Arbeitnehmerdatenschutz

Transkript

1 Datenschutzrecht: Arbeitnehmerdatenschutz Referent: Stephan Becker, Rechtsanwalt WRD Berlin Leipziger Platz Berlin Tel.: WRD Hamburg Alte Rabenstraße Hamburg Tel.: WRD Schwerin Dr.-Hans-Wolf-Straße Schwerin Tel.: WRD Dresden Königstraße Dresden Tel.: dresden@wrd.de WRD Frankfurt a. M. Friedrich-Ebert-Anlage Frankfurt Tel.: frankfurt@wrd.de

2 A. Überblick I. Relevanz des Datenschutzes für den Arbeitgeber (AG) II. Gesetze B. Praxisbezug I. Kundendaten II. Arbeitnehmerdaten III. Mitarbeiterüberwachung IV. Einwilligung der Mitarbeiter V. Betriebsvereinbarungen VI. Sanktionen C. Ausblick RA Stephan Becker 2

3 A. Überblick I. Relevanz des Datenschutzes für den Arbeitgeber (AG) 1. Kundendaten Datengeheimnis (Stichwort: LBB und AWD) bei: Erhebung, Speicherung und Auswertung von Kundendaten wie z.b. Name, Anschrift, Telefonnummer, Alter, Geschlecht, Kontonr., Wohnort, Hobbies, Automarke, (quasi alles!) Gesetzliche Verpflichtung über das Datengeheimnis ( 5 BDSG) Vertragliche Verpflichtung (insbes. bei Auftragsdatenverarbeitung 11 BDSG) Datenverlust und falscher Umgang mit Kundendaten durch Arbeitnehmer (AN) Notfallplan bei Datenpannen ( 42a BDSG) Vermeidung von Bußgeldern ( 43 BDSG) RA Stephan Becker 3

4 2. Arbeitnehmerdaten (Stichwort: LIDL Krankheitsdaten 1 ) Arbeitnehmerdaten sind alle Daten über den Arbeitnehmer, u.a. auch Referenzen, Fotos, etc. Korrekte Erhebung und Speicherung der Daten beim Bewerbungsverfahren und danach Stellenausschreibungen und Personalfragebögen müssen rechtssicher formuliert werden, damit nicht für chancenlose Bewerber gezahlt werden muss Arbeitnehmerdatenerhebung, -verarbeitung und -nutzung ( 32 BDSG) welche Daten dürfen zu welchen Zwecken erhoben und genutzt werden? z.b.: Fehlzeiten, Arbeitsergebnisse, Zeiterfassung, Diensthandydaten, GPS-Position, etc. Was ist bei besonderen Daten ( 3 Abs. 9 BDSG) wie rassischer Herkunft, politischer Meinung, religiöser oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben zu beachten? Pesonalaktenführung (Einsichtsrecht des Betriebs- / Personalrats) RA Stephan Becker 4

5 3. Mitarbeiterüberwachung (Stichwort: LIDL und Bahn) Videoüberwachung z.b. bei Kauf- und Warenhäusern, Banken, Parkhäusern, Parkplätzen, Büros, Werkhallen, Lagerräumen, Werksgelände, Bürogebäude und gezielt am Arbeitsplatz Audioüberwachung (z.b. bei Callcentern etc.) Kontrolle der Internet-Nutzung Überprüfung und Archivierung von s Kontodatenabgleich (Stichwort: BAHN Bußgeld in Höhe von 1,1 Millionen Euro) Datenscreening (mit und ohne konkreten Verdacht) Überwachung durch Detektive (z.b. wegen Krankheit, Diebstahl, Mobbing, etc. Stichwort: LIDL Bußgeld in Höhe von 1,5 Millionen Euro 2 ) 1 Spiegel-Online: ( Euro) 2 WELT-Online RA Stephan Becker 5

6 II. Gesetzliche Regelungen 1. Bundesdatenschutzgesetz (insbes. 4, 4a, 5, 28, 32, 42a, 43 BDSG) 2. Allgemeines Gleichbehandlungsgesetz (insbes. 1ff. AGG) 3. Telekommunikationsgesetz (insbes. 88 TKG Fernmeldegeheimnis) 4. Betriebsverfassungsgesetz, Personalvertretungsgesetz (insbes. 87 BetrVG, 75 BPersVG) 5. Grundgesetz (insbes. Art. 2 GG Persönlichkeitsrecht, Recht auf information. Selbstbest. ) 6. Andere Regelungen (z.b. Betriebsvereinbarungen) RA Stephan Becker 6

