Rechtsanwalt für Arbeitnehmerdatenschutz: Der Beschäftigtendatenschutz ist ein Teilbereich des Datenschutzrechts, der den Umgang mit personenbezogenen Daten von Beschäftigten regelt. Dabei geht es insbesondere um Daten, die durch das Arbeitsverhältnis erhoben, verarbeitet und genutzt werden.
In Deutschland wird der Beschäftigtendatenschutz vor allem durch das Bundesdatenschutzgesetz (BDSG) und die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) geregelt. Der Schutz personenbezogener Daten von Beschäftigten soll sicherstellen, dass diese nicht auf unrechtmäßige Weise vom Arbeitgeber erhoben, verarbeitet oder genutzt werden. Dabei sollen die Persönlichkeitsrechte des Arbeitnehmers gewahrt und seine Privatsphäre geschützt werden.
Konkret sieht der Arbeitnehmerdatenschutz beispielsweise vor, dass Arbeitgeber nur solche personenbezogenen Daten erheben und verarbeiten dürfen, die für die Durchführung des Arbeitsverhältnisses erforderlich sind. Das bedeutet, dass der Arbeitgeber nur Daten erheben und verarbeiten darf, die im Kontext des Arbeitsverhältnisses stehen, wie zum Beispiel Name, Anschrift, Bankverbindung, Sozialversicherungsnummer und Arbeitszeiten.
Weiterhin muss der Arbeitgeber die betroffenen Beschäftigten über die Erhebung, Verarbeitung und Nutzung ihrer Daten informieren. Dazu gehört auch, dass der Arbeitnehmer einwilligen muss, wenn der Arbeitgeber Daten erheben und verarbeiten will, die nicht in unmittelbarem Zusammenhang mit dem Arbeitsverhältnis stehen. Die Einwilligung muss freiwillig, informiert und ausdrücklich erfolgen.
Ferner hat der Arbeitnehmer das Recht, Auskunft über die von seinem Arbeitgeber gespeicherten Daten zu erhalten und deren Berichtigung oder Löschung zu verlangen, wenn sie unrichtig oder unzulässig erhoben wurden.
Verstöße gegen den Beschäftigtendatenschutz können sowohl arbeitsrechtliche als auch datenschutzrechtliche Konsequenzen nach sich ziehen. In schweren Fällen können Sanktionen wie Bußgelder oder sogar strafrechtliche Sanktionen verhängt werden.
Arbeitszeiterfassung und Arbeitnehmerdatenschutz: Die Arbeitszeiterfassung ist seit der Entscheidung des EUGH unter Druck geraten und das Bedürfnis nach moderner, alltagstauglicher Arbeitszeiterfassung gestiegen. durch ein Zeiterfassungssystem mittels Fingerabdruck ist nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 BDSG – und damit ohne Einwilligung der betroffenen Person nicht zulässig, so das Arbeitsgericht Berlin (29 Ca 5451/19 – bestätigt durch LArbG Berlin-Brandenburg). Insbesondere, so die Gerichte, ist es nicht zwingend, dass das vom EUGH geforderte objektive, verlässliche und zugänglichs System zur Arbeitszeiterfassung einer Verarbeitung biometrischer Daten des Klägers (oder anderer Mitarbeitender) bedürfe.
Grundsätzlich ist festzuhalten, dass es sich Datenschutzrechtlich bei den durch Fingerabdruck erhobenen Daten um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und zugleich „besondere Kategorien personenbezogener Daten“ im Sinne von § 26 Abs. 3 BDSG handelt. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann.
Whistleblower-Richtlinie: Nach einer Einigung im März 2019 hat der Rat neue Vorschriften zum Schutz von Hinweisgebern förmlich verabschiedet. Diese neuen EU-Regeln garantieren Hinweisgebern, sogenannten Whistleblowern, künftig EU-weit einheitliche Standards für ihren Schutz. Mit diesen werden öffentliche und private Organisationen als auch Behörden dazu verpflichtet, sichere Kanäle für die Meldung von Missständen einzurichten, sodass Hinweisgeber Verstöße gegen das EU-Recht möglichst gefahrlos melden können.
Hinweis: Beachten Sie bitte, dass wir zum Thema Geschäftsgeheimnisschutz oder Whistleblowing nur für Unternehmen tätig sind und Mandate von Arbeitnehmern nicht übernehmen (ausgenommen Strafverteidigungen!)
