Die Arbeitnehmerüberlassung – Teil 2

Allgemeine Informationen / Voraussetzungen nach dem AÜG:

Für die gewerbsmäßige Arbeitnehmerüberlassung nach dem AÜG benötigen Arbeitgeber neben einer Gewerbeerlaubnis eine weitere Erlaubnis zur Arbeitnehmerüberlassung (§ 1 AÜG) von der Agentur für Arbeit. Diese Erlaubnis wird grundsätzlich auf 1 Jahr befristet. Erst nach 3 Jahren unproblematischer und insbesondere unauffälliger Leiharbeit wird die Erlaubnis unbefristet erteilt(§ 2 IV,V AÜG).

Einer Erlaubnis bedarf es nicht für einen Arbeitgeber mit weniger als 50 Beschäftigten, der zur Vermeidung von Kurzarbeit oder Entlassungen an einen Arbeitgeber einen Arbeitnehmer bis zu einer Dauer von 12 Monaten überlässt. Allerdings muss diese Überlassung vorher der Bundesagentur für Arbeit schriftlich angezeigt werden (§ 1 a I AÜG). Es fallen also diejenigen, die aufgrund der aktuellen schwierigen wirtschaftlichen Lage Arbeitnehmer verleihen, um Kurzarbeit, etc. zu vermeiden unter de Erlaubnispflicht. Folglich werden auch die sich daran anknüpfenden Rechtsfolgen im Falle einer fehlenden oder widerrufenden Erlaubnis nicht erfüllt.

Im Falle der mangelnden Zuverlässigkeit ist die Erlaubnis zu versagen (§ 3 AÜG). Dies gilt auch bei Verstößen gegen das Sozialversicherungs- und Lohnsteuerrecht.

Fallstricke bei der Vertragsgestaltung:

Bei dem Vertrag zwischen Verleiher u. Entleiher sind folgende Punkte zwingen zu beachten:

  • Der Vertrag bedarf der Schriftform.
  • Der Vertrag muss die Erklärung enthalten, dass die Erlaubnis besteht (§ 12 AÜG) à Bei Änderungen u.
    insbesondere Rücknahme, Widerruf, oder Nichtverlängerung der Erlaubnis muss der Entleiher unverzüglich unterrichtet werden (§ 12 II AÜG).
  • Kollektivrecht: Der Betriebsrat des Entleihers hat Einsichtsrecht in den Vertrag.

Bei dem Vertrag zwischen Entleiher und Leiharbeitnehmer ist folgendes zu beachten:

  • Besondere Regelung im Falle des Auslandseinsatzes.
  • Sämtliche gem. § 2 NachwG enthaltenen Regelungen (wie in einem herkömmlichen Arbeitsvertrag) sind auch hier zu berücksichtigen.
  • Daneben muss dem Arbeitnehmer ein Merkblatt der Agentur für Arbeit für Leiharbeitsverhältnisse in der Muttersprache des Arbeitnehmers ausgehändigt werden.

Folgende Klauseln in Verträgen sind unzulässig:

  • Unzulässig sind Aushilfsarbeitsverhältnisse mit verkürzten Kündigungsfristen.
  • Das Rechts des Leiharbeitnehmers auf Vergütung bei Annahmeverzug des Arbeitgebers darf nicht ausgeschlossen werden.
  • Daneben sind auch Verbote mit dem Entleiher nach Beendigung des Leiharbeitsverhältnisses ein Arbeitsverhältnis zu begründen unwirksam.
  • Gem. § 9 Nr. 3 AÜG sind mittlerweile Vermittlungsprovisionen beim Wechsel des Leiharbeitnehmers zum Entleiher wirksam.
  • Der Grundsatz des Equal – Payment kann nicht ausgeschlossen werden. Während der Leiharbeit erhält der Leiharbeitnehmer die wesentlich gleichen Bedingungen wie vergleichbare Arbeitnehmer im Entleihbetrieb (Arbeitszeiten, Entgelt, etc.).

Risiken der Arbeitnehmerüberlassung:

Das Leiharbeitsverhältnis ist mit folgenden Risiken verbunden:
Schließt der Verleiher ohne erforderliche Erlaubnis einen Vertrag mit einem Leiharbeitnehmer, dann ist dieser gem.§ 9 Nr. 1 AÜG unwirksam. Es entsteht im Falle des gleichzeitigen Entleihens an einen Entleiher zunächst ein sogenanntes faktisches Arbeitsverhältnis zwischen Leiharbeitnehmer und Verleiher.
In diesem Falle haftet der Verleiher gegenüber dem Leiharbeitnehmer gem. § 10 II AÜG auf Schadensersatz. Darüber hinaus kommt zum Zeitpunkt des Beginns der Tätigkeit beim Entleiher zwischen diesem und dem Leiharbeitnehmer gem. § 10 I AÜG ein Arbeitsverhältnis zustande. Der Leiharbeitnehmer erlangt somit gegen den Entleiher einen Vergütungsanspruch (BAG NZA 94, 217).

An diesem Punkt deuten sich bereits die möglichen Probleme an. Wir haben ein sogenanntes faktisches zwischen Verleiher und Leiharbeitnehmer und eines kraft Gesetzes zwischen Arbeitnehmer und Entleiher. Wer muss die Sozialabgaben tragen, wer hat gegen wen Schadensersatzansprüche, etc. Sämtliche dieser Punkte sind zumindest in der Literatur stark umstritten.

