Nmedia - Fotolia

EU-DSGVO: Innentäter abwehren, nicht Mitarbeiter überwachen

Die Datenschutz-Grundverordnung und das neue Bundes-Datenschutzgesetz sehen einen besonderen Datenschutz für Beschäftigte vor. Aktuelle Gerichtsurteile bestärken dies.

Innentäter gehören zu den größten Risiken für die IT-Sicherheit, wie viele Studien betonen. So besagt zum Beispiel die Studie „2017 IT Risks Report“ von Netwrix, dass 47 Prozent der befragten Organisationen IT-Vorfälle hatten, die mit ungewollten Fehlverhalten der Mitarbeiterinnen und Mitarbeiter im Umgang mit der IT oder aber mit absichtlich schädlichen Aktivitäten der eigenen Beschäftigten zusammenhingen.

Es ist also mehr als verständlich, dass Unternehmen Maßnahmen gegen die Risiken durch die ungewollten oder kriminellen Innentäter ergreifen wollen. Die Frage ist jedoch, wie diese Maßnahmen gegen das Risiko durch Innentäter genau aussehen dürfen. So manches Unternehmen greift zu einer umfassenden Mitarbeiterüberwachung und kontrolliert unter anderem die komplette digitale Kommunikation. Das ruft jedoch Gerichte und Datenschützer auf den Plan.

Aktuelle Urteile betonen Beschränkung der Mitarbeiterüberwachung

Die Überwachung der elektronischen Korrespondenz eines Angestellten verstößt gegen das Recht auf Privatleben, so urteilte der Europäische Gerichtshof für Menschenrechte (European Court of Human Rights, ECHR). Dabei nannte der ECHR mehrere Versäumnisse des Arbeitgebers und der nationalen Gerichte, die zuvor anders als der ECHR entschieden hatten. Aus den genannten Versäumnissen lässt sich ableiten, welche Anforderungen der Gerichtshof sieht:

  • So muss den Beschäftigten von dem Arbeitgeber zuvor mitgeteilt werden, dass die Korrespondenz überwacht werden kann.
  • Dabei müssen die Betroffenen über die Art und den Umfang der Überwachung und über das Ausmaß des Eingriffs in die Korrespondenz informiert werden.
  • Zudem müssen Arbeitgeber die genauen Gründe zur Rechtfertigung der Überwachungsmaßnahmen dokumentieren und genau prüfen, ob sie Maßnahmen anwenden können, die einen geringeren Eingriff in das Privatleben und die Korrespondenz der oder des Beschäftigten bedeuten.

DSGVO und BDSG: Schutz für Beschäftigtendaten

Datenschützer machen bereits seit langem deutlich, dass eine anlasslose, umfängliche Überwachung von Beschäftigten nicht erlaubt ist. So haben die Aufsichtsbehörden für den Datenschutz unter anderem eine Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz veröffentlicht, in der es auch um die datenschutzgerechte Kontrolle dieser Nutzung geht.

Das bestehende Bundesdatenschutzgesetz (§ 32 BDSG) besagt konkret: „Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Die Datenschutz-Grundverordnung (DSGVO/GDPR) nennt unter den besonderen Verarbeitungssituationen auch die Datenverarbeitung im Beschäftigungskontext (Artikel 88 DSGVO). Auch wenn der Artikel 88 eine Öffnungsklausel darstellt, also die genauen Vorgaben den nationalen Gesetzgebern überlässt, findet man dennoch Maßgaben zum Beschäftigtendatenschutz in der DSGVO beziehungsweise den Erwägungsgründen:

So können zum Beispiel in Kollektivvereinbarungen (einschließlich Betriebsvereinbarungen) spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen. Wohlgemerkt wird auch hier als Grundlage die Einwilligung des Beschäftigten genannt.

Für die Beurteilung der Freiwilligkeit der Einwilligung sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen, so sagt es auch das neue Bundesdatenschutzgesetz (§ 26 BDSG-neu).

Fazit: Abwehr von Innentätern ohne umfassende Mitarbeiterüberwachung

Fasst man die Vorgaben der Datenschutzgesetze und die Gerichtsurteile zusammen, kann man sagen: Alleine der Verweis auf die Risiken durch Innentäter rechtfertigt keine Überwachung aller Beschäftigten, erst recht nicht die Überwachung der privaten, digitalen Kommunikation.

Bevor man Überwachungsmaßnahmen ergreift, müssen alle Voraussetzungen, die eingangs aus dem Gerichtsurteil abgeleitet wurden und die sich aus den Datenschutzgesetzen ergeben, erfüllt sein. Andernfalls begeht man selbst einen Datenschutzverstoß, wenn man den Schutz der Unternehmensdaten derart sicherstellen will.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Die Meldepflichten bei Sicherheitsvorfällen

So wirkt sich das Bundesdatenschutzgesetz auf die IT-Sicherheit aus

Die Betroffenenrechte der Datenschutz-Grundverordnung umsetzen

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identitätsdiebstahl und Datensicherheitsverletzungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close