AnhangGröße
PDF icon 01_Synopse_Forum05.pdf49.29 KB
PDF icon 02_BMI_Referentenvorentwurf_23März2010.pdf150.71 KB
PDF icon 03_BMI_Eckpunktepapier_31März2010.pdf38.96 KB
PDF icon 04_BMI_Referentenentwurf_28Mai2010.pdf100 KB
PDF icon 05_BÜ90GRÜ_Fraktionsentwurf_22Juli2010.pdf95.8 KB
Bild von Dr. Stefan Hanloser

► Soll die Zustimmung des Arbeitgebers zur privaten E-Mail- und Internetnutzung am Arbeitsplatz künftig im BDSG fingiert werden?

Dr. Stefan Hanloser

2010-07-27 19:42

 

Für dieses Forum stehen Ihnen folgende Dokumente zur Verfügung:
(1)   Synopse Referentenentwurf BMI versus Fraktionsentwurf BÜNDNIS 90/DIE GRÜNEN.
(2)   Referentenvorentwurf BMI vom 23. März 2010.
(3)   Eckpunktepapier BMI vom 31. März 2010.
(4)   Referentenentwurf BMI vom 28. Mai 2010.
(5)   Fraktionsentwurf BÜNDNIS 90/DIE GRÜNEN vom 22. Juli 2010.

 

Wenn Sie die Positionen zur Frage "Soll die Zustimmung des Arbeitgebers zur privaten E-Mail- und Internetnutzung am Arbeitsplatz künftig im BDSG fingiert werden?" interessieren, dann öffenen Sie einfach die Synopse: Synopse.

 

Ihre Meinung zu dem Thema können Sie unten in das Kommentarfeld eintragen.

 

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

12 Kommentare

Kommentare als Feed abonnieren

Dann wollen wir mal beginnen (wie heißt es so schön nicht nur bei Asterix: "Fortes fortuna adiuvat"):

Die meisten deutschen Unternehmen erlauben - im bestimmten Rahmen - die Nutzung von dienstlichen Emails zu privaten Zwecken. Damit werden sie, was viele vergessen, ein TK-Diensteanbieter, der gem. §88 TKG dem Fernmeldegeheimnis unterliegt.

Welche rechtliche Folgen hat das (de lege lata und de lege ferenda)? Darf z.B. dieser dienstliche und private Emailverkehr außerhalb Deutschlands (innerhalb der EU) gemäß § 4b Abs. 2 BDSG auf einem Server gespeichert werden?

Begrüßenswert ist, dass sowohl der Referentenentwurf als auch der Fraktionsentwurf sich der privaten Nutzung des Internet sowie des E-Mail-Verkehres annehmen. Eine Zustimmungsfiktion hätte den Vorteil, dass Arbeitgeber gezwungen wären, eine klare Regelung im Arbeitsvertrag zu treffen, wenn diese Art der Nutzung ausgeschlossen sein soll. Hier herrscht nach meiner Erfahrung in der Praxis eine große Verunsicherung. Allerdings dürfte das Thema der privaten Nutzung des Internet nicht einfach auf die persönlichkeitsrechtliche Frage reduziert werden. Wenn die private Nutzung des Internet am Arbeitsplatz gestattet ist, bleibt für den Arbeitgeber gleichwohl das Problem, wie u.U. auch das Thema "illegale Musik-Downloads" oder ähnliche Fälle in den Griff zu bekommen sind. Der Arbeitgeber dürfte jedenfalls unter Störergesichtspunkten hier nicht aus der Haftung sich entziehen können.

Gibt es Vorschläge oder Erfahrungen hierzu?

Das Thema illegale Musik-Donwloads kann man weitgehend oft über einfache IT-Compliance-Regeln in den Griff bekommen. Zumindest die gebräuchlichen File-Sharing Programme kann man sperren, bzw. deren Installation durch den Arbeitnehmer technisch unterbinden. Darüber hinaus ist es oft sogar möglich die entsprechenden Ports zu sperren.

