26. Jahrgang Dezember 2010 Seiten Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus dem Bundesrat Aus den Ländern

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 26. Jahrgang Dezember 2010 Seiten Aufsätze BARTON, Beihilfe durch Unterlassen? Zur strafrechtlichen Verantwortung des betrieblichen Datenschutzbeauftragten i.s.d. 13, 27 StGB bei Nichterfüllung seiner gesetzlichen Pflichten ROLF/RIECHWALD, Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand IRASCHKO-LUSCHER/KIEKENBECK, Datenschutz im Internet Widerspruch oder Herausforderung? GIESEN, Zivile Informationsordnung im Rechtsstaat: Aufräumen! Rechtsprechung Aus dem Inhalt EGMR, Gerechtfertigte GPS-Überwachung eines Terrorverdächtigen (Ls) BVerfG, Verfassungsbeschwerde gegen Zensusgesetz BVerfG, Keine einstweilige Anordnung gegen ELENA-Verfahren BVerfG, Rechtmäßigkeit der Anfertigung von Videoaufnahmen zum Beweis von Verkehrsverstößen BGH, Kein Cold Call bei Anruf nach Unternehmenswechsel bei bisherigen Kunden BAG, Keine Ordnungshaft bei mitbestimmungswidrigem Verhalten (Ls) Berichte, Informationen, Sonstiges Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus dem Bundesrat Aus den Ländern Sonstiges Literaturhinweise Veranstaltungen

2 GDD e. V. Merkblatt Datenschutz 27. bearbeitete Auflage Seiten broschiert 21 x 21 cm Staffelpreise ISBN (Inhalt in Farbe) ISBN (Inhalt in Schwarz-Weiß) Auch digital und als firmenindividueller Sonderdruck erhältlich! Aktueller Stand BDSG-Novelle Das Merkblatt ist dafür gedacht, die Mitarbeiter für das Thema Datenschutz zu sensibilisieren und sie mit den zugehörigen Anforderungen im Unternehmen vertraut zu machen. Grundlagen, Bedeutung und Notwendigkeit des Datenschutzes Ideal für alle Mitarbeiter Aktueller Rechtsstand Durch farbige Schaubilder anschaulich illustriert Leicht verständlich geschrieben Jetzt kostenloses Muster bestellen: 02234/ Neu: Jetzt auch als englischsprachige Version und als Ausgabe NRW erhältlich! GDD e.v. Explanatory Notes Data Protection 27. überarbeitete Auflage Seiten broschiert 21 x 21 cm Staffelpreise (auf Anfrage) ISBN Auch digital und als firmenindividueller Sonderdruck erhältlich! GDD e.v. Merkblatt Datenschutz nach DSG NRW 1. Auflage ca. Seiten 16 Seiten broschiert 21 x x cm 21 cm Staffelpreise (auf Anfrage) ISBN Auch digital und als firmenindividueller Sonderdruck erhältlich! Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Tel / Fax 02234/ bestellung@datakontext.com

3 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 26. Jahrgang 2010 Heft 6 Seiten Inhaltsverzeichnis Aufsätze Prof. Dr. jur. Dirk-M. BARTON Beihilfe durch Unterlassen? Zur strafrechtlichen Verantwortung des betrieblichen Datenschutzbeauftragten i.s.d. 13, 27 StGB bei Nichterfüllung seiner gesetzlichen Pflichten 247 RA Dr. Christian ROLF / RA Jochen RIECHWALD Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand 256 RAin Stephanie IRASCHKO-LUSCHER/ Pia KIEKENBECK Datenschutz im Internet Widerspruch oder Herausforderung? 261 RA Dr. Thomas GIESEN Zivile Informationsordnung im Rechtsstaat: Aufräumen! 266 Rechtsprechung Gerechtfertigte GPS-Überwachung eines Terrorverdächtigen (Ls) (EGMR, Urteil vom ) 275 Verfassungsbeschwerde gegen Zensusgesetz (BVerfG, Beschluss vom ) 275 Keine einstweilige Anordnung gegen ELENA- Verfahren (BVerfG, Beschluss vom ) 275 Rechtmäßigkeit der Anfertigung von Videoaufnahmen zum Beweis von Verkehrsverstößen (BVerfG, Beschluss vom ) 276 Kein Cold Call bei Anruf nach Unternehmenswechsel bei bisherigen Kunden (BGH, Urteil vom ) 278 Keine Ordnungshaft bei mitbestimmungswidrigem Verhalten (Ls) (BAG, Beschluss vom ) 281 AGG-Entschädigungsanspruch eines Schwerbehinderten Arbeitnehmers (BAG, Urteil vom ) 281 Keine Auskunftspflicht eines Rechtsanwalts über Mandantendaten gegenüber Datenschutzaufsichtsbehörde (KG Berlin, Beschluss vom ) 285 Keine Kündigung bei langjähriger Beschäftigung trotz Betrugshandlung (Schaden ca. 160 ) (Ls) (LAG Berlin-Brandenburg, Urteil vom ) 287 Schadensersatz wegen rechtswidriger Nichteinstellung bei einem öffentlichen Arbeitgeber (Ls) (LAG Frankfurt, Urteil vom ) 287 Unwahre Beantwortung der Frage nach der Schwerbehinderung (Ls) (LAG Frankfurt, Urteil vom ) 287 Beweislast für Postdienstleister über Briefzustellung (AG Meldorf, Urteil vom ) 287 Erfüllung der Informationsansprüche des Personalrats (Ls) (VG Frankfurt, Beschluss vom ) 288 Berichte, Informationen, Sonstiges Aus der Europäischen Union Stärkung des EU-Datenschutzrechts: Europäische Kommission stellt neue Strategie vor 289 Europäische Kommission schlägt EU- Außenstrategie zur Übermittlung von Fluggastdaten (PNR) vor 290 Aus der Gesetzgebung Anpassung von Vorschriften des Sozialdatenschutzes an Neuregelungen im BDSG 291 Kabinett beschließt Gesetzentwurf zur Regelung von D -Diensten 293 Aus dem Bundestag Zehn Millionen für Stiftung Datenschutz 293 Bilanz des Datenaustausches mit den Unterzeichnerstaaten des Prüm-Vertrages 294 Aus den Bundesrat Länder fordern weitere Verbesserungen im Beschäftigtendatenschutz 294 Aus den Ländern Smart Metering durch Energieversorgungsunternehmen und Mieterdatenschutz 294 ULD legt Gesetzesvorschlag zur Internet- Regulierung vor 297 Sonstiges Bitburger Gespräche in München zum Datenschutz im Arbeitsverhältnis Bericht (GOLA) 297 Literaturhinweise Buchbesprechungen Gregor Thüsing, Arbeitnehmerdatenschutz und Compliance (GOLA) 298 Neuerscheinungen Recht RDV der Datenverarbeitung Aufsätze 299 Veranstaltungen 300

4 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Gesamthochschule Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutzbeauftragter Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Prof. Dr. Gregor THÜSING, LL.M. (Harvard), Universität Bonn Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Schriftleitung Prof. Peter Gola RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Redaktionsanschrift Pariser Str. 37, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) weiss@datakontext.com Geschäftsführer: Clemens Köhler Leitung: Hans-Günter Böse HRB Abbestellungen Alle Preise verstehen sich zzgl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Beilagenhinweis GDD-Mitteilungen 6 /2010; DATAKONTEXT, Frechen Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung erbeten. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; diese sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Clemens Köhler Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Thomas Reinhard Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) reinhard@datakontext.com Geschäftsführer: Clemens Köhler Leitung: Hans-Günter Böse HRB

5 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln Recht RDV der Datenverarbeitung 26. Jahrgang 2010 Heft Seiten Aufsätze Prof. Dr. jur. Dirk-M. Barton, Paderborn* Beihilfe durch Unterlassen? Zur strafrechtlichen Verantwortung des betrieblichen Datenschutzbeauftragten i.s.d. 13, 27 StGB bei Nichterfüllung seiner gesetzlichen Pflichten Mit dem Urteil vom 17. Juli zur strafrechtlichen Verantwortung des sog. Compliance-Officers wegen Beihilfe durch Unterlassen zu Delikten von Unternehmensangehörigen, das der Autor in seinem ersten Teil des Aufsatzes (RDV 2010, 19ff.) kommentiert hat, hat der BGH die Diskussion um die strafrechtlich relevante Garantenpflicht kraft Gesetzes berufener Beauftragter wiederbelebt. Der Vorwurf der Beihilfe zu Lasten eines Gewässerschutzbeauftragten war bereits in den achtziger Jahren Gegenstand einer gerichtlichen Entscheidung, die eine kontroverse Diskussion im Schrifttum auslöste, die zu dieser Zeit nicht zuletzt vor dem Hintergrund des Umweltschutzes und seiner zunehmenden gesellschaftspolitischen Bedeutung geführt wurde. Dabei wies bereits Dahs mahnend darauf hin, dass die Strafjustiz trotz der Notwendigkeit des Umweltschutzes der Versuchung widerstehen sollte, überzogene Anforderungen an die Pflichten des Gewässerschutzbeauftragten zu stellen und auf dem Weg zur Erreichung eines effizienten Umweltschutzes anerkannte Rechtsgrundsätze hinten an zu stellen 2. Es stellt sich allerdings die Frage, warum nun ausgerechnet auch der betriebliche Datenschutzbeauftragte in diese Betrachtung einbezogen werden soll, der bisher soweit ersichtlich von entsprechenden Urteilen verschont geblieben ist. Der Grund hierfür ist darin zu sehen, dass gerade in jüngster Vergangenheit spektakuläre Fälle von Datenschutzverletzungen in die Öffentlichkeit gelangt sind, die wie z.b. im Fall des Datenscreenings bei der Deutschen Bahn beträchtliches Aufsehen erregt haben. Dies ruft wie die Telekom-Datenschutzaffäre zeigt die Staatsanwaltschaft auf den Plan. Daher muss sich auch der Mitarbeiter, der die Funktion des betrieblichen Datenschutzbeauftragten übernommen hat, mit denkbaren strafrechtlichen Folgen seiner Tätigkeit vertraut machen, um Strafverfahren präventiv zu begegnen. Trotz der Bedeutung des Datenschutzes sollte das Monitum von Dahs auch hier seitens der Ermittlungsbehörden beherzigt werden. I. Die wesentlichen Feststellungen im Überblick Um die durchaus komplexe Problematik an der Schnittstelle zwischen Datenschutz und Strafrecht transparenter zu machen, werden die Kernaussagen, die nachfolgend eingehend abzuhandeln sind, vorab thesenartig zusammengefasst. Die Vermeidung von Rechtsverstößen durch Unternehmensangehörige ist angesichts drohender hoher Schäden und Reputationsverluste zentraler Bestandteil eines Compliance-Managements, das einen Teil des Risikomanagements bildet. Bei der hierbei notwendigen Mitarbeiterkontrolle ist die Berücksichtigung des Datenschutzes von besonderer Bedeutung. * Der Autor ist Inhaber des Lehrstuhls für Wirtschafts- und Medienrecht an der Universität Paderborn, früherer Chefjustiziar und Hauptgeschäftsführer des Bundesverbandes Deutscher Zeitungsverleger (BDZV). 1 Vgl. BGH Urteil vom , NJW-Spezial 2009, 585ff. 2 Vgl. Dahs, NStZ 1986, 97 (103).

