Das neue Datenschutzrecht

Was der CIO zu tun hat

30.07.2009
Von  und Silvia C. Bauer  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Ab dem 1. September 2009 gelten wesentliche Neuerungen des Datenschutzrechts etwa zur E-Mail-Archivierung. CIOs sollten ihre Hausaufgaben frühzeitig machen.
Foto:

Anfang Juli hat der Gesetzgeber die zweite Reform des übergreifenden Bundesdatenschutzgesetzes (BDSG) in diesem Jahr verabschiedet. Die Überarbeitung kam infolge der zahlreichen Datenschutzskandale der letzten Zeit. Die Neuerungen stärken beispielsweise die Arbeitnehmerrechte, den betrieblichen Datenschutz und regeln die Auftragsdatenverarbeitung.

Verschärfung des Arbeitnehmerdatenschutzes

Bevor ein Arbeitgeber Daten erheben, verarbeiten und nutzen darf, um eine Straftat aufzudecken, müssen nach dem neuen Bundesdatenschutzgesetz (Paragraf 32 BDSG) konkrete Verdachtsmomente vorliegen. Die Maßnahmen sollten sorgfältig gewählt werden und verhältnismäßig sein: Ein IT-gestütztes Massenscreening sämtlicher E-Mails aller Mitarbeiter, um Vergehen eines Einzelnen aufzudecken, ist jetzt nicht mehr zulässig.

Alternativ kann der Arbeitgeber die schriftliche und freiwillige Einwilligung seiner Arbeitnehmer frühzeitig einholen oder eine entsprechende Betriebsvereinbarung schließen. Damit werden die Maßnahmen datenschutzrechtlich legitimiert. Dennoch bleiben Risiken bestehen, denn die Rechte der Arbeitnehmer dürfen trotz Vereinbarung nicht unverhältnismäßig beschnitten werden. Dies wäre beispielsweise der Fall, wenn der Arbeitnehmer einer Kontrolle zustimmen soll, ihm aber der Grund nicht genannt wird. Ein legitimer Zweck wäre etwa die Bekämpfung von Korruption oder die IT-Sicherheit. Ohne Zweckangabe sind eine Einwilligung und entsprechende Betriebsvereinbarung nicht wirksam.

Was der CIO beachten muss

  • Ohne explizite Einwilligung der Arbeitnehmer oder eine entsprechende Betriebsvereinbarung dürfen personenbezogene Daten der Mitarbeiter nur erhoben werden, wenn sie das Beschäftigungsverhältnis betreffen. Hat der Arbeitnehmer nicht eingewilligt, bedarf es zur Datenerhebung eines konkreten Straftatsverdachts.

  • Bei einem IT-Screening nach Straftaten müssen die Anhaltspunkte, die den Verdacht begründen, dokumentiert werden.

  • Der Gesetzgeber hat nicht explizit geregelt, ob auch Ordnungswidrigkeiten oder andere Pflichtverletzungen des Mitarbeiters Grundlage dafür sein können, die E-Mails zu durchleuchten. Hier gilt die alte Rechtslage, die die Interessen des Arbeitgebers und des Arbeitnehmers abwägt und eine Verhältnismäßigkeitsprüfung fordert. Der CIO sollte darauf bestehen, dass solche Maßnahmen von der Geschäftsleitung, vom Datenschutzbeauftragten und grundsätzlich auch vom Betriebsrat genehmigt werden.

Inhalt dieses Artikels