Christian Schröder

Kirsch, Datenschutz in Unternehmen


Marcus Kirsch, Datenschutz in Unternehmen. Leitfaden für datenschutzrechtliche Fragestellungen im Rahmen unternehmerischer IT-Compliance, Hamburg (intersoft consulting) 2011, ISBN 978-3-942940-00-9, € 29,90

 

ZD-Aktuell 2012, 02843      In dem gleichnamigen Verlag der intersoft-consulting-Beratungsgesellschaft ist Ende 2011 ein Leitfaden des Autors Marcus Kirsch erschienen, der einen Überblick über die in Unternehmen gängigen Datenschutzthemen verspricht. Dabei handelt es sich zwar um ein ambitioniertes Versprechen, da der Leitfaden lediglich gut 100 Seiten im Großformat umfasst. Allerdings werden in der Tat eine Vielzahl aktueller Themen nicht nur angerissen, sondern zumeist mit einer kurzen rechtlichen Einführung erläutert.

 

Dem Anspruch eines praxisorientierten Leitfadens entsprechend, orientiert sich das Buch nicht an der Gesetzessystematik, sondern enthält in seinen zwei großen Teilen „A. Datenschutz im Rahmen unternehmerischer Compliance“ und „B. E-Mail und Internet-Nutzung am Arbeitsplatz“ eine thematisch orientierte Darstellung aktueller Problemstellungen.

 

In Kapitel A gibt der Leitfaden zunächst eine kurze Einführung in die Grundlagen der Compliance. Bei der Frage, ob ein Compliance-Beauftragter in Personalunion auch Datenschutzbeauftragter sein kann, schließt sich Kirsch der derzeit wohl h.M. an, wonach eine solche Personalunion wegen sich aufdrängender Interessenkollisionen vermieden werden sollte. Nachfolgend erläutert Kirsch in dem Unterkapitel „Werbung“ die Anforderungen des TMG und des UWG für Onlinewerbung, insbesondere Newsletter- und E-Mail-Werbung, und weist hierbei auf die nach neuerer Rechtsprechung hohen Anforderungen an den Nachweis einer Einwilligung in E-Mail-Werbung hin.

 

Der erste Schwerpunkt des Leitfadens liegt dabei in der recht ausführlichen Stellungnahme zur Zulässigkeit von Social Plug-ins wie dem „Like Button“ von Facebook. Kirsch vertritt hierbei die Auffassung, dass der Dritt-Webseiteninhaber für die Erhebung von personenbezogenen Daten über das Plug-in verantwortlich sei und mangels einschlägiger Ermächtigungsnormen des TMG hiergegen verstößt. Die Herleitung der Verantwortlichkeit des Webseiteninhabers für das Verhalten des Social-Plugin-Anbieters bleibt jedoch unklar.

 

Die Nutzung von Google Analytics hält Kirsch ebenfalls unter Verweis auf eine frühere Stellungnahme des Innenministeriums von Baden-Württemberg für unzulässig. Da das Buch im Juni 2011 fertiggestellt wurde, konnte Kirsch an dieser Stelle noch nicht die weiteren Ergebnisse der Verhandlungen zwischen Google und den Aufsichtsbehörden berücksichtigen (PM des Innenministeriums Baden-Württemberg v. 11.9.2011, „Google Analytics - datenschutzrechtlich unbedenklicher Einsatz nun möglich“, http://www.baden-wuerttemberg.datenschutz.de/lfd/pm/2011/09_15.htm).

 

Ein weiterer Schwerpunkt im Teil A liegt im Beschäftigtendatenschutz, und hier insbesondere bei der Frage der Zulässigkeit präventiver Durchsuchungen, der Erläuterung von Anforderungen bei Videokontrollen und bei Personaldatenverarbeitung durch externe Datenverarbeiter. Kirsch stellt kurz den bisherigen Meinungsstand zur Zulässigkeit präventiver Maßnahmen dar und schließt sich dann der Auffassung an, wonach präventive Maßnahmen wie etwa Screenings zur Prävention von Korruption an § 32 Abs. 1 Satz 1 BDSG zu messen seien. Angesichts der unsicheren Rechtslage empfiehlt der Autor grundsätzlich eine Abstimmung mit den Aufsichtsbehörden.

