Home / Aktuelles & Termine / it.sec blog

Die Möglichkeit einer automatischen Weiterleitung von der geschäftlichen auf die private E-Mail-Adresse erscheint als Vereinfachung für den Arbeitnehmer, da er damit alle notwendigen Mails an einem Ort abrufen kann.

Ein solches Vorgehen ist allerdings datenschutzrechtlich äußerst bedenklich. Eine automatische Weiterleitung auf die private E-Mail-Adresse stellt eine Datenübermittlung an Dritte dar, da der Anbieter des privaten Accounts in der Regel nicht auch Teil des Unternehmens des Mitarbeiters ist. Darüber hinaus kann durch eine solche Übertragung auch eine Übermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau stattfinden, weil z.B. die Server des Dritten dort angesiedelt sind.

Eine solche Übermittlung wäre nur mit der Einwilligung der betroffenen Person (also des Absenders) oder mit einer anderen geltenden Rechtsgrundlage zulässig. Beides liegt regelmäßig nicht vor. Daher sollte von einer derartigen Weiterleitung unbedingt abgesehen werden.

Daher sollte der Verantwortliche solche unbefugten Datenübermittelungen verhindern und den Mitarbeitern die Einrichtung und Nutzung einer solchen Weiterleitung nachweislich verbieten. Dies ist insbesondere wichtig, da unbefugte Datenübermittlungen gemäß der Datenschutzgrundverordnung (DSGVO) bußgeldbewehrt sind.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Der europäische Gerichtshof für Menschenrechte, im Folgenden ‚Gerichtshof‘ genannt, hat im Fall einer Kündigung eines Arbeitnehmers entschieden, dass die der Kündigung vorangegangene Aufzeichnung von dessen Online-Aktivitäten zu stark in sein Recht auf Achtung des Privat- und Familienlebens gemäß Art. 8 der Europäischen Menschenrechtskonvention (MRK) eingreife. Damit seien weder die Überwachung noch die Kündigung auf Basis der mit der Überwachung erhobenen Daten rechtens gewesen.

Der Arbeitnehmer war Angestellter in einem Unternehmen mit Sitz in Rumänien; dieses hatte den Mitarbeitern untersagt, die betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien für private Zwecke zu nutzen. Über einen Messenger-Dienst, der ausschließlich der Geschäftskorrespondenz diente, kommunizierte der Arbeitnehmer dennoch mit seinem Bruder und seiner Verlobten. Dabei wurden nicht nur die Verbindungsdaten, sondern ebenso die vollständigen Kommunikationsinhalte und damit sehr intime Gesprächsverläufe durch den Arbeitgeber aufgezeichnet. Auf Grundlage dieser Beweise für die Privatnutzung wurde dem Arbeitnehmer die Kündigung ausgesprochen.

Nachdem der Arbeitnehmer vor zwei nationalen Instanzen mit der Klage gegen seinen ehemaligen Arbeitgeber scheiterte, reichte der Arbeitnehmer Klage wegen Verletzung seines Rechts auf Achtung des Privat- und Familienlebens beim Gerichtshof ein.

Der Gerichtshof rügte in seinem Urteil, dass die Vorinstanzen in ihren Urteilen nicht ausreichend berücksichtigt hätten, inwiefern der Arbeitnehmer im Vorhinein über die Überwachungsmaßnahmen, die Art und Weise sowie den Umfang der Überwachung informiert worden war und inwieweit diese Überwachung unverhältnismäßig in das Privatleben des Arbeitnehmers eingegriffen hätte. Denn nach Feststellung des Gerichtshofs war die Überwachung unzulässig, so dass die dabei erhobenen Daten schon nicht zur Beendigung des Beschäftigungsverhältnisses hätten verarbeitet werden dürfen.

