Diese Frage sehen wir immer wieder in den Personalfragebögen bei unseren Mandanten und wir prüfen, ob diese Frage aus datenschutzrechtlichen Gründen überhaupt zulässig ist.
Schließlich geht es den Arbeitgeber nichts an, was die Mitarbeiter in ihrer Freizeit machen, oder vielleicht doch?
Aus (datenschutz)rechtlicher Sicht sieht das ganze so aus: Nach Art. 12 GG herrscht die Berufsfreiheit, d.h. prinzipiell darf jeder einen Nebenjob annehmen. Allerdings sind dem auch Grenzen gesetzt: Maximal 48 Stunden pro Woche sind gem. § 3 ArbZG erlaubt, vorübergehend darf dies sogar auf bis zu 60 Stunden (= 10 Stunden pro Werktag) erhöht werden. Dabei werden die Arbeitszeiten von Haupt- und Nebenjob zusammengezählt. Wichtig ist dabei vor allem, dass die Ruhe und Pausenzeiten auch eingehalten werden. Es müssen mindestens 11 Stunden gesetzliche Ruhezeit eingehalten werden, bevor die Arbeit erneut beginnt (§ 5 ArbZG). Abgestellt wird hierbei auf das tatsächliche Ende der Arbeitszeit, also sowohl des Haupt- als auch des Nebenjobs. Wer um 9 Uhr morgens mit seinem Hauptjob beginnt, muss also spätestens um 22 Uhr seine Arbeit im Nebenjob beendet haben.
Doch wer ist für die Einhaltung dieser Regelungen verantwortlich? Es sind die Arbeitgeber, die sich aufgrund ihrer Fürsorgepflicht um die Arbeits- und Ruhezeiten ihrer Mitarbeiter kümmern müssen.
Der Arbeitgeber, der hiergegen verstößt begeht eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 15.000 Euro geahndet werden kann (§ 22 Abs.1, 2 ArbZG).
Jeder Arbeitgeber ist also gesetzlich dazu verpflichtet, dafür zu sorgen, dass er seinen Mitarbeiter die gesetzlichen Ruhezeiten gewährt. Insofern ist es gesetzlich geboten, eine eventuelle Nebentätigkeit abzufragen und ggfs. sogar zu verbieten, wenn zu befürchten ist, dass hierdurch gegen das Arbeitszeitgesetz verstoßen wird. Andernfalls würde dem Arbeitgeber fahrlässiges Verhalten vorgeworfen werden können. Als Rechtsgrundlage für die Erhebung dieser Daten dient damit Art. 6 Abs. 1 lit b), c) DSGVO. Ein Verstoß gegen datenschutzrechtliche Bestimmungen liegt somit nicht vor.
Falls Sie Fragen dazu haben, welche Informationen Sie im Rahmen Ihrer Personalfragebögen stellen dürfen sprechen Sie uns gerne an.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Das Landgericht Berlin verurteilte einen Pharmalobbyisten sowie einen Systemadministrator zu einer hohen Geldstrafe wegen Ausspähens von Daten (vgl. Redaktion beck-aktuell, Verlag C.H.BECK, 11. April 2019: LG Berlin: Geldstrafen wegen Ausspähens von Daten aus dem Bundesgesundheitsministerium; ebenso: rbb 24 online, 10.04.2019, Tagesspiegel online, 10.04.2019, Urteil vom 10.04.2019 - 501 – 39/13).
Der für das Bundesgesundheitsministerium zuständige Systemadministrator ermöglichte dem Pharmalobbyisten zwischen 2009 und 2012 immer wieder unbefugt Zugang zur E-Mail-Korrespondenz des Ministeriums; darunter E-Mails der damaligen Gesundheitsminister, Staatssekretäre und weiterer wichtiger Mitarbeiter. Der Pharmalobbyist wollte sich auf diese Weise noch vor etwaigen Konkurrenten und der Öffentlichkeit einen Informationsvorsprung verschaffen, um frühzeitig Einfluss auf Entscheidungen des Gesundheitsministeriums nehmen zu können.