Das Verhältnis zwischen Leiharbeitnehmer und Entleiher:
Es besteht grundsätzlich kein Arbeitsvertrag zwischen den beiden, es sei denn, dass die Erlaubnis, wie oben beschrieben, fehlt.
Im Normalfall unterliegt der Leiharbeitnehmer dem Direktionsrecht des Entleihers und wird vollständig in die Betriebsstrukturen des Entleihers eingegliedert.
Zum Kollektivrecht ist noch zu sagen, dass Leiharbeitnehmer bei Betriebsratswahlen zwar wahlberechtigt, jedoch nicht wahlfähig (§ 14 AÜG, §§7,8 BetrVG). Bei der Bestimmung der wahlberechtigten Arbeitnehmer (z.B. ob überhaupt Betriebsrat) zählen sie nicht mit.
Sofern der Entleiher seine Fürsorgepflichten verletzt, kann der Leiharbeitnehmer außerordentlich kündigen. Mangels eigenen Vertragsverhältnisses mit dem Entleiher ist dem Leiharbeitnehmer dieses Recht ausdrücklich zugewiesen worden.

Arbeitsrecht: Die Arbeitnehmerüberlassung – Teil 1

Die Arbeitnehmerüberlassung im Überblick:

Definition:
Der Arbeitgeber (Verleiher) stellt einem Dritten (Entleiher) aufgrund vertraglicher Vereinbarung vorübergehend bei ihm angestellt Arbeiter oder Angestellte (Leiharbeitnehmer) zur Verfügung und diese werden vom Entleiher nach seinen Vorstellungen und Zielen wie eigene Arbeitnehmer eingesetzt. Die Arbeitskräfte sind in den Betrieb des Entleihers eingegliedert und unterstehen den Weisungen hinsichtlich der Arbeitsausführung.

Vom Leiharbeitnehmer wird ein hohes Maß an Flexibilität erwartet. Aufgrund dessen soll durch das Arbeitnehmerüberlassungsgesetz ein weitreichender Schutz der Arbeitnehmer durch gewährleistet werden. Insbesondere soll gerade nicht der Verlust eines vermittelten Arbeitsplatzes jeweils sofort die Kündigung des Arbeitnehmers zur Folge haben. Vielmehr bleibt sodann natürich das Verhältnis zwischen Leiharbeitnehmer und Verleiher bestehen. Der Arbeitgeber, Verleiher muss sodann natürlich versuchen für den Leiharbeitnehmer eine neue Tätigkeit zu finden. Erst wenn nach einer gewissen Zeit diverse Versuche, die gegebenenfalls in einem Arbeitsgerichtsverfahren darzulegen und nachzuweisen sind, gescheitert sind, darf der Verleiher den Arbeitnehmer auch bei sich unter Einhaltung der gesetzlichen Kündigungsfristen kündigen.

„echte und unechte“ Arbeitnehmerüberlassung (besser: gewerbliche und ungewerbliche Arbeitnehmerüberlassung:

Früher ist zwischen „echter“ und „unechter“ Arbeitnehmerüberlassung differenziert worden. Nur die unechte Arbeitnehmerüberlassung sollte in den Bereich des AÜG fallen. Bei der „unechten“ Arbeitnehmerüberlassung wurde ein Arbeitnehmer nur für die Zwecke des Einsatzes als Leiharbeitnehmer angestellt.

Heute differenziert man zwischen der gewerbsmäßigen und nicht gewerbsmäßigen Arbeitnehmerüberlassung. Lediglich die gewerbliche Arbeitnehmerüberlassung fällt dann in den Bereich des AÜG.

Vorteile der Verwendung von Leiharbeitnehmern:

  • Leiharbeit ist eine Flexibilitätsreserve für kurzfristigen und akuten Arbeitsbedarf (Abdeckung von Leistungsspitzen).
  • Nach Erledigung der Arbeit – Beendigung von Projekten kann man den Leiharbeitnehmer sofort wieder zu seinem Arbeitgeber zurück schicken
  • Keine lange Kündigungsfrist
  • Kein Kündigungsschutz
  • kein finanzielles Risiko.
  • Unter Umständen können auch die Organisations- und Personalbetreuungskosten reduziert werden durch Leiharbeitnehmer.
  • Ebenfalls kann der Arbeitgeber den Leiharbeiter testen und ggf. irgendwann tatsächlich in seinem Betrieb als eigenen Arbeitnehmer aufnehmen  – Argument: „verlängerte Probezeit“.
  • Aus Sicht des Arbeitnehmers verlangt die Leiharbeit zunächst sehr viel Flexibilität von ihm (ständig wechselnde Einsatzorte, auch längere Anfahrten zu den Einsatzorten werden verlangt; sehr schnell wechselnde neue Aufgaben und Einsatzorte). Allerdings kann gerade nach langer Arbeitslosigkeit die Leiharbeit ein „Sprungbrett“ darstellen.

Arbeitsrecht: Leiharbeitnehmer sind bei der Berechnung der Anzahl der Mitarbeiter gem. § 23 KSchG zu berücksichtigen

Urteil des Bundesarbeitsgerichtes vom 24.01.2013, Aktenzeichen: 2 AZR 140/12

Leiharbeitnehmer sind bei der Berechnung des Betriebes (Kleinbetriebsklausel) gemäß § 23 KSchG zu berücksichtigen.