6 248 RDV 2010 Heft 6 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? Dabei kommt dem Datenschutzbeauftragten eine besondere Funktion zu. Er hat auf die Einhaltung der datenschutzrechtlichen Regelungen durch Beratung, Information, Kontrolle und ggf. durch Einschaltung der Aufsichtsbehörde hinzuwirken. In dieser Funktion trifft ihn auf Grund gesetzlicher Regelungen eine strafrechtliche Garantenpflicht in der Form eines Überwachungsgaranten, die aus dem Gesetz und ggf. aus einem pflichtwidrigen Vorverhalten resultiert und die darauf abzielt, Datenschutzverstöße zu verhindern. Unterlässt er es pflichtwidrig, seinen gesetzlich normierten Pflichten zu entsprechen obwohl ihm dies zumutbar ist, so kann ihn der Vorwurf einer Beihilfe durch Unterlassen zu einer von Mitarbeitern oder der Unternehmens- bzw. Behördenleitung begangenen vorsätzlichen Straftat treffen, durch die datenschutzrechtliche Vorschriften verletzt werden. Allerdings muss die Kausalität seines Unterlassens im Hinblick auf den durch Dritte begangenen Rechtsverstoß nachgewiesen werden. Sein Einschreiten müsste den Datenschutzverstoß zumindest erschwert haben. Ferner muss der doppelte (Gehilfen-)Vorsatz dahingehend bestehen, dass er die Rechtsverletzung des Dritten zumindest billigend in Kauf genommen hat und er durch sein Unterlassen die fremde Haupttat fördern wollte. Ein fahrlässiges Verhalten reicht dagegen nicht. II. Einführung Die Verhinderung von Gesetzesverstößen in Unternehmen durch vorbeugende Maßnahmen rückt zunehmend in den Fokus unternehmerischer Tätigkeit. Dies dokumentiert nicht zuletzt die aktuelle Diskussion zu dem Thema Compliance. Compliance umfasst die Gesamtheit aller organisatorischen Maßnahmen zur Sicherung und Einhaltung rechtlicher Gebote und Verbote im Unternehmen, die einen Teil des Risikomanagements bilden 3. Denkbare Rechtsverletzungen, angefangen bei der Korruption oder anderen Wirtschaftsdelikten, über Urheberrechtsverletzungen bis hin zur Untreue, zum Diebstahl bzw. zur Unterschlagung von Geldern oder Waren durch Mitarbeiter sind vielfältiger Natur. Je nachdem, in welcher Branche das Unternehmen tätig ist, ist zudem die Verletzung dort geltender spezifischer Rechtsnormen in Betracht zu ziehen, sei es das Umweltschutzrecht in der chemischen Industrie oder aber arbeitsrechtliche Schutznormen, die wieder für alle Wirtschaftsunternehmen gelten 4. Um Rechtsverstößen möglichst präventiv zu begegnen, zumindest aber, um die schädlichen Folgen zu verhindern, sind Mitarbeiterkontrollen unabdingbar. Dabei kommt der Beachtung der datenschutzrechtlichen Bestimmungen besondere Bedeutung zu, deren Verletzung zu Bußgeldern, aber auch zu strafrechtlichen Sanktionen führen kann 5. Auf deren Einhaltung hat der Datenschutzbeauftragte im Unternehmen wie in öffentlichen Institutionen gem. 4 g Abs. 1 S. 1 BDSG hinzuwirken, wobei effizientes Compliance- Management und Datenschutz miteinander kollidieren können und auch ein strafrechtlich relevantes Risikopotential aufweisen. Bei einer Verletzung der dem Datenschutzbeauftragten obliegenden Pflichten stellt sich die Frage, ob und inwieweit auch er möglicherweise strafrechtlich zur Verantwortung gezogen werden kann. So z.b. dann, wenn die Geschäftsleitung unzulässige Videokontrollen am Arbeitsplatz anordnet, dabei personenbezogene Daten erhoben und verarbeitet werden und der Datenschutzbeauftragte nichts dagegen unternimmt, um dies zu verhindern. Oder es erfolgt ein Herausfiltern bzw. eine Inhaltskontrolle von Arbeitnehmer- s, obwohl die elektronischen Medien am Arbeitsplatz auch privat genutzt werden dürfen und kein zwingender Anlass für die Kontrolle besteht 6. Diese Palette ließe sich beliebig erweitern. Neben der Verletzung datenschutzrechtlicher Bestimmungen, die u.a. über 44 BDSG strafrechtlich sanktioniert wird, oder Tatbeständen wie dem Ausspähen von Daten i.s.d. 202 a StGB müssen weitere Datenschutz- Straftatbestände berücksichtigt werden. So enthalten z.b. die Telekommunikationsgesetze wie das TKG (Telekommunikationsgesetz) bzw. TMG (Telemediengesetz) spezielle Datenschutzregelungen, die bei Nichtbeachtung ebenfalls strafbewehrt sind ( 148 ff. TKG). Kommt nun bei einem Nicht-tätig-werden des Datenschutzbeauftragten möglicherweise neben der denkbaren, aber wohl eher fernliegenden, Täterschaft eine Beihilfe durch Unterlassen i.s.d. 27, 13 StGB zu strafbaren Datenschutzverletzungen durch Dritte in Betracht? Dabei stellt sich die grundsätzliche Frage, ob den Datenschutzbeauftragten eine Garantenstellung zur Verhinderung eines solchen Rechtsverstoßes trifft, wie sie von 13 StGB für sog. unechte Unterlassungsdelikte gefordert wird. Zu diesen zählt auch eine Beihilfe durch Unterlassen. Diese Fragestellungen sind nicht zuletzt durch die Entscheidung des BGH vom zur Garantenstellung des sog. Compliance-Officers virulent geworden, in der u.a. auch beispielhaft die Garantenstellung des sog. Gewässerschutzbeauftragten angesprochen wurde, der eine 3 Vgl. Hauschka, Corporate Compliance, Handbuch der Haftungsvermeidung, 2. Aufl., 2010, 1 Abs. 1 ff.; Bürkle, DB 2004, 2158; ders. BB 2005, 565; Fleischer, AG 2003, 291; Schneider, ZIP 2003, 645; Passarge, NZI 2009, 86; BGH, Urteil vom , NJW Spezial 2009, 585; BB 2009, 2263 mit Anm. Wybitul. 4 Vgl. Hauschka, AG 2004, 461 ff.; insbesondere die verschiedenen Darstellungen zu den denkbaren Rechtsverletzungen in den unterschiedlichen Branchen in: Hauschka, Corporate Compliance, aao, (Fußn. 3). 5 Vgl. Wybitul, BB 2009, 1582 ff. 6 Vgl. zum aktuellen Diskussionsstand: Gramlich, RDV 2001, 123 ff.; Haußmann/Krets, NZA 2005, 259 (260); Schmidt-Rolfes, AuR 2008, 391; Schoen, DuD 2008, 286 ff.; Seffer/Schneider, ITRB 2007, 264 (265 ff.); Wolf/Mulert, BB 2008, 442 (445). 7 Vgl. BGH, Urteil vom , NJW Spezial 2009, 585; BB 2009, 2263 mit Anm. Wybitul.

7 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? RDV 2010 Heft dem Datenschutzbeauftragten durchaus vergleichbare rechtliche Stellung einnimmt. Soweit ersichtlich, liegen noch keine Urteile im Hinblick auf die strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten bei Nichtwahrnehmung seiner Pflichten vor. Angesichts spektakulärer Fälle, die wie der sog. Datenskandal bei der Telekom bzw. die Videoüberwachung bei Lidl erhebliches Aufsehen erregt haben, könnte jedoch auch der Datenschutzbeauftragte künftig stärker in das Visier staatsanwaltschaftlicher Ermittlungen geraten. Daher erscheint es durchaus angeraten, die Problematik einer eventuellen Garantenstellung und die weiteren Voraussetzungen für eine Beihilfe durch Unterlassen dieses Beauftragten vorsorglich einmal näher zu beleuchten, zum einen im Hinblick auf die notwendigen Vermeidungsstrategien im Unternehmen bzw. in einer Behörde, aber auch im Hinblick auf die Punkte, die im Falle einer erforderlich werdenden Strafverteidigung zu berücksichtigen sind. Die hierbei vor allem relevanten Vorschriften des StGB sind die 27 und 13 StGB. Gem. 27 Abs. 1 StGB wird als Gehilfe bestraft, wer vorsätzlich einen anderen zu dessen vorsätzlich begangener rechtswidriger Tat Hilfe geleistet hat. 13 Abs. 1 StGB lautet: Wer es unterlässt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört, ist nach diesem Gesetz nur dann strafbar, wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt, und wenn das Unterlassen der Verwirklichung des gesetzlichen Tatbestandes durch ein Tun entspricht. III. Zur strafrechtlichen Verantwortung von gesetzlich vorgesehenen Beauftragten In seiner Entscheidung vom hat der BGH eine (weitgefasste) Garantenstellung des Compliance- Officers i.s.d. 13 StGB dem Grunde nach bejaht, also desjenigen, in dessen Aufgabengebiet die Verhinderung von Rechtsverstößen fällt, und damit auch von Straftaten, die aus dem Unternehmen heraus durch Unternehmensangehörige begangen werden. Diese Pflicht soll nicht nur Schutzgüter des Unternehmens selbst, sondern auch solche außenstehender Dritter umfassen. Den Compliance-Officer trifft nach Auffassung des BGH regelmäßig die Garantenpflicht, strafbare Handlungen im Zusammenhang mit der Tätigkeit des Unternehmens zu verhindern. Dies so der BGH sei die notwendige Kehrseite der gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße zu unterbinden. Danach kommt eine Strafbarkeit wegen einer Beihilfe durch Unterlassen i.s.d. 27, 13 StGB in Betracht, sofern der Compliance-Officer keine Gegenmaßnahmen ergreift, obwohl er hiervon Kenntnis erlangt. Dabei soll sich der Umfang seiner Garantenstellung aus dem konkreten Pflichtenkreis ergeben, den der Compliance-Officer per Vertrag oder faktisch übernommen hat. Maßgeblich für die Annahme der Garantenstellung seien die besonderen Verhältnisse des Unternehmens und der Zweck seiner Beauftragung. Zu klären ist dabei, ob sich die Pflichtenstellung des Compliance-Beauftragten allein darin erschöpft, die unternehmensinternen Prozesse zu optimieren oder ob er auch die weitergehende Pflicht hat, von dem Unternehmen ausgehende Rechtsverstöße zu unterbinden 8. Im Unterschied zu der Funktion des Compliance-Officers, dessen Aufgabenkreis sich aus der vertraglichen Beschreibung seines Dienstpostens oder darüber hinaus aus der rein tatsächlichen Übernahme von Pflichten ergeben soll so dass sich die Grundsätze dieser BGH- Entscheidung nicht so ohne weiteres übertragen lassen, ist eine mögliche Garantenstellung von anderen Beauftragten, wie dem Datenschutzbeauftragten vor allem auf Grund der gesetzlichen Regelungen zu prüfen, in denen deren Aufgaben und Pflichten festlegt werden. Wie bereits vorstehend angemerkt, liegt von Seiten der Rechtsprechung lediglich eine Entscheidung zu der Garantenstellung des sog. Gewässerschutzbeauftragten vor. So hat das OLG Frankfurt 9 im Hinblick darauf, dass ein Unterlassen seitens dieses Beauftragten zur Diskussion steht, diesen als sog. Überwachergaranten, nicht aber als Beschützergaranten angesehen. Dieser hat nur für die Erfüllung seiner aus dem Gesetz unmittelbar resultierenden Pflichten einzustehen. Nicht aber ist er unmittelbarer Schutzgarant für das Rechtsgut als solches, hier für die Reinheit des Wassers. Aus der gesetzlichen Regelung des früheren 21 b Wasserhaushaltsgesetz, WHG, (abgelöst durch den i.w. gleichen 65 WHG) der noch die Grundlage der Entscheidung bildete und der sich daraus ergebenden Rechtsstellung folgt nach Auffassung des OLG Frankfurt, dass der Gewässerschutzbeauftragte mangels eigener Entscheidungs- bzw. Anordnungsbefugnisse grundsätzlich nicht als Täter eines Unterlassungsdeliktes in Betracht kommt, sondern allenfalls als Gehilfe i.s.d. 27 StGB. Anknüpfungspunkt für die Bewertung, ob eine Garantenstellung i.s.d. 13 StGB in Betracht kommt, ist nach dieser Entscheidung also zunächst grundsätzlich der gesetzlich vorgegebene Rahmen. Betrachtet man im Übrigen 65 WHG (bzw. den früheren 21 b WHG), der eine beratende bzw. eine Überwachungsfunktion vorschreibt, so zeigt insbesondere 4 g BDSG eine im Ansatz durchaus vergleichbare Position des Datenschutzbeauftragten mit der des Gewässerschutzbeauftragten, auch wenn sie in einigen Punkten abweichend ist. 8 Vgl. zu dieser Entscheidung Stimmen der Literatur: Barton, RDV 2010, 19ff.; Campos Nave/Vogel, BB 2009, Vgl. OLG Frankfurt, NJW 1987, 2753; zur kontroversen Diskussion im Hinblick auf den Gewässerschutzbeauftragten bzw. Beauftragten im Bereich Umweltschutz: Böse, NStZ 2003, 636; Busch, Unternehmen und Umweltstrafrecht 1997, 552 ff.; Dahs, NStZ 1986, 97 ff.; Rudolphi in FS Lackner, 1989, 863 (879); Szelinski, WiVerw 1980, 266 (287).

