Autor: Jörg Conrad (Datenschutzbeauftragter / Fachanwalt für Arbeitsrecht)

Mit Datum 17. Juni 2021 wurde das neue Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) im Gesetzblatt verkündet. Es gilt seit dem 18.06.2021.

https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl121s1762.pdf%27]#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1762.pdf%27%5D__1624259636403

Hierin wurden einige gerade auch für den Datenschutz bedeutsame Änderungen beschlossen, die insbesondere das Betriebsverfassungsgesetz betreffen und damit für Unternehmen und Ihre Betriebsräte von erheblicher Bedeutung sind.

Direkt oder indirekt auch für den Datenschutz und die Informationssicherheit von Bedeutung sind Änderungen hinsichtlich der Stärkung von Rechten des Betriebsrates beim Einsatz von künstlicher Intelligenz, der Mitbestimmung bei der inhaltlichen Ausgestaltung von mobiler Arbeit, der Unterzeichnung von Betriebsvereinbarungen in elektronischer Form per elektronische Signatur und der Möglichkeit unter bestimmten Voraussetzungen zukünftig auch dauerhaft Betriebsratssitzungen per Videokonferenz durchzuführen.

Eingefügt wurde ein neuer § 79 a BetrVG, auf den wir hier im Wesentlichen eingehen wollen.

Hierin heißt es unter der Überschrift Datenschutz:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Das Thema Datenschutz im Betrieb wird zwischen den Betriebsparteien dadurch weiter aufgewertet und ist nun mit einer eigenen Norm zentraler Bestandteil des BetrVG.

Welche Fragen werden hier konkret angesprochen, bzw. welche Konsequenzen ergeben sich aus den Änderungen?

1. Wer ist verantwortlich für die Umsetzung des Datenschutzes im Unternehmen und damit Adressat von Rechten und Pflichten?

Die Regelung im neuen § 79 a BetrVG ist hochaktuell und bedeutsam, entscheidet Sie doch einen Streit darüber, ob der Betriebsrat als eigene verantwortliche Stelle verpflichtet ist den Datenschutz umzusetzen. Wäre dies der Fall, müsste er sämtliche Regelungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) für seine Tätigkeit umsetzen und dokumentieren. Er müsste z. B. ein eigenes Verarbeitungsverzeichnis führen, Auskunftsansprüche und weitere Betroffenenrechte persönlich erfüllen, Meldungen bei Datenschutzverletzungen gegenüber der Behörde abgegeben, er wäre Adressat von gegen ihn gerichteten Ansprüchen, z. B. auf Schadenersatz seitens betroffener Personen.

Die neue Regelung besagt nunmehr eindeutig, dass verantwortlich im Sinne der datenschutzrechtlichen Vorschriften allein der Arbeitgeber, also das Unternehmen ist, was auch die Datenverarbeitungen des Betriebsrates einschließt.

Diese Klarstellung des Gesetzgebers ist auf jeden Fall begrüßenswert, weil dadurch eine Klärung der sowohl für den Betriebsrat als auch für den Arbeitgeber praktisch relevanten Frage der Datenschutzorganisation herbeigeführt wurde.

Die Entscheidung des Gesetzgebers gegen eine eigene Verantwortlichkeit des Betriebsrates ist nachvollziehbar, da der Betriebsrat, auch wenn er in seinem Bereich über eigene Rechte und eine gewisse Selbstständigkeit verfügt, Teil des Gesamtunternehmens und damit eine unternehmensinterne Stelle ist. Nach Außen hin trägt dann auch das Unternehmen bzw. die Unternehmensleitung die Gesamtverantwortung.

2. Was gilt für den Betriebsrat beim Datenschutz?

Auch der Betriebsrat muss, wenn auch nicht als Verantwortlicher, selbstverständlich den Datenschutz einhalten. Der neue § 79 a BetrVG weist auch ausdrücklich darauf hin, in dem es heißt:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.

Insbesondere darf der BR nur dann personenbezogene Daten verarbeiten, sofern das zur Erfüllung seiner Aufgaben, insbesondere nach dem Betriebsverfassungsgesetz, erforderlich ist. Er muss personenbezogene Daten durch technische und organisatorische Maßnahmen vor unbefugten Zugriff schützen. Er muss sich über grundsätzliche Dinge zur Umsetzung des Datenschutzes, angefangen von der rechtmäßigen Erhebung bis zur Löschung der Daten, in seinem Bereich Gedanken machen.

Auch für seine praktische Tätigkeit ist das wichtig, wie ein Beispiel aus der Rechtsprechung zeigt. So können Auskünfte über sensible Informationen, die dem BR nach dem Gesetz zustehen, durch den Arbeitgeber verweigert werden, sofern es beim Betriebsrat an angemessenen Maßnahmen zum Schutz dieser Daten fehlt (BAG, Beschluss v. 09.04.2020, 1 ABR 51/17).