7 B. Praxisbezug I. Kundendaten 1. 5 BDSG Datengeheimnis zentraler Begriff früher und heute: Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. ALLES KLAR? RA Stephan Becker 7

8 2. Kurz zusammengefasst: AG hat die Pflicht, jeden Mitarbeiter auf das Datengeheimnis zu verpflichten, der mit Daten arbeitet. Unkommentiert ist das Datengeheimnis weder vom AG noch vom AN zu verstehen. Wie können sich die Beteiligten daran halten, wenn ihnen der Umfang nicht klar ist? 5 BDSG gilt auch noch nach Ausscheiden der Mitarbeiter aus dem Unternehmen. Kunden fordern die Verpflichtung nach 5 BDSG vertraglich ein (wegen 11 BDSG). Datenschutzverstöße sind vorprogrammiert! Was ist zu tun? RA Stephan Becker 8

9 3. Lösung: Arbeitsverträge anpassen bzw. zusätzliche Verpflichtungserklärungen entwerfen! Klare Formulierungen finden: WAS IST ERLAUBT und was nicht? Durch angepasste und genau auf das jeweilige Unternehmen zugeschnittene Arbeitsverträge und Verpflichtungserklärungen können Datenschutzverstöße und hohe Bußgelder sowie Imageverlust verhindert werden. Sorgen Sie dafür, dass Sie nicht auch noch für Ex-Mitarbeiter den Kopf hinhalten müssen! RA Stephan Becker 9

10 4. Beispiel: Unter personenbezogenen Daten versteht der Gesetzgeber Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dies sind zum Beispiel Name, Anschrift, -Adresse oder Kontoverbindung. Unbefugt handeln Sie z.b., wenn Sie Daten vom Kunden abfordern, speichern und nutzen, die Sie für die eigentliche Arbeit nicht benötigen. Fordern Sie z.b. die Verdienstmarge eines Autohändlers ab, um festzustellen, welchen Rabatt Sie dort erhalten könnten, handeln Sie unbefugt, wenn die Information für Ihren Auftrag z.b. Erstellung eines Marketingkonzeptes nicht relevant ist. Von diesem Grundsatz darf keine Ausnahme gemacht werden. Insbesondere auch dann nicht, wenn Sie sich mit Freunden oder Bekannten unterhalten. Das Datengeheimnis gilt nicht nur während Ihrer Beschäftigung für unser Unternehmen. Auch nach Beendigung der Tätigkeit müssen Sie diese Regelung einhalten. RA Stephan Becker 10

11 5. Auftragsdatenverarbeitung ( 11 BDSG) Vergeben Sie Aufträge an Sub- oder Nachunternehmer (Lettershop, Maurer, Fotografen, Texter, etc.), sind Sie dafür verantwortlich, dass die Regelungen des Datenschutzes eingehalten werden. Sollte es zu einem Verstoß kommen, müssen Sie ggf. Schadensersatz an den Betroffenen leisten: 11 BDSG: Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. Immer mehr Unternehmen wälzen dieses Haftungsrisiko vertraglich auf den Beauftragten ab. Schützen Sie sich durch angepasste Verträge mit Ihren Auftragnehmern und Ihren Arbeitnehmern, um Bußgelder gem. 43 BDSG zu verhindern, oder aber einen Regressanspruch zu sichern. RA Stephan Becker 11

12 6. Umgang mit Datenpannen ( 42a BDSG) Sollten Ihre Arbeitnehmer einmal einen USB-Stick, das Handy, Notebook, Fotoapparat, Chipkarten, eine mobile Festplatte o.ä. verlieren, oder durch die Verwendung einer falschen Anschrift, E- Mail-Adresse oder anderen Umständen Kundendaten abhanden kommen, sind diese schnell bei einem Dritten, vielleicht sogar schon bald im Internet. Dann trifft Sie zwar die Image schädliche Verpflichtung, dies unverzüglich (ggf. öffentlich) anzuzeigen ( 42a BDSG), sofern Sie aber ausreichende Schutzvorkehrungen getroffen haben, können Sie auch in diesen Fällen oft Bußgelder ( 43 BDSG) verhindern. Treffen Sie daher klare Anweisungen für die Arbeitnehmer zum Umgang mit Kundendaten und Geräten, auf denen sich Kundendaten befinden! Beispielsweise darf ein Firmen-Notebook nie unbeaufsichtigt im Auto zurückgelassen werden oder ins Heimnetzwerk eingebunden werden. RA Stephan Becker 12

