Workshopreihe: IT-Recht - Datenschutz im Betrieb und am Arbeitsplatz - Chemnitz, 02.09.2009 Rechtsanwalt Dr. Klostermann www.sageg.de Rechtsanwalt Dr. Klostermann http://www.drklostermann.de
Rechtliche Grundlagen Die Nutzung der betrieblichen EDV und die damit verbundenen Rechte und Pflichten sind verfassungsrechtlich vorbestimmt. Sie stehen im Spannungsfeld zwischen dem Eigentum des Arbeitgebers an der betrieblichen EDV und dem Persönlichkeitsrecht des Arbeitnehmers. 2
Rechtliche Grundlagen Eigentum des Arbeitgebers: Art. 14 GG Darf Art und Weise der Nutzung bestimmen, ist aber sozial verpflichtet. 3
Rechtliche Grundlagen 903 BGB: Der Eigentümer einer Sache kann, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen. 4
Rechtliche Grundlagen Persönlichkeitsrechte des Arbeitnehmers: Art 1 Abs. 1 GG: Die Würde des Menschen ist unantastbar. Sie zu schützen und zu achten, ist Verpflichtung aller staatlichen Gewalt. Art 1 Abs. 3 GG: Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht. 5
Rechtliche Grundlagen Persönlichkeitsrechte des Arbeitnehmers: Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. 6
Maßgebliche Datenschutzgesetze Insbesondere rechtlich problematisch: Speicherung von nicht benötigten Daten Ständige Überwachung der Mitarbeiter am Arbeitsplatz Nicht angekündigte Überwachung Leistungskontrollen Übermittlung von Daten an Dritte, ins Ausland, im Konzern 7
Maßgebliche Datenschutzgesetze Gesetzgeber handelt durch Datenschutzgesetze. Bundesdatenschutzgesetz Landesdatenschutzgesetz Datenschutzvorschriften in Einzelgesetzen 8
Maßgebliche Datenschutzgesetze Datenschutzgesetze zunächst im Bereich der Verwaltung. Für Privatrechtsverhältnisse gilt das Bundesdatenschutzgesetz. Regelungen auch in jeweiligen Einzelgesetzen. 9
Maßgebliche Datenschutzgesetze Prinzipien der Datenschutzgesetze: Datenvermeidung Datensparsamkeit Erhebung, Speicherung, Nutzung, Übermittlung von Daten grundsätzlich verboten Vorliegen einer Einwilligung oder rechtlichen gesetzlichen Erlaubnis 10
Der Datenschutzbeauftragte Der Datenschutzbeauftragte hat im Unternehmen die Aufgabe, die Einhaltung des Datenschutzes zu kontrollieren. Er ist unabhängig von den Kollektivparteien, untersteht direkt der Rolle von Betriebs- und Personalrat sowie Geschäftsleitung. Datenschutzrechtliche Einwilligungen kann er nicht aussprechen. 11
Rolle von Betriebs- und Personalrat Zum Schutz des Datenschutzes der Mitarbeiter sind auch die kollektiven Vertreter berufen. Insbesondere können mit Ihnen Vereinbarungen zur Regelung des betrieblichen Datenschutz und des Umgangs mit der betrieblichen EDV getroffen werden. 12
Rolle von Betriebs- und Personalrat Mitbestimmung nach 87 Abs. 1 Nr. 6 BetrVG: Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;... 13
Rolle von Betriebs- und Personalrat 4 BDSG Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 14
Rolle von Betriebs- und Personalrat Unter Datenschützern wird angenommen, dass eine Einwilligung im Arbeitsrecht nicht möglich ist, da aufgrund des Unterordnungsverhältnis die geforderte Freiwilligkeit nicht gegeben ist. Die Einwilligung ist aber auch frei widerrufbar und kann daher keine Grundlage einer Investitionsentscheidung sein. 15
Rolle von Betriebs- und Personalrat Rechtliche Vorschriften gem. 4 BDSG sind aber auch Vereinbarungen mit der Kollektivvertretung. Daher können Vereinbarungen mit dem Betriebsrat oder der Personalvertretung zur Datenverarbeitung geschlossen werden. 16
