b.r - Kontrolle von Arbeitnehmern bei Internetnutzung (Rechtsanwalt IT EDV Internet eBusiness eCommerce Medien Telekommunikation Software Recht Köln Berlin lawyer attorney solicitor law media telecommunication Germany Cologne)


		Kontrolle von Arbeitnehmern bei Internetnutzung

		I. Übersicht Die Thematik hat nicht nur einen rechtswissenschaftlichen Hintergrund, sondern es sind erhebliche wirtschaftliche Interessen im Spiel. Wenn AN während der Arbeitszeit ihr Aktiendepot pflegen, Urlaubsreisen buchen, E-Mails an Freunde schreiben, chatten, Moorhühner abschießen oder demnächst die Spiele der Fußball-WM im Internet verfolgen, kann es zu mehreren Streitpunkten kommen: - die Datenübertragung verursacht Kosten - Sicherheit des Firmennetzwerks kann gefährdet sein (Viren) oder sich die Geschwindigkeit verlangsamen - Die MA sind von ihrer eigentlichen Arbeit abgelenkt, wollen aber bezahlt werden - Der AG kann Haftungsrisiken ausgesetzt sein, wenn der AN gesetzwidrige Handlungen über den Firmenaccount vornimmt. Ende des Jahres 2000 wurden zum Beispiel auf Grund solcher Verstöße gleich 23 AN bei der New York Times entlassen. In Deutschland ergab eine Umfrage bei 1.000 Unternehmen, dass AN mit dienstlichem Internetzugang diesen ca. 3,2 Stunden pro Woche zu privaten Zwecken einsetzen. Der heutige Vortrag behandelt: Datenschutz-Grundbegriffe: Gesetzliche Regelungen, Anwendbarkeit deutschen Datenschutzrechts, personenbezogene Daten, Bestands-/Nutzungs- und Abrechnungsdaten, grundsätzliches Erhebungs- und Verarbeitungsverbot, Rechte des Nutzers. Private Internet-/E-Mail-Nutzung: Abgrenzung privat/dienstlich, erlaubte Nutzung, Muster-Betriebsvereinbarung. Technische Kontrolle durch den AG: Rechtlicher Rahmen, Persönlichkeitsschutz des AN, Einzel-Beispiele, Mitbestimmungsrechte des Betriebsrates. II. Datenschutz Grundbegriffe 1. Informationelle Selbstbestimmung Grundlage des heutigen Datenschutzrechts in Deutschland ist das „Recht auf informationelle Selbstbestimmung“, welches das Bundesverfassungsgericht im Jahr 1983 aus dem allgemeinen Persönlichkeitsrecht (Art. 2 I GG) als Ausprägung der Menschenwürde (Art. 1 I GG) hergeleitet hat. Die zuvor bereits seit den siebziger Jahren bestehenden Regelungen in Bundes- und Landesdatenschutzgesetzen mussten entsprechend den Vorgaben des BVerfG novelliert werden. Danach sollte jeder Bürger grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen, jede personenbezogene Angabe sollte geschützt sein (egal, ob es sich um sensible Daten handelt oder nicht), die Bürger sollten wissen, wer was wann und bei welcher Gelegenheit über sie weiß, Einschränkungen des Rechts auf informationelle Selbstbestimmung sollten einer ausdrücklichen gesetzlichen Grundlage bedürfen und die Daten sollten nur für einen konkreten Zweck erhoben und gespeichert werden. 2. Gesetzliche Regelungen Das BDSG gilt in Bezug auf öffentliche Stellen des Bundes, öffentliche Stellen der Länder, soweit diese nicht durch die LDSG erfasst werden und nicht-öffentliche Stellen. Die LDSG gelten für die öffentlichen Stellen der Länder. In Bezug auf E-Commerce Anwendungen ist das TDDSG anzuwenden, welches alle „elektronischen Informations- und Kommunikationsdienste, die für eine individuelle Nutzung von kombinierbaren Daten wie Zeichen, Bilder oder Töne bestimmt sind und denen eine Übermittlung mittels Telekommunikation zu Grunde liegt“ (§ 2 I TDG). Seit Ende 2001 ist ein „Arbeitnehmer-DatenschutzG“ in Planung. 3. Ähnliche Grundsätze in allen Regelungen, ergänzende Anwendung des BDSG Ergänzend zu den spezialgesetzlichen Vorschriften kommen als Auffangtatbestand die Vorschriften des BDSG zur Anwendung (§ 1 III BDSG). 