Freitag, 29. Juni 2012

Zur datenschutzrechtlichen Zulässigkeit einer verdeckten Videoüberwachung von Arbeitnehmern

Kündigung wegen Entwendung von Zigarettenpackungen - Verdeckte Videoüberwachung

Entwendet eine Verkäuferin Zigarettenpackungen aus dem Warenbestand des Arbeitgebers, kann dies auch nach längerer - im Streitfall zehnjähriger - Betriebszugehörigkeit eine Kündigung des Arbeitsverhältnisses rechtfertigen. Führte eine verdeckte Videoüberwachung zur Überführung der Täterin, kann das auf diese Weise gewonnene Beweismaterial im Bestreitensfall prozessual allerdings nicht ohne Weiteres verwertet werden. Das entsprechende Interesse des Arbeitgebers hat gegenüber dem Schutz des informationellen Selbstbestimmungsrechts der Arbeitnehmerin nur dann höheres Gewicht, wenn die Art der Informationsbeschaffung trotz der mit ihr verbundenen Persönlichkeitsbeeinträchtigung als schutzbedürftig zu qualifizieren ist. Dies ist bei verdeckter Videoüberwachung nur dann der Fall, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers bestand, es keine Möglichkeit zur Aufklärung durch weniger einschneidende Maßnahmen (mehr) gab und die Videoüberwachung insgesamt nicht unverhältnismäßig war. Unter diesen strengen Voraussetzungen wiederum stehen Vorschriften des Bundesdatenschutzgesetzes (BDSG) der verdeckten Videoüberwachung auch an öffentlich zugänglichen Arbeitsplätzen nicht entgegen. Zwar bestimmt § 6b Abs. 2 BDSG, dass bei Videoaufzeichnungen in öffentlich zugänglichen Räumen der Umstand der Beobachtung und die verantwortliche Stelle erkennbar zu machen sind. Bei einem Verstoß gegen diese Pflicht wird aber nicht jedwede Videoüberwachungsmaßnahme an öffentlich zugänglichen Arbeitsplätzen per se unzulässig.
In Anwendung dieser Grundsätze hat der Zweite Senat des Bundesarbeitsgerichts die Entscheidung der Vorinstanz aufgehoben, soweit diese die Kündigungsschutzklage einer Verkäuferin abgewiesen hat. Die Beklagte ist ein bundesweit tätiges Einzelhandelsunternehmen. Die Klägerin war bei ihr zuletzt als stellvertretende Filialleiterin beschäftigt. Für drei Wochen im Dezember 2008 installierte die Beklagte mit Zustimmung des Betriebsrats verdeckte Videokameras in den Verkaufsräumen. Sie hat geltend gemacht, es habe der Verdacht bestanden, dass auch Mitarbeiterdiebstähle zu hohen Inventurdifferenzen beigetragen hätten. Auf dem Mitschnitt sei zu sehen, wie die Klägerin bei zwei Gelegenheiten jeweils zumindest eine Zigarettenpackung aus dem Warenbestand entwendet habe. Die Beklagte kündigte das Arbeitsverhältnis fristlos, hilfsweise fristgerecht. Die Klägerin hat bestritten, Zigaretten entwendet zu haben. Nach Einnahme des Augenscheins in die Videoaufzeichnungen hat das Landesarbeitsgericht den Kündigungsvorwurf als erwiesen erachtet und die Klage gegen die ordentliche Kündigung abgewiesen.
Der Senat hat die Sache zur weiteren Aufklärung an das Landesarbeitsgericht zurückverwiesen. Zwar ist die Würdigung des Landesarbeitsgerichts nicht zu beanstanden, die - allein noch im Streit stehende - ordentliche Kündigung sei nach dem zugrunde gelegten Sachverhalt sozial gerechtfertigt. Es steht aber noch nicht fest, ob die Voraussetzungen für eine prozessuale Verwertung der Videoaufzeichnungen gegeben sind.

