Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO

DSGVO

Wir informieren sie über die Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO.

DSGVO

Der BGH äußerte sich erstmals zur Reichweite des Auskunftsanspruchs nach Art.15 DS-GVO

Einführung 

Der Bundesgerichtshof („BGH“) setzte sich in seinem Urteil vom 15. Juni 2021 (Az. VI ZR 576/19) mit der Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO auseinander. Dabei geht der BGH grundsätzlich von einer weiten Reichweite des Auskunftsbegehrens aus. 

Im vorliegenden Urteil ging es um einen Versicherungsnehmer (Kläger), der bei seinem Versicherungsunternehmen (Beklagte) eine kapitalbildende Lebensversicherung abgeschlossen hat. Der Versicherungsnehmer verklagte das Versicherungsunternehmen unter anderem wegen ausstehender Rückzahlung der Versicherungsprämien. Im Rahmen seines Klagebegehrens verfolgte er auch einen umfassenden Auskunftsanspruch, da ihm seines Erachtens kein vollständiger Auskunftsanspruch hinsichtlich seiner Daten gewährt wurde.

Zu Beginn der Klage stützte sich der Auskunftsanspruch noch auf § 34 BDSG und wurde im Verlauf durch Art. 15 DS-GVO ersetzt. Der Kläger verlangte Auskunft über die gesamte Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos, Zweitschriften und Nachträge zum Versicherungsschein, sowie Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis. Die Beklagte weigerte sich so weitreichende Auskünfte zu erteilen, da diese ihres Erachtens nicht von Art. 15 DS-GVO erfasst seien. 

Das Amtsgericht Brühl wies die Klage mit der Begründung ab, dass weder ein Rückzahlungsanspruch noch ein weitreichender Auskunftsanspruch im Sinne des damals noch geltenden § 34 BDSG bestünde. Wenn überhaupt bestünde lediglich ein “Basisanspruch”, und diesem sei die Beklagte nach Auffassung des Amtsgerichts Brühl ausreichend nachgekommen. Das Landgericht Köln wies die Berufung als unzulässig ab, sodass die Klage auf Auskunft letztlich vom BGH zu entscheiden war. 

Voraussetzungen von Art. 15 DS-GVO 

Die Norm ermöglicht jedem Betroffenen das Recht einen Auskunftsanspruch über seine personenbezogenen Daten, die von dem Verantwortlichen verarbeitet werden, zu verlangen. Art. 15 DS-GVO bezieht sich allerdings nicht nur auf personenbezogene Daten, sondern auch auf weitere Auskünfte hinsichtlich: 

  • des Verarbeitungszwecks,  
  • der Kategorien personenbezogener Daten, die verarbeitet werden; 
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; 
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; 
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; 
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. 

Die in Art. 15 Abs.1 DS-GVO genannten Auskunftsmöglichkeiten eröffnen somit einen umfassenden Bereich, den man beim Auskunftsanspruch eines Betroffenen berücksichtigen muss.  

Grundsätzlich unterliegt die Ausübung dieses Auskunftsanspruches keinen besonderen Formerfordernissen. Die Auskunft kann schriftlich, persönlich, telefonisch oder auch per E-Mail beantragt werden.  

Bei der Beantragung muss zudem kein Grund für die gewünschten Auskünfte genannt werden.  

BGH bestätigt weiten Umfang des Auskunftsanspruchs 

Bereits 2007 hatte sich der EuGH im Rahmen eines Urteils für einen weiten Umfang des Auskunftsanspruches ausgesprochen. Damals bezog sich der EuGH noch auf die Richtlinie 95/46/EG (Datenschutzrichtlinie) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die schließlich von der DS-GVO abgelöst wurde.

Dennoch wurde bereits damals ein umfangreicher Auskunftsanspruch anerkannt, der die Betroffenen berechtigt ihre Datenverarbeitung einzusehen, über sie informiert zu werden und Berichtigung oder ggf. Löschung zu verlangen. Dieser Linie folgt nun auch der BGH und hat erstmals zum weiten Umfang des Auskunftsanspruch nach Art.15 DS-GVO Stellung bezogen. Im vorliegenden Urteil hat der BGH folgende Feststellungen getroffen, an die man sich zukünftig bei der Bearbeitung eines Auskunftsanspruches orientieren kann: 

Demnach sind alle personenbezogenen Daten i.S.d. Art. 4 Nr.1 DS-GVO von Art. 15 DS-GVO erfasst. Gemäß des BGH ist diese Norm auch nicht dahingehend teleologisch zu reduzieren, dass nur „signifikante biografische Informationen“ erfasst werden.

Das ergibt sich bereits aus dem Erwägungsgrund Nr. 63 S.1 der DS-GVO. Danach soll der Betroffene in angemessenen Abständen sein Auskunftsrecht bezüglich seiner personenbezogenen Daten ausüben können, um zu erfahren, welche Daten und zu welchen Zwecken die Daten verarbeitet werden. Der Betroffene soll sich durch die Auskunft der Bearbeitung seiner Daten bewusstwerden und die Möglichkeit haben die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.  

Der BGH entschied weiter, dass selbst Dokumente, die der Betroffene bereits kennt, vom Auskunftsbegehren erfasst werden können.  

Der Auskunftsberechtigte kann sogar wiederholt Auskunft verlangen. 

Auch die Korrespondenz mit Dritten wird erfasst. Selbst interne Vermerke fallen unter Art. 15 DS-GVO, da die Norm nicht voraussetzt, dass die fraglichen Daten extern zugänglich sind. 

Anhand der Feststellungen des BGH zeigt sich, dass im Rahmen eines Auskunftsanspruches eine umfassende Sammlung an personenbezogenen Daten herauszugeben ist. Der Verantwortliche kann keine „Rosinenpickerei“ vornehmen und nur die Daten rausgeben, die seines Erachtens ausreichend sind, um dem Auskunftsanspruch zu entsprechen. 

Einschränkungen des Auskunftsanspruchs nach Art. 15 DS-GVO  

So viele Daten der Auskunftsanspruch auch umfasst, so ergeben sich gleichwohl Einschränkungen des Auskunftsumfangs. Hierzu zählen unter anderem Daten, die im Rahmen einer internen rechtlichen Analyse über die betroffene Person zusammengefasst wurden. Grundsätzlich können diese Analysen personenbezogene Daten enthalten, die Beurteilung der Rechtslage stellt aber keine Information über den Betroffenen dar. Zum anderen werden keine Daten über Provisionszahlungen oder Ähnliches erfasst. 

Auswirkungen von Ausschlussnormen  

Im zugrundeliegenden BGH-Urteilbleiben die Auswirkungen von Ausschlussnormen wie beispielsweise Art. 12 Abs. 5 S. 2 und Art. 15 Abs. 4 DS-GVO hingegen unberücksichtigt. Dennoch sollten diese im Rahmen des Auskunftsanspruchs Beachtung finden. 

Art. 12 Abs. 5 S.2 DS-GVO schließt z.B. einen Auskunftsanspruch gem. Art. 15 DS-GVO dann aus, wenn dieser offenkundig unbegründet ist. Bei exzessiven Anträgen kann der Verantwortliche zudem ein angemessenes Entgelt für die entstehenden Verwaltungskosten verlangen oder sich sogar gänzlich weigern tätig zu werden.

Exzessives Verhalten wird angenommen, wenn es sich um häufige Wiederholungen von Anträgen handelt oder Anträge ohne stichhaltigen Grund in kurz hintereinander geschalteten Zeitintervallen gestellt werden. Die Zeitintervalle sind zu kurz, wenn es offensichtlich unmöglich ist, dass sich die Umstände seit Antragsstellung geändert haben können. 

Schließlich beschränkt Art. 15 Abs. 4 DS-GVO die Herausgabe von Kopien darauf, dass keine Rechte und Freiheiten anderer Personen beeinträchtigt werden dürfen. 

Fazit 

Die gerichtliche Auseinandersetzung mit dem gesetzlichen Auskunftsanspruch gem. Art. 15 DS-GVO ist für den Rechtsanwender durchaus zu begrüßen, da er zukünftig für mehr Rechtssicherheit im Umgang mit dem Auskunftsanspruch nach Art. 15 DS-GVO sorgen wird. 

Allerdings kann die weitgehende Auslegung für die Verantwortlichen zu einem hohen Arbeitsaufwand führen. Ferner können sie sich Schadensersatzansprüchen gem. Art. 82 DS-GVO aussetzen, wenn sie dem Auskunftsanspruch nicht wie geschuldet entsprechen. 

Zu beachten ist jedoch schließlich, dass mögliche Ausschlussnormen gerichtlich noch gar nicht behandelt wurden, sodass es abzuwarten bleibt, ob die beschlossene weite Auslegung im Rahmen von rechtlichen (weiteren) Auseinandersetzungen doch noch begrenzt wird. 

