DATENSCHUTZKONKRETRecht | Projekte | LösungenChefredaktion: Rainer Knyrim

E-Mail, Internet und MarketingAuf dem Weg zur europäischen Cloud?

Interview mit Helmut Fallmann, Vorstand Fabasoft

Praxisprojekt: IT- und Datenschutz-PoliciesRainer Knyrim, Markus Oman

Kontrolle Internet/E-Mail am ArbeitsplatzWolfgang Goricnik

Checkliste E-Mail-MarketingHans-Jürgen Pollirer

Judikaturrückblick: Zustimmung und WerbungViktoria Haidinger

Rechtswidrige Weitergabe von DatenErnst M. Weiss

dako.manz.at

P.b.b. Verlag Manz 1230 Wien, Gutheil Schoder Gasse 17

ISSN

2313

-540

9DSGVODie neuen Pflichten

Rainer Knyrim

1/2016

das praxisprojekt

4 Dako 1 | 2016

Rainer KnyrimRechtsanwalt und Partner Preslmayr Rechtsanwälte

Markus Omangeschäftsführender Gesellschafter O.P.P.-Beratungsgruppe

IT- und Datenschutz-Policies in der PraxisTypische Inhalte einer IT-Policy/Enduser-Vereinbarung. Die Formulierung des DSG 2000 ist un-geeignet, Mitarbeiter darüber zu informieren, was im Zusammenhang mit der betrieblichen Da-tenverarbeitung zulässig ist. Das dabei am intensivsten diskutierte Thema ist die Frage, inwieweitdie private E-Mail- und Internetnutzung am Arbeitsplatz zulässig ist. Der Beitrag zeigt die Phasender praktischen Umsetzung einer IT-Policy und die typischen Punkte, die dabei zu regeln sind.

Je mehr IT in Unternehmen eingesetzt wirdund die Arbeitsabläufe digitalisiert werden,desto mehr besteht die Notwendigkeit, denUmgang mit dieser durch die Mitarbeiterzu regeln.

Das DSG 2000 regelt grundlegend, wiepersonenbezogene Daten verwendet werdendürfen. Die textuelle Ausformulierung desGesetzes ist allerdings ungeeignet, Mitarbei-ter darüber zu informieren, was im Zusam-menhang mit der betrieblichen Datenverar-beitung zulässig und erwünscht ist, bzwwelche Handlungen – va in datenschutz-rechtlicher Hinsicht – zu unterlassen sind.Zumeist werden organisatorische Regelun-gen der Unternehmen zum Umgang mitder betrieblichen IKT1 als Endbenutzer-Richtlinien, Enduser-Policies oder IT-Poli-cies bezeichnet. Vielfach gibt es bereits der-artige Policies oder sie sind Regelungsin-halte von Betriebsvereinbarungen. Durchtechnische Entwicklungen und die Zu-nahme desmobilenArbeitens sind diese Re-gelungen jedoch oft nicht mehr zeitgemäß.

Die künftige DSGVO sieht laut politi-scher Einigung vom 15. 12. 2015 eine Pflichtder Unternehmen zur Implementierungvon Datenschutz-Policies vor (Art 22 Z 2aDSGVO2) – soweit es im Hinblick auf dieDatenverarbeitungsaktivitäten verhältnis-mäßig ist. Das dabei am intensivsten disku-

tierte Thema ist die Frage, inwieweit die pri-vate E-Mail- und Internetnutzung am Ar-beitsplatz zulässig ist.

Art 22 Z 2a DSGVO sieht einePflicht zur Implementierungvon Datenschutz-Policiesvor.

Recht: Kaum gesetzliche RegelnvorhandenAbgesehen von Regelungen für den öffent-lichen Bereich im Beamten-Dienstrechtsge-setz3 ist gesetzlich4 nicht geregelt, inwieweitArbeitnehmer E-Mail und Internet am Ar-beitsplatz privat nutzen dürfen. § 14 DSG2000 beinhaltet neben diversen technischenDatensicherheitsvorschriften wie der Zu-griffs- oder Zutrittskontrolle auch organisa-torische Datenschutzvorschriften, die eineSchulung und Instruktion der Mitarbeitervorsehen,5 sowie auch organisatorische An-weisungen, wie mit Daten umzugehen ist.

