Der Betriebsrat eines Logistik- und Versandunternehmen mit Sitz in Rheinberg, das einem internationalen Konzern angehört, hat den Arbeitgeber im Wege eines einstweiligen Verfügungsverfahrens wegen der Verletzung seiner Mitbestimmungsrechte auf Unterlassung in Anspruch genommen.
Der Arbeitgeber kontrolliert anhand Bildaufnahmen der Arbeitnehmer die Einhaltung der im Rahmen der Corona Pandemie empfohlenen Sicherheitsabstände von mindestens 2 Metern im Betrieb. Dazu verwendet er die im Rahmen der betrieblichen Videoüberwachung erstellen Aufnahmen, die er auf im Ausland gelegenen Servern mittels einer Software anonymisiert.
Das Arbeitsgericht Wesel, 2 BVGa 4/20, hat dem Unterlassungsanspruch des Betriebsrates teilweise stattgegeben. Hierbei ist das Arbeitsgericht davon ausgegangen, dass die Übermittlung der Daten ins Ausland der im Betrieb geltenden Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras widerspricht. Zudem hat das Gericht bei seiner Entscheidung darauf abgestellt, dass die Mitbestimmungsrechte des Betriebsrates aus § 87 Abs. 1 Nr. 6 und 7 BetrVG verletzt sind. (Quelle: Pressemitteilung des Gerichts)
Veröffentlicht am | Strafverteidiger im Raum Aachen & Heinsberg
Die Rechtsprechung mehrt sich, demzufolge der Wert eines Auskunftsbegehrens nach Art. 15 DSGVO mit 500,00 Euro zu bemessen ist, jedenfalls sofern nicht besondere Umstände hinzutreten.
Kündigung wegen Privater Internetnutzung: Die private Nutzung des betriebseigenen Internetzugangs – etwa für Online-Spiele oder soziale Netzwerke – ist bis heute ein brisantes Thema, vor allem wegen seiner enormen Missbrauchsanfälligkeit. Hieran schließt sich unmittelbar die ebenso brisante Frage an: Unter welchen Voraussetzungen kann die Nutzung des betriebseigenen Internets eine verhaltensbedingte, ggf. auch eine außerordentliche Kündigung rechtfertigen?
Grundsätzlich gilt, dass die private Nutzung von Internet und E-Mail am Arbeitsplatz entgegen einem entsprechenden Verbot jedenfalls dann eine fristlose Kündigung rechtfertigt, wenn der Arbeitnehmer sowohl an mehreren Tagen durchgehend und als auch über Monate hinweg regelmäßig URL-Aufrufe und E-Mails zu privaten Zwecken getätigt hat. Wenn der Zeitabstand so kurz ist, dass Arbeitseinheiten schon denktheoretisch nicht möglich sind, gilt dies dann erst recht.
Im Folgenden wird zum einen die Rechtslage aufgezeigt, wie sie sich auf Grund der Rechtsprechung darstellt. Zum anderen gibt es Hinweise zur Regelung der privaten Internetnutzung im Betrieb.
Checkliste zur Datenschutzgrundverordung: Hier finden Sie einige Anhaltspunkte, an Hand derer man sich bei der Umsetzung der DSGVO „entlanghangeln“ kann. Ich selber bin im Bereich des Datenschutzrechtes vorwiegend tätig im Rahmen im Bereich der Konfliktlösung, gegenüber Betroffenen, im Rahmen von Abmahnungen und vor allem Klagen – zudem beratend für IT-Projekte und im IT-Arbeitsrecht.
Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber, so das Arbeitsgericht Siegburg (3 Ca 1793/19).
Arbeitszeiterfassung und Arbeitnehmerdatenschutz: Die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerabdruck ist nicht erforderlich im Sinne von § 26 Abs. 1 BDSG – und damit ohne Einwilligung der betroffenen Person nicht zulässig, so das Arbeitsgericht Berlin (29 Ca 5451/19).
Grundsätzlich ist festzuhalten, dass es sich Datenschutzrechtlich bei den durch Fingerabdruck erhobenen Daten um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und zugleich „besondere Kategorien personenbezogener Daten“ im Sinne von § 26 Abs. 3 BDSG handelt. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann.
Mit dem Bundesarbeitsgericht (2 AZR 426/18) kann ein zulässiger Zugriff auf Dateien des Arbeitnehmers vorliegen, wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat, und er – der Arbeitgeber – dazu auf einem Dienstrechner gespeicherte Dateien einsieht, die nicht ausdrücklich als „privat“ gekennzeichnet oder doch offenkundig „privater“ Natur sind.
