Auskunftsansprüche eines Arbeitnehmers aus § 34 Bundesdatenschutzgesetz (BDSG)

Law-BlogGrundsätzlich ist ein Arbeitgeber verpflichtet einem betroffenen Arbeitnehmers kostenlos und in Textform mitzuteilen, welche personenbezogenen Daten des Arbeitnehmers gespeichert sind, zu welchem Zweck die Speicherung erfolgt und an welche Personen und Stellen die Daten weitergegeben werden (§ 34 BDSG).

Vor dem Landesarbeitsgericht Hessen (Urteil vom 29. Januar 2013, Az. 13 Sa 263/12) wurde ein Arbeitgeber auf Auskunft über die gespeicherten personenbezogenen Daten eines Arbeitnehmers verklagt. In dem Unternehmen werden sowohl Internet- als auch E-Mail-Verkehrsdaten (Privatnutzung ist in geringfügigen Umfang gestattet) protokolliert und gespeichert. Dabei werden unter anderem Datum und Uhrzeit, E-Mail-Adressen von Absender und Empfänger und die Betreffzeile der E-Mails gespeichert. Außerdem werden Internetdaten unverändert für 24 Stunden zwischengespeichert und danach in pseudonymisierter Form gespeichert.

Für einen Auskunftsanspruch muss der Arbeitnehmer darlegen, dass tatsächlich eigene personenbezogene Daten gespeichert sein könnten. Nach Auffassung des Gerichts hat der Arbeitnehmer in diesem Verfahren den Auskunftsanspruch lediglich ins Blaue hinein geltend gemacht und nicht hinreichend dargelegt. Außerdem bestehe ein Auskunftsverweigerungsrecht des Arbeitgebers (§§ 34 Abs. 7, 33 Abs. 2 Nr. 2, 2. Alt. BDSG), da es sich um Daten handle, die zur Missbrauchsprävention und -kontrolle gespeichert wurden und deshalb ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen.

Außerdem gibt es bei dem Arbeitgeber ein Dokumenten- und Wissenmanagementsystem in das auch Bestandsdaten gespeichert werden. Die Mitarbeiter haben jederzeit Zugriff auf die von ihnen dort abgelegten Inhalte, für die sie Zugriffsrechte haben. Der vom Arbeitnehmer diesbezüglich geltend gemachte Auskunftsanspruch auf Mitteilung von protokollierten Arbeitsschritten lehnte das Gericht ab, da der Arbeitnehmer selbst Einblick in die Datenbank oder den eigenen E-Mail-Account nehmen könne. Außerdem sei der Auskunftsanspruch für den Arbeitgeber faktisch unmöglich, da der damit verbundene Aufwand in einem offensichtlichen Missverhältnis zu dem Wert der Auskunft liege. Das Auskunftsverlangen des Arbeitnehmers ist daher rechtsmissbräuchlich und muss deshalb vom Arbeitgeber nicht erfüllt werden.

Google Datenpannen und richtiges Ärgern mit Auskunftsansprüchen

Law-BlogWie schrecklich langweilig wären doch diese Welt und juristische Weblogs ohne die Firma Google. An guten Tagen wirft Google interessante juristische Fragen einfach deshalb auf, weil man dort ständig an der vordersten Front der technischen und gesellschaftlichen Entwicklung operiert – und damit natürlich auch rechtlich immer wieder neue und noch nicht gerichtlich entschiedene oder sonst ausdiskutierte Fragen generiert.

Und dann, naja, machen auch die guten (nicht ironisch gemeint) Leute bei Google ab und an schlicht Fehler. Wie etwa den, bei Gelegenheit der ohnehin rechtlich wie gesellschaftlich schon brisanten Abbildung des gesamten Landes gleich noch private WLANs nicht nur zu erfassen, sondern aus diesen gleich noch Daten – Teile von Emails, besuchten Webseiten etc – abzugreifen und zu speichern.

Das ist natürlich ebenso illegal wie dämlich und dürfte der Reputation des Unternehmens nachhaltig Schaden zufügen. Gleichzeitig sind die Erklärungen für diese Panne eher verwirrend – da ist davon die Rede, dass ein Versehen vorläge, vielleicht sei ein experimentelles Programm an einer Stelle verwendet worden, an der man es nicht hätte verwenden sollen. Oder so ähnlich. Jedenfalls zweifelt man ein wenig an der sonst so unstrittigen Kompetenz des Unternehmens.