Eine Möglichkeit zur Umsetzung diesergesetzlichen Datenschutzpflichten ist dieEinführung von Leitlinien im Unterneh-men zum Umgang mit der Unterneh-mens-IKT. Arbeitsrechtlich handelt es sichdabei umDienstanweisungen, also umVor-gaben des Unternehmens an die Mitarbei-

ter, die verpflichtend einzuhalten sind. Sollmit diesen Leitlinien auch die Verpflich-tung nach § 15 DSG 2000, die Mitarbeiteran das Datengeheimnis in vertraglicherForm zu binden, mitabgedeckt werden, somuss diesen Leitlinien entweder von jedemeinzelnen Mitarbeiter zugestimmt werden(zB durch Unterschrift in Papierform oderaktive elektronische Zustimmung, etwa An-klicken auf einer Intranet-Webseite in Ver-bindung mit einer sicheren Authentifika-tion der natürlichen Person oder aktiveRückmeldung per E-Mail6), oder diese Ver-pflichtung nach § 15 DSG 2000 wird in ei-nem gesonderten Blatt von der Policy abge-trennt und separat unterschrieben oder zu-gestimmt.

HINWEISVon solchen Policies zu unterscheidensind Betriebsvereinbarungen, die ar-beitsverfassungsrechtlich eine Ver-einbarung zwischen dem Unterneh-men und dem Betriebsrat sind; siehedazu Goricnik, Die Kontrolle der Inter-

1 Informations- und Kommunikationstechnologie. 2Textfas-sung 15039/15 des Europäischen Rates v 15. 12. 2015. 3Siehedazu Hartmann,Novelle des Bundesdienstrechts als Modell fürdie Nutzung und Kontrolle von Internet am Arbeitsplatz? JusIT2010/21, 48. 4Es existieren jedoch Leitlinien, Normen undVor-lagen aus technischer Sicht, zB aus den Bereichen CobiT, ISAE,BSI, ITIL. 5Dies erfolgt in vielen Fällenmittels eLearning; sieheOman/Gruber, Praxisprojekt: Datenschutzschulung durch breitangelegtes eLearning, Dako 2014, 4. 6Auch hier ist eine si-chere Personenauthentifikation dringend anzuraten.

das praxisprojekt

Dako 1 | 2016 5

net-Nutzung und des E-Mail VerkehrsamArbeitsplatz in diesemHeft Seite 7.

Projekt: Phasen der praktischenUmsetzungEine Endbenutzervereinbarung ist nurdann zweckmäßig, wenn diese genau andie Gegebenheiten des Unternehmens bzwder Organisation angepasst ist und wenndie Vereinbarung alle wichtigen Bereicheabdeckt. Man könnte es bildlich mit einemPuzzle vergleichen, dass nur dann ein rich-tiges Bild ergibt wenn alle Teile am richtigenPlatz ein- und zusammengefügt sind.

RemoteZugänge/Telearbeit

Geschäftsan-wendungen

& Büro-

Software

Daten &

Datenträger

Internet- Email

&WWW

Protokollierung

Rückgabe von

Firmenmäßigen Vordrucken

Sanktionen –Was

passiert bei Zuwider-handlung?

Salvatorische Klausel &

Kenntnisnahme

Arbeitsplatz-computer und

Netzwerk

Abbildung: Gliederung einer Endbenutzer-

vereinbarung für Informations- & Kommuni-

kationstechnik

Die Einführung oder Aktualisierung be-steht aus mehreren Phasen:

Phase 1: Erhebung des Ist-Standes. Zu-nächst muss erhoben werden, welche inter-nen Regelungen im Unternehmen im Be-reich IT-Nutzung, Datenschutz, Datensi-cherheit bereits existieren. Weiters musserhoben werden, ob es dazu Betriebsverein-barungen oder Einzelvereinbarungen mitden Mitarbeitern gibt. Eine weitere Erhe-bung betrifft die Frage, welche Regeln tat-sächlich in Kraft sind bzw wie die IKT be-stimmte „Geschäftsfälle“ löst – angefangenbeim faktischen Kontrollieren der E-Mail-und Internetnutzung an der Firewall oderdurch Zusatzprogramme bis hin zum Zu-griff auf E-Mails/Daten bei längerer Abwe-senheit oder Unfällen von Mitarbeitern, zuVertretungsregelungen im Urlaub oderdem Ausscheiden von Mitarbeitern.

