Kategorien
Datenschutz im Betrieb

DSGVO-Löschkonzept zwingend erforderlich

Durchaus schmerzlich musste ein Unternehmen nun erfahren, dass ein Löschkonzept nach der DSGVO zwingend erforderlich ist, da ansonsten Bussgelder drohen. Insbesondere ist es dabei Teil des Löschkonzeots, dass auch archivierte Daten bereinigt werden müssen. Die zuständige datenschutzrechtliche Aufsichtsbehörde in Berlin teilte insoweit mit:

Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die (…) einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten.

Quelle: PM der Datenschutzbeauftragten Berlin, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

Es handelt sich um einen recht krassen Fall, die Höhe des Bussgeldes orientiert sich an dem immensen Umsatz des Unternehmens. Wichtig ist, dass Unternehmen diesen Bereich vor Augen haben, gerade bei digitalen Archiven wird die Problematik der rechtzeitigen Löschung gerne aus den Augen verloren, nicht ohne Grund ist dies ein eigener Posten in aktuellen behördlichen Fragebögen. Die Brisanz ist nicht zu unterschätzen, zumal die Behörde nunmehr mitteilt, dies eingehender zu prüfen – bei Unternehmen und Vereinen.

Kategorien
Datenschutz im Betrieb IT-Arbeitsrecht

Haftung des Arbeitnehmers für Installation von Ransomware oder Virus

Kann ein Arbeitnehmer gegenüber seinem Arbeitgeber haften, wenn durch sein Fehlverhalten Schadsoftware wie etwa Ransomware oder ein Virus installiert werden? Die Rechtsprechung ist durchaus bereit, dies zuzubilligen, wobei es auf den Einzelfall ankommt. Tatsächlich kann für Arbeitnehmer ein erhebliches Haftungsrisiko bestehen.

Kategorien
Datenschutz im Betrieb DSGVO Allgemein

Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Die Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat eine Stellungnahme zur Frage “Wie ist die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren?” veröffentlicht. Dem ist zu entnehmen, dass in jedem Fall beim Transport der Mails (Empfang und Versand) auf eine Verschlüsselung zu achten ist, während es auf der Inhaltsebene noch nicht als zwingend angesehen wird.

Kategorien
Datenschutz im Betrieb DSGVO Allgemein

Vertrag zur Auftragsverarbeitung notwendig bei Lohnbuchhaltung durch den Steuerberater?

Es ist etwas seltsam, diese Frage zu stellen, tatsächlich aber muss ich es aus einem guten Grund thematisieren: Liegt Auftragsverarbeitung bei Lohnbuchhaltung durch den Steuerberater vor, so dass ein Vertrag zur Auftragsverarbeitung geschlossen werden muss?

Kategorien
Datenschutz im Betrieb DSGVO Allgemein

Google ändert Verantwortlichen bei den Diensten – Aktualisierung von Datenschutzerklärung notwendig

Das Unternehmen Google hat den Verantwortlichen bei seinen Diensten geändert, aus Google LLC in den USA wurde Google Limited in Irland, womit sich die Anschrift ändert:

Google Ireland Limited, Gordon House, Barrow Street, Dublin, D04 E5W5, Dublin, Irland

Wer Google Dienste auf der Webseite nutzt, etwa durch eine Einbindung der Inhalte oder Funktionen – etwa Youtube-Videos, Google Analytics, Google Fonts, Google Maps – sollte prüfen, ob die eigene Datenschutzerklärung aktuell ist und ggfs. Anpassungen vornehmen. Vor Anpassungen sollte erst noch einmal geprüft werden, was der jeweilige Google Dienst selber empfiehlt als Datenschutzerklärung.

Kategorien
Datenschutz im Betrieb DSGVO Allgemein

Datenschutz im Gesundheitswesen: Ärzte und Apotheken benötigen nicht zwingend einen Datenschutzbeauftragten

Anders als manche Werbung es vielleicht suggeriert ist nicht zwingend in jeder Apotheke oder jeder noch so kleinen Arztpraxis immer ein Datenschutzbeauftragter zu bestellen – auch nicht wegen der Verarbeitung von Gesundheitsdaten! Die Landesbeauftragte für den Datenschutz in NRW fasst es treffend so zusammen:

Auffassung der Datenschutzaufsichtsbehörden in Deutschland ist, dass die Benennung von Datenschutzbeauftragten bei Arztpraxen und sonstigen Angehörigen von Gesundheitsberufen in der Regel erst ab mindestens zehn mit der automatisierten Verarbeitung beschäftigten Personen erforderlich ist oder bei umfangreicher Verarbeitung besonderer Datenkategorien.