Unabhängig davon erwarten natürlich auch die Kolleginnen und Kollegen vom Betriebsrat, dass dieser vertrauliche Informationen angemessen schützt und gesetzeskonform verarbeitet.

Darüber hinaus gibt es weitere Tätigkeiten auf die sich Arbeitgeber und Betriebsräte im Datenschutz einzustellen haben, dazu siehe nachfolgend.

3. Wie setzt man den Datenschutz im Betrieb und beim Betriebsrat um?

Hierzu heißt es im neuen § 79 a BetrVG:
Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Es wird ausdrücklich klargestellt, dass sich Arbeitgeber und Betriebsrat hier gegenseitig unterstützen. Doch wie kann eine gegenseitige Unterstützung in der Praxis aussehen? Hierzu sagt das Gesetz konkret leider nichts. Allerdings lassen sich aus den allgemeinen gesetzlichen Vorschriften sowie aus der Gesetzesbegründung doch einige Dinge herausstellen.

Hierzu gehört sicherlich der Abschluss von Betriebsvereinbarungen durch die Betriebsparteien, in denen die automatisierte Verarbeitung von personenbezogenen Daten von Beschäftigten durch Informations- und Kommunikationstechnik (IuK) im Unternehmen ausdrücklich unter Beachtung des Datenschutzes geregelt werden.

Punkte, die in der Gesetzesbegründung ausführlich genannt werden, sind:

• Unterstützung des Betriebsrates bei der Erstellung eines Verarbeitungsverzeichnisses. Der Betriebsrat ist nicht verpflichtet ein Verarbeitungsverzeichnis zu führen, wohl aber der Arbeitgeber als Verantwortlicher, hierzu zählt dann aber auch die Verarbeitungstätigkeit des Betriebsrates.
• Unterstützung des Betriebsrates im Rahmen der Auskunftserteilung sowie der Umsetzung weiterer Betroffenenrechte. Auskunftspflichtig ist der Arbeitgeber, sofern sich die Auskunft auch auf Daten des Betriebsrates bezieht, ist er auf dessen Unterstützung angewiesen, damit das verantwortliche Unternehmen binnen Monatsfrist antworten kann.
• Unterstützung des Arbeitgebers bei der Anschaffung von angemessenen Betriebsmitteln zum Schutz von personenbezogenen Daten im Betriebsratsbüro

Es gibt noch viele weitere Punkte, z. B.

• Datenschutzverletzungen, die beim Betriebsrat passieren, müssen innerhalb einer sehr kurzen Frist an den Arbeitgeber gemeldet werden, damit dieser binnen 72 Stunden seiner Meldepflicht an die Behörde nachkommen kann.

Man sieht hier gibt es eine Menge Schnittstellen, die zwischen Arbeitgeber (Unternehmen) und Betriebsrat zu beachten sind und in praktischer Art und Weise gehandhabt werden müssen.

Es dürfte sich empfehlen Betriebsvereinbarungen oder zumindest Regelungen zu treffen welche die bestehenden Verpflichtungen, die sich aus der DSGVO und dem BetrVG ergeben, sowie konkrete Maßnahmen zur Umsetzung der gegenseitigen Unterstützungspflichten enthalten sollten. Bestenfalls enthalten diese auch etwas zur Kontrolle bzw. Unterstützung durch den betrieblichen Datenschutzbeauftragten. Dazu nachfolgend mehr.

4. Was kann/soll der Datenschutzbeauftragte tun?
a. Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat?

Nicht ausdrücklich im neuen § 79 a BetrVG geregelt ist, die nach wie vor kontrovers diskutierte Frage, ob der Datenschutzbeauftragte zur Kontrolle des Betriebsrates berechtigt und verpflichtet ist. Das Gesetz enthält keine konkreten Hinweise, die das Verhältnis zwischen Betriebsrat, Arbeitgeber und Datenschutzbeauftragten unter Berücksichtigung der Unabhängigkeit des BR ausdrücklich beschreiben. Wohl hat sich der Gesetzgeber hierzu aber einige Gedanken gemacht.

Angesichts der Gesamtverantwortlichkeit des Unternehmens für den Datenschutz einschließlich verschärfter Sanktions- und Haftungsregelungen der neuen DSGVO besteht natürlich ein erhebliches Interesse des Arbeitgebers daran, dass der Betriebsrat den Datenschutz bei sich bestmöglich umsetzt und das auch durch den DSB kontrolliert wird.