Überwachungsmaßnahmen im Arbeitsverhältnis: Die datenschutzrechtliche Zulässigkeit von Kontrollen oder Überwachungsmaßnahmen sorgt immer wieder in Betrieben für Verunsicherung. Das Bundesarbeitsgericht (2 AZR 426/18) konnte insoweit klarstellen, dass jedenfalls nicht als „privat“ gekennzeichnete Dateien keinen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraussetzen, um hier Zugriff als Arbeitgeber zu nehmen.
Hinweis: Die vorliegende Entscheidung erging zwar im Anwendungsbereich der DSGVO/BDSG2018, bezieht sich aber noch auf §32 BDSG in der alten Fassung. Nach meinem Verständnis werden die hier aufgezeigten Grundsätze von dem Bundesarbeitsgericht aber auch auf den nunmehr neuen §26 BDSG angewendet werden!
Zum Verwertungsverbot bei Persönlichkeitsrechtsverletzung siehe auch hier bei uns:
Voraussetzungen einer Verdachtskündigung im Arbeitsrecht: Bereits ein bestehender Verdacht einer Pflichtverletzung des Arbeitnehmers stellt – gegenüber dem verhaltensbezogenen Vorwurf, der Arbeitnehmer habe die Pflichtverletzung tatsächlich begangen – mit der Rechtsprechung des Bundesarbeitsgerichts einen eigenständigen Kündigungsgrund dar (zusammenfassend BAG, 2 AZR 256/14). Der Verdacht kann im Ergebnis eine ordentliche Kündigung aus Gründen in der Person des Arbeitnehmers bedingen – ist als so genannte „Verdachtskündigung“ aber an erhebliche Voraussetzungen gebunden.
Der EUGH (C-55/18) hat entschieden, dass die Mitgliedstaaten die Arbeitgeber verpflichten müssen, ein System einzurichten, mit dem die tägliche Arbeitszeit gemessen werden kann. Auf eine Vorlage hin hat der Gerichtshof ausdrücklich entschieden, dass die europäischen Vorgaben einer Regelung entgegenstehen, die nach ihrer Auslegung durch die nationalen Gerichte die Arbeitgeber nicht verpflichtet, ein System einzurichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.
Kündigungsschutz: Für die Zulässigkeit der Verwertung von Zufallsfunden bei der Durchsuchung des Dienst-PC eines Arbeitnehmers ist es nicht notwendig, dass der Anlass für die Durchsuchung datenschutzrechtlich zulässig war.
Es kommt nach einer Entscheidung des LAG Baden-Württemberg (21 Sa 48/17) für die Verwertbarkeit des Zufallsfundes allein darauf an, ob der Eingriff in das allgemeine Persönlichkeitsrecht nicht stärker wiegt als die Funktionsfähigkeit der Rechtspflege. Dies gilt jedenfalls dann, wenn die Durchsuchung des Dienst-PC dem Arbeitnehmer vorher angekündigt wurde:
Für die Zulässigkeit der Verwertung von Zufallsfunden bei der Durchsuchung des Dienst-PC eines Arbeitnehmers ist es nicht notwendig, dass der Anlass für die Durchsuchung datenschutzrechtlich zulässig war. Es kommt für die Verwertbarkeit des Zufallsfundes allein darauf an, ob der Eingriff in das allgemeine Persönlichkeitsrecht nicht stärker wiegt als die Funktionsfähigkeit der Rechtspflege. Dies gilt jedenfalls dann, wenn die Durchsuchung des Dienst-PC dem Arbeitnehmer vorher angekündigt wurde (…)
Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung im Sinne der Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die eine Kündigung des Arbeitsverhältnisses rechtfertigen kann. Der Wortlaut des § 32 Abs. 1 Satz 1 BDSG enthält keine Einschränkung, es müsse der Verdacht einer im Beschäftigungsverhältnis verübten Straftat bestehen. Sofern nach § 32 Abs. 1 Satz 1 oder Satz 2 BDSG zulässig erhobene Daten den Verdacht einer Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 Satz 1 BDSG auch verarbeitet oder genutzt werden (BAG vom 29. Juni 2017 – 2 AZR 597/16 aaO Rn 26 mwN). Eine Sperrwirkung des § 32 Abs. 1 Satz 2 BDSG gegenüber der Erlaubnisnorm in Satz 1 der Bestimmung in Fällen, in denen der Arbeitgeber „nur“ einen – auf Tatsachen gestützten und ausreichend konkreten – Verdacht einer schwerwiegenden Pflichtverletzung des Arbeitnehmers hat, nicht aber den einer im Beschäftigungsverhältnis begangenen Straftat, lässt sich weder aus dem Wortlaut von § 32 Abs. 1 BDSG, noch seiner Systematik oder seinem Sinn und Zweck bzw. der Gesetzeshistorie ableiten. § 32 BDSG soll nach dem Willen des Gesetzgebers die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis nicht ändern, sondern lediglich zusammenfassen.
