Der LfDI gibt Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) fest.
Lesen Sie hier die entsprechende Orientierungshilfe zu Schrems II .
Viele Kundinnen und Kunden von Baumärkten, Supermärkten oder Einkaufszentren, die auf dem angrenzenden Parkplatz parken, sind im Glauben, sie würden kostenfrei parken. Das kann teuer werden! Denn viele augenscheinlich marktzugehörigen Parkplätze werden von privaten Unternehmen betrieben, die für rechtswidrig abgestellte Fahrzeuge – bspw. einer fehlenden oder abgelaufenen Parkscheibe – Strafzettel ausstellen. Hierbei werden nicht selten Forderungen von 30 oder 40 Euro aufgerufen, die sich empfindlich erhöhen, sollte der Fahrzeughalter nicht innerhalb von zwei Wochen zahlen. Doch häufig ist das Vorgehen der Unternehmen unzulässig. Daher rät der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, auf Folgendes zu achten:
1. Haben Sie als Fahrzeughalter*in den Wagen selbst geparkt?
Stellt ein Park-Kontroll-Unternehmen fest, dass Ihr Fahrzeug widerrechtlich auf dem Gelände parkt, erhalten Sie als Fahrzeughalter*in ein Schreiben, in dem Sie zur Zahlung einer Strafgebühr aufgefordert werden. Hierbei geht der Parkplatzbetreiber davon aus, dass Sie selbst den Wagen geparkt haben – denn nur so wäre die Forderung einer Strafzahlung rechtskonform. Sollten Sie also gar nicht gefahren sein, liegt auch kein Vertragsschluss zwischen Ihnen und dem Parkplatzunternehmen vor, auf dessen Grundlage eine Strafe erhoben werden könnte. Dies sieht auch der Bundesgerichtshof so. Sollten Sie also nicht selbst den Wagen geparkt haben, können Sie hierfür auch nicht belangt werden.
2. Ist der Datenverarbeitungszweck in der Datenschutzerklärung korrekt angegeben?
In dem Schreiben mit der geforderten Strafzahlung verweist das Parkplatz-Kontroll-Unternehmen auch auf ihre Datenschutzerklärung, in der zumeist als Zweck der Datenverarbeitung angegeben wird, Sie als Fahrzeughalter*in wegen des Parkverstoßes belangen zu können. Wenn sich das Unternehmen jedoch gar nicht sicher ist, dass Sie es waren, die/der falsch geparkt hat, dann können Ihre Daten ja auch nicht zu diesem Zweck verarbeitet werden. Hier liegt also ein DS-GVO-Verstoß vor.
Der Parkplatzbetreiber darf Sie jedoch dazu auffordern, bei der Ermittlung des rechtswidrig Parkenden behilflich zu sein und Sie um Auskunft bitten, wer als Fahrer*in in Betracht kommt. Hierauf müssen Sie reagieren, sonst ist das Unternehmen berechtigt, seine Forderung an Sie als Fahrzeughalter*in richten. In der Datenschutzerklärung des Parkplatz-Unternehmens sollte als Zweck der Datenverarbeitung folglich angegeben sein, dass diese zum Zweck der Ermittlung des Falschparkers erfolgt ist.
Was folgt daraus für Sie?
Sollte weder ein widerrechtliches Parken Ihrerseits noch eine DS-GVO-konforme Schuldnerermittlung vorliegen, müssen Sie als Fahrzeughalter*in weder der geforderten Zahlung nachkommen noch auf Mahnungen reagieren – auch nicht von Inkasso-Unternehmen. Vielmehr dürften die ermittelten Daten der Fahrzeughalterin/des Fahrzeughalters unter diesen Umständen gar nicht an ein Inkasso-Unternehmen weitergeleitet werden.
Hinweis: Um dem Ärger zu entgehen, werfen Sie beim Aussteigen aus dem Auto einfach einen Blick über den Parkplatz. Wenn der Parkplatz von einem externen Unternehmen geführt wird, sind in Sichtweite Hinweisschilder angebracht, die auf die geltende Parkplatzordnung hinweisen.
Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:
Auch wenn der EuGH in seiner Entscheidung an verschiedenen Stellen die vorrangige Verantwortung des Übermittlers von personenbezogenen Daten und des Empfängers betonte, hat er auch den Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten.
Nach dem Urteil des EuGH hat der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 zentrale Fragen und Antworten (FAQ) zur Umsetzung des Urteils veröffentlicht. Die DSK befürwortet die Positionierung des Europäischen Datenschutzausschusses. Der englische Text der FAQ ist auf der Webseite des Europäischen Datenschutzausschusses unter https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de zu finden.
Die Webseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kann hier abgerufen werden.
Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.07.2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber verbindet mit dem heutigen Urteil des Europäischen Gerichtshofes (EuGH) zum internationalen Datentransfer eine Stärkung der Rechte der Betroffenen: „Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat. Bei der Umstellung werden wir selbstverständlich intensiv beraten.“
Der BfDI wird sich bereits morgen mit seinen europäischen Kolleginnen und Kollegen abstimmen: „Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen.“
Der EuGH schafft mit seiner Entscheidung einen klareren Rahmen für den internationalen Datenverkehr mit der Europäischen Union. Dabei stellt er hohe Anforderungen an die besonderen Schutzmaßnahmen wie etwa Standardvertragsklauseln, die Unternehmen und Behörden ergreifen und Aufsichtsbehörden kontrollieren müssen. Der BfDI wird nach Veröffentlichung des gesamten Urteils und den Beratungen im Europäischen Datenschutzausschuss eine weitere Stellungnahme abgeben. Dabei wird es insbesondere um die Überarbeitung der Standardvertragsklauseln durch die Europäische Kommission, als auch um die Notwendigkeit der USA, die Gewährleistung der Grundrechte der europäischen Bevölkerung der von US-Staatsangehörigen gleichzustellen, gehen.
Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.
Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.
Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.
Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.
Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.
Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.
„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.
E-Mail ist neben dem World Wide Web ein wichtiger Internetdienst, nicht zuletzt, weil es durch E-Mails möglich ist, Textnachrichten ebenso wie digitale Dokumente (also z. B. Grafiken oder Office-Dokumente) typischerweise in wenigen Sekunden rund um die Erde zu senden. Ihren Siegeszug trat die E-Mail bereits in dem Jahre 1984 an und ihre Beliebtheit hält trotz diverser Messenger und Sozialer Dienste weiter an.
Insbesondere wenn mit der E-Mail personenbezo-gene Daten übermittelt werden (über die ohnehin vorhandenen Metadaten des Versenders hinaus), existieren auch datenschutzrechtliche Anforderun-gen, die insbesondere Verantwortliche und Auftragsverarbeiter beachten müssen. Sie sind gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinrei-chend zu mindern.
Das betrifft auch Risiken, die durch die Übermittlung personenbezogener Daten per E-Mail entstehen. Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus letzteren Informationen über natürliche Personen ableiten lassen.
Sowohl Transportverschlüsselung als auch Ende-zu-Ende-Verschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten. Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Der durchgreifendste Schutz der Inhaltsdaten wird hingegen durch Ende-zu-Ende-Verschlüsselung erreicht. Verantwortliche müssen beide Verfahren in der Abwägung der not-wendigen Maßnahmen berücksichtigen. In einer von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mehrheitlich verabschiedeten Orientierungshilfe werden die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten erläutert.
Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder
Die Corona-Pandemie hat dafür gesorgt, dass das Thema Homeoffice auch bei Unternehmen, die sich bislang nicht intensiv damit beschäf-tigt haben, in den Vordergrund gerückt ist. Im „Normalfall“ stellt sich die Einrichtung eines Home-Office-Arbeitsplatzes als eine wohlüber-legte und gut geplante Maßnahme dar. Damit auch im Falle einer pandemiebedingten, schnelleren Umsetzung der Verlagerung der Datenschutz am heimischen Arbeitsplatz nicht auf der Strecke bleibt, haben auch Datenschutz-Aufsichtsbehörden eine ganze Reihe von Leitfäden veröffentlicht, so bspw. Das ULD oder auch der BfDI.
