen selbst, vgl. § 14 Abs. 1 Satz 2 OWiG. Hier legt das BMI mit § 43 BDSG-E Hand an. Das Bußgeld für beteiligte Vorstände, Geschäftsführer oder sonstige Manager und Arbeitnehmer soll auf bis zu 300.000 Euro beschränkt werden. Diese Regelung würde das Risiko für an Verstößen beteiligte Personen im Unternehmen erheblich einschränken. Allerdings könnten Unternehmen, gegen die Bußgelder verhängt warden, durchaus gehalten sein, die dafür letztlich verantwortlichen Mitarbeiter in Regress zu nehmen.

 

Fazit: Die vom BMI aktuell vorgeschlagenen Regelungen sind komplex. Durch die vielen Verweisungen auf die DSGVO und im ABDSG-E selbst ist der Entwurf sogar für Datenschutzexperten nur schwer verständlich. Für eine abschließende Bewertung ist es in der jetzigen Phase des Gesetzgebungsverfahrens noch viel zu früh. Dennoch kann man bereits jetzt einige Eindrücke zusammenfassen: Das Ministerium versucht erkennbar, die vielen Ausnahmeregelungen in der DSGVO weitgehend auszunutzen, die den Mitgliedsstaaten nationale Sonderregelungen erlauben. Viele der vorgeschlagenen Regelungen des geplanten neuen deutschen Datenschutzrechts entsprechen denen des bislang geltenden BDSG. Man fragt sich an vielen Stellen, ob das ABDSG-E den Vorgaben der DSGVO, aber auch allgemeinen europarechtlichen Anforderungen zu derartigen Ausführungsgesetzen entspricht. Es wird daher spannend werden, ob das deutsche Parlament diesen Versuch mitgehen wird, beim Datenschutz “das Rad zurückzudrehen”. In jedem Falle dürfen sich Politik und Datenschützer auf ein interessantes und kontroverses weiteres Gesetzgebungsverfahren zum Datenschutz einstellen.

Gerne beraten wir Ihr Unternehmen bei der Umsetzung der Vorgaben der DSGVO. Umfassende weitere Informationen hierzu uns zu anderen Fragen des Datenschutzes finden Sie hier oder auf unserem HL-Datenschutz-Blog. Wir stehen Ihnen auch für Gespräche darüber zur VErfügung, ob und in welcher Weise man diese Pläne des Gesetzgebers bereits zeitnah bei der Implementierung der DSGVO berücksichtigen sollte.

Rubrik: Datenschutz im Internet, EU-Datenschutz-Grundverordnung

Erste Ergebnisse der Konsultation zur E-Privacy-Richtlinie

15940725_Newsletter_Quarter_SmallIm Rahmen ihrer Strategie für einen Digitalen Binnenmarkt hat sich die Europäische Kommission beginnend mit deren Veröffentlichung im Mai 2015 das große Ziel gesetzt, den europäischen Binnenmarkt auch im Internet zu verwirklichen. Die Strategie umfasst vielfältige Reformvorschläge, unter anderem im Verbraucherschutzrecht, Urheberrecht, Telekommunikationsrecht – und natürlich auch im Datenschutz. Angesichts der neuen Datenschutzgrundverordnung soll insbesondere auch die E-Privacy-Richtlinie 2002/58/EG genauer in Augenschein genommen und gegebenenfalls an die neuen Regelungen angepasst werden. Nachdem die Kommission der Öffentlichkeit jüngst im Rahmen einer Konsultation die Möglichkeit zur Stellungnahme gegeben hat, wurden nun die ersten Ergebnisse der Konsultation veröffentlicht. Lesen Sie mehr »

Rubrik: Compliance, Datenübermittlungen, Datenschutz Allgemein, Datenschutz International, EU-Standardvertragsklauseln

Genehmigungserfordernis für Datentransfers auf Grundlage von Binding Corporate Rules?