13 II. Arbeitnehmerdaten Arbeitnehmerdatenschutz in 32 BDSG seit neu geregelt! Dazu kommen noch zahlreiche Änderungen und Ergänzungen. Schlechte Gesetzgebung birgt ohne rechtliche Beratung erhebliche Unsicherheit Anwendungsbereich des Arbeitnehmerdatenschutzes erheblich ausgedehnt auf manuell erhobene Daten (bislang lediglich z.b. bei elektronischer Datenverarbeitung) Bislang genügte es ( 28 BDSG), dass die Nutzung der Arbeitnehmerdaten der Zweckbestimmung des Arbeitsverhältnisses diente. Nunmehr muss die Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sein ( 32 Abs. 1 S. 1 BDSG). Keine klare Lösung der Fragen zur Überwachung von Mitarbeitern ( 32 Abs. 1 S. 2 BDSG) RA Stephan Becker 13

14 1. Die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses ist in 32 BDSG komplett neu geregelt: (1) S.1 Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. S. 2: Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretung der Beschäftigten bleibt unberührt. RA Stephan Becker 14

15 2. Kodifizierung der Rechtsprechung So neu der 32 BDSG auf den ersten Blick auch erscheinen mag, so stellt er zum großen Teil nur die Wiedergabe von geltendem Richterrecht dar: Im Einzelnen gilt etwa: 32 Abs. 1 S. 1 Alt. 1 BDSG = BAG NZA 1984, 321; NZA 1985, 57; NZA 1996, Abs. 1 S. 1 Alt. 2 BDSG = BAG DB 1987, 1048; NZA 1996, Abs. 1 S. 2 BDSG = BAG NZA 2003, 1193; NZA 2008, Abs. 2 BDSG = BAG DB 1987, 2571; NZA 2006, 269 RA Stephan Becker 15

16 3. Geltung für manuell erhobene Daten Eine bedeutsame Ausweitung des Datenschutzes verbirgt sich in Absatz 2 der neuen Regelung. Bisher: Schutz vor den besonderen Gefahren bestimmter Formen der Datenverarbeitung, wie der elektronischen Datenverarbeitung. Jetzt: Wegfall dieser Voraussetzung es kommt nicht mehr auf die Methode der Datenerhebung an! Konsequenz: 32 BDSG greift in jedem Fall ein, sobald personenbezogene Daten des Mitarbeiters erhoben, verarbeitet oder genutzt werden. RA Stephan Becker 16

17 4. Betroffene Daten und Beispiele: Das betrifft alle Einzelangaben über die persönlichen und sachlichen Verhältnisse des Mitarbeiters, z.b. über dessen Lebenslauf oder sein Arbeits- und Leistungsverhalten. Bloße Befragung oder Beobachtung eines AN durch den Vorgesetzten, einen Detektiv oder bei Torkontrollen reichen aus, wenn hierbei personenbezogene Daten erhoben werden. NEU: Jetzt gelten auch dabei angefertigte handschriftliche Notizen als Speicherung von Daten! Es kommt also nicht mehr auf die Form der Datenverarbeitung an! RA Stephan Becker 17

18 5. Zeitlicher und Persönlicher Anwendungsbereich Zeitlich sind alle Phasen eines Arbeitsverhältnisses, von dessen Anbahnung bis hin zu seiner Abwicklung, von der neuen Generalklausel ( 32 BDSG) erfasst. Über eine Legaldefinition des Begriffs der Beschäftigten im ebenfalls neuen 3 Absatz 11 BDSG wird erreicht, dass die Vorschrift für alle Arten von Beschäftigungsverhältnissen gilt. Neben Arbeitnehmern ( 3 Abs. 11 Nr. 1) fallen insbesondere auch Auszubildende (Nr. 2) und arbeitnehmerähnliche Personen (Nr. 6) in den Anwendungsbereich. Insgesamt hat der neue 3 Abs. 11 acht Ziffern, die u.a. auch Bewerber (Nr. 7) und Beamte (Nr. 8) als Beschäftigte im Sinne des BDSG beschreiben. RA Stephan Becker 18