Die aktuellste Veröffentlichung kommt von dem BayLDA in Form eines „Selbst-Check: Datenschutzrechtliche Regelungen bei Homeoffice“.
Das BayLDA möchte mit seiner Handreichung einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Im Sinne einer gezielten Prävention von Datenschutzverstößen soll damit im momen-tanen „neuen Alltag“ eine gesteigerte Sensibilisierung für dieses Thema erreicht und mit konkreten Prüffragen der eigene Stand der Umsetzung unterstützt werden, so das BayLDA.
Die aufgeführten Prüfpunkte sieht das BayLDA nicht als abschließend an, sondern stellt einen Best-Practice-Ansatz dar, der beispielsweise von seiten der Geschäftsführung oder des Datenschutzbeauftragten im Sinne einer Soll-Ist-Überprüfung verwendet werden kann. Eine gut sortierte Sammlung zum Thema Datenschutz und Home-Office bietet die GDD mit weiteren nützlichen Links zum Thema.
Positionspapier gibt Handlungsempfehlungen aus Praxisperspektive
Anlässlich der ersten Evaluierung der am 25.05.2018 anwendbar gewordenen Datenschutz-Grundverordnung (DSGVO) spricht sich der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. für eine Entlastung kleiner und mittelständischer Unternehmen aus. In einem Positionspapier fordert der Verband einen Abbau von Bürokratie durch stärkere Einbindung des Datenschutzbeauftragten (DSB). Denn durch die DSGVO begründete Bürokratie ergibt sich nicht durch die Benennung des DSB, sondern aufgrund der hiervon unabhängig bestehenden und bußgeldbewehrten umfassenden Organisations- und Dokumentationspflichten der DSGVO. Die Einbindung des DSB führt daher zu einer Entlastung des Mittelstands.
Die in Berlin vorgestellte Corona-Warn-App ist aus Sicht des Landesdatenschutzbeauftragten Dieter Kugelmann „datenschutzrechtlich okay“
Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 16.06.2020
Die heute in Berlin vorgestellte Corona-Warn-App ist aus Sicht des Landesdatenschutzbeauftragten Dieter Kugelmann „datenschutzrechtlich okay“. „Das Herunterladen und das Nutzen der App ist freiwillig, und die gesammelten Daten werden dezentral auf den einzelnen Smartphones gespeichert. Diese beiden Prinzipien haben aus Datenschutz-Sicht eine immens große Bedeutung“, sagt Professor Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI). „Die App ist aus der Datenschutz-Perspektive in Ordnung. Man kann sie sich guten Gewissens herunterladen. Ob sie tauglich ist, ist eine Frage des Gesundheitsschutzes. Allerdings darf die App nicht zur Dauerlösung werden: Wenn die Corona-Pandemie besiegt ist, sollte die App der Vergangenheit angehören und nicht mehr auf den Smartphones aktiviert sein.“
Kugelmann sagt weiter: „Jede Bürgerin und jeder Bürger sollte sich aber bewusst machen, dass die neu auf den Smartphones gesammelten Daten, etwa Informationen zu Covid 19-Erkrankungen, das Ziel von kriminellen Hacker-Angriffen werden könnten. Jede und Jeder sollte daher überlegen, auf seinem Smartphone eine Anti-Virus-Software zu installieren. Die meisten Menschen achten auf ihren Computern darauf, ein aktuelles Viren-Schutz-Programm installiert zu haben. Auf dem Smartphone, auf dem viele Menschen sensible Daten eingeben und speichern, sollte dieses auch selbstverständlich werden.“
