it-vergabe-blog.de - Anwaltsberatung online bestellen www.shopanwalt.de

Unternehmen, die personenbezogene Daten speichern, sind dem Betroffenen auf dessen Verlangen hin gemäß § 34 des Bundesdatenschutzgesetzes zur Auskunft verpflichtet. Der Auskunftsanspruch erstreckt sich auf die zur Person des Betroffenen gespeicherten Daten, deren Herkunft, den Zweck der Speicherung sowie die Empfänger, an welche die Daten weitergegeben werden. Der Auskunftsanspruch ist ein grundlegendes Recht des Betroffenen, das diesem immer zusteht und auf das er auch nicht durch Vertrag verzichten kann. Es soll ihn in die Lage versetzen, die über ihn gespeicherten Daten zu kontrollieren und gegebenenfalls weitere Rechte, wie Löschung oder Korrektur fehlerhafter Daten, geltend zu machen.

Der Betroffene soll zwar laut Gesetz seine Anfrage dahingehend präzisieren, über welche Daten er eine Auskunft wünscht. Gezwungen werden kann er hierzu jedoch nicht. Im Zweifel muss die verantwortliche Stelle daher davon ausgehen, dass eine Auskunft über alle relevanten Daten gewünscht ist.

Die verantwortliche Stelle muss allen Auskunftsersuchen nachkommen und darf nur bei offensichtlich schikanösen und rechtsmissbräuchlichen Anfragen eine Auskunft verweigern. Die Kosten der Auskunft hat das Unternehmen gem. § 34 Abs. 8 BDSG selbst zu tragen. Für den Betroffenen ist die Auskunft stets kostenfrei. Eine Ausnahme hinsichtlich der Kostentragung gilt für Auskunfteien, bei denen nur einmal jährlich ein unentgeltlicher Auskunftsanspruch besteht.

Erteilt eine verantwortliche Stelle keine Auskunft, kann der Betroffene dies gerichtlich einklagen oder die Aufsichtsbehörde einschalten, die den Gesetzesverstoß als Ordnungswidrigkeit mit einem Bußgeld von bis zu 50.000 Euro ahnden kann.

Bedeutung für die Praxis: Unternehmen haben die Kosten der Auskunftserteilung zu tragen. Es liegt daher in ihrem eigenen Interesse, möglichst frühzeitig über eine kostengünstige und effiziente Organisationsstruktur zur Auskunftserteilung an Betroffene nachzudenken.

Das Datenschutzrecht verpflichtet verantwortliche Stellen, personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden, ihre Speicherung unzulässig ist oder der Betroffene sein Recht auf Löschung der über ihn gespeicherten Daten verlangt. Dies kann jedoch in der Praxis sehr schwer zu bewerkstelligen sein. Schon der Einsatz handelsüblicher Datensicherungslösungen kann eine Löschung äußerst kompliziert gestalten, weil eine Löschung aus dem aktuellen Bestand nicht die Kopien im Backup-Bestand mit erfasst.

Eine praktikable Lösung des Problems ließe sich durch Kryptographie erreichen. Dazu wird jeder Datensatz bereits beim Anlegen mit einem individuellen Schlüssel chiffriert. Die Schlüssel werden in einer Datenbank abgelegt und getrennt von den chiffrierten Dateien aufbewahrt. Die Dateien können nun mit einer Backup-Lösung gesichert werden. Anstatt eine Datei nun zu löschen, kann einfach der zugehörige Schlüssel vernichtet werden. Was sich wie eine unnötige Verkomplizierung anhört, macht bei näherer Betrachtung Sinn. Mit einem Löschvorgang des Schlüssels wären auch gleichzeitig alle Sicherungskopien mit den zugehörigen personenbezogenen Daten nicht mehr abrufbar, ohne dass eine Änderung am Sicherungsdatensatz erforderlich wäre.