Nach § 23 Abs. 1 Satz 3 KSchG gilt der Kündigungsschutz für alle nach dem 31.12.2003 eingestellten Arbeitnehmern nur in Betrieben, in denen in der Regel mehr als zehn Arbeitnehmer beschäftigt werden. Das BAG urteilte nunmehr aktuell, dass bei der Berechnung der Betriebsgröße auch beschäftigte Leiharbeitnehmer mit zu berücksichtigen sind, wenn ihr Einsatz auf einen in der Regel vorhandenen Personalbedarf beruht. Dies würde sich aus Sinn und Zweck bei der Auslegung der gesetzlichen Bestimmungen ergeben. Der Kläger war seit Juli 2007 bei der Beklagten beschäftigt. Diese beschäftigte einschließlich des Klägers zehn eigene Angestellte. Im November 2009 kündigte die Beklagte das Arbeitsverhältnis mit dem Kläger fristgerecht. Mit der Kündigungsschutzklage hat der Kläger geltend gemacht, bei der Anzahl der im Betrieb beschäftigten Arbeitnehmer seien auch die von der Beklagten eingesetzten Leiharbeitnehmer zu berücksichtigen. Arbeitsgericht sowie Landesarbeitsgericht hatten jeweils die Klage abgewiesen, da das Kündigungsschutzgesetz ihrer Ansicht nach keine Anwendung fände. Die Revision des Klägers hatte vor dem 2. Senat des Bundesarbeitsgerichts jedoch Erfolg. Es sei nicht auszuschließen, dass im Betrieb der Beklagten mehr als zehn Arbeitnehmer im Sinne des § 23 Abs. 1 Satz 3 KSchG beschäftigt waren. Bei der Berücksichtigung von Leiharbeitnehmern steht nicht schon entgegen, dass sie kein Arbeitsverhältnis zum Betriebsinhaber begründet haben. Die Herausnahme der Kleinbetriebe aus dem Anwendungsbereich des Kündigungsschutzgesetzes soll der dort häufig in persönlicher Zusammenarbeit, ihrer zumeist geringen Finanzausstattung und dem Umstand Rechnung getragen werden, dass der Verwaltungsaufwand, den ein Kündigungsschutzprozess mit sich bringt, die Inhaber kleinerer Betriebe typischerweise stärker belaste. Dies rechtfertigt jedoch keine Unterscheidung danach, ob die den Betrieb kennzeichnende regelmäßige Personalstärke auf dem Einsatz eigener oder entliehener Arbeitsnehmer beruhe. Allerdings hat der Senat die Sache zur neuen Verhandlungsentscheidung an das LAG zurückverwiesen. Es stünde noch nicht fest, ob die zum Kündigungszeitpunkt im Betrieb tätigen Leiharbeitnehmer aufgrund eines regelmäßigen oder eines für den Betrieb in der Regel nicht kennzeichnenden Geschäftsanfalles beschäftigt waren.

Fazit:
Nach alledem müssen sich Firmen, die regelmäßig Leiharbeitnehmer beschäftigen, auch im Rahmen von Kündigungen Gedanken zu dem Punkt machen, ob die Leiharbeitnehmernur einen vorübergehenden Mehrbedarf decken sollen oder ob sie einen regelmäßig vorhandenen Arbeitsbedarf abdecken. Vorsorglich sollten Arbeitgeber im Falle von Kündigungen Leiharbeitnehmer mitzählen und sich rechtzeitig über die Kündigungsgründe Gedanken machen. Hierdurch können teure Arbeitsgerichtsverfahren sowie große Abfindungsansprüche gekündigter Arbeitnehmer verhindert jedoch zumindest erheblich reduziert werden.

Karsten Klug
Rechtsanwalt
Fachanwalt für Arbeitsrecht

Arbeitsrecht: Allgemeine Informationen zum Bereitschaftsdienst

Bereitschaftsdienst ist dadurch gekennzeichnet, dass dieser Dienst außerhalb der regelmäßigen Arbeitszeit erbracht wird (vgl. Urteil des Bundesarbeitsgerichts vom 24.01.2006, NZA 2006, Seite 862). Kennzeichnend für den Bereitschaftsdienst ist, dass der Arbeitgeber von dem Arbeitnehmer verlangt, sich an einen bestimmten Ort innerhalb oder außerhalb des Betriebs aufzuhalten, damit erforderlichenfalls die volle Arbeitstätigkeit auf Anweisung unverzüglich aufgenommen werden kann (vgl. BAG Urteil vom 25.04.2007, NZA 2007, Seite 1108). Dem Grunde nach stellt der Bereitschaftsdienst somit eine Aufenthaltsbeschränkung dar und keine volle Arbeitsleistung. Es ist möglich, dass sich Bereitschaftsdienst nahtlos an die Regelarbeitszeit anschließt (vgl. BAG Urteil vom 25.04.2007, NZA 2007, Seite 1108). Der Bereitschaftsdienst setzt nicht voraus, dass lediglich unvorhergesehene Arbeiten anfallen und nur für solche die Arbeitsleistung abgerufen wird. Vielmehr kann auch von Erfahrungswerten ausgegangen werden, wonach während dieser Zeiten tatsächlich Arbeiten anfallen (vgl. ebenfalls Bundesarbeitsgericht vom 25.04.2007, NZA 2007, Seite 1108).

Bereitschaftsdienst = Arbeitszeit?

