Internet & E-Mail im Betrieb: Datenschutzrechtliche Vorgaben  für Arbeitgeber und  bei der Gestaltung von Informationsangeboten Martin Hackemann Fachinformationszentrum Karlsruhe Vortrag am 12.03.2003 in Osnabrück Martin Hackemann 12.03.2003 1

Internet & E-Mail im Betrieb Gliederung Vorbemerkung Datenschutzrechtliche Vorgaben für die Internet- und E-Mail-Nutzung im Betrieb für die Gestaltung von Informationsangeboten im Internet Schlussbemerkung Vorbemerkung: Chancen und Risiken von Internet und E-Mail im Betrieb: Handlungsmöglichkeiten des Arbeitgebers Präsentation des Informations- und Produktangebotes im Netz: Worauf muss der Anbieter achten? Rechtliche Grundlagen: EU ist Motor der Rechtsentwicklung (Verbraucherschutz, Verschärfung von Verjährung, Gewährleistung, Datenschutz): EU-Richtlinien: Verbrauchsgüterkaufrichtlinie 1999/44/EG v. 25.05.1999 E-Commerce-RL 2000/31/EG v. 08.06.2000 BDSG 2001 (DS-RL 95/46/EG v. 24.10.1995) SMG 2001 und InfoV vom 05.08.2002 EGG 2001 (TDG, TDDSG) Im folgenden geht es um datenschutzrechtliche Aspekte der Internetdienste, und zwar um deren innerbetriebliche Nutzung und geschäftliches Angebot. Martin Hackemann 12.03.2003 2

M. Hackemann: Mitbestimmungsrechte des BR bei Leistungs- und Verhaltenskontrolle Einwilligung des BR ersetzt Zustimmung des Betroffenen: Betriebsvereinbarung ist Rechtsvorschrift im Sinne des BDSG und geht diesem vor (BAG Beschluss vom 27.05.1986). Das bedeutet, kollektivrechtliche Einwilligung ersetzt individuelle Einwilligung. Kollektivrechtliche Lösung bedeutet aber keine datenschutzrechtliche Willkür; zu beachten sind z.B. Prinzip der Zweckbestimmung, Direktionsrecht des Arbeitgebers. Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Betriebliche Vorgaben Internet & E-Mail = Arbeitsmittel Festlegung des Einsatzes durch den Arbeitgeber Zulassung ausschließlich dienstlicher oder auch privater Nutzung Unterrichtung der Mitarbeiter über die Grenzen der Nutzung Mitbestimmungsrechte des Betriebsrates bei Wahrung des Datenschutzes Mitbestimmungsrechte des Betriebsrates / Personalrates bei Leistungs- und Verhaltenskontrolle Von Bedeutung für weitere Betrachtung: Einwilligung des BR ersetzt Zustimmung des Betroffenen Betriebsvereinbarung ist Regelung im Sinne des BDSG, die diesem vorgeht (BAG-Beschluss v. 27.05.1986) Kollektivrechtliche Einwilligung ersetzt individuelle Einwilligung. Sie bedeutet aber nicht das Tor zu datenschutzrechtlicher Willkür! Zu beachten sind deshalb Grundlegende Datenschutzprinzipien, z.B. das der Zweckbindung bei automatischer Zeiterfassung Direktionsrecht des Arbeitgebers Martin Hackemann 12.03.2003 3

Private Nutzung im Betrieb - Pro & Contra Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Private Nutzung im Betrieb - Pro & Contra Pro Erlernung des Umgangs mit Internet & E-Mail Steigerung der Arbeitsmotivation Völliges Verbot privater Nutzung nicht durch-setzbar Contra Gefahr übermäßiger Ressourcen-belastung, z.B. beim Download umfangreicher Programme oder von MP3-Dateien Gefahr erheblicher Reduzierung der Arbeitszeit, z.B. beim Surfen Gefahr eines unkontrollierbaren Virenbefalls Mögliche lizenzrechtliche Probleme Gefahr unkontrollierten Virenbefalls, wenn Dateien lokal geöffnet werden Lizenzrechtliche Probleme, wenn Internetprogramme ohne erforderliche Lizensierung und ohne Wissen des AG heruntergeladen und dienstlich eingesetzt werden. Martin Hackemann 12.03.2003 4

Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Ausschließlich betriebliche Nutzung Arbeitgeber ist nicht Anbieter iSd TKG, TDDSG; diese Gesetze sind daher auch nicht anzuwenden, vgl. § 1 I 2 TDDSG (a) Prüfrecht des AG auf Einhaltung der Nutzungsgrenzen (b) bei Vertrauensstellung der Beschäftigten  strenge Anforderungen an Erforderlichkeit der Datennutzung In Betriebsvereinbarung sind Regelungen in Abweichung vom BDSG etc. zuungunsten des Betroffenen zulässig, soweit (a) Vorschriften nicht zwingend / bußgeldbewehrt und (b) grundlegende Datenschutzprinzipien eingehalten werden Protokolldatenaufzeichnung zur Datensicherung: Keine Verwendung für andere Zwecke zulässig. Kontrollrecht des AG von ein- und ausgehenden E-Mails Zur Datensicherheit Unterdrückung von E-Mail-Attachments (z.B. html-Seiten, *.exe-, *.com-, *zip-Dateien) zulässig Prüfrecht, aber nur Stichproben, Vollkontrolle wäre schwerwiegender Eingriff in Persönlichkeitsrecht und unverhältnismäßig Vollkontrolle bei konkretem Missbruchsverdacht im Einzelfall aber möglich Empfehlung: Betriebsvereinbarung mit Betriebsrat/Personalrat abschhließen Vertrauensstellung haben z.B. Sozialarbeiter, Psychologen, Ärzte. Vom Inhalt der Gespräche darf AG keine Kenntnis bekommen (BAG). AG darf Nutzungs- und Verbindungsdaten nur für Kostenkontrolle kontrollieren. Unabdingbar sind z.B. Rechte des Betroffenen nach § 6 BDSG (Auskunft, Berichtigung, Löschung, Sperrung) sowie die bußgeld bewehrten Pflichten, vgl. § 9 TDDSG; abdingbar z.B. technische Trennung zwischen dienstlicher und privater Nutzung, siehe Folie 6 Strenge Zweckbindung, wenn Protokolldaten über Nutzung nur zu Zwecken der Datensicherung, DS-Kontrolle oder zur Aufrechterhaltung des Betriebs aufgezeichnet werden: Keine Verwendung für Leistungs- und Verhaltenskontrolle AG darf ein- und ausgehende E-Mails wie sonstigen dienstlichen Schriftverkehr kontrollieren. Martin Hackemann 12.03.2003 5

Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Bei Zulassung (Duldung) privater Nutzung vorab zu klärende Punkte: Umfang der Ressourcenbereitstellung technische Trennung dienstl. u. privater Nutzung datenschutzrechtliche Anforderungen an private Nutzung Zeitlicher Umfang der zulässigen privaten Nutzung erlaubte Nutzungsarten (Surfen, Download etc.) Kostentragung steuerrechtl. Konsequenzen Lizenzierung von downgeloadeten Programmen Zur Bereitstellung der Ressourcen gehört z.B. auch die Verfügbarkeit der Rechnerkapazität. Zur technischen Trennung der privaten von der dienstlichen Nutzung: E-Mail Zugang über private Anbieter wie web.de, yahoo, hotmail.com; Problem Internet bleibt: Wenn nicht technisch sauber zwischen privater und dienstlicher Nutzung getrennt wird, unterliegen die durch dienstliche Nutzung anfallenden Daten gleichen Anforderungen wie bei privater Nutzung. Verzicht auf Trennung möglich, aber klare Regelung in Betriebsvereinbarung erforderlich. Wichtig: AN hierüber informieren! Folge: Ohne Einwilligung des AN kein Einblick des AG in Verlaufsverzeichnisse, Favoritenliste, URL-Liste. Zu den datenschutzrechtlichen Anforderungen der privaten Nutzung sogleich nächste Folie Nutzungsumfang: Maßvolle, geringfügige oder gelegentliche private Nutzung Zur Zeit keine steuerrechtlichen Konsequenzen in der Diskussion Zur Lösung lizenzrechtlicher Fragen: Programme dürfen nur mit vorheriger Einwilligung des Arbeitgebers heruntergeladen werden. Weiteres Problem: Zugang bei unvorhergesehener Krankheit des AN Lösungsmöglichkeit: AN benennt Vertrauensperson; falls nicht, können Systemadministratoren Einblick in Mailbox nehmen, aber nur auf aktuelle Neuzugänge. Beteiligung des DSB/Vertrauensperson (?). Martin Hackemann 12.03.2003 6

Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Bei Zulassung privater Nutzung gelten gegenüber AN datenschutzrechtliche Vorschriften für geschäftliches Angebot von Internetdiensten datenschutzrechtliche Pflichten des Anbieters nach TDDSG u. BDSG TKG, TDSV u.a. (werden nicht weiter vertieft; Ausnahme:) § 85 TKG: Fernmeldegeheimnis Informationspflichten des Anbieters siehe S. 9 Ziff. 2.2.2 Nr. 1-7 Aus dem TKG ergeben sich insbesondere Pflichten zur Wahrung des Fernmeldegeheimnisses, § 85 TKG, Abhörverbot, technische Schutzmaßnahmen sowie datenschutzrechtliche Pflichten, § 89 TKG. § 85 I: Gegenstand des Fernmeldegeheimnisses: Inhalt der TK und nähere Umstände, Beteiligte § 85 II: Adressat des Fernmeldegeheimnisses ist, wer geschäftsmäßig TK-Dienste erbri ngt oder daran mitwirkt. § 85 III: Inhalt des Fernmeldegeheimnisses ist Verbot, sich oder Dritten Kenntnis von Inhalt der TK oder näheren Umständen zu verschaffen; strenge Zweckbindung! Definition des AG: TKG § 3 Nr. 5: geschäftsmäßiges Erbringen von TK-Diensten = nachhaltiges Angebot von TK einschl. des Angebotes von Übertragungswegen mit oder ohne Gewinnerzielungsabsicht. Definition des AN: TKG § 3 Nr. 11: AN ist Nutzer (Nachfrager von TK-Dienstleistungen) bzw. Dritter (§ 3 Nr. 5) Technische Infrastruktur wird nicht erläutert, weil Teledienste / Mediendienste des AG/Anbieters Gegenstand sind. Martin Hackemann 12.03.2003 7

Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Anwendbarkeit des TDDSG, § 1 I 2 Anforderungen nach TDDSG bei privater Nutzung Einwilligung in die Nutzung der pb. Daten, § 3 III Vorabunterrichtung, § 4 I Widerrufsbelehrung, § 4 III Löschung der Zugriffsdaten nach Verbindungsende, § 4 IV Nutzung der Teledienste gegen Kenntnisnahme schützen Keine Aufhebung der Pseudonymisierung von Nutzerprofilen Unentgeltliche Auskunftserteilung, § 4 VII Zweckbindung bei Verarbeitung der Nutzungsdaten, § 6 I BV kann nicht alle datenschutzrechtlichen Probleme lösen, aber grundlegenden Datenschutzprinzipien Rechnung tragen. TDDSG ist nicht anwendbar, wenn Internet und E-Mail ausschließlich zu dienstlichen Zwecken eingesetzt werden dürfen, § 1 I 2 Nr. 1 TDDSG. Einwilligung kann nach § 4 II auch elektronisch erteilt werden. Vorabunterrichtung nach § 4 I erfolgt über Datenschutzhinweise (DS-Policy). Löschungspflichten bzgl. Verbindungsdaten, § 4 IV Nr. 2 TDDSG, können nicht erfüllt werden. Anbieter muss sicherstellen, dass die Daten gelöscht werden können. Löschung bedeutet aber u.U., dass Performanceprobleme nicht mehr nachvollzogen werden könnten. BV kann nicht heilen, nur die Risiken mindern. Zulässige Abweichung von Datenschutzrecht (siehe Folie 5 Ziff. 3). Nutzung gegen Kenntnisnahme schützen: z.B. sicherstellen, dass Dritte nicht Protokolldateien einsehen können, Systemadmins verpflichten. Pseudonymisierung: Anbieter darf Nutzerprofile für Zwecke der Marktforschung, Werbung oder marktgerechten Gestaltung der Teledienste herstellen, wenn er Nutzerdaten vorher pseudony-misiert. Er muss aber den Nutzer auf sein Widerspruchsrecht hinweisen, § 6 III TDDSG. Zweckbindung: Ohne Einwilligung dürfen Nutzungsdaten nur soweit verarbeitet werden, wie dies erforderlich ist, um Nutzung von Telediensten zu ermöglichen und abzurechnen, § 6 I TDDSG. Martin Hackemann 12.03.2003 8

