Kündigung wegen Datenschutzverstoß kann rechtmäßig sein

Das Landesarbeitsgericht Berlin-Brandenburg hat eine Kündigung wegen Datenschutzverstößen für rechtmäßig erklärt. Die aktuelle Entwicklung der steigenden Bedeutung des Datenschutzes im Arbeitsrecht hält damit weiter an.

Verarbeitet ein Mitarbeiter unbefugt personenbezogene Daten kann dies eine fristlose Kündigung rechtfertigen. Dabei muss der Mitarbeiter die Daten noch nicht einmal zwingend an Dritte weitergeben. Auch das Einsehen dieser Daten aufgrund von Neugierde ist ein ausreichender Kündigungsgrund, so das Gericht. Zudem soll es nach dem LAG nicht auf eine bestimmte Größe des Betroffenenkreises ankommen. Somit wäre schon das unbefugte Verarbeiten personenbezogener Daten einer Person wohl ein gerechtfertigter Kündigungsgrund.

Datenschutz im Arbeitsrecht immer wichtiger

Mit dem Urteil des LAG setzt sich die seit einigen Jahren anhaltende Entwicklung im Arbeitsrecht fort. Das Datenschutzrecht findet im Arbeitsrecht immer mehr Beachtung und spielt gerade im Kündigungsrecht eine zunehmend größere Rolle. Im Jahr 2014 hatte das Bundesarbeitsgericht in seinem sog. „Spind-Urteil“ die Bedeutung des Datenschutzrechts für Arbeitsverhältnisse deutlich aufgewertet, als es die Möglichkeit eines – ohnehin sehr seltenen – prozessualen Beweisverwertungsverbots ausdrücklich bejahte, wenn die vorgebrachten Beweismittel durch einen Verstoß des § 32 BDSG gewonnen wurden. Die Schlussfolgerung des BAG war damals, dass sich ein Beweisverwertungsverbot unmittelbar aus einem datenschutzrechtlichen Verstoß ergeben kann.

Arbeitgeber sollten sich dieser anhaltenden Entwicklung bewusst sein und ihre Mitarbeiter gezielt daraufhin schulen und informieren. Ein entsprechendes Datenschutzmanagement und Compliance-System, dass die Einhaltung dieser gesetzlichen Vorgaben und die Kontrolle unterstützen, reduzieren Risiken für Unternehmen und Verwaltung.

Hintergrund

Im vorliegenden Fall wurde der Mitarbeiterin eines Bürgeramtes fristlos gekündigt. Die Frau hatte laut Gericht „hunderte Male“ Meldedaten von ihr bekannten Personen aufgerufen. Zudem soll sie personenbezogene Daten an einen Bekannten weitergegeben haben, der diese in einem Unterhaltsstreit verwendet hat. Dies ist aber bislang umstritten. Wegen des unbefugten Abrufens dieser Daten wurde die Frau auch strafrechtlich verurteilt.

Kommt mit der DS-GVO ein eigener Arbeitnehmerdatenschutz?

Seit Einführung des Bundesdatenschutzgesetzes steht immer wieder ein eigener Arbeitnehmerdatenschutz im Raum. Dieser könnte mit der neuen Datenschutz-Grundverordnung (DS-GVO) kommen.

Wie umgehen mit den Daten von Arbeitnehmern und den speziellen arbeitsrechtlichen Anforderungen an den Datenschutz? Diese Fragen müssen Unternehmen im Arbeitsalltag häufig beantworten. Immer wieder wurde zudem darauf spekuliert, dass in Deutschland ein eigenes Gesetz zum Schutz von Beschäftigtendaten verabschiedet wird. Mit Hinweis auf die kommende DS-GVO wurde eine nationale Gesetzgebung verschoben.

Arbeitnehmerdatenschutz nicht einheitlich geregelt

Die verabschiedete DS-GVO enthält keine einheitliche Regelung zum arbeitnehmerdatenschutz. Stattdessen enthält der Art. 88 DS-GVO eine sog. Öffnungsklausel, die EU-Mitgliedstaaten die Möglichkeit zur eigenen Regelung einräumt, worauf der Deutsche Anwaltverein (DAV) in einer Stellungnahme aufmerksam macht.

Der entsprechende Referentenentwurf der Bundesregierung zur notwendigen Neufassung des Bundesdatenschutzgesetzes (BDSG) sieht in § 24 BDSG-neu Regelungen vor, die weitestgehend den bestehenden entsprächen. Der DAV kritisiert ferner, dass der Entwurf nicht die Möglichkeit einer datenschutzrechtlichen Sonderregelung für Unternehmensregelung weiter aufgreift.

Begriff der Unternehmensgruppe

Die DS-GVO führt den Begriff der „Unternehmensgruppe“ ein. Dadurch soll die Weitergabe von Arbeitnehmerdaten innerhalb eines Konzerns, bspw. zu Verwaltungszwecken, erleichtert werden. Basis ist hierbei eine gesetzliche Grundlage, i.d.R. der Arbeitsvertrag, und ein „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DS-GVO) des Datenverarbeitenden. In Erwägungsgrund 48 S. 1 DS-GVO wird der konzerninterne Austausch von personenbezogenen Daten (d.h. nicht nur Arbeitnehmerdaten, sondern bspw. auch Kundendaten) ausdrücklich als berechtigtes Interesse privilegiert. Voraussetzung ist aber ein ausreichend hohes Datenschutzniveau innerhalb der Unternehmensgruppe.