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.   

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

E-Evidence-Verordnung – Mittel zur Kriminalitätsbekämpfung

E-Evidence-Verordnung

Wir informieren Sie über den Entwicklungsstand der E-Evidence-Verordnung.

E-Evidence-Verordnung

E-Evidence-Verordnung –
Ein Mittel Zur Kriminalitätsbekämpfung?

Einführung 

Seit 2017 wird über eine e-Evidence Verordnung diskutiert. Diese Verordnung, im vollen Namen „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“, wurde 2017 von der EU-Kommission vorgeschlagen. Ziel ist es den Behörden den Zugriff auf private Daten von Bürgerinnen und Bürgern im Rahmen eines Ermittlungsverfahrens zu vereinfachen. 

Ausschlaggebend für die Diskussion und den Vorschlag der EU-Kommission war der Anstieg von länderübergreifenden Anfragen durch Strafverfolgungsbehörden zur Herausgabe von elektronischen Beweismitteln.

Da die meisten Daten auf Servern im Ausland gespeichert sind, stellt die Anforderung und Herausgabe von Daten einen enormen bürokratischen Prozess dar. Bereits vor einigen Jahren wurde für diese Fälle eine Zusammenarbeit zwischen den Ländern entwickelt, wie beispielsweise die Richtlinie zur Europäische Ermittlungsanordnung (2014/41/EU) oder das Budapester ÜbereinkommenDiese Übereinkommen ermöglichen den Mitgliedsstaaten derzeit Rechtshilfe in Strafverfahren und Verwaltungsverfahren, die auch strafrechtlich verfolgt werden können. 

Um entsprechende Auskünfte zu erhalten, muss der Mitgliedsstaat die jeweiligen Formalitäten und Verfahrensvoraussetzungen des ersuchenden Mitgliedsstaats befolgen. Die Europäische Ermittlungsanordnung enthält grundsätzlich umfassende Regelungen zu jeder erforderlichen Ermittlungsmaßnahme und umfasst auch den Zugang zu elektronischen Beweismitteln.

Aufgrund des steigenden Bedarfs und schnellerem Zugang zu elektronischen Beweismittelngenügt diese Form der Zusammenarbeit nicht mehrDenn laut der EU-Kommission dauert es im Durchschnitt zehn Monate, bis eine Herausgabeanforderung erfolgreich beantwortet wird. Daher soll dieser Herausgabeprozess nun durch die e-Evidence-Verordnung vereinfacht werden. Die Verordnung soll die Europäische Ermittlungsanordnung nicht ersetzen, sondern insbesondere im Bereich der elektronischen Beweismittel ergänzen. 

Was beinhaltet der Vorschlag? 

Ziel ist zunächst die effizientere und sichere Gestaltung der Rechtshilfe, um die Zusammenarbeit zwischen den Behörden und Diensteanbietern zu verbessern und Lösungen im Zusammenhang mit der Ermittlungsarbeit im Cyberspace zu gewährleisten. 

Der Vorschlag gibt dazu den Behörden zwei Instrumente zur Hand – zum einen die Herausgabeanordnung und zum anderen die Sicherungsanordnung. Bei der Sicherungsanordnung müssen bestimmte Daten zunächst gespeichert werden, um für eine eventuelle spätere Herausgabe zur Verfügung zu stehen. Kommt der Dienstanbieter der Aufforderung nicht innerhalb der zehntägigen Frist nach (im Notfall innerhalb von 6 Stunden), dann wird ihm gegenüber ein Bußgeld verhängt in Höhe von 2 % des weltweiten Jahresumsatzes. 

Um diese Instrumente zu nutzen, muss zwingend die Verfolgung einer Straftat vorausgehen. Anordnungen müssen demnach von einer Justizbehörde oder von einem Gericht erlassen oder validiert werden. 

Eine weitere Maßnahme soll die Ernennung eines Vertreters durch einen Diensteanbieter sein, der auf die Anfragen der Behörden schnell und kompetent reagieren kann. Der Vertreter soll dann im Rahmen seiner Tätigkeit auch über die Rechtmäßigkeit der Anordnung entscheiden. 

Grundsätzlich soll der Vollstreckungsstaat nicht in den Anordnungsprozess eingebunden werden, doch ist dafür ein Ausnahmefall vorgesehen. Immer dann, wenn der Diensteanbieter sich weigert der Anordnung nachzukommen, wird der Vollstreckungsstaat mit einbezogen.  

Die Maßnahmen zielen insbesondere auf die Herausgabe von Transaktions-, Inhalts-, Teilnehmer- und Zugangsdaten ab. Laut des Vorschlags sind jedoch nur die Transaktions- und Inhaltsdaten besonders schutzbedürftig, obwohl es sich bei allen Daten um personenbezogene Auskünfte handelt. Jedoch stehen nur diese beiden Daten unter einem Richtervorbehalt und die anderen Daten können von einem Staatsanwalt angeordnet werden. 

Kritik am Vorschlag 

Der Vorschlag erfährt seit der Vorlage im Jahr 2017 immer wieder zahlreiche Kritik.

Erst kürzlich wieder hat sich öffentlich ein Bündnis aus Medienverbänden und –unternehmen an die Abgeordneten des EU-Parlaments gewandt, um dem Entwurf der e-Evidence-VO nicht zuzustimmen. Mit dieser Bitte stehen sie nicht allein, auch zahlreiche Anwaltsverbände und Datenschutzkritiker haben stets ihre Bedenken zum Vorschlag geäußert. 

Die schnellere und grenzüberschreitende Bearbeitung sowie der erleichterte Zugang zu elektronischen Beweismitteln sind durchaus nachvollziehbar. Doch bestehen hinsichtlich der praktischen Anwendung Bedenken, insbesondere mit Blick auf die Erforderlichkeit einer neuen Verordnung und die mangelnde Berücksichtigung der Eingriffsintensität in die Schutzrechte von betroffenen Personengruppen, beispielsweise bleiben der Schutz von Berufsgeheimnisträgern oder Immunitäten unbeachtet. 

Gibt man die justizielle Überprüfung einfach an Privatpersonen ab, führt dies unweigerlich zu einem Einschnitt der notwendigen Rechtsstaatlichkeit. 

Zudem drohen bei Nichtbefolgung der Privatperson hohe Sanktionen, so dass diese eher gewillt ist, Daten im Rahmen einer Anordnung herauszugeben, unabhängig davon, wessen Schutzrechte ggf. dadurch betroffen sind. Staatliche Institutionen haben im Gegensatz dazu ganz andere Möglichkeiten, sich gegen die Anordnung zu wehren oder zumindest eine ordentliche Überprüfung vorzunehmen. 

Des Weiteren führt die mangelnde Mitwirkung des Vollstreckungslandes dazu, dass dieser den Grundrechtsschutz der betroffenen Person sowie des Diensteanbieters nicht überprüfen oder überhaupt gewährleisten kann. Da gerade in Deutschland der Grundrechtsschutz und der Datenschutz sehr hohe Hürden haben, ist zu erwarten, dass diese Schutzmechanismen ausgehöhlt werden. Kritisiert wird in diesem Zusammenhang auch der schwierig auszuübende Rechtsbehelf. Ein Rechtsbehelf kann nur in dem Anordnungsstaat eingelegt werden und dieser Vorgang führt beim Betroffenen zu praktischen Schwierigkeiten (Distanz, Sprache, finanzielle Aufwendungen). 

Einer einfachen Umsetzung stehen ebenfalls die verschiedenen Strafgesetze der einzelnen Mitgliedstaaten entgegen. Für die unterschiedlichen Straftaten gibt es jeweils unterschiedliche Strafrahmen. Dementsprechend ist es schwierig einheitliche Regelungen festzulegen. Das ist auch für das Verfahren der Herausgabeanordnung problematisch. Denn für die Ermittlung wird zwar die Verfolgung einer Straftat gefordert, diese muss aber nur im Anordnungsstaat vorliegen und nicht im Herausgabeland selbst. 

Werden beispielweise in einem Mitgliedsstaat bestimmte Taten überhaupt bestraft anders als in Deutschland (bspw.: politische Meinungsäußerung, Abtreibung), dann kann der entsprechende Mitgliedstaat dementsprechend unter niedrigeren Voraussetzungen Daten in Deutschland herausverlangen als deutsche Behörden selbst. Selbst der vorgeschlagene Mindeststrafrahmen von drei Jahren kann dabei keine Abhilfe schaffen. Denn dadurch können die entstehenden intensiven Grundrechtseingriffe nicht gerechtfertigt werden. 

