| Praxisfälle und „Datenschutzklassiker“ im Alltag

Einsichtnahme in E-Mails & Internetprotokolle am Arbeitsplatz

Im Bereich der Einsichtnahme in E-Mails bzw.  Internetprotokolle am Arbeitsplatz bestehen oftmals unzureichende Regelungen. Die Fernwartung durch Dritte ist hier nur eine Herausforderung. Verstöße bei Urlaubsvertretung sowie ungeplante Abwesenheit von Mitarbeitern die deutlich größere. Probleme bei Ausscheiden und Freistellung von Mitarbeitern führen regelmäßig zu „Spannungsfeldern“ und Datenschutzverstößen.

Nutzung von Internet und E-Mail am Arbeitsplatz

Die Frage wird derzeit in vielen Unternehmen insbesondere am Beispiel des Internets sowie des E-Mail-Systems kontrovers diskutiert. Es gibt ein Arbeitsgerichtsurteil, dass auch bei einem nicht ausdrücklichen Verbot der Privatnutzung auch von nachweislich mehr als 15 Minuten am Tag Surfens auf Pornoseiten die fristlose Kündigung zulässig ist (BAG Erfuhrt).

Genauso, wie man Mitarbeitern kaum verbieten kann, währen der Arbeitszeit privat mit Kollegen zu kommunizieren, so wird auch ein Verbot der privaten Nutzung des Internets sowie des E-Mail-Dienstes kaum wirklich umsetzbar sein. Zudem die Nutzung mittlerweile die Qualität des Arbeitens verbessert und es damit für den Arbeitnehmer eine verdeckte Gehaltskomponente darstellt, die dem Arbeitgeber keine weiteren Kosten verursacht. Das große Risiko, das ein Arbeitgeber in diesem Zusammenhang eingeht, ist, dass sich trotz Verbots eine „betriebliche Übung“ einschleicht, die vom Arbeitgeber geduldet wird. Eine solche Duldung kommt einer Erlaubnis gleich. Der Arbeitgeber wird genau damit gegenüber den Mitarbeitern zum Telekommunikationsdienstleister, der Mitarbeiter wird zum Kunden.

Dies führt jedoch dazu, dass die Protokollierungen und die Kontrollen weitgehend unrechtmäßig werden. In letzter Konsequenz läuft der Arbeitgeber Gefahr, dass eine Kontrolle als Verstoß gegen das Fernmeldegeheimnis nach § 88 Telekommunikationsgesetz (TKG) i.V. mit § 206 StGB eingeordnet wird (heißt bis zu fünf Jahren Freiheitsstrafe!). Gleichzeitig werden Vertreterregelungen bei E-Mails, der Zugriff auf Daten bei ungeplanter Abwesenheit des Mitarbeiters oder nach dessen Ausscheiden oder sogar vor seiner Einstellung sowie die Anwendung von SPAM-Filtern unmöglich, zumindest aber erschwert.

Dem Arbeitgeber stehen hier zwei Möglichkeiten zur Verfügung:

1. Private Nutzung verbieten: Das ist zweifelsohne die rechtlich einfachste, aber im Sinne der Arbeitsplatzbeliebtheit die meist weit „ungeliebtere“ Variante. Der Arbeitgeber umgeht damit die Grenze den Fernmeldegeheimnisses und des Bundesdatenschutzgesetzes, da es im Unternehmen formal keine private Information mehr gibt und darf damit kontrollieren und protokollieren, wie es ihm beliebt. Bleiben allerdings die Sanktionen gegenüber den Mitarbeitern aus, kann sich eine „betriebliche Übung“ entwickeln, die einer Erlaubnis gleichkommt. Das Problem ist damit, obwohl es vordergründig gelöst ist, in seinem Kern noch existent.

