Arbeitnehmerdatenschutz in Norwegen

1 Rechtliche Grundlagen

Norwegen ist aufgrund des EWR-Abkommens Teil des gemein-samen Binnenmarktes. Obwohl das Land kein EU Mitglied ist, ist daher der Großteil des sekundären Gemeinschaftsrechts für Norwegen verbindlich. Hiervon umfasst sind auch die Daten-schutzrichtlinie (1995/46/EG), die TK Richtlinie (2002/58/EG) und die Vorratsdatenspeicherungsrichtlinie (2006/24/EG), aus denen sich wesentliche Vorgaben für das nationale Datenschutz-recht ergeben.

Die zentralen nationalen Regelwerke sind das Datenschutzge-setz (personopplysningsloven)1 und die Datenschutzverordnung (personopplysningsforskriften),2 die beide zum 1.1.2001 in Kraft traten und das Datenschutzgesetz von 1978 (lov om personere-gistre) abgelöst haben.

Aufgrund der Prägung des nationalen Rechts durch die eu-roparechtlichen Vorgaben, ist die Konzeption des norwegischen Datenschutzrechts in wesentlichen Aspekten mit dem deutschen Recht vergleichbar. Es finden sich jedoch auch prägnante Unter-schiede. So ist die Verarbeitung personenbezogener Daten -jeden-falls im Grundsatz- anmelde- und für sensitive Daten mit Perso-

1 Im Folgenden: NorDSG; hierzu bereits Leopold, DuD 2000, S. 471.2 Im Folgenden: NorDSV; das Datenschutzgesetz und die Datenschutzver-

ordnung können auf der Seite des norwegischen Datenschutzbeauftragten in norwegischer und in englischer Sprache abgerufen werden http://www. datatilsynet.no/Regelverk/Lover-og-regler/.

nenbezug sogar genehmigungspflichtig.3 In diesem Sinne ordnet § 31 NorDSG an, dass die elektronische Verarbeitung personen-bezogener Daten 30 Tage im Voraus der Aufsichtsbehörde anzu-zeigen ist. § 33 NorDSG verschärft diese Regelung, indem für die Verarbeitung sensitiver Daten4 mit Personenbezug darüber hin-aus eine Genehmigungspflicht durch die Aufsichtsbehörde be-gründet wird. Von der Genehmigungspflicht ausgenommen ist jedoch die Verarbeitung solcher sensitiver Daten, die unaufge-fordert von dem Betroffenen an die verantwortliche Stelle her-ausgegeben wurden.

Die Meldung gegenüber der Aufsichtsbehörde erfolgt durch ein Formblatt für meldepflichtige Datenverarbeitungen5 bzw. für genehmigungsbedürftige Datenverarbeitungen,6 das schrift-lich oder elektronisch bei der Aufsichtsbehörde eingereicht wer-den kann.

Die Anzeige- und Genehmigungspflicht stammt aus der Zeit der Großrechner und wurde schnell von der digitalen Revoluti-on eingeholt. Der hierdurch verursachte rasante Anstieg des Ver-waltungsaufwands bei der Aufsichtsbehörde war im Hinblick auf den bezweckten Schutz des Persönlichkeitsrechts langfristig nicht mehr zu rechtfertigen,7 so dass der Grundsatz zwar nicht aufgeho-ben wurde, heute jedoch wesentlich durch seine Einschränkun-gen in der Anwendbarkeit reduziert ist.

Für den vorliegend relevanten Bereich des Arbeitnehmerda-tenschutzes ordnet § 7-16 Abs. 1 NorDSV für die Verarbeitung

3 Aufsichtsbehörde (Datatilsynet), Guidelines for filling in the notification form, http://www.datatilsynet.no/Global/english/Notification_processing_per-sonal_data.pdf; andere Besonderheiten des norwegischen Datenschutzrechts werden nicht gesondert, sondern im Rahmen der Darstellung thematisiert, so-weit sie hierfür relevant sind.

4 Die Definition sensitiver Daten findet sich in § 2 Nr. 8 NorDSG und ent-spricht der Definition besonderer Arten personenbezogener Daten in § 3 Abs. 9 BDSG.

5 http://www.datatilsynet.no/Global/english/Notification_processing_ personal_data.pdf.

6 https://www.datatilsynet.no/Global/04_skjema_maler/konsesjonsskjema_gen-1001B.pdf.

7 Hierzu Schartum, Lov og Rett 2000, S. 543 (543 f.).

Bernd Schmidt

Arbeitnehmerdatenschutz in Norwegen

Einsicht in E-Mail-Accounts und andere betriebliche Kommunikations- und Speichermedien

Bereits 1978 hat Norwegen mit dem Erlass eines der weltweit ersten Datenschutzgesetze Maßstäbe bei der Normierung des Datenschutzes gesetzt und auch im Hinblick auf die gesetzliche Verankerung des Arbeitnehmerdatenschutzes ist man uns im Norden Europas einen Schritt voraus. Bereits seit dem 1. März 2009 gibt es hier detaillierte Regelungen für den Zugriff auf den E-Mail-Account und andere, dem Arbeitnehmer für betriebliche Zwecke zugewiesene Speichermedien, die zum Anlass für eine Übersicht des Arbeitnehmerdatenschutzes in Norwegen genommen werden sollen.

