Datenschutz: Videoüberwachung am Arbeitsplatz

CCTV monitoring security cameras.

Videoüberwachung ist ein Thema, das Datenschützer seit Langem beschäftigt. In der Vergangenheit liefen die Wächter unserer persönlichen Angaben Sturm gegen die laxe Handhabung der bestehenden Datenschutzbestimmungen. Privatpersonen installierten Kameras mit Blick auf die Straße, Unternehmen überwachten ihre Angestellten ohne deren Wissen.

Die Einführung der neuen Datenschutz-Grundverordnung (DSGVO) in den Ländern der Europäischen Union (EU) sowie die Anpassung des Bundesdatenschutzgesetzes (BDSG) am 25.05.2018 verschärften die bis dato existierenden Datenschutzrichtlinien deutlich.

Am 04. Mai 2017 trat mit der Bekanntgabe im Bundesgesetzblatt das am 28. April 2017 verabschiedete „Gesetz zur Änderung des Bundesdatenschutzgesetzes – Erhöhung der Sicherheit in öffentlich zugänglichen großflächigen Anlagen und im öffentlichen Personenverkehr durch optisch-elektronische Einrichtungen (Videoüberwachungsverbesserungsgesetz)“ in Kraft. Dieser in der Öffentlichkeit kaum bekannte Erlass löste das alte Videoüberwachungsgesetz ab. Die Änderungen stellten eine Ergänzung des § 6b Bundesdatenschutzgesetz (BDSG-alt) dar. Auslöser waren der Amoklauf eines 18-Jährigen in München und das Attentat in Ansbach im Jahr 2016.

Der Gesetzgeber begründete die Novellierung mit der präventiven Erhöhung der Sicherheit der Bevölkerung durch die Videoüberwachung öffentlich zugänglicher Orte. Zudem erhielten sowohl Polizei als auch Staatsanwaltschaft ein wirksames Instrument für die Ermittlungsarbeit. Damit vollzog der Gesetzgeber eine Abwägungsentscheidung zwischen schutzwürdigem Interesse am eigenen Bild von Betroffenen und dem berechtigten Interesse Betreiber öffentlicher Anlagen.

 

Bereits § 6b BDSG (alt) würdigte das Recht am eigenen Bild. Videoüberwachung war nur aus besonders wichtigen Gründen möglich. In Abs. 1 hieß es: „Bei der Videoüberwachung von:

  1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
  2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs

gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“

Der alte Paragraf 6b BDSG „Videoüberwachung öffentlich zugänglicher Räume“ wurde mit Inkrafttreten des Bundesdatenschutzgesetzes (neu) am 25. Mai 2018 durch den § 4 „Videoüberwachung öffentlich zugänglicher Räume“ ersetzt. Die Verordnung beinhaltet nun auch eine Regelung für das Filmen privater Bereiche.

Erlauben das neue BDSG und die DSGVO eine Videoüberwachung am Arbeitsplatz?

Jeder Arbeitgeber stellt nur dann einen Mitarbeiter ein, wenn dieser die ihm zugewiesenen Aufgaben nach bestem Wissen und Gewissen erfüllt. So überrascht es nicht, dass viele Unternehmen sich mithilfe einer Videoüberwachung vor schlechten Leistungen sowie Unregelmäßigkeiten und Diebstahl schützen möchten. Einem Teil der Angestellten ist dabei nicht bewusst, dass bereits jede Rolle Tesa oder jeder Kugelschreiber, der in der eigenen Tasche verschwindet, den Tatbestand der Unterschlagung erfüllen kann.

Dennoch ist eine Videoüberwachung am Arbeitsplatz nicht ganz so einfach wie oftmals in der Führungsetage angenommen. Es sind dafür zahlreiche gesetzliche Bestimmungen einzuhalten. Welche Regeln greifen, hängt unter anderem davon ab, ob es sich um einen öffentlich zugänglichen Arbeitsplatz handelt oder nicht. Erlaubt der Gesetzgeber die Überwachung, muss das Unternehmen nicht selbst tätig werden, sondern kann den Auftrag an Dritte übergeben.

Wann ist Videoüberwachung an öffentlichen Arbeitsplätzen gestattet?

Das Bundesdatenschutzgesetz (neu) führt in § 4 Abs. 1 „Videoüberwachung öffentlich zugänglicher Räume“ aus, dass „die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig ist, soweit sie zur

  • Aufgabenerfüllung öffentlicher Stellen,
  • Wahrnehmung des Hausrechts oder
  • Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Bei der Videoüberwachung von

  • öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
  • Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs

gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“ Das bedeutet für Arbeitnehmer, die in öffentlich zugängigen Räumen tätig sind, dass ihr Arbeitsplatz per Video überwacht werden darf. Allerdings fügt § 4 Abs. 2 BDSG hinzu, dass diese Überwachung für jeden Anwesenden deutlich sichtbar gekennzeichnet und der Verantwortliche genannt sein muss. Die geforderte Kennzeichnung erfolgt in der Regel mithilfe eines Hinweisschilds auf Videoüberwachung. Zudem sagt der Gesetzgeber, dass die Daten der Aufnahmen nicht langfristig gespeichert werden dürfen, sondern schnellstmöglich gelöscht werden müssen. Es ist verboten, aus den Aufnahmen gewonnene Erkenntnisse gegen Mitarbeiter zu verwenden. Allgemein gelten folgende Räume als öffentlich:

  • Bibliotheken
  • Geschäftsräume, Verkaufsflächen von Einzelhandel, Großhandel sowie Supermärkten und Ähnlichem
  • Kundenparkplätze
  • Öffentlich zugängliche Zufahrten zu Unternehmensgrundstücken
  • Parkhäuser
  • Tankstellen

In nicht öffentlich zugänglichen Räumen ist Videoüberwachung nur in Ausnahmefällen zulässig

Anders sieht es innerhalb von geschlossenen, der Öffentlichkeit nicht zugänglichen Räumen aus. Hier kann der Arbeitgeber den Bereich nur als besondere Ausnahme per Video überwachen. Dafür muss ein berechtigtes Interesse bestehen, zum Beispiel beim Verdacht auf eine Straftat. Auch stichprobenartige Kontrollen der Mitarbeiter per Videoüberwachung schließt der Gesetzgeber aus. Das deutsche Recht gestattet selbst bei Zustimmung des Mitarbeiters keine permanente oder länger andauernde Kontrolle ohne konkreten Anlass. Ausgeschlossen von Filmaufnahmen sind grundsätzlich und ohne Ausnahme folgende Räume:

  • Foyer
  • Pausenräume
  • Sanitärräume
  • Schlafräume
  • Toiletten
  • Umkleideräume

Die Bereiche gehören zum höchstpersönlichen Lebensbereich. Hier verhalten sich Mitarbeiter in der Regel überwiegend privat.

