Darf ein Arbeitgeber seine Mitarbeiter auf Facebook oder in anderen Social-Media Angeboten beobachten und eventuell arbeitsrechtliche Konsequenzen ziehen?

Bei Daimler traf es die Facebook-Gruppe (Daimler-Kollegen gegen Stuttgart 21). Dort betätigten einige Mitarbeiter den “Like-Button”, was dem Arbeitgeber nicht gefiel. Daraufhin wurden die Mitarbeiter zu einem Personalgespräch geladen.

Gem. § 4 Absatz 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Sobald die Personalabteilung einen Namen eines Mitarbeiters feststellt, wurden personenbezogene Daten erhoben. Dies ist nur dann zulässig, wenn der betreffende Mitarbeiter darin eingewilligt hat. Eine solche Einwilligung könnte in einem Arbeitsvertrag formuliert sein. An eine wirksame datenschutzrechtliche Einwilligung sind jedoch hohe Anforderungen zu stellen. Es ist somit nicht davon auszugehen, dass die Mitarbeiter wirksam eingewilligt haben, dass der Arbeitgeber im Social-Web nach ihnen “fahnden” darf.

Außerdem sind gem. § 4 Absatz 2 Satz 1 BDSG die personenbezogene Daten regelmäßig beim Betroffenen zu erheben, es sei denn, die Erhebung beim Betroffenen würde einen unverhältnismäßigen Aufwand erfordern und es würden keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

Bereits an dieser Stelle ist festzuhalten, dass z. B. die Betätigung von “Like-Buttons” vom Grundrecht auf freie Meinungsfreiheit gedeckt ist.

Schließlich gilt es noch, die Regelungen des Beschäftigtendatenschutzes in § 32 BDSG zu beachten. Demnach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Außerdem dürfen zur Aufdeckung von Straftaten personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Dies ist eine Frage des konkreten Einzelfalles. Allerdings wird man davon ausgehen können, dass nicht jede Teilnahme am Social-Web zu Umständen führt, die der Arbeitgeber kennen muss, weil deren Kenntnis für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Somit dürfen sich Arbeitnehmer grundsätzlich frei im Web bewegen. Eventuelle Einschränkungen bzgl. des Arbeitgebers können sich aus dem Arbeitsvertrag oder aus gesonderten Regelungen wie Social Media Guidelines ergeben.

Seit 2007 konnten Werbekunden auf die Profile von Facebook-Anwendern zugreifen. Sie konnten z. B. Fotos ansehen und Chats mitlesen.
Nun wurde die Datenlücke geschlossen.
Quelle: Spiegel Online

Bei einem Hackerangriff auf das Playstation-Netzwerk von Sony sind vermutlich Daten von mehr als 70 Millionen Nutzern gestohlen worden.  Sony hat auf einer Website auf den Umstand hingewiesen.

Vor dem Hintergrund dieses Falles sollen an dieser Stelle die gesetzlichen Anforderungen an die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten dargestellt werden.

Seit dem 1. September 2009 wurde die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” in das deutsche Datenschutzrecht aufgenommen.
Dies bedeutet, dass im Fall einer Datenpanne die Daten verarbeitende Stelle unter bestimmten Voraussetzungen verpflichtet ist, die Datenschutz-Aufsichtsbehörde und die von der Panne Betroffenen über die Datenpanne zu informieren.

I. Gesetzliche Regelung
Die datenschutzrechtlichen Informationspflichten finden sich in § 42a BDSG, § 15a TMG sowie § 93 Abs. 3 TKG.
Am 19.12.2009 ist die Richtlinie 2009/136/EG in Kraft getreten, deren Art. 2 Nr. 1 und 4 eine Ergänzung von Art. 4 RL 2002/58/EG bzgl. einer Informationspflicht für den Fall einer “Verletzung des Schutzes personenbezogener Daten” vorsieht. Die Informationspflicht gemäß der Richtlinie ist weitergehend als die bisherigen deutschen Regelungen. Da die Richtlinie bis zum 25. Mai 2011 in nationales Recht umzusetzen ist, werden hier noch Anpassungen an das deutsche Recht erfolgen.