Eine solche Vorgehensweise würde auch die datenschutzrechtlichen Anforderungen an einen Löschvorgang erfüllen. § 3 Abs. 4 Nr. 5 definiert Löschen als „das Unkenntlichmachen gespeicherter personenbezogener Daten“. Das Löschen des Schlüssels führt, ein modernes Kryptographieverfahren vorausgesetzt, zu einem Unkenntlichmachen der verschlüsselten Daten. Ohne den Schlüssel ist es unmöglich, Kenntnis vom Inhalt der chiffrierten Daten zu erlangen. Ein physisches Einwirken auf die Daten selbst ist dabei, anders als beim natürlichen Verständnis des Begriffs des Löschens, nicht erforderlich.

Bedeutung für die Praxis: Das Verschlüsseln von Dateien könnte bei praktikabler softwaretechnischer Umsetzung eine echte Alternative zum physischen Löschen von Daten sein. Ein praktischer Nebeneffekt wäre, dass die Daten bei effektiver Sicherung der Schlüsseldateien schon vor dem Unkenntlichmachen vor dem Zugriff Unbefugter geschützt sind.

Das Landesarbeitsgericht Niedersachsen hat in seinem Urteil vom 31. Mai 2010 (Az. 12 Sa 875/09) entschieden, dass eine exzessive private Nutzung des Dienst-PC eine außerordentliche Kündigung rechtfertigen kann.

http://www.hannover.ihk.de/ihk-themen/recht-steuern/recht/arbeitsrecht/vwei81.html

Das Auslagern von Datenspeichern und Rechenkapazitäten auf die Server eines Diensteanbieters bietet wirtschaftliche Vorteile. Nach dem Hochladen der Dateien in die „Cloud“ müssen sie nicht mehr lokal verwaltet und gesichert werden und sind potenziell weltweit abrufbar. Die Abgabe der Daten aus dem Herrschaftsbereich des Besitzers provoziert zahlreiche, bislang zum Teil ungeklärte haftungsrechtliche und datenschutzrechtliche Problemstellungen. Die grundlegendste Frage ist die, welches nationale Datenschutzrecht denn überhaupt auf einen Sachverhalt im Zusammenhang mit dem Cloud Computing anwendbar ist, wenn ein Unternehmen in einem anderen Staat ansässig ist.

Werden Daten in Deutschland durch eine verantwortliche Stelle, die in einem anderen Mitgliedsstaat der Europäischen Union ihren Sitz hat, erhoben, verarbeitet oder genutzt, so bestimmt § 1 Abs. 5 S. 1 des Bundesdatenschutzgesetzes, dass das deutsche Datenschutzrecht keine Anwendung findet. Erhebt und speichert beispielsweise ein Unternehmen mit Sitz in Luxemburg Daten in Deutschland, so ist belgisches Datenschutzrecht einschlägig. Der Hintergedanke dabei ist, dass angenommen wird, dass alle Mitgliedsstaaten ein hohes Datenschutzniveau haben und es europäischen Unternehmen leicht gemacht werden soll, in anderen Mitgliedsstaaten tätig zu werden, ohne alle datenschutzrechtlichen Vorschriften kennen zu müssen.

Hat ein europäisches Unternehmen dagegen eine Niederlassung in Deutschland, so gilt das deutsche Datenschutzrecht auch gegenüber diesem Unternehmen, sofern die Erhebung, Verarbeitung oder Speicherung durch eine Niederlassung in der Bundesrepublik erfolgt. Beim Cloud Computing interessiert dabei die Frage, ob ein Rechenzentrum im Inland, auf dem Daten verwaltet werden und auf dem Anwendungen bereitgestellt werden, bereits als Niederlassung zu qualifizieren ist. Tatsächlich legen Erwägungsgrund 19 der europäischen Datenschutzrichtlinie sowie die deutsche Gewerbeordnung dies nahe, da sie im Wesentlichen lediglich eine feste Einrichtung und eine gewerbliche Tätigkeit voraussetzen. Damit ist deutsches Datenschutzrecht auch dann anwendbar, wenn ein europäisches Unternehmen sich eines Rechenzentrums in Deutschland bedient.

