TIM WYBITUL Neue Spielregeln bei - Kontrollen durch den Arbeitgeber Überblick über den aktuellen Meinungsstand und die Folgen für die Praxis

Transkript

1 TIM WYBITUL Neue Spielregeln bei - Kontrollen durh den Arbeitgeber Überblik über den aktuellen Meinungsstand und die Folgen für die Praxis Private Nutzung von dienstlihen -Zugängen Auswertung von s Zugriffsrehte des Arbeitgebers Regelungen für den Umgang mit betrieblihen IT-Systemen Viele Arbeitgeber erlauben Mitarbeitern die private Nutzung des betrieblihen -Zugangs. Es ist umstritten, ob diese Arbeitgeber die s ihrer Mitarbeiter in angemessenem Umfang kontrollieren dürfen oder niht. Die Frage ist für Unternehmen wihtig, da sih die Beteiligten mögliherweise gem. 206 Abs. 1 StGB wegen eines Verstoßes gegen das Fernmeldegeheimnis strafbar mahen. Ein Teil der Fahliteratur und viele Aufsihtsbehörden sehen Arbeitgeber als Diensteanbieter gem. 3 Nr. 6 TKG an, sofern sie ihren Mitarbeitern die private Nutzung des betrieblihen -Zugangs gestatten. 88 TKG verbiete eine Einsihtnahme in die betrieblihen -Aounts von Mitarbeitern. Das LAG Niedersahsen und das LAG Berlin-Brandenburg haben nun in zwei aktuellen Urteilen entshieden, dass Arbeitgeber niht unter das TKG fallen, auh wenn sie die private Nutzung des dienstlihen -Zugangs erlauben. Der vorliegende Beitrag gibt einen Überblik über den aktuellen Meinungsstand und beshreibt die Folgen der neuen Rehtsprehung für die Praxis. Er stellt die rehtlihen Risiken bei -Kontrollen dar und zeigt, wie man diese vermeidet. Zudem gibt der Beitrag konkrete Handlungsempfehlungen zum Umgang mit der derzeitigen Rehtslage. Many employers permit the personal use by employees of their orporate aounts. It is unlear, however, whether and to what extent these employers may ontrol employee ommuniation. This is an important issue for ompanies beause, under Se. 206 subse. 1 of the German Criminal Code, the persons involved an be proseuted for violating serey of teleommuniations laws. So far, employers that permit suh personal use of orporate aounts have been regarded, by prevailing legal literature and German data privay authorities, as teleommuniations servies providers pursuant to Se. 3 No. 6 Teleommuniations At. Under this view, employers are banned by Se. 88 Teleommuniations At from ontrolling orporate aounts that employees may also use for personal purposes. However, the Higher Labor Courts of Lower Saxony and of Berlin-Brandenburg have reently ruled that employers permitting the personal use of orporate aounts are not subjet to the restritions of the Teleommuniations At. In this artile, we provide an overview of the urrent legal situation and desribe the pratial onsequenes of the new ase law. It desribes legal exposure resulting from reviews and suggests how to avoid liability. Moreover, the artile gives onrete advie on how to deal with the present legal situation. I. Gründe für eine angemessene Kontrolle von s Niht selten geraten Unternehmen in Situationen, in denen eine Auswertung betriebliher -Aounts einzelner Mitarbeiter zwekmäßig wäre. 1 Hierfür kann es viele Gründe geben. Die hat den Geshäftsbrief in vielen Branhen bereits weitgehend verdrängt. 2 Daher nehmen s auh einen immer höheren Stellenwert als Beweismittel in Gerihtsverfahren ein. 3 Ein weiterer Anlass kann auh eine entsprehende Nahfrage der Staatsanwaltshaft oder ein vom Unternehmen selbst festgestellter Korruptionsverdaht sein. Zudem fordern US-Gerihte international tätige Unternehmensgruppen im Rahmen sog. Disovery-Verfahren 4 niht selten auf, umfangreihe - 1 Vgl. aus der aktuelleren Lit. zur Überwahung des -Verkehrs im Beshäftigungsverhältnis etwa Seifert, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, 32 Rdnr. 90 ff.; Wybitul, Hdb. Datenshutz im Unternehmen, 2011, Rdnr. 191 ff.; Zöll, in: Taeger/Gabel (Hrsg.), BDSG, 32 Rdnr. 34; Thüsing, Arbeitnehmerdatenshutz und Compliane, 2010, Rdnr. 198 ff.; Däubler, Gläserne Belegshaften?, 5. Aufl. 2010, Rdnr. 325 ff.; Däubler/Klebe/Wedde/Weihert, BDSG, 3. Aufl. 2010, 32 Rdnr. 111 ff.; Gola/Shomerus, BDSG, 10. Aufl. 2010, 32 Rdnr. 18; Gola/Wronka, Hdb. zum Arbeitnehmerdatenshutz, 5. Aufl. 2010, Rdnr. 786 ff.; zur Kontrolle von s zu Compliane-Zweken Shmidt, Compliane in Kapitalgesellshaften, 2010, S. 194 ff.; Mengel, Compliane und Arbeitsreht, 2009, Kap. 4 Rdnr. 14 ff. 2 Vgl. auh Tiedemann, ZD 2011, Vgl. Hilgard, ZIP 2007, 985 ff. 4 Vgl. Hilgard, Justiz 2003, 572 ff.; Hanloser, DuD 2008, 785 ff.; Lux/Glienke,RIW 2010, 603 ff.; Brish/Raue, RDV 2010, 1 ff.; Hilgard, in: Allman/Diana/Prasad/ Rooney (Hrsg.), Eletroni Disovery Deskbook, Lsbl., Stand September 2010, Kap. International Issues, S. 33 ff. 5 Vgl. Joussen, NZA-Beilage 2011, 35, Vgl. Mengel (o. Fußn. 1), Kap. 4 Rdnr. 16. Korrespondenz vorzulegen. Kommt das Unternehmen dieser Aufforderung niht nah, kann es allein aus diesem Grunde einen US-Rehtsstreit verlieren. 