> externer Datenschutzbeauftragter > Beschäftigtendatenschutz

Datenschutz bei Arbeitnehmerüberlassung – Auf was Sie datenschutzrechtlich bei Leiharbeiterverhältnissen achten sollten

Datenschutz bei ArbeitnehmerüberlassungUm den Marktanforderungen gerecht zu werden und fehlende Kapazitäten zu decken, greifen Unternehmen häufig auf Arbeitnehmerüberlassung, auch Leiharbeit genannt, zurück. Arbeitnehmer, die in einem solchen Verhältnis mit einem Unternehmen stehen, arbeiten meist nur für einen begrenzten Zeitraum, in dem ein höherer Arbeitsbedarf besteht. Dabei fließen zum einen zahlreiche personenbezogene Daten zwischen dem Entleiher und dem Verleiher, zum anderen ist es keine Seltenheit, dass der Leiharbeiter mit zahlreichen personenbezogenen Daten, die in der Verantwortung des Entleihers liegen, in Berührung kommt. Es stellt sich hier deshalb häufig die Frage, wie mit dieser Thematik datenschutzrechtlich umzugehen ist.

Ihr externer Datenschutzbeauftragter unterstützt Sie in datenschutzrechtlichen Belangen und erklärt wieso der Datenschutz bei der Arbeitnehmerüberlassung nicht ignoriert werden sollte.

Datenschutz bei Arbeitnehmerüberlassung

Bei einer Arbeitnehmerüberlassung wird ein bereits von einem Zeitunternehmen (Verleiher) angestellter Arbeitnehmer einem anderen Unternehmen (Entleiher) zur Verfügung gestellt. Die Überlassung ist bei einer solchen Konstellation vorübergehender Natur. Die Maximaldauer eines solchen Verhältnisses ist weder in der AÜG (Gesetz über die Regelung der gewerbsmäßigen Arbeitnehmerüberlassung) noch in der europäischen Leiharbeiterrichtlinie festgesetzt und daher individuell vereinbar.

Wie oben bereits erwähnt, besteht das Arbeitsverhältnis nur zwischen dem Verleiher und dem Leiharbeiter. Der Leiharbeiter unterliegt jedoch der Weisung des Entleihers. Es stellt sich dabei die Frage, inwieweit das Recht eines Arbeitnehmers auch für den Leiharbeiter gilt und ob die daraus resultierenden Pflichten (z.B. Auskunftsrecht des Arbeitnehmers) auch den Entleiher treffen.

Recht auf informelle Selbstbestimmung

Aufgrund der besonderen Konstellation bei einem Leiharbeiterverhältnis ist die rechtliche Zuweisung kompliziert. Dies liegt daran, dass eine Verknüpfung von Arbeitsrecht und Datenschutzrecht notwendig ist, was wiederum durch das Nichtvorhandensein eines einheitlichen Regelwerkes das Hinzuziehen einer Vielzahl von Gesetzen und der Hilfe des Richterrechts, das durch die Rechtsprechung der Gerichte geschaffen wird, bedarf. Vom Richterrecht ist, wie sich unschwer vermuten lässt, die Rede, wenn durch die Rechtsprechung Rechtssätze entwickelt werden, um Gesetzeslücken zu schließen. Gängige Praxis ist es dann, dass diese Entscheidungen nicht selten bei ähnlichen oder vergleichenbaren Fragestellungen berücksichtigt werden.

Trotz des Fehlens einer speziellen Regelung für Leiharbeiter im nichtöffentlichen Bereich ist der Grundsatz der informellen Selbstbestimmung einzuhalten. Aus diesem Grund finden die Vorschriften des Bundesdatenschutzgesetzes (BDSG) für Arbeitnehmerüberlassungen bzw. Leiharbeiter Anwendung, so fallen unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz (BDSG) auch Leiharbeitnehmer.

Datenschutzrechtliche Kriterien für Leiharbeiter – Auf was der Entleiher achten muss

Grundsätzlich gilt das Bundesdatenschutzgesetz (BDSG) bei datenschutzrechtlichen Belangen bezüglich der Mitarbeiter als Auffangnorm und wird auch für Arbeitnehmerüberlassungen als solches genutzt.

Im Gegensatz zu einem normalen Arbeitsverhältnis gelten die datenschutzrechtlichen Pflichten innerhalb eines Leiharbeiterverhältnisses nicht nur für den Arbeitgeber (Verleiher), sondern erstrecken sich ebenso auf den Entleiher.

Fürsorgepflicht des Entleihers und daraus resultierende Offenbarungspflicht

Datenschutzrechtlich relevant bei einem Leiharbeiterverhältnis ist unter anderem das Fragerecht (Auskunftsrecht) des Leiharbeiters. Nach dem Bundesdatenschutzgesetz hat der Leiharbeiter ein Auskunftsrecht über die Daten, welche zu seiner Person gesammelt wurden. Dieses Recht richtet sich originär jedoch an den Arbeitgeber (Verleiher), der beispielsweise eine Personalakte über diesen anlegt und diese Daten unter anderem für die Lohnabrechnung nutzt. Das besondere Vertragsverhältnis könnte allerdings auch für den Entleiher eine gewisse Fürsorgepflicht gegenüber dem Leiharbeiter sowie eine Offenbarungspflicht aufgrund der latenten Gefährdung von personenbezogenen Daten begründen.

Daraus lassen sich Auskunftsansprüche des Leiharbeitnehmers nach § 34 BDSG ableiten. Dieser hat wie jeder andere Arbeitnehmer einen Auskunftsanspruch, welcher gegenüber dem Entleiher sowie Verleiher besteht, da beide als verarbeitende Stelle angesehen werden. Ebenso lässt sich diesbezüglich eine Regelung im AÜG finden. Nach § 13 AÜG hat der Leiharbeiter einen speziellen Auskunftsanspruch über die Arbeitsbedingungen im Betrieb des Entleihers, wonach er vom Entleiher Auskunft über dessen Betrieb und die wesentlichen Arbeitsbedingungen verlangen kann. Zum Beispiel kann der Leiharbeiter Auskunft über das Gehalt erlangen, das vergleichbare Angestellte erhalten, die direkt beim Entleiher beschäftigt werden. Der § 12 AÜG verpflichtet den Entleiher des Weiteren dazu, im Vertrag mit dem Verleiher entsprechende Angaben über die Arbeitnehmerüberlassung aufzunehmen.

Zwar besteht zwischen den Leiharbeitern und den Entleihern kein direktes Beschäftigungsverhältnis, allerdings fallen, wie bereits erwähnt, unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz auch Leiharbeitnehmer. Aus diesem Grund ist es anzuraten, dass Leiharbeiter – sofern sie personenbezogene Daten erheben, verarbeiten oder nutzen, ebenso wie die Arbeitnehmer des Entleihers auf das Datengeheimnis verpflichtet werden. Es sollte allerdings beachtet werden, dass bereits der potentielle Zugriff durch die Leiharbeiter eine derartige Verpflichtung erforderlich macht.

Notwendigkeit einer Zustimmungseinholung

Die Erhebung und Verarbeitung der Daten des Leiharbeiters hat für den Entleiher den Zweck, Informationen zu sammeln, die für das Arbeitsverhältnis notwendig sind. Zwar besteht häufig Uneinigkeit, ob sich die Zulässigkeit der Datenverarbeitung durch den Entleiher auf § 28 oder § 32 BDSG beruht. Eine Datenweitergabe an den Entleiher sowie die Datenverarbeitung durch den Entleiher dürfte allerdings ohne Zustimmung des Leiharbeiters zulässig sein, wenn diese Daten zur Wahrung der Interessen des Verleihers notwendig sind.

Deshalb dürfte regelmäßig keine Pflicht für den Entleiher bestehen eine Einwilligung des Leiharbeiters einzuholen. Eine vorherige Einholung der Zustimmung des Leiharbeiters schadet jedoch nicht, da der Verleiher nach § 33 BDSG verpflichtet ist, den Leiharbeiter über die Übermittlung seiner Daten an den Entleiher zu informieren und somit parallel zur Information die Einwilligung einholen könnte.

Recht auf Berichtigung, Sperrung und Löschung

Neben der Auskunftspflicht hat der Leiharbeiter auch alle anderen Rechte, die Betroffenen, deren personenbezogene Daten verarbeitet werden, zustehen. Zu diesen Rechten gehören:

  • die Berichtigung fehlerhaft gespeicherter oder übermittelter Daten (§ 35 Abs. 1 BDSG),
  • die Löschung bei unzulässiger Speicherung (§ 35 Abs. 2 BDSG) sowie
  • die Sperrung von Daten, wenn eine Löschung nicht möglich ist (§ 35 Abs. 3 BDSG).

Beurteilung der Arbeitsleistung – Was tun, wenn der Leiharbeiter mit der Bewertung nicht einverstanden ist?

Problematisch wird es vor allem dann, wenn der Leiharbeiter nicht mit der Beurteilung des Entleihers über seine Arbeitsleistung einverstanden ist. Eine Löschung der Bewertung durch den Entleiher könnte allerdings durch ein unbegründetes Veto durch den Leiharbeiter zu einer Verfälschung der Situation führen. Um beiden Interessen zu genügen, ist es ratsam, dem Leiharbeiter eine Gegendarstellung zu erlauben, die in die Personalakte aufgenommen würde. Im konkreten Fall sollte Rücksprache mit dem DSB gehalten werden.

Der Entleiher muss jedoch keine Bewertung über die Arbeitsleistung des Leiharbeiters abgeben sowie steht dem Leiharbeiter kein Recht zu von diesem die Ausstellung eines Arbeitszeugnisses zu verlangen, da zwischen Ihnen kein Arbeitsvertrag geschlossen wurde.

Fazit

Aufgrund des komplexen Konstrukts bei einem Leiharbeiterverhältnis, basierend aus der Beteiligung mehrerer Akteure, kann die Zuweisung der bestehenden Rechtverhältnisse äußerst schwierig sein. Besonders im Datenschutz ist darauf zu achten, dass für den Entleiher ebenso datenschutzrechtliche Pflichten gelten, auch wenn zwischen ihm und dem betreffenden Leiharbeiter kein Arbeitsvertrag besteht. Missachtungen können zu Bußgeldern oder auch Imageverlusten für das Unternehmen führen. Daher sollte bei einer solchen Thematik immer der Rat einer datenschutzrechtlich versierten Person (z.B. Datenschutzbeauftragter oder auch Datenschutzberater) eingeholt werden, um mögliche Probleme zu vermeiden.

Sofern Sie weitere Fragen zu dieser Thematik oder anderen Datenschutz-Themen haben, helfen wir Ihnen gerne weiter.

Wir bieten Ihnen optimale Unterstützung im Bereich Datenschutz und beantworten gerne weitere Fragen zum Datenschutz bei Arbeitnehmerüberlassungen. Kontaktieren Sie uns und holen Sie sich ein unverbindliches und kostenloses Datenschutz-Angebot bei uns ein. Wir rufen auch gerne zurück.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Whistleblowing und Datenschutz – Datenschutzrechtliches Leck im Arbeitsverbund, Unternehmensverbund und Konzern

Whistleblowing und DatenschutzDie Begnadigung der Whistleblowerin Chelsea Manning, die sensible Daten der US-Regierung an die Plattform Wikileaks weitergab, lässt die Thematik Whistleblower wieder im Gedächtnis der Leute aufleben. Nicht nur durch das Handeln von Chelsea Manning wurde in den Medien das Thema Whistleblowing heiß diskutiert, sondern ebenso durch den Fall Snowden. Die Problematik des Whistleblowing ist indes in der Wirtschaft nicht ganz unbekannt und vor allem in Verbindung mit der Korruptionsbekämpfung in aller Munde.

Besonders im Bereich Datenschutz besteht ein gewisses Interesse für öffentliche wie auch nicht-öffentliche Stellen an der Frage, wie mit dieser Thematik umgegangen werden sollte.

Ihr externer Datenschutzbeauftragter möchte Sie daher im Folgenden über Whistleblowing und Datenschutz informieren.

Definition: Whistleblower

Der Begriff Whistleblower kommt aus dem Englischen und beschreibt eine Person, die für die Allgemeinheit Informationen an die Öffentlichkeit bringt, welche aus einem geschützten oder auch geheimen Zusammenhang stammen. Diese aufgedeckten Informationen klären im Allgemeinen über Missstände oder Verbrechen, wie beispielsweise Korruption, Menschenrechtsverletzung, Insidergeschäfte, Datenmissbrauch oder Ähnliches, auf. Über diese Missstände kann der Whistleblower innerhalb seines Arbeitsplatzes oder anderweitig Kenntnis erlangt haben. International wurde der Begriff mit dem Aufkommen der Plattform Wikileaks bekannt, die allen Menschen gestattet, anonym größere Verstöße der Politik oder Wirtschaft anzuprangern und Beweise für diese Taten einzureichen.

Dasselbe Prinzip wird auch von Unternehmen verwendet mit dem sogenannten Whistleblowing-System. Dieses erlaubt Mitarbeitern und Außenstehenden, Verstöße zu melden, die beispielweise von leitenden Positionen, Mitarbeitern oder auch Lieferanten ausgehen. Dabei sind konkret solche Tatbestände zu melden, die Straftatbestände, wie Verstöße gegen die Menschenrechte, Kultur oder Philosophie sowie Zuwiderhandlungen gegen die von der Organisation zugeteilten Aufgaben darstellen. Die deutsche Gesetzgebung fordert, dass öffentliche (z.B. Stiftungen, Anstalten, Behörden) und auch nicht-öffentliche Stellen (z.B. AG, OHG, GmbH) Maßnahmen ergreifen, um sicherzustellen, dass Gesetze eingehalten werden. Aus diesem Grund könnte die Einrichtung eines Whistleblowing-Systems für verantwortliche Stellen, wie Unternehmen oder Behörden, mit Sitz in Deutschland interessant sein. Besonders relevant ist die Einrichtung einer solchen Plattform allerdings für deutsche Unternehmen, die an der US-Börse gelistet sind, dies anstreben oder Tochtergesellschaft eines US-Konzerns sind, da diese nach dem Sarbanes-Oxley-Act, der für börsennotierte Unternehmen an der US-Börse gilt, eine Vorkehrung für Whistleblowing voraussetzt.

