Für den Datenschutzbeauftragen besteht ein besonderer Kündigungsschutz, da nicht auszuschließen ist, dass dessen Tätigkeit gelegentlich zu Meinungsverschiedenheiten z.B. mit der Geschäftsleitung führt. Der besondere Kündigungsschutz besteht nicht nur während der Bestellung, sondern wirkt für ein weiteres Arbeitsjahr nach. Aber: Gilt das auch für stellvertretende Datenschutzbeauftragte?

ArbG Hamburg bejaht besonderen Kündigungsschutz

Mit dieser Frage hatte sich das Arbeitsgericht Hamburg (Urteil vom 13.04.2016, 27 Ca 486/15) zu befassen und bejahte in einem aktuellen Urteil einen besonderen Kündigungsschutz für stellvertretende betriebliche Datenschutzbeauftragte.

In dem vorliegenden Fall war einem Arbeitnehmer gekündigt worden, da seine Aufgaben als Referent Risikomanagement intern umverteilt und seine Position dadurch entfallen war. Der Arbeitnehmer und spätere Kläger war der Meinung, dass die Kündigung unberechtigt gewesen sei, da er anderweitig im Unternehmen eingesetzt werden könne.

Seine Kündigungsschutzklage stützte er allerdings auch auf den besonderen Kündigungsschutz nach § 4 f Abs. 3 BDSG. Wegen eines längerfristigen Ausfalls der eigentlich bestellten internen betrieblichen Datenschutzbeauftragten, war der Kläger mit seinem Einverständnis vom Arbeitgeber für ein halbes Jahr zum Stellvertreter bestellt worden und hatte die Tätigkeit während der Abwesenheit der Datenschutzbeauftragten auch ausgeübt. Zwischen der Vertretung und der Kündigung lag weniger als ein Jahr.

Stellvertreter ist kein „Datenschutzbeauftragter 2. Klasse“

Da die einjährige Kündigungsschutzfrist nach § 4f Abs. 3 BDSG noch nicht abgelaufen war, erklärte das Arbeitsgericht Hamburg die Kündigung für unwirksam und sprach damit dem Kläger den besonderen Kündigungsschutz zu.

Zwar sei es so, dass die Position eines stellvertretenden betrieblichen Datenschutzbeauftragten gesetzlich nicht geregelt sei und auch keine Verpflichtung bestehe, einen Stellvertreter zu bestellen. Wenn jedoch ein Stellvertreter bestellt werde und dieser die Tätigkeit des Datenschutzbeauftragten auch tatsächlich ausgeübt habe, dann muss auch ein stellvertretender Datenschutzbeauftragter einen besonderen Kündigungsschutz genießen. Ein Stellvertreter sei kein „Datenschutzbeauftragter 2. Klasse“, so das Arbeitsgericht Hamburg. Aus den Entscheidungsgründen:

„Wird jedenfalls ein stellvertretender Datenschutzbeauftragter bestellt und nimmt dieser im Verhinderungsfall die Aufgaben eines Datenschutzbeauftragten iSd § 4f Abs. 1 BDSG wahr, bedeutet dies, dass ebenfalls die Schutzvorschriften nach § 4f Abs. 3 BDSG einschlägig sind […].“

Weiter heißt es in dem Urteil:

„Ist die Stelle nach § 4f Abs. 1 BDSG zur Bestellung eines Beauftragten für den Datenschutz verpflichtet, ist die Rechtsstellung auch auf den Stellvertreter zu übertragen, soweit der Vertretungsfall eingetreten ist. Auch wenn der Stellvertreter freiwillig bestellt wurde und grundsätzlich kein Kündigungsschutz besteht, gilt dies für den Vertretungsfall nicht. Der Vertreter, der vollumfänglich die Aufgaben des Vertretenen wahrnimmt, ist kein Datenschutzbeauftragter „2. Klasse“. Vielmehr bedarf er im Vertretungsfall des Schutzes vor etwaigen Nachteilen aufgrund seiner Amtsführung.“

Schutz durch „Abkühlungsphase“

Zur weiteren Begründung zog das Arbeitsgericht Hamburg eine Parallele zu einem stellvertretenden Betriebsrat. Ein besonderer Kündigungsschutz sei zwar für beide Funktionen nicht gesetzlich geregelt; für einen stellvertretenden Betriebsrat aber im Vertretungsfall anerkannt. Gleiches müsse dann auch für den stellvertretenden Datenschutzbeauftragten gelten, wenn er eine Vertretung ausübe. Auch dieser müsse durch eine „Abkühlungsphase“ vor einer Kündigung des Arbeitgebers aus Verärgerung über die Amtsführung geschützt werden:

„Bei einem Ersatzmitglied des Betriebsrats reicht es nicht aus, dass ein Vertretungsfall eingetreten ist, um einen nachwirkenden Kündigungsschutz zu erlangen. Vielmehr muss das Ersatzmitglied auch konkrete Betriebsratsaufgaben tatsächlich wahrgenommen haben […].

Entsprechendes gilt auch für den Beauftragten für Datenschutz. Auch für diesen ist im Gesetz nach Ende der Amtszeit eine „Abkühlungsphase“ vorgesehen, während derer sich eine mögliche Verärgerung des Arbeitgebers über die Amtsführung legen soll. Dies rechtfertigt es, eine solche „Abkühlungsphase“ nur dann anzunehmen, wenn eine Amtstätigkeit erfolgt ist, aufgrund derer überhaupt eine negative Reaktion des Arbeitgebers in Betracht kommen kann.“

Bestellung eines Stellvertreters sorgfältig prüfen

Die vorliegende Entscheidung verdeutlicht, dass auch für den Fall eines kurzfristigen und längeren Ausfalls des internen betrieblichen Datenschutzbeauftragten nicht vorschnell eine Entscheidung über eine Stellvertretung erfolgen sollte. Im Fall eines längerfristigen Ausfalls des Datenschutzbeauftragten muss zwar zeitnah eine Vertretung organisiert werden, da keine „kontrollfreie Situation“ entstehen soll. So führen die Richter in der o.g. Entscheidung aus:

 “ […] (es) besteht gleichwohl ein Bedürfnis, eine kontrollfreie Situation zu vermeiden, wenn der Beauftragte für den Datenschutz an einer Amtsausübung gehindert ist.“

Eine Stellvertretungsregelung sollte allerdings bereits im Vorfeld getroffen und bei der Auswahl des Stellvertreters berücksichtigt werden, dass im Vertretungsfall ein nachwirkender Kündigungsschutz von einem Jahr besteht. Falls doch kurzfristiger Handlungsbedarf besteht und die dargestellte Problematik vermieden werden soll, kann alternativ ein externer Datenschutzbeauftragter eine angemessene Vertretung gewährleisten.

Immer mehr Unternehmen stellen ihre Papierablage auf digitales Dokumenten-Management um. Im Rahmen dieser Umstellung bietet sich die Einführung einer elektronischen Personalakte (ePersA) oftmals an. Was bei der Einführung datenschutzrechtlich zu beachten ist, finden Sie, neben einer Checkliste für die Umsetzung, nachstehend im Artikel.

Zulässiger Inhalt der Personalakte

Grundsätzlich besteht keine gesetzliche oder vertragliche Verpflichtung zur Führung einer Personalakte. Gleichwohl ist bei einigen Dokumenten der Arbeitgeber gesetzlich zur Verwahrung verpflichtet, wie z.B. für Quittungsbelege über den Arbeitslohn (§ 257 HGB) oder für Lohnberechnungsunterlagen (§ 147 AO). Entscheidet sich der Arbeitgeber deshalb für die Führung einer Personalakte, liegt es auch in seinem Organisationsermessen, wie er sie führt. Der Arbeitgeber ist daher unter Fürsorgegesichtspunkten verpflichtet, alle Vorgänge, die sich auf die dienstlichen Verhältnisse des einzelnen Arbeitnehmers beziehen, zu der von ihm geführten Personalakte zu nehmen.

Hinsichtlich des Inhalts der Personalakte ergeben sich jedoch aus dem Zweck der Personalaktenführung, grundrechtlichen Wertentscheidungen und dem BDSG Einschränkungen der Gestaltungsfreiheit für den Arbeitgeber. So müssen Informationen, die zur Personalakte genommen werden, für das Arbeitsverhältnis maßgeblich sein, etwa weil sie Bedeutung für die Lohnabrechnung, die Personalplanung, den individuellen Werdegang haben oder einen Leistungsvergleich ermöglichen (Arbeitsvertrag, Zeugnisse, Krankheitsbescheinigungen, Urlaubsanträge, Kündigungsschreiben).

Rechtsgrunde für die Speicherung

Die Zulässigkeit der Datennutzung und -verarbeitung beurteilt sich, sofern keine Einwilligung oder Betriebsvereinbarung vorliegt, nach § 32 Abs. 1 BDSG. Danach muss sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein. Auch wenn dies nicht gesondert in der Vorschrift geregelt ist, muss die Datenerhebung in einem zweiten Schritt dem Grundsatz der Verhältnismäßigkeit entsprechen, d. h. insbesondere angemessen sein. Hierbei ist jeweils eine Interessenabwägung unter Berücksichtigung grundrechtlicher Wertentscheidungen vorzunehmen.

Besonderheiten bei der elektronischen Personalakte

Für den Inhalt und den Umgang der elektronischen Personalakte gelten, nahezu dieselben Kriterien wie für die konventionelle Papier-Personalakte. Gleichwohl sind wegen der digitalen bzw. teilweise auch automatisierten Datenverarbeitung einige Besonderheiten beim Einsatz der elektornischen Personalakte zu beachten:

Beteiligungsrechte des Betriebsrat

Dem Betriebsrat steht nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendungen von technischen Einrichtungen zu, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Des Weiteren hat der Arbeitgeber den Betriebsrat gemäß § 92 Abs. 1 BetrVG über die Personalplanung, insbesondere über den gegenwärtigen und künftigen Personalbedarf, sowie über die sich daraus ergebenden personellen Maßnahmen und Maßnahmen der Berufsbildung anhand von Unterlagen rechtzeitig und umfassend zu unterrichten sowie Art und Umfang der erforderlichen Maßnahmen mit dem Betriebsrat zu beraten.

Richtigkeit der Personaldaten

Eine weitere Besonderheit bei der elektronischen Personalakte ergibt sich aus den Berichtigungs-/ Löschungs- und Sperrungsrechten des Arbeitnehmers nach § 35 BDSG. Dabei ist insbesondere § 35 Abs. 4 BDSG zu beachten, nach dem das Bestreiten der Richtigkeit durch den betroffenen Arbeitnehmer ausreicht, um den Arbeitgeber zum Richtigkeitsbeweis zu verpflichten.

Bei dem Recht auf Gegendarstellung nach § 35 Abs. 6 Satz 2 BDSG ist zu beachten, dass ein Verfahren eingesetzt wird, nach dem eine Gegendarstellung des Betroffenen (§ 83 Abs. 2 BetrVG) auch zur Kenntnis genommen wird, unabhängig davon, welche Relevanz ihm bei zumessen ist.

Vollständigkeit und Archivierung

Der Grundsatz der Vollständigkeit verlangt bei der ePersA, dass alle Personalvorgänge digital erfasst werden und alle Dokumente jederzeit aufgerufen werden können. Daher sind Grundsätze der Richtigkeit und Vollständigkeit auch bei der digitalen Personalaktenführung einzuhalten und eine ordnungsgemäße Archivierung zu gewährleisten. Zu diesem Zweck hat das Bundesfinanzministerium mit Schreiben vom 14.11.2014 die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) aufgestellt, die unter anderem genaue Regeln für die digitale Archivierung vorgeben.

Nichts desto trotz kann jedoch neben der digitalen Aufbewahrungspflicht eine gesetzliche Verpflichtung erwachsen, neben der umfassenden Digitalisierung von Daten, die dazugehörigen Originale aufbewahren zu müssen. Dies gilt u.a. für sozialversicherungsrechtliche Nachweise. Nach § 28 Abs. 2 Satz 1 SGB IV hat der Arbeitgeber für jeden Beschäftigten, getrennt nach Kalenderjahren, Lohnunterlagen in deutscher Sprache zu führen und bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres im Original geordnet aufzubewahren.

Im Übrigen empfiehlt sich dringend, bedeutsame arbeitsrechtliche Dokumente wegen vorgeschriebener Schriftform (insbesondere Kündigungen, Aufhebungsverträge oder nachvertragliche Wettbewerbsverbote) in Papierform aufzubewahren, um im Streitfall Beweis über die formelle Wirksamkeit führen zu können.

Transparenzgebot

Nach § 33 BDSG ist der Arbeitnehmer über die digitale Personalaktenführung zu unterrichten. Auch das Einsichtsrecht bleibt bestehen, egal ob aus §83 BetrVG oder auf Grund einer nebenvertraglichen Pflicht.

Darüber hinaus ist nach § 34 Abs. 1 Nr. 1 BDSG dem Arbeitnehmer ein besonderes Auskunftsrecht eingeräumt. Er kann über die zu seiner Person gespeicherten Daten schriftlich Auskunft verlangen. Dies umfasst auch die Mitteilungen über die Herkunft und Empfänger der Daten. Dem Arbeitnehmer dürfen hierfür keine Kosten entstehen.

Vertraulichkeit

Um auch im Rahmen der digitalen Personalakten die Vertraulichkeit zu gewährleisten, kann in der Regel auf die im Aktenführungsprogramm technisch abgesicherten Rollen- und Berechtigungsstrukturen zurückgegriffen werden. Darin können Zugriffsbefugnisse festgelegt werden und wird jedem einzelnen Benutzer die entsprechenden Zugriffsrechte zugeteilt.

Des Weiteren besteht die Verpflichtung, die Anzahl von Zugriffsrechten festzulegen, besonders sensible Vorgänge zu verschlüsseln, lediglich vorgangsbezogene Zugriffe zuzulassen und Zugriffskontrollen mit regelmäßiger Überprüfung einzurichten, verbindliche Verfahrensanweisungen für Systemnutzer zu erstellen und eine regelmäßige Schulung für Beschäftigte im Umgang mit der Personalakte durchzuführen.

Außerdem sind physikalische Sicherungsmaßnahmen notwendig, wie z. B. Datensicherung, Protokollierung von Systemaktivitäten sowie die Zugriffskontrolle. Grundsätzlich sind alle Maßnahmen an den Voraussetzungen der Anlage zu § 9 Satz 1 BDSG zu messen.

Löschfristen

Hier finden die gleichen Grundsätze Anwendung, die auch für die herkömmliche Papierakte gelten. Jedoch kann nunmehr die Technik gewährleisten, dass von vorneherein bzw. durch Zeitablauf unzulässig gespeicherte Daten entfernt/gelöscht werden, ohne Spuren zu hinterlassen.

