Das Datenschutzrecht fordert den CIO

30.07.2009
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Ein IT-Chef, der seine Hausaufgaben in Sachen Reform des Bundesdatenschutzgesetzes noch nicht erledigt hat, sollte das schleunigst nachholen.

Die Vorbereitungszeit war knapp. Anfang Juli verabschiedete der Gesetzgeber die zweite Reform des übergreifenden Bundesdatenschutzgesetzes (BDSG) in diesem Jahr. Die Überarbeitung war eine Folge der zahlreichen Datenschutzskandale, zu denen es in der letzten Zeit gekommen war. Die Neuerungen stärken beispielsweise die Arbeitnehmerrechte sowie den betrieblichen Datenschutz und regeln die Auftragsdatenverarbeitung.

Verschärfter Arbeitnehmer-Datenschutz

Bevor ein Arbeitgeber Daten erheben, verarbeiten und nutzen darf, um eine Straftat aufzudecken, müssen nach dem neuen Bundesdatenschutzgesetz (Paragraf 32 BDSG) konkrete Verdachtsmomente vorliegen. Die Maßnahmen sollten sorgfältig gewählt und verhältnismäßig sein: Nicht mehr zulässig ist beispielsweise ein IT-gestütztes Massen-Screening sämtlicher E-Mails aller Mitarbeiter, um Vergehen eines Einzelnen aufzudecken.

Alternativ kann der Arbeitgeber die schriftliche und freiwillige Einwilligung seiner Arbeitnehmer frühzeitig einholen oder eine entsprechende Betriebsvereinbarung schließen. Damit werden die Maßnahmen datenschutzrechtlich legitimiert. Dennoch bleiben Risiken bestehen, denn die Rechte der Arbeitnehmer dürfen trotz solcher Vereinbarungen nicht unverhältnismäßig beschnitten werden. Dies wäre beispielsweise der Fall, wenn der Arbeitnehmer einer Kontrolle zustimmen soll, ihm aber der Grund nicht genannt wird. Ein legitimer Zweck wäre etwa die Bekämpfung von Korruption oder die IT-Sicherheit. Ohne Zweckangabe sind eine Einwilligung und entsprechende Betriebsvereinbarung hingegen nicht wirksam.

Hier die wichtigsten Regeln, auf deren Einhaltung der CIO drängen muss:

  • Ohne explizite Einwilligung der Arbeitnehmer oder eine entsprechende Betriebsvereinbarung dürfen personenbezogene Daten der Mitarbeiter nur erhoben werden, wenn sie das Beschäftigungsverhältnis betreffen. Hat der Arbeitnehmer nicht eingewilligt, ist zur Datenerhebung ein konkreter Straftatsverdacht notwendig.

  • • Bei einem IT-Screening nach Straftaten müssen die Anhaltspunkte, die den Verdacht begründen, dokumentiert werden.

  • Ob auch Ordnungswidrigkeiten oder andere Pflichtverletzungen des Mitarbeiters Grundlage dafür sein können, die E-Mails zu durchleuchten, hat der Gesetzgeber nicht explizit geregelt. Hier gilt die alte Rechtslage, die die Interessen des Arbeitgebers und des Arbeitnehmers abwägt und eine Prüfung der Verhältnismäßigkeit fordert.

  • Der CIO sollte darauf bestehen, dass solche Maßnahmen von der Geschäftsleitung, vom Datenschutzbeauftragten und grundsätzlich auch vom Betriebsrat genehmigt werden.

Die Archivierung von E-Mails

Trotz der Novelle des Datenschutzrechts fehlen für die Archivierung von geschäftlichen E-Mails weiterhin konkrete gesetzliche Vorgaben. Handelsrecht und Steuergesetzbuch machen den Blick in die E-Mail-Fächer notwendig, dennoch müssen die Unternehmen die strengen Vorgaben des TK-Gesetzes (TKG) und des Bundesdatenschutzgesetzes (BDSG) beachten. Dürfen Mitarbeiter E-Mails privat verschicken, ist der Arbeitgeber also weiterhin – im Sinne des Gesetzes – ein "Telefonanbieter".

Diese Punkte muss der CIO beachten, wenn er sich nicht strafbar machen will:

  • Ohne Einwilligung der Besitzer dürfen die Mitarbeiter des CIO keine E-Mail-Postfächer einsehen. Denn auf diese Weise könnten sie gegen das Fernmeldegeheimnis verstoßen und sich strafbar machen.

  • Zur Einführung eines Archivierungssystems sollten der Betriebsrat und der Datenschutzbeauftragte ins Boot geholt werden.

