Matthias Lachenmann

Tim Grönemeyer, Datenschutzrechtliche Probleme bei der Nutzung des „Web 2.0“ im Intranet eines Unternehmens


Tim Grönemeyer, Datenschutzrechtliche Probleme bei der Nutzung des „Web 2.0“ im Intranet eines Unternehmens, Edewecht (OlWIR) 2016, ISBN 978-3-95599-035-0, € 59,80

ZD-Aktuell 2017, 04253    Die im letzten Jahr erschienene Dissertation von Dr. Tim Grönemeyer beeindruckt bereits auf den ersten Blick durch ihren Umfang von insgesamt 616 Seiten (mit dem Ende der rechtlichen Darstellung auf S. 580). Schnell wird deutlich, dass es sich um eine vielschichtige und tiefgreifende Untersuchung der aktuellen Rechtslage des Beschäftigtendatenschutzes handelt, deren Schwerpunkt auf Web 2.0-Funktionen wie sozialen Netzwerken, Wikis, Blogs oder Suchfunktionen liegt. Als Ausgangspunkt für die Notwendigkeit einer Untersuchung schildert der Autor, dass Betroffene in ihrem Privatleben die Möglichkeit haben, sich den modernen Technologien und dem damit verbundenen Datenumgang zumindest in gewissem Umfang zu entziehen – Beschäftigte aber eine solche Möglichkeit gerade nicht haben. Vor diesem Hintergrund werden die Implikationen für das Recht auf informationelle Selbstbestimmung der Beschäftigten ausführlich untersucht.

 

Die Dissertation beginnt mit einem einleitenden Kapitel, in dem das „Buzzword Web 2.0“ ausführlich beschrieben und die betriebsinterne Kommunikation geschildert wird. Die weiteren Kapitel beschäftigen sich mit der Legitimation der Datenverarbeitung durch gesetzliche Erlaubnistatbestände, Einwilligung und Betriebsvereinbarung oder die erlaubte Privatnutzung des Intranets und Internets. Leider fehlt der Dissertation zum Ende eine Zusammenfassung der wesentlichen Ergebnisse, sodass diese in den einzelnen Kapiteln nachgeschlagen werden müssen. Das Werk endet jedoch interessant mit einer Bewertung der Reformvorschläge der letzten Jahre, der Datenschutzgrundverordnung sowie mit Gedanken zur Modernisierung des Beschäftigtendatenschutzes.

 

Angesichts des großen Umfangs der Dissertation können vorliegend nur einige Ausschnitte hervorgehoben werden. Überzeugen kann z.B. die Zulässigkeit von Überwachungsmaßnahmen durch den Arbeitgeber (S. 211 ff.), die in allgemeine Beschreibungen der Überwachungspflichten des Arbeitgebers i.R.d. Compliance eingebunden ist (hierzu bereits Rehker, Die Haftung der Unternehmensleitung in der Aktiengesellschaft bei Verletzung von IT-Compliance-Anforderungen, 2014). Hinsichtlich der Überwachung zur Aufdeckung von Straftaten weist Grönemeyer zu Recht darauf hin, dass dem Arbeitgeber eine weitgehende Kontrollbefugnis zukommen müsse. Es komme nicht darauf an, ob die Straftat im Intranet begangen wurde, sondern grundsätzlich darauf, ob die dort hinterlegten Daten zur Aufklärung der Straftat beitragen können. So könnte sich der Arbeitgeber staatsanwaltschaftlichen oder polizeilichen Ermittlungen ausgesetzt sehen, denen er durch eine Überwachung des Intranets früh begegnen muss. Zu Recht weist der Autor darauf hin, dass über § 32 Abs.1 BDSG nicht nur Datenverarbeitungen gestattet sind, die zur Aufdeckung von Straftaten gegen das eigene Unternehmen gerichtet sind, sondern selbst solche, die allgemeine negative Auswirkungen auf das Unternehmen haben können. Dem LAG Stuttgart (ZD 2017, 88) wäre zu wünschen gewesen, dass die Dissertation von Grönemeyer erschienen wäre, bevor es sein Urteil am 20.7.2016 fällen konnte, in welchem eine unzulässige Erhebung personenbezogener Daten durch den Arbeitgeber angenommen wurde. Demgegenüber hat das BAG zwischenzeitlich ganz i.S.v. Grönemeyer entschieden (U. v. 22.9.2016 – 2 AZR 848/15). Weiterhin wird zu Recht darauf hingewiesen, dass präventive Überwachung und ggf. verdachtsunabhängige Kontrollmaßnahmen i.R.d. Compliance-Verpflichtungen zulässig sein müssen.