Whistleblowing und Datenschutz

Es ist sinnvoll für Unternehmen, Whistleblowing-Maßnahmen zu integrieren, schaffen diese doch unter anderem eine Verbesserung des Unternehmensimages nach außen sowie eine Vorkehrung gegen interne Verstöße. Bei der Integration solcher Maßnahmen sollte aber der Datenschutz nicht außer Acht gelassen werden, da die Einführung einer Whistleblowing-Plattform schnell mit der Übertragung von personenbezogenen Daten Hand in Hand gehen kann.

Die vom Whistleblower preisgegebenen Daten können insbesondere beim Beschuldigten einen Schaden hervorrufen. Vor allem aus datenschutzrechtlicher Sicht ist die Übermittlung personenbezogener Daten durch den Whistleblower kritisch zu bewerten, da sensible Daten, wozu personenbezogene Daten zählen, einer expliziten Prüfung der Rechtgrundlage bedürfen. Dies sollte bei der Einführung einer Whistleblowing-Plattform nicht unterschätzt werden, da  durch gewisse Konstellationen die Einhaltung der Datenschutzvorschriften erschwert wird.

Diese sind zum einen anzutreffen, wenn eine Whistleblowing-Plattform innerhalb eines Unternehmensverbunds (Konzern) eingeführt werden soll, welcher auch in Drittländern (z.B. USA, Japan, China, Indien) agiert.  Ein Datentransfer in Drittländer ist nämlich mit zusätzlichen Prüfungen verbunden. Danach ist zu prüfen,

  • ob die Datenverarbeitung im Ausgangsland (Versender) zulässig ist und
  • ob die Übermittlung in das Drittland (Empfänger) zulässig ist.

Notwendig ist die Überprüfung aufgrund des zumeist unterschiedlichen Datenschutzniveaus zwischen Versenderland und Empfängerland. Während beispielsweise in den Ländern des EWR (Europäischen Wirtschaftsraumes) ein angemessenes Datenniveau herrscht, ist dieses in Drittländern, wie den USA und Japan, nicht zwangsläufig gegeben. Geeignete Maßnahmen sind mit Unterstützung des Datenschutzbeauftragten sowie mittels vertraglicher Grundlagen, wie zum Beispiel den EU-Standardvertragsklauseln, hergestellt werden.

Zum anderen erfolgt die Mitteilung der Verstöße zum Schutz des Whistleblowers anonym, was nicht mit dem Grundsatz der Transparenz vereinbar sein kann (Transparenzgebot). Der Grund ist, dass Betroffene unter anderem das Recht auf Auskunft haben, dabei sollen Sie erfahren, welche Daten die verantwortliche Stelle erhebt, verarbeitet und nutzt. Auch hat der Betroffene das Recht zu erfahren, für welchen Zweck und wie lange die Daten verarbeitet werden sowie ob eine Weitergabe an Dritte erfolgt. Bei der anonymen Meldung eines Verstoßes kann das Transparenzgebot allerdings nicht gewahrt werden, da die Daten heimlich erhoben werden und die Auskunft über den gemeldeten Verstoß somit nicht möglich ist.

Des Weiteren besteht die Möglichkeit, dass die Aufklärung der Umstände, in denen die Verstöße erfolgt sind, ebenso durch die Anonymität des Whistleblowers erschwert wird. Aufgrund der Anonymität des Whistleblowers können diesem keine Rückfragen zum Tathergang gestellt werden, dabei kann die Whistleblowerposition für niedere Zwecke missbraucht werden, um den Betroffenen anzuschwärzen oder indem eine Aussage getätigt wird, welche nur auf Vermutungen basiert.

Geringer Spielraum für die Umsetzung eines Whistleblowing-Systems

Bevor ein Whistleblowing-System integriert werden darf, ist eine Vorabkontrolle notwendig, die vom Datenschutzbeauftragten durchzuführen ist (§ 4d Abs. 5 BDSG). Schnell wird dabei klar, dass der Datenschutz bei der Integration eines solchen Systems einen begrenzten Spielraum bereit hält und daher eine datenschutzkonforme Umsetzung des angestrebten Systems engen Reglementarien unterliegt, wie beispielswiese dem § 28 BDSG, welcher Maßnahmen zulässt, die spezifische Verhaltensverstöße verhindern.

Vorabkontrolle des Datenschutzbeauftragten bei der Integration einer Wistleblowing-Plattform

Gemäß des § 4d Abs. 5 BDSG ist eine Vorabkontrolle durch den Datenschutzbeauftragten (§ 4d Abs. 6 Satz 1 BDSG) durchzuführen, wenn es sich unter anderem um die Einführung automatisierter Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, handelt. Die Integration einer Whistleblower-Plattform stellt ein derartiges Verfahren dar und bedarf einer Vorabkontrolle. Leider wird dies in der Praxis meist übersehen, obwohl die Einbindung des Datenschutzbeauftragten in den Prozess der Gefahr entgegenwirkt, gegen datenschutzrechtliche Vorschriften zu verstoßen und ein damit einhergehendes Bußgeld sowie einen Imageverlust zu erleiden.

Der Datenschutzbeauftragte kann dabei schon bei der Entwicklung des Verfahrens eingebunden werden, womit ein System entstehen kann, welches eine ausreichende Rechtsicherheit besitzt. Die spätere Einbindung des Datenschutzbeauftragten ist möglich, jedoch nicht ratsam, da die Möglichkeit besteht, dass erhebliche Anpassungen am System vorgenommen werden müssen und somit ein möglicher Zeit- und Geldaufwand entstehen kann. Weiterhin kann es nützlich sein, zusätzliche Sachverständige bei der Integration eines solchen Verfahrens einzubinden, z.B. einen Datenschutzberater, um den internen Datenschutzbeauftragten zu unterstützen.

Wann wäre eine Vorabkontrolle unter anderem notwendig:

  • Vor Inbetriebnahme von Videoüberwachungsanlagen
  • Einsatz eines Zeiterfassungssystems
  • Einführung eines GPS-Systems
  • Verwendung von Beförderungsranglisten
  • Erstellung von Kundenprofilen/Verbraucherprofilen
  • Einsatz von Chipkarten/Transpondern
  • Assessmentverfahren zur Personalauswahl

Mehr Informationen über die Vorabkontrolle können Sie in unseren Beiträgen über die „Vorabkontrolle – Wann und Wie diese zu erfolgen hat“  sowie „Prüfung der Zweckbindung einer Vorabkontrolle“ erhalten.

Fazit

Die Einführung eines Whistleblowing- Systems bietet einen gewissen Schutz und könnte ein geeignetes Mittel für Unternehmen sein, um gegen Korruption, Datenmissbrauch oder Insidergeschäfte vorzugehen. Dies bietet nicht nur eine gewisse Handhabe gegen rechtswidrige Handlungen, sondern kann sich ebenso positiv auf das Image des Unternehmens auswirken. Bei der Integration eines Whistleblowing-Systems sollte jedoch besonders auf den Datenschutz geachtet werden. Aufgrund der komplexen und eng auszulegenden Datenschutzrechtslage sollte, um möglichen datenschutzrechtlichen Verstößen entgegenzuwirken, auf Datenschutzsachverständige zurückgegriffen werden.

Haben Sie weitere Fragen zu  Whistleblowing und Datenschutz oder benötigen Sie kompetente datenschutzrechtliche Unterstützung?

Brand Consulting steht Ihnen in datenschutzrechtlichen Belangen gerne zur Seite und bietet Ihnen eine vollumfängliche Unterstützung in Sachen Datenschutz. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Übertragung von Personaldaten und Kundendaten – Datenschutz beim Unternehmenskauf (Asset Deal vs. Share Deal)

Datenschutz beim UnternehmenskaufEin Unternehmenskauf kann vielerlei Gründe haben, beispielsweise der Erwerb von Kundendaten, die Übernahme von Schlüsselmitarbeitern des Zielunternehmens oder auch die Übernahme von Lieferbeziehungen. Nicht selten wird er als Einstieg in die Selbstständigkeit genutzt, die hierfür bekanntesten Beispiele sind wohl die häufig praktizierten Übernahmen von Arztpraxen, Apotheken oder Zahnarztpraxen. Ein Unternehmenskauf bringt in der Regel auch einen Übergang von personenbezogenen Daten mit sich. Aus diesem Grund sollten die datenschutzrechtlichen Regelungen beachtet werden, um möglichen Sanktionen entgegenzuwirken.

Ihr externer Datenschutzbeauftragter unterstützt Sie in allen datenschutzrechtlichen Belangen und klärt auf, warum der Datenschutz beim Unternehmenskauf beachtet werden sollte.

Personenbezogene Daten – Währung des 21. Jahrhunderts

Das Pflegen von Kundenbeziehungen war und ist das A und O für mögliche Umsatzsteigerungen im Unternehmen. Je mehr Informationen über die Verhaltensweisen des Kunden gesammelt werden können, desto einfacher ist es, gezielt die individuellen Bedürfnisse des Einzelnen zu erfassen, um diesem direkt die Produkte oder Dienstleistungen anzubieten, die er braucht oder die er nach ähnlichen Verhaltensmustern anderer Konsumenten in Betracht ziehen könnte. Wer Kundendaten sammelt und effektiv auswertet erhält folglich nicht nur einen Vorsprung im Verhältnis zu anderen Mitbewerbern, sondern kann sich Umsatzsteigerungen durch effiziente Datenauswertung und damit verbundene Vermarktung sichern. Somit stellen Kundendaten einen wesentlichen Vermögenswert dar und können ein Grund für einen Unternehmenskauf sein. Auf das oben aufgeführte Beispiel der Übernahme einer Arztpraxis bezogen, kann es sich hierbei um die unmittelbare Gewinnung von 500 und mehr Kunden handeln. Der Kunde, in diesem Fall Patient, wird dabei indirekt und vermeintlich zur Ware.

Aufgrund des Personenbezugs von Kunden-, Mitarbeiter- und Lieferantendaten sollten nicht-öffentliche Stellen den Datenschutz beim Unternehmenskauf daher nicht außer Acht lassen (§ 3 BDSG). Personenbezogene Daten bedürfen nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) eines besonderen Schutzes. So ist das Verarbeiten, Nutzen und Speichern personenbezogener Daten nur dann gestattet, wenn

  • der Betroffene dem freiwillig zustimmt oder
  • eine gesetzliche Vorschrift existiert, die das Verfahren erlaubt.

Neben den Kundendaten stellen auch Mitarbeiterdaten oder auch Lieferantendaten personenbezogene Daten dar, welche ebenso unter den § 4 Abs. 1 BDSG fallen und einer vorvertraglichen Prüfung, ob eine Zustimmung der Betroffenen einzuholen ist, bedürfen.

Datenschutz beim Unternehmenskauf

Vor einem Unternehmenskauf ist der Austausch von Informationen unerlässlich — sei es, um die Haftung zu beschränken, indem die Aufklärungspflicht durch den Verkäufer statuiert wird, oder um im Interesse des Käufers vollumfängliche Informationen über das Kaufobjekt zu erhalten. Dabei besteht besonders bei der Übertragung von Personendaten, welche von den Kunden, Lieferanten und Mitarbeitern des Unternehmens gesammelt wurden, eine Möglichkeit, gegen datenschutzrechtliche Reglementarien zu verstoßen.

Wie oben bereits erwähnt, stellt die Übermittlung personenbezogener Daten nach dem § 4 BDSG einen vom Betroffenen zustimmungsbedürftigen Vorgang dar, sofern keine gesetzliche Bestimmung besteht. Folglich ist es relevant, zu prüfen, ob die Übertragung eine Zustimmung des Betroffenen benötigt oder nicht.

Im Fokus eines Unternehmenskaufes steht oft der Erwerb von Kundendaten, da diese einen wichtigen Teil des Unternehmenswertes darstellen. Gerade weil der Käufer den wertvollen Kundenstamm (verbunden mit den Kundendaten) übernehmen will, wird der Käufer einen entsprechenden Betrag verlangen wollen. Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen. Dies gilt vor allem, wenn es sich nicht um einen Anteilskauf (Share Deal) oder eine Verschmelzung des Unternehmens mit einem anderen handelt, sondern um einen Kauf von Vermögenswerten des Unternehmens (Asset Deal), bei dem die Rechtspersönlichkeit des Unternehmens bestehen bleibt.

Share Deal

Der Share Deal ist neben dem Asset Deal eine Möglichkeit des Unternehmenskaufes und beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Obwohl bei einem hundertprozentigen Anteilskauf die Gesamtheit des Unternehmens übergeht, bieten sich einige datenschutzrechtliche Risiken, welche beachtet werden sollten.

Wie erwähnt, wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence (kurz DD), auch bekannt als Due-Diligence-Prüfung (im Geschäftsverkehr gebotene Sorgfaltspflicht), welche eine Risikoprüfung darstellt und i. d. R. vom Käufer angefertigt oder beauftragt wird, Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird. Eine Due Diligence kann somit dem Käufer und weiteren „Dritten“ Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. In einem solchen Fall ist das Informieren der Betroffenen oder die Einholung ihrer Zustimmung meist nicht notwendig.

