BGH bestätigt: IP-Adressen sind personenbezogene Daten

Transkript

1 Infobrief Recht 09 / 2017 September 2017 BGH bestätigt: IP-Adressen sind personenbezogene Daten Bundesgerichtshof setzt Vorgaben des Europäischen Gerichtshofs zum Thema IP-Adressen und Datenschutz um LIKE aber bitte nur mit Zustimmung Bundesarbeitsgericht erklärt Einrichtung und Betrieb einer Facebook-Seite als mitbestimmungspflichtig durch den Betriebsrat Auf ewig mein? Umgang mit Daten von ehemaligen Hochschulmitarbeitern

2 DFN-Infobrief Recht 09 / 2017 Seite 2 BGH bestätigt: IP-Adressen sind personenbezogene Daten Bundesgerichtshof setzt Vorgaben des Europäischen Gerichtshofs zum Thema IP-Adressen und Datenschutz um von Matthias Mörike Die Fragen, ob IP-Adressen als personenbezogene Daten einzuordnen sind und auf welche Rechtsgrundlage eine Speicherung der Adressen gestützt werden kann, beschäftigt die Rechtsprechung und Fachliteratur bereits seit mehreren Jahren. Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom bereits einige Vorgaben zu beiden Fragen formuliert hat, folgt der Bundesgerichtshof (BGH) mit Urteil vom nun der Auffassung der Luxemburger Richter und schafft damit in einigen Punkten Rechtsklarheit. Neben den eigentlichen Ausführungen des Gerichts ist zudem zu beachten, inwieweit die jetzige Entscheidung auch unter der Datenschutz-Grundverordnung (DS-GVO) Geltung beanspruchen kann. I. Sachverhalt und Verfahrensgang Der Kläger, ein Politiker der Piratenpartei, setzt sich gerichtlich dagegen zur Wehr, dass staatliche Stellen beim Besuch ihres Internetauftritts seine IP-Adresse speichern. Konkret hatten die Einrichtungen (Bundesbehörden, -ministerien, etc.) die Aufrufe ihrer Seiten durch Internetnutzer in Protokolldateien festgehalten. Darin wurde jeweils der Name der abgerufenen Seite, in Suchfelder eingegebene Begriffe, der Zeitpunkt des Abrufs, die übertragene Datenmenge, die Meldung, ob der Abruf erfolgreich war, und die IP-Adresse des zugreifenden Rechners gespeichert. Die Dateien wurden auch nach Abschluss des Nutzungsvorgangs verwahrt. Die Speicherung diente dem Ziel, Cyber-Angriffe abzuwehren und die strafrechtliche Verfolgung der Angreifer zu ermöglichen. Der Kläger forderte mit der Begründung, es handele sich dabei um eine unrechtmäßige Verwendung personenbezogener Daten, die Unterlassung der Speicherung. schränkungen statt. Der daraufhin angerufene BGH kam zu dem Schluss, dass es für die Entscheidung maßgeblich auf die genaue Bedeutung EU-rechtlicher Vorschriften ankomme. Die deutschen Gesetzesnormen, die für die Entscheidung des Falls relevant sind, beruhen auf EU-Richtlinien, sodass es juristisch geboten ist, die nationalen Vorschriften im Sinne der EU-Vorschriften auszulegen. Da aber auch die EU-Vorschriften nach Auffassung des BGH keine eindeutige Antwort gaben, musste zuerst die entsprechende Richtlinie ausgelegt werden. Dafür ist der EuGH zuständig, sodass der BGH einen sogenannten Vorlagebeschluss fasste und den EuGH um die Beantwortung zweier Auslegungsfragen ersuchte. Der Gerichtshof entschied über die Vorlagefragen mit Urteil vom (Az. C 582/1, siehe dazu Sydow, Speichern ist relativ? Der EuGH zum Begriff der personenbezogenen Daten und deren Speicherung durch Telemediendiensteanbieter, DFN Infobrief Recht 12/2016). Mit dem jetzigen Urteil vom (Az. VI ZR 135/13) setzte der BGH die Vorgaben des EuGH für den Ausgangsfall um. Der Rechtsstreit begann im Jahr 2008 und beschäftigte seitdem sämtliche Instanzen. Als erstes wies das Amtsgericht Berlin- Tiergarten die Klage ab. Das anschließend mit dem Rechtsstreit befasste Landgericht (LG) Berlin gab der Klage mit einigen Ein-

3 DFN-Infobrief Recht 09 / 2017 Seite 3 II. Entscheidung des Gerichts Das Urteil beschäftigt sich mit zwei wichtigen Aspekten. Der BGH hatte als erstes die Frage zu prüfen, ob eine IP-Adresse überhaupt ein personenbezogenes Datum darstellt. Denn nur wenn das der Fall ist, kann sich der Kläger auf die Verletzung datenschutzrechtlicher Vorschriften berufen. 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Der Betreiber einer Internetseite kann in aller Regel nicht erkennen, wem eine bestimmte IP-Adresse zuzuordnen ist. Dies kann nur der Zugangs- bzw. Internetanbieter. Entscheidend war also die Frage, ob die IP-Adresse des Besuchers diesen für den Seitenbetreiber bestimmbar macht. Mit anderen Worten musste geklärt werden, ob der Seitenbetreiber einen Besucher seiner Seite anhand der IP-Adresse identifizieren kann. Diese Frage legte der BGH auch dem EuGH vor. Der Gerichtshof hatte sie dahingehend beantwortet, dass für die Bestimmbarkeit bereits die Möglichkeit, rechtliche Ansprüche auf die Bekanntgabe der für die Identifizierung erforderlichen Informationen