Nach den demgemäß in § 32 BDSG zusammengefassten Rechtsprechungsgrundsätzen sind aber – sofern weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft sind, die verdeckte Überwachung damit das einzig verbleibende Mittel darstellt und sie insgesamt nicht unverhältnismäßig ist – Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers durch etwa verdeckte (Video-)Überwachung nicht nur dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung besteht, sondern ebenso bei einem entsprechenden Verdacht einer anderen schweren Verfehlung zu Lasten des Arbeitgebers. Der mit einer Datenerhebung verbundene Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers muss auch im Rahmen von § 32 Abs. 1 Satz 1 BDSG einer Abwägung der beiderseitigen Interessen nach dem Grundsatz der Verhältnismäßigkeit standhalten (zum Vorigen: BAG vom 29. Juni 2017 – 2 AZR 597/16 aaO Rn 28, 29, 32).
Die Verwertung eines „Zufallsfundes“ aus einer gem. § 32 Abs. 1 Satz 2 BDSG gerechtfertigten verdeckten Videoüberwachung kann nach § 32 Abs. 1 Satz 1 BDSG zulässig sein (BAG 22. September 2016 – 2 AZR 848/15 – juris – [Leitsatz und Entscheidungsgründe Rn. 30]). Der Schutzzweck des BDSG gebietet es nicht, dem Arbeitgeber aus generalpräventiven Gründen eine prozessuale Verwertung datenschutzrechtswidrig erlangter Informationen zu verwehren. Ein Verbot kommt nur in Betracht, wenn mit der Verwertung ein Eingriff in das allgemeine Persönlichkeitsrecht der anderen Prozesspartei einhergeht. Ein solcher Eingriff scheidet aber aus, wenn die Unzulässigkeit der Videoüberwachung allein aus der (Dritt-)Betroffenheit anderer Beschäftigter resultiert (BAG 20.10.2016 – juris – [Orientierungssatz Nr. 5 und Entscheidungsgründe Rn. 33]).
Kein Platz für drumherumgerede: Im Arbeitsstrafrecht finden Sie bei uns echte Profis, die sich von Abgaben über Schwarzarbeit bis zu Geheimnisverrat trittsicher bewegen!
Die Speicherung von Bildsequenzen aus einer rechtmäßigen offenen Videoüberwachung, die vorsätzliche Handlungen eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers zeigen, wird nicht durch bloßen Zeitablauf unverhältnismäßig, solange die Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist.
Grundsätzliches zum Thema „Bring your own Device“ (BYOD)
Bring your own device („BYOD“): Grundsätzlich ist dazu zu raten, mit den Mitarbeitern eine ausdrückliche, schriftliche Nutzungsvereinbarung zu treffen, die in jedem Einzelfall – etwa bei Übergabe des konkreten Geräts – von dem Mitarbeiter abgezeichnet wird. Hier ist daran zu denken, klar zu stellen, dass es sich bei der Überlassung des Endgeräts bzw. der Zulassung der Nutzung privater IT im betrieblichen um eine rein freiwillige Leistung handelt, die an den Abschluss einer Nutzungsvereinbarung gebunden ist und jederzeit mit einer angemessenen Frist gekündigt werden kann. Andernfalls besteht das Risiko, dass irgendwann ein Arbeitnehmer sich hier auf eine betriebliche Übung berufen kann.
Soweit die Nutzung eines privaten Endgerätes eines Arbeitnehmers im Raum steht ist dann jedenfalls zwingend daran zu denken, dass jeglicher Zugriff oder gar die Benutzung durch Dritte vertraglich untersagt sein muss. Dies aus mehreren Gründen, etwa weil sonst eine möglicherweise unzulässige Übermittlung von personenbezogenen Daten Dritter vorliegt, aber auch weil auszuschließen ist, dass Dritte irgendwie Zugriff oder Kenntnis auf bzw. von unternehmensinternen Daten erhalten.