Dr. Bernd Schmidt LL.M. (UoA)

ist Referendar in Bremen und für die Wahlstation Simonsen Advokatfirma DA in Oslo zugewiesen.

E-Mail: [email protected]

DuD Datenschutz und Datensicherheit 8 | 2012 591

AUFSÄTZE

nicht sensitiver Daten von Arbeitnehmern und ehemaligen Ar-beitnehmern sowie vergleichbaren Personen an, dass diese von der Anmeldepflicht befreit sind. Das gleiche gilt gem. § 7-16 Abs. 3 NorDSV für die Verarbeitung von verschiedenen Kate-gorien sensitiver und nichtsensitiver Daten, wie Informationen über Mitgliedschaften in Fachvereinigungen, Informationen über die Abwesenheit vom Arbeitsplatz, registrierungspflichtige An-gaben im Hinblick auf Arbeitsschutz, Arbeitszeit und Umwelt-schutz sowie Informationen, die erforderlich sind, um den Ar-beitsplatz an die Anforderungen des Arbeits- und Gesundheits-schutzes anzupassen.

Sensitive Arbeitnehmerdaten sind im Übrigen gem. § 7-16 Abs. 2 NorDSV von der Genehmigungspflicht befreit, soweit der betroffene Arbeitnehmer in die Verarbeitung eingewilligt hat oder eine gesetzliche Grundlage hierfür besteht und die Daten im Rahmen der Personalverwaltung verarbeitet werden. Auch wenn diese Voraussetzungen erfüllt sind, bleibt es für die Ver-arbeitung sensitiver Beschäftigtendaten jedoch bei einer Melde-pflicht gegenüber der Aufsichtsbehörde.

2 Regelungen des Arbeitnehmerdatenschutzes

Anders als im deutschen Recht findet sich im norwegischen Da-tenschutzrecht keine Differenzierung zwischen den Voraus-setzungen der Datenverarbeitung durch verschiedene öffentli-che und nicht-öffentliche Stellen.8 Stattdessen gibt es allgemei-ne Grundsätze und Erlaubnistatbestände, die auf jede Daten-verarbeitung, also auch auf die Datenverarbeitung im Arbeits-verhältnis, anwendbar sind. So gilt auch im norwegischen Recht der Grundsatz des Verbots der Datenverarbeitung mit Erlaub-nisvorbehalt,9 der in § 8 NorDSG -vergleichbar mit der Regelung in § 4 Abs. 1 BDSG- normiert ist. Aus der Norm ergibt sich da-rüber hinaus die Zulässigkeit der Datenverarbeitung beim Vor-liegen einer Einwilligung oder einer gesetzlichen Ermächtigung. Für den Arbeitnehmerdatenschutz finden sich zudem in der Da-tenschutzverordnung speziellere Teilregelungen, die im Folgen-den beschrieben werden.

2.1 Einsichtnahme in E-Mail-Accounts und andere Speichermedien

Mit Wirkung zum 1.3.2009 ist in die Datenschutzverordnung ein 9tes Kapitel zur „Einsicht in E-Mail-Accounts etc.“ eingeführt worden,10 das die Arbeitnehmer vor Verletzungen ihrer informa-tionellen Selbstbestimmung schützen, aber auch das Interesse des Arbeitgebers an der Verfügbarkeit unternehmensbezogener Da-ten sichern soll.11

Den Anstoß für die Neuregelung gaben neben einer allgemein steigenden Zahl von Eingaben von Arbeitnehmern an den Daten-schutzbeauftragten auch drei Strafanzeigen der Aufsichtsbehör-

8 Vgl. § 1 Abs. 2 BDSG und die Kommentierung bei Schmidt, in: Taeger/Gabel (Hrsg.), BDSG, § 1, Rn. 22 ff. für die Differenzierung der Anwendbarkeit des BDSG auf öffentliche Stellen des Bundes, der Länder und nicht-öffentlicher Stellen.

9 Sandtrø, LoD-2009-97-12; Schartum/Bygrave, Personvern i informationssamfun-net, 2004, Rn. 4.7.2.1; Schartum, Lov og Rett 2000, S. 543 (552); anders Leopold, DuD 2000, S. 471 (472), der davon ausgeht, dieses Prinzip sei dem norwegischen Recht fremd.

10 Für eine deutsche Übersetzung siehe Anhang.11 Vgl. Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (182).

de wegen Verstößen gegen Datenschutzvorschriften in den Jahren 2006/07. So hatte sich etwa 2007 der Leiter eines Verlages in Nor-wegen Zugriff auf den mit Nutzername und Passwort geschütz-ten E-Mail-Account des Büroleiters in Schweden verschafft, in-dem er ein E-Mailkonto einrichtete, an das eine Blindkopie sämt-licher eingehender E-Mails geschickt wurde, ohne dass der Büro-leiter hiervon Kenntnis hatte.12 Vor diesem Hintergrund erklärt sich auch der spezielle Fokus der Regelungen auf die Einsichtnah-me in den E-Mail-Account von Arbeitnehmern.

