Martin Hackemann 12.03.2003 1 Datenschutzrechtliche Vorgaben für Arbeitgeber und bei der Gestaltung von Informationsangeboten Martin Hackemann Fachinformationszentrum

Martin Hackemann 12.03.2003 1

Datenschutzrechtliche Vorgaben für Arbeitgeber und bei der Gestaltung von Informationsangeboten

Martin HackemannFachinformationszentrum Karlsruhe

Vortrag am 12.03.2003 in Osnabrück

Internet & E-Mail im Betrieb:


Internet & E-Mail im Betrieb

Gliederung1. Vorbemerkung2. Datenschutzrechtliche Vorgaben für

a) die Internet- und E-Mail-Nutzung im Betriebb) für die Gestaltung von

Informationsangeboten im Internet3. Schlussbemerkung


Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb

Betriebliche Vorgaben– Internet & E-Mail = Arbeitsmittel– Festlegung des Einsatzes durch den Arbeitgeber– Zulassung ausschließlich dienstlicher oder auch

privater Nutzung– Unterrichtung der Mitarbeiter über die Grenzen

der Nutzung– Mitbestimmungsrechte des Betriebsrates bei

Wahrung des Datenschutzes

M. Hackemann:

Mitbestimmungsrechte des BR bei Leistungs- und Verhaltenskontrolle

Einwilligung des BR ersetzt Zustimmung des Betroffenen: Betriebsvereinbarung ist Rechtsvorschrift im Sinne des BDSG und geht diesem vor (BAG Beschluss vom 27.05.1986). Das bedeutet, kollektivrechtliche Einwilligung ersetzt individuelle Einwilligung. Kollektivrechtliche Lösung bedeutet aber keine datenschutzrechtliche Willkür; zu beachten sind z.B. Prinzip der Zweckbestimmung, Direktionsrecht des Arbeitgebers.

M. Hackemann:

Mitbestimmungsrechte des BR bei Leistungs- und Verhaltenskontrolle

Einwilligung des BR ersetzt Zustimmung des Betroffenen: Betriebsvereinbarung ist Rechtsvorschrift im Sinne des BDSG und geht diesem vor (BAG Beschluss vom 27.05.1986). Das bedeutet, kollektivrechtliche Einwilligung ersetzt individuelle Einwilligung. Kollektivrechtliche Lösung bedeutet aber keine datenschutzrechtliche Willkür; zu beachten sind z.B. Prinzip der Zweckbestimmung, Direktionsrecht des Arbeitgebers.



Contra– Gefahr übermäßiger Ressourcen-

belastung, z.B. beim Download umfangreicher Programme oder von MP3-Dateien

– Gefahr erheblicher Reduzierung der Arbeitszeit, z.B. beim Surfen

– Gefahr eines unkontrollierbaren Virenbefalls

– Mögliche lizenzrechtliche Probleme

Pro– Erlernung des Umgangs

mit Internet & E-Mail– Steigerung der

Arbeitsmotivation– Völliges Verbot privater

Nutzung nicht durch-setzbar

Private Nutzung im Betrieb - Pro & Contra


Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im BetriebAusschließlich betriebliche Nutzung1. Arbeitgeber ist nicht Anbieter iSd TKG, TDDSG; diese Gesetze

sind daher auch nicht anzuwenden, vgl. § 1 I 2 TDDSG2. (a) Prüfrecht des AG auf Einhaltung der Nutzungsgrenzen

(b) bei Vertrauensstellung der Beschäftigten strenge Anforderungen an Erforderlichkeit der Datennutzung

3. In Betriebsvereinbarung sind Regelungen in Abweichung vom BDSG etc. zuungunsten des Betroffenen zulässig, soweit (a) Vorschriften nicht zwingend / bußgeldbewehrt und(b) grundlegende Datenschutzprinzipien eingehalten werden