Checkliste für die Umsetzung der ePersA

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Handlungsempfehlung zum Datenschutz bei technisch unterstützten Verfahren der Personal- und Haushaltsbewirtschaftung entworfen. Diese kann als Checkliste für die Umsetzung der elektronischen Personalakte (ePersA) verstanden werden. Eine Auszug der Handlungsempfehlung finden sie nachstehend:

1. Personenbezogene Daten der Beschäftigten dürfen in technikgestützten Verfahren nur in dem Umfang gespeichert, übermittelt und genutzt werden, in dem dies rechtlich zulässig und im Rahmen der festgelegten Zwecke zur Durchführung der der jeweiligen Stelle obliegenden personalwirtschaftlichen, organisatorischen und sozialen Aufgaben erforderlich ist (Grundsatz der Zulässigkeit, Zweckbindung und Erforderlichkeit).
2. In einem Berechtigungskonzept ist festzulegen, welche Stellen und/oder Funktionsträgerinnen oder Funktionsträger im Rahmen der ihnen übertragenen Aufgaben für welche Zwecke und in welcher Form (lesend/verändernd) befugt sind, auf Daten zuzugreifen oder Auswertungen vorzunehmen. Das Berechtigungskonzept ist fortzuschreiben und mindestens so lange zu speichern wie die zugehörigen Protokolldaten.
3. Es ist schon im Vorfeld bei der Auswahl und Gestaltung der automatisierten Verfahren darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden (Grundsatz der Datenvermeidung und Datensparsamkeit).
4. Die Betroffenen sind über ihren persönlichen Datenbestand, die Zwecke der Verarbeitung und Zugriffsberechtigungen zu unterrichten. Ihre Rechte auf Auskunft, Sperrung und Löschung sind zu wahren (Transparenzgebot und Betroffenenrechte).
5. Arbeits- und dienstrechtliche Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient (Verbot der automatisierten Einzelentscheidung).
6. Zulässige dienststellenübergreifende Auswertungen der in den Verfahren verarbeiteten Personaldaten sollten soweit möglich anonym oder pseudonym erfolgen; dies gilt nicht für Auswertungen, Abgleiche oder Zusammenführungen, die sich auf die in der Anlage aufgeführten Merkmale (Informationen zur dienstlichen Funktion und Erreichbarkeit = sogenannte Funktionsträgerdaten) beschränken.
7. Die Sicherungsziele Vertraulichkeit, Integrität, Authentizität und Revisionsfähigkeit sind – ausgerichtet am Schutzbedarf der Daten – durch geeignete technisch-organisatorische Maßnahmen zu gewährleisten; das Grundschutz-Handbuch des Bundesamtes für Sicherheit in der Informationstechnik BSI gibt dazu zahlreiche Hilfestellungen. Für die Ausgestaltung der Datenschutz- und Datensicherungsmaßnahmen ist – ggf. aus einer Vorabkontrolle (vgl. Ziffer 9) – ein Sicherheitskonzept zu entwickeln und entsprechend dem Stand der Technik fortzuschreiben. Die für das jeweilige Verfahren fachlich Verantwortlichen sind verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen spätestens mit dem Einsatz des Verfahrens umzusetzen und zu dokumentieren, falls dies noch nicht im Sicherheitskonzept enthalten ist. Insbesondere mit Protokollierungsverfahren ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, wer welche Beschäftigtendaten zu welcher Zeit eingegeben, verändert, übermittelt und/oder abgerufen hat; Entsprechendes gilt auch für die Systemadministration.
8. Protokolldaten von Anwenderinnen und Anwendern sowie Administratorinnen und Administratoren, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs gespeichert werden, dürfen grundsätzlich nicht für andere Zwecke, insbesondere nicht für eine Verhaltens- und Leistungskontrolle, verarbeitet werden. Die Zweckbindung muss daher technisch und organisatorisch (z.B. durch Dienstanweisung) sichergestellt werden. Für Art, Umfang und Aufbewahrung der Protokollierung gilt der Grundsatz der Erforderlichkeit. Soweit technisch möglich und ausreichend, sollte auf personenbezogene Daten verzichtet werden. Die Beteiligungsrechte des Personalrates sind zu beachten.
9. Vor der Einführung und Anwendung neuer Verfahren oder im Falle einer wesentlichen Veränderung der Verfahren ist eine Vorabkontrolle (auch „Technikfolgenabschätzung“ genannt) durchzuführen, wenn dies durch eine Rechtsvorschrift vorgesehen ist.
10. Die Verfahren sind in inhaltlicher und technischer Hinsicht ausreichend und nachvollziehbar zu dokumentieren.
11. Um die Akzeptanz zu fördern, wird empfohlen, über Einführung und Anwendung der Verfahren eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der insbesondere die Fragen der Zugriffsberechtigungen, der Zulässigkeit und Zweckbestimmung von Auswertungen und die Durchführung von Kontrollen für alle Beteiligten eindeutig und klar geregelt werden. Soweit die Verfahren geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, sind die Mitbestimmungs- bzw. Mitwirkungsrechte der Personalvertretung zu berücksichtigen.

Die Videoüberwachung am Arbeitsplatz ist in vielen Unternehmen ein heiß diskutiertes Thema. Besteht ein Betriebsrat, sollten zur Wahrung seines Mitbestimmungsrechts die Voraussetzungen und Grenzen der Videoüberwachung in einer Betriebsvereinbarung niedergelegt werden. Bei der Erstellung einer solchen Betriebsvereinbarung für Ihr Unternehmen hilft Ihnen unsere Vorlage.

Videoüberwachung am Arbeitsplatz

Bei der Videoüberwachung am Arbeitsplatz treffen naturgemäß zwei verschiedene Interessen aufeinander:

• Auf der einen Seite steht das Interesse des Arbeitgebers an der Videoüberwachung, der diese beispielsweise zum Diebstahlsschutz installiert und damit seinen Betrieb und sein Eigentum schützen will.
• Auf der anderen Seite steht das Interesse der Arbeitnehmer auf Wahrung ihrer Privatsphäre und ihres Persönlichkeitsrechts, das einer (dauerhaften) Überwachung widerspricht.

Diese gegenläufigen, beiderseits grundrechtlich geschützten Interessen müssen bei der Einführung einer betrieblichen Videoüberwachung in einen angemessenen Ausgleich gebracht werden.

Mitbestimmung des Betriebsrates

Die konkrete Ausgestaltung der Videoüberwachung ist, sofern ein Betriebsrat besteht, grundsätzlich in einer Betriebsvereinbarung zu regeln.

Gemäß § 87 Abs. 1 Nr. 6 BetrVG steht dem Betriebsrat beim Einsatz von technischen Maßnahmen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein zwingendes Mitbestimmungsrecht zu. Dieses Mitbestimmungsrecht kann er in Form einer Betriebsvereinbarung ausüben.

Eine Betriebsvereinbarung schafft eine verbindliche Regelung und ist damit ein probates Mittel, um einen Interessenausgleich zwischen der Arbeitgeber- und Arbeitnehmerseite herbeizuführen. Im datenschutzrechtlichen Sinn ist sie als andere Rechtsvorschrift im Sinne des § 4 Abs. 1 BDSG zudem eine eigene Rechtsgrundlage, die die mit der Videoüberwachung verbundene Datenerhebung rechtfertigen kann.

Muster-Vorlage zum Download

Der Inhalt einer solchen Betriebsvereinbarung ist vom Gesetz nicht explizit vorgegeben, so dass die Erstellung vielen Unternehmen schwerfällt. Dabei hilft Ihnen unsere Muster-Vorlage, die Sie hier downloaden können:

Betriebsvereinbarung zur Videoüberwachung

In Unternehmen ist es ab einer gewissen Größe schwierig, die Kompetenzen der einzelnen Mitarbeiter im Detail beurteilen zu können. Skill-Datenbanken schaffen die Möglichkeit im Unternehmen und im Konzern, zielgenau Mitarbeiter mit bestimmten Fähigkeiten zu finden oder Mitarbeiter gezielt zu fördern. Der Datenschutz darf dabei nicht zu kurz kommen.

Was ist eine Skill-Datenbank?

Eine Skill-Datenbank ist eine strukturierte Sammlung von Daten zu Eigenschaften und Qualitäten einzelner Mitarbeiter.

Die Ausgestaltung variiert je nach dem Zweck der Datenbank deutlich. Verdeutlichen kann man die Funktionsweise und die Möglichkeiten vielleicht an folgendem vereinfachten Beispiel:

Werden diese Informationen in eine entsprechend konfigurierte Datenbank eingepflegt, so können daraus gezielt Informationen gezogen werden. Gesucht werden könnte z.B. nach Mitarbeitern, deren Kenntnisse in dem Bereich c besonders gut sind oder nach Mitarbeitern, die sich mit a, b und c zumindest mittelmäßig auskennen.

Wo liegt das Problem?

Das Problem liegt darin, dass Skill-Datenbanken – wenn sie entsprechend gefüttert werden – tiefe Einblicke in die Fähigkeiten der Mitarbeiter gewähren. Sie können zur Leistungskontrolle oder zum Vergleich der Mitarbeiter untereinander eingesetzt werden. Darüber freut sich der Arbeitgeber, der Arbeitnehmer unter Umständen nicht.

Häufig werden Skill-Datenbanken konzernübergreifend eingesetzt, um Einsatzmöglichkeiten für Mitarbeiter über den Tellerrand des eigenen Unternehmens hinaus zu prüfen. Mangels eines Konzernprivilegs im Datenschutzrecht erwachsen daraus weitere Fallstricke. Bei der Einführung einer Skill-Datenbank sind die Persönlichkeitsrechte der Betroffenen zu wahren.

Rechtliche Zulässigkeit

Ob eine Skill-Datenbank rechtlich zulässig ist, hängt maßgeblich von dem mit ihr verfolgten Zweck, den enthaltenen Daten und der Beschränkung der Zugriffsmöglichkeiten ab. Zu beachten sind insbesondere die Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Betriebsverfassungsgesetzes (BetrVG).

Zulässigkeit nach dem BDSG?

Die Anwendbarkeit des BDSG ergibt sich daraus, dass die Daten einen Personenbezug aufweisen. Aufgrund des großen Gestaltungsspielraums bei dem Aufbau einer Skill-Datenbank, kann kein pauschales Urteil über die Zulässigkeit abgegeben werden.

Eine Skill-Datenbank, die zu dem Zweck der Weiterbildungsplanung betrieben wird, lediglich Abschlüsse und besuchte Fortbildungen enthält und nur von der Personalabteilung und Personen, die mit der Weiterbildungsplanung befasst sind, eingesehen werden kann, ist ohne weiteres datenschutzrechtlich zulässig.

Eine Datenbank, die die interne Konkurrenz steigern soll, für jedermann einsehbar ist und in der Eigenschaften wie Freundlichkeit und Intelligenz bewertet werden hingegen nicht. Es gilt ein Gefühl für die Verhältnismäßigkeit zu entwickeln.

Zu messen ist der Aufbau an § 32 Abs. 1 Satz 1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist. Wird die Erforderlichkeit für die Durchführung eines Beschäftigungsverhältnisses verneint, kann sich die Zulässigkeit unter Umständen aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG ergeben. Voraussetzung dafür ist, dass die Datenerhebung zur Wahrung berechtigter Interessen der verantwortlichen Stelle (also des Arbeitgebers) erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt.

Andernfalls muss eine Einwilligung des Betroffenen als Rechtsgrundlage herhalten. Wichtig ist, dass diese freiwillig und in Kenntnis der Sachlage erteilt wird. Der betroffene Mitarbeiter muss also über den Zweck und den Umfang der Verarbeitung informiert werden und er muss sich gegen eine Teilnahme entscheiden dürfen, ohne negative Konsequenzen befürchten zu müssen. Außerdem ist zu evaluieren, ob eine Vorabkontrolle gemäß § 4d Abs. 5 BDSG durchzuführen ist. Dies ist immer dann der Fall, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen und die Verarbeitung nicht auf eine Einwilligung gestützt wird.

Übermittlung im Konzern

Als Rechtsgrundlagen für die Übermittlung im Konzern kommen neben der Einwilligung der Betroffenen die § 28 Abs. 1 Satz 1 Nr. 2 BDSG (bei berechtigten Interessen des Unternehmens)oder § 28 Abs. 2 Nr. 1a BDSG (bei berechtigten Interessen des Konzerns) in Betracht.

Regelmäßig wird es ausreichen, die Daten pseudonymisiert zu übermitteln. Zum Beispiel unter Verwendung einer Talent-ID. Soll dem betroffenen Mitarbeiter dann tatsächlich eine Stelle in einem anderen konzernangehörigen Unternehmen angeboten werden, kann der Name hinter der Talent-ID angefragt werden. Im Einzelfall stellt sich die Übertragung auch als Auftragsdatenverarbeitung nach § 11 BDSG dar.

Einbindung des Betriebsrates

Mitbestimmungsrechte des Betriebsrates sind aus den §§ 87 Abs. 1 Nr. 6, 94 und 95 BetrVG abzuleiten. In einer Betriebsvereinbarung sollten zumindest folgende Punkte geregelt werden:

• Zweck der Skill-Datenbank
• Kategorien der erfassten Daten
• Verfahren zur Eingabe der Daten (durch Mitarbeiter selbst, durch den Vorgesetzen, Abgleich mit vorhandenen Daten der Personalabteilung?)
• Freiwilligkeit
• Löschfristen/Löschverfahren
• Umfang der Auswertung (ggf. auch aufnehmen, worauf die Daten gerade nicht ausgewertet werden)
• Zugriffsrechte
• Schnittstellen zu anderen System

Weitere Hinweise

Neben der:

• Klärung des datenschutzrechtlichen Erlaubnistatbestandes,
• einer Vorabkontrolle und
• der Einbindung der Betriebsrates

sind folgende Punkte zu beachten:

• Zugriffsrechte sollten restriktiv vergeben werden
• Die Skill-Datenbank sollte grundsätzlich keine besonderen personenbezogenen Daten im Sinne des § 3 Abs. 9 BDSG enthalten (z.B. ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit)
• Das Allgemeine Gleichbehandlungsgesetz (AGG) sollte beachtet werden
• Der Umgang mit der Skill-Datenbank sollte möglichst transparent gestaltet werden (siehe Hinweise zur Betriebsvereinbarung)
• Es sollten nur relevante Daten aufgenommen werden
• Die Aktualität sollte gewährleisten werden (praktisch schwierig über einen längeren Zeitraum umzusetzen)

Wie heute vielerorts berichtet, wurde der Start von Workplace by Facebook nun offiziell verkündet. Dabei handelt es sich um ein neues soziales Netzwerk von Facebook speziell für Unternehmen. Da die Begriffe Facebook und Datenschutz nicht unbedingt verwandt sind, stellt sich uns die Frage, ob Workplace überhaupt datenschutzkonform eingesetzt werden kann.

Was ist Workplace by Facebook?

Bei Workplace handelt es sich um ein soziales Netzwerk, das innerhalb eines Unternehmens oder Konzerns zur internen Kommunikation genutzt wird. Ähnliche Produkte gibt bereits in Form von Yammer oder Slack.

Mitarbeiter können sich dort z.B. untereinander austauschen, chatten, Dokumente teilen oder bearbeiten oder Präsentationen verfolgen. Workplace und das bisherige Facebook sind dabei völlig voneinander getrennt. Zur Nutzung von Workplace ist kein privater Facebook-Account erforderlich. Inhalte werden nicht zusammengeführt oder an Werbetreibende weitergegeben. Anders als Facebook räumt sich Workplace keinerlei Nutzungsrechte bezüglich irgendwelcher Informationen ein.

Rechtsgrundlage der Datenverarbeitung

Bei Nutzung von Workplace werden – wie bei allen sozialen Netzwerken – zwangsweise jedoch auch umfangreich personenbezogene Daten der Mitarbeiter erhoben und verarbeitet. Das diese Datenverarbeitung z.B. mit einer wirksamen Einwilligung der Mitarbeiter grundsätzlich rechtmäßig ausgestaltet werden kann, haben wir hier dargestellt.

Datenschutzrechtliche Besonderheiten bei Workplace

Neben den dort beschriebenen Grundsätzen, sind bei Workplace jedoch spezielle datenschutzrechtliche Anforderungen zu beachten, da hier zwangsläufig eine Datenübermittlung in die USA stattfindet. Zusätzlich zu einer Rechtsgrundlage für die Übermittlung ist daher ein angemessenes Datenschutzniveau beim Empfänger erforderlich.

Privacy Shield und EU-Standardvertragsklauseln

Facebook ist bezgl. des Produktes Workplace dem Privacy Shield Abkommen beigetreten. Darüber hinaus hat Facebook für Workplace während der Testphase noch unter dem Namen „Facebook at Work“ EU-Standardvertragsklauseln angeboten. Diese liegen uns vor und sind nicht zu beanstanden. Es ist daher zu vermuten, dass solche Klauseln auch weiterhin angeboten werden.

Wenn von den grundsätzlichen Bedenken gegen Datenübermittlungen in die USA und besonders der Kritik gegen das Privacy Shield abgesehen wird, ist festzuhalten, dass derzeit eine Übermittlung im Rahmen der Nutzung von Workplace by Facebook rechtssicher möglich ist, da alle Voraussetzungen eingehalten werden können.

Datensicherheit

Auch die getroffenen technischen und organisatorischen Maßnahmen sind – zumindest auf dem Papier – ausreichend. Diese sind in allgemeiner Form in einem Whitepaper und konkreter in einem Data Security Addendum zu den EU-Standardvertragsklauseln festgehalten.

Berücksichtigung weiterer datenschutzrechtlicher Grundsätze

Allerdings sollten bei der Nutzung auch die übrigen Grundsätze des Datenschutzrechts berücksichtigt werden. Profilangaben der Mitarbeiter z.B. sollten im Rahmen der Datensparsamkeit auf das unbedingt Erforderliche begrenzt und darüber hinaus freiwillig sein. Gesundheitsdaten sollten in keinem Falle über Workplace by Facebook ausgetauscht werden.

Workplace bietet für die Administratoren der jeweiligen Unternehmen eine Vielzahl von Auswertungsmöglichkeiten. Hier ist darauf zu achten, dass die Daten der Mitarbeiter streng Zweckgebunden und nicht etwa zu heimlichen Leistungs- und Verhaltenskontrollen genutzt werden.

Einzelfallprüfung erforderlich

Sollte Workplace by Facebook tatsächlich zum Einsatz kommen, ist Unternehmen zu raten, die oben genannten Voraussetzungen nochmals intensiv und im konkreten Fall zu prüfen, um unrechtmäßige Datenübertragungen in die USA zu vermeiden. Diese werden derzeit von den Aufsichtsbehörden noch besonders geprüft.

Der betriebliche Datenschutzbeauftragte und ggf. der Betriebsrat sollten in jedem Falle schon in der Planungsphase einbezogen werden.