Bisher ist auch noch nicht abschließend geklärt, ob es tatsächlich als Verordnung oder als Richtlinie verabschiedet wird. Ursprünglich wollte die EU-Kommission den Vorschlag als Richtlinie umsetzen. Das EU-Parlament fordert hingegen die Festlegung als Verordnung. 

Schließlich könnte man noch kritisieren, dass dieser Vorschlag erfolgt ist, ohne vorher die Vorgängerregelung, die europäische Ermittlungsordnung, zu evaluieren.  

Verhandlungen zwischen der EU mit den USA über ein Abkommen zum Austausch elektronischer Beweismittel 

Parallel zu den Diskussionen über eine e-Evidence-Verordnung hat die EU-Kommission Verhandlungen mit den USA über den Datenzugriff von USBehörden aufgenommen. Als Grundlage für die Verhandlungen will die USA ein Abkommen zum Austausch elektronischer Beweismittel nehmen, das sie bereits im Oktober 2019 mit Großbritannien abgeschlossen haben. Auch der CLOUD Act soll als Verhandlungsgrundlage dienen. 

Doch insbesondere mit dem CLOUD Act als Grundlage geraten die Verhandlungen in die Kritik der Datenschützer, weil der CLOUD Act nicht mit der DSG-VO vereinbar ist. Der Cloud Act ermächtigt US-Unternehmen ihre Daten an Drittstaaten weiterzugeben, sofern ein zwischen den USA und dem Drittstaat entsprechendes Abkommen besteht. Ein derartiges Abkommen kann aus Sicht der USA aber nur zustande kommen, wenn der Drittstaat im Gegenzug den direkten Zugriff für US-Behörden ermöglicht. 

Aufgrund der datenschutzrechtlichen Unterschiede wäre ein Abkommen zum jetzigen Zeitpunkt so nicht möglich. Beispielsweise sieht ein Datenzugriff durch die USA unter anderem eine Echtzeitdatenerfassung vor. Dieser und weitere Aspekte erschweren die Einigung über ein Abkommen mit den USA. Dennoch versucht die EU-Kommission Regelungen der e-Evidence-VO auf die USA zu erweitern, um den Strafverfolgungsbehörden die Ermittlung zu erleichtern. Wie die Verhandlungen mit den USA ausgehen bleibt schließlich abzuwarten und hängt von den Trilog-Verhandlungen der EU-Institutionen zur e-Evidence-VO ab. 

Fazit 

Liest man den Vorschlag der EU-Kommission zu der geplanten e-EvidenceVerordnung sind die Vorhaben durchaus plausibel und nachvollziehbar. Dennoch bleiben noch einige Fragen ungeklärt und in der praktischen Anwendung wird kein ausreichender Schutz für mehrere betroffene Personengruppen erreicht. 

Zudem wird der Diensteanbieter in die Position einer Justizbehörde gedrängt, er allein muss entscheiden, ob Daten herausgegeben werden oder nicht ohne eine qualifizierte Überprüfung, die sonst durch Einschaltung einer Justizbehörde erfolgt. Ein Mittel zur Kriminalitätsbekämpfung kann diese Verordnung zwar sein, doch missachtet sie in der jetzigen Form wesentliche Schutzrechte und weist rechtsstaatliche Nachteile auf, die es unbedingt zu beseitigen gilt.  

Im Rahmen eines Kompromissvorschlages hat das EU-Parlament im Dezember 2020 beschlossen interinstitutionelle Verhandlungen über die e-Evidence-Verordnung aufzunehmen. Am 10. Februar 2021 begann der Trilog zwischen den EU-Institutionen unter Führung der portugiesischen Präsidentschaft und am 20. Mai 2021 startet der nächste Trilog-Termin. 

Wir werden Sie über die kommenden Entwicklungen informieren. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Fehlerkultur im Zusammenhang mit Datenpannen

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

BAG: Betriebsrat hat Anspruch auf Einblick in nicht anonymisierte Entgeltlisten

Wir beleuchten den Beschluss des BAG zum Anspruch des Betriebsrates auf Einblick in nicht anonymisierte Entgeltlisten.

BAG: Betriebsrat hat Anspruch auf Einblick in nicht anonymisierte Entgeltlisten

Einleitung

Am 07.05.2019 hat das Bundesarbeitsgericht (BAG) einen Beschluss erlassen, der Betriebsräte in Zukunft ausdrücklich berechtigt, einen Einblick in nicht anonymisierte Bruttoentgeltlisten zu nehmen. Zugrunde lag ein Fall, in dem die Arbeitgeberin – eine Klinik – ihrem Betriebsrat nur Einsicht in nachträglich anonymisierte Bruttoentgeltlisten gewährte. Die Arbeitgeberin führte in der ursprünglichen Version der Listen neben Angaben über Gehalt und Zulagen auch die jeweiligen Namen der Arbeitnehmer auf. Ein Gesuch des vom Betriebsrat gebildeten Betriebsausschusses über Einsichtnahme in Entgeltlisten mit Namensnennung lehnte die Arbeitgeberin ab. Das zuständige Arbeitsgericht, das Landesarbeitsgericht und schließlich auch das Bundesarbeitsgericht (BAG) kamen dem Anliegen des Betriebsausschusses nach.

Entscheidung des BAG (1 ABR 53/17)

Das BAG stützte seine Entscheidung auf § 80 Abs. 2 S. 2 HS. 2 des Betriebsverfassungsgesetzes (BetrVG), der den jeweiligen Betriebsrat oder -ausschuss berechtigt, Einsicht in Bruttoentgeltlisten der Arbeitnehmer zu erhalten, sofern dies zur Durchführung ihrer Aufgaben erforderlich ist. Die Erforderlichkeit der Einsichtnahme ergebe sich daraus, dass ein Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 10 BetrVG in dem zur Entscheidung vorliegenden Rechtsstreit nicht offensichtlich ausgeschlossen sei. Der Anspruch auf Einsicht in die Entgeltlisten nach § 80 Abs. 2 S. 2 HS. 2 BetrVG bestehe nicht lediglich in anonymisierter Form, sondern in der Form, wie sie tatsächlich geführt werden, also auch unter Angabe der Namen der jeweiligen Arbeitnehmer. Zudem müsse der Betriebsrat nicht darlegen oder erläutern, warum er gerade Auskunft in Form einer nicht anonymisierten Liste verlangt und zur Erfüllung seiner Aufgaben als notwendig erachtet. Der Wortlaut des § 80 Abs. 2 S. 2 HS. 2 BetrVG, („in diesem Rahmen“) beziehe sich insofern auf die Bruttoentgeltlisten an sich und bedeute folglich nicht, dass vorher vom Betriebsrat dargelegt werden müsse, warum eine Einsichtnahme in einzelne Angaben der Liste erforderlich sei.

Dem stünden auch die Wertungen des Entgelttransparenzgesetzes (EntgTranspG) nicht entgegen. Insbesondere aus dem Auskunftsanspruch in § 13 Abs. 3 EntgTranspG ergebe sich nichts Gegenteiliges. Dieser ergänze lediglich den Anspruch aus § 80 Abs. 2 S. 2 HS.2. Es handele sich um unabhängige Ansprüche, welche jeweils einen anderen Zweck verfolgen und demnach nicht vergleichbar seien. Letzteres folge aus § 13 Abs. 6 EntgTranspG, wonach gesetzliche und sonstige kollektivrechtlich geregelte Beteiligungsrechte des Betriebsrates unberührt bleiben. Das BAG betont, dass zudem offenbleiben kann, ob der Arbeitgeber bei der Auskunftserteilung gegebenenfalls gemäß § 12 Abs. 3 EntgTranspG zur Anonymisierung verpflichtet ist. Selbst wenn dem so wäre, könnten hierdurch keine Schlussfolgerungen über die Reichweite des Anspruches gemäß § 80 Abs. 2 S. 2 HS. 2 BetrVG getroffen werden. 

Ferner thematisiert das BAG, ob dem Auskunftsanspruch möglicherweise ein informationelles Selbstbestimmungsrecht der Arbeitnehmer oder aber andere datenschutzrechtliche Einwände entgegengehalten werden können. Das BAG hält entsprechende Bedenken jedoch nicht für durchgreifend. Es handele sich zwar um eine Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG), diese sei jedoch gemäß § 26 Abs 1 S. 1 BDSG, Art. 88 Abs. 1 DS-GVO zulässig. Eine Verarbeitung personenbezogener Daten sei immer dann erforderlich, wenn sie zum Zwecke des Beschäftigungsverhältnisses stattfinde oder – wie im vorliegenden Fall – aus der Erfüllung eines kollektivrechtlichen Anspruchs folge. Eine Einsichtnahme verstoße demnach nicht gegen das Recht auf informationelle Selbstbestimmung oder datenschutzrechtliche Vorgaben. Die Rechte der Arbeitnehmer seien ausreichend durch die Vorschriften des BDSG geschützt.

