Datenschutz am Arbeitsplatz

Keylogger, BDSG & DSGVO: Das ändert sich

02.08.2017 von Michael Rath und Thomas Kreis

2018 wird aus Datenschutz-Perspektive ein ereignisreiches Jahr. Wir sagen Ihnen, welche Änderungen sich im Beschäftigtendatenschutz ergeben.

Am 25. Mai 2018 tritt neben der EU-Datenschutzgrundverordnung (DSGVO) auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Nachfolgend wird dargestellt, was dann im Beschäftigtendatenschutz gilt und welche Auswirkungen sich für die Datenverarbeitung im Arbeitsverhältnis (insbesondere für Betriebsvereinbarungen mit IT- und datenschutzrechtlichem Inhalt) ergeben. Auch das aktuelle Urteil des Bundesarbeitsgerichtes (BAG) zum Einsatz von Keyloggern zeigt, welche Bedeutung der Datenschutz im Arbeitsverhältnis hat.

Mitte Mai 2018 wird es für Unternehmen ernst. Wir sagen Ihnen, wie sich DSGVO und BDSG-neu auf den Mitarbeiterdatenschutz auswirken.
Foto: ESB Professional - shutterstock.com

Keylogger verstoßen gegen Datenschutz

Mit Urteil vom 27.07.2017 (Az. 2 AZR 681/16) hat das BAG entschieden, dass der Einsatz von Keylogging-Software zur Überwachung eines Arbeitnehmers am Arbeitsplatz nur unter sehr engen Voraussetzungen erlaubt ist. Der Einsatz eines Keyloggers ist erst dann zulässig, wenn konkrete Tatsachen (und nicht bloße Vermutungen) den Verdacht einer Straftat oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers begründen. Daran fehlte es jedoch in dem vorliegenden Fall, sodass das BAG die vorangegangene Entscheidung des Landesarbeitsgerichts Hamm (Az. 6 Sa 1711/15) und damit die Überwachung als unzulässig bestätigte.

Der durch die Überwachung der Tastatureingaben erfolgende Eingriff in das grundgesetzlich geschützte Recht auf informationelle Selbstbestimmung kann auch bei einem entsprechenden Verdacht nur dann gerechtfertigt werden, wenn weniger einschneidende Mittel ergebnislos ausgeschöpft wurden und die Maßnahme insgesamt nicht unverhältnismäßig ist. Erst kürzlich hat auch der Zusammenschluss von europäischen Datenschutzbehörden in einer Stellungnahme zum Datenschutz am Arbeitsplatz den Einsatz von Überwachungssoftware wie Keyloggern als im Regelfall unzulässig beurteilt.

Überwachung am Arbeitsplatz

Überwachung am Arbeitsplatz
Die Möglichkeiten der Mitarbeiterüberwachung in den Unternehmen nehmen zu – und viele Chefs, aber auch externe Kriminelle nehmen sie gerne in Anspruch. Vorsicht vor diesen fiesen Tricks!

Keylogging
Vorsicht vor Keyloggern, also der Erfassung und dem Tracking von Tastatur- und Mauseingaben.<br /><br /> Aktuelle Keylogger, die häufig in Unternehmen zum Einsatz kommen, sind "Predator Pain" und "HawkEye" - neben dem Keylogging bieten diese Programme zusätzliche Funktionen wie dem Erkennen von Login-Vorgängen im Browser und im E-Mail-Client. HawkEye wird kommerziell offen vermarktet, Predator Pain ist nur in Untergrundforen zu bekommen. Besonders in Industrienationen wie den USA, Australien, Kanada, Japan, Spanien oder Italien wurden in den vergangenen Monaten verstärkte Keylogger-Aktivitäten festgestellt. Gerade in High-Tech-Branchen, wo es vielfach um Wissensdiebstahl geht.

Heimliche Screenshots
Sind entsprechende Programme installiert, werden in regelmäßigen Abständen Fotos vom aktuellen Bildschirm, unter anderem auch laufenden Videos, ohne Wissen des Anwenders angefertigt und versendet.