Videoüberwachung: Worauf ist beim Datenschutz zu achten?

Vor Einsatz der Kamera sind die Interessen des Unternehmens den Persönlichkeitsrechten der Betroffenen gegenüberzustellen. Wurden alle zur Verfügung stehenden Mittel bereits ausgeschöpft, handelt es sich bei der Videoüberwachung also um die letzte Möglichkeit, kann die Überwachung für einen begrenzten Zeitraum stattfinden. Nur unter diesen Voraussetzungen sind Mitschnitte bei Gericht als Beweis zulässig. Ansonsten ist eine heimliche Videoüberwachung unzulässig und auch strafbar. Der Arbeitgeber muss zudem darauf achten, dass seine Filme aus reinem Bildmaterial bestehen. Wirkt der Datenschutz bei Videoüberwachung schon streng, stellt er bei Tonaufnahmen ohne explizite Zustimmung der Betroffenen ein absolutes Tabu dar. Hält sich der Aufzeichnende nicht an Schutz des gesprochenen Wortes, muss er mit hohen Geldbußen oder Freiheitsstrafen rechnen.

Gibt es einen Betriebsrat, gesteht ihm der Gesetzgeber bei einer Mitarbeiterüberwachung Mitbestimmungsrecht zu. Das Betriebsverfassungsgesetz (Betr.VG) bestimmt in § 87 „Mitbestimmungsrecht“ ausdrücklich: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: … 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; …“. Das heißt, der Betriebsrat muss informiert und mit ihm eine Betriebsvereinbarung geschlossen werden. Es handelt sich dabei um einen zum Tarifvertrag nachrangigen Vertrag. Normalerweise ist darin konkret niedergelegt, welcher Kameratyp zu welchem Zweck über welchen Zeitraum welche Person(en) überwacht. Betriebsrat und Geschäftsführung einigen sich normalerweise darüber, welche Elemente als wesentlich anzusehen sind und welche nicht.

Die Folgen und Strafen einer heimlichen Videoüberwachung

Den Arbeitgeber erwarten hohe Strafen, wenn er Mitarbeiter ohne deren Wissen und Einverständnis beziehungsweise ohne Grund oder ohne die Beachtung der rechtlichen Vorgaben per Video überwacht. Kommt es aufgrund einer unerlaubten Kontrolle zu einer Kündigung, entschied das Bundesarbeitsgericht in der Vergangenheit, dass diese Entlassungen unwirksam sind. Besonders sensibel reagieren die Richter auf Audioaufnahmen im Rahmen von Videoüberwachungen. Der Verstoß gegen die Vertraulichkeit des Worts wird mit Geldstrafen oder Freiheitsstrafen bis zu drei Jahren geahndet. Handelt es sich um Amtsträger wie Richter oder Beamte, kann die Strafe bis zu fünf Jahren betragen.

 

Schrems II Urteil des EuGH (Update)

EuGH Urteil (Update)

Wir möchte aus gegebenen Anlass an dieser Stelle noch einmal die Einschätzung renomierter Juristen zum diesem Thema weitergeben und darauf hinweisen, das die Kommision keine Schonfrist zur Umsetzung eingeräumt hat.

Einschätzung von Christian Solmecke

„Die Beantwortung der Fragen kann weitreichende Konsequenzen haben – und zwar für jedes Unternehmen welches mit EU-Daten umgeht und nicht ausschließlich auf eine eigene interne Infrastruktur zugreift. Gut möglich, dass wir nach einem Urteil über die Übermittlung von Daten in Drittstaaten, insbesondere in die USA, grundlegend neu nachdenken müssen. Denn sollte der EuGH zu dem Ergebnis gelangen, dass derzeit weder das EU-US Privacy Shield noch die sog. Standardvertragsklauseln (Model Clauses) personenbezogene Daten aus der EU hinreichend schützen, bedarf es grundsätzlicher Änderung. 

Dem EU-US Privacy Shield könnte somit dasselbe Schicksal wie seinerzeit „Safe Harbor“ drohen. Schließlich leidet das Privacy Shield meiner Ansicht nach weiterhin an nahezu identischen Schwachstellen wie der bereits gekippte „Safe Harbor“. Entscheidet der EuGH, dass EU-Datenschutzrecht und US-Recht unvereinbar sind, dann muss er konsequenterweise sowohl das EU-US-Privacy Shield als auch die Model Clauses kippen und für ungültig erklären.

Unternehmen müssten dann einen Datentransfer in die USA entweder erneut auf eine andere Basis stellen oder es muss sogar – zumindest vorübergehend – ganz auf einen Datentransfer in die USA verzichtet werden. 