  • Die Geschäftsleitung, nicht der CIO hat darüber zu entscheiden, welche Archivierungskonzepte implementiert werden sollen. Der IT-Abteilung kann nicht zugemutet werden, über Aufbewahrungs- und Verjährungsfristen zu entscheiden.

  • Entgegen hartnäckigen Gerüchten: Der Gesetzgeber verlangt kein Echtzeit-Journalling. Ein Spam-Filter ist also zulässig.

  • Die E-Discovery-Anforderungen aus Übersee müssen nur von Unternehmen eingehalten werden, die international aktiv sind.

  • Die Geschäftsleitung sollte aber wissen, wenn die IT-Systeme nicht in der Lage sind, auf Kommando (etwa bei einem Rechtsstreit) die Systeme – einschließlich E-Mails – einzufrieren und Löschroutinen auszusetzen.

Auftragsdatenverarbeitung

Für die Auftragsdatenverarbeitung (ADV) gibt es jetzt einen aus zehn Punkten bestehenden Katalog mit gesetzlich festgelegten Mindestangaben. Fehlen sie, begehen die Unternehmen eine Ordnungswidrigkeit. Dasselbe gilt, wenn der Auftraggeber es versäumt, vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.

Das gehört in den ADV-Vertrag

Die Mindestinhalte eines Auftragsdatenverarbeitungs-Vertrags sind die folgenden:

  • Gegenstand und Dauer des Auftrags;

  • Umfang, Art und Zwecke der Datenerhebung sowie die Art der Daten und der Kreis aller von der Erhebung Betroffenen;

  • Maßnahmen technischer und organisatorischer Art, die notwendig werden (Paragraf 9 BDSG);

  • Regelungen zur Berichtigung, Löschung und Sperrung von Daten;

  • Pflichten des Auftragnehmers, die mit dem Datenschutzrecht in Zusammenhang stehen;

  • Weitergabe von Aufgaben an Subunternehmen und die daraus entstehenden Pflichten;

  • Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers;

  • Mitteilungspflichten des Auftragnehmers bei Verstößen gegen geltendes Recht;

  • Weisungsbefugnisse des Auftraggebers;

  • Rückgabe und Löschung der Datenträger.

  • Der CIO sollte alle Vereinbarungen (hinsichtlich Outsourcing und anderer Dienstleistungen) daraufhin prüfen, ob sie die geforderten Mindestangaben enthalten (siehe Kasten "Das gehört in den ADV-Vertrag").

Verstöße sind mitteilungspflichtig

Nach dem Paragrafen 42a des Bundesdatenschutzgesetzes müssen bestimmte Verstöße gegen das Datenschutzrecht gemeldet sowie die Betroffenen informiert werden. Geschieht dies nicht, droht ein Bußgeld.

Die Pflicht ist allerdings auf die unrechtmäßige Verarbeitung besonders sensibler, personenbezogener Informationen wie Gesundheitsdaten oder Bank- sowie Kreditkartendaten beschränkt. Wichtig ist, dass die vorgeschriebenen internen Prozesse implementiert wurden.

  • Der CIO sollte sich vergewissern, ob sein Unternehmen in der Lage ist, Verstöße an die zuständigen Stellen zu melden.

Stellung des Datenschutzbeauftragten

Nach der Neufassung des Datenschutzrechts gilt für jeden internen betrieblichen Datenschutzbeauftragten (DSB) nun ein an die Rechte des Betriebsrats angelehnter Kündigungsschutz (Paragraf 4f Absatz 3 BDSG). Außerordentlich kündbar ist der Beauftragte damit nur noch, wenn ein wichtiger Grund vorliegt. Dieser Kündigungsschutz wirkt noch ein Jahr nach der Bestellung des DSB nach.

Allerdings wird häufig ein externer DSB benannt und beschäftigt. Denn die Stellung des IT-Leiters lässt sich mit dieser Aufgabe nicht in Einklang bringen.

Die nächste Novelle kommt bestimmt

Weitere Änderungen des Datenschutzrechts sind schon in Vorbereitung. Dazu zählt das Datenschutzaudit-Gesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Die internen Datenverarbeitungs-Vorgänge und die oft in die Jahre gekommenen IT-Richtlinien sollten daher vom CIO schon jetzt auf den Prüfstand gestellt werden.

Falls der IT-Chef Lücken im Datenschutz und der IT-Compliance entdeckt, tut er gut daran, der Geschäftsleitung die Konsequenzen darzustellen. Neben schlechter Presse drohen behördliche Kontrollen und Sanktionen wie Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Beispiele für derartige Folgen von Versäumnissen gibt es in der Rechtsprechung – so am Landgericht Karlsruhe im Fall einer Unterlizenzierung (Urteil vom 23. April 2008, Haftung für Unterlizenzierung von Software). (jha)