Die Rechtslage im Datenschutz ist ständig im Fluss, wie drei aktuelle Novellierungen des BDSG im Jahr 2009 belegen. Illegale Vorgänge gebieten Kontrollmaßnahmen, während zugleich jeder Mausklick überwachbar wird und der gläserne Mitarbeiter droht. Fast täglich werden neue Datenschutzskandale in den Medien veröffentlicht, die große Imageschäden verursachen. Die vorausgeeilte Technik ist durch technisch-organisatorische Maßnahmen und rechtliche Regulierung wieder einzufangen.
Foto: Fotolia, BD-Photography
Die Datenschutzskandale der jüngsten Vergangenheit werfen die Frage nach einer datenschutzkonformen Kontrolle von Mitarbeiten auf, insbesondere im Lichte des neuen § 32 BDSG sowie bei erlaubter Privatnutzung von E-Mail und Internet. Notwendige Datenbankabgleiche, Mitarbeiter-Screening oder die Auswertung von Protokolldateien sind künftig nur unter geänderten Rahmenbedingungen möglich. Welche Kontrollmaßnahmen noch zulässig oder - z. B. aus Gründen der Korruptionsbekämpfung - sogar vorgeschrieben sind, bedarf der Klärung.
Die Novellierung des BDSG
Das Bundesdatenschutzgesetz ist in drei Novellierungen, die zum 01.09.2009, zum 01.04.2010 und 11.06.2010 in Kraft treten, grundlegend erneuert worden.
Neu im BDSG sind insbesondere Regelungen zu
- Informationspflicht bei Datenpannen / unrechtmäßiger Kenntniserlangung nach § 42a BDSG:
-- werden besonders sensible Daten, u. a. besondere Daten nach § 3 Abs. 9 BDSG, Bank- oder Kreditkartendaten, Berufsgeheimnisse etc.,
-- unrechtmäßig übermittelt oder sind auf sonstige Weise Dritten zur Kenntnis gelangt,
-- und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen,
-- so besteht Mitteilungspflicht gegenüber der Aufsichtsbehörde und den Betroffenen.
Datenschutzbeauftragter
- Stärkung der Stellung des Datenschutzbeauftragten nach § 4f Abs. 3 Sätze 5 bis 8 BDSG:
-- verstärkter Kündigungsschutz, nur fristlose Kündigung nach § 23 Kündigungsschutzgesetz
-- Anspruch auf Fort- und Weiterbildungsveranstaltungen ausdrücklich verankert
- Neuregelung zu Listenprivileg und Adresshandel, § 28 BDSG
- Neuregelung der Auftragsdatenverarbeitung nach § 11 BDSG
- Neuer Arbeitnehmerdatenschutz, Verhaltenskontrolle, § 32 BDSG
- Neufassung der Bußgelder nach § 43 BDSG
-- Erhöhung der Bußgeldtatbestände
-- Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen.
Die Neuregelungen traten überwiegend am 1. September 2009 in Kraft, vorbehaltlich der Übergangsregelung in § 47 BDSG.
Private Nutzung, Fernmeldegeheimnis
Für den Datenschutz stellt sich zunächst die Ausgangsfrage, ob der Arbeitgeber die private Nutzung erlaubt oder verboten hat. Bei erlaubter Privatnutzung wird der Arbeitgeber zum Telekommunikationsanbieter, da die Möglichkeit des Arbeitnehmers zur Privatnutzung von E-Mail oder Internet als Dienstleistung einzustufen ist. Daraus resultiert die Geltung des Fernmeldegeheimnisses, da sich der Arbeitnehmer auf die Vertraulichkeit der privaten Kommunikation verlassen darf. Archivierungs- oder Kontrollmaßnahmen unter dem Regime des Fernmeldegeheimnisses sind aus Datenschutzgründen problematisch.
Dienstliche Nutzung, unerlaubte Privatnutzung
Ist dagegen die Privatnutzung verboten und nur eine dienstliche Nutzung möglich, kommt das Fernmeldegeheimnis nicht zur Anwendung. Die dienstliche Nutzung steht jedoch unter dem Schutz des Bundesdatenschutzgesetzes (BDSG).
Zwar sind hier weitergehende Datenerhebungen und Kontrollen als unter dem Fernmeldegeheimnis möglich, trotzdem besteht kein schrankenloser Freibrief zur Einsicht in Protokolldateien oder E-Mails.
Durch die Neuregelung beurteilt sich der Arbeitnehmerdatenschutz künftig nach § 32 BDSG, der den bisher anwendbaren § 28 Abs. 1 BDSG verdrängt. Werden Daten eines Beschäftigten für Zwecke des Arbeitsverhältnisses erhoben, verarbeitet oder genutzt, findet § 28 Abs. 1 BDSG keine Anwendung mehr. Speziell eine Verhaltenskontrolle zur Aufdeckung von Straftaten des Beschäftigten ist nach § 32 Abs. 1 Satz 2 BDSG nur noch zulässig, wenn
- tatsächliche Anhaltspunkte einen konkreten Verdacht gegen den Beschäftigten begründen
- und eine diesbezügliche Dokumentationspflicht erfüllt wurde.