geltend zu machen, ausreicht. Dabei müssen nach Vorgabe des EuGH alle Mittel berücksichtigt werden, die vernünftigerweise entweder von der verarbeitenden Stelle, hier dem Seitenbetreiber, oder Dritten eingesetzt werden können. Eine IP-Adresse kann folglich schon dann als ein personenbezogenes Datum gelten, wenn der Seitenbetreiber Auskunftsansprüche gegen Dritte geltend machen kann, die wiederum über Informationen verfügen oder diese zumindest beschaffen können, welche den Nutzer identifizieren. Der BGH untersuchte für den konkreten Fall, ob die Möglichkeit, entsprechende rechtliche Ansprüche geltend zu machen, gegeben ist. Die Richter bejahten dies mit dem Verweis auf die Befugnisse der für die Strafverfolgung und Gefahrenabwehr zuständigen Behörden. Der Seitenbetreiber könne diese Behörden im Falle einer Straftat bzw. einer bevorstehenden Gefährdung einschalten. Die Behörden wiederum könnten die zur Identifizierung erforderlichen Informationen vom Zugangsanbieter anfordern. Durch die Zusammenführung der Informationen lasse sich die Person des Nutzers bestimmten. Damit entschied der BGH einen seit längerem in der juristischen Fachwelt geführten Streit und stellte fest, dass eine IP-Adresse in aller Regel ein personenbezogenes Datum darstellt. Die erste zentrale Frage wurde damit beantwortet. Im nächsten Abschnitt des Urteils prüfte der BGH den Aspekt, ob eine gesetzliche Grundlage zur Speicherung der IP-Adresse durch die Seitenbetreiber vorlag. Im Datenschutzrecht gilt der Grundsatz, dass jede Verwendung personenbezogener Daten einer Einwilligung oder einer gesetzlichen Grundlage bedarf. Da eine Einwilligung des Nutzers nicht vorlag, war hier eine gesetzliche Grundlage erforderlich. Die Befugnisse der Betreiber von Internetseiten in Bezug auf personenbezogene Daten sind im Telemediengesetz (TMG) geregelt. Im Sinne dieses Gesetzes sind Webseitenbetreiber als Diensteanbieter einzuordnen. 15 TMG erlaubt den Diensteanbietern die Verwendung von Nutzungsdaten. Dies sind nach 15 Abs. 1 S. 2 TMG personenbezogene Daten wie zum Beispiel Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. All diese Daten darf der Seitenbetreiber nach 15 Abs. 1 S. 1 TMG nutzen, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Eine Verwendung zu anderen Zwecken ist gesetzlich nicht vorgesehen. Da eine Verwendung zu Abrechnungszwecken bei kostenfreien Internetangeboten ausscheidet, musste der BGH prüfen, ob es erforderlich ist, die IP-Adresse eines Nutzers zu speichern, um den Besuch der Seite zu ermöglichen. Für den eigentlichen Besuch der Seite ist die Speicherung erforderlich, da die Informationen auf der Webseite an das Gerät, dem die IP-Adresse zugeordnet wurde, gesendet werden müssen. Es ging also allein darum, ob die Speicherung nach Ende des Nutzungsvorgangs zulässig ist. Eine solche weitergehende Speicherung sieht 15 Abs. 4 S. 1 TMG eigentlich nur für Abrechnungsdaten vor. Wie eingangs bereits erwähnt, wurde die Speicherung der IP-Adresse unter anderem damit begründet, Cyber-Attacken abzuwehren. Solche Attacken können dazu führen, dass eine Webseite überhaupt nicht mehr erreichbar ist. Dann ist eine Inanspruchnahme des Telemediums, wie es das Gesetz formuliert, nicht mehr möglich. Es wäre also denkbar, eine Speicherung der IP-Adresse auch nach Beendigung des Nutzungsvorgangs auf 15 Abs. 1 TMG zu stützen. Allerdings gab der BGH an dieser Stelle zu bedenken, dass die Gesetzesformulierung Ermöglichung der Inanspruchnahme auch so verstanden werden könne, dass es nur um den einzelnen, konkreten Besuch einer Seite geht und nicht um die generelle Funktionsfähigkeit der Seite. Um diese Unsicherheit zu beseitigen, hatte der BGH dem EuGH die entsprechende zweite Auslegungsfrage

4 DFN-Infobrief Recht 09 / 2017 Seite 4 vorgelegt. Der EuGH hatte im Kern geantwortet, dass 15 Abs. 1 TMG in dieser Form mit den EU-rechtlichen Vorgaben nicht vereinbar ist. In der Richtlinie, auf der 15 TMG beruht, findet sich eine generelle Erlaubnis für die Verwendung personenbezogener Daten unter der Voraussetzung, dass die datenverarbeitende Stelle ein berechtigtes Interesse an der Verarbeitung hat und dieses nicht durch die Interessen und Grundrechte der betroffenen Personen überwogen wird. Dieser Vorgabe wird 15 TMG, der nur die Datenverwendung zur Ermöglichung der Inanspruchnahme und der Abrechnung gestattet, nach Auffassung des BGH nicht gerecht. Daher müsse die Vorschrift europarechtskonform ausgelegt werden. Nach dem Urteil des BGH ist 15 TMG nun so zu verstehen, dass er auch die Verwendung von Daten durch den Seitenbetreiber gestattet, wenn der Nutzungsvorgang beendet ist, soweit diese Verwendung erforderlich ist, um die generelle Funktionsfähigkeit der Seite zu