Mittlerweile ist völlig klar, dass Bereitschaftsdienst im vollen Umfange als Arbeitszeit gilt. Somit ist sie auf die gesetzliche Höchstarbeitszeit im Sinne des § 3 Satz 1 Arbeitszeitgesetzes anzurechnen. Grundsätzlich ist es gerechtfertigt, wenn für den Bereitschaftsdienst ein anderes Entgelt zwischen den Arbeitsvertragsparteien vereinbart wird, als für die volle Arbeit. Dies allein aus dem Grund heraus, dass keine volle Arbeitsleistung während des Bereitschaftsdienstes abgerufen wird, sondern lediglich eine Aufenthaltsbeschränkung verbunden mit der Verpflichtung, bei Bedarf unverzüglich tätig zu werden, vereinbart ist (vgl. Urteil des BAG vom 12.03.2008, NJOZ 2008, Seite 4189).

Achtung: Sind in einem Arbeitsvertrag jedoch keine differenzierenden Regelungen aufgenommen worden, sind die Zeiten des Bereitschaftsdienstes bzw. die Bereitschaftszeit genauso zu vergüten, wie die Vollarbeitszeit.

Rufbereitschaft / Bereitschaftsdienst

Im Gegensatz zum Bereitschaftsdienst, welcher vollumfänglich als Arbeitszeit qualifiziert wird, ist hingegen die sogenannte Rufbereitschaft Ruhezeit und somit keine echte Arbeitszeit. Hier ist der Unterschied, dass sich der Arbeitnehmer selbst aussuchen kann, wo er sich aufhält. Verlangt wird lediglich, dass er telefonisch per Piepser oder wie auch immer erreichbar ist und alsbald, was auch immer dies genau heißen mag, zur Verfügung stehen könnte. Das BAG hat in seiner Entscheidung vom 31.01.2002, Aktenzeichen: 6 AZR 214/00, entschieden, dass eine Regelung, welche von dem Arbeitnehmer verlangt, binnen 20 Minuten an der Dienststelle zu sein, zu knapp sei und somit mit dem Sinn und Zweck der Rufbereitschaft nicht vereinbar sei.

Haben Sie Fragen zu diesen Themengebieten, nehmen Sie Kontakt zu mir auf.

Datenschutz in sozialen Netzwerken

Beschluss des Düsseldorfer Kreises vom 08.12.2011.

In seinem Beschluss stellte der Düsseldorfer Kreis klar, dass Betreiber von sozialen Netzwerken das Datenschutzrecht in Deutschland beachten müssen. Dies gilt auch für Betreiber des europäischen Wirtschaftsraumes. Zumindest gilt dies hinsichtlich der Daten von Betroffenen in Deutschland gemäß § 1 Abs. 5 Satz 2 BDSG, soweit die Betreiber ihre Datenerhebungen durch Rückgriff auf Rechner von Nutzerinnen und Nutzern in Deutschland realisieren. Nach dem Beschluss des Düsseldorfer Kreises müssen Betreiber von sozialen Netzwerken folgende Rechtmäßigkeitsanforderungen erfüllen, wenn sie in Deutschland aktiv sind:

  1. Es muss eine leicht zugängliche und verständlichen Hinweis über die Information gegeben werden, welche Daten erhoben werden und für welchen Zweck diese erhoben und verarbeitet werden. Nur so kann das Recht auf informationelle Selbstbestimmung gewahrt werden. Grundsätzlich müssen die Voreinstellungen des Netzwerkes auf dem Einwilligungsprinzip beruhen.
  2. Es soll eine möglichst einfache Möglichkeit der Betroffenen geben, ihre Ansprüche auf Auskunft, Berichtigung und Löschung der Daten geltend zu machen. Insofern sind entsprechende Kontaktdaten leicht auffindbar und für die Betroffenen bereit zu halten.
  3. Die Verwertung von Fotos zu Zwecken der Gesichtserkennung bzw. das Speichern und Verwenden biometrischer Gesichtserkennungsmerkmale sind ohne ausdrückliche und bestätigte Einwilligung des Betroffenen unzulässig.
  4. Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkeiten in sozialen Netzwerken. Im Hinblick auf Nutzungsdaten enthält es, sofern keine diesbezügliche Einwilligung vorliegt, ein Verbot der personenbeziehbaren Profilbildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen.
  5. Das direkte Einbinden von Social Plugins wie Facebook, Twitter etc. in Webseiten deutscher Anbieter, wodurch eine Datenübertragung den jeweiligen Anbieter der Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und Nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
  6. Die großen Mengen teils auch sehr sensibler Daten, die in sozialen Netzwerken anfallen, sind durch geeignete technische-organisatorische Maßnahmen zu schützen. Der Nachweis, dass entsprechende Maßnahmen getroffen worden sind, obliegt den Anbietern.
  7. Daten von Minderjährigen sind insbesondere zu schützen. Informationen über die Verarbeitung von Daten müssen somit auch für Minderjährige leicht verständlich sein und auf dem Empfängerhorizont der Minderjährigen Rücksicht nehmen.
  8. Betreiber, die außerhalb des europäischen Wirtschaftsraumes ansässig sind, müssen gemäß § 1 Abs. 12 Satz 3 BDSG einen Inlandsvertreter bestellen, der Ansprechperson für die Datenschutzaufsicht ist.
  9. Darüber hinaus gilt für in Deutschland ansässige Unternehmen, welche für das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen möchten oder sich mit entsprechenden Fanpages im Netzwerk präsentieren, dass dieses eine eigene Verantwortung hinsichtlich der Daten von Nutzern und Nuterzinnen haben. Zuvor müssen Erklärungen eingeholt werden, die eine Verarbeitung von Daten der Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Nach Ansicht des Düsseldorfer Kreises sind solche Erklärungen lediglich dann rechtswirksam, wenn verlässliche Informationen über die von dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzbetreiber gegeben werden können.