Wenn eine spezielle Software zum Einsatz kommen soll, die bestimmte Bereiche des Handys absichert, etwa durch eine Verschlüsselung, so muss der Einsatz dieser Software vertraglich als zwingende Voraussetzung vorgesehen sein.
Bring your own device: Kosten bei BYOD
Auf keinen Fall sollte man vergessen, die Kostenregelung beim „Bring your own device“ eindeutig zu klären. Wenn etwa ein privates Endgerät genutzt wird könnte es eine Lösung sein, dass Voraussetzung einer Nutzungsvereinbarung ist, dass der Arbeitnehmer eine Flatrate gebucht hat, so das etwa dienstlich veranlasste Telefonate oder Datenübermittlungen nicht zu Kostenstreitpunkten führen können. An diesen Kosten für eine solche Flatrate könnte sich dann der Arbeitgeber mit einer angemessenen Teilzahlung beteiligen. Durchaus denkbar wäre es natürlich auch, dass sämtliche Kosten im Einzelfall von dem Arbeitnehmer aufgeschlüsselt werden und die dienstlich veranlassten Kosten dann durch den Arbeitgeber erstattet werden, dieser Arbeitsaufwand dürfte aber sehr schnell das Verlassen, was im Alltag praktikabel ist. Nach meiner Einschätzung wird es am sinnvollsten sein, dass das Kostenrisiko durch eine Flatrate bereits begrenzt wird und hieran dann eine angemessene Teilzahlung geleistet wird damit man keine Übervorteilung des Arbeitnehmers vorwerfen kann.
An dieser Stelle möchte ich auch kurz erwähnen, warum ich schon weiter oben angesprochen habe, dass die Möglichkeit der Kündigung vorgesehen ist, nicht aber thematisiert habe, dass ein jederzeitiger Widerruf möglich sein soll: möglicherweise trifft der Arbeitnehmer bereits eigene Dispositionen, etwa bei der Nutzung eines privaten Endgerät dahingehend, dass ein bestimmter Mobilfunk Tarif gewählt wird, der sonst nicht ausgewählt worden wäre. Macht insoweit Sinn, dass man sich zwar einen Widerrufs-oder Änderungsvorbehalt ausbedingt, hierbei dann aber entsprechende Fristen vorsieht, die Übergangszeiten ermöglichen, damit man sich nicht dem Vorwurf ausgesetzt sieht, keine Rücksicht auf die Dispositionen des Arbeitnehmers genommen zu haben. Es ist an dieser Stelle immer daran zu denken, dass ein gewisser Fairnessausgleich auf beiden Seiten stattfinden muss.
„Bring your own device“: Arbeitsrechtliches zu BYOD
Im Hinblick auf arbeitsrechtliche Regelungen ist zuvorderst klarzustellen, dass regelmäßig davon auszugehen sein wird, dass der Betriebsrat bei der gesamten Thematik „Bring your own device“ ein Mitbestimmungsrecht haben dürfte. Ob diesen konkret vorliegt und in welchem Umfang es besteht hängt sehr stark an den konkreten Fragen des Einzelfalls, grundsätzlich ist aber schon jetzt darauf hinzuweisen, dass man immer an ein solches Mitbestimmungsrecht denken wird.
Insbesondere bei folgenden Themen ist an ein solches Mitbestimmungsrecht zu denken: bei der Einrichtung und Ausgestaltung der Überwachung von Endgeräten, Zeitpunkt und Zeitraum der Einführung des BYOD und auch die Regelung der Art und Weise der Nutzung, etwa wenn im Ausland ein bestimmtes Nutzungsverhalten untersagt sein soll oder wenn Vorgaben gemacht werden sollen hinsichtlich der Frequenz des Abrufen von Nachrichten, etwa während Dienstreisen.
Eine schnell aus den Augen verlorene Thematik ist die Regelung der Arbeitszeit: Es liegt in der Natur der Sache, dass das Endgerät über die normale Arbeitszeit hinaus genutzt wird. Der Arbeitnehmer sollte insoweit angehalten werden, von sich aus darauf zu achten dass keine Überschreitung der arbeitszeitkleinsten Eintritt. Es kann auch sinnvoll sein, zu regeln, dass eine Überstundenvergütung nur dann anfällt, wenn über das Endgerät eine dienstbezogene Tätigkeit über die normale Arbeitszeit hinaus stattfindet, soweit dies vom Arbeitgeber auch veranlasst wurde bzw. angeordnet wurde.