Der § 28 Abs. 1 Nr. 2 BDSG sieht zwar vor, dass der Zugriff auf personenbezogene Daten zulässig ist, sofern dieser der „Wahrung berechtigter Interessen der verantwortlichen Stelle“ dient und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Fraglich ist jedoch, ob die Veräußerung des Unternehmens ein „berechtigtes Interesse“ darstellt, da es sich dabei vorrangig um das Interesse der Gesellschafter handelt. Aus diesem Grund ist es empfehlenswert, bei der Vorlage einer Due Diligence personenbezogene Daten unkenntlich zu machen oder zu anonymisieren. Sonstige Fälle sollten mit dem zuständigen Datenschutzbeauftragten besprochen werden.

Asset Deal

Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter. Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten. Bei Kundendaten handelt es sich i. d. R. um Einzelangaben (wie Name, Adresse, Geburtsdatum usw.), welche unmittelbare oder mittelbare Rückschlüsse auf die Person (Betroffener) zulassen. In den meisten Fällen wird deshalb eine Zustimmung des Betroffenen notwendig sein.

In diesem Zusammenhang ist die Übermittlung von Namen, Postanschrift, Geburtsjahr und Beruf durch das im § 28 Abs. 3 BDSG enthaltene „Listenprivileg“ in den meisten Fällen unproblematisch.

Anders sieht es jedoch aus bei Kundeninformationen des Unternehmens, z.B. E-Mail-Adresse, Telefonnummer, Kaufhistorie oder auch Konto- oder Kreditkartendaten. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht ist die Übermittlung solcher personenbezogenen Daten nur zulässig, sofern eine Belehrung der betroffenen Kunden stattgefunden hat und die Widerspruchsmöglichkeit dem Kunden mitgeteilt wurde. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte, in dem von ihr entschieden Fall, wegen des Verstoßes genannter Kriterien ein Bußgeld von 3000 €.

Aus diesem Grund sollte vor Vertragsschluss immer die Einwilligung des Kunden eingeholt werden, da dies die spätere Weitergabe und Nutzung der Daten durch den Käufer erheblich erleichtert. Wird vorab beim Kunden keine Zustimmung eingeholt, besteht die Möglichkeit den Kunden über sein Widerspruchsrecht zu informieren und diesem eine Frist für den Widerspruch zu gewähren. Ein Verstoß gegen diese Vorgaben kann zu empfindlichen Sanktionen führen, welche nicht nur einen finanziellen Verlust mit sich bringen, sondern sich auch negativ auf das Image des Unternehmens auswirken können.

Fazit

Bei einem Unternehmenskauf ist immer eine genaue Analyse des Unternehmens erforderlich. Diese ist nicht nur relevant für den Käufer, indem dieser u.a. Informationen über das Zielobjekt erhält, sondern schützt den Verkäufer mitunter durch die Dokumentation der Vorverkaufsmaßnahmen (z.B. Due Diligence) vor möglichen Ansprüchen des Käufers, wegen Verletzung der Nebenpflichten aufgrund von nicht ordnungsgemäßer Aufklärung über das Objekt.

Datenschutzrechtlich relevant ist dieser Vorgang beim Unternehmenskauf besonders dann, wenn personenbezogene Daten übertragen werden. Um mögliche Haftungsrisiken zu vermeiden, sollte vorab geprüft werden, wie diese zu kategorisieren sind. Zu unterscheiden ist dabei die Zulässigkeit der Datenübermittlung und die Verwertbarkeit der Daten für den Käufer, welche ebenso erhebliche Kriterien für die Kaufpreisfindung sind und den Kernbereich einer Due Diligence bilden.

Sollte eine umfangreiche Datenschutzanalyse entfallen, ist von einer grob fahrlässigen Handlung auszugehen, da eine solche Analyse ein in der Praxis häufig angewendetes Verfahren ist. Eine daraus resultierende widerrechtliche Handlung in Sachen Datenschutz kann durch die Aufsichtsbehörde mit empfindlichen Sanktionen belegt werden und hat weitreichendere Folgen als den Verlust von Kapital, da ein Verlust des Ansehens (Image) des Unternehmens meist auch den Verlust von Kundschaft bedeutet.

Sie sollten daher den Datenschutz beim Unternehmenskauf nicht außer Acht lassen und den Rat eines Datenschutzberaters oder Ihres internen/externen Datenschutzbeauftragten einholen.

Sollten Sie noch Fragen zum Datenschutz beim Unternehmenskauf haben oder sich im Bereich Datenschutz besser positionieren wollen, dann steht Brands Consulting Ihnen gerne zur Seite. Wir unterstützen Sie in allen datenschutzrechtlichen Belangen und stehen Ihnen stets als kompetenter und zuverlässiger Ansprechpartner in Sachen Datenschutz zur Verfügung.

Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Arbeitsplatzüberwachung: GPS-Ortung und Datenschutz – „Ich weiß, wo du heute, gestern und letzten Monat warst!“

GPS-Ortung und DatenschutzDas Thema der Arbeitsplatzüberwachung z. B. durch GPS-Ortung in Verbindung mit Datenschutz, insbesondere Beschäftigtendatenschutz gewinnt stetig an Bedeutung. Ortungssysteme sind weder in Dienstfahrzeugen noch in Smartphones keine Seltenheit mehr, schnell kann dies zu einer dauerhaften, anlasslosen Überwachung am Arbeitsplatz führen.  Die Bestimmung eines Standortes ist unter anderem mittels Global Positioning System (GPS), Location-based Services (LBS) sowie radio-frequency identification (RFID) möglich. Bei der Global Positioning System-Ortung (GPS) wird die Position mithilfe von Satelliten bestimmt. GPS wird insbesondere für Navigationssysteme verwendet. Neben GPS ermöglicht Location-based Services, zu deutsch standortbezogene Dienste, die Positionsbestimmung eines mobilen Endgerätes – respektive des Besitzers – über nahegelegene Funkzugangsknoten. Bei RFID können Standortdaten mit Hilfe eines Transponders und eines Schreib-/Lesegerätes mit Antenne berührungslos ausgelesen werden, allerdings muss der Transponder in die Reichweite der Antenne gelangen.

Neben zahlreichen privaten und betriebswirtschaftlichen Vorteilen bergen Ortungssysteme eine Vielzahl an Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter erklärt, warum Systeme zur Ortung und Datenschutz nicht voneinander zu trennen sind und was verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine oder Behörden, berücksichtigen sollten, damit eine unzulässige Arbeitsplatzüberwachung vermieden wird.

GPS-Ortung und Datenschutz – Was Organisationen beachten sollten

Werden die Standorte von Dienstfahrzeugen oder dienstlichen Smartphones ermittelt, so kann daraus geschlossen werden, wo sich eine kleine Gruppe an Arbeitnehmern oder der einzelne Arbeitnehmer aufhält bzw. aufgehalten hat. Ein Personenbezug ist damit spätestens unter Zuhilfenahme der Einsatzpläne der Mitarbeiter gegeben, folglich greift das Datenschutzrecht. Sollen personenbezogene Daten erhoben, verarbeitet und/oder genutzt werden, so sollte stets das Verbot mit Erlaubnisvorbehalt bedacht werden. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten erlaubt, wenn eine Rechtgrundlage oder die informierte und wirksame Einwilligung des Betroffenen dies erlauben.

Laut § 28 Abs. 1 Nr. 2 BDSG (Hinweis: Siehe auch § 32 BDSG für Zwecke des Beschäftigungsverhältnisses) dürfen personenbezogene Daten erhoben werden, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sind und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Um dies festzustellen, ist eine Interessensabwägung zwischen der verantwortlichen Stelle und dem Betroffenen notwendig. Mögliche Gründe für eine Ortung wären

  • der Diebstahl des Fahrzeugs oder Endgeräts,
  • die Aufdeckung von Straftaten bei einem begründeten Verdacht,
  • die Wahrung berechtigter Interessen der Organisation/eines Dritten, z.B. Geldtransporter, Krankenwagen

Der Einsatz von Ortungssystemen zur Überwachung der Mitarbeiter, sogenannte Verhaltens- und Leistungskontrolle ist allerdings untersagt und sollte dringend unterbunden werden. Selbst bei einer erlaubten Datenerhebung und –verarbeitung ist der Grundsatz der Datensparsamkeit zu beachten. Das heißt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die tatsächlich notwendig sind. Zum Beispiel liegt für die Ortung des Standortes ein berechtigtes Interesse einer Speditionsfirma zur Warenverfolgung vor, allerdings ist für diesen Zweck die Erhebung der Dauer von Fahrtunterbrechungen nicht notwendig. Bei erlaubter privater Verwendung von Dienstfahrzeugen/Endgeräten darf ebenfalls keine Ortung durchgeführt werden.

Zwischen einer Erlaubnis und dem Verbot von Ortungssystemen liegt in dem meisten Fällen nur ein schmaler Grat. Umso wichtiger ist es, dass sich Organisationen mit dem Thema „GPS-Ortung und Datenschutz“ auseinandersetzen und nicht auf fachkundige Beratung durch einen Datenschutzbeauftragten oder Datenschutzberater verzichten. Zumal verantwortliche Stellen gemäß § 4d Abs. 5 BDSG bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte der Betroffenen aufweisen, verpflichtet sind, eine Vorabkontrolle durch den Datenschutzbeauftragten durchführen zu lassen.

GPS-Ortung und Datenschutz – Beteiligung des Datenschutzbeauftragten und ggf. des Betriebsrates

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss, wie bereits erläutert, vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Neben der Beteiligung des Datenschutzbeauftragten sollte – sofern vorhanden – der Betriebsrat vor Beginn der Verarbeitung einbezogen werden, da dieser gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglichen, ein Mitbestimmungsrecht hat.

Als verantwortliche Stelle ist man zudem gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des BDSG zu erfüllen und den Zugriff durch Unbefugte zu vermeiden.

Fazit

Der Einsatz von Ortungssystemen kann unter gewissen Umständen aus Sicht der verantwortlichen Stelle (z. B. Unternehmen) erforderlich sein, im überwiegenden Interesse des Betreibers liegen und gleichzeitig kein Grund zur Annahme vorliegt, dass die schutzwürdigen Interessen des oder der Betroffenen überwiegen. Es sollten daher unbedingt bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Ortungssystemen sind viele Kriterien/Grundsätze, insbesondere die Datensparsamkeit, Zweckbindung und Verhältnismäßigkeit, zu beachten. Des Weiteren sollten klaren Regelungen, unter anderem zum Zweck, zur Löschung und zu den Zugriffsberechtigungen, mit Hilfe von Betriebsvereinbarungen/Dienstvereinbarungen/Richtlinien geschaffen werden.

Möchten Sie mehr zu Ortung und Datenschutz erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ (Vorab)Kontrolle Datenschutzbeauftragter “ – Die Prüfung der Zweckbindung und Verhältnismäßigkeit

Kontrolle DatenschutzbeauftragterDie Bedeutsamkeit für das Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ resultiert aus der hohen Relevanz unserer personenbezogenen Daten, also der Informationen, die uns als Menschen vereinfacht ausgedrückt „zuzuordnen sind“. Der Umgang mit personenbezogenen Daten ist für die sogenannten verantwortlichen Stellen, so insbesondere für Unternehmen, wichtig, sei es, um Marktforschung oder Werbung zu betreiben, zur Suche nach geeigneten Bewerbern oder zur Arbeitszeitplanung.

Es ist unerlässlich, personenbezogene Daten zu erheben, um den Geschäftszweck zu erfüllen. Dabei sollte nicht außer Acht gelassen werden, dass der von der Datenerhebung betroffene Mensch Schutzrechte hat, die nicht übergangen werden dürfen.

Ihr externer Datenschutzbeauftragter informiert zum Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ und über relevante Kriterien, die nicht außer Acht gelassen werden sollten.

„ Kontrolle Datenschutzbeauftragter “ – Wann ist eine Datenerhebung, -verarbeitung oder –nutzung erlaubt?

Grundsätzlich ist die Erhebung personenbezogener Daten nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit

  • das BDSG dies erlaubt
  • eine andere Rechtsvorschrift dies erlaubt oder
  • der Betroffene zustimmt

Durchbrochen wird diese Vorschrift u.a. durch den § 28 BDSG:

Nach diesem ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, wenn diese für die Begründung, Durchführung oder Beendigung eines rechtgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Abs. 1 Nr.1). Bei Arbeitsverhältnissen tritt jedoch der § 32 BDSG an die Stelle des § 28 BDSG. Weiterhin ist nach Nr. 2 der Umgang mit personenbezogenen Daten gestattet, soweit diese für die Wahrung berechtigter Interessen der verantwortlichen Stelle dienen. Das bedeutet, dass stets eine Abwägung der Interessen der zuständigen Stelle mit denen des Betroffenen stattfinden sollte.

§ 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke der Beschäftigungsverhältnisse

Besonderes Augenmerk sollte auf die Verarbeitung personenbezogener Daten innerhalb eines Beschäftigungsverhältnisses gelegt werden. Natürlich in Abhängigkeit zur Branche werden regelmäßig insbesondere im Mittelstand in kaum einem anderen Gebiet bzw. in keiner Abteilung so viele personenbezogene Daten erhoben.