Statement LfDI NRW
Kategorien
Datenschutz im Betrieb IT-Arbeitsrecht

Kündigung wegen privater Internetnutzung am Arbeitsplatz

Die private Nutzung des betriebseigenen Internetzugangs – etwa für Online-Spiele oder soziale Netzwerke –  ist bis heute ein brisantes Thema, vor allem wegen seiner enormen Missbrauchsanfälligkeit. Hieran schließt sich unmittelbar die ebenso brisante Frage an: Unter welchen Voraussetzungen kann die Nutzung des betriebseigenen Internets eine verhaltensbedingte, ggf. auch eine außerordentliche Kündigung rechtfertigen?

Im Folgenden wird zum einen die Rechtslage aufgezeigt, wie sie sich auf Grund der Rechtsprechung darstellt. Zum anderen gibt es Hinweise zur Regelung der privaten Internetnutzung im Betrieb.

Beachten Sie dazu auch bei uns: Social Media Guidelines – Muster mit Erläuterungen

Kategorien
Datenschutz im Betrieb IT-Arbeitsrecht

Fotos des Arbeitnehmers

Beratung im Arbeitsrecht? Termin vereinbaren unter 02404-92100

Immer häufiger wird um Fotos eines Arbeitnehmers auf der Firmen-Webseite seines (ehemaligen?) Arbeitgebers gestritten. Dabei ist der Sachverhalt im Grundmodell prinzipiell immer der Gleiche:

Die Firma macht Fotos vom Arbeitnehmer und verwendet diese u.a. auf der Webseite. Der Arbeitnehmer scheidet später aus dem Unternehmen aus. “Plötzlich” fordert der Ex-Arbeitnehmer die Herausgabe bzw. Löschung der Fotos sowie Schadensersatz.

Dieses Grundmodell findet man im Kern bei Streitigkeiten zum Thema immer wieder – die “Details” wechseln sich dann, speziell die Frage, zu welchem (ausdrücklich vereinbarten) Zweck und unter welchen Umständen die Fotos des Arbeitnehmers angefertigt wurden. Dabei ist die Rechtsprechung hier sehr ausgewogen, keinesfalls automatisch “auf der Seite” des Arbeitnehmers. Denn eine einmal erteilte Einwilligung kann nicht vollkommen frei widerrufen werden (dazu hier bei uns) – andererseits bieten sich häufig wichtige Gründe in einer solchen Konstellation, die einen Widerruf tragen.

Ein Überblick zum Thema an Hand gerichtlicher Entscheidungen.

I. Grundsätzliches zur Verwendung von Fotografien des Arbeitnehmers

(1) Um diese durchaus alltägliche Frage ging es beim Landesarbeitsgericht Köln (7 Ta 126/09): Hier stritten Arbeitnehmer und Arbeitgeber über die Verwendung eines Fotos auf der Firmen-Webseite – auf dem (auch) der Arbeitnehmer zu sehen ist – über den Zeitpunkt des Ausscheidens des Arbeitnehmers aus dem Betrieb hinaus. Mit dem LAG Köln ist hier zu differenzieren:

  1. Bei einem nicht individualisierten Foto, das alleine der Illustration dient, besteht kein Anspruch auf zumindest unmittelbares Entfernen. Hier ging es um eine Mitarbeiterin, die “lächelnd am Telefon” fotografiert und dann auf der Webseite eingesetzt wurde, um den Kontakt zur Firma allgemein zu illustrieren.
  2. Anders aber wohl, wenn das Bild eines Mitarbeiters dazu verwendet wird, bewusst mit dessen individueller Persönlichkeit für sich zu werben, etwa wenn auf die besondere Fachkompetenz eines bestimmten in der Branche bekannten Mitarbeiters abgestellt werden soll.

(2) Das Landesarbeitsgericht Schleswig-Holstein (3 Sa 72/10) bleibt dieser Linie treu, verweist mitunter auch direkt auf die Entscheidung des LAG Köln (7 Ta 126/09) und kontrolliert sehr dezidiert, wo der klagende Arbeitnehmer involviert war, um abzuklopfen, ob man an den kritischen Punkten eine Einwilligung sehen/vermuten kann.