Haften Arbeitgeber tatsächlich für illegale Musikdownloads ihrer Angestellten ?

Selbst wenn man eine Anwendung von § 8 TMG auf Unterlassungsansprüche verneint, scheitert m.E. eine Haftung gewerblicher WLAN-Betreiber regelmäßig an der Unzumutbarkeit der Verhinderung weiterer Verstöße (§ 88 III TKG).

§ 8 Abs. 1 TMG ist auf Unternehmens-WLAN-Betreiber anwendbar und gilt m.E. auch für Unterlassungsansprüche, auch wenn der BGH sich zu § 8 TMG in „Sommer unseres Lebens“ nicht geäußert hat. § 8 TMG basiert auf Art. 12 der E-Commerce-Richtlinie und nach Ansicht des EuGH darf bei Diensteanbietern, die die Kriterien der Art. 12-15 der Richtlinie erfüllen, keine Verantwortlichkeit für eine Rechtsverletzung Dritter festgestellt werden. Die Ansicht des EuGH läuft auf eine Vollharmonisierung hinaus, die es dem nationalen Gesetzgeber verbietet, die Haftungsprivilegien der Art. 12-15 ECRL abzuschwächen. Dies war jedoch auch nicht die Absicht des deutschen Gesetzgebers bei der Umsetzung der Richtlinie, vgl. BR-Drucksache 136/01, S. 50f.

In seinem Urteil vom 12.05.2010 führt der BGH aus: „Die dem privaten WLAN-Anschlussinhaberobliegende Prüfungspflicht besteht nicht erst, nachdem es durch die unbefugte Nutzung seines Anschlusses zu einer ersten Rechtsverletzung Dritter gekommen und diese ihm bekannt geworden ist. Sie besteht vielmehr bereits ab Inbetriebnahme des Anschlusses. Die Gründe, die den Senat in den Fällen der Internetversteigerung dazu bewogen haben, eine Störerhaftung des Plattformbetreibers erst anzunehmen, nachdem er von einer ersten Rechtsverletzung Kenntnis erlangt hat, liegen bei privaten WLAN-Anschlussbetreibern nicht vor. Es geht hier nicht um ein Geschäftsmodell, das durch die Auferlegung präventiver Prüfungspflichten gefährdet wäre (vgl. BGHZ 158, 236 [251f.] = NJW 2004, 3102 = GRUR 2004, 860–Internet-Versteigerung I).“

Der BGH möchte also das Geschäftsmodell kommerzieller Betreiber vor einer Gefährdung durch präventive Prüfungspflichten schützen.

Eine Verschlüsselung von bewusst offenen Netzwerken kann im Grundsatz auch nicht gefordert werden, da die Grenze aller Prüfungs- und Überwachungspflichten dort zu ziehen ist, wo sie zwingend zur Einstellung des Dienstes führt. Eine Pflicht der Betreiber offener Netzwerke zur Identifizierung und/oder Überwachung ihrer Nutzer lässt sich dem Urteil des BGH ebenfalls nicht entnehmen. Zudem darf nicht vergessen werden, dass die Bereitstellung von Netzwerkinfrastruktur wirtschaftlich und sozial gewollt und förderlich ist.

Die hiesige Auslegung der zitierten BGH-Rechtsprechung ist naheliegend und wird auch von der Literatur soweit ersichtlich einhellig geteilt: „(…) verweist der Senat bei seiner Begründung, warum der beklagte (private) Anschlussinhaber schon bei Inbetriebnahme des WLAN-Netzes ausreichende Sicherungsmaßnahmen ergreifen muss, ausdrücklich darauf, dass bei diesem gerade kein Geschäftsmodell gefährdet sei. Diese Aussage kann so verstanden werden, dass im Umkehrschluss dann, wenn das Betreiben eines WLAN-Netzes zum Geschäftsmodell gehört, geringere Sicherungspflichten erforderlich sind. Diese Sicherungsmaßnahmen dürfen jedoch nicht so weit gehen, dass ein betriebenes Geschäftsmodell gefährdet wird. Das Betreiben eines WLAN-Netzes kann aber, etwa bei einem Internetcafé, wesentlicher Bestandteil eines Geschäftsmodells sein oder, wie bei einem Hotel, zu einem Geschäftsmodell gehören. Dies gilt umso mehr bei Firmen, die etwa auf ihrem Firmengelände ein WLAN-Netz betreiben, um so den Zugang zum Internet und eine vereinfachte Abwicklung der erforderlichen Geschäfte auf dem Firmengelände zu ermöglichen“ (Hervorhebung nicht im Original), vgl. nur Nenninger, NJW 2010, 2064f.  