gewährleisten und soweit die Interessen und die Grundrechte des Nutzers dem nicht entgegenstehen. Diese Interessenabwägung nahm der BGH für den vorliegenden Fall nicht vor, da er weitere tatsächliche Feststellungen durch das LG Berlin einforderte. Wichtig für die Abwägung sei vor allem das Gefahrenpotential, was sich unter anderem durch Art, Umfang und Wirkung von erfolgten und drohenden Cyber-Angriffen und der Bedeutung des betroffenen Telemediums ergeben soll. Erst dann könne laut Gericht eine Abwägung erfolgen. Der BGH führte zudem noch aus, dass erstens Gesichtspunkte der Generalprävention zu berücksichtigen seien, also eine Abschreckungswirkung durch das weitergehende Speichern von IP-Adressen durchaus eine Rolle spielen könne. Zweitens stufte er den Eingriff in das Recht auf informationelle Selbstbestimmung (das Grundrecht auf Datenschutz ) des Nutzers als eher gering ein. Zum einen könne der Seitenbetreiber einen Nutzer allein anhand der IP-Adresse nicht identifizieren, zum anderen seien die Grundrechtspositionen bei den Erlaubnissen der Behörden bezüglich der Beschaffung weiterer Informationen ausreichend berücksichtigt. Der BGH deutet also an, dass die Rechte des Nutzers einer weitergehenden Speicherung zur Abwehr von Cyber-Angriffen wohl nicht entgegenstehen. Hier wird das abschließende Urteil des LG Berlin Klarheit bringen. III. Konsequenzen für die Hochschulpraxis Das Urteil des BGH stellt nun endgültig fest, dass eine IP- Adresse in aller Regel als personenbezogenes Datum anzusehen ist. Zwar lässt das Gericht in seiner Begründung das faktische Problem außer Acht, dass nicht jeder Zugangs- bzw. Internetanbieter mittels einer von einem Seitenbetreiber übermittelten IP-Adresse in jeder Konstellation einen bestimmten Nutzer ermitteln kann. Nichtsdestotrotz muss nach dem BGH- Urteil von einem Personenbezug bei IP-Adressen ausgegangen werden. Im Grundsatz enthält das Urteil damit auch eine Aussage nicht nur für IP-Adressen, sondern für sämtliche Kennungen, hinter denen natürliche Personen stehen. Sobald eine Möglichkeit besteht, selbst oder über Dritte, gegebenenfalls mittels Einschaltung von Behörden, an die zur Identifizierung erforderlichen Informationen zu gelangen, stellen Kennungen nach dem BGH-Urteil personenbezogene Daten dar. Sofern die Hochschulen also IP-Adressen oder sonstige derartige Kennungen verwenden, benötigen sie eine datenschutzrechtliche Erlaubnis. Im Falle von IP-Adressen, die auch nach dem Aufruf einer Seite vom Betreiber gespeichert werden, kann der richtlinienkonform auszulegende 15 TMG eine Erlaubnis darstellen. Es spricht vieles dafür, dass die Speicherung von IP-Adressen zur Abwehr von Cyber-Angriffen ein legitimes Interesse verfolgt und die Rechtsverletzung beim Betroffenen dahinter zurücktreten muss. Letztendliche Klarheit für diesen speziellen Fall wird das abschließende Urteil des LG Berlin bringen. Ein weiterer wichtiger Punkt ist die Übertragung der rechtlichen Erwägungen des EuGH und BGH auf die ab dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO). Formell haben sowohl der EuGH als auch der BGH zu Richtlinien bzw. Gesetzen geurteilt, die dann kein gültiges Recht mehr darstellen. Bezüglich der ersten Frage, ob IP-Adressen personenbezogene Daten darstellen, liegt es sehr nahe, dass sie auch unter der DS-GVO zu bejahen sein wird. Art. 4 Nr. 1 DS-GVO definiert personenbezogene Daten fast wortgleich wie die jetzige Richtlinie und die nationalen Datenschutzgesetze. Zudem werden Online-Kennungen sogar ausdrücklich als Beispiel erwähnt. In den Erwägungsgründen 26 und 30 der Verordnung wird außerdem explizit auf den möglichen Personenbezug von IP-Adressen und die Berücksichtigung aller zur Verfügung stehenden rechtlichen Mittel hingewiesen. Insofern besteht kein Unterschied zur jetzigen Begründung des Personenbezugs bei IP-Adressen. Etwas anders ist die Situation in Hinblick auf die Erlaubnis zur Speicherung durch 15 TMG zu bewerten. Die Datenschutzvorschriften des TMG, zu denen auch 15 TMG gehört, werden durch die DS-GVO abgelöst und stellen dann kein anwendba-

5 DFN-Infobrief Recht 09 / 2017 Seite 5 res Recht mehr da (siehe dazu Sydow, Vereinheitlichung des EU-Datenschutzrechts? Die Datenschutzgrundverordnung als anwendbares Recht für die DFN-Mitglieder, DFN Infobrief Recht 05/2016). Folglich bedarf es einer anderen Rechtsgrundlage. Ob sich eine solche entweder aus der DS-GVO oder aus noch zu erlassenden spezifischen datenschutzrechtlichen Vorschriften der Bundesländer ergibt, bleibt weiter abzuwarten (siehe dazu Leinemann, Kommt Zeit, kommt Rat Kurzmitteilung zum Stand der gegenwärtigen Entwicklungen im Hinblick auf die neue EU-Datenschutz-Grundverordnung, DFN Infobrief Recht 02/2017).