Sei’s drum: jedenfalls möchte Google die erhobenen Daten nunmehr umgehend löschen und Vorkehrungen treffen, dass solche Pannen in Zukunft nicht mehr vorkommen. Das ist rein rechtlich natürlich sinnvoll und notwendig. Aber interessant ist doch für den Betroffenen in diesem Moment auch, welche Daten da eigentlich erfasst wurden. Wollen Sie das nicht auch wissen? Weiterlesen

Änderungen der datenschutzrechtlichen Vorschriften im Arbeitsrecht

Law-BlogDas Gesetz zur Änderung datenschutzrechtlicher Vorschriften ist teilweise bereits am 1. September 2009 in Kraft getreten und wird im Übrigen am 1. April 2010 in Kraft treten. Darin wurde eine Grundsatzregelung für die Behandlung von Arbeitnehmerdaten in § 32 Bundesdatenschutzgesetz (BDSG) aufgenommen.

Hiernach dürfen personenbezogene Daten zum Zwecke der Einstellung eines Beschäftigten nur dann erhoben, verarbeitet und genutzt werden, wenn dies für die Einstellung erforderlich ist. Während eines Beschäftigungsverhältnisses ist dies nur dann zulässig, wenn die Daten für die Durchführung oder die Beendigung des Arbeitsverhältnisses erforderlich sind. Außerdem ist die Datenerhebung auch für Zwecke der Aufdeckung einer Straftat zulässig, wenn der Verdacht besteht, dass die Straftat im Beschäftigungsverhältnis begangen wurde und die Daten zur Aufdeckung der Straftat erforderlich sind.
Eine ausführliche Regelung des Arbeitnehmerdatenschutzes soll in der nächsten Legislaturperiode folgen.

In diesem Zusammenhang wird auch das am 1. Januar 2010 gestartete Datenerfassungsprojekt „ELENA“ (Elektronischer Entgeltnachweis) stark kritisiert und wird wohl entschärft werden müssen. Derzeit müssen nun alle Arbeitgeber an eine zentrale Speicherstelle der Deutschen Rentenversicherung in Würzburg alle einkommensrelevanten Informationen über ihre Beschäftigten übermitteln. Ziel dieses Datenpools soll sein, dass ab 2012 zunächst der Bezug von Sozialleistungen wie Arbeitslosen-, Wohn- und Elterngeld zügiger und ohne einer Papierbescheinigung des Arbeitgebers abgewickelt werden müssen. Allerdings müssen nach den aktuellen Plänen neben den Daten zu der Höhe des Arbeitsentgeltes auch Informationen über Fehlzeiten (Krankheit, Streik usw.), Fehlverhalten oder Abmahnungen ebenfalls gemeldet werden. Damit die für die Sozialleistungen zuständigen Stellen ab 2012 die Daten abrufen können, benötigt der Sozialleistungsempfänger dann jedoch eine qualifizierte elektronische Signaturkarte, mit der er seine Daten bei der zentralen Speicherstelle anfordern kann.

Compliance und Datenschutz

Law-BlogEin weiterer für die Einhaltung der Compliance wichtiger Bereich ist der Datenschutz. Der Datenschutz betrifft insbesondere den Schutz personenbezogener Daten. Der Datenschutz ist im Grundgesetz als Staatsziel definiert. Bei Nichteinhaltung der Bestimmungen über den Datenschutz drohen dem Unternehmen erhebliche Haftungsrisiken, sowohl in zivilrechtlicher wie auch in strafrechtlicher Hinsicht. Das Datenschutzrecht verpflichtet den Unternehmer, die Einhaltung der Datenschutzbestimmungen regelmäßig durch Bestellung eines Datenschutzbeauftragten und interne Maßnahmen sicherzustellen:

Nach § 4f des Bundesdatenschutzgesetzes (kurz „BDSG“) haben öffentliche und nicht-öffentliche Stellen (jedes Unternehmen der freien Wirtschaft ist eine solche nicht-öffentliche Stelle), die personenbezogene Daten automatisiert verarbeiten (das trifft in der Regel auf jedes Unternehmen zu, in dem Kommunikationsmittel wie Telefone, Computer, dienstliche Mobilfunkgeräte etc. verwendet werden), einen Datenschutzbeauftragten schriftlich zu bestellen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht nur für solche nicht-öffentlichen Stellen nicht, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn personenbezogene Daten zwar nicht automatisiert verarbeitet werden, aber auf andere Weise erhoben, verarbeitet oder genutzt werden, sofern damit in der Regel mindestens 20 Personen beschäftigt sind.

Die Nichtbestellung eines Datenschutzbeauftragten stellt eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 25.000,00 Euro geahndet werden kann.

Der Datenschutzbeauftragte muss für die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen sorgen und die ordnungsgemäße Verwendung der Datenverarbeitungsprogramme überwachen. Er muss weiter die Mitarbeiter des Unternehmens, die mit der Verarbeitung personenbezogener Daten betraut sind, schulen.

Daneben ist der Unternehmer gemäß § 4g Abs. 2 BDSG auch verpflichtet, ein so genanntes Verfahrensverzeichnis aufzustellen, das bestimmte gesetzlich vorgeschriebene Angaben zu enthalten hat und in dem auch die zugriffsberechtigten Personen zu nennen sind. Dieses Verfahrensverzeichnis ist dem Datenschutzbeauftragten zur Verfügung zu stellen. Jeder Dritte kann Einsicht in dieses Verzeichnis verlangen.

Das Verfahrensverzeichnis hat folgende Angaben gemäß § 4e BDSG zu enthalten:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ausreichend und angemessen sind.

Soweit die automatisierte Datenverarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen verbunden ist, z.B. etwa weil besonders sensible Daten verarbeitet und ausgewertet werden sollen, muss der Datenschutzbeauftragte eine Vorabkontrolle durchführen, also eine Prüfung vor Beginn der Verarbeitung vornehmen.

YouTube Daten Gau – Kein Datenschutz im Web 2.0

Law-BlogWenn Sie sich ein wenig im Internet bewegen oder einfach ab und an eine Online-Publikation oder ein Blog lesen, dann haben Sie vermutlich schon vom Fall Viacom gegen Google i.S. YouTube gehört.

Kurz gefasst geht es darum: Viacom, ein Medienunternehmen, ist der Ansicht, dass auf YouTube regelmäßig (meint hier: in hunderttausenden Fällen) Rechte der Viacom oder derer Beteiligungen verletzt werden. Im einfachsten Fall ist das ein illegal mitgeschnittener MTV-Clip, den ein enthusiastischer Fan der betreffenden Band im Überschwang der Gefühlte auf YouTube hochgeladen hat, um den Rest der Welt von Qualität und Güte der Band zu überzeugen.

YouTube gehört bekanntermaßen seit einiger Zeit Google, und seit das so ist – und YouTube damit eine im pekuniären Sinn leistungsfähig ist – häufen sich die Urheberrechtsprozesse, in denen auch und gerade Schadenersatz verlangt wird. Um den zu berechnen braucht man als Kläger aber erst einmal genaue Daten zu Anzahl und Ausmaß der Verletzungen. Dazu ist also nicht nur interessant, dass ein bestimmter rechtsverletzender Inhalt auf einer Seite zu finden ist, sondern etwa auch, wie oft er angesehen wurde. Das weiß natürlich der Kläger nicht, sondern – bestenfalls – der Beklagte. Also beantragt man im Prozess einfach, das Gericht möge dem Beklagten doch bitte aufgeben, solche Daten zur Verfügung zu stellen.

Ein solcher Antrag der Viacom hatte vorliegend Erfolg. Auf Anweisung des New Yorker Gerichts, vor dem verhandelt wird, muss Google eine ganze Reihe von Daten herausgeben. Darunter – wenn man den Presseberichten glauben darf – auch YouTube-Nutzernamen und IP-Adressen, so dass eine Identifizierung einzelner Nutzer YouTubes möglich wäre. Der Stern schreibt dazu: Weiterlesen

Nazi-Slang in Berliner Verwaltungsformularen? Zum Begriff „Rasse“ im Datenschutz

Law-BlogDas Berliner Verwaltungformular Nr. I C 228 – „Erklärung zum Einbürgerungsantrag“ sorgt nach jahrelanger unbeanstandeter Verwendung in der deutschen und internationalen Presse für einige Furore. Das liegt weniger am Inhalt als an der Formulierung des Papiers. Denn neben vielen weiteren Angaben und Einwilligungen erklärt der Antragsteller dort auch seine „Einwilligung zur Verarbeitung personenbezogenen Daten besonderer Kategorien, hier zur rassischen und ethnischen Herkunft.“ Das kann man, wenn man die Berliner Regierung ärgern will, als Nazi-Vokabular verstehen; im dritten Reich herrschte ja unbestritten eine sehr ernste Form von Rassenwahn.