Internationaler DatentransferBinding Corporate Rules („BCR“) und EU-Standardvertragsklauseln („SCCs“) sind gegenwärtig die praktisch wichtigsten Instrumente, um internationale Datentransfers insbesondere in die USA zu rechtfertigen. Doch welche Anforderungen stellen die einzelnen deutschen Datenschutzbehörden an die Verwendung von BCR und SCCs? Insbesondere, wenn Datentransfers auf BCR gestützt werden sollen, gehen die Auffassungen der Behörden auseinander, ob die einzelnen Transfers der zuständigen Behörde angezeigt werden müssen oder sogar einer Genehmigung bedürfen. Dieser Beitrag enthält eine Übersicht über die Auffassungen aller Datenschutzbehörden zu Anzeige-, Vorlage- und/oder Genehmigungspflichten beim Einsatz von BCR und SCCs, und fasst zudem die aktuellen Bestrebungen der Behörden zusammen, künftig auf das Genehmigungserfordernis für Datentransfers auf Grundlage von BCR zu verzichten.

Lesen Sie mehr »

Rubrik: Datenübermittlungen, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung – Teil 3: Auftragsverarbeitungsvertrag

Checkliste 3: Vertrag zur Auftragsverarbeitung Die nachstehende Checkliste fasst die nach Art. 28 DSGVO zwingend vorgeschriebenen wesentlichen Vertragsinhalte eines Auftragsverarbeitungsvertrags zusammen. Dies sind natürlich nur Mindestinhalte, die um weitere Regelungen ergänzt werden sollten, etwa zu wirtschaftlichen Punkten. Zudem kann es sich nach wie vor empfehlen, spezifisch datenschutzrechtliche Vorgaben in einer gesonderten Anlage zu einem Hauptvertrag zu regeln.

  • Vertragsgegenstand: Gegenstand der Auftragsverarbeitung
  • Zweckbestimmung: Zwecke der Auftragsverarbeitung
  • Festlegung der Daten: Art der personenbezogenen Daten, die verarbeitet werden
  • Zeitbestimmung: Dauer der Auftragsverarbeitung
  • Betroffene Personen: Kategorien von betroffenen Personen, deren Daten Gegenstand der Auftragsverarbeitung sind
  • Weisungsgebundenheit: Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen verarbeiten
  • Informationspflicht: Auftragsverarbeiter muss Verantwortlichen bei Ausnahmen von der Weisungspflicht aufgrund von Rechtsvorschriften unterrichten (wenn nicht die einschlägige Rechtsvorschrift eine solche Mitteilung verbietet)
  • Vertraulichkeit: Gewährleistung des Auftragsverarbeiters, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Datensicherheit: Der Auftragsverarbeiter muss alle nach Art. 32 DSGVO vorgeschriebenen Maßnahmen ergreifen
  • Unterauftragsverarbeiter: Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne vorherige gesonderte oder allgemeine Zustimmung des Verantwortlichen einsetzen; bei allgemeiner Zustimmung Informationspflicht des Auftragsverarbeiters über vorgesehene Änderung im Einzelfall und Einspruchsrecht des Verantwortlichen
  • Unterstützung bei Transparenzpflichten: Regelungen dazu, wie der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO unterstützt
  • Rückgabe oder Löschung: Auftragsverarbeiter muss alle personenbezogenen Daten nach Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine Rechtspflichten entgegenstehen
  • Nachweispflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen beim Nachweis der Einhaltung der Vorschriften zur Auftragsverarbeitung und stellt dem Verantwortlichen hierfür erforderliche Informationen zur Verfügung
  • Kontrollen: Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen und Inspektionen bezüglich der Einhaltung der Vorgaben der DSGVO oder sonstiger Datenschutzbestimmungen der EU oder ihrer MitgliedsstaatenUnterrichtung bei Verstößen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzbestimmungen der EU oder ihrer Mitgliedsstaaten verstößt

Die DSGVO gilt ab dem 25. Mai 2018. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben des neuen Datenschutzrechts EU-weit ummgesetzt haben. Die Schaffung eines datenschutzkonformen Vertragsmmanagement ist dabei eines der Teilprojekte der Implementierung  der DSGVO. Da Auftragsverarbeitungsverträge nicht  einseitig  geändert werden können, sollten  Unternehmen zeitnah ihre Dienstleister wegen erforderlichen Vetragsänderungen kontaktieren. Weitere Checklisten und Arbeitshilfen  zur Umsetzung der DSGVO können Sie hier abrufen.