Die neuen Vorschriften wurden von dem zuständigen Minis-terium für Regierungsverwaltung, Reform und Kirchenangele-genheiten13 erlassen und durch umfassende Erläuterungen er-gänzt, in denen zu wesentlichen Aspekten der Neuregelung Stel-lung genommen wird.14 In der Literatur wird diesbezüglich kri-tisiert, dass die Erläuterungen eine fragliche rechtliche Qualität hätten und das Ministerium stattdessen besser umfassendere Re-gelungen in der Vorschrift selbst hätten schaffen sollen.15 Hiervon unabhängig ist jedoch festzuhalten, dass die Erläuterungen wich-tige Anhaltspunkte für die Auslegung der Vorschriften enthalten und somit von erheblicher praktischer Relevanz sind.

2.2 Anwendungsbereich

Anders als man aufgrund der Überschrift „Einsicht in E-Mail-Ac-counts etc.“ vermuten könnte, regeln die Vorschriften nicht nur die Einsichtnahme in den E-Mail-Account, sondern darüber hi-naus auch weitere wesentliche Bereiche des Arbeitnehmerdaten-schutzes und sogar Aspekte des Datenschutzes in Universitäten, Hochschulen, Organisationen und Vereinigungen. Es handelt sich hierbei jedoch nicht um eine umfassende Neuregelung des Arbeitnehmerdatenschutzes, wie sie derzeit in Deutschland an-gestrebt wird, sondern nur um eine Teilregelung, die den einzel-fallbezogenen Zugriff des Arbeitgebers auf bestimmte Arbeitneh-merdaten regelt. Eine laufende Überwachung der Nutzung der Unternehmens-IT durch Arbeitnehmer ist nach der Neuregelung hingegen ausdrücklich nicht zulässig (§ 9-2 NorDSV).

Vom Anwendungsbereich erfasst ist gem. § 9-1 Abs. 2 NorDSV zunächst der Zugriff auf den Inhalt des E-Mail-Accounts, der dem Arbeitnehmer von dem Arbeitgeber zur Nutzung bei der Arbeit zur Verfügung gestellt wurde. Hierbei ist es unerheblich, ob der Arbeitnehmer auf den E-Mail-Account von einem Unter-nehmens- oder einem privaten Computer aus zugreift.16 Nicht er-fasst sind private E-Mail-Accounts, die der Arbeitnehmer selbst eingerichtet hat (z.B. gmail, hotmail, gmx),17 selbst wenn er die-se auch beruflich nutzen sollte sowie Postfächer, die vom Arbeit-geber zum privaten Gebrauch durch den Arbeitnehmer einge-richtet wurden.

Darüber hinaus sind von der Neuregelung auch diejenigen Be-reiche des Unternehmensnetzwerkes sowie andere Kommunika-

12 Hierzu Jahresbericht des norwegischen Datenschutzbeauftragen 2007, S. 50 http://www.datatilsynet.no/Global/04_planer_rapporter/aarsmelding/ aarsmelding_2007.pdf; Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (180 f.).

13 http://www.regjeringen.no/en/dep/fad.html?id=339.14 Im Folgenden: Erläuterungen des Ministeriums; die Erläuterungen des Mi-

nisteriums finden sich im Anhang der Datenschutzverordnung und können in norwegischer und englischer Sprache abgerufen werden (siehe Fn. 2).

15 Borchgrevink, LoD-2009-97-14.16 Oslo byfogdembete (Gericht 1. Instanz), einstweilige Verfügung vom

25.11.2009, TOBYF-2009-179266.17 Oslo byfogdembete (Gericht 1. Instanz), einstweilige Verfügung vom

11.2.2010, TOBYF-2010-26339.

592 DuD Datenschutz und Datensicherheit 8 | 2012

AUFSÄTZE

tions- und Speichermedien erfasst, die ausschließlich dem Ar-beitnehmer zum Gebrauch während der Arbeitszeit zugewiesen sind. Dies sind etwa Ordner in der Unternehmens-IT, elektroni-sche Geräte wie Laptop und Mobiltelefon, aber auch mobile Spei-chermedien wie USB-Sticks u.a. Abzugrenzen sind diese von sol-chen Geräten und Speichermedien, die nicht dem einzelnen Ar-beitnehmer, sondern einer Personenmehrheit im Unternehmen oder der Allgemeinheit zugewiesen oder zugänglich sind. Hier-auf hat der Arbeitgeber nach allgemeinen Grundsätzen Zugriff.

Gegenstand der Einsichtnahme können kommunikationsbe-zogene Inhalte wie E-Mail, SMS und MMS aber auch nicht kom-munikationsbezogene Daten wie z.B. Vermerke, Kundenlisten oder Strategiepapiere sein.

§ 9-1 Abs. 3 NorDSV erstreckt den Anwendungsbereich auch auf frühere Arbeitnehmer und Personen, die für den Arbeitgeber tätig werden, ohne formell Arbeitnehmer zu sein und aus § 9-1 Abs. 4 NorDSV folgt klarstellend, dass die Regelungen auch für die Datenverarbeitung durch Auftragsdatenverarbeiter gelten.