130 OWiG verpflihtet Unternehmensinhaber zu Aufsihtsmaßnahmen, um im Unternehmen Straftaten und Ordnungswidrigkeiten zu verhindern. Auh im Rahmen interner Ermittlungen zur Aufdekung mögliher Rehtsverstöße im Unternehmen kann die Auswertung von geshäftlihen s zwekmäßig sein. Zudem kann etwa auh eine unvorhergesehene Abwesenheit eines Mitarbeiters die Bearbeitung liegen gebliebener s erfordern. Der vorliegende Beitrag zeigt, dass solhe Kontrollen nah der neueren Rehtsprehung durhaus zulässig sein können jedenfalls, sofern der Arbeitgeber die Persönlihkeitsrehte seiner Arbeitnehmer in angemessener Weise wahrt. Eine dauerhafte Überwahung des TK-Verhaltens wäre dagegen im Hinblik auf das allgemeine Persönlihkeitsreht unzulässig. 5 An einer Kontrolle privater s kann ein Unternehmen zudem allenfalls in Ausnahmefällen ein berehtigtes Interesse haben. 6 Anlasslose Auswertungen, aus Neugier motivierte Kontrollen oder eine gezielte Bespitzelung einzelner Mitarbeiter erfüllen niht die nahstehend näher beshriebenen rehtlihen Anforderungen an -Kontrollen. II. Die private Nutzung des betrieblihen -Zugangs als Regelfall Die Praxis zeigt, dass viele Unternehmen ihren Mitarbeitern die Nutzung betriebliher -Systeme niht verbieten oder Verbote niht konsequent durhsetzen. Oft ersheint ein vollständi- ZD 2/2011 Wybitul: Neue Spielregeln bei -Kontrollen durh den Arbeitgeber 69

2 ges Verbot der privaten Nutzung von s wenig zeitgemäß. Daher erlauben viele Arbeitgeber ihren Mitarbeitern die Verwendung des betrieblihen -Aounts zumindest in eingeshränktem Umfang auh für private Zweke. In der Praxis stellt sih bei erlaubter oder geduldeter Privatnutzung das Problem, wie das Unternehmen dienstlihe von privaten s untersheiden soll. Falls sih die privaten niht von den dienstlihen s trennen lassen, so sollen nah einer in der Literatur weit verbreiteten Ansiht sämtlihe s dem Fernmeldegeheimnis und damit einem weitgehenden Kontrollverbot unterliegen. 7 Der Gesetzentwurf der Bundesregierung zur Neuregelung des Beshäftigtendatenshutzes v regelt in seiner bislang diskutierten Fassung lediglih die ausshließlih zu beruflihen oder dienstlihen Zweken erlaubte Nutzung von TK- Diensten im Beshäftigungsverhältnis. 9 Der vorliegende Beitrag konzentriert sih hingegen auf die rehtlihen Anforderungen an -Kontrollen von Unternehmen, die ihren Mitarbeitern auh die private Nutzung des dienstlihen -Zugangs erlauben oder diese zumindest dulden. III. Prüfung der Rehtslage vor der Durhführung von -Kontrollen Unternehmen, die sih der Notwendigkeit ausgesetzt sehen, s ihrer Mitarbeiter zu überprüfen, sollten im Vorfeld stets die rehtlihe Zulässigkeit jeder einzelnen konkret beabsihtigten Maßnahme prüfen. Der nahstehende Überblik zeigt, welhe Punkte Unternehmen beahten müssen, bevor sie eine angemessene -Kontrolle durhführen dürfen. Dabei sind Fragen des Straf-, TK- und Datenshutzrehts zu klären. Hier lag in der Vergangenheit für Unternehmen ein erhebliher Unsiherheitsfaktor. Denn bislang hatten deutshe Gerihte die entsheidende Frage niht beantwortet, ob sih Arbeitgeber mögliherweise strafbar mahen, sofern sie s ihrer Mitarbeiter auswerten. Gem. 202a StGB ist das Ausspähen von Daten strafbar. 206 StGB stellt zudem die Verletzung des Fernmeldegeheimnisses unter Strafe. Die Fahliteratur vertritt zu den Anforderungen beider Normen untershiedlihe Standpunkte. 10 Bislang ist zwar zu der strafrehtlihen Einordnung der Durhsiht und Überprüfung von privat genutzten dienstlihen -Zugängen für Mitarbeiter keine einheitlihe Rehtsprehung ersihtlih. 11 Allerdings haben das LAG Niedersahsen 12 und das LAG Berlin-Brandenburg 13 nun in zwei aktuellen Urteilen konkrete Vorgaben für die rehtlihe Zulässigkeit der Auswertung der -Aounts von Arbeitnehmern gemaht. Diese Entsheidungen könnten künftig deutlih mehr Rehtssiherheit gewährleisten. IV. Ausspähen von Daten, 202a Abs. 1 StGB Nah 202a Abs. 1 StGB maht sih strafbar, wer sih unbefugt Zugang zu Daten vershafft, die niht für ihn bestimmt und gegen unberehtigten Zugang besonders gesihert sind. Die Durhsiht dienstliher oder privater s ist nah rihtiger Ansiht kein strafbares Ausspähen von Daten. Hinsihtlih s mit dienstlihem Inhalt liegt eine Verfügungsberehtigung des Arbeitgebers vor. 14 Dennoh sollten die an einer -Kontrolle Beteiligten mit Blik auf die Anforderungen des Datenshutzes stets darauf ahten, dass sie keine s mit erkennbar rein privatem Inhalt sihten oder auswerten. 15 Eine möglihe Strafbarkeit der Beteiligten bezüglih privater s kommt niht in Betraht, da das in 202a StGB vorausgesetzte Tatbestandmerkmal der besonderen Zugangssiherung niht verwirkliht ist. Dies gilt selbst dann, wenn der Arbeitnehmer seinen Arbeitsplatzrehner bzw. seinen betrieblihen -Aount mit einem von ihm zu vergebenden Passwort shützt. Das LAG Hamm hat bezüglih des Rehners eines Arbeitnehmers eine solhe Einrihtung eines Passworts zutreffend als nah 9 Satz 1 BDSG vorgeshriebene Maßnahme der Datensiherung beurteilt, die nihts daran ändere, dass der Arbeitgeber in der Person des Administrators weiterhin Zugriff auf diese Dateien hat. 16 Keineswegs kann ein Arbeitnehmer ohne Hinzutreten besonderer Umstände darauf vertrauen, der Arbeitgeber wolle ihm einen geshützten persönlihen Freiraum zur Verfügung stellen, der auh dem Zugriff des Arbeitgebers entzogen bleibt. 