Beendigungsszenario bei BYOD regeln
Ausdrücklich geregelt sollte auch sein, unter welchen Umständen die gesamte Regelung zum „Bring your own device“ ihr Ende findet. So könnte ein Kündigungsrecht vorgesehen sein oder direkt die gesamte Regelung von vornherein nur befristet zur Anwendung gelangen. Ein eindeutiger Kündigungsgrund sollte dabei sein, dass sich der Arbeitnehmer nicht an die getroffene Regelung hält, da in einem solchen Fall zur Vermeidung von Datenschutzverstößen dem Arbeitgeber die Möglichkeit der zeitnahen Beendigung der Vereinbarung offen stehen sollte.
Zustimmung zur Speicherung von Daten bei BYOD
Jedenfalls bei privaten Endgeräten ist daran zu denken, dass dieses im Eigentum des Arbeitnehmers steht und dann der Speicherung betrieblicher Daten hier eine eigene Relevanz zukommt. Hintergrund ist, dass jede Speicherung bereits eine Datenveränderung darstellt, die ohne Einwilligung zumindest theoretisch bereits einen Straftatbestand (§303a StGB) darstellen könnte. Vor dem Hintergrund macht es Sinn, nochmals ausdrücklich die Zustimmung zur Speicherung von betrieblichen Daten einzuholen und dabei zugleich verständlich und durchaus detailliert klarzustellen, in welcher Form und gegebenenfalls mit welcher Software die entsprechenden Daten wo in dem Endgerät gespeichert werden.
Eine zu pauschale Zustimmung dagegen, die ins Blaue hinein erklärt wird ohne dass die technischen Hintergründe zumindest nachvollziehbar dargestellt sind, könnte schnell als unwirksam zu betrachten sein. Diese ausdrückliche Zustimmung ist dann selbst verständlich auch notwendig, wenn zur Installation entsprechender Software eine wenn auch nur kurzzeitige Überlassung des Endgerätes an den Arbeitgeber notwendig sein sollte.
Quelle: NCSC, Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
BYOD: Mobile Device Management (MDM)
Es besteht im Bereich des „Bring your own device“ regelmäßig ein Bedarf nach einem sogenannten MDM. Dies ist aus Sicht des Arbeitgebers nicht nur nachzuvollziehen, sondern drängt sich geradezu auf. die Thematik ist allerdings äußerst sensibel und darf auf gar keinen Fall unterschätzt werden.
Sollten sich auf dem Endgerät gar keine privaten Daten befinden oder sollten private Daten und betriebliche Daten stringent getrennt sein und ein Zugriff auf die privaten Daten von vornherein ausgeschlossen sein, wäre dies die aus meiner Sicht sicherste Lösung und auch in jedem Fall anzustreben.
In jedem anderen Fall besteht die zumindest theoretische Möglichkeit des Zugriffs auf private Daten oder es muss sogar auf diese zugegriffen werden, alleine um sodann überhaupt erst die Unterscheidung zwischen privaten und betrieblichen Daten vornehmen zu können. Hier kann zwar durchaus auch mit einer Einwilligung bzw. Zustimmung gearbeitet werden, diese stößt aber sehr schnell an ihre Grenzen, wenn man nur alleine schon daran denkt, dass einem Arbeitnehmer vielleicht die Nutzung privater Mails erlaubt ist und im Zuge dessen dann Zugriff auf die Mails von Dritten auf dem Handy des Arbeitnehmers stattfindet. Aus meiner Sicht wäre ein derart problematisches Szenario im Idealfall immer zu vermeiden. Ich möchte dies an dieser Stelle nicht über Gebühr vertiefen, es sei aber grundsätzlich darauf hingewiesen, dass es für Arbeitgeber generell der einfachste Weg ist, die private Nutzung von E-Mails generell zu untersagen.
Am Rande sei an dieser Stelle darauf hingewiesen, dass in dem Fall, in dem eine SIM-karte nicht durch den Arbeitnehmer erworben wird, sondern durch den Arbeitgeber zur Verfügung gestellt wird, der Arbeitgeber dann als Telekommunikationsanbieter einzustufen wäre, was weitere Pflichten nach sich zieht. Da dies derzeit wohl nicht angedacht ist möchte ich dies an dieser Stelle nicht vertiefen, im konkreten Einzelfall sollte dies allerdings vertieft geklärt werden.