In seinem Urteil hat der Gerichtshof zugleich sechs Punkte festgelegt, welche zur Beurteilung der Zulässigkeit der Beschäftigtenüberwachung und der damit verbundenen Datenverarbeitung herangezogen werden sollen: Ausreichende Informierung der betroffenen Person (Transparenz), Rechtmäßigkeit der Datenverarbeitung, insbesondere ob ein berechtigtes Interesse des Arbeitgebers besteht, Einschränkung der Datenverarbeitung auf das erforderliche Maß (Datenminimierung), Zweckbindung und Verhältnismäßigkeit der Datenverarbeitung sowie Wahrung der Vertraulichkeit durch Schutzmaßnahmen, die den potenziellen Bedrohungen für die Rechte und Freiheiten der betroffenen Person bei einer solchen Überwachung Rechnung tragen.

Der Gerichtshof hat damit klargestellt, dass der Arbeitgeber sich auch bei der Überprüfung der Einhaltung des Privatnutzungsverbots an die Datenschutzprinzipien halten muss, so dass auch hier eine Datenverarbeitung, die zu einer anlass- und lückenlosen Beschäftigtenkontrolle führt, nicht zulässig ist.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Auch im Rahmen der Datenschutzgrundverordnung (DSGVO) sollte der Arbeitgeber die Nutzung der betrieblichen Arbeitsmittel (Firmentelefon, dienstlicher PC oder mobile Endgeräte) und elektronischen Kommunikationsmedien (betrieblicher E-Mail-Account & Internetzugang, Internet-Telefonie) durch seine Mitarbeiter regeln. Denn die bereichsspezifischen datenschutzrechtlichen Vorschriften des TKG und TMG, welche die E-Privacy-Richtlinie (Richtlinie 2009/136/EG als Neufassung der Richtlinie 2002/58/EG) umsetzen, bleiben auch weiterhin gültig.

Sofern der Arbeitgeber seinen Mitarbeitern verbietet, dass die von ihm zur Verfügung gestellten Arbeitsmittel und Kommunikationsmedien auch privat genutzt werden, finden die Vorschriften des TKG und des TMG wegen § 3 Nr. 10 TKG und § 11 Abs. 1 Nr. 1 TMG keine Anwendung. Maßgeblich für die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber, die anfallen, wenn die Mitarbeiter die betrieblichen Arbeitsmittel und Kommunikationsmedien nutzen, ist dann allein die Datenschutzgrundverordnung (DSGVO).

Der Arbeitgeber sollte jedoch seine Mitarbeiter über das Privatnutzungsverbot einschließlich der Folgen bei Zuwiderhandlung informieren (z.B. als Passus im Arbeitsvertrag) und diese über die Aufrechterhaltung des Privatnutzungsverbots regelmäßig belehren.

Sofern der Arbeitgeber die Privatnutzung gestattet, erbringt er nach Auffassung der Aufsichtsbehörden Telekommunikationsdienste i.S.v. § 3 Nr. 6 TKG bzw. Telemediendienste i.S.v. § 2 Nr. 1 TMG. Die dabei anfallenden Verkehrs- bzw. Nutzungsdaten sowie die Inhalte der Kommunikationsvorgänge unterliegen damit dem Fernmeldegeheimnis des § 88 TKG (§ 7 Abs. 2 S. 3 TMG verpflichtet auch Telemediendienstleister auf das Fernmeldegeheimnis).

Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber dann grundsätzlich nur noch mit Einwilligung der betreffenden Mitarbeiter erlaubt. Ausnahmen gelten nur gemäß §§ 88 Abs. 3, 100, 107 TKG.

Daher sollte der Arbeitgeber die Erlaubnis zur Privatnutzung möglichst beschränken (z.B. lediglich auf die private Nutzung des betrieblichen Internetzugangs) und vorab entsprechende Nutzungsregeln (über eine Betriebsvereinbarung oder Richtlinie) erstellen sowie Einwilligungen der Mitarbeiter wirksam einholen. Entsprechende Muster hierzu hat it.sec bereits für ihre Kunden erstellt.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kundenbindung Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST Nutzungsbedingungen One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Software Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30