Für außereuropäische Unternehmen, beispielsweise solche in den USA, gilt das Territorialitätsprinzip. Das bedeutet, dass bei einer Datenverarbeitung in Deutschland auch deutsches Recht anwendbar ist. Dabei genügt laut Art. 4 Abs 1 lit. c) der europäischen Datenschutzrichtlinie bereits, dass das Unternehmen auf „Mittel zurückgreift“, die sich im Mitgliedsstaat befinden. Dies lässt den Schluss zu, dass nicht einmal ein Rechenzentrum nötig ist, sondern bereits das Hochladen von Dateien durch den Benutzer aus Deutschland auf einen amerikanischen Server deutsches Datenschutzrecht für anwendbar erklärt.

Bedeutung für die Praxis: Cloud Computing birgt im Bereich des Datenschutzrechts unzählige juristische Fallstricke. Während die oben genannten Beispiele noch relativ übersichtlich erscheinen, können bei der dynamisch verteilten Speicherung in unterschiedlichen Staaten schier unlösbare rechtliche Probleme auftreten. Dies bringt eine gewisse Rechtsunsicherheit für Betroffene und für Diensteanbieter mit sich.

http://www.hannover.ihk.de/ihk-themen/standort-branchen/oeffentliche-auftraege/vergaberecht/rechtsgrundlagen/ndserlassvolpq0.html

Die Verordnung über die Vergabe öffentlicher Aufträge – Vergabeverordnung – (VgV) ist veröffentlicht worden (BGBl. I vom 10. Juni 2010 Seite 724). Damit sind die Vorschriften der Vergabe- und Vertragsordnung für Leistungen sowie für Bauleistungen, jeweils Ausgabe 2009 und der Vergabeordnung für freiberufliche Leistungen, Ausgabe 2009 ab dem 11.06.2010 verpflichtend anzuwenden.

http://www.ibr-online.de/IBRNavigator/dokumentanzeige.php?HTTP_DocType=Dokument&DokID=17263&nlrm=38907

http://www.ibr-online.de/IBRNavigator/dokumentanzeige.php?HTTP_DocType=Dokument&DokID=17270&nlrm=38907

Eine Klage der Bundesrepublik Deutschland gegen eine Mitteilung der Kommission zu „Auslegungsfragen in Bezug auf das Gemeinschaftsrecht, dass für die Vergabe öffentlicher Aufträge, die nicht oder nur teilweise unter die Vergaberichtlinien fallen“ (ABl. 2006, C179, S. 2) ist gescheitert. Diese Klage war 2006 eingereicht worden. Am 20. Mai 2010 entschied der Europäische Gerichtshof in I. Instanz.

Der Europäische Gerichtshof hat die Klage als unzulässig zurückgewiesen (Urteil T-258/06 vom 20.05.2010). Nach Einschätzung der europäischen Richter enthält die Mitteilung keine spezifischen oder neuen Verpflichtungen für die Bundesrepublik und kann damit nicht als Akt der Rechtsetzung angegriffen werden.

OLG Frankfurt Urteil vom 05.03.2010, 19 U 213/09 – “OK”-Vermerk auf Fax als Zugangsnachweis

http://www.jurpc.de/rechtspr/20100107.htm

http://www.egovernment-computing.de/projekte/articles/265790/?nl=1&cmp=newsletter_egovernmentcomputing_update_27-05-2010

Das Bundeskabinett hat am 28.04.2010 die Endfassung der VgV und SektVO unter Berücksichtigung der (redaktionellen) Abänderungsvorschläge des Bundesrates verabschiedet.

http://www.vergabetip.de/PN/html/modules.php?op=modload&name=News&file=article&sid=1528

Stellt die Aufsichtsbehörde fest, dass ein von einem Unternehmen bestellter betrieblicher Datenschutzbeauftragter nicht über die erforderliche Fachkunde verfügt oder nicht hinreichend zuverlässig ist, kann sie die Abberufung verlangen. Der Behörde steht dabei ein gewisser Ermessensspielraum zu, wobei ein Eingreifen in besonders gravierenden Fällen regelmäßig angezeigt ist. Eine Abberufung kann auch wegen Interessenkollisionen erfolgen, beispielsweise wenn dem Datenschutzbeauftragten gleichzeitig die Leitung der EDV-Abteilung unterliegt.