Ebenfalls vertraglich regeln sollte man, wie eine Löschung von Daten zu erfolgen hat. Dies sollte in der Nutzungsvereinbarung von Anfang an klar geregelt sein, wobei aus meiner Sicht in erster Linie immer zwei Wege in Betracht kommen: Entweder das Endgerät muss ausgehändigt werden damit es dann untersucht und entsprechende Daten gelöscht werden oder es ist eine Software mit einem Zugang von außen vorgesehen, über die der Arbeitgeber Löschungen vornehmen kann. Im einfachsten Fall ist auch hier wieder sichergestellt, dass in einem eigenen Bereich die Speicherung der Daten stattfindet, so das von Anfang an vertraglich nur das Löschen dieses Bereichs vorgesehen ist und der Zugangsweg klar in dem Sinne vereinbart ist, dass der Mitarbeiter Sorge zu tragen hat, dass der Zugang zum Endgerät durch den Arbeitgeber sichergestellt ist. Eine mangelnde vertragliche Vereinbarung hat gleich zwei schwerwiegende Konsequenzen: zum einen sind sie schon datenschutzrechtlich dazu verpflichtet, dafür Sorge zu tragen, dass erhobene Daten dann gelöscht werden, wenn sie nicht mehr benötigt werden. Damit ist zugleich auch sichergestellt, dass nicht dritte unberechtigt Kenntnis von diesen Daten erlangen und bei Ihnen möglicherweise irgendwelche Meldepflichten ausgelöst werden. Auf der anderen Seite ist das rechtswidrige Löschen von Daten in fremden Systemen eine eindeutige Straftat, wobei sich bei geeigneter Zustimmung die strafrechtliche Relevanz verhindern lässt. Gleich im mehrfachen Sinn liegt bis dahin ihrem Interesse, diesen Aspekt ausdrücklich und abschließend zu regeln.
Sicherung des eigenen Endgerätes im Rahmen des BYOD
Dem Arbeitnehmer sollten in der vertraglichen Vereinbarung grundsätzliche Pflichten auferlegt werden, wie das Endgerät zu sichern ist. Dies beginnt bei Standardmaßnahmen wie etwa einem Passwortschutz um auf das Gerät zuzugreifen, geht über allgemeine Hinweise zur Aufbewahrung des Gerätes bis hin zu Untersagung bestimmter Dienste, wie etwa international zugänglicher Cloud-Lösungen, bei denen der Ort der Speicherung der Daten nicht hinreichend sicher gestellt ist. Zu denken ist auch daran, dass beispielsweise auf mobilen Endgeräten die Installation bestimmter Apps untersagt wird, dies kann auch in der Form geschehen, dass bestimmte Kategorien von Apps, umschrieben durch eine Funktionsbeschreibung, untersagt werden.
Meldepflichten des Arbeitnehmers regeln
In der Nutzungsvereinbarung sollte in jedem Fall geregelt sein, welche Meldepflichten den Arbeitnehmer treffen. So sollte er in jedem Fall dazu angehalten sein, zwingend und unverzüglich den Verlust des gesamten Endgerätes dem Arbeitgeber melden zu müssen. Auch darüber hinaus könnten Meldepflichten sinnvoll sein, etwa wenn der Arbeitnehmer feststellt, dass bestimmte und in der Nutzungsvereinbarung notwendig vorgesehene Dienste nicht oder nicht zuverlässig arbeiten.
BYOD: Haftung bei Verlust des Endgerätes
Abschließend ist daran zu erinnern, dass absehbar gerade bei einer hohen Anzahl von Mitarbeitern hin und wieder der Fall auftreten wird, dass ein Endgerät verloren geht, beschädigt wird oder gar zerstört wird. Diese Thematik wird unliebsam sein, sollte aber in jedem Fall zwingend zwischen Arbeitgeber und Arbeitnehmer mit klaren Kriterien wer unter welchen Umständen für den Schaden einzustehen hat, im Rahmen des „Bring your own device“ geregelt sein.