Nach Ansicht des Düsseldorfer Kreises können Webseitenbetreiber, die in der Regel keinerlei Kenntnisse über die Datenverarbeitungsvorgänge haben, die beispielsweise durch Social Plugins ausgelöst werden, für eventuelle Rechtsverstöße haftbar gemacht werden. Zumindest laufen entsprechende Seitenbetreiber Gefahr, dass sie hier selbst Rechtsverstöße begehen, dadurch dass sie auf ihren eigenen Seiten entsprechend Social Plugins anbieten. Desweiteren dürfen die Anbieter deutscher Internetseiten, die nicht über den Überblick über die durch einen Plugin mögliche Datenverarbeitung haben, nicht ohne weiteres in ihr eigenes Angebot einbinden.

Datenschutz: Datenschutzrecht in Europa

In Europa ist durch den europäischen Gesetzgeber in der Richtlinie EG-DSRl (Richtlinie 95/46/EG) der europäische Schutz personenbezogener Daten geregelt worden.

Die EG-DSRl waren so konzipiert, dass diese als einheitlicher Umsatzmaßstab (auf hohem Niveau) dienen sollte. Ausdrücklich sollte durch die Umsetzung dieser Richtlinie in den einzelnen Ländern keine Reduzierung des Schutzniveaus der personenbezogenen Daten stattfinden.

Daneben sind die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) und die Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) erlassen worden. Letztere sorgt aktuell wieder für sehr viel Gesprächsstoff, da das europäische Parlament Deutschland zu einer entsprechenden Umsetzung bzw. bereits auch jetzt zur Vorratsdatenspeicherung auffordert.

Als ein wesentlicher Unterschied zwischen der EG-DSRl und dem BDSG ist unter anderem die fehlende Differenzierung zwischen der Datenverarbeitung durch öffentliche und nicht-öffentliche Stellen zu nennen. Dies steht jedoch nicht der Umsetzung bzw. der heutigen Regelung im BDSG und der dort vorgenommenen Differenzierung zwischen öffentlichen und privaten Stellen entgegen. Auch erfasst die EG-DSRl gleichermaßen die automatisierte und auch die nicht-automatisierte Verarbeitung. Schließlich liegt der EG-DSRl ein umfassender Begriff der Datenverarbeitung zugrunde, der auch die Datenerhebung und die Nutzung umfasst, was nun auch in § 3 Abs. 3 und Abs. 5 BDSG aufgenommen worden ist.

Die Umsetzung der EG-DSRl erfolgte (trotz Frist bis zum 24.10.1998) erst im Jahre 2001, nachdem bereits gegen Deutschland ein Vertragsverletzungsverfahren durch die Europäische Kommission eingeleitet worden war. Prägend war bereits dort die Aufnahme der Prinzipien der Datenvermeidung und der Datensparsamkeit (§ 3a BDSG), sowie des Datenschutzes durch Technik oder eines Datenschutzaudits (§§ 9, 9a BDSG).

Hier lag oder liegt ein großes Problem von Europa! Durch die Richtlinienkompetenz, galten diese Normen nicht unmittelbar und zwingend in den einzelnen EU-Ländern, sondern mussten erst jeweils umgesetzt werden. Allein dies sorgte natürlich für unterschiedliche Schutzniveaus.

Durch den Vertrag von Lissabon (in Kraft getreten am 01.12.2009) gab es noch einmal neue Impulse in Bezug auf das europäische Datenschutzrecht. Zum einen sind die drei Säulen der Europäischen Union, nämlich die Europäische Gemeinschaft (EG), die Gemeinsame Außen- und Sicherheitspolitik (GASP) und die polizeiliche und justizielle Zusammenarbeit in Strafsachen (PJZS), weitestgehend vereinigt worden. Zum anderen regelt Art. 16 Absatz 2 AEUV (Konsolidierte Fassung des Vertrages über die Arbeitsweise der Europäischen Union) nun die Zuständigkeit für den Erlass von Datenschutzvorschriften umfassend und ordnet an, dass sowohl vom Parlament als auch vom Rat Datenschutzvorschriften im ordentlichen Gesetzgebungsverfahren erlassen werden, was zu einer Zustimmungspflicht des Parlaments für sämtliche datenschutzrelevante Rechtsakte führt und somit dessen Kompetenzen erheblich vergrößert.

Inhaltlich ist eine Erweiterung durch den Vertrag von Lissabon insoweit eingetreten, als dass die EU nun auch Regelungen aufstellen kann, die nicht nur für die Verarbeitung personenbezogener Daten für die europäischen Organe und Einrichtungen gelten, sondern auch für die Mitgliedstaaten. Zudem ist mit dem Vertrag von Lissabon die Europäische Grundrechte-Charta für alle Staaten (bis auf Großbritannien und Polen) rechtsverbindlich geworden, die in Art. 8 das Grundrecht des Schutzes personenbezogener Daten enthält.

 

Durch den Vertrag von Lissabon ist es Europa möglich geworden, selbst Datenschutzverordnungen zu erlassen, die sodann unmittelbar und zwingend in allen europäischen Ländern gelten.

