5
Okt
2017
Legal

BAG zu Keylogger: Urteilsgründe veröffentlicht – Leitlinien für zulässige Kontrollen

Bereits Ende Juli hat das Bundesarbeitsgericht (BAG) in einer vielbeachteten Entscheidung festgestellt, dass der Einsatz eines Software-Keyloggers durch den Arbeitgeber rechtswidrig ist, wenn kein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder anderen schwerwiegenden Pflichtverletzung besteht (2 AZR 681/16). Jetzt hat das BAG die vollständigen Urteilsgründe veröffentlicht, die Sie hier abrufen können. » Lesen Sie mehr

9
Sep
2017
Europa
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EGMR macht Vorgaben zum Beschäftigtendatenschutz bei der Kontrolle von Mitarbeitern

Der Europäischer Gerichtshof für Menschenrechte (EGMR) hat in einer aktuellen Entscheidung neue Vorgaben dazu gemacht, welche Kontrollen von Mitarbeitern rechtlich zulässig sind und welche Vorgaben Arbeitgeber hierbei berücksichtigen müssen. Dabei greift der EGMR bereits Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) auf und setzt Maßstäbe, die Unternehmen bei der Überwachung von Beschäftigten in den kommenden Jahren beachten müssen. Gerade in Bezug auf die vom Arbeitgeber zu gewährleistende Transparenz bei Kontrollmaßnahmen macht der EGMR strenge Vorgaben. Diese entsprechen im Wesentlichen den aktuellen Anforderungen des Bundesarbeitsgerichts. Im Einzelnen sollten Arbeitgeber Folgendes beachten: 

  • Datenschutzerklärungen: Die Entscheidung zeigt nachdrücklich die Bedeutung transparenter Datenverarbeitungen im Beschäftigungskontext auf. Der EGMR befand, dass es den nationalen Gerichten nicht gelungen war, festzustellen, ob der Kläger von seinem Arbeitgeber vorab angemessen informiert worden war. Hierdurch wird die Notwendigkeit adäquater Datenschutzerklärungen deutlich. Wollen Arbeitgeber Überwachungsmaßnahmen, welche im Einklang mit EU-Recht stehen, einführen, so müssen sie dies gegenüber ihren Arbeitnehmern anhand von angemessenen Datenschutzerklärungen kommunizieren. Eine solche Datenschutzerklärung muss insbesondere folgende Inhalte aufweisen:
    • Möglichkeit der Überwachung: Die Datenschutzerklärung muss die Beschäftigten über die Möglichkeit der Überwachung ihrer Kommunikation informieren.
    • Ausmaß der Überwachung: Der Arbeitgeber muss den Arbeitnehmer über Art und Ausmaß der Überwachung, bspw. darüber, dass die elektronische Kommunikation überwacht wird, informieren. Die Erklärung sollte in der Regel im Voraus ergehen und die Art der Überwachung deutlichaufzeigen. Hierbei sollte zwischen der Überwachung des Kommunikationsflusses und des Kommunikationsinhaltes unterschieden werden.
    • Einschränkung der Privatsphäre: Arbeitgeber müssen ihre Arbeitnehmer über den mit den möglichen Überwachungsmaßnahmen verbunden Grad des Eingriffs in ihre Korrespondenz und ihr Privatleben informieren.
    • Anforderungen der DSGVO: Art. 13 und 14 DSGVO werden im Urteil des EGMR nicht ausdrücklich genannt. Jedoch müssen Arbeitgeber ab 25. Mai 2018 die hier normierten Anforderungen an Datenschutzerklärungen beachten. Das bringt weitere Anforderungen an die Transparenz mit sich. Unten finden Sie eine Checkliste für eine Datenschutzerklärung, welche den Anforderungen des Art. 13 DSGVO genügt.

 