Abgesehen von den gesetzlichen Anforderungen wird Unternehmen hier ein Anreiz gesetzt, sich um ein modernes Datenschutzmanagement auf dem Stand der Technik zu bemühen. Letztlich vereinfacht es ihnen die konzerninterne Verarbeitung personenbezogener Daten.

Ob der Entwurf überarbeitet wird und die Sonderreglung für Unternehmensgruppen darin eine Aufnahme findet, bleibt abzuwarten. Hinsichtlich eines Arbeitnehmerdatenschutzes ist nun doch wieder der deutsche Gesetzgeber am Zug.

Betriebsrat darf bei Facebook-Auftritt teilweise mitbestimmen

Das Bundesarbeitsgericht hat entschieden, dass dem Betriebsrat in Teilfragen eines Facebook-Auftritts des Unternehmens Mitbestimmungsrechte zustehen.

Facebook ist technische Überwachungseinrichtung

Wenn ein Unternehmen auf Facebook eine Seite für sich erstellt, um damit z.B. mit potentiellen Kunden in Kontakt zu treten, darf es den Betriebsrat nicht außen vor lassen. Einen entsprechenden Beschluss fällte das Bundesarbeitsgericht (BAG, Beschluss v. 13.12.2016 – Az. 1 ABR 7/15).

Dabei ist darauf zu achten, dass dem Betriebsrat aber kein Mitbestimmungsrecht per se zusteht. Ob der Betriebsrat mitbestimmen darf hängt davon ab, wie das Unternehmen die Facebook-Seite einrichtet. Facebook bietet Administratoren einer Seite die Möglichkeit, Postings auf der verwalteten Seite zuzulassen. Damit kann jeder Nutzer des sozialen Netzwerks Nachrichten auf der Seite hinterlassen.

Können Nutzer solche Nachrichten hinterlassen – was im Sinne einer Kommunikation mit (potentiellen) Kunden i.d.R. der Fall sein dürfte – hat der Betriebsrat ein Mitbestimmungsrecht. Grund hierfür ist, dass das BAG hierin eine Überwachung mit einer technischen Einrichtung i.S.d. § 87 Abs. 1 Nr. 6 BetrVG erblickt. Der Arbeitgeber könne seine Arbeitnehmer mit den von Facebook bereitgestellten Auswertungsmethoden überwachen. Zudem würden öffentliche Postings und Bewertungen einen „erheblichen Überwachungsdruck“ erzeugen.

Nicht nur auf Facebook begrenzt

Der Beschluss des BAG hat für Unternehmen weitreichende Folgen. Was passiert, wenn der Betriebsrat solchen zur Bewertung geeigneten Funktionen nicht zustimmt? Bleibt dem Unternehmen nur die einseitige Kommunikation mit beschränkten Möglichkeiten zur Interaktion mit dem Kunden? Die Praxis zeigt, dass bspw. Kunden und Interessierte durchaus die Kommunikation mit Unternehmen mittels Facebook und andere soziale Netzwerke rege nutzen. Auch staatliche Behörden treten so mit den Bürgern in Kontakt.

Gerade hier liegt das nächste Problem. Wie verhält es sich mit anderen sozialen Netzwerken? Viele Unternehmen haben z.B. eigene Service-Accounts auf Twitter, um Beschwerden der Kunden entgegenzunehmen und Hilfe leisten zu können. Reichen schon Kommentare unter einem beliebigen Foto auf Instagram aus, um einen erheblichen Überwachungsdruck bejahen zu können? Mittels sog. Hashtags, die Schlagwörter für die integrierten Suchfunktionen darstellen, kann einer breiten Öffentlichkeit ein Sachverhalt vereinfacht auffindbar und zugänglich gemacht werden. Erhöhen solche Funktionen den Überwachungsdruck? Oder müssen die Auftritte bewertungsspezifische Interaktionen zulassen, wie bspw. ein Punktesystem? Auf Facebook lässt sich ein Unternehmen mit ein bis fünf Sternen bewerten, Twitter und Instagram bieten diese Möglichkeit nicht.

Was meint das BAG eigentlich?

Des Weiteren stellt sich die Frage, was das BAG eigentlich meint. Im Beschluss ist von „Besucher-Beiträgen (Postings)“ die Rede. Deren Nutzbarkeit kann der Administrator ein- oder ausschalten. Neben den Besucher-Beiträgen besteht die oben erwähnte Möglichkeit der Bewertung mittels Sternen. Optional kann der Bewertende eine individuelle Nachricht hinterlassen, die mit seiner Sterne-Bewertung abgegeben wird. Eine Auswahl solcher Bewertungen wird auf der Facebook-Seite angezeigt, ohne dass ein weiterer Klick nötig wäre. Diese Bewertungen lassen sich ebenfalls aktivieren und deaktivieren.