19 3 Abs. 11 BDSG: Beschäftigte sind: 1. Arbeitnehmerinnen und Arbeitnehmer, 2. zu ihrer Berufsbildung Beschäftigte, Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitan- 3. den), 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte, Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen 6. Gleichgestellten, Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, 7. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie 8. Zivildienstleistende. RA Stephan Becker 19

20 6. Erforderlichkeit als neuer Maßstab i.s.d. 32 Abs.1 S.1 BDSG Um die Frage der Erforderlichkeit zu beantworten muss man sich folgende Frage stellen: Gibt es keine anderen Mittel, die den gleichen Zweck erfüllen, aber weniger in die Rechte der Betroffenen eingreifen? Noch einmal der Gesetzeswortlaut: Die Erhebung, Verarbeitung und Nutzung ist nur dann erlaubt, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für die Durchführung oder Beendigung eines solchen erforderlich ist. RA Stephan Becker 20

21 7. Wann ist die Erhebung, Verarbeitung und Nutzung denn nun zulässig? Typische Juristenantwort: Es kommt darauf an. Und zwar immer auf den konkreten Einzelfall. Daher ist eine verbindliche Aussage pauschal nicht möglich. Als Beispiele für Daten, die für die Entscheidung über die Begründung eines Beschäftigungsvehältnisses erforderlich sind, nennt der Gesetzgeber in seiner Gesetzesentwurfsbegründung z.b. Fragen nach fachlichen Fähigkeiten, Kenntnissen und Erfahrungen. Im Übrigen wird hier auf die bisherige Rechtsprechung des Bundesarbeitsgerichtes (BAG) zum Fragerecht des Arbeitgebers zurückgegriffen werden können, wonach z.b. die Frage nach einer Schwangerschaft grundsätzlich unzulässig ist und auch bleiben wird. RA Stephan Becker 21

22 Weitere Beispiele Im laufenden Arbeitsverhältnis darf der Arbeitgeber jedenfalls alle Daten erheben und verwenden, die er benötigt, um seine vertraglichen Pflichten ggü. den Mitarbeitern erfüllen zu können. Die Gesetzesentwurfsbegründung nennt als Beispiele die Pflichten im Zusammenhang mit der Personalverwaltung, Lohn- und Gehaltsabrechnung. Das sind dann also z.b.: Familienstand (für Gehaltsabrechnung) Kinderzahl (für Gehaltsabrechnung) Religion (für Gehaltsabrechnung) Staatsangehörigkeit (für Meldung an die Krankenkasse) Laut Begründung des Gesetzesentwurfs: Die Neuregelung soll die von der Rechtsprechung bisher aufgestellten Grundsätze zum Datenschutz im Arbeitsrecht lediglich zusammenfassen. RA Stephan Becker 22

23 8. Konsequente Schlussfolgerung: 1. Eine bisher eindeutig zulässige Datennutzung wird auch weiterhin zulässig bleiben, ohne dass der neue Maßstab Erforderlichkeit nun höhere Anforderungen an den Datenschutz im Unternehmen stellt. 2. Alle Fragen, die bisher ungeklärt sind, bleiben dies weiterhin. Im Gegenteil, das neue Gesetz führt durch das unklare Zusammenspiel mit anderen Normen zu noch erhöhter Rechtsunsicherheit. Ungeklärt ist z.b. bisher, wie lange Unterlagen von abgelehnten Bewerbern aufbewahrt werden können. 3. Was bislang verboten war, bleibt auch weiterhin verboten und das sind sehr viele Maßnahmen des Arbeitgebers! RA Stephan Becker 23

24 9. Bewerberdaten und Allgemeines Gleichbehandlungsgesetz (AGG) Bewerberdaten können Beweismaterial für die Abwehr einer Klage nach dem AGG sein, wenn sich jemand bei der Bewerberauswahl wegen Rasse, ethnischer Herkunft, Geschlecht, Religion, Weltanschauung, des Alters oder der sexuellen Identität benachteiligt fühlt ( 1 AGG). Die zum Zwecke der Bewerberauswahl erhobenen Daten ( 32 BDSG) müssten nach Abschluss des Auswahlverfahrens eigentlich gelöscht werden, da sie zunächst nur zum Zwecke der Bewerberauswahl erhoben worden waren. Da der Arbeitgeber die Daten aber eventuell noch als Beweismittel benötigt (was nach 28 BDSG auch zulässig wäre), müsste er dies schriftlich dokumentieren, um einen Datenschutzverstoß und damit Bußgelder nach 43 BDSG zu vermeiden. RA Stephan Becker 24