Dies wird aktuell durch eine neue EU Datenschutzverordnung geplant. Ein erster Entwurf / Vorschlag ist am 25.1.2012 vorgelegt worden. 

Weitere Hinweise zur EU-Datenschutzverordnung finden Sie hier.

Datenschutz: Die Auftragsdatenverarbeitung (§ 11 BDSG)

Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Voraussetzung ist,

  • dass personenbezogene Daten
  • im Auftrag der verantwortlichen Stelle
  • durch eine andere Stelle erhoben, verarbeitet oder genutzt werden sollen.

Nach der Grundkonzeption liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftragnehmer weisungsgebunden (ohne eigenen Wertungs- und Entscheidungsspielraum) für den Auftraggeber tätig wird. Ist dies nicht der Fall, liegt eine Datenübermittlung an einen Dritten vor (Funktionsübertragung), so dass der Auftragnehmer selbst zur verantwortlichen Stelle wird. Entscheidend ist (wie immer) nicht der Wortlaut einer Vereinbarung, sondern der tatsächliche Inhalt des Auftrags bzw. wie dieser gelebt wird.

Zudem ist streitig, ob weitere Anforderungen hinzutreten müssen:
Nach der sog. „Funktionsübertragungstheorie“ kommt es auf die reine „Hilfsfunktion“ des Auftragnehmers an.
Nach der Vertragstheorie kommt es auf die vom Auftragnehmer übernommene Aufgabe an, d.h. auch hier auf die Weisungsgebundenheit. Es kommt somit nicht auf das an, was delegiert wird, sondern auf das wie.

Fälle der Auftragsdatenverarbeitung sind z.B. Marketingmaßnahmen, wenn diese streng von dem Auftraggeber vorgegeben werden, aber auch das klassische IT – Outsourcing, wenn zumindest der IT – Dienstleister an die Vorgaben des Auftraggebers gebunden bleibt.

Auch die Auftragsdatenverarbeitung im Konzern ist möglich, so lange keine Anhaltspunkte dafür vorhanden sind, dass sich die beauftragte Ober- oder Muttergesellschaft nicht an die erteilten Weisungen hält (so z.B. bei einer konzernweiten Personaldatenbank).

Quasi als Rechtsfolge bleibt bei der Auftragsdatenverarbeitung der Auftraggeber gem. §§ 11 Abs.1 S.1, 3 Abs. 7 BDSG allein für die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Anforderungen verantwortlich.

Dies umfasst

  • die Zulässigkeit der Erhebung, Verarbeitung, Nutzung der Daten nach allgemeinen und bereichsspezifischen Vorschriften
  • die Wahrung der Rechte des Betroffenen sowie
  • die Haftung gegenüber den Betroffenen.

Der Auftraggeber ist verpflichtet, den Auftragnehmer sorgfältig auszuwählen und zu überwachen.

§ 11 Abs. 2 S. 2 BDSG enthält eine nicht abschließende Liste von Punkten, die der Auftrag enthalten muss:

  • den Gegenstand und die Dauer des Auftrags,
  • den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Form des Auftrags ist die Schriftform.

Dem Auftragnehmer obliegen folgende Verpflichtungen:

  • Weisungsgebundenheit
  • Hinweispflichten bei Rechtsverstößen

Für die IT – Branche ist § 11 Abs. 5 BDSG interessant (Prüfung und Wartung von DV – Anlagen). Immer dann, wenn seitens externer Dienstleister bei der Systembetreuung die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, ist § 11 Abs. 5 BDSG anwendbar. Dies ist z.B. auch bei der Fernwartung (Remote-Access) zu beachten.

Falls Sie Fragen im Rahmen der Auftragsdatenverarbeitung haben oder Hilfestellung bei der Formulierung einer schriftlichen Vereinbarung benötigen, stehe ich Ihnen gerne zur Verfügung.

Datenschutz: Die Auskunftspflichten gegenüber dem Betroffenen

§ 34 BDSG:

§ 34 BDSG regelt den Anspruch auf Auskunft des Betroffenen gegenüber den datenverarbeitenden Stellen. Die Voraussetzungen des § 34 BDSG sind:

  • Auskunftsverlangen des Betroffenen
  • Identifikation des Betroffenen
  • Nähere Bezeichnung der Daten (sofern möglich – ist dies nicht möglich, wird der Antrag so ausgelegt, dass Auskunft über alle zu seiner Person gespeicherten Daten begehrt wird)

Der Umfang der Auskunft:

Grundsätzlich sind von dem Anspruch alle Daten erfasst, die zur Person des Betroffenen gespeichert sind.Insbesondere folgende Punkte:

  • „Daten zur Person des Betroffenen“ entspricht dem Begriff personenbezogene Daten gem. § 3 Abs. 1 BDSG.
  • Der Anspruch auf die Herkunft der Daten besteht nur, wenn diese Angabe in den Daten mitgespeichert wurde.
  • Daneben sind auch die Empfänger der Daten und die Kategorie von Empfängern (z.B. Adresshändler, Kreditinstitute etc.) mitzuteilen.
  • Der Zweck der Speicherung ist mitzuteilen (eine pauschale Umschreibung genügt).