Diese Datenerhebung ist nicht grundlos, da sie u.a. für die Planung der Personalpolitik, die Sicherung eines effizienten Personaleinsatzes oder die Kontrolle des Arbeitseinsatzes vom Arbeitgeber erforderlich ist. Gegen die Datenerhebung und –verarbeitung im Rahmen des Beschäftigungsverhältnisses würde sich der Mitarbeiter/Beschäftigte auch aus Sorge seinen Arbeitsplatz zu verlieren, in den seltensten Fällen zur Wehr setzen. Um den Mitarbeiter zu schützen, hat der Gesetzgeber den § 32 BDSG eingesetzt. Er gestattet den Umgang mit personenbezogenen Daten, sofern diese erforderlich sind und die Zweckbindung gewahrt bleibt und es somit zu keiner Zweckentfremdung für andere Nutzungen kommt.

Beispiel: Die Bezahlkarte in der hauseigenen Kantine des Arbeitgebers dient der Vereinfachung des Bezahlvorganges und nicht der Analyse über das Ess- und Trinkverhalten des einzelnen Mitarbeiters. Personenbezogene Daten werden hier zweckgebunden erfasst. Die Info, der Mitarbeiter konsumierte für 4,00 € ist ausreichend. Nicht erforderlich ist es regelmäßig die Portion Currywurst + Pommes zu erfassen. Auch dürfte es selbstverständlich sein, dass ein Mitarbeiter keine Hinweise auf der Basis seines „ungesunden Essverhaltens“ erhält und Datensätze zu diesen Zwecken ohne informierte und freiwillige Einwilligung verknüpft werden.

Hinweis: Zur Zweckbestimmung können Sie sich weiter unten im Text konkreter informieren.

Durchgeführt wird eine solche Prüfung oder die Beratung hierzu i. d. R. von einem kirchlichen / behördlichen oder betrieblichen Datenschutzbeauftragten (Kontrolle Datenschutzbeauftragter).

„ Kontrolle Datenschutzbeauftragter “ – Die Zweckbestimmung

Bei der Kontrolle durch den Datenschutzbeauftragten wird zum einen die Zweckbestimmung geprüft, wobei eine Interessenabwägung des Arbeitgebers und des/der betroffenen Mitarbeiter stattfindet. In diesem Rahmen prüft der Datenschutzbeauftragte, ob die geplante Maßnahme zur Erfüllung des Zwecks geeignet ist.

Will ein Arbeitgeber z.B. eine Videoüberwachungsanlage in seinem Ladenlokal installieren, so verfolgt er eventuell nicht unbedingt den Zweck, seine Mitarbeiter zu überwachen, sondern will sein Eigentum und das seiner Kunden schützen. Dessen ungeachtet wird durch den Gebrauch der Kameras der Mitarbeiter in seinen Persönlichkeitsrechten (z.B. Recht am eigenen Bild) verletzt. Auch könnte eine Videoüberwachung zur dauerhaften Verhaltens- und Leistungskontrolle der Mitarbeiter, die unzulässig ist, genutzt werden. Eine Interessenskollision von Arbeitgeber und Arbeitnehmer entsteht.

Neben der Zweckbestimmung muss die Verhältnismäßigkeit geprüft werden. Im Datenschutz gilt, dass immer zum „milderen Mittel“ gegriffen werden muss. Der Datenschutzbeauftragte muss aus diesem Grund nicht nur prüfen, ob die (geplante) Maßnahme geeignet ist, sondern ob die Maßnahme erforderlich. Beschäftigt sich der Datenschutzbeauftragte mit der (Vorab-)Kontrolle, so lässt sich die Prüfung der Verhältnismäßigkeit nicht verhindern bzw. sollte nicht vergessen werden.

„ Kontrolle Datenschutzbeauftragter “ – Verhältnismäßigkeitsprüfung

Ebenfalls durchzuführen vom Datenschutzbeauftragten ist eine Verhältnismäßigkeitsprüfung.

Bei der Prüfung der Verhältnismäßigkeit muss einzelfallspezifisch geprüft werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

(2) Ist die Maßnahme zulässig?

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Wendet man diese Kriterien auf die oben genannte Fallkonstellation mit der Videoüberwachung an, kann folgendes entnommen werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

Ja, da durch die Videoüberwachung ermittelt werden kann, wer einen Diebstahl getätigt hat. Weiterhin dient eine Videoüberwachung als Abschreckungsmittel, da der mögliche Dieb ein erhöhtes Risiko hat, erwischt zu werden, versucht er es möglicherweise erst gar nicht.

(2) Ist die Maßnahme zulässig?

Bei einer Videoüberwachung ist zu beachten, wo sich die Videoüberwachungsanlage befindet. Ist eine Installation in öffentlich zugänglichen Räumen, wie in dem Fallbeispiel, gewollt, so wird der § 32 Abs. 1 BDSG vom § 6b BDSG verdrängt. Nach § 6b wäre so eine Maßnahme innerhalb des Beschäftigungsverhältnisses nur zulässig, sofern sie eingesetzt wird, um berechtigte Interessen des Arbeitgebers zu schützen. Vorrausetzung dafür ist einerseits das Bestehen eines konkret festgelegten Zwecks für die Nutzung, andererseits darf es keinen Anhaltspunkt geben, der die schutzwürdigen Interessen der betroffenen Mitarbeiter überwiegen lässt (§ 6b Abs. 1 Nr. 3 BDSG). Weiterhin muss die Videoüberwachung und die dafür verantwortliche Stelle durch geeignete Maßnahmen kenntlich gemacht werden (§ 6b Abs. 2 BDSG).

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Maßgeblich für den Arbeitnehmer sind in dem Beispiel der Schutz seines Eigentums und das seiner Kunden. Somit könnte er alternativ zu dem Videoüberwachungssystem auch Alarmanlagen, elektronische Schließsysteme, Schlösser etc. verwirklichen, ohne in die Persönlichkeitsrechte seiner Mitarbeiter einzugreifen.

Führen die alternativen Möglichkeiten nicht zum Erfolg, kann eine heimliche Videoüberwachung durchgeführt werden.

Nach dem BAG-Urteil (2 AZR 51/02) vom 27.03.2003 ist eine verdeckte Videoüberwachung zulässig, wenn:

  1. ein konkreter Verdacht einer Strafhandlung besteht
  2. mildere Mittel erfolglos waren und folglich
  3. die Videoüberwachung das einzige Mittel darstellt.

In der Praxis ist eine solche Prüfung nicht nur für die Frage der Modalitäten für die Nutzung von Videoüberwachungssystemen interessant, sondern ebenso bei

  • Bewerberdatenbanken
  • Telefonüberwachung
  • E-Mail-Kontrollen
  • BYOD (Bring Your Own Device)
  • Cloud Computing
  • Detektiv/Testkunden zur Überwachung
  • Due Diligence

und vielen anderen Bereichen, welche durch die unterschiedlichen Gestaltungsformen und dem Fortschreiten der technischen Entwicklung nicht immer klar zu deuten sind.

Rechtsfolgen

Die unbefugte Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann zu unterschiedlichen Saktionen führen. Dies möglichen Strafen reichen von arbeitsrechtlichen Konsequenzen, über Bußgeldern bis hin zu Freiheitsstrafen. Des Weiteren führt das Bekanntwerden von Datenschutzverstößen unabdingbar zu erheblichem Imageverlust. Um solche Rechtfolgen und die Verschlechterung des Ansehens der „verantwortlichen Stelle“ zu vermeiden bedarf es einer ordnungsgemäßen Prüfung durch einen Datenschutzbeauftragten.

Fazit

Gerade in der Praxis ist die Thematik „ Kontrolle Datenschutzbeauftragter “ und die damit verbundene Prüfung der Zweckbindung respektive Zweckgebundenheit und der Verhältnismäßigkeit des beabsichtigten Vorhabens unerlässlich. Dabei muss bei jeder geplanten Maßnahme eine einzelfallbezogene Prüfung stattfinden, um ein optimales Ergebnis zu erreichen.

Gerade, weil eine unterlassene oder nicht sachgerechte Prüfung negative Rechtfolgen und einen erheblichen Imageverlust mit sich bringen kann, sollte diese Prüfung durch einen kompetenten Datenschutzbeauftragten durchgeführt werden.

Falls Sie mehr zum Thema „(Vorab)Kontrolle Datenschutzbeauftragter“ erfahren möchten oder sich nicht sicher sind, ob das von Ihnen beabsichtigte Verfahren den datenschutzrechtlichen Bestimmungen genügt, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Kein Recht am eigenen Bild – Zigarettenhersteller planen personalisierte Schockfotos (Achtung Datenschutz-Satire)

Recht am eigenen BildDie EU-Kommission plant, angesichts der Unwirksamkeit der seit Mai 2016 eingeführten Schockfotos für Zigarettenschachteln, das Thema „Recht am eigenen Bild“ in den Hintergrund zu rücken und mittels personalisierter Schockbilder zu warnen. Eine Sprecherin der EU-Kommission sagte diesbezüglich: „Nachdem wird festgestellt haben, dass verfaulte Zähne, abgestorbene Füße und schwarze Lungen ohne das dazugehörende Gesicht nicht zu dem gewünschten Effekt geführt haben, starteten wir vor einigen Wochen einen Testlauf mit personalisierten Bildern und der gewünschte Effekt trat bei den betroffenen Rauchern ein. Endlich konnten wir schockieren.“  Neben der EU-Kommission zeigte sich vor allem der Chef eines sozialen Netzwerkes hellauf begeistert: „Endlich haben wir Abnehmer für die hochgeladenen Bilder unserer User gefunden.“

Bei den Schockbildern auf Zigarettenschachteln soll es allerdings nicht bleiben. Nächstes Jahr plant die Kommission vor den Gefahren des Alkoholmissbrauchs zu warnen. Auch für alkoholische Getränke sind personalisierte Schockbilder geplant. Auf die Frage nach der Herkunft der Schockfotos erläuterte die Sprecherin: „Ausreichend Material sollten wir zunächst von Unternehmen erhalten, die ihre Betriebsfeiern umfangreich festhalten und Bildmaterial veröffentlichen. Neben den Betriebsfeiern hat uns der Veranstalter eines bedeutenden Volksfestes „feuchtfröhliches“ Bildmaterial versprochen. Seiner Ansicht bietet die Wiese in der Nähe des Volksfestes, der sogenannte „Kotzhügel“, der bereits letztes Jahr von vielen „Gaffern“ und „Hobbyfotografen“ in sozialen Netzwerken als (Groß-)Event gefeiert wurde, ausreichend Material, um vor „so ziemlich allem“ zu warnen, so der Veranstalter.

Nun zur Aufklärung des vorstehenden satirischen Beitrags:

Recht am eigenen Bild – Was sagen Datenschützer und Datenschutzbeauftrage?

Datenschützer und Datenschutzbeauftragte warnen vor der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Auch bei Bildern handelt es sich um sogenannte personenbezogene Daten, da auf diesen Bildern Merkmale erkennbar sind, die auf eine Person zurückschließen lassen.

Ein Datenschutzbeauftragter erklärte zum Thema „Recht am eigenen Bild“: „Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt oder der Betroffene einwilligt hat. Das Heranziehen vom Kunsturheberrechtsgesetz ist unabdingbar.“

Zum Thema „Recht am eigenen Bild“ steht im Kunsturhebergesetz, dass die Verbreitung von Bildern erlaubt ist, wenn der Abgebildete eingewilligt hat. Die Einwilligung gilt auch als erteilt, wenn der Abgebildete entlohnt wurde. Zudem legt das Kunsturheberrechtsgesetz Ausnahmen fest, wann das Verbreiten von Bilder erlaubt ist. Eine Ausnahme, gemäß § 23 Kunsturheberrechtsgesetz, stellt das Erfassen und Verbreiten von Versammlungen dar.

Nun wieder etwas Humor:

Datenschutz SatireUm das Recht am eigenen Bild, trotz der Pläne der EU-Kommission zu schützen, geben Datenschützer und Datenschutzbeauftragte schützen folgende Sicherheitsmaßnahmen raus:

  • Mit dem Rauchen und Trinken aufhören
  • Keine Versammlungen oder andere Veranstaltungen mit großem Menschenaufkommen besuchen
  • Nicht vor schönen Landschaften/Sehenswürdigkeiten rauchen oder trinken
  • Tragen von Sturmhauben, Masken oder Burkas

Recht am eigenen Bild – Was sagt die Politik?

Politiker in aller Welt reagierten prompt. Ein Politiker verkündete: „Als großer Fan vom Datenschutz, insbesondere der Datensparsamkeit, sperre ich bis auf weiteres sämtliche sozialen Medien. Sie glauben nicht, was die Menschen tagtäglich für einen Quatsch veröffentlichen.“

Ein Anderer reagierte wiederrum völlig gegensätzlich und erklärte: „Das Rauchen und Trinken stellt seit Jahren eine Gefahr für die innere Sicherheit unseres Landes dar. Einzig illegal eingeschleuste Überraschungseier seien für das Land gefährlicher. Aus diesem Grund habe man beschlossen, die EU-Kommission zu unterstützen.“ Aus Insiderkreisen hört man, dass sämtliche Geheimdienste mit der Aufspürung von Rauchern und mit der Übermittlung von Fotos beschäftigt seien.

Auch hörte man verstärkt sowohl auf politischer als journalistischer Seite die Sätze: „Wir schaffen das!“, „Mit mir wird es das nicht geben!“ oder „Wir haben nichts gegen die Schockfotos, aber bitte nicht hier!“.

Möchten Sie mehr zum Thema „Recht am eigenen Bild“ erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

datenschutz camsVideoüberwachungsanlagen können die Privatsphäre von Betroffenen erheblich einschränken, weshalb das Thema „ Videoüberwachung Datenschutz “ sowohl Privatpersonen als auch Organisationen beschäftigt. Was bzw. wer ist hier mit Organisationen gemeint?

Verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes (BDSG). Hierzu zählen:

  • Unternehmen (Firmen, Einzelunternehmen, Gesellschaften eines Konzerns usw.),
  • Behörden,
  • Vereine/Verbände,
  • oder Stiftungen.

Der Einsatz von Videoüberwachungsanlagen kann im Hinblick auf die Sicherheit zu vielen Vorteilen führen. Diese wären z. B.:

  • Abschreckung von Straftätern,
  • die leichtere Suche bei Straftaten nach den „Übeltätern“,
  • Sicherung von Beweisen.

Aus diesem Grund ist es wenig verwunderlich, dass nicht nur Organisationen, sondern auch Privatpersonen zu Videoüberwachungsanlagen zurückgreifen. Hörte man früher eher bei eskalierten Nachbarschaftsstreitigkeiten von einem Einsatz, so werden verstärkt Videoüberwachungsanlagen präventiv von Privatpersonen angebracht. In diesem Zusammenhang sieht man vermehrt den Einsatz von sogenannten „Klingel-Cams“ bzw. „Türspion-Kameras“.

Bei „Klingel-Cams“ handelt es sich üblicherweise um Kameras, die an der Klingel angebracht werden. Wird die Klingel betätigt, so können die Bewohner – bevor sie die Tür öffnen – feststellen, wer geklingelt hat. Daneben existieren auch „Klingel-Cams“ auf die sich die Bewohner jederzeit „aufschalten“ können. Auch gibt es bereits „Türspion-Kameras“, die das Einsehen von Aufnahmen mit dem Smartphone ermöglichen. Hierbei tritt natürlich unweigerlich die Frage nach der Zulässigkeit auf, die sowohl Betroffene als auch Eigentümer betrifft. Ist der Einsatz von „Türspion-Kamers“ erlaubt?

Ihr externer Datenschutzbeauftragter informiert im Folgenden über das Thema „ Videoüberwachung Datenschutz “, wobei nicht nur der Einsatz von „Klingel-Cams“, sondern die Videoüberwachung in Organisationen thematisiert werden.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

Die Thematik rund um „Klingel-Cams“ beschäftigte seit Jahren nicht nur Betroffene, eher unfreiwillig die Eigentümer bzw. Verantwortlichen, Datenschützer und Datenschutzbeauftragte, sondern auch die Instanzen der deutschen Gerichte, sogar den Bundesgerichtshof (BGH).

Um kurz das Thema „Nachbarschaftsstreitigkeiten“ aus der Einleitung aufzugreifen. Ja, die dauerhafte Videoüberwachung aufgrund eines Nachbarschaftsstreits von weiteren Wohnungseigentümern sollte unterlassen werden (Urteil des AG München vom 4.12.2013 – Az. 413 C 26749/13).

Grundsätzlich ist Privatpersonen anzuraten, von „Klingel-Cams“ die Finger wegzulassen, allerdings liegen Ausnahmen vor, die im Einzelfall den Einsatz erlauben könnten. Möchten Wohnungseigentümer bzw. der Vermieter des Hauses eine solche Kamera anbringen, so sollten einige Maßnahmen ergriffen werden.

  • Unter anderen sollte sichergestellt werden, dass die Kamera erst bei Betätigung der Klingel aktiv wird und sich zeitnah wieder automatisiert ausschaltet,
  • wobei die Aufnahmen nur vom Bewohner eingesehen werden dürfen, bei dem geklingelt wurde.
  • Des Weiteren sollten die Aufnahmen nicht gespeichert werden,
  • der Betroffene sollte mit Hilfe eines Hinweisschildes informiert werden
  • und die Kamera sollte so eingestellt werden, dass möglichst nur die Person, die geklingelt hat, gefilmt wird.

Zwischen dem Verbot und der Erlaubnis ist nur ein „schmaler Grat“, weshalb sich Privatpersonen vor Anbringung von Überwachungskameras ausreichend mit dem Thema „ Videoüberwachung Datenschutz “ auseinanderzusetzen sollten. Spätestens beim beruflichen Einsatz von „Klingel-Cams“ bzw. allgemein von Videoüberwachungsanlagen sollte auf fachkundige Beratung keinesfalls verzichtet werden. Dies gilt übrigens auch für Kameraattrappen, da diese die „informationelle Selbstbestimmung“ von Betroffenen ebenfalls einschränken können.

„Videoüberwachungsanlagen Datenschutz“ – Worauf Organisationen achten sollten

Planen „verantwortliche Stellen“, wie z. B. Unternehmen, das Anbringen von Videoüberwachungsanlagen, so sollten sich diese dringend von einem Datenschutzbeauftragten beraten lassen, dabei spielt es keine Rolle, ob es sich um Videoüberwachungsanlagen handelt, die nichts aufnehmen (Kameraattrappen), die ausschließlich aufnehmen (auch bekannt unter „verlängertes Auge“) oder auch das Speichern von Aufnahmen ermöglichen.

Im Datenschutzrecht steht die „informationelle Selbstbestimmung“ im Vordergrund. Das Ziel ist es, dass natürliche Personen selbst über die Erhebung, Verarbeitung und Nutzung ihrer Daten entscheiden können, damit diese sich frei entfalten können. Bei Anbringung einer Kameraattrappe passen sich Betroffene, wie Mitarbeiter und Kunden, automatisch an, weil sie nicht wissen, dass es nur eine Attrappe ist. Eine Kameraattrappe ließe sich zudem, wenn sich ein Betroffener an diese gewöhnt hat, recht unkompliziert durch eine funktionstüchtige Videoüberwachungsanlage ersetzen. Dies verletzt das Grundrecht der Persönlichkeitsentfaltung sowie die informationelle Selbstbestimmung. Daher greift – rein logisch – das Datenschutzrecht auch bei Kameraattrappen.

Organisationen sollten bei der Planung der Videoüberwachungsanlagen Maßnahmen, wie die Vorabkontrolle durch einen Datenschutzbeauftragten, ergreifen sowie klare Regelungen aufstellen. Ist ein Datenschutzbeauftragter extern oder intern bestellt, so kontrolliert er die geplanten Videoüberwachungsmaßnahmen und unterstützt „verantwortliche Stellen“ bei der Erstellung von Betriebsvereinbarungen zu Videoüberwachungsanlagen, Video-Dienstvereinbarungen bzw. Richtlinien und sonstige Regelwerke rund um Videokameras und sonstige Datenschutz-Regelwerke.

Das fehlerhafte Anbringen von Videoüberwachungsanlagen kann für „verantwortliche Stellen“ zu erheblichen Konsequenzen führen. Neben der Demontage von teuren Anlagen drohen sogar Bußgelder und ein erheblicher Imageverlust.

Möchten Sie mehr zum Thema „ Videoüberwachung Datenschutz “ erfahren, dann lesen Sich doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Wenn Sie sich im Datenschutz dauerhaft besser positionieren möchten, dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Workplace by Facebook und Datenschutz“ – Netzwerk für Mitarbeiter oder doch nur ein Auffangnetz für Daten

Workplace by Facebook DatenschutzVor einigen Tagen hat Facebook „Workplace by Facebook“ vorgestellt, allerdings stellt sich die Frage, ob die Unternehmensplattform Workplace by Facebook Datenschutz-Risiken nach sich zieht. Sobald es um Facebook geht, sind sowohl Datenschützer als auch Datenschutzbeauftragte kritisch, da die Nutzung von Facebook, insbesondere für „verantwortliche Stellen“, wie Unternehmen oder Behörden, zu zahlreichen Risiken führen kann.

Ebenso, wie für Privatpersonen, bietet Facebook nun eine Plattform für Unternehmen, die eine asynchrone Kommunikation zwischen den Mitarbeitern – unabhängig vom Standort der Unternehmen und Niederlassungen – erleichtern soll. Mit Hilfe von „Workplace by Facebook“ können Mitarbeiter unter anderem miteinander – auch in Gruppen – chatten, Dateien versenden oder Live-Videos teilen, allerdings stellt sich trotz der praktisch erscheinenden Funktionen die Frage, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Ihr externer Datenschutzbeauftragter informiert Sie über die neue Plattform und erklärt, ob „Workplace by Facebook“ ebenso, wie das klassische Facebook, zu Datenschutz-Problemen führen kann.

Welche Funktionen bietet „Workplace by Facebook“?

Einer der Vorteile, die viele Unternehmen in „Workplace by Facebook“ sehen, ist die Ähnlichkeit zu der privaten Plattform „Facebook“. Bis auf die Farbe – von dem kräftigen blau ins helle grau – haben sich die meisten Funktionen nicht geändert, wodurch sich die meisten Mitarbeiter schnell zurechtfinden werden und eine Usability von Beginn an zu erwarten sein dürfte. Die typischen Funktionen, wie

  • Chat,
  • Live-Video,
  • Gruppen,
  • Neuigkeiten,
  • Veranstaltungen
  • und die Möglichkeit Dateien zu teilen,

bleiben bestehen.

Mitarbeiter, die über einen Account für „Workplace by Facebook“ verfügen, können über das Smartphone die Funktionen nutzen, da die entsprechende App sowohl für Android als auch iOS angeboten wird.

Ein Unterschied zu der privaten Plattform ist allerdings, dass „Workplace by Facebook“ für Unternehmen nicht kostenlos ist. Die Preise sind gestaffelt und richten sich nach der Anzahl an Mitarbeitern.

  • Bis zu 1000 Mitarbeiter = monatlich 3 US-Dollar pro Mitarbeiter
  • Bis zu 10000 Mitarbeiter = monatlich 2 US-Dollar pro Mitarbeiter
  • Ab 10000 Mitarbeiter = monatlich 1 US-Dollar pro Mitarbeiter

Trotz alternativer Kollaborationslösungen, wie Yammer oder Slack, könnte „Workplace by Facebook“ für die Zusammenarbeit  in Unternehmen oder Behörden interessant sein, allerdings sollte die Thematik „Workplace by Facebook Datenschutz“ nicht außer Acht gelassen werden.

Verursacht Workplace by Facebook Datenschutz-Risiken?

„Workplace by Facebook“ bringt zwar viele Funktionen mit sich, die für Unternehmen und andere „verantwortliche Stellen“ interessant und hilfreich sein könnten, allerdings stellt Workplace diese vor neue Herausforderungen. Facebook und Datenschutz sind zwei Begriffe, die die wenigsten Nutzer, Datenschützer oder Datenschutzbeauftragte – außer es handelt sich um Kritik – in einem Satz nennen würden. Aus diesem Grund fragen sich viele Organisationen, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Bevor auf mögliche Probleme eingegangen wird, sollen einige Änderungen und Maßnahmen benannt werden, die bereits von Facebook ergriffen worden sind und aus Datenschutzsicht positiv bewertet werden sollten.

  • Facebook ist dem Privacy Shield-Abkommen beigetreten
  • Technische und organisatorische Maßnahmen wurde zum Teil ergriffen, wie die Trennung des privaten Facebook-Accounts vom beruflichen Workplace-Account (Trennungsgebot bzw. Getrennte Verarbeitung).
  • Laut Facebook sollen die Daten von Workplace nicht an Webetreibende übermittelt werden.
  • Die Kontrolle / Verwaltung der Unternehmensdaten bleibt laut Facebook beim Unternehmen.

Ein Risiko, dass sowohl bei Facebook als auch bei „Workplace by Facebook“ aus Datenschutzsicht berücksichtigt werden sollte, ist die Datenübermittlung. Im Hilfebereich von „Workplace by Facebook“ steht, dass sobald das Arbeitskonto eingerichtet wird, das Profil automatisch mit Informationen, die der Arbeitgeber bereitstellt, gefüllt wird. Dies könnten Informationen, wie der Name oder die Berufsbezeichnung, sein. Bei diesen Informationen handelt es sich allerdings bereits um personenbezogene Daten, die gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur auf Basis eine Rechtgrundlage oder der informierten Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden dürfen.

Bei der Betrachtung von § 32 Abs. 1 BDSG fällt auf, dass der Arbeitgeber personenbezogene Daten der Beschäftigten erheben, verarbeiten und nutzen darf, wenn dies unter anderem für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Eine Übermittlung personenbezogener Beschäftigtendaten kann aus diesem Grund nicht auf Basis von § 32 Abs. 1 BDSG erfolgen.

Neben der fehlenden Erlaubnisnorm ist die Bereitstellung der Daten an Facebook bzw. „Workplace by Facebook“ problematisch, da es sich um eine Übermittlung in ein Drittland handelt. Facebook schreibt diesbezüglich, dass Unternehmen bzw. Organisationen Daten ihrer Mitarbeiter als „Datenverantwortliche“ an Facebook Irland als Auftragsdatenverarbeiter und Facebook Inc. als Unterauftragnehmer einreichen bzw. übermitteln können. Der Sitz von Facebook Inc. ist in den USA, wobei die Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau angesehen werden. Bei Drittländern ohne angemessenes Datenschutzniveau sollten Organisation vor der Übermittlung Sorge tragen, dass es hergestellt wird, allerdings ist Facebook hinsichtlich „Workplace by Facebook“ dem Privacy-Shield-Abkommen beigetreten. Die EU-Kommission hat den Safe-Harbor-Nachfolger, das EU-US-Privacy-Shield, am 12.07.2016 verabschiedet, wodurch eine Übermittlung derzeit auf Basis dieses Abkommens möglich ist, allerdings ist fragwürdig, wie lange es dauert bis der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield aufhebt. „Verantwortliche Stellen“ sollten aus diesem Grund nicht ausschließlich auf das Privacy-Shield-Abkommen vertrauen und weitere Maßnahmen, wie das Abschließen von EU-Standardvertragsklauseln oder das Einholen von informierten Einwilligungen, ergreifen.