Bundesarbeitsgericht, Urteil vom 21. Juni 2012 - 2 AZR 153/11 -
Vorinstanz: Landesarbeitsgericht Köln, Urteil vom 18. November 2010 - 6 Sa 817/10 -

Quelle: Pressemitteilung des Bundesarbeitsgerichts vom 21.06.2012

Donnerstag, 28. Juni 2012

Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 2: Unterscheidungskriterien


Wie ich bereits berichtet habe, ist die Entscheidung, ob in einem konkreten Fall nun eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt oder Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG als sog. Funktionsübertragung vorliegt, manchmal gar nicht so einfach.
Ich kann mich daran erinnern, dass ich bereits in mehreren Fällen (mehr oder weniger leidenschaftlich) mit einem Vertragspartner eines Mandanten über diese Frage gestritten habe, manchmal für und manchmal gegen eine Auftragsdatenverarbeitung, da wie noch dargestellt wird, die Unterscheidung ungemeine datenschutzrechtliche Auswirkungen hat.

Ein recht offenes Geheimnis ist auch, dass man bei Kenntnis der Unterscheidungskriterien durch eine einigermaßen geschickte juristische Ausgestaltung durchaus eine Auftragsdatenverarbeitung oder eine Funktionsübertragung „formen“ kann.

Ausschlaggebend bei einer Auftragsdatenverarbeitung im Sinne des § 11 BDSG ist, dass der Auftragnehmer eine Datenverarbeitung ganz streng nach Weisung des Auftraggebers durchführt. Dem Auftragnehmer verbleibt also kein Entscheidungsspielraum oder eine gewisse Eigenständigkeit bei der Frage, wie oder welche Daten verarbeitet werden. Keinesfalls erbringt der Auftragnehmer über die technische Datenverarbeitung hinaus materielle vertragliche Leistungen. Es wird folglich nicht die Aufgabe selbst vom Auftraggeber ausgelagert (dann Funktionsübertragung), sondern nur der zur Erfüllung der Aufgabe des Auftraggebers erforderliche Umgang mit den personenbezogenen Daten.

Die Datenschutzaufsichtsbehörden – namentlich das Ministerium des Innern des Landes Sachsen-Anhalt der Landesbeauftragte für den Datenschutz Sachsen-Anhalt haben vor einigen Jahren folgende „Erkennungsmerkmale“ für eine Auftragsdatenverarbeitung benannt:
  • dem Auftragnehmer fehle jegliche Entscheidungsbefugnis
  • der Auftraggeber sei strikt an Weisungen des Auftraggebers dahingehend gebunden, was mit den Daten zu geschehen habe
  • grundsätzlich habe der Auftraggeber nur mit Daten umzugehen, welche der Auftraggeber zur Verfügung stelle, außer die Beauftragung des Auftragnehmers sei auch auf die Erhebung personenbezogener Daten gerichtet
  • eine Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers sei ausgeschlossen
  • es bestehe keine (vertragliche) Beziehung des Auftragnehmers zu derjenigen Person, deren personenbezogene Daten verarbeitet werden
  • der Auftragnehmer trete (gegenüber dem Betroffenen) nicht in eigenem Namen auf

Eine Funktionsübertragung, also eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG liegt immer dann vor, wenn der Auftragnehmer „eigenverantwortlich“ personenbezogene Daten verarbeitet, also ohne klare und unmissverständliche Weisungen von Seiten des Auftraggebers agiert, indem dem Auftragnehmer ein eigener Ermessenspielraum verbleibt, wie er mit den Daten umgeht, z.B. weil ihm die inhaltliche Organisation des Geschäftsablaufs überlassen wird oder der Auftraggeber keine Möglichkeit hat, den Auftragnehmer im Umgang mit personenbezogenen Daten zu beeinflussen. Oftmals erkennt man eine Funktionsübertragung auch daran, dass die Datenüberlassung sozusagen nur ein Nebenzweck der Beauftragung zu einer anderen eigenständigen Leistung ist, sozusagen ein „notwendiges Übel“. Beispielsweise, wenn ein Rechtsanwalt eine Klage zu führen hat oder ein Steuerberater eine Steuererklärung für seinen Mandanten erstellt.

