Das neue Datenschutzrecht

Was der CIO zu tun hat

30.07.2009

von Silvia C. Bauer und Michael Rath, ist auf IT-Recht spezialisierter Anwalt bei der Luther Rechtsanwaltsgesellschaft mbH in Köln

Ab dem 1. September 2009 gelten wesentliche Neuerungen des Datenschutzrechts etwa zur E-Mail-Archivierung. CIOs sollten ihre Hausaufgaben frühzeitig machen.

Anfang Juli hat der Gesetzgeber die zweite Reform des übergreifenden Bundesdatenschutzgesetzes (BDSG) in diesem Jahr verabschiedet. Die Überarbeitung kam infolge der zahlreichen Datenschutzskandale der letzten Zeit. Die Neuerungen stärken beispielsweise die Arbeitnehmerrechte, den betrieblichen Datenschutz und regeln die Auftragsdatenverarbeitung.

Verschärfung des Arbeitnehmerdatenschutzes

Bevor ein Arbeitgeber Daten erheben, verarbeiten und nutzen darf, um eine Straftat aufzudecken, müssen nach dem neuen Bundesdatenschutzgesetz (Paragraf 32 BDSG) konkrete Verdachtsmomente vorliegen. Die Maßnahmen sollten sorgfältig gewählt werden und verhältnismäßig sein: Ein IT-gestütztes Massenscreening sämtlicher E-Mails aller Mitarbeiter, um Vergehen eines Einzelnen aufzudecken, ist jetzt nicht mehr zulässig.

Alternativ kann der Arbeitgeber die schriftliche und freiwillige Einwilligung seiner Arbeitnehmer frühzeitig einholen oder eine entsprechende Betriebsvereinbarung schließen. Damit werden die Maßnahmen datenschutzrechtlich legitimiert. Dennoch bleiben Risiken bestehen, denn die Rechte der Arbeitnehmer dürfen trotz Vereinbarung nicht unverhältnismäßig beschnitten werden. Dies wäre beispielsweise der Fall, wenn der Arbeitnehmer einer Kontrolle zustimmen soll, ihm aber der Grund nicht genannt wird. Ein legitimer Zweck wäre etwa die Bekämpfung von Korruption oder die IT-Sicherheit. Ohne Zweckangabe sind eine Einwilligung und entsprechende Betriebsvereinbarung nicht wirksam.

Was der CIO beachten muss

Ohne explizite Einwilligung der Arbeitnehmer oder eine entsprechende Betriebsvereinbarung dürfen personenbezogene Daten der Mitarbeiter nur erhoben werden, wenn sie das Beschäftigungsverhältnis betreffen. Hat der Arbeitnehmer nicht eingewilligt, bedarf es zur Datenerhebung eines konkreten Straftatsverdachts.
Bei einem IT-Screening nach Straftaten müssen die Anhaltspunkte, die den Verdacht begründen, dokumentiert werden.
Der Gesetzgeber hat nicht explizit geregelt, ob auch Ordnungswidrigkeiten oder andere Pflichtverletzungen des Mitarbeiters Grundlage dafür sein können, die E-Mails zu durchleuchten. Hier gilt die alte Rechtslage, die die Interessen des Arbeitgebers und des Arbeitnehmers abwägt und eine Verhältnismäßigkeitsprüfung fordert. Der CIO sollte darauf bestehen, dass solche Maßnahmen von der Geschäftsleitung, vom Datenschutzbeauftragten und grundsätzlich auch vom Betriebsrat genehmigt werden.

Inhalt dieses Artikels

	Was der CIO zu tun hat
	Archivierung von E-Mails
	Mitteilungspflichten

Mehr zum Thema: Datenschutzgesetz, BDSG, Arbeitsrecht, E-Mail-Archivierung

Leserkommentare

(0 Beiträge),

Kommentieren

COMPLIANCE: CW-REDAKTEURE EMPFEHLEN

Ratgeber IT-Einkauf In einer dreiteiligen Serie beschreiben ein Jurist und ein Unternehmensberater "good practices" für die Beschaffung von Software und IT-Services.
weiter

Google-Adwords sind rechtmäßig In einem mit Spannung erwarteten Urteil zur Suchmaschinenvermarktung hat der Europäische Gerichtshof zugunsten von Google entschieden.
weiter

Angst vor Denunziation Compliance ist längst noch ken Alltag. Nicht einmal die Hälfte der Konzerne sorgt mit eigenen Programmen für Schutz vor kriminellen Angriffen.
weiter

Fortbildung steuerlich absetzen Kosten für Fortbildungsmaßnahmen können steuerlich abgesetzt werden. Voraussetzung ist allerdings eine klare berufliche Veranlassung.
weiter

Keine Kündigung ohne Unterschrift Das BGB machts möglich: Ist die Schriftform nicht eingehalten, ist eine Kündigung nichtig und kann nicht nachträglich geheilt werden.
weiter