Gem. § 9-1 Abs. 5 NorDSV finden die Regelungen zudem auf die Einsichtnahme von Hochschulen und Universitäten in Daten von Studierenden sowie auf die Einsichtnahme von Organisati-onen und Vereinigungen in die Daten von ehrenamtlichen Mit-arbeitern und gewählten Vertrauenspersonen (tillitsvalgtes) An-wendung. Hintergrund ist die Annahme, dass die Betroffenen hier in einer vergleichbaren Gefährdungslage wie Arbeitnehmer sind, so dass die gleichen Voraussetzungen für den Zugriff gelten sollen. Die folgende Darstellung soll sich jedoch nicht vertieft mit diesem Aspekt auseinandersetzen.

2.3 Voraussetzungen des Zugriffs

Die Voraussetzungen des Zugriffs ergeben sich aus § 9-2 NorDSV. Hiernach darf der Arbeitgeber auf die geschützten Inhalte zu-greifen, wenn es notwendig ist, um den täglichen Betrieb des Un-ternehmens aufrecht zu erhalten oder um berechtigte Interessen zu verfolgen (§ 9-2 Abs. 1 a NorDSV). Ferner dann, wenn der begründete Verdacht besteht, dass der Arbeitnehmer durch den Gebrauch des E-Mail-Accounts bzw. der erfassten Kommunika-tions- und Speichermedien in grober Weise gegen seine Pflichten aus dem Arbeitsverhältnis verstößt oder der Gebrauch eine Kün-digung rechtfertigen würde (§ 9-2 Abs. 1 b NorDSV).

Was täglicher Gebrauch ist, wird weder in der Vorschrift, noch in den Anmerkungen des Ministeriums definiert. Der Begriff setzt jedoch voraus, dass ein Bezug zu der verantwortlichen Stel-le besteht und die Information für den laufenden Betrieb relevant ist und nicht etwa nur gespeichert wird, um Dokumentations-pflichten o.ä. zu erfüllen. Ob die Daten hingegen wichtig für das Unternehmen sind, weil sie etwa Know-how oder andere archi-vierungswürdige, unternehmenskritische oder buchführungs-pflichtige Information enthalten, ist hierfür unerheblich. Es liegt daher in der eigenen Verantwortung des Arbeitgebers, im Rah-men der Regelungen des 9. Kapitels der Datenschutzverordnung und der Vorschriften des Datenschutzrechts im Übrigen sicher-zustellen, dass solche Daten für ihn zugänglich gespeichert sind bzw. zugänglich gemacht werden.18

Notwendig ist der Zugriff, wenn der Arbeitgeber sich die Infor-mation nicht in zumutbarer Weise auf anderem Wege beschaf-

18 Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (186); Borchgrevink, LoD-2009-97-14.

fen kann. Hierfür ist eine Abwägung der Interessen des Arbeit-gebers und der entgegenstehenden Interessen des Arbeitnehmers vorzunehmen.19

Hiernach geht die Interessenabwägung etwa im Fall der Ein-sicht in E-Mails des Arbeitnehmers während seiner Abwesenheit zulasten des Arbeitgeberinteresses aus, wenn kein besonderes Eil-bedürfnis gegeben ist, so dass der Arbeitgeber zunächst versuchen muss, die E-Mail von dem Absender zu erhalten, bevor er auf das Postfach des Arbeitnehmers zugreifen kann.20

Weiter kann für die Interessenabwägung relevant sein, in wel-che Daten Einsicht genommen werden soll. So sollen für den Zugriff auf Sicherheitskopien von gelöschten Daten erhöhte An-forderungen gelten, da der Arbeitnehmer durch das Löschen seinen Willen ausgedrückt habe, dass die Informationen Drit-ten nicht mehr zugänglich sein sollen.21 Auch für den Zugriff auf SMS wird von erhöhten Anforderungen an die Rechtfertigung des Zugriffs ausgegangen, da diese regelmäßig keine dienstlichen Inhalte hätten.22

§ 9-2 Abs. 1 b NorDSV rechtfertigt die Einsichtnahme bei dem begründeten Verdacht, dass der Arbeitnehmer durch den Ge-brauch der Unternehmens-IT in grober Weise gegen Pflichten aus dem Arbeitsverhältnis verstößt oder der Gebrauch der Unter-nehmens-IT zur Kündigung berechtigen würde. Erfasst sind von beiden Alternativen rechtswidrige oder potentiell für das Unter-nehmen schädliche Nutzungen, insbesondere in Form strafba-rer Handlungen durch den Arbeitnehmer,23 aber auch durch ver-tragswidrige Aktivitäten, wie die Errichtung und den Betrieb ei-nes Konkurrenzunternehmens vor dem Ende des Arbeitsverhält-nisses und vor dem Ablauf eines Wettbewerbsverbots.24

Der Hierauf gerichtete Verdacht erfordert konkrete tatsäch-liche Anknüpfungstatsachen und darf nicht lediglich ein vager (Anfangs)verdacht sein. Für hinreichend erachtet werden etwa glaubhafte Angaben von Kollegen oder andere belastbare Hinwei-se aus den dem Arbeitgeber zugänglichen betrieblichen Daten.25

Die Voraussetzungen des Zugriffs gem. § 9-2 NorDSV sind ab-schließend, so dass insbesondere die Einwilligung des Arbeitneh-mers keine hinreichende Rechtfertigung des Zugriffs darstellt.26 Sie wird im Rahmen der Interessenabwägung jedoch regelmäßig zu berücksichtigen sein.