Videoüberwachung
Ob Webcam, eingebaute Mikrofone oder die klassische Überwachungskamera (die natürlich in Miniaturausführung vorliegt und versteckt wurde): Wenn es um die Liveübertragung der Büroaktivitäten geht, ist der Kreatitivät keine Grenzen gesetzt.

Sniffing
Wird die gesamte Netzwerkkommunikation mitgeschnitten und überwacht, ist das erst einmal aus IT-Security-Gesichtspunkten heraus durchaus sinnvoll. Sobald aber einzelne Clients und Benutzer auf diese Weise ausgespäht werden, gelangen wir schnell in die verbotene Zone.

Überwachungsmalware
Alle vorgestellten Spähmethoden und weitere "individuell angepasste" gelangen häufig auch über Schädlinge in Unternehmensnetze und bis auf den Bürorechner. Dann weiß außer eines wildfremden Kriminellen weder Ihr Chef noch Sie selbst, dass Sie überwacht werden. Also immer aufpassen!

Das bringen BDSG-neu und DSGVO

Diese Beurteilung der Arbeitsgerichte ist auch auf die ab 2018 geltende Datenschutzgrundverordnung und das neue BDSG-neu übertragbar. Die DSGVO hat grundsätzlich ab dem 25. Mai 2018 Vorrang vor den nationalen Datenschutzbestimmungen in den EU-Mitgliedstaaten (und damit vor dem BDSG). Das bedeutet auch, dass Aufsichtsbehörden und Gerichte nationale Regelungen nicht anzuwenden haben, wenn diese Sachverhalte bereits durch die DSGVO geregelt werden.

Andererseits enthält die General Data Protection Regulation (GDPR) zahlreiche Öffnungsklauseln, die den Mitgliedsstaaten begrenzte Regelungsmöglichkeiten überlassen. Der deutsche Gesetzgeber hat mit dem DSAnpUG (Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680) einige dieser Öffnungsklauseln genutzt. In § 26 BDSG-neu sind etwa Regelungen zum Beschäftigtendatenschutz enthalten. Ob die deutschen Regelungen mit der DSGVO in Einklang stehen, wurde bereits angezweifelt, sodass davon auszugehen ist, dass diese alsbald Gegenstand gerichtlicher Entscheidungen werden.

Beschäftigtendatenschutz nach der DSGVO

Gemäß Art. 88 Abs. 1 DSGVO können die Mitgliedsstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen (Betriebs- oder Dienstvereinbarungen) "spezifischere Vorschriften" zur Verarbeitung von Beschäftigtendaten vorsehen. In Deutschland soll § 26 BDSG-neu diese Spezialregelung zum Beschäftigtendatenschutz liefern. Erhebliche praktische Bedeutung insbesondere für Unternehmen hat aber Art. 88 Abs. 2 DSGVO.

Denn daran müssen sich zukünftig Betriebsvereinbarungen zum Datenschutz messen lassen. Betriebsvereinbarungen können auch zukünftig die Rechtsgrundlage für die Verarbeitung personenbezogener Beschäftigtendaten bilden, sofern diese die Vorgaben des Art. 88 Abs. 2 DSGVO beachten. Dazu müssen Betriebsvereinbarungen "angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen".

Da bereits nach der derzeitigen Rechtsprechung zu Betriebsvereinbarungen die Grundrechte und berechtigten Interessen der Beschäftigten sowie der Grundsatz der Verhältnismäßigkeit zu wahren sind, ergibt sich aus der GDPR insoweit aber keine wesentliche Abweichung. Neu ist hingegen, dass angemessene Maßnahmen getroffen werden müssen in Bezug auf die Transparenz der Verarbeitung, die konzerninterne Datenübermittlung und an Überwachungssysteme am Arbeitsplatz.