Rubrik: EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung, Teil 2: Datenschutz-Folgenabschätzung

Praxis-Checklisten zur Datenschutz-Folgenabschätzung

Unternehmen und andere für Datenverarbeitungen Verantwortliche müssen künftig eine Datenschutz-Folgenabschätzung durchführen, bevor sie Verarbeitungen vornehmen, die hohe Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG ab. Bei einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet werden. Das Unternehmen muss auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten. Dabei soll es auch Maßnahmen, Garantien und Verfahren prüfen, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können.

Führen Verantwortliche Verfahren ein, die wahrscheinlich ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen mit sich bringen, müssen sie zuvor eine Datenschutz-Folgenabschätzung durchführen und gegebenenfalls die zuständige Aufsichtsbehörde konsultieren. Unterlässt ein Verantwortlicher eine vorgeschriebene Datenschutz-Folgenabschätzung oder führt diese nicht korrekt durch, kann dies mit Bußgeldern von bis zu 2 Prozent des Umsatzes geahndet werden.

Lesen Sie mehr »

Rubrik: Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung – Teil 1: Die wichtigsten Änderungen

Checkliste Gap-Analyse DSGVO / BDSG

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018. Nach der zweijährigen Umsetzungsfrist gilt in allen Mitgliedsstaaten der EU ein einheitliches Datenschutzrecht.

Der vorliegende Hogan Lovells Blog ist der erste aus einer Serie von Checklisten zur Umsetzung der DSGVO in der Unternehmenspraxis. Die folgende Checkliste fasst die für die Praxis wichtigsten Änderungen als Checkliste in knapper übersichtlicher Form zusammen.  Anschließend werden die in der Checkliste zusammengefassten praxisrelevanten Änderungen in einem Überblick beschrieben. 

Checkliste der wichtigsten Änderungen durch die DSGVO

  • Drastisch erhöhte Bußgelder: bis zu vier Prozent des globalen Umsatzes
  • Deutlich erweiterte zivilrechtliche Haftung: Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
  • Stellung des Datenschutzbeauftragten: Zusätzliche Verantwortung und Haftung für DSBs
  • Stark erweiterte Dokumentations- und Nachweispflichten
  • Datenschutz-Folgenabschätzung statt Vorabkontrolle: Weitergehende Prüf- und Abstimmungspflichten
  • Risikobasierter Datenschutz
  • Globale bzw. extraterritoriale Anwendung der DSGVO möglich
  • Anwendungsvorrang der DSGVO: Vorrang statt Auffangregelung
  • Massiv erweiterte Transparenzanforderungen
  • Datensicherheit
  • Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
  • Erweiterte Melde und Benachrichtigungspflichten bei Datenschutzverstößen
  • Striktere Löschpflichten und Recht auf Vergessenwerden
  • Neue Vorgaben für Zweckänderungen
  • Erleichterter Datenaustausch im Konzern
  • Koppelungsverbot bei Einwilligungen

Lesen Sie mehr »

Rubrik: Beschäftigtendatenschutz, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung heute veröffentlicht – finaler Text und Arbeitshilfen

Heute hat die Europäische Union die Endfassung der seit 2012 verhandelten EU-Datenschutz-Grundverordnung – DSGVO veröffentlicht. Sie tritt in 20 Tagen in Kraft und gilt dann nach einer zweijährigen Übergangsfrist ab dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar und direkt. Für Unternehmen hat die Verordnung gravierende Folgen: Neben Schadensersatzklagen drohen bei Fehlern Bußgelder von bis zu vier Prozent des globalen (Konzern-)Umsatzes. Beteiligte Manager, Datenschützer und sonstige Entscheidungsträger müssen bei Verstößen mit Geldbußen bis 20 Mio. Euro rechnen. Zudem sind die inhaltlichen Anforderungen beim neuen Datenschutz sehr hoch: Sie betreffen viele Unternehmensbereiche, vor allem IT, Personal, Compliance, interne Revision und Vertrieb.Data-mining-blog-header-300x254

Unternehmen sollen ihren Datenschutz umgehend auf die neue Anforderungen umstellen. Das erfordert eine Gefährdungsanalyse, einen Soll-Ist-Vergleich und die Einführung effektiver Datenschutz-Strukturen und –prozesse. Im Ergebnis brauchen Firmen ein wirksames Datenschutz Management System, das die Risiken aus der Datenverarbeitung abdeckt. Zwei Jahre sind keine lange Zeit, um die vielen geforderten Änderungen umzusetzen. Ein gutes Beispiel hierfür ist der Datenschutz am Arbeitsplatz: Für das Neuverhandeln von Betriebsvereinbarungen zu Leistungs- und Verhaltenskontrollen, Compliance-Maßnahmen, IT-Nutzung und vielem mehr sind 24 Monate knapp bemessen.