Außerdem ist der Betriebsrat lediglich Teil der verantwortlichen Stelle ist und der Datenschutzbeauftragte hat den Datenschutz im gesamten Unternehmen nach Art 39 Abs. 1 b) DSGVO ohne Ausnahme zu überwachen hat. Auch der Gesetzgeber scheint davon auszugehen, wenn es in der Gesetzesbegründung zu § 79 a BetrVG heißt:

„Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der Datenschutz-Grundverordnung (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle“.

Andererseits ist die nach dem Betriebsverfassungsgesetz und die darauf basierende Rechtsprechung des Bundesarbeitsgerichts (BAG, Beschl. v. 11.11.1997 – 1 ABR 21/9) zu bedenken. Diese lehnte eine Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat aufgrund der nach dem Betriebsverfassungsgesetz garantierten Unabhängigkeit des Betriebsrats und der nach Auffassung des BAG nicht neutralen Position des Datenschutzbeauftragten seinerzeit ab und mahnte eine gesetzliche Regelung zu der Thematik an.

• 79 a BetrVG beinhaltet nunmehr ausdrücklich auch Verschwiegenheitspflichten des Datenschutzbeauftragten gegenüber dem Arbeitgeber, deren fehlen ein Kritikpunkt in der seinerzeitigen BAG Entscheidung war.

So heißt es:

Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Der Datenschutzbeauftragte kann, auch wenn er organisatorisch dem Unternehmen und der Leitung gegenüber verantwortlich ist („Stabsstelle“), auch im Bereich des Betriebsrates vertraulich tätig sein.

Vertraulich zu behandeln sind neben konkreten Anfragen von Betriebsratsmitgliedern zu datenschutzrechtlichen Angelegenheiten nunmehr auch Informationen in Bezug auf die Meinungsbildung im Gremium zu datenschutzrechtlichen Fragen. Hier könnte es sich z. B. um Beschlüsse handeln aber auch um sonstige Meinungsäußerungen, die erkennbar für den Datenschutzbeauftragten vertraulichen Charakter haben.

Was letztlich genau unter dem Punkt „Meinungsbildungsprozess des Betriebsrates“ fällt führt das Gesetz nicht im Einzelnen auf. Gleichwohl dürfte dies aber eine Grundlage für die vertrauensvolle Zusammenarbeit mit dem Datenschutzbeauftragten darstellen.

Ob zukünftig eine gesetzliche Kontrollpflicht- bzw. Berechtigung des Datenschutzbeauftragten gegenüber dem Betriebsrat anzunehmen ist und sich die Rechtsprechung des BAG demnächst ändert bleibt abzuwarten. Zumindest der Gesetzgeber scheint hiervon aber auszugehen, leider beschreibt er das Verhältnis des Datenschutzbeauftragten zum Betriebsrat aber im Gesetz selber nicht eindeutig.

b. Unterstützung des Betriebsrates durch den Datenschutzbeauftragten

Unabhängig von juristischen Spitzfindigkeiten sollte man die Angelegenheit im Interesse beider Betriebsparteien allerdings pragmatisch angehen, denn die Unterstützung des Betriebsrates durch den betrieblichen Datenschutzbeauftragten ist auf jeden Fall sinnvoll und geboten.

Zur Umsetzung des Datenschutzes wird der Betriebsrat aufgrund eigener Expertise auch unter Berücksichtigung von Schulungen nur bedingt in der Lage sein. Der Datenschutzbeauftragte hat außerdem den Überblick über die Umsetzung des Datenschutzes für das gesamte Unternehmen und kann dafür sorgen, dass man hier entsprechend abgestimmt und einheitlich agiert.

Der Gesetzgeber weist in seiner Gesetzesbegründung zum neuen § 79 a BetrVG ausdrücklich darauf hin, dass der BR sich der Unterstützung des betrieblichen Datenschutzbeauftragten bedienen kann und falls erforderlich sogar soll. Arbeitgeber, Betriebsräte und Datenschutzbeauftragte sollten daher die Unterstützung und Beratung des Betriebsrates bei der Umsetzung der DSGVO als festen Bestandteil des betrieblichen Datenschutzmanagements betrachten und regelmäßig zusammen kommen bzw. Termine vereinbaren.

Die Prüfung und Etablierung von angemessenen technischen und organisatorischen Maßnahmen, das Erstellen eines Verarbeitungsverzeichnisses, die weiteren Unterstützungspflichten des Betriebsrates bei den Betroffenenrechte werden ohne Mithilfe des betrieblichen Datenschutzbeauftragten nur schwer umsetzen sein. Soweit der Betriebsrat ggf. Ängste hat, dass Internas bei der Meinungsbildung zu datenschutzrechtlichen Themen an den Arbeitgeber herangetragen werden könnten, bestehen Vertraulichkeitspflichten.