Da heute nahezu jedes Unternehmen Kundendaten in ein Drittland transferiert, wären diese Datentransfers auf einen Schlag rechtswidrig. Führt man sich vor Augen, dass gemäß Art. 83 DSGVO bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, hat der Ausgang des Verfahrens einen enormen Stellenwert.“ 

Christian SolmeckeRechtsanwalt und Partner bei WILDE BEUGER SOLMECKE

 

Datentransfer in die USA: Europäischer Gerichtshof kippt auch das EU-US- Privacy-Shield

Datentransfer in die USA: Europäischer Gerichtshof kippt auch das EU-US-Privacy-Shield

Ein wichtiges Urteil, zumindest für diejenigen, die Daten zwischen Europa und den USA austauschen sorgt nun für viel Wirbel.
Der EuGH sagt: Ein Datentransfer auf Grundlage der europäisch-amerikanischen Datenschutzvereinbarung (Privacy-Shield) ist nicht mit dem Datenschutz in der EU vereinbar. Das entschied vor kurzem der Europäische Gerichtshof (EuGH). Standardvertragsklauseln hält das Gericht allerdings für gültig. Das Urteil stellt viele Unternehmen vor die Herausforderung, ihre Datenströme nun sicher und rechtskonform zu gestalten
(Az. C-311/18)

Zwölf Fragen und Antworten

Der EDSA hat die wichtigsten Fragen zum Datentransfer in Länder außerhalb der EU gesammelt und eine Liste mit den zwölf wichtigsten Fragen und Antworten (PDF) veröffentlicht.

Aktuelles Urteil des BGH – Aktives Ja zu Cookies muss sein

Gavel, scales of justice and law books

Neues BGH Urteil

Aktives Ja zu Cookies muss sein

Internet-Cookies sammeln Nutzerdaten. Oft ist die Erlaubnis dazu voreingestellt, doch das darf nicht sein, hat der Bundesgerichtshof entschieden. Die Nutzer müssten aktiv ankreuzen, wenn sie einverstanden seien.

Gavel, scales of justice and law books

Wer auf Internetseiten Cookies setzen will, mit denen ein Anbieter das Verhalten des Nutzers im Internet erfasst, ein Nutzerprofil von ihm erstellt und ihm dann darauf abgestimmte Werbung zusendet, der braucht in jedem Fall die aktive Zustimmung des Nutzers. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.

Das entschied der Bundesgerichtshof (BGH) in einer Klage gegen einen Gewinnspielanbieter. Eine Gewinnspielseite enthielt ein Kästchen, das bereits mit einem Häkchen versehen war. Dadurch stimmte der Internetnutzer dem Setzen von Cookies zu Werbezwecken automatisch zu so der BGH.

Mitarbeiter sicher ins Homeoffice verlagern

Man sitting at desk working from home on computer

Mitarbeiter sicher ins Homeoffice verlagern

Durch die Covid19 Krise werden Unternehmer immer wieder vor neue Herausforderungen gestellt. Dabei stellt sich unter anderem auch die Frage wie gewährleiste ich, dass meine Mitarbeiter im Homeoffice halbwegs sicher arbeiten können. Wer den völligen Stillstand in seinem Unternehmen verhindern möchte, dem sei es anzuraten sich mit dieser Thematik zu beschäftigen. Es sei allerdings vorab angemerkt: Ohne entsprechenden Aufwand und auch finanzielle Mittel läßt sich das nicht umsetzen.

Wir werden versuchen Ihnen Ansätze zur Umsetzung dieser Thematik zu vermitteln.

Office workplace with keyboard, notepad, glasses and pen

1. Vorbereitung und Abstimmung mit den Mitarbeitern

Zunächst ist eine Abstimmung mit den Mitarbeitern hinsichtlich Home Office als Arbeitsort erforderlich. Sie haben noch keine Regelung zum Home Office, keine Bange, sprechen Sie mit Ihren Mitarbeitern und erklären Ihnen, dass:
– die Arbeit von zu Hause/ aus dem Home Office, ab sofort erlaubt ist 
– sich die Regeln nach den IT- und Datenschutzrichtlinien für das Home Office richten (dazu unter 5. mehr) 

Eine Absprache mit den Mitarbeitern ist als „Dringend nötig!“ Wenn im Arbeitsvertrag des Mitarbeiters/der Mitarbeiterin das Büro als Arbeitsplatz festgelegt ist, können Sie diese nicht einfach ins Home Office schicken. In der aktuellen Lage werden die Mitarbeiter sich vermutlich freuen die Möglichkeit zu haben von zu Hause aus zu arbeiten. Durch die Unterzeichnung der IT– und Datenschutzrichtlinien (mehr dazu bei 5.) für das Home Office, können Sie die Zustimmung zur Arbeit von zu Hause einholen. 

2. Abstimmung mit den Mitarbeitern hinsichtlich der Nutzung ihrer eigenen Hardware dem Grunde nach 

Sie können Ihre Mitarbeiter*innen nicht anweisen Ihre privaten Geräte für die Arbeit zu gebrauchen. Deswegen stimmen Sie sich mit Ihnen ab. Auch hier werden Ihre Mitarbeiter*innen, angesichts der aktuellen Lage, im Zweifel bereit sein, Ihre privaten Geräte zu nutzen (und wenn auch nur bis Arbeitsgeräte an geschaffen wurden), um im Home Office arbeiten zu können und dadurch sich und andere zu schützen. 

Aus Gründen des Datenschutzes und der Datensicherheit ist es wichtig, passende IT- und Datenschutzrichtlinien für das Home Office zu vereinbaren, die die Mitarbeiter auf Pflichten zum Datenschutz und der IT- Sicherheit, wenn Sie Ihre eigenen Geräte dienstlich nutzen. Deswegen müssen Sie die folgenden Aufwendungen aufbringen. 

3.  Sichere Kommunikation und Ablage der Daten
VPN-Tunnel oder Zur Verfügungstellung einer sicheren Cloud-Lösung (inkl. Backup-Funktionen) 

Natürlich müssen die Mitarbeiter*innen weiterhin an Ihre Arbeitsdokumente herankommen und diese nach Bearbeitung auch sicher ablegen können.  

1. Möglichkeit: Einrichtung eines „Virtuell-Private-Networks“ – VPN 

Vereinfacht, es wird ein privates, geschütztes Netzwerk geschaffen, wodurch Ihre Mitarbeiter von zu Hause aus auf den Server der Firmer zugreifen können. Um dies zu ermöglichen müssen VPN-Zugänge/Schnittstellen auf dem Firmenserver eingerichtet sein, oder eingerichtet werden. Den Mitarbeiter*innen muss nun die VPN-Einstellung mitgeteilt und das VPN auf Ihrem Laptop eingerichtet werden. Wenn Sie selbst nicht über hinreichende IT-Kenntnisse verfügen und zurzeit auch nicht auf hinreichenden IT-Support zurückgreifen können, gibt es noch eine weitere Lösung. 