Die Abberufung des Datenschutzbeauftragten ist ein an das Unternehmen adressierter Verwaltungsakt, mit welchem diesem aufgegeben wird, den Datenschutzbeauftragten von seiner Tätigkeit zu entbinden. Gegen den Verwaltungsakt können sowohl der Datenschutzbeauftragte, als auch das Unternehmen fristgemäß Widerspruch einlegen. Erfolgt kein Widerspruch, ist die Tätigkeit des Datenschutzbeauftragten nach Eintritt der Bestandskraft des Verwaltungsakts nicht etwa automatisch beendet, sondern es entsteht für das Unternehmen die rechtliche Verpflichtung, den Datenschutzbeauftragten abzuberufen. Kommt das Unternehmen dieser Pflicht nicht nach, muss es mit der zwangsweisen Durchsetzung des Verwaltungsakts, beispielsweise mittels einer Zwangsgeldzahlung, rechnen. Darüber hinaus kann ein Bußgeld verhängt werden, § 43 Abs. 1 Nr. 2 BDSG.

Bedeutung für die Praxis: Die Aufsichtsbehörde kann die Abberufung eines Datenschutzbeauftragten verlangen, beispielsweise wenn dieser nicht die erforderliche Fachkunde besitzt. In der Regel wird dem Datenschutzbeauftragten jedoch vorher die Möglichkeit gegeben, seine Fachkenntnisse zu verbessern. Wird jedoch die Abberufung verlangt, muss das Unternehmen dieser spätestens ab Eintritt der Bestandskraft des Verwaltungsakts nachkommen.

Zahlreiche Unternehmen fürchten die Pflichten des Datenschutzrechts und übertragen den Umgang mit personenbezogenen Daten an einen externen Dienstleister, im guten Glauben, mit den komplizierten datenschutzrechtlichen Regelungen nichts mehr zu tun zu haben. Dies ist jedoch ein weit verbreiteter Irrtum, wie ein Blick in § 11 BDSG beweist.

Beim Outsourcing der Datenverarbeitung, der sogenannten Datenverarbeitung im Auftrag, verbleibt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften nämlich beim Auftraggeber.

Die erste Hürde bei der Datenverarbeitung im Auftrag liegt bereits vor der Erteilung des Auftrags selbst. Denn zunächst muss der Auftragnehmer „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen“ ausgewählt werden (§ 11 Abs. 2 S. 1 BDSG). Damit obliegt dem Auftraggeber insbesondere die Kontrolle aller in der Anlage zu § 9 S. 1 BDSG aufgelisteten technischen und organisatorischen Maßnahmen.

Die Auftragserteilung selbst ist schriftlich zu erteilen und muss mindestens Regelungen zu dem in § 11 Abs. 2 BDSG enthaltenen 10-Punkte-Katalog enthalten. Dazu gehören unter anderem die Kontroll- und Weisungsbefugnis des Auftraggebers, die technischen und organisatorischen Maßnahmen, die Löschung der Daten sowie Gegenstand, Zweck und Umfang des Auftrags.

Über die Kontrollpflichten hinaus bleibt der Auftraggeber auch weiterhin Ansprechpartner für Auskunfts- und Berichtigungsansprüche der Betroffenen. Ferner kann der Auftraggeber auch bei Verfehlungen des Auftragnehmers schadensersatzpflichtig sein (§ 7 i.V.m. § 11 Abs. 1 S. 2 BDSG).

Bedeutung für die Praxis: Die Auftragsdatenverarbeitung durch ein anderes Unternehmen entbindet den Auftraggeber nicht automatisch von den datenschutzrechtlichen Pflichten. Vielmehr gibt es einen umfangreichen Pflichtenkatalog, der eingehalten werden muss. Ferner bleibt die haftungsrechtliche Verantwortlichkeit beim Auftraggeber. Daher sollten Unternehmen schon im eigenen Interesse einen kompetenten und vertrauenswürdigen Vertragspartner zur Verarbeitung der personenbezogenen Daten engagieren und bei rechtlichen Fragen fachlichen Rat einholen.