Das gilt für das Bundesarbeitsgericht jedenfalls dann, wenn die Maßnahme offen erfolgt und der Arbeitnehmer im Vorfeld darauf hingewiesen worden ist (insoweit ist an die Grundsätze der Verwertung von Erkenntnissen aus der Mitarbeiterüberwachung zu erinnern), welche legitimen Gründe eine Einsichtnahme in – vermeintlich – dienstliche Ordner und Dateien erfordern können und dass er Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass ausschließen kann. Der Arbeitnehmer muss dann billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er „private“ Daten in einen gesicherten Bereich verbringen.
Überwachungsmaßnahmen im Arbeitsverhältnis: Die datenschutzrechtliche Zulässigkeit von Kontrollen oder Überwachungsmaßnahmen sorgt immer wieder in Betrieben für Verunsicherung. Das Bundesarbeitsgericht (2 AZR 426/18) konnte insoweit klarstellen, dass jedenfalls nicht als „privat“ gekennzeichnete Dateien keinen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraussetzen, um hier Zugriff als Arbeitgeber zu nehmen.
Hinweis: Die vorliegende Entscheidung erging zwar im Anwendungsbereich der DSGVO/BDSG2018, bezieht sich aber noch auf §32 BDSG in der alten Fassung. Nach meinem Verständnis werden die hier aufgezeigten Grundsätze von dem Bundesarbeitsgericht aber auch auf den nunmehr neuen §26 BDSG angewendet werden!
Das Landesarbeitsgericht München (8 Sa 146/19) hat entschieden, dass zwischen einem „Crowdworker“ und dem Betreiber einer die Arbeit vermittelnden Internetplattform kein Arbeitsverhältnis besteht.
Kein Arbeitsverhältnis trotz Druck
Die moderne Arbeitswelt wird immer mehr durch Quasi-Selbstständige geprägt, die sich Ihren Lebensunterhalt mit einzelnen und über Plattformen vermittelte Tätigkeiten verdienen müssen. Jedenfalls nach derzeitiger gesetzlicher Lage entsteht jedoch kein Arbeitsverhältnis, wenn keinerlei Verpflichtung zur Erbringung von Leistungen vereinbart wurde. Das ändert sich auch nicht, wenn ein erheblicher Teil des Lebensunterhalts durch derartige Aufträge erzielt wird und hier nachvollziehbar durch den Druck, zukünftig weitere Aufträge anzunehmen, eine faktische Abhängigkeit entsteht.
Kann ein Arbeitnehmer gegenüber seinem Arbeitgeber haften, wenn durch sein Fehlverhalten Schadsoftware wie etwa Ransomware oder ein Virus installiert werden? Die Rechtsprechung ist durchaus bereit, dies zuzubilligen, wobei es auf den Einzelfall ankommt. Tatsächlich kann für Arbeitnehmer ein erhebliches Haftungsrisiko bestehen.
Beratung im Arbeitsrecht? Termin vereinbaren unter 02404-92100
Immer häufiger wird um Fotos eines Arbeitnehmers auf der Firmen-Webseite seines (ehemaligen?) Arbeitgebers gestritten. Dabei ist der Sachverhalt im Grundmodell prinzipiell immer der Gleiche:
Die Firma macht Fotos vom Arbeitnehmer und verwendet diese u.a. auf der Webseite. Der Arbeitnehmer scheidet später aus dem Unternehmen aus. „Plötzlich“ fordert der Ex-Arbeitnehmer die Herausgabe bzw. Löschung der Fotos sowie Schadensersatz.
Dieses Grundmodell findet man im Kern bei Streitigkeiten zum Thema immer wieder – die „Details“ wechseln sich dann, speziell die Frage, zu welchem (ausdrücklich vereinbarten) Zweck und unter welchen Umständen die Fotos des Arbeitnehmers angefertigt wurden. Dabei ist die Rechtsprechung hier sehr ausgewogen, keinesfalls automatisch „auf der Seite“ des Arbeitnehmers. Denn eine einmal erteilte Einwilligung kann nicht vollkommen frei widerrufen werden (dazu hier bei uns) – andererseits bieten sich häufig wichtige Gründe in einer solchen Konstellation, die einen Widerruf tragen.
Ein Überblick zum Thema an Hand gerichtlicher Entscheidungen.