Rolle von Betriebs- und Personalrat Keine Mustervereinbarung verwenden, da auf die Belange des jeweiligen Betriebs Rücksicht zu nehmen und diese auch geregelt werden müssen. Fachliche Beratung notwendig. 17
Neues Datenschutzrecht zum 01.09. 1. Datenverschlüsselung: Bei Übermittlung von Daten ist sichere Verschlüsselung vorgeschrieben, Daten sind zu anonymisieren bzw. zu pseudonymisieren. 18
Neues Datenschutzrecht zum 01.09. 2. Arbeitnehmerdatenschutz: Aufnahme des Arbeitnehmer-Datenschutzes in das BDSG. Inhaltlich kaum Änderung gegenüber jetziger Rechtslage. Aber: Datenschutz gilt jetzt nicht mehr nur für elektronische Dokumente, sondern für Aufzeichnungen jeder Art. 19
Neues Datenschutzrecht zum 01.09. 3. Datenschutzbeauftragter: Erweiterter Kündigungsschutz während seiner Bestellung und ein Jahr danach. Betrieb muss den Besuch von Fort- und Weiterbildungsveranstaltungen gestatten und bezahlen. 20
Neues Datenschutzrecht zum 01.09. 4. Auftragsweise Datenverarbeitung: Neue verpflichtende Regelungsinhalte für Auftragsdatenverarbeitung nach 11 BDSG. Prüfungs- und Dokumentationspflichten. Neue Sanktionen Bussgelder, Untersagung der weiteren Verarbeitung, Abschöpfung von Vorteilen. 21
Neues Datenschutzrecht zum 01.09. 5. Einwilligung für Werbung: Mündliche Einwilligungen sind schriftlich zu bestätigen, elektronische Einwilligungen zu protokollieren. Einwilligungen müssen jederzeit elektronisch einsehbar sein. Einwilligungen sind jederzeit mit Wirkung für die Zukunft widerrufbar. 22
Neues Datenschutzrecht zum 01.09. 5. Einwilligung für Werbung: Schriftliche Einwilligung muss klar erkennbar und deutlich hervorgehoben sein Verträge dürfen nicht von Einwilligungen abhängig gemacht werden. Derartige erwirkte Einwilligungen sind nichtig. 23
Neues Datenschutzrecht zum 01.09. 5. Einwilligung für Werbung: In der Werbung selbst muss der Empfänger der Einwilligung erkennbar gemacht werden. Auskunftsrecht über die Herkunft einer Einwilligung über zwei Jahre zurück. Übergangsfrist für Altadressdaten bis 1.September 2012. 24
Neues Datenschutzrecht zum 01.09. 6. Werbung an geschäftliche Adressen: Personalisierte Werbung an geschäftliche Adressen zukünftig ohne besondere Einwilligung zulässig. 25
Neues Datenschutzrecht zum 01.09. 7. Markt- und Meinungsforschung: Neue Regelungen für Unternehmen aus dem Bereich Markt- und Meinungsforschung. Neue Vorschriften für Kompetenzen der zuständigen Aufsichtsbehörde Zwingende Bestellung eines Datenschutzbeauftragten unabhängig von Mitarbeiterzahl. 26
Neues Datenschutzrecht zum 01.09. 8. Meldepflicht: 42a BDSG schreibt eine unverzügliche Informationspflicht vor, wenn einem Unternehmen besondere personenbezogen Daten vorliegen oder zur Kenntnis geraten, die unrechtmäßig erhoben oder übermittelt wurden. 27
Neues Datenschutzrecht zum 01.09. 8. Meldepflicht: Die Meldepflichten umfassen Daten: a) nach 3 (9) BDSG über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszubehörigkeit, Gesundheit oder das Sexualleben. 28
Neues Datenschutzrecht zum 01.09. 8. Meldepflicht: Die Meldepflichten umfassen Daten: b) die erkennbar einem Berufsgeheimnis unterliegen; c) die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht hierauf beziehen oder Bank- und Kreditkartenkonten betreffen. 29
Neues Datenschutzrecht zum 01.09. 8. Meldepflicht: Bei solchen Daten ist unverzüglich die zuständige Aufsichtsbehörde und der Betroffene zu informieren. Sanktion bei Unterlassung: Bussgeld von bis zu 300 Tsd. Euro verhängt werden. 30