Mitarbeiterdatenschutz nach BDSG-neu

Bei der Anpassung des Beschäftigtendatenschutzes an die DSGVO hat sich der deutsche Gesetzgeber (wohl auch mit Blick auf die auslaufende Legislaturperiode) dazu entschieden, im Kern die bisherige Regelung zu übernehmen. Nach wie vor ist die Verarbeitung von Beschäftigtendaten zulässig, wenn diese für die Verwirklichung der in § 26 Abs. 1 BDSG-neu enthaltenen Zwecke erforderlich ist. Erforderlich bedeutet, dass die Interessen des datenverarbeitenden Arbeitgebers mit den Interessen des betroffenen Arbeitnehmers abzuwägen sind und das Verhältnismäßigkeitsprinzip gewahrt sein muss.

Zudem bleibt die Verarbeitung auf Grundlage von Betriebsvereinbarungen zulässig, wobei insbesondere auf die dazugehörige Regelung in Art. 88 Abs. 2 DSGVO verwiesen wird. Weitergehende Anforderungen an Betriebsvereinbarungen stellt das BDSG-neu also nicht auf. Neu ist dagegen die ausdrückliche Regelung zu Einwilligungen im Beschäftigungskontext in § 26 Abs. 2 BDSG-neu. Einwilligungen bleiben als Legitimationsgrundlage für die Datenverarbeitung auch im Beschäftigungsverhältnis zulässig, sofern diese freiwillig erteilt wurden.

Für diese Beurteilung sind zwar das Abhängigkeitsverhältnis der beschäftigten Person als auch die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Andererseits aber soll die Freiwilligkeit bereits dann vorliegen, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Entwicklungen auf europäischer Ebene

Ob die Vorgaben zur Einwilligung wirklich in Einklang stehen mit der europäischen Regelung in Art. 7 DSGVO, wird sich noch zeigen. Gerade nämlich hat die Artikel-29-Datenschutzgruppe (ein Gremium aus Vertretern der nationalen Datenschutzbehörden der EU) eine neue Stellungnahme zur Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses ("Opinion 2/2017 on data processing at work) veröffentlicht, in der sie Arbeitgebern explizit empfiehlt, Datenverarbeitungen im Beschäftigungsverhältnis gerade nicht auf Einwilligungen zu stützen.

Denn die Beschäftigten könnten aufgrund ihres Abhängigkeitsverhältnisses fast nie eine freiwillige Einwilligung abgeben. Nach Ansicht der Datenschützer sei dies nur unter außergewöhnlichen Umständen möglich, nämlich wenn überhaupt keine Konsequenzen mit der Annahme oder Ablehnung des Angebots zur Abgabe einer Einwilligung verbunden seien. Ferner muss die Einwilligung gemäß dem BDSG-neu grundsätzlich schriftlich erklärt werden, sowie jederzeit widerrufbar sein.

Im Ergebnis erscheint der gesetzliche Erlaubnistatbestand der Einwilligung daher insbesondere für Unternehmen mit einer größeren Belegschaft wenig praktikabel. Davon abgesehen kann die Verarbeitung von personenbezogen Daten im Beschäftigtenverhältnis auch weiterhin auf die Erlaubnistatbestände der Vertragserfüllung oder der Wahrung berechtigter Interessen, sowie auf etwaige Betriebsvereinbarungen gestützt werden.

Prüfungsbedarf bei Betriebsvereinbarungen

Gerade bei Kollektivvereinbarungen kann sich noch Aktualisierungsbedarf ergeben. Denn die Betriebsvereinbarungen müssen sämtliche Anforderungen der Datenschutzgrundverordnung einhalten, um den Vorgaben von Art. 88 DSGVO zu entsprechen. So sollten in Betriebsvereinbarungen mit IT-Bezug Regelungen im Hinblick auf die Transparenz der Verarbeitung sowie beispielsweise zu Löschkonzepten enthalten sein. Auch kann es sich anbieten, die Grundprinzipien der DSGVO in der Betriebsvereinbarung in einer "klaren und einfachen" Sprache zu erläutern.

Darüber hinaus sollte aus dem Wortlaut der Betriebsvereinbarung klar hervorgehen, dass diese einen datenschutzrechtlichen Erlaubnistatbestand für die rechtmäßige Verarbeitung personenbezogener Beschäftigtendaten darstellt und die Zwecke der Datenverarbeitung konkret benennen. Einigkeit besteht darüber, dass Betriebsvereinbarungen zukünftig auch nicht negativ vom Datenschutzniveau der DSGVO abweichen dürfen.

