Warum eine Mitarbeiterbelehrung zum Datenschutz  und klare Regeln zur Nutzung von Arbeitsmitteln im Unternehmen unerlässlich sind!

In Zeiten zunehmender Digitalisierung und strenger Datenschutzvorgaben ist es für Unternehmen unerlässlich, ihre Mitarbeitenden nicht nur über den Schutz personenbezogener Daten zu unterweisen, sondern ihnen auch klare Regeln zur Nutzung betrieblicher Arbeitsmittel an die Hand zu geben. Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die sichere und rechtmäßige Verarbeitung personenbezogener Daten – und damit auch an jede einzelne Person im Betrieb, die mit solchen Daten arbeitet. Gleichzeitig führt die weit verbreitete Nutzung von Smartphones, Laptops, E-Mail und Internetzugängen im Arbeitsalltag zu neuen Risiken: Ohne klare Richtlinien drohen Datenschutzverstöße, Haftungsfälle oder arbeitsrechtliche Auseinandersetzungen.

Eine fundierte Mitarbeiterbelehrung schafft hier Abhilfe. Sie informiert über datenschutzrechtliche Pflichten, technische Schutzmaßnahmen und den korrekten Umgang mit sensiblen Informationen. Ebenso wichtig ist die ausdrückliche Untersagung der privaten Nutzung betrieblicher Ressourcen – nicht zuletzt zum Schutz des Unternehmens vor Kontrollverlust, Sicherheitslücken oder internen Konflikten. Dieser Beitrag zeigt auf, welche Inhalte eine rechtssichere Mitarbeiterbelehrung enthalten sollte und welche arbeitsrechtlichen Grundlagen für die Nutzungseinschränkung gelten.

1. Einleitung

Die ordnungsgemäße Unterweisung von Mitarbeitenden im Bereich Datenschutz sowie der sachgemäße Umgang mit betrieblichen Arbeitsmitteln (z. B. Firmenhandys, Laptops, E-Mail-Konten) ist aus juristischer Sicht zwingend geboten. Arbeitgeber treffen sowohl nach der Datenschutz-Grundverordnung (DSGVO) als auch nach arbeitsrechtlichen Grundsätzen umfassende Organisations- und Sorgfaltspflichten. Die schriftliche Belehrung von Beschäftigten dient dabei nicht nur der Risikominimierung, sondern bildet auch eine notwendige Nachweisgrundlage bei Datenschutzvorfällen oder arbeitsrechtlichen Streitigkeiten.

2. Datenschutzrechtliche Grundlagen

Gemäß Art. 5, 6, 13 und 32 DSGVO sind Unternehmen verpflichtet:

• personenbezogene Daten rechtmäßig, zweckgebunden und transparent zu verarbeiten,
• technische und organisatorische Maßnahmen zur Datensicherheit zu treffen und
• betroffene Personen über Art, Umfang und Zwecke der Datenverarbeitung aufzuklären.

Da Mitarbeiter in der Regel Zugang zu personenbezogenen Daten Dritter (z. B. Kunden, Patienten, Geschäftspartner) haben, sind sie selbst als „Verarbeitende“ im Sinne der DSGVO zu betrachten. Eine verpflichtende Schulung und Verschwiegenheitserklärung ergibt sich u. a. aus:

• Art. 29 DSGVO: Weisungsgebundene Verarbeitung durch Mitarbeitende
• § 26 BDSG (neu): Datenverarbeitung im Beschäftigungskontext

Pflichtinhalte einer Datenschutzunterweisung:

1. Grundprinzipien der DSGVO (Rechtsgrundlagen, Datenminimierung, Speicherbegrenzung)
2. Vertraulichkeitspflichten (Verbot der Weitergabe, Schutz vor unbefugtem Zugriff)
3. Technische Schutzmaßnahmen (z. B. Passwortpflicht, E-Mail-Verschlüsselung)
4. Meldung von Datenschutzverstößen (Verpflichtung zur internen Mitteilung)
5. Verbot der Nutzung personenbezogener Daten zu privaten Zwecken

Es wird empfohlen, jede Belehrung schriftlich zu dokumentieren und von den Mitarbeitenden gegenzeichnen zu lassen.

3. Nutzung betrieblicher Arbeitsmittel – arbeitsrechtliche Vorgaben

Die Zurverfügungstellung von Arbeitsmitteln wie Firmenhandys, Laptops oder dienstlichen E-Mail-Adressen erfolgt ausschließlich zum Zwecke der Arbeitsausführung. Eine private Nutzung dieser Betriebsmittel darf aus datenschutzrechtlichen und haftungsrechtlichen Gründen untersagt werden.

Rechtsgrundlage:

• § 106 GewO: Weisungsrecht des Arbeitgebers hinsichtlich Inhalt, Ort und Zeit der Arbeitsleistung
• § 611a BGB: Leistungspflicht des Arbeitnehmers und Direktionsrecht des Arbeitgebers
• § 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG: Beteiligung des Betriebsrats bei Regelungen zur Ordnung des Betriebes und technischer Überwachungseinrichtungen

Inhalte einer Nutzungsuntersagung:

1. Verbot der privaten Nutzung von:
   • betrieblichen E-Mail-Adressen
   • Mobiltelefonen (Anrufe, Messenger)
   • Internetzugängen (inkl. Streaming, soziale Medien)
   • Cloud- oder Datenspeichern
2. Hinweis auf arbeitsrechtliche Konsequenzen bei Verstößen:
   • Abmahnung
   • ggf. Kündigung bei schwerwiegender Pflichtverletzung
   • Haftung für Schäden bei Datenschutzverstößen
3. Datenschutzrechtlicher Hintergrund:
   Bei privater Nutzung ist keine wirksame Trennung zwischen beruflichen und privaten Daten möglich, was zu erheblichen Risiken bei Datenschutzprüfungen, IT-Sicherheitsvorfällen und der Beweisführung bei arbeitsrechtlichen Streitigkeiten führt.

4. Fazit und Empfehlung

Die Mitarbeiterbelehrung zu Datenschutz und zur Nutzung betrieblicher Ressourcen ist kein optionales Compliance-Instrument, sondern eine rechtliche Notwendigkeit. Nur durch klare, dokumentierte Vorgaben kann das Unternehmen sowohl seine gesetzlichen Pflichten erfüllen als auch arbeitsrechtlich wirksam auf Pflichtverletzungen reagieren.

Alchimedus Legal – ein Beitrag von Rechtsanwalt Sascha Kugler, Berlin