Unsicherheiten im Hinblick auf Tatsachen, die eine Rechtferti-gung stützen, gehen grundsätzlich zu Lasten des Arbeitgebers, so dass es zweckmäßig ist, ein Protokoll der Einsichtnahme anzufer-tigen und von den Personen unterzeichnen zu lassen, die bei der Einsichtnahme anwesend waren, um in Konfliktfällen auf eine dann erforderliche Dokumentation zurückgreifen zu können.27

19 Erläuterungen des Ministeriums § 9-2.20 Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (185); Borchgrevink,

LoD-2009-97-14.21 Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (185 f.).22 Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (185); Borchgrevink,

LoD-2009-97-14.23 Erläuterungen des Ministeriums § 9-2.24 Oslo byfogdembete (Gericht 1. Instanz), einstweilige Verfügung vom

11.2.2010, TOBYF-2010-26339.25 Erläuterungen des Ministeriums § 9-2.26 Bortigang lagmannsrett (Gericht 2. Instanz), Urteil vom 14.3.2011, LB-2010-

77918; Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (187).27 Borchgrevink, Arbeidsrett og Arbeidsliv 2009, S. 179 (189).


AUFSÄTZE

2.4 Verfahren des Zugriffs

§ 9-3 NorDSV regelt das Verfahren des Zugriffs. Diesbezüglich kann zwischen der Einsichtnahme nach vorherigem Hinweis und der Einsichtnahme ohne vorherigen Hinweis differenziert wer-den. Für beide gilt gleichermaßen, dass der Zugriff nach Möglich-keit so vorgenommen werden soll, dass gespeicherte Daten nicht verändert werden (§ 9-3 Abs. 4 NorDSV), um eine spätere Über-prüfung der gewonnenen Informationen zu ermöglichen. Fer-ner sind die geöffneten Speichermedien unverzüglich zu schlie-ßen, wenn die Überprüfung ergibt, dass der Zugriff nicht berech-tigt gewesen ist, also der Verdacht durch den Zugriff nicht erhär-tet werden kann.

Das Verfahren des Zugriffs nach vorherigem Hinweis be-stimmt sich gem. § 9-3 Abs. 1 NorDSV. Durch die Regelung wer-den umfassende prozessuale Maßnahmen zum Schutz der infor-mationellen Selbstbestimmung der Arbeitnehmer getroffen, die jedoch unter dem Vorbehalt der Möglichkeit im Hinblick auf den Zweck der Maßnahme stehen. So soll nach § 9-3 Abs. 1 NorDSV der Arbeitnehmer, soweit dies möglich ist, vor der Einsichtnah-me auf die hierauf gerichtete Absicht des Arbeitgebers hingewie-sen werden. In dem Hinweis soll dargelegt werden, aufgrund wel-cher Tatsachen der Arbeitgeber annimmt, dass die Voraussetzun-gen der Einsichtnahme vorliegen. Dem Betroffenen soll dann die Möglichkeit zur Stellungnahme gegeben werden. Bei der Vornah-me der Einsicht ist dem Arbeitnehmer zudem im Rahmen der Möglichkeiten Gelegenheit zur Anwesenheit und zur Hinzuzie-hung einer Vertrauensperson oder eines Vertreters zu geben.

Die Einsichtnahme ohne vorherigen Hinweis ist in § 9-3 Abs. 2 NorDSV geregelt und nur im Ausnahmefall zulässig, et-wa wenn sonst das Ziel der Maßnahme gefährdet würde. Erfasst werden hiervon insbesondere Situationen, in denen der Arbeit-nehmer abwesend ist und nicht rechtzeitig herbeigerufen werden kann. Wie sich aus den Erläuterungen des Ministeriums ergibt, ist die Gefahr der Manipulation von Daten durch den Angestellten bei Ermittlungen wegen eines gegen ihn gerichteten Verdachts in diesem Zusammenhang jedoch nicht ohne weiteres geeignet, ei-ne Einsichtnahme ohne vorherige Information zu rechtfertigen. Der Arbeitgeber ist vielmehr zunächst darauf zu verweisen, ein vollständiges Backup des Datenspeichers bzw. des Teils der ein-gesehen werden soll zu machen, um der Gefahr des Datenverlus-tes oder der Datenveränderung entgegenzuwirken. Im Folgen-den kann die Einsichtnahme dann nach einem Hinweis und un-ter Beachtung des beschriebenen Verfahrens der Einsichtnahme erfolgen.28 Lediglich dann, wenn der Hinweis die Vorbeugung, Ermittlung oder Verfolgung strafbarer Handlungen durch die Strafverfolgungsbehörden gefährden würde, kann hierauf ver-zichtet werden.29 Im Hinblick auf den grundsätzlichen Vorrang der Sicherung vor der heimlichen Einsichtnahme ist daher ein über die bloße Gefährdung der Integrität der Daten hinausge-hender Umstand, etwa Fluchtgefahr des Betroffenen, erforderlich, um eine Einsichtnahme ohne vorherigen Hinweis vorzunehmen.