8 250 RDV 2010 Heft 6 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? IV. Strafrechtlich relevante Anforderungen an das Verhalten des Datenschutzbeauftragten 1. Verantwortlichkeit wegen positiven Tuns Der Datenschutzbeauftragte kommt zunächst wie jeder andere Mitarbeiter durchaus auch als Täter oder auch als Mittäter gem. 25 Abs. 2 StGB bei der aktiven Verwirklichung bzw. Mitverwirklichung der Tatbestände in Betracht, die u.a. in 44 BDSG oder in 202 a StGB, dem unbefugten Ausspähen von Daten, erfasst sind. Ein solcher Fall läge vor, wenn der Datenschutzbeauftragte z.b. selbst ein Datenscreening initiiert oder abgestimmt mit der Leitung handelt, durch das Kontenbewegungen von allen Mitarbeitern ohne Verdachtsmomente auf eine mögliche Korruption hin überprüft werden sollen, oder er eine uneingeschränkte Videoüberwachung am Arbeitsplatz durchführen lässt, die in diametralem Widerspruch zu den strengen Regeln der BAG-Rechtsprechung 10 steht. Dies dürfte in der Praxis allerdings die Ausnahme darstellen, so dass die Täterschaft durch aktives Handeln eher von nachrangiger Bedeutung sein dürfte. Daher konzentrieren sich die nachfolgenden Ausführungen auf die Teilnahmeproblematik in der Form der Beteiligung durch Unterlassen. 2. Beihilfe durch Unterlassen i.s.d. 13 und 27 StGB Eine Beihilfe kommt nicht nur durch aktives Tun in Frage, sondern auch durch ein Unterlassen. Hilfe leisten i.s.d. 27 StGB ist danach ein für die Begehung der Haupttat kausaler Tatbeitrag, der die Rechtsgüterverletzung durch den Haupttäter ermöglicht, verstärkt bzw. die Durchführung der Tat erleichtert oder sichert. 11 Die Handlung des Haupttäters muss dabei gefördert werden, was auch durch ein Unterlassen gebotener Handlungen des Teilnehmers möglich ist 12. Zwar wird zum Teil im Schrifttum die Auffassung 13 vertreten, dass bei einem Unterlassen stets eine Täterschaft und nicht nur eine Teilnahme in Form einer Beihilfe anzunehmen ist, sofern der Unterlassende als sog. Beschützergarant zu qualifizieren ist. Der bisherigen Rechtsprechung 14 zufolge kann ein Beauftragter indessen lediglich als Überwachergarant in Betracht kommen, so dass nur eine Beihilfe zur Diskussion steht. Dies ist eine durchaus konsequente Folgerung, zumal sich ein Beauftragter in der Regel einem Haupttäter unterordnet und kein eigenes Interesse an der Herbeiführung des strafrechtlich relevanten Erfolgs hat. Überdies fehlt ihm, da er keine eigenen Entscheidungs- und Weisungsbefugnisse hat diese liegen bei der Leitung eines Unternehmens bzw. der Behörde die zur Annahme einer Täterschaft ebenfalls mit relevante Tatherrschaft. Diese liegt nur dann vor, wenn der Betroffene das Tatgeschehen in den Händen hält, er den Tatablauf steuern kann und damit über das ob und wie der Tat maßgeblich mitentscheidet 15. Ob er als Gehilfe durch Unterlassen zu qualifizieren ist, dies setzt gem. 13 StGB vor allem voraus, dass er aus Rechtsgründen dafür einzutreten hat, dass der strafrechtlich missbilligte Erfolg nicht verwirklicht wird. Eine solche Garantenstellung kann sich aus unterschiedlichen Parametern ergeben, so aus Gesetz, aus der vertraglichen oder tatsächlichen Übernahme von Pflichten, aus einem vorangegangenen, pflichtwidrigen Vorverhalten (der sog. Ingerenz), aus einer organschaftlichen Funktion oder der Verantwortung für eine Gefahrenquelle (sog. Verkehrssicherungspflicht) 16. Da der Pflichtenkreis des Datenschutzbeauftragten zunächst durch 4 g BDSG gesetzlich festgelegt ist, ist diese Regelung als Ausgangspunkt der Betrachtung heranzuziehen, wobei die Schutzrichtung und der Umfang der Pflichten entscheidend sind. Nach dieser funktionellen Zweiteilung unterscheidet man zwischen Beschützergaranten mit Obhutspflichten für bestimmte Rechtsgüter und Überwachergaranten mit Sicherungspflichten in Bezug auf Gefahrenquellen. a) Gesetzlich normierte Pflichten des Datenschutzbeauftragten Gem. 4 g Abs. 1 S. 1 BDSG wirkt der Datenschutzbeauftragte auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Ihn trifft u.a. eine Überwachungspflicht hinsichtlich der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen, mit deren Hilfe personenbezogene Daten Dritter verarbeitet werden. Er hat Personen, die mit der Verarbeitung personenbezogener Daten befasst sind, mit den relevanten Datenschutzmaßnahmen vertraut zu machen. In seiner Funktion hat er die Unternehmens- bzw. Behördenleitung zu informieren bzw. zu beraten, die allerdings nicht an das Votum des Datenschutzbeauftragten gebunden ist, sondern eigenverantwortlich dem Datenschutz Rechnung tragen muss. Mit der unmittelbaren Unterstellung unter die Unternehmens- bzw. Behördenleitung gem. 4 f Abs. 3 S. 1 BDSG wird im Übrigen verdeutlicht, dass der Daten- 10 Vgl. BAG NZA 2005, 839; BAG NZA 2004, 1278; BAG NZA 2003, 1193; BAG-Urteil vom , 1 ABR 16/ Vgl. Geppert, Jura 1999, 266 (268); Murmann, JuS 1999, 548 (550). 12 Vgl. BGH NJW 2001, 2409, Vgl. Seier, JA 1990, 383; Krey, Strafrecht AT 2, Rdn. 381 ff. 14 Vgl. OLG Frankfurt, NJW 1987, 2753; zur kontroversen Diskussion im Hinblick auf den Gewässerschutzbeauftragten bzw. Beauftragte im Bereich Umweltschutz: Böse, NStZ 2003, 636; Busch, Unternehmen und Umweltstrafrecht 1997, 552 ff.; Dahs, NStZ 1986, 97 ff.; Rudolphi in FS Lackner, 1989, 863 (879); Szelinski, WiVerw 1980, 266 (287). 15 Vgl. die Rechtsprechung, wonach die Ermittlung der Täterqualifikation auf Grund einer alle Umstände einbeziehenden wertenden Betrachtung zu erfolgen hat. Wesentliche Anknüpfungspunkte sind dabei der Grad des eigenen Interesses am Taterfolg, der Umfang der Tatbeteiligung, die Tatherrschaft bzw. der Wille zur Tatherrschaft; BGHSt 38, 291; BGH NStZ 1991, 91; BGH NJW 1999, 2449; BGH NStZ RR 2001, 148; BGH NStZ 2002, 145 ff.; Küpper, GA 1986, 440; Otto, Jura 1987, Vgl. zu den unterschiedlichen Formen der Garantenstellung: Arzt, JA 1980, 648, OLG Stuttgart NJW 1998, 3131.

9 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? RDV 2010 Heft schutz deren originäre Aufgabe ist 17. Diese Unterstellung ist allerdings nur funktionsbezogen. Sie bleibt also grundsätzlich ohne Auswirkungen auf die Eingliederung des Datenschutzbeauftragten in die Hierarchie des Unternehmens bzw. der Behörde 18. Dabei genießt der Datenschutzbeauftragte eine gewisse Sonderstellung. Diese dokumentiert 4 f Abs. 3 S. 2 BDSG, wonach er in seinem Aufgabengebiet bei Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei ist. Diese Weisungsfreiheit ist aber ebenso wie die organisatorische Eingliederung nur auf seine Funktion, also seine Informations-, Beratungs- und Kontrolltätigkeit, bezogen. Damit sind ihm innerhalb dieses Freiraumes keine eigenen Anweisungsbefugnisse übertragen, also auch keine disziplinarischen Maßnahmen. Entscheidungen zur Gewährleistung des Datenschutzes obliegen allein der Unternehmens- bzw. Behördenleitung, der mit dem Datenschutzbeauftragten ein unabhängiger Berater zur Seite gestellt wird. Diese Weisungsfreiheit bedeutet auch nicht etwa, dass der Beauftragte der allgemeinen Dienstaufsicht entzogen wäre. Die Unternehmens- bzw. Behördenleitung hat sich auch nach seiner Bestellung davon zu überzeugen, dass er seinen gesetzlichen Pflichten nachkommt 19. Diese Sonderstellung, die dem Datenschutzbeauftragten ein direktes Vortragsrecht einräumt und die in datenschutzrechtlichen Angelegenheiten die Entscheidung der Leitung ohne Einhaltung des Dienstweges herbeiführen kann, verschafft ihm bei denjenigen, die personenbezogene Daten erheben bzw. verarbeiten, allerdings auch die notwendige Autorität 20. Diese wird noch dadurch verstärkt, dass er in Zweifelsfragen die Aufsichtsbehörde einschalten kann bzw. sogar einschalten muss, damit diese ggf. von ihren Rechten gem. 38 BDSG gegenüber der Unternehmens- bzw. Behördenleitung Gebrauch machen kann, um die Einhaltung der gesetzlichen Regeln sicherzustellen. Eine Anrufungspflicht im Hinblick auf die Aufsichtsbehörde begründet das Gesetz gem. 4 d Abs. 6 S. 3 BDSG bei Zweifelsfragen im Rahmen einer Vorabkontrolle, die notwendig wird, wenn eine automatisierte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten des durch die Datenverarbeitung Betroffenen aufweist. 4 g Abs. 1 S. 3 BDSG legt dagegen die Anrufung der Aufsichtsbehörde in das pflichtgemäße Ermessen des Datenschutzbeauftragten, wenn er über die Auslegung einschlägiger gesetzlicher Normen oder die Angemessenheit der datenschutzrelevanten Maßnahmen im Zweifel ist. Er hat insoweit 4 g Abs. 1 S. 3 BDSG ist als Kann-Regelung ausgestaltet ein eigenständiges Entscheidungsrecht dahingehend, ob er die Aufsichtsbehörde anruft oder nicht. Ein solcher Anlass zur Anrufung liegt insbesondere dann vor, wenn strafrechtlich relevante Verstöße in Betracht kommen. Hier reduziert sich das Ermessen in der Regel in eine Ermessensreduzierung auf Null, d.h. der Datenschutzbeauftragte ist nicht nur zur Anrufung berechtigt, sondern sogar verpflichtet, so dass er sich angesichts des denkbaren internen Konfliktes mit der Unternehmensleitung auch nicht auf den Grundsatz der Unzumutbarkeit normgerechten Verhaltens berufen kann. Dies gilt erst recht bei der gesetzlich normierten Anrufungspflicht. Zwar wird die Gefährdung eigener billigenswerter Interessen bei einem Unterlassungsdelikt zumindest entschuldigend berücksichtigt, wenn die Vornahme der pflichtgemäßen Handlung für den Unterlassenden unzumutbar ist. Diese eigenen billigenswerten Interessen müssen jedoch stets gegen die Rechtsgutverletzung abgewogen werden, die letztlich droht. Wirtschaftliche Gesichtspunkte müssen dabei zurück treten. Dies vor allem auch deshalb, weil der Datenschutzbeauftragte einem besonderen Schutz unterliegt. Im Konfliktfall darf eine Abberufung des Datenschutzbeauftragten nur dann erfolgen, wenn die Aufsichtsbehörde dies verlangt oder ein wichtiger Grund i.s.d. 626 BGB vorliegt. Ein pflichtgemäßes Einschreiten des Datenschutzbeauftragten fällt natürlich nicht hierunter. Auch hätte eine Leitung nicht die Möglichkeit, in einem solchen Fall das Arbeitsverhältnis zu kündigen, was gleichzeitig die Tätigkeit als Datenschutzbeauftragter beenden würde. Es wäre unzulässig, den Schutz des Datenschutzbeauftragten vor einem nicht gerechtfertigten Entzug seiner Funktion dadurch zu umgehen, dass das zu Grunde liegende Arbeitsverhältnis gekündigt wird. Eine solche Kündigung wäre schon deshalb rechtswidrig, weil sie gegen das in 4 f Abs. 3 S. 3 BDSG verankerte Benachteiligungsverbot verstoßen würde 21. In diesem Zusammenhang sei auch auf die o.g. Entscheidung des BGH zur strafrechtlichen Verantwortlichkeit des Compliance-Officers verwiesen, in der das Gericht es für zumutbar hält, dass dieser im Falle einer strafrechtlich relevanten Rechtsverletzung durch ein Vorstandsmitglied trotz des internen Konfliktpotentials den Vorstandsvorsitzenden bzw. den Aufsichtsratsvorsitzenden davon in Kenntnis setzt. Sich auf die Unzumutbarkeit eines Einschreitens zu berufen, entfällt daher im Regelfall auch für den Datenschutzbeauftragten. Aufgrund des vorstehend bezeichneten, gesetzlich bestimmten Pflichtenkreises stellt sich nun die Frage, ob dem Datenschutzbeauftragten der Vorwurf zumindest einer Beihilfe durch Unterlassen gem. 27, 13 StGB gemacht werden kann, wenn er seiner Informati- 17 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Aufl., 2009, Rdn Gola/Wronka, aao, Fußn. 18, Rdn Gola/Wronka, aao, Fußn. 18, Rdn Gola/Wronka, aao, Fußn. 18, Rdn Gola/Wronka, aao, Fußn. 18, Rdn. 826 m.w.n.