 

Auch die Anforderungen an eine zulässige Videoüberwachung werden ausführlich und gut nachvollziehbar dargestellt, wobei aber interessante Fragen, wie z.B. nach dem zulässigen Zeitraum des Speicherns von Aufzeichnungen, offen bleiben. Im Kapitel „Personalverarbeitung durch externe Dienstleister“ bevorzugt der Autor entsprechend der h.M. den Abschluss von Auftragsdatenverarbeitungsverträgen nach § 11 BDSG, lässt aber unbeantwortet, wie Funktionsübertragungen zulässig zu gestalten sind.

 

In dem nachfolgenden Kapitel „Bestellung eines Datenschutzbeauftragten im Unternehmen“ wird der Leser gut in die wesentlichen Probleme wie z.B. der (Un-)Kündbarkeit des Beauftragten sowie einer möglichen Garantenstellung eingeführt. Das Kapitel „Auslandsübermittlung (§§ 4b, 4c BDSG)“ dürfte aber auch für einen ersten Überblick mit eineinhalb Seiten sehr knapp bemessen sein. Kirsch schließt das Kapitel A mit einer kurzen Erläuterung der angekündigten Reformen zum Beschäftigtendatenschutzgesetz ab und kommt hierbei zum Ergebnis, dass der Entwurf kaum Änderungen zur bisherigen Rechtslage aufzeige.

 

Der zweite Teil des Buchs wird der in der Praxis sehr wichtigen Gestaltung der Nutzung von Internet und E-Mail gewidmet. Kirsch beginnt dieses Kapitel zunächst mit einer Darlegung der Rechtsprechung zur Nutzung von Internet und E-Mail zu privaten Zwecken bei fehlender ausdrücklicher Anweisung, erläutert dann die Folgen einer Duldung privater Nutzung und vertritt hierbei die Auffassung, dass auch aus einer stillschweigenden Duldung der Privatnutzung eine entsprechende betriebliche Übung folgen könne. Diese könne grundsätzlich allein durch eine individuelle abweichende Vereinbarung vermieden werden.

 

Nach einem kurzen Hinweis zu der Haftung des Arbeitgebers für Rechtsverletzungen seiner Mitarbeiter liegt der folgende Schwerpunkt des Kapitels bei den möglichen Kontrollen von Internet- und E-Mail-Nutzung. Kirsch lehnt hier unter Berufung auf die Entscheidung des BVerfG (MMR 2006, 217) die in der Literatur und teilweise auch in der Rechtsprechung vertretene Auffassung ab, wonach E-Mails im Posteingangsfach eines Arbeitgebers nicht mehr vom Fernmeldegeheimnis erfasst sind. Kirsch stützt seine Ansicht insbesondere mit dem Hinweis darauf, dass sich im Unternehmensnetz übermittelte E-Mails gerade nicht im Herrschaftsbereich des Arbeitnehmers befinden, sondern auch im Posteingangsfach immer noch im Einflussbereich des Arbeitgebers. Er folgert hieraus insofern konsequent, dass  private, über die IT des Arbeitgebers versandte E-Mails regelmäßig der Kontrolle des Arbeitgebers generell entzogen sind. Zur Lösung dieses Kontrolldefizits empfiehlt Kirsch den Abschluss von Betriebsvereinbarungen in Kombination mit einer freiwilligen ausdrücklichen Unterwerfung des Arbeitnehmers unter die Betriebsvereinbarung bei erlaubter privater Nutzung. Externe Kommunikationspartner würden hierbei zumindest konkludent dem Zugriff des Arbeitgebers zustimmen. Im letzten Kapitel erläutert Kirsch kurz die Mitbestimmungrechte des Betriebsrats.

 

Marcus Kirsch hat es geschafft, in einem vom Umfang sehr übersichtlichen Leitfaden viele der aktuell diskutierten Datenschutzthemen aufzugreifen, ihren rechtlichen Hintergrund zu erläutern und jeweils mit einer eigenen Bewertung zu versehen. Der sehr fokussierte Stil verbunden mit einer übersichtlichen Gliederung und guten Lesbarkeit erlauben ein schnelles Einlesen. Für eine vertiefte Befassung mit den angesprochenen Themen greift der Leitfaden – angesichts seines Umfangs nicht überraschend – häufig etwas kurz. Er ist insofern auch weniger für die Wissenschaft empfehlenswert, gibt aber z.B. einem mit Datenschutz bisher nicht befassten Geschäftsführer eine gute und schnell lesbare Einführung in wesentliche aktuelle Datenschutzthemen.

 

Dr. Christian Schröder ist Rechtsanwalt der Sozietät Hengeler Mueller und Mitglied des Wissenschaftsbeirats der ZD.