Einen umfassenden Überblick über die Folgen der Verordnung finden Sie hier, eine Aufstellung der für das Arbeitsverhältnis wesentlichsten Folgen können Sie hier abrufen. Den finalen deutschen Text der DSGVO können Sie hier abrufen, Fassungen in anderen EU-Sprachen finden Sie hier.

Einen Überblick in englischer Sprache finden Sie hier. Einen umfassenden Leitfaden mit Schaubildern, Checklisten, Praxistipps und Beispielen stellen wir unseren Mandanten gerne auf Anfrage zur Verfügung. Wir halten auch umfassendes Material vor, um Sie schnell und unkomplizert bei der Umsetzung der Vorgaben der DSGVO zu unterstützen.

Rubrik: EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung am Donnerstag verabschiedet – vom EU-Rat beschlossener Text hier abrufbar!

Am 14. April 2016 verabschiedet das EU-Parlament voraussichtlich die EU-Datenschutz-Grundverordnung (DS-GVO) . Die DS-GVO bringt umfangreiche neue Anforderungen für Unternehmen. Sie tritt 2018 in Kraft. Die deutsche Fassung der vom EU-Rat am 8. April bereits gebilligten EU-Verordnung finden Sie hier. Damit geht das größte Reformvorhaben des EU-Datenschutzes der letzten 20 Jahre diese Woche auf die Zielgerade. Wenngleich die Entscheidung des EU-Parlaments nicht mit Bestimmtheit vorhergesagt werden kann, gehen Experten davon aus, dass die Abgeordneten der 2015 ausgehandelten Fassung der Verordnung ohne Wesentliche Änderungen zustimmen werden. In diesem Falle wir die Neuregelung noch diese Woche verabschiedet und tritt zwei Jahre und 20 Tage danach in Kraft.

VerdachtskündigungDas Wichtigste zur DS-GVO finden Sie hier als Überblick: Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance

Wichtiges Urteil zum Datenschutz am Arbeitsplatz: Arbeitgeber darf Nutzung betrieblicher IT-Systeme auch kontrollieren, wenn er die Privatnutzung erlaubt

Email Review in GermanyLAG Berlin–Brandenburg: Arbeitgeber darf betriebliche IT-Systeme auch dann kontrollieren, wenn er deren private Nutzung erlaubt!

Für Unternehmen ist es oftmals von entscheidender Bedeutung, auf geschäftliche E-Mails oder andere auf Firmenservern gespeicherte Daten zuzugreifen. Dies gilt etwa für Gerichtsverfahren, hier werden immer mehr E-Mails als Beweismittel vorgelegt, etwa für Geschäftsabschlüsse, Vertragskonditionen oder andere rechtlich erhebliche Tatsachen. Aber auch bei Compliance-Kontrollen oder der Aufklärung fraglicher Sachverhalte im Unternehmen spielen betriebliche E-Mails oft eine zentrale Rolle.

Allerdings vertreten die Aufsichtsbehörden für den Datenschutz bereits seit Jahren den Standpunkt, dass Unternehmen nicht oder nur eingeschränkt auf die im Betrieb geführte elektronische Kommunikation zugreifen können sollen, sofern sie ihren Mitarbeitern auch die private Nutzung der IT-Systeme erlauben oder dulden. Eine entsprechende Orientierungshilfe der Datenschutzbehörden können Sie hier abrufen. Die Gerichte erteilten dieser Auffassung der Datenschutzbehörden und eines Teils der Fachliteratur schon bislang eine Absage. Einen Überblick dazu finden Sie hier. Das LAG Berlin-Brandenburg geht nun einen Schritt weiter und zeigt in einer aktuellen Entscheidung auf, welche Vorgaben Arbeitgeber bei der Kontrolle betrieblicher IT-Systeme am Arbeitsplatz beachten müssen.