Des Weiteren sollte der Arbeitgeber klare Richtlinien erstellen, damit Mitarbeiter wissen, welchen Informationen bzw. Daten auf der Plattform ausgetauscht werden dürfen. Ein weiterer Punkt, der die Notwendigkeit von Richtlinien begründet, ist die Möglichkeit zur Leistungs- und Verhaltenskontrolle. Unternehmensadministratoren haben Zugriff auf Statistiken, wie

  • Gruppenstatistiken,
  • Statistiken über beanspruchte Konten,
  • Inhaltsstatistiken
  • und Nachrichtenstatistiken.

Der Zugriff auf diese Auswertungen macht es für Arbeitgeber möglich festzustellen, wie aktiv ein Mitarbeiter sich beteiligt und kann somit Rückschlüsse auf die Leistung des Mitarbeiters ziehen. Automatisierte Datenverarbeitungen, die eine Verhaltens- und Leistungskontrolle ermöglichen, sollten vorab durch den Datenschutzbeauftragten geprüft werden (sogenannte Vorabkontrolle). Denken Sie auch an die Beteiligung des Betriebsrates einschließlich denkbarer Ergebnisse wie einer Betriebsvereinbarung unter Beteiligung des Datenschutzbeauftragten.

Fazit

„Verantwortliche Stellen“, wie Unternehmen oder Behörden, sollten auf Kollaborationslösungen zurückgreifen, deren Anbieter innerhalb der EU / des EWR sitzt, da die Risiken um ein Vielfaches geringer sind.

Möchten oder können Arbeitgeber nicht auf andere Lösungen zurückgreifen, so sollten sie das Thema „Workplace by Facebook Datenschutz“ nicht außer Acht lassen und sich umfangreich beraten lassen und Mitarbeiter schulen. Der Umgang mit Facebook ist für viele Mitarbeiter kein Problem, allerdings trifft dies nicht immer auf den datenschutzkonformen Umgang zu. An einer fachkundigen Beratung und Unterstützung durch einen Datenschutzbeauftragten sollte in diesem Fall nicht gespart werden. Zumal Facebook viele Versprechen – ab einer gewissen Abhängigkeit der Nutzer – „zufällig vergessen könnte“, wie zuletzt im Zusammenhang mit WhatsApp geschehen. Wenn Sie mehr zu diesem Thema erfahren wollen, dann lesen Sie doch unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“.

Möchten Sie mehr zum Thema „ Workplace by Facebook Datenschutz “ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Löschfrist für Bewerbungen – Wieso bei Bewerbungen Datenschutz-Anforderungen nicht ignoriert werden sollten

bewerbungen datenschutzEines der Themen, dass „verantwortliche Stellen“ und Datenschutzbeauftragte regelmäßig beschäftigt, ist die Thematik rund um „ Bewerbungen Datenschutz “. Neben den Anforderungen, die sich aus dem Schutz gegen Zugriffe durch Unbefugte ergeben, müssen „verantwortliche Stellen“ selbstverständlich auch Löschfristen beachten und deren Umsetzung flächendeckend realisieren.

Ihr externer Datenschutzbeauftragter informiert rund um die Thematik „ Bewerbungen Datenschutz “ und erklärt, welche Maßnahmen die sogenannten „verantwortlichen Stellen“, wie Unternehmen und Behörden, für einen datenschutzkonformen Umgang mit Bewerbungen ergreifen sollten.

Wieso bei Bewerbungen Datenschutz-Aspekte nicht ignoriert werden dürfen

bildschirmfoto-2016-10-06-um-17-09-38Das Datenschutzrecht greift, wenn personenbezogene Daten erhoben, verarbeitet und genutzt werden, wobei es keine Rolle spielt, ob es sich um bestimmte (blaue Sprechblasen) oder um bestimmbare personenbezogene Daten (grüne Sprechblasen) handelt. Bestimmte personenbezogene Daten, wie der Name, können einer Person direkt zugeordnet werden, wobei bestimmbare personenbezogene Daten, so auch die Telefonnummer, erst unter Zuhilfenahme weiterer Informationen einer Person zugeordnet werden können. Die Vielzahl an personenbezogenen Daten, die in Bewerbungen preisgegeben wird, macht die Thematik „ Bewerbungen Datenschutz “ so wichtig. „Verantwortliche Stellen“ sollten zahlreiche Datenschutz-Anforderungen beachten. Zum einen sollten personenbezogene Daten vor dem Zugriff durch Unbefugte geschützt werden, zum anderen ist sicherzustellen, dass die Löschfrist, die aus § 35 Bundesdatenschutzgesetz (BDSG) resultiert, eingehalten wird.

„ Bewerbungen Datenschutz “ – Erforderliche Maßnahmen

Erheben, verarbeiten und/oder nutzen „verantwortliche Stellen“ personenbezogene Daten, so sollten sie technische und organisatorische Maßnahmen (TOM) ergreifen, um die Anforderungen aus dem BDSG zu erfüllen, vgl. § 9 Satz 1 BDSG und Anlage. Diese technischen und organisatorischen Maßnahmen gliedern sich in einzelne Bereiche (z. B. , Zutrittskontrolle oder Weitergabekontrolle) und sollen vor unbefugten Zugriffen auf sensible Informationen, wie personenbezogene Daten, schützen. Eine Maßnahme, die „verantwortliche Stellen“ unbedingt ergreifen sollten, ist die ordnungsgemäße Entsorgung von Bewerbungsunterlagen. Möchten Sie mehr zu diesem Thema erfahren, dann lesen Sie doch unseren Beitrag „Arbeitgeber aufgepasst! – „ Datenschutz Bewerbungen “ welche Bedeutung hat diese Begriffskombination?“.

Bewerbungsunterlagen sollten allerdings nicht nur vor Zugriffen durch Dritte (Personen außerhalb der „verantwortlichen Stelle“), sondern auch vor Mitarbeitern, die diese Informationen zur Aufgabenerfüllung nicht benötigen, geschützt werden. Das unbefugte Erheben, Verarbeiten und Nutzten personenbezogener Daten innerhalb der „verantwortlichen Stelle“ wäre deshalb ebenfalls zu vermeiden. Dies bedeutet, dass die Mitarbeiter ausschließlich die personenbezogenen Daten erhalten sollten, die sie auch tatsächlich – zur Erfüllung Ihrer Arbeitsaufgaben – benötigen.

Zusätzliche Anforderungen für „verantwortliche Stellen“ könnten sich ergeben, wenn im Internet Plattformen geschaffen werden, die es den Bewerbern ermöglichen, Daten in Formulare einzutragen und Dateien hochzuladen. Ein Zusatzaufwand könnte sich bei Beauftragung eines Dienstleisters, der die Bewerberplattform hostet, ergeben.  Der Grund ist, dass der potentielle Zugriff des Dienstleisters auf personenbezogene Daten als eine Datenübermittlung eingestuft wird. Diese darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage vorliegt oder die Betroffenen zu Erhebung, Verarbeitung und/oder Nutzung zugestimmt haben. In dem benannten Beispiel könnte es sich um eine Auftragsdatenverarbeitung gemäß § 11 BDSG handeln, die zwar einfacher zu bewältigen ist, allerdings sind Maßnahmen zu ergreifen. Das Abschließen eines ADV-Vertrages, die aus Datenschutz-Sicht ordnungsgemäße Dienstleisterauswahl sowie ggf. weitere relevante To-do’s dürfen nicht außer Acht gelassen werden.

„ Bewerbungen Datenschutz “ – Löschfrist für Bewerbungen

Die Löschfrist für Bewerbungen führt in der Praxis regelmäßig zu Streitigkeiten, da in § 35 BDSG nicht klar geregelt ist, wann die Löschung erfolgen sollte. Es wird in § 35 Abs. 2 Nr. 3 BDSG zwar festgelegt, dass die Löschung erfolgen sollte, wenn der Zweck erfüllt wurde, allerdings besteht über die Zweckerfüllung häufig Uneinigkeit.

Grundsätzlich ist der Zweck erfüllt, wenn eine Entscheidung für oder gegen einen Bewerber fiel. Aus diesem Grund müssten die Daten nach Ablehnung gelöscht werden, allerdings könnten abgelehnte Bewerber, vor dem Hintergrund des Allgemeinen Gleichbehandlungsgesetzes (AGG), vor dem Arbeitsgericht – wegen einer unzulässigen Benachteiligung – klagen. Laut § 21 Abs. 5 AGG können Ansprüche innerhalb von zwei Monaten geltend gemacht werden. Vor dem Hintergrund der Möglichkeit eines abgelehnten Bewerbers von diesem Recht Gebrauch zu machen, dürfen Bewerbungen ausnahmsweise länger aufbewahrt werden. Möchte sich somit z. B. ein Unternehmen als „verantwortliche Stelle“ nach Ablehnung eines Bewerbers für den Fall einer Klage schützen, könnten die hierfür erforderlichen personenbezogenen Bewerbungsdaten erst zu einem späteren Zeitpunkt gelöscht werden. Eine Frist von ca. vier Monaten nach Ablehnung wäre anzuraten, da der Bewerber innerhalb von zwei Monaten die Klage beim Arbeitsgericht einreichen kann und es etwas dauern kann bis der Arbeitgeber über die Klage informiert wird. Das Bayerische Landesamt für die Datenschutzaufsicht (BayLDA) schrieb in dem Tätigkeitsbericht von 2011/2012, dass sogar eine Frist von sechs Monaten nach Ablehnung gerechtfertigt sei. Zudem ist dem vorgenannten Tätigkeitsbericht zu entnehmen, dass die Löschung nach § 35 BDSG zwar durchgeführt werden sollte, sich hieraus allerdings kein Anspruch auf eine Bestätigung der Löschung auf Verlangen des Betroffenen ergibt.

Ein zusätzlicher Aufwand ergibt sich für „verantwortliche Stellen“, sofern diese E-Mails archivieren (sogenannte automatisierte E-Mail-Archivierung), da Bewerbungen keinesfalls im Archiv landen sollten. Bei der Wahl der korrekten Dauer der E-Mail-Archivierung sind interne Prozesse und ganz besonders Aufbewahrungsfristen (Aufbewahrungsverpflichtungen) zu berücksichtigen. Dies führt regelmäßig zur Differenzierung in E-Mail-Archivierungs-Gruppen.

Wieso Bewerbungen Datenschutz-Risiken hervorrufen

Für „verantwortliche Stellen“ könnte der falsche Umgang mit Bewerbungen zu nicht unerheblichen Datenschutz-Risiken führen, da der Zugriff durch Unbefugte auf Bewerbungsunterlagen zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen kann. „Verantwortliche Stellen“ sollten aus diesem Grund klare Prozesse aufstellen, technische und organisatorische Maßnahmen ergreifen und Mitarbeiter schulen / sensibilisieren. Ein externer Datenschutzbeauftragter, der über die erforderliche Fachkunde und Zuverlässigkeit verfügt, kann Sie rund um den Datenschutz unterstützen und Sie zu konkreten Themen, wie „ Bewerbungen Datenschutz “ beraten. Geeignete Datenschutzschulungen können für Mitarbeiter durchgeführt werden. Aus diesem Grund sollte keinesfalls an fachkundiger Unterstützung durch einen Datenschutzbeauftragten gespart werden.

Möchte Sie mehr zum Thema „ Bewerbungen Datenschutz “ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Vorabkontrolle Datenschutzbeauftragter “ – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte

Vorabkontrolle DatenschutzbeauftragterTrotz der hohen Verbundenheit der Begriffe „ Vorabkontrolle Datenschutzbeauftragter “ sieht man in der Praxis häufig, dass innerhalb einer „verantwortliche Stellen“ zwar ein interner betrieblicher Datenschutzbeauftragter oder externer Datenschutzbeauftragter bestellt wurde, sich die Verantwortlichen allerdings nicht darüber bewusst sind, dass bestimmte Verfahren vorab zwingend durch den Datenschutzbeauftragten kontrolliert werden sollten. Die sogenannte Datenschutz-Vorabkontrolle darf nicht vergessen werden.

Ihr externer Datenschutzbeauftragter informiert im Folgenden, wann und unter welchen Umständen die sogenannte Vorabkontrolle durch den bestellten Datenschutzbeauftragten und zwar ausschließlich durch diesen „Beauftragten für den Datenschutz“ erfolgen sollte.

„ Vorabkontrolle Datenschutzbeauftragter “ – die hohe Bedeutung für den Datenschutz

Durch das Bundesdatenschutzgesetz (BDSG) sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt, gemäß § 4d Abs. 2 BDSG, wenn innerhalb der „verantwortliche Stelle“ ein interner betrieblicher Datenschutzbeauftragter bzw. externer Datenschutzbeauftragter bestellt wurde. Des Weiteren legt § 4d Abs. 5 BDSG fest, dass für einige automatisierte Datenverarbeitungen eine Vorabkontrolle zu erfolgen hat.

§ 4d Abs. 6 S. 1 BDSG schreibt hierzu das Folgende: „Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor.

Zuständig für die Vorabkontrolle ist damit eindeutig der Datenschutzbeauftragte unter Mitwirkung der verantwortlichen Stelle!!!

Eine Vorabkontrolle ist eine Überprüfung des Datenschutzbeauftragten VOR der automatisierten Datenverarbeitung, dabei ermöglicht sie der „verantwortlichen Stelle“ sich frühzeitig mit den potenziellen Datenschutz-Risiken und Gefahren, die sich durch die automatisierte Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben, zu befassen.

Wann sollte eine Vorabkontrolle stattfinden? Gibt es Situationen bei der eine Vorabkontrolle entfällt?