Die private Nutzung des Dienst-PCs am Arbeitsplatz ist in vielen Unternehmen ein heikles Thema. Insbesondere dann, wenn die private Nutzung überhandnimmt und ein Arbeitnehmer seiner Arbeitspflicht nicht mehr nachkommt. Doch welche Maßnahmen darf ein Arbeitgeber ergreifen, um den möglichen Arbeitszeitbetrug aufzudecken und nachzuweisen? Der Einsatz von Keyloggern ist jedenfalls problematisch und in der Regel unzulässig, wie eine aktuelle Entscheidung des Landesarbeitsgerichts Hamm zeigt (Urteil vom 17.06.2016 – Az.: 16 Sa 1711/15).

Arbeitszeitbetrug kann außerordentliche Kündigung rechtfertigen

In dem vom Gericht zu entscheidenden Fall hatte ein Arbeitnehmer gegen seine Kündigung geklagt. Die Kündigung war ausgesprochen worden, weil festgestellt worden war, dass der Arbeitnehmer – auch während der Arbeitszeit – seinen Dienstrechner zu privaten Zwecken genutzt hatte. Konkret wurde dem als Webentwickler angestellten Arbeitnehmer vorgeworfen während der Arbeitszeit an einem Computerspiel gearbeitet zu haben, das er für einen anderen Auftraggeber gestaltet hatte. Weiter wurde er bezichtigt – ebenfalls während der Arbeitszeit – Aufträge für seinen Vater bearbeitet zu haben.

Private Tätigkeiten während der Arbeitszeit sind grundsätzlich eine Pflichtverletzung des Arbeitsverhältnisses. Ein solcher Arbeitszeitbetrug kann unter Umständen eine außerordentliche Kündigung rechtfertigen. Das LAG Hamm stellt hierzu zunächst fest:

„Der von der Beklagten gegenüber dem Kläger erhobene Vorwurf ist an sich geeignet, eine außerordentliche Kündigung des Arbeitsverhältnisses aus wichtigem Grund gemäß § 626 Abs. 1 BGB zu rechtfertigen. Ein Arbeitnehmer, der während seiner Arbeitszeit am Dienst-PC private Angelegenheiten erledigt, verletzt grundsätzlich seine (Hauptleistungs-) Pflicht aus dem Arbeitsverhältnis, nämlich die Pflicht zur Erbringung der geschuldeten Arbeitsleistung.“

Überwachung des Arbeitnehmers durch einen Keylogger

Ob eine private Tätigkeit eine außerordentliche Kündigung rechtfertigt, hängt jedoch vom Umfang der privaten Nutzung ab. Erst wenn die private Nutzung ein solches Ausmaß annimmt, dass dem Arbeitgeber die Fortführung des Arbeitsverhältnisses unzumutbar ist, ist eine fristlose Kündigung zulässig.

Im vorliegenden Fall war es zwischen den Parteien umstritten in welchem Umfang der Kläger den Dienst-PC privat genutzt hatte. Während der Arbeitnehmer eingeräumt hatte, für drei Stunden an einem konkreten Tag sowie täglich ca. 10 Minuten private Tätigkeiten verrichtet zu haben, ging der Arbeitgeber von einer deutlich höheren privaten Nutzung aus. Als Beleg hierfür führte er Log-Dateien eines Keyloggers an, den er heimlich auf dem Dienstrechner des Arbeitnehmers installiert hatte.

Ein Keylogger ist ein Programm, das sämtliche Tastenanschläge auf einem PC erfasst und zudem – wie im vorliegenden Fall – auch Screenshots der Bildschirmanzeige anfertigen kann. Somit ist es damit möglich, praktisch alle Tätigkeiten an einem Rechner nachzuvollziehen.

Beweisverwertungsverbot für Log-Dateien

Verfahrensentscheidend war die Frage, ob die Log-Dateien als Beweis zulässig waren. Im Grundsatz gilt, dass ein Beweismittel dann nicht verwendet werden darf, wenn die Erlangung der Erkenntnisse selbst rechtswidrig war. Konkret stellte sich daher vorliegend die Frage, ob der Arbeitgeber Spionage-Software auf dem Dienst-PC installieren und den Arbeitnehmer hierdurch überwachen durfte. Das LAG Hamm kam zum Ergebnis, dass die Installation unzulässig war.

Zunächst stellte man fest, dass der Einsatz von Spionage-Software einen schweren Eingriff in die informationelle Selbstbestimmung darstellt:

„Durch die heimliche Installation des sog. Keyloggers hat die Beklagte in massiver Weise in das durch Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verbürgte Recht des Klägers auf informationelle Selbstbestimmung, das die Befugnis garantiert, selbst über die Preisgabe und Verwendung persönlicher Daten zu befinden, eingegriffen.“

Zudem führten das Gericht weiter aus, dass der Einsatz von solchen massiven Überwachungsmaßnahmen von Arbeitnehmern grundsätzlich nur dann in Betracht kommt, wenn der Arbeitgeber sich in einer Notwehr- oder Notwehrähnlichen Lage befindet. Eine solche sah man vorliegend als nicht gegeben an und kam zum Ergebnis, dass der Einsatz des Keyloggers rechtswidrig war.

Zulässigkeit der Überwachungsmaßnahmen gem. § 32 Abs. 1 S. 2 BDSG

In der Urteilsbegründung führt das LAG Hamm führt aus, welche Voraussetzungen generell für eine Überwachung von Arbeitnehmern erforderlich sind.

Grundsätzlich kommt als Rechtsgrundlage für eine – ausnahmsweise – zulässige Überwachungsmaßnahme § 32 Abs. 1 S. 2 BDSG in Betracht. Nach § 32 Abs. 1 S. 2 BDSG ist die Erhebung von personenbezogenen Daten von Arbeitnehmern – hierunter fallen auch Daten aus Überwachungsmaßnahmen – unter gewissen Umständen zur Aufdeckung von Straftaten des Arbeitnehmers (z.B. Arbeitszeitbetrug) zulässig.

Voraussetzung hierfür ist allerdings, dass zunächst Anhaltspunkte für einen Verdacht dokumentiert wurden. Bereits auf dieser Stufe stellte man eine Rechtswidrigkeit des Einsatzes von Spionage-Software im konkreten Fall fest. Der Arbeitgeber konnte bereits nicht hinreichend darlegen, wie der Verdacht entstanden ist. Die Beobachtung einer Kollegin, die im Vorbeigehen am Arbeitsplatz des Klägers eine stark bebilderte Webseite gesehen haben will, die der Kläger schnell weggeklickt habe, sei jedenfalls nicht für einen Verdacht ausreichend.

Gibt es ein milderes Mittel?

Obwohl eigentlich bereits nicht mehr erforderlich, beschäftigte sich die Richter gleichwohl noch weiter mit der Frage, ob der Einsatz des Keyloggers zulässig gewesen wäre, wenn hinreichende Anhaltspunkte dokumentiert worden wären und verneinte auch dies.

Voraussetzung für die Zulässigkeit wäre gewesen, dass dem Arbeitgeber auch kein anderes milderes Mittel zur Verfügung gestanden hätte. Auch das sei vorliegend nicht erfüllt. Man vertritt die Auffassung, dass es dem Arbeitgeber möglich gewesen wäre, die Erkenntnisse, die durch den Keylogger ermittelt wurden, auch durch eine Kontrolle des Dienst-PCs im Beisein des Arbeitnehmers hätten gewonnen werden können.

Kündigung unwirksam

Da die durch den Einsatz der Spionage-Software gewonnen Erkenntnisse rechtswidrig erlangt wurden und einem Beweisverwertungsverbot unterliegen, prüfte das LAG Hamm schließlich, ob der vom Kläger eingeräumte Umfang der privaten Nutzung des Dienstrechners eine außerordentliche Kündigung rechtfertigt und verneinte dies. Das Ausmaß der privaten Nutzung führe nicht dazu, dass eine Fortführung des Arbeitsverhältnisses unzumutbar geworden sei:

„Bei den vom Kläger zugestandenen Pflichtverletzungen handelt es sich nicht um ein derart schwerwiegendes Fehlverhalten, welches die Erteilung einer vorherigen Abmahnung entbehrlich gemachte hätte. Insbesondere handelt es sich bei der vom Kläger eingeräumten Privatnutzung des Dienst – PCs von wenigen, maximal zehn Minuten am Tag nicht um eine sogenannte exzessive Privatnutzung, bei der nach der Rechtsprechung des Bundesarbeitsgerichts allein die Verletzung der arbeitsvertraglichen Leistungspflichten ohne Abmahnung zu einer Beendigung des Arbeitsverhältnisses führen kann (vgl. (BAG, Urteil vom 31. Mai 2007 – 2 AZR 200/06 –).“

Erfreulicherweise hat das Gericht die Revision zugelassen. Sofern die Beklagte; also der Arbeitgeber Revision einlegt, kann durch eine Entscheidung des Bundesarbeitsgerichts in diesem sehr praxisrelevanten Bereich mehr Rechtsicherheit erreicht werden.

Fazit

Die Entscheidung zeigt, dass Arbeitgeber auch beim Verdacht auf Arbeitszeitbetrug sehr sorgsam vorgehen müssen. Dem Einsatz von Überwachungsmaßnahmen sind strenge Grenzen gesetzt und eine fristlose Kündigung, welche sich auf die Ergebnisse unrechtmäßiger Überwachungsmaßnahmen stützt, wird von Gerichten aufgehoben.

Dies ist umso wahrscheinlicher, je einschneidender der Einsatz von Überwachungs-/Kontrollmaßnahmen für den Betroffenen ist. In jedem Fall sollte jedoch der betriebliche Datenschutzbeauftragte und Betriebsrat vor der Durchführung von Überwachungsmaßnahmen unterrichtet werden!

Microsoft ermöglicht mit Windows Hello die Authentifizierung mittels Biometrie. Windows 10 Nutzer können sich anstelle eines Passwortes auch per Fingerabdruck oder Gesichtserkennung auf ihrem Endgerät anmelden. Auch Unternehmen stellen teilweise ihre Authentifizierungsverfahren auf biometrische Methoden um. In Punkto Bequemlichkeit und Sicherheit können biometrische Verfahren eine Alternative zum herkömmlichen Passwort bieten. Dennoch sollte vor dem produktiven Unternehmenseinsatz unbedingt der Datenschutz berücksichtigt werden.

Funktionsweise von Windows Hello

Windows Hello ermöglicht die Authentifizierung ohne Kennworteingabe. Sofern das Endgerät des Nutzers es technisch zulässt, kann mittels Gesichtserkennung, Iris-Scan oder Fingerabdruck eine Anmeldung am System erfolgen. Damit erübrigt sich das Merken und Abändern langer und komplizierter Passwörter. Zur Bildschirmentsperrung genügt es, sich einfach vor den PC zu setzen oder mit dem Finger über das Display zu wischen.

Datenschutz bei Windows Hello

Allgemein wird der datenschutzkonforme Einsatz von Windows 10 im Unternehmen viel diskutiert. Auch wir haben darüber bereits hier berichtet.

Im Hinblick auf die biometrische Funktion interessiert besonders der Speicherort der Daten. Die Datenschutzhinweise von Microsoft selbst sind dazu etwas spärlich. In wenigen kurzen Sätzen wird darauf hingewiesen, dass die Daten nur verschlüsselt auf dem Endgerät gespeichert werden. An Microsoft selbst sollen angeblich keine biometrischen Daten übermittelt werden. Der Datentransfer beschränkt sich laut Microsoft auf Angaben zur Nutzung des Dienstes (Anmeldung per Fingerabdruck oder Iris-Scan, Fehleranfälligkeit).

Ob Microsoft jedoch tatsächlich keinen Zugriff auf Daten nimmt, ist für den Nutzer kaum nachprüfbar. Es bleibt also nichts anderes übrig, als auf diese Angaben zu vertrauen.

Biometrie und Datenschutz

Auch bei biometrischen Daten handelt es sich um personenbezogene Daten, sodass die Zulässigkeit nach dem Bundesdatenschutzgesetz zu prüfen ist. Biometrische Daten werden überdies aus mehreren Gründen als besonders schützenswert eingestuft.

Argumente dafür sind:

• Biometrische Daten ermöglichen eine eindeutige Identifizierung. Dadurch besteht eine erhöhte Missbrauchsgefahr. Gelangt z.B. der Fingerabdruck in falsche Hände wird es für den Betroffen äußerst schwer sein, z.B. im Falle eines Einbruchs die Identitätstäuschung zu beweisen.
• Biometrische Daten lassen Rückschlüsse auf andere persönliche und körperliche Eigenschaften ziehen. Der Augenhintergrund kann Anzeichen für Krankheiten wie Diabetes oder Bluthochdruck liefern. Gesichtsausdrücke und Bewegungsmuster können auf die psychische Verfassung hindeuten.

Biometrie im Unternehmen

Im Unternehmen werden biometrische Authentifizierungsverfahren häufig im Rahmen der Zutritts-oder Zugangskontrolle eingesetzt. Bei der Beurteilung der datenschutzrechtlichen Zulässigkeit kommt es überwiegend auf dem Einsatzzweck und die technische Ausgestaltung an. In Bezug auf die oben dargestellten Risiken dürfte der Einsatz von biometrischen Authentifizierungsverfahren nur in wenigen Fällen erforderlich sein (§ 32 Abs. 1 BDSG).

Sofern Unternehmen biometrischer Verfahren eigenhändig einrichten, sollten nach Auffassung der Aufsichtsbehörden folgende Maßnahmen ergriffen werden:

• Biometrische Daten sollen nicht als Rohdaten, sondern in datensparsamen Templates gespeichert werden.
• Eine zentrale Speicherung sollte vermieden werden. Vorzugswürdig ist die Speicherung auf einem eigenen Speichermedium des Betroffenen, das selbst verwaltet werden kann.
• Sofern eine zentrale Speicherung unumgänglich ist, muss durch die Vergabe von Berechtigungen und einer Verschlüsselung nach dem Stand der Technik ausreichend Vorkehrung für die Sicherheit der Daten getroffen werden
• Die Datenverarbeitung muss dem Betroffenen transparent gemacht werden.
• Der Betriebsrat ist zu beteiligen (§ 87 Abs. 1 Nr. 6 BetrVG)

In Betracht kommt daher in der Regel nur der freiwillige Einsatz auf Basis einer informierten Einwilligung des Mitarbeiters (§ 4a BDSG). Dienste wie Microsoft Hello, oder auch eine Anmeldung über die iPhone Touch-ID, sollten dem Mitarbeiter daher immer frei gestellt werden.

Immer wieder erreichen uns hier im Blog Anfragen von Arbeitnehmern, die sich auf ihrem Arbeitsplatz überwacht fühlen. Die Frage: „Darf mein Arbeitgeber das?“ ist oft nur bei genauer Kenntnis der Sachlage zu beantworten. Die Frage: „Was kann man tun?“ kann hingegen leichter beantwortet werden.

Gespräch mit dem Arbeitgeber suchen

Ein offenes Gespräch mit dem Arbeitgeber liefert oftmals die gewünschten Ergebnisse. Arbeitgeber haben ein Interesse daran, dass sich ihre Arbeitnehmer wohlfühlen. Fühlt sich der Arbeitnehmer überwacht, hat auch der Arbeitgeber ein Problem. Dies sollte Ausgangspunkt für die Herangehensweise an Streitigkeiten zwischen den beiden Parteien sein. Wenn beide Parteien dasselbe Ziel verfolgen („der Arbeitgeber fühlt sich wohl“), lässt sich die Streitigkeit leichter lösen. Dies setzt natürlich auf beiden Seiten ein gewisses Fingerspitzengefühl voraus. Wichtig ist, dass die Beweggründe des Gegenübers verstanden und ernst genommen werden.

Arbeitgeber sollten ihren Mitarbeitern gegenüber Prozesse möglichst offenlegen. Unbehagen stellt sich besonders häufig bei Mitarbeitern ein, die sich nur unzureichend informiert fühlen.

Einbindung des Datenschutzbeauftragten

Der betriebliche Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes im Unternehmen hin. Betroffene können sich qua Gesetz jederzeit an ihn wenden – auch vertraulich. Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er kann folglich eine objektive Stellungnahme abgeben und zwischen den einzelnen Parteien vermitteln. Ohnehin sollte der Datenschutzbeauftragte in Themen mit Bezug zum Datenschutz stets einbezogen werden.

Einbindung des Compliance-Beauftragten

Soweit ein Compliance-Beauftragter im Unternehmen bestellt ist, kann dieser ebenfalls einbezogen werden. Der Compliance-Beauftragte stellt sicher, dass gesetzliche Regelungen im Unternehmen eingehalten werden. Steht eine Verletzung von Vorschriften des BDSG oder anderer Regelungen zum Datenschutz im Raum, wird auch er ein offenes Ohr haben.