I. Grundsätzliches zur Verwendung von Fotografien des Arbeitnehmers
(1) Um diese durchaus alltägliche Frage ging es beim Landesarbeitsgericht Köln (7 Ta 126/09): Hier stritten Arbeitnehmer und Arbeitgeber über die Verwendung eines Fotos auf der Firmen-Webseite – auf dem (auch) der Arbeitnehmer zu sehen ist – über den Zeitpunkt des Ausscheidens des Arbeitnehmers aus dem Betrieb hinaus. Mit dem LAG Köln ist hier zu differenzieren:
Bei einem nicht individualisierten Foto, das alleine der Illustration dient, besteht kein Anspruch auf zumindest unmittelbares Entfernen. Hier ging es um eine Mitarbeiterin, die „lächelnd am Telefon“ fotografiert und dann auf der Webseite eingesetzt wurde, um den Kontakt zur Firma allgemein zu illustrieren.
Anders aber wohl, wenn das Bild eines Mitarbeiters dazu verwendet wird, bewusst mit dessen individueller Persönlichkeit für sich zu werben, etwa wenn auf die besondere Fachkompetenz eines bestimmten in der Branche bekannten Mitarbeiters abgestellt werden soll.
(2) Das Landesarbeitsgericht Schleswig-Holstein (3 Sa 72/10) bleibt dieser Linie treu, verweist mitunter auch direkt auf die Entscheidung des LAG Köln (7 Ta 126/09) und kontrolliert sehr dezidiert, wo der klagende Arbeitnehmer involviert war, um abzuklopfen, ob man an den kritischen Punkten eine Einwilligung sehen/vermuten kann.
Zuerst wird das Gesamtbild gewürdigt. Die Verwendung der Fotos war ursprünglich (natürlich nicht schriftlich) vereinbart zur Erstellung von Werbe-Flyern. Die Daten-CD mit den Fotos hat der Kläger dabei dem Webseitengestalter selber überbracht. Umstritten war, ob er mit diesem die Fotos auch noch ausgesucht hatte (was der Designer erklärte) oder mit ihm nur über das Logo gesprochen hatte (was der Kläger erklärte). Wie weit die Prüfung eines Gerichts gehen kann, zeigt sich sodann: Im vorliegenden Fall wurde eine sozialgerichtliche Akte beigezogen und daraus zitiert, als umstritten war, ob der Mitarbeiter seine Fotos nicht sogar selbst auf die Webseite gestellt hat. Daraus wurde aus der Aussage der Mutter des Klägers zitiert:
„Ich habe in Erinnerung, dass mein Sohn sich um die Computer gekümmert hat. … Soweit ich das beurteilen kann, hat er am Computer gesessen und Fotos oder Bilder ins Internet gestellt. Er hat sich überhaupt darum gekümmert, dass etwas ins Internet kommt.“
Vor dem Hintergrund dieser Aussage hatte das LAG im Gesamtbild kein Problem mehr damit, eine Einwilligung in die Veröffentlichung der Fotos zu vermuten, ja gar in den Raum zu stellen, ob der Kläger nicht gar selbst seine Fotos auf die Webseite gestellt hat.
Auch das LAG stellt am Ende klar, dass alleine das Ausscheiden des Klägers aus dem Unternehmen nicht zu einem automatischen erlöschen der Einwilligung führt. Es steht den Parteien natürlich frei, vertraglich zu vereinbaren, dass das Nutzungsrecht in diesem Fall erlischt – automatisch ist davon aber nicht auszugehen.
(3) Dem folgt das Arbeitsgericht Frankfurt a.M. (7 Ca 1649/12): Es hat – vollkommen korrekt – entschieden, dass Fotos des Arbeitnehmers auf der Firmenwebseite nur mit dessen Zustimmung erscheinen dürfen. Hält der Arbeitgeber nicht daran, steht dem Arbeitnehmer mindestens ein Anspruch auf Unterlassung und Beseitigung zur Verfügung. Der Anspruch wurde hier nach dem Ausscheiden aus dem Unternehmen geltend gemacht, er wird auch schon vorher zu erkennen sein! Letztlich ist hier aber die Frage, ob und unter welchen Bedingungen eingewilligt wurde.
Später hat sich dann auch das Hessische Landesarbeitsgericht (19 SaGa 1480/11 – Vorinstanz: ArbG Frankfurt am Main, 13 Ga 160/11) mit Fotos eines Arbeitnehmers beschäftigen dürfen, die gegen dessen Willen nach seinem Ausscheiden weiterhin auf der Firmenwebseite (hier: Im Firmenblog, nicht auf der eigentlichen Webseite) verblieben sind. Pikant und zugleich die Untermalung, dass auch Juristen nicht gefeit sind: Es ging um eine Rechtsanwältin und eine Anwaltskanzlei als streitende Parteien.