17 Für geshäftlihe Zweke eingerihtete - Postfäher von Mitarbeitern sind gegenüber dem Arbeitgeber in der Regel niht besonders gegen Zugang durh den Arbeitgeber gesihert. Damit ist die Durhsiht von s i.r.v. -Kontrollen rihtigerweise niht gem. 202a Abs. 1 StGB strafbar. An einer Strafbarkeit nah 202a Abs. 1 StGB soll es nah der Fahliteratur grundsätzlih auh dann fehlen, wenn ein Arbeitgeber tatsählih private s seiner Mitarbeiter liest. 18 V. Verletzung des Post- oder Fernmeldegeheimnisses, 206 Abs. 1 StGB Nah 206 Abs. 1 StGB maht sih strafbar, wer unbefugt einer anderen Person eine Mitteilung über Tatsahen maht, die dem Post- oder Fernmeldegeheimnis unterliegen. 19 Zudem müssen diese Tatsahen der Person als Inhaber oder Beshäftigten eines Unternehmens bekanntgeworden sein, welhes geshäftsmäßig Post- oder TK-Dienste erbringt. Eine wesentlihe Voraussetzung für eine Strafbarkeit nah 206 Abs. 1 StGB wäre somit, dass Arbeitgeber, die ihren Arbeitnehmern die private Nutzung der betrieblihen -Systeme gestatten, dadurh zu Unternehmen werden, welhe geshäftsmäßig TK-Dienste erbringen. 1. Diensteanbieter als Tatbestandsmerkmal einer Strafbarkeit nah 206 Abs. 1 StGB Soweit ersihtlih, differenzieren weder Rehtsprehung noh Fahliteratur zwishen dem in 206 Abs. 1 StGB verwendeten Tatbestandsmerkmal der Unternehmen, die TK-Dienste erbrin- 7 Vgl. etwa Lindemann/Simon, BB 2001, 1950, 1953; Koh, NZA 2008, 911, 912; Wellhöner/Byers, BB 2009, 2310; Vietmeyer/Byers, MMR 2010, 807; Gola/Wronka (o. Fußn. 1), Rdnr. 744 ff.; Wedde, in: Däubler/Klebe/Wedde/Weihert (o. Fußn. 1), 32 Rdnr. 116; Däubler (o. Fußn. 1), Rdnr BT-Drs. 535/10 sowie BT-Drs. 17/ Eine knappe Kommentierung des Gesetzentwurfs gibt Wybitul (o. Fußn. 1), S. 411 ff. 10 Vgl. zum Meinungsstand etwa Thüsing (o. Fußn. 1), Rdnr. 198 ff. 11 Vgl. allerdings OLG Karlsruhe MMR 2005, 178 ff. m. Anm. Heidrih. 12 LAG Niedersahsen MMR 2010, 639 ff. m. Anm. Tiedemann. 13 LAG Berlin-Brandenburg ZD 2011, 43 ff. m. Anm. Tiedemann. 14 So auh LAG Berlin-Brandenburg ZD 2011, 43 m. Anm. Tiedemann. I.E. ähnlih auh Gola/Wronka (o. Fußn. 1), Rdnr. 787, nah denen dienstlihe -Korrespondenz als Teil der Unternehmenskommunikation dem Unternehmen zusteht. 15 Wie später noh gezeigt wird, ist ein solhes Vorgehen im Hinblik auf die datenshutzrehtlihen Anforderungen des geltenden 32 BDSG an -Kontrollen unumgänglih. 16 LAG Hamm, RDV 2005, 170 ff., Rdnr LAG Hamm, RDV 2005, 170 ff., Rdnr Bekshulze, DB 2003, 2777, 2783; Shuster, ZIS 2010, 68, 70; Salvenmoser/ Shreier, in: Hdb. Wirtshaftsstrafreht, 2. Aufl. 2008, S. 1252; Shmidl, in: Haushka (Hrsg.), Corporate Compliane, 2. Aufl. 2010, 29 Rdnr Allerdings wirft ein solhes Vorgehen in Bezug auf 32 BDSG erheblihe Probleme auf, s. unter VI. 19 Das Durhsehen von privaten s könnte zwar auh zu einer Strafbarkeit gem. 206 Abs. 2 Nr. 1 StGB führen. Danah maht sih strafbar, wer eine vershlossene Sendung öffnet oder sih sonst von ihrem Inhalt Kenntnis vershafft. Hingegen werden s rihtigerweise niht als vershlossene Sendungen angesehen, vgl. Löwish, DB 2009, 2782, Wybitul: Neue Spielregeln bei -Kontrollen durh den Arbeitgeber ZD 2/2011

3 gen und dem Begriff des Diensteanbieters gem. 3 Nr. 6 TKG. 20 Beide Begriffe werden oft dekungsgleih verwendet Fahliteratur: Sind Arbeitgeber Diensteanbieter? Wenn man Arbeitgeber niht als Diensteanbieter gem. 3 Nr. 6 TKG einordnen kann, kommt somit rihtigerweise auh eine Strafbarkeit nah 206 Abs. 1 StGB wegen Verletzung des Fernmeldegeheimnisses niht in Frage. Daher müssen sih Unternehmen vor der Durhführung einer -Kontrolle bei erlaubter Privatnutzung die Frage stellen, ob sie Diensteanbieter i.s.d. TKG sind. Gem. 3 Nr. 6 TKG ist Diensteanbieter jeder, der ganz oder teilweise geshäftsmäßig TK-Dienste erbringt oder an der Erbringung solher Dienste mitwirkt. Der nahstehende Überblik fasst die untershiedlihen Meinungen zusammen und zeigt deren Folgen für die Praxis auf. a) Noh herrshende Literaturmeinung: Arbeitgeber können Diensteanbieter sein In der Fahliteratur ist umstritten, ob Arbeitgeber, die ihren Arbeitnehmern die private Nutzung dienstliher -Systeme gestatten, als Diensteanbieter einzuordnen sind. 22 Die bislang wohl noh h. M. geht davon aus, dass diese Arbeitgeber als Anbieter von TK-Dienstleistungen zu qualifizieren seien Vgl. etwa Kargl, in: Kindhäuser/Neumann/Paeffgen (Hrsg.), StGB, 3. Aufl. 2010, 206 Rdnr. 8 ff., oder auh Lenkner/Eisele, in: Shönke/Shröder, StGB, 206 Rdnr. 8, die zutreffend darauf hinweisen, dass 206 StGB und 3 Nr. 6 TKG entgegen der Gesetzesbegründung niht vollständig dekungsgleih sind. Jedenfallswirdderin 206Abs. 1StGBvorausgesetzte Begriff der Unternehmen, die TK- Dienste erbringen, bereits im Hinblik auf den strafrehtlihen Bestimmtheitsgrundsatz, Art. 103 Abs. 2 GG, 1 StGB, niht weitgehender sein können als der des Diensteanbieters gem. 3 Nr. 6 TKG. 21 Vgl. etwa LAG Berlin-Brandenburg, ZD 2011, 43, 46 m. Anm. Tiedemann. 