2. Möglichkeit: Sicherer Cloudanbieter mit automatischen Backup-Funktion 

Wenn Sie sich nun Sorge bei der Bezeichnung Cloud haben, Ihr Server ist auch eine Art Cloud – ein Server, auf den Ihre Mitarbeiter*innen zugreifen. Und vermutlich ist dieser nicht so gut gesichert wie die Server und Cloudlösungen, die nun vorgestellt werden. Hier werden exemplarisch nur ein paar genannt, um den Rahmen nicht zu sprengen. Zwei Anbieter bieten Ihnen Cloud-Services zur Speicherung von Daten, Backups, sowie einfache Lösungsmöglichkeiten zum sicheren Versenden von Daten an Firmenexterne/Dritte und kollaborativen Zugriff auf diese Dateien mit Berechtigungskonzepten, diese sind Dracoon und Teamdrive. Der Vorteil dieser ist, dass sie die Daten sowohl beim Hoch- wie auch Runterladen Ende-zu-Ende verschlüsselt sind. Der Schlüssel liegt nicht bei den Anbietern, sondern nur bei Ihnen, somit können nur Sie auf die Dateien zugreifen. Beide arbeiten DSGVO-konform (mit European Privacy Seal) und sind ISO-zertifiziert. OneDrive, G-Suite und Dropbox Pro bieten Ihnen das nicht. Die Einrichtung ist einfach und von jedem umsetzbar. Ihr Unternehmen muss nur den Client herunterladen (Webanwendung kann auch genutzt werden), Schlüssel gemäß der Anwendung erstellen und die Speicherplätze mit der Anwendung verbinden. Danach werden die Mitarbeiter*innen in die Anwendung bzw. den Speicherplatz eingeladen, die Zugriffsrechte können dezidiert vergeben werden, was bedeutet jede/r Mitarbeiter*in kann zu bestimmten Speicherplätzen eingeladen werden und zu anderen nicht. Außerdem können diese Zugriffe noch konfiguriert werden – z.B. nur Lesen, Lesen&Schreiben, Lesen&Schreiben&Löschen. Sobald die Verbindung erfolgt ist, sehen die Mitarbeiter*innen dies auf Ihren Computern und können auf die Speicherplätze zugreifen. Für die Mitarbeiter*innen ist die Installation auch einfach. 

Wir empfehlen die Cloud-Lösung. Sie ist einfacher und geht schneller als das Einrichten eines VPN. Außerdem haben Sie ein vernünftiges Backup und die Möglichkeit Berechtigungskonzepte ein- und umzusetzen. Das Löschen von Daten obliegt weiterhin nur Ihnen und Sie können jeder Zeit die Verbindung auf dem Heimcomputern Ihrer Mitarbeiter*innen trennen.  

Diese Lösung ist sinnvoll, vor allem wenn bisher keine Infrastruktur besteht. 

4. E-Mail 

Wir gehen heute davon aus, dass nahezu jeder E-Mailanbieter ein Webinterface für die Nutzung von E-Mails bereitstellt. Nahezu alle gängigen Lösungen wie zum Beispiel Exchange von Microsoft. Falls diese Methode in ihrem Unternehmen nicht genutzt wird, so sollte ich die Aktivierung des Webinterfaces jedoch durch einen Klärung mit dem Anbieter auch nachträglich freischalten lassen. Nahezu in jedem fall lassen sich auch bei eigenenen Firmendomains die Mails über IMAP oder POP abrufen. Im Optimalfall haben Ihre Mitarbeiter*innen schon die Möglichkeit sich per Weboberfläche auf Ihr Postfach zuzugreifen. Also geben Sie die Anweisungen den Webaccess zu nutzen. Verbieten Sie den Download der E-Mails auf den privaten Computern z.B. durch das Einrichten des E-Mail Accounts im eigenem Outlook, denn dadurch haben Sie keine Kontrolle mehr über die heruntergeladenen E-Mails.  

5. Knackige IT- und Datenschutzrichtlinie für Home Office und B-/UYOD 

BYOD – bring your own device 

Wenn Sie später keine Probleme im Bereich IT-Sicherheit und Datenschutz bekommen wollen, sollten Sie sich an diese Regeln für eine IT- und Datenschutzrichtlinie orientieren, da Sie damit die Sicherungsmaßnahmen dokumentieren (organisatorische Maßnahmen i.S.v. Art. 32 DSGVO). 

a. Regelung zum Home Office an sich 

Sie müssen sicherstellen, dass das Home Office gemäß den folgenden Regelungen gestattet ist, auch wenn der Arbeitsvertrag bisher vorsah, dass Ihre Mitarbeiter*innen ausschließlich im Büro/in der Firma arbeiten. 

b. Regelung zu UYOD – Verpflichtung, das Device umgehend zu sichern (neueste Updates, Virenschutz), Kosten 

Der Gebrauch der privaten Endgeräte für dienstliche Tätigkeiten muss geregelt werden, dazu müssen Ihre Mitarbeiter*innen sich verpflichten: 
die Software des Geräts auf dem neusten Stand zu halten  

  • Systemupdates herunterladen/installieren 
  • auch die des Virenschutzprogrammes 
  • Systemeinstellungen zu überprüfen und die datenschutzfreundlichste Einstellung einzustellen (z.B. Ausschalten von Cortana und ähnlichen) 

Geben Sie dazu Hinweise, wie das umzusetzen ist. Wenn einer Ihrer Mitarbeiter*innen über keinen Internetzugang bzw. nur einen eingeschränkten in Form von begrenzten Datenvolumen verfügt, sollten Sie eine Regelung für die anfallenden Kosten finden. Allerdings heutzutage nur noch selten nötig. 

c. Speicherung von Dokumenten/Daten 

Die Dokumente dürfen nur auf den dafür vorgesehenen Speicherplätzen, in ihrem Cloud-System abgelegt werden oder im Falle der Nutzung des VPN ausschließlich auf dem Firmenserver. Sollten Dokumente zwischenzeitlich auf den privaten Endgeräten gespeichert werden, klären Sie, dass die Dokumente sobald diese dem Firmenserver übermittelt wurden umgehend gelöscht werden. Verpflichten Sie Ihre Mitarbeiter*innen dazu! 

d. Passwörter 

Weisen Sie Ihre Mitarbeiter*innen an für alle Accounts (Cloudspeicher, Mail, VPN Zugang und alle anderen) ein sicheres Passwort zu nutzen.  