II. Arten von Daten
1. § 42a BDSG
Die Informationspflicht in § 42a BDSG beschränkt sich auf die dort genannten Arten von Daten. Dies sind:
besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG
personenbezogene Daten, die einem Berufsgeheimnis unterliegen
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten bzw. den Verdacht solcher beziehen,
personenbezogene Daten zu Bank- oder Kreditkartenkonten.

2. § 15a TMG, § 93 Abs. 3 TKG
§ 15 a TMG dagegen betrifft sämtliche Bestands- und Nutzungsdaten (§§ 14 und 15 TMG). Dies gilt auch für § 93 Abs. 3 TKG. Dies hat zur Folge, dass jedes Unternehmen mit einer Website entsprechende Daten vorhält und von einer Informationspflicht betroffen sein kann.

III. Verpflichteter
§ 42a BDSG betrifft nicht-öffentliche Stellen im Sinne des § 2 Abs. 4 BDSG und öffentlich-rechtliche Wettbewerbsunternehmen gem. § 27 Abs. 1 Satz 1 Nr. 2 BDSG.
§ 15 TMG und § 93 Abs. 3 TKG dagegen enthalten keine solche Einschränkung und betreffen somit alle Diensteanbieter. Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies können auch öffentlich-rechtliche Körperschaften sein. § 1 Abs. 1 Satz 2 TMG stellt zudem klar, dass das TMG für alle Anbieter “einschließlich der öffentlichen Stellen” gilt.

IV. Unrechtmäßige Übermittlung oder Kenntniserlangung
Eine Übermittlung liegt vor, wenn die Daten verarbeitende Stelle selbst aktiv und zielgerichtet Daten an Dritte weitergibt.
Kenntniserlangung genügt, so dass kein aktives Handeln der verantwortlichen Stelle erforderlich ist, sondern auch Hackerangriffe etc. erfasst werden.
Unrechtmäßig ist eine Kenntniserlangung dann, wenn sie gegen § 4 Abs. 1 BDSG verstößt, also keine rechtliche Grundlage hat und der Betroffene nicht eingewilligt hat.
Eine unrechtmäßige Kenntniserlangung kommt in folgenden Fällen in Betracht:
datenschutzwidrige Entsorgung von Altgeräten
Diebstahl oder Verlust einer Daten-CD-ROM, Notebooks, Tablet-PCs, USB-Sticks oder anderen mobilen Devices
Hack einer Datenbank
unberechtigter Weiterverkauf von Daten

Es ist nicht erforderlich, dass eine Kenntnisnahme bewiesen werden kann, bloße Anhaltspunkte hierfür genügen.

V. Drohende schwerwiegende Beeinträchtigung
Zudem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Zur Gewichtung der Beeinträchtigung werden Kriterien wie Art und Umfang der betroffenen Daten wie auch die potenziellen Auswirkungen der unrechtmäßigen Kenntniserlangung herangezogen.
In der Regel dürfte bei den in § 42a BDSG genannten Daten von einer schwerwiegenden Beeinträchtigung auszugehen sein.
Bei reinen Bestandsdaten nach TMG oder TKG (z. B. Name, Anschrift des Nutzers) ist von einer geringeren Beeinträchtigung auszugehen.
Gem. Art. 4 Abs. 3 RL 2002/58/EG kann man diskutieren, ob im Falle einer sicheren Verschlüsselung eine Informationspflicht entfällt, da demnach keine Benachrichtigung zu erfolgen hat, wenn zur Zufriedenheit der zuständigen Behörde nachgewiesen wurde, dass geeignete technische Schutzmaßnahmen getroffen wurden.

VI. Inhalt und Umfang der Informationspflicht
Wenn eine Informationspflicht besteht, so muss die verantwortliche Stelle unverzüglich (also ohne schuldhaftes Zögern) sowohl die zuständige Aufsichtsbehörde als auch die Betroffenen informieren, § 42a S. 2 - 5 BDSG.

1. Benachrichtigung der Behörde
Vor dem Betroffenen ist zunächst die Aufsichtsbehörde zu informieren. Gem. § 38 Abs. 1 S. 2 BDSG sind die Aufsichtsbehörden zur Beratung und Unterstützung des Benachrichtigungspflichtigen verpflichtet. Folglich kann es im Einzelfall ratsam sein, die Aufsichtsbehörden möglichst frühzeitig einzuschalten.