Auch der BGH selbst verweist auf das „hoch zu bewertende berechtigte Interesse, über WLAN leicht und räumlich flexibel Zugang zum Internet zu erhalten”, BGH, NJW 2010, 2061ff

Selbst wenn man eine Anwendung von § 8 TMG auf Unterlassungsansprüche verneint, scheitert eine Haftung kommerzieller WLAN-Betreiber regelmäßig an der Unzumutbarkeit der Verhinderung weiterer Verstöße.

Nach § 88 Abs. 3 Satz 1 besteht ein striktes Kenntnisnahmeverbot. Der Inhalt und die näheren Umstände der Telekommunikation sind geschützt. Als Inhalt ist grundsätzlich alles geschützt, was während des jeweiligen Telekommunikationsvorgangs ausgesandt, übermittelt oder empfangen wird. Daher sind ebenfalls Nebenstellenanlagen in Betrieben, Behörden, Hotels und Krankenhäusern zur Wahrung des Fernmeldegeheimnisses verpflichtet, sobald sie ihre Telekommunikations-Anlage Dritten, z. B. auch den eigenen Mitarbeitern, zur privaten Nutzung zur Verfügung stellen.

 

Ein Problem, das ich in diesem Zusammenhang sehe ist, dass größere Unternehmen ihre internen Server in andere EU Länder (und vielleicht sogar weltweit) auslagern. Dafür spricht z.B. das zunehmende Angebot an Cloud Computing.

Wenn ich jetzt einmal beim EU-Ausland bleibe: Dan müßte der Grundsatz gelten, dass das deutsche BDSG und §88 TKG auf die aus Deutschland kommenden Daten weiter anwendbar ist. Mit anderen Worten, das Unternehmen muss dafür Sorge tragen, dass die Daten je nach Herkunftsland rechtlich unterschiedlich zu behandeln sind (Data Breach Notifications, Fernmeldegeheimnis, Haftung für Downloads). Nicht gerade einfach.

Wie stehen Sie zu dem Problem?

Zur Zustimmungsfiktion:

Bedenken scheinen doch angebracht. Der Arbeitgeber gerät gewissermaßen in Zugzwang, eine Regelung zur privaten Nutzung betrieblicher E-Mail-Systeme und Internetzugänge zu treffen. Fraglich erscheint, ob dies mit der Eigentumsgarantie des Art. 14 GG vereinbar wäre. Eine einschränkende gesetzliche Regelung würde wohl voraussetzen, dass sie vom öffentlichen Wohl erfordert wird. Dies könnte schon rein praktisch daran scheitern, dass die Mehrzahl der Beschäftigten über private Handys verfügt und diese Geräte zunehmend E-Mail- und Web-Nutzung ermöglichen.

Auch ist Rechtsunsicherheit zu befürchten, wenn private Nutzung pauschal als zulässig fingiert wird. Hier muss die betriebliche Nutzung doch weiterhin unbeeinträchtigt möglich sein. Dies erfordert betriebsspezifisch unterschiedliche Regelungen, die dann erst von den Gerichten zu klären wären.