10 252 RDV 2010 Heft 6 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? ons- und Beratungspflicht bzw. seiner Einschaltungspflicht bzgl. der Aufsichtsbehörde nicht nachkommt und als Folge durch Mitarbeiter oder durch die Unternehmensleitung ein vorsätzlicher Datenschutzstraftatbestand verwirklicht wird. b) Der Datenschutzbeauftragte als Überwachergarant kraft Gesetzes Eine Beihilfehandlung durch Unterlassen setzt gem. 13 StGB eine Garantenstellung voraus. Der Unterlassende muss aus Rechtsgründen dafür einzustehen haben, dass ein strafrechtlich missbilligter Erfolg nicht eintritt. Grundlage für die Beurteilung einer solchen Garantenstellung sind die gesetzlichen Regelungen der 4 d, f und g BDSG. Zum Teil wird im Schrifttum zwar die Garantenpflicht eines Betriebsbeauftragten generell abgelehnt 22, gleichgültig um welche Form des Beauftragten es sich handelt. Als gewichtigstes Argument gegen eine Garantenpflicht wird dabei die mangelnde eigene Entscheidungs- bzw. Anweisungsbefugnis des Beauftragten angeführt. Dem ist jedoch entgegenzuhalten, dass ein Betriebsbeauftragter und dies gilt auch für den Datenschutzbeauftragten zwar keine eigene Entscheidungsund Anweisungsmöglichkeiten besitzt. Er hat indessen eine aus seiner Fachkunde abzuleitende Informationsmacht, die ihm einen Kenntnisvorsprung auf Grund seiner spezifischen datenschutzrechtlichen Kompetenz verschafft 23. Er ist befähigt, auf Grund seines zur Ernennung erforderlichen Expertenwissens die datenschutzrechtliche Bedeutung von Vorgängen zu beurteilen und kann im Zweifelsfall sogar die Aufsichtsbehörde anrufen. Die gem. 4 f Abs. 2 S. 1 BDSG geforderte Fachkunde umfasst dabei zum einen das allgemein erforderliche datenschutzrechtliche Grundwissen, das jeder Datenschutzbeauftragte aufweisen muss; zum anderen die betriebsspezifischen Kenntnisse. Dies darf jedoch nicht dazu führen, ihm ein nichterfüllbares allround-wissen abzuverlangen. Trotz vielfältiger Unterschiede hat sich für die Tätigkeit des Datenschutzbeauftragten inzwischen ein einheitliches Berufsbild ausgeprägt, in dem die rechtlichen Anforderungen umrissen sind. Diese Informationsmacht reicht zwar nicht aus, um den Datenschutzbeauftragten im Falle der Nichtwahrnehmung seiner Pflichten zum Beschützergaranten und damit zum Täter eines datenschutzrelevanten Deliktes zu qualifizieren. Er ist jedoch als sog. Überwachergarant einzuordnen 24, was zu einer Beihilfe durch Unterlassen i.s.d. 27, 13 StGB führen kann. c) Garantenstellung durch Ingerenz Neben der aus dem Gesetz herzuleitenden Garantenpflicht kommt eine solche auch auf Grund der sog. Ingerenz in Betracht. Auch derjenige, der durch sein Verhalten die Gefahr eines Schadenseintritts heraufbeschwört, ist als Überwachergarant verpflichtet, den Schadenseintritt zu verhindern. Allerdings ist die Garantenstellung aus einem vorausgegangenen, Gefahr bringenden Vorverhalten weder im Prinzip noch in ihren näheren Voraussetzungen unumstritten. So besteht nach wie vor zwischen Rechtsprechung und Literatur die Kontroverse, ob nur ein pflichtwidriges Vorverhalten diese Garantenstellung begründet oder ob auch ein rechtmäßiges Vorverhalten ausreichend ist 25. Herrschend soll nur ein pflichtwidriges Vorverhalten der Auslöser für die Garantenstellung aus Ingerenz sein, durch das die naheliegende Gefahr für die Rechtsgutverletzung bewirkt wird. Auch der BGH 26 bezieht in seiner Entscheidung zur Verantwortlichkeit des Compliance-Officers die Ingerenz in seine Betrachtung ein, lehnt diese im konkreten Fall mangels Schaffung einer spezifischen Gefahrenlage durch den Compliance-Officer ab. Für den Datenschutzbeauftragten ist indessen eine Garantenstellung aus Ingerenz z.b. bei nachfolgenden Fallkonstellationen durchaus denkbar: Hat der Datenschutzbeauftragte z.b. in Verkennung der Rechtslage die datenschutzrechtliche Unbedenklichkeit einer Kontrolle attestiert, so hat er dadurch pflichtwidrig eine Gefahrenlage geschaffen. Unternimmt er, nachdem er seine Fehleinschätzung erkannt hat, nichts, um den drohenden Datenschutzverstoß zu verhindern, so verletzt er seine Garantenpflicht. Gleiches dürfte gelten, wenn er zunächst eine pflichtgemäße Prüfung bzw. Information unterlassen hat und nach der Erkenntnis, dass ein Datenschutzverstoß in Betracht kommt, keine entsprechenden Hinweise an die Leitung gibt. d) Die Erfordernis einer vorsätzlichen Haupttat Damit dem Datenschutzbeauftragten der Vorwurf einer Beihilfe durch Unterlassen gemacht werden kann, muss über die Garantenstellung hinaus der das datenschutzrechtlich relevante Delikt begehende Dritte etwa ein Mitarbeiter oder die Unternehmensleitung seiner- bzw. ihrerseits selbst vorsätzlich handeln, wie 44 BDSG oder 202 a StGB dies vorsieht. Eine Beihilfe setzt nach dem Grundsatz der sog. limitierten Akzessorietät wie sie in der Formulierung des 27 Abs. 1 StGB zum Ausdruck kommt eine vorsätzlich begangene rechtswidrige Haupttat durch Dritte voraus. Allein eine rechtswidrige Straftat reicht nicht aus. Selbst wenn der Tatbestand eines Datenschutzde- 22 Vgl. den Bericht des Rechtsausschusses zur Bekämpfung der Umweltkriminalität, RT-Dr. 8/3633, S. 21; Czyrkowski, ZfW, 1980, S. 205, 206; Köhler, ZfW, 1993, S. 1, 5; Michalke, Umweltstrafsachen, 2. Aufl., 2000, Rnr. 79; Nisipeanu, NUR 1980, 439, Böse, NStZ 2003, S. 636; Schünemann in GS Armin Kaufmann, 1989, S. 629, 639; Busch, Unternehmens- und Umweltstrafrecht, 1997, S. 552f. 24 So auch OLG Frankfurt NJW 1987, 2753 im Hinblick auf den Gewässerschutzbeauftragten. 25 Vgl. zum Stand der Diskussion: BGH NStZ 1987, 171, Arzt, JA 1980, 714; Tröndle/Fischer, Kommentar zum StGB, 57. Aufl., 13 Rdn ; Kraft/Winkler CCZ 2009, 31, die im Rahmen der Diskussion um die Garantenstellung des Compliance-Officers zwar die Ingerenz ansprechen, diese aber nicht weiter erörtern. 26 Vgl. BGH, Urteil vom , NJW Spezial 2009, 585; BB 2009, 2263 mit Anm. Wybitul.

11 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? RDV 2010 Heft liktes vorliegt, dieser aber durch den Dritten nicht vorsätzlich verwirklicht worden ist, entfällt eine Bestrafung desjenigen, der diese Tathandlung durch Unterlassen objektiv gefördert hat. Denkbar ist also, dass ein Mitarbeiter bzw. die Leitung z.b. den Tatbestand des Ausspähens von Daten i.s.d. 202 a StGB erfüllt, dies aber ohne Vorsatz geschieht, etwa weil der Datenschutzbeauftragte keinen entsprechenden Hinweis gegeben hat und sich der Handelnde auf einen Vorsatz ausschließenden Tatbestandsirrtum i.s.d. 16 Abs. 1 StGB berufen kann. Selbst wenn dieses Unterlassen durch den Datenschutzbeauftragten bewusst geschehen ist, scheidet eine Strafbarkeit wegen Beihilfe aus, da es an einer vorsätzlichen Haupttat ermangelt. Diese Folge wird zwar im Schrifttum als Strafbarkeitslücke beklagt 27, ändert aber nichts daran, dass ein Beihilfevorwurf dann zu verneinen ist. e) Der subjektive Tatbestand; doppelter Gehilfenvorsatz Hat indessen der Dritte vorsätzlich gehandelt, so ist der Weg in den Beihilfevorwurf zunächst eröffnet, vorausgesetzt, der Gehilfe hat seinerseits mit dem für 27 StGB erforderlichen doppelten Gehilfenvorsatz gehandelt 28. Der Gehilfe muss dabei zumindest mit bedingtem Vorsatz die Vollendung der Haupttat wollen und den Willen haben, dass durch sein Unterlassen, also z.b. auf Grund seines mangelnden, warnenden Hinweises auf ein datenschutzwidriges Verhalten oder durch eine Nichteinschaltung der Aufsichtsbehörde der Rechtsverstoß erfolgt, also die Haupttat gefördert wird. Ausreichend ist dabei, dass er den Erfolgseintritt billigend in Kauf nimmt, etwa um Konflikte mit der Unternehmens- bzw. Behördenleitung zu vermeiden. Er muss also das Bewusstsein haben, dass der tatbestandsmäßige Erfolg einzutreten droht, wenn er nicht aktiv eingreift. Außerdem muss er seine Garantenstellung erkennen und er muss sehen, dass ihm die Abwendung des Erfolgs möglich ist 29. Die bloße vage Erkennbarkeit einer Rettungsmöglichkeit hier hinsichtlich des Rechtsgutes Datenschutz reicht dagegen nicht aus; indessen aber ein generelles Bewusstsein dieser Rettungsmöglichkeit. Ist dieser Vorsatz nicht nachweisbar, kommt allenfalls eine Fahrlässigkeit in Betracht, die für eine Beihilfe nicht ausreicht. Damit ist die Überprüfung des Gehilfenvorsatzes im konkreten Einzelfall von maßgeblicher Bedeutung. In der Praxis wird sollte es zu einem staatsanwaltschaftlichen Ermittlungsverfahren oder zu einem gerichtlichen Hauptverfahren kommen also der Gehilfenvorsatz und dessen Nachweis neben der nachfolgend behandelten Kausalität eine entscheidende Rolle spielen. An dieser Nahtstelle zwischen dem bedingten Vorsatz und der bewussten Fahrlässigkeit wird sich also in der Regel entscheiden, ob eine Beihilfe anzunehmen ist oder nicht. Während der bedingte Vorsatz voraussetzt, dass der Erfolgseintritt als möglich erkannt und gebilligt wird (voluntatives Element), ist von einer bewussten Fahrlässigkeit auszugehen, wenn der Erfolg als möglich erkannt wird, aber darauf vertraut wird, dieser werde schon nicht eintreten 30. Existieren z.b. im Hinblick auf datenschutzrelevante Zweifelsfragen fundierte, unterschiedliche Rechtsauffassungen und beruft sich der Datenschutzbeauftragte auf eine dieser Rechtspositionen, so wird man ihm nicht den Vorwurf des bedingten Vorsatzes machen können, selbst wenn diese Auffassung durch ein Gericht verworfen werden sollte. Zurückhaltung ist um dem Vorwurf des bedingten Vorsatzes zu entgehen insbesondere dann geboten, wenn Kontroversen im Hinblick auf die Auslegung von datenschutzrechtlichen Regelungen bestehen und noch keine gefestigte Rechtsprechung vorliegt. Genannt sei als Beispiel nur die im Jahre 2009 in das Bundesdatenschutzgesetz eingefügte Neuregelung des 32 Abs. 1 S. 1 bzw. S. 2 BDSG, die möglicherweise zu dem Zeitpunkt, an dem dieser Aufsatz veröffentlicht wird, bereits nach wenigen Monaten nur noch rechtshistorische Bedeutung haben wird, da sie aller Voraussicht nach durch die differenzierten Vorschriften der 32, 32a bis 32l abgelöst wird in seiner derzeit noch gültigen Fassung enthält keine valide Aussage darüber, ob auch präventive Kontrollen zulässig sind, um strafbare Handlungen oder sonstige Rechtsverstöße im Zusammenhang mit dem Beschäftigungsverhältnis aufzudecken oder ihnen vorzubeugen. Satz 2 lässt im Falle eines konkreten Tatverdachts bzgl. einer Straftat zwar Kontrollmaßnahmen zu, die allerdings auf einem konkret belegbaren Verdacht beruhen müssen, die ferner erforderlich sein müssen und die nicht im Widerspruch zu den Arbeitnehmerinteressen stehen. Gerade diese letztgenannte Abwägungsklausel führt in der Praxis zu nachhaltigen Problemen, so z.b. bei der Frage, ob auch bei Bagatelldelikten, die in einem Unternehmen gehäuft auftreten und Schäden verursachen, Erforschungshandlungen vorgenommen werden können 32. f) Kausalität des Unterlassens Die Garantenstellung führt nicht per se zu einer Strafbarkeit. Damit ein Handlungsdefizit Grundlage einer Strafbarkeit sein kann, muss es auch ursächlich für den späteren Erfolg sein. Zusätzlich ist also zu klären, ob das pflichtwidrige Unterlassen für den eingetretenen Erfolg kausal war. 27 Salje, BB 1993, S. 2297, Vgl. BGH NStZ 1985, 318; BayOBLG NStZ 1999, 627; OLG Düsseldorf STV 2002, 312, 313; LG Bochum NJW 2000, 1430, Vgl. SK-Rudolphi, Rdn. 19, 20 vor 13; Otto/Brammsen, Jura 1986, Vgl. BGH St 7, 363, 367; BGH St 36, 1, 10; BGH NStZ 2002, 315; Wessels/Beulke, Strafrecht AT, 32. Aufl., 2002, Rdn. 216, 223; Roxin, Strafrecht AT 2003, 12 Rdn Vgl. der Entwurf eines Gesetzes zur Neurgelung des Beschäftigungsdatenschutzes /08/ Vgl. zu der kontroversen Diskussion zu 32 Abs. 1 BDSG: Barton, RDV 2009, 19; Diller, BB 2009, 438; Forst, RDV 2009, 204 ff.; Polenz, DuD 2009, 561 ff.; Steinhuber, BB 2009, 1294 ff.; Thüsing, NZA 2009, 865 ff.