Einbindung des Betriebsrates

Der Betriebsrat wacht darüber, dass die zugunsten der Arbeitnehmer geltenden Gesetze eingehalten werden. Er verfügt über Erfahrungen im Umgang mit Meinungsverschiedenheiten zwischen Arbeitnehmern und Arbeitgebern. Auch der Betriebsrat sollte deshalb unter Umständen einbezogen werden.

Einbindung der Aufsichtsbehörde

Die jeweiligen Landesbeauftragten für den Datenschutz üben die Aufsicht über die Einhaltung datenschutzrechtlicher Vorschriften in Unternehmen in ihrem Bundesland aus. Sie beraten, haben aber auch diverse Sanktionsmöglichkeiten, wenn ein Unternehmen gegen Gesetze verstößt. Eine Prüfung durch die Aufsichtsbehörde ist für Unternehmen häufig unangenehm und mit viel Aufwand verbunden. Vorrangig sollten daher interne Klärungsmöglichkeiten ausgeschöpft und Rückfragen an die Aufsichtsbehörde von dem betrieblichen Datenschutzbeauftragten koordiniert werden.

Einbindung eines Rechtsanwaltes

Rechtsanwälte können Arbeitnehmer in arbeitsrechtlichen und datenschutzrechtlichen Fragen beraten. Sollten die genannten internen Institutionen in einem Unternehmen (z.B. weil es sich um ein kleines Unternehmen handelt) nicht bestehen oder keine Lösung gefunden werden, muss ggf. Rat bei einem Rechtsanwalt eingeholt werden.

Kommunikation als A und O

Unabhängig von den eingebundenen Stellen und der Rechtslage im konkreten Fall besteht zwischen Arbeitnehmern und Arbeitsgebern die gegenseitige Verpflichtung zu einem rücksichtsvollen Umgang, die auch bei unterschiedlichen Ansichten zu Datenschutzthemen gewahrt werden muss. Mit guter Kommunikation und lösungsorientiertem Handeln lassen sich Probleme oft für beide Seiten zufriedenstellend lösen.

Themen, die im Beschäftigtendatenschutz immer wieder auftauchen, haben wir hier aufgelistet.

Im Datenschutz fragen wir uns in der Regel, was ein Arbeitgeber von seinen Mitarbeitern alles wissen darf. Aber was ist, wenn ein Arbeitgeber ungefragt von einer Beziehung seiner Mitarbeiter erfährt? Wie soll er mit der Liebe am Arbeitsplatz umgehen? Dieser Frage wollen wir heute auf den Grund gehen. Dieser Artikel ist Teil unserer Serie zum Arbeitnehmerdatenschutz.

Dürfen die Kollegen informiert werden?

Einer unserer Leser hat uns folgende spannende Frage gestellt:

Unser Leser ist Arbeitgeber und wurde von zwei Mitarbeitern unaufgefordert darüber informiert, dass sie seit einiger Zeit ein Paar sind und nun auch zusammenziehen werden. Die Mitarbeiter gehören der gleichen Abteilung an, möchten ihre direkten Kollegen aber nicht über die Beziehung informieren.

Unser Leser fürchtet nun, der Abteilungsfrieden könnte gestört werden, wenn die Beziehung zufällig bekannt wird. Deshalb fragt er, ob er die anderen Mitarbeiter der Abteilung über die Beziehung informieren darf oder ob das dem Datenschutz oder dem allgemeinen Persönlichkeitsrecht der Betroffenen widerspricht.

Beziehung am Arbeitsplatz erlaubt

Dazu ist vorab festzustellen, dass eine Beziehung unter Kollegen allgemein erlaubt ist und von einem Arbeitgeber nicht verboten werden kann. Das hat das beispielsweise das Landesarbeitsgericht Düsseldorf in einem Urteil festgestellt.

In dem Verfahren ging es um eine Ethikrichtlinie des US-Einzelhandelskonzerns Wal-Mart. Die Richtlinie bestimmte, dass Mitarbeiter nicht mit jemandem ausgehen oder eine Liebesbeziehung eingehen dürfen, der Einfluss auf die Arbeitsbedingungen nehmen kann oder deren Arbeitsbedingungen von der anderen Person beeinflusst werden können.

Das Gericht entschied, dass diese Bestimmung gegen Artikel 1 i.V.m Artikel 2 des Grundgesetzes verstößt und erklärte sie für unwirksam. Zwar untersagte die Richtlinie nicht generell jegliche Liebesbeziehung unter Mitarbeitern, sondern nur dann, wenn diese in einem Abhängigkeitsverhältnis zueinander stehen. Trotz dieser Einschränkung sah das Gericht die Regelung als grundrechtswidrig an.

Mit dem allgemeinen Persönlichkeitsrecht ist es nicht vereinbar, eine Liebesbeziehung unter Kollegen zu untersagen. Das gilt erst Recht, wenn nicht das Vorgesetzten-Mitarbeiter-Verhältnis, sondern zwei gleichgeordnete Mitarbeiter betroffen sind. Liebe ist grundsätzlich Privatsache.

Aber: Keine Beeinträchtigung des Betriebsablaufs

Etwas anderes gilt aber dann, wenn durch die Beziehung der Betriebsablauf beeinträchtigt wird. Das LAG Düsseldorf führt dazu aus:

Wenn auch nicht verkannt werden kann, dass in vielen Betrieben nicht gerne gesehen wird, wenn ein Vorgesetzter bzw. eine Vorgesetzte mit einem oder einer ihm bzw. ihr unterstellten Mitarbeiterin bzw. Mitarbeiter eine Liebesbeziehung eingeht, ist dies letztlich eine Privatangelegenheit der beteiligten Personen und hat zunächst den Arbeitgeber nicht zu interessieren. Erst wenn es auf Grund dieser Beziehung zu Spannungen innerhalb der Betriebsgemeinschaft kommt, kann der Arbeitgeber eingreifen. Es ist dann aber nicht die Partnerschaft oder die Liebesbeziehung, die stört, sondern das Verhalten, mit dem der eine oder der andere Partner oder beide oder außenstehende Dritte den betrieblichen Ablauf beeinträchtigen.

Daraus folgt, dass der Arbeitgeber eingreifen darf, sobald die Beziehung zu einer Störung des Betriebsablaufs führt. Zwar kann die Beziehung als solche nicht untersagt werden, es können aber Maßnahmen ergriffen werden, um Störungen für die Zukunft zu vermeiden.

Eine geeignete Maßnahme kann beispielsweise die Versetzung in eine andere Abteilung oder die Zuweisung zu einem anderen Projekt sein. Wichtig ist aber, dabei stets auf die Verhältnismäßigkeit zu achten und keinen der Mitarbeiter unangemessen zu benachteiligen.

Beurteilung aus datenschutzrechtlicher Sicht

Unser Leser stellte nun die Frage, ob ein Arbeitgeber die Kollegen über die Beziehung zweier Mitarbeiter informieren darf, sofern sie das nicht von selbst tun. Das kann auf Grundlage des BDSG beantwortet werden.

Rechtsgrundlage, § 32 Abs. 1 S. 1 BDSG

Bei der Tatsache, dass zwei Mitarbeiter eine Liebesbeziehung führen, handelt es sich um eine personenbezogene Information im Sinne des § 3 Abs. 1 BDSG. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Arbeitsverhältnis richtet sich allgemein nach § 32 BDSG.

Gemäß § 32 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses dann erhoben, verarbeitet oder genutzt werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Maßgeblich kommt es also auf die Erforderlichkeit an.

Mitteilung in der Regel nicht erforderlich

Erforderlich in dem Sinne ist eine Datenverarbeitung nur dann, wenn sie für das Arbeitsverhältnis geboten und nicht nur nützlich ist. Es dürfen keine milderen, die Arbeitnehmer weniger belastenden Mittel bestehen.

Eine Information der Kollegen über die Beziehung ist demnach grundsätzlich nicht erforderlich. Möchten die Mitarbeiter ihre Kollegen nicht einweihen, steht das auch dem Arbeitgeber nicht zu.

Befürchtet der Arbeitgeber Störungen im Betriebsablauf, sollte er das mit den betroffenen Mitarbeitern direkt klären. Erst wenn es tatsächlich zu Störungen kommt, darf er weitere Maßnahmen ergreifen. Bis dahin bleibt die Beziehung Privatsache.

Mitarbeiter haben im Rahmen ihrer Aufgabenzuteilung oftmals die Möglichkeit, viele teilweise sehr sensible personenbezogene Daten einsehen zu können. Das LAG Berlin-Brandenburg (Urteil vom 01.09.2016, Az. 10 SA 192/ 16) hatte jüngst über einen Fall zu entscheiden, indem die Mitarbeiterin einer Behörde ohne beruflichen Anlass Melderegisterabfragen vornahm. Zwischen der Mitarbeiterin und der Behörde war streitig, ob diese Datenschutzverstöße eine außerordentliche Kündigung rechtfertigen können.

Abruf von Melderegisteranfragen aus reiner Neugier

Eine Mitarbeiterin, die bereits seit 34 Jahren in der Behörde beschäftigt war, hatte in den letzten Jahren aus privatem Interesse mehrere hundert Melderegisterabfragen vorgenommen. Davon betroffen waren überwiegend Personen aus dem Bekanntenkreis der Mitarbeiterin, wie z.B. die Tochter ihres Freundes oder die Ex-Frau eines Bekannten. Mit Bekanntwerden der unbefugten Registerabrufe sprach der Arbeitgeber die außerordentliche Kündigung aus. Die Mitarbeiterin ging gerichtlich gegen die Kündigung vor und stützte ihre Argumente unter anderem darauf, ihr sei der Datenschutzverstoß nicht bewusst gewesen und sie habe keine negativen Absichten verfolgt.

Den Vorprozess hatte die Mitarbeiterin mit dieser Argumentation gewonnen. Das Gericht hielt hier eine Verhaltensänderung der Klägerin für möglich. Kurz darauf befasst sich auch das Amtsgericht Berlin-Tiergarten (Strafgericht) mit dem Fall und befand die Arbeitnehmerin für schuldig. Sie wurde zu einer Geldstrafe von insgesamt 90 Tagessätzen verurteilt.

Im Folgeprozess stufte das LAG Berlin-Brandenburg die Argumentation der Mitarbeiterin, ihr habe die Sensibilität für den Datenschutz gefehlt, als Schutzbehauptung ein. Zudem seien im Ergebnis die Datenschutzverstöße höher zu gewichten als die langjährige Beschäftigung in der Behörde und die Tatsache, dass die Abfragen ausschließlich zu privaten Zwecken erfolgten.

Kündigung wegen Datenschutzverstoß

Eine außerordentliche Kündigung des Arbeitsverhältnisses nach § 626 Abs. 1 BGB kann insbesondere dann gerechtfertigt sein, wenn der Arbeitnehmer seine vertragliche Leistungspflichten erheblich verletzt.

Nach dem Urteil des LAG Berlin-Brandenburg ist die Verletzung datenschutz- und melderechtlicher Vorschriften als wichtiger Kündigungsgrund i.S.d. § 626 BGB „an sich“ geeignet. Bei den hier einschlägigen Vorschriften handelt es sich um folgende Normen:

• Art. 33 der Berliner Landesverfassung gewährleistet als Grundrecht das Recht, grundsätzlich selbst über die Preisgabe und Verwendung von persönlichen Daten zu bestimmen.
• Nach § 7 Abs. 1 Bundesmeldegesetz (BMG) und § 5 Abs. 1 des BlnMeldeG sind die mit den Meldedaten beschäftigten Arbeitnehmer einem besonderen Geheimnisschutz verpflichtet. Den bei der Meldebehörde beschäftigten Personen ist bundesgesetzlich und landesgesetzlich untersagt, diese Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu erheben und zu verarbeiten.
• Nach § 32 BlnDSG steht unter Strafe, wenn jemand unbefugt personenbezogene Daten übermittelt oder abruft, wenn sie nicht offenkundig sind.

Wie lässt sich Missbrauch durch Arbeitnehmer verhindern?

Nach den Feststellungen des Strafgerichts hat im vorliegenden Fall wohl auch der Arbeitgeber versäumt, seine Datenverarbeitungsanlagen ausreichend zu schützen. Vor Abruf der Melderegisterabfrage war weder die Eingabe eines Betreffs, noch eines Aktenzeichens erforderlich. Dadurch sei

„dem derart unreflektierten Missbrauch Tür und Tor geöffnet gewesen“.

Arbeitgeber sind grundsätzlich nach § 9 BDSG verpflichtet, die nach der Anlage 9 zum BDSG erforderlichen technisch und organisatorischen Maßnahmen zu ergreifen. Sinn und Zweck dabei ist gerade, personenbezogene Daten vor ungerechtfertigter Kenntnisnahme, vor Manipulation und vor Verlust zu schützen. Diese Maßnahmen betreffen nicht nur den Schutz von externen Dritten, sondern auch vor ungerechtfertigter Datenverarbeitung durch Mitarbeiter.

Zur Verhinderung von Missbrauch bieten sich insbesondere folgende Maßnahmen an:

• Sensibilisierung der Mitarbeiter auf den Datenschutz durch die Verpflichtung auf das Datengeheimnis, Schulungen und Richtlinien zum Datenschutz
• Einschränkung der Zugriffsrechte durch ein differenziertes Berechtigungskonzept
• Protokollierung der Datenzugriffe und regelmäßige Kontrollen der Logfiles

Fazit

Der Missbrauch personenbezogener Daten durch Mitarbeiter kommt häufiger als gedacht vor. Neben dem hier angesprochenen Urteil hat erst im Dezember letzten Jahres ein Fall für Aufregung gesorgt, indem ein Jugendamt Mitarbeiter Sozialdaten und Aktenauszüge über WhatsApp an unbefugte Dritte versendete. Anlass für solche Datenschutzverstöße mag oftmals das fehlende Unrechtsbewusstsein der Mitarbeiter sein. Neben den technischen Zugriffschutz sollten Arbeitgeber daher großen Wert auf die Sensibilisierung der Mitarbeiter legen. Durch Schulungen, Richtlinien und die Verpflichtung auf das Datengeheimnis sollte deutlich und transparent gemacht werden, dass Datenschutz keine Nebensache ist, sondern Verstöße auch mit arbeitsrechtlichen und strafrechtlichen Konsequenzen verbunden sind.

Qualifizierte Fachkräfte sind immer schwieriger zu finden. Um dennoch fündig zu werden, verfügen moderne Bewerbermanagement-Softwares häufig auch über neue, kreative Formen des E-Recruiting. So etwa die Funktion des Active Sourcing. Aus datenschutzrechtlicher Sicht ist bei der Nutzung dieser Möglichkeiten jedoch einiges zu beachten.

Mitarbeitergewinnung durch Active Sourcing

Die klassischen E-Recruiting-Kanäle, wie das Schalten von Online-Anzeigen, sind nicht immer ausreichend, um freie Stellen mit gut ausgebildeten Personal zu besetzten. Daher nutzen Unternehmen neue Kanäle, wie z.B. Active Sourcing.

Active Sourcing meint die aktive Ansprache von potenziellen Bewerbern. Diese können beispielsweise über soziale Netzwerke kontaktiert und dann in den Talent-Pool aufgenommen werden. Moderne Bewerbermanagement-Tools sind bereits auf Active Sourcing eingestellt. Sie bieten Lösungen, um die auf diesem Wege generierten Daten zu verwalten. Beliebt ist außerdem das Einbinden einer Mitarbeiterempfehlungsfunktion. Dabei schlagen Angestellte Freunde und Bekannte vor und erhalten dafür in der Regel einen Bonus.

Nach einer aktuellen Studie von Staufenbiel und Kienbaum zu Recruiting Trends 2017 ist Active Sourcing bereits ein beliebter Recruiting Kanal. 35 % der befragten Unternehmen nutzen Active Sourcing Tools bereits aktiv. Weitere 34 % haben schon erste Schritte in Richtung Active Sourcing unternommen.

Datenschutzrechtliche Probleme beim E-Recruiting

Bewerbermanagement-Tools sammeln naturgemäß viele personenbezogene Daten. Dabei handelt es sich überwiegend um sensiblen Bewerberdaten, wie Anschreiben, Lebenslauf und Zeugnisse. Was im E-Recruiting speziell bei Online-Bewerbungen zu beachten ist, haben wir bereits im Beitrag „Datenschutz bei Online-Bewerbungen – Was gibt es zu beachten?“ näher ausgeführt.

Bei der aktiven Bewerberansprache stellen sich darüber hinaus weitere datenschutzrechtliche Probleme. Es ist fraglich, in welchem Umfang Daten künftiger Kandidaten gespeichert und genutzt werden können.

Verfügt die Software über eine Mitarbeiterempfehlungsfunktion, werden neben Bewerberdaten auch Mitarbeiterdaten erhoben. Auch hier stellt sich die Frage, unter welchen Voraussetzungen solche Maßnahmen datenschutzrechtlich zulässig sind.

