Datenschutz und Einwilligung der Mitarbeiter

Steht dem Arbeitgeber keine Erlaubnisnorm zum Umgang mit den Daten des Arbeitnehmers zur Verfügung, ist die Verarbeitung und Nutzung dessen personenbezogener Daten grundsätzlich nur zulässig, wenn der betroffene Arbeitnehmer zuvor in die Verarbeitung seiner Daten einwilligt. Gerade im Arbeitsverhältnis stellt die Einwilligung eine durchaus problematische Grundlage dar, weil es insbesondere fraglich sein kann, ob die Einwilligung des Beschäftigten gänzlich ohne "Zwang" erfolgt ist. § 4a Abs. 1 Bundesdatenschutzgesetz ("BDSG") verlangt nämlich, dass Einwilligungen auf "der freien Entscheidung des Betroffenen" beruhen.

Immer wieder erweist sich in der beruflichen Praxis der Umgang mit Einwilligungen zu Datenverarbeitungsvorgängen betroffener Beschäftigter als problematisch. Praktisch bedeutsam ist die Einwilligung besonders bei der vom Arbeitgeber (ausdrücklich oder stillschweigend) gestatteten privaten Nutzung betrieblicher Kommunikationsanlagen, da für die Überwachung der dienstlichen Nutzung die Ermächtigungsnormen §§ 28, 32 BDSG zur Anwendung kommen können und damit eine Einwilligung entbehrlich machen. Insofern sollte auch darauf verzichtet werden, hier ein Einwilligung noch zusätzlich ("doppelt hält besser") einzuholen.

Dies würde zu Verwirrung in der Frage führen, ob die Verarbeitung nun von der Einwilligung oder dem gesetzlichen Erlaubnistatbestand gedeckt ist und der Betroffene durch die Einwilligung den Eindruck bekäme, dass die Verarbeitung seiner Dispositionsbefugnis unterläge. Zudem steht ein Rückgriff auf die Erlaubnisnormen in Frage, wenn der Betroffene eine einmal erteilte Einwilligung im Laufe der Zeit widerrufen hat (unabhängig davon, ob überhaupt eine Einwilligung erforderlich gewesen wäre).

Freiwilligkeit der Einwilligung im Arbeitsverhältnis

Nach § 4a Abs. 1 S. 1 BDSG sind Einwilligungen von Arbeitnehmern nur dann wirksam, wenn Sie auf deren freier Entscheidung beruhen. Freiwilligkeit ist nur dann zu bejahen, wenn die Einwilligung nicht in einer Zwangslage oder unter Druck getroffen wurde; der Arbeitnehmer muss die Verarbeitung seiner Daten ohne die Befürchtung von Sanktionen verweigern können dürfen, oder eine zuvor erteilte Einwilligung folgenlos widerrufen können. Genau hieran bestehen aber im Arbeitsverhältnis Zweifel, da aufgrund der zwischen den Arbeitsvertragsparteien bestehenden unterschiedlichen Machtstruktur dem Beschäftigten häufig keine (gefühlte) andere Wahl bleibt als der Datenverarbeitungsklausel zuzustimmen.

Insbesondere vor Abschluss des Arbeitsvertrages wird der potentielle Beschäftigte gar nicht die Möglichkeit sehen, die Einwilligung zu verweigern und damit den Erfolg der Bewerbung aufs Spiel zu setzten. Es wäre allerdings verfehlt und würde einer Vielzahl unterschiedlicher Arbeitsverhältnisse nicht gerecht, pauschal von einer Zwangslage des Arbeitnehmers auszugehen. Vielmehr ist hier eine Einzelfallbetrachtung geboten. Dafür spricht auch § 4a Abs. 1 S. 2 BDSG der es - je nach den Umständen des Einzelfalls - für geboten hält auf die Folgen einer verweigerten Einwilligung hinzuweisen, um dem Erklärenden eine Folgenabschätzung zu ermöglichen, welche selbstverständlich auch im Arbeitsverhältnis möglich sein muss.

Grundsatz der informierten Einwilligung

Zur Wirksamkeit der Einwilligung ist es notwendig, dass der Arbeitgeber seine Beschäftigten vor Erteilung der Einwilligung über die beabsichtigte Verwendung informiert, denn der betroffene Arbeitnehmer kann einer Verarbeitung seiner personenbezogenen Daten nur insoweit rechtswirksam zustimmen, als Klarheit über Zweck und Reichweite seiner Einwilligung besteht; d.h. er weiß wozu er die Erklärung abgibt.

Gemäß § 4a Abs. 1 S. 2 BDSG hat der Arbeitgeber umfassend und rechtzeitig über Zweck, Art und Umfang der geplanten Datenverarbeitung zu informieren. Darunter fallen auch Informationen über die Rechte der Betroffenen, Löschfristen sowie Informationen zur verantwortlichen Stelle und deren technisch-organisatorischen Maßnahmen zur Regelung der zugriffsberechtigten Personen (diese müssen allerdings nicht namentlich genannt werden sondern ausreichend soll eine Funktionsbeschreibung z.B. "Administrator" sein) und ggfs. Empfänger der Daten.

