Home / Aktuelles & Termine / it.sec blog

Der europäische Gerichtshof für Menschenrechte, im Folgenden ‚Gerichtshof‘ genannt, hat im Fall einer Kündigung eines Arbeitnehmers entschieden, dass die der Kündigung vorangegangene Aufzeichnung von dessen Online-Aktivitäten zu stark in sein Recht auf Achtung des Privat- und Familienlebens gemäß Art. 8 der Europäischen Menschenrechtskonvention (MRK) eingreife. Damit seien weder die Überwachung noch die Kündigung auf Basis der mit der Überwachung erhobenen Daten rechtens gewesen.

Der Arbeitnehmer war Angestellter in einem Unternehmen mit Sitz in Rumänien; dieses hatte den Mitarbeitern untersagt, die betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien für private Zwecke zu nutzen. Über einen Messenger-Dienst, der ausschließlich der Geschäftskorrespondenz diente, kommunizierte der Arbeitnehmer dennoch mit seinem Bruder und seiner Verlobten. Dabei wurden nicht nur die Verbindungsdaten, sondern ebenso die vollständigen Kommunikationsinhalte und damit sehr intime Gesprächsverläufe durch den Arbeitgeber aufgezeichnet. Auf Grundlage dieser Beweise für die Privatnutzung wurde dem Arbeitnehmer die Kündigung ausgesprochen.

Nachdem der Arbeitnehmer vor zwei nationalen Instanzen mit der Klage gegen seinen ehemaligen Arbeitgeber scheiterte, reichte der Arbeitnehmer Klage wegen Verletzung seines Rechts auf Achtung des Privat- und Familienlebens beim Gerichtshof ein.

Der Gerichtshof rügte in seinem Urteil, dass die Vorinstanzen in ihren Urteilen nicht ausreichend berücksichtigt hätten, inwiefern der Arbeitnehmer im Vorhinein über die Überwachungsmaßnahmen, die Art und Weise sowie den Umfang der Überwachung informiert worden war und inwieweit diese Überwachung unverhältnismäßig in das Privatleben des Arbeitnehmers eingegriffen hätte. Denn nach Feststellung des Gerichtshofs war die Überwachung unzulässig, so dass die dabei erhobenen Daten schon nicht zur Beendigung des Beschäftigungsverhältnisses hätten verarbeitet werden dürfen.

In seinem Urteil hat der Gerichtshof zugleich sechs Punkte festgelegt, welche zur Beurteilung der Zulässigkeit der Beschäftigtenüberwachung und der damit verbundenen Datenverarbeitung herangezogen werden sollen: Ausreichende Informierung der betroffenen Person (Transparenz), Rechtmäßigkeit der Datenverarbeitung, insbesondere ob ein berechtigtes Interesse des Arbeitgebers besteht, Einschränkung der Datenverarbeitung auf das erforderliche Maß (Datenminimierung), Zweckbindung und Verhältnismäßigkeit der Datenverarbeitung sowie Wahrung der Vertraulichkeit durch Schutzmaßnahmen, die den potenziellen Bedrohungen für die Rechte und Freiheiten der betroffenen Person bei einer solchen Überwachung Rechnung tragen.

Der Gerichtshof hat damit klargestellt, dass der Arbeitgeber sich auch bei der Überprüfung der Einhaltung des Privatnutzungsverbots an die Datenschutzprinzipien halten muss, so dass auch hier eine Datenverarbeitung, die zu einer anlass- und lückenlosen Beschäftigtenkontrolle führt, nicht zulässig ist.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Das heutige Urteil des Bundesarbeitsgerichts (BAG, Urteil vom 27. Juli 2017, 2 AZR 681/16) befasste sich mit der Frage, ob personenbezogene Daten, die mittels Überwachungssoftware auf einem Arbeitsplatz-Rechner erhoben wurden, auch zur Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen.

Über einen Software-Keylogger, der auf dem vom Arbeitgeber zur Verfügung gestellten PC eines Mitarbeiters installiert wurde, wurden die Tastatureingaben des Mitarbeiters protokolliert sowie in regelmäßigen Abständen Screenshots vom Bildschirm angefertigt. Diese Maßnahme des Arbeitgebers erfolgte wohl heimlich oder zumindest gab der Arbeitgeber einen anderen Zweck für eine solche Datenverarbeitung an.

Anschließend wurden die Daten jedoch zum Zwecke der Verhaltenskontrolle des Mitarbeiters verwendet und das dadurch aufgedeckte Fehlverhalten des Mitarbeiters als Anlass zur Kündigung genommen.

Zwar besteht grundsätzlich ein berechtigtes Interesse des Arbeitgebers, die Begehung von Vertragsverletzungen zu seinen Lasten oder gar Straftaten durch den Mitarbeiter im Arbeitsverhältnis aufzudecken. Nach Sicht des Bundesarbeitsgerichts hatte der Arbeitgeber jedoch vor Einsatz der Überwachungssoftware keinen „auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung“ (Pressemitteilung Nr. 31/17 des Bundesarbeitsgerichts). Das Bundesarbeitsgericht hat daher bereits die mit dieser anlass- und lückenlosen Überwachung einhergehende Datenerhebung als unzulässig erachtet, da dies gegen das Datenschutzprinzip der Verhältnismäßigkeit verstoße.

Somit dürfen die in unzulässiger Weise erhobenen Daten nicht zur Beendigung des Beschäftigungsverhältnisses verarbeitet werden. Und ohne die Daten lässt sich die Kündigung des Mitarbeiters nicht rechtfertigen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Empfehlungen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Krankheit Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30