„Die ursprünglichen Pläne zur Corona-Warn-App waren aus Datenschutz-Sicht furchterregend“, sagt Kugelmann. „Es ist ein großer Erfolg für die Datenschützer der Länder und des Bundes, dass die App nun anders konzipiert wurde. Neben der dezentralen Speicherung und Anonymisierung der Kontaktdaten wird auf die Erhebung von Standortdaten verzichtet. Auch die Entwicklung des Programmcodes erfolgte transparent. Zudem werden die Daten nach zwei Wochen gelöscht. Es ist allerdings sehr wichtig, dass das Freiwilligkeits-Prinzip der App nicht Schritt für Schritt ausgehöhlt wird: Es darf nicht passieren, dass etwa Gaststättenbetreiber, Konzertveranstalter oder private Busunternehmer irgendwann sagen: ‚Wir akzeptieren nur Kunden und Gäste, die die App heruntergeladen haben‘.“
Der Datenschutzbeauftragte sagt: „Mit der nun vorliegenden App werden – so meine erste Bewertung – die Freiheitsrechte geachtet. Auch während der Pandemie dürfen wir nicht vorschnell Freiheitsrechte aufgeben, erst recht nicht, wenn es dem effektiven Gesundheitsschutz gar nicht dient oder nicht angemessen ist. Es besteht kein Zweifel, dass die Bekämpfung der Pandemie weiterhin Priorität genießen muss. Dies muss aber in einem rechtsstaatlichen Rahmen geschehen, damit die staatliche Ordnung nicht erodiert.“
Das Landesarbeitsgericht (LAG) Köln entschied mit seinem Urteil vom 07.02.2020 (aSa 329/19), dass eine außerordentliche Kündigung aufgrund umfangreicher privater Internetnutzung während der Arbeitszeit trotz Verbot gerechtfertigt ist.
Der Kläger war als einziger Mitarbeiter bei der Beklagten, ein Unternehmen, das im Bereich Webdesign, Social Media und Online-Marketing tätig war, angestellt.
Vertraglich vereinbart war, dass die von der Beklagten zur Verfügung gestellte IT-Infrastruktur nicht zu privaten Zwecken benutzt werden durfte. Es stellte sich heraus, dass der Kläger an mehreren Tagen und über Monate hinweg regelmäßig das Internet und den betrieblichen E-Mail-Account zu privaten Zwecken nutzte. Daraufhin kündigte die Beklagte dem Kläger fristlos. Gegen diese Kündigung zog der Arbeitnehmer vor Gericht. Das LAG Köln lehnte nun die Revision des Arbeitnehmers und Klägers als unbegründet ab und beurteilte damit die Kündigung für wirksam.
Als Nachweise hatte die Beklagte vor Gericht, Inhalte aus den E-Mail-Verläufen auf dem dienstlichen Laptop und dem Browser-Cache vorgebracht. Dahingehend unterstellte der Kläger der Beklagten „massive Datenverstöße“. Durch die Vorlage der Beweise stellte sich das LAG Köln die Frage, ob die Beklagte die Daten überhaupt speichern durfte oder ob ein Beweisverwertungsverbot gegeben war.
Im Ergebnis bejahte das LAG Köln die Verwendung der Informationen und führte dazu folgendes aus:
„Einer prozessualen Verwertung der Inhalte der E-Mails auf dem dienstlichen Laptop und der Einträge in den Log-Dateien der Internet-Browser steht auch kein sog. prozessuales Verwertungsverbot (…) entgegen. Rn. 128
Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers ein (1. Stufe), das – jedenfalls außerhalb des unantastbaren Kernbereich privater Lebensführung – nicht schrankenlos gewährleistet wird, überwiegt bei einer Güterabwägung das Interesse des Arbeitgebers an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Umstände auf Seiten des Arbeitgebers hinzutreten (2. Stufe).“ Rn. 94
Da die vorliegend streitgegenständlichen Speichervorgänge noch vor Inkrafttreten der DSGVO und des BDSG-nF passierten, beruht diese Entscheidung noch auf der alten Rechtslage. Allerdings hat diese Entscheidung auch nach aktuellem Datenschutzrecht noch Bestand. Denn der § 26 BDSG-nF, in der die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis geregelt ist, entspricht weitestgehend der alten Regelung in § 32 BDSG-aF und wurde in der Entscheidung zusätzlich zitiert.