Das Ergebnis passt zu den weiteren geschilderten Entscheidungen: Es besteht (natürlich) ein Anspruch auf Löschung der Daten, dies nicht zuletzt, weil durch die weitere Verwendung der Eindruck erzeugt wird, die Anwältin würde weiterhin in der Kanzlei arbeiten. Dies könne u.a. zu Problem führen, weil potentielle Mandanten, die die Anwältin suchen, sich letztlich an diese Kanzlei wenden – bei der die Anwältin ja nun nicht mehr arbeitet.
(4) Doch Vorsicht, wie das Landesarbeitsgericht in Mainz (6 Sa 271/12) gezeigt hat: Man darf nicht pauschal an die Sachverhalte heran gehen. Bei Gruppenfotos, die allgemeinen Illustrationszwecken dienen und bei denen der Arbeitnehmer nicht besonders hervorgehoben ist, kann nicht zwingend mit dem Ausscheiden des Arbeitnehmers ein sofortige Anspruch auf Löschung einher gehen. Dabei prüfte das Gericht sehr ausführlich, wie das Foto zu Stande kam (der Brief mit der Einladung zum Foto-Shooting wurde Wortweise analysiert!) und erkannte in dieser Situation dann am Ende kein besonderes Interesse des Arbeitnehmers an einer sofortigen Löschung.
II. Personensuchmaschinen
Das LG Hamburg (325 O 448/09) hatte im weiteren Kontext hierzu entschieden, dass ein Mitarbeiter grundsätzlich damit leben muss, dass das (mit seinem Einverständnis) auf der Firmenwebseite hinterlegte Foto von so genannten Personensuchmaschinen bei einer Suche nach seinem Namen angezeigt wird. Zur Begründung beruft sich das LG Hamburg auf ein Urteil des BGH (I ZR 69/08, „Google-Thumbnails“). Das Landgericht führt insofern aus:
Dafür, dass dem Verhalten der Klägerin entnommen werden kann, sie habe in die Abbildung ihres Fotos in dem von der Beklagten betriebenen Internet-Angebot eingewilligt, spricht auch der Umstand, dass das Internet-Angebot von … ausdrücklich für Suchmaschinen optimiert wurde. Wenn die Klägerin es zulässt, dass ihr Foto auf einer solchen Homepage veröffentlicht wird, durfte die Beklagte dem Verhalten der Klägerin (auch ohne rechtsgeschäftliche Einwilligungserklärung) entnehmen, die Klägerin sei mit der Anzeige des Fotos auf dem Internet-Angebot der Beklagten einverstanden. Das Verhalten der Klägerin, ihr Foto auf der Internetseite … für den Zugriff durch Suchmaschinen zugänglich zu machen, ohne dass bei dieser Seite von den technischen Möglichkeiten Gebrauch gemacht wurde, ihr Foto von der Anzeige durch Personensuchmaschinen auszunehmen, konnte von der Beklagten als Betreiberin einer solchen Personensuchmaschine objektiv als Einverständnis damit verstanden werden, dass das Foto der Klägerin in dem bei der Bildersuche üblichen Umfang genutzt werden durfte.
Fazit zur Verwendung von Fotografien des Arbeitnehmers
Wie immer bei der Verwendung von Fotos durch Dritte gilt der Grundsatz „Klar ist Trumpf“. Mein früherer Rat war, dass sowohl Arbeitnehmer als auch Arbeitgeber schriftlich in klarer Formulierung festhalten sollten, welche Fotos wozu genutzt werden. Inzwischen hat das Bundesarbeitsgericht geklärt, dass dies sogar zwingend ist – die Einwilligung muss schriftlich erfolgen. Betroffene müssen sich darüber im Klaren sein, dass mitunter solche Fotos bei Suchmaschinen später auftauchen, Arbeitgeber sollten (einfache) Informationen bieten, ob eine spezielle Suchmaschinenoptimierung erfolgt. Jeglicher Druck auf den Arbeitnehmer („Nun stellen Sie sich nicht so an“, „Sie müssen das“) ist tunlichst zu vermeiden. Die Möglichkeit des Arbeitnehmers, der Verwendung des Fotos grundsätzlich jederzeit widersprechen zu können, ist eine Selbstverständlichkeit und vertraglich wohl nur sehr schwer einzugrenzen
Grundsätzliches zum Thema „Bring your own Device“ (BYOD)
Bring your own device („BYOD“): Grundsätzlich ist dazu zu raten, mit den Mitarbeitern eine ausdrückliche, schriftliche Nutzungsvereinbarung zu treffen, die in jedem Einzelfall – etwa bei Übergabe des konkreten Geräts – von dem Mitarbeiter abgezeichnet wird. Hier ist daran zu denken, klar zu stellen, dass es sich bei der Überlassung des Endgeräts bzw. der Zulassung der Nutzung privater IT im betrieblichen um eine rein freiwillige Leistung handelt, die an den Abschluss einer Nutzungsvereinbarung gebunden ist und jederzeit mit einer angemessenen Frist gekündigt werden kann. Andernfalls besteht das Risiko, dass irgendwann ein Arbeitnehmer sich hier auf eine betriebliche Übung berufen kann.