2. Damit bietet sich die Möglichkeit an, dem Mitarbeiter die private Nutzung von Internet und Email zu erlauben, sie aber für beide Seiten dann fair zu regeln. Der Arbeitgeber muss seine Kontroll- und Überwachungsaktivitäten einschränken, der Mitarbeiter im Gegenzug seine private Kommunikation gesondert kennzeichnen. Einwilligungen zur Protokollierung müssen in Arbeitsverträgen oder Betriebsvereinbarungen gesondert geregelt werden.

Auch wenn sie nicht selber, sondern nur Netzwerkadministratoren oder IT-Leiter private Emails auf dem Server oder Webprotokolle über die privaten Zugriffe der Mitarbeiter lesen, sind Vorstände und Geschäftsführer im Rahmen des Organisationsverschulden in der Haftung des „fünfjährigen“ § 206 StGB

Das Problem, was bei Internet und Emailnutzung auftritt, gilt analog auch für weitere Stellen im Unternehmen, wie den Einzelverbindungsnachweis von Diensthandys, die Protokolldateien der Telefonanlage oder PC-Faxen und Fax-Servern.

Ein häufig ignoriertes Problem ist die private Nutzung des PC, des Netzwerks oder z.B. eines Laptop zur Erstellung, Verarbeitung oder Speicherung privater Dokumente. Insbesondere wird der „persönliche Ordner“ auf dem Serverlaufwerk von Mitarbeitern häufig so verstanden, dass dieser für private Zwecke vorgesehen sei. Dem ist i.d.R. nicht so. Auch hier stellt sich die Frage, ob ein absolutes Verbot durchsetzbar ist oder eine geringfügige Privatnutzung nicht evtl. doch gestattet werden sollte. Da das TKG und damit das Fernmeldegeheimnis je nach Sachverhalt auch durchaus privat gespeicherte Daten auf dem PC oder Serverlaufwerk erfassen kann, ist die Problematik vergleichbar zu den bereits oben beschriebenen Sachverhalten.

Ob nun ein absolutes Verbot einer privaten Nutzung ausgesprochen und auch tatsächlich gelebt oder eine geringfügige Privatnutzung erlaubt wird,  ist eine geschäftspolitische Entscheidung. Die Geschäftsleitung muss sich bei einem absoluten Verbot allerdings bewusst sein, dass für den Fall einer entgegenstehenden betrieblichen Übung eine Menge Personalrechtlicher und organisatorischer Probleme entstehen können.

Auch wenn es sich hier vordergründig um Unternehmerische Nebenkriegsschauplätze handelt, sind Unternehmen an diesen Achillesfersen erpressbar, wenn personalrechtliche Probleme auf anderen Gebieten virulent sind.

Die DATA_ ELEMENTS sichert Sie hier durch den Entwurf von Betriebsvereinbarungen, Ergänzungen zu Arbeitsverträgen und der rechtlichen Umsetzung dieser Problematik in der IT-Struktur ab.

Risiken im Rahmen mobiler Sicherheit (BYOD & Co.)

Das Smartphone ist ständig mit dem Internet verbunden und deshalb ein einfaches Ziel für Hacker und Malware. Auch die zunehmende Nutzung von Cloud-Diensten birgt neue Herausforderungen bezüglich der Privatsphäre: Mehr und mehr private Daten werden heute von Drittparteien verwaltet, so dass die Nutzer die Übersicht und die Kontrolle über ihre Daten verlieren.

Für IT-Abteilungen in Unternehmen bringt die zunehmende Nutzung von Mobilgeräten neue Probleme mit sich. Eine der größten aktuellen Herausforderungen für die IT-Branche ist zweifelsfrei das Problem des Bring-Your-Own-Device (BYOD). In einer angemessenen BYOD-Strategie müssen nicht nur die massiven technischen Herausforderungen berücksichtigt werden, sondern auch Datenschutz- und Compliancefragen.

Diese werden von vielen Unternehmen leicht übersehen, da die Probleme, wie beispielsweise die Haftung für die Offenlegung oder den Verlust persönlicher Daten über vom Unternehmen verwaltete Geräte, immer noch von Land zu Land unterschiedlich sind; sie gelten in vielen Fällen als Teil der Grauzone aktueller Gesetze und Verordnungen.