Phase 2: Diese geht meist einher mitPhase 1 und besteht darin, zu ermitteln, obdie aktuellen Regelungen noch zeitgemäßsind, dh den Anforderungen im Unterneh-

men und den rechtlichen Verpflichtungenentsprechen, oder – wenn noch keine Rege-lungen bestehen – wie diese aussehen könn-ten. Hier sollte mit den Stakeholdern imUnternehmen (IT, Betriebsrat falls vorhan-den) gesprochen und deren Position undVerhandlungsbereitschaft zu Änderungenermittelt werden; mit Vorstand/Geschäfts-führung sollte ebenfalls gesprochen werden,um deren Position gegenüber den Arbeit-nehmern zu ergründen bzw auch um fest-zustellen, inwieweit sie sich durch künftigeRegelungen selbst binden will. Zudemsollte, soweit vorhanden, die Rechtsabtei-lung, der Compliance Officer oder der Da-tenschutzbeauftragte bzw der IDB7 eng ein-gebunden werden.

Gute Regelungen helfen inder Praxis nicht, wenn dieFührungsebene sich selbstnicht daran hält.

Phase 3: Erstellung eines Entwurfs für einePolicy und begleitende Betriebsvereinba-rung/Mitarbeiterzustimmung zur Umset-zung der Kontrollmaßnahmen. Es ist leidernicht so, dass man die ganze Thematik miteiner „Standardregelung“ für alle Unterneh-men gleich regeln kann oder dass es „eine“perfekte Regelung gibt. Es handelt sich –

aufgrund der spezifischen Situation, derbisherigen Entwicklung und künftigerWünsche in den Unternehmen – immerum ein individuell gestaltetes Dokument,selbst wenn dieses auf verschiedenen Mus-terbausteinen (siehe Abbildung) aufbaut,die in sich schlüssig zu kombinieren undanzupassen sind.

Phase 4: Diskussion des Entwurfs derPolicy mit den Stakeholdern, allfälligeÜberarbeitungen.

Phase 5: Inkraftsetzung und Kommu-nikation der Policy durch dasUnternehmenüber Intranet oder Schulungen.Wenn dieseeine Zustimmung zum Datengeheimnisnach § 15 enthält, ist aktive Zustimmungdazu einzufordern. Es folgt der Abschlussder begleitenden Betriebsvereinbarung mitdem Betriebsrat und Kommunikation der-selben oder Einholung der arbeitsverfas-sungsrechtlichen Zustimmungserklärungder Mitarbeiter.

Phase 6: Schließlich aktives „Leben“ derPolicy und Betriebsvereinbarung, dh Kon-trolle der Einhaltung und Sanktionierungvon Verstößen dagegen. Ansonsten warder ganze Aufwand eine reine „Papier-

übung“, ohne dass sich das Verhalten beiden Mitarbeitern ändert.

PRAXISTIPPEs empfiehlt sich erstens, alle ein biszwei Jahre die Policy und die Be-triebsvereinbarung auf Aktualität zuprüfen und allenfalls anzupassen,und zweitens, diewichtigsten Begriffe,Anwendungsfälle und Verhaltensre-geln im Zusammenhang mit der IKT-Verwendung und Datenschutz auchzu schulen. Als zweckmäßig hat sich –

neben persönlichen Schulungen – dieMethode des eLearnings erwiesen.

Lösung: Typischer Inhalt einer PolicyTypische Gliederung bzw Inhalte einer IT-Policy/Enduser-Vereinbarung sind:n Definition der Zielsetzung, Klarstellung

des Geltungsbereichs und des Inkraft-tretens;

n Klarstellung von personeller Zuständig-keit im Unternehmen;

n Regelungen zum Arbeitsplatzcomputerund zum Netzwerk, insb zu Zugriffs-schutz, Zugriff zum Firmennetzwerkund auf Anwendungen, Virenschutz,physische Sicherheit;

n Regelungen zu mobilen Endgeräten wieberuflichen oder privaten Laptops undSmartphones;

n Regelungen zu Internetzugriff und zuDaten auf mobilen – dienstlichen oderprivaten – Endgeräten (siehe Literatur-hinweise unten);