Soweit eine Einsichtnahme ohne Hinweis erfolgt ist, ist dieser gem. § 9-3 Abs. 2 NorDSV unmittelbar im Anschluss nachzu-holen. Hierbei ist dem Arbeitnehmer mitzuteilen, dass eine Ein-sichtnahme stattgefunden hat und es sind die Tatsachen mitzu-teilen, aufgrund derer der Arbeitgeber angenommen hat, die Ein-

28 Erläuterungen des Ministeriums § 9-3.29 Erläuterungen des Ministeriums § 9-3.

sichtnahme sei gerechtfertigt gewesen. Damit erhält der Arbeit-nehmer die Information, die er auch durch einen Hinweis vor der Einsichtnahme bekommen hätte. Gem. § 9-3 Abs. 2 NorDSV ist ihm darüber hinaus mitzuteilen, mit welcher Methode die Ein-sichtnahme vorgenommen wurde, welche E-Mails oder Doku-mente geöffnet wurden und welches Ergebnis die Einsichtnahme hatte. Damit soll der Nachteil des Arbeitnehmers durch die feh-lende Möglichkeit zur Stellungnahme und Rechtsverteidigung im Vorfeld jedenfalls teilweise ausgeglichen werden, indem er die In-formation erhält, die er für eine nachträgliche Rechtsverteidigung benötigt.

Gem. § 23 Abs. 1 b NorDSG kann von einem nachträglichen Hinweis jedoch soweit abgesehen werden, wie dies zur Vorbeu-gung, Ermittlung und Verfolgung strafbarer Handlungen durch Strafverfolgungsbehörden erforderlich ist.

2.5 Ende des Arbeitsverhältnisses

§ 9-4 NorDSV regelt den Umgang mit Daten in den erfassten Datenspeichern nach dem Ende des Arbeitsverhältnisses. Die-se sind, soweit sie nicht für den täglichen Gebrauch erforderlich sind, in angemessener Frist zu löschen. Welche Frist angemessen ist, bestimmt sich anhand einzelfallbezogener Kriterien, es ist je-doch davon auszugehen, dass der Arbeitgeber die Daten jeden-falls innerhalb von 6 Monaten zu sichten und ggf. zu sichern hat.30 Als Standartverfahren rät das Ministerium jedoch nicht zu einer Sichtung durch den Arbeitgeber, sondern durch den Arbeitneh-mer, der hierbei private Inhalte löschen kann und die Daten im Übrigen dem Arbeitgeber zur Verfügung stellen soll.31

2.6 Abweichende Vereinbarungen

Gem. § 9-5 NorDSV sind abweichende Vereinbarungen mit dem Arbeitnehmer oder Anweisungen des Arbeitgebers, die zuun-gunsten des Arbeitnehmers von den Vorschriften des 9. Kapitels der Datenschutzverordnung abweichen unwirksam. Möglich ist es jedoch, eine Anweisung oder Vereinbarung zur Nutzung der Unternehmens-IT zu treffen oder diese mit dem Arbeitgeber oder dem Tarifpartner zu vereinbaren, um die gesetzlichen Pflichten zu konkretisieren.32

2.7 Arbeitnehmerdatenverarbeitung außerhalb des Anwendungsbereichs

Die Verarbeitung von Arbeitnehmerdaten, die nicht in den An-wendungsbereich des 9. Kapitels der NorDSV fällt, ist nicht spezialgesetzlich geregelt und richtet sich nach der allgemeinen Regel in § 8 NorDSG bzw. § 9 NorDSG für sensitive Daten.33

Aus § 8 NorDSG folgt, dass die Datenverarbeitung nur dann zulässig ist, wenn der Betroffene eingewilligt hat, eine gesetzliche Ermächtigung besteht oder die Datenverarbeitung für die Erfül-lung einer Pflicht oder Aufgabe gem. § 8 a-f NorDSG erforder-lich ist.

30 Erläuterungen des Ministeriums § 9-4.31 Erläuterungen des Ministeriums § 9-4.32 Bortigang lagmannsrett (Gericht 2. Instanz), Urteil vom 14.3.2011, LB-2010-

77918; Erläuterungen des Ministeriums § 9-5; Borchgrevink, Arbeidsrett og Arbeids-liv 2009, S. 179 (192 f.).

33 Hierzu allgemein Schartum, Lov og Rett 2000, S. 543 (552 f.).


AUFSÄTZE

Während das Einverständnis des Arbeitnehmers im Anwen-dungsbereich des 9. Kapitels der NorDSV die Verarbeitung sei-ner personenbezogenen Daten nicht rechtfertigen kann, ist dies nach den allgemeinen Vorschriften jedenfalls im Grundsatz mög-lich.34 Vergleichbar mit der Problematik im deutschen Recht wird aber auch in Norwegen diskutiert, in welchem Umfang der Ar-beitnehmer aufgrund der überlegenen Machtstellung des Arbeit-gebers und im Hinblick auf die erforderliche Freiwilligkeit tat-sächlich eine wirksame Einwilligung erklären kann.35 Ein erklär-tes Einverständnis ist daher allenfalls im Ausnahmefall geeignet, einen Rechtfertigungstatbestand zugunsten des Arbeitgebers zu schaffen.

