Rechtsanwalt Andrés Heyn

Law as a Service in IP and IT

Spannende Entwicklungen im Beschäftigtendatenschutz

| Keine Kommentare

 

Diverse aktuelle Entscheidungen verändern die bisherige Rechtslage erheblich und der Einfluss der neuen DSGVO auf die Rechtsprechung nimmt zu.

An erster Stelle ist die Entscheidung der Großen Kammer der Europäischen Gerischtshofes für Menschenrechte zu nennen. Der Fall eines Rumänen, der wegen privater Chats und E-Mails auf Yahoo gekündigt wurde, beschäftigt die Rechtsprechung seit Jahrzehnten. Geklagt hatte ein Mitarbeiter, der entlassen worden war, weil er über den Internetzugang des Arbeitgebers private Nachrichten an seinen Bruder und seine Verlobte verschickt hatte. Über einen Messenger-Dienst sollte er eigentlich Kundenanfragen beantworten, nebenbei chattete er aber auch mit seinen Angehörigen. Das Unternehmen hatte die Unterhaltungen aufgezeichnet, ohne den Mitarbeiter über die Möglichkeit einer solchen Kontrolle vorab zu informieren.

Der Europäischer Gerichtshof für Menschenrechte (EGMR) hat jetzt in dieser aktuellen Entscheidung neue Regeln aufgestellt, welche Kontrollen von Mitarbeitern durch den Arbeitgeber rechtlich zulässig sind und welche Vorgaben hierbei berücksichtigt werden müssen. Dabei wendet der EGMR die Regeln der kommenden EU-Datenschutz-Grundverordnung (DSGVO) an und stellt neue Vorgaben auf, die Unternehmen bei der Überwachung von Beschäftigten in der Zukunft beachten müssen. Insbesondere in Bezug auf die vom Arbeitgeber zu gewährleistende Transparenz bei den Kontrollmaßnahmen macht der EGMR jetzt erheblich strengere Vorgaben als die Vorinstanzen. So müsse über die Möglichkeit und das Ausmaß von Kontrollen vorab informiert werden. Außerdem braucht es nach Auffassung des EGMR zusätzlich einen legitimen Grund für die Überwachung. Und schließlich müssten mildere Kontrollmaßnahmen und weniger einschneidende Konsequenzen als etwa eine Kündigung in Erwägung gezogen werden. Die Einzelheiten finden sich hier.

https://www.lto.de/recht/nachrichten/n/egmr-61496-08-private-chats-arbeitscomputer-ueberwachung-chef/

Die sogenannte „Keylogger-Entscheidung“ des Bundesarbeitsgerichts zum Datenschutz geht in die gleiche Richtung. Den Arbeitgebern wird nun die anlasslose Mitarbeiterüberwachung erschwert.

Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist laut BAG nach § 32 Abs. 1 BDSG (alt) unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Dem Mitarbeiter war u.a. gekündigt worden, weil er anderweitige Programmierarbeiten durchgeführt hatte, was „mitgeloggt“ wurde. Vor dem Einsatz des Keyloggers hatte der Arbeitgeber seine Beschäftigten per E-Mail informiert und diese aufgefordert, innerhalb einer Woche zu widersprechen, soweit sie mit dem Einsatz des Keyloggers nicht einverstanden seien. Der betroffene Beschäftigte äußerte sich dazu nicht. Diese vom Arbeitgeber „ins Blaue hinein“ veranlasste Maßnahme war unverhältnismäßig. Hinsichtlich der vom Kläger eingeräumten Privatnutzung habe das Landesarbeitsgericht ohne Rechtsfehler angenommen, diese rechtfertige die Kündigungen mangels vorheriger Abmahnung nicht.

http://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=pm&nr=19403

Außerdem hat das Bundesarbeitsgericht entschieden, dass Facebook- Auftritte von Firmen unter Umständen die zustimmung des Betriebsrats erfordern (Urteil vom 13.12.2016 (Az 1 ABR 7/15). Der Entscheidung lag folgender Sachverhalt zugrunde. Der DRK Blutspendedienst hat für konzernweites Marketing eine Facebook-Seite eingerichtet und registrierte Nutzer konnten sich dort nicht nur informieren, sondern auf einer virtuellen Pinnwand auch öffentlich sichtbare Kommentare posten. Nachdem sich Besucher kritisch zum Verhalten der Mitarbeiter geäußert hatten, schaltete sich der Konzernbetriebsrat ein und verlangte die Abschaltung der Seite.

Das BAG kam zu der Ansicht, dass diese Einrichtung bei Facebook und deren Betrieb der erzwingbaren Mitbestimmung unterliege. Die Posting-Funktion stelle ein Instrument der technischen Verhaltens- und Leistungskontrolle der Mitarbeiter dar. Die öffentlich zugänglichen Äußerungen zu Verhalten oder Leistung der Mitarbeiter würden zu einem erheblichen Überwachungsdruck führen. Darüber hinaus könne der Arbeitgeber die Beiträge auswerten und so zur tatsächlichen Überwachung der Beschäftigten nutzen. Der Arbeitgeberin wurde also aufgegeben, es zu unterlassen, den Besuchern (Facebook-Nutzern) der Seite www.facebook.com/drk.blutspendedienst.west die Nutzung der Funktion „Besucher-Beiträge“ zu ermöglichen, solange nicht die Zustimmung des Konzernbetriebsrats oder ein die Zustimmung ersetzender Beschluss der Einigungsstelle vorliegt.