Das Thema birgt außerdem noch manche Untiefen. Nutzt ein Arbeitnehmer das betriebliche E-Mail-System (zulässig) privat und legt er auf diesem eine Empfängerliste an, so ist wohl zu fragen, ob der Arbeitgeber nsoweit (als "andere Stelle") bei der Übermittlung der privaten E-Mails und Verwaltung dieser Liste Auftragsdatenverarbeitung als Dienstleister für den Arbeitnehmer durchführt. Muss der Mitarbeiter dann mit seinem Arbeitgeber einen schriftlichen Vertrag gemäß § 11 BDSG schließen und dessen Erfüllung kontrollieren ? Hat er Zugangs- und Kontrollrechte bezüglich der betrieblichen IT oder für die IT vom Arbeitgeber beauftragter Provider ?

 

 

Vielen Dank, Herr Koch. Eine Vereinbarung zwischen dem Mitarbeiter und dem Arbeitgeber/Betriebsrat zur privaten Nutzung ist sicher sinnvoll (dazu gibt es ja schon eine Reihe von Modellen (siehe z.B. MMR 2008, 514 ff.). Ob da §11 BDSG zum Zuge kommt, glaube ich eher. Der Mitarbeiter zahlt i.d.R. doch nicht für die private Nutzung - mir scheint das eher ein Annex zum Arbeitsverhältnis zu sein, keine Auftragsdatenverarbeitung.

Ich würde gerne wieder auf die grundsätzlich gestellte Frage zurück kommen.

An sich ist der Entwurf von BÜNDNIS90/DIE GRÜNEN schon erstaunlich orientiert an dem Grundsatz der Privatautonomie, der bei den mehr arbeitnehmerorientierten Positionen ansonsten ungewöhnlich ist. Ist der Abschluss einer Betriebsvereinbarung nicht möglich (weil es keinen Betriebsrat gibt oder weil man keine Einigung erzielen kann?) so soll der Arbeitgeber direkt mit dem Beschäftigten eine Vereinbarung treffen, andernfalls gilt die Fiktion der Erlaubnis der privaten Nutzung.

Wenn man das einmal in der Realität betrachtet, haben wir zur Zeit eine ganz ähnlich Praxis. Setzt man voraus, dass die private Nutzung nur dann gestattet werden sollte, wenn man sie mit einer Einwilligung des Beschäftigten in (stichprobenartige) Überprüfungen verbindet - alles andere ist für den Arbeitgeber ganz schlecht, daher ist ja nichts tun -> betriebliche Übung -> Duldung = Gestattung ohne Regelung so negativ für den Arbeitgeber -, ist das ja an sich eine Vereinbarung, bei der meistens auch Umfang und Voraussetzungen der Nutzung festgelegt werden, wenn auch das in der Regel durch Betriebsräte mit gesteuert wird. Die zur Zeit meist gebrauchte Lösung - nämlich nichts tun - endet meistens ebenfalls mit der Fiktion der Erlaubnis.

Problematisch ist aber die doch einseitige Verhandlungsmacht des Arbeitgebers gegenüber dem einzelnen Beschäftigten, was den BÜNDNIS90/DIE GRÜNEN wohl entgangen ist.

Mittlerweile sind die zahlreichen Änderungsempfehlungen der BR-Ausschüsse auch veröffentlicht:

http://www.bundesrat.de/SharedDocs/Drucksachen/2010/0501-600/535-2-10,templateId=raw,property=publicationFile.pdf/535-2-10.pdf

Ich darf zum Thema private Emailnutzung zitieren:

"Es erscheint sinnvoll, über die in § 32i BDSG-E vorgesehene berufliche oder dienstliche Nutzung von Telekommunikationsdiensten hinaus auch Regelungen über die Zulässigkeit und den Umfang der privaten Nut-zung dieser Dienste zu normieren. Dem Arbeitgeber sollte die gesetzli-che Verpflichtung auferlegt werden, in seinem Betrieb verbindliche Regelungen über Zulässigkeit und Umfang der privaten Nutzung zu treffen und diese den Beschäftigen im Betrieb allgemein zugänglich zu machen. Rechtsstreitigkeiten zwischen Arbeitgeber und Arbeitnehmer können so von vornherein verhindert werden."