4. Protokolldatenaufzeichnung zur Datensicherung: Keine Verwendung für andere Zwecke zulässig.

5. Kontrollrecht des AG von ein- und ausgehenden E-Mails6. Zur Datensicherheit Unterdrückung von E-Mail-Attachments

(z.B. html-Seiten, *.exe-, *.com-, *zip-Dateien) zulässig


Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Bei Zulassung (Duldung) privater Nutzung

vorab zu klärende Punkte:– Umfang der Ressourcenbereitstellung – technische Trennung dienstl. u. privater Nutzung– datenschutzrechtliche Anforderungen an private

Nutzung– Zeitlicher Umfang der zulässigen privaten Nutzung– erlaubte Nutzungsarten (Surfen, Download etc.)– Kostentragung– steuerrechtl. Konsequenzen– Lizenzierung von downgeloadeten Programmen



Bei Zulassung privater Nutzung gelten gegenüber AN datenschutzrechtliche Vorschriften für geschäftliches Angebot von Internetdiensten

datenschutzrechtliche Pflichten des Anbieters nach TDDSG u. BDSGTKG, TDSV u.a. (werden nicht weiter vertieft;

Ausnahme:)§ 85 TKG: Fernmeldegeheimnis



Anwendbarkeit des TDDSG, § 1 I 2 Anforderungen nach TDDSG bei privater Nutzung

– Einwilligung in die Nutzung der pb. Daten, § 3 III– Vorabunterrichtung, § 4 I– Widerrufsbelehrung, § 4 III– Löschung der Zugriffsdaten nach Verbindungsende, § 4 IV– Nutzung der Teledienste gegen Kenntnisnahme schützen– Keine Aufhebung der Pseudonymisierung von Nutzerprofilen– Unentgeltliche Auskunftserteilung, § 4 VII– Zweckbindung bei Verarbeitung der Nutzungsdaten, § 6 I

BV kann nicht alle datenschutzrechtlichen Probleme lösen, aber grundlegenden Datenschutzprinzipien Rechnung tragen.


Datenschutzrechtliche Aspekte für die Gestaltung von Informationsangeboten im Internet

Einwilligung elektronische Einwilligung (§ 4 II TDDSG)

– nur durch eindeutige und bewusste Handlung des Benutzers

– Protokollierung der Einwilligung– jederzeitige Abrufbarkeit

Worauf ist sonst noch zu achten? (§ 4a I BDSG)

– Freiwilligkeit der Einwilligung– besondere Hervorhebung bei mehreren Erklärungen– Folgen bei Verweigerung der Einwilligung



Regelungspunkte einer BV (nicht abschließend):– Zugang für die (alle) Mitarbeiter– Sicherung des Persönlichkeitsschutzes der AN– Wahrung der AG-Interessen an IT-Systemen– E-Mail-Nutzung durch AN– Einbeziehung der Internet-Dienstanweisung des AG mit

Festlegung der zulässigen Nutzung durch AN– Regelung bei Verstößen der AN gegen Dienstanweisung– Untersagung von Gesetzesverstößen der AN (z.B. gegen

StGB, DS-Gesetze, UrhG)– Verarbeitung von Log-Dateien

– Rechte des BR ggb. AG


Internet & E-Mail im Betrieb

Gliederung Vorbemerkung Datenschutzrechtliche Vorgaben für

– die Internet- und E-Mail-Nutzung im Betrieb– für die Gestaltung von

Informationsangeboten im Internet Schlussbemerkung



Ziel der Informationspflichten:– Transparenz der Datenverarbeitung– Verbesserung des Rechtsschutzes des

Betroffenen Um welche Daten geht es?