Diese Verordnungen verändern sich jedoch, und um auf der sicheren Seite zu bleiben, sollten Unternehmen die rechtlichen Aspekte ihrer Richtlinien zu Mobilgeräten stets sorgfältig evaluieren und behandeln, denn: Ein einziger Fehler kann Sie ein Vermögen kosten. DATA_ELEMENTS verfügt auch in diesem Bereich über langjährige Expertise und macht Sie sicher.

Herunterladen dienstlich nicht gestatteter Daten (mp3 & Co.)

Das herunterladen von in der Dienstvereinbarung nicht erlaubten Daten (z.B. pornografischer Dateien, Musik- oder Videofiles, mp3, etc.) auf den dienstlichen PC, rechtfertigt die ordentliche Kündigung auch ohne vorherige Abmahnung. Aktenzeichen 2 Ca 5340/01.

Vorabkontrollen bei automatisierter Datenerhebung

Der Personalchef findet einen Mitarbeiter über eine Suchmaschine in einem speziellen Internetforum, liest dort etwas, was er nicht lesen sollte, und die Geschichte nimmt ihren Lauf. Irgendwann meldet sich der Betroffene bei Ihnen.

Sie verfügen als Unternehmen über ein Portal mit einem Login-Bereich, über den sich Ihre Kunden über das Internet anmelden können. Solche „Verfahren automatisierter Verarbeitung“ sind nach DSGVO u.U. vor ihrer Inbetriebnahme der Aufsichtsbehörde zu melden, bzw. iSd Art. 35 DSGVO einer Datenschutz-Folgeabschätzung zu unterziehen.

Die Regelung ist sinnvoll, weil automatisierte Systeme besondere Risiken für die Rechte und Freiheiten der Betroffenen bergen. Viele Online-Foren erlauben es, die Persönlichkeit, Fähigkeiten, Leistungen und manchmal Verhaltensweisen der Teilnehmer einzusehen.

Was bei Online-Plattformen kritisch ist, gilt auch im Stillen für betriebsinterne Software zur Verarbeitung Ihrer Kunden- oder Mitarbeiterstammdaten.

Die angesprochene Meldepflicht entfällt, wenn Sie der Bestellung eines Datenschutzbeauftragten nachgekommen sind. Mit einem Datenschutzbeauftragten der DATA_ ELEMENTS sind Sie nicht nur formal von der Meldepflicht befreit, sondern haben auch die Gewissheit, dass alle anderen Aspekte wie Einwilligung des Anwenders, Steuerung der Nutzergruppen und der Zugriff durch Externe auf Ihre Daten gesetzeskonform abgebildet werden.

Kündigung wegen Datenmissbrauchs (Passwort & Co.)

Bringt sich ein Arbeitnehmer unerlaubt in den Besitz von User-ID und Zugangscodes (z.B. von einem Vorgesetzten) so kann dies zu außerordentlichen Kündigungen führen. Aktenzeichen 10 Ca 250/01. Auch die Weitergabe des Passworts an einen Arbeitskollegen stellt einen Datenschutzverstoß dar und kann zu disziplinarischen und/oder arbeitsrechtlichen Maßnahmen führen.

Das nicht zustellen von E-Mails / Problem: was ist SPAM?

Das unterdrücken und direkte löschen von E-Mails kann strafbar sein. Erwartet ein Mitarbeiter eine E-Mail und erhält diese nicht, weil sie vom Unternehmen technisch unterdrückt wird, so kann Strafbarkeit (§§ 206, 303a StGB) entstehen. Des Unternehmens und des Administrators.

Lizenzen & Software Asset Management

Ein IT-Administrator kann wegen Lizenzverstößen zu einer Bewährungsstrafe verurteilt werden. Das Unternehmen wiederum muß Lizenzgebühren und Schadensersatz in Höhe von rund 200.000 Euro zahlen.

1und0Hintergr