Fazit

Nach Ansicht des BAG soll keine Anonymisierung der dem Betriebsrat oder einem entsprechenden Ausschuss zur Einsicht überlassenen Lohn- und Gehaltslisten erfolgen, weil die Auskunft nach § 80 Abs. 2 S. 2 HS. 2 BetrVG in der Form erteilt werden müsse, in der die Listen tatsächlich auch geführt werden. Dem Einblick in nicht anonymisierte Bruttoentgeltlisten stehe auch § 12 Abs. 3 EntgTranspG nicht entgegen. Darüber hinaus sei eine Einsichtnahme in die Listen im Hinblick auf datenschutzrechtliche Bestimmungen nicht bedenklich.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

EuGH: Verpflichtung des Arbeitgebers zur systematischen Arbeitszeiterfassung

Aufgrund dieser aktuellen Entscheidung des EuGH sind Arbeitgeber verpflichtet, ein System einzurichten, mit dem die tägliche Arbeitszeit gemessen werden kann.

EuGH: Verpflichtung des Arbeitgebers zur systematischen Arbeitszeiterfassung 

Hintergrund

Die spanische Gewerkschaft Federación de Servicios de Comisiones Obreras (CCOO) erhob vor der Audiencia Nacional (Nationaler Gerichtshof, Spanien) eine Klage auf Feststellung der Verpflichtung der Deutsche Bank SAE, ein System zur Erfassung der von deren Mitarbeitern geleisteten täglichen Arbeitszeit einzurichten. Sie vertritt die Auffassung, dass mit diesem System die Einhaltung der vorgesehenen Arbeitszeit und der in den innerstaatlichen Rechtsvorschriften vorgesehenen Verpflichtung, den Gewerkschaftsvertretern die Angaben über die monatlich geleisteten Überstunden zu übermitteln, überprüft werden könne. Nach Auffassung der CCOO ergebe sich die Verpflichtung zur Einrichtung eines solchen Registrierungssystems nicht nur aus den innerstaatlichen Rechtsvorschriften, sondern auch aus der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und der Arbeitszeitrichtlinie (RL 2003/88/EG). Nach der von der Deutsche Bank vertretenen Auffassung lasse sich der Rechtsprechung des Tribunal Supremo (Oberstes Gericht, Spanien) entnehmen, dass das spanische Recht keine solche allgemeingültige Verpflichtung vorsehe. Nach dieser Rechtsprechung schreibe das spanische Gesetz nämlich, sofern nichts anderes vereinbart worden sei, nur die Führung einer Aufstellung der von den Arbeitnehmern geleisteten Überstunden sowie die Übermittlung der Zahl dieser Überstunden zum jeweiligen Monatsende an die Arbeitnehmer und ihre Vertreter vor.

Die Audiencia Nacional hegt Zweifel an der Vereinbarkeit der Auslegung des spanischen Gesetzes durch das Tribunal Supremo mit dem Unionsrecht und hat den Gerichtshof dazu angerufen. Dem Gerichtshof vorgelegten Informationen zufolge werden 53,7 % der in Spanien geleisteten Überstunden nicht erfasst. Darüber hinaus halte es das spanische Ministerium für Beschäftigung und soziale Sicherheit zur Feststellung, ob Überstunden geleistet worden seien, für erforderlich, die Zahl der gewöhnlich geleisteten Arbeitsstunden genau zu kennen. Die Audiencia Nacional weist darauf hin, dass mit der Auslegung des spanischen Rechts durch das Tribunal Supremo zum einen die Arbeitnehmer ein wesentliches Beweismittel, mit dem sie dartun könnten, dass ihre Arbeitszeit die Höchstarbeitszeit überschritten habe, und zum anderen ihre Vertreter die erforderlichen Mittel für die Überprüfung der Achtung der in dem Bereich anwendbaren Regeln verlören. Daher könne das spanische Recht nicht die tatsächliche Einhaltung der in der Arbeitszeitrichtlinie und der Richtlinie über die Sicherheit und die Gesundheit der Arbeitnehmer bei der Arbeit (RL 89/391/EWG) vorgesehenen Verpflichtungen gewährleisten.

Urteil des EuGH (Urteil v. 14.05.2019, Az. C-55/18)

Mit seinem Urteil erklärt der Gerichtshof, dass diese Richtlinien im Licht der Charta einer Regelung entgegenstehen, die nach ihrer Auslegung durch die nationalen Gerichte die Arbeitgeber nicht verpflichtet, ein System einzurichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann. Der Gerichtshof weist zunächst auf die Bedeutung des Grundrechts eines jeden Arbeitnehmers auf eine Begrenzung der Höchstarbeitszeit und auf tägliche und wöchentliche Ruhezeiten hin, das in der Charta verbürgt ist und dessen Inhalt durch die Arbeitszeitrichtlinie weiter präzisiert wird. Die Mitgliedstaaten müssen dafür sorgen, dass den Arbeitnehmern die ihnen verliehenen Rechte zugutekommen, ohne dass die zur Sicherstellung der Umsetzung der Richtlinie gewählten konkreten Modalitäten diese Rechte inhaltlich aushöhlen dürfen. Insoweit ist zu berücksichtigen, dass der Arbeitnehmer als die schwächere Partei des Arbeitsvertrags anzusehen ist, so dass verhindert werden muss, dass der Arbeitgeber ihm eine Beschränkung seiner Rechte auferlegt.

Der Gerichtshof stellt fest, dass ohne ein System, mit dem die tägliche Arbeitszeit eines jeden Arbeitnehmers gemessen werden kann, weder die Zahl der geleisteten Arbeitsstunden und ihre zeitliche Verteilung noch die Zahl der Überstunden objektiv und verlässlich ermittelt werden kann, so dass es für die Arbeitnehmer äußerst schwierig oder gar praktisch unmöglich ist, ihre Rechte durchzusetzen. Die objektive und verlässliche Bestimmung der täglichen und wöchentlichen Arbeitszeit ist nämlich für die Feststellung, ob die wöchentliche Höchstarbeitszeit einschließlich der Überstunden sowie die täglichen und wöchentlichen Ruhezeiten eingehalten worden sind, unerlässlich. Der Gerichtshof vertritt daher die Auffassung, dass eine Regelung, die keine Verpflichtung vorsieht, von einem Instrument Gebrauch zu machen, das diese Feststellung ermöglicht, die nützliche Wirkung der von der Charta und von der Arbeitszeitrichtlinie verliehenen Rechte nicht gewährleistet, da weder die Arbeitgeber noch die Arbeitnehmer überprüfen können, ob diese Rechte beachtet werden. Eine solche Regelung könnte daher das Ziel der Richtlinie, das darin besteht, einen besseren Schutz der Sicherheit und der Gesundheit der Arbeitnehmer sicherzustellen, gefährden, und zwar unabhängig von der nach dem nationalen Recht vorgesehenen wöchentlichen Höchstarbeitszeit. Dagegen bietet ein Arbeitszeiterfassungssystem den Arbeitnehmern ein besonders wirksames Mittel, einfach zu objektiven und verlässlichen Daten über die tatsächlich geleistete Arbeitszeit zu gelangen, und erleichtert dadurch sowohl den Arbeitnehmern den Nachweis einer Verkennung ihrer Rechte als auch den zuständigen Behörden und nationalen Gerichten die Kontrolle der tatsächlichen Beachtung dieser Rechte.

Fazit

Um die nützliche Wirkung der von der Arbeitszeitrichtlinie und der Charta verliehenen Rechte zu gewährleisten, müssen die Mitgliedstaaten die Arbeitgeber daher verpflichten, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann. Es obliegt den Mitgliedstaaten, die konkreten Modalitäten zur Umsetzung eines solchen Systems, insbesondere der von ihm anzunehmenden Form, zu bestimmen und dabei gegebenenfalls den Besonderheiten des jeweiligen Tätigkeitsbereichs oder Eigenheiten, sogar der Größe, bestimmter Unternehmen Rechnung zu tragen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

EuGH zur Rufbereitschaft von Arbeitnehmern

Wir beleuchten die EuGH-Rechtsprechung zum Thema Rufbereitschaft.