22 Die diese Frage bejahende Ansiht geht u.a. zurük auf Königshofen, RDV 1997, 97; Post-Ortmann, RDV 1999, 102 ff.; Gola, NJW 1999, 3753, 3755; aktuell vertreten etwa von Lenkner/Eisele (o. Fußn. 20), m.w.nw.; einen guten Überblik über die Vertreter dieser Ansiht gibt Thüsing (o. Fußn. 1), Rdnr. 221, Fußn Statt aller Seifert (o. Fußn. 1), 32 Rdnr. 92 m.w.nw. 24 So etwa Wolf/Mulert, BB 2008, 442, 446; Bekshulze, DB 2007, 1526; Mengel/Ulrih, NZA 2006, 240, Folgt man dieser Ansiht, die beim konkreten Verdaht von Straftaten - Kontrollen erlauben will, könnte man auh argumentieren, dass eine Strafbarkeit in solhen Fällen daran sheitert, dass der Handelnde eben niht unbefugt i.s.v. 206 Abs. 1 StGB gehandelt hat. 26 VGH Kassel MMR 2009, 714 ff. 27 Bekshulze, DB 2009, 2097, Vgl. Hoppe/Braun, MMR 2010, 80, 82; Kremer/Mayer-van Raay, ITRB 2010, 133, Barton, CR 2004, 305, 310; Gramlih, RDV 2001, 123, 124, Grobys, BB 2003, 682, 683; Haußmann/Krets, NZA 2005, 259, 260; Shimmelpfennig/Wennig, DB 2006, 2290 ff.; Seffer/Shneider, ITRB 2007, 264, 265; Löwish, DB 2009, 2782 ff.; Thüsing (o. Fußn. 1), Rdnr. 220 ff.; Wybitul (o. Fußn. 1), Rdnr. 191 ff.; Tepass, DB 2011, Online-Kommentar DB BAG NZA 2008, 1008 ff., Rdnr BAG NZA 2011, 571 ff., Rdnr So auh Thüsing (o. Fußn. 1), Rdnr So auh Thüsing (o. Fußn. 1), Rdnr Nr. 10 TKG ist deshalb maßgeblih, weil die Regelung bestimmt, was unter dem geshäftsmäßigen Erbringen von Telekommunikationsdiensten zu verstehen ist. 35 Kleszewski, in: Säker (Hrsg.), BerlKommTKG, 2. Aufl. 2009, 91 Rdnr Kleszewski (o. Fußn. 35 ), 91 Rdnr Vgl.Däubler (o. Fußn. 1), Rdnr Wenn man Arbeitgeber als Diensteanbieter einstuft, stellt sih die Frage, ob das Fernmeldegeheimnis ohne Ausnahmen gelten soll. Zwishen den Befürwortern einer Einordnung als Diensteanbieter ist z.b. im Streit, ob -Kontrollen trotz 88 TKG ausnahmsweise dann zulässig sein sollen, wenn der konkrete Verdaht einer Straftat oder des Verrats von Geshäftsgeheimnissen besteht. 24 Geht man allerdings von einer Anwendbarkeit des TKG im Arbeitsverhältnis aus,sokommen -kontrollen wohl auh beim konkreten Verdaht von Straftaten niht in Betraht. Denn die Verwendung von -Inhalten ist nah 88 Abs. 3 Satz 3 TKG nur zulässig, soweit das TKG oder eine andere gesetzlihe Vorshrift dies vorsieht. Zudem muss sih eine solhe Erlaubnisnorm nah dem Wortlaut der Regelung ausdrüklih auf TK-Vorgänge beziehen. 25 Eine weitere Auffassung differenziert in Anlehnung an einen Beshluss des VGH Kassel v danah, ob der Mitarbeiter die Möglihkeit hatte, von der -Kommunikation Kenntnis zu nehmen. Denn das Fernmeldegeheimnis shütze nur die laufende Kommunikation liege eine dagegen auf dem Server und hatte der Mitarbeiter bereits die Möglihkeit, diese abzurufen, komme eine -Kontrolle grundsätzlih in Betraht. 27 Gegen diese Ansiht wird allerdings vorgebraht, dass der Mitarbeiter selbst in der Praxis oft tehnish gar keine Möglihkeit hat, s endgültig vom Server des Systembetreibers zu löshen. 28 b) Gegenmeinung: Arbeitgeber sind grundsätzlih keine Diensteanbieter Die Gegenansiht lehnt eine Anwendung der Vorshriften des TKG auf Arbeitgeber hingegen mit untershiedlihen Begründungen ab TKG zählt zu den Datenshutzvorshriften im TK-Reht, shützt also das allgemeine Persönlihkeitsreht nah Art. 2 Abs. 1 GG i.v.m. Art. 1 Abs. 1 GG. Das allgemeine Persönlihkeitsreht des Arbeitnehmers wird aber nah der ständigen RehtsprehungdesBAG eben niht shrankenlos gewährleistet. 30 Eingriffe in das Persönlihkeitsreht des Arbeitnehmers können durh die Wahrnehmung überwiegender shutzwürdiger Interessen des Arbeitgebers gerehtfertigt sein bei einer Kollision mit den Interessen des Arbeitgebers ist durh eine Güterabwägung im Einzelfall zu ermitteln, ob das Persönlihkeitsreht Vorrang verdient oder niht. 31 Eine solhe Abwägung sieht das TKG aber eben niht vor. Auh der Wortlaut von 3 TKG spriht letztlih eher gegen eine Einordnung von Arbeitgebern. 3 Nr. 6 TKG setzt voraus, dass Diensteanbieter TK-Dienste erbringen. Gem. 3 Nr. 24 TKG müssen solhe TK-Dienste in der Regel gegen Entgelt erbraht werden. Dies spriht gegen eine Einordnung von Arbeitgebern als Diensteanbieter. Denn es ist eben niht der Regelfall, dass Arbeitgeber von ihren Arbeitnehmern für die Nutzung der dienstlihen -Systeme ein Entgelt verlangen dies dürfte allenfalls in Ausnahmefällen vorkommen. 32 Zudem würde die Einordnung von Arbeitgebern als Diensteanbieter voraussetzen, dass Arbeitnehmer Dritte i.s.v. 3 Nr. 10 TKG wären. 33 Nah dieser Norm kann nur Diensteanbieter sein, wer Dritten nahhaltig Telekommunikation anbietet. 34 Das TKG selbst definiert den Begriff des Dritten niht näher. Dies legt einen Rükgriff auf die entsprehende Begriffsbestimmung im BDSG nahe. Denn sofern es im TKG an speziellen Regelungen zum Datenshutz fehlt, sind die Vorshriften des BDSG ergänzend heranzuziehen. 