5. Ausblick

Das Thema Datenschutz wird auch weiterhin im Fokus stehen und gerade das Verhältnis Arbeitgeber zum Betriebsrat wird verstärkt in den Blickpunkt genommen werden. Dazu wird auch der neue § 79 a BetrVG beitragen. Dabei liegt die Beachtung des Datenschutzes sowohl im Interesse des Arbeitgebers als Verantwortlicher als auch im Interesse des Betriebsrates als Teil des Verantwortlichen. Die Betriebsparteien werden daher auch auf diesem Gebiet, wie es im Betriebsverfassungsgesetz an anderer Stelle heißt vertrauensvoll zusammen arbeiten müssen und sich gegenseitig unterstützen.

Dabei spielt auch der Datenschutzbeauftragte eine zentrale Rolle. Andernfalls werden Arbeitgeber und Betriebsrat die jeweils bestehenden Verpflichtungen, die sich aus der DSGVO und dem BDSG sowie aus dem BetrVG ergeben nicht zufriedenstellend umsetzen können.

Hier gibt es noch viel zu tun. Ihr Datenschutzbeauftragter unterstützt Sie auf diesem komplexen Aufgabenfeld.

Jörg Conrad
Datenschutzbeauftragter/Fachanwalt für Arbeitsrecht
GINDAT GmbH

Der Hessische Landesdatenschutz­beauftragte hat laut Tätigkeitsbericht 2019 gegen eine Reha Klinik ein Bußgeld in Höhe von 6.800.- € erlassen, da diese einen Entlassungsbericht mit sensiblen Gesundheitsdaten versehentlich an den falschen Empfänger geschickt hat.

Hierbei handelte es sich um eine „Datenpanne“, die nach Art 33 DSGVO innerhalb von 72 Stunden an die zuständige Behörde zu melden ist. Nachdem das Unternehmen von der Falschversendung durch den Empfänger erfuhr, meldete Sie den Vorgang erst nach 7 Tagen der zuständigen Landesdatenschutz­behörde. Die rechtzeitige Meldung sollte kein Bußgeld nach sich ziehen, die Verspätung nahm die Behörde aber zum Anlass ein erhebliches Bußgeld zu verhängen.

In gegenüber der Aufsichtsbehörde ausdrücklich zu begründenden Fällen kann diese Frist ggf. überschritten werden, z.B. weil eine Datenschutzverletzung unverschuldet erst später bekannt wird oder erst nach einer längeren Recherchephase als solche erkennbar ist. Die Begründung der Reha Klinik, es habe sich um einen erstmaligen Fall gehandelt und die Mitarbeiter hätten nicht gleich gewusst, was mit dem Fall zu tun sei, ließ die Behörde nicht gelten.

Derartige Fälle müssen in einer Anweisung im Unternehmen geregelt sein, damit sie rechtzeitig von den Mitarbeitern erkannt und an entsprechend verantwortliche Personen gemeldet werden. Wissen Ihre Mitarbeiter, dass die fehlerhafte Versendung, insbesondere von sensiblen Daten an Unbefugte eine meldepflichtige Datenschutz­verletzung darstellt und grundsätzlich binnen 72 Stunden bei der zuständigen Landesdatenschutz­behörde angezeigt werden muss? Haben Sie Ihre Mitarbeiter geschult und eine Handlungsanweisung hinterlegt? Wenn nein, sollten Sie sich schleunigst darum kümmern, denn allein die Überschreibung der Meldefrist kann, wie das Beispiel zeigt, teuer werden.

Ein Muster zu Datenschutz­verletzungen findet sich im myGINDAT Erstpacket unter „Meldung Datenschutzverletzung“. Ihr Datenschutz­beauftragter unterstützt Sie bei der Umsetzung.

Das Amtsgericht Siegburg hatte einen Fall zu verhandeln, der die fristlose Kündigung eines SAP-Beraters betraf.

Dieser hatte vom Rechner eines Spielcasinos aus Kopfschmerz­tabletten für zwei Vorstands­mitglieder einer Kundin seines Arbeitgebers bestellt. Dabei griff er zwecks Zahlung per Lastschrift auf die zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Daten, wie Namen, Anschriften und Bankverbindungs­daten zu. Der Mitarbeiter tat dies um die Kundin seines Arbeitgebers auf Sicherheits­lücken aufmerksam zu machen und ließ den Vorstands­mitgliedern der Kundin eine Info zukommen, die dahingehend lautete, „dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerz­tabletten durchaus helfen könnten“.