  • IT-Nutzungsrichtlinien: Um den vom EGMR geforderten Anforderungen an die Transparenz zu genügen, sind Unternehmen gut beraten, wenn sie klare und gut verständliche IT-Richtlinien erlassen und umsetzen. Unternehmen sollten klare Regelungen für die Nutzung der Unternehmenssysteme festlegen und den privaten Gebrauch jener so weit als möglich verbieten. In den Fällen, in welchen der persönliche Gebrauch der Firmensoftware erlaubt ist, sollte deutlich betont werden, dass von Seiten der Arbeitnehmer keine hohen Erwartungen an den Schutz der Privatsphäre gestellt werden können. Unternehmen sollten ihren Arbeitnehmern als “Basic Message” vermitteln: “Wenn Sie nicht möchten, dass das Unternehmen Zugriff auf gewisse Informationen erhält, speichern Sie diese bitte nicht in unseren Systemen“.
  • Rechtfertigung der Datenverarbeitung: Rechtmäßige Datenverarbeitungen müssen beispielsweise gem. Art. 6 Abs. 1 oder 9 Abs. 2 DSGVO gerechtfertigt sein. Weitere Legitimationsgründe können sich aus Art. 88 DSGVO in Verbindung mit nationalen Datenschutzgesetzen oder Tarifverträgen ergeben. Arbeitgeber sollten in der Lage sein, nachzuweisen, dass sie Beschäftigtendaten in Übereinstimmung mit dem geltenden Datenschutzrecht verarbeiten. Die nationalen Gerichte werden zukünftig die Rechtfertigungsgründe analysieren müssen. Art. 24 DSGVO legt die Beweislast eindeutig dem Arbeitgeber auf. Dies erfordert eine genaue Dokumentation der jeweiligen Zwecke und der Art und Weise von Datenverarbeitungen. Überdies werden Arbeitgeber nachweisen müssen, dass sie die Arbeitnehmer über ihre internen Richtlinien informiert haben. Bei der Abwägung ob berechtigte Interessen für die Verarbeitung von Daten aus einer Überwachungsmaßnahme vorliegen, müssen die Folgen der Überwachung für den betroffenen Arbeitnehmer und der Nutzen der Überwachungserkenntnisse für den Arbeitgeber einbezogen werden.
  • Datenminimisierung: Bei der Bestimmung der Rechtmäßigkeit von Datenverarbeitungen muss ferner untersucht werden, ob die Möglichkeit bestanden hätte, ein Überwachungssystem mit weniger einschneidenden Maßnahmen, als den direkten Zugriff auf den Kommunikationsinhalt des Arbeitnehmers, einzuführen. Insbesondere sollte eine Einzelfallabwägung dahingehend vorgenommen werden, ob das Ziel des Arbeitgebers auch ohne direkten Zugang zu dem gesamten Inhalt der Kommunikation des Arbeitnehmers hätte erreicht werden können.

Fazit

Das Urteil des EGMR ist streng. Das kommt jedoch nicht völlig unerwartet. Die nationalen Gerichte einiger EU Mitgliedstaaten, wie beispielsweise von Deutschland, wenden bereits ähnlich strenge Standards an. Viele Kriterien, die das Gericht aufgestellt hat, spiegeln bereits die Anforderungen der DSGVO wieder. Dies gilt insbesondere in Bezug auf Transparenzanforderungen.

Englische Zusammenfassung

Eine ausführliche Zusammenfassung der Entscheidung mit Empfehlungen für Arbeitgeber finden Sie auch hier auf unserem englischsprachigen Datenschutz-Blog. Dort finden Sie ebenfalls eine Checkliste, mit der Sie die Zulässigkeit von Kontrollmaßnahmen nach den vom EGMR aufgestellten Grundsätzen sicherstellen können.

3
Sep
2017
shutterstock_545082313-150x119
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

§ 32 BDSG: Bundesarbeitsgericht klärt wichtige Fragen des Beschäftigtendatenschutzes

Aktuelles Urteil des Bundesarbeitsgerichts hat erhebliche Folgen für Compliance-Kontrollen und interne Ermittlungen

Der vorliegende Überblick beschreibt eine wichtige aktuelle Entscheidung des Bundesarbeitsgerichts (BAG). Das Grundsatzurteil (Az. 2 AZR 597/16) hat für Maßnahmen zur Aufklärung möglicher Pflichtverletzungen von Beschäftigten erhebliche Auswirkungen. Das BAG schafft zudem Klarheit zur Datenverarbeitung bei Compliance-Verstößen und zur Auslegung von § 32 BDSG. Unser Blog-Beitrag zeigt zudem, mit welchen konkreten Maßnahmen Sie die neuen Vorgaben des BAG in die Praxis umsetzen können.

Bisherige Rechtsprechung erschwert Compliance-Kontrollen und interne Ermittlungen durch Unternehmen

§ 32 BDSG regelt den Datenschutz am Arbeitsplatz. Diese Vorschrift wurde wegen ihres unklaren Wortlauts bereits oft kritisiert. Eine Ansicht in der Fachliteratur vertritt zu § 32 BDSG die Auffassung, sie erlaube keine Maßnahmen zur Aufklärung konkreter Verdachtsmomente in Bezug auf schwerwiegende Pflichtverletzungen, sofern diese nicht auch Straftaten darstellen. § 32 Abs.1 Satz 2 BDSG, der die Aufklärung von Straftaten im Arbeitsverhältnis regelt, entfalte hier eine Sperrwirkung in Bezug auf Verstöße unterhalb der Schwelle von Strafaten. Diese Ansicht hatte auch LAG Baden-Württemberg in einer umstrittenen Entscheidung vertreten (Az. 4 Sa 61/15). Eine umfassende Bewertung dieser Entscheidung des LAG Baden-Württemberg finden Sie hier.