6 DFN-Infobrief Recht 09 / 2017 Seite 6 LIKE aber bitte nur mit Zustimmung Bundesarbeitsgericht erklärt Einrichtung und Betrieb einer Facebook-Seite als mitbestimmungspflichtig durch den Betriebsrat von Armin Strobel Mit seinem Beschluss vom (Az. 1 ABR 7/15) hat das Bundesarbeitsgericht (BAG) den rechtlichen Rahmen bezüglich der Facebook-Nutzung durch Unternehmen aus Sicht des Arbeitnehmerschutzes abgesteckt. Die Einrichtung und der Betrieb einer entsprechenden Seite sind nur mit Zustimmung des Betriebsrates zulässig, wenn auf der Facebook- Seite die Möglichkeit von Besucher-Beiträgen eröffnet werden soll. Die Entscheidung kann ohne Weiteres auf die Hochschulpraxis übertragen werden und spielt für diese aufgrund der wachsenden Bedeutung von Social-Media-Angeboten eine immer wichtigere Rolle. I. Hintergrund Unternehmen stehen ebenso wie Hochschulen immer mehr vor der Herausforderung auch in den sozialen Medien präsent zu sein. Lediglich die Unterhaltung der eigenen Unternehmenshomepage reicht oft nicht mehr aus, um im Fokus des jeweiligen Adressatenkreises zu bleiben. Insbesondere jüngere Generationen greifen auf die sozialen Netzwerke zurück, um sich zu informieren, ihre Gedanken und Meinungen auszutauschen oder sich nach neuen Möglichkeiten zu erkundigen. Um hier nicht den Anschluss zu verlieren, ist eine entsprechende Präsenz bei Facebook und Co. mittlerweile unerlässlich. Neben der Selbstdarstellung des Unternehmens beziehungsweise der Organisation bieten die Netzwerke aber auch regelmäßig die Möglichkeit mit den Nutzern des Netzwerks in Kontakt zu treten. So können auf der einen Seite Informationen vom Unternehmen nahezu in Echtzeit verbreitet werden und auf der anderen Seite wird den Nutzern ermöglicht ihre Erfahrungen und Meinungen zum Unternehmen durch Posts oder Betätigungen des Like -Buttons kundzutun. Das kann direkt oder indirekt zu Bewertungen konkreter Arbeitnehmer führen. Gleichzeitig betreuen bestimmte Arbeitnehmer die Seite und reagieren gegebenfalls auf Posts. Deren Aktivitäten sind dadurch nachvollziehbar. Sowohl durch die Nutzerposts als auch die Aktivitäten der Arbeitnehmer lassen sich möglichweise Rükschlüsse auf die Leistung und das Verhalten der Arbeitnehmer ziehen. Da sämtliche Inhalte zudem gespeichert werden, wird teilweise von Seiten der Betriebsräte ein Mitbestimmungsrecht hinsichtlich der Einrichtung und des Betriebes einer solchen Facebook-Seite gefordert. Als rechtliche Grundlage für ein solches Mitbestimmungsrecht kommt 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BertrVG) in Betracht. Hiernach hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen, soweit eine gesetzliche oder tarifliche Regelung nicht besteht. Ziel dieser Regelung ist es, die Arbeitnehmer vor Beeinträchtigungen ihres Persönlichkeitsrechts durch technische Überwachungseinrichtungen zu bewahren. Technische Einrichtungen begründen für das Persönlichkeitsrecht der Arbeitnehmer dabei eine besondere Gefahr, da die Aufzeichnung der Informationen dauerhaft erfolgen kann sowie verdeckt und damit für den betroffenen Arbeitnehmer nicht ohne Weiteres erkennbar sind. Mithilfe des Mitbestimmungsrechts soll der Einsatz solcher Einrichtungen kontrolliert werden, um die Arbeitnehmer nicht einem ständigen Überwachungsdruck auszusetzen. Ob der Betrieb und die Einrichtung einer Unternehmens-Facebook-Seite eine technische Einrichtung zur Überwachung der Arbeitnehmer darstellt und damit die Mitbestimmungsrechte des Betriebsrates ausgelöst werden, musste nun das BAG in einem Beschluss vom Ende des letzten Jahres klären.

7 DFN-Infobrief Recht 09 / 2017 Seite 7 II. Sachverhalt des Beschlusses Dem Beschluss liegt ein Rechtsstreit zwischen einem Blutspendedienst und dessen (Konzern-)Betriebsrat zugrunde. Der Blutspendedienst hat zur Präsentation des Unternehmens eine Facebook-Seite eingerichtet, die es registrierten Nutzern ermöglicht Beiträge in Form von sogenannten Posts zu erstellen, die von allen Besuchern der Seite eingesehen werden können. Die Betreuung dieser Seite erfolgt durch zehn Arbeitnehmer des Blutspendedienstes. Diese sind dafür zuständig eigene Beiträge zu erstellen, auf die Posts zu antworten und gegebenenfalls Beiträge zu löschen. Da über die sogenannte Chronik (Darstellung der einzelnen Posts in umgekehrt-chronologischer Reihenfolge) ersichtlich ist, an welchem Tag zu welcher Zeit ein Post erstellt oder bearbeitet wurde, ist der Betriebsrat der Auffassung, dass die Facebook-Seite eine technische Einrichtung zur Überwachung der Arbeitnehmer darstellt und daher der Mitbestimmung des Betriebsrates bedurfte. III. Entscheidung des BAG Dieser Auffassung hat sich das BAG als abschließende Instanz in diesem Verfahren angeschlossen (zur Entscheidung der Vorinstanz siehe Sporleder, Big Brother LIKES watching you, DFN-Infobrief Recht 09/2015). Anders sieht das nach Auffassung des Gerichts hingegen aus, wenn bei der Unterhaltung der Facebook-Seite die Möglichkeit für Besucher-Beiträge eröffnet wird. Unter diesen Umständen ist eine