  • sicher bedeutet min. 20 Zeichen, Zahlen und Sonderzeichen.  

  • dies einzuhalten sollte obligatorisch sein 

e. Datenschutz im Home Office: Sichtschutz, Dokumente nach der Arbeit weglegen und verschließen.  Arbeitsplatz sperren etc. 

Außerdem müssen Ihre Mitarbeiter*innen darauf achten den Datenschutz einzuhalten, soll heißen er oder sie müssen so arbeiten, dass Betriebsfremde (darunter fällt auch die Familie) keine Sicht auf die Dokumente und die Arbeit nehmen können. Der virtuelle Arbeitsplatz muss gesperrt werden sobald der Computer verlassen wird und Dokumente weggeschlossen. Um dies zu ermöglichen, stellen Sie einfach abschließbare Boxen zur Verfügung. 

f. Sanktionsandrohung bei Verstößen 

Damit die Regelungen rechtsverbindlich sind, Sie sie im Zweifel auch durchsetzen können und ein Organisationsverschulden Ihrerseits bestmöglich ausgeschlossen wird, bedarf dieses Dokument, wie jedes arbeitsrechtliche Dokument, auch der Sanktionsandrohung bei Verstößen. Das heißt, Sie müssen klar darlegen, dass Verstöße gegen die Richtlinie mit arbeits-, zivil- sowie gegebenenfalls strafrechtlichen Konsequenzen verbunden sein wird (Abmahnungen, Kündigung, Schadensersatz). 

Diese Richtlinie soll verbindlich sein! Sie müssen nachweisen, dass Ihre Mitarbeiter*innen diese Richtlinien gesehen und die darin enthaltenen Verpflichtungen eingewilligt haben, am Einfachsten lösen Sie das durch die Unterschrift Ihrer Mitarbeiter*innen.  

6. Erläuterungen für die Mitarbeiter*innen 

WICHTIG: Sie haben Ihre Mitarbeiter*innen ohne umfassende Vorbereitung ins Home Office geschickt und diese nutzen aus er Not heraus Ihre privaten Geräte á la UYOD, sprechen Sie mit Ihnen und stellen Sie Erläuterungen zur Verfügung: 

  • kommunizieren Sie, dass gemeinsam eine verbindliche Regelung für die Arbeit von zu Hause getroffen werden muss, um spätere Streitigkeiten zu verbinden  und weil es eine gesetzliche Anforderung ist 

erläutern Sie 

  • wie sichert man den Laptop 
  • woher Updates bekommen 
  • wie aktiviert man den Virenschutz  

Anleitungen dazu finden Sie im Netz 

  • wie richtet man den VPN- Zugang ein, oder 
  • wie nutzt man die Cloud-Lösung 
  • wie gelangt man über die Weboberfläche an die E-Mails(wenn es bisher keinen Webaccess gabe) 

und nicht vergessen  

  • rufen Sie die Probleme des Social Engineerings und Social Hacking in Erinnerung  

Die bessere und einfachere Variante: Firmenlaptops 

Ihre Mitarbeiter*innen verfügen bereits über mobile firmeneigene Geräte. Perfekt! Denn das bedeutet der Laptop für das Home Office ist von Seiten der Sicherheit und Updates auf dem neusten Stand und vermutlich liegt auch schon ein Zugang zum VPN vor. 

Homeoffice in der Corona-Pandemie

Diese Kosten können Sie steuerlich absetzen

Zum Schutz der Mitarbeiter und um ein Infektionsrisiko im Betrieb möglichst gering zu halten, haben viele Unternehmen ihre Belegschaft oder zumindest Teile davon ins Homeoffice geschickt. Doch wann ist Homeoffice erlaubt und welche Kosten lassen sich dabei steuerlich absetzen?

Grundsätzlich hat ein Arbeit­neh­mer nur dann Anspruch auf Arbeit im Homeof­fice, wenn dies ver­trag­lich gere­gelt ist. Auch wenn ein Arbeit­neh­mer befürch­tet, sich im Betrieb des Arbeit­ge­bers mit dem Coro­na­vi­rus anzu­ste­cken, besteht kein Anspruch dar­auf, die Arbeits­leis­tung im Homeof­fice zu erbrin­gen. Allerdings muss der Arbeit­ge­ber im Rah­men sei­ner arbeitsrechtlichen Für­sor­gepf­licht ent­schei­den, ob er dem Arbeit­neh­mer diese Mög­lich­keit anbie­tet.

Dabei wird regel­mä­ßig ent­schei­dend sein, wie hoch das Anste­ckungs­ri­siko im kon­k­re­ten Fall ist, ob im Betrieb keine geeig­ne­ten Schutz­maß­nah­men getrof­fen wer­den kön­nen und in wel­cher gesund­heit­li­chen Ver­fas­sung sich der Arbeit­neh­mer ohne­hin befin­det. Arbeit­ge­ber und Arbeit­neh­mer kön­nen sich immer eini­gen und so (auch befris­tet) Home­of­fice ver­ein­ba­ren. Vor­aus­set­zung wird jedoch sein, dass der hei­mi­sche Arbeits­platz so ausgestattet ist, dass der Arbeitnehmer von dort aus der Arbeitspf­licht nachkommen kann.

Was lässt sich steuerlich absetzen?

Mitarbeiter können Kosten für das Homeoffice unter bestimmten Voraussetzungen steuerlich geltend machen. Wird ein Mit­ar­bei­ter durch den Arbeit­ge­ber ange­wie­sen, nicht mehr in dem zur Ver­fü­gung ste­hen­den Büro im Betrieb des Arbeit­ge­bers, son­dern aus­sch­ließ­lich von sei­nem Homeoffice aus zu arbei­ten, kann der Mit­ar­bei­ter die Kos­ten des Homeoffice steu­er­lich als Wer­bungs­kos­ten gel­tend machen.