Der Arbeitgeber fand dies ganz und gar nicht gut und sprach eine fristlose Kündigung des Arbeits­verhältnisses aus, gegen die der Mitarbeiter klagte.
Das Arbeitsgericht Siegburg wies die Klage ab und befand, dass die fristlose Kündigung berechtigt sei, da der Mitarbeiter gegen die Interessen seines Arbeitgebers eklatant verstoßen habe. Dieser müsse als im IT-Bereich tätiges Unternehmen den Datenschutz seiner Kunden gewährleisten. Dem steht es entgegen, wenn in der EDV des Kunden gespeicherte hochsensible persönliche Daten, wie vorliegend Name Anschrift und Bankverbindung durch einen Mitarbeiter missbraucht werden und auf diese Daten wider­rechtlich Zugriff genommen wird.

Dabei spielte es keine Rolle, dass der Mitarbeiter für sein Vorgehen eine möglicherweise bestehende Sicherheits­lücke ausgenutzt hatte.
Das hierbei von ihm gewählte Mittel stand nach Auffassung des Gerichts offen­sichtlich außer Verhältnis zu dem von ihm verfolgten Ziel, weil er nicht nur mit Worten auf die Sicherheitslücke aufmerksam gemacht, sondern sie nach eigener Darstellung gerade ausgenutzt hatte. Von Seiten des Arbeitgebers und deren Mitarbeiter habe die Kundin allenfalls den Schutz vor, keinesfalls aber den Missbrauch von etwaigen Sicherheits­lücken zu erwarten.
Das Gericht hat den Sachverhalt daher als so schwerwiegend erachtet, dass es eine fristlose Kündigung als berechtigt erachtet hat.

ArbG Siegburg, Urteil vom 15.01.2020 – 3 Ca 1793/19

Anmerkung GINDAT

Das Urteil zeigt, dass ein Verstoß gegen den Datenschutz erhebliche Konsequenzen haben kann.

Leider ist dem Urteil nicht zu entnehmen, dass sich das Gericht mit den Vorschriften der Datenschutz­grundverordnung (DSGVO) und des Bundes­datenschutz­gesetzes (BDSG) großartig beschäftigt hat, da es offensichtlich ohne hierauf näher einzugehen, dass Verhalten des Mitarbeiters als derart eindeutigen Verstoß gegen den Datenschutz angesehen hat, dass eine nähere Prüfung unterblieben ist.

Von daher sei von dieser Stelle darauf hingewiesen, dass nach Art 6 Abs. 1 DSGVO jede Erhebung, Nutzung und sonstige Verarbeitung von personen­bezogenen Daten nach der Datenschutz­grundverordnung immer einer Rechtsgrundlage bedarf, andernfalls ist diese verboten.

Neben einer Einwilligung des Kunden, die hier nicht vorlag, kommt als Rechtsgrundlage insbesondere in Betracht, wenn die konkrete Daten­verarbeitung zur Erfüllung eines Vertrags­verhältnisses zwischen dem Kunden und dem Arbeitgeber des gekündigten Mitarbeiters erforderlich gewesen wäre.

Im Bereich der Durchführung eines IT-Berater Vertrages wäre es sicherlich angezeigt den Kunden auch auf bestehende Sicherheitslücken aufmerksam zu machen, sofern Sie denn im Rahmen der vertragsgemäßen Tätigkeit aufgefallen sind.

Die bloße IT-Beratung schließt aber offensichtlich nicht mit ein, eigenmächtig und ohne Einwilligung des Kunden auf dessen Daten zuzugreifen, diese bei sich auf einem USB-Stick zu speichern und damit Bestellungen durchzuführen.

Von daher wird jeder Mitarbeiter, der sich im Rahmen seines Auftrags bzw. seiner Tätigkeit, die er für einen Kunden ausführen soll, hält, durch das Gesetz geschützt. Umgekehrt können eigen­mächtige Handlungen, die weder mit dem Arbeitgeber noch mit dem Kunden abgesprochen wurden, aber zu erheblich Problemen führen.

Jörg Conrad
Rechtsanwalt und Fachanwalt für Arbeitsrecht

Nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) hat jede natürliche Person ein Recht auf Auskunft über die zu seiner Person gespeicherten Daten.

Nach einem Urteil  des Oberlandesgerichts Köln (Urteil vom 26.07.2019 – 20 U 75/18) gegen ein beklagtes Versicherungsunternehmen, bei dem es u.a. auch um einen Auskunftsanspruch ging, umfasst  der Auskunftsanspruch neben der „Aufstellung von Personendaten aus der zentralen Datenverarbeitung“ sowie der „Aufstellung von Personendaten aus dem Lebensversicherungsvertrag“ hinaus auch die Auskunft zu sämtlichen weiteren personenbezogenen Daten, insbesondere auch in Gesprächsnotizen und Telefonvermerke, welche die Beklagte im Hinblick auf den Kläger gespeichert, genutzt und verarbeitet hat.