Facebook-Seite als technische Maßnahme zur Überwachung der Arbeitnehmer anzusehen. Die Beiträge können je nach Inhalt namentlich oder situationsbedingt einem konkreten Arbeitnehmer zugeordnet werden. Hierdurch wird nach Ansicht des Gerichts das Recht des Arbeitnehmers verletzt, selbst zu entscheiden wann und innerhalb welcher Grenzen persönliche Daten beziehungsweise Informationen offenbart werden sollen. Durch die Beiträge sei ein Arbeitnehmer jederzeit der Gefahr ausgesetzt, dass jemand einen Beitrag über dessen Leistung oder Verhalten postet und diese Informationen sowohl dem Arbeitgeber als auch einer unbestimmten Anzahl von Personen gegenüber preisgegeben wird. Dadurch werde die Möglichkeit einer Überwachung geschaffen, für die nicht die Auswertung der Informationen, sondern schon das Sammeln dieser ausreiche. Diese Sammlung erfolgt dabei auch elektronisch, weil die Informationen mittels der von Facebook eingesetzten Software dauerhaft gespeichert und einer zeitlich unbegrenzten Zugriffmöglichkeit zugeführt werden. Eine automatische Erhebung der Daten, ohne dass ein Mensch die Informationen eingibt, wird in diesem Zusammenhang nicht vom Gericht gefordert. Auf die Zielsetzung des Arbeitgebers komme es ebenfalls nicht an. In diesem Zusammenhang stellt das BAG außerdem fest, dass entsprechende Besucher-Beiträge nicht mit einem Beschwerdebrief vergleichbar seien. Im Unterschied zum Beschwerdebrief sind die Besucher-Beiträge dauerhaft öffentlich zugänglich und können auch von anderen Personen als dem Arbeitgeber eingesehen werden. Das Gericht stellt zunächst fest, dass eine Facebook-Seite als solche zunächst einmal keine technische Einrichtung zur Überwachung des Verhaltens und der Leistung von Arbeitnehmern im Sinne des 87 Abs. 1 Nr. 6 BetrVG darstellt. Eine solche Seite gestatte keine individualisierbare Auswertung von personenbezogenen Daten von Arbeitnehmern. Ein Rückschluss auf die Leistung oder das Verhalten eines bestimmten Arbeitnehmers sei mit den zur Verfügung gestellten Funktionen von Facebook nicht ohne Weiteres möglich. Eine Mitbestimmungspflicht des Betriebsrates zum grundsätzlichen Betreiben einer Facebook- Seite scheide demnach aus. Der Betriebsrat könne deshalb auch nicht das Löschen der Seite beantragen. Das Gericht entschied deshalb, dass eine Facebook-Seite mit der Möglichkeit von Besucher-Beiträgen eine technische Einrichtung im Sinne des 87 Abs. 1 Nr. 6 BetrVG darstellt und die Einrichtung und der Betrieb der Seite der Mitbestimmung des Betriebsrates bedürfen. Eine solche erfolgte im vorliegenden Fall jedoch nicht, sodass das BAG den Arbeitgeber dazu verpflichtet für die Zukunft den Betrieb der Facebook-Seite mit der Funktion der Besucher-Beiträge einzustellen. Hierzu reiche es aber aus, die Funktion der Besucher-Beiträge abzustellen. Das Löschen der gesamten Facebook-Seite sei nicht erforderlich.

8 DFN-Infobrief Recht 09 / 2017 Seite 8 IV. Fazit und Konsequenzen für die Hochschulen Der Beschluss des BAG zeigt, dass sich auch bei der Nutzung von Facebook durch Unternehmen rechtliche Fallstricke ergeben, die es aus Sicht der Unternehmen zu berücksichtigen gilt. Dabei ist die Entscheidung auch für Hochschulen von Bedeutung. Ebenso wie andere Unternehmen nutzen immer mehr Hochschulen die Möglichkeiten der sozialen Netzwerke wie Facebook, um die Studierenden und Mitarbeiter beziehungsweise Mitarbeiterinnen über aktuelle Geschehnisse in der Hochschulwelt zu informieren und mit diesen Personen in Kontakt zu treten. Bei der Einrichtung und dem Betrieb haben die Hochschulen die Grundsätze des dargestellten Beschlusses zu berücksichtigen. Seite verzichten. Eine solche Konsequenz aus dem Beschluss würde weder dem Beschluss selbst gerecht werden, noch ist das in Zeiten der Digitalisierung und der steigenden Bedeutung von sozialen Medien ratsam. Die Hochschulen müssen jedoch die rechtlichen Vorgaben und hierbei insbesondere den Arbeitnehmerschutz berücksichtigen. Durch eine Einbeziehung des Personalrates in die entsprechenden Entscheidungen, kann dem jedoch auf einfachem Weg Rechnung getragen werden. Zwar unterliegen Körperschaften des öffentlichen Rechts wozu in der Regel auch Hochschulen zählen nicht dem BetrVG ( 130 BetrVG), jedoch enthalten die Personalvertretungsgesetze des Bundes und der Bundesländer dem 87 Abs. 1 Nr. 6 BetrVG vergleichbare Regelungen. Beispielhaft sind hier nur die 75 Abs. 3 Nr. 17 Bundespersonalvertretungsgesetz (BPersVG), 72 Abs. 3 Nr. 2 Landespersonalvertretungsgesetz NRW, 85 Abs. 1 Nr. 13b Personalvertretungsgesetz Berlin und Art. 75a Abs. 1 Nr. 1 Bayerisches Personalvertretungsgesetz zu nennen. Folglich lassen sich die vom BAG angestellten Überlegungen auch auf Hochschulen übertragen. Durch die Entscheidung des BAG wird deutlich, dass der Betrieb einer Facebook-Seite durch Hochschulen nicht per se ausgeschlossen beziehungsweise von der Mitbestimmung des Personalrats abhängig ist. Sollte jedoch die Möglichkeit von Besucher-Beiträgen eröffnet werden, ändert sich die rechtliche Beurteilung. In diesem Fall ist sehr wohl eine Mitbestimmung des Personalrats erforderlich. Im Vorfeld einer Inbetriebnahme einer entsprechenden Seite sollte daher mit dem Personalrat Rücksprache gehalten werden, um mögliche Streitigkeiten schon im Ansatz zu verhindern. Eine Mitbestimmungspflicht des Personalrates kann dabei nur durch eine entsprechende gesetzliche oder tarifvertragliche Regelung ausgeschlossen werden. Das Vorliegen einer solchen Grundlage muss im Einzelfall geprüft werden. Die Grundsätze können dabei auch auf andere Social-Media-Angebote übertragen werden. Die Hochschulen sollten aufgrund der Entscheidung des BAG nicht auf die Nutzung und den Betrieb einer eigenen Facebook-