Zuerst wird das Gesamtbild gewürdigt. Die Verwendung der Fotos war ursprünglich (natürlich nicht schriftlich) vereinbart zur Erstellung von Werbe-Flyern. Die Daten-CD mit den Fotos hat der Kläger dabei dem Webseitengestalter selber überbracht. Umstritten war, ob er mit diesem die Fotos auch noch ausgesucht hatte (was der Designer erklärte) oder mit ihm nur über das Logo gesprochen hatte (was der Kläger erklärte). Wie weit die Prüfung eines Gerichts gehen kann, zeigt sich sodann: Im vorliegenden Fall wurde eine sozialgerichtliche Akte beigezogen und daraus zitiert, als umstritten war, ob der Mitarbeiter seine Fotos nicht sogar selbst auf die Webseite gestellt hat. Daraus wurde aus der Aussage der Mutter des Klägers zitiert:

„Ich habe in Erinnerung, dass mein Sohn sich um die Computer gekümmert hat. … Soweit ich das beurteilen kann, hat er am Computer gesessen und Fotos oder Bilder ins Internet gestellt. Er hat sich überhaupt darum gekümmert, dass etwas ins Internet kommt.“

Vor dem Hintergrund dieser Aussage hatte das LAG im Gesamtbild kein Problem mehr damit, eine Einwilligung in die Veröffentlichung der Fotos zu vermuten, ja gar in den Raum zu stellen, ob der Kläger nicht gar selbst seine Fotos auf die Webseite gestellt hat.

Auch das LAG stellt am Ende klar, dass alleine das Ausscheiden des Klägers aus dem Unternehmen nicht zu einem automatischen erlöschen der Einwilligung führt. Es steht den Parteien natürlich frei, vertraglich zu vereinbaren, dass das Nutzungsrecht in diesem Fall erlischt – automatisch ist davon aber nicht auszugehen.

(3) Dem folgt das Arbeitsgericht Frankfurt a.M. (7 Ca 1649/12): Es hat – vollkommen korrekt – entschieden, dass Fotos des Arbeitnehmers auf der Firmenwebseite nur mit dessen Zustimmung erscheinen dürfen. Hält der Arbeitgeber nicht daran, steht dem Arbeitnehmer mindestens ein Anspruch auf Unterlassung und Beseitigung zur Verfügung. Der Anspruch wurde hier nach dem Ausscheiden aus dem Unternehmen geltend gemacht, er wird auch schon vorher zu erkennen sein! Letztlich ist hier aber die Frage, ob und unter welchen Bedingungen eingewilligt wurde.

Später hat sich dann auch das Hessische Landesarbeitsgericht (19 SaGa 1480/11 – Vorinstanz: ArbG Frankfurt am Main, 13 Ga 160/11) mit Fotos eines Arbeitnehmers beschäftigen dürfen, die gegen dessen Willen nach seinem Ausscheiden weiterhin auf der Firmenwebseite (hier: Im Firmenblog, nicht auf der eigentlichen Webseite) verblieben sind. Pikant und zugleich die Untermalung, dass auch Juristen nicht gefeit sind: Es ging um eine Rechtsanwältin und eine Anwaltskanzlei als streitende Parteien.

Das Ergebnis passt zu den weiteren geschilderten Entscheidungen: Es besteht (natürlich) ein Anspruch auf Löschung der Daten, dies nicht zuletzt, weil durch die weitere Verwendung der Eindruck erzeugt wird, die Anwältin würde weiterhin in der Kanzlei arbeiten. Dies könne u.a. zu Problem führen, weil potentielle Mandanten, die die Anwältin suchen, sich letztlich an diese Kanzlei wenden – bei der die Anwältin ja nun nicht mehr arbeitet.

(4) Doch Vorsicht, wie das Landesarbeitsgericht in Mainz (6 Sa 271/12) gezeigt hat: Man darf nicht pauschal an die Sachverhalte heran gehen. Bei Gruppenfotos, die allgemeinen Illustrationszwecken dienen und bei denen der Arbeitnehmer nicht besonders hervorgehoben ist, kann nicht zwingend mit dem Ausscheiden des Arbeitnehmers ein sofortige Anspruch auf Löschung einher gehen. Dabei prüfte das Gericht sehr ausführlich, wie das Foto zu Stande kam (der Brief mit der Einladung zum Foto-Shooting wurde Wortweise analysiert!) und erkannte in dieser Situation dann am Ende kein besonderes Interesse des Arbeitnehmers an einer sofortigen Löschung.

