Allgemein

Entscheidungen des Bundesarbeitsgerichts (Urteil vom 27.07.2017 – 2 AZR 681/16) und des Europäischen Gerichtshofs für Menschenrechte (vom 05.09.2017 – 61496/08 – Barbulescu) zeigen, dass Überwachungen dienstlicher Computer durch den Arbeitgeber selbst dann nicht ohne weiteres gestattet sind, wenn der Arbeitgeber nur die dienstliche Nutzung erlaubt hat.

Die Entscheidung des Bundesarbeitsgerichts vom 27.7.2017 betraf Datenerhebungen durch einen sogenannten „Keylogger“. Damit werden Tastatureingaben auf Computern aufgezeichnet und gespeichert, verbunden mit Bildschirmfotos (Screenshots). Das Bundesarbeitsgericht hält derartige Datenerhebungen nur dann für erlaubt, wenn ein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Es genügte dem Bundesarbeitsgericht nicht, dass der Arbeitgeber im entschiedenen Fall seinen Arbeitnehmern den Einsatz des Keyloggers mitgeteilt hatte und durch die Arbeitnehmer kein Widerspruch erfolgt war. Das Unterlassen eines Widerspruchs  ersetzte nicht die gemäß § 4 a Abs. 1 BDSG erforderliche Einwilligung des Arbeitnehmers in die Datenerhebung.  Auch die ab 25.05.2018 geltende neue Vorschrift zum Beschäftigtendatenschutz (§ 26 BDSG n.F.) setzt für Datenerhebungen durch den Arbeitgeber im Zweifel eine schriftliche Einwilligung des Arbeitnehmers voraus, die insbesondere freiwillig erfolgen muss.

Die Entscheidung des europäischen Gerichtshofs für Menschenrechte vom September 2017 beschäftigte sich ebenfalls mit Überwachungsmaßnahmen des Arbeitgebers. Ein Vertriebsingenieur hatte ein dienstliches Yahoo!-Messenger-Konto eingerichtet, das ausschließlich zur Kommunikation mit Kunden verwendet werden sollte. Der Arbeitnehmer wusste, dass es verboten war, dieses Konto für private Zwecke zu nutzen. Dennoch führte der Arbeitnehmer über das dienstliche Yahoo!-Messenger-Konto private Chats mit Verwandten und seiner Verlobten. Der Arbeitgeber überwachte den Inhalt der Chats und kündigte das Arbeitsverhältnis nach Kenntnisnahme der Privatnutzung. Der europäische Gerichtshof für Menschenrechte erblickte darin eine Verletzung von Art. 8 der Europäischen Menschenrechtskonvention (EMRK), was dazu führte, dass die Erkenntnisse des Arbeitgebers in der prozessualen Auseinandersetzung der Parteien nicht berücksichtigt werden durften.

Arbeitnehmern sollte in Deutschland nach den beiden Urteilen die Art der Überwachung der Kommunikation genau angekündigt werden. Es bedarf insoweit großer Transparenz entweder in den Datenschutz-Verabredungen mit dem Arbeitnehmer oder in entsprechenden Betriebsvereinbarungen zur IT-Nutzung. Arbeitgeber sollten in Betracht ziehen, dass zur Herstellung der sogenannten Überwachungstransparenz pop-up-Benachrichtigungen auf den Rechnern der Arbeitnehmer erscheinen, um sie auf die Möglichkeit der Überwachung hinzuweisen.

Das Bundesarbeitsgericht sieht als Voraussetzung für zulässige Überwachungsmaßnahmen die datenschutzrechtliche Zulässigkeit, die sich künftig an der Datenschutz-Grundverordnung zu orientieren hat. Jede Überwachung durch den Arbeitgeber bedarf konkreter Ankündigung über Art und Ausmaß der Überwachung.

Dr. Walter Brunner

Fachanwalt für Arbeitsrecht

Die Datenschutz-Grundverordnung 2016/679 vom 27.04.2016 ist bereits seit langem bekannt. Jetzt tritt sie am 25. Mai 2018 in sämtlichen Mitgliedstaaten der Europäischen Union in Kraft. Auch in Deutschland wird die DSGVO dann unmittelbar anwendbares Recht, ohne dass es einer gesetzestechnischen Umsetzung bedarf.