Datenschutzrechtliche Aspekte für die Gestaltung von Informationsangeboten im Internet Einwilligung elektronische Einwilligung (§ 4 II TDDSG) nur durch eindeutige und bewusste Handlung des Benutzers Protokollierung der Einwilligung jederzeitige Abrufbarkeit Worauf ist sonst noch zu achten? (§ 4a I BDSG) Freiwilligkeit der Einwilligung besondere Hervorhebung bei mehreren Erklärungen Folgen bei Verweigerung der Einwilligung Vgl. Orientierungshilfe S. 17 zu Möglichkeiten der Umsetzung von § 4 II TDDSG Protokollierung der Einwilligung in der Praxis nicht gefunden. Für Abgabe der Einwilligungserklärung bedarf es eines gut sichtbaren Buttons. Soweit im Einzelfall erforderlich oder auf Verlangen ist Nutzer auf die Folgen der Verweigerung der Einwilligung hinzuweisen, § 4a I 2 BDSG. Martin Hackemann 12.03.2003 9

Datenschutzrechtliche Aspekte bei Internet- und E-Mail-Nutzung im Betrieb Regelungspunkte einer BV (nicht abschließend): Zugang für die (alle) Mitarbeiter Sicherung des Persönlichkeitsschutzes der AN Wahrung der AG-Interessen an IT-Systemen E-Mail-Nutzung durch AN Einbeziehung der Internet-Dienstanweisung des AG mit Festlegung der zulässigen Nutzung durch AN Regelung bei Verstößen der AN gegen Dienstanweisung Untersagung von Gesetzesverstößen der AN (z.B. gegen StGB, DS-Gesetze, UrhG) Verarbeitung von Log-Dateien Rechte des BR ggb. AG Wahrung der AG-Interessen an Funktion und Betriebsbereitschaft der IT-Systeme E-Mail Nutzung, siehe § 5 BV Internet: Personaldaten sollen nicht per E-Mail extern übermittelt werden. Jeder AN kann sich persönlichen Ordner anlegen. Dem AG ist Zugang zu dienstlichen E-Mails zu gewähren. Einbeziehung von Dienstanweisung des AG zu Internet- und E-Mail-Nutzung durch AN in BV; Regelung der Do´s und Don´ts Hinweis auf kostenlose E-Mail-Dienst Verwendung der Log-Dateien / Protokolldaten nur für die in BV festgelegten Zwecke. Gesetzesverstöße werden untersagt, u.a. gegen StGB, UrhG, Datenschutzgesetze, BGB Verstöße gegen Dienstanweisung beinhalten gleichzeitig Verletzung der Arbeitspflichten. Martin Hackemann 12.03.2003 10

Internet & E-Mail im Betrieb Gliederung Vorbemerkung Datenschutzrechtliche Vorgaben für die Internet- und E-Mail-Nutzung im Betrieb für die Gestaltung von Informationsangeboten im Internet Schlussbemerkung Welche datenschutzrechtliche Vorgaben muss AG beachten, wenn er Informationsangebot ins Internet stellt? Martin Hackemann 12.03.2003 11