Soweit die Nutzung eines privaten Endgerätes eines Arbeitnehmers im Raum steht ist dann jedenfalls zwingend daran zu denken, dass jeglicher Zugriff oder gar die Benutzung durch Dritte vertraglich untersagt sein muss. Dies aus mehreren Gründen, etwa weil sonst eine möglicherweise unzulässige Übermittlung von personenbezogenen Daten Dritter vorliegt, aber auch weil auszuschließen ist, dass Dritte irgendwie Zugriff oder Kenntnis auf bzw. von unternehmensinternen Daten erhalten.
Wenn eine spezielle Software zum Einsatz kommen soll, die bestimmte Bereiche des Handys absichert, etwa durch eine Verschlüsselung, so muss der Einsatz dieser Software vertraglich als zwingende Voraussetzung vorgesehen sein.
Bring your own device: Kosten bei BYOD
Auf keinen Fall sollte man vergessen, die Kostenregelung beim „Bring your own device“ eindeutig zu klären. Wenn etwa ein privates Endgerät genutzt wird könnte es eine Lösung sein, dass Voraussetzung einer Nutzungsvereinbarung ist, dass der Arbeitnehmer eine Flatrate gebucht hat, so das etwa dienstlich veranlasste Telefonate oder Datenübermittlungen nicht zu Kostenstreitpunkten führen können. An diesen Kosten für eine solche Flatrate könnte sich dann der Arbeitgeber mit einer angemessenen Teilzahlung beteiligen. Durchaus denkbar wäre es natürlich auch, dass sämtliche Kosten im Einzelfall von dem Arbeitnehmer aufgeschlüsselt werden und die dienstlich veranlassten Kosten dann durch den Arbeitgeber erstattet werden, dieser Arbeitsaufwand dürfte aber sehr schnell das Verlassen, was im Alltag praktikabel ist. Nach meiner Einschätzung wird es am sinnvollsten sein, dass das Kostenrisiko durch eine Flatrate bereits begrenzt wird und hieran dann eine angemessene Teilzahlung geleistet wird damit man keine Übervorteilung des Arbeitnehmers vorwerfen kann.
An dieser Stelle möchte ich auch kurz erwähnen, warum ich schon weiter oben angesprochen habe, dass die Möglichkeit der Kündigung vorgesehen ist, nicht aber thematisiert habe, dass ein jederzeitiger Widerruf möglich sein soll: möglicherweise trifft der Arbeitnehmer bereits eigene Dispositionen, etwa bei der Nutzung eines privaten Endgerät dahingehend, dass ein bestimmter Mobilfunk Tarif gewählt wird, der sonst nicht ausgewählt worden wäre. Macht insoweit Sinn, dass man sich zwar einen Widerrufs-oder Änderungsvorbehalt ausbedingt, hierbei dann aber entsprechende Fristen vorsieht, die Übergangszeiten ermöglichen, damit man sich nicht dem Vorwurf ausgesetzt sieht, keine Rücksicht auf die Dispositionen des Arbeitnehmers genommen zu haben. Es ist an dieser Stelle immer daran zu denken, dass ein gewisser Fairnessausgleich auf beiden Seiten stattfinden muss.
„Bring your own device“: Arbeitsrechtliches zu BYOD
Im Hinblick auf arbeitsrechtliche Regelungen ist zuvorderst klarzustellen, dass regelmäßig davon auszugehen sein wird, dass der Betriebsrat bei der gesamten Thematik „Bring your own device“ ein Mitbestimmungsrecht haben dürfte. Ob diesen konkret vorliegt und in welchem Umfang es besteht hängt sehr stark an den konkreten Fragen des Einzelfalls, grundsätzlich ist aber schon jetzt darauf hinzuweisen, dass man immer an ein solches Mitbestimmungsrecht denken wird.