25 10. Verstoß gegen das AGG Ein Verstoß gegen AGG könnte gleichzeitig ein Verstoß gegen das BDSG darstellen! Folge: Entschädigung und Schadensersatz nach 15 AGG z.b.: 3 Monatsgehälter für ohnehin chancenlose Bewerber, die nicht eingestellt wurden Bußgeld nach 43 BDSG z.b.: Bußgelder bis zu Euro RA Stephan Becker 25

26 11. Umgang mit besonders sensiblen Arbeitnehmerdaten ( 3 Abs. 9 BDSG) Eine Einschränkung des Anwendungsbereichs ergibt sich erst aus der Begründung des Gesetzes: Das Erheben, Verarbeiten und Nutzen besonderer Arten personenbezogener Daten soll sich auch im Arbeitsverhältnis weiterhin nach den strengeren Vorschriften in 28 Abs. 6-8 BDSG richten. Zu diesen besonders sensiblen Daten gehören z.b. politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und Gesundheit des Arbeitnehmers. Während der neue 32 BDSG für andere Daten grundsätzlich die Erforderlichkeit ihrer Verwendung für Zwecke des Arbeitsverhältnisses genügen lässt, ist die Datenerhebung und -verarbeitung in diesem besonderen Bereich ohne Einwilligung des Arbeitnehmers nur in Ausnahmefällen zulässig. Dies wäre im Einzelfall zu prüfen, um Verstöße und Bußgelder zu vermeiden! RA Stephan Becker 26

27 III. Mitarbeiterüberwachung ( 32 Abs. 1 S. 2 BDSG) Auf dem Gebiet der Mitarbeiterüberwachung sah sich der Gesetzgeber wegen der Schlagzeilen über LIDL und Bahn gezwungen. Diese nicht eindeutig formulierte Vorschrift bedeutet für den Unternehmer ohne anwaltliche Beratung erhebliche Rechtsunsicherheit! Hier noch einmal der Gesetzeswortlaut: Zur Aufdeckung von Straftaten dürfen personenbezogene Arbeitnehmerdaten nur dann erhoben, verarbeitet oder genutzt werden, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. ALLES KLAR? RA Stephan Becker 27

28 1. Konkret bedeutet das fünf Voraussetzungen: 1. Verdacht, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, 2. der Verdacht muss sich auf tatsächliche Anhaltspunkte stützen, 3. diese Anhaltspunkte sind zu dokumentieren, 4. die Erhebung, Verarbeitung und Nutzung der Daten muss zur Aufdeckung der Straftat erforderlich sein, 5. schutzwürdige Interessen des Beschäftigten dürfen nicht überwiegen (Verhältnismäßigkeit). RA Stephan Becker 28

29 2. Folgende Fragen sind zu klären: Wie konkret muss der Verdacht gegen den Beschäftigten sein? Wann sind die Grenzen der Erforderlichkeit überschritten? Verhältnismäßigkeit: Welche schutzwürdigen Interessen des Beschäftigten am Ausschluss der Datenerhebung, -verarbeitung und -nutzung sollen überhaupt entgegenstehen können, wenn gegen den Beschäftigten bereits ein konkreter Verdacht einer im Beschäftigungsverhältnis begangenen Straftat besteht und die Datennutzung zur Aufdeckung erforderlich ist? Wir helfen Ihnen gerne bei der Klärung der Fragen zu den verschiedensten Arten von Überwachungsmaßnahmen. Nach der Begründung des Gesetzgebers soll bei der vorzunehmenden Abwägung die Art und Schwere der Straftat und die Intensität des Verdachts zu berücksichtigen sein. RA Stephan Becker 29