Im Rahmen des Prozesses kam aber ebenso heraus, dass das Ministerium zum damaligen Zeitpunkt wohl nicht alle notwendigen technischen sowie organisatorischen Maßnahmen umgesetzt hatte, um einen solch unbefugten Zugang und Zugriff des IT-Administrators zu verhindern oder zumindest frühzeitig zu erkennen (Redaktion beck-aktuell). Dass dies jedoch kein Einzelfall ist, zeigen die verschiedenen Datenpannen, die immer wieder publik werden.
Das Thema Datensicherheit sollte jedoch bei allen öffentlichen Stellen und Unternehmen einen hohen Stellenwert haben, um Unbefugten sowohl von außen und als auch von innen den Zugriff zu verwehren. Denn Fälle wie dieser oder auch der von Cambridge Analytica zeigen sehr deutlich, wie schwerwiegend sich Datenschutzverstöße und die damit einhergehende ungleiche Verteilung von Informationsmacht auf Politik und Gesellschaft auswirken (können).
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben herausgefunden, dass E-Mail-Signaturen mit den Verschlüsselungsstandards S/MIME und OpenPGP bis vor kurzem leicht zu fälschen waren. Unsignierte E-Mails wurden fälschlicherweise als signiert und damit als vertrauenswürdig angezeigt. Betroffen ist dabei die Signaturprüfung, nicht jedoch die Erstellung der Signatur.
Signaturen von E-Mails sollen dem Empfänger anzeigen, dass die E-Mail vom Absender kommt (Authentizität) und nicht manipuliert wurde (Integrität). Die Schwachstellen haben es Angreifern ermöglicht E-Mails so zu verändern, dass die Authentizität und Integrität der Nachricht beim Empfänger nicht gewährleistet werden konnte.
Ein Angreifer konnte beispielsweise bei einer gefälschten E-Mail mit ungültiger Signatur eine weitere Nachricht mit gültiger Signatur mitschicken. Die E-Mail-Programme prüften dann die Signatur der zweiten Nachricht, zeigten jedoch die gefälschte Nachricht an, sodass es für den Empfänger so aussah, als hätte die Nachricht eine gültige Signatur.
Die Forscher haben die Entwickler der E-Mail-Programme vor der Veröffentlichung informiert, sodass entsprechende Updates zur Verfügung gestellt werden konnten. Die Verschlüsselungsstandards S/MIME und OpenPGP können daher nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin verwendet werden. Dabei ist jedoch zu beachten, dass die E-Mail-Software durch regelmäßige Updates auf dem neuesten Stand gehalten werden muss und aktive Inhalte (wie die Ausführung von HTML-Code und das Nachladen externer Inhalte) deaktiviert werden müssen.
Julia Eisenacher
Consultant für Datenschutz
Juristin (Univ.)
Steuerberater mit Mandat unterliegen dem Berufsgeheimnis, sind in Ausübung ihrer Tätigkeit weisungsunabhängig und agieren eigenverantwortlich. Die Verarbeitung personenbezogener Daten, die ihnen von ihren Mandanten übermittelt werden, ist dabei lediglich ein unvermeidliches Beiwerk ihrer Tätigkeit. Daher wurde in der Vergangenheit mehrheitlich die Ansicht vertreten, dass ein Steuerberater kein Auftragsverarbeiter sei.
Die Aufsichtsbehörden in Hessen, Baden-Württemberg und NRW (u.a. LfDI BW: 34. Tätigkeitsbericht 2018, S. 57 f) sehen dies nun aber anders, zumindest wenn es um die Verarbeitung von Beschäftigtendaten für die Lohn- und Gehaltsabrechnung geht: Soweit ein Steuerberater für ein Unternehmen die Gehaltsabrechnung vornimmt, ist für diese Dienstleistung ein Vertrag zur Auftragsverarbeitung abzuschließen. Unabhängig davon ob ein entsprechendes Mandat besteht.
Sie als Unternehmen sollten folglich dahingehend agieren, dass Sie für die oben genannten Fälle zeitnah einen Vertrag zur Auftragsverarbeitung mit Ihrem Steuerberater abschließen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.