35 Demnahsinddie 1bis11BDSGi.R.v. TK-Vorgängen ebenso anwendbar wie die 33 ff. BDSG, soweit die 92 ff. TKG keine abweihenden, spezielleren Regelungen enthalten. 36 Nah 3 Abs. 8 Satz 2 BDSG ist Dritter jede Person oder Stelle außerhalb der verantwortlihen Stelle, also außerhalb des Unternehmens. Demensprehend liegt etwa auh dann keine Übermittlung i.s.v. 3 Abs. 4 Satz 2 Nr. 3 BDSG vor, wenn personenbezogene Daten innerhalb der verantwortlihen Stelle von einem Mitarbeiter an einen anderen weitergegeben werden, der gleihermaßen mit einer Angelegenheit befasst ist. 37 Ein Arbeitnehmer, der den vom Arbeitgeber zur Verfügung gestellten betrieblihen -Zugang nutzt, tut dies niht als Dritter, sondern als Teil des Unternehmens. Eine Einordnung des Arbeitnehmers als Dritter i.s.v. 3 Nr. 10 TKG sowie des Arbeit- ZD 2/2011 Wybitul: Neue Spielregeln bei -Kontrollen durh den Arbeitgeber 71

4 gebers als Unternehmen, welhes i.s.v. 206 Abs. 1 StGB geshäftsmäßig TK-Dienste erbringt, sheidet damit rihtigerweise aus. 3. Auswertung der Rehtsprehung Gerade angesihts der uneinheitlihen Ansihten in der Fahliteratur ist eine Auswertung der Rehtsprehung umso wihtiger. Bislang sind keine Entsheidungen von Strafgerihten dazu bekannt, ob -Kontrollen durh Arbeitgeber trotz erlaubter Privatnutzung zu einer Strafbarkeit nah 206 StGB führen können. Allerdings gibt es durhaus Entsheidungen von Gerihten, die sih mit der rehtlihen Einordnung von Arbeitgebern befassen, die ihren Mitarbeitern die private Nutzung der betrieblihen -Systeme erlauben. Im Ergebnis bestätigt diese Rehtsprehung die Ansiht, dass Arbeitgeber keine Diensteanbieter i.s.v. 3 Nr. 6 TKG sind. a) OLG Karlsruhe: B. v und VG Karlsruhe: U. v Das OLG Karlsruhe 38 und nahgehend das VG Karlsruhe 39 hatten über einen Fall zu entsheiden, in dem eine Hohshule ihren Mitarbeitern und Studenten sowie der Informatik-Hohshulgruppe, also auh hohshulfremden Dritten, IT-Systeme nebst -Zugängen zur Verfügung stellte. Da die Universität gegenüber Dritten TK-Dienste erbrahte, stuften beide Gerihte sie rihtigerweise als Diensteanbieter ein. Zu der Frage, ob dies auh für Arbeitgeber im Verhältnis zu Arbeitnehmern gelten solle, mahen beide Entsheidungen hingegen keine Ausführungen. 40 b) VGH Kassel: B. v Der VGH Kassel hat in seinem bereits angesprohenen Beshluss zur Reihweite des Fernmeldegeheimnisses ausdrüklih offen gelassen, ob Arbeitgeber dem TKG unterliegen, und spriht von einer lediglih möglihen Eigenshaft als Diensteanbieter. 41 Auh die Vorinstanz hatte diese Frage ausdrüklih offen gelassen. 42 ) LAG Niedersahsen: U. v Das LAG Niedersahsenhatte übereinenfallzu entsheiden, in dem eine Gemeinde das Arbeitsverhältnis mit einem stellvertretenden Bauamtsleiter wegen exzessiver privater -Nutzung gekündigt hatte. 43 Im Kündigungsshutzprozess legte die Gemeinde umfangreihe s vor, die sie bei einer Überprüfung des Arbeitsplatzrehners des Arbeitnehmers gefunden hatte. Danah hatte der Kläger während seiner Arbeitszeit täglih bis zu 173 private s erhalten und zumindest teilweise auh beantwortet. 44 Hierzu führte die Kammer Folgendes aus: Der mit a. a 4.800, brutto im Monat vergütete Kläger konnte und durfte niht annehmen, dass es von der beklagten Gemeinde toleriert wird, wenn er den gesamten Arbeitstag versuht, private (erotishe) Kontakte über das dienstlihe -System anzubahnen. 45 Das LAG Niedersahsen prüfte in seinem Urteil auh, ob die von der beklagten Gemeinde in den Kündigungsshutzprozess eingeführten s einem Verwendungs- und Verwertungsverbot unterlagen. Dies verneinte die Kammer. Die Gemeinde habe 88 TKG niht verletzt, da sie eben niht als Diensteanbieter i.s.d. TKG anzusehen sei. Gestatte ein Arbeitgeber seinen Mitarbeitern, den Arbeitsplatzrehner auh zum privaten -Verkehr zu nutzen, unterliege der Zugriff des Arbeitgebers oder von Dritten niht dem Fernmeldegeheimnis, sofern der Mitarbeiter die s niht unmittelbar nah Eingang oder der Versendung gelösht, sondern im Posteingang oder Postausgang belassen habe oder anderweitig abgespeihert habe. In diesen Fällen sei der eigentlihe Übertragungsvorgang abgeshlossen und niht mehr das Fernmeldegeheimnis anwendbar, sondern das Grundreht auf informationelle Selbstbestimmung sowie das Grundreht auf Gewährleistung der Vertraulihkeit und der Integrität informationstehnisher Systeme. Bei einer Kollision des allgemeinen Persönlihkeitsrehts des Arbeitnehmers mit den Interessen des Arbeitgebers sei durh eine Güterabwägung im Einzelfall zu ermitteln, ob das allgemeine Persönlihkeitsreht des Arbeitnehmers den Vorrang verdiene. 