Unser Überblick fasst die praxisrelevanten Vorgaben der Rechtsprechung zusammen. Er zeigt Unternehmen, wie sie die IT-Nutzung im Betrieb effektiv regeln können und beim Zugriff auf Arbeitnehmerdaten Bußgelder und andere Nachteile vermeiden können.

Für Unternehmen ist es zwar rechtlich vorteilhaft, die private Nutzung betrieblicher E-Mail- und Internetzugänge vollständig zu untersagen. Doch besonders arbeitnehmerfreundlich ist das nicht. Viele Unternehmen bieten ihren Arbeitnehmern daher die Möglichkeit, betriebliche IT-Systeme neben der beruflichen Tätigkeit auch privat zu nutzen. Dies kann jedoch zu Konflikten mit berechtigten Interessen des Arbeitgebers, z.B. an einer effektiven Arbeitsleistung führen. Liegen Anhaltspunkte für Fehlverhalten oder Gesetzesverstöße vor, zum Beispiel den übermäßigen Privatgebrauch von Betriebsmitteln oder der Verdacht auf Compliance-Verstöße, kann der Arbeitgeber sogar dazu verpflichtet sein, den Sachverhalt vollständig und umfassend aufzuklären. Hierbei kommt es regelmäßig zu einem Konflikt zwischen dem Interesse des Arbeitgebers an Aufklärung und dem Grundrecht des Arbeitnehmers auf informationelle Selbstbestimmung.

In einer aktuellen Entscheidung vom 14. Januar 2016 hat das LAG Berlin-Brandenburg über die Wirksamkeit der Kontrolle eines Browserverlaufs durch den Arbeitgeber ohne die Einwilligung des betroffenen Arbeitnehmers entschieden (LAG Berlin-Brandenburg, Urt. V. 14. Januar 2016 – 5 Sa 657/15). Dabei hielten die Landesarbeitsrichter die Auswertung der Internet-Browserdaten für zulässig und verwertbar. Diese Entscheidung hat auch umfassende Auswirkungen auf die Kontrolle von E-Mails und anderen IT-Systemen am Arbeitsplatz. Denn die Landesarbeitsrichter stellten sich klar gegen die Auffassung der deutschen Datenschutzaufsichtsbehörden, dass Arbeitgeber bei erlaubter Internet-Privatnutzung Telekommunikationsdiensteanbieter i.S.v. § 88 Abs. 3 TKG sei und das Fernmeldegeheimnis beachten müsse.

 

Rechtlicher Hintergrund

Ohne eine ausdrückliche betriebliche Regelung ist die private Nutzung von E-Mail und Internet am Arbeitsplatz grundsätzlich verboten. Arbeitnehmer haben in der Regel keinen Anspruch darauf, Betriebsmittel privat zu nutzen. Der Arbeitgeber als Gläubiger der Arbeitsleistung kann deshalb den Datenverkehr des Arbeitnehmers auch nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) kontrollieren. Dies gilt insbesondere für E-Mails und den Verlauf besuchter Internetseiten.

Kontrollen sind allerdings nur zulässig, wenn der Arbeitgeber sich hierbei auf einen Erlaubnistatbestand stützen kann. Eine solche Erlaubnis kann beispielsweise in eine Betriebsvereinbarung zur IT-Nutzung liegen. Denn Betriebsvereinbarungen stellen nach gefestigter Rechtsprechung eine Erlaubnisnorm im Sinne von § 4 Abs. 1 BDSG dar. Ohne wirksame Einwilligungserklärung (§ 4a BDSG) sind solche Kontrollen dann nur zulässig, wenn diese der Durchführung des Arbeitsverhältnisses (§ 32 Abs. 1 BDSG) oder der Wahrung berechtigter Interessen des Arbeitgebers dienen (§ 28 Abs. 1 BDSG). Diese Bewertung von Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisnorm wird sich auch mit der kommenden EU-Datenschutz-Grundverordnung (DS-GVO) nicht ändern. Im Gegenteil: Art. 82 DS-GVO schreibt ausdrücklich vor, dass Betriebsvereinbarungen Regelungen zur Datenverarbeitung am Arbeitsplatz vorsehen dürfen. Einen Überblick zum Beschäftigtendatenschutz nach der GS-GVO finden Sie hier.