Datenschutzrechtliche Aspekte für die Gestaltung von Informationsangeboten im Internet Ziel der Informationspflichten: Transparenz der Datenverarbeitung Verbesserung des Rechtsschutzes des Betroffenen Um welche Daten geht es? Bestandsdaten (Vertragsdaten) Nutzungsdaten (Nutzung und Abrechnung des Teledienstes) Inhaltsdaten (Gegenstand der Datenverarbeitung) Anforderungen an Transparenz und Verständlichkeit sind hoch, OLG Karlsruhe 27.03.2002 zu 312c BGB, § 1 Nr, 1-3 InfV; Fernabsatz): Datenschutzhinweise müssen leicht auffindbar sein, nicht versteckt über mehrere Mausklicks. Definition Bestandsdaten, § 5 1 TDDSG: Daten des Nutzers für Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses über Nutzung von Telediensten Definition Nutzungsdaten, § 6 I TDDSG: Daten des Nutzers, die erforderlich sind um Inanspruchnahme von Telediensten zu ermöglichen und abzurechnen. Martin Hackemann 12.03.2003 12

Datenschutzrechtliche Aspekte für die Gestaltung von Informationsangeboten im Internet Wann und wie muss unterrichtet werden? (4 I TDDSG) Grundsätzlich vor der jeweiligen Sitzung mit gut sichtbarem Link auf der Eingangsseite Worüber muss unterrichtet werden? (§ 4 TDDSG, §§ 4 III, 4e, 19a I, 28 IV, 33 I BDSG) Anbieterkennzeichnung Art, Umfang, Zweck der Datenverarbeitung Empfänger, sofern nicht bereits bekannt / erkennbar Verwendung von Cookies Weitervermittlung zu anderem Anbieter Widerspruchsrecht bei Werbung, Marktforschung Verfahrensverzeichnis (optional/auf Anfrage) Kenntlichmachung der Weitervermittlung durch Kennzeichnung des Links mit „[extern]“ Zwischenseite, die das Verlassen des Anbieterangebotes und die Weitervermittlung zu anderem Anbieter anzeigt. Hinweis, dass Angebot des externen Anbieters unter eigener URL in eigenem Fenster geöffnet wird. Verfahrensverzeichnis muss nicht ins Internet gestellt werden. Es muss lediglich auf Anfrage verfügbar gehalten werden, § 4g II 2 BDSG. Widerspruchsrecht nach § 28 IV BDSG gegen Nutzung der Nutzerdaten für Werbung, Markt- oder Meinungsforschung und nach § 6 III TDDSG gegen Nutzung der Nutzerdaten unter Pseudonym für Werbung, Marktforschung oder bedarfsgerechten Gestaltung der Teledienste Martin Hackemann 12.03.2003 13

Datenschutzrechtliche Aspekte für die Gestaltung von Informationsangeboten im Internet Aufbau einer Datenschutz-Policy: Information über die zu erhebenden Nutzerdaten Hinweis auf Beachtung der Zweckbindung Bei Übermittlung von Nutzerdaten: Nennung der Empfängerkategorien Hinweis auf Verpflichtung der eigenen AN zur Vertraulichkeit Datensicherung: Hinweis auf fortlaufende Weiterentwicklung Cookies Auskunftsrecht des Nutzers Berichtigungsanspruch des Nutzers Widerspruchsrecht des Nutzers bei Marketingmaßnahmen Kontakt Verfahrensverzeichnis Auf Beachtung der Zweckbindung (keine Übermittlung an Dritte, nur interne zweckgebundene Nutzung) ist hinzuweisen Datensicherung: Hinweis z.B. auch auf Sicherheit durch Verwendung von SSL-Verschlüsselung; Wahlrecht des Nutzers bzgl. SSL-Verschlüsselunng Zu Cookies: Muster bei amazon.de Widerspruchsrecht: Hinweis auf Recht nach § 28 IV BDSG und § 6 III TDDSG (siehe Folie 12) Martin Hackemann 12.03.2003 14

