Arbeitgeber kann verlangen, dass Mitarbeiter elektronische Signaturkarte beantragt
Ein Arbeitgeber kann von seinem Arbeitnehmer die Beantragung einer qualifizierten elektronischen Signatur und die Nutzung einer elektronischen Signaturkarte verlangen, wenn dies für die Erbringung der Arbeitsleistung erforderlich und dem Arbeitnehmer zumutbar ist.
Das hat das Bundesarbeitsgericht mit Urteil vom 25.09.2013 (Az.: 0 AZR 270/12) entschieden.
Ein öffentlicher Arbeitgeber hatte eine Arbeitnehmerin angewiesen, eine qualifizierte Signatur bei einer Zertifizierungsstelle, einem Tochterunternehmen der Deutschen Telekom AG, zu beantragen. Dazu müssen die im Personalausweis enthaltenen Daten zur Identitätsfeststellung an die Zertifizierungsstelle übermittelt werden. Die Kosten für die Beantragung trägt der Arbeitgeber.
Die Arbeitnehmerin hatte sich geweigert und die Ansicht vertreten, der Arbeitgeber könne sie nicht verpflichten, ihre persönlichen Daten an Dritte zu übermitteln; dies verstoße gegen ihr Recht auf informationelle Selbstbestimmung. Auch sei nicht sichergestellt, dass mit ihren Daten kein Missbrauch getrieben werde.
Nach Ansicht des BAG hat der Arbeitgeber von seinem arbeitsvertraglichen Weisungsrecht angemessen Gebrauch gemacht. Der mit der Verpflichtung zur Nutzung einer elektronischen Signaturkarte verbundene Eingriff in das Recht auf informationelle Selbstbestimmung sei zumutbar. Die Übermittlung der Personalausweisdaten betrifft nach Meinung des BAG nur den äußeren Bereich der Privatsphäre; besonders sensible Daten seien nicht betroffen. Der Schutz dieser Daten wird durch die Vorschriften des Signaturgesetzes sichergestellt; sie werden nur durch die Zertifizierungsstelle genutzt. Auch durch den Einsatz der Signaturkarte entstünden für die Klägerin keine besonderen Risiken. Außerdem enthält die im Betrieb mit dem Personalrat abgeschlossene Dienstvereinbarung ausdrücklich eine Haftungsfreistellung; die gewonnenen Daten dürfen vom Arbeitgeber nicht zur Leistungs- und Verhaltenskontrolle verwendet werden.
(via lawblog.de)
Spannend wäre jetzt noch die Frage gewesen, wie die Haftungsfragen geklärt sind, also ob der Arbeitgeber nicht nur die Kosten für die Signaturkarte sondern auch die Haftung für Missbrauch der Karte übernimmt. Bei dem Erwerb handelt es sich ja um ein privatrechtlichen Vertrag zwischen der Privatperson und der Deutschen Telekom AG.
Beim Land Niedersachsen hatten die auch mal Probleme damit mit einigen tausend Karten (also nicht nur die Beschaffungsstellen, sondern alle, die den Haushalt bebuchten). Niedersachsen hat das dann durch komplizierte Vereinbarung verbogen und Mitarbeiter von Haftung freigestellt und sich selbst als Vertragspartner eingesetzt:
http://www.hs-hannover.de/fileadmin/media/doc/pr/Dienstvereinbarungen/LandReg-DGB_HWS.pdf
Comment by Wolfgang Ksoll — 26.09, 2013 @ 18:33
In immer mehr Berufen ist der Besitz einer solchen Signaturkarte sogar quasi gesetzlich vorgeschrieben. Beispielsweise *müssen* gewisse Abfallsorten elektronisch dem Entsorgungsunternehmen zur Anzeige gebracht werden und dann bei Abholung von beiden Seiten die Art und Menge bestätigt werden. Die eigentliche Entsorgung benötigt dann weitere ähnliche Bestätigungen. Wohlgemerkt: diese *müssen* elektronisch signiert werden und dazu benötigt man – natürlich – eine Signaturkarte. Die aber nur für „natürliche Personen“ ausgestellt wird.
Ist man also im entsprechenden Bereich tätig („Entsorgungsbeauftragter“, Fahrer dieser Entsorgungsfahrzeuge, …) kommt man nicht drumrum.