Der Spiegel jedenfalls hält die Formulierung für „anrüchig“, vielleicht ja sogar zu Recht. Der (grüne) Abgeordnete Özcan Mutlu bemerkt zum Thema:

„Ich will dem Senat keinen Rassismus vorwerfen, aber ich finde es unglaublich, dass offenbar niemand diese Formulierungen in einem amtlichen Formular bemerkt hat“.

Ich bin der festen Überzeugung, dass diese Formulierung im Formular ganz absichtlich steht, und nach der geltenden Gesetzeslage völlig zu recht. Denn der Passus nimmt schlicht das Bundesdatenschutzgesetz ernst. Dort wird definiert, was personenbezogene Daten ganz allgemein sind, aber auch, was sog. „besondere Arten personenbezogener Daten sind“. Nämlich Daten, die ganz besonders sensibel sind: Weiterlesen

Überwachung von öffentlichem Raum und Bundeskanzlerin

Law-BlogSicher haben Sie davon gelesen, dass die Video-Überwachungskameras des Berliner Pergamon-Museums nicht nur selbige Einrichtung und deren Vorplatz, sondern nebenbei auch noch das Wohnzimmer der Frau Dr. Merkel, bekannt als Bundeskanzlerin dieses, unseres Landes überwachen. Das ist eine Geschichte, die nicht nur pikant ist, weil mit der Bundeskanzlerin natürlich eine besonders prominente Person betroffen ist, sondern auch, weil ähnliche Vorkommnisse – eben weniger prominent – wohl in jeder Stadt jeden Tag vorkommen. Die Videoüberwachung öffentlicher Räume, eigentlich als Lösung für die Problematik der Verfolgung von Gewaltkriminalität gedacht, ist inzwischen selbst zum Problem geworden.

Dabei ist die gesetzliche Regelung – die es, wir sind in Deutschland, natürlich gibt – eigentlich eindeutig und sinnvoll:

§ 6b BDSG – Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen

(1) Die Beobachtung öffentlich zugänglicher Räume (das meint allgemein „Bereiche“ es muss kein überdachter „Raum“ vorliegen, d.A.) mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Weiterlesen

Vorschlag für eine Muster-Datenschutzerklärung für Webseiten

Law-BlogPraktisch jedes Unternehmen hat heutzutage eine Internetseite. Wie bei jedem Informations- und Werbemittel sind bei deren Betrieb rechtliche Vorschriften zu beachten. Dass eine Webseite in aller Regel ein Impressum benötigt und dass der Betreiber Obacht geben sollte, auf welche Fremdinhalte er verlinkt, ist dabei durchaus bekannt.

Ein wenig in Vergessenheit gerät häufig aber der Datenschutz. Jede Webseite, die einen Teledienst darstellt, unterliegt hier besonderen Transparenz- und Aufklärungspflichten gegenüber dem Nutzer. Verstöße können mit Ordnungsgeldern i.H. von bis zu 50.000 Euro geahndet werden.

Wann aber wird eine Webseite zum Teledienst? In § 2 Abs. 2 des Teledienstegesetzes heißt es hierzu:

(2) Teledienste (…) sind insbesondere
1. Angebote im Bereich der Individualkommunikation (zum Beispiel Telebanking, Datenaustausch),
2. Angebote zur Information oder Kommunikation, soweit nicht die redaktionelle Gestaltung zur Meinungsbildung für die Allgemeinheit im Vordergrund steht (Datendienste, zum Beispiel Verkehrs-, Wetter-, Umwelt- und Börsendaten, Verbreitung von Informationen über Waren und Dienstleistungsangebote),
(…)
5. Angebote von Waren und Dienstleistungen in elektronisch abrufbaren Datenbanken mit interaktivem Zugriff und unmittelbarer Bestellmöglichkeit.

Teledienste sind damit alle gängigen Unternehmenspräsentationen im Internet, aber auch Shops, Foren oder ähnliche Gestaltungen.
Weiterlesen