Das Gericht führte weiter an, dass die Verarbeitung der Browser-Verlaufsdaten und der E-Mails auf Grundlage von § 32 Abs. 1 BDSG aF / § 26 Abs. 1 BDSG nF zulässig sei:
„Vorliegend gestattet § 32 Abs. 1 BDSG aF / § 26 Abs. 1 BDSG nF der Beklagten sowohl Erhebung und Verarbeitung (Speicherung) der bei Internetnutzung entstehenden Verlaufsdaten in der Browserchronik und der E-Mails, als auch deren spätere Nutzung (Auswertung), auch im vorliegenden Prozess.
Hiernach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist.
Dass die Beklagte die ausgewerteten personenbezogenen Daten im Kündigungsschutzprozess auch als Beweismittel nutzen wollte, diente zudem der Beendigung des Beschäftigungsverhältnisses “
Dass der Kläger bei der Auswertung nicht hinzugezogen wurde, sei dabei unerheblich. Zwar erhöhe die Heimlichkeit einer in Grundrechte eingreifenden Maßnahme typischerweise das Gewicht der Freiheitsbeeinträchtigung, so heißt es in einer Urteilsbegründung des BAG. Demzufolge sei eine in Anwesenheit des Klägers durchgeführte Schrankkontrolle gegenüber einer heimlichen Durchsuchung das mildere Mittel, da die Kontrolle in seinem Beisein dem Kläger die Möglichkeit gebe, auf die Art und Weise der Durchführung Einfluss zu nehmen.
Im vorliegenden Fall stelle eine in Anwesenheit des Klägers durchgeführte Auswertung der Log-Dateien der Internet-Browser sowie der E-Mails jedoch kein milderes Mittel gegenüber der ohne Hinzuziehung des Klägers erfolgenden Auswertung dar. Die Art und Weise der Auswertung wäre auch bei Anwesenheit des Klägers keine andere gewesen, so führte das Gericht weiter aus.
Besteht also ein ausdrückliches Verbot für die private Internetnutzung während der Arbeitszeit, stellt eine Zuwiderhandlung einen Verstoß gegen die arbeitsvertraglichen Pflichten dar. In diesem Zusammenhang sollten sich Unternehmen verdeutlichen, welche Folgen es haben kann, wenn die betriebliche Internet- und E-Mailnutzung nicht klar geregelt ist. Sofern nichts geregelt ist oder eine Privatnutzung sogar erlaubt ist, kann eine Protokollierung wie sie in diesem Fall erfolgt ist, schnell zu einem Datenschutz-Problem werden.
Auch bei einer Erlaubnis der Privatnutzung sind ebenfalls klare Regeln nötig, um den dienstlichen Datenverkehr im Rahmen der datenschutzrechtlichen Möglichkeiten überwachen zu können. In jedem Fall ist dazu geraten, die Privatnutzung der IT-Systeme zu regeln, sei es durch ein ausdrückliches Verbot oder eine Erlaubnis. Bei der Formulierung einer solchen Richtlinie sollte der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat einbezogen werden.
Um den Blog als RSS-Feed zu abonieren, nutzen Sie bitte den Link
https://buscon.de/feed/
Jürgen Schmidt
Hohe Eichen 10
91207 Lauf
T: 09123-789630
* Datenschutz
* Informationssicherheit
* Externer Datenschutzbeauftragter
* Datenschutzaudits
* Risiko-Check nach DIN SPEC 27076
* TISAX Beratung und Audits
* ISMS-Beauftragter nach ISO 27001
* ISMS-Auditor nach ISO 27001