Diese weiteren Auskünfte waren durch das von diesem Urteil betroffene Versicherungsunternehmen nicht erteilt worden. Diese hatte lediglich Auskunft über „Stammdaten“ erteilt, eine weitergehende Auskunftspflicht aber nicht als gesetzlich gefordert erachtet.

Das Gericht stellte fest, dass es in Zeiten der Informationstechnologie mit umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten keine belanglosen Daten mehr gäbe und es sich auch bei Gesprächsvermerken oder Telefonnotizen um personenbezogene Daten handelt, die dementsprechend nach Art 15 DSGVO zu beauskunften sind.

Auch der Einwand des Versicherungsunternehmens, dass es für sie als Großunternehmen mit umfangreichen Datenbestand mit den ihr zur Verfügung stehenden Ressourcen wirtschaftlich unmöglich sei, Dateien auf personenbezogene Daten zu durchsuchen und zu sichern, war nicht erfolgreich. Hier wies das Gericht darauf hin, dass  die Beklagte, die sich der elektronischen Datenverarbeitung bedient, dies im Einklang mit der Rechtsordnung organisieren müsse und insbesondere dafür Sorge zu tragen habe, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen wird.

Interessant an dem Urteil ist auch, dass der Antrag auf Auskunft mit einem Streitwert in Höhe von immerhin 5.000,00 € bewertet wurde. Inwieweit es sich hierbei zukünftig um einen allgemein akzeptierten Wert handeln wird bleibt abzuwarten. Auskünfte, die nicht oder nicht ordnungsgemäß erteilt werden, könnten im Falle einer berechtigten Mahnung oder Klage durch einen Rechtsanwalt erhebliche Anwaltskosten nach sich ziehen. Darüber hinaus können nach der DSGVO auch Geldbußen seitens einer Landesdatenschutzbehörde verhängt werden.

GINDAT nimmt dieses Urteil noch einmal zum Anlass darauf hinzuweisen, dass Auskünfte möglichst umfassend und unverzüglich, spätestens aber innerhalb eines Monats, erteilt werden sollten. Andernfalls drohen Bußgelder, Abmahnungen oder gar Klagen von betroffenen Personen, was teuer werden kann.

Jörg Conrad, Rechtsanwalt, GINDAT GmbH

Aufgrund einer Änderung des Personalausweisgesetzes vom 18.07.2017 ist es nunmehr möglich für nichtöffentliche Stellen unter bestimmten Voraussetzungen eine Ablichtung des Personalausweises von bestimmten Personen zu fertigen. Unternehmen können nunmehr z. B. eine Personalausweiskopie oder auch Reisepasskopie Ihrer Mitarbeiter zur Akte nehmen, sofern hier ein berechtigtes Interesse besteht. Das könnte z. B. das buchen von Reisen sein oder das Anmieten von Fahrzeugen etc., bei denen ggf. Daten aus dem Personalausweis an Dritte weitergegeben werden müssen.

Voraussetzung zum Fertigen einer Ablichtung ist allerdings die Zustimmung des Ausweisinhabers. Außerdem muss die Ablichtung als Kopie erkennbar sein. Zu berücksichtigen ist weiter, dass die Kopie selbst nicht, bzw. wenn ja, nur durch den Ausweisinhaber weitergegeben werden darf. Mit Zustimmung des Ausweisinhabers dürfen aber die Daten aus der Ausweiskopie verarbeitet bzw. auch an Dritte weitergegeben werden.

Aufgrund der gesetzlichen Änderung ist das Kopieren von Ausweisen damit nicht mehr grundsätzlich verboten bzw. auf die gesetzlich normierten Fälle begrenzt (z. B. Geldwäschegesetz, Telekommunikationsgesetz). Die GINDAT empfiehlt in diesen Fällen eine schriftliche Einwilligung des Ausweisinhabers einzuholen, in der der Zweck und beabsichtigte Verwendung möglichst genau beschrieben sind und die auch ein Widerrufsrecht vorsieht.

Nach einem aktuellen Urteil des Bundesarbeitsgerichts vom 27.07.2017 (2 AZR 681/16) ist die anlasslose Überwachung von Mitarbeitern mittels einer Software, die sämtliche Tastatureingaben protokolliert und die Benutzung der Systeme und den gesamten Internettraffic mitloggt, unzulässig.

In einem Unternehmen hatte der Arbeitgeber, ohne, dass hierfür ein besonderer Grund vorhanden war, einen sogen. Keylogger („Tastenprotokollierer“) installiert, der sämtliche Tastatureingaben der Mitarbeiter protokolliert und damit die Benutzung der Systeme und den gesamten Internettraffic mitloggt. Im Rahmen der Aufzeichnungen wurde sodann festgestellt, dass ein Mitarbeit seinen Dienst-PC während der Arbeit auch privat genutzt hatte. Ihm wurde darauf hin fristlos gekündigt, wobei der Mitarbeiter auch ausdrücklich eingeräumt hatte seinen Dienst PC „in geringem Umfang“ privat genutzt zu haben.