Interessant ist auch ein Fall der Datenschutz-Aufsichtsbehörde aus Berlin, der bei der BVG erhebliche Mängel feststellte:

Tatsächlich hatte eine angehende Bereichsleiterin des Unternehmens im Zeitraum vom 22. März 2017 bis zum 4. April 2017 Zugriff auf sämtliche auf einem Laufwerk des Unternehmens hinterlegte Unterlagen des Personalrats, der Schwerbehindertenvertretung und der Frauenbeauftragten. Die BVG räumte ein, dass sich darunter auch sensitive Daten, wie z. B. Angaben über den Gesundheitszustand einzelner Beschäftigter und zur Strategie des Personalrates befanden. Es steht fest, dass die Führungskraft mindestens ein Dokument aus diesem Verzeichnis geöffnet, angesehen und ausgedruckt hat. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit stellte im Rahmen der Prüfung fest, dass es sich nicht um ein bloßes Mitarbeiterversehen handelt. Vielmehr wurden erhebliche Mängel in der Datenschutzorganisation des Unternehmens aufgedeckt, die ursächlich für den gravierenden Vorfall sind:

– die betrieblichen Daten des Unternehmens waren nicht von denen der Beschäftigtenvertretung auf unterschiedlichen Laufwerken getrennt abgelegt,

– die erfolgten Zugriffe auf personenbezogene Daten waren mangels ausreichender Protokollierung nicht kontrollierbar und

– die Prozesse, nach denen die Zugriffsrechte auf Verzeichnisse vergeben werden, waren veraltet, ungeeignet und nicht überprüfbar.

 

https://www.datenschutz.de/wp-content/uploads/kalins-pdf/singles/weil-wir-datenschutz-lieben-anstehende-aufraeumarbeiten-bei-der-bvg.pdf

Um die sehr praxisrelevante Videoüberwachung in Bahnen und Bussen ging es in einen Fall in Niedersachsen, den das Niedersächsische OVG entschieden hat. Die Videoüberwachung in den Stadtbahnen und Bussen der ÜSTRA ist mit demnach dem Datenschutzrecht vereinbar.

Der 11. Senat des Niedersächsischen Oberverwaltungsgerichts hat mit Urteil vom 7. September 2017 (Az. 11 LC 59/16) die Berufung der Landesbeauftragten für den Datenschutz Niedersachsen gegen ein Urteil des Verwaltungsgerichts Hannover zurückgewiesen und damit die Aufhebung einer datenschutzrechtlichen Anordnung im Ergebnis bestätigt.

Die klagende ÜSTRA hat in zahlreichen ihrer Fahrzeuge feststehende Videokameras installiert, mit denen im sog. Blackbox-Verfahren durchgehend Bewegtbilder vom Fahrzeuginnenraum aufgezeichnet werden. Die Videosequenzen werden nach 24 Stunden wieder gelöscht. Die Aufzeichnung dient unter anderem zur Beweissicherung bei Vandalismusschäden und zur Verfolgung von Straftaten. Die Landesdatenschutzbeauftragtegab der ÜSTRA im August 2014 mit einer auf § 38 Abs. 5 des Bundesdatenschutzgesetzes gestützten Verfügung auf, die Videoüberwachung in ihren Bussen und Stadtbahnen während des Einsatzes der Fahrzeuge im öffentlichen Personennahverkehr einzustellen und erst wieder aufzunehmen, nachdem sie entweder ein Konzept für einen nach Linien und Zeit differenzierten Einsatz der Videotechnik erarbeitet und umgesetzt hat oder anhand konkreter Anhaltspunkte darlegt, dass die Videoüberwachung zeitlich und örtlich unbeschränkt erforderlich ist. Der hiergegen gerichteten Klage hatte das Verwaltungsgericht Hannover mit Urteil vom 10. Februar 2016 (Az. 10 A 4379/15) mit der Begründung stattgegeben, das Bundesdatenschutzgesetz sei nicht anwendbar, weil die ÜSTRA eine öffentliche Stelle des Landes Niedersachsen sei, für die der Datenschutz durch Landesgesetz geregelt sei. Das niedersächsische Datenschutzgesetz enthalte keine Eingriffsermächtigung, auf die die Verfügung der Landesdatenschutzbeauftragten gestützt werden könnte.

Das Oberverwaltungsgericht hat die Entscheidung des Verwaltungsgerichts im Ergebnis bestätigt. Nach Ansicht des 11. Senates ist das Bundesdatenschutzgesetz allerdings anwendbar und erlaubt der ÜSTRA die Videoüberwachung in ihren Fahrzeugen. Die Videoüberwachung dient der Wahrnehmung berechtigter Interessen der ÜSTRA, insbesondere der Verfolgung von Straftaten gegen ihre Einrichtungen und der Verhütung solcher Straftaten. Die erforderliche Abwägung mit den schutzwürdigen Interessen des von den Überwachungsmaßnahmen betroffenen Personenkreises fällt zugunsten der von der ÜSTRA geltend gemachten Belange aus.

 

http://www.oberverwaltungsgericht.niedersachsen.de/aktuelles/presseinformationen/videoueberwachung-in-den-stadtbahnen-und-bussen-der-uestra-ist-mit-dem-datenschutzrecht-vereinbar-157471.html

Leider wurde die Revision nicht zugelassen. Es ist zu befürchten, dass andere OVG-Senate zu anderen Urteilen kommen und die Rechtsprechung zersplittert wird. Die sog. Art. 29 Gruppe bei der EU-Kommission etwa hat sich in der „Opinion“ 2/17 kritisch zu sog. Unfall-Apps in Bussen ausgesprochen.

Autor: Rechtsanwalt Heyn

Autor: Andrés Heyn

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.