Ich möchte, unter Rückgriff auf die Rechtsprechung zur Nutzung eines Dienst-PKW bzw. eines vom Arbeitgeber auch für private Zwecke überlassenen PKW, die sich insoweit aus meiner Sicht ergebende Rechtsprechung sehr kurz wie folgt zusammenfassen: wenn der Verlust durch Einwirkung des Arbeitgebers entstanden ist oder im Rahmen betrieblicher Veranlassung auftritt, wird man grundsätzlich von einer Haftung des Arbeitgebers ausgehen können. Wenn dagegen alleine das allgemeine Lebensrisiko des Arbeitnehmers Ursache war dürfte von keiner Haftung des Arbeitgebers auszugehen sein. Bei der Bemessung der Risikosphären sollte man nicht alleine darauf abstellen, ob ein Verlust oder Ähnliches während der Arbeitszeit aufgetreten ist, sondern es ist schon konkret zu prüfen, ob es sich im Rahmen betrieblicher Veranlassung ereignet hat. In jedem Fall sollte die Arbeitgeberhaftung für solche Fälle dann ausgeschlossen sein, wenn Verlust oder Ähnliches durch den Arbeitnehmer durch grobe Fahrlässigkeit oder Vorsatz herbeigeführt wurden.
Eine Klausel zur Haftung in diesen Fällen sollte sich an diesen Grundsätzen orientieren. Wenn man eine pauschale Lösung sucht dürfte es vertraglich wohl ohne Bedenken sein, wenn der Arbeitgeber dem Arbeitnehmer gegenüber erklärt, bei Verlust etc. grundsätzlich für eine Ersatzbeschaffung einzustehen. Hierbei sollte gleichwohl allerdings schon aus Gründen der Fairness zumindest der Vorsatz, wenn nicht auch die grobe Fahrlässigkeit, ausgeschlossen sein. Andersherum ist es eher schwierig bis ausgeschlossen, dem Arbeitnehmer pauschal das gesamte Risiko eines Verlustes etc. aufzubürden. Aus meiner Sicht wäre dies allenfalls dann denkbar, wenn dem Arbeitnehmer hierbei eine Risikozulage oder ähnliches zugewendet wird.
Das Landesarbeitsgericht Hamm (11 Sa 858/16) konnte sich zum Beweisverwertungsverbot bei einer Videoüberwachung von Arbeitnehmern nach altem Recht (BDSG bis Mai 2018) äussern:
Nach § 6 b Abs. 5 BDSG sind die Daten einer offenen Videoüberwachung zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke in einem öffentlich zugänglichen Ladenlokal unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Mit dieser Vorschrift ist es nicht vereinbar, wenn ein Ladeninhaber nach Ablauf eines Dreimonatszeitraums die betriebswirtschaftlichen Zahlen auswertet und wegen dabei zutage getretener Auffälligkeiten ab dem 15. des Folgemonats die Videoaufzeichnungen des abgelaufenen Dreimonatszeitraums auswertet, welche lückenloses Bildmaterial zu sämtlichen Kassiervorgängen der zurückliegenden Arbeitswochen enthalten.
Wegen der Intensität der Persönlichkeitsrechtsverletzung durch den Verstoß gegen den Datenschutz besteht ein Beweisverwertungsverbot. Die fraglichen Videokonsequenzen dürfen nicht zum Nachweis der Voraussetzungen eines Schadensersatzanspruches verwandt werden.
Ein Beweisverwertungsverbot besteht in dieser Situation auch bezüglich der Aufnahmen der Videoüberwachung im nicht öffentlich zugänglichen Büroraum mit dort befindlichem Tresor. Die – anlasslose – Videoüberwachung dort ist nicht nach § 32 Abs. 1 Satz 1 oder Satz 2 BDSG gerechtfertigt. Einer auf § 28 Abs. 1 Nr. 2 BDSG gestützten Rechtfertigung der Auswertung der Videoaufzeichnungen steht der Grundsatz der Verhältnismäßigkeit entgegen, weil auch die nach § 28 Abs. 1 Nr. 2 BDSG erhobenen Daten zeitnah hätten ausgewertet und gelöscht werden müssen.