Nach dieser Auffassung wären Compliance-Kontrollen und interne Ermittlungen deutlich erschwert. Unternehmen dürften nach dieser Auffassung nicht einmal konkrete Verdachtsmomente für Kartellverstöße aufklären oder anderen schweren Pflichtverletzungen unterhalb der Schwelle von Strafaten nachgehen. Mit anderen Worten: Konkreten Verdachtsmomenten, die zwar auf schwere, aber nicht strafbare Pflichtverletzungen hindeuten, sollten Arbeitgeber nicht nachgehen können. Diese fragwürdige Entscheidung der Stuttgarter Richter hat Compliance-Abteilungen oder Innenrevisionen bis heute vor erhebliche Hürden gestellt, da sie eine erhebliche Rechtsunsicherheit zur Folge hatte. Das in unserem Beitrag geschilderte Grundsatzurteil des BAG schafft Klarheit und zeigt Unternehmen, welche Vorgaben sie bei Aufklärungsmaßnahmen beachten müssen. » Lesen Sie mehr

2
Sep
2017
Europa

DSGVO: Österreich verkündet Datenschutz-Anpassungsgesetz

Österreich verkündet Datenschutz-Anpassungsgesetz 2018 – neues Datenschutzgesetz jetzt abrufbar

Am 31. Juli 2017 wurde das neue österreichische Datenschutzgesetz (DSG) im Bundesgesetzblatt für die Republik Österreich veröffentlicht. Damit passt nun auch Österreich sein Recht auf die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) an. Ähnlich wie das neue BDSG in Deutschland regeln die DSGVO und das neue DSG in Österreich ab dem 25. Mai 2018 Kernbereiche des Datenschutzes. Den vollständigen Gesetzestext des DSG können Sie hier abrufen.

Nachstehend finden Sie einen Überblick über einige praxisrelevante Regelungen:

  • Beschäftigtendatenschutz: Zum Datenschutz am Arbeitsplatz sieht § 11 DSG vor, dass die bisherige Regelung im Arbeitsverfassungsgesetz als Vorschrift im Sinne des Art. 88 DSGVO anzuwenden ist.
  • Verarbeitung von Daten über Straftaten: § 4 Abs. 3 DSG enthält eine für die Praxis äußerst relevante Regelung zur Verarbeitung personenbezogener Daten über Straftaten. Hier nutzt der österreichische Gesetzgeber eine in Art. 10 DSGVO angelegte Möglichkeit, um die weitgehende Einschränkung der Verarbeitung solcher Daten aufzulockern. In Österreich ist somit die Verarbeitung derartiger Daten auch ohne behördliche Aufsicht möglich, wenn sich dies aus gesetzlichen Sorgfaltspflichten ergibt oder wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Durch diese Regelung ist es Unternehmen in Österreich auch künftig möglich, ihren umfassenden Verpflichtungen in Bezug auf Compliance-Maßnahmen datenschutzkonform nachzukommen.
  • Daten juristischer Personen: Bislang schützte das DSG in Österreich neben den Daten natürlicher Personen auch juristische Personen. Diese Besonderheit findet sich im neuen DSG nicht mehr.
  • Datenschutzbeauftragter: Das österreichische Umsetzungsgesetz sieht keine Sonderregelungen zur Benennung eines Datenschutzbeauftragten vor. Entsprechend müssen Unternehmen in Österreich nur dann einen Datenschutzbeauftragen benennen, wenn sich dies aus Art. 37 DSGVO ergibt.

Das Gesetz wurde von vielen österreichischen Datenschutzexperten kritisch bewertet. Diese bemängeln beispielsweise, dass das Gesetz keine Möglichkeit zur Verbandsklage vorsehe (derartige Verbandsklagen sind in Deutschland beispielsweise im UKlaG enthalten). Insgesamt erscheint das österreichische Datenschutz-Anpassungsgesetz 2018 eine eher zurückhaltende Lösung zu sein. Viele Öffnungsklauseln hat der Gesetzgeber ungenutzt gelassen. Im Sinne des von der DSGVO verfolgten Harmonisierungsgedanken hat eine solche zurückhaltende Herangehensweise durchaus Vorteile.

24
Aug
2017
shutterstock_545082313-150x119
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Englische Übersetzung und Zusammenfassung des neuen Bundesdatenschutzgesetzes

Das Bundesinnenministerium hat eine offizielle englische Fassung des neuen Bundesdatenschutzgesetzes (BDSG-neu) veröffentlicht. Das BDSG-neu soll die EU-Datenschutz-Grundverordnung (DSGVO) ergänzen und deren Öffnungsklauseln nutzen. Gerade für international tätige Unternehmen ist eine englische Fassung des BDSG-neu durchaus hilfreich.

Zudem haben wir eine englischsprachige Zusammenfassung der für die Praxis wichtigsten Änderungen durch das BDSG-neu vorbereitet. Diese finden Sie hier auf unserem internationalen Datenschutz-Blog “Chronicle of Data Protection”.