Datenverarbeitung zur Wahrung berechtigter Arbeitgeberinteressen
Für andere Zwecke können auch im Verhältnis Arbeitgeber zum Beschäftigten die übrigen Vorschriften des BDSG oder andere Gesetze weiterhin zur Anwendung kommen. Dazu gehören insbesondere die Regelungen über die Datenverarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers nach § 28 Abs. 1 Nr. 2 BDSG.
Will also z. B. der Arbeitgeber E-Mails aus betrieblichen Interessen an einen Stellvertreter weiterleiten, weil der Postfachinhaber krank geworden ist und die Kontinuität der Kommunikation / Kundenbetreuung gewahrt werden soll, so beurteilt sich dies nach § 28 Abs. 1 Nr. 2 BDSG.
Eine Einsicht oder Weiterleitung der dienstlichen E-Mails ist demnach nur zulässig, wenn aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip die Maßnahme erforderlich und angemessen ist. In diese Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen. Daraus ergibt sich die grobe Faustformel, dass
- äußere Verbindungsdaten wie URL, Empfänger- oder Absenderadresse grundsätzlich eingesehen werden dürfen,
- Inhaltskontrollen, wie das Mitlesen von E-Mails oder den Eintragungen des Arbeitnehmers auf den Webseiten, aber grundsätzlich unzulässig sind.
Auftragsdatenverarbeitung
Neu geregelt wurde auch die Einschaltung von Dienstleistern, sofern es um die Verarbeitung personenbezogener Daten im Auftrag geht.
Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Punktekatalog des § 11 Abs. 2 BDSG insbesondere Regelungen enthalten zu
- Gegenstand und Dauer des Auftrags,
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen,
- Technisch-organisatorische Maßnahmen nach § 9 BDSG,
- Berichtigung, Löschung und Sperrung von Daten,
- Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße gegen Datenschutzvorschriften,
- Umfang der Weisungsbefugnisse des Auftraggebers,
- Rückgabe Datenträger und Löschung der Daten.
Detailliert geregelt wurde auch eine Kontrollpflicht beim Dienstleister. Der Auftraggeber hat sich gemäß § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
Eine Übergangsregelung greift hier nicht, sondern die Neuregelung der Auftrags-DV gilt auch für Altverträge ab 01.09.09. In der Konsequenz ist eine Anpassung der Altverträge erforderlich, da bei Verstößen ein Bußgeld von bis zu 50.000 Euro droht.
Rechtskonforme SSL-Decryption
Die gleichzeitige gesetzliche Forderung nach Verschlüsselung auf der einen und Virenschutz auf der anderen Seite, etwa in Anlage zu § 9 BDSG, erzeugt einen technischen Widerspruch, da verschlüsselte Verbindungen nicht ohne weiteres auf Viren oder Schadsoftware untersucht werden können.
Immer mehr Missbrauch und Schadsoftware erfolgt über https und erzeugt so ein Sicherheitsvakuum. Das technisch unbestritten notwendige https-Scanning muss datenschutzkonform betrieben werden.
Dies erfordert zunächst die Vermeidung von möglichen Straftatbeständen
- § 202a StGB, Ausspähen von Daten,
- § 206 StGB, Bruch des Fernmeldegeheimnisses,
- Ordnungswidrigkeit nach § 43 BDSG.
Insbesondere darf der Scanvorgang nicht zur Kenntnisnahme der Inhalte führen, muss also in einer Blackbox ablaufen.
Zulässigkeitsvoraussetzungen:
- Anlass für das Scannen muss ein konkretes Gefährdungspotential sein, also in erster Linie der Virenschutz sowie die Abwehr vergleichbarer Schadsoftware.
- Die Notwendigkeit sonstige Filtermaßnahmen (z. B. das URL-Filterung) rechtfertigen das Scannen nicht.
- Die Maßnahme muss erforderlich sein zur Gefahrenabwehr, z. B. um das Eindringen von Viren oder Schadsoftware zu verhindern.
- Möglichkeiten zu optionalen Ausnahmen, besonders sensible https-Verbindungen, etwa das Online-Banking, vom Scanvorgang auszunehmen, sind zu nutzen.
- Die Entschlüsselung, der Scanvorgang, die Virenfilterung und das erneute Verschlüsseln müssen in einem geschlossenen System ablaufen.
- Scanvorgang und Anti-Viren-Software arbeiten in einer Blackbox, führen also nicht zur Kenntnisnahme von Inhalten durch Administratoren oder sonstige Dritte.
Zusätzliche optionale Maßnahmen, welche die juristische Sicherheit erhöhen:
- deutliche Hinweise gegenüber dem Nutzer vor dem Scanvorgang,
- Einwilligung des Nutzers
-- schriftlich nach § 4a BDSG in Nutzungs- oder Betriebsvereinbarung
-- in elektronischer Form nach §§ 13 TMG, 94 TKG.