9 DFN-Infobrief Recht 09 / 2017 Seite 9 Auf ewig mein? Umgang mit Daten von ehemaligen Hochschulmitarbeitern von Marten Tiessen Nach dem Ausscheiden eines Mitarbeiters aus dem Hochschulbetrieb stellt sich die Frage, wie mit seinen Daten umgegangen wird. Auf der einen Seite besteht ein Interesse der Hochschule daran, überflüssig gewordene Daten zu löschen, auf der anderen Seite können auch nach Beendigung des Arbeitsverhältnisses noch Aufbewahrungspflichten bestehen. Welche Pflichten und Rechte treffen die Hochschulen im Hinblick auf diese Daten? I. Ausgangslage Im Laufe der Mitarbeit an einer Hochschule entsteht eine Vielzahl an unterschiedlichen personenbezogenen Daten eines Mitarbeiters. Neben der Personalakte des Mitarbeiters sind es heutzutage vor allem digitale Daten, wie der -Verkehr des Mitarbeiters, sein persönliches Benutzerverzeichnis, Zugangsdaten etc. Nicht alle diese Daten stehen in unmittelbaren Bezug zur Tätigkeit des Mitarbeiters. An den meisten Hochschulen wird den Mitarbeitern nicht nur die berufliche, sondern auch die private Nutzung ihres -Accounts und ihres Benutzerverzeichnisses gestattet. Scheidet der Mitarbeiter aus dem Hochschulbetrieb aus, bleiben diese Daten zurück. An einem Teil dieser Daten besteht häufig ein Interesse der Hochschule, während der andere Teil aus Sicht der Hochschule unnötige Speicherkapazitäten einnimmt. Die Entscheidung, welche Daten zu löschen oder zu speichern sind, hängt aber nicht allein von ihrem Nutzen ab, sondern muss rechtlich differenziert beurteilt werden. Es soll an dieser Stelle genauer dargestellt werden, welche Daten die Hochschule zu speichern verpflichtet ist, welche gelöscht werden müssen und welche Ansprüche der ehemalige Mitarbeiter in Hinblick auf seine Daten hat. II. Lösch- und Aufbewahrungspflichten Schon während des Beschäftigungverhältnisses gilt der Grundsatz der Datenvermeidung und Datensparsamkeit nach 3a Bundesdatenschutzgesetz (BDSG). Es sollen danach so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden. Sofern möglich, sollen personenbezogene Daten anonymisiert oder pseudonymisiert werden. Dieser Grundsatz findet sich auch in den meisten auf die Hochschulen anzuwendenden Landesdatenschutzgesetzen wieder. Werden Mitarbeiterdaten erhoben oder genutzt, so ist dies nur unter den engen Vorraussetzungen des Datenschutzrechts möglich. Da im Datenschutzrecht ein Verbot mit Erlaubnisvorbehalt für die Nutzung personenbezogener Daten besteht, bedarf jede Nutzung einer Rechtsgrundlage. Für die Datennutzung in Beschäftigungsverhältnissen bei privaten Arbeitgebern bietet 32 BDSG die Rechtsgrundlage, für die Hochschulen als öffentliche Stellen der Länder finden sich in den Landesdatenschutzgesetzen ähnliche Vorschriften, zum Beispiel in 29 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW). Danach sollen personenbezogene Arbeitnehmerdaten nur genutzt werden, solange sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind. Nach der Beendigung des Beschäftigungsverhältnisses sind Daten der Mitarbeiter grundsätzlich zu löschen, da es dann an der Erforderlichkeit fehlt. Löschen wird in 3 Abs. 4 Nr. 5 BDSG als unkenntlich Machen gespeicherter personenbezogener Daten definiert. Die Informationen dürfen irreversibel nicht mehr lesbar sein. Das bedeutet bei automatisierten Verarbeitungen von Daten durch PCs oder Server, dass nicht nur die Verknüpfung gelöscht wird, sondern die Daten auch nicht mehr durch Software wiederherstellbar sind. Auch dürfen sie nicht mehr auf anderen Datenträgern, zum Beispiel zwecks Datensicherung, gespeichert sein. Für das Löschen der Daten besteht keine gesetzlich vorgeschriebene Frist. Der Arbeitgeber wird in der Regel berech-