Hier war es ähnlich – wenn gesetzlich vorgeschrieben ist, dass elektronisch signiert werden muss kann der Arbeitgeber höchstens noch jemanden zusätzlich abstellen, der dann für die Mitarbeiterin signiert. Irgendjemand muss aber die Daten „abgeben“. Und wer unterschreibt haftet im Zweifel für die Richtigkeit, muss also kontrollieren. Ist also ggf. recht aufwendig, so dass sich dann die Frage stellt „warum macht die unterschreibende Person das nicht gleich selber und die sich weigernde Person wird entlassen?“
Auch bei jeder normalen Unterschrift werden „personenbezogene Daten“ abgegeben – nämlich Name und ggf. Firma für die man arbeitet sowie die Position dort. Hat sich hierüber schon jemand beschwert?
Comment by Engywuck — 26.09, 2013 @ 23:29
Ich erlaube mir einmal hier den für mich als Laien sehr verständlichen Beitrag des Users Daniel bei Lawblog direkt zu verlinken:
http://www.lawblog.de/index.php/archives/2013/09/26/kartenpflicht-fr-arbeitnehmer/#comment-570855
Ich sehe in dem Beitrag sehr viel Relevantes. Das wichtigste ist aber, dass der Unterzeichner bei klassischer Unterschrift wirklich das Dokument vor Augen, das er unterzeichnet. Ich schimpfe immer Mandanten, wenn sie blind unterzeichnen bei der Automiete, bei Kontoeröffnung etc. Sie sind dann oft sehr verwundert, welche Sicherungsmittel sie z.B. erklärt haben.
Bei der Unterzeichnung von Dokumenten kann man aber den Vorwurf des „selber schuld“ machen. Bei Unterzeichnung mit der elektronischen Signatur klappt das nicht. Ich muss hier einfach darauf vertrauen, dass die eingesetzte Technik funktioniert und nicht manipuliert worden ist.
Diesen Unterschied (Überprüfbarkeit bei eigenhändiger Unterschrift gegen blindes Vertrauen in die Technik bei der elektronischen Signatur) beachtet das Recht nicht. Ich halte das für einen großen Fehler des Gesetzgebers.
Comment by BrainBug2 — 27.09, 2013 @ 09:06
@3 BrainBug2
Mit Verlaub, der Unterschied zwischen Papier und Elektronik ist irrelevant. Im Sinne von formaler Logik kann man die Echtheit von Papierpierunterschriften auch nicht beweisen. Es gibt nach komplizierten, teuren Untersuchen Vermutungen mit gewisser Wahrscheinlichkeit, dass sie echt sein könnte. Zudem werden wir durch Unterschriftautomaten häufig über den Unterschreibenden getäuscht. Legal.
Der einzig interessante Satz von Daniel steht am Schluss:
„Ich finde die Lösung in den USA besser. Eine elektronische Unterschrift hat relativ wenig Beweiswert, dafür gibt es auch nur sehr geringe Ansprüche. Oft reicht es aus (z.B. für die Steuererklärung), seinen Namen einzutippen.
Auch ohne qualifizierte digitale Signatur geht die Welt nicht unter“
Hier in Deutschland wird massiv Geld vernichtet durch den Einsatz überflüssiger Hardware in absurden Prozessen.
Mittlerweile ist der Unsinn soweit, dass Anwälten Technik aufgedrückt wird, die eine Sonderbehandlung gegenüber E-Governmentgesetz ist (De-Mail, QualSig, eID), die auch noch das E-Justice-Gesetz aufgebröselt und die Millionen, die für EGVP verballert wurden, wertlos macht. Soll jetzt jede Berufsgruppe für One-Way-E-Mail eine Sonderbehandlung erfahren? Kommt denn niemand auf die Idee diesen Blödsinn zu hinterfragen? Statt dessen verballert man seine Zeit auf pseudowissenschaftlichen Kongressen mit solchem Unsinn. Hier macht sich doch ein ganzer Berufsstand lächerlich und zeigt, dass er in nationalem, mentalen Gefängnis nicht mehr mit der Neuzeit zurecht kommt. Das ist nationaler Schildbürgerstreich wie die Steuergesetzgebung: zum Nachteil und wirtschaftlichem Schaden der Bundesrepublik Deutschland.
Also, wann kommt die deutschnationale E-Mail für Schornsteinfeger, Bäcker und KfZ-Werkstätten? Die Juristen haben schon mehrere sich gebastelt.