2. Benachrichtigung der Betroffenen
Auch der von der Datenpanne Betroffene ist unverzüglich zu informieren.
Die Benachrichtigungsfrist verlängert sich jedoch gem. § 42a S. 2 BDSG um den Zeitraum,
(1) der nötig ist, um unverzüglich angemessene Maßnahmen zur Sicherung der Daten zu ergreifen, und
(2) der abgewartet werden muss, damit eine etwaige Strafverfolgung nicht mehr gefährdet ist.

3. Anforderungen an die Information
Die Anforderungen an die Information der Aufsichtsbehörden und der Betroffenen sind unterschiedlich ausgeprägt, § 42a Satz 3 - 5 BDSG.
Nach § 42a S. 3 BDSG muss die Benachrichtigung des Betroffenen
(1) eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und
(2) Empfehlungen zur Vermeidung nachteiliger Folgen
enthalten.
Auch auf die Art der betroffenen Daten ist hinzuweisen.
Eine Benachrichtigung in Form einer E-Mail ist ausreichend.
Die Betroffenen sind einzeln zu benachrichtigen, es sei denn, eine Ausnahme gem. § 42a S. 5 BDSG liegt vor, also die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Dies kann insbesondere dann der Fall sein, wenn eine Vielzahl von Betroffenen existiert. In einem solchen Fall soll es gestattet sein, Anzeigen zu schalten, die mindestens eine halbe Seite umfassen und in mindestens zwei bundesweit erscheinenden Tageszeitungen abgedruckt werden. Dieser Maßnahme vergleichbar geeignete Maßnahmen sind ebenfalls möglich. Entscheidend ist der betroffene Personenkreis.
Ein Hinweis auf der Website kann ausreichend sein, wenn nur die Anmeldedaten der Nutzer bekannt sind. Der Hinweis ist dann jedoch gut sichtbar auf der Website zu positionieren.
Sowohl im Rahmen der Benachrichtigung der Betroffenen als auch der Aufsichtsbehörden müssen gesetzliche Geheimhaltungspflichten sowie Berufsgeheimnisse gewahrt bleiben.

VII. Bußgeld
Ein Bußgeld von bis zu 300.000 Euro droht gem. § 43 Abs. 2 Nr. 7, Abs. 3 BDSG für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt. Eine Bußgeldandrohung bei einem Verstoß gegen § 15a TMG oder § 93 Abs. 3 TKG ist vom Gesetz dagegen nicht vorgesehen.

VIII. Fazit
Ob tatsächlich eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten im konkreten Fall vorliegt bedarf einer gründlichen Prüfung.

Das Landesarbeitsgericht Berlin-Brandenburg (Beschluss vom 04.03.2011, Az.: 10 TaBV 1984/10) hat entschieden, dass ein Betriebsatsmitglied nicht vom Arbeitgeber verpflichtet werden kann, bei der Anmeldung am PC eine persönliche Kennung zu verwenden. Die Einhaltung datenschutzrechtlicher Bestimmungen liegt allein im pflichtgemäßen Ermessen des Betriebsrats. Dies gilt selbst in dem Fall, in dem es für die Nutzung des Internets für die anderen Computer des Betriebs eine entsprechende Gesamtbetriebsvereinbarung gibt.
Das Bundesdatenschutzgesetz ist subsidiär zum Betriebsverfassungsgesetz (§ 1 Abs. 3 BDSG).
Wegen der grundsätzlichen Bedeutung hat das LAG die Rechtsbeschwerde zum Bundesarbeitsgericht zugelassen

Das OLG Hamm (Urteil vom 17.02.2011,  Az.: I-4 U 174/10) hat entschieden, dass eine vorformulierte Einwilligungserklärung in Allgemeinen Geschäftsbedingungen abmahnfähig ist, wenn  mit dieser die Einwilligung in die Verwendung von Kundendaten zu Werbezwecken per Post erklärt werden soll und diese Klausel zusammen mit anderen Erklärungen zusammen erfolgt und nicht in der vom Bundesdatenschutzgesetz vorgeschriebenen, hervorgehobenen Form.

Gem. § 7 Abs. 2 Nr. 3 UWG ist eine ausdrückliche Einwilligung des Verbrauchers oder des betroffenen Unternehmers in die Nutzung seiner Kontaktdaten für die Zusendung von Werbung per E-Mail und Fax erforderlich.