Der Wer­bungs­kos­ten­ab­zug ist auf jähr­lich 1.250 Euro gede­ckelt. Die­ser Höchst­be­trag kommt auch bei nicht ganz­jäh­ri­ger Nut­zung des Homeoffice zur Anwen­dung.

Dafür erfor­der­lich ist aller­dings, dass das Homeoffice als häus­li­ches Arbeits­zim­mer qua­li­fi­ziert ist. Es muss sich dabei um einen abge­sch­los­se­nen Raum han­deln, der aus­sch­ließ­lich beziehungsweise ganz über­wie­gend für die beruf­li­che Tätig­keit genutzt wird. Eine ledig­lich als Büro ein­ge­rich­tete Arbeits­e­cke in einem ander­wei­tig genutz­ten Raum wird hin­ge­gen steu­er­lich nicht als häus­li­ches Arbeits­zim­mer aner­kannt.

Einrichtungsgegenstände können geltend gemacht werden

Als Kos­ten des häus­li­chen Arbeits­zim­mers kom­men insbesondere die antei­li­gen Miet- und Miet­ne­ben­kos­ten beziehungsweise im Falle eines Eigen­heims die antei­li­gen Gebäu­de­kos­ten (inklusive Absch­rei­bung) in Betracht. Zusätz­lich kön­nen noch Kos­ten für Ein­rich­tungs­ge­gen­stände, wie Sch­reib­tisch und Stuhl, gel­tend gemacht wer­den.Tech­ni­sche Geräte, wie zum Beispiel Computer, dürf­ten regel­mä­ßig durch den Arbeit­ge­ber ges­tellt wer­den.

Im Fall der Anschaf­fung für die aus­sch­ließ­li­che beruf­li­che Nut­zung kön­nen auch die dabei anfal­len­den Kos­ten sog­leich berück­sich­tigt wer­den, sofern diese nicht 800 Euro zuzüglich Umsatz­steuer, somit 952 Euro, über­s­tei­gen, andern­falls ist das Wirt­schafts­gut über die Nut­zungs­dauer abzu­sch­rei­ben. Wei­ter kön­nen die durch die Tätig­keit im Homeoffice anfal­len­den Tele­kom­mu­ni­ka­ti­ons­kos­ten ohne Ein­zel­nach­weis pau­schal mit 20 Prozent des Rech­nungs­be­trags, maxi­mal 20 Euro monat­lich, als Wer­bungs­kos­ten berück­sich­tigt wer­den.

Datenschutz und Datensicherheit in Zeiten von Covid-19

Share on facebook
Facebook
Share on twitter
Twitter

Vermeiden Sie böse und teuere Fehler

Die Bunderegierung fordert, dass von zu Hause aus gearbeitet wird, wo immer es möglich ist. Aber das ist nicht gleichbedeutend mit „absoluter Narrenfreiheit“ für die Beschäftigten, wenn es um das Thema Datenschutz geht. Auch in dieser Situation gilt es besonnen zu agieren und die Mitarbeiter für das Thema zu sensibilisieren und den verantwortungsvollen und sicheren Umgang mit Firmen- und Kundendaten sicherzustellen. Diese Daten sind das Heiligtum des Unternehmens und ein zu lascher und unvorsichtiger Umgang damit kann extreme Auswirkungen auf die Zukunft Ihres Unternehmens haben. Das gilt es dringend zu vermeiden.

Schnell-Check “Home Office für meine Mitarbeiter”

Sind in den Arbeitsverträgen meiner Mitarbeiter Regelung zur Arbeit im Homeoffice getroffen?

Ja: Prüfen Sie ob diese Regelungen auch längere Zeiten im Home Office abdecken.
Nein: Holen Sie das Einverständnis der Arbeitnehmer ein bzw. ergänzen Sie die Arbeitsverträge um einen Passus zum Home-Office.

Haben Sie mit allen Mitarbeitern eine Vereinbarung zum Datenschutz im Home-Office getroffen?

Ja: Super. Prüfen Sie bitte, ob dies Vereinbarungen aktuell sowie inhaltlich und rechtlich korrekt formuliert sind.
Nein: Erstellen Sie eine DSGVO-Regelung zum Home Office.

Habe ich meinen Arbeitnehmer mit technischen Vorkehrungen zur Arbeit im Homeoffice ausgestattet? 
Dazu gehören insbesondere:

  • eine ausreichend stabile und schnelle Internetverbindung
  • die telefonische Erreichbarkeit über eine Büronummer
  • Ein Arbeits-Computer, dessen Software auf aktuellem Stand ist
  • Anweisungen und Hinweise zu Passwörtern und Datensicherheit im Home-Office

Ja: Prüfen Sie ob diese Regelungen auch längere Zeiten im Home Office abdecken.
Nein: Sorgen Sie für die entsprechenden Voraussetzungen und das notwendige technische Equipment, sowie die notwenidgen Dinge wie ggf. einen neuen PC oder Notwebook mit einer gesicherten Arbeitsumgebung und Internetanbindung

Wir die ALN helfen ihnen gerne gemeinsam mit unserem Partner der EXO3 GmbH bei der Umsetzung aller notwendigen Aufgaben, sowie bei der Beschaffung und Anbindung eines Home-Office Arbeitsplatzes für ihre Mitarbeiter. Rufen sie uns an, oder kontaktieren sie uns.

Schutz von Geschäftsgeheimnissen und Knowhow

Share on facebook Facebook Share on twitter Twitter Im April 2019 ist in Deutschland das „Gesetz zum Schutz von Geschäftsgeheimnissen“ in Kraft getreten. Dieses Gesetz gibt Unternehmern neue Möglichkeiten, aber auch neue Aufgaben beim Schutz ihres Knowhows. Wurde in der Vergangenheit in erster Linie über Urheberrechte, Marken, Designs und Patente diskutiert, die Unternehmen schützen konnten, befasst sich es das neue Gesetz nun mit dem Schutz von Knowhow in Form von Kundenlisten, Geschäftszahlen, Strategien, Algorithmen etc. Um diesen Knowhow-Schutz in Anspruch nehmen zu können, müssen Unternehmen intern allerdings entsprechende Maßnahmen umsetzen, um den neuen Anforderungen und auch damit einhergehenden Pflichten gerecht zu werden.