46 Das LAG Niedersahsen hält in seinem Urteil klar fest, dass es Arbeitgeber auh dann niht als Diensteanbieter gem. 3 Nr. 6 TKG ansieht, wenn diese ihren Arbeitnehmern die private Nutzung der betrieblihen -Systeme erlauben. d) LAG Berlin-Brandenburg: U. v Ähnlih beurteilte das LAG Berlin-Brandenburg 47 die Frage nah der Einordnung von Arbeitgebern als Diensteanbieter. In dem fraglihen Fall musste ein Unternehmen auf die s einer Arbeitnehmerin zugreifen. Die Arbeitnehmerin war Verkaufsberaterin in einem Betrieb der Automobilindustrie. Entgegen einer geltenden Betriebsvereinbarung hatte sie keine Regelung für die Bearbeitung ihrer dienstlihen s bei längerer Abwesenheit getroffen. Die Arbeitgeberin trug vor, sie habe mehrfah erfolglos versuht, die Arbeitnehmerin wegen der Bearbeitung von Kunden- s zu kontaktieren. Als ihr dies auh nah etwa zwei Monaten niht gelang, wurde der betrieblihe -Zugang geöffnet. Dienstlihe s wurden im Beisein eines Betriebsratsmitglieds geöffnet und ausgedrukt. Die Arbeitnehmerin verklagte daraufhin ihre Arbeitgeberin. Diese sollte verurteilt werden, künftige Zugriffe zu unterlassen. Sowohl das ArbG Berlin als auh das LAG Berlin-Brandenburg wiesen die Klage ab. Das LAG Berlin-Brandenburg bezeihnet in seinem Berufungsurteil die bereits dargestellte Ansiht des LAG Niedersahsen,dass Arbeitgeber, die ihren Arbeitnehmern neben der betrieblihen auh die private Nutzung des dienstlihen -Aounts gestatten, keine Diensteanbieter i.s.d. TKG sind, sehr forsh als herrshende Auffassung. Die Beklagte erbringe keine geshäftsmäßigen TK-Leistungen. 48 Die Kammer stellte zudem klar, dass die beklagte Arbeitgeberin auh kein Unternehmen i.s.v. 206 Abs. 1 StGB sei, welhes geshäftsmäßig Post- oder TK-Dienste erbringe. Selbst wenn man Arbeitgeber, die ihren Arbeitnehmern die private Nutzung der betrieblihen -Systeme gestatten, als Diensteanbieter ansähe, seien s von Mitarbeitern nah Abshluss des Kommunikationsvorgangs niht vom Fernmeldegeheimnis nah Art. 10 Abs. 1 GG und 88 TKG geshützt. Der Shutz des Fernmeldegeheimnisses endet in dem Moment, in dem die beim Empfänger ankommt und der Übertragungsvorgang beendet ist. Der TK-Vorgang sei abgeshlossen, sobald der Kommunikationsteilnehmer die Möglihkeit hatte, auf die fraglihen s zuzugreifen. 49 Auh eine Strafbarkeit nah 202a StGB wegen Ausspähens von Daten komme vorliegend niht in Betraht. 50 Der fraglihe Zugriff auf dienstlihe 38 OLG Karlsruhe MMR 2005, 178 ff. m. Anm. Heidrih. 39 VG Karlsruhe MMR 2008, 362 ff. 40 SoauhThüsing (o. Fußn. 1), Rdnr. 224; DeWolf, NZA 2010, 1206, VGH Kassel MMR 2009, VG Frankfurt/M. CR 2009, LAG Niedersahsen MMR 2010, 639 ff.; vgl. auh Stük, AuA 2011, 442; Hülbah, ArbRB 2011, 300, 301; krit. zu der Entsheidung Tiedemann, MMR 2010, 641, LAG Niedersahsen MMR 2010, 639 ff. m. Anm. Tiedemann. 45 LAG Niedersahsen (o. Fußn. 44). 46 LAG Niedersahsen (o. Fußn. 44). 47 LAG Berlin-Brandenburg ZD 2011, 43 ff. m. Anm. Tiedemann. 48 LAG Berlin-Brandenburg (o. Fußn. 47). 49 LAG Berlin-Brandenburg (o. Fußn. 47). 50 LAG Berlin-Brandenburg (o. Fußn. 47). 72 Wybitul: Neue Spielregeln bei -Kontrollen durh den Arbeitgeber ZD 2/2011

5 s betreffe Daten, die dem Arbeitgeber zuzuordnen seien, weil sie eben für den Arbeitgeber bestimmt seien. 51 Die Kammer bezweifelte zwar, ob das Öffnen und Ausdruken dienstliher s überhaupt den Shutzbereih des in Art. 2 Abs. 1 GG i.v.m. Art. 1 Abs. 1 GG gewährleisteten Persönlihkeitsreht berühre. Dennoh untersuhte das LAG, obdie fraglihe -Kontrolle für die Aufrehterhaltung eines ungestörten Arbeitsablaufs geeignet, erforderlih und verhältnismäßig war. Damit prüfte diekammer letztlih die Anforderungen von Datenverarbeitungen für Zweke der Durhführung des Beshäftigungsverhältnisses gem. 32 Abs. 1 Satz 1 BDSG. 52 Das Urteil des LAG Berlin-Brandenburg istimergebniszubegrüßen. 53 Es beantwortet eine Vielzahl bislang von der Rehtsprehung ungeklärter Fragen. Allerdings wäre angesihts der gegenteiligen Rehtsauffassung der Datenshutzaufsihtsbehörden und der überwiegenden Fahliteratur eine detailliertere Begründung zwekmäßig gewesen. 54 Bedauerlih ist zudem, dass die Kammer eine Revision durh das BAG mit der Begründung niht zugelassen hat, dass das LAG die höhstrihterlihe Rehtsprehung zu Grunde gelegt habe. Denn gefestigte höhstrihterlihe Rehtsprehung wäre dringend notwendig, um Unternehmen und Arbeitnehmern eine gewisse Rehtssiherheit zu geben. Damit greift auh der bisherige Ansatz des Gesetzentwurfs der Bundesregierung zur Regelung des Beshäftigtendatenshutzes 55 zu kurz. Denn 32i BDSG-E soll in seiner bisherigen Fassung lediglih den Umgang mit s bei verbotener Privatnutzung regeln. Es bleibt zu hoffen, dass der Gesetzgeber hier noh nahlegt. VI. Ergebnis: Neue Spielregeln bei der Kontrolle von s Den Entsheidungen des LAG Niedersahsen und des LAG Berlin-Brandenburg ist letztlih zuzustimmen. Eine präzise Auslegung von 3 TKG spriht in der Tat dagegen, Arbeitgeber als Diensteanbieter gem. 3 Nr. 6 TKG einzuordnen. Die Ansiht der Landesarbeitsgerihte führt auh zu Lösungen, die systematish im Einklang mit den Anforderungen des BAG stehen. Ein starres Verbot jeder Kontrolle betriebliher -Zugänge nah 88 TKG könnte den vom BAG grundsätzlih geforderten angemessenen Ausgleih zwishen den Interessen des Arbeitnehmers und denen des Arbeitgebers 56 niht herstellen, wie die von den Landesarbeitsgerihten zu entsheidenden Sahverhalte deutlih zeigen. Damit unterliegen Arbeitgeber, die betrieblihe -Zugänge kontrollieren, rihtigerweise niht der Strafandrohung des 51 LAG Berlin-Brandenburg (o. Fußn. 47). 