12 254 RDV 2010 Heft 6 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? Dafür ist bei unechten Unterlassungsdelikten wozu auch die Beihilfe durch Unterlassen zählt auf die hypothetische Kausalität die sog. Quasikausalität abzustellen. Zugerechnet wird danach die Nichtverhinderung des Erfolgs dann, wenn die unterlassene Handlung nicht hinzugedacht werden kann, ohne dass der Erfolg entfiele 33. aa) Rechtmäßiges Alternativverhalten Fraglich ist dabei zunächst, ob sich der Datenschutzbeauftragte darauf berufen kann, dass es selbst bei einem pflichtgemäßen Verhalten seinerseits zu einer Verletzung des Datenschutzes gekommen wäre. Diese Berufung auf ein rechtsmäßiges Alternativverhalten ist bei sog. Kollektiventscheidungen mehrerer Organmitglieder unbeachtlich. In der bekannten Lederspray-Entscheidung 34 des BGH wurde im Fall eines vorsätzlichen Unterlassens eines Mitglieds des Kollektivs die Kausalität bejaht, indem dem Unterlassenden das Verhalten der übrigen Mitglieder mittäterschaftlich i.s.d. 25 Abs. 2 StGB zuzurechnen sei, so dass sich der Unterlassungstäter in einem solchen Fall nicht darauf berufen kann, dass auch bei einem aktiven Tätigwerden seinerseits die Rechtsverletzung erfolgt wäre. Allerdings ist hierfür Voraussetzung, dass es sich um eine gemeinsame Entscheidung mehrerer verantwortlicher Organe handelt, also z.b. bei der Beschlussfassung im Rahmen einer mehrköpfigen Geschäftsführung und damit von gleichgeordneten Garanten. Die Anwendbarkeit dieser Grundsätze auf den Datenschutzbeauftragten verbietet sich, da der Datenschutzbeauftragte gem. 4 f Abs. 3 Satz 1 BDSG der Geschäftsführung untergeordnet ist, so dass er nicht als gleichgeordnetes bzw. gleichrangiges Gremienmitglied qualifiziert werden kann. bb) Risikoverminderung oder Wahrscheinlichkeit der Erfolgsverhinderung Das Schrifttum 35 lässt es für den notwendigen Ursachenzusammenhang bereits ausreichen, dass die Vornahme der gebotenen Handlung das Risiko des Erfolgseintritts möglicherweise verringert hätte 36. Im Falle der Täterschaft durch Unterlassen fordert die Rechtsprechung 37 dagegen, dass die erforderliche hinzuzudenkende Handlung den Erfolg mit an Sicherheit grenzender Wahrscheinlichkeit abgewendet hätte. Indessen lässt sie es bei einer Beihilfe durch Unterlassen genügen, dass die Tatvollendung durch ein Einschreiten erschwert worden wäre 38. Damit werden also geringere Anforderungen gestellt. Im Rahmen der hypothetischen Kausalitätsprüfung ist es demnach die Aufgabe des Gerichts, zum einen die gebotene Handlung zu ermitteln also die Notwendigkeit, vor dem Datenschutzverstoß zu warnen bzw. die Aufsichtsbehörde einzuschalten zum anderen auf der Basis der allgemeinen Lebenserfahrung zu beurteilen, ob ein Einschreiten des Datenschutzbeauftragten zumindest ein nachhaltiges Hemmnis bei den Verantwortlichen geschaffen hätte, den datenschutzrelevanten Verstoß zu begehen 39. Diese zweistufige Kausalitätsprüfung, die zur Verknüpfung von Unterlassen und Erfolg nur über den dazwischen liegenden souveränen Entschluss und das Handeln des Dritten hier der Unternehmensleitung gelangt, wirkt sich dann zugunsten des beschuldigten Datenschutzbeauftragten aus, wenn nicht zweifelsfrei festgestellt werden kann, wie der oder die weisungsberechtigten Organe des Betriebs oder einer Behörde auf eine entsprechende Warnung oder Information reagiert hätten. Ein Gericht muss also zu der zweifelsfreien Überzeugung gelangen, und diese auch im Hinblick auf eine Berufung oder Revision in nachvollziehbarer Weise in seinem Urteil darlegen, dass eine Initiative des Datenschutzbeauftragten gegenüber der Leitung aller Voraussicht nach Erfolg gehabt hätte. Andernfalls gilt gegenüber dem Beschuldigten der Grundsatz in dubio pro reo 40. Zutreffend ist sicherlich, dass kein allgemeiner Erfahrungssatz dahingehend existiert, dass allen Anregungen und Hinweisen Datenschutzbeauftragter stets und sofort entsprochen wird. Aus diesem Umstand allerdings abzuleiten, dass in einem solchen Falle die Kausalität nur schwer oder gar nicht nachzuweisen ist 41, erscheint indessen zu euphemistisch. Sollte die Unternehmens- oder Behördenleitung selbst in ein Strafverfahren verwickelt sein, in dem ihr der Vorwurf gemacht wird, ein vorsätzliches Datenschutzdelikt begangen zu haben, so ist nach der Lebenserfahrung eher davon auszugehen, dass sie sich dahingehend einlässt, die entsprechende Warnung des Datenschutzbeauftragten hätte bei ihr zu einem rechtskonformen Verhalten geführt. Ein solches situationsangepasstes Verhalten hätte zur Folge, dass sich in einem Verfahren gegen den Datenschutzbeauftragten die zeugenschaftlich vernommenen Organe zulasten des Beauftragten entsprechend 33 Vgl. BGH NStZ 85, 27; BGHSt 37, 126; Brammsen, GA 93, Vgl. BGHSt 37, 129; Samson, StV 1991, 184 ff.; krit. Otto, Jura 1998, 409 ff.; Beulke/Bachmann, Jus 1992, 743 ff.; Hilgendorf, NStZ 1994, Vgl. Otto, Strafrecht AT, 9 Rdn. 98 ff. m.w.n.; zur Risikoerhöhungslehre ausführlich Vogel LK, 12. Aufl., 15 Rdn Vgl. Otto, Strafrecht AT, 9 Rdn. 98 ff. m w.n.; zur Risikoverminderungslehre, Vogel LK, 12. Aufl., 13 Rdn. 193; Gimvernat, ZStW 111, Vgl. zur Quasikausalität die neuere Entscheidung des BGH (Eissporthalle Bad Reichenhall), Urteil vom StR 272/09; BGH St 37, 106 (127); BGH RR 1994, 514; BGH NStZ 2000, Vgl. RG 73, 54; BGH NJW 1953, 1838; Ranft ZStW 1975, 275 (281, 300). 39 Vgl. zur Kausalitätsproblematik im Zusammenhang mit dem Unterlassen durch Beauftragte, Dahs NStZ 86, 97 (101) m.w.n. 40 Vgl. Kraft/Winkler, CCZ 2009, 29 (33); vgl. auch zu den Anforderungen an die richterliche Überzeugung: Meyer/Goßner, Kommentar zur StPO, 51. Aufl. 2008, 261 Rdn. 2 m.w.n. 41 Vgl. Kraft/Winkler, aao (Fußn. 40); Salje, BB 1993, 2297, 2302, der unter Heranziehung der Lederspray-Entscheidung des BGH (BGH NStZ 1990, 588) grundsätzlich von einer Verursachung durch einen Beauftragten ausgehen will.

13 Barton, Beihilfe durch Unterlassen des betrieblichen Datenschutzbeauftragten? RDV 2010 Heft einlassen. Damit wäre der Nachweis erbracht, dass ein Eingreifen des Datenschutzbeauftragten den Erfolgseintritt zumindest erschwert, wenn nicht sogar verhindert hätte. Davon ist erst recht auszugehen, wenn der Datenschutzbeauftragte es unterlassen hat, die Aufsichtsbehörde im Zweifelsfall einzuschalten, obwohl dies den Umständen nach geboten gewesen wäre und die Behörde darlegen würde, sie hätte im Fall ihrer Anrufung entsprechende Maßnahmen ergriffen, um den Rechtsverstoß zu verhindern. Festzustellen bleibt, dass die Begründung der Kausalität und damit die Mitverursachung durch den Datenschutzbeauftragten für Gerichte mit besonderen Schwierigkeiten verbunden ist. Aber davon auszugehen, dass eine Strafbarkeit wegen Beihilfe durch Unterlassen in der Regel kaum nachzuweisen ist, dies könnte sich im Ernstfall nach den vorstehenden Ausführungen als Trugschluss erweisen. Abschließend sei noch darauf hingewiesen, dass die Annahme einer Beihilfe durch Unterlassen auch zivilrechtliche Folgewirkungen in Form einer Haftung wegen Schadenersatzes i.s.d. 823 Abs. 2 BGB i.v. mit den datenschutzrechtlichen Schutznormen nach sich ziehen kann. Gem. 830 Abs. 2 BGB haftet auch der Gehilfe ggf. mit dem Haupttäter als Gesamtschuldner gem. 840 BGB 42. V. Struktur einer Beihilfe durch Unterlassen durch den Datenschutzbeauftragten Um den Vorwurf einer strafbaren Beihilfe durch Unterlassen i.s.d. 27, 13 StGB zu Lasten des Datenschutzbeauftragten annehmen zu können, müssen um dies abschließend zusammenzufassen folgende Kriterien erfüllt sein: Der Datenschutzbeauftragte als Gehilfe durch Unterlassen Förderung der fremden, vorsätzlichen Haupttat durch pflichtwidriges Unterlassen; d.h. keine Beratung, Information oder Kontrolle bzw. Vorabkontrolle hinsichtlich eines datenschutzre levanten Rechtsverstoßes bzw. kein Einschalten der Aufsichtsbehörde trotz Zweifelsfall. Dadurch muss die fremde Haupttat ermöglicht, verstärkt bzw. die Durchführung der Haupttat erleichtert oder abgesichert werden. Garantenstellung auf Grund der 4 d, f, g BDSG, d.h. durch Gesetz oder auf Grund der Ingerenz (der Datenschutzbeauftragte ist als Überwachergarant zu qualifizieren). Haupttäter eines Datenschutzdeliktes Mitarbeiter oder Unternehmens-/ Behördenleitung Vorsätzliche Haupttat (limitierte Akzessorietät) d.h. erforderlich ist die vorsätzliche und rechtswidrige nicht notwendig schuldhafte Erfüllung eines Datenschutzstraftatbestandes; z.b. 44 BDSG; 202 a StGB Hypothetische Kausalität (Quasikausalität); durch ein pflichtgemäßes Eingreifen des Datenschutzbeauftragten wäre die Haupttat zumindest erschwert worden. Zumutbarkeit eines pflichtgemäßen Einschreitens (in der Regel stets anzunehmen) Doppelter Gehilfenvorsatz: Zumindest bedingter Vorsatz (d.h. billigendes Inkaufnehmen), dass es zur Vollendung der Haupttat kommt und durch das Unterlassen die Haupttat gefördert wird. Ferner muss dem Datenschutzbeauftragten die Garantenstellung bewusst sein und die Möglichkeit, dass durch das Einschreiten der Verstoß verhindert wird. Ist dieser Vorsatz nicht nachweisbar, kommt lediglich Fahrlässigkeit in Betracht, die den Beihilfevorwurf entfallen lässt. 42 Vgl. zur zivilrechtlichen Haftung von Beauftragten Salje, BB 1993, 2297 ff.

14 256 RDV 2010 Heft 6 Rolf / Riechwald, Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand RA Dr. Christian Rolf / RA Jochen Riechwald, Frankfurt am Main* Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand I. Einleitung Die Bedeutung des web 2.0 mit seinen sozialen Netzwerken, chats, blogs, microblogs, etc. 1 hat für Unternehmen an Bedeutung gewonnen. Kunden oder Bewerber erreicht man längst nicht mehr allein durch den eigenen Internetauftritt auf der unternehmenseigenen Homepage. Es sind die tools des web 2.0, die zunehmend als Plattform für den Dialog mit Kunden dienen. Kunden tauschen sich zudem zunehmend über Produkte im Internet aus 2. Die 5-Sterne-Bewertung eines bestimmten Produkts fördert die Kaufentscheidung eher als die unternehmenseigene Werbung, und der blog über die fantastischen Arbeitsbedingungen spricht Bewerber besser an als die Hochglanzbroschüre. Daneben dient das web 2.0 Mitarbeitern auch untereinander als Austauschforum. Zahlreiche gerichtliche Auseinandersetzungen 3 zur Frage, welche Äußerungen dort erlaubt sind und welche nicht, belegen die Bedeutung in der Praxis. Unternehmen achten daher zunehmen auf den Auftritt ihrer Mitarbeiter im web 2.0. Solche Regelungen finden sich als Social Media Guidelines, Blogger Policy oder als Terms of Use für unternehmenseigene blogs. Dieser Beitrag setzt sich der arbeitsrechtlichen Zulässigkeit und etwaigen Mitbestimmungsrechten des Betriebsrats auseinander. II. Typische Regelungen In Social Media Richtlinien finden sich typische Regelungen, die sich wie folgt kategorisieren lassen: Allgemeine Begrenzungen des Internet-/Social Media- Verhaltens während der Arbeitszeit in Form von Nutzungsverboten, der Begrenzung der Nutzungsdauer oder der Beschränkung auf bestimmte Seiten oder blogs. Äußerungs-/Sprachregelungen: Die Bandbreite ist groß. Zum Teil werden nur vertragliche oder gesetzliche Pflichten der Mitarbeiter wiederholt, etwa Geschäfts- und Betriebsgeheimnisse geheim zu halten, berufsspezifische Geheimhaltungspflichten (Anwälte, Ärzte, Banken) zu achten oder keine Namen von Kunden oder Geschäftspartnern zu nennen. Weiter finden sich Verbote falscher Tatsachenbehauptungen, ehrverletzender oder irreführender Aussagen über das eigene Unternehmen, Konkurrenten oder Dritte oder Hinweise, gewerbliche Schutzrechte, wie etwa das Recht am eigenen Bild ( 22 KunstUrhG), zu achten. Bei börsennotierten Unternehmen kann auch ein Hinweis sinnvoll sein, wonach ad hoc-pflichtige Tatsachen nach 15 WpHG nicht vorab über einen blog veröffentlicht werden dürfen. Es finden sich allerdings auch Aufforderungen, sich im web 2.0 nicht kritisch über die unternehmenseigenen Produkte oder die Geschäftspolitik zu äußern, sondern die Kritik intern vorzutragen. Unter dem Stichwort Authentizität fordern Richtlinien Mitarbeiter oft auf, beim bloggen ihren Namen und Zugehörigkeit zum Unternehmen offenzulegen. Mit dem Hinweis, Namen und Mitarbeiter offenzulegen, ist auch der Hinweis verbunden, persönliche Meinungen nicht als Firmenmeinung darzustellen. Anzeigepflichten, wonach Mitarbeiter ihnen bekannt gewordene nachteilige Äußerungen über oder Angriffe auf das Unternehmen in Social Media melden sollen. Allgemeine Tipps und Hinweise ohne Regelungscharakter, etwa durch Hinweis auf die Gefahren durch Perpetuierung von Beiträgen und dem Schutz der Privatsphäre. Ausschlussregelungen, wonach ein Mitarbeiter von firmeneigenen blogs gesperrt wird, wenn er sich nicht an die Spielregeln hält. Beim Tenor fällt schließlich auf, dass viele Richtlinien nicht als direkte Verbote gefasst sind, sondern oft in Gestalt bloßer Empfehlungen oder guter Ratschläge gehalten werden. Hinweise auf konkrete arbeitsrechtliche Sanktionen bei Nichteinhaltung fehlen meist 4. III. Arbeitsrechtliche Regelbarkeit des web 2.0 Verhaltens Arbeitsrechtlich betrachtet handelt es sich letztlich um die Übertragung der Anforderungen an das Verhalten gegenüber Geschäftspartnern, Kunden, Kollegen oder der Öffentlichkeit in das Social Media Zeitalter. Die damit zusammenhängenden Fragen lassen sich daher mit herkömmlichem arbeitsrechtlichem Werkzeug * Dr. Christian Rolf, Partner, und Jochen Riechwald sind Rechtsanwälte bei Willkie Farr & Gallagher LLP, Frankfurt am Main. 1 Diese Begriffe werden im Folgenden nicht genau voneinander abgegrenzt, sondern sind für die rechtliche Betrachtung synonym zu verstehen; entscheidend ist, dass die Nutzer selbst die Inhalte liefern. 2 Dazu: Das große Rauschen - Financial Times Deutschland (FTD) vom Eine Auswahl: ArbG Herford, , 3 Ga 26/09; LAG Berlin- Brandenburg, , 10 TaBV 885/08; LAG Baden-Württemberg, , 4 Sa 1/07. 4 Beispiel: Musterrichtlinien des Bundesverbands Digitale Wirtschaft: // tipps-fuer-unternehmen-und-ihre-mitarbeiter-?media=1770.