Verpflichtung des Arbeitgebers...  Da Verstöße gegen Verpflichtungen aus BDSG Ordnungswidrigkeiten darstellen, scheint mir gewissermaßen ungerecht, wenn der Arbeitgeber dafür bezahlen muss, wenn er keine konkrete Regelung für die Nutzung betrieblicher IT-Einrichtungen zu privaten Zwecken getroffen hat.

Die Vereinbarung einer solchen Regelung könnte auch aus der allgemeinen Fürsorgepflicht des Arbeitgebers hergeleitet werden. Er ist gehalten, Entscheidungen, die den Arbeitnehmen betreffen, im billigem Ermessen zu treffen und dadurch auch die Rechte und die Interessen des Arbeitnehmers zu berücksichtigen.

Dafür wäre sinnvoll, wenn der Arbeitgeber die Zulässigkeit und den Umfang der privaten Nutzung in einer betriebsinternen Richtlinie niederlegt. Dies bleibt aber in der freien unternehmerischen Entscheidung des Arbeitgebers.

Ein Arbeitnehmer darf nicht davon ausgehen, ihm sei die private Nutzung erlaubt,  wenn keine Vereinbarung getroffen ist. Vielmeht sollte sich der Arbeitnehmer erkundigen, ob und in welchem Umfang er es darf.

Eine gesetzliche Pflicht des Arbeitgebers, deren Verstoß mit hohen Bußgeldern geahndet wird, finde ich als zu viel belastend für den Arbeitgeber.

 

Wieder ein sehr gutes Beipiel völlig unausgegorener Gesetzgebung.

"Wir wissen zwar nicht, was wir wollen und wie das geht aber das setzen wir mit aller Macht durch!"

 

Für ein völlig belangloses Ziel werden alle Unternehmen mit absolut überflüssigem bürokratischem Aufwand überzogen, ohne dass es überhaupt nur ein handhabbares Verfahren oder auch nur eine klare Rechtslage gibt.

Justiz als Selbstzweck.

Einen Aspekt das ich in viele Diskussionen zu diesem Thema meistens vermisse ist die Undurchsetzbarkeit (ohne unvertretbaren Aufwand) eines Verbots in der Praxis. Es ist schlicht nicht zu verhindern das z.B. einen externer Absender ein beliebige Email an einen Email Addresse verschicken kann, auch mit eindeutig unzulässigen Inhalt.  Aus eigene Erfahrung in einen internationaler Großkonzern weiß ich wie schwierig es ist Spam-Filtering effektiv zu implementieren und ich möchte (ausnahmsweise) nicht sagen wollen das die IT-Diensleister die für unseren Konzern diese Service anbieten nicht "State-of-the-Art" technische Mitteln einsetzen.  Genausowenig aussichtsreich ist dann die Realisierung wirksamer Regelungen im Betrieb die einen Einhaltung der Verbot privater Nützung gewährleisten ohne einen lückenloser Überwachung, was aber der Gebot der Verhältnismäßigkeit nicht entsprechen kann. Es besteht einen erheblichen Grauzone das m.E nicht zu meiden ist. Es kann nicht sein (und wird nicht von eine Belegschaft akzeptiert) das einen Einkommende Mail, das im Inbox landet und möglicherweise auch länger "unentdeckt" dort bleibt, zu arbeitsrechtlichen Sanktionen seitens der Arbeitnehmer, oder Haftung seitens der Betreiber führen kann.  Wie schwierig es wirklich ist "privates" vom "geschäftliches" zu unterscheiden ist einen Thema das auch in z.B E-Discovery nicht ohne Einzelfallbetrachtung der betroffene Dokumente zu lösen ist und zu erheblichen Aufwand und manuelle Redaktion in signifikanter Ausmaß idR führt.

 

Was aber für Experten schwierig ist, ist sicherlich unzumütbar für laien.

Kommentar hinzufügen