Generieren und Speichern von Kontaktdaten

Aus datenschutzrechtlicher Sicht stellt sich die Frage, ob Kontaktdaten und Informationen über potentielle Kandidaten in einem Talent-Pool der Software gespeichert werden dürfen.

Hier ist grundsätzlich danach zu unterscheiden, auf welchem Weg die Daten generiert werden. Wird in sozialen Netzwerken nach Kandidaten gesucht, gilt grundsätzlich das Gleiche wie für Background-Checks im Bewerbungsverfahren: Eine Suche in berufsorientierten Netzwerken wie Xing und LinkedIn ist zulässig. Freizeitorientierte Netzwerke werden hingegen den privaten Bereich zugeordnet. Das Durchsuchen nach geeigneten Kandidaten wäre hier in der Folge unzulässig.

Allerdings sollte daran gedacht werden, den Kandidaten über die Datenerhebung zu informieren (§ 33 BDSG). Ferner sollten auch hier feste Löschroutinen implementiert werden.

Davon zu unterscheiden ist die Frage, ob Bewerberdaten nach Beendigung eines bereits durchgeführten Bewerbungsverfahrens weiterhin in einem Talent-Pool gespeichert werden dürfen. Nach der Ablehnung sollten Bewerberdaten spätestens nach 6 Monaten gelöscht werden. Eine Aufnahme in den Talent-Pool ist nur auf Basis einer informierten Einwilligung zulässig.

Mitarbeiterempfehlungsprogramm: nur eingeschränkt zulässig

Bewerbermanagement-Softwares bieten hier oftmals die Möglichkeit, dass Mitarbeiter Stellenanzeigen teilen, sowie Freunde und Bekannte empfehlen können. Die Software trackt dabei mit und wertet aus, welcher Mitarbeiter dabei am erfolgreichsten ist. Der Reichweite der Trackingmöglichkeiten sind dabei aus technischer Sicht nur wenig Grenzen gesetzte: Es lassen sich Auswertungen über die Anzahl der geteilten Stellen zeigen, der Fortschritt der eingeleiteten Bewerbungsverfahren lässt sich mitverfolgen. Außerdem können die Statistiken für alle Mitarbeiter frei einsehbar sein, sodass der Wettbewerb untereinander gefördert wird.

Aus datenschutzrechtlicher Sicht sind diese Funktionen problematisch und sollten genau geprüft werden. Grundsätzlich gelten folgende Prinzipien:

• Betriebsrat einbinden: Das Einführen eines Bewerbermanagement-Tools, speziell eines Empfehlungsprogramms, ist mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BtrVG. Dabei handelt es sich um die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen
• Freiwilligkeit: Die Datenerhebung über Mitarbeiterempfehlungen ist nicht erforderlich im Sinne des § 32 Abs. 1 BDSG. Die Teilnahme an einem solchen Programm kann daher nur auf Basis einer Einwilligung erfolgen.
• Eine Leistungs-und Verhaltenskontrolle muss ausgeschlossen werden.
• Die Ausgestaltung muss transparent erfolgen. Jeder Mitarbeiter muss konkret über die Datenerhebung informiert werden.

Fazit

Bewerbermanagement-Tools und Active Sourcing Funktionen lassen sich datenschutzkonform einsetzten. Wichtig ist allerdings, die vorgegebenen Software-Einstellungen des Dienstleisters auf ihre Datenschutzkonformität hin zu prüfen. Es sollte zuvor eine Vorabkontrolle durch den Datenschutzbeauftragten erfolgen.

Viele nutzen heute sog. „Wearables“, um Bewegungs- und Sportaktivitäten, ihren Schlaf oder ihre Produktivität und Effizienz zu vermessen. Privat ist die Selbstoptimierung oftmals interessant, doch sobald der Arbeitgeber zur Optimierung der Arbeitsprozesse oder Überwachung mittels Wearables greift, stößt er bei seinen Beschäftigten auf teils heftige Kritik. Was datenschutzrechtlich erlaubt ist und was nicht, zeigen wir hier.

Was sind Wearables?

Wearables sind tragbare Comptersystem, das während der Anwendung regelmäßig am Körper befestigt ist und dabei hauptsächlich mit dem Körper interagieren. So lassen sich beispielsweise Bewegungen messen, eine Person orten oder aber gesundheitsrelevante Informationen abfragen (z.B. das Schlafverhalten).

Privat sind Wearbles besonders Sportlern vertraut, die sog. Fitness-Wearbles etwa nutzen können, um einen Lauf nach Strecke, Geschwindigkeit, Pulsfrequenz, Geländegegebenheiten, Witterung u.v.m. vermessen zu können.

Einsatzmöglichkeiten für Arbeitgeber

Einsatzmöglichkeiten reichen über Smartphones, Uhren, Brillen bis hin zur Kleidung.

Für Arbeitgeber bietet sich eine Vielzahl an Möglichkeiten:

• Besonders beliebt ist dabei die Ortung von Mitarbeitern, gerade bei Lieferanten und Zustellern. Häufig geht es darum, Beschäftigte noch effizienter einzusetzen und zu organisieren.
• Aber auch die Erfassung von Leistungsdaten steht zunehmend im Vordergrund. Um beim Beispiel der Zusteller zu bleiben: Leistungsdaten werden etwa erfasst, um die Anzahl der Zustellungen in einer bestimmten Zeit zu messen und gegebenenfalls Zustellbezirke an die Auswertungsergebnisse anzupassen.
• Auch zum Schutz der Beschäftigten werden Wearables mittlerweile eingesetzt. Sei es zur Kontrolle im Bereich der Arbeitssicherheit im Allgemeinen oder zum Schutze von Mitarbeitern bei besonders risikobehafteten Tätigkeiten. Der Einsatz von Wearables zur Gesundheitsvorsorge gewinnt ebenfalls an Bedeutung, da die Gesundheit der Beschäftigten immer auch eine Frage der Produktivität ist.
• Die Kontrolle/Schutz von Arbeitsmitteln bietet darüber hinaus weitere wichtige Einsatzfelder in der Praxis.

Datenschutzrechtlicher Rahmen

Gesetzlicher Rahmen

Der Einsatz von Wearables im Beschäftigungsverhältnis ist rechtlich derzeit insbesondere in § 32 BDSG verankert. Ab 25.05.2018 wird § 26 BDSG (neu) maßgeblich sein. Für zahlreiche Wearables ist mitunter auch das Telemediengesetz (TMG) oder das Telekommunikationsgesetz (TKG) zu beachten.

Risiken für die Beschäftigten stellen vor allem die zahlreichen Möglichkeiten der Zustands-, Verhaltens- und Leistungskontrolle dar. Die Gefahr, dass Beschäftigte einer permanenten Kontrolle durch den Arbeitgeber ausgesetzt sind, dürfte deutlich gestiegen sein.

Hierbei ist in vielen Fällen grundsätzlich zu prüfen, ob der Einsatz der Wearables erforderlich und auch verhältnismäßig ist. Dabei verschließt sich auch das Datenschutzrecht nicht dem technologischen Fortschritt, setzt aber auch klare Grenzen. Eine Totalüberwachung oder permanente Kontrolle der Beschäftigten ist nicht erlaubt. Vielmehr muss der Arbeitgeber durch geeignete Vorkehrungen und einer eingehenden Prüfung, die Rechte der Beschäftigten achten und den Einsatz von Wearables ggf. entsprechend beschränken.

Eine Vorabkontrolle nach § 4 d Abs. 5 BDSG ist in den meisten Fällen unumgänglich.

Die rechtlichen Anforderungen an die technisch-organisatorischen Maßnahmen kann – je nach Einsatzmöglichkeit – erheblich variieren und gerade bei besonders schutzbedürftigen Daten (wie etwa Gesundheitsdaten) einen erheblichen organisatorischen und finanziellen Aufwand erfordern.

Einwilligung

Eine Einwilligung durch die Beschäftigten birgt in der Praxis häufig eine Vielzahl von Risiken, wird aber ebenfalls als Grundlage für den Einsatz von Wearables herangezogen.

Häufig ist die gebotene Freiwilligkeit der Einwilligung ein nicht zu unterschätzender Problemfaktor. Aber auch die umfassende Information des Beschäftigten stellt viele Arbeitgeber vor unüberwindbare Hürden. Die Dokumentation der Einwilligung fehlt in zahlreichen Fällen ebenfalls.

Mitbestimmung durch den Betriebsrat / Betriebsvereinbarung

Auch die Mitbestimmungsrechte des Betriebsrates müssen beachtet werden.

So bestimmt § 87 Abs. 1 Nr. 6 BetrVG:

„Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:

(…) Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (…)“.

In der Praxis wird der Einsatz von Wearables häufig auf entsprechende Betriebsvereinbarungen gestützt.

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat gestern ein Urteil mit hoher Relevanz für Unternehmen veröffentlicht. Konkret ging es um die Frage, ob ein Arbeitgeber bei einem bestehenden Verbot der privaten Internetnutzung berechtigt ist, die Nutzung des Anschlusses zu überwachen. Das Urteil hat erhebliche praktische Auswirkungen auch in Deutschland.

Private Nutzung des dienstlichen Internetanschlusses – ein Dauerbrenner

Das Urteil des EGMR vom 05.09.2017 – Application no. 61496/08 betrifft einen datenschutzrechtlichen Dauerbrenner: die Einsichts- bzw. Kontrollmöglichkeiten des Arbeitgebers in die Nutzung des dienstlichen Internetanschlusses. Sofern eine private Nutzung des Internets oder des dienstlichen E-Mail-Accounts stattfindet, kollidieren erhebliche Interessen von Mitarbeitern und Unternehmen. Auf Seiten des Mitarbeiters stehen dabei Grundrechte z.B. aus § 10 GG oder auch § 8 EMRK. Demgegenüber stehen die Interessen – und zudem gesetzliche Aufbewahrungspflichten – des Arbeitgebers, der ein legitimes Interesse am pflichtgemäßen Umgang mit den grundsätzlich zur Erfüllung der Arbeitspflichten bereitgestellten Arbeitsmitteln hat.

Dieses Spannungsfeld entsteht insbesondere dann, wenn – wie in vielen Unternehmen immer noch der Fall – überhaupt keine Regelungen zur privaten Nutzung des Internetanschlusses und/oder des geschäftlichen E-Mail-Accounts getroffen wurden. Nach der im Datenschutzrecht herrschenden Meinung duldet der Arbeitgeber in diesem Fall auch eine private Nutzung mit der Konsequenz, dass ein Zugriff auf den dienstlichen E-Mail-Account ohne explizite Einwilligung mit erheblichen rechtlichen Konsequenzen behaftet ist und hiervon nur abgeraten werden kann. Gleiches gilt für die sonstige Kontrolle der Nutzung des dienstlichen Internetzuganges ohne explizite Einwilligung des Mitarbeiters. Ist die private Nutzung des Internetanschlusses nicht ausdrücklich verboten und wird dieses Verbot zudem nicht auch kontrolliert, ist eine Kontrolle z.B. des Besuches von Webseiten ebenfalls ohne explizite Einwilligung des Mitarbeiters rechtlich sehr problematisch.

Aus Sicht des Arbeitgebers verschärft das gestrige Urteil des EGMR die Problematik weiter, denn selbst bei einem ausdrücklichen Verbot der privaten Nutzung des Internetanschlusses und der Bekanntmachung der Überwachung dieses Verbots soll eine Kontrolle unter gewissen Umständen unwirksam sein.

Kündigung wegen privater Nutzung des Yahoo-Messengers

Dem Urteil des EGMR liegt ein Sachverhalt aus dem 2007 zu Grunde. Ein rumänischer Staatsangehöriger und Kläger in dem Verfahren hatte damals an seinem Arbeitsplatz den Yahoo-Messenger nicht nur zur Kommunikation mit Kunden seines Arbeitergebers, sondern auch zur privaten Kommunikation mit seinem Bruder und seiner Verlobten genutzt. In dem Unternehmen war die private Nutzung des Internetanschlusses strikt verboten. Zudem war in unmittelbarer zeitlicher Nähe zum fraglichen Zeitraum seitens des Unternehmens nochmals ausdrücklich auf das Verbot hingewiesen worden. Es wurde zudem darauf verwiesen, dass kürzlich eine Mitarbeiterin wegen eines Verstoßes entlassen worden war und das Verbot weiterhin kontrolliert werden würde. Der Kläger hatte zudem schriftlich bestätigt, dass ihm das Verbot bekannt war.

Trotzdem führte er über den Yahoo-Messenger während der Arbeitszeit private Gespräche mit seiner Verlobten und seinem Bruder. Gegenstand der Chats sollen auch intime Informationen zum Sexualleben des Klägers gewesen sein.

Der Arbeitgeber zeichnete die Chatverläufe auf und kündigte dem Arbeitnehmer nachdem die privaten Gespräche bemerkt worden waren. Eine Kündigungsschutzklage des Arbeitnehmers war vor den rumänischen Arbeitsgerichten gescheitert.

EGMR: Informationen zur Überwachung des Klägers möglicherweise unzureichend

Erfolg hingegen hatte die Klage vor dem EGMR. Der Europäische Gerichtshof für Menschenrechte befand, dass die Überwachung bzw. Aufzeichnung der Kommunikation den Klägern in seinen Rechten aus Art. 8 EMRK verletzt habe. Die rumänischen Arbeitsgerichte hätten bei der Ablehnung der Kündigungsschutzklage nicht ausreichend festgestellt, ob der Kläger vorab nicht nur generell über Kontrollen informiert worden war, sondern auch ausdrücklich darüber, dass auch seine Kommunikation über den Yahoo-Messenger aufgezeichnet wird. Weiter fehle es an der Feststellung, ob das Kläger über das Ausmaß der Überwachung und die Intensität des Eingriffs in seine Rechte informiert worden sei. Auch das Fehlen weiterer Feststellungen durch die rumänischen Gerichte bemängelte der EGMR.

Auswirkungen des Urteils für Unternehmen

Das Urteil hat in der Praxis erhebliche Auswirkungen für Unternehmen. Wie eingangs dargestellt bestehen für Unternehmen erhebliche datenschutzrechtliche Schwierigkeiten, wenn die private Nutzung des geschäftlichen Internetanschlusses erlaubt oder gar nicht geregelt ist. In diesem Fall ist z.B. der Zugriff auf das geschäftliche E-Mail-Postfach bei einer Abwesenheit des Mitarbeiters ohne dessen Einwilligung rechtlich höchst bedenklich. Dies ist insbesondere deshalb problematisch, weil Unternehmen bzgl. Geschäftsunterlagen nach dem HGB und der AO eine gesetzliche Aufbewahrungspflicht trifft. Da Geschäftsunterlagen auch z.B. in einer E-Mail-Korrespondenz bestehen können, stehen eine ganze Reihe von Unternehmen vor dem Problem, dass ein E-Mail-Account ggfls. archiviert wurde, aber ein Zugriff aufgrund von datenschutzrechtlichen Vorgaben und einer möglichen Verletzung des Telekommunikationsgeheimnisses faktisch unmöglich wird. Dies jedenfalls dann, wenn der Mitarbeiter hierzu nicht explizit sein Einverständnis erklärt hat.

Insbesondere um diese Problematik zu vermeiden, ist es aus Unternehmenssicht der einzig rechtsichere Weg jedenfalls die private Nutzung des geschäftlichen E-Mail-Accounts generell zu untersagen und das Verbot zu kontrollieren. Da die Grundsätze der dargestellten EGMR-Entscheidung sicherlich auch auf den E-Mail-Verkehr anzuwenden sind, sollten zudem eingesetzte Kontrollmaßnahmen vorab detailliert den Mitarbeitern dargestellt werden. Dabei ist auch darauf zu achten, dass mitgeteilt wird, ob und in welchem Ausmaß Kommunikationsinhalte zur Kenntnis genommen werden können.

Soll weiter auch ein Zugriff auf den Browserverlauf durch den Arbeitgeber oder andere – auch nur technische – Kontrollen der Nutzung des Internetanschlusses möglich sein, gilt das Vorangestellte entsprechend.

Dient das Urteil dem Datenschutz wirklich?

Als Medien- und Datenschutzrechtler habe ich viele gut begründete und nachvollziehbare Urteile gelesen. Das vorliegende Urteil des EGMR ist anders. Meine Einschätzung beruht dabei nicht nur auf der komplizierten Begründung des Urteils, die juristische Fragen aufwirft um ihnen nachher selbst wieder auszuweichen oder juristischen Gegenargumenten. Vielmehr wird aus meiner Sicht in der gesamten Problemstellung die Unternehmenssicht nicht ausreichend gewürdigt. Ich bin zwar ein großer Verfechter von Persönlichkeitsrechten, aber es ist vorliegend doch so, dass es um die Nutzung von Arbeitsmitteln geht, die der Arbeitgeber zur Erfüllung der Arbeitspflichten zur Verfügung stellt. Im Grundsatz ist es daher eine Selbstverständlichkeit, dass diese Arbeitsmittel nur für geschäftliche Zwecke genutzt werden dürfen. Es bedarf daher nicht eines expliziten Verbots der privaten Nutzung, sondern im Gegenteil einer expliziten Erlaubnis der privaten Nutzung. Liegt eine solche explizite Gestattung nicht vor, sollte eine Vermutung zu Gunsten einer ausschließlich geschäftlichen Nutzung gelten. Die derzeit herrschende gegenteilige Auffassung, die nicht nur ein Verbot, sondern zudem die Kontrollen dieses Verbots verlangt, degradiert m.E. Arbeitnehmer zu „Kindergartenkindern“ denen man unterstellt, dass Verbote nicht immer eingehalten werden.