n Regelungen zur Tele-Arbeit;n Regelungen zur Installation von Soft-

ware;n Datenkategorisierung, Regeln zu Daten-

schutz, Datengeheimnis und Datenwei-tergabe;

n falls erforderlich, besondere berufsspe-zifische Datenschutzmaßnahmen (zBGesundheitsbereich);

n Regelungen zu Datenspeicherorten –

insbesondere eine Regelung der Frage,wo persönliche Arbeitsergebnisse zwi-schengespeichert werden können (per-sönliches Laufwerk) oder ob private Da-ten gespeichert werden dürfen (privatesLaufwerk);

n Regelungen zum Datenexport mittelsDatenträgern und ausgedruckten Da-ten;

7Unternehmensinterner IT- und Datenschutzbeirat (IDB) © O.P.P.

das praxisprojekt

6 Dako 1 | 2016

n Regelungen für die berufliche Nutzungbzw Verhaltensweise für die Nutzungvon E-Mails und Social-Media; Regelun-gen für private Nutzung von Social-Me-dia-Plattformen (es dürfen keine Fir-mengeheimnisse offenbart werden;keine Äußerungen getroffen werden,die dem Unternehmen selbst zugeord-net werden könnten); zu unterscheidensind Social-Media-Anwendungen fürUnternehmenszwecke;

n Offenlegung von Protokollierungs- undKontrollmaßnahmen;

n Regelungen bei Eintritt, Austritt (zBRückgabe firmenmäßiger Vordruckeund Speichermedien) und Stellenwech-sel sowie Vertretungsregelungen;

n Klarstellung der Sanktionen, die bei Zu-widerhandeln ergriffen werden.

Lösung: Typischer Inhalteiner BetriebsvereinbarungEine Betriebsvereinbarung bzw ersatzweiseeine Mitarbeiterzustimmung zu Kontroll-maßnahmen iSd § 96 Abs 1 Z 3 ArbVG sollnur die Kontrolle der Policy regeln, nichtaber die Policy-Inhalte selbst:n Ziel, Geltungsbereich und Geltungs-

dauer der Vereinbarung;n Kontrollmaßnahmen, die in Kraft ge-

setzt werden, insb zur Kontrolle desE-Mail- und des Internetverkehrs undder Speicherung von Daten;

n Regelung der Auswertung der Überwa-chungsergebnisse (oft Vier-Augen-Prin-zip mit dem Betriebsrat);

n Regelung der Aufbewahrungsdauer derProtokolldaten.

PRAXISTIPPEs sollte unternehmensseitig jeden-falls die Rechtsabteilung, der Compli-ance Officer oder der Datenschutzbe-auftragte bzw der IDB eingebundenwerden.

Regelung der Privatnutzungvon E-Mail und InternetBei der Nutzung von Internet und E-Mailergeben sichGefahren, besonders bei der pri-vaten Nutzung von firmeneigenem IKT-Equipment. Nicht jede Gefährdung kanndurch technische Vorkehrungen, wie zBZwischenschaltung einer Firewall, einessog Contentfilters oder eines Intrusion De-tection System (Angreifererkennungssys-tem), gänzlich beseitigt werden. Dahermussdurch Sensibilisierung der Mitarbeiter hin-

sichtlich potenzieller Gefahrenquellen, mög-licher Schaden abgewendet werden.8

Aufgrund schlechter Erfahrung mit zuentgegenkommenden Nutzungsregelungen,die privates E-Mailen, Internetsurfen unddas Speichern von privaten Daten auf un-ternehmenseigenen Systemen zulassen, ge-hen viele Unternehmen in der Praxis dazuüber, bestehende Zulässigkeiten einzu-schränken.