Was versteht das neue Gesetz unter „Geschäftsgeheimnissen“?

Der deutsche Gesetzgeber verstht darunter eine Information,
  • die geheim ist, weil sie weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist
  • und von wirtschaftlichem Wert ist, weil sie geheim ist
  • und der Gegenstand von den Umständen nach angemessenen Schutzmaßnahmen ist
  • und an der ein berechtigtes Interesse an der Geheimhaltung besteht.
Geschützt sind damit weiterhin Informationen im weitesten Sinne, also kaufmännische Informationen („Geschäftsgeheimnisse“) und technisches Know-how („Betriebsgeheimnisse“), wobei diese Unterscheidung nicht mehr weiter von Bedeutung ist. Gemeint sind Informationen wie Verfahren, Konstruktionspläne, Algorithmen, Prototypen, Rezepturen, Kundenlisten, Business-Pläne, Werbestrategien usw. Das Merkmal „geheim“ ist hier allerdings ein relativer, kein absoluter Begriff. Entscheidend ist nicht, wer die Information geschöpft bzw. „ins Leben gerufen“ hat, sondern wer den Zugang dazu hat und sie schützt. Besteht die Information aus mehreren Bestandteilen, wobei jeder Bestandteil für sich bekannt ist, bedeutet das nicht automatisch im Umkehrschluss, dass auch die Gesamtinformation deswegen offenkundig und damit kein Geschäftsgeheimnis mehr ist – wie bei einem Puzzle kann die genaue Anordnung und Zusammensetzung der Einzelteile entscheidend sein. So kann beispielsweise eine Kundenliste auch dann eine geheime Information darstellen, wenn alle darin enthaltenen Kundendaten einzeln im Internet recherchierbar sind. Die geheime Information muss im Übrigen nicht zwingend einen materiellen Wert bzw. Vermögenswert haben – es ist ausreichend, dass ihre Offenbarung den Geheimnisinhaber schädigen kann. So können auch solche Informationen nach dem GeschGehG geschützt sein, deren Wert bisher noch gar nicht klar ist wie nicht veröffentlichte Forschungsergebnisse, neue technische Erkenntnisse, Datensammlungen etc.

Wer ist Inhaber von Geschäftsgeheimnissen?

Auch wer „Inhaber“ eines Geschäftsgeheimnisses sein kann, wird im GeschGehG definiert:  „Jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat.“ Da es – anders als z.B. im Urheberrecht – nicht entscheidend darauf ankommt, wer die Information generiert bzw. geschöpft hat, sondern wer diesbezüglich die rechtmäßige Kontrolle, also insbesondere auch den Zugang dazu hat, kommen vor allem in arbeitsteilig agierenden Unternehmen und Betrieben durchaus mehrere Personen grundsätzlich als potentielle Geheimnisinhaber in Betracht. Zu denken ist hier insbesondere an Unternehmen, in denen verschiedene Abteilungen/ Gewerke an einem Projekt arbeiten, z.B. das neue Automodell, das entworfen, gefertigt und mit Vorrichtungen zur Datensammlung versehen sowie ggf. später „ausgelesen“ oder repariert wird. In arbeitsteiligen Organisationen soll dabei eine Wissenszurechnung stattfinden, sodass z.B. Beschäftigte im Hinblick auf die Erledigung ihrer Aufgaben sog. „Wissensmittler“ der Geschäftsleitung sein können. Es wird interessant sein zu sehen, wie die deutsche Rechtsprechung das unbestimmte Kriterium der „rechtmäßigen Kontrolle“ auslegen wird.

Was sind angemessene Geheimhaltungsmaßnahmen?

Was den „Umständen nach angemessene Geheimhaltungsmaßnahmen“ sind, ist eine weitere unbestimmte Variable in der gesetzlichen Definition des Geschäftsgeheimnisses – von dieser hängt jedoch viel ab. Denn eine Information – so wichtig sie für ein Unternehmen bzw. dessen Erfolg auch praktisch sein mag – ist kein Geschäftsgeheimnis im Sinne des GeschGehG, wenn der Inhaber sie nicht angemessenen Geheimhaltungsmaßnahmen unterwirft bzw. dies im Streitfall nicht nachweisen kann. Das Ergreifen von angemessenen Schutzmaßnahmen ist damit erforderlich, um überhaupt in den Anwendungs- und damit Schutzbereich des GeschGehG zu gelangen. Nach der Intention des Gesetzgebers soll demjenigen der Rechtsschutz durch das GeschGehG verwehrt sein, der seinen Vertraulichen Informationen nicht gerecht wird, beispielsweise indem er die objektiv naheliegenden, kostengünstigen Maßnahmen zum Schutz seiner Geschäftsgeheimnisse nicht ergreift. Der Maßstab bei der Betrachtung, welche Maßnahme im Einzelfall angemessen ist, soll objektiv sein – ein optimaler und lückenloser Schutz wird dabei jedoch wohl nicht verlangt. Fraglich ist an dieser Stelle aber, ob der Geheimnisschutz auch dann versagt wird, wenn unbeabsichtigte Sicherheitslücken zur Offenlegung der geheimen Informationen führen. Es ist jeweils anhand der Umstände des Einzelfalls zu ermitteln, welche Arten von vertraulichen Informationen überhaupt vorliegen, ob und wie sich diese ggf. kategorisieren und dann entsprechend durch angemessene Maßnahmen schützen lassen. Das wird in den meisten Fällen auch eine Identifikation von typischen Bedrohungslagen umfassen. Ob Sie sich dabei an den inzwischen kursierenden Kategorien („sensible Informationen, wichtige Informationen, Kronjuwelen“) orientieren oder eigene Kategorien bilden, bleibt Ihnen überlassen.