Der § 4f Abs. 4  des Bundesdatenschutzgesetzes verpflichtet betriebliche Datenschutzbeauftragte zur Verschwiegenheit „über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen“. Diese Vorschrift dient einerseits der Unabhängigkeit des Datenschutzbeauftragten gegenüber der Geschäftsleitung und auch zur Bildung eines Vertrauensverhältnisses gegenüber Betroffenen, die sich mit einer Beschwerde an den Datenschutzbeauftragten wenden. Die Verschwiegenheitspflicht betrifft dabei laut Gesetzestext nicht alle Aspekte der beruflichen Tätigkeit, sondern lediglich die Identität eines Betroffenen. Allerdings muss der Datenschutzbeauftragte auch gegenüber einem nicht betroffenen Informanten in der Lage sein, Geheimhaltung über dessen Identität zuzusichern, um an Informationen zu Rechtsverstößen zu gelangen. In solchen Fällen besteht dann zwar keine Pflicht, wohl aber ein Recht zur Verschwiegenheit gegenüber der Geschäftsleitung.

Ein wichtiger Teilaspekt der Verschwiegenheitspflicht ist eine sichere Kommunikationsmöglichkeit mit dem Datenschutzbeauftragten. So muss es insbesondere gewährleistet sein, dass an den Datenschutzbeauftragten adressierte Briefe und E-Mails beispielsweise nicht zentral im Sekretariat geöffnet werden. Darüber hinaus muss der Arbeitgeber gewährleisten, dass ein separates Zimmer für vertrauliche Gespräche zur Verfügung steht und dass der Telefonanschluss von einer möglicherweise stattfindenden Telefondatenerfassung ausgenommen wird. Auch die Sicherheit des Computers und des digitalen Terminkalenders des Datenschutzbeauftragten müssen gewährleistet sein.

Verstößt der Datenschutzbeauftragte gegen die Verschwiegenheitspflicht, kann dies Schadensersatzansprüche des Betroffenen gem. § 823 Abs. 2 BGB nach sich ziehen. Ferner ist die Aufsichtsbehörde bei schwerwiegenden Verstößen gegen das Verschwiegenheitsgebot berechtigt, einen betrieblichen Datenschutzbeauftragten abzuberufen (§ 4f Abs. 3 S. 4 BDSG). Strafrechtliche Sanktionen bei einem Verstoß gegen die Verschwiegenheitspflicht existieren nur für besondere Fälle, wie beispielsweise für den Umgang mit Patienten- oder Mandantendaten (§ 203 Abs. 2a StGB).

Bedeutung für die Praxis: Die Verschwiegenheitspflicht ist ein wichtiges Element der Unabhängigkeit und Handlungsfähigkeit des betrieblichen Datenschutzbeauftragten. Dabei betrifft die Verschwiegenheit nicht nur den Datenschutzbeauftragten selbst, sondern auch organisatorische Elemente rund um seinen Arbeitsplatz, wie die Gewährleistung der Vertraulichkeit der Kommunikationswege. Dies wird in der Praxis oft nicht konsequent genug umgesetzt. Entstehen dem Betroffenen bei einem Verstoß Nachteile, kann er zivilrechtliche Schadensersatzansprüche geltend machen.

Bei der Anmeldung einer Internet-Domain muss der Anmeldende eine Person als Admin-C, als administrativen Kontaktpartner angeben, der dann mit Namen und Anschrift in der Who-Is-Datenbank der Registrierungsstelle eingetragen wird. Der Admin-C ist nicht Inhaber der Domain, sondern gegenüber dem tatsächlichen Inhaber weisungsgebunden und in dessen Auftrag tätig. Allerdings ist der Admin-C gegenüber der Registrierungsstelle berechtigt, die Domain betreffende Fragen verbindlich zu entscheiden und wird daher nicht selten auch in Rechtsstreitigkeiten hineingezogen.