Wann eine solche Vorabkontrolle stattfinden soll, ist vom Gesetzgeber bestimmt. So besagt der § 4d Abs. 5 BDSG, dass eine solche Kontrolle nur durchzuführen ist, wenn ein automatisches Verfahren „besondere Risiken“ für die Rechte und Freiheiten der davon Betroffenen darstellt. Aber wann stellt die automatisierte Datenverarbeitung ein erhöhtes Risiko dar?

Das erhöhte Risiko wird wird im § 4d Abs. 5 BDSG in zwei Punkten näher erläutert. Nach diesem ist die Vorabkontrolle bei der Verarbeitung von besonderen Arten personenbezogener Daten (§3 Abs. 9 BDSG) sowie bei deren Verwertung, welche Rückschlüsse auf die Fähigkeiten, Leistung oder Verhalten des Betroffenen begründet, sogenannte Verhaltens- und Leistungskontrolle, anzuwenden. Es ist darauf zu achten, dass bereits die bloße Möglichkeit einer Verhaltens- und Leistungskontrolle eine Vorabkontrolle vorsieht. Aus diesem Grund sollten unter anderem Zeiterfassungssysteme und Videoüberwachungsanlagen einer Vorabkontrolle durch den Datenschutzbeauftragten unterzogen werden. Möchten Sie mehr zu Thema Videoüberwachung oder Zeiterfassung erfahren, dann lesen Sie doch unsere Beiträge „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“ oder „Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten“.

In der Praxis liegen weitere Verfahren vor, die ebenfalls einer Datenschutz-Vorabkontrolle unterzogen werden sollten, allerdings ist das Thema „ Vorabkontrolle Datenschutzbeauftragter “ nicht in allen Fällen für „verantwortliche Stellen“ so deutlich erkennbar, wie bei der Videoüberwachung oder Zeiterfassung.

Bezüglich der Voraussetzungen für eine Vorabkontrolle bietet der § 4d Abs. 5 BDSG zwar das Heranziehen des § 3 Abs. 9 BDSG an, welcher erläutert, dass Daten, die eine Vorabkontrolle benötigen, vorliegen, sobald diese im Zusammenhang mit rassischer und ethnischer Herkunft, politischer Meinung, religiöser oder philosophischer Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben stehen.

Diese besonderen Angaben, wie die religiöse Überzeugung und Angaben über die Gesundheit, werden im betrieblichen / behördlichen Alltag häufig im Rahmen der gesetzlich vorgeschriebenen Speicherung der Religionszugehörigkeit für die Ermittlung der Kirchensteuer sowie im Zusammenhang mit dem Betrieblichen Eingliederungsmanagements (BEM) bzw. dem Betrieblichen Gesundheitsmanagements (BGM) erhoben und verarbeitet.

Nach dem § 4d Abs. 5 Nr. 2 BDSG unterfällt ebenso die Verarbeitung personenbezogener Daten, die die Persönlichkeit des Beteiligten bewerten sollen, der Vorabkontrolle. Was unter der Bewertung der Persönlichkeit des Betroffenen zu verstehen ist, kann schwer ermittelt werden, da eine Bewertung immer aus dem eigenen Standpunkt erfolgt und subjektive Tendenzen nicht zu vermeiden sind.  Selbst bei besonderen Arten personenbezogener Daten oder bei personenbezogenen Daten, die eine Verhaltens- und Leistungskontrolle ermöglichen, gibt es noch die Ausnahmen im § 4d Abs. 5 Satz 2 letzter Halbsatz.  Eine Vorabkontrolle kann demnach entfallen, wenn:

  • eine gesetzliche Verpflichtung für die Verarbeitung besteht,
  • die Einwilligung des Betroffenen vorliegt (Achtung Exkurs: Einwilligungen im Kontext des Arbeitsverhältnisses regelmäßig schwierig) oder
  • die Verarbeitung der Daten einem Vertragsverhältnis oder auch vertragsähnlichen Verhältnis dienen.

Im Zweifel über die Erforderlichkeit einer Vorabkontrolle sollte auf fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten (siehe auch Dienstleistung: externer Datenschutzbeauftragter) zurückgegriffen werden.

Was sind die Folgen einer unterlassenen Datenschutz-Vorabkontrolle?

Erfolgt keine Vorabkontrolle, so stellt dies zwar keine Ordnungswidrigkeit oder Straftat, gemäß §§ 43, 44 BDSG dar. Auch bedeutet es nicht, dass eine automatisierte Datenverarbeitung ohne Vorabkontrolle nicht rechtmäßig ist, allerdings ermöglicht sie vorab Fehler festzustellen. Wird erst im Nachgang festgestellt, dass die automatisierte Datenverarbeitung nicht datenschutzkonform erfolgt, da die relevanten Kriterien, wie der Anlass der Datenverarbeitung, die über ein Verbot oder eine Zulässigkeit des Verfahrens entscheiden, nicht eingehalten werden, so muss die „verantwortliche Stelle“ Änderungen vornehmen oder die Verfahren einstellen. Dies führt zumeist zu einem erheblichen Mehraufwand. Des Weiteren ist nicht auszuschließen, dass automatisierte Datenverarbeitungen, wie Videoüberwachungssysteme, unter anderem durch die Aufsichtsbehörde geprüft werden. Wird zum Beispiel festgestellt, dass die „verantwortliche Stelle“ die Mitarbeiter überwacht, so kann dies zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen. Auch auf das „Betriebsklima“ wirken sich Probleme rund um die Videoüberwachung nicht gerade positiv aus. Mitarbeiter sollten daher bestmöglich zu den Hintergründen einer Videoüberwachung informiert werden. Wir bieten unseren Kunden daher die Möglichkeit diese durch die Vorabkontrolle gewonnenen Kenntnisse zu den Mitarbeitern zu transferieren und integrieren diese in einem sehr reduzierten Umfang in unsere Datenschutzschulungen.

Es ist daher für niemanden von Vorteil, wenn ein Verfahren zwar schnell zum Einsatz kommt, jedoch erneuert / stark verändert werden muss, weil Aspekte des Datenschutzes nicht hinreichend beachtet wurden. Beim Einsatz von Videoüberwachungsanlagen kann eine Folge z. B. das Abhängen der zuvor teuer erworbenen und installierten Videokameraanlagen sein.

Neben der Vorabkontrolle sollten „verantwortliche Stellen“ weitere Maßnahmen, wie die Erstellung eines öffentlichen und von internen Verfahrensverzeichnissen (auch als interne Verfahrensübersicht bekannt), ergreifen. Zudem sollte beachtet werden, dass der Betriebsrat bei Verfahren, die eine Leistungs- und Verhaltenskontrolle ermöglichen ein Mitbestimmungsrecht hat, vgl. § 87 Abs. 1 Nr. 6 BetrVG.

Benötigen Sie Informationen zum Thema „ Vorabkontrolle Datenschutzbeauftragter “ bzw. „Datenschutz Vorabkontrolle“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund automatisierte Datenverarbeitungen, wie  Zeiterfassung und Videoüberwachung.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Chef-Trojaner“ – wenn der Arbeitgeber die Grenzen des Arbeitnehmerdatenschutzes (Beschäftigtendatenschutzes) überschreitet

ArbeitnehmerdatenschutzDie zunehmende Digitalisierung kann nicht nur den Arbeitsalltag im Büro erleichtern, sondern viele Risiken im Arbeitnehmerdatenschutz respektive Beschäftigtendatenschutz hervorrufen. Der Grund ist, dass sich für Vorgesetze immer mehr Möglichkeiten zur Verhaltens- und Leistungskontrolle sowie zur Überwachung der Mitarbeiter, mittels technisch gestützter IT-Systeme,  bieten. Es ist hierbei zunächst nebensächlich in welcher sogenannten „Verantwortlichen Stelle“ (z. B. Unternehmen, Behörde , Verein oder Verband) das Problem auftritt.

Das private Surfen deutscher Arbeitnehmer soll, so zumindest die Ansicht zahlreicher Arbeitgeber, verstärkt kontrolliert werden. Der Vorgesetzte könnte sich -dank digitaler Datenströme- jederzeit ein exaktes Bild über die Aktivitäten der Mitarbeiter verschaffen, dabei spielt vielfach keine Rolle, ob der Arbeitnehmer nun im Büro, im Homeoffice oder von unterwegs per Smartphone und Tablet arbeitet.

Gründe für die ansteigende Leistungs- und Verhaltenskontrolle sind zum einen der hohe finanzielle Schaden, der dem Arbeitgeber durch das private Surfen entsteht und andererseits auch Überlegungen im Hinblick auf die sogenannte Störerhaftung, die allerdings abgeschafft werden soll. Ein wesentlich höheres Risiko, das dem Arbeitgeber durch die Privatnutzung droht, ist allerdings der Verlust von sensiblen Daten, wie zum Beispiel von Firmengeheimnissen und personenbezogenen Daten, durch bewusstes oder unbewusstes Fehlverhalten der Mitarbeiter. Zum einen steigt die Gefahr vor Viren, Trojanern und anderen Schadprogrammen zum anderen ist das Risiko höher, dass Mitarbeiter sensible Daten an Unbefugte transferieren könnten. Die technische Entwicklung ist, wie bereits erläutert, ein weiterer Faktor, der die Verhaltens- und Leistungskontrolle verstärkt und den Arbeitnehmerdatenschutz / Angestelltendatenschutz gefährdet.

Doch wie viel Kontrolle ist erlaubt? Wo sind Grenzen im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz?

Wie kann überwacht werden?

Zahlreiche Überwachungsprogramme existieren bereits seit Jahren. Jedoch wurden die Produkte ursprünglich, wie bei der Remote-Desktop-Software, für andere Zwecke entwickelt. Zweck der Remote-Desktop-Software war logischerweise der Einsatz zu Wartungsarbeiten und später, nach der Weiterentwicklung, erst  als „Spion-Software“.

Daneben existieren natürlich zahlreiche weitere Programme, die eine Kontrolle des Arbeitnehmers ermöglichen könnten und damit den Arbeitnehmerdatenschutz gefährden würden. Viele Hersteller werben mit sogenannter Monitoring-Software, die nicht nur Bildschirmaufnahmen ermöglicht, sondern regelmäßig Auswertungen an den Arbeitgeber übersendet. Des Weiteren ist eine Kontrolle mittels Filter-Programmen möglich. Je nach Einstellung könnten hier sogar Screenshots vom Bildschirm des Arbeitnehmers erstellt und an den Vorgesetzen verschickt werden. Kommunikationsdienste, wie zum Beispiel Skype for Business, können ebenfalls – wenn auch nur in einem sehr geringen Umfang – zur Kontrolle und Überwachung beitragen, weil der Vorgesetzte einsehen kann, wer verfügbar ist bzw. wer nicht verfügbar ist. Darüber hinaus tragen viele Mitarbeiter selbst zur erhöhten Kontrolle bei, indem sie verstärkt soziale Medien, wie Facebook, einsetzen. Doch selbst bei der typischen Ausübung ihrer Tätigkeit im Unternehmen hinterlassen die Mitarbeiter digitale Spuren, so können viele Unternehmen mittels GPS-Ortung der Firmen-Fahrzeuge den Aufenthaltsort oder Fahr- und Standzeiten ihrer Mitarbeiter ermitteln.

Für die Installation der Überwachungsprogramme auf dem Computer des Mitarbeiters gibt es mehrere Möglichkeiten. Der Systemadministrator kann die Software zum Beispiel unbemerkt installieren oder der Vorgesetzte sendet eine .EXE-Datei an alle Mitarbeiter, die nur noch ausgeführt werden muss. Durch die Versendung einer Anwendungssoftware und der unbemerkten / ungewollten Installation durch Mitarbeiter würde der Vorgesetze die gleichen Wege nutzen, wie die Versender von sonstiger Schadsoftware. Wer durch geeignete Datenschutzschulungen sensibilisiert ist, der dürfte auf eine solche „Masche“ natürlich nicht reinfallen.

Das der Arbeitnehmer nichts von der Installation und Ausführung merkt, ist sogar eine Eigenschaft, die von vielen Herstellern explizit beworben wird.

Was sagt der Arbeitnehmerdatenschutz?

In Hinblick auf den Beschäftigtendatenschutz greift § 32 BDSG für Beschäftigtendaten bzw. Arbeitnehmerdaten. Der richtige Umgang mit den betrieblichen Computern, den Handys und des WLANs bedarf allerdings klar definierter innerbetrieblicher Vorgaben. Diese Vorgaben können sich z. B. aus Arbeitsanweisungen, Betriebsvereinbarungen, Richtlinien oder sonstigen – bestenfalls schriftlichen –  Unterlagen ergeben. Derartige Maßnahmen sind anzuraten, da zu all diesen Themen für die Beschäftigten klare und verständliche rechtliche Regelungen weitestgehend fehlen. Viele Arbeitgeber versuchen den Umgang mit personenbezogenen Daten der Mitarbeiter im Zusammenhang mit der Internetnutzung durch klare und zur Transparenz beitragende Betriebsvereinbarungen zu regeln. In Unternehmen ohne Betriebsrat herrscht hingegen regelmäßig Chaos und Unstimmigkeit. Bei dem Betriebsrat handelt es sich um eine Kontrollinstanz, die auch auf die Einhaltung des Beschäftigtendatenschutzes hinwirkt. Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei einer technischen Einrichtung, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglicht, ein Mitbestimmungsrecht. Binden Sie als Firma daher frühzeitig Ihren Betriebsrat, als Behörde Ihren Personalrat und in sozialen Einrichtungen Ihre Mitarbeitervertretung (MAV) ein und schaffen Sie verständliche Vorgaben. Eine gute Zusammenarbeit mit Ihrem Datenschutzbeauftragten ist dabei absolut empfehlenswert.