Die eingebaute Sicherheit
Seit Windows 200 ist es auf einem NTFS-Dateisystem möglich, mittels EFS (Encrypted File System) Dateien zu verschlüsseln, so dass ein anderer Anwender nicht mehr auf sie zugreifen kann.

Windows warnt den Anwender
Will er nur eine einzelne Datei mittels EFS absichern, so rät das Betriebssystem dazu, auch die darüber liegenden Ordner mit zu verschlüsseln.

Nur so ist die Wiederherstellung wieder möglich
Das Windows-System bietet bei der Verschlüsselung einer Datei mittels EFS an, Zertifikat und Schlüssel auf einem externen Speichermedium zu sichern.

Der Standard bei EFS
Eine Datei mit der Endung *.PFX dient dem sogenannten "privaten Informationsaustausch", ohne dass dabei eine Zertifizierungsstelle zum Einsatz kommen muss.

Das Zertifikat wurde erfolgreich erstellt
Mit seiner Hilfe kann dann eine verschlüsselte Datei auch ohne das Passwort wiederhergestellt werden.

Eigenschaften der Datei bringen es an den Tag
Diese Datei wurde mit dem verschlüsselten Dateisystem EFS gesichert.

Beim Dateizugriff bemerkt ein Anwender nicht, dass er auf eine verschlüsselte Datei zugreift
Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so werden ihm diese Dateien aber in einer anderen Farbe angezeigt.

Vielfältige Möglichkeiten, aber nur bei bestimmten Windows-Versionen vorhanden
Die Verschlüsselungstechnik Bitlocker erlaubt es, ganze Partitionen mitsamt dem Betriebssystem zu verschlüsseln.

Der "Bitlocker To-Go"
Diese unter Windows 7 und Windows 8/8.1 zur Verfügung stehende Technik ermöglicht die Verschlüsselung von mobilen Laufwerken. Für den lesenden Zugriff auf diese Geräte kann eine entsprechende Software auch unter Windows XP zum Einsatz kommen.

Auch beim Bitlocker-Einsatz unbedingt wichtig
Der Wiederherstellungsschlüssel kann ausgedruckt oder auf einem externen Laufwerk gespeichert werden, so dass die Daten auch nach dem Verlust des Passwortes noch im Zugriff bleiben.

Mächtige freie Lösung
Eine Open-Source-Lösung, die ganze Partitionen und auch den Bereich des Betriebssystems komplett verschlüsseln kann: DiskCryptor.

VeraCrypt soll die Nachfolge von TrueCrypt antreten
Die Entwickler haben Teile des Source Codes von TrueCrypt übernommen, aber die Sicherheitslücken beseitigt. TrueCrypt-Container lassen sich auch mit diesem Programm öffnen.

Die Freeware Cryptainer LE
Sie ermöglicht es, Dateien, Verzeichnisse und E-Mail-Nachrichten einfach in Datei-Containern bis zu einer Größe von 100 MB abzulegen.

Die Protectorion Encryption Suite
Eine freie Lösung, die viele Funktionen in sich vereint, die Nutzer bereits von TrueCrypt her kennen. Sie steht auch in einer portablen Version bereit.

DirectAccess von Microsoft
Mit diesem Feature hat der Hersteller eine Zugriffstechnologie in das Betriebssystem integriert, die einen sicheren und verschlüsselten Zugriff auf das Unternehmensnetzwerk ohne zusätzliche Hardware und VPN-Software ermöglicht.

Scribbos von Stonebranch
Die Lösung erlaubt die verschlüsselte Kommunikation über das Internet in einer E-Mail-ähnlichen Form. Sie kann aber auch in Outlook integriert werden und bietet dem Anwender dort auch die entsprechende Verschlüsselung an (Quelle: Stonebranch).

Keine allgemeingehaltenen Einwilligungen

Allgemeingehaltene Erklärungen wie "der Arbeitnehmer stimmt der Verarbeitung aller personenbezogenen Daten, welche bei der Nutzung betrieblicher Kommunikationsanlagen anfallen zu" oder "der Beschäftigte ist mit jeder Form der Datenverarbeitung einverstanden" sind keinesfalls ausreichend und müssen wesentlich detaillierter formuliert werden. Ähnliches gilt für die Wirksamkeit einer Einwilligung nach dem Telekommunikationsgesetz (TKG). Dieses kommt bei der erlaubten Privatnutzung zur Anwendung, stellt allerdings keine "bereichsspezifischen" Voraussetzungen für die Wirksamkeit einer Einwilligung, sodass insofern auf die allgemeineren Regeln des BDSG verwiesen werden kann.