II. Personensuchmaschinen

Das LG Hamburg (325 O 448/09) hatte im weiteren Kontext hierzu entschieden, dass ein Mitarbeiter grundsätzlich damit leben muss, dass das (mit seinem Einverständnis) auf der Firmenwebseite hinterlegte Foto von so genannten Personensuchmaschinen bei einer Suche nach seinem Namen angezeigt wird. Zur Begründung beruft sich das LG Hamburg auf ein Urteil des BGH (I ZR 69/08, “Google-Thumbnails”). Das Landgericht führt insofern aus:

Dafür, dass dem Verhalten der Klägerin entnommen werden kann, sie habe in die Abbildung ihres Fotos in dem von der Beklagten betriebenen Internet-Angebot eingewilligt, spricht auch der Umstand, dass das Internet-Angebot von … ausdrücklich für Suchmaschinen optimiert wurde. Wenn die Klägerin es zulässt, dass ihr Foto auf einer solchen Homepage veröffentlicht wird, durfte die Beklagte dem Verhalten der Klägerin (auch ohne rechtsgeschäftliche Einwilligungserklärung) entnehmen, die Klägerin sei mit der Anzeige des Fotos auf dem Internet-Angebot der Beklagten einverstanden. Das Verhalten der Klägerin, ihr Foto auf der Internetseite … für den Zugriff durch Suchmaschinen zugänglich zu machen, ohne dass bei dieser Seite von den technischen Möglichkeiten Gebrauch gemacht wurde, ihr Foto von der Anzeige durch Personensuchmaschinen auszunehmen, konnte von der Beklagten als Betreiberin einer solchen Personensuchmaschine objektiv als Einverständnis damit verstanden werden, dass das Foto der Klägerin in dem bei der Bildersuche üblichen Umfang genutzt werden durfte.

Fazit zur Verwendung von Fotografien des Arbeitnehmers

Wie immer bei der Verwendung von Fotos durch Dritte gilt der Grundsatz “Klar ist Trumpf”. Mein früherer Rat war, dass sowohl Arbeitnehmer als auch Arbeitgeber schriftlich in klarer Formulierung festhalten sollten, welche Fotos wozu genutzt werden. Inzwischen hat das Bundesarbeitsgericht geklärt, dass dies sogar zwingend ist – die Einwilligung muss schriftlich erfolgen. Betroffene müssen sich darüber im Klaren sein, dass mitunter solche Fotos bei Suchmaschinen später auftauchen, Arbeitgeber sollten (einfache) Informationen bieten, ob eine spezielle Suchmaschinenoptimierung erfolgt. Jeglicher Druck auf den Arbeitnehmer (“Nun stellen Sie sich nicht so an”, “Sie müssen das”) ist tunlichst zu vermeiden. Die Möglichkeit des Arbeitnehmers, der Verwendung des Fotos grundsätzlich jederzeit widersprechen zu können, ist eine Selbstverständlichkeit und vertraglich wohl nur sehr schwer einzugrenzen

Dazu auch bei uns:

Beratung im Arbeitsrecht? Termin vereinbaren unter 02404-92100

Kategorien
Datenschutz im Betrieb Empfohlen IT-Arbeitsrecht

Bring your own Device – BYOD im Arbeitsrecht

Grundsätzliches zum Thema “Bring your own Device” (BYOD)

Bring your own device (“BYOD”): Grundsätzlich ist dazu zu raten, mit den Mitarbeitern eine ausdrückliche, schriftliche Nutzungsvereinbarung zu treffen, die in jedem Einzelfall – etwa bei Übergabe des konkreten Geräts – von dem Mitarbeiter abgezeichnet wird. Hier ist daran zu denken, klar zu stellen, dass es sich bei der Überlassung des Endgeräts bzw. der Zulassung der Nutzung privater IT im betrieblichen um eine rein freiwillige Leistung handelt, die an den Abschluss einer Nutzungsvereinbarung gebunden ist und jederzeit mit einer angemessenen Frist gekündigt werden kann. Andernfalls besteht das Risiko, dass irgendwann ein Arbeitnehmer sich hier auf eine betriebliche Übung berufen kann.