Interessensausgleich durch rechtliche Gestaltung
Unabhängig davon, ob Fernmeldegeheimnis oder Bundesdatenschutzgesetz gelten, bedeuten ungeregelte Zustände hinsichtlich der Aufbewahrung und Kontrolle von Daten und Unterlagen ständige rechtliche Unsicherheit, da die Bestimmungen in TKG und BDSG unklar sind. Es herrscht große Verunsicherung bei Arbeitgebern, Administratoren und Arbeitnehmern, da die notwendige Güterabwägung der beteiligten Interessen im Einzelfall alle Betroffenen überfordert. Das Datenschutzrecht eröffnet jedoch nach dem Grundsatz "präventives Verbot mit Erlaubnisvorbehalt" einen Gestaltungsspielraum, um durch Vereinbarungen legale Handlungsgrundlagen zu schaffen. Nach dem Gesetzeswortlaut besteht zwar zunächst ein generelles Verbot, dass aber durch Vereinbarungen, die als Legitimation wirken, in Grenzen modifiziert werden kann. Solche Vereinbarungen bringen Vorteile für alle Beteiligten.
Die durch Vereinbarungen geschaffenen klaren Verhältnisse schützen den Administrator vor Strafbarkeit wegen Verstößen gegen das Fernmeldegeheimnis. Sie schaffen Transparenz und Vertrauen bei den Arbeitnehmern, haben aber auch eine Warnfunktion und damit Lenkungswirkung für das Arbeitnehmerverhalten. Sie helfen dem Arbeitgeber bei der Haftungsprävention, da die Erfüllung der Organisationspflichten gesetzlich vorgeschrieben ist.
Mitbestimmung der Betriebs- und Personalräte
Da die Datenschutzfragen dem Mitbestimmungsrecht im Sinne des Betriebsverfassungsgesetzes und des Personalvertretungsrechtes unterliegen, müssen Betriebs- und Personalräte am Entscheidungsprozess in Form von Vereinbarungen beteiligt werden. Das Mitbestimmungsrecht des Betriebsrates besteht gemäß.§87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche:
- Ordnung des Betriebes, Arbeitnehmerverhalten,
- Technische Kontrolleinrichtungen.
Für die Ausübung der Mitbestimmung kommen insbesondere der Abschluss von Betriebs- und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen für die E-Mail- und Internet-Nutzung in Betracht. Bei der Betriebs- / Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung, der zur Lösung des Datenschutzproblems geschlossen wird. In Betrieben ab einer Größe von fünf Mitarbeitern sind Betriebsräte und damit Betriebsvereinbarungen möglich. Während der Arbeitgeber den Missbrauch einschränken will, befürchtet der Betriebsrat die Ausforschung der Arbeitnehmer. Personenbezogene Kontrollen sollten möglichst unter Beteiligung des Betriebsrates / Datenschutzbeauftragten nach dem Vier-Augen-Prinzip erfolgen. Die Betriebs- / Dienstvereinbarung hat rechtssetzenden Charakter und wirkt modifizierend auf die Inhalte der Arbeitsverträge ein.
Im Bereich des Fernmeldegeheimnisses, das auf ein Grundrecht zurückgeht, ist neben Kollektivvereinbarungen die individuelle Zustimmung der beteiligten Arbeitnehmer von Vorteil. Ergänzend zu entsprechenden Betriebs- und Dienstvereinbarungen kann deshalb eine zusätzliche Legitimation und Information durch eine persönliche Zustimmung des betroffenen Arbeitnehmers erfolgen, sofern diese Einwilligung freiwillig erfolgt. (oe)
Lesen Sie zum Thema auch folgende Beiträge:
Die rechtlichen Aspekte der IT-Sicherheit, Teil 1: Haftungsfragen rund um die IT-Sicherheit
Die rechtlichen Aspekte der IT-Sicherheit, Teil 2: Risiko-Management und IT-Compliance - das sollten Sie wissen
Die rechtlichen Aspekte der IT-Sicherheit, Teil 3: So archivieren Sie E-Mails revisionssicher
Der Autor Horst Speichert ist Rechtsanwalt in der Kanzlei esb in Stuttgart mit Spezialgebiet Neue Medien, EDV-Recht, IT-Vertragsgestaltung, IT-Security und Datenschutz, Fachbuchautor, Ausbilder für Datenschutzbeauftragte und Lehrbeauftragter für Informationsrecht an der Universität Stuttgart.
Kontakt:
E-Mail: horst@speichert.de, Internet: www. speichert.de
Hinweis:
Der IT-Rechtsleitfaden wurde 2009 von Rechtsanwalt Horst Speichert in Zusammenarbeit mit der Blue Coat Systems GmbH erstellt. Eine Kopie des Dokuments kann über folgenden Link bestellt werden: www.bluecoat.de/resources/leitfaeden.php. Das Werk einschließlich aller Texte ist urheberrechtlich geschützt. Veröffentlichung und Vervielfältigung nur mit schriftlicher Genehmigung von Blue Coat Systems.