EuGH zur Rufbereitschaft von Arbeitnehmern

Einleitung

Mit seiner Entscheidung vom 21.02.2018 (Az. C-518/15) hat der Europäische Gerichtshof (EuGH) festgelegt, dass auch die am Wohnort geleistete Rufbereitschaft eines Arbeitnehmers unter die Definition der Arbeitszeit im Sinne des Unionsrechts fallen kann. Dies gilt jedoch nur, sofern der Arbeitgeber bestimmenden Einfluss auf den persönlichen Aufenthaltsort des Arbeitnehmers während des Bereitschaftsdienstes nimmt, indem er etwa eine Leistungserbringung am Arbeitsplatz innerhalb einer kurzen Zeit fordert. 

Das aktuelle EuGH-Urteil 

Die zu diesem Urteil führende Vorlagefrage kommt von dem belgischen Arbeitsgerichtshof in Brüssel: Geklagt hatte im Jahr 2009 ein Mitglied der freiwilligen Feuerwehr gegen die Stadt Nivelles, um Schadensersatz für nicht geleistetes Arbeitsentgelt seit 1981, insbesondere für seinen zu Hause geleisteten Bereitschaftsdient, zu erhalten. Entscheidend war für das vorlegende Gericht, das von der Beklagten als Rechtsmittelinstanz gegen die stattgebende Entscheidung des Arbeitsgerichts Nivelles von 2012 angerufen wurde, die Frage, ob die Mitgliedstaaten von den in Art. 2 der Richtlinie 2003/88 festgelegten Definitionen von „Arbeits-“ und „Ruhezeit“ abweichen dürfen. 

Dies hat der EuGH verneint: Bereits der Wortlaut von Art. 15 und Art. 17 der Richtlinie 2003/88 verbiete eine Abweichung von den Definitionen des Art. 2. Darüber hinaus diene die verbindliche Festlegung der Begriffe der Zielsetzung der Richtlinie, europaweit einheitliche Mindeststandards zum Schutz der Sicherheit und Gesundheit der Arbeitnehmer zu schaffen. Von diesen sollen die Mitgliedstaaten nicht durch eine unterschiedliche Auslegung in ihrem jeweiligen nationalen Recht abweichen können, jedoch bleibt ihnen eine günstigere Regelung der Arbeits- und Ruhezeiten, als sie in der Richtlinie vorgesehen ist, möglich.

Insbesondere die Tatsache, dass der Feuerwehrmann durch seinen Arbeitgeber verpflichtet wurde, während seiner Bereitschaftszeit an einem bestimmten Ort (unerheblich, dass es sich hierbei um den Wohnsitz und nicht den Arbeitsplatz handelt) zur Verfügung zu stehen und dessen Ruf innerhalb weniger Minuten nachzukommen, schränkt nach Ansicht des EuGH die Freizeitgestaltung und individuelle Lebensführung des Arbeitnehmers erheblich ein. Anders seien dagegen Fälle zu beurteilen, in denen der Arbeitnehmer während seines Bereit-schaftsdienstes „nur“ für den Arbeitgeber erreichbar zu sein habe. Hier sei nur die tatsächliche Leistungserbringung als „Arbeitszeit“ im Sinne von Art. 2 der Richtlinie 2003/88 anzusehen. 

Betont hat der EuGH darüber hinaus, dass die Richtlinie 2003/88 keine Regelung des Arbeitnehmerentgelts enthalte, da diese gem. Art. 153 Abs. 5 AEUV außerhalb der Zuständigkeiten der Europäischen Union (EU) liege. Demgemäß können die Mitgliedstaaten festlegen, dass für Arbeits- und Ruhezeiten eine unterschiedliche Vergütung erfolgt und insbesondere, dass Rufbereitschaften entgeltfrei sind.

Bestätigung der EuGH-Rechtsprechung 

Mit seiner aktuellen Entscheidung bestätigt der EuGH seine früheren Urteile: Bereits zuvor wurden Bereitschaftsdienste in Form der persönlichen Anwesenheit des Arbeitnehmers am Arbeitsplatz (!) als „Arbeitszeit“ im Sinne von Art. 2 der Richtlinie 2003/88 eingeordnet (vgl. EuGH, Simap, 03.10.2000, C-303/98; Jaeger, 09.09.2003, C-151/02; Dellas u.a., 01.12.2005, C-14/04), neu ist demgegenüber die Ausweitung auf den Wohnsitz bzw. auf grundsätzlich jedweden Aufenthaltsort. Ausschlaggebend für diese Einordnung bleibt weiterhin, dass der Aufenthaltsort des Arbeitnehmers durch den Arbeitgeber in örtlicher oder zeitlicher Hinsicht bestimmt wird, etwa indem er diesem zur Verfügung stehen muss, um seine Leistung gegebenenfalls sofort zu erbringen. 

Konsequenzen des aktuellen EuGH-Urteils für Arbeitgeber in Deutschland 

Der EuGH stärkt mit seiner aktuellen Entscheidung nicht nur die Kontinuität seiner eigenen Rechtsprechung, sondern bestätigt auch diejenige der deutschen Arbeitsgerichte zur Rufbereitschaft: Grundsätzlich unterfällt diese als Ruhezeit gem. §§ 2,5 Arbeitszeitgesetz (ArbZG) nicht der Arbeitszeit, entscheidend ist jedoch deren Begriffsbestimmung durch das Bundesarbeitsgericht (BAG, 19.12.1991, 6 AZR 592/89; 31.01.2002, 6 AZR 214/00). Nach diesem liegt Rufbereitschaft im Sinne einer Erreichbarkeit und potentiellen Leistungserbringung durch den Arbeitnehmer nur vor, wenn dieser weitgehend selbst über seinen persönlichen Aufenthaltsort bestimmen kann. Existieren demgegenüber wiederum örtliche oder zeitliche Vorgaben durch den Arbeitgeber, handelt es sich um „Arbeitsbereitschaft“ bzw. „Bereitschaftsdienst“, welche auch nach deutschem Recht der Arbeitszeit unterfallen. Dies hat vor allem entscheidenden Einfluss auf den Arbeitsschutz. 

Die aktuelle Entscheidung des EuGH spielt dagegen keine Rolle hinsichtlich der Vergütung der unter die Arbeitszeit fallenden Bereitschaftsdienste, da diese, wie oben ausgeführt, in den Zuständigkeitsbereich der Mitgliedstaaten fällt. Auch das BAG misst der Einordnung der Rufbereitschaft zur Ruhe- oder Arbeitszeit keine unmittelbare Bedeutung für die Frage der Vergütung derselben bei (BAG, 28.01.2004, 5 AZR 530/02). Diese richtet sich vielmehr nach den im Einzelfall einschlägigen arbeits- und tarifvertraglichen Regelungen bzw. Betriebsver-einbarungen. Allerdings sind nach aktueller Rechtsprechung zumindest die Vorgaben des Mindestlohns auch während des Bereitschaftsdienstes zu beachten (BAG, 29.06.2016, 5 AZR 716/15), sodass sich etwaige verbindliche Vorgaben von Arbeitgebern hinsichtlich des Aufenthaltsortes von Arbeitnehmern zumindest auch mittelbar auf deren Entgelt auswirken können.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Zulässigkeit von Videoüberwachung am Arbeitsplatz

Wir beleuchten das Urteil des OVG Saarlouis zur Videoüberwachung am Arbeitsplatz.

Zulässigkeit von Videoüberwachung am Arbeitsplatz

Einführung

Schon im März 2017 hatte der Deutsche Bundestag das sog. Videoüberwachungsverbesserungsgesetz verabschiedet, welches am 5. Mai 2017 in Kraft getreten ist. Das seit Mai 2018 geltende Bundesdatenschutzgesetz (BDSG neu) enthält dabei die inhaltlich gleiche Neuregelung der Videoüberwachung. Die Videoüberwachung öffentlich zugänglicher Räume darf nur unter den in § 4 BDSG (neu) geregelten Voraussetzungen vorgenommen werden. § 4 BDSG betrifft dabei den Einsatz von optisch-elektronischen Einrichtungen. Hiervon werden sowohl analoge als auch digitale Beobachtungstechnik erfasst, sowie Fotoapparate oder Mobiltelefone mit integrierter Kamera. Eine Anwendung von § 4 BDSG kann nur dann erfolgen, wenn die Videoüberwachung zum Zwecke der Beobachtung vorgenommen wird. § 4 BDSG umfasst dabei ausschließlich die Beobachtung öffentlich zugänglicher Räume. Es wird unterschieden zwischen dem Regelfall und den Bereichen mit besonderem Gefahrenpotenzial. Das OVG Saarlouis hat mit Urteil vom 14.12.2017 (2 A 662/17) in einem Rechtsstreit entschieden, der die Videoüberwachung zur Wahrnehmung des Hausrechts betraf. Hierauf wird abschließend eingegangen.