Ohne dem Anspruch auf Vollständigkeit insoweit gerecht werden zu können, lassen sich folgende wesentliche Änderungen gegenüber der bisherigen Rechtslage festhalten:

1. Die für die Datenverwaltung Verantwortlichen müssen künftig nicht nur den Datenschutz (wie schon bisher) beachten, vielmehr muss die Beachtung des Datenschutzes gegenüber den Aufsichtsbehörden im Zweifel nachgewiesen werden, Art. 5 Abs. 2 DSGVO.
2. Die Einwilligung der Betroffenen, dass ihre Daten verarbeitet werden dürfen, bedarf zwar in Zukunft nicht grundsätzlich der Schriftform. Den Datenverarbeitenden ist jedoch dringend zu raten, sich die unmissverständliche Einwilligung der Betroffenen jedenfalls in Textform geben zu lassen und sicherzustellen, dass die Einwilligung freiwillig mit der notwendigen Klarheit und dem Hinweis auf das jederzeitige Widerrufsrecht erfolgt ist, Art. 4 Nr. 11, 6 Abs. 1 sowie 7 und 8 DSGVO.
3. Die Datenübermittlung in Länder außerhalb der Europäischen Union ist nur möglich, wenn in den jeweiligen Ländern ein angemessenes Schutzniveau besteht. Insoweit sind auch in Zukunft Angemessenheitsbeschlüsse der Europäischen Kommission zu beachten (Einzelheiten stehen in den Artikeln 45-49 DSGVO).
4. Die Art. 35 und 36 der DSVGO verpflichten Unternehmen zur Datenschutz-Folgenabschätzung, soweit voraussichtlich hohe Risiken für die Rechte und Freiheiten von Personen zu erwarten sind.
5. 82 DSGVO erweitert die Schadensersatzpflichten auf Schmerzensgeld der Betroffenen. Außerdem haftet nicht nur der für die Daten ursprünglich Verantwortliche, sondern mit ihm der Auftrags(daten)verarbeitende als Gesamtschuldner.
6. Gemäß den Artikeln 42 und 43 DSGVO werden Zertifizierungsverfahren zum Nachweis der Einhaltung der Datenschutzvorschriften eingeführt. Die Verantwortlichen sind allerdings nicht zur Zertifizierung verpflichtet, haben den Nachweis dann aber auf andere Weise zu erbringen (siehe Ziff. 1).
7. Die Verantwortlichen und die Auftrags(daten)verarbeitenden haben interne Richtlinien, sogenannte technisch-organisatorische Maßnahmen-Kataloge (TOM) aufzustellen.
8. Der Beschäftigten-Datenschutz wird zwar in Art. 88 DSGVO geregelt, der deutsche Gesetzgeber hat ihn jedoch in § 26 BDSG neu gefasst. Insoweit geht die bundesdeutsche Regelung vor. Arbeitgeber haben wie alle übrigen Daten Verarbeiter auf die jederzeitige Widerruflichkeit der Einwilligung zur Datenverarbeitung hinzuweisen.

Dr. Walter Brunner

Rechtsanwalt

Eine Entscheidung des Oberlandesgerichts Frankfurt vom 21.07.2016 – 6 U 52/16 –, die rechtskräftig geworden ist, zeigt deutlich, dass man vor der Verwendung von Domain-Namen für gewerbliche Zwecke tunlichst eine Marken- bzw. (Werk-)Titelrecherche vornehmen sollte, bevor die Internet-Domain verwendet wird. Im entschiedenen Fall gab es eine seit Beginn der 90er Jahre genutzte Wort-/Bildmarke mit der Bezeichnung „Monumente Reisen“.

Die Markeninhaberin hat nach Auffassung des Oberlandesgerichts Frankfurt zu Recht die Verwendung einer Internet-Domain mit nahezu identischer Bezeichnung, nämlich „monumente-reisen.de“ bzw. „monumentreisen.de“ untersagen lassen. Zwar hatte die seit den 90er Jahren genutzte Wort-/Bildmarke „Monumente Reisen“ einen stark beschreibenden Anklang, da damit Reisedienstleistungen bezeichnet wurden. Das Oberlandesgericht Frankfurt verneinte allerdings einen glatt beschreibenden Charakter, weil trotz des beschreibenden Anklangs ein Phantasiewort mit ausreichend eigenschöpferischem Gehalt zu erkennen sei. Dies führte dazu, dass die neue Mitbewerberin ihre Domain-Namen an die Markeninhaberin herausgeben musste und den eigenen Internetauftritt sowie die Domain-Bezeichnung zu ändern hatte.

Vermieden werden können derartige Missgeschicke, die nach Abmahnungen auch zu nicht unerheblichen Kosten führen, durch eine vorher durchgeführte Marken- oder (Werk-) Titelrecherche. Es genügt nicht eine schlichte Domain-Recherche, wie der Fall des Oberlandesgerichts Frankfurt zeigt. Die DENIC vergibt bekanntlich Domain-Namen, soweit nicht die exakt identische Domain-Bezeichnung bereits verwendet wird.