Besonders häufig geht es dabei um Namensstreitigkeiten. So auch in einem vom OLG Koblenz entschiedenen Fall (Az. 6 U 730/08). Der im Ausland lebende Domaininhaber betreibt in Deutschland ein sogenanntes Domaingrabbing, womit eine missbräuchliche Belegung einer möglichst großen Anzahl an Domains gemeint ist, die anschließend meist zum Verkauf angeboten werden. Der in Deutschland lebende Admin-C hatte sich gegen Entgeltzahlung als administrativer Ansprechpartner für diese Internetadressen zur Verfügung gestellt, ohne dass er Kenntnis von den Namen und der genauen Anzahl der einzelnen Domains hatte. In der Folge wurde der in Deutschland lebende Admin-C wegen einer Namensrechtsverletzung abgemahnt und auf Unterlassung in Anspruch genommen.

Das OLG Koblenz hat entschieden, dass der Admin-C als sogenannter Störer zur Unterlassung verpflichtet ist und die Kosten der Abmahnung zu tragen hat, obwohl er weder die Domain registriert hatte oder auch nur Kenntnis vom Domainnamen hatte. Für die Inanspruchnahme als Störer genügt es allerdings nicht, dass der Admin-C berechtigt ist, die Domain betreffende Fragen verbindlich zu entscheiden. Erforderlich ist vielmehr das Hinzutreten besonderer Umstände, wie der Kenntnis von den juristisch riskanten Geschäftspraktiken des Domaininhabers. Da der administrative Ansprechpartner Kenntnis von dem Domaingrabbing hatte und ihm dabei auch hätte klar sein müssen, dass im Einzelfall die konkrete Gefahr von Rechtsverletzungen besteht, war nach Auffassung des Gerichts eine Störerhaftung des Admin-C gegeben. Um dieser zu entgehen, hätte der Admin-C die Rechtmäßigkeit aller Registrierungen prüfen müssen.

Bedeutung für die Praxis: Der Admin-C kann als administrativer Ansprechpartner der Registrierungsstelle unter bestimmten Umständen auch gegenüber Dritten für Rechtsverstöße des Domaininhabers verantwortlich gemacht werden, auch wenn er an der konkreten Rechtsverletzung nicht aktiv mitgewirkt hat. Obwohl es in Deutschland keine klare gesetzliche Regelung für die Voraussetzungen und den Umfang der Haftung des Admin-C gibt und auch es auch keine einheitliche gerichtliche Entscheidungspraxis gibt, ist administrativen Ansprechpartnern anzuraten, die Geschäftspraxis ihrer Vertragspartner im Auge zu behalten und zumindest bei Kenntnis von Rechtsverletzungen unverzüglich tätig zu werden. Darüber hinaus sollten Haftungsfreistellungen mit den Domaininhabern vereinbart werden.

Wenn wir das Vorhaben richtig verstanden haben, sollen sämtliche emails, welche als Spam klassifiziert werden zunächst in einen Sammelordner geleitet und dann von einer Mitarbeiterin an den jeweiligen Empfänger weitergeleitet werden. Diese Mitarbeiterin würde die emails dann vorab sichten.

Aus verschiedenen rechtlichen Gesichtspunkten ist ein solches Vorgehen problematisch.

a) Bundesdatenschutzgesetz

Grundsätzlich muss bei der Verarbeitung personenbezogener Daten, durch den Betroffenen in die Datenverarbeitung eingewilligt werden, sofern diese nicht aufgrund Gesetzes oder Rechtsvorschrift erlaubt ist. Personenbezogene Daten sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hierunter fallen also alle Daten, die in nicht anonymisierter Form erhoben und verarbeitet werden und deshalb einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die an einen Mitarbeiter gesendeten emails sind somit derartige personenbezogene Daten. Ein Gesetz oder eine Rechtsvorschrift, welche die Verarbeitung erlauben würde, ist nicht erkennbar.