Soweit die Nutzung eines privaten Endgerätes eines Arbeitnehmers im Raum steht ist dann jedenfalls zwingend daran zu denken, dass jeglicher Zugriff oder gar die Benutzung durch Dritte vertraglich untersagt sein muss. Dies aus mehreren Gründen, etwa weil sonst eine möglicherweise unzulässige Übermittlung von personenbezogenen Daten Dritter vorliegt, aber auch weil auszuschließen ist, dass Dritte irgendwie Zugriff oder Kenntnis auf bzw. von unternehmensinternen Daten erhalten.

Wenn eine spezielle Software zum Einsatz kommen soll, die bestimmte Bereiche des Handys absichert, etwa durch eine Verschlüsselung, so muss der Einsatz dieser Software vertraglich als zwingende Voraussetzung vorgesehen sein.

Bring your own device: Kosten bei BYOD

Auf keinen Fall sollte man vergessen, die Kostenregelung beim “Bring your own device” eindeutig zu klären. Wenn etwa ein privates Endgerät genutzt wird könnte es eine Lösung sein, dass Voraussetzung einer Nutzungsvereinbarung ist, dass der Arbeitnehmer eine Flatrate gebucht hat, so das etwa dienstlich veranlasste Telefonate oder Datenübermittlungen nicht zu Kostenstreitpunkten führen können. An diesen Kosten für eine solche Flatrate könnte sich dann der Arbeitgeber mit einer angemessenen Teilzahlung beteiligen. Durchaus denkbar wäre es natürlich auch, dass sämtliche Kosten im Einzelfall von dem Arbeitnehmer aufgeschlüsselt werden und die dienstlich veranlassten Kosten dann durch den Arbeitgeber erstattet werden, dieser Arbeitsaufwand dürfte aber sehr schnell das Verlassen, was im Alltag praktikabel ist. Nach meiner Einschätzung wird es am sinnvollsten sein, dass das Kostenrisiko durch eine Flatrate bereits begrenzt wird und hieran dann eine angemessene Teilzahlung geleistet wird damit man keine Übervorteilung des Arbeitnehmers vorwerfen kann.

An dieser Stelle möchte ich auch kurz erwähnen, warum ich schon weiter oben angesprochen habe, dass die Möglichkeit der Kündigung vorgesehen ist, nicht aber thematisiert habe, dass ein jederzeitiger Widerruf möglich sein soll: möglicherweise trifft der Arbeitnehmer bereits eigene Dispositionen, etwa bei der Nutzung eines privaten Endgerät dahingehend, dass ein bestimmter Mobilfunk Tarif gewählt wird, der sonst nicht ausgewählt worden wäre. Macht insoweit Sinn, dass man sich zwar einen Widerrufs-oder Änderungsvorbehalt ausbedingt, hierbei dann aber entsprechende Fristen vorsieht, die Übergangszeiten ermöglichen, damit man sich nicht dem Vorwurf ausgesetzt sieht, keine Rücksicht auf die Dispositionen des Arbeitnehmers genommen zu haben. Es ist an dieser Stelle immer daran zu denken, dass ein gewisser Fairnessausgleich auf beiden Seiten stattfinden muss.

“Bring your own device”: Arbeitsrechtliches zu BYOD

Im Hinblick auf arbeitsrechtliche Regelungen ist zuvorderst klarzustellen, dass regelmäßig davon auszugehen sein wird, dass der Betriebsrat bei der gesamten Thematik “Bring your own device” ein Mitbestimmungsrecht haben dürfte. Ob diesen konkret vorliegt und in welchem Umfang es besteht hängt sehr stark an den konkreten Fragen des Einzelfalls, grundsätzlich ist aber schon jetzt darauf hinzuweisen, dass man immer an ein solches Mitbestimmungsrecht denken wird.

Insbesondere bei folgenden Themen ist an ein solches Mitbestimmungsrecht zu denken: bei der Einrichtung und Ausgestaltung der Überwachung von Endgeräten, Zeitpunkt und Zeitraum der Einführung des BYOD und auch die Regelung der Art und Weise der Nutzung, etwa wenn im Ausland ein bestimmtes Nutzungsverhalten untersagt sein soll oder wenn Vorgaben gemacht werden sollen hinsichtlich der Frequenz des Abrufen von Nachrichten, etwa während Dienstreisen.