Comment by Wolfgang Ksoll — 27.09, 2013 @ 11:40
@BrainBug2 Der Vergleich hinkt, weil er nicht zu Ende gedacht wurde:
1. Das zu unterzeichnende Dokument hat man in beiden Fällen vor sich. Im Falle der Papierunterschrift kann das Dokument im Nachhinein aber leichter verändert werden (Zaubertinte) als im digitalen Fall (Hash des Inhalts steckt in der Signatur).
2. Man muss immer Vertrauen in die eingesetzte Technik haben. Man signiert nur mit eigener Hardware und OpenSource-Software. Man unterschreibt nur mit eigenen Stiften. Ich denke, es ist sogar einfacher, den eigenen Stift durch einen gleichen Stift mit Zaubertinte zu ersetzen (anrempeln lassen und beim Aufheben austauschen), als den eigenen Computer digital zu kompromittieren.
3. Überprüfen kann man beide Unterschriften als Laie eh nicht. Die digitale Signatur können Kryptographen wenigstens sicher überprüfen. Die Handunterschrift können Graphologen lediglich mit naja-Sicherheit überprüfen.
Es gibt nur einen einzigen Nachteil der elektronischen Signatur gegenüber der Handunterschrift: Stifte sind so unglaublich billig und einfach zu benutzen.
Comment by Der dicke Hecht — 28.09, 2013 @ 13:30
Das Urteil ist verfassungswidrig! Da hilft nur eine Klage beim Bundesverfassungsgericht. Ich empfehle der Klägerin dringend zu dieser Maßnahme! Die Erfolgschancen betragen 100%.
Comment by Marlies — 29.09, 2013 @ 14:58
Darf der Arbeitgeber die Arbeitnehmerin zu einem Verstoss gegen § 27 PAuswG zwingen?
Der elektronische Identitaetsnachweis erfolgt i.d.R. unter Benutzung der von BSI und BMI bereitgestellten AusweisApp.
Diese ist nach aktuellem Stand der Technik NICHT als sicher anzusehen (siehe , ,
und ), ihr Einsatz verstoesst somit gegen § 27 PAuswG.
Comment by Alfred E. Neumann — 29.09, 2013 @ 20:00
Darf der Arbeitgeber die Arbeitnehmerin zu einem Verstoss gegen § 27 PAuswG zwingen?
Der elektronische Identitaetsnachweis erfolgt i.d.R. unter Benutzung der von BSI und BMI bereitgestellten AusweisApp.
Diese ist nach aktuellem Stand der Technik NICHT als sicher anzusehen (siehe https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Krit_Schwachstelle_Java-7-10_11012013.html, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html,
http://technet.microsoft.com/security/bulletin/ms11-025 und http://www.openssl.org/), ihr Einsatz verstoesst somit gegen § 27 PAuswG.
Comment by Alfred E. Neumann — 29.09, 2013 @ 20:01
Hier sollte ja gerade nicht die Identität auf dem *Ausweis* geprüft sondern eine separate Signaturkarte (mit ggf. spezieller Signaturapplikation) genommen werden.
Allerdings stellt sich die Frage, ob der Arbeitgeber zur Verwendung der Signaturkarte dieses einen Herausgebers zwingen kann oder ob eine Wahlmöglichkeit besteht. Das ist aber nur bei Kompatibilität der Signaturkarten gegeben.
Allerdings finde ich schon immer problematisch, dass bei Signaturkarten der HErausgeber (prinzipbedingt) grundsätzlich sowohl den privaten wie auch den öffentlichen Teil des Schlüssels kennt. Bei jeder SSL-Signatur wird der Schlüssel lokal erzeugt und von der CA nur der öffentliche Teil signiert. Entsprechende Angebote (ich erhalte eine leere Karte, erzeuge den Schlüssel selber (entweder auf dem (gesicherten) Rechner oder direkt auf der Karte) und schicke den öffentlichen Teil zum Signieren hin, wonach *ich* dann die entsprechende Signatur mit drauf“brenne“) habe ich bisher aber nicht gesehen.
Verschwörungstheoretiker vor! ;-)
Comment by Engywuck — 29.09, 2013 @ 21:42
„Dazu müssen die im Personalausweis enthaltenen Daten zur Identitätsfeststellung an die Zertifizierungsstelle übermittelt werden.“
Comment by Alfred E. Neumann — 29.09, 2013 @ 22:14