– Bestandsdaten (Vertragsdaten)– Nutzungsdaten (Nutzung und Abrechnung des

Teledienstes)– Inhaltsdaten (Gegenstand der Datenverarbeitung)



Wann und wie muss unterrichtet werden? (4 I TDDSG)

– Grundsätzlich vor der jeweiligen Sitzung mit– gut sichtbarem Link auf der Eingangsseite

Worüber muss unterrichtet werden? (§ 4 TDDSG, §§ 4 III, 4e, 19a I, 28 IV, 33 I BDSG)

– Anbieterkennzeichnung– Art, Umfang, Zweck der Datenverarbeitung – Empfänger, sofern nicht bereits bekannt / erkennbar– Verwendung von Cookies– Weitervermittlung zu anderem Anbieter– Widerspruchsrecht bei Werbung, Marktforschung– Verfahrensverzeichnis (optional/auf Anfrage)



Aufbau einer Datenschutz-Policy:1. Information über die zu erhebenden Nutzerdaten 2. Hinweis auf Beachtung der Zweckbindung 3. Bei Übermittlung von Nutzerdaten: Nennung der

Empfängerkategorien4. Hinweis auf Verpflichtung der eigenen AN zur Vertraulichkeit5. Datensicherung: Hinweis auf fortlaufende Weiterentwicklung6. Cookies7. Auskunftsrecht des Nutzers8. Berichtigungsanspruch des Nutzers9. Widerspruchsrecht des Nutzers bei Marketingmaßnahmen10.Kontakt11.Verfahrensverzeichnis


Teledienste - Mediendienste Teledienste, § 2 II TDG:

– E-Mail – Datendienste, Wetter-, Börsendaten– Electronic banking, elektron. Fahrplanauskünfte

Mediendienste, § 2 I, II MDStV:– Fachartikel (z.B. Volltextservice)– Abrufdienste über Waren- oder Dienstleistungsangebot

in redaktionell aufbereiteter Form Weitgehende inhaltsgleiche Regelung von Tele-

und Mediendiensten


Informationspflichten bei Telediensten

Der Anbieter muss nach § 6 TDG / § 10 II MDStV angeben:

Name und Anschrift (bei GmbH, AG, Stiftung, Anstalt etc.: Vertreter)

E-Mail, Telefon (für schnelle elektron. Kontaktauf-nahme) Aufsichtsbehörde, falls behördliche Zulassung der Tätigkeit

erforderlich (z.B. Gewerbeaufsichtsamt) Öffentl. Register und Register-Nr. (z.B. Handelsregister-Nr.,

Vereinsregister-Nr. o.ä. ) Berufsrechtl. Regelungen (zuständige Kammer/Behörde) Umsatzsteuer-ID-Nr. nach § 27a UStG


Schlussbemerkung IInternet und E-Mail im Betrieb: Der Eindruck, dass die datenschutzrechtlichen

Vorschriften vor allem einen funktionierenden Betriebsablauf erschweren, trifft nur bedingt zu:

Bei Beachtung zentraler DS-Prinzipien sind auch Regelungen zuungunsten der betroffenen AN zulässig, soweit nicht von zwingenden / bußgeldbewehrten DS-Vorschriften abgewichen wird.

Empfehlenswert ist vor diesem Hintergrund der Abschluss einer Betriebsvereinbarung.


Schlussbemerkung IIInternet und E-Mail im geschäftlichen Bereich: Anbieter hat Fülle von datenschutzrechtlichen

Informationspflichten zu beachten Entscheidend:

– Transparenz der Datenverarbeitung für Nutzer und – Leicht zugängliche und umfassende Information des

Kunden z.B. durch Datenschutzhinweise die Verletzung datenschutzrechtlicher Informationspflichten

ist bußgeldbewehrt; Abmahnvereine haben aber derzeit vor allem Verletzung der Impressumspflichten im Blick.

Arbeitnehmerdatenschutzgesetz ist zur Klarstellung ungelöster Fragen dringend erforderlich.


Vielen Dank für Ihr Interesse!

Documents

Martin Hackemann 12.03.2003 1 Datenschutzrechtliche Vorgaben für Arbeitgeber und bei der Gestaltung von Informationsangeboten Martin Hackemann Fachinformationszentrum