§ 4 BDSG (neu)

§ 4 Abs. 1 BDSG enthält dabei die Voraussetzungen für die Zulässigkeit der Videoüberwachung. Die Beobachtung ist demnach zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen (Nr. 1), zur Wahrnehmung des Hausrechts (Nr. 2) oder zur Wahrnehmung berechtigter Interessen für konkrete festgelegte Zwecke erforderlich sind (Nr. 3). Hierbei handelt es sich um drei Zweckbestimmungen, die geeignet sind eine Beobachtung zu rechtfertigen.

Nach § 4 Abs. 1 Satz 1 BDSG muss die Videobeobachtung erforderlich sein. Die Erforderlichkeit einer Überwachungsmaßnahme ist grundsätzlich dann gegeben, wenn sie geeignet ist, das mit der Überwachung verfolgte Ziel tatsächlich zu erreichen. Zusätzlich darf kein anderes Mittel ersichtlich sein, das gleich wirksam, aber die betroffene Person weniger in ihren Rechten beeinträchtigt. Maßgeblich im Rahmen der Prüfung der Rechtmäßigkeit der Videoüberwachungsmaßnahme ist also die Abwägung zwischen den mit der Überwachung verfolgten Zwecken und dem Grad der Schutzwürdigkeit der Interessen des Betroffenen. Bei der vorzunehmenden Abwägung ist insbesondere darauf zu achten, ob der jeweilige Bereich öffentlich zugänglich ist oder nicht.

Nach § 4 Abs. 3 BDSG darf eine Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten nur dann erfolgen, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und schutzwürdige Interessen des Betroffenen nicht überwiegen. Gemäß § 4 Abs. 4 BDSG besteht auch eine Informationspflicht gegenüber der von der Videoüberwachungsmaßnahme betroffenen Person. Einer Pflicht zur Löschung der Daten muss nach § 4 Abs. 5 BDSG dann nachgegangen werden, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind.

Urteil des OVG Saarlouis

Das OVG Saarlouis hat mit Urteil vom 14.12.2017 (2 A 662/17) in einem Rechtsstreit über die Frage entschieden, ob die erfolgte Videoüberwachung zur Wahrnehmung des Hausrechts und berechtigter Interessen erfolgte und somit eine Rechtfertigung der Beobachtung vorliegt. In dem dem Urteil zugrundeliegenden Sachverhalt hatte der Eigentümer einer Apotheke aufgrund eines zu verzeichnenden und nicht erklärbaren Verlusts in Höhe von 40.000€ eine Videoüberwachung eingerichtet. Die Überwachung umfasst dabei sowohl die Verkaufsräume der Apotheke, als auch den nicht öffentlich zugänglichen Bereich und eine Überwachung der Beschäftigten selbst. Die Mitarbeiter haben ihre Einwilligung zur Aufstellung der Videokameras erteilt. Die Aufstellung der Videokameras wurde von dem Unabhängigen Datenschutzzentrum des Saarlandes untersagt. Hiergegen klagte der betroffene Apotheker. Das OVG Saarlouis gab dieser Klage zum Teil statt.

Videoüberwachung des Verkaufsraums

Die Videoüberwachung des Verkaufsraumes sollte den Schutz des Klägers vor weiteren Diebstählen bezwecken. Dieser Zweck stellt einen Fall der Wahrnehmung des Hausrechts i.S.v. § 4 Abs. 1 Nr. 2 BDSG dar. Das Gesetz enthält jedoch keine Definition des Hausrechts. In Rechtsprechung und Literatur erfolgt dabei eine weite Auslegung. Bei Zugrundelegung einer weiten Auslegung zählen Maßnahmen, die geeignet sind zur Gewährleistung eines Eigentumsschutzes beizutragen, zur Wahrnehmung des Hausrechts. Bezogen auf den vorliegenden Fall ist festzuhalten, dass die potentiellen Straftäter durch eine Videoüberwachung massiv abgeschreckt werden können. Nach Auffassung des Gerichts überwiegt damit das Interesse des Eigentümers am Schutz seines Eigentums. Überdies kann der Kläger sich vorliegend auch auf § 4 Abs. 1 Nr. 3 BDSG berufen. Es waren genügend Anhaltspunkte gegeben, die den Schluss auf einen Diebstahl zulassen und eine permanente Beobachtung des Raumes nach § 4 Abs. 1 Nr. 3 BDSG damit erforderlich machten.

Videoüberwachung des nicht öffentlich zugänglichen Bereichs

Die Videoüberwachung der Arbeitsräume und damit des nicht öffentlich zugänglichen Bereichs ist aufgrund der eingeholten Einwilligung der Beschäftigten zu bejahen. Grundsätzlich kommen im Rahmen der Videoüberwachung nicht-öffentlicher Räume die allgemeinen Erlaubnistatbestände in Betracht (Bsp.: Art. 6 DS-GVO, insbesondere Art. 6 Abs. 1 lit. f DS-GVO).

Videoüberwachung der Beschäftigten

Im Rahmen der Videoüberwachung der Beschäftigten kann im vorliegenden Fall nicht ausgeschlossen werden, dass ein möglicherweise strafbares Verhalten eines oder mehrerer Mitarbeiter ursächlich für den eingetretenen Verlust ist.

Das OVG Saarlouis hob folglich die Anordnung der Datenschutzbehörde auf (Urteil vom 12.12.2017, Az. 2 A 662/17).

Fazit

Für die Frage der Zulässigkeit der Videoüberwachung kommt es zunächst auf das Vorliegen eines Zwecks nach § 4 Abs. 1 BDSG an. Damit steht auch bei dem Urteil des OVG Saarlouis das Gebot der Zweckbindung im Fokus. Nachfolgend liegt der Schwerpunkt dann auf der Prüfung der Intensität des aus der Überwachung resultierenden Grundrechtseingriffs. Im Rahmen dieser Abwägung sind u.a. Art und Umfang der erfassten Informationen, den betroffenen Personenkreis und die Alternativen zur Videoüberwachung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neues zur Arbeitnehmerüberwachung aus Straßburg

Wir berichten über die digitale Überwachung am Arbeitsplatz.

Neues zur Arbeitnehmerüberwachung aus Straßburg

Der europäische Gerichtshof für Menschenrechte in Straßburg hatte am 05.09.2017 über das Recht auf Achtung des Privat- und Familienlebens aus Art. 8 EMRK am Arbeitsplatz zu entscheiden. Es ging um die Rechtmäßigkeit der Kündigung des rumänischen Staatsangehörigen Mogdan Mihai Bărbulescu, der am Arbeitsplatz zunächst auf Anweisung seines Arbeitsgebers einen Yahoo Messenger installierte um Kundenanfragen zu beantworten und diesen im Weiteren auch für private Kommunikation nutzte. Kurz vor der Kündigung des Beschwerdeführers wurde im Unternehmen über die Entlassung einer Angestellten aus disziplinarischen Gründen informiert, nachdem sie Internet, Telefon und Kopierer für private Zwecke genutzt hatte. Der Beschwerdeführer stritt die Anschuldigung ab, den Messenger Dienst für private Kommunikation genutzt zu haben, jedoch konnte der Arbeitgeber ihm ein 45-seitiges Transkript seiner Online-Gespräche entgegenhalten, welches Kommunikation mit seinem Bruder und seiner Verlobten zu persönlichen und intimen Themen enthielt. Der Arbeitgeber sprach Herrn Bărbulescu am 1. August 2007 die Kündigung aus, die der Beschwerdeführer vor den nationalen Gerichten jedoch angriff, aufgrund der Überwachung am Arbeitsplatz, die sein Recht auf Privatsphäre und private Kommunikation verletzen würde. Die nationalen Gerichte wiesen das Begehren des Beschwerdeführers, die Rechtswidrigkeit der Kündigung festzustellen, ab. Ebenso verneinte die Kammer des EGMR im Januar 2016 eine Verletzung des Art. 8 EMRK, mit der Begründung, die nationalen Gerichte hätten einen fairen Ausgleich zwischen den betroffenen Interessen auf Achtung des Privatlebens und der Korrespondenz einerseits sowie den Interessen des Arbeitgebers andererseits hergestellt. Im Juni 2016 beantragte Herr Bărbulescu eine Verweisung an die Große Kammer des EGMR, die nun auch anders als zuvor urteilte.

Entscheidung des EGMR: 

Das Gericht stellte zunächst fest, dass Art. 8 EMRK anwendbar ist, denn obwohl die Kommunikation am Arbeitsplatz stattfand ist das Konzept von „Privatleben“ für diesen Fall anwendbar. Auch die Vorgaben des Arbeitgebers können das Privatleben am Arbeitsplatz nicht auf null reduzieren, sondern nur auf das Nötigste beschränken. 

