Home / Aktuelles & Termine / it.sec blog

Jahrelang hat Herr S. die Facebook-Seite seines Arbeitgebers betreut. Er hat sie registriert, aufgebaut und gepflegt, mit Inhalten versorgt. Herr S. stellt sich neuen Herausforderungen und verlässt das Unternehmen, jetzt will der Arbeitgeber den Zugang zu dem Account und Zugriff auf sämtliche Inhalte – doch das Unternehmen geht leer aus.

Warum?

Das Arbeitsgericht in Brandenburg (AG Brandenburg, Urteil vom 31.1.2018 – 31 C 212/17) musste einen derartigen Fall entscheiden. Ausschlaggebend für die Entscheidung waren verschiedene Indizien, die wir hier kurz für Sie zusammengestellt haben:

  • Impressum: Wer ist im Impressum der Fanpage genannt?
  • Registrierte E-Mail-Adresse: Handelt es sich um eine dienstliche oder private Adresse?
  • Nutzung: Sind auch private Inhalte des Administrators auf der Fanpage enthalten?
  • Name: Sind ggfs. Markenrechtlich geschützte Inhalte auf der Fanpage und wem gehören die Markenrechte?

 

Zurück zum Fall:

Zwar war im Impressum der Fanpage das Unternehmen aufgeführt, aber bei der registrierten E-Mail-Adresse handelte es sich um die Privatadresse von Herrn S. Dieser hatte auch private Inhalte auf der Fanpage gepostet und zu allem Überfluss auch noch den verwendeten Markennamen auf seinen eigenen Namen schützen lassen. Und damit hat das Unternehmen vor Gericht verloren.

Hinsichtlich des Datenschutzes wies das Gericht im Übrigen explizit darauf hin, dass bei sogenannten „Misch-Accounts“, also Benutzerkonten die sowohl privat als auch beruflich genutzt werden, aufgrund des Fernmeldegeheimnisses (§ 88 TKG) die Inhalte durch den Betreiber solange zurückbehalten werden müssen, bis alle Kommunikationspartner der Offenlegung zugestimmt haben.

Damit Ihnen nicht ähnliches passiert, sollten Sie darauf achten, dass Ihre Präsenz in den Sozialen Netzwerken eindeutig als Unternehmenspräsenz geführt wird. Die Fanpage sollte auf das Unternehmen registriert sein und die Zugangsdaten im Unternehmen gespeichert. Wenn Sie private Inhalte seitens des Administrators auf der Fanpage zulassen, könnte es sich rechtlich um ein Misch-Account handeln, zu dem Sie keinen (unbeschränkten) Zugang mehr haben.

Aus diesem Grund raten wir generell dazu, sämtliche durch das Unternehmen zur Verfügung gestellte Hard- und Software ausschließlich zur betrieblichen Nutzung frei zu geben und dies auch von Zeit zu Zeit zu überprüfen und die Mitarbeiter auf Verstöße hinzuweisen und ggfs. sogar abzumahnen. Nur so ist ein Zugriff auf sämtliche Unternehmenskommunikation durch das Unternehmen selbst zu gewährleisten.

C. Lürmann

Rechtsanwältin

Consultant Datenschutz

Auch im Rahmen der Datenschutzgrundverordnung (DSGVO) sollte der Arbeitgeber die Nutzung der betrieblichen Arbeitsmittel (Firmentelefon, dienstlicher PC oder mobile Endgeräte) und elektronischen Kommunikationsmedien (betrieblicher E-Mail-Account & Internetzugang, Internet-Telefonie) durch seine Mitarbeiter regeln. Denn die bereichsspezifischen datenschutzrechtlichen Vorschriften des TKG und TMG, welche die E-Privacy-Richtlinie (Richtlinie 2009/136/EG als Neufassung der Richtlinie 2002/58/EG) umsetzen, bleiben auch weiterhin gültig.

Sofern der Arbeitgeber seinen Mitarbeitern verbietet, dass die von ihm zur Verfügung gestellten Arbeitsmittel und Kommunikationsmedien auch privat genutzt werden, finden die Vorschriften des TKG und des TMG wegen § 3 Nr. 10 TKG und § 11 Abs. 1 Nr. 1 TMG keine Anwendung. Maßgeblich für die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber, die anfallen, wenn die Mitarbeiter die betrieblichen Arbeitsmittel und Kommunikationsmedien nutzen, ist dann allein die Datenschutzgrundverordnung (DSGVO).

Der Arbeitgeber sollte jedoch seine Mitarbeiter über das Privatnutzungsverbot einschließlich der Folgen bei Zuwiderhandlung informieren (z.B. als Passus im Arbeitsvertrag) und diese über die Aufrechterhaltung des Privatnutzungsverbots regelmäßig belehren.

Sofern der Arbeitgeber die Privatnutzung gestattet, erbringt er nach Auffassung der Aufsichtsbehörden Telekommunikationsdienste i.S.v. § 3 Nr. 6 TKG bzw. Telemediendienste i.S.v. § 2 Nr. 1 TMG. Die dabei anfallenden Verkehrs- bzw. Nutzungsdaten sowie die Inhalte der Kommunikationsvorgänge unterliegen damit dem Fernmeldegeheimnis des § 88 TKG (§ 7 Abs. 2 S. 3 TMG verpflichtet auch Telemediendienstleister auf das Fernmeldegeheimnis).

Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber dann grundsätzlich nur noch mit Einwilligung der betreffenden Mitarbeiter erlaubt. Ausnahmen gelten nur gemäß §§ 88 Abs. 3, 100, 107 TKG.

Daher sollte der Arbeitgeber die Erlaubnis zur Privatnutzung möglichst beschränken (z.B. lediglich auf die private Nutzung des betrieblichen Internetzugangs) und vorab entsprechende Nutzungsregeln (über eine Betriebsvereinbarung oder Richtlinie) erstellen sowie Einwilligungen der Mitarbeiter wirksam einholen. Entsprechende Muster hierzu hat it.sec bereits für ihre Kunden erstellt.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesverband Laptop Lazarus Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30