30 3. Dokumentationspflichten Eine Dokumentationspflicht sieht die neue Vorschrift nur noch im Zusammenhang mit der Aufklärung von Straftaten in 32 Absatz 1 Satz 2 BDSG vor. Es könnte zu Beweisverwertungsverboten führen, wenn zur Aufklärung von Straftaten erforderlichen tatsächlichen Anhaltspunkte für den Verdacht gegen den Mitarbeiter nicht dokumentiert werden Eine Dokumentation der tatsächlichen Anhaltspunkte einer Straftat ist somit zwingend geboten! Notieren Sie möglichst schriftlich z.b., welche Mitarbeiter bei Diebstählen arbeiteten, welche Personen Zutritt zu bestimmten Räumen hatten, oder welche Mitarbeitern mit bestimmten Kunden zusammengearbeitet haben (Stichwort: Kontodatenabgleich [LIDL, Bahn, Mercedes]). RA Stephan Becker 30

31 4. Videoüberwachung ( 6b, 28 BDSG) Eingangsbereich und restliches Betriebsgelände Parkplatz und Tiefgarage Aufzug und Treppenbereiche Spezielle Sicherheitsbereiche Überwachung am Arbeitsplatz (bei konkretem Verdacht) ABER: Kein ständiger Überwachungs- und Anpassungsdruck (BAG) Nach Gesetzeswortlaut: Nicht verdachtsunabhängig (rein präventiv) und nur räumlich und zeitlich eingeschränkt im Einzelfall zu prüfen, ob Prävention noch möglich! Umgehende Löschung, sofern nicht als Beweismittel erforderlich Grds. keine heimliche Überwachung! RA Stephan Becker 31

32 5. Internet- und nutzung sowie Handyortung Jeder braucht klare Regelungen für den Umgang mit Internet und s Am einfachsten wäre es, private Nutzung komplett zu verbieten, aber es geht auch anders! Archivierung von s ohne Verstoß gegen das Fernmeldegeheimnis ( 88 TKG) ist möglich z.b. durch Trennung von privaten und geschäftlichen -Konten, Erlaubnis zur privaten -Nutzung nur über Fre -Accounts, oder Vergabe von privaten -Adressen. Betriebliche -Adresse, Name und Telefonnummer können grds. auf der Homepage veröffentlicht werden. Fotos nur mit Zustimmung des Arbeitnehmers! Kein Strafbarkeitsrisiko des 206 StGB (Verletzung des Post- und Fernmeldegeheimnisses) bei korrekter Vorgehensweise auch aus Compliance-Gesichtspunkten! Monitoring des Internetsurfens unter bestimmten Voraussetzungen ebenfalls erlaubt! GPS und Handyortung zulässig (sofern nicht heimlich überwacht wird oder private Nutzung erlaubt ist) RA Stephan Becker 32

33 6. Abgrenzung von Straftaten und anderen Rechtsverstößen Schließlich wirft 32 Absatz 1 Satz 2 BDSG die Frage auf, welche Anforderungen an die Aufdeckung anderer Rechtsverstöße zu stellen sind. Überwachungsmaßnahmen kommen in der Praxis nicht nur bei dem Verdacht einer Straftat, sondern ebenso bei dem Verdacht von Ordnungswidrigkeiten oder vor allem auch zur Aufdeckung arbeitsvertraglicher Verstöße durch Mitarbeiter zur Anwendung, die keinen Straftatbestand erfüllen. Die Begründung des Gesetzesentwurfs sieht vor, dass für die Kontrolle der Leistung und des Verhaltens der Beschäftigten auf die allgemeine Regelung des 32 Absatz 1 Satz 1 BDSG zurückgegriffen werden kann. Dazu genügt aber die Erforderlichkeit für die Durchführung oder dessen Beendigung. Auch hier wird es auf die Prüfung des Einzelfalles ankommen, wann ein Datenschutzverstoß vorliegt und wann nicht. Sichern Sie sich rechtzeitig ab, um Bußgelder zu verhindern! RA Stephan Becker 33

34 IV. Einwilligung der Mitarbeiter ( 4a BDSG) Die Möglichkeit, Einwilligungserklärungen der betroffenen Arbeitnehmer einzuholen, bietet sich für Unternehmen insbesondere dann an, wenn Rechtsunsicherheit über die Zulässigkeit der Datenerhebung oder -nutzung besteht. Grundvoraussetzungen für eine wirksame Einwilligung sind gemäß 4a BDSG: eine freie Entscheidung des Betroffenen, ein Hinweis auf den Zweck der Datenerhebung, -verarbeitung oder -nutzung, ggf. ein Hinweis auf die Folgen der Verweigerung der Einwilligung, grds. Einhaltung der Schriftform, gesonderte Hervorhebung, wenn die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt wird. Da die Entscheidung zur Abgabe einer Einwilligungserklärung frei ist und eine erteilte Einwilligung jederzeit widerrufen werden kann, ist jedoch allein durch Einwilligungserklärungen in der Regel kein unternehmenseinheitlicher Umgang mit Mitarbeiterdaten zu erreichen. Dafür gibt es z.b. auch Betriebsvereinbarungen, über die wir Sie bei Bedarf gerne gesondert informieren. RA Stephan Becker 34