Insbesondere bei folgenden Themen ist an ein solches Mitbestimmungsrecht zu denken: bei der Einrichtung und Ausgestaltung der Überwachung von Endgeräten, Zeitpunkt und Zeitraum der Einführung des BYOD und auch die Regelung der Art und Weise der Nutzung, etwa wenn im Ausland ein bestimmtes Nutzungsverhalten untersagt sein soll oder wenn Vorgaben gemacht werden sollen hinsichtlich der Frequenz des Abrufen von Nachrichten, etwa während Dienstreisen.
Eine schnell aus den Augen verlorene Thematik ist die Regelung der Arbeitszeit: Es liegt in der Natur der Sache, dass das Endgerät über die normale Arbeitszeit hinaus genutzt wird. Der Arbeitnehmer sollte insoweit angehalten werden, von sich aus darauf zu achten dass keine Überschreitung der arbeitszeitkleinsten Eintritt. Es kann auch sinnvoll sein, zu regeln, dass eine Überstundenvergütung nur dann anfällt, wenn über das Endgerät eine dienstbezogene Tätigkeit über die normale Arbeitszeit hinaus stattfindet, soweit dies vom Arbeitgeber auch veranlasst wurde bzw. angeordnet wurde.
Beendigungsszenario bei BYOD regeln
Ausdrücklich geregelt sollte auch sein, unter welchen Umständen die gesamte Regelung zum „Bring your own device“ ihr Ende findet. So könnte ein Kündigungsrecht vorgesehen sein oder direkt die gesamte Regelung von vornherein nur befristet zur Anwendung gelangen. Ein eindeutiger Kündigungsgrund sollte dabei sein, dass sich der Arbeitnehmer nicht an die getroffene Regelung hält, da in einem solchen Fall zur Vermeidung von Datenschutzverstößen dem Arbeitgeber die Möglichkeit der zeitnahen Beendigung der Vereinbarung offen stehen sollte.
Zustimmung zur Speicherung von Daten bei BYOD
Jedenfalls bei privaten Endgeräten ist daran zu denken, dass dieses im Eigentum des Arbeitnehmers steht und dann der Speicherung betrieblicher Daten hier eine eigene Relevanz zukommt. Hintergrund ist, dass jede Speicherung bereits eine Datenveränderung darstellt, die ohne Einwilligung zumindest theoretisch bereits einen Straftatbestand (§303a StGB) darstellen könnte. Vor dem Hintergrund macht es Sinn, nochmals ausdrücklich die Zustimmung zur Speicherung von betrieblichen Daten einzuholen und dabei zugleich verständlich und durchaus detailliert klarzustellen, in welcher Form und gegebenenfalls mit welcher Software die entsprechenden Daten wo in dem Endgerät gespeichert werden.
Eine zu pauschale Zustimmung dagegen, die ins Blaue hinein erklärt wird ohne dass die technischen Hintergründe zumindest nachvollziehbar dargestellt sind, könnte schnell als unwirksam zu betrachten sein. Diese ausdrückliche Zustimmung ist dann selbst verständlich auch notwendig, wenn zur Installation entsprechender Software eine wenn auch nur kurzzeitige Überlassung des Endgerätes an den Arbeitgeber notwendig sein sollte.
Quelle: NCSC, Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
BYOD: Mobile Device Management (MDM)
Es besteht im Bereich des „Bring your own device“ regelmäßig ein Bedarf nach einem sogenannten MDM. Dies ist aus Sicht des Arbeitgebers nicht nur nachzuvollziehen, sondern drängt sich geradezu auf. die Thematik ist allerdings äußerst sensibel und darf auf gar keinen Fall unterschätzt werden.
Sollten sich auf dem Endgerät gar keine privaten Daten befinden oder sollten private Daten und betriebliche Daten stringent getrennt sein und ein Zugriff auf die privaten Daten von vornherein ausgeschlossen sein, wäre dies die aus meiner Sicht sicherste Lösung und auch in jedem Fall anzustreben.