Dr. Walter Brunner

Rechtsanwalt

Deliktische Ansprüche von KFZ-Käufern gegen VW bzw. deren Vertragswerkstätten verjähren zum 31.12.2018!

Vertragliche Gewährleistungsansprüche nach dem Kauf mangelhafter Dieselfahrzeuge sind größtenteils bereits am 31.12.2017 gemäß § 438 Abs. 1 Nr. 3 BGB verjährt, wenn man unterstellt, dass die Kaufverträge vor dem Bekanntwerden der Motormanipulationen im Kalenderjahr 2015 zustande kamen. Publik wurden die Mängel am 19.09.2015 durch Veröffentlichungen der US-amerikanischen Umweltbehörden. Die zweijährige Verjährungsfrist begann insoweit am 01.01.2016 zu laufen und endete am 31.12.2017, §§ 199, 438 Abs. 1 Nr.3 BGB. Bis dahin hatte der VW-Konzern auf die Einrede der Verjährung offiziell verzichtet.

Auf die zweijährige Verjährungsfrist kann sich der VW-Konzern jedoch gar nicht berufen, soweit die Käufer sittenwidrig getäuscht worden sind. Sofern die Schadensersatzforderungen gegen VW oder die KFZ-Händler wegen der Abgasmanipulationen auf deliktische Haftung gemäß §§ 823, 826 BGB gestützt werden, tritt Verjährung frühestens zum Ende des Kalenderjahres 2018 ein, weil die Mängel erst im September 2015 bekannt geworden sind, §§ 195, 199 BGB.

Derzeit ist eine Taktik des VW-Konzerns zu erkennen, sich ins Kalenderjahr 2019 hinüberzuretten, indem man obergerichtliche Urteile oder gar eine BGH-Entscheidung zur deliktischen Haftung vermeidet und sich in den bereits rechtshängigen Verfahren vergleicht. Da Schadensersatzansprüche zum Teil auf Verstöße gegen Umwelt- und Zulassungsbestimmungen nach EU-Gesetzen gestützt worden sind, wurde in verschiedenen Vefahren bereits beantragt, eine Entscheidung des  Europäischen Gerichtshofs (EuGH) herbeizuführen. Es ist nicht ausgeschlossen, dass der Europäische Gerichtshof angerufen wird und die Verbraucherrechte durch eine mögliche Entscheidung weiter verbessert.

Nicht rechtsschutzversicherte VW-Käufer tragen bis dahin ein nicht unerhebliches Risiko, wenn sie deliktische Ansprüche ohne vorherige Klärung der Rechtsfragen durch den Bundesgerichtshof oder den EuGH gegen VW und deren Vertragshändler verfolgen.

Allerdings wird die Verjährung nicht nur durch Erhebung einer (kostspieligen) Klage gehemmt. Vielmehr tritt Hemmung der Verjährung auch durch einen viel kostengünstigeren Antrag bei staatlich anerkannten Gütestellen ein. Selbst im Falle einer zu erwartenden Ablehnung des Güteverfahrens durch VW ist die Verjährung ab dem Zeitpunkt der Ablehnung für sechs Monate gehemmt. Falls VW-Käufer daher gegen Ende des Kalenderjahres 2018 in unverjährter Zeit einen Güteantrag stellen, verhindern sie den Eintritt der Verjährung ihrer Schadensersatzansprüche gemäß den §§ 823, 826 BGB bis Mitte des Kalenderjahres 2019. Bis dahin scheint es nach derzeitigem Stand nicht ausgeschlossen, dass der Bundesgerichtshof sich zur deliktischen Haftung des VW-Konzerns in anhängigen Verfahren geäußert hat. In diesem Fall dürfte VW in Angelegenheiten, in denen die deliktischen Ansprüche noch nicht verjährt sind, zu einer großzügigen Regelung bereit sein. Falls nicht, sind Klagen dann eventuell risikoärmer.

Alle betroffenen VW-Käufer sollten sich je nach dem Stand ihrer eigenen Sache die eintretende Verjährungsfrist (31.12.2018) notieren und etwaige verjährungshemmende Maßnahmen überlegen.

Der kostengünstige Güteantrag hemmt die Verjährung, ermöglicht weiter eine Klage und ebnet sehr wahrscheinlich den risikolosen Weg zur Schadensersatzzahlung des VW-Konzerns. Leider sind die Verbraucher in Europa zur selbständigen Verfolgung ihrer Ansprüche aufgefordert, anders als in den Vereinigten Staaten, wo VW auf Druck der Umweltbehörden erhebliche Schadensersatzzahlungen an Autokäufer geleistet hat.

Dr. Walter Brunner/ Franz X. Ritter

Rechtsanwälte