Das vorliegende Urteil verschärft diesen einseitigen und letztlich auch unangemessenen Schutz von Arbeitnehmern noch zusätzlich. Es muss nicht nur ein Verbot und eine Kontrolle erfolgen, sondern zudem auch eine explizite und umfassende Aufklärung über die Kontrollmaßnahmen im Einzelnen. Anderenfalls läuft der Arbeitgeber Gefahr, dass die Kontrolle unrechtmäßig erfolgt. Eine solche Ausdehnung des Persönlichkeitsschutzes am Arbeitsplatz ist m.E. sicherlich nicht geeignet die Akzeptanz des Datenschutzes zu erhöhen. Dies bestätigt auch meine Erfahrung als Datenschutzbeauftragter. Ich kenne kein Unternehmen in dem nicht einerseits der Arbeitgeber generell kein Problem damit hätte, wenn die Arbeitnehmer den Internetanschluss gelegentlich privat nutzen. Umgekehrt zeigen die Arbeitnehmer und auch der Betriebsrat stets ebenfalls großes Verständnis dafür, dass der Arbeitgeber zur Wahrung seiner gesetzlichen Pflichten Zugriff z.B. auf den geschäftlichen E-Mail-Account nehmen können muss. Dies zeigt, dass in der Praxis eine Interessenkollision grundsätzlich gar nicht wahrgenommen wird und der gesamte Problemkreis der rechtlichen Ausgestaltung geschuldet ist.

M.E. wäre es daher deutlich besser gewesen, wenn der Europäische Gerichtshof für Menschenrechte mit der vorliegenden Entscheidung die Ausgangslage nicht noch verschärft hätte, sondern insgesamt der Meinung der abweichenden Richter gefolgt wären. Die Entscheidung ist mit 11 zu 6 Stimmen gefällt worden und die abweichenden Richter haben in ihrer Begründung aus meiner Sicht sehr zutreffend festgestellt, dass bereits schon Schwierigkeiten bestehen, zu erkennen, warum der Kläger in der vorliegenden Konstellation überhaupt eine vernünftige Erwartung bzgl. des Schutz seiner Privatsphäre; also der vorliegenden privaten Kommunikation haben konnte.

Es wäre wünschenswert, wenn der Gesetzgeber sich endlich entschließen könnte, den gesamten Problemkreis abschließend zu regeln und die bestehenden Unsicherheiten und aus meiner Sicht unverhältnismäßige Gewichtung von Interessen zu beseitigen.

Call Center sind für viele Unternehmen trotz zunehmender Verlagerung auf andere Kommunikationswege das Rückgrat in der Kundenkommunikation. Dabei kommt es hier regelmäßig zur Kollision von Arbeitgeberinteressen und dem Arbeitnehmerdatenschutz. Dieser Beitrag soll mögliche Probleme aufweisen.

Was sind ACD Anlagen?

Viele Anliegen lassen sich noch immer am Besten telefonisch klären. Auch verfügt aus verschiedenen Gründen nicht jeder Kunde über ein Facebook- oder Twitteraccount, um darüber mit dem Unternehmen zu kommunizieren. Damit der Anruf im Call Center den richtigen Mitarbeiter erreicht, werden hierzu ACD Anlagen (Automatic Call Distribution = automatisierte Anruferverteilung) eingesetzt. Ziel ist die optimale Verteilung von Anrufen auf die (verfügbaren) Mitarbeiter im Call Center unter Berücksichtigung von Kundenanliegen und besonderen Kenntnissen und Fähigkeiten der Mitarbeiter. Daneben ist ein weiterer Anwendungsbereich das Outbound-Marketing.

Leistungsmerkmale der Anlagen

Moderne ACD Anlagen können eine Vielzahl von Informationen erfassen und auswerten, insbesondere auch personenbezogene Daten. Davon sind neben den Anrufern vor allem die Mitarbeiter betroffen. Zu diesen Leistungsmerkmalen können beispielsweise gehören:

Wartezeit vor Annahme des Anrufs / Nachbearbeitungszeit/ Ursprung der Anrufer/ Gesprächsdauer/ Läuten/ Weiterverbindungsdauer/ Erfolgsquote/ Pausenzeit/ Verfügbarkeit des Mitarbeiters (bspw. Bereit/ Nicht bereit/ Abgemeldet etc.); berücksichtigt werden oftmals zudem Mitarbeiter-Skills. Inzwischen beherrscht die Technik auch Stimmungsanalyse, auch als „Keyword Spotting“ bezeichnet. Gerne erfolgt auch eine Kundenbefragung nach Beendigung des Telefongesprächs (allgemeiner Natur oder auch bezogen auf das unmittelbar zuvor erfolgte Gespräch und den entsprechenden Mitarbeiter).

Ist denn das zulässig?

Die datenschutzrechtliche Zulässigkeit richtet sich grundsätzlich nach § 32 Abs. 1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten „für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies … für dessen Durchführung … erforderlich ist.“ Zu berücksichtigen sind dabei vor allem die Persönlichkeitsrechte der Mitarbeiter, in die eingegriffen wird. Für die Bestimmung der Erforderlichkeit kommt es auf die berechtigten Interessen und Zwecke des Arbeitgebers an. Gestattet sind auch Maßnahmen zur Kontrolle, ob der Arbeitnehmer den geschuldeten Pflichten nachkommt. Auch die zur Organisation des Betriebes und des Personaleinsatzes benötigten Informationen fallen unter die Zweckbestimmung.

Es ist unstrittig, dass der Arbeitgeber die Leistung seiner Arbeitnehmer kontrollieren kann, inwieweit dieser seine arbeitsvertraglichen Pflichten einhält. Dabei sind aber verfassungsrechtlich gebotene Grenzen bei der Kontrolle des Arbeitnehmerverhaltens zu beachten. Der Mitarbeiter darf nicht einem permanenten und umfassenden Leistungsdruck unterworfen werden. Stellt das Telefonat die eigentliche Arbeitsleistung dar, so ist in gewissem Umfang auch eine Leistungskontrolle zulässig, indem der Arbeitgeber unter Einsatz automatisierter Anrufverteilungstechnik z.B. Anzahl und Dauer der Anrufe registriert und in sog. „Bedienplatzreports“ ermittelt, wie häufig sich der Mitarbeiter aus der Bearbeitung einkommender Gespräche ausgeschaltet hat oder welche Nachbearbeitungs- oder Abwesenheitszeiten vom Arbeitsplatz entstanden sind. Die Kontrolle im Hinblick auf die Erfassung und Auswertung der angefallenen Telefondaten ist also insoweit zulässig, als sie im Rahmen einer Abwägung zwischen Arbeitgeber- und Arbeitnehmerinteressen verhältnismäßig ausfällt. Diese dürfen jedoch nicht zu tief in das Persönlichkeitsrecht der Arbeitnehmer eingreifen; die konkreten Kontrollvorhaben sind einzelfallbezogen der Verhältnismäßigkeitsprüfung zu unterziehen.

Auswertungen der Gespräche

Unter Wahrung der Verhältnismäßigkeit ist somit grundsätzlich eine Auswertung z.B. in Statistiken zulässig. Idealerweise fließen die Daten nur in anonymisierter Form in Gruppenstatistiken ein. Solche gruppenbezogenen Auswertungen ließen sich auch dauerhaft anlegen. Ist dies nicht möglich, kann grundsätzlich auch eine mitarbeiterspezifische Auswertung der Bedienplatzreports durchgeführt werden, sollte hingegen aber an nicht mehr als an 12 Tagen pro Monat erfolgen, wobei dieser Wert an den Einzelfall angepasst werden sollte. Bei einer größeren Überschreitung bestünde die Gefahr, dass dieses Vorgehen als nicht mehr verhältnismäßig und damit unzulässig anzusehen wäre; eine tägliche mitarbeiterspezifische Auswertung ist insoweit als unzulässig einzustufen. Daneben sind unter Berücksichtigung des Need-to-know-Grundsatzes Zugriffsberechtigungen zu regeln, also wer im Unternehmen auf diese Auswertungen zugreifen darf.

Dürfen Gespräche aufgezeichnet werden?

Von den oben aufgeführten Daten und der Bewertung der Zulässigkeit abweichend ist der Bereich der Gesprächsaufzeichnung. Hinnehmen muss der hierüber informierte Callcenter-Mitarbeiter per Einwilligung das Aufzeichnen seiner Gespräche, wenn dies auf Grund von Dokumentationspflichten erforderlich ist. Ohne konkrete Information ist ein Mithören zwecks Qualitätskontrolle nicht zulässig und die für ein zu diesem Zweck durchgeführtes Aufzeichnen von Gesprächen erforderliche Einwilligung iSv § 201 StGB unwirksam. Weitere Information hierzu finden Sie in diesem Beitrag.

Einwilligungen im Beschäftigungsverhältnis bedürfen für ihre Wirksamkeit jedoch der Einhaltung formeller Voraussetzungen. Die Einwilligung an sich muss nicht zwingend schriftlich erfolgen, jedoch müssen einige Anforderungen an diese erfolgen. Zu einem muss der Arbeitgeber den Nachweis über eine erfolgte (freiwillige) Einwilligung durch den Betroffenen erbringen können. Zum anderen ist dieser zuvor zwingend über sein Widerrufsrecht aufzuklären, wonach dieser die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Weiter muss der Mitarbeiter über den Zweck der Datenverarbeitung informiert werden. Soweit diese Informationen auch über die Box abgebildet werden können, bspw. durch einen ergänzenden Begleittext, ist eine elektronische Einwilligung nach meinem Dafürhalten nicht zu beanstanden. Sollte dies erfolgen, kann ich Sie bei der konkreten Ausgestaltung natürlich unterstützen.

Speicherung der Telefonnummern

Einer Speicherung der Telefonnummern der Anrufer stehen keine grundsätzlichen datenschutzrechtlichen Bedenken entgegen. Bei Telefonnummern handelt es sich um personenbezogene Daten. Für interne Auswertungen wie Anzahl eingegangener Anrufer wäre es datenschutzrechtlich am besten, wenn die beabsichtigte Speicherung der Telefonnummer in anonymisierter Form erfolgt. Dies könnte bspw. durch Streichen der letzten drei Ziffern erfolgen und ein Personenbezug mit seinen datenschutzrechtlichen Anforderungen würde zugleich entfallen. Sollte dieses nicht möglich sein, bestünde grundsätzlich auch die Möglichkeit, die Nummer vollständig zu speichern. Dann sollte jedoch datenschutzrechtlich folgendes beachtet werden: Als erforderliche Rechtsgrundlage für ein Speichern von Telefonnummern kommt § 28 Absatz 1 Satz Nr. 2 BDSG in Betracht. Danach ist dies möglich, wenn es zur Wahrung Ihrer berechtigter Interessen erforderlich ist und schutzwürdiges Interesse des Betroffenen nicht überwiegt. Dem folgend bedarf es einer Abwägung der Interessen unter Berücksichtig des Speicherzwecks. Ferner sollte in Hinblick auf die Interessen der Betroffenen eine Speicherung der Anrufer-Nummern in zeitlicher Hinsicht auf das erforderliche Minimum reduziert und anschließend gelöscht werden. Die danach generierten statistischen Daten dürften kein weiteres Bereithalten der zugrundeliegenden Anrufer-Nummern erfordern.

Ist sonst noch etwas zu beachten?

Die meisten Unternehmen greifen für ACD Anlagen auf cloud-basierte Lösungen von Dienstleistern zurück. Ist dies der Fall, dann ist neben dem Abschluss einer Vereinbarung zur Auftragsdatenvereinbarung mit dem Anbieter auch der Standort der Datenverarbeitung von Bedeutung, ggf. der Abschluss weiterer datenschutzrechtlicher Vereinbarungen erforderlich. Ebenso sind die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten beim Dienstleister von Bedeutung.

Eine ACD-Anlage erfüllt üblicherweise die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG und ist deshalb Gegenstand zwingender Mitbestimmung.

Fazit

Call Center sind ein unverzichtbarer Baustein für die Kundenkommunikation. Die praktische Herausforderung liegt in der richtigen Ausgestaltung von Anruferstatistiken und Auswertungen, also in der Abwägung und Bewertung der Interessen und Rechten von Arbeitgeber und Arbeitnehmer. Hierzu wird Ihnen Ihr Datenschutzbeauftragter weiterhelfen können.

Kündigungen von Arbeitnehmern haben für Arbeitgeber oft unangenehme Folgen. Besonders schmerzhaft ist der Verlust des Mitarbeiters, wenn er in einer Schlüsselposition tätig war oder viel Zeit und Geld in seine Ausbildung investiert wurde. Mit sog. Exit-Interviews wollen Arbeitgeber näheres zu den Hintergründen der Kündigung erfahren. Mit den gewonnenen Informationen soll zukünftig Personalfluktuation verhindert werden. Der folgende Beitrag beschäftigt sich mit der Frage wie eine datenschutzkonforme Durchführung von Exit-Interviews möglich ist.

Was sind Exit-Interviews?

Ein Exit-Interview ist in der Regel ein persönliches Gespräch zwischen dem Arbeitgeber und dem ausscheidenden Mitarbeiter. Manche Exit-Interviews werden auch nur mit Fragebögen oder Internet-Umfragen durchgeführt. Ziel der Befragung ist es den tatsächlichen Kündigungsgrund des Mitarbeiters zu erfahren. Die gewonnenen Informationen sollen dem Arbeitgeber z.B. dabei helfen die Mitarbeiterführung, das Arbeitsklima und die Bindung der Mitarbeiter an das Unternehmen zu verbessern.

Die Befragung der Mitarbeiter beschränkt sich oftmals nicht auf den konkreten Kündigungsgrund, sondern der Mitarbeiter wird häufig auch nach seinem neuen Arbeitergeber gefragt. Den Schwerpunkt der Befragung bildet die Bewertung des vergangenen Arbeitsverhältnisses. Dabei sollen sowohl positive als auch negative Aspekte genannt werden.

Die vom ehemaligen Mitarbeiter gewonnen Informationen werden schriftlich festgehalten und häufig durch eigene Angaben des Gesprächsführers ergänzt. Meistens werden auch der Name des Mitarbeiters und die Abteilung in der er tätig war abgefragt. Die gewonnenen Informationen werden anschließend zu statistischen Zwecken ausgewertet und häufig auch innerhalb einer Unternehmensgruppe an andere Standorte im In- und Ausland übermittelt.

Datenschutzrechtliche Zulässigkeit

Da bei Exit-Interviews zahlreiche personenbezogene Daten verarbeitet werden stellt sich die Frage nach der datenschutzrechtlichen Zulässigkeit. Die folgenden Ausführungen orientieren sich an den Anforderungen der Datenschutzgrundverordnung, die ab Mai 2018 das Datenschutzrecht EU-weit regelt. Im Datenschutzrecht gilt der allgemeine Grundsatz, dass eine Datenverarbeitung nur dann zulässig ist, wenn sie auf eine gültige Rechtsgrundlage gestützt werden kann.

Mögliche Rechtsgrundlagen

Mögliche Rechtsgrundlagen sind die Verarbeitung aufgrund der Einwilligung des Betroffenen gem. Art. 6 Abs.1 a) EU-DSGVO, die Verarbeitung aufgrund eines berechtigten Interesses des Arbeitergebers gem. Art.6 Abs.1 f) EU-DSGVO und die Verarbeitung für Zwecke des Beschäftigungsverhältnisses gem. § 26 Abs.1 BDSG (neu).

Die Verarbeitung der durch das Exit-Interview generierten personenbezogenen Daten kann nur dann auf § 26 Abs.1 BDSG (neu) gestützt werden, wenn die Datenverarbeitung für die Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Dies ist jedoch meistens nicht der Fall. Die erlangten Daten werden in der Regel ausschließlich zum Qualitätsmanagement erhoben, für eine Beendigung des Arbeitsverhältnisses werden sie hingegen nicht benötigt. Damit scheidet § 26 Abs.1 BDSG (neu) als Rechtsgrundlage aus.