4. Anwendbarkeit deutschen Datenschutzrechts Grundsätzlich kommt deutsches Datenschutzrecht zur Anwendung, wenn die datenverarbeitende Stelle ihren Sitz in Deutschland hat. Gem. § 1 V BDSG werden im Rahmen der Umsetzung der EU-Datenschutzrichtlinie einige Sonderregelungen getroffen, die auf den Sitz des „Verantwortlichen“ abstellen. „Verantwortlicher“ ist derjenige, der Daten verarbeitet oder verarbeiten lässt und über Zweck und Ziel der Datenverarbeitung entscheidet (§ 3 VII BDSG). - Erfolgt die Datenverarbeitung zwar im EU-Ausland, ist der Sitz des Verantwortlichen aber im Inland, so ist deutsches Datenschutzrecht anwendbar. - Erfolgt die Datenverarbeitung zwar in Deutschland, sitzt der Verantwortliche aber im EU-Ausland, findet deutsches Recht keine Anwendung. - Erfolgt die Datenverarbeitung in Deutschland und ist Sitz der verantwortlichen Stelle das nicht-EU-Ausland, ist deutsches Datenschutzrecht anzuwenden. 5. Personenbezogene Daten Nur personenbezogene Daten sind geschützt (§ 3 I BDSG), das sind Einzelangaben über persönliche oder sachliche Verhältnisse eine bestimmten oder bestimmbaren natürliche Person. Nicht geschützt sind daher die Daten juristischer Personen, d. h. von Firmen. Außerdem sind Datenerhebungen privater Stellen für Zwecke, die nicht geschäftsmäßig, beruflich oder gewerblich sind, nicht geschützt (§ 1 II Nr. 3 BDSG). Geschützt sind also z. B. Familien- und Vornamen, Anschrift, Staatsangehörigkeit, Beruf, etc. 6. Bestands-, Nutzungs- und Abrechnungsdaten Bestandsdaten sind solche Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind, z. B. Anschrift, Telefonnummer und Bankverbindung (§ 5 I TDDSG). Nutzungsdaten sind erforderlich, um dem Nutzer die Inanspruchnahme von Telediensten zu ermöglichen, Abrechnungsdaten sind erforderlich, um die Nutzung von Telediensten abzurechnen (§ 6 I TDDSG). 7. Erhebungs-/Verarbeitungsverbot Es besteht ein grundsätzliches Verbot der Erhebung personenbezogener Daten, von dem es jedoch Ausnahmen gibt (§ 4 I BDSG). 8. Ausnahmen vom Erhebungs- / Verarbeitungsverbot Gesetzlich erlaubt ist die Erhebung/Verarbeitung von Daten, soweit dies erforderlich ist, um bei nicht-öffentlichen Stellen das Vertragsverhältnis überhaupt zu begründen oder durchzuführen (§§ 28 f. BDSG, 5 I TDDSG) bzw. um bei öffentlichen Stellen die Aufgaben zu erfüllen (§ 13 BDSG). Man spricht von der sogenannten „Zweckbestimmung“. Personenbezogene Daten über die Inanspruchnahme von Telediensten dürfen nur erhoben/verarbeitet/genutzt werden, wenn dies zur Inanspruchnahme (Nutzungsdaten) oder Abrechnung (Abrechnungsdaten) erforderlich ist. Darüber hinaus ist die Verarbeitung zu anderen Zwecken, insbesondere zu Zwecken der Beratung, Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Teledienste nur zulässig, soweit der Nutzer in diese zuvor ausdrücklich eingewilligt hat (für Bestandsdaten: § 5 II TDDSG). Dies ist z. B. insofern ein Unterschied zur „realen“ Welt, als dort gemäß § 28 IV BDSG der Betroffene nur ein nachträgliches Widerspruchsrecht hat, nicht aber seine vorherige Zustimmung für solche Zwecke erforderlich ist. Der Nutzer ist vor Erhebung (und Einwilligung) über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten (§§ 4a I BDSG, 3 V TDDSG). Eine Nutzung der Daten zu anderen Zwecken als den angekündigten ist unzulässig. Außerdem ist der Nutzer darauf hinzuweisen, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (§ 3 VI TDDSG). Diese Hinweise müssen deutlich hervorgehoben sein und die Unterrichtung über die Zwecke der Datenverarbeitung muss für den Nutzer auch später jederzeit abrufbar sein (§ 3 V TDDSG). Die Einwilligung in die Datenverarbeitung hat grundsätzlich in Schriftform zu erfolgen, d. h. es ist eine handschriftliche Unterschrift des Nutzers erforderlich (§ 4a I BDSG). Für Teledienste gibt es jedoch eine Ausnahmeregelung in § 3 VII TDDSG, wonach die Einwilligung auch in elektronischer Form erklärt werden kann, wenn