Ein Taxiunternehmen kann von einem bei ihm als Arbeitnehmer beschäftigten Taxifahrer nicht verlangen, während des Wartens auf Fahrgäste alle drei Minuten eine Signaltaste zu drücken, um seine Arbeitsbereitschaft zu dokumentieren. Das hat das Arbeitsgericht Berlin am 10. August 2017 durch Urteil entschieden. (mehr …)
Das Arbeitsgericht Heilbronn (8 BV 6/16) hat entschieden, dass dem Betriebsrat kein Mitbestimmungsrecht hinsichtlich des Angebots einer App mit Feedback-Funktion zukommt:
Eine vom Arbeitgeber betriebene Smartphone-Applikation, die es den Nutzern ermöglicht, ein Kundenfeedback abzugeben, das auch Angaben zu Leistung und Verhalten der Mitarbeiter enthalten könnte, ist keine technische Überwachungseinrichtung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG, wenn der Arbeitgeber weder zur Abgabe derartiger Angaben auffordert, noch diese programmgemäß technisch weiterverarbeitet.
Eine im Kern selbständige Erhebung von Daten iSv § 87 Abs. 1 Nr. 6 BetrVG durch eine technische Einrichtung ist dann nicht gegeben, wenn diese Daten der Einrichtung durch Dritte ohne eigenes Zutun – insbesondere ohne hierauf gerichtete Aufforderung der Kunden durch den Arbeitgeber – zuwachsen.
Eine programmgemäße technische Datenverarbeitung ist nicht gegeben, wenn die bei der technischen Einrichtung eingehenden Daten anschließend ausschließlich manuell selektiert und an die Stellen weitergeleitet werden, für die die Informationen bestimmt sind. Anders kann dies dann beurteilt werden, wenn die eingehenden Daten durch die technische Einrichtung mittels einer eigenen Auswertungssoftware weiterverarbeitet werden können.
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht, dies hat das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017 (Aktenzeichen 2 AZR 681/16) unter Bestätigung einer Entscheidung des Landesarbeitsgerichts Hamm, 16 Sa 1711/15, entschieden.
Anmerkung: Das Landesarbeitsgericht hatte vorher noch recht umfassend ausgeführt, dass eine offene Maßnahme immer der verdeckten (und dauerhaft verdekcten sowieso) vorzuziehen ist. Vor der installation eines Keyloggers hätten mit dem LAG insbesondere ohnehin vorhandene Daten wie etwa Internetverlauf und Mailverkehr ausgelesen werden können und sollen. (mehr …)
Ermöglicht der Arbeitgeber auf seiner Facebook-Seite für andere Facebook-Nutzer die Veröffentlichung von sogenannten Besucher-Beiträgen (Postings), die sich nach ihrem Inhalt auf das Verhalten oder die Leistung einzelner Beschäftigter beziehen, unterliegt die Ausgestaltung dieser Funktion der Mitbestimmung des Betriebsrats:
Eine vom Arbeitgeber betriebene Facebookseite, die es den Nutzern von Facebook ermöglicht, über die Funktion „Besucher-Beiträge“ Postings zum Verhalten und zur Leistung der beschäftigten Arbeitnehmer einzustellen, ist eine technische Einrichtung, die zur Überwachung der Arbeitnehmer iSd. § 87 Abs. 1 Nr. 6 BetrVG bestimmt ist. Die Bereitstellung der Funktion „Besucher-Beiträge“ unterliegt der Mitbestimmung des Betriebsrats.
Wenn in einem Unternehmen ein Mitarbeiter als „interner“, „betrieblicher“ Datenschutzbeauftragter eingesetzt wird, so genießt dieser einen besonderen Kündigungsschutz, der mitunter für Verunsicherung bei Arbeitgebern führt und im §4f BDSG normiert ist:
Ist (…) ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
Einige ausgewählte Entscheidungen zeigen die wesentlichen Fragen zu dem Thema auf.
Die Marktverhaltensregel im Wettbewerbsrecht: Regelmäßig für Überraschung sorgt bei Unternehmen die im Wettbewerbsrecht vorgesehene Relevanz der „Marktverhaltensregel“. Hintergrund ist §3a UWG (vormals, bis Dezember 2015 §4 Nr.11 UWG), wo man liest
Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.
(Frühere Fassung des §4a Nr.11 UWG: Unlauter handelt insbesondere, wer (…) einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.)
Es geht dabei darum, dass zum einen natürlich das UWG Regeln zum Verhalten von Wettbewerbern aufstellt. Doch darüber hinaus wollte der Gesetzgeber klarstellen, dass es auch ausserhalb des UWG Regeln gibt, die festlegen, wie sich Marktteilnehmer zu verhalten haben – und dass man wettbewerbsrechtlich gegen Verstöße vorgehen kann.