Anders als bei Einwilligungen ist jedoch unklar, welche Anforderungen an bereits bestehende Betriebsvereinbarungen zu stellen sind. Eine gesetzliche Übergangsfrist oder einen Hinweis der Aufsichtsbehörden, ob bestehende Betriebsvereinbarungen (wie etwa bei den Einwilligungen geschehen) fortgelten, gibt es nicht. Daher wird überwiegend angenommen, dass bis zum 25. Mai 2018 alle den Datenschutz betreffende Betriebsvereinbarungen an die neuen Vorgaben angepasst bzw. deren Übereinstimmung mit den wesentlichen Prinzipien der GDPR geprüft werden müssen.

Wie groß der Anpassungsbedarf ist, lässt sich natürlich nicht ohne Blick in die Betriebsvereinbarungen beantworten. Jedenfalls aber bei einer Vielzahl an Betriebsvereinbarungen werden die Betroffenenrechte, Informationspflichten und Löschkonzepte nicht umfassend berücksichtigt sein. Offen ist jedoch, inwiefern Abweichungen von der DSGVO die Wirksamkeit der gesamten Betriebsvereinbarung als Erlaubnistatbestand für die Datenverarbeitung beeinflussen.

Weitere Datenschutz-Neuerungen

Zukünftig bedarf auch die Verarbeitung personenbezogener Daten durch den Betriebsrat oder andere betriebsverfassungsrechtliche Interessenvertretungen einer datenschutzrechtlichen Erlaubnis. Damit können diese nun auch durch den Datenschutzbeauftragten in Bezug auf die Datenverarbeitung von Beschäftigtendaten kontrolliert werden. Der Begriff des Beschäftigten ist übrigens weit gefasst, sodass darunter nicht nur Arbeitnehmer, Bewerber, ehemalige Beschäftigte, Leiharbeiter und Auszubildende fallen, sondern auch Beamte, Richter und Soldaten.

Werden sensible Daten wie etwa Gesundheitsdaten verarbeitet, ist dies zulässig, sofern die Verarbeitung zur Erfüllung von Rechten und Pflichten aus dem Beschäftigungsverhältnis erforderlich ist oder eine ausdrückliche Einwilligung dazu vorliegt. Der Arbeitgeber hat jedoch Schutzmaßnahmen, wie etwa die Pseudonymisierung oder das Verschlüsseln von Daten, zu treffen.

Fazit: Vieles bleibt beim Alten - leider auch die Lücken

Sowohl von Seiten der Aufsichtsbehörden als auch etwa von Seiten des Bundesrates wurde kritisiert, dass die zukünftige Regelung des Beschäftigtendatenschutzes in nur einem Paragraphen (§ 26 BDSG-neu) kein eigenes Beschäftigtendatenschutzgesetz ersetzen kann, was bereits seit einiger Zeit gefordert wird. Weiterhin ungeregelt bleiben Themen wie die Mischnutzung der IT, also die private und dienstliche Nutzung von E-Mails und Internet. Erschwerend kommt hinzu, dass einige Datenschutzaufsichtsbehörden schon angekündigt haben, einzelne Vorschriften des BDSG-neu nicht anwenden zu wollen.

Umso mehr gilt es, die Publikationen der Aufsichtsbehörden aufmerksam zu verfolgen und eine Bestandsaufnahme der Datenverarbeitung unter dem Blickwinkel der DSGVO und dem BDSG-neu mit anschließender Bewertung des Anpassungsbedarfs durchzuführen. Viele Betriebsvereinbarungen werden mittlerweile veraltet sein, sodass sich durchaus ein Aktualisierungsbedarf ergeben kann, um die ab Mai 2018 geltenden Anforderungen zu erfüllen.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen

Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.

"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.

"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).

Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.

Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.

Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.

Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.

Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.

Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.

Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.

Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.

Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)