Die oben genannten Aufsichtsbehörden haben zur Funktionsübertragung folgende „Erkennungsmerkmale“ definiert:
  • der Auftragnehmer sei frei von Weisungen dahingehend, was mit den Daten geschieht
  • dem Auftragnehmer werden eigene Nutzungsrechte an den Daten eingeräumt
  • der Auftragnehmer ist selbst für die Sicherstellung der Zulässigkeit und Richtigkeit der Daten verantwortlich und sichert auch eigenverantwortlich die Betroffenenrechte 
  • der Auftragnehmer tritt gegenüber dem Betroffenen – also dessen Daten verarbeitet werden, im eigenen Namen auf
  • dem Auftragnehmer verbleibt eine Entscheidungsbefugnis in der Sache selbst

Ich denke, man merkt, wie vage manche dieser „Erkennungsmerkmale“ sind bzw. wie schwierig dies in der Praxis oftmals zu beurteilen ist.

Dienstag, 26. Juni 2012

Angriff auf Microsofts Ansatz zu "Datenschutz durch Grundeinstellung"


ULD „FTC diskreditiert sich als Datenschutzinstanz“

Am 31.05.2012 kündigte Microsoft Inc. für eine neue Version des Internet Explorers (IE10) in Windows 8 an, per Grundeinstellung mit Hilfe des sog. „Do Not Track-Signal“ (DNT) angesurften Webservern mitzuteilen, dass ein Verfolgtwerden über verschiedene Internetseiten (Tracking) unerwünscht ist. Microsoft würde als erster Browseranbieter die Forderung von Daten- und Verbraucherschützern nach datenschutzfreundlichen Grundeinstellungen (engl.: privacy by default) in Hinblick auf „Do Not Track“ umsetzen. „Privacy by Default“ wird auch in der im Januar 2012 von der EU-Kommission vorgeschlagenen Europäischen Datenschutz-Grundverordnung gefordert.

Im World Wide Web Consortium (W3C, www.w3.org), das für eine Standardisierung von Techniken im World Wide Web zuständig ist, wurde Microsoft insbesondere von Industrievertretern kritisiert. Der aktuelle Entwurf einer DNT-Vereinbarung verbiete Browsern eine Default-Lösung.
Durch die IE10-Voreinstellung wäre für die Nutzenden keine weitere Aktion nötig, um die Aussendung des DNT-Signals zu veranlassen. Die Industrie erwartet Einbrüche bei den Werbeeinnahmen, wenn das DNT-Signal von den Webserver-Betreibern beachtet werden muss. Akzeptiert würde nur eine Lösung, bei der die Nutzenden aufgefordert werden, eine aktive Entscheidung für oder gegen das Tracking zu treffen. In welchem Maße davon auch die Verfolgung im Internet mit Hilfe von sog. Cookies umfasst sein wird (Do Not Collect), ist noch offen.

Microsofts Initiative wurde bereits von zwei Abgeordneten des US-amerikanischen Kongresses begrüßt. Nun meldete sich die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde, die Federal Trade Commission (FTC), zu Wort. Sie kritisiert, Microsoft würde durch die Voreinstellung die Verbraucherinnen und Verbraucher bevormunden.

Thilo Weichert, Leiter des ULD: „Datenschutz durch Grundeinstellungen sowie Privacy by Design sind in Europa und zunehmend auch in den USA anerkannte Ziele eines modernen Datenschutzes. Unsere vernetzte Welt wird immer undurchschaubarer für Verbraucherinnen und Verbraucher.
Unkomplizierte, von den Nutzenden veränderbare Voreinstellungen sind wichtig zur Umsetzung des Datenschutzes. In Microsofts ´Privacy by Default`-Ansatz werden die Wahlmöglichkeiten der Nutzenden eben nicht eingeschränkt. Mit der Verwendung des neuen Internet Explorers könnten Verbraucherinnen und Verbraucher in diesem Punkt datenschutzfreundliche Browsersoftware wählen. Der Normalfall soll und muss die Internetzung ohne Profilbildung durch Tracking sein, nicht informationelle Ausbeutung und Fremdbestimmung. Mit ihrer Stellungnahme diskreditiert sich die FTC, die für die Verbraucher da sein sollte. Sie macht sich so zum Handlanger der US-Werbeindustrie. Microsoft sollte sich nicht einschüchtern lassen; es ist absehbar, dass anders programmierte Browser in Europa bald unzulässig sind.“