35 V. Betriebsvereinbarungen In größeren Unternehmen werden datenschutzrechtlich relevante Sachverhalte häufig auch in Betriebsvereinbarungen geregelt. Eine derartige Vereinbarung kann als andere Regelung Eingriffe in das informationelle Selbstbestimmungsrecht der Arbeitnehmer rechtfertigen. Zugleich schreibt sie aber auch die Grenzen fest, die der Arbeitgeber nicht überschreiten darf. Typische Fälle sind Betriebsvereinbarungen, die die Videoüberwachung, die Nutzung von und Internetdiensten im Betrieb, den Einsatz von Help-Desk-Systemen, Aufzeichnen von Telefonanrufen usw. regeln und festschreiben, wann und wie der Arbeitgeber die Einhaltung dieser Nutzungsregeln kontrollieren darf. Dabei sind arbeitsrechtliche Mitbestimmungsrechte des Betriebs- oder Personalrates zu beachten ( 75 Abs. 3 Nr. 17 BPersVG, 87 Abs. 1 Nr. 6 BetrVG). RA Stephan Becker 35

36 VI. Sanktionen Verstöße gegen 32 BDSG stellen als unbefugte Datenerhebung und -verarbeitung eine Ordnungswidrigkeit gemäß 43 Abs. 2 Nr. 1 BDSG dar. Die maximale Bußgeldhöhe in 43 Abs. 3 BDSG wurde auf Euro angehoben. 38 Abs. 5 BDSG sieht nun auch erweiterte Eingriffsbefugnisse der Aufsichtsbehörden vor. Daneben können sich Unternehmen bei datenschutzrechtlichen Verstößen mit Unterlassens-, Schadensersatz- und bei Persönlichkeitsrechtsverletzungen auch mit Schmerzensgeldansprüchen von Arbeitnehmern konfrontiert sehen. Es gilt also Datenschutzverstöße im Vorfeld zu vermeiden! RA Stephan Becker 36

37 C. Ausblick Schon die Vorgängerregierung hatte sich den Arbeitnehmerdatenschutz auf ihre Fahnen geschrieben. Heraus kamen zahlreiche Änderungen, die allesamt mehr Unsicherheit als Klarheit brachten. Der aktuelle Koalitionsvertrag der neuen Regierung sieht Folgendes vor: Ein moderner Datenschutz ist gerade in der heutigen Informationsgesellschaft von besonderer Bedeutung. Wir wollen ein hohes Datenschutzniveau. Die Grundsätze der Verhältnismäßigkeit, der Datensicherheit und -sparsamkeit, der Zweckbindung und der Transparenz wollen wir im öffentlichen und privaten Bereich noch stärker zur Geltung bringen. Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten. RA Stephan Becker 37

38 Arbeitnehmerdatenschutz Privatheit ist der Kern persönlicher Freiheit. Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen. Es dürfen nur solche Daten verarbeitet werden, die für das Arbeitsverhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Arbeitsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, müssen zukünftig ausgeschlossen sein. Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden. Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten. Wir werden die Entwicklungen weiter beobachten und Sie auf dem Laufenden halten! RA Stephan Becker 38

39 Für Ihr Fragen stehen wir selbstverständlich zur Verfügung Ich danke für Ihre Aufmerksamkeit Stephan Becker, Rechtsanwalt WRD Berlin Leipziger Platz Berlin Tel.: WRD Hamburg Alte Rabenstraße Hamburg Tel.: WRD Schwerin Dr.-Hans-Wolf-Straße Schwerin Tel.: WRD Dresden Königstraße Dresden Tel.: dresden@wrd.de WRD Frankfurt a. M. Friedrich-Ebert-Anlage Frankfurt Tel.: frankfurt@wrd.de