10 DFN-Infobrief Recht 09 / 2017 Seite 10 tigt sein, Daten aufzubewahren, solange der Arbeitnehmer noch Ansprüche aus dem Arbeitsverhältnis geltend machen kann. Wird dem Arbeitnehmer gekündigt, sollte zumindest die dreiwöchige Klagefrist für eine Kündigungsschutzklage nach 4 Kündigungsschutzgesetz (KSchG) gewahrt werden. Sofern Daten noch für den Nachweis rechtlicher Ansprüche benötigt werden, sollten die Daten erst gelöscht werden, nachdem die Ansprüche verjährt sind. Dem Betroffenen soll durch die Löschung kein Nachteil entstehen. Abgesehen vom Regelfall der Löschpflicht dürfen bestimmte Daten nicht ohne weiteres gelöscht werden, für sie bestehen spezielle gesetzliche Aufbewahrungsfristen. Für den Arbeitgeber existieren wichtige gesetzliche Aufbewahrungsfristen für Lohnberechnungsunterlagen und Lohnkonten nach 147 Abgabenordnung und 41 Einkommensteuergesetz (EStG), die sechs Jahre aufbewahrt werden müssen. Außerdem müssen auch Arbeitszeitnachweise nach 16 Abs. 2 Arbeitszeitgesetz (ArbZG) zwei Jahre aufbewahrt werden. Für Beamte oder Angestellte öffentlicher Stellen ergibt sich zudem noch eine längere Aufbewahrungsfrist der Personalakten nach den Landesbeamtengesetzen, die in der Regel fünf Jahre gilt, so zum Beispiel nach 29 DSG NRW in Verbindung mit 90 Abs. 1 Landesbeamtengesetz Nordrhein-Westfalen (LBG NRW). III. s und Benutzerverzeichnisse Neben Personalunterlagen hinterlässt der Mitarbeiter vor allem eine Vielzahl an elektronischen Daten. Dies sind vor allem die Daten, die mit dem Hochschul-Account des Mitarbeiters verknüpft sind, nämlich die Mailbox und das persönliche Benutzerverzeichnis. Diese miteinander verknüpften Dateien werden in der Praxis gemeinsam automatisch gelöscht. Bei den s und Daten der persönlichen Benutzerverzeichnisse muss aber zwischen privaten und dienstlichen Daten unterschieden werden. Rechtlich einfacher ist der Umgang mit dienstlichen Daten und s. Sie gelten als Arbeitsmittel des Arbeitgebers und der Arbeitgeber ist befugt auf sie zuzugreifen, sofern eine Einsichtnahme für das Arbeitsverhältnis erforderlich ist. Erforderlich wird der Zugriff sein, wenn der Arbeitnehmer den Betrieb verlässt und seine Arbeit von einem anderen Angestellten fortgeführt werden soll. Dienstliche s eines ehemaligen Mitarbeiters können gelöscht werden, wenn sie für den Betrieb keinen Nutzen mehr haben. Da an den meisten Hochschulen auch die private Nutzung des -Accounts und Benutzerverzeichnisses erlaubt oder zumindest nicht ausdrücklich ausgeschlossen ist, ist eine klare Trennung von privaten und dienstlichen Daten schwierig. Im Gegensatz zur dienstlichen wird die private korrespondenz nach 88 Abs. 1 Telekommunikationsgesetz (TKG) vom Fernmeldegeheimnis geschützt und darf auch nach Beendigung des Beschäftigungsverhältnisses nicht vom Arbeitgeber eingesehen werden. Eine Unterteilung in private und dienstliche s ist dadurch nur möglich, wenn die s entweder in unterschiedlichen Postfächern gespeichert sind oder vom Mitarbeiter gekennzeichnet werden. Ist eine Trennung nicht möglich, so müssen alle Daten als privat behandelt werden. Fraglich ist dann, wann solche privaten Daten des Arbeitnehmers gelöscht werden können. Nach einem umstrittenen Beschluss des Oberlandesgericht (OLG) Dresden vom (Az. 4 W 961/12) ist der Arbeitgeber erst zur Löschung der privaten s seines Arbeitnehmers berechtigt, wenn der Arbeitnehmer kein Interesse mehr an den betroffenen Daten hat. Ein solches Interesse wird zumindest dann zu verneinen sein, wenn ein Mitarbeiter in einer befristeten Stelle trotz Warnung, dass das Beschäftigungsverhältnis demnächst ausläuft, es unterlässt, seine privaten Daten zu sichern. Der Mitarbeiter sollte daher vor Ende des Beschäftigungsverhältnisses auf die drohende Löschung seiner persönlichen Daten hingewiesen werden und Gelegenheit geboten werden, diese Daten zu sichern. Mit Beendigung des Beschäftigungsverhältnisses sollte dem Mitarbeiter allerdings unverzüglich auch der Zugang zu seinem Account entzogen werden. Selbst wenn die Daten des Benutzerverzeichnisses und die s selbst noch weiterhin geschützt sein können, hat der Betroffene kein Recht auf weiteren Zugriff auf den Account. Hier überwiegen die Interessen des Arbeitgebers. IV. Andere elektronische Daten Teil eines automatischen Löschungsprozesses sind zumeist nur Daten, die direkt mit dem Hochschul-Account des Nutzers verbunden sind. Darüber hinaus können aber auch noch weitere personenbezogene Daten des Mitarbeiters auf Webseiten gespeichert sein, ohne dass sie von einer automatischen Löschung mitumfasst wären. Für den Fall von Bildern oder Videoaufnahmen eines Mitarbeiters gelten nicht die Bestimmungen des Datenschutzrechts sondern die spezi-

11 DFN-Infobrief Recht 09 / 2017 Seite 11 elleren Bestimmungen des Kunsturhebergesetzes, die nach 1 Abs. 3 BDSG Vorrang vor dem Bundesdatenschutzgesetz haben. Auch die Landesdatenschutzgesetze räumen den besonderen Rechtsvorschriften des Kunsturhebergesetzes (KUG) Vorrang ein. Danach setzt die Veröffentlichung einer Bildaufnahme eines Mitarbeiters gemäß 22 KUG dessen Einwilligung voraus. Hat der Mitarbeiter eine Einwilligung abgegeben, so erlischt diese nicht automatisch bei Beendigung des Beschäftigungsverhältnisses. Eine einmal erklärte Einwilligung kann allerdings in der Regel später widerrufen werden. Zwar kann im Einzelfall die Widerruflichkeit der Einwilligung unter Berücksichtigung der Interessen des Arbeitgebers nach 242 Bürgerliches Gesetzbuch (BGB) eingeschränkt sein, es ist jedoch ratsam spätestens bei Aufforderung durch den ehemaligen Mitarbeiter seine Bilder von der Website zu nehmen, um mögliche Schadensersatzansprüche