der Diensteanbieter sicherstellt, dass die Einwilligung: - nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen kann (nicht in AGB, nicht vorausgewählt) - sie nicht unerkennbar verändert werden kann (Verschlüsselung) - ihr Urheber erkannt werden kann (digitale Signatur) - die Einwilligung protokolliert wird - der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann. 9. Rechte des Nutzers Der Nutzer hat das Recht, seine Einwilligung in die Datenverarbeitung jederzeit mit Wirkung für die Zukunft zu widerrufen (§3 VI TDDSG). § 6 BDSG bestimmt einige unabdingbare Rechte des Nutzers, die in den §§ 19-21 für öffentliche Stellen und den §§ 33-35 BDSG für nicht-öffentliche Stellen näher ausgestaltet werden. Der Nutzer ist berechtigt, jederzeit über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten bzw. den Verwendungszweck unentgeltlich Auskunft zu erhalten (§§ 19 I, 34 I BDSG). Die Auskunft ist auf Verlangen des Nutzers auch elektronisch zu erteilen (§ 7 TDDSG). Der Nutzer ist unaufgefordert zu benachrichtigen, wenn die Daten des Betroffenen ohne seine Kenntnis erhoben oder gespeichert werden (§ 19a I, 33 I BDSG). Unrichtige personenbezogene Daten sind zu berichtigen (§§ 20 I, 35 I BDSG). Der Diensteanbieter hat dem Nutzer die Inanspruchnahme von Diensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeiten zu informieren (§ 4 I TDDGS). Diensteanbieter haben aber die Möglichkeit, die Erbringung ihrer Leistung gegenüber dem Nutzer von der Erteilung einer Einwilligung für die Verarbeitung und Nutzung seiner Daten (z. B. zu Werbezwecken) abhängig zu machen. Dies gilt aber nicht für Anbieter, die eine Monopolstellung innehaben oder wenn der Nutzer keine Möglichkeit hat, vergleichbare Teledienste in zumutbarer Weise in Anspruch zu nehmen (§ 3 III TDDSG). Widerrechtlich gespeicherte Daten sind zu löschen (§§ 20 II, 35 II BDSG). Bestandsdaten müssen von Providern spätestens 2 Jahre nach Beendigung des Vertragsverhältnisses gelöscht werden (§ 4 III TDSV), ansonsten direkt nach Vertragsbeendigung. Nutzungsdaten müssen so früh wie möglich gelöscht werden, spätestens unmittelbar nach Ende der jeweiligen Nutzung, soweit es sich nicht um Abrechnungsdaten handelt (§ 6 II Nr. 1 TDDSG). Abrechnungsdaten sind zu löschen, wenn sie für die Abrechnung nicht mehr benötigt werden. Einzelnachweise über Verbindungsdaten sind i.d.R. spätestens 80 Tage nach Versenden des Einzelnachweises zu löschen (§6 II Nr. 2 TDDSG). III. Private Internet-/E-Mail Nutzung 1. Abgrenzung privat / dienstlich Soweit ein Bezug zu den dienstlichen Aufgaben besteht, die Arbeit des AN also gefördert werden soll, liegt eine dienstliche Nutzung vor. Es reicht die Absicht, die Arbeit voranzubringen, auf die tatsächliche Zweckmäßigkeit kommt es nicht an. Alles andere hat privaten Charakter. Dienstlich veranlaßte Privatnutzungen (z. B. Bitte um private Terminverschiebung wegen dienstlicher Verspätung) werden dem Dienstbereich zugeordnet. 2. Erlaubte Nutzung Grundsätzlich haben AN keinen Anspruch auf die private Nutzung dienstlicher Kommunikationssysteme. Diese gehören dem AG und daher bestimmt er über deren Verwendung. Er kann die Privatnutzung vollständig oder teilweise untersagen. Bei Duldung durch den AG kann jedoch eine betriebliche Übung und damit ein Nutzungsanspruch des AN entstehen. Allerdings wird man nicht in der Gestattung privater Telefonate eine stillschweigende Gestattung der Internetnutzung sehen können. Fehlt eine eindeutige Verhaltensvorschrift, ist in der Regel nur eine klarstellende, kündigungsrechtlich nicht relevante “Ermahnung” durch den AG zulässig. Verstößt der AN gegen eine ihm bekannte Nutzungsvorschrift, ist eine Abmahnung zulässig. Wiederholt der AN sein Verhalten nach einer Abmahnung oder ist bereits der erste Verstoß besonders gravierend, wird