Darf der Chef zusehen?

Um diese Frage zu beantworten, muss geprüft werden, welche Art der Internetnutzung vorliegt. Grundsätzlich sind drei Arten der Internetnutzung zu differenzieren:

  1. Betriebliche Nutzung

Um diese Art der Nutzung handelt es sich, wenn ein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht. Der Arbeitnehmer schreibt zum Beispiel E-Mails, um mit Kunden geschäftliche Angelegenheiten zu erörtern.

  1. Dienstlich veranlasste Nutzung

Diese könnte vorliegen, wenn ein Arbeitnehmer seinen Ehepartner kontaktiert, um ihm mitzuteilen, dass er sich aufgrund seiner Arbeit verspäten wird.

  1. Private Nutzung

Eine private Nutzung liegt vor, wenn kein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht.

Um die private Internetnutzung im Unternehmen zu regeln, bestehen für den Arbeitgeber verschiedene Formen von Nutzungsregelungen:

  1. Verbot

Wurde durch den Arbeitnehmer ein Verbot der privaten Internetnutzung am Arbeitsplatz ausgesprochen, unterliegt der Arbeitgeber auch nicht dem Fernmeldegeheimnis des § 88 Telekommunikationsgesetzes (TKG). Der Arbeitgeber darf in diesem Fall stichprobenartig prüfen, ob das Surfen der Arbeitnehmer dienstlicher Natur ist, wobei eine vollständige Verhaltens- und Leistungskontrolle des Arbeitsnehmers auch bei einem Verbot untersagt ist. Heißt: bestmöglich nur Kontrollen in der Kombination Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter.

  1. Ausdrückliche Erlaubnis

Bei einer erlaubten Privatnutzung tritt der Arbeitergeber als Telekommunikationsanbieter auf und muss sich an Telekommunikationsgesetz, folglich an das Fernmeldegeheimnis, gemäß § 88 TKG, halten. In diesem Fall sollte der Arbeitgeber weder Verbindungsdaten noch den E-Mail-Verkehr einsehen. Dies gilt sogar, wenn der Mitarbeiter (ungeplant) für einige Wochen/Monate ausfällt oder das Beschäftigungsverhältnis beendet wird. Zudem darf der Arbeitgeber nicht auf die E-Mail-Postfächer und die Verbindungsdaten zugreifen, sogar bei Einwilligung des Arbeitnehmers. Der Grund ist, dass das Fernmeldegeheimnis nicht nur den Arbeitnehmer schützen soll, sondern auch die Kommunikationspartner.  Heißt: Vor sämtlichen Maßnahmen unbedingt  eine Abstimmung zwischen Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter durchführen.

  1. Duldung

Eine sehr kritische Konstellation stellt die Duldung der privaten Internetnutzung durch den Arbeitgeber dar. Sollte die private Nutzung für den Arbeitgeber erkennbar sein und offensichtlich geduldet werden, entsteht nach einer Zeit von ca. 6-12 Monaten regelmäßig eine sogenannte betriebliche Übung. Diese kann zur Folge haben, dass der Arbeitnehmer auch in Zukunft das Internet zu privaten Zwecken nutzen darf. Das Beenden einer betrieblichen Übung, wenn es zu einer Verschlechterung für den Arbeitnehmer führt, ist in der Praxis gar nicht so einfach. Das Bundesarbeitsgericht (BAG) entschied, dass eine betriebliche Übung nicht mittels gegenläufiger betrieblicher Übung (BAG, Urteil vom 18.03.2009, Az.: 10 AZR 281/08) beseitigt werden kann. Zudem entschied das BAG im Urteil vom 05.08.2009, dass eine Betriebsvereinbarung, in der nicht klar formuliert ist, dass die betriebliche Übung mit der Vereinbarung beendet werden soll, zu keiner Beseitigung führt (Az.: 10 AZR 483/08).

Bei einer Duldung der privaten Nutzung muss sich der Arbeitgeber ebenfalls an das Fernmeldegeheimnis, gemäß § 88 TKG, halten und darf weder die Verbindungsdaten noch den E-Mail-Verkehr einsehen.

Soweit der Arbeitgeber die private Nutzung des Internets am Arbeitsplatz gestattet hat, darf er diese nicht kontrollieren. Das Überwachen des E-Mail-Verkehrs, der Browserverlaufs oder anderer Verbindungsdaten ist bei erlaubter oder geduldeter Privatnutzung untersagt, sonst würde er die Privatsphäre seiner Mitarbeiter verletzen. Insbesondere die informationelle Selbstbestimmung der Mitarbeiter (Arbeitnehmerdatenschutz) sollte gewahrt werden, denn jeder Mensch soll selbst darüber entscheiden, welche personenbezogenen Daten er preisgeben möchte. Bei der Kontrolle der privaten Internetnutzung könnte der Arbeitgeber, ohne Einwilligung des Mitarbeiters und ohne gesetzlicher Grundlage, eine Vielzahl an persönlichen Daten erheben und verarbeiten. Das Fernmeldegeheimnis soll die freie Persönlichkeitsentfaltung gewährleisten. Hierdurch sind sowohl der Inhalt, die näheren Umstände und die beteiligten Personen des Kontakts erfasst, § 88 Abs. 1 S. 1 TKG.

Ist die private Internet-Nutzung durch den Arbeitgeber nicht gestattet, ist es ihm unter bestimmten Voraussetzungen erlaubt Mitarbeiter zu überwachen. Dies wird damit begründet, dass eine unerlaubte private Internet-Nutzung letztlich einen Missbrauch der Arbeitszeit bedeutet. Um dem entgegenzuwirken, ist eine stichprobenartige Überprüfung durch den Arbeitgeber zulässig. Eine permanente Überwachung als eine Art elektronische Verhaltens- und Leistungskontrolle ist aber unter keinen Umständen erlaubt. Sind Prozesse geplant, die eine Leistungs- und Verhaltenskontrolle ermöglichen, so hat der Betriebsrat, gemäß § 87 Abs. 1 Nr. 6 BetrVG, ein Mitbestimmungsrecht und der Datenschutzbeauftragte sollte ebenfalls einbezogen werden. Laut § 4d Abs. 5 BDSG sollten Verfahren, die eine Verhaltens- und Leistungskontrolle ermöglichen durch den Datenschutzbeauftragten vorab kontrolliert werden (sogenannte Vorabkontrolle).

Eine stichprobenartige Kontrolle bei untersagter Internetnutzung sollte, wie bereits erwähnt, ebenfalls nur unter Anwesenheit eines Betriebsratsmitglieds und des Datenschutzbeauftragten erfolgen. Klare Prozesse, die Abstimmungen und gute Zusammenarbeit fordern, sind gefragt.

Strafbarkeit bei Fehlverhalten?

Der Arbeitgeber kann – wie bereits erläutert – durch die ausdrückliche Erlaubnis zur privaten Internetnutzung, rechtlich gesehen zum Anbieter von Telekommunikationsdienstleistungen werden. In diesem Fall unterliegt der Arbeitgeber dem Fernmeldegeheimnis, § 88 TKG. Dies kann erhebliche Konsequenzen mit sich bringen. Der Zugriff auf Inhalte privater E-Mails könnte ggf. zum einen als Ausspähen von Daten nach § 202 a Strafgesetzbuch (StGB) gewertet werden und damit zu einer Geldstrafe oder sogar einer Freiheitsstrafe von bis zu drei Jahren führen. Werden zudem Inhalte blockiert, wie zum Beispiel private E-Mails mittels Spam-Filter, oder teilt der Arbeitgeber die gewonnenen Informationen mit weiteren Personen, greift § 206 StGB. Eine Verletzung des Fernmeldegeheimnisses kann, laut § 206 StGB, zu einer Geldstrafe oder zu einer Freiheitsstrafe von bis zu fünf Jahren führen. Folge ist, dass der Arbeitgeber die näheren Umstände von Seitenaufrufen seitens seiner Arbeitnehmer in der Regel nicht mehr protokollieren und E-Mails nicht einsehen, filtern oder archivieren dürfte.

Der Arbeitgeber darf als Kommunikationsanbieter, gemäß § 100 Abs. 1 TKG, bei Störungen oder Fehlern auf Verkehrsdaten zurückgreifen. Der Zugriff auf die Daten sollte allerdings ausschließlich zum Erkennen und Beseitigen der Fehler erfolgen. Eine unzulässige Verwendung kann, gemäß § 149 Abs. 1 Nr. 16 und Abs. 2 Nr. 2 TKG, zu einem Bußgeld von bis zu 300.000 Euro führen.

Sind Sie innerhalb Ihres Unternehmens auf eine derartige Situation gestoßen und wissen Sie nicht, wie Sie verhalten sollen? Als erster Ansprechpartner sollte Ihr Datenschutzbeauftragter dienen. Falls Sie diese Funktion noch nicht besetzt haben, fordern Sie doch gleich ein unverbindliches Angebot an oder nehmen Sie direkt Kontakt zu uns auf.

Als externer Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema des Angestelltendatenschutzes / Beschäftigtendatenschutzes /Arbeitnehmerdatenschutz.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten

Zeiterfassung Datenschutz„ Zeiterfassung Datenschutz “ sind häufig diskutierte Themen, die in der Praxis zu vielen Fragen und zu hohen Risiken für „verantwortliche Stellen“ führen können.

Grundsätzlich gilt, dass die Zeiterfassung nicht verteufelt werden sollte, da sie zahlreiche Vorteile sowohl für den Arbeitnehmer als auch für den Arbeitgeber birgt, allerdings sollten sich „verantwortliche Stellen“ vor der Einführung der Zeiterfassung an einen Datenschutzbeauftragten wenden, da vorab einige Kontrollen durchgeführt und Maßnahmen ergriffen werden müssen.

Wieso Sie besser einen Datenschutzbeauftragten kontaktieren sollten und wie Sie die Themen „Zeiterfassung Datenschutz“ unter einen Hut bekommen, berichtet Ihr externer Datenschutzbeauftragter.

Wieso Sie bei der Zeiterfassung Datenschutz nicht außer Acht lassen sollten

Erfasst ein Unternehmen, eine Behörde oder eine andere „verantwortliche Stelle“ die Arbeitszeiten der Mitarbeiter, so greift das Datenschutzrecht. Der Grund ist, dass mittels Zeiterfassungssysteme personenbezogene Daten erhoben, verarbeitet und genutzt werden können.

Bei personenbezogenen Daten handelt es sich, gemäß § 3 Bundesdatenschutzgesetz (BDSG), um Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ist die Rede von bestimmten personenbezogenen Daten, so meint man Daten, die einer Person direkt zugeordnet werden können, wie der Name. Bei bestimmbaren Daten handelt es sich um personenbezogene Daten, die einer natürlichen Person nicht direkt, allerdings unter Zuhilfenahme einer weiteren Information oder Informationsquelle (z. B. einer Liste) zugeordnet werden können, wie zum Beispiel die Personalnummer.

Bei der Erfassung der Mitarbeiterzeiten sollte deshalb beachtet werden, dass im Datenschutzrecht das „Verbot mit Erlaubnisvorbehalt“ gilt, wodurch jegliche Erhebung, Verarbeitung und Nutzung, außer die basiert auf einer Rechtsgrundlage oder einer „informierten Einwilligung“, verboten ist.

Zulässigkeit der Zeiterfassung

Bevor Zeiterfassungssysteme eingeführt werden, sollte die „verantwortliche Stelle“ prüfen,

  • welche Daten,
  • für welchen Zweck,
  • und wie lange

erfasst werden dürfen und wer auf diese Daten zugreifen darf.

Des Weiteren sollten sie spätestens an diesem Punkt einen fachkundigen und zuverlässigen Datenschutzbeauftragten einschalten. Der Datenschutzbeauftragte, intern oder extern bestellt, sollte die geplante Zeiterfassung vorab prüfen, sogenannte Vorabkontrolle. Die Verpflichtung zur Vorabkontrolle ist in § 4 d BDSG aufgeführt. Gemäß der Vorschrift sollten automatisierte Datenverarbeitungen, wenn sie besondere Risiken für Betroffene aufweisen, durch einen Datenschutzbeauftragten vor Beginn der Datenverarbeitung geprüft werden.  Ganz besondere hohe Risiken könnten sich z. B. bei der (geplanten) Installation einer biometrischen Zeiterfassung ergeben, die üblicherweise mittels Fingerscan- bzw. Fingerprintsystem erfolgt. „Irgendwo“ muss daher systemseitig der Fingerabdruck aller Mitarbeiter hinterlegt sein. Selbst für Außenstehende mit stärkeren Berührungspunkten zum Datenschutz wird hierbei klar, dass ein derartiges Verfahren nicht ohne Weiteres eingeführt werden kann und zumindest Prüfschritte notwendig sind.

Im Rahmen der Vorabkontrolle muss der Datenschutzbeauftragte prüfen, ob die (geplante) Datenerhebung, -verarbeitung und -nutzung datenschutzkonform ist, wobei der Datenschutzbeauftragte ähnliche Beurteilungskriterien, wie bei der Videoüberwachung heranzieht. Möchten Sie mehr zum Thema „Videoüberwachung“ erfahren, dann lesen Sie doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Ebenso, wie bei der Videoüberwachung, ist oft nur ein schmaler Grat zwischen dem Verbot und der Zulässigkeit, weswegen die Systeme genauestens geprüft werden sollten. Zudem ist das Erstellen einer:

  • Richtlinie zur Zeiterfassