Datenschutz

Internetnutzung am Arbeitsplatz, grenzüberschreitende Verarbeitung von personenbezogenen Daten

Datenschutz im Internet

Das Internet mit all seinen Formen bietet uns Nutzern viele positive Erleichterungen und Möglichkeiten. Dennoch birgt es auch jede Menge Gefahren, denn auch scheinbar kostenlose Netzwerke müssen finanziert werden. Sinn und Zweck des Datenschutzes ist es deshalb, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personen­bezogenen Daten in seinem Persönlich­keitsrecht beeinträchtigt wird.

Das Datenschutzrecht soll den Einzelnen in seinen Grundrechten, Grundfreiheiten und den Schutz der Privatsphäre natürlicher Personen gewährleisten. Ebenso soll es zum wirtschaftlichen und sozialen Fortschritt beitragen, wie auch zur Entwicklung des Handels und zum Wohlergehen der Menschen. Deshalb soll auch die EG-Datenschutz­richtlinie 95/46 das Datenschutzrecht aller EWR-Mitgliedstaaten harmonisieren und ein europaweites einheitliches Schutzniveau geschaffen werden, was den freien personen­bezogenen Datenverkehr zwischen den EWR-Mitgliedstaaten im Sinne des EU-Binnenmarktes ermöglicht und fördert.

Mit der Datenschutz­richtlinie 95/46 wurde für die Mitgliedstaaten der EU erstmals im Bereich des Datenschutzes ein transnationaler Rechtsrahmen geschaffen, der für die Mitgliedstaaten bindend war. Sie entfaltet jedoch gegenüber dem nationalen Datenschutzrecht der Mitgliedstaaten keine unmittelbare Wirkung gegenüber den Bürgern, sondern findet im Rahmen einer richtlini­en­konformen Auslegung der nationalen Umsetzungsformen mittelbar Berücksichtigung. Die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personen­bezogener Daten richtet sich jedoch primär nach den einschlägigen Bestimmungen des geltenden nationalen Rechts des jeweiligen Mitgliedstaates, welche das Schutzniveau der Richtlinie überschreiten, aber nicht dahinter zurückstehen dürfen.

Auf Bundesebene besteht das Bundesda­ten­schutzgesetz (BDSG), sowie die Vorschriften des Telemedi­engesetzes (TMG) und des Telekommu­ni­ka­ti­onsgesetzes (TKG). Das BDSG greift nach § 1 Abs. 3 Satz 1 nur ein, wenn keine spezifischeren Regelungen ihren Vorrang beanspruchen. Soweit Vorschriften des Telemedi­engesetzes und des Telekommu­ni­ka­ti­onsgesetzes Anwendung finden, scheidet eine Anwendung des BDSG grundsätzlich aus. Die verschiedenen Datenschutzregime und ihre Anwendbarkeit lassen sich in drei Ebene unterteilen. Auf der ersten Stufe stehen die Telekommu­ni­ka­ti­onsdienste (z.B. Telefon, E-Mail, etc.), welche die Ebene des technischen Übermitt­lungs­vorganges bzw. die Transportebene betreffen, also die Übertragung von Signalen. In diesem Fall findet das TKG Anwendung. Die zweite Stufe betrifft die Telemedien, welche die Dienstebene oder Interaktionsebene einschließen. Hieraus folgt die Anwendung des TMG. Und auf der dritten Stufe steht die Anwendbarkeit der allgemeinen datenschutz­rechtlichen Bestimmungen, soweit es sich um die Inhaltsebene handelt. Diese beschreibt dabei die Speicherung, und Verwendung von Daten ohne Bezug zu Vorgängen auf der Übermittlungs- oder Dienstebene (z.B. Versandhandel, Bankgeschäfte).

Dabei ergibt sich in Zeiten der sozialen Netzwerke ein breites Feld von Problemen im Zusammenhang mit der Anwendung. Denn wie bereits oben angesprochen, bedeutet die Unentgeltlichkeit der sozialen Netzwerke nicht ohne Gegenleistung“. Die Gegenleistung steht in der Preisgabe von persönlichen Daten. Diese Entwicklung ist aus datenschutz­rechtlicher Sicht durchaus problematisch (mehr dazu siehe soziale Netzwerke“). Umso wichtiger erscheint die Auseinan­dersetzung mit dem Thema, um neuen Entwicklungen auch in der Rechtsprechung Rechnung tragen zu können.

Beschäftig­ten­da­tenschutz

Die Datenschutzskandale in den letzten Jahren (z.B. Telekom AG, Deutsche Bahn, Lidl, Deutsche Post, Postbank), bei denen Mitarbeiter aber auch Führungskräfte ausgespäht und auf verschiedene Weisen überwacht wurden, haben die Politik dazu bewogen, das Thema des Arbeitneh­mer­da­tenschutz wieder aufzugreifen. Dabei entstand der neue § 32 BDSG, welcher erstmals eine eigenständige Regelung zum Arbeitneh­mer­da­tenschutz darstellte.

Der § 32 BDSG stellt keine abschließende Regelung dar, sondern konkretisiert vielmehr die sich aus der arbeitsver­traglichen Zweckbestimmung und aus § 28 Abs. 1 S. 1BDSG ergebende Zulässigkeit der Datenerhebung, -verarbeitung und –nutzung. Des Weiteren enthält er Bestimmungen zum Umgang mit personen­bezogenen Daten im Zusammenhang mit der Aufdeckung von Straftaten und in Hinblick auf die betriebliche Mitbestimmung. Somit stellt § 32 BDSG nunmehr die zentrale Regelung über die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten zu Zwecken des Beschäftig­ten­ver­hältnisses im Bereich des Beschäftig­ten­da­tenschutzes dar.

Der Anwendungsbereich von § 32 BDSG umfasst alle Beschäftigten im Sinne von § 3 Abs. 11 BDSG. Gemäß § 32 BDSG ist die Regelung auch auf den nicht dateigebundenen Umgang von Beschäftigtendaten anwendbar. Folglich fällt jede Erhebung, Verarbeitung oder Nutzung von Beschäftigtendaten unter diese Bestimmung, egal ob die Daten in irgendeiner Form papiergebunden oder elektronisch vorliegen. Auch handschriftliche Protokolle eines Vorstellungs­gesprächs oder die Einsichtnahme in eine papiergebundene Personalakte fallen unter den Anwendungsbereich von § 32 BDSG.

§ 32 BDSG verdrängt im Bereich des Beschäftig­ten­da­tenschutzes die allgemeine Ermächti­gungs­grundlage für rechtsge­schäftliche oder rechtsge­schäftsähnliche Schuldver­hältnisse des § 28 Abs. 1 S. 1 Nr.1 BDSG. Handelt es sich jedoch um nicht-vertragliche Legitimationen einer Datenerhebung, -verarbeitung, -nutzung von Beschäftigtendaten, kann weiterhin auf die Vorschriften des BDSG und anderer Gesetze zurückgegriffen werden.

Nach § 32 Abs. 1 S. 1 BDSG ist die Erhebung, Verarbeitung oder Nutzung von personen­bezogenen Daten eines Beschäftigten zulässig, wenn dies für die Zwecke der Entscheidung über die Begründung des Beschäfti­gungs­ver­hältnisses (1. Alt.), dessen Durchführung (2.Alt.), oder dessen Beendigung (3.Alt.) erforderlich ist. Diese Beschäfti­gungszwecke ergeben sich dabei nicht nur aus dem Arbeitsvertrag, sondern auch aus anderen Gesetzen oder aus arbeitsrechtlichen Kollektiv­ver­einbarungen. Im Wege der Erforder­lich­keitsprüfung sind auf alle Umstände des konkreten Einzelfalls einzugehen. Sollte mein mehreren gleich geeigneten Maßnahmen eine Maßnahme weniger in die Persönlich­keitsrechte des Beschäftigten eingreifen, ist diese zu bevorzugen. Allgemeine Kontroll- und Überwachungs­maßnahmen können aus § 32 Abs. 1 S. 1 BDSG zulässig sein, Maßnahmen zur Aufdeckung von Straftaten bedürfen jedoch spezielle Voraussetzungen aus § 32 Abs. 1 S. 2 BDSG. Zudem sind auch insoweit die Mitbestim­mungsrechte der Betriebsräte zu berücksichtigen (§ 32 Abs. 3 BDSG).

Dienstliche und private E-Mail- und Internet-Nutzung am Arbeitsplatz

Vielen Arbeitnehmern, sei es im öffentlichen Dienst oder in der Privatwirtschaft, wird heute ein Zugang zum Internet als Arbeitsmittel von ihrem Arbeitgeber zur Verfügung gestellt. Dabei hat der Arbeitgeber jedoch einige datenschutz­rechtliche Anforderungen zu beachten, wenn es um den Umgang mit personen­bezogenen Daten der Beschäftigten geht. Diese hängen jedoch davon ab, ob und wenn ja, in welchem Umfang dem Beschäftigten neben der dienstlichen auch die private Nutzung des dienstlichen E-Mail-Accounts und/​oder des Internets gestattet wird.

In beiden Fällen ist der Arbeitgeber jedoch berechtigt, den Zugriff des einzelnen Arbeitnehmers auf das Internet zu protokollieren. Zur Aufrecht­erhaltung der Systemsicherheit, zur Analyse und Korrektur technischer Fehler, zur Optimierung der Rechnerleistung im Netzwerk, zur Ermittlung der Kosten verbrauchter Ressourcen zwecks interner Leistungs­verrechnung, zur Vorbeugung strafrechtliche relevanten Verhaltens und zur Kontrolle der Einhaltung der dienst-​/​arbeitsrechtlicher Vorgaben, kann sogar jeder Zugriff auf das Internet mit Benutzer­iden­tifikation (IP-Adresse, Ethernet-Adresse, Datum und Uhrzeit, Zugriff, übertragene Datenmenge und Zieladresse) protokolliert werden. Jedoch müssen der Umfang der Protokolldaten und der Speicherungsdauer der Daten vorab festgelegt sein und dem Arbeitnehmer bekannt gegeben werden.

Gestattet der Arbeitgeber die E-Mail- und Internet-Nutzung ausschließlich zu dienstlichen Zwecken, so stellt er keinen Anbieter im Sinne des Telekommu­nikations- und Telemedienrechts dar. In diesem Fall hat der Arbeitgeber grundsätzlich das Recht, stichprobenweise zu überprüfen, ob das Surfen bzw. Versenden von Mails durch die Beschäftigten dienstlichen Zwecken nutzt. Von ein- und ausgehenden E-Mails darf der Arbeitgeber in selben Maß Kenntnis nehmen, wie im übrigen dienstlichen Schriftverkehr. Eine automatisierte Vollkontrolle durch den Arbeitgeber ist jedoch nicht zulässig, da sie als schwerwiegenden Eingriff in das Persönlich­keitsrecht des Beschäftigten angesehen wird. Nur bei konkretem Missbrauchsverdacht ist eine Ausnahme zulässig. Sollte der Beschäftigte jedoch während einer längeren Abwesenheit E-Mails auf dem privaten E-Mail-Account empfangen, um einen ordnungsgemäßen Betriebsablauf zu ermöglichen, steht es dem Arbeitgeber zu, das private E-Mail-Konto des Beschäftigten einzusehen. Dabei ist zu beachten, dass E-Mail mit erkennbarem privatem Inhalt, nur in dem Umfang von Arbeitgeber zur Kenntnis genommen werden darf, wie dies unerlässlich ist, um sie von dienstlichen E-Mails zu trennen. Eine generelle Verwendung der Daten zur Verhaltens- und Leistungs­kontrolle der Beschäftigten ist unzulässig. Ein Anspruch auf Zulassung der privaten Nutzung von Internet und E-Mail am Arbeitsplatz steht den Arbeitnehmern nicht zu. Eine Ausnahme stellt jedoch die sog. dienstlich motivierte Privatnutzung dar, welche zulässig ist, wenn die Notwendigkeit der Kommunikation aus den Umständen herrührt, die in der Sphäre des Arbeitsgebers begründet sind und der Arbeitgeber aufgrund seiner Fürsorgepflicht dazu gehalten ist, die private Nutzung zu gestatten (z.B. wenn ein privater Termin aus geschäftlichen Gründen nicht eingehalten werden kann).