Diesen Beschränkungen kann man nur durch eine Einwilligung des/der betreffenden Mitarbeiter/s in die Datenverarbeitung entgehen. An diese Einwilligung stellt § 4a BDSG strenge Anforderungen. So muss die Einwilligung freiwillig erfolgen und nicht etwa auf Druck des Arbeitgebers. Der Einwilligende muss über den Zweck der Datenverarbeitung aufgeklärt werden. Zudem muss die Einwilligung in der Regel schriftlich erfolgen, das heißt durch eigenhändige Unterschrift unter der Erklärung. Eine generelle Einwilligung „versteckt“ im Arbeitsvertrag genügt nicht.

b) Grundrechte

Eine weitere rechtliche Hürde liegt darin, dass der email Verkehr dem Post- und Fernmeldegeheimnis aus Art. 10 GG unterliegt. Zwar sollen Grundrechte zunächst primär an das Verhältnis Bürger – Staat regeln. Jedoch ist auch das Bundesarbeitsgericht der Auffassung, das Art. 10 GG auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer bei der Nutzung dienstlich zur Verfügung gestellter Kommunikationsmittel zu berücksichtigen ist (BAG NJW 1998, 1331). Alle im betrieblichen Netzwerk elektronisch übermittelten emails unterfallen somit dem Schutzbereich des Fernmeldegeheimnisses.

Geschützt sind dabei durch Art. 10 GG der Arbeitnehmer als Absender oder dessen Kommunikationspartner, somit der Absender der Spam-Mail, vor der unberechtigten Kenntnisnahme durch Dritte.

Eine Berechtigung des Arbeitgebers kann sich nur daraus ergeben, dass der Absender der Nachricht in deren Kenntnisnahme durch den Arbeitgeber (bzw. die Person, welche mit der Sichtung der emails betraut ist) einwilligt. Bei eingehenden geschäftlichen emails wird in der Regel angenommen, dass keine Beschränkung des Empfängerkreises innerhalb des Betriebs gewollt ist. Spam-emails haben aber zumeist keinen Bezug zum Geschäftsbetrieb des Unternehmens und sind daher keine geschäftlichen emails.

Einzige Möglichkeit für den Arbeitgeber wäre wiederum, eine Einwilligung der/des betroffenen Mitarbeiter/s einzuholen. Liegt diese Einwilligung vor, wäre auch eine automatisierte Weiterleitung an eine zentrale, vom Arbeitgeber eingerichtete, Mailbox kein Verstoß mehr gegen Art. 10 GG.

c) Telekommunikationsgesetz

Letztlich schützt auch § 85 Abs. 1 TKG die Übermittlung und den Inhalt von nicht öffentlichen (also nicht an die Allgemeinheit gerichteten) emails. Der Schutz deckt sich dabei mit den vorstehend erläuterten Schützen. Das Telekommunikationsgesetz genießt als speziellere Norm aber zunächst Anwendungsvorrang.

d) Strafrechtliche Aspekte

Die vorstehenden Anforderungen sollten unbedingt beachtet werden, da ansonsten auch strafrechtliche Konsequenzen drohen könnten. Die unbefugte Sammlung und Sichtung von emails kann nämlich den Straftatbestand des Ausspähens von Daten gemäß § 202a StGB, sowie des Abfangens von Daten gemäß § 202b StGB erfüllen.

Deutsche Unternehmen können unter bestimmten Voraussetzungen verpflichtet sein, Sicherheitsmängel bei der Datenverarbeitung unaufgefordert anzuzeigen. Die Idee, dass Unternehmen Sicherheitsmängel anzeigen müssen, ist nicht neu. In den USA gibt es derartige gesetzliche Vorschriften schon länger. In Deutschland findet sich die Rechtsgrundlage dieser Anzeigeplicht im zum 1.9.2009 neu eingefügten § 42a BDSG. Sie setzt voraus, dass bestimmte sensible Daten, wie die Bank- oder Kreditkartendaten, Daten, die sich auf strafbare Handlungen beziehen, die einem Berufsgeheimnis unterliegen oder besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) Dritten unrechtmäßig zur Kenntnis gelangen und „schwerwiegende Beeinträchtigungen für die Rechte oder die schutzwürdigen Interessen der Betroffenen“ drohen. Bisher noch nicht endgültig geklärt ist, wann im Sinne des Gesetzes schwerwiegende Rechts- oder Interessenbeeinträchtigungen anzunehmen sind. In der Gesetzesbegründung heißt es, dass z. B. materielle Schäden oder soziale Nachteile einschließlich des Identitätsbetrugs schwerwiegende Beeinträchtigungen darstellen können (BT-Dr. 16/12011, S. 34).

