Nach den vielen Datenschutzskandalen der letzten zwei Jahre war eine Reform des Bundesdatenschutzgesetzes unumgänglich geworden. Zu den Änderungen gehören unter anderem die Stärkung des betriebsinternen Datenschutzes, der Arbeitnehmerrechte sowie neue Regeln für die Auftragsdatenverarbeitung.

Arbeitnehmerdatenschutz verschärft

Ein Arbeitgeber, der zur Aufdeckung einer Straftat Daten sammeln und auswerten möchte, muss neuerdings konkrete Verdachtsmomente nachweisen. Darüber hinaus müssen die Maßnahmen als solche, laut neuem Bundesdatenschutzgesetz, verhältnismäßig sein und überdies sorgfältig ausgewählt werden. Eine Durchforstung aller E-Mails der Belegschaft, um einen einzelnen Täter aufzuspüren, ist definitiv nicht mehr zulässig.

Will ein Arbeitgeber trotzdem auf diese Mittel zurückgreifen, kann er dies ab 1.September nur noch mittels einer freiwilligen, schriftlichen Einverständniserklärung der Arbeitnehmer tun. Alternativ ist auch eine Betriebsvereinbarung denkbar. Trotzdem bleiben Risiken bestehen, da trotz einer entsprechenden Vereinbarung die Rechte der Arbeitnehmer nicht unverhältnismäßig tangiert werden dürfen. Ein solcher Fall wäre beispielsweise gegeben, wenn ein Arbeitnehmer aufgefordert würde, einer Kontrolle zuzustimmen, ihm jedoch der konkrete Grund verschwiegen würde. Jede betriebsinterne Vereinbarung verliert ihre Gültigkeit, wenn die Arbeitnehmer nicht über den konkreten Zweck der Maßnahme informiert werden.

Diese Punkte sollte man als CIO unbedingt beachten

• Personenbezogene Daten der Mitarbeiter dürfen nur erhoben werden, wenn eine entsprechende Betriebsvereinbarung, beziehungsweise die Einwilligung der Arbeitnehmer vorliegt oder die Daten das Beschäftigungsverhältnis betreffen. Ausnahme bildet der konkrete Verdacht auf das Vorliegen einer Straftat.

• Bei einem Screening nach strafrechtlich relevanten Vorfällen müssen die Anhaltspunkte, die den jeweiligen Verdacht begünden, entsprechend dokumentiert werden.

• Da die Gesetzesnovelle nicht regelt, ob auch Ordnungswidrigkeiten und Pflichtverletzungen Grundlage für die Untersuchung des Mailverkehrs sein können, gilt an dieser Stelle weiterhin die alte Rechtslage, die besagt, dass in diesem Fall die Interessen von Arbeitnehmer und Arbeitgeber abgewogen und eine Verhältnismäßigkeitsprüfung durchgeführt werden muss. Jeder CIO, der mit der Durchführung einer solchen Maßnahme beauftragt wird, ist dringend anzuraten, auf der Genehmigung durch Geschäftsleitung, Datenschutzbeauftragten und Betriebsrat zu bestehen.