Stellt der Arbeitgeber infolge zulässiger und verhältnismäßiger Maßnahmen eine exzessive private Nutzung des Internets fest, kann dies im Einzelfall arbeitsrechtliche Konsequenzen bis hin zu einer außerordentlichen Kündigung rechtfertigen. Denn durch übermäßige private Nutzung des Internets während der Arbeitszeit verletzt der Arbeitnehmer seine Hauptpflicht, zu arbeiten. Ob eine Kündigung wegen unerlaubter oder ausufernder Privatnutzung wirksam ist, hängt dabei immer von den Umständen des Einzelfalls ab.

Die Entscheidung

In dem vom LAG Berlin-Brandenburg entschiedenen Fall hatte der Arbeitgeber dem Arbeitnehmer einen Dienstrechner zur Verfügung gestellt. Der Arbeitgeber hatte die private Nutzung des Internets im Betrieb nur in Ausnahmefällen und nur während der Pausen gestattet. Nach konkreten Hinweisen auf eine Privatnutzung in größerem Maße wertete der Arbeitgeber ohne Zustimmung des Arbeitnehmers dessen Browserverlauf aus. Hierbei stellte sich heraus, dass der Arbeitnehmer innerhalb von 30 Arbeitstagen mindestens 40 Stunden damit verbracht hatte, privat im Internet zu surfen. Selbst nach Abzug der Pausenzeiten hatte der Arbeitnehmer nach den späteren Feststellungen des LAG mindestens 10% seiner Arbeitszeit mit privater Internetnutzung verbracht. Der Arbeitgeber kündigte daraufhin das Arbeitsverhältnis mit dem Arbeitnehmer außerordentlich.

Die Richter bewerteten die außerordentliche Kündigung als rechtmäßig. Hierbei hielten sie sowohl die Speicherung der Browserdaten als auch deren Auswertung für rechtmäßig. Zwar handele es sich bei dem Browserverlauf um personenbezogene Daten. In deren Kontrolle habe der Arbeitnehmer nicht eingewilligt. Allerdings sei eine derartige Datenverwertung nach § 32 Abs. 1 BDSG erlaubt gewesen. Hierbei bewerteten die Landesarbeitsrichter die Datenspeicherung und die anschließende Auswertung als geeignetes, erforderliches und verhältnismäßiges Mittel, um den vorliegenden Verdacht auf Missbrauch des betrieblichen Internet-Zugangs zu überprüfen.

Insbesondere erkannte das LAG Berlin-Brandenburg an, dass der Arbeitgeber im konkreten Fall keine andere Möglichkeit hatte, mit anderen, gleich geeigneten und weniger einschneidenden Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen. Denn der Arbeitnehmer konnte den Umfang der Internetnutzung aus der eigenen Erinnerung nicht mehr präzise rekonstruieren. Pauschale, auf Schätzungen beruhende Angaben genügen dabei nicht.

Auch hoben die Landesarbeitsrichter hervor, dass in Abwesenheit des Arbeitnehmers oder sogar heimlich durchgeführte Kontrollen besonders schwerwiegend in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers eingreifen können. Allerdings sei eine in Anwesenheit des Arbeitnehmers durchgeführte Auswertung des Browserverlaufs auch kein grundsätzlich milderes Mittel gegenüber einer in dessen Abwesenheit durchgeführten Kontrolle. Denn der Arbeitnehmer hat in beiden Fällen keine beachtliche Möglichkeit, den Verlauf oder das Ergebnis der Auswertung zu beeinflussen.

Ein Beweisverwertungsverbot wegen einer denkbaren Übertretung datenschutzrechtlicher Vorschriften oder des TKG lehnte das LAG Berlin-Brandenburg ab. Zwar könnten datenschutzrechtswidrig ermittelte Informationen unter bestimmten Voraussetzungen als Beweismittel ausgeschlossen sein. In dem hier entschiedenen Fall sahen die Richter die Ermittlungsmaßnahmen des Arbeitgebers allerdings als datenschutzrechtskonform an.

Auch einem Beweisverwertungsverbot wegen eines möglichen Verstoßes gegen das TKG erteilten die Richter eine klare Absage. Denn nach Auffassung des LAG Berlin-Brandenburg wird selbst ein Arbeitgeber, der den Arbeitnehmer die private Internet- und E-Mail-Nutzung gestattet, nicht zu einem Telekommunikationsdiensteanbieter im Sinne von § 88 TKG. Denn es fehle in dieser Fallkonstellation an einem geschäftsmäßigen Erbringen von Telekommunikationsdiensten.