15 Rolf / Riechwald, Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand RDV 2010 Heft bewältigen. Da das web 2.0-Verhalten eines Mitarbeiters allerdings auch außerhalb der Arbeitszeit stattfindet, ist zunächst zu klären, unter welchen Umständen der Arbeitgeber das Verhalten überhaupt regeln darf. 1. Arbeitszeit und Dienstmittel als Anknüpfung der Regelung Anknüpfungspunkt einer Reglementierung des web 2.0-Verhaltens kann die Arbeitszeit oder der Einsatz der betrieblichen IT sein. Der Arbeitgeber kann Aktivitäten im Internet während der Arbeitszeit gänzlich untersagen 5. Das gilt auch für die Benutzung der Betriebs-IT, die der Arbeitgeber auf dienstliche Zwecke beschränken darf 6. Da der Arbeitgeber die private Nutzung des Internets sowohl während als auch außerhalb der Arbeitszeit mit der dienstlichen IT verbieten kann, darf er sie grundsätzlich auch reglementieren. Er kann die Nutzung von Social Media etwa nur beschränkt zulassen oder nur bestimmte Seiten oder blogs erlauben 7. Allerdings erfasst der Arbeitgeber damit nur das Verhalten während der Arbeitszeit oder mit der unternehmenseigenen IT. Nicht geregelt wären Fälle, in denen der Mitarbeiter außerhalb der Arbeitszeit und mit seinem privaten Rechner im web 2.0 aktiv ist. 2. Regelbarkeit des privaten Internetverhaltens? Entscheidende Frage für die Kontrolle oder Reglementierung des Social Media-Verhaltens außerhalb der Arbeitszeit mit einem privaten Rechner ist, ob und inwieweit es sich dabei um Verhalten handelt, das überhaupt der Kontrolle des Arbeitgebers unterliegt. Das private Verhalten eines Mitarbeiters ist grundsätzlich nicht regelbar und web 2.0-Aktivitäten in der Freizeit mit eigenem Rechner zählen erst mal zum Privatbereich. Eine Ausnahme gilt nur, wenn außerdienstliches Verhalten auf den betrieblichen Bereich durchschlägt 8. Dieser dienstliche Bezug läge aber zumindest dann vor, wenn der Mitarbeiter unter Offenlegung seines Namens und seiner Unternehmenszugehörigkeit bloggt und den Eindruck erweckt, mit der Stimme des Unternehmens zu sprechen ( Herr Müller von der YX-AG meint dazu : ). Spricht der Mitarbeiter namens des Unternehmens, hebt er den Privatcharakter seines Handelns auf und macht den Weg für die Reglementierung durch den Arbeitgeber frei. Aus Sicht des Unternehmens stellt sich daher die Frage, ob der Mitarbeiter genau dazu verpflichtet werden kann, nämlich seinen Namen und die Unternehmenszugehörigkeit stets zu nennen. Derartige Regelungen finden sich unter dem Stichwort Authentizität. Hier wird man unterscheiden müssen. Soweit das Medium vom Unternehmen selbst unterhalten wird (firmeneigener blog), ist die Pflicht zur Offenlegung von Name und Zugehörigkeit zum Unternehmen zulässig, denn das Unternehmen entscheidet über die Spielregeln. Davon wird man auch ausgehen können, wenn ein Mitarbeiter auf Anregung seines Arbeitgebers an einem blog oder chat etwa als Experte teilnimmt oder auf einer Bewerberplattform seine Arbeit beschreibt. Ist der Mitarbeiter indes privat im Netz unterwegs, kann er aus unserer Sicht nicht verpflichtet werden, aus dem privaten Verhalten durch Identifizierung als Mitarbeiter des Unternehmens einen dienstlichen Bezug herzustellen und damit die Regelbarkeit erst zu ermöglichen. Das Gleiche gilt, wenn ein Unternehmen die Regelungen allein daran festmachen möchte, dass der Mitarbeiter beiläufig angibt, bei einem bestimmten Unternehmen beschäftigt zu sein, etwa in seinem Xing oder monster.de Profil oder in einem sozialen Netzwerk. Die Bekanntmachung der Tatsache, dass man bei einem bestimmten Unternehmen arbeitet, lässt sich noch dem Privatbereich zuordnen, stellt also keinen dienstlichen Bezug her. IV. Einzelne Regelungen 1. Äußerungs- und Sprachregelungen Sprachregelungen bilden einen zentralen Bestandteil. Die Abgrenzung zwischen nicht regelbarem Privatverhalten und Verhalten mit dienstlichem Bezug gilt auch hier. Anknüpfung für eine Regelung kann zum einen die Arbeitszeit oder die Nutzung der dienstlichen IT sein. Ist der Mitarbeiter dagegen außerhalb der Arbeitszeit mit seinem PC im web 2.0 unterwegs, ist sein Verhalten nur regelbar, wenn es auf dienstliche Belange durchschlägt. Hier kommt der Meinungsfreiheit nach Art. 5 I GG entscheidende Bedeutung zu, die mittelbar im Verhältnis Arbeitnehmer/Arbeitgeber gilt 9. Der Arbeitgeber kann (auch private) negative Äußerungen über betriebliche Angelegenheiten verbieten, die von der Meinungsfreiheit nicht mehr gedeckt sind 10. Entgegensetzen kann der Arbeitgeber der Meinungsfreiheit außerdem sein ebenfalls grundrechtlich (Art. 12 GG) geschütztes Interesse, nur mit solchen Mitarbeitern zu arbeiten, die die Ziele des Unternehmens fördern und es vor Schäden bewahren 11. Dies spiegelt sich in der Rücksichtnahmepflicht nach 241 Abs. 2 BGB wieder. 5 BAG, , 2 AZR 386/05; Raif/Bordet, AuA 2010, BAG, , 2 AZR 581/04. 7 Gola, Datenschutz und Multimedia am Arbeitsplatz, 2010, S Vgl. BAG, , 2 AZR 483/07, Rn Fischermeiner, FS Buchner (2009), 219, 220 f.; BAG, , 2 AZR 21/05; Arbeitsgericht Mannheim, , 8 BV 11/08; deutlich: LAG BW , 2 Sa 59/ BAG, , 2 AZR 257/ LAG Niedersachsen, , 10 Sa 675/09; BAG, , 2 AZR 584/04.

16 258 RDV 2010 Heft 6 Rolf / Riechwald, Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand Der Maßstab, der danach für die Social Media Richtlinien gilt, ist wie folgt zu beschreiben. Verboten werden können ehrverletzende Äußerungen, wahrheitswidrige Tatsachenbehauptungen, in grobem Maße unsachliche Angriffe, die zur Untergrabung der Position eines Vorgesetzten führen 12 oder Äußerungen, die den Betriebsfrieden stören 13 : Beispiel 1: Stewardess S der A Airline regt sich über den Fluggast F auf und bloggt ihren Frust nach der Landung, beginnend mit Worten Als Stewardess der A Airline erlebt man immer wieder bescheuerte Gäste, heute., der Beitrag endet damit, dass es ohnehin ein Wunder sei, dass man mit dieser Schrott- Airline glücklich gelandet ist, weil die ja bekanntlich aus Kostengründen die Flugzeuge nicht richtig wartet. Das Infragestellen der Sicherheit der eigenen Airline ist schwer geschäftsschädigend, und der Arbeitgeber braucht auch nicht hinzunehmen, dass seine Kunden beleidigt werden. Auch kann das Unternehmen Äußerungen verbieten, die mit den in 1 AGG aufgestellten Diskriminierungsverboten und mit 80 Abs. 1 Nr. 7 BetrVG unvereinbar sind, also vor allem rassistische und fremdenfeindliche Äußerungen. Entsprechende Verbote in der Social Media Richtlinie sind zulässig. Verboten werden können weiter Äußerungen, die nur dem Zweck dienen, den Arbeitgeber in Misskredit zu bringen. Die Meinungsfreiheit gibt kein Recht, den Arbeitgeber bloßzustellen 14, und dem Arbeitnehmer ist aufgrund der Rücksichtnahmepflicht grundsätzlich zumutbar, für Kritik an Betriebsinterna innerbetriebliche Abhilfemöglichkeiten in Anspruch zu nehmen 15, anstatt sie über das web 2.0 zu äußern (ohne dem Arbeitgeber eine Abhilfechance einzuräumen). Auf der anderen Seite ist die Kritik am Unternehmen und der Geschäftspolitik grundsätzlich auch dann zulässig, wenn sie überspitzt und polemisch geäußert wird 16 : Beispiel 2 17 : Der ausgeschiedene Arbeitnehmer A beschreibt in einem Online-Forum seinen ehemaligen Arbeitgeber u.a. als Abzock-Mafia, den Geschäftsführer als Strohmann und Marionette, der keine Ahnung von gar nix habe, und kommentiert sein Ausscheiden schließlich unter der Überschrift: Die Ratten verlassen das sinkende Schiff. Unter Berufung auf die Meinungsfreiheit lehnt er ab, künftig solche Äußerungen zu unterlassen. Das Arbeitsgericht hielt die Äußerungen noch für einen Ausdruck der Meinungsfreiheit. Das LAG Baden-Württemberg 18 hielt die Mafia -Aussage in einem ähnlichen Fall dagegen für unzulässig (ließ die Kündigung des Mitarbeiters aber an der Interessenabwägung scheitern). Letzterem ist zuzustimmen, was die Unzulässigkeit der Äußerung angeht. Kein Arbeitgeber muss es hinnehmen, von seinen Mitarbeitern mit einer kriminellen Vereinigung gleichgesetzt zu werden. Allerdings sind Instanzgerichte eher großzügig, was dazu führt, dass die Meinungsfreiheit, wie das LAG Berlin-Brandenburg feststellt, häufiger überstrapaziert wird 19. Besonders schwer zu beurteilen sind Äußerungen, die zwar an sich im Schutzbereich der Meinungsfreiheit liegen, aber dem Unternehmen erheblich schaden können: Beispiel 3: Dr. P ist Pressesprecher der Atomkraftsparte eines Energiekonzerns. In seiner Freizeit engagiert er sich mit seinem Namen auf einer gut besuchten Website für alternative Energien und bezeichnet Atomkraftwerke als tickende Zeitbomben. Beispiel 4: Dr. W arbeitet in der Entwicklungsabteilung der M AG und arbeitet nach Dienstschluss in einem blog die Vorteile verschiedener Konkurrenzprodukte heraus. Die Äußerungen sind in beiden Fällen nicht in dienstlichem Zusammenhang, sondern privat gefallen und bewegen sich grundsätzlich im Rahmen von Art. 5 I GG. Allerdings gelten für Pressesprecher 20 und Mitarbeiter mit repräsentativer Stellung erhöhte Loyalitätspflichten, da hier eine Verpflichtung besteht, das Unternehmen positiv darzustellen, was umgekehrt den Schutzbereich der Meinungsfreiheit begrenzt 21. Und auch im Fall des Entwicklers wird man ebenfalls Zurückhaltung verlangen können, da es seine Aufgabe ist, die eigenen Produkte im Vergleich zur Konkurrenz zu verbessern. Man kann diese Fälle auch dahin zusammenfassen, dass das Unternehmen einer besonderen Gefährdung ausgesetzt ist, weil die negative Meinung des eigenen Pressesprechers oder eines Hausexperten in der Öffentlichkeit schwerer wiegt als die Kritik eines normalen Mitarbeiters. Was bedeutet das für die Äußerungsregelungen der Social Media Richtlinien? Zulässig sind Verbote solcher Äußerungen, die nicht mehr von der Meinungsfreiheit gedeckt sind, ebenso wie offensichtlich geschäftsschädigende Äußerungen. In weitergehendem Umfang zulässig sind Sprachregelungen auch dann, wenn der Mitarbeiter mit der Stimme des Unternehmens spricht, etwa wenn er in einem blog oder chat seitens oder im Auftrag des Unternehmens teilnimmt. Hier kann das Unternehmen eine Sprachregelung genauso vorgeben, wie es das bei herkömmlichen Pressemitteilungen machen könnte. Grundsätzlich zulässig ist auch eine Regelung, Kritik an Betriebsinterna intern 12 BAG, , 2 AZR 927/98; , 2 AZR 418/01; BAG, , 2 AZR 534/08; LAG BW, , 2 Sa 59/09). 13 Arbeitsgericht Mannheim, oben (Fn. 10), Rn LAG Niedersachsen, , 10 Sa 675/ Fischermeiner, oben (Fn. 10), 222; in diese Richtung für whistleblowing auch LAG Hamm, NZA-RR 2004, 475, BAG, , 2 AZR 927/ Nach Arbeitsgericht Herford, , 3 Ga 26/ , 4 Sa 1/ , 10 TaBV 885/ LAG Brandenburg, , 3 Sa 71/ LAG Brandenburg, ebenda, Rn. 33.