Die Regelung greift ihrem Wortlaut nach nicht nur dann ein, wenn die Datenpanne aufgrund eigenen Verschuldens herbeigeführt worden ist, sondern auch dann, wenn beispielsweise trotz Einhaltung der erforderlichen Sicherheitsmaßnahmen ein Hackerangriff dazu geführt hat, dass Daten ausgespäht worden sind.

Die Anzeigepflicht besteht sowohl gegenüber der zuständigen Datenschutzbehörde, als auch andererseits gegenüber den betroffenen Personen. Die Benachrichtigung muss ohne schuldhaftes Zögern erfolgen und Informationen über die Art der unrechtmäßigen Kenntniserlangung sowie Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen beinhalten. An die Aufsichtsbehörde müssen zusätzlich Informationen zu den von der verarbeitenden Stelle ergriffenen Maßnahmen und eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung enthalten.

Bedeutung für die Praxis: Die datenschutzrechtliche Informationspflicht ist eine neue Pflicht für Daten verarbeitende Stellen. Sie gilt nicht nur, wenn sich das Unternehmen sorgfaltswidrig verhalten hat, sondern auch bei unverschuldeten Hacker-Angriffen. Wird die Informationspflicht nicht beachtet, kann ein Bußgeld in Höhe von bis zu 300.000 Euro verhängt werden (§ 43 Abs. 2 Nr. 7, Abs. 3 BDSG).

In zahlreichen Betrieben werden die Schließanlagen und Zeiterfassungssysteme mit elektronischen Zugangsberechtigungskarten gesteuert. Dass ein Arbeitnehmer mit einer solchen Karte verantwortungsvoll umzugehen habt, ist eigentlich eine Selbstverständlichkeit. Weniger eindeutig ist allerdings, welche arbeitsrechtlichen Sanktionen der Arbeitgeber verhängen kann, wenn dies nicht geschieht. Über einen solchen Fall hatte das Hessische Landesarbeitsgericht zu entscheiden (Az. 17 Sa 454/05).

Dem Leiter der EDV-Abteilung einer Bank war gekündigt und seine Zugangskarte abgenommen worden. Dennoch betrat er am gleichen Abend mit der Karte des Compliance Officers das Firmengebäude und löschte Daten auf seinem Dienstcomputer. Daraufhin kündigte der Arbeitgeber auch dem Compliance Officer ohne vorherige Abmahnung fristlos. Dieser wehrte sich vor Gericht unter anderem mit der Behauptung, nicht gewusst zu haben, dass seine Karte dazu verwendet werden sollte, Dateien zu löschen oder das Unternehmen sonst zu schädigen.

Das Landesarbeitsgericht bestätigte die Kündigung und stellte fest, dass es unerheblich sei, ob der Compliance Officer gewusst hatte, weshalb sich der Dritte im Einzelnen Zutritt zu den Betriebsräumen des Arbeitgebers verschaffen wollte. Allein die Tatsache, dass der Arbeitnehmer hätte erkennen können, dass der Dritte den Zutritt zu den Betriebsräumen allein zu rechtsmissbräuchlichen Zwecken nutzen wolle, stelle einen wichtigen Grund für eine außerordentliche Kündigung dar.

Bedeutung für die Praxis: Der Missbrauch einer Zugangskarte ist ein schwerwiegender Verstoß gegen die Pflichten eines Arbeitnehmers. Damit der Arbeitgeber im Ernstfall sachgerecht reagieren kann, empfiehlt es sich, Verhaltensregeln zum Umgang mit Schlüsselkarten schriftlich festzulegen und von allen Arbeitnehmern gegenzeichnen zu lassen. Dabei ist es wichtig, auch auf die strenge Einhaltung der Regeln durch die Arbeitnehmer zu achten, denn schleicht sich ein sorgloser Umgang mit personalisierten Zugangskarten erst einmal ein, wird es schwerer, Verstöße rechtlich zu sanktionieren.