Eine schnell aus den Augen verlorene Thematik ist die Regelung der Arbeitszeit: Es liegt in der Natur der Sache, dass das Endgerät über die normale Arbeitszeit hinaus genutzt wird. Der Arbeitnehmer sollte insoweit angehalten werden, von sich aus darauf zu achten dass keine Überschreitung der arbeitszeitkleinsten Eintritt. Es kann auch sinnvoll sein, zu regeln, dass eine Überstundenvergütung nur dann anfällt, wenn über das Endgerät eine dienstbezogene Tätigkeit über die normale Arbeitszeit hinaus stattfindet, soweit dies vom Arbeitgeber auch veranlasst wurde bzw. angeordnet wurde.

Beendigungsszenario bei BYOD regeln

Ausdrücklich geregelt sollte auch sein, unter welchen Umständen die gesamte Regelung zum “Bring your own device” ihr Ende findet. So könnte ein Kündigungsrecht vorgesehen sein oder direkt die gesamte Regelung von vornherein nur befristet zur Anwendung gelangen. Ein eindeutiger Kündigungsgrund sollte dabei sein, dass sich der Arbeitnehmer nicht an die getroffene Regelung hält, da in einem solchen Fall zur Vermeidung von Datenschutzverstößen dem Arbeitgeber die Möglichkeit der zeitnahen Beendigung der Vereinbarung offen stehen sollte.

Zustimmung zur Speicherung von Daten bei BYOD

Jedenfalls bei privaten Endgeräten ist daran zu denken, dass dieses im Eigentum des Arbeitnehmers steht und dann der Speicherung betrieblicher Daten hier eine eigene Relevanz zukommt. Hintergrund ist, dass jede Speicherung bereits eine Datenveränderung darstellt, die ohne Einwilligung zumindest theoretisch bereits einen Straftatbestand (§303a StGB) darstellen könnte. Vor dem Hintergrund macht es Sinn, nochmals ausdrücklich die Zustimmung zur Speicherung von betrieblichen Daten einzuholen und dabei zugleich verständlich und durchaus detailliert klarzustellen, in welcher Form und gegebenenfalls mit welcher Software die entsprechenden Daten wo in dem Endgerät gespeichert werden.

Eine zu pauschale Zustimmung dagegen, die ins Blaue hinein erklärt wird ohne dass die technischen Hintergründe zumindest nachvollziehbar dargestellt sind, könnte schnell als unwirksam zu betrachten sein. Diese ausdrückliche Zustimmung ist dann selbst verständlich auch notwendig, wenn zur Installation entsprechender Software eine wenn auch nur kurzzeitige Überlassung des Endgerätes an den Arbeitgeber notwendig sein sollte.

Quelle: NCSC,  Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

BYOD: Mobile Device Management (MDM)

Es besteht im Bereich des “Bring your own device” regelmäßig ein Bedarf nach einem sogenannten MDM. Dies ist aus Sicht des Arbeitgebers nicht nur nachzuvollziehen, sondern drängt sich geradezu auf. die Thematik ist allerdings äußerst sensibel und darf auf gar keinen Fall unterschätzt werden.

Sollten sich auf dem Endgerät gar keine privaten Daten befinden oder sollten private Daten und betriebliche Daten stringent getrennt sein und ein Zugriff auf die privaten Daten von vornherein ausgeschlossen sein, wäre dies die aus meiner Sicht sicherste Lösung und auch in jedem Fall anzustreben.

In jedem anderen Fall besteht die zumindest theoretische Möglichkeit des Zugriffs auf private Daten oder es muss sogar auf diese zugegriffen werden, alleine um sodann überhaupt erst die Unterscheidung zwischen privaten und betrieblichen Daten vornehmen zu können. Hier kann zwar durchaus auch mit einer Einwilligung bzw. Zustimmung gearbeitet werden, diese stößt aber sehr schnell an ihre Grenzen, wenn man nur alleine schon daran denkt, dass einem Arbeitnehmer vielleicht die Nutzung privater Mails erlaubt ist und im Zuge dessen dann Zugriff auf die Mails von Dritten auf dem Handy des Arbeitnehmers stattfindet. Aus meiner Sicht wäre ein derart problematisches Szenario im Idealfall immer zu vermeiden. Ich möchte dies an dieser Stelle nicht über Gebühr vertiefen, es sei aber grundsätzlich darauf hingewiesen, dass es für Arbeitgeber generell der einfachste Weg ist, die private Nutzung von E-Mails generell zu untersagen.