17 Rolf / Riechwald, Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand RDV 2010 Heft anzubringen und nicht mutwillig über das web 2.0 zu verbreiten, um den Arbeitgeber in Misskredit zu bringen (dazu auch unten, Geheimhaltungsregelungen). Und schließlich können Mitarbeiter, deren negative Äußerungen das Unternehmen in eine erhöhte Gefahrenlage bringen können, stärker auf die Interessen des Unternehmens verpflichtet werden. In allen anderen Fällen, d.h. insbesondere dann, wenn der Mitarbeiter die Grenzen der Meinungsfreiheit einhält und zudem klarstellt, dass es sich um eine private und keine Firmenmeinung handelt, ist die Meinungsfreiheit zu respektieren und der Inhalt des Beitrags der Regelungsbefugnis des Arbeitgebers entzogen. Regelungen, wonach Mitarbeiter das Unternehmen generell nicht kritisieren dürfen, sind danach unzulässig. 2. Geheimhaltungsregelungen Regeln, wonach Mitarbeiter Betriebs- und Geschäftsgeheimnisse des Arbeitgebers wahren müssen, wenn sie im web 2.0 unterwegs sind, sind ohne weiteres zulässig. Dazu ist der Mitarbeiter auch ohne besondere Regelung verpflichtet 22. Dies gilt unabhängig davon, ob Betriebs- oder Geschäftsgeheimnisse im dienstlichen oder privaten Bereich verraten werden. Das Gleiche gilt für Hinweise auf besondere berufsständische Verschwiegenheitspflichten, Mandats- oder Bankgeheimnisse, denen der Arbeitgeber unterliegt, und für wertpapierhandelsrechtliche Verpflichtungen, kein Insiderwissen preiszugeben. Im Übrigen muss es sich dabei nicht um Geschäftsgeheimnisse im engeren Sinn handeln. Der Arbeitgeber kann auch verbieten, Betriebsinterna nach außen zu tragen, an deren Geheimhaltung er ein berechtigtes Interesse hat Durchsetzung gesetzlicher Pflichten Weiter zulässig sind Compliance-Regelungen, mit denen der Arbeitgeber sicherstellt, dass Mitarbeiter gesetzliche Pflichten einhalten. In Betracht kommt vor allem das UWG: Beispiel 4: Vertriebsmitarbeiter V meint es mit seinem Unternehmen (und seiner Umsatzprovision) zu gut, gibt sich in verschiedenen blogs als Kunde seines Unternehmens aus und bewertet die Produkte aus eigenem Haus mit 5 Sternen. Das Unternehmen bekommt Post vom Verbraucherschutzverein wegen einer vermeintlichen Verletzung von 4 Nr. 3 UWG 24. Dieses Verhalten kann das Unternehmen verbieten und eine Regelung aufnehmen, wettbewerbsrechtlich bedenkliche oder unzulässige Äußerungen im web 2.0 zu unterlassen. Im Zusammenhang mit Produktbewertung ist es demnach zulässig, den Mitarbeiter zu verpflichten aufzudecken, dass er beim Unternehmen beschäftigt ist. 4. Anzeige- und Meldepflichten Meldepflichten lassen sich zunächst an sich auf 241 II BGB stützen, da der Arbeitnehmer die Pflicht hat, Informationen an den Arbeitgeber weiterzugeben, falls es erforderlich ist, um Schäden vom Unternehmen abzuwenden 25. Bei Mitarbeitern, zu deren arbeitsvertraglichen Pflichten die Kontrolle des Internets auf negative Inhalte zählt (Stichwort: webwatch ), ergibt sich diese Pflicht aus dem Arbeitsvertrag. Diese Mitarbeiter könnten daher ohne weiteres verpflichtet werden, schädliche Äußerungen im web 2.0 an das Unternehmen weiterzuleiten. Bei den übrigen Mitarbeitern darf der Maßstab nicht überspannt werden 26. Hier gelten Zumutbarkeitsgesichtspunkte. So kann es im Einzelfall unzumutbar sein, Angehörige, die im gleichen Betrieb arbeiten, beim Arbeitgeber zu verpfeifen 27. Man wird aber verlangen können, dass Mitarbeiter jedenfalls solche schädlichen Inhalte aus blogs oder sonstigen web 2.0 Aktivitäten melden, in denen sie selbst dienstlich unterwegs sind; bei privaten web 2.0 Aktivitäten dagegen nur, wenn es um die Abwendung erheblicher Schäden geht. Entsprechend sollten die Regelungen restriktiv gefasst werden. 5. Blogverbot nach Missbrauch? Ein besonderes Interesse kann das Unternehmen außerdem haben, Mitarbeiter von der Nutzung auszuschließen, wenn die Spielregeln nicht eingehalten werden. Ein solches Nutzungsverbot kommt grundsätzlich nur bei unternehmenseigenen blogs oder Foren in Betracht, denn der Arbeitgeber kann auswählen, welche Mitarbeiter am blog mitschreiben dürfen und welche nicht. So entschied etwa das LAG Hessen 28, dass einem Mitarbeiter bei Verstößen gegen die Netiquette die Schreib- und Leseberechtigung für ein betriebsinternes Forum entzogen werden kann. Ein Verbot der Nutzung von unternehmensfremden blogs u.ä. kommt hingegen, mit Ausnahme der oben angesprochenen Nutzung während der Arbeitszeit, nicht in Betracht. V. Mitbestimmung des Betriebsrats Neben den individualarbeitsrechtlichen Aspekten werfen Social Media Richtlinien die Frage nach der Betei- 22 BAG, , NZA-RR 2006, 636; Löwisch, BB 2009, 2782, Anwaltshandbuch Arbeitsrecht/Schmalenberg, 6. Auflage (2009) Teil 2 A, Rn Zu solchen und ähnlichen Schleichwerbungsfällen im web 2.0: Harte-Bavendamm/Henning-Bodewig/Frank, UWG, 2. Auflage (2009), 4 Rn Münchner Handbuch zum Arbeitsrecht/Reichold, 3. Auflage (2009), 49 Rn BAG, , 3 AZR 339/ LAG Hessen, , 18 Sa 367/ , 17 SaGa 1331/07.

18 260 RDV 2010 Heft 6 Rolf / Riechwald, Betriebliche Social Media Richtlinien auf dem arbeitsrechtlichen Prüfstand ligung des Betriebsrats auf, die hier nach 87 I Nr. 1 BetrVG in Betracht kommt. Danach hat der Betriebsrat ein erzwingbares Mitbestimmungsrecht bei der Regelung des Ordnungsverhaltens, nicht dagegen beim Arbeitsverhalten (Maßnahmen, mit denen die Arbeitspflicht unmittelbar konkretisiert wird). 1. Generelles Der Betriebsrat ist nur zu beteiligen, soweit die Richtlinie mitbestimmungspflichtige Regelungen enthält. Sind nur einzelne Bestandteile mitbestimmungspflichtig, führt das nicht dazu, dass auch die mitbestimmungsfreien Teile mitbestimmungspflichtig werden 29. Theoretisch ließe sich ein Katalog daher mitbestimmungsfrei halten, wenn man auf mitbestimmungspflichtige Regelungen verzichtet. Die Formulierungen einer Social Media Richtlinie als bloße Empfehlung schließt die Mitbestimmung nach 87 Abs. 1 Nr. 1 BetrVG dagegen nicht aus, solange sie darauf gerichtet ist, das Verhalten der Mitarbeiter zu steuern 30. Mitbestimmungsfrei sind aber Teile mit nur deklaratorischem Charakter, etwa in Form von Hinweisen auf die bestehende Rechtslage 31 oder bei allgemeinen Tipps oder Ratschlägen beim Umgang mit dem Internet. Generell ist empfehlenswert, die Mitbestimmung von Anfang an zu klären und den Dialog mit dem Betriebsrat ggf. frühzeitig aufzunehmen. Die Regelung per Betriebsvereinbarung kann nämlich unter Umständen zu mehr Akzeptanz bei den Mitarbeitern führen, was dafür spricht, über eine freiwillige Betriebsvereinbarung nachzudenken, auch wenn kein Mitbestimmungsrecht besteht. Dabei gilt aber: Die Betriebsvereinbarung bindet nur die Arbeitnehmer des Betriebs im Sinne des BetrVG, aber keine leitenden Angestellten ( 5 Abs. 3 BetrVG), Handelsvertreter oder freie Mitarbeiter. Gegenüber diesen Personen muss die Regelung daher gesondert in Kraft gesetzt werden, bei den freien Mitarbeitern und Handelsvertretern am besten als Vertragsbestandteil. Im Übrigen gilt hier dasselbe wie bei der einseitigen Anordnung: Auch die Betriebsparteien können das Privatverhalten der Mitarbeiter nicht regeln Einzelne Regelungen Die Mitbestimmungspflichtigkeit muss bei jeder einzelnen Regelung gesondert festgestellt werden. Als Leitlinie gilt: Der Arbeitgeber darf mitbestimmungsfrei Äußerungen im web 2.0 im Namen des Unternehmens generell verbieten 33. Mitbestimmungsfrei sind ferner alle Regelungen, die bereits bestehende gesetzliche Pflichten der Arbeitnehmer wiederholen. Hierzu zählen alle Geheimhaltungs- oder Vertraulichkeitsregeln. Damit wird nur konkretisiert, was schon gesetzlich gilt 34. Äußerungsregeln sind ebenfalls mitbestimmungsfrei, soweit sie nur gesetzliche Pflichten wiederholen, wie etwa das Verbot von Beleidigungen oder Schmähkritik. Weiter sind Regelungen mitbestimmungsfrei, die das Arbeits- und nicht das Ordnungsverhalten betreffen, d.h. mit denen das Unternehmen die Arbeitspflicht konkretisiert 35. Das würde aber nur gelten, wenn Äußerungen im web 2.0 zu den Arbeitsaufgaben des Mitarbeiters zählen, was eher selten der Fall sein wird. Bewegt sich die Regelung dagegen nicht im Bereich der Arbeitspflicht, zwingender gesetzlicher Bestimmungen oder solcher Bestimmungen, bei denen für ein Mitbestimmungsrecht des Betriebsrats kein Regelungsspielraum verbleibt (gänzliches Untersagen), greift 87 Abs. 1 Nr. 1 BetrVG. Sollen etwa nur bestimmte blogs verboten oder eine generelle web 2.0-Sprachregelung aufgestellt werden, ist der Betriebsrat zu beteiligen. Allerdings sind die Betriebsparteien bei den Regelungen nicht frei, sondern müssen die durch Art. 5 Abs. 1 GG geschützte Meinungsfreiheit beachten 36. Auch per Betriebsvereinbarung lassen sich keine Äußerungen verbieten, die von Art. 5 Abs. 1 GG gedeckt sind. Bei Melde- und Anzeigepflichten wird ein Mitbestimmungsrecht des Betriebsrats nach 87 Abs. 1 Nr. 1 BetrVG jedenfalls dann angenommen, wenn eine Meldepflicht angeordnet oder ein bestimmtes Verfahren zur Meldung von Verstößen verbindlich festgelegt wird 37. Keine Mitbestimmung besteht, wenn die Regelung nicht verbindlich sein soll 38. VI. Kontrolle? Schließlich stellt sich die Frage, ob und inwieweit das Unternehmen das Verhalten seiner Mitarbeiter im web 2.0 kontrollieren darf, um die Einhaltung der Social Media Richtlinie sicherzustellen. Allein auf die Kontrolle des dienstlich genutzten PC wird sich das Unternehmen nicht verlassen können, da technisch kaum feststellbar sein wird, welche Äußerungen der Mitarbeiter im web 2.0 getätigt hat. Entscheidend ist, ob der Arbeitgeber direkt im web 2.0 kontrollieren kann, was Mitarbeiter dort unternommen haben. Unter der derzeitigen Rechtslage darf der Arbeitgeber nach 28 Abs. 1 Nr. 3 BDSG auf allgemein zugängliche Daten 29 BAG, , 1 ABR 40/ BAG, , 1 ABR 40/ LAG Hessen, , 17 SaGa 1331/ BAG, , 1 ABR 40/07, Rn Verbot der Pressemitteilung im Namen des Unternehmens: LAG Düsseldorf, , 10 TaBV 46/ BAG, , 1 ABR 40/07 Rn. 44; BAG, , 1 ABR 87/07 Rn GK/Wiese, BetrVG, 9. Auflage (2010), 87 Rn. 197; BAG, , 1 ABR 32/04 Rn BAG, , 1 AZR 58/02; dazu: GK/Kreutz, ebenda, 77 BetrVG Rn. 294; BAG, , 1 ABR 16/ LAG Frankfurt, , 5 TaBV 31/06; LAG Düsseldorf, NZA-RR 2006, So Steinau-Steinrück/Glanz NJW-Spezial 2008, 146; dazu auch: Barthel/Huppertz, AuA 2006, 204.