Form der Einwilligung

Des Weiteren ist § 4a Abs. 1 S. 3 BDSG zu beachten. Danach bedarf die Einwilligung grundsätzlich der Schriftform und muss mit einer handschriftlichen Unterschrift versehen werden. Dabei ist die Übersendung per Telefax oder das Einscannen der handschriftlich unterzeichneten Erklärung und anschließende Senden per E-Mail als ausreichend anzusehen. Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, ist sie gemäß § 4a Abs. 1 Satz 4 BDSG gesondert hervorzuheben (durch Änderung des Schriftbildes, Kursiv- oder Fettdruck oder auf einem gesonderten Blatt).

Nur ausnahmsweise ist eine andere Form als die Schriftform (z.B. eine mündliche Einwilligung) angemessen. Die Einwilligung zur Verarbeitung seiner Daten kann der Beschäftigte jederzeit widerrufen. Daraus ergibt sich auch, dass eine Klausel im Arbeitsvertrag, welche den Verzicht auf diese Widerrufsmöglichkeit regelt, unwirksam ist.

Betriebsvereinbarungen / Dienstvereinbarungen / Tarifverträge

Allein durch Einwilligungserklärungen ist ein unternehmensweit einheitlicher Umgang mit Mitarbeiterdaten, der im Zusammenhang mit der Nutzung betrieblicher Telekommunikationsanlagen schon aus Gründen des Betriebsfriedens geboten ist, nicht zu erreichen. Darüber hinaus ist es gerade für große Unternehmen nicht praktikabel, von jedem Arbeitnehmer eine Einwilligung einzuholen.

Daher entscheiden sich viele Unternehmen, datenschutzrechtlich relevante Sachverhalte in Betriebsvereinbarungen zu regeln. Per Betriebsvereinbarung können beispielsweise die Nutzung von E-Mail und Internetdiensten im Betrieb und deren Überwachung zur Einhaltung aufgestellter Nutzungsregelungen geregelt werden. Nach Auffassung des Bundesarbeitsgerichts (BAG) können Beschäftigtendaten auch auf der Grundlage eines Tarifvertrags, einer Dienstvereinbarung oder einer Betriebsvereinbarung verarbeitet werden. Das BAG betrachtet Betriebsvereinbarung und Tarifverträge insofern als "andere Rechtsvorschriften" gemäß § 4 Abs. 1 BDSG.

Arbeitgeber und Arbeitnehmer haben sich allerdings bei ihren Vereinbarungen an den Wertungen des Grundgesetzes (insb. der Grundkonzeption des Persönlichkeitsschutzes), zwingendem Gesetzesrecht sowie einfachgesetzlichen Grundsätzen des Arbeitsrechts zu orientieren. Die Verarbeitung von Beschäftigtendaten soll nach Auffassung des BAG auch dann möglich sein, wenn sich diese Vereinbarung in Abweichung von den gesetzlichen Zulässigkeitsvoraussetzungen der Datenverarbeitung und -nutzung zulasten der Beschäftigen auswirkt.

Hier kann es im Einzelfall allerdings notwendig sein, dass dieses "Übermaß" durch Schutzvorschriften an anderer Stelle zugunsten der Beschäftigten ausgeglichen wird. Wie bei einer individuell erklärten Einwilligung reichen allgemein gehaltene Vereinbarungen nicht aus, sondern die Verfahren zur Verarbeitung personenbezogener Daten müssen möglichst genau nach Zweck, Art und Umfang beschrieben werden.

Geltungsbereich des Telekommunikationsgeheimnisses

Im Geltungsbereich des Telekommunikationsgeheimnisses (insbesondere bei ausdrücklich oder stillschweigend erlaubter Privatnutzung betrieblicher Kommunikationsmittel) sind Betriebsvereinbarungen hingegen nicht möglich. Zwar wird dieses gemäß § 88 Abs. 3 S. 3 TKG nur unter dem Vorbehalt, dass weder das TKG selbst noch eine andere gesetzliche Vorschrift eine Durchbrechung des Fernmeldegeheimnisses vorsieht, gewährt. Im Unterschied zu § 4 Abs. 1 BDSG stellt eine Betriebsvereinbarung jedoch keine "andere gesetzliche Vorschrift" im Sinne von § 88 Abs. 3 S. 3 TKG dar, sodass hier von jedem Arbeitnehmer gesondert in die Datenverarbeitung eingewilligt werden muss.

Fazit

Bei der Einwilligung der Arbeitnehmer in die Verarbeitung ihrer personenbezogenen Daten sind einige rechtliche Vorgaben zu beachten, die in der Praxis gerade hinsichtlich der elektronischen Erfassung von Mitarbeiterdaten für den Arbeitgeber Nachteile und Unwägbarkeiten mit sich bringen. Nach Möglichkeit sollte in den Betrieben in diesen Fällen daher auf Betriebsvereinbarungen zurückgegriffen werden. Ist dies auf Grund der betrieblichen Besonderheiten nicht möglich, sind die gesetzlichen Vorgaben zur wirksamen Erteilung einer Arbeitnehmer-Einwilligung zu beachten. (oe)

Kontakt:

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsanwältin. IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de