Als weitere Rechtsgrundlage kommt Art.6 Abs.1 f) EU-DSGVO in Betracht. Danach ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen zulässig, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Auch diese Rechtsgrundlage ist problematisch. Zum einen ist umstritten inwieweit Art.6 Abs.1 f) EU-DSGVO bei Verarbeitungen im Zusammenhang mit dem Arbeitsverhältnis neben § 26 Abs.1 BDSG (neu) anwendbar ist, zum anderen wird in einer Interessenabwägung das Recht des ehemaligen Mitarbeiters an keiner weiteren Datenerhebung dem Interesse des Arbeitgebers an weiteren Informationen zur Verbesserung der Mitarbeiterführung überwiegen.

Anforderungen an die Einwilligung

Damit bleibt nur noch die Einwilligung als mögliche Rechtsgrundlage. Auch diese Rechtsgrundlage ist nicht unproblematisch. Die Einwilligung des Arbeitnehmers muss freiwillig und in Kenntnis ihrer Widerruflichkeit erfolgen. Außerdem muss der Arbeitnehmer im Hinblick auf die gesteigerten Informationspflichten nach Art. 13 EU-DSGVO vollumfänglich über die Datenverarbeitung informiert werden. Besonders zu achten ist dabei auf die Angabe der Verarbeitungszwecks, der Speicherdauer und der Empfänger der Daten.

Wenn die erhobenen Daten zu Auswertungszwecken oft in Drittländer übermittelt werden, ist außerdem die Angabe einer geeigneten Garantie zur Gewährleistung eines angemessenen Datenschutzniveaus in diesen Ländern erforderlich. Weiterhin ist der Mitarbeiter auf den Widerruf der Einwilligung nach Art.7 Abs.3 EU-DSGVO, auf die Betroffenenrechte nach Art.15 – 22 EU-DSGVO und auf sein Beschwerderecht bei der Aufsichtsbehörde nach Art. 77 Abs.1 EU-DSGVO hinzuweisen.

Anonymisierung der Daten nach der Erhebung

Um nicht an den hohen datenschutzrechtlichen Hürden zu scheitern ist auch die anonymisierte Durchführung von Exit-Interviews ein gangbarer Weg. Allerdings ist auch hier Vorsicht geboten: Der bloße Verzicht auf Angaben wie Name oder Abteilung des ausscheidenden Mitarbeiters in einem Fragebogen reicht nicht immer zur Anonymisierung aus. Oftmals ermöglichen die vielen anderen abgefragten Informationen immer noch die Identifikation der betroffenen Person.

Beachtung des Transparenzgrundsatzes

Zusammenfassend lässt sich festhalten, dass eine datenschutzkonforme Durchführung von Exit-Interviews nur mit Einwilligung des ausscheidenden Mitarbeiters möglich ist. In der Umsetzung muss der Arbeitgeber insbesondere dem Transparenzgrundsatz der DSGVO ausreichend Rechnung tragen. Dies gelingt nur, wenn der ausscheidende Mitarbeiter vollumfänglich über die Datenverarbeitung informiert wird.

Vertrauen ist gut, Kontrolle ist besser – diese altbekannte Weisheit kann auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer gelten. Insbesondere dann, wenn man sich in risikoträchtigen Bereichen wie Kreditwirtschaft, Versicherungs- oder Immobilienunternehmen bewegt, treffen den Arbeitgeber besondere Sorgfaltspflichten bei der Auswahl seiner Mitarbeiter.

Wer ist betroffen?

Alle in § 2 Geldwäschegesetz (GwG) aufgeführten Branchen müssen besondere Zuverlässigkeitsüberprüfungen ihrer Mitarbeiter durchführen.

Davon sind jedoch nicht alle Mitarbeiter der jeweiligen Unternehmen betroffen. Mitarbeiter, die befugt sind, bare oder unbare Transaktionen auszuführen oder die mit der Anbahnung und Begründung von Geschäftsbeziehungen befasst sind, müssen überprüft werden. Ebenfalls müssen solche Mitarbeiter überprüft werden, die Verwaltungsaufgaben verrichten, soweit diese ebenfalls der Geldwäsche und der Terrorismusfinanzierung Vorschub leisten können. Dazu zählen auch Mitarbeiter des BackOffice, wenn wesentliche Hilfsfunktionen für die Abwicklung von Transaktionen ausgeübt werden, z.B. in den Bereichen Revision, Recht, Controlling.

Rechtlicher Hintergrund

Die Zuverlässigkeitsüberprüfung gehört zu den in § 6 GwG genannten internen Sicherungsmaßnahmen.

6 Abs. 2 Nr. 5 GwG

„Interne Sicherungsmaßnahmen sind insbesondere:

…die Überprüfung der Mitarbeiter auf ihre Zuverlässigkeit durch geeignete Maßnahmen, insbesondere durch Personalkontroll- und Beurteilungssysteme der Verpflichteten,…“

Wann ist ein Mitarbeiter zuverlässig?

Nach § 1 Abs. 20 GwG

„liegt die Zuverlässigkeit eines Mitarbeiters vor, wenn der Mitarbeiter die Gewähr dafür bietet, dass er die in diesem Gesetz geregelten Pflichten, sonstige geldwäscherechtliche Pflichten und die beim Verpflichteten eingeführten Strategien, Kontrollen und Verfahren zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung sorgfältig beachtet, […]“

Der Begriff der Zuverlässigkeit stellt vorrangig auf die Person des Beschäftigten und nur nachrangig auf dessen Funktion und Aufgaben ab.

Datenschutzrechtliche Rechtsgrundlage

Einwilligung

Die Verarbeitung personenbezogener Daten im Arbeitsverhältnis aufgrund einer Einwilligung der Arbeitnehmers ist nicht grundsätzlich ausgeschlossen. Sie ist aber immer dann zweifelhaft, wenn der Arbeitnehmer aufgrund des Über-Unterordnungsverhältnisses ist einer besonderen Drucksituation ist oder anzunehmen ist, dass er bei Nichterteilung der Einwilligung mit negativen Konsequenzen am Arbeitsplatz zu rechnen hätte. Willigt ein Arbeitnehmer oder Bewerber in den genannten Bereichen nicht in die Überprüfung ein, kann die Stelle nicht durch ihn besetzt werden bzw. können geldwäscherelevante Tätigkeiten nicht durch ihn ausgeführt werden. Eine Verweigerung der Einwilligung würde demnach zur Nichtbeschäftigung führen. Somit kommt die Einwilligung als Rechtsgrundlage mangels Freiwilligkeit nicht in Frage.

§ 32 BDSG alt/ § 26 BDSG neu

Als geeignete Rechtsgrundlage ist § 26 BDSG (neu) anzusehen. Danach dürfen

„personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung […] erforderlich ist.“

Um die Erforderlichkeit der Überprüfungsmaßnahme festzustellen, muss eine Verhältnismäßigkeitsprüfung vorgenommen werden, die Ziel, Geeignetheit, Erforderlichkeit und Zumutbarkeit der Maßnahme beinhaltet.

Ziel

Zweck der Überprüfung ist es, das Eindringen von Mittelsmännern in die für Geldwäsche und Terrorismusfinanzierung wichtigen Berufs- und Unternehmensgruppen zu verhindern. Ungeeignete Kandidaten sollen bereits vor der Einstellung bzw. im Falle der Überprüfung bestehender Mitarbeiter rechtzeitig – also vor Eintritt eines Schadens – erkannt werden. Der Arbeitgeber spart dadurch zeitliche, personelle und finanzielle Ressourcen und minimiert Risiken, die durch Fehlentscheidungen bei der Personalrekrutierung entstehen können. Insbesondere Haftungsrisiken werden mithilfe einer Bewerber- oder Mitarbeiterüberprüfung minimiert.

Wie kann die Überprüfung vorgenommen werden?

Die Überprüfung selbst muss geeignet und erforderlich sein und darf die Rechte des Bewerbers bzw. Mitarbeiters nicht unzumutbar beeinträchtigen. Der Arbeitgeber hat sich bei der Auswahl der für die Kontrolle der Zuverlässigkeit einzusetzenden Instrumente sowie hinsichtlich der Kontrolldichte an der Risikogeneigtheit der in Frage stehenden Stelle zu orientieren.

Pre-Employment-Screening

Regelmäßig muss eine Überprüfung bei Begründung eines Dienst- oder Arbeitsverhältnisses stattfinden. Es muss dem datenschutzrechtlichen Grundsatz der Direkterhebung Rechnung getragen werden, das bedeutet dass zuerst der Bewerber selbst befragt werden muss. Die Plausibilität der Bewerberangaben sollte sodann anhand der eingereichten Unterlagen überprüft werden.

Verifizierung von Daten

Abhängig von der jeweiligen Stelle, also einzelfallbezogen, können zusätzlich die folgenden Informationen eingeholt und verifiziert werden:

• Bildungsabschlüsse – Vorlage der Originaldokumente zum Abgleich
• bisherige Beschäftigungsverhältnisse
• Referenzen
• Selbständigkeiten
• Kreditauskünfte
• polizeiliches Führungszeugnis
• Firmenbeteiligungen
• Identitätsüberprüfung
• Sanktions- und Korruptionslisten
• bei ausländischen Bewerbern ggf. die Arbeitserlaubnis
• Schufa-Eigenauskunft

In-Employment-Screening

Auch während eines bestehenden Arbeitsverhältnisses haben die Verpflichteten hinsichtlich der Kontrolldichte und der einzusetzenden Kontrollinstrumente einen risikoangemessenen Beurteilungsspielraum. Hier können Personalbeurteilungssysteme oder sonstige spezifische Kontrollsysteme zu Einsatz kommen. Auch das bisherige Verhalten des Mitarbeiters sollte in die Beurteilung mit einfließen.

Es darf allerdings kein „innerbetrieblicher Überwachungsapparat“ aufgebaut werden.

Zu beachten ist auch, dass bei bestehenden Arbeitsverhältnissen mitbestimmungsrechtliche Aspekte wie die Einbeziehung des Betriebsrats zu berücksichtigen sind.

Werden jedoch während des Beschäftigungsverhältnisses auf Tatsachen beruhende Anhaltspunkte bekannt, die geeignet sind, die Zuverlässigkeit eines Beschäftigten in Frage zu stellen, sind weitere Überprüfungen denkbar. Die Deutsche Kreditwirtschaft hat eine Auflistung verschiedener Anhaltspunkte veröffentlicht:

• Ein Mitarbeiter begeht einschlägige Straftaten.
• Ein Mitarbeiter verletzt beharrlich geldwäscherechtliche Pflichten oder interne Anweisungen/Richtlinien.
• Ein Mitarbeiter unterlässt vorgeschriebene Meldungen i.S.d. GwG
• Ein Mitarbeiter beteiligt sich an zweifelhaften Transaktionen oder Geschäften.
• Gegen einen Mitarbeiter werden Zwangsmaßnahmen (z.B. Pfändungen und Vollstreckungen des Gerichtsvollziehers) bekannt.
• Ein Mitarbeiter veranlasst, dass bei bestimmten Kunden keine Vertretung stattfindet.
• Ein Mitarbeiter versucht, Urlaub zu vermeiden und keine Abwesenheiten entstehen zu lassen.
• Ein Mitarbeiter verwaltet Geschäftsunterlagen quasi privat.
• Ein Mitarbeiter arbeitet häufig außerhalb der üblichen Arbeitszeiten allein im Büro.
• Ein Mitarbeiter nimmt häufig und ohne ersichtlichen Grund Unterlagen mit nach Hause.

Dokumentation und Information

Unbedingt müssen den betroffenen Bewerbern und Mitarbeitern die Gründe für die Überprüfung offen und im Voraus dargelegt werden. Dabei ist über folgende Punkte zu informieren:

• Gründe für die Bewerberüberprüfung
• Art und Umfang der Überprüfungen
• Erklärung über die Datenschutzkonformität
• gesetzliche Grundlagen
• Vorteile der Bewerberüberprüfung für den Bewerber und die Institution

Die Verantwortung für die Bewerberüberprüfungen liegt in der Regel bei der Personalabteilung.

Die Ergebnisse sind in jedem Fall zu dokumentieren. Die Dokumentation muss für den Geldwäschebeauftragten, die interne Revision, den Jahresabschlussprüfer und für Sonderprüfungen verfügbar sein.

Negatives Ergebnis der Überprüfung

Ergibt die Überprüfung, dass ein Beschäftigter unzuverlässig im Sinne des GwG ist, muss von einer Weiterbeschäftigung in geldwäschesensiblen Bereichen des Unternehmens Abstand genommen werden. Es müssen jedoch so schwerwiegende Anhaltspunkte für die Unzuverlässigkeit vorliegen, dass sich hierauf auch arbeitsrechtliche Konsequenzen wie eine Abmahnung oder ggf. eine verhaltensbedingte Kündigung stützen lassen.

Weitere Informationen

Das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben einen gemeinsamen Ratgeber herausgegeben, in dem Art und Umfang verschiedener Mitarbeiterüberprüfungen dargelegt wird.

Nicht zu ersetzen sind in diesem Zusammenhang aber auch die Konsultation des betrieblichen Datenschutzbeauftragten und des Geldwäschebeauftragten.

In Kinderbetreuungseinrichtungen aller Art tauchen für Eltern und Betreuer regelmäßig Fragen hinsichtlich des Umgangs mit personenbezogenen Daten der dort betreuten Kinder auf. Dieser Artikel ist Teil 2 einer Reihe, die einen Überblick über die relevanten Problemfelder und Hinweise zur datenschutzrechtlich korrekten Vorgehensweise geben soll. Zum ersten Teil gelangen Sie hier.

Allgemeine Grundsätze des Datenschutzrechts

Die Grundsätze des Datenschutzrechts gelten für Kindertagesstätten genauso wie für alle anderen Institutionen. Dazu gehört u.a. das Prinzip der Datensparsamkeit. Das bedeutet, dass nur die Daten erhoben und verarbeitet werden, die tatsächlich benötigt werden und dass nicht mehr benötigte Daten gelöscht werden.

Eine andere gesetzliche Anforderung ist, dass Unternehmen, bei denen 10 und mehr Mitarbeiter personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestellen müssen. Diese Verpflichtung gilt auch für Kindertagesstätten.

Beschäftigtendatenschutz

Für angestellte Erzieher/innen und andere Beschäftigte in einer Kindertagesstätte gelten die gleichen Rechte und Pflichten wie für jeden Arbeitnehmer. Ausführliche Erläuterungen können Sie hier nachlesen:

• Beschäftigtendatenschutz und das neue BDSG – Das ändert sich
• Arbeitnehmerdatenschutz
• EU-Datenschutz-Grundverordnung und der Beschäftigtendatenschutz

Hervorzuheben sind hier die regelmäßigen Schulungen zum Datenschutz und die arbeitsvertragliche Schweigepflicht. Diese wird durch die Unterzeichnung einer Verpflichtung auf das Datengeheimnis bzw. auf die Vertraulichkeit durch die Mitarbeiter unterstrichen.

Spezifische Fragen, die immer wieder auftauchen

Dürfen Dienstpläne offen für die Eltern einsehbar ausgehängt werden?

Eltern haben oft ein subjektives Interesse daran zu wissen, welche Betreuungsperson zu welchen Zeiten arbeitet. Dieses Interesse kann indes nicht dazu führen, dass die Dienstpläne für alle einsehbar ausgehängt werden. Im Betreuungsvertrag sind die Betreuungszeiten geregelt und der Träger der Betreuungseinrichtung muss Sorge dafür tragen, dass alle Betreuungspersonen die erforderliche Eignung und Befähigung zur Betreuung der Kinder mitbringen. Daher überwiegt das Interesse der Eltern an der Information nicht das Interesse der Mitarbeiter am Schutz ihrer Daten.

Der Dienstplan darf jedoch für alle Mitarbeiter einsehbar aufgehängt werden, wenn es für den geregelten Betriebsablauf erforderlich ist.

Dürfen Fotos von Mitarbeitern an einer Fotowand oder auf der Webseite der Einrichtung veröffentlicht werden?

Nur mit freiwilliger Einwilligung durch die Mitarbeiter. Diese ist schriftlich zu erteilen und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Erweitertes Führungszeugnis?

Das erweiterte Führungszeugnis muss vor Einstellung und dann regelmäßig (mindestens alle 5 Jahre) vorgelegt werden. Es genügen die Einsichtnahme durch den Arbeitgeber und ein Vermerk über das Nichtvorhandensein von einschlägigen Vorstrafen. Das Führungszeugnis muss nicht in die Personalakte aufgenommen werden, sondern nach Prüfung vernichtet oder dem Mitarbeiter zurückgegeben werden.

Müssen die Mitarbeiter ihren Impfschutz nachweisen?

Es besteht keine gesetzliche Verpflichtung für Mitarbeiter einer Kinderbetreuungseinrichtung sich impfen zu lassen oder ihren Impfstatus nachzuweisen. Daher müsste mit einer Einwilligung der Mitarbeiter (mit all ihren Tücken) gearbeitet werden, wenn man diese Information abfragen will.