In jedem anderen Fall besteht die zumindest theoretische Möglichkeit des Zugriffs auf private Daten oder es muss sogar auf diese zugegriffen werden, alleine um sodann überhaupt erst die Unterscheidung zwischen privaten und betrieblichen Daten vornehmen zu können. Hier kann zwar durchaus auch mit einer Einwilligung bzw. Zustimmung gearbeitet werden, diese stößt aber sehr schnell an ihre Grenzen, wenn man nur alleine schon daran denkt, dass einem Arbeitnehmer vielleicht die Nutzung privater Mails erlaubt ist und im Zuge dessen dann Zugriff auf die Mails von Dritten auf dem Handy des Arbeitnehmers stattfindet. Aus meiner Sicht wäre ein derart problematisches Szenario im Idealfall immer zu vermeiden. Ich möchte dies an dieser Stelle nicht über Gebühr vertiefen, es sei aber grundsätzlich darauf hingewiesen, dass es für Arbeitgeber generell der einfachste Weg ist, die private Nutzung von E-Mails generell zu untersagen.
Am Rande sei an dieser Stelle darauf hingewiesen, dass in dem Fall, in dem eine SIM-karte nicht durch den Arbeitnehmer erworben wird, sondern durch den Arbeitgeber zur Verfügung gestellt wird, der Arbeitgeber dann als Telekommunikationsanbieter einzustufen wäre, was weitere Pflichten nach sich zieht. Da dies derzeit wohl nicht angedacht ist möchte ich dies an dieser Stelle nicht vertiefen, im konkreten Einzelfall sollte dies allerdings vertieft geklärt werden.
Ebenfalls vertraglich regeln sollte man, wie eine Löschung von Daten zu erfolgen hat. Dies sollte in der Nutzungsvereinbarung von Anfang an klar geregelt sein, wobei aus meiner Sicht in erster Linie immer zwei Wege in Betracht kommen: Entweder das Endgerät muss ausgehändigt werden damit es dann untersucht und entsprechende Daten gelöscht werden oder es ist eine Software mit einem Zugang von außen vorgesehen, über die der Arbeitgeber Löschungen vornehmen kann. Im einfachsten Fall ist auch hier wieder sichergestellt, dass in einem eigenen Bereich die Speicherung der Daten stattfindet, so das von Anfang an vertraglich nur das Löschen dieses Bereichs vorgesehen ist und der Zugangsweg klar in dem Sinne vereinbart ist, dass der Mitarbeiter Sorge zu tragen hat, dass der Zugang zum Endgerät durch den Arbeitgeber sichergestellt ist. Eine mangelnde vertragliche Vereinbarung hat gleich zwei schwerwiegende Konsequenzen: zum einen sind sie schon datenschutzrechtlich dazu verpflichtet, dafür Sorge zu tragen, dass erhobene Daten dann gelöscht werden, wenn sie nicht mehr benötigt werden. Damit ist zugleich auch sichergestellt, dass nicht dritte unberechtigt Kenntnis von diesen Daten erlangen und bei Ihnen möglicherweise irgendwelche Meldepflichten ausgelöst werden. Auf der anderen Seite ist das rechtswidrige Löschen von Daten in fremden Systemen eine eindeutige Straftat, wobei sich bei geeigneter Zustimmung die strafrechtliche Relevanz verhindern lässt. Gleich im mehrfachen Sinn liegt bis dahin ihrem Interesse, diesen Aspekt ausdrücklich und abschließend zu regeln.
Sicherung des eigenen Endgerätes im Rahmen des BYOD
Dem Arbeitnehmer sollten in der vertraglichen Vereinbarung grundsätzliche Pflichten auferlegt werden, wie das Endgerät zu sichern ist. Dies beginnt bei Standardmaßnahmen wie etwa einem Passwortschutz um auf das Gerät zuzugreifen, geht über allgemeine Hinweise zur Aufbewahrung des Gerätes bis hin zu Untersagung bestimmter Dienste, wie etwa international zugänglicher Cloud-Lösungen, bei denen der Ort der Speicherung der Daten nicht hinreichend sicher gestellt ist. Zu denken ist auch daran, dass beispielsweise auf mobilen Endgeräten die Installation bestimmter Apps untersagt wird, dies kann auch in der Form geschehen, dass bestimmte Kategorien von Apps, umschrieben durch eine Funktionsbeschreibung, untersagt werden.
Meldepflichten des Arbeitnehmers regeln
In der Nutzungsvereinbarung sollte in jedem Fall geregelt sein, welche Meldepflichten den Arbeitnehmer treffen. So sollte er in jedem Fall dazu angehalten sein, zwingend und unverzüglich den Verlust des gesamten Endgerätes dem Arbeitgeber melden zu müssen. Auch darüber hinaus könnten Meldepflichten sinnvoll sein, etwa wenn der Arbeitnehmer feststellt, dass bestimmte und in der Nutzungsvereinbarung notwendig vorgesehene Dienste nicht oder nicht zuverlässig arbeiten.