52 Vgl.Wybitul, BB 2010, 1085 ff. 53 So auh Tepass (o. Fußn. 29). 54 Tepass (o. Fußn. 29). 55 Vgl. o. Fußn Vgl. etwa BAG NZA 2008, 1008 ff., Rdnr. 36; BAG NZA 2011, 571 ff., Rdnr Vgl. Wybitul/Reuling, CR 2010, 829 ff. 58 Zwar kommen rihtigerweise Ansprühe aus betriebliher Übung bei bloßen Annehmlihkeiten niht in Betraht, vgl. etwa BAGNZA 2006, 977, 978; Thüsing (o. Fußn. 1), Rdnr. 217; vgl. hierzu auh Waltermann, NZA 2007, 529 ff. Dennoh sollten Arbeitgeber siherheitshalber eine Regelung zur Vermeidung einer betrieblihen Übung aufnehmen. Dieser Hinweis spriht zudem auh gegen ein nahhaltiges Angebot von Telekommunikation für Dritte i.s.v. 3 Nr. 10 TKG und ershwert eine Einordnung des Arbeitgebers als Diensteanbieter. 59 Für das Kennzeihnen auh empfangener s als privat sind bei vielen E- Mail-Systemen Anpassungen der vom Hersteller vorgegebenen Grundeinstellungen nötig. 60 Vgl. Wybitul, ZRFC 2011, 134 ff. 206 Abs. 1 StGB. Dies führt hingegen niht dazu, dass Arbeitnehmer Bespitzelungen oder unangemessenen Kontrollen ausgesetzt wären. Vielmehr fordern sowohl das LAG Niedersahsen als auh das LAG Berlin-Brandenburg zutreffend eine sorgsame und umfassende Abwägung zwishen den Interessen des Arbeitgebers und des Arbeitnehmers. 32 Abs. 1 BDSG shreibt rihtigerweise vor, dass eine - Kontrolle zur Verwirklihung des Kontrollzweks geeignet, erforderlih und verhältnismäßig ist. Fällt diese Verhältnismäßigkeitsprüfung zu Gunsten des Arbeitnehmers aus, muss die Kontrolle unterbleiben. Die Anwendbarkeit des BDSG an Stelle des TKG stellt Arbeitnehmer niht shutzlos ganz im Gegenteil. Eine niht den Anforderungen des BDSG entsprehende Auswertung der s von Beshäftigten kann gem. 43 Abs. 2 Nr. 1 BDSG mit Geldbußen von bis zu a , pro Fall sowie der Abshöpfung wirtshaftliher Vorteile geahndet werden. Nah 130, 30 OWiG kommen auh Geldbußen gegen die Geshäftsleitung oder das Unternehmen selbst in Betraht. Handeln die Beteiligten gegen Entgelt oder in Shädigungsoder Bereiherungsabsiht, so drohen sogar Freiheitsstrafen von bis zu zwei Jahren. 57 Zudem ist das Bekanntwerden von Datenshutzverstößen in aller Regel mit erheblihen Rufshäden verbunden. Damit haben Arbeitgeber auh ohne die starre Strafandrohung nah 206 Abs. 1 StGB i.v.m. 88 TKG jeden Anlass, streng auf die Rehtmäßigkeit ihres Vorgehens zu ahten zumal offen bleibt, ob die Aufsihtsbehörden für den Datenshutz der geshilderten Rehtsprehung folgen werden. VII. Handlungsempfehlungen Es bleibt abzuwarten, wie sih Datenshutzaufsihtsbehörden und andere Gerihte zu den beiden beshriebenen Entsheidungen positionieren werden. Daher fehlt es derzeit noh an der dringend benötigten Rehtssiherheit für den Umgang mit s auf betrieblihen Aounts. Die einzig sihere Möglihkeit bleibt daher für Arbeitgeber ein striktes Verbot der privaten Nutzung dienstliher -Zugänge. Dies ist aber in der Praxis oftmals kein gangbarer Weg. Eine Möglihkeit ist es, Arbeitnehmern zu erlauben, private s ausshließlih über Internetprovider wie GMX, web.de oder gmail.om zu versenden und zu empfangen. Auh dies shließt eine Vermishung privater und dienstliher s aus. Erlauben Arbeitgeber die Privatnutzung der betrieblihen -Zugänge, sollten sie die Bedingungen für den Umgang mit betrieblihen -Systemen unbedingt klar regeln: Zunähst sollten Arbeitgeber klarstellen, dass die Erlaubnis zur privaten Nutzung widerrufen werden kann und keine Rehtsansprühe auf künftige Nutzung begründet. 58 Ferner sollten Arbeitgeber eindeutige Regeln für die Nutzung des betrieblihen -Zugangs aufstellen. Diese sollten insbesondere vorshreiben, dass der Mitarbeiter jede ausgehende oder empfangene 59 private auh als privat kennzeihnet. Aus Haftungsgründen sollte jede strafbare oder ordnungswidrige Kommunikation strikt untersagt werden. Zudem sollten Arbeitgeber klarstellen, unter welhen Umständen sie zulässigerweise -Kontrollen durhführen und eine Einwilligung der Mitarbeiter in dieses Vorgehen zur Bedingung der privaten -Nutzung mahen. Sofern im Betrieb des Arbeitgebers ein Betriebsrat gebildet ist, muss der Arbeitgeber bestehende Mitbestimmungsrehte beahten,etwanah 87Abs.1Nr.1undNr.6BetrVG.Daeine Betriebsvereinbarung rihtigerweise auh eine Erlaubnisnorm i.s.v. 4 Abs. 1 BDSG für den Umgang mit Arbeitnehmerdaten sein kann, empfiehlt sih oftmals auh der Abshluss einer entsprehenden Betriebsvereinbarung. 60 ZD 2/2011 Wybitul: Neue Spielregeln bei -Kontrollen durh den Arbeitgeber 73

