Allgemein

Am 23. Mai 2018 hat Dr. Walter Brunner, Partner bei LANGE BRUNNER im Grünhof mit seinem Vortrag Antworten auf die wesentlichen Fragen gegeben, die sich für Gründer und Unternehmer stellen. Thema war unter anderem

• Verarbeitung von Kundendaten
• Gestaltung der Website nach den Vorgaben der DS-GVO
• technische und organisatorische Maßnahmen (TOM)
• unternehmensinterne Umsetzung
• Beschäftigtendatenschutz
• rechtliche Anforderungen bei Auftragsdatenverarbeitung
• Verpflichtung externer Dienstleister

Die Veranstaltung war ausgebucht und ein voller Erfolg!

mehr unter https://www.facebook.com/gruenhof/

Entscheidungen des Bundesarbeitsgerichts (Urteil vom 27.07.2017 – 2 AZR 681/16) und des Europäischen Gerichtshofs für Menschenrechte (vom 05.09.2017 – 61496/08 – Barbulescu) zeigen, dass Überwachungen dienstlicher Computer durch den Arbeitgeber selbst dann nicht ohne weiteres gestattet sind, wenn der Arbeitgeber nur die dienstliche Nutzung erlaubt hat.

Die Entscheidung des Bundesarbeitsgerichts vom 27.7.2017 betraf Datenerhebungen durch einen sogenannten „Keylogger“. Damit werden Tastatureingaben auf Computern aufgezeichnet und gespeichert, verbunden mit Bildschirmfotos (Screenshots). Das Bundesarbeitsgericht hält derartige Datenerhebungen nur dann für erlaubt, wenn ein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Es genügte dem Bundesarbeitsgericht nicht, dass der Arbeitgeber im entschiedenen Fall seinen Arbeitnehmern den Einsatz des Keyloggers mitgeteilt hatte und durch die Arbeitnehmer kein Widerspruch erfolgt war. Das Unterlassen eines Widerspruchs  ersetzte nicht die gemäß § 4 a Abs. 1 BDSG erforderliche Einwilligung des Arbeitnehmers in die Datenerhebung.  Auch die ab 25.05.2018 geltende neue Vorschrift zum Beschäftigtendatenschutz (§ 26 BDSG n.F.) setzt für Datenerhebungen durch den Arbeitgeber im Zweifel eine schriftliche Einwilligung des Arbeitnehmers voraus, die insbesondere freiwillig erfolgen muss.

Die Entscheidung des europäischen Gerichtshofs für Menschenrechte vom September 2017 beschäftigte sich ebenfalls mit Überwachungsmaßnahmen des Arbeitgebers. Ein Vertriebsingenieur hatte ein dienstliches Yahoo!-Messenger-Konto eingerichtet, das ausschließlich zur Kommunikation mit Kunden verwendet werden sollte. Der Arbeitnehmer wusste, dass es verboten war, dieses Konto für private Zwecke zu nutzen. Dennoch führte der Arbeitnehmer über das dienstliche Yahoo!-Messenger-Konto private Chats mit Verwandten und seiner Verlobten. Der Arbeitgeber überwachte den Inhalt der Chats und kündigte das Arbeitsverhältnis nach Kenntnisnahme der Privatnutzung. Der europäische Gerichtshof für Menschenrechte erblickte darin eine Verletzung von Art. 8 der Europäischen Menschenrechtskonvention (EMRK), was dazu führte, dass die Erkenntnisse des Arbeitgebers in der prozessualen Auseinandersetzung der Parteien nicht berücksichtigt werden durften.

Arbeitnehmern sollte in Deutschland nach den beiden Urteilen die Art der Überwachung der Kommunikation genau angekündigt werden. Es bedarf insoweit großer Transparenz entweder in den Datenschutz-Verabredungen mit dem Arbeitnehmer oder in entsprechenden Betriebsvereinbarungen zur IT-Nutzung. Arbeitgeber sollten in Betracht ziehen, dass zur Herstellung der sogenannten Überwachungstransparenz pop-up-Benachrichtigungen auf den Rechnern der Arbeitnehmer erscheinen, um sie auf die Möglichkeit der Überwachung hinzuweisen.

Das Bundesarbeitsgericht sieht als Voraussetzung für zulässige Überwachungsmaßnahmen die datenschutzrechtliche Zulässigkeit, die sich künftig an der Datenschutz-Grundverordnung zu orientieren hat. Jede Überwachung durch den Arbeitgeber bedarf konkreter Ankündigung über Art und Ausmaß der Überwachung.

Dr. Walter Brunner

Fachanwalt für Arbeitsrecht

Die Datenschutz-Grundverordnung 2016/679 vom 27.04.2016 ist bereits seit langem bekannt. Jetzt tritt sie am 25. Mai 2018 in sämtlichen Mitgliedstaaten der Europäischen Union in Kraft. Auch in Deutschland wird die DSGVO dann unmittelbar anwendbares Recht, ohne dass es einer gesetzestechnischen Umsetzung bedarf.