§ 34 Abs. 1 S. 3, 4 , Abs. 3 und 4 BDSG enthalten Sonderreglungen für die geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung. In diesen Fällen sind auch solche Daten preiszugeben, die nicht gespeichert sind (sondern z.B. in Akten oder im Kopf des Mitarbeiters vorhanden sind). Auch sollen künftige Daten (über die erst zukünftig ein Personenbezug möglich ist) mitgeteilt werden. Des Weiteren ist der Betroffene darüber zu informieren, welche „Scorewerte“ an welche Personen in den letzten 12 Monaten vor dem Zugang des Auskunftsverlangens mitgeteilt worden sind. Eine Begrenzung des Anspruches wird durch das Erfordernis einer einzelfallbezogenen Interessenabwägung mit der Wahrung des Geschäftsgeheimnisses der verantwortlichen Stelle hergestellt.
Sofern Daten der Anfrage gespeichert werden, dürfen diese gem. Abs. 5 nur für diesen Zweck gespeichert werden. Eine anderweitige Nutzung ist ausgeschlossen.
Grundsätzlich wird gem. Abs. 6 die Schriftform verlangt, es sei denn, dass aufgrund besonderer Umstände auch eine andere Form angemessen ist. Aufgrund der Unsicherheiten im Emailverkehr sollten Auskünfte jedoch nicht per unverschlüsselter Email versandt werden.
Eine Auskunft kann nicht verlangt werden, sofern eine Ausnahmeziffer des § 33 Abs. 2 BDSG vorliegt (§ 34 Abs. 7).

Kosten?

Grundsätzlich sind die Auskünfte gem. § 34 Abs. 8 BDSG kostenfrei. Hiervon gibt es Ausnahmen, sofern die Auskünfte gegenüber Dritten zu wirtschaftlichen Zwecken genutzt werden können (§ 34 Abs. 8 S. 2 BDSG). Allerdings soll auch hier der Betroffene 1 mal pro Jahr eine kostenlose Selbstauskunft in Textform erhalten dürfen. Für jede weitere Auskunft kann dann ein Entgelt verlangt werden. Etwas anderes gilt gem. Abs. 8 S. 5 für den Fall der möglichen Unrichtigkeit der Daten.

Sofern die Auskunft entgeltlich ist, räumt Abs. 9 dem Betroffenen die Möglichkeit der persönlichen Kenntnisnahme ein (kostenfrei). Zudem wird die verantwortliche Stelle verpflichtet, auf diese Möglichkeit hinzuweisen.

Verstöße gegen die Auskunftsvorschriften stellen eine Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 8a BDSG dar und können mit einer Geldbuße bis zu 50.000,- Euro sanktioniert werden. Zudem kann der Betroffene Schadensersatz gem. § 823 Abs. 2 i.V.m. § 34 BDSG oder direkt aus § 7 BDSG geltend machen.

Mitgeteilt von Anwalt Karsten Klug.

Datenschutz: Die Einwilligung (§ 4a BDSG)

§ 4a BDSG regelt den Fall der Einwilligung in die Datenerhebung. Die Einwilligung stellt keinen Grundrechtsverzicht dar, sondern ist ein Fall der Grundrechtsausübung. Sie ist einseitig widerruflich. Durch eine Einwilligung können konkrete gesetzliche Erhebungs- und Verwendungsverbote nicht erlaubt werden (§ 134 BGB).

Sofern es sich nicht um besondere Sachverhalte (z.B. bei Banken oder Versicherungen) handelt, gilt grundsätzlich, dass Einwilligungen zur Datenerhebung auch zusammen mit anderen Willenserklärungen abgegeben werden können. Sofern jedoch AGB benutzt werden, muss eine Klausel drucktechnisch deutlich hervorgehoben werden. Für den Adresshandel ist dies ausdrücklich in § 28 Abs. 3a S. 2 BDSG geregelt. Im Falle der Online – Einwilligung sind auch noch die Anforderungen des § 13 Abs. 2 TMG zu beachten.

Im Rahmen der Nutzung der Daten zu Werbezwecken für Email oder SMS – Anschreiben ist grundsätzlich § 7 Abs. 2 S. 3 UWG zu beachten. Die unverlangte Emailwerbung stellt grundsätzlich eine unzumutbare Belästigung dar. Aufgrund dessen ist, auch wenn ggf. das Datenschutzrecht diese Nutzung noch erlaubt, das UWG zu beachten und ggf. die Nutzung gleichwohl untersagt. In der sogenannten „Payback – Entscheidung“ hatte der BGH (NJW 2008, 3055) klargestellt, dass aufgrund der besonderen wettbewerbsrechtlichen Komponente eine ausdrückliche Einwilligung erfolgen müsse (Opt-in-Lösung).

Die Einwilligung muss bestimmt sein. Eine zu pauschale Einwilligung, die z.B. die Zweckbestimmung der beabsichtigten Datenverwendung oder die Empfänger einer beabsichtigten Datenübermittlung nicht nennt, ist unzulässig.

Folglich müssen sich aus der Einwilligung

  • die Art der personenbezogenen Daten
  • der Zweck der Erhebung oder Verwendung
  • und ggf. die Empfänger (im Falle der Übermittlung)

ergeben.

Bei der Erhebung sensitiver Daten (§ 3 Abs. 9 BDSG) muss auf den besonderen Schutz und die Sensitivität hingewiesen werden.

Die Einwilligung bedarf grundsätzlich der Schriftform, es sei denn, dass besondere Umstände ein Abweichen vom Formerfordernis angemessen erscheinen lassen. Dies ist z.B. bei der Kommunikation über das Internet oder via Email der Fall. Im Gegensatz zum § 13 Abs. 2 TMG ist bei der Regelung des § 4a Abs. 1 S. 3 BDSG nicht erforderlich, dass der Betroffene seine Einwilligung jederzeit abrufen können muss. Dies jedoch fordert § 13 Abs. 2 TMG.