Am Rande sei an dieser Stelle darauf hingewiesen, dass in dem Fall, in dem eine SIM-karte nicht durch den Arbeitnehmer erworben wird, sondern durch den Arbeitgeber zur Verfügung gestellt wird, der Arbeitgeber dann als Telekommunikationsanbieter einzustufen wäre, was weitere Pflichten nach sich zieht. Da dies derzeit wohl nicht angedacht ist möchte ich dies an dieser Stelle nicht vertiefen, im konkreten Einzelfall sollte dies allerdings vertieft geklärt werden.

Ebenfalls vertraglich regeln sollte man, wie eine Löschung von Daten zu erfolgen hat. Dies sollte in der Nutzungsvereinbarung von Anfang an klar geregelt sein, wobei aus meiner Sicht in erster Linie immer zwei Wege in Betracht kommen: Entweder das Endgerät muss ausgehändigt werden damit es dann untersucht und entsprechende Daten gelöscht werden oder es ist eine Software mit einem Zugang von außen vorgesehen, über die der Arbeitgeber Löschungen vornehmen kann. Im einfachsten Fall ist auch hier wieder sichergestellt, dass in einem eigenen Bereich die Speicherung der Daten stattfindet, so das von Anfang an vertraglich nur das Löschen dieses Bereichs vorgesehen ist und der Zugangsweg klar in dem Sinne vereinbart ist, dass der Mitarbeiter Sorge zu tragen hat, dass der Zugang zum Endgerät durch den Arbeitgeber sichergestellt ist. Eine mangelnde vertragliche Vereinbarung hat gleich zwei schwerwiegende Konsequenzen: zum einen sind sie schon datenschutzrechtlich dazu verpflichtet, dafür Sorge zu tragen, dass erhobene Daten dann gelöscht werden, wenn sie nicht mehr benötigt werden. Damit ist zugleich auch sichergestellt, dass nicht dritte unberechtigt Kenntnis von diesen Daten erlangen und bei Ihnen möglicherweise irgendwelche Meldepflichten ausgelöst werden. Auf der anderen Seite ist das rechtswidrige Löschen von Daten in fremden Systemen eine eindeutige Straftat, wobei sich bei geeigneter Zustimmung die strafrechtliche Relevanz verhindern lässt. Gleich im mehrfachen Sinn liegt bis dahin ihrem Interesse, diesen Aspekt ausdrücklich und abschließend zu regeln.

Sicherung des eigenen Endgerätes im Rahmen des BYOD

Dem Arbeitnehmer sollten in der vertraglichen Vereinbarung grundsätzliche Pflichten auferlegt werden, wie das Endgerät zu sichern ist. Dies beginnt bei Standardmaßnahmen wie etwa einem Passwortschutz um auf das Gerät zuzugreifen, geht über allgemeine Hinweise zur Aufbewahrung des Gerätes bis hin zu Untersagung bestimmter Dienste, wie etwa international zugänglicher Cloud-Lösungen, bei denen der Ort der Speicherung der Daten nicht hinreichend sicher gestellt ist. Zu denken ist auch daran, dass beispielsweise auf mobilen Endgeräten die Installation bestimmter Apps untersagt wird, dies kann auch in der Form geschehen, dass bestimmte Kategorien von Apps, umschrieben durch eine Funktionsbeschreibung, untersagt werden.

Meldepflichten des Arbeitnehmers regeln

In der Nutzungsvereinbarung sollte in jedem Fall geregelt sein, welche Meldepflichten den Arbeitnehmer treffen. So sollte er in jedem Fall dazu angehalten sein, zwingend und unverzüglich den Verlust des gesamten Endgerätes dem Arbeitgeber melden zu müssen. Auch darüber hinaus könnten Meldepflichten sinnvoll sein, etwa wenn der Arbeitnehmer feststellt, dass bestimmte und in der Nutzungsvereinbarung notwendig vorgesehene Dienste nicht oder nicht zuverlässig arbeiten.