19 Iraschko-Luscher / Kiekenbeck, Datenschutz im Internet Widerspruch oder Herausforderung? RDV 2010 Heft zugreifen 39, wenn Belange der Mitarbeiter nicht offensichtlich überwiegen. Dazu zählt das Internet oder Beiträge offener chats 40. Die Grenze ist bei Daten erreicht, die ein Arbeitnehmer bewusst nur privaten Kontakten zugänglich macht, etwa seinen web 2.0-Freunden. Ein solch privates Netzwerk nach Inhalten ausforschen darf der Arbeitgeber daher nicht 41. VII. Ergebnisse Zwar haben die meisten Unternehmen die Chancen erkannt, die im web 2.0 liegen. Richtlinien für den Umgang der Mitarbeiter sind allerdings noch selten. Regelungen müssen stets einen betrieblichen Bezug haben, eine Reglementierung des privaten web 2.0- Verhaltens scheidet grundsätzlich aus. Geheimhaltungs- oder Vertraulichkeitsregeln oder die Konkretisierung gesetzlicher Pflichten sind zulässig. Bei Äußerungsregeln ist einerseits die Meinungsfreiheit zu respektieren, andererseits können Mitarbeiter dazu verpflichtet werden, Kritik über Betriebsinterna nicht über das web 2.0 nach außen zu tragen. Weitergehende Regelungen sind bei Mitarbeitern zulässig, deren Äußerungen in der Öffentlichkeit schwerer wiegen (Pressesprecher, Experten). Die Mitbestimmung des Betriebsrats ist zu beachten. Die Mitbestimmungspflicht bei einzelnen Regelungen führt aber nicht dazu, dass die gesamte Richtlinie mitbestimmungspflichtig wird. Die Umsetzung der Richtlinie per Betriebsvereinbarung kann aber unabhängig davon der bessere Weg sein, um die Akzeptanz zu erhöhen. 39 Gola, Datenschutz und Multimedia am Arbeitsplatz, 3. Auflage (2010), Rn. 470; Daran dürfte sich nach der geplanten Neuregelung des Beschäftigtendatenschutzes jedenfalls für öffentliche blogs nichts ändern, da 32c Abs. 1 i.v.m. 32 Abs. 6 BDSG in der geplanten Fassung (Stand ) 28 Abs. 1 Satz 1 Nr. 3 BDSG mit Ausnahme (privater) sozialer Netzwerke entspricht. 40 Zum Vergleich der Kenntnisnahme durch staatliche Organe: BVerfG, , 1 BvR 370/ Gola, aao., Rn. 473; Rolf/Rötting, RDV 2009, 263, 267. RAin Stephanie Iraschko-Luscher / Pia Kiekenbeck, Hamburg* Datenschutz im Internet Widerspruch oder Herausforderung? I. Einleitung Gut dreiviertel aller deutschen Haushalte verfügen über einen Internetanschluss. Das Medium Internet ist in der modernen globalisierten Welt quasi allgegenwärtig. Man trifft sich in Social-Networks, informiert sich auf ausländischen Seiten über die neuesten Trends, kauft Spielzeug für die Kinder oder liest einfach nur Nachrichten. Eine Nutzung des Internets ohne das Hinterlassen von personenbezogenen Daten ist dabei praktisch unmöglich. Häufig bewusst, aber genauso häufig unbewusst. Schon durch das einfache Aufrufen einer Seite übermittelt der sich einwählende Computer seine so genannte IP-Adresse 1. Die so hinterlassenen Spuren können in der Regel ohne großen Aufwand gesammelt und ausgewertet werden. Auf Basis dieser Daten entstehen etwa (Geo-Marketing-) Profile, die werbenden Firmen ein detailliertes Bild von Nutzerstrukturen vermitteln. In einer jüngeren Entscheidung hat das BVerfG 2 zur online-durchsuchung festgestellt, dass Art. 2 Abs. 1 GG 3 neben dem Recht auf informationelle Selbstbestimmung 4 einen weiteren verfassungsrechtlichen Schutz für die Bürger bereit hält, nämlich das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses Grundrecht ist, insbesondere auch durch die Intransparenz des Internets, in Gefahr. Gegenstand dieses Aufsatzes ist die Beleuchtung des datenschutzrechtlichen Rahmens, in welchem die derzeit aktuelle Nutzung von personenbezogenen Daten im Internet stattfinden darf. II. Notwendige und freiwillige Angaben Auf vielen Internetseiten wird der User aufgefordert, Daten von sich preiszugeben. Es gilt der Erforderlich- * Geschäftsführerinnen der MGDS Managementgesellschaft für Datenschutz, Hamburg, und unter wissenschaftlicher Mitarbeit von Hendrik Brockmann, Hamburg. 1 IP steht hierbei für Internetprotokoll. Die IP-Adresse wird dem Computer bei Einwahl ins Internet zugewiesen. Sie ist mit einer herkömmlichen Hausnummer zu vergleichen. Durch sie wird der Computer adressierbar. 2 BVerfG-Urt. vom = NJW 2008, Zur Abgrenzung zu Art. 10 und 13 GG vgl. Hornung, in CR 2008, S. 299 ff. 4 BVerfG-Urt. vom BvR 209, 269, 362, 420, 440, 484/83 (Volkszählungsurteil).

20 262 RDV 2010 Heft 6 Iraschko-Luscher / Kiekenbeck, Datenschutz im Internet Widerspruch oder Herausforderung? keitsgrundsatz 5. Nur die für die Erfüllung der abgefragten Dienstleistung erforderlichen Daten dürfen als Pflichtangaben deklariert werden, so etwa beim online- Einkauf die Adresse zur Rechnungsadressierung und Lieferung der Ware. Alle darüber hinausgehenden Informationen sind als freiwillige, ergänzende Informationen zu kennzeichnen. Die Telefonnummer ist dabei in der Regel keine notwendige Angabe, um Bestellungen abzuwickeln, ist also als freiwillig zu markieren. Einher geht eine solche Unterscheidung von Pflichtund freiwilligen Angaben mit dem Zweck der Datenverwendung. Nur wenn der Zweck bekannt ist, kann die Frage der Erforderlichkeit beantwortet werden. Als Beispiel sei hier die Abfrage des Geburtsdatums beim Bestellvorgang genannt, bei der der Zweck nicht eindeutig ist. Zweck kann sein, für mögliche Bonitätsabfragen bei externen Dienstleistern den Besteller genau identifizieren zu können. Ein weiterer Zweck kann sein, die Volljährigkeit des Bestellers festzustellen. Dafür reicht aber häufig auch schon die Abfrage des Geburtsjahres. Zweck der Abfrage kann ebenfalls sein, im Rahmen von Kundenbindungsmaßnahmen dem Besteller zum Geburtstag eine Geburtstagsüberraschung zukommen zu lassen. Für letzteres gibt es keine Notwendigkeit. Bei der Datenabfrage ist deswegen auf jeden Fall eine klare Unterrichtung im Sinne des 13 Abs. 1 TMG 6 aus Sicht des Webseitenbetreibers notwendig. Diese Unterrichtung hat allgemein verständlich zu sein. Dabei ist eine Erklärung über Zweck und Erforderlichkeit bei der konkreten Abfrage für den Internet-User am nachvollziehbarsten und sorgt am ehesten für Transparenz. Die freiwillige Angabe einer Telefonnummer oder adresse im Rahmen einer online-bestellung oder beim Abruf einer Dienstleistung ist nicht gleichzusetzen mit einer Einwilligung des Internet-Users, dass diese Kontaktdaten zu Werbezwecken genutzt werden dürfen. Die Möglichkeit der Werbung mit diesen beiden Medien richtet sich nach 7 Abs. 2 UWG, wonach bei der Telefonwerbung bei Privatpersonen eine ausdrückliche und im Firmenkundenbereich mindestens die mutmaßliche Einwilligung erforderlich ist. Für werbung gilt der Einwilligungsvorbehalt für Verbraucher und Firma gleichermaßen. 7 Abs. 3 UWG gibt hierfür eine Ausnahme, wenn die adresse im Rahmen einer Internetbestellung aufgenommen wurde und dann für ähnliche Produkte oder Dienstleistungen geworben wird. Wie die Einwilligung im Internet zu erklären ist, ergibt sich aus dem TMG, nämlich aus 13 Abs. 2 und Abs. 3 TMG. Es muss sich u.a. um eine bewusste und eindeutige Erklärung des Betroffenen handeln. Bewusst und eindeutig ist auf jeden Fall, wenn der Betroffene ein entsprechendes Häkchen in einem Ankreuzfeld mit einer danebenstehenden Einwilligungserklärung setzt. Eine Vorbelegung des Ankreuzfeldes mit dem Häkchen stellt keine Einwilligung, sondern eine unzulässige Widerspruchsmöglichkeit dar 7. Zudem ist der Weg über 7 Abs. 3 UWG gesperrt, wenn die Einwilligung abgefragt wird und der Betroffene gerade nicht zugestimmt hat 8. III. Private Informationen 1. Veröffentlichung von Bildern, Texten und Abbildungen Das Recht am eigenen Bild besteht selbstredend auch im Internet 9. So hat etwa das OLG München 10 entschieden, dass ohne Einwilligung des Betroffenen Bildnisse aus dem privaten Bereich 11 im Internet nicht veröffentlicht werden dürfen. Der Betroffene stellt also grundsätzlich freiwillig Bilder von sich oder privaten Erlebnissen ins Internet, häufig auch auf den so genannten Social-Network-Seiten 12. Problematisch ist allerdings, dass solche Bilder durchaus von Homepages heruntergeladen und neu durch jemand anderes wieder online gestellt sowie verlinkt 13 werden können oder auch eine Verknüpfung zu der Person in Bilder-Suchmaschinen sehr leicht möglich ist. Auch nach dem Löschen 14 der Bilder sind diese in der Regel noch in Suchmaschinen zu finden. Daneben haben etliche Suchmaschinen neben der aktuellen Ansicht von Internetseiten auch veraltete Seiten gespeichert, im so genannten Cache 15. Da kann man ganz einfach die alte Version anklicken, und schon ist das Bild wieder da. Und schließlich gibt es noch Internet-Archive, wie die wayback Machine, da werden Internetseiten jahrelang gespeichert. Auch hier ist eine klare Unterrichtung über dieses Risiko im Sinne des 13 Abs. 1 TMG durch 5 Der Erforderlichkeitsgrundsatz (eines der tragenden Prinzipien im Datenschutz) soll vor übermäßigen Eingriffen in das Persönlichkeitsrecht der Betroffenen schützen. Die Maßnahme ist erforderlich, wenn kein milderes Mittel zur Verfügung steht. Das ist nur dann der Fall, wenn kein anderes Mittel verfügbar ist, das in gleicher (oder sogar besserer) Weise geeignet ist, den Zweck zu erreichen, gleichzeitig aber den Betroffenen weniger belastet. 6 Das 2007 in Kraft getretene TMG gilt grundsätzlich für alle elektronischen Informations- und Kommunikationsdienste und wird deswegen als das Internetgesetz bezeichnet. Datenschutzrechtliche Vorschriften finden sich in Abschnitt 4 des Gesetzes. 7 BGH-Urt. vom VIII ZR 348/06 (Payback-Entscheidung). 8 Vgl. Sokol in Simitis, Komm. zum BDSG, 5. Aufl. 4 Rn 6. 9 S. auch Dr. Alexander Dix, LL.M., hier noch Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg, Vortrag Das Recht am eigenen Bild ein Anachronismus im Zeitalter des Internet? am in Düsseldorf ( brandenburg.de/media/lbm1.a.2473.de/v_bild.pdf). 10 Entscheidung vom U 2067/ Dies gilt auch für Personen der Zeitgeschichte; u.a. Caroline-von- Monaco-Urteil II (BVerfGE 101, BvR 653/96). 12 Netzwerke wie etwa Facebook oder StudiVz ermöglichen es dem User, seine Seite für Fremde uneinsehbar zu gestalten. Dies ist freiwillig und wird keinesfalls von jedem genutzt. Außerdem wird das zu dem Profil gehörende Bild trotzdem angezeigt. 13 Verknüpfung mit einem anderen Dokument auf einer anderen Webseite. 14 Es gibt Ideen, das Internet vergesslicher zu machen, etwa durch einen digitalen Radiergummi oder ein Datenverfallsdatum, was automatisch zur Löschung von Daten zu einem bestimmten Datum führen soll (Grundsatzrede des Innenministers Thomas de Maizieres zur Netzpolitik vom ). 15 Cache bezeichnet in der EDV eine Methode, um Inhalte, die bereits einmal vorlagen, beim nächsten Zugriff schneller zur Verfügung zu stellen.