Ohne dem Anspruch auf Vollständigkeit insoweit gerecht werden zu können, lassen sich folgende wesentliche Änderungen gegenüber der bisherigen Rechtslage festhalten:

1. Die für die Datenverwaltung Verantwortlichen müssen künftig nicht nur den Datenschutz (wie schon bisher) beachten, vielmehr muss die Beachtung des Datenschutzes gegenüber den Aufsichtsbehörden im Zweifel nachgewiesen werden, Art. 5 Abs. 2 DSGVO.
2. Die Einwilligung der Betroffenen, dass ihre Daten verarbeitet werden dürfen, bedarf zwar in Zukunft nicht grundsätzlich der Schriftform. Den Datenverarbeitenden ist jedoch dringend zu raten, sich die unmissverständliche Einwilligung der Betroffenen jedenfalls in Textform geben zu lassen und sicherzustellen, dass die Einwilligung freiwillig mit der notwendigen Klarheit und dem Hinweis auf das jederzeitige Widerrufsrecht erfolgt ist, Art. 4 Nr. 11, 6 Abs. 1 sowie 7 und 8 DSGVO.
3. Die Datenübermittlung in Länder außerhalb der Europäischen Union ist nur möglich, wenn in den jeweiligen Ländern ein angemessenes Schutzniveau besteht. Insoweit sind auch in Zukunft Angemessenheitsbeschlüsse der Europäischen Kommission zu beachten (Einzelheiten stehen in den Artikeln 45-49 DSGVO).
4. Die Art. 35 und 36 der DSVGO verpflichten Unternehmen zur Datenschutz-Folgenabschätzung, soweit voraussichtlich hohe Risiken für die Rechte und Freiheiten von Personen zu erwarten sind.
5. 82 DSGVO erweitert die Schadensersatzpflichten auf Schmerzensgeld der Betroffenen. Außerdem haftet nicht nur der für die Daten ursprünglich Verantwortliche, sondern mit ihm der Auftrags(daten)verarbeitende als Gesamtschuldner.
6. Gemäß den Artikeln 42 und 43 DSGVO werden Zertifizierungsverfahren zum Nachweis der Einhaltung der Datenschutzvorschriften eingeführt. Die Verantwortlichen sind allerdings nicht zur Zertifizierung verpflichtet, haben den Nachweis dann aber auf andere Weise zu erbringen (siehe Ziff. 1).
7. Die Verantwortlichen und die Auftrags(daten)verarbeitenden haben interne Richtlinien, sogenannte technisch-organisatorische Maßnahmen-Kataloge (TOM) aufzustellen.
8. Der Beschäftigten-Datenschutz wird zwar in Art. 88 DSGVO geregelt, der deutsche Gesetzgeber hat ihn jedoch in § 26 BDSG neu gefasst. Insoweit geht die bundesdeutsche Regelung vor. Arbeitgeber haben wie alle übrigen Daten Verarbeiter auf die jederzeitige Widerruflichkeit der Einwilligung zur Datenverarbeitung hinzuweisen.

Dr. Walter Brunner

Rechtsanwalt

Eine Entscheidung des Oberlandesgerichts Frankfurt vom 21.07.2016 – 6 U 52/16 –, die rechtskräftig geworden ist, zeigt deutlich, dass man vor der Verwendung von Domain-Namen für gewerbliche Zwecke tunlichst eine Marken- bzw. (Werk-)Titelrecherche vornehmen sollte, bevor die Internet-Domain verwendet wird. Im entschiedenen Fall gab es eine seit Beginn der 90er Jahre genutzte Wort-/Bildmarke mit der Bezeichnung „Monumente Reisen“.

Die Markeninhaberin hat nach Auffassung des Oberlandesgerichts Frankfurt zu Recht die Verwendung einer Internet-Domain mit nahezu identischer Bezeichnung, nämlich „monumente-reisen.de“ bzw. „monumentreisen.de“ untersagen lassen. Zwar hatte die seit den 90er Jahren genutzte Wort-/Bildmarke „Monumente Reisen“ einen stark beschreibenden Anklang, da damit Reisedienstleistungen bezeichnet wurden. Das Oberlandesgericht Frankfurt verneinte allerdings einen glatt beschreibenden Charakter, weil trotz des beschreibenden Anklangs ein Phantasiewort mit ausreichend eigenschöpferischem Gehalt zu erkennen sei. Dies führte dazu, dass die neue Mitbewerberin ihre Domain-Namen an die Markeninhaberin herausgeben musste und den eigenen Internetauftritt sowie die Domain-Bezeichnung zu ändern hatte.

Vermieden werden können derartige Missgeschicke, die nach Abmahnungen auch zu nicht unerheblichen Kosten führen, durch eine vorher durchgeführte Marken- oder (Werk-) Titelrecherche. Es genügt nicht eine schlichte Domain-Recherche, wie der Fall des Oberlandesgerichts Frankfurt zeigt. Die DENIC vergibt bekanntlich Domain-Namen, soweit nicht die exakt identische Domain-Bezeichnung bereits verwendet wird.

Dr. Walter Brunner

Rechtsanwalt