möglicherweise eine ordentliche oder sogar fristlose Kündigung möglich sein. 3. Muster-Betriebsvereinbarung Zur genauen Bestimmungen, welche Nutzung den AN gestattet ist und welche nicht, sollte somit eine Betriebs- oder Dienstvereinbarung geschlossen werden, damit sich alle Seiten über ihre Verpflichtungen im Klaren sind. Inhalt sollte insbesondere sein: - wer hat Zugang worauf und wie lange - für welche Zwecke - Sperrung bestimmter Inhalte - Zweck, Umfang, Speicherdauer und Zugriff auf Protokolldateien - abgestuftes Verfahren bei Mißbrauch Muster-Betriebsvereinbarungen für den Umgang mit dem Internet werden z. B. angeboten vom Bayerischen Landesbeauftragten für den Datenschutz oder die Gewerkschaft HBV. IV. Technische Kontrolle durch den Arbeitgeber 1. Rechtlicher Rahmen Hinsichtlich der datenschutzrechtlichen Problematik bei privater Internetnutzung am Arbeitsplatz ist zu unterscheiden, ob der AG diese verbietet oder erlaubt: - bei erlaubter oder geduldeter Privatnutzung wird der AG zum TK-Anbieter und das TKG, mit seinen weitreichenden Schutzvorschriften ist anwendbar. Nach § 85 TKG dürfen nur die für die Abrechnung erforderlichen Daten erhoben werden. Allenfalls für die konkrete Mißbrauchsbekämpfung ist eine weitergehende Datenerhebung möglich; - bei verbotener Nutzung gilt das BDSG. Danach besteht eine Berechtigung zur Kontrolle, soweit das Persönlichkeitsrecht des AN nicht unzumutbar beeinträchtigt wird (BAG NJW 1987, 674). Auch Tarifverträge, Betriebs- und Dienstvereinbarungen stellen nämlich eine rechtfertigende Erlaubnisnorm i.S.d. § 4 I BDSG dar und können die Datenverarbeitung abweichend vom BDSG regeln. 2. Persönlichkeitsschutz des AN Bei verbotener Privatnutzung ist es zulässig, die Verbindungsdaten der einzelnen Zugriffe aufzuzeichnen. Hierunter fallen z. B. die Empfängeradressen bei E-Mail-Verkehr und die URLs aufgerufener Webseiten. Nach einem Teil der Literatur verstoße eine inhaltliche Kontrolle von E-Mails ohne vorherige Erlaubnis des betroffenen AN meist gegen sein allgemeines Persönlichkeitsrecht. Ein rechtfertigender Eingriff in Form einer Inhaltskontrolle komme nämlich – entsprechend der Rechtsprechung von BVerfG und BAG – selbst bei dienstlicher Kommunikation nur bei einem überwiegenden, schutzwürdigen Interesse des AG in Betracht. Erst bei Vorliegen eines konkreten Verdachtes für eine strafbare Handlung oder einen schweren Vertragsverstoß (z. B. Verrat von Geschäftsgeheimnissen) bestehe ein Einsichtsrecht des AG. Nach einem anderen Teil der Literatur hat der AG, wie bei herkömmlicher Geschäftskorrespondenz, im Rahmen seines Weisungs- und Direktionsrechtes ein Recht auf Kenntnisnahme. Bei erlaubter Privatnutzung hat der AG nur begrenzte Kontrollrechte, denn durch seine Billigung kommt das TKG zur Anwendung und eine Kontrolle darf nur zu Abrechnungszwecken (wobei selbst das in den meisten Fällen nicht einschlägig sein dürfte) zulässig ist. Durch rechtswidrige Kontrollen erlangte Daten unterliegen einem gerichtlichen Beweisverwertungsverbot. 3. Einzelbeispiele Erhalt einer E-Mail Laut ArbG Frankfurt/a.M. (MMR 2001,547) rechtfertigt der Erhalt einer privaten E-Mail am Arbeitsplatz, auch bei entsprechendem ausdrücklichen Verbot der Privatnutzung, keine fristlose Kündigung ohne vorherige Abmahnung, da eine Abmahnung nur dann entbehrlich ist, wenn der AN zu erkennen gibt, dass er sich auch in Zukunft nicht vertragstreu verhalten wird. Im Übrigen sei in dem einmaligen Erhalt/Versenden einer E-Mail kein derart schwerwiegender Vertragsverstoß zu sehen, der eine fristlose Kündigung rechtfertigen würde. Übermäßige Nutzung Das AG Wesel hat im Jahr 2001 entschieden (Az. 5 Ca 4021/00 v. 21.03.2001), dass auch eine extensive Nutzung (hier 80-100 Stunden im Jahr) nicht zu einer fristlosen Kündigung ohne Abmahnung