Teledienste - Mediendienste Teledienste, § 2 II TDG: E-Mail Datendienste, Wetter-, Börsendaten Electronic banking, elektron. Fahrplanauskünfte Mediendienste, § 2 I, II MDStV: Fachartikel (z.B. Volltextservice) Abrufdienste über Waren- oder Dienstleistungsangebot in redaktionell aufbereiteter Form Weitgehende inhaltsgleiche Regelung von Tele- und Mediendiensten Zu Mediendiensten vgl. Orientierungshilfe S. 6: Redaktionell bearbeitete Newsletter Unternehmenspräsentationen Angebote von Tageszeitungen, Zeitschriften Martin Hackemann 12.03.2003 15

Informationspflichten bei Telediensten Der Anbieter muss nach § 6 TDG / § 10 II MDStV angeben: Name und Anschrift (bei GmbH, AG, Stiftung, Anstalt etc.: Vertreter) E-Mail, Telefon (für schnelle elektron. Kontaktauf-nahme) Aufsichtsbehörde, falls behördliche Zulassung der Tätigkeit erforderlich (z.B. Gewerbeaufsichtsamt) Öffentl. Register und Register-Nr. (z.B. Handelsregister-Nr., Vereinsregister-Nr. o.ä. ) Berufsrechtl. Regelungen (zuständige Kammer/Behörde) Umsatzsteuer-ID-Nr. nach § 27a UStG Info-Pflichten gelten für jeden Diensteanbieter, unabhängig davon, ob er privatrechtlicher Unternehmer oder juristische Person des öffentlichen Rechts ist. Diensteanbieter ist jede natürliche oder juristische Person, die eigene oder fremde Teledienste zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt, § 3 Nr. 1 TDG. Angebote Privater sind keine Teledienste iSv § 2 II TDG, möglicherweise aber Mediendienste nach § 2 II Nr. 4 MDStV. Bußgeld beträgt 50.000 €. Problem sind die Abmahnvereine, siehe Strömer „Selbsternannte Abmahnvereine“. Sofern kein Wettbewerbsverstoß feststellbar, insbesondere bei Privaten, kann Abmahnung zurückgewiesen werden. Nach LG Düssseldorf ist Verstoß gegen Ordnungsvorschrift u.U. wettbewerbsneutral, z.B. Anbieterkennzeichnung. Eventuellen Verstoß sollte man aber heilen. Immer prüfen, ob Abmahnender überhaupt zur Abmahnung berechtigt ist. Martin Hackemann 12.03.2003 16

Schlussbemerkung I Internet und E-Mail im Betrieb: Der Eindruck, dass die datenschutzrechtlichen Vorschriften vor allem einen funktionierenden Betriebsablauf erschweren, trifft nur bedingt zu: Bei Beachtung zentraler DS-Prinzipien sind auch Regelungen zuungunsten der betroffenen AN zulässig, soweit nicht von zwingenden / bußgeldbewehrten DS-Vorschriften abgewichen wird. Empfehlenswert ist vor diesem Hintergrund der Abschluss einer Betriebsvereinbarung. Martin Hackemann 12.03.2003 17

Schlussbemerkung II Internet und E-Mail im geschäftlichen Bereich: Anbieter hat Fülle von datenschutzrechtlichen Informationspflichten zu beachten Entscheidend: Transparenz der Datenverarbeitung für Nutzer und Leicht zugängliche und umfassende Information des Kunden z.B. durch Datenschutzhinweise die Verletzung datenschutzrechtlicher Informationspflichten ist bußgeldbewehrt; Abmahnvereine haben aber derzeit vor allem Verletzung der Impressumspflichten im Blick. Arbeitnehmerdatenschutzgesetz ist zur Klarstellung ungelöster Fragen dringend erforderlich. Nutzer muss wissen, wie ein Vertrag zustande kommt und was ihn im Falle des Vertragsabschlusses erwartet. Verarbeitung bezieht sich auf Speicherung, Übermittlung und Löschung Aufklärung über Vertragsbedingungen folgt aus §§ 312b ff. BGB und §§ 1, 3 InfoV Martin Hackemann 12.03.2003 18

Vielen Dank für Ihr Interesse! Martin Hackemann 12.03.2003 19