HINWEISSo gab es Probleme mit gekündigtenMitarbeitern, wenn Unternehmennicht in der Lage waren, zulässigeprivate E-Mails auf Aufforderung desgekündigten Mitarbeiters physisch zulöschen;9 ebenso gab es Behinderungvon forensischen Untersuchungen beiKorruptionsverdacht, Forderungenzur Herausgabe von Dateien oderE-Mails durch Angehörige verstorbe-ner Mitarbeiter und Forderungen vonUrheberrecht-Verwertungsgesell-schaften wegen urheberrechtlich ge-schützten Audio- und Videofiles amUnternehmensserver.10

Es besteht unseres Erachtens auch keinGrund mehr, Mitarbeitern die private Nut-zung der dienstlichen Hard- und Software –bis auf wirkliche Notfälle – zu erlauben:1 TB Speicherplatz für das Urlaubsfoto-Backup kostet nur mehr wenige Euro; einprivates Smartphone, auf dem derMitarbei-ter privat per E-Mail oder Social Mediaauch untertags erreichbar ist, gibt es bei je-dem Netzbetreiber gegen Vertragsbindungzu geringen Beträgen. Das Verbieten derPrivatnutzung spart der Mitarbeiter wederGeld, noch wird er in seiner privaten Er-reichbarkeit tagsüber behindert.

PRAXISTIPPIn der Diskussion im Unternehmenund insb mit Betriebsräten zeigt sich,

dass es notwendig ist, das Thema derNutzung der technischen Oberflächedes Unternehmens vom Thema derZulässigkeit von privaten Tätigkeiteninnerhalb der Dienstzeit zu trennen,um zu einem Erfolg bei der Änderungder bisherigen Policy zu gelangen. Einplastisches Beispiel war in einemUmsetzungsprojekt die Aussage einesMitarbeiters, dass er es unfair fand,dass sein Kollege ein- bis zweimal proStunde nach draußen gehe, um zurauchen, und er nicht in derselbenZeit private E-Mails schreiben dürfe –

also schlicht auch nichts arbeitendürfe. Gefragt, ob es für ihn Ordnungsei, wenn er in dieser Zeit privateE-Mails über einen Webmail-Accountoder auf seinem privaten Mobiltelefonschreiben dürfe, meinte dieser, dassdas natürlich kein Thema sei.

Genau dies ist aber der Punkt: Einschrän-kung oder Verbot der privaten E-Mail-und Internetnutzung dienen dazu, eine sau-bere Trennung zwischen Beruflichem undPrivatem zu schaffen, damit der Arbeitge-ber nicht in unangenehme und eventuellkostenintensive Probleme schlittert. DieVerhandlungen werden von Erfolg gekröntsein und die Regelungen in der Praxis ak-zeptiert werden, wenn der Arbeitgeber sei-nen Mitarbeitern die Möglichkeit eröffnet,während der Arbeitszeit ein Mindestmaßan sozialen Kontakten zu halten (dieseskann in der Policy und/oder mit dem Be-triebsrat schriftlich niedergelegt werden) –

aber nicht mit dienstlicher IKT-Ausstat-tung.

Dako 2016/3

Zum Thema

Über die AutorenDr. Rainer Knyrim ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte in Wien.

Tel: +43 (0)1 533 16 95, E-Mail: knyrim@preslmayr.at, Internet: www.preslmayr.at

Ing. Mag. Markus Oman, CSE, ist geschäftsführender Gesellschafter der O.P.P.-Beratungs-

gruppe.

Tel: +43 (0)699 125 180 89, E-Mail: markus.oman@opp-beratung.com,

Internet: www.opp-beratung.com

8Siehe näher Knyrim, Praxishandbuch Datenschutzrecht3(2015) 261ff. 9Unter Löschen von Daten iSd DSG 2000 ist das„physische Löschen“ gemeint (Maßnahme mit der Wirkung,dass der Auftraggeber nicht mehr über die Daten verfügt)und nicht das bloß „logische Löschen“, siehe dazu OGH15. 4. 2010, 6 Ob 41/10p. 10Weitere Beispiele siehe bei Knyrim,Praxishandbuch Datenschutzrecht3 (2015) 296.

der beitrag

Dako 1 | 2016 7

Literaturhinweise „Bring Your Own Device“Sollten private Endgeräte zulässig sein, ist eine separate „Bring Your Own Device“ Regelung zu empfehlen, siehe dazu

n Ludwig, Neue Arbeitswelt: BYOD in Österreichs Unternehmen, Dako 2015, 80 f;

n Goricnik/Riesenecker-Caba, Datenschutz und Datensicherheit beim betrieblichen Einsatz mobiler „smarter“ Endgeräte, Dako 2015, 34 ff;

n Pollirer, Checkliste – Bring Your Own Device (BYOD), Dako 2015, 12ff.