Der Mitarbeiter wehrte sich gegen seine Kündigung und erhob eine Kündigungsschutzklage. Das Bundesarbeitsgericht hielt die Kündigung nicht für rechtens und gab damit dem Arbeitnehmer in letzter Instanz Recht. Es wurde festgestellt, dass der Arbeitgeber mit der Überwachungssoftware dass allgemeine Persönlichkeitsrecht des Mitarbeiters verletzt hat. Die dauerhafte Protokollierung der Aktivitäten der Mitarbeiter war unverhältnismäßig.

Zwar kann eine solche Überwachungsmaßnahme im Einzelfall zulässig sein. Das aber nur dann, „wenn eine auf Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht“, so dass Gericht. Hier war die Maßnahme jedoch „ins Blaue hinein“ erfolgt, so dass aufgrund des Verstoßes gegen den Datenschutz „Recht auf informationelle Selbstbestimmung“ die Auswertungen im gerichtlichen Verfahren nicht verwertet werden durften.

Zudem ist auch immer zu prüfen, ob mögliche Pflichtverletzungen in Zusammenhang mit einer unzulässigen Nutzung von betrieblichen Arbeitsmitteln, sofort mit einer Kündigung geahndet werden dürfen. Im Falle einer unzulässigen Nutzung in geringem Umfang, ist immer zu prüfen, ob nicht zunächst nur eine Abmahnung, als milderes Mittel, auszusprechen ist.

Das Bundesarbeitsgericht(BAG) hat mit Beschluss vom 20.04.2016 entschieden, dass dem Betriebsrat kein von seiner Telefonanlage unabhängiger Telefonanschluss, sowie keinen von seinem Netzwerk unabhängigen Internetanschluss zur Verfügung stellen muss.
Die nach § 40 Abs. 2 Betriebsverfassungsgesetz dem Betriebsrat grundsätzlich zustehende Kommunikationstechnik kann der Arbeitgeber dadurch erfüllen, dass er dem Betriebsrat, die im Rahmen des Betriebes bestehende Informations- und Kommunikationssysteme zur Verfügung stellt.

Die Anträge des Betriebsrates auf Einrichtung eines vom Proxy-Server unabhängigen Internetzugangs sowie auf einen von der betrieblichen Telefonanlage unabhängigen Telefonanschluss wurden abgewiesen.

Der Betriebsrat begründete sein Ansinnen damit, dass der Internetverkehr über den Proxyserver überwacht werden kann und E-Mails von Administratoren gelesen werden können. Damit sei der Vertraulichkeit der Betriebsratsarbeit gefährdet.

Zu dem Beschluss liegt bis jetzt lediglich eine Pressemitteilung des Bundesarbeitsgerichts vor. Die Vorinstanz, dass Landesarbeitsgericht Niedersachsen, hat jedoch zu diesem Punkt die Auffassung vertreten, dass sich der Betriebsrat durch entsprechende Vereinbarungen mit dem Arbeitgeber absichern kann, dass Verkehrsdaten seines Nebenstellenanschlusses unterdrückt und die Auswertung verboten wird bzw. eine Kontrolle des E-Mailverkehrs des Betriebsrates nicht erfolgt. Zu einer entsprechenden Vereinbarung wäre der Arbeitgeber in dem zu entscheidenden Fall wohl auch bereit gewesen. Im übrigen sei es ein berechtigtes Interesse des Arbeitgebers den Zugriff auf strafbare und/oder sittenwidrige Seiten durch entsprechende Firewalls auf dem Proxyserver zu unterbinden. Das Gericht sah es daher auch als zulässig an, dass bestimmte Seiten durch den Arbeitgeber gesperrt werden konnten, wobei der Betriebsrat bei einem berechtigten Interesse eine separate Freischaltung beantragen kann.

Beschluss des Bundesarbeitsgerichts vom 20.04.2016 -7 ABR 50/14-
Vorinstanz: Landesarbeitsgericht Niedersachsen, Beschluss v. 30.07.2014 – 16 TaBV 92/13-

Mit Urteil vom 05.12.2013 hat das Oberlandesgericht München, Az.: 29 U 2881/13 entschieden, dass ein Unternehmen keine Briefkastenwerbung mehr übersenden darf, wenn der Empfänger gegenüber dem Unternehmen einen Widerspruch gegen die Werbung erklärt hat. Das gilt auch dann, wenn die Briefe nicht persönlich, sondern nur allgemein „an die Bewohner des Hauses“ adressiert sind. Hat der Empfänger gegenüber dem Unternehmen einen persönlichen Werbewiderspruch erklärt, muss er nicht noch zusätzlich ein Schild am Briefkasten angebracht haben, dass er den Einwurf der von Werbung nicht wünscht.