Neues Datenschutzrecht zum 01.09. 9. Weitere Änderungen: Ab April 2010 sind weitere Änderungen beschlossen, Schwerpunkt Auskunfteien und Scoring-Verfahren. 31
Praktischer Arbeitnehmerdatenschutz Kontrolle der Leistung von Arbeitnehmer: Problem des Persönlichkeitsrechts Einwilligung / betriebliche Vereinbarung Mitbestimmungspflichtig Dauernde Überwachung ohne weiteres nicht zulässig 32
Die private Nutzung vom Email und Internet Grundsätzlich ist private Nutzung des Internets und Emails im Betrieb verboten. Betriebsinhaber muss die private Nutzung erlauben (Eigentumsrechte). Sozialadäquate Nutzung erlaubt. Private Nutzung aus betrieblichem Anlass. 33
Die private Nutzung vom Email und Internet Auf private Daten darf der Arbeitgeber keinen Zugriff nehmen. Die Erlaubnis privater Nutzung führt zu Problemen bei der Überwachung. Auf auch privat genutzte Email Konten etwa darf Arbeitgeber keinen Zugriff nehmen. 34
Die private Nutzung vom Email und Internet Die Erlaubnis privater Nutzung sollte immer nur mit besonderer betrieblicher Vereinbarung einhergehen. Direkte Absprachen zwischen Arbeitgeber und Arbeitnehmer zur Einwilligung in die Überwachung meist unwirksam. 35
Die private Nutzung vom Email und Internet Mittlerweile ist das private Surfen am Arbeitsplatz häufiger Gegenstand von Kündigungen / Abmahnungen. Verteidigung: Unerlaubte Überwachung, Datensammlung. 36
Ausfilterung von Spam Das Ausfiltern von Spam hängt ebenfalls stark davon ab, ob private Nutzung erlaubt oder nicht erlaubt ist. Die Kontrolle geschäftlicher Emails und das Ausfiltern von Spam in der geschäftlichen Mailkorrespondenz ist datenschutzrechtlich wenig problematisch. 37
Ausfilterung von Spam Die Ausfilterung bei privater Nutzung ist meist unzulässig, da zur Beurteilung von Spam die Post gelesen werden müsste. Wurden Werbe Emails bestellt? 38
Ausfilterung von Spam Weiterleiten von Spam mit entsprechendem Vermerk und Möglichkeit des Setzens auf eine interne Blacklist. 39
Kontrolle von Viren Ähnliche Probleme bei der Kontrolle der Emails auf Viren und Schadsoftware. Bei rein geschäftlicher Korrespondenz unproblematisch. Bei erlaubter privater Nutzung Abwägung, dass Interesse an Systemintegrität überwiegt. Sicherung der anonymen Kontrolle und der Benachrichtigung des Empfängers. 40
Überwachung der betrieblichen EDV Die Überwachung der betrieblichen EDV auf Urheberrechtsverletzung ist elementar wichtig. Eigene Strafbarkeit des Unternehmens (Geschäftsleitung) bei Verbreitung verbotener Inhalte. Eigene zivilrechtliche Verantwortlichkeit des Unternehmens. 41
Überwachung der betrieblichen EDV Auch hier wieder das Problem der Überwachung bei der erlaubten privaten Nutzung. Private Daten dürfen grundsätzlich nicht kontrolliert werden. 42
Überwachung der betrieblichen EDV Mehrstufiges Vorgehen: 1. Anonyme Kontrolle der Nutzung 2. Bei Verdacht des Mißbrauchs Information des Mitarbeiters zur Überwachung seines Nutzungsverhaltens. 3. Bei Straftaten Information der Ermittlungsbehörden. 43
Überwachung der betrieblichen EDV Wenn private Nutzung erlaubt ist, sollte gegebenenfalls den Nutzern ein abgregrenzter Bereich zur Speicherung privater Daten zur Verfügung gestellt werden bei Verbot, private und geschäftliche Daten zu mischen. 44
Video und Webcams im Betrieb Problem des Persönlichkeitsrechts Einwilligung / betriebliche Vereinbarung Mitbestimmungspflichtig Dauernde Überwachung ohne weiteres nicht zulässig. Grundsatz der Verhältnismäßigkeit BAG 1 ABR 16/07 vom 26.08.2008. 45