Auch wenn das BAG von „Besucher-Beiträgen“ redet und damit wohl nicht die Bewertungen meint, muss davon ausgegangen werden, dass sich die Entscheidung sowohl auf Besucher-Beiträge als auch auf Bewertungen erstreckt. Der Sache nach gibt es nämlich bei beiden keinen Unterschied hinsichtlich der öffentlichen Abgabe einer Meinung über das Unternehmen, seiner Leistungen und Mitarbeiter. Wie dies in Zukunft ausgelegt werden wird, bleibt abzuwarten. Wer hier auf Nummer sicher gehen möchte, bezieht den Betriebsrat mit ein.

Was Unternehmen bei Windows 10 beachten sollten

Das Betriebssystem Windows 10 steht seit seinem Erscheinen in der Kritik von Datenschützern – nicht gänzlich zu unrecht. Wir zeigen auf, worauf Unternehmen achten sollten. Denn Windows 10 kann arbeits- und datenschutzrechtliche Probleme verursachen.

Windows 10 steht in der Kritik der Datenschützer. Das System gebe zu viele Informationen über seine Benutzer preis, Verbraucher hätten zu wenige Möglichkeiten, um die Datenweitergabe zu kontrollieren. Stimmt das? Und wenn ja, was bedeutet das für den Einsatz von Windows 10 in Unternehmen?

Windows 10 im Visier von Datenschützern und Sicherheitsspezialisten

Vom Sprachassistenten Cortana über Updates bis hin zur Datenübermittlung finden sich viele Gegenstände der Kritik. Einige sollen näher beleuchtet werden.

Datenübermittlung unsicher

Microsofts Anwendungen arbeiten mittlerweile, wie das Betriebssystem generell, standardmäßig mit Cloud Computing. Zu den Daten, die regelmäßig an andere Server übermittelt werden, zählen u.a. Informationen über Anwendungen, Anfragen an den Sprachassistenten Cortana, besuchte URL, aber auch WLAN-Schlüssel, Passwörter und User-ID. Problematisch ist hierbei nicht nur, dass die Übermittlung voreingestellt ist und nicht abgestellt werden kann. Zum einen bleibt noch unklar, für wie lange Microsoft diese Daten speichert und wie sie genau verwendet werden. Der Konzern spricht lediglich von der Verbesserung des „Benutzererlebnisses“.

Zum anderen verzichtet Microsoft auf ein sog. Zertifikat-Pinning. Der auch „HTTP Public Key Pinning“ genannte Mechanismus sichert das HTTPS-Protokoll gegen Man-in-the-Middle-Angriffe mittels gefälschten Zertifikaten ab. Ein Verzicht darauf macht ein Abgreifen der Daten ohne großen Aufwand möglich. Gerade hier findet sich ein ernstzunehmender Risikofaktor für Unternehmen – nicht zuletzt wegen stetig steigender Fälle von Wirtschaftsspionage.

Windows 10 in Unternehmen – Verstoß gegen Arbeitnehmerrechte?

Der Umfang und die Art der an Microsoft übermittelten Daten können für Unternehmen aber nicht nur hinsichtlich ihrer Geschäftsgeheimnisse problematisch sein. Unter Umständen könnte der Einsatz von Windows 10 in Firmen gegen Arbeitnehmerrechte verstoßen. Das für Microsoft zuständige Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat diesbezügliche bereits eine Prüfung eingeleitet. Womöglich übermittle Windows 10 derart viele Daten und führe sie in einer Weise zusammen, dass die Erstellung eines Nutzerprofils des Arbeitnehmers denkbar ist.

Davon betroffen sind aber nur die Home- und die Pro-Version des aktuellen Betriebssystems. Die Enterprise-Version ermöglicht das völlige Abschalten des fraglichen Datenverkehrs, sodass zum Einsatz dieser Version im Unternehmen geraten werden kann.

Anfälligkeit für Cyber-Kriminalität

Windows 10 ist in einigen relevanten Punkten anfällig für gezielte und professionelle Cyber-Kriminalität. Das oben beschriebene Problem des fehlenden Zertifikat-Pinnings erlaubt das Mitlesen des Passwortes, bspw. beim Anlegen eines neuen Benutzeraccounts.

Zudem übermitteln die Office-Anwendungen von Microsoft faktisch sämtliche Daten: gesamter Pfad, Dateiformate und Benutzer. Die Sicherheitsforscher weisen auf ein durchaus ernstzunehmendes Problem hin. Ab einer kritischen umfangreichen Menge an Daten und dem zusätzlichen Einsatz von den genannten Man-in-the-Middle-Angriffen ist ein sog. (Reverse) Cloud Poisoning möglich. Dabei werden in den Datenverkehr zwischen Benutzer und Rechenzentrum bzw. Cloud falsche Daten eingespielt. Bei diesen Daten kann es sich um infizierte Links und Malware wie Spyware handeln. Cyber-Kriminelle können mit dieser Methode auch Dateien von strafrechtlicher Relevanz auf den Unternehmenscomputern hinterlegen und so massiven Schaden und Reputationsverlust herbeiführen.