 

Nicht alles gerät so überzeugend. So weist Grönemeyer zwar völlig richtig darauf hin, dass eine Auftragsdatenverarbeitung in Drittstaaten nach Art. 2 lit. e und f der Datenschutzrichtlinie (RL 95/46/EG - DS-RL) zulässig sein muss, stützt sich jedoch auf die Systematik des BDSG, die – europarechtswidrig – eine solche Möglichkeit nicht vorsieht (S. 165 f.). Dabei hat der EuGH in st.Rspr. entschieden, dass die Richtlinie eine Vollharmonisierung bewirkt und daher die europarechtswidrige BDSG-Regelung nicht aufrechterhalten werden kann (zuletzt EuGH ZD 2017, 24 m. Anm. Kühling/Klar = MMR 2016, 842 m. Anm. Moos/Rothkegel - Breyer; zuvor z.B. EuGH ZD 2012, 33 - ASNEF/FECEMD). Auch bei Zugriffen auf Mitarbeiterdaten durch verschiedene Konzernunternehmen (S. 172 ff.) wird nicht auf die mögliche gemeinsame Verantwortlichkeit eingegangen, über die ggf. eine Zulässigkeit möglich wäre oder § 10 BDSG nur kurz angesprochen (vgl. Lachenmann, Datenübermittlung im Konzern, 2016). Aber angesichts des Gesamtumfangs kann freilich nicht jedes Seitenthema im Detail untersucht werden.

 

Überzeugen kann auch das in der Praxis sehr wichtige Kapitel zur erlaubten Privatnutzung des Intranets (S. 371 ff.). Hier vertritt Grönemeyer ausführlich begründet – dennoch bestreitbar –, dass ein Arbeitgeber bei erlaubter Privatnutzung des Internets als Diensteanbieter zu sehen sei und damit eine Strafbarkeit wegen Verletzung des Fernmeldegeheimnisses in Betracht komme. Die Eingriffsbefugnis in das Fernmeldegeheimnis sei restriktiv zu bewerten. An sich sei es ausreichend, dass die Einwilligung eines TK-Teilnehmers eingeholt werde (S. 442 f.), jedoch könne zur Absicherung im Arbeitsverhältnis die Einwilligung sämtlicher TK-Teilnehmer eingeholt werden (S. 444).

 

Somit kann festgehalten werden, dass die Dissertation von Grönemeyer eine umfangreiche und tiefgreifende Bewertung der datenschutzrechtlichen Fragestellungen des Beschäftigtendatenschutzes hinsichtlich der Nutzung von Intranet, Internet sowie schwerpunktmäßig des Web 2.0 darstellt. Die Rechtslage wird stets umfassend und anschaulich dargestellt. Da der Gesetzgeber den bisherigen § 32 BDSG in § 26 BDSG-neu i.d.F. v. 1.2.2017 beibehalten wird, kann die Arbeit auch künftig eine wertvolle Grundlage für Berater im Beschäftigtendatenschutz darstellen.

 

Dr. Matthias Lachenmann ist Rechtsanwalt bei Pauly & Partner in Bonn, Datenschutzbeauftragter (UDISzert) und u.a. Herausgeber des „Formularhandbuch Datenschutzrecht“ bei C.H.BECK.