Achtung bei der formularmäßigen Einwilligung (z.B. in Arbeitsverträgen):
Es ist dabei darauf zu achten, dass als Pflichtfelder nur diejenigen Datenfelder ausgewiesen werden, mit denen Daten aufgrund einer gesetzlichen Erlaubnis erhoben werden. Die freiwillige Angabe weiterer Daten des Betroffenen ist indes möglich. Allerdings liegt eine wirksame Einwilligung (dieser freiwilligen Daten) nicht bereits durch die Eingabe vor. Vielmehr muss bei der Eingabemaske ausdrücklich auf folgende Punkte gem. § 4a Abs. 1 S. 2 BDSG hingewiesen werden:

  • Vorgesehenen Zweck der Erhebung
  • Welche Verarbeitung / Nutzung erfolgt
  • Ggf. auf die Folgen der Weigerung der Einwilligung hinzuweisen.
  • Im Rahmen der freiwilligen Einwilligung bestehen Koppelungsverbote bzw. werden solche diskutiert.

Niederschlag hat das Koppelungsverbot in § 28 Abs. 3 b BDSG gefunden, wonach eine verantwortliche Stelle den Abschluss eines Vertrages nicht von einer Einwilligung des Betroffenen in die Verarbeitung oder Nutzung für Zwecke des Adresshandels oder der Werbung abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Datenschutz: Aufbau des BDSG – Teil II

Meldepflichten gem. § 4 d BDSG:

Sie dienen der Vorabkontrolle. Es gibt grundsätzlich ein Regel – Ausnahme – Prinzip.

Die Regel:

Die Regel besagt, dass zunächst einmal alle verantwortlichen Stellen meldepflichtig sind. Gegenstand dieser Meldepflicht sind „Verfahren automatisierter Verarbeitungen“. Mit Verfahren sind nicht einzelne Verarbeitungsvorgänge, sondern ganze „Verarbeitungspakete“, die einem einheitlichen Zwecke dienen, gemeint. Die Meldung hat gem. Abs. 1 gegenüber der zuständigen Aufsichtsbehörde zu erfolgen (bei nicht-öffentlichen Stellen). Eine bestimmte Form ist nicht vorgeschrieben. Die Behörden akzeptieren grundsätzlich auch Emails bzw. Emailanhänge, da die Behörden Musterformulare zur Verfügung stellen und man diese dann ausgefüllt als Emailanhang senden kann.

Ausnahmen von der Meldepflicht (§ 4 d Abs. 2 – 3 BDSG):

Ausnahmen bestehen für folgende Tatbestände:

Die Bestellung eines eigenen Beauftragten für den Datenschutz (unabhängig davon, ob eine sonstige Verpflichtung dazu besteht oder nicht).

Die Erhebung, Verarbeitung, Nutzung der Daten für eigene Zwecke und hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung, Nutzung beschäftigt sind und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung, Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Seit der BDSG – Novelle 2009 ist durch die Formulierung „in der Regel“ klargestellt, dass damit nicht Personen gemeint sind, die sporadisch Daten verarbeiten, sondern diese neun Personen müssen wirklich überwiegend mit der Verarbeitung, Erhebung oder Nutzung beschäftigt sein. Mithin zählen die Mitarbeiter nicht mit, die dies nicht regelmäßig, als freie Mitarbeiter, in Teilzeit oder nur hin und wieder tun.

Ausnahme von der Ausnahme (Abs. 4):
Die Ausnahme (Befreiung von der Meldepflicht) gilt nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle zum Zwecke der (auch anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung gespeichert werden (gemeint sind Datenverarbeitungen gem. §§ 29, 30, 30 a BDSG).

Schließlich gibt es noch die Vorabkontrolle (Abs. 5 – 6):
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

Die weiteren §§ des BDSG:

§ 4 e BDSG regelt den Inhalt der Meldepflicht
§ 5 BDSG regelt das Datengeheimnis der beschäftigen Personen
§ 6 BDSG regelt die Rechte des Betroffenen mit einem Verweis auf § 34 (Auskunft), § 35 (Löschung, Sperrung) und erklärt die Unabdingbarkeit
§ 6a BDSG enthält die automatisierte Einzelentscheidung (z.B. beim Kreditantrag etc.)
§ 6b BDSG regelt die Videoüberwachung und deren Voraussetzungen.
§ 6c BDSG regelt die Nutzung mobiler personenbezogener Speicher- und Verarbeitungsmedien.
§ 7 BDSG ist Anspruchsgrundlage eines Schadensersatzanspruches des Betroffenen gegen die verantwortliche Stelle.
§ 8 BDSG regelt dies konkret für öffentliche Stellen (natürlich mit einer Haftungsbeschränkung auf 130.000,- Euro).
§ 9 BDSG regelt technische und organisatorische Maßnahmen der verantwortlichen Stelle zur Durchsetzung des BDSG, wie z.B.:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle

§ 9a BDSG regelt das Datenschutzaudit (Zertifizierungsmöglichkeit zur Verbesserung des Datenschutzes).
§ 10 BDSG Einrichtung eines automatisierten Abrufverfahrens.

Mitgeteilt von Anwalt Karsten Klug