Im Weiteren stellt das Gericht fest, dass die nationalen Gerichte es versäumt haben festzustellen, ob der Beschwerdeführer über die Überwachungsmaßnahmen und deren Natur informiert worden sei. Der vorherige Hinweis auf eine ähnliche Entlassung wegen privater Internutzung am Arbeitsplatz sei nicht ausreichend, um den Angestellten zu warnen bzw. zu informieren. Ein Arbeitnehmer muss vor Beginn der Überwachungsmaßnahmen über die Art und das Ausmaß derselben informiert werden, um sich bei der privaten Kommunikation am Arbeitsplatz darüber bewusst zu sein, dass private und intime Details möglicherweise mitgelesen werden. Vor allem mit Blick auf das Ausmaß der Überwachung und den Eingriff in die Rechte des Arbeitnehmers hätte die Frage nach einer ausreichenden Warnung umfassend beantwortet werden müssen, ebenso wie die fehlende Beurteilung der nationalen Gerichte, ob überhaupt legitime Gründe zur Rechtfertigung dieses massiven Eingriffs zur Verfügung standen. Auch haben es die Gerichte versäumt zu hinterfragen, ob das gleiche Ziel mit milderen Mitteln hätte erreicht werden können, was aber im Hinblick auf das eingriffsintensivste Disziplinarmittel, nämlich der Kündigung, unbedingt hätte erfolgen müssen. Aufgrund dieser Feststellungen stellt der EGMR fest, dass die Gerichte die widerstreitenden Interessen der Beteiligten nicht in angemessenen Ausgleich gebracht haben und Rumänien damit seine Schutzpflichten gegenüber dem Beschwerdeführer verletzt hat. Neben diesen konkreten Feststellungen der Versäumnisse der rumänischen Gerichte, geht aus diesem Urteil deutlich hervor, dass Überwachungsmaßnahmen am Arbeitsplatz zwar möglich sind, über sie aber zuvor informiert werden muss und sie in einem angemessenen Verhältnis zum Zweck stehen müssen. Da auch Deutschland Mitglied des Europarates ist, müssen sich auch die hiesigen Gerichte und Arbeitgeber an diese Vorgaben halten. 

Rechtsprechung deutscher Gerichte zur Arbeitnehmerüberwachung

Auch die hiesige Rechtsprechung war in den vergangenen Jahren immer wieder mit dieser Thematik befasst und hat teilweise recht unterschiedliche Entscheidungen getroffen: Während das LAG Berlin-Brandenburg 2016 urteilte, dass im Rahmen von Kündigungsschutzprozessen die Einträge der aufgerufenen Internetseiten in einem Internetbrowser, der auf dem Dienstrechner installiert ist, ausgewertet werden dürfen, um eine exzessive private Internetnutzung am Arbeitsplatz zu beweisen, fällt die Einschätzung des BAG zu Keyloggern anders aus. Keylogger können auf einem Rechner installiert werden, um unbemerkt Tastenanschläge zu registrieren und in regelmäßigen Abständen Bildschirmfotos zu machen. In einem Kündigungsprozess, versuchte der Arbeitgeber die private Nutzung am Arbeitsplatz mithilfe der Dokumentation des Keyloggers zu beweisen. Das BAG sah darin aber einen massiven Eingriff in die Persönlichkeitsrechte des Arbeitnehmers und betrachtete die anlasslose und gleichzeitig sehr intensive Überwachung der Arbeitnehmer als unverhältnismäßig. Damit war ein Beweisverwertungsverbot einschlägig und die gesammelten Beweise konnten im Prozess nicht verwendet werden. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Mitbestimmungsrecht des Betriebsrats bei Online-Gruppen-Kalendern

Wir gehen näher auf die Entscheidung des LG Nürnberg zum Mitbestimmungrecht des Betriebsrats bei Online-Gruppen-Kalendern ein.

Mitbestimmungsrecht des Betriebsrats bei Online-Gruppen-Kalendern

Einführung

Möchte der Arbeitgeber einen Gruppenkalender in Outlook einrichten, so muss er den Betriebsrat bei der Entscheidung gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) berücksichtigen. Andernfalls ist eine Weisung des Arbeitgebers an seine Arbeitnehmer, den Kalender zu nutzen, unwirksam und eine darauf beruhende Abmahnung aus der Personalakte des Arbeitnehmers zu entfernen. Das entschied das Landesarbeitsgericht Nürnberg mit Urteil am 21.02.2017 (Az. 7 Sa 441/16) und bestätigte die Entscheidung der Vorinstanz.

Der Sachverhalt

Der Kläger ist seit einer langen Zeit bei der Beklagten beschäftigt und als Verkehrsmeister tätig. Er verlangte die Entfernung einer Abmahnung aus seiner Personalakte. Diese ist auf eine Weigerung der Anweisung zurückzuführen, von dem Gruppenkalender „Tram“ für die Verwaltung der betrieblichen Termine Gebrauch zu machen. Zuvor waren alle Angestellte der Abteilung in der Funktionsmailbox mit Zugriff auf den Kalender zusammengefasst worden. Mit Schreiben teilte die Beklagte dem Kläger mit, dass ihn die Verpflichtung treffe, den Weisungen der Arbeitgeberin nachzukommen. Für den Fall eines ähnlichen Vorkommnisses spielte die Beklagte auf weitergehende arbeitsrechtliche Maßnahmen bis hin zur Kündigung an.

Mit dem Begehren der Rücknahme der Abmahnung sowie ihrer Entfernung aus der Personalakte erhob der Kläger vor dem Arbeitsgericht Nürnberg Klage. Das Gericht gab der Klage mit Urteil vom 26.08.2016 (Az. 12 Ca 978/16) statt und stützte seine Entscheidung auf das Mitbestimmungsrecht des Betriebsrats gem. § 87 Abs. 1 Nr. 6 BetrVG. Die Arbeitgeberin sei verpflichtet, den Betriebsrat bei der Einrichtung eines Gruppenkalenders zu beteiligen. Dazu war es im vorliegenden Fall nicht gekommen. Die Beklagte sah in der Einrichtung eines Gruppenkalenders keine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Sie war der Ansicht, dass die Einrichtung des Kalenders bereits von einer Betriebsvereinbarung über den Umgang mit Informations- und Kommunikationsanlagen (IuK) umfasst sei. Aus diesen Gründen legte die Beklagte gegen das Urteil Berufung ein.

Anspruch auf Entfernung einer Abmahnung

Ein Arbeitnehmer kann die Entfernung einer zu Unrecht erteilten Abmahnung grundsätzlich verlangen, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (BAG, Urt. v. 02.11.2016, Az. 10 AZR 596/15; BAG, Urt. v. 19.07.2012, Az. 2 AZR 782/11). Der Anspruch des Arbeitnehmers ergibt sich dann aus §§ 242, 1004 Abs. 1 S. 1 BGB.

Eine hier zu bejahende unzutreffende rechtliche Bewertung des Verhaltens des Arbeitnehmers sah das Gericht in der Bewertung der Weigerung, der Anordnung Folge zu leisten. Eine Anordnung des Arbeitgebers zulasten des Arbeitnehmers ist nämlich nach der sogenannten Theorie der Wirksamkeitsvoraussetzung dann unwirksam, wenn die Mitbestimmung des Betriebsrats erforderlich war, diese aber nicht vorliegt. Der Arbeitgeber soll keine Vorteile daraus ziehen, wenn er sich mitbestimmungswidrig verhält.

Online-Gruppenkalender als „technische Einrichtung“

Zentrale Frage des Verfahrens war die Beurteilung des Online-Gruppenkalenders als „technische Einrichtung“ im Sinne von § 87 Abs. 1 Nr. 6 BetrVG. Nur wenn es sich bei dem Kalender um eine technische Einrichtung handelt, die dazu bestimmt ist, das Verhalten oder die Leistung des Arbeitnehmers zu überwachen, war die Einbeziehung des Betriebsrates bei der Einführung eines Gruppenkalenders, zu der es nicht kam, erforderlich. Folge dessen ist die Unwirksamkeit der Anordnung durch die Führungskraft. Der Arbeitnehmer muss unwirksamen Anordnungen nicht nachkommen und setzt sich damit auch nicht dem Risiko der Abmahnung oder Kündigung aus. Eine sich darauf stützende Abmahnung oder Kündigung ist unwirksam.

Das Bundesarbeitsgericht, dessen Rechtsprechung das LAG Nürnberg sich anschloss, sieht in einer Computersoftware in Verbindung mit dem Rechner, der mit ihr betrieben wird, eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Die Nutzung von Microsoft Outlook ist somit offensichtlich eine technische Einrichtung.