26. Juni 2012
P R E S S E M I T T E I L U N G des ULD
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Montag, 25. Juni 2012

Verarbeitungsübersicht und Verfahrensverzeichnis



Diese beiden Begriffe sorgen immer wieder für Fragen.
Um was handelt es sich, wer erstellt und pflegt sie, was müssen sie enthalten, wozu ist das Ganze nötig ?
Laut §4g Abs. 2 hat eine verarbeitende Stelle folgende Übersichten zu führen:

  1. Eine interne Verfahrensübersicht (oft auch internes Verfahrensverzeichnis genannt)
  2. Ein öffentliches Verfahrensverzeichnis

Der Gesetzestext ist recht schlicht gehalten, so dass oft viele Fragen offen bleiben, die wir hier ein wenig beleuchten wollen.

1.       Die interne Verfahrensübersicht (das interne Verfahrensverzeichnis)

In erster Linie dient diese Sammlung von Informationen dem Datenschutzbeauftragten bei der Prüfung auf eine rechtmäßige Datenverarbeitung.
Je Verfahren (Prozess) in dem personenbezogene Daten verarbeitet werden ist eine Übersicht zu erstellen.

Diese Übersicht muss folgende Daten enthalten:

  •  Name oder Firma der verantwortlichen Stelle
  • Inhaber, Geschäftsführer, Vorstände oder sonstige mit der Leitung der Datenverarbeitung beauftragte Personen 
  • Anschrift der verantwortlichen Stelle
  • Zweckbestimmung der Datenerhebung, Datenverarbeitung oder Datennutzung
  • Beschreibung der betroffenen Personengruppen und der dazugehörigen Datenkategorien
  • Empfänger an die Daten weitergeleitet werden können
  • Übermittlung der Daten in Drittstaaten
  • Informationen über Maßnahmen nach §9 BDSG (zur Gewährleistung der Datensicherheit)
  • Zugriffsberechtigte Personen
  • Regelfristen für die Datenlöschung

Anhand dieser Daten kann der Datenschutzbeauftragte Schlüsse ziehen, ob eine rechtmäßige Speicherung und/ oder Verarbeitung stattfindet.
Er kann dann rechtzeitig eingreifen und gegebenenfalls geeignete Maßnahmen zur Korrektur einleiten.

Häufig wird die Auffassung vertreten, dass nur Verfahren automatisierter Verarbeitungen im Sinne des §3 Abs. 2 BDSG aufzunehmen sind, jedoch sind auch nicht automatisierte Verfahren zu dokumentieren.
Diese Pflicht ergibt sich aus dem §4g Abs. 2 BDSG.

Auch Verfahren die durch einen Dienstleister ausgeführt werden sind aufzunehmen.
Der Datenschutzbeauftragte prüft in diesem Fall auch, ob eine Auftragsdatenverarbeitung im Sinne des §11 BDSG vorliegt.


2.       Das öffentliche Verfahrensverzeichnis

Laut §4g Abs. 2. Satz 2 BDSG macht der Datenschutzbeauftragte Angaben nach §4e Satz 1 Nr.1 -8 BDSG.
Diese Angaben stellt er auf Antrag jedermann in geeigneter Weise zur Verfügung.

Diese Maßnahme dient der Transparenz über Art und Weise, wie ein Unternehmen mit personenbezogenen Daten umgeht.

Im Gegensatz zum internen Verfahrensverzeichnis beinhaltet das öffentliche Verfahrensverzeichnis bedeutend weniger Informationen.

Die Verfahren werden pauschal und vereinfacht dargestellt. Personen und technische Maßnahmen sind nicht enthalten.

Wer ist in der Pflicht ?

Für die Erstellung und Aktualisierung der Verzeichnisse ist die verantwortliche Stelle zuständig, nicht der Datenschutzbeauftragte.
Dieser beurteilt die Informationen und berät die verantwortliche Stelle im Hinblick auf die Rechtmäßigkeit.

Die beiden Verzeichnisse sind ein elementarer Baustein bei der Umsetzung des Datenschutzes im Unternehmen. Gerne beraten wir Sie bei der Erstellung Ihrer Verzeichnisse.

Michael Bätzler