Die gesetzlichen Erlaubnistatbestände gem. § 8 NorDSG um-fassen die Erfüllung eines Vertrages (§ 8 a NorDSG), die Erfül-lung einer gesetzlichen Pflicht (§ 8 b NorDSG), die Verfolgung eines wichtigen Interesses (§ 8 c NorDSG), die Erfüllung einer Aufgabe im öffentlichen Interesse (§ 8 d NorDSG), die Ausübung öffentlicher Gewalt (§ 8 e NorDSG) sowie die Wahrnehmung ei-nes berechtigten Interesses der datenverarbeitenden Stelle oder eines Dritten, soweit das entgegenstehende Interesse des Betroffe-nen nicht überwiegt (§ 8 f NorDSG). Während die Ermächtigun-gen gem. §§ 8 d und e NorDSG auf die Datenverarbeitung durch öffentliche Stellen zugeschnitten sind, ergeben sich aus den übri-gen Regelungen Ermächtigungen, die im Wesentlichen den Rege-lungen des BDSG in § 32 Abs. 1 S. 1 bzw. § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 entsprechen. Hiernach ist die Datenverarbeitung im Grund-satz zulässig, wenn der Zweck der Datenverarbeitung das entge-genstehende Interesse des Arbeitnehmers überwiegt.

3 Fazit

Mit dem 9. Kapitel der NorDSV sind in Norwegen detaillierte Re-gelungen für einen Teilbereich des Arbeitnehmerdatenschutzes geschaffen worden, nämlich den gezielten Zugriff des Arbeitneh-mers auf den E-Mail-Account und andere Kommunikations- und Speichermedien, die dem Arbeitnehmer zur betrieblichen Nut-zung ausschließlich zugewiesen sind.

Die Regelungen schaffen hierfür einen zweckmäßigen Aus-gleich zwischen dem Interesse des Arbeitgebers an der Verfüg-barkeit betrieblicher Information und dem Interesse der Beschäf-tigten an der Integrität ihnen zugewiesener Kommunikations- und Speichermedien, indem sie den Zugriff nur unter der Vor-aussetzung zulassen, dass dieser für betriebliche oder disziplina-rische Zwecke erforderlich ist.

Diesem Zweck dienen auch die Regelungen zum Verfahren der Einsichtnahme, die sicherstellen, dass Arbeitnehmer grundsätz-lich vor der Einsichtnahme zu informieren und anzuhören sind und bei der Einsichtnahme anwesend sein sowie einen Beistand hinzu rufen können.

Die Einschränkung der Verfügbarkeit betrieblicher Informati-on wird für den Arbeitgeber auf ein zumutbares Maß begrenzt, indem Ausnahmen von diesen Grundsätzen bis hin zur heimli-chen Einsichtnahme ohne (sofortigen) nachträglichen Hinweis zugelassen werden, soweit dies erforderlich und angemessen ist.

Trotz detaillierter Vorgaben auf Tatbestandsseite verbleiben jedoch gewisse rechtliche Unsicherheiten, da die Vorschriften,

34 Sandtrø, LoD-2009-97-12.35 Hierzu Schartum/Bygrave, Personvern i informationssamfunnet, 2004, Rn. 4.7.2.2.

wie letztlich wohl jede datenschutzrechtliche Eingriffsermäch-tigung, eine Interessenabwägung im Einzelfall nicht entbehrlich machen. Dennoch handelt es sich um ein schlüssiges Regelungs-konzept für einen Teilbereich des Arbeitnehmerdatenschutzes, das für Neuregelungen in diesem Bereich als Referenz herange-zogen werden kann.

Anhang

Datenschutzvorschrift Kapitel 9 Einsicht in E-Mailpostfach etc.eingefügt durch Vorschrift vom 29. Januar 2009 Nr. 84 (In Kraft seit dem 1. März 2009) 36

§ 9-1. Anwendungsbereich u.a.Dieses Kapitel behandelt das Recht des Arbeitgebers zur Einsicht-nahme in den E-Mail-Account des Arbeitnehmers u.a.

E-Mail-Account ist ein Postfach für E-Mails, das der Arbeitge-ber dem Arbeitnehmer zur Nutzung bei der Arbeit zur Verfügung gestellt hat. Diese Regeln gelten entsprechend für den Zugriff des Arbeitgebers in den Bereich des EDV-Systems des Arbeitgebers und in andere elektronische Kommunikationsmedien oder elek-tronische Ausstattung, die dem Arbeitnehmer von dem Arbeit-geber zum Gebrauch während der Arbeit zugewiesen sind. Die Bestimmungen gelten auch für den Zugriff des Arbeitgebers auf Informationen, die der Arbeitnehmer an den genannten Stellen gelöscht hat, von denen es jedoch Sicherheitskopien o.ä. gibt, auf die der Arbeitgeber Zugriff hat.

Die Regeln gelten in gleicher Weise für gegenwärtige Arbeit-nehmer und frühere Arbeitnehmer und andere Personen, die für den Arbeitgeber Tätigkeiten ausführen oder ausgeführt haben.

Die Regeln gelten entsprechend für die Datenverarbeitung durch Auftragsdatenverarbeiter.