Folgende Klausel wurde vorliegend verwendet:

“Ich bin widerruflich damit einverstanden, dass der Anbieter meine Kontaktdaten (Post, e-Mail-Adresse sowie Fax- und Rufnummer) zur Beratung und Werbung ausschließlich für eigene Zwecke nutzt und mir auf diesem Wege aktuelle Produktinformationen bzw. den Newsletter zukommen lässt. Meine Einwilligung kann ich jederzeit zurückziehen.”

Das Innenministerium in Baden-Württemberg als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich hat Hinweise für den Einsatz von Webanalysetools herausgegeben.

Es verweist u.a. auf den Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
vom 26./27. November 2009.

In diesem Beschluss wurde festgehalten, dass das Nutzerverhalten unter Verwendung der vollständiger IP-Adresse wegen der Personenbeziehbarkeit nur dann erlaubt ist, wenn der Nutzer zuvor bewusst und eindeutig seine Einwilligung dazu erteilt hat.
Folglich ist von der Nutzung von Google Analytics und ähnlichen Tools abzuraten.
Google bietet nun die Möglichkeit, den Google Analytics-Code um die Funktion „_anonymizeIp()“ zu erweitern. Dadurch werden vor der Verarbeitung der anfragenden IP-Adresse die letzten 8 Bit gelöscht, wodurch eine Identifizierung des Webseiten-Nutzers nicht mehr möglich ist.
Allerdings ist zu beachten, dass die Nutzung von Analysetools in der Datenschutzerklärung der Website zu erwähnen ist.
Schließlich ist dem Betroffenen die Möglichkeit einzuräumen, seinen Widerspruch gegen die Erstellung von Nutzungsprofilen zu erklären. Google bietet hierfür keine Cockies sondern ein „Deaktivierungs-Add-on für Browser von Google Analytics“. Hier ist zu klären, ob dies für alle Browser-Typen funktioniert.

Fazit:
Wer ein Analysetool wie Google-Analytics einsetzen will muss beachten:
- Dass nicht die komplette IP-Adresse protokolliert wird,

- dass die Datenschutzerklärung auf der Website die tatsächlichen Gegebenheiten wiedergibt und

- dass auf das Widerrufsrecht ordnungsgemäß hingewiesen wird.

Heute hat der Bundesbeauftragte für den Datenschutz Peter Schaar seinen Tätigkeitsbericht vorgestellt.

Hinerin kritisiert er das zögerliche Verhalten der Bundesregierung beim Thema Datenschutz.

Wörtlich hat er formuliert:

“Immer mehr Bürgerinnen und Bürger sind nicht damit einverstanden, in ihrem alltäglichen Verhalten registriert und überwacht zu werden. Ich fordere die Bundesregierung und den Deutschen Bundestag daher auf, diesen Bürgerwillen ernst zu nehmen und die angekündigten datenschutzrechtlichen Vorhaben nun umzusetzen”.

Es bleibt nicht zuletzt aktuell beim Thema Arbeitnehmerdatenschutz spannend.

Das LG Berlin (Az.: 91 O 25/11) hat entschieden, dass die Einbindung des “Gefällt mir”-Buttons von Facebook nicht wettbewerbsrechtlich zu beanstanden ist.

Das Gericht stellte fest, dass es sich bei den Regeln über den Datenschutz nicht um Marktverhaltensnormen gem. § 4 Nr. 11 UWG handelt.

In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass dies keine höchstrichterliche Entscheidung ist. Nach der Auffassung anderer Gerichte können Datenschutzverletzungen durchaus abmahnfähige Wettbewerbsverstöße darstellen (OLG Stuttgart und LG Stuttgart).

Nicht geklärt wurde die datenschutzrechtliche Zulässigkeit der Verwendung des “Gefällt mir”-Buttons.

In diesem Punkt ist eine höchstrichterliche Klärung wünschenswert.

Entscheidung via telemedicus.info

Nach einer Befragung des Wirtschafts- und Sozialwissenschaftlichen Instituts (WSI) in der Hans- Böckler- Stiftung gaben 14 Prozent der Betriebsräte (befragt als Belegschaftsvertreter) an, dass es durch das Management im Betrieb zur Missachtung von Datenschutzvorschriften gekommen war, wobei die Mehrheit der Befragten davon ausging, dass von den Verstößen ausschließlich die Belegschaft betroffen war.

Die Befragung kann hier abgerufen werden.