BYOD: Haftung bei Verlust des Endgerätes

Abschließend ist daran zu erinnern, dass absehbar gerade bei einer hohen Anzahl von Mitarbeitern hin und wieder der Fall auftreten wird, dass ein Endgerät verloren geht, beschädigt wird oder gar zerstört wird. Diese Thematik wird unliebsam sein, sollte aber in jedem Fall zwingend zwischen Arbeitgeber und Arbeitnehmer mit klaren Kriterien wer unter welchen Umständen für den Schaden einzustehen hat, im Rahmen des “Bring your own device” geregelt sein.

Ich möchte, unter Rückgriff auf die Rechtsprechung zur Nutzung eines Dienst-PKW bzw. eines vom Arbeitgeber auch für private Zwecke überlassenen PKW, die sich insoweit aus meiner Sicht ergebende Rechtsprechung sehr kurz wie folgt zusammenfassen: wenn der Verlust durch Einwirkung des Arbeitgebers entstanden ist oder im Rahmen betrieblicher Veranlassung auftritt, wird man grundsätzlich von einer Haftung des Arbeitgebers ausgehen können. Wenn dagegen alleine das allgemeine Lebensrisiko des Arbeitnehmers Ursache war dürfte von keiner Haftung des Arbeitgebers auszugehen sein. Bei der Bemessung der Risikosphären sollte man nicht alleine darauf abstellen, ob ein Verlust oder Ähnliches während der Arbeitszeit aufgetreten ist, sondern es ist schon konkret zu prüfen, ob es sich im Rahmen betrieblicher Veranlassung ereignet hat. In jedem Fall sollte die Arbeitgeberhaftung für solche Fälle dann ausgeschlossen sein, wenn Verlust oder Ähnliches durch den Arbeitnehmer durch grobe Fahrlässigkeit oder Vorsatz herbeigeführt wurden.

Eine Klausel zur Haftung in diesen Fällen sollte sich an diesen Grundsätzen orientieren. Wenn man eine pauschale Lösung sucht dürfte es vertraglich wohl ohne Bedenken sein, wenn der Arbeitgeber dem Arbeitnehmer gegenüber erklärt, bei Verlust etc. grundsätzlich für eine Ersatzbeschaffung einzustehen. Hierbei sollte gleichwohl allerdings schon aus Gründen der Fairness zumindest der Vorsatz, wenn nicht auch die grobe Fahrlässigkeit, ausgeschlossen sein. Andersherum ist es eher schwierig bis ausgeschlossen, dem Arbeitnehmer pauschal das gesamte Risiko eines Verlustes etc. aufzubürden. Aus meiner Sicht wäre dies allenfalls dann denkbar, wenn dem Arbeitnehmer hierbei eine Risikozulage oder ähnliches zugewendet wird.

Kategorien
Datenschutz im Betrieb IT-Arbeitsrecht

Keine Mitbestimmung des Betriebsrats bei App mit Feedback Funktion

Das Arbeitsgericht Heilbronn (8 BV 6/16) hat entschieden, dass dem Betriebsrat kein Mitbestimmungsrecht hinsichtlich des Angebots einer App mit Feedback-Funktion zukommt:

  1. Eine vom Arbeitgeber betriebene Smartphone-Applikation, die es den Nutzern ermöglicht, ein Kundenfeedback abzugeben, das auch Angaben zu Leistung und Verhalten der Mitarbeiter enthalten könnte, ist keine technische Überwachungseinrichtung im Sinne von § 87 Abs. 1 Nr. 6 BetrVG, wenn der Arbeitgeber weder zur Abgabe derartiger Angaben auffordert, noch diese programmgemäß technisch weiterverarbeitet.
  2. Eine im Kern selbständige Erhebung von Daten iSv § 87 Abs. 1 Nr. 6 BetrVG durch eine technische Einrichtung ist dann nicht gegeben, wenn diese Daten der Einrichtung durch Dritte ohne eigenes Zutun – insbesondere ohne hierauf gerichtete Aufforderung der Kunden durch den Arbeitgeber – zuwachsen.
  3. Eine programmgemäße technische Datenverarbeitung ist nicht gegeben, wenn die bei der technischen Einrichtung eingehenden Daten anschließend ausschließlich manuell selektiert und an die Stellen weitergeleitet werden, für die die Informationen bestimmt sind. Anders kann dies dann beurteilt werden, wenn die eingehenden Daten durch die technische Einrichtung mittels einer eigenen Auswertungssoftware weiterverarbeitet werden können.