Mitbestimmungsrecht des Betriebsrates

Die Zustimmung des Betriebsrats war notwendig, wenn es durch die Nutzung des Gruppenkalenders zu einer Überwachung der Leistung und des Verhalten des Arbeitnehmers gekommen wäre. Damit ist ein Vorgang gemeint, durch den die Informationen über den Arbeitnehmer auf technische Weise erhoben und aufgezeichnet werden, um sie auch späterer Wahrnehmung zugänglich zu machen. Die objektive Eignung dazu ist ausreichend. Das Gericht bejahte die Voraussetzungen mit der Begründung, dass der Gruppenkalender der Beklagten eine Auswertung der Leistungen des Klägers in Bezug auf die Koordination seiner Termine und Terminsdichte ermöglichte, auch ohne Kenntnis des Klägers davon.

Im Ergebnis hat der Arbeitgeber den Betriebsrat bei der Einrichtung eines Online-Gruppenkalenders zu berücksichtigen. In einer vorherigen Betriebsvereinbarung konnte hier keine wirksame Berücksichtigung des Betriebsrats gesehen werden, da diese nicht die Einführung neuer Hard- oder Software beinhaltete und sich somit nicht mit der angestrebten Einrichtung des Gruppenkalenders deckte.

Letztendlich fehlte die Berücksichtigung des Betriebsrates gemäß § 87 Abs. 1 Nr. 6 BetrVG und die Weisung der Beklagten war unwirksam. Somit musste sie die Abmahnung aus der Personalakte des Klägers entfernen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Mitbestimmungsrecht des Betriebsrats bei der Facebookseite

Muss der Betriebsrat bei der betrieblichen Facebookseite mitbestimmen dürfen? Mit dieser Frage beschäftigte sich nun das BAG.

Mitbestimmungsrecht des Betriebsrats bei der Facebookseite

Einführung

Wenn ein Unternehmen eine betriebliche Facebookseite mit der Funktion „Besucher-Beiträge“ einstellen zu können, einrichtet, kann der Betriebsrat bei dieser Entscheidung nicht außen vor gelassen werden, so entschied es das Bundesarbeitsgericht (BAG) im Dezember 2016 und urteilt damit über einen Sachverhalt, der für viele Betriebe und Konzerne von hoher Relevanz ist. 

Der Sachverhalt

Eingerichtet wurde die Facebookseite von einem Unternehmen (Arbeitgeber), das Blutspendedienste anbietet und insgesamt etwa 1.300 Arbeitnehmer beschäftigt. Die Facebookseite sollte der einheitlichen Präsentation des Unternehmens und der Kommunikation mit Kunden dienen. Dabei wurde über anstehende Blutspendetermine informiert, besondere Aktionen beworben und zur Blutspende aufgerufen. Den Besuchern der Seite war es dabei möglich, Beiträge zu posten, zu kommentieren und Nachrichten auf der Pinnwand zu hinterlassen. Die Seite wurde von 10 Mitarbeitern betreut und alle weiteren Mitarbeiter wurden über die neue Facebookseite durch ein Rundschreiben des Arbeitgebers darüber informiert, wie sie das Unternehmen darzustellen hätten. Nach den ersten Beiträgen über das Verhalten der Mitarbeiter, die den entsprechenden Mitarbeitern auch zu zuordnen waren, wendete der Betriebsrat sich gegen den weiteren Betrieb der Seite. Nach Durchschreiten der Vorinstanzen, beantragte der Betriebsrat vor dem Bundesarbeitsgericht die Facebookseite abzumelden oder hilfsweise die Gastbeitragsfunktion zu sperren. 

„Überwachung“ durch Besucher-Beiträge 

Obwohl seitens des BAG auch mit in die Überlegungen einbezogen wurde, ob die Betreuung der Facebook-Seite durch die Mitarbeiter per Administratorenkennung und der Social Media Leitfaden mitbestimmungspflichtig seien, stand im Zentrum des Verfahrens die Frage, ob die Pinnwandfunktion eine Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG begründet. Dies wäre dann der Fall – so das BAG –, wenn die eröffnete Möglichkeit, Besucher-Beiträge einzustellen, eine technische Einrichtung nach § 87 Abs. 1 Nr. 6 BetrVG, die zur Überwachung der Leistung und des Verhaltens der bei ihr beschäftigten Arbeitnehmer bestimmt ist, darstelle. Dazu führte das Gericht zunächst aus, dass „Überwachung“ iSd Mitbestimmungsrechts ein Vorgang sei, durch den Informationen über das Verhalten oder die Leistung von Arbeitnehmern erhoben und aufgezeichnet werden, um sie auch späterer Wahrnehmung zugänglich zu machen. Diese Informationen müssten so ermittelt und dokumentiert werden, dass sie zumindest für eine gewisse Dauer verfügbar blieben und vom Arbeitgeber zu einem späteren Zeitpunkt herangezogen werden könnten. Die Überwachung müsse durch die technische Einrichtung selbst bewirkt werden und zur Überwachung bestimmt sein. Ausschlaggebend sei hierbei nicht die subjektive Überwachungsabsicht, sondern die objektive Eignung zur Aufzeichnung von Verhaltens- oder Leistungsinformationen. Da die Nutzer, die vorliegend die Möglichkeit gehabt hätten, „Besucher-Beiträge“ über ihre Erfahrung mit den Mitarbeitern und deren Verhalten zu posten, würden dem Arbeitgeber zuordenbare Informationen über Leistung und Verhalten der Arbeitnehmer zugänglich gemacht. Solche Beiträge könnten in das allgemeine Persönlichkeitsrecht der Arbeitnehmer eingreifen und diese ständigem Überwachungsdruck aussetzen, so das Bundesarbeitsgericht. 

Keine Auswertung erforderlich

Der Tatbestand des § 87 Abs. 1 Nr. 6 BetrVG sei auch dann schon erfüllt, wenn der Arbeitgeber die erfassten und festgehaltenen Informationen über Leistung und Verhalten seiner Arbeitnehmer gar nicht verwenden oder verarbeiten wolle. Es genüge, dass ein Posting in Zusammenspiel mit anderen Informationen eine Beurteilung eines Arbeitnehmers möglich mache, unabhängig davon, ob das Posting eine vernünftige und abschließende Beurteilung des Verhaltens erlaube bzw selbst enthalte. Das Posting, das wörtlich im Verfahren erwähnt wurde enthielt folgenden Wortlaut: 

Ich war am 14. April 2013 in N. mein kostbares abzapfen lassen. Gehe schon spenden seit ich 18 bin. Muss aber sagen die gestern die Nadel gesetzt hat, solle es noch lernen. Stechen kann die nicht.“ 

Diese bewertenden Informationen über den Arbeitnehmer reichten nach Ansicht des Gerichts bereits aus, um eine Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG zu begründen, sodass das BAG dem hilfsweisen Antrag stattgab und der Arbeitgeber dazu verpflichtet wurde, die zur Verfügung Stellung der „Besucher-Beiträge“ zu unterlassen, solange der Betriebsrat nicht zustimmt. 

Weitere Betrachtung des Falls 

Die Entscheidung des BAG soll jedoch keinesfalls dazu verleiten, ein absolutes Verbot von Facebookseiten für Unternehmen anzunehmen, sondern es ist grundsätzlich zu unterscheiden, ob eine Unternehmenshomepage bloß informiert und repräsentiert, oder ob durch Einträge und Interaktionen der Nutzer das Verhalten der Arbeitnehmer überwacht und damit auch beeinflusst werden könnte. In der hier beschriebenen Fallkonstellation war der Betriebsrat das Organ, das sich schützend vor die Rechte der Arbeitnehmer stellte, jedoch sind auch in Unternehmen ohne Betriebsrat datenschutzrechtliche Vorgaben und die Grenzen des Persönlichkeitsrechts zu beachten, wenn es um arbeitnehmerbezogene Daten im Internet geht. 

In Abgrenzung zu der Frage, ob die Besucher-Beitrags Funktion mitbestimmungsbedürftig ist, stellte das Gericht noch klar, dass der Einsatz der Mitarbeiter zur Pflege der Facebook-Seite nicht mitbestimmungspflichtig sei. Dies ist aber nur eine Ausnahmeentscheidung. Denn auch bei der Pflege der Unternehmensseite sei Facebook und die darin vorhandenen Werkzeuge bzw technischen Einrichtungen dazu geeignet, die Aktivität des jeweiligen Mitarbeiters zu überwachen und zu dokumentieren. Dass der Fall hier anders gelagert war, findet seinen Grund ausschließlich darin, dass alle 10 Mitarbeiter denselben Facebook-Zugang nutzten und daher eine Zuordnung von dokumentiertem Verhalten und Online Aktivitäten nicht möglich war.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!