berechtige, wenn die private Internetnutzung zuvor grundsätzlich geduldet worden sei. Der AN habe nicht ohne Weiteres die Rechtswidrigkeit seines Handelns erkennen müssen, da bekannt sei, dass insbesondere bei der Einführung der Internetnutzung in einem Unternehmen der AN sich quasi spielerisch hiermit vertraut machen müsse, was auch eine intensive Nutzung des Internet zu privaten Zwecken nicht grundsätzlich ausschliesse. Pornographie Sowohl das AG Hannover (CR 2002, 226) als auch das AG Düsseldorf (Az. 4 Ca 3437/01 v. 01.08.2001) entschieden, dass insbesondere beim Herunterladen bzw. Bereitstellen pornographischen Materials eine fristlose Kündigung auch ohne Abmahnung gerechtfertigt ist. In dem Düsseldorfer Fall bestand ein Verbot der Nutzung pornographischen Materials, in Hannover handelte es sich um den Mitarbeiter einer Jugendwohlfahrtseinrichtung. Asset-Tracking (CR 2002, 241ff.) Viele größere Unternehmen setzen sogenannte Asset-Tracking-Systeme ein, welche umfassend die Unternehmens-Assets, d. h. die vermögenswerten Positionen erfassen sollen. Diese Systeme analysieren und lokalisieren z. B. die im Unternehmen installierte Hard- und Software, Netzwerkumgebung und Konfigurationsdaten. Darüber hinaus werden aber auch personenbezogene Daten (Name, Vorname, Systemname, Anwendername, E-Mail Adrese, Kostenstelle) über die AN erfasst. Die Zulässigkeit ist – mangels entsprechender Einwilligung – nach § 28 I Ziff. 2 BDSG (für die Erfüllung eigener Geschäftszwecke bzw. zur Wahrung berechtigter Interessen) zu beurteilen, so dass eine Abwägung der Unternehmens- (Planungssicherheit, Optimierung, Aufdeckung von Sparpotentialen, Vermeidung von Lizenzproblemen) und AN-Interessen (potentielles Risiko der missbräuchlichen Nutzung z. B. der über das Arbeitsverhalten des AN gewonnenen Daten) vorzunehmen ist. In der Gesamtschau dürften im Regelfall die Unternehmensinteresen überwiegen, so dass von einer grundsätzlichen Zulässigkeit auszugehen ist. Allerdings ist bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der AN zu überwachen, das Mitbestimmungsrecht des Betriebsrats zu beachten (§ 87 I Ziff. 6 BertVG). 4. Mitbestimmungsrechte des Betriebsrates Ein Betriebsrat besitzt nach § 87 I Ziff. 6 BetrVG bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der AN zu überwachen, also insbesondere bei der Überwachung von Internet-/E-Mail-Nutzung weitreichende Mitbestimmungsrechte. Hierbei kommt es nur auf die theoretische Möglichkeit der Überwachung an, nicht darauf, ob der AG auch tatsächlich hiervon Gebrauch macht oder sie eigentlich anders nutzt (z. B. Firewall, Proxy-Server). Der Betriebsrat kann auf den Abschluss einer Betriebsvereinbarung bestehen und so “willkürliche” Überwachungsmaßnahmen des Arbeitgebers verhindern. Ob der Betriebsrat auch ein Mitbestimmungsrecht gem. § 87 I Nr. 1 (“Ordnung des Betriebes”) hat, ist noch nicht rechtskräftig entschieden, aber sehr wahrscheinlich. Mitbestimmungswidrig erlangte Daten unterliegen nach h. L. einem gerichtlichen Beweisverwertungsverbot. V. Zusammenfassung Es bestehen keine gesetzlichen Vorgaben für die Nutzung von E-Mail und Internet am Arbeitsplatz, deshalb sollte der AG einzelvertraglich oder durch eine Betriebsvereinbarung detaillierte Regelungen treffen. Nur so kann er die datenschutzrechtliche Grundlage für eine Kontrolle schaffen und Verstöße hiergegen arbeitsrechtlich ahnden. © 2002 Jens Barkemeyer
druck-/printversion
barrierefreie/accessible textsite

IN COLOGNE AND BERLIN

Get in touch with us:

NOW NEW:

QUICK-NAVIGATION TO LAW DOCUMENTS

TOP-OFFER:

RECENT PUBLICATIONS:

Regulation of E-Mail Advertising
Haftung bei Affiliate-Marketing

b.r DEALS:

THIS IS WHAT OTHERS SAY ABOUT US ...

NEW JUDGEMENTS:

BGH: Partnerprogramm
LG Hamburg: Irreführende Angaben über die Lieferbarkeit