Stimmt der Arbeitgeber zur privaten Email und Internet Nutzung zu, so ist er dem Arbeitnehmer gegenüber Telekommu­nikations- und Telemedi­endienste-Anbieter. Dadurch unterliegt der Arbeitgeber den speziellen Vorgaben des Telekommu­ni­ka­ti­onsgesetzes (TKG) und des Telemedi­engesetzes (TMG). Folglich ist der Arbeitgeber gegenüber den Arbeitnehmern zur Einhaltung des Telekommu­ni­ka­ti­ons­ge­heimnisses verpflichtet. Die Protokollierung der Nutzung ohne Einwilligung des Arbeitnehmers darf nur erfolgen, wenn sie zu Zwecken der Datenschutz­kontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs der Verfahren oder zu Abrechnungszwecken erforderlich ist oder der Verdacht einer strafrechtlich relevanten Nutzung vorliegt. Eine darüber hinausgehende Protokollierung der Nutzung ist nur mit der Einwilligung des Arbeitnehmers oder aufgrund der Regelung in einer Betriebs­ver­einbarung zulässig. Da die Nutzung des dienstlichen E-Mail-Accounts und Internets zu privaten Zwecken freiwillig ist, kann der Arbeitgeber die Erlaubnis der privaten Nutzung an bestimmte Bedingungen hinsichtlich des zulässigen Zeitrahmens, der zugelassenen Bereiche, eine zu duldende Protokollierung, sowie an eine regelmäßige Kontrolle knüpfen. Diese speziellen Bestimmungen des Umfangs der Nutzung sollten im individuellen Arbeitsvertrag, in den internen Richtlinien des Arbeitgebers oder in einer Betriebs­ver­einbarung verfasst sein. Bezüglich der Internet-Nutzung ist der Arbeitgeber an die Vorgaben des TKG und TMG gebunden und darf eine Protokollierung und Auswertung, über die bereits oben genannten Zwecke, nur auf Grundlage einer Einwilligung des Arbeitnehmers oder einer kollektiven Regelung in einer Betriebs­ver­einbarung vornehmen.

Ist eine Regelung zur privaten Nutzung durch den Arbeitgeber unterblieben, kann dies dazu führen, dass eine Gestattung der privaten Nutzung in Form einer sog. betrieblichen Übung“ vorliegt. Dies steht einer ausdrücklichen Erlaubnis der privaten Nutzung gleich. Eine betriebliche Übung liegt vor, wenn ein Arbeitnehmer aus der regelmäßigen Wiederholung bestimmter Verhaltensweisen des Arbeitgebers einen konkreten Verpflich­tungswillen des Arbeitgebers ableiten kann. Folglich sollte der Arbeitgeber eine ausdrückliche Regelung der Frage zur Zulässigkeit der privaten Nutzung des dienstlichen E-Mail-Accounts und/​oder Internet-Zugangs treffen, um die aus fehlenden Regelungen folgenden Rechtsun­sicherheit zu vermeiden.