In dem zu entscheidenden Fall hatte ein Verbraucher ein persönlich adressiertes Schreiben erhalten, indem ihm ein Angebot zum Anschluss an das Glasfasernetzt angeboten wurde. Der Adressat dieses Schreibens sandte der Beklagten darauf hin eine E-Mail, in der er wörtlich mitteilte „Bitte verschonen Sie mich zukünftig mit Werbung u.a.“

Die Beklagte stellte darauf hin die persönlich adressierte Werbung ein, übersandte aber noch weitere Werbeschreiben, die allerdings lediglich als Postwurfsendungen „an die Bewohner des Hauses“ und nicht mehr persönlich adressiert waren.

Das war Anlass einer Klage des Bundesverbandes der Verbraucherzentralen gegen die Firma Kabel Deutschland, der diese nach dem Gesetz gegen den unlauteren Wettbewerb auf Unterlassung verklagte.

Das Gericht hat klar gestellt, dass der Begriff postalische Werbung sowohl auf persönlich adressierte, als auch auf nicht persönlich adressierte Postwurfsendungen zutrifft. Es hat weiterhin klargestellt, dass der Kläger in der von ihm gewählten Form gegenüber der Beklagten unmissverständlich erklärt hat, dass er keinerlei Werbung, egal ob persönlich adressiert oder nur allgemein adressiert, mehr haben möchte.

Die Beklagte hatte außerdem eingewandt, dass am Briefkasten kein Sperrvermerk für Werbung angebracht gewesen war, so dass nicht erkennbar gewesen sei, dass die Werbung unerwünscht gewesen sei. Dieser Argumentation ist das Gericht aber nicht gefolgt und hat einen zusätzlichen Vermerk z.B. „Werbung nein danke“ für den hier zu entscheidenden Fall als nicht erforderlich angesehen.

Aufgrund der an die Beklagte übersandten E-Mail, sei es für diese erkennbar gewesen, dass der Verbraucher keine Werbung mehr haben wollte. Weitere Maßnahmen waren daher nicht erforderlich.

Die Beklagte hätte den Werbewiderspruch daher vollumfänglich berücksichtigen müssen. Sie wurde unter Androhung eines Ordnungsgeldes zur Unterlassung weiterer Schreiben verurteilt.

Wirbt ein als Verkäufer tätiger Mitarbeiter eines Autohauses auf seiner privaten Facebookseite für den Kauf von Kraftfahrzeugen bei dem namentlich benannten Autohaus unter Hinweis auf seine dienstliche Telefonnummer, haftet der Arbeitgeber für Wettbewerbsverstöße des Mitarbeiters, auch wenn er keine Kenntnis von der Handlung des Mitarbeiters hat.

Das hat das Landgericht Freiburg mit Urteil vom 04.11.2013, Az. 12 O 83/13 entschieden.

Der Mitarbeiter hatte auf seiner privaten Facebookseite für den Kauf eines bestimmten neuen Fahrzeugmodells geworben, ohne dass von Gesetzes wegen vorgeschriebene Pflichtangaben über den Kraftstoffverbrauch sowie die spezifischen CO2  Verbrauchswerte genannt worden sind. Hierfür hat nach Auffassung des Gerichts auch das Autohaus als Arbeitgeber einzustehen, obwohl es sich hierbei unstreitig um die private Facebookseite des Mitarbeiters, die nicht jedermann, sondern seinen Freunden und Bekannten zugänglich ist, gehandelt hat.
So waren unter anderem die Telefonnummer, unter der der Mitarbeiter bei seinem Arbeitgeber erreichbar ist, angegeben, außerdem wurde ein Bild des Fahrzeuges aus dem Verkaufsraum des Autohauses veröffentlicht und zudem auf weitere Angebote bzw. Aktionen hingewiesen.
Das Gericht sah darin keine private Aktion des Mitarbeiters, sondern eine geschäftliche Handlung als gegeben an, für die sein Arbeitgeber einzustehen habe. So habe der Mitarbeiter nicht im eigenen Namen Kraftfahrzeuge veräußert, sondern den Neuwagenverkauf ausschließlich auf seinen Arbeitgeber bezogen.
Das Unternehmen haftet daher nach den Vorschriften des Gesetzes über den unlauteren Wettbewerb (UWG) und ist Beseitigungs- und Unterlassungsansprüchen ausgesetzt. Dabei ist es unerheblich, ob der Arbeitgeber von der Tätigkeit seines Mitarbeiters Kenntnis hat, was er ausdrücklich bestritten hatte.