Mögliche Ansprüche aus dem GeschGehG

Nach dem GeschGehG können Ansprüche geltend gemacht werden auf:
  • Unterlassung und Beseitigung (z.B. Rückruf, Vernichtung etc.),
  • Auskunft (z.B. bezogen auf rechtsverletzende Produkte, Verkörperungen des Geheimnisses, „verratende“ Personen),
  • Schadenersatz,
  • Abfindung

Fazit

Ob der Volksmund mit seiner Annahme „Was lange währt, wird endlich gut“ hier recht behält, wird sich noch zeigen. Zu begrüßen ist das Bestreben des Gesetzgebers, die Vorschriften für den Geheimnisschutz zu konsolidieren und europaweit wie auch international zunehmend anzugleichen. Auch die stärkere Betonung der Eigenverantwortung der Unternehmen für den Schutz ihrer vertraulichen Informationen, die mit den Datenschutzthemen zum Teil Hand in Hand gehen dürften, ist ein Schritt in die richtige Richtung. Ob die geschaffene Zuständigkeit für Geheimnisschutzsachen tatsächlich zu einer weniger fragmentierten Rechtsdurchsetzung führen wird, erscheint fraglich – können die „special effects“, die das GeschGehG gewährt, in anderen, zum Teil mit dem Geheimnisschutz inhaltlich zusammenhängenden Angelegenheiten wie Urheber-, Marken-, Patentstreitigkeiten nicht gezündet werden.

Unzulässige Werbung beim Versand von Rechnungen

BGH: Verknüpfung von Rechnungsversand und Werbung unzulässig

Die unaufgeforderte Bitte in Rechnungs-Emails um eine Kundenbewertung ist unzulässige Werbung, das hat kürzlich der BGH festgestellt.

Im digitalen Zeitalter hat sich die Werbemail als einfaches und effizientes Werbemittel herausgestellt, um den Kunden an ein Produkt oder das Unternehmen heranzuführen. Doch der Einsatz von Werbung unterliegt strengen rechtlichen Anforderungen, die für den juristischen Laien nicht immer offensichtlich sind.

Das bekam kürzlich ein Unternehmen zu spüren, welches einen Kunden nach Kauf per Email um eine Bewertung gebeten hatte. Der Fall ging durch die gerichtlichen Instanzen und landete beim BGH, der schließlich entschied, dass eine Kundenbefragung in einer Rechnungsemail unter den Begriff der Werbung fällt, welche ohne Einwilligung des Empfängers grundsätzlich einen Eingriff in seine geschützte Privatsphäre und damit in sein allgemeines Persönlichkeitsrecht darstellt

Hintergrund der Entscheidung

Was war geschehen? Der Kunde bestellte bei dem Unternehmen über den Amazon Marketplace. Einige Tage nach dem Kauf sendete das Unternehmen dem Kunden eine Email mit der Rechnung zur Bestellung und der Bitte um eine Kundenbewertung. Der Kunde sah darin eine unzulässige Werbung und klagte dagegen beim AG Braunschweig, welches die Klage abwies . Auch die dagegen gerichtete Berufung beim LG Braunschweig wurde zurückgewiesen. Mit seinem Urteil im Revisionsverfahren gab nunmehr auch der Bundesgerichtshof dem Kunden Recht: Er stellte fest, dass es sich bei der Kundenzufriedenheitsbefragung um Werbung handelte. Da das Unternehmen keine Einwilligung des Kunden in den Erhalt von Werbung eingeholt hatte, handele es sich bei der Befragung um einen rechtswidrigen Eingriff in dessen Persönlichkeitsrecht.

Eine Bitte um Kundenbewertung soll schon Werbung sein?

Was rechtlich unter Werbung verstanden wird, verdeutlicht der BGH in seinem Urteil. Durch die Bitte um Kundenbewertung bringe sich der Unternehmer nach Ansicht des BGH bei dem Kunden in Erinnerung. Darüber hinaus erwecke er den Anschein, dass er sich auch nach dem Geschäftsabschluss um den Kunden sorge. Das sei hinsichtlich Kundenbindung und Weiterempfehlung förderlich, was im Ergebnis auf weitere Geschäftsabschlüsse ziele. Demzufolge falle eine Kundenbewertung unter den Werbebegriff.

Allerdings hat das Unternehmen die Bitte um eine Kundenzufriedenheitsbefragung mit dem Versand der Rechnungsemail verknüpft. Der Versand einer Rechnungsemail ist keine Werbung und insoweit zulässig. Müsste man nicht hier die Email als Ganzes verstehen und ihr so dem Werbecharakter absprechen? Dieser Idee erteilt der BGH eine eindeutige Absage: Er sah in der Email zwei eigenständige Zwecke; einen werbenden und einen den Rechnungsversand betreffenden. Daher könne die Verknüpfung mit dem Versand der Rechnung nichts an der Einordnung der Befragung als Werbung ändern.

Handlungsempfehlungen für den E-Commerce

Mit der Entscheidung verschärft der BGH seine Regeln zur Werbung weiter: Die Wertungen des UWG sind auch bei Eingriffen in das Allgemeine Persönlichkeitsrecht zu beachten. Eine Bitte um Kundenbewertung per Email ist damit in jedweder Gestaltung rechtswidrig, wenn nicht in ihren Erhalt ausdrücklich eingewilligt wurde.

Unternehmen sollten angesichts des Urteils besonders darauf achten, Werbung ohne vorherige Einwilligung zu vermeiden, um entsprechenden Abmahnungen durch Empfänger oder Wettbewerber aus dem Weg zu gehen. Dabei sollte beachtet werden

  • dass auch Kundenzufriedenheitsumfragen Werbung darstellen.
  • dass eine Verknüpfung von Werbung mit der Rechnungslegung ohne vorherige Einwilligung des Kunden nicht zulässig ist.

Empfehlungen

  1. Integrieren Sie die Einwilligung für Werbezusendungen im Check-Out Prozess.
  2. Bitten Sie in der Rechnungs-Email um die Einwilligung für Werbezusendungen.