Die Regeln geltend entsprechend für die Einsichtnahme von Universitäten und Hochschulen in E-Mail-Accounts von Studie-renden und für die Einsichtnahme von Organisationen und Ver-einigungen in E-Mail-Accounts von ehrenamtlichen Mitarbei-tern und gewählten Vertrauenspersonen (tillitsvalgtes).

§ 9-2. Voraussetzungen der EinsichtnahmeDer Arbeitgeber darf den E-Mail-Account des Arbeitnehmers nur dann durchsuchen, öffnen oder E-Mails des Arbeitnehmers lesen,a. wenn dies notwendig ist, um den täglichen Betrieb des Unter-

nehmens aufrecht zu erhalten oder um berechtigte Interessen zu verfolgen

b. wenn der begründete Verdacht besteht, dass der Arbeitnehmer den E-Mail-Account so benutzt, dass er damit in grober Weise gegen seine Pflichten aus dem Arbeitsverhältnis verstößt oder eine Kündigung oder andere Beendigung des Arbeitsverhält-nisses gerechtfertigt ist.

Der Arbeitgeber ist nicht berechtigt, den Gebrauch elektronischer Einrichtungen einschließlich der Internetnutzung zu überwa-chen, es sei denn, dies ist nach § 7-11 dieser Vorschrift zulässig.

36 Übersetzung des Autors, für den Originaltext und eine englische Überset-zung siehe Fn. 2.


AUFSÄTZE

§ 9-3. Verfahren bei EinsichtnahmeDer Arbeitnehmer soll, soweit dies möglich ist, auf die beabsich-tigte Einsichtnahme hingewiesen werden und es soll ihm Gele-genheit zur Stellungnahme gegeben werden, bevor der Arbeit-geber Einsicht nach diesem Kapitel nimmt. In dem Hinweis soll der Arbeitgeber darlegen, warum er annimmt, dass die Voraus-setzungen des § 9-2 vorliegen und auf die Rechte des Arbeitneh-mers nach dieser Vorschrift hinweisen. Dem Arbeitnehmer soll, soweit dies möglich ist, die Gelegenheit zur Anwesenheit und zur Hinzuziehung einer Vertrauensperson oder eines Vertreters ge-geben werden.

Findet die Einsichtnahme ohne vorausgehenden Hinweis statt, soll der Arbeitnehmer unmittelbar nach der Einsichtnah-me schriftlich darauf hingewiesen werden. Der Hinweis soll zu-sätzlich zu den Informationen des Absatz 1, Satz 2, darüber infor-mieren, mit welcher Methode die Einsichtnahme vorgenommen wurde, welche E-Mails oder anderen Dokumente geöffnet wur-den und welches Ergebnis die Einsichtnahme hatte.

Die Ausnahme von dem Informationsrecht gem. § 23 Daten-schutzgesetz gilt entsprechend. Die Ausnahme umfasst auch den nachträglichen Hinweis gem. Abs. 2.

Die Einsichtnahme soll so vorgenommen werden, dass soweit dies möglich ist, Daten nicht verändert werden und dass man die gewonnenen Informationen überprüfen kann.

Wenn die Einsichtnahme in den E-Mail-Account nicht ergibt, dass der Arbeitgeber zur Einsichtnahme nach § 9-2 a oder b be-rechtigt war, sollen der E-Mail-Account und die Dokumente un-verzüglich geschlossen werden. Gemachte Kopien sind zu lö-schen.

§ 9-4. Löschung u.a. mit Ende des Arbeitsverhältnisses Wenn das Arbeitsverhältnis endet, soll der E-Mail-Account u.ä. des Arbeitnehmers geschlossen und der Inhalt, der nicht für den täglichen Betrieb erforderlich ist in angemessener Frist gelöscht werden. § 28 Datenschutzgesetz gilt entsprechend.

§ 9-5. Abweichungen von den Bestimmungen dieses KapitelsAnweisungen oder Vereinbarungen über die Einsicht in den E-Mail Account o.ä. des Arbeitnehmers, die zuungunsten des Arbeitnehmers von den Bestimmungen dieses Kapitels abwei-chen, sind unzulässig.

Meinhard Erben (Hrsg.) Allgemeine GeschäftsbedingungenIT Verträge wirksam vereinbaren

5. Aufl. 2011. 210 S. Br. EUR 39,95ISBN 978-3-8349-2908-2Der Markt für IT-Dienstleistungen wächst beständig, der Trend zur Verlagerung auf externe Anbieter setzt sich fort. Hersteller, Händler, Lieferanten und Dienstleister verwenden AGB, die häufig unwirksam sind und so große Risiken in sich bergen. Besonders für Nicht-Juristen bietet dieses Buch eine Grundlage zur Überprüfung, Verhandlung und Gestaltung von AGB-Klauseln im IT-Umfeld.

www.wirtschaftslexikon.gabler.de Jetzt online, frei verfügbar!

Zahlreiche Muster-Klauseln für die Praxis

springer-gabler.de

Änd

erun

gen

vorb

ehal

ten.

Erh

ältli

ch im

Buc

hhan

del

od

er b

eim

Ver

lag.

Einfach bestellen: [email protected] Telefon +49 (0)6221 / 3 45 – 4301


AUFSÄTZE

Arbeitnehmerdatenschutz in Norwegen

Documents

Transcript of Arbeitnehmerdatenschutz in Norwegen