Speichern von Krankheitszeiten und Krankheiten Krankheitsdaten sind besondere personenbezogene Daten nach 3 BDSG, unterliegen besonderem Schutz. Entscheidung BAG 12.09.2006, Az.: 9 AZR 271/06 Soweit sensible Gesundheitsdaten aufgenommen werden, ist der Arbeitgeber verpflichtet, diese gesondert aufzubewahren. Dieser Anspruch kann gerichtlich durchgesetzt werden. 46
Umgang mit Bewerberdaten Bewerberdaten sind personenbezogene Daten Grundsatz der Datensparsamkeit und Datenvermeidung: Nach Abschluss des Bewerbungsverfahrens dürfen diese nicht mehr gespeichert werden. Problem AGG: Nachweis der Nichtdiskriminierung, Aufbewahrung bis zum Ablauf der Klagefrist wohl zulässig. 47
Problem bei international tätigen Firmen Die Übermittlung personenbezogener Daten in das Ausland unterliegt einschränkenden Vorschriften. EU Ausland weitgehend unproblematisch Anderes Ausland: Soweit nicht gleiches Datenschutzniveau wie in EU gewährleistet ist, ist die Datenübermittlung problematisch. Abschluss von speziellen Vereinbarungen bei Übertragung von Daten in das Ausland. 48
Datenübermittlung USA USA haben grundsätzlich nicht gleiches Schutzniveau im Datenschutz Besondere Datenschutzvereinbarung EU - USA: Safe Harbor ( Sicherer Hafen ) US Unternehmen können sich den Regelungen unterwerfen und beim US Handelsministerium registrieren lassen. EU Behörden nehmen dann ausreichenden Schutz an. http://www.export.gov/safeharbor 49
Arbeitnehmerdaten nach Ende des Dienstverhältnisses Nach Grundsatz der Datensparsamkeit und Datenvermeidung sind Daten ausgeschiedener Arbeitnehmer zu löschen. Gesetzliche Aufbewahrungspflichten rechtfertigen die Speicherung, aber wohl nicht mehr im produktiven Betrieb. 50
Prüfung durch Datenschutzbehörden Mitunter kurzfristige Anmeldung, u.a. bei Meldung von Verstößen Auskunfts-, Einsichts- und Prüfungsrechte der Aufsichtsbehörden Bereithalten insbesondere von Verfahrensverzeichnissen und Darstellung der Datenverarbeitung im Betrieb sowie der Vorkehrungen zum Datenschutz. 51
Probleme externer Lohnbuchhaltung Übermittlung von Daten unterliegt speziellen Vorschriften. Unterschied Auftragsdatenverarbeitung / Übermittlung von personenbezogenen Daten 52
Probleme externer Lohnbuchhaltung Relative unproblematisch: Auftragsdatenverarbeitung. Merkmal: Die Schritte und Abläufe der Datenverarbeitung sind genau vorgegeben. Herr der Daten bleibt der Auftraggeber. Sonst: Funktionsübertragung, Datenübermittlung an Dritte. 53
Probleme externer Lohnbuchhaltung 11 BDSG Auftragsdatenverarbeitung Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, - verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. 54
Probleme externer Lohnbuchhaltung Wichtig für Auftragsdatenverarbeitung: 1. Dokumentierte sorgfältige Auswahl des Dritten. 2. Genaue Vorgaben für die Datenverarbeitung ohne eigenen Entscheidungsspielraum für Dritten. 55
Probleme externer Lohnbuchhaltung Liegt keine Auftragsdatenverarbeitung vor, sondern Funktionsübertragung, handelt es sich um eine Datenübermittlung an Dritte Zulässig im Rahmen des 28 BDSG. Bedarf besonderer Einwilligung des Betroffenen (im Arbeitsrecht problematisch), gesetzlicher Erlaubnis oder besonderer Rechtsvorschrift (Betriebsrat). 56
Probleme externer Lohnbuchhaltung Problem: Widerrufbarkeit der Vereinbarungen 57
Versendung von Daten im Konzern Das Datenschutzgesetz kennt keinen Konzernvorbehalt. Die Übermittlung von Daten im Konzern ist daher Übermittlung der Daten an Dritte und bedarf ebenso der gesetzlichen Erlaubnis oder der rechtlichen Zulässigkeit. 58
Rechtsanwalt Dr. Klostermann http://www.drklostermann.de 59