Praxistipps

Das Urteil des LAG Berlin-Brandenburg ist eine ausgewogene Entscheidung. Sie zeigt Unternehmen Grenzen und Wege auf, rechtssicher auf betriebliche Internet- und Kommunikationssysteme zuzugreifen. Die Entscheidung zeigt aber auch, dass Unternehmen weiterhin gut beraten sind, klare Vorgaben und Verhaltensregeln für die private Nutzung betrieblicher IT-Systeme aufzustellen, um Unklarheiten von Beginn an zu beseitigen. So weiß der Arbeitnehmer genau, welche Nutzungen, in welchem Umfang, er vornehmen darf. Dadurch entsteht durch ein hohes Maß an Transparenz auch ein gewisser Abschreckungseffekt in Bezug auf missbräuchliche Nutzung der betrieblichen IT-Systeme.

Liegen einem Arbeitgeber Anhaltspunkte für einen Verstoß gegen ein Verbot der Privatnutzung oder gegen verbindliche Verhaltensregeln zur erlaubten Privatnutzung vor, sollte der Arbeitgeber diesen Anhaltspunkten auch nachgehen. Hierzu sind Unternehmen häufig schon aufgrund ihrer gesetzlichen Aufsichtspflichten angehalten. Zudem erfordert jedes wirksame Compliance-Konzept auch wirksame Kontrollen.

Bevor ein Arbeitgeber mit Kontrollmaßnahmen beginnt, sollte er genau prüfen, ob und welche Aufklärungsmaßnahmen datenschutzrechtlich zulässig sind. Hierbei müssen die Ermittler auch beurteilen, ob es für den Arbeitnehmer weniger belastend und für die Ermittlungen gleich erfolgsversprechend ist, den Arbeitnehmer vor oder bei den Ermittlungen einzubinden. Unüberlegtes “Drauf-los-Ermitteln” kann zu erheblichen Strafbarkeitsrisiken oder dazu führen, dass der Arbeitgeber einen klaren Pflichtenverstoß des Arbeitnehmers in einem anschließenden Kündigungsschutzverfahren nicht nachweisen kann.

Das Urteil ist auch deswegen für Unternehmen erfreulich, weil die Richter hervorgehoben haben, dass ein Arbeitgeber nicht zum Telekommunikationsdiensteanbieter wird, wenn er den Arbeitnehmer die private Nutzung der betrieblichen E-Mail- und Internetzugänge erlaubt. Andernfalls könnten Arbeitgeber selbst auf dienstliche E-Mails ihrer Arbeitnehmer kaum noch rechtssicher zugreifen. Unternehmer wären erheblichen strafrechtlichen Risiken ausgesetzt.

Bis zu einer höchstrichterlichen Entscheidung hierzu sind Unternehmen weiterhin gut beraten, die private Internetnutzung entweder vollständig zu verbieten oder rechtliche Risiken durch geeignete Regelungen zu reduzieren oder auszuschließen. Hierzu bieten es sich insbesondere an, eine Betriebsvereinbarung zur E-Mail- und Internetnutzung abzuschließen oder eine entsprechende Richtlinie zu erlassen.

Hier finden Sie einen Überblick sowie eine Checkliste dazu, welche Punkte Sie dabei in der Praxis regeln sollten und können. Gerne können Sie uns bei Fragen auch direkt ansprechen.

Die Entscheidung des LAG Berlin-Brandenburg können Sie hier im Volltext abrufen.

Lesen Sie mehr »

Rubrik: Compliance, Datenübermittlungen, Datenschutz Allgemein, Datenschutz im Internet

Website Compliance: Wettbewerbsrechtliche Haftung für Social-Plugins

Internet (iStock_000005558176Small_quadrat)

Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook „Like“-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der Rechtsprechung mehrerer anderer Gerichte. Für Unternehmen, die auf ihren Online-Auftritten Social-Plugins verwenden, sollte spätestens diese gerichtliche Entscheidung Anlass sein, die Art und Weise der Einbindung der Social-Plugins rechtlich zu prüfen. Lesen Sie mehr »