BYOD: Haftung bei Verlust des Endgerätes
Abschließend ist daran zu erinnern, dass absehbar gerade bei einer hohen Anzahl von Mitarbeitern hin und wieder der Fall auftreten wird, dass ein Endgerät verloren geht, beschädigt wird oder gar zerstört wird. Diese Thematik wird unliebsam sein, sollte aber in jedem Fall zwingend zwischen Arbeitgeber und Arbeitnehmer mit klaren Kriterien wer unter welchen Umständen für den Schaden einzustehen hat, im Rahmen des „Bring your own device“ geregelt sein.
Ich möchte, unter Rückgriff auf die Rechtsprechung zur Nutzung eines Dienst-PKW bzw. eines vom Arbeitgeber auch für private Zwecke überlassenen PKW, die sich insoweit aus meiner Sicht ergebende Rechtsprechung sehr kurz wie folgt zusammenfassen: wenn der Verlust durch Einwirkung des Arbeitgebers entstanden ist oder im Rahmen betrieblicher Veranlassung auftritt, wird man grundsätzlich von einer Haftung des Arbeitgebers ausgehen können. Wenn dagegen alleine das allgemeine Lebensrisiko des Arbeitnehmers Ursache war dürfte von keiner Haftung des Arbeitgebers auszugehen sein. Bei der Bemessung der Risikosphären sollte man nicht alleine darauf abstellen, ob ein Verlust oder Ähnliches während der Arbeitszeit aufgetreten ist, sondern es ist schon konkret zu prüfen, ob es sich im Rahmen betrieblicher Veranlassung ereignet hat. In jedem Fall sollte die Arbeitgeberhaftung für solche Fälle dann ausgeschlossen sein, wenn Verlust oder Ähnliches durch den Arbeitnehmer durch grobe Fahrlässigkeit oder Vorsatz herbeigeführt wurden.
Eine Klausel zur Haftung in diesen Fällen sollte sich an diesen Grundsätzen orientieren. Wenn man eine pauschale Lösung sucht dürfte es vertraglich wohl ohne Bedenken sein, wenn der Arbeitgeber dem Arbeitnehmer gegenüber erklärt, bei Verlust etc. grundsätzlich für eine Ersatzbeschaffung einzustehen. Hierbei sollte gleichwohl allerdings schon aus Gründen der Fairness zumindest der Vorsatz, wenn nicht auch die grobe Fahrlässigkeit, ausgeschlossen sein. Andersherum ist es eher schwierig bis ausgeschlossen, dem Arbeitnehmer pauschal das gesamte Risiko eines Verlustes etc. aufzubürden. Aus meiner Sicht wäre dies allenfalls dann denkbar, wenn dem Arbeitnehmer hierbei eine Risikozulage oder ähnliches zugewendet wird.
Veröffentlicht am | Strafverteidiger im Raum Aachen & Heinsberg
Das Arbeitsgericht Heilbronn (8 BV 6/16) hat entschieden, dass dem Betriebsrat kein Mitbestimmungsrecht hinsichtlich des Angebots einer App mit Feedback-Funktion zukommt:
Eine vom Arbeitgeber betriebene Smartphone-Applikation, die es den Nutzern ermöglicht, ein Kundenfeedback abzugeben, das auch Angaben zu Leistung und Verhalten der Mitarbeiter enthalten könnte, ist keine technische Überwachungseinrichtung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG, wenn der Arbeitgeber weder zur Abgabe derartiger Angaben auffordert, noch diese programmgemäß technisch weiterverarbeitet.
Eine im Kern selbständige Erhebung von Daten iSv § 87 Abs. 1 Nr. 6 BetrVG durch eine technische Einrichtung ist dann nicht gegeben, wenn diese Daten der Einrichtung durch Dritte ohne eigenes Zutun – insbesondere ohne hierauf gerichtete Aufforderung der Kunden durch den Arbeitgeber – zuwachsen.
Eine programmgemäße technische Datenverarbeitung ist nicht gegeben, wenn die bei der technischen Einrichtung eingehenden Daten anschließend ausschließlich manuell selektiert und an die Stellen weitergeleitet werden, für die die Informationen bestimmt sind. Anders kann dies dann beurteilt werden, wenn die eingehenden Daten durch die technische Einrichtung mittels einer eigenen Auswertungssoftware weiterverarbeitet werden können.