Linksammlung zum Nachlesen

• ULD zum Thema Kindertageseinrichtungen (KiTa)
• Prof. em. Peter-Christian Kunkel zum Thema Sozialdatenschutz in Kindergärten
• Broschüre zum Thema Datenschutz in Kindertageseinrichtungen (PDF)
• Broschüre des Zweckverbands Kindertagesstätten Heide-Umland
• Kitarechtler.de – Smartphones? Handy? Verbot für Erzieher bei der Arbeit!
• Kitarechtler.de – WhatsApp-Gruppen in der Kita – Datensch(m)utz ohne Ende
• VEST Rechtsanwälte – Erweitertes Führungszeugnis in die Personalakte? Ja? Nein?
• VIBSS – Erweitertes polizeiliches Führungszeugnis für „kinder- und jugendnahe Tätigkeiten“

Ausblick

Datenschutz im Kindergarten ist ein hochbrisantes Thema, das schon lange Zeit in den entsprechenden Kreisen diskutiert wird; insbesondere weil man immer wieder auf Unverständnis bei Eltern und Beschäftigten trifft. Durch die öffentlichkeitswirksame Debatte um die Neuerungen der DSGVO wird das Thema (glücklicherweise) noch einmal in den Fokus gerückt.

In Teil 3 der Reihe werden wir auf die Problemstellungen rund um die Aufnahme, Verarbeitung und Übermittlung von Kinderfotos eingehen.

Datenschutz in Kindergarten und Kindertagesstätte Teil 1

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) hat eine Neuauflage des beliebten Praxisratgebers für den Beschäftigtendatenschutz veröffentlicht. Auch die zweite Auflage enthält wieder einige, schöne Praxisbeispiele, deren Fallkonstellationen wir für Sie zusammengefasst haben.

Schöne Beispiele mit Praxistipps nach BDSG und DSGVO

Die Fallbeispiele im Praxisratgeber stellen viele Situationen dar, die so oder ähnlich nicht selten in Unternehmen vorkommen. Die Erklärungen und Falllösungen enthalten zumeist die noch aktuellen BDSG und auch schon die neuen DSGVO Vorschriften.

• Private Nutzung der betrieblichen E-Mail-Adresse
  Der erste Fall dreht sich um das Problem der privaten Nutzung der betrieblichen E-Mail-Adressen und dem damit einhergehenden Verbot der Einsichtnahme in die E-Mails durch den Arbeitgeber. Eine Betriebsvereinbarung hat zur künftigen Ausgestaltung der Nutzung geholfen.
• Drogentest
  Hier geht es um einen minderjährigen Auszubildenden, der sich auf Wunsch des Arbeitgebers, vermeintlich freiwillig einem Drogentest unterziehen sollte. Dem Test war eine Konfrontation des Auszubildenden mit dem Verdacht, unter Anwesenheit anderer Mitarbeiter vorausgegangen.
• Bewerbungsprozess
  In Fall 3 geht es um zulässige und unzulässige Fragen in Bewerbungsgesprächen und Personal- und Bewerbungsbögen.
• Background-Checks von Bewerbern
  Der vierte Fall behandelt die Zulässigkeit von sog. Background-Checks von Bewerbern und beschreibt die verschiedenen Informationspflichten der DSGVO bei der Erhebung von Betroffenendaten.
• Nachfragen beim ehemaligen Arbeitgeber
  Thema von Fall 5 sind Nachfragen des Arbeitgebers bei dem ehemaligen Arbeitgeber. Ein Arzt hatte ohne den Bewerber zu fragen, bei dessen ehemaligen Arbeitgeber um Auskunft über Kündigungsgrund und Arbeitsverhalten gebeten, die dieser munter erteilte.
• Bewerbungsunterlagen
  Hier wird erläutert, wie der Arbeitgeber nach Einstellung oder Ablehnung des Bewerbers mit dessen Bewerbungsunterlagen zu verfahren hat. Am Beispiel eines Bewerberportals mit Übernahme der Daten in einen „Talentpool“ wird dargestellt unter welchen Voraussetzungen Bewerbungsdaten auch länger gespeichert werden dürfen.
• Arbeitgeber und Jobcenter
  In Fall 7 wird ein Beispiel geschildert, bei dem der Betroffene versuchte, über den Datenschutz einen anderen Vorteil zu erzielen. Der Betroffene legte seine Bewerbung einen „Übermittlungswiderspruch“ bei und wollte so dem Arbeitgeber eine Meldung an das Jobcenter untersagen. Das LfDI BaWü ließ sich nicht täuschen und wies auf sozialrechtliche Verpflichtungen des Arbeitgebers hin.
• GPS-Ortung
  Der achte Fall behandelt die Frage, ob und wie GPS-Ortungssysteme von Arbeitgebern eingesetzt werden können. Im Beispielsfall war das betroffene Unternehmen der Ansicht, ein solches System sei für die Fahrzeugeinsatzplanung, die Arbeitszeiterfassung, die Zuordnung einzelner Kosten zu Projekten, den Diebstahlschutz und die ordnungsgemäße Dokumentation der Dienstfahrten gegenüber dem Finanzamt unabdingbar. Außerdem habe die gesamte Belegschaft in die Nutzung der Ortungssysteme freiwillig eingewilligt.
• Mitarbeiterdaten an potentielle Käufer
  Ob im Bereich M&A personenbezogene Daten der Mitarbeiter an potentielle Käufer übermittelt werden dürfen, kann in Fall 9 nachgelesen werden. Ein großer PC Hersteller veräußerte einen Teil seines Betriebes und gab nach Abschluss einer Vertraulichkeitsvereinbarung Kopien der Arbeitsverträge, aller gehaltsrelevanten Daten, sowie Daten zur betrieblichen Altersversorgung, Alter, Betriebszugehörigkeit und Arbeitsort der Beschäftigten an einen Interessenten weiter.
• Krankmeldungen
  Wie mit Arbeitsunfähigkeitsbescheinigungen und Krankmeldungen nicht umgegangen werden sollte, ist in Fall 10 zu sehen. Diese wurden beim Arbeitgeber am schwarzen Brett ausgehängt und überdies im für alle Mitarbeiter einsehbaren Arbeitsplan festgehalten.
• Mitarbeiterbefragung
  In Fall 11 wird die Thematik Mitarbeiterbefragung angerissen. Ein Unternehmen wollte die Führungskräfte durch die Mitarbeiter bewerten lassen. Auf Anonymität der Umfrage wurde verzichtet.
• Videoüberwachung
  Thema von Fall 12 sind Videoüberwachungen von Mitarbeitern. Ein Bäcker verdächtigte einen Mitarbeiter des Diebstahls und installierte eine Videokamera. Nach Bestätigung seines Verdachts und entsprechenden Konsequenzen für den Mitarbeiter, lies er die Kamera gleich hängen…sie war ja so nützlich.
• Einsichtnahme in betrieblichen E-Mails
  Im letzten Fall geht es erneut um die Möglichkeit zur Einsichtnahme von betrieblichen E-Mail-Accounts bei erlaubter und verbotener Nutzung zu privaten Zwecken. Nach Ausscheiden von drei Beschäftigten in einem kurzen Zeitraum, hat die Geschäftsführung die Accounts nicht gelöscht, sondern gefilzt. Die private Nutzung war nicht untersagt und die betriebliche Übung führte zu einer faktischen Erlaubnis.

Wertvoller Ratgeber

Um es besser als die Unternehmen in den zugrunde liegenden Fällen zu machen, können Sie sich im Ratgeber erste, wertvolle Tipps zu einer rechtskonformen Gestaltung holen. Weitere Informationen zu den dargestellten Themen finden Sie auch in unserer Sammlung zum Arbeitnehmerdatenschutz.

Der Umgang des Unternehmens mit Bewerberdaten, bzw. deren Schutz ist aufgrund der Außenpräsenz in der Regel offen einsehbar. Nicht die richtige Stelle um sich angreifbar zu machen, unabhängig davon, ob die Bewerbung über ein Portal oder per E-Mail erfolgt. Dieser Beitrag zeigt, wie Sie insbesondere bei der E-Mail-Verwaltung vorgehen können.

Wie kann man sich bewerben?

Ein erstes Indiz für den Umgang des Unternehmens mit Bewerberdaten ist, wie eine Bewerbung überhaupt möglich ist. Gibt es ein Online-Bewerberportal? Hat dieses eine eigene Datenschutzerklärung? Ist die Datenschutzerklärung aktuell? Hier haben wir bereits zusammengefasst, worauf bei Online-Bewerbungen allgemein zu achten ist.

Bewerberportal vorhanden

Grundsätzlich sollten nur die Personalabteilung und die Entscheidungsträger von den Bewerbungsunterlagen Kenntnis erlangen. Nutzt das Unternehmen ein Bewerberportal, kann den involvierten Personen ein zeitlich limitierter Zugriff eingerichtet werden. Das Stichwort ist auch hier das Berechtigungskonzept. So kann gewährleistet werden, dass sich die Bewerbungsunterlagen z.B. durch ausdrucken oder weiterleiten nicht unkontrolliert verteilen. Das Portal hat zudem den Vorteil, dass Rückfragen für eine verlängerte Aufbewahrung zentral dokumentiert wird, was mit der Dokumentationspflicht der Datenschutz-Grundverordnung (DSGVO) mehr in den Mittelpunkt rückt. Auch kann die Löschung nach ca. 6 Monaten – schauen Sie hier zu den Fristen und hier, falls Sie was zu der Aufbewahrung aus statistischen Gründen lesen wollen – zentral gesteuert und dokumentiert werden.

E-Mail-Bewerbungen verwalten

Gehen Bewerbungen per E-Mail ein, gilt nichts anderes. Auch hier soll der Kreis auf Personalabteilung und Entscheidungsträger begrenzt werden. In der Ausschreibung sollte somit keine info@musterunternehmen.de Adresse angeben, wenn diese nicht ausschließlich der Personalabteilung zugeteilt ist. Vorzugswürdig ist eine Adresse wie karriere@, jobs@, bewerbung@musterunternehmen.de, für die die Berechtigungen beschränkt sind.

Bei dem Weiterleiten der Bewerbung an Entscheidungsträger sollten dieselben Grundsätze beachtet werden, die auch beim Bewerberportal und beim Datenschutz allgemein zu beachten sind. Zu nennen sind beispielhaft das Trennungsgebot und die Löschpflicht. Wie dies konkret sicherzustellen ist, entscheidet jedes Unternehmen sinnvollerweise für sich.

Denkbar ist zudem ein Prozess, der den internen Umgang mit Bewerberunterlagen beschreibt. Ein Prozess ist auch vor dem Hintergrund sinnvoll, als auch Bewerbern ein Auskunftsrecht zusteht. Will ein Bewerber wissen, welche Daten das Unternehmen von ihm hat, kann eine Antwort auch mit Hinblick auf den Prozess beantwortet werden.

Was tun bezüglich Trennung und Löschung?

Die Handhabung von Bewerberunterlagen ist zunächst eine Frage der Sensibilisierung. Durch ein Bewusstsein für datenschutzrechtliche Fragen, kann hier bereits viel erreicht werden. Schulungen sind ein bewährtes Mittel. Zur Einhaltung der datenschutzrechtlichen Pflichten ist es bei E-Mail-Bewerbungen denkbar, dass die Personalabteilung bei der Weiterleitung der Mail darauf hinweist, dass die Unterlagen z.B. in einem separaten Ordner aufzubewahren (Trennungsgebot) und dann auch wieder zu löschen sind. Erfolgt das Löschen nach Ablauf der 6 Monate manuell und zentral in der Personalabteilung, ist auch eine E-Mail an Entscheidungsträger als „Friendly Reminder“ denkbar. Hier genügt der Hinweis, dass es Zeit ist die Bewerbungsunterlagen zu löschen.

Im Ergebnis

Wie der konkrete Umgang mit Bewerbungsunterlagen ausgestaltet wird, ist letztlich die Entscheidung des Unternehmens. Sinnvoll ist zunächst eine interne Absprache auch mit den jeweiligen Entscheidungsträgern, um ein möglichst sinnvolles Vorgehen zu etablieren. Letztlich geht es auch darum, dem Bewerber und potentiellen Kollegen zu zeigen, welchen Stellenwert seine Daten im Unternehmen haben.

Arbeitnehmer sind grundsätzlich nicht verpflichtet, ihrem Arbeitgeber ihre private Mobilfunknummer anzugeben. Dies hat das Landesarbeitsgericht Thüringen mit Urteil vom 16.05.2018 entschieden. Der Arbeitgeber könne auch auf anderem Weg sicherstellen, dass Beschäftigte im Notfall zu erreichen seien.

Datenschutz für Arbeitnehmer

Hintergrund der Entscheidung war ein Streit aufgrund der Neu-Organisation des Bereitschaftsdienstes im Gesundheitsamt des Landkreises Greiz. In Zeiten des Bereitschaftsdienstes an Wochenenden und Feiertagen etc. sollten Mitarbeiter auf dem Diensthandy und zusätzlich über Ihre privaten Festnetz- und Mobilfunknummer erreichbar sein. Sowohl die dienstliche als auch die privaten Rufnummern wurden an die Rettungsleitstelle weitergegeben. Dies ging einigen Beschäftigten zu weit und sie verweigerten die Bekanntgabe der privaten Mobilfunknummer.

Der Landkreis erteilte daraufhin Abmahnungen, auf deren Entfernung aus der Personalakte die Mitarbeiter klagten. Mit Erfolg: Laut einem Bericht des Mitteldeutschen Rundfunk entschied das Gericht, dass der Arbeitgeber nur unter besonderen Bedingungen und in engen Grenzen ein Recht auf Kenntnis der privaten Handynummer eines Arbeitnehmers habe. Dies sei beispielsweise der Fall, wenn es keine andere Möglichkeit gebe, die Arbeitspflichten des Arbeitnehmers sinnvoll zu organisieren.

Eingriff in die informationelle Selbstbestimmung

Eine Pflicht des Arbeitnehmers, stets die private Handynummer mitzuteilen, sei in der Regel ein nicht gerechtfertigter Eingriff in dessen Recht auf informationelle Selbstbestimmung. Das Gericht führte dazu im Rahmen einer Medieninformation aus:

„Es könne offen bleiben, ob überhaupt eine Anspruchsgrundlage bestünde. Zumindest sei ein Anspruch durch das Thüringer Landesdatenschutzgesetz begrenzt. Die Pflicht zur Herausgabe der privaten Mobilfunknummer stelle einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar, welcher durch ein berechtigtes Interesse des Arbeitgebers gerechtfertigt sein müsse.“

Weiterhin heißt es, der Prozess der beiderseitigen Interessenabwägung müsse ergeben, dass der Eingriff angemessen sei. Im Rahmen dieser wird vom Gericht angeführt, dass eine Pflicht zur Offenbarung der privaten Mobilfunknummer besonders tief in die persönliche Sphäre des Arbeitnehmers eingreife. Denn dieser könne sich dem Arbeitgeber aufgrund der möglichen, ständigen Erreichbarkeit ohne Rechtfertigungsdruck nicht mehr entziehen. Im Ergebnis sei es ihm deshalb nicht mehr möglich, zur Ruhe zu kommen. Auf die tatsächliche Wahrscheinlichkeit, dass der Arbeitnehmer kontaktiert und im Notfall herangezogen wird, käme es hingegen nicht an.

Auf der anderen Seite wird angeführt, dass der Arbeitgeber im vorliegenden Fall die Problemlage selbst herbeigeführt habe, indem er das bestehende System der Rufbereitschaft änderte. Des Weiteren stünden ihm, neben der nun gewählten Maßnahme, auch noch andere Möglichkeiten zur Absicherung gegen Notfälle zur Verfügung.

Das Landesarbeitsgericht bestätigte mit seiner Entscheidung (Az.: 6 Sa 442/17 und 6 Sa 444/17) ein Urteil des Arbeitsgerichts Gera aus dem Jahr 2017. Die Revision wurde nicht zugelassen, „da die grundlegende Rechtsfrage, dass der Eingriff in das Recht auf informationelle Selbstbestimmung durch ein entgegenstehendes, überwiegendes berechtigtes Interesse gerechtfertigt sein müsse, bereits geklärt sei.“

Das Urteil mag zwar zu einem angemessenen Ergebnis kommen, dessen Herleitung erscheint jedoch in der Darstellung der Medieninformation des Gerichts reichlich diffus. Es bleibt abzuwarten, ob gleiches auch für die Urteilsbegründung der Volltextveröffentlichung gilt. Vor dem Hintergrund des zu erwartenden, höheren gerichtlichen Klärungsbedarfs datenschutzrechtlicher Fragestellungen im Zusammenhang mit der DSGVO, ist dies aber ein Umstand der durchaus Grund zur Sorge bereitet.