6 Rihtigerweise wird eine -Auswertung einer Vorabkontrolle durh den betrieblihen Datenshutzbeauftragten gem. 4d Abs. 5 BDSG unterliegen. 61 Sofern Unternehmen -Kontrollen zum Zwek der Aufdekung einer Straftat im Beshäftigungsverhältnis durhführen, müssen sie die in 32 Abs. 1 Satz 2 BDSG genannten Anforderungen erfüllen. 62 Zur belastbaren Vermeidung rehtliher Risiken kann zudem eine Abstimmung mit den Datenshutzaufsihtsbehörden oftmals durhaus zwekmäßig sein. Tim Wybitul ist Rehtsanwalt und Partner im Frankfurter Büro von Mayer Brown, Lehrbeauftragter für Datenshutz im Studiengang Compliane der Deutshen Universität für Weiterbildung in Berlin und Mitherausgeber der ZD. 61 Vgl.Wybitul (o. Fußn. 1), Rdnr. 253 f. 62 Zudem sind Arbeitgeber bei unternehmensinternen Ermittlungen gut beraten, auh die entsprehende Stellungnahme Nr. 35/2010 der BRAK zu berüksihtigen, abrufbar unter: gnahmen-deutshland/2010/november/stellungnahme-der-brak pdf; vgl. hierzu auh Wybitul, BB 2011, Heft 22, S. VI f. MARC PHILIPP WEBER / PAUL VOIGT Internationale Auftragsdatenverarbeitung Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln Verantwortlihe Stelle EU-Standardvertragsklauseln Kundendatenshutz Beshäftigtendatenshutz Ausreihendes Datenshutzniveau Das deutshe Datenshutzreht lässt eine Auftragsdatenverarbeitung unter Einhaltung bestimmter Voraussetzungen unproblematish zu, soweit der Auftragsdatenverarbeiter sih in Deutshland, der Europäishen Union oder einem Mitgliedstaat des Europäishen Wirtshaftsraums (EWR) befindet. Datenshutzrehtlihe Hürden ergeben sih in der Praxis dagegen, wenn der Auftragsdatenverarbeiter personenbezogene Daten im Niht-EU/EWR-Ausland verarbeitet, etwa wie in der Praxis sehr häufig in den USA. Im Rahmen des vorliegenden Beitrags sollen daher die Anforderungen an eine Auftragsdatenverarbeitung in Drittstaaten wie den USA näher untersuht und Handlungsempfehlungen für die Praxis entwikelt werden. German data protetion law permits ommissioned data proessing while abiding by ertain requirements without any problems insofar as the ommissioned data proessor is in Germany, the European Union or a Member State of the European Eonomi Area (EEA). Data protetion hurdles, however, ome up in pratie if the ommissioned data proessor proesses personal data in a non-eu/eea ountry, suh as in the USA whih is quite ommon in pratie. In the sope of this artile the requirements regarding a ommissioned data proessing in third party ountries suh as the USA shall be more losely examined and pratial reommendations for ation will be developed. I. Einleitung Die Auftragsdatenverarbeitung ist aus dem internationalen Wirtshaftsleben niht mehr wegzudenken. Sie hat vor allem Bedeutung bei der Nutzung externer Soft- oder Hardware- Ressouren über das Internet wie z.b. beim Cloud Computing, Software as a Servie (SaaS) oder Appliation Servie Providing (ASP). Auh bei der Erbringung von Fernwartungsdienstleistungen oder für den Datenaustaush im Konzern z.b. beim zentralen Hosting von Enterprise Resoure Planning (ERP)- oder Customer Relation Management (CRM)-Systemen, unternehmensweiten Telefonverzeihnissen sowie Skill-Datenbanken bei der Konzernmutter spielt die Auftragsdatenverarbeitung eine Rolle. II. Wesen und Funktion der Auftragsdatenverarbeitung Wesen und Funktion der Auftragsdatenverarbeitung ershließen sih am einfahsten durh die Betrahtung ihrer Rehtsfolge. Während jede gewöhnlihe Übermittlung von personenbezogenen Daten von einem Auftraggeber an einen Dritten dem Verbot mit Erlaubnisvorbehalt gem. 4 Abs. 1 BDSG unterliegt, führt eine Auftragsdatenverarbeitung zu der Privilegierung, dass die Überlassung der Daten an einen Auftragnehmer grundsätzlih niht als Übermittlung der personenbezogenen Daten an einen Dritten anzusehen ist. 1 In diesem Fall fehlt die für den Tatbestand der Übermittlung gem. 3 Abs. 4 Nr. 3 BDSG notwendige Bekanntgabe an einen Dritten. Bei der Auftragsdatenverarbeitung wird gem. 11 Abs. 1 Satz 1, 3 Abs. 8 Satz 3 BDSG fingiert, dass die Daten die Sphäre des Auftraggebers niht verlassen. 2 Der Auftraggeber darf die Daten daher im Rahmen einer Auftragsdatenverarbeitung seinem Auftragnehmer überlassen, ohne hierfür auf einen gesetzlihen Erlaubnistatbestand oder eine Einwilligung des Betroffenen zurükgreifen zu müssen. Auf Grund dieser Privilegierung liegt es in der Praxis für Auftraggeber nahe, möglihst viele Formen der Datenverarbeitung durh Dritte als Auftragsdatenverarbeitung zu harakterisieren, um von der gesetzlihen Privilegierung zu profitieren und datenshutzrehtlihe Hürden bei der Datenüberlassung zu vermeiden. Tatbestandlih liegt eine Auftragsdatenverarbeitung aber nur vor, wenn der Auftragsdatenverarbeiter gleihsam als verlängerter Arm oder als ausgelagerte Abteilung des Auftraggebers fungiert. 3 Der Auftragsdatenverarbeiter übt somit nur eine Hilfsfunktion für den Auftraggeber aus eine Funktion, die der Auftraggeber grundsätzlih auh In-House erledigen könnte. Eine Auftragsdatenverarbeitung liegt dagegen niht vor, wenn der Auftragnehmer über die konkrete Weisung des Auftragge- 1 Gola/Shomerus, BDSG, 10. Aufl. 2010, 3 Rdnr. 55; Dammann, in: Simitis, BDSG, 7. Aufl. 2011, 3 Rdnr Gabel, in: Taeger/Gabel, BDSG, Komm., 2010, 11 Rdnr Vgl. Walz, in: Simitis (o. Fußn. 1), 11 Rdnr Weber/Voigt: Internationale Auftragsdatenverarbeitung ZD 2/2011