des Mitarbeiters zu vermeiden. Auch andere persönliche Daten können auf der Hochschul- Website gespeichert sein, wie zum Beispiel Kontaktdaten oder Lebensläufe. Auch diese müssen nach den allgemeinen Bestimmungen des Datenschutzrechts nach Beendigung des Arbeitsverhältnisses gelöscht werden. Im Einzelfall kann aber auch nach Beendigung des Beschäftigungsverhältnisses noch die Erforderlichkeit der Datennutzung bestehen. Dies gilt beispielsweise für den Hinweis, dass ein Mitarbeiter nicht mehr länger im Betrieb tätig ist. Im Übrigen kann ein ehemaliger Mitarbeiter durch Erteilung einer Einwilligung die Weiterverwendung seiner Daten ermöglichen. V. Ansprüche des Mitarbeiters Dem ausscheidenden Mitarbeiter steht gegenüber der Hochschule nach den Landesdatenschutzgesetzen ein Anspruch auf Löschung nicht mehr erforderlicher Daten zu. Unterlässt die Hochschule die Löschung, kann dem Mitarbeiter zusätzlich ein datenschutzrechtlicher Schadensersatzanspruch zustehen, zum Beispiel nach 20 DSG NRW. Die Voraussetzungen eines solchen Schadensersatzanspruchs sind in den einzelnen Landesdatenschutzgesetzen unterschiedlich geregelt. Während nach 23 Abs. 1 Sächsisches Datenschutzgesetz (SächsDSG) die öffentliche Stelle verschuldensunabhängig für Schäden haftet, die durch eine unzulässige Datenverarbeitung entstehen, besteht in manchen Bundesländern eine solche Gefährdungshaftung nur bei der automatisierten Verarbeitung von Daten. Ist eine Gefährdungshaftung nach Landesrecht nicht vorgesehen, so haftet die öffentliche Stelle nur, wenn sie den Schaden zu verschulden hat. Dabei kommt es jedoch zu einer Beweislastumkehr, wonach das Verschulden der öffentlichen Stelle vermutet wird. In fast allen Landesdatenschutzgesetzen ist der Schadensersatzanspruch bei einer automatisierten Datenverarbeitung auf eine Höchstsumme begrenzt, in Nordrhein-Westfalen sind es Euro. Auch immaterielle Schäden können ersetzbar sein, verlangen jedoch eine schwere Persönlichkeitsrechtsverletzung. In Hinblick auf die weitere unberechtigte Veröffentlichung von Mitarbeiterbildern steht dem Mitarbeiter ein Unterlassungsanspruch zu. Wird das Bild dennoch weiter veröffentlicht, kommt auch aus 823 Abs.1 und Abs. 2 BGB ivm 1004 Abs. 1 S. 3 BGB analog, 22, 23 KUG, Art. 1 Abs.1, Art. 2 Abs. 1 Grundgesetz (GG) ein Schadensersatz wegen Verletzung des allgemeinen Persönlichkeitsrechts in Betracht. Ob ein Herausgabeanspruch in Bezug auf die privaten Daten des Mitarbeiters nach Beendigung des Beschäftigungsverhältnisses besteht, hängt von den im Arbeitsvertrag getroffenen Regelungen ab. Nur wenn dieser im Arbeitsvertrag ausdrücklich festgehalten ist, besteht ein Herausgabeanspruch. Um Unklarheiten zu beseitigen, sollte daher im Vertrag genau geregelt werden, wie mit den Daten nach Beendigung des Beschäftigungsverhältnisses umzugehen ist. Das Datenschutzrecht selbst kennt dagegen keinen Herausgabeanspruch. Durch Löschung von privaten Daten, an deren Bestand der Betroffene noch immer ein Interesse hat, kann auch ein Schadensersatzanspruch nach 823 Abs. 2 BGB in Verbindung mit 303a Strafgesetzbuch (StGB) entstehen. 303a StGB stellt das rechtswidrige Löschen von Daten unter Strafe. Voraussetzung ist, dass der Betroffene ein unmittelbares rechtlich geschütztes Interesse in Form einer eigentümerähnlichen Datenverfügungsbefugnis an den Daten hat. Das wird für die Dauer des Beschäftigungsverhältnisses für die Mailbox und das Benutzerverzeichnis des Mitarbeiters zu bejahen sein. Endet die Mitarbeit durch Zeitablauf oder Kündigung so muss dem Mitarbeiter die Gelegenheit gegeben werden, seine privaten Daten zu sichern, bevor sie gelöscht werden.

12 DFN-Infobrief Recht 09 / 2017 Seite 12 VI. Fazit Der Datenschutz endet nicht mit dem Ablauf des Beschäftigungsverhältnisses. Auch nach Ende des Beschäftigungsverhältnisses sollten die Hochschulen auf die Einhaltung des Datenschutzrechts achten, um eine potentielle Haftung zu vermeiden. Personenbezogene Daten des Mitarbeiters müssen gelöscht werden, sofern keine Aufbewahrungsfristen bestehen. Dies wird bei dem Großteil der digitalen Daten durch ein automatisiertes Löschverfahren unproblematisch sein. Zu beachten sind daher gerade die Daten, die nicht automatisch Teil dieses Prozesses sind, da sie nicht mit dem Hochschul- Account verbunden sind. Bei privaten Daten und s sollte darauf geachtet werden, dem Betroffenen eine Möglichkeit zur Sicherung zu gewähren.

13 DFN-Infobrief Recht 09 / 2017 Seite 13 Impressum Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz. Herausgeber Verein zur Förderung eines Deutschen Forschungsnetzes e. V. DFN-Verein Alexanderplatz 1, D Berlin DFN-Verein@dfn.de Redaktion Forschungsstelle Recht im DFN Ein Projekt des DFN-Vereins an der WESTFÄLISCHEN WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und Medienrecht (ITM), Zivilrechtliche Abteilung Unter Leitung von Prof. Dr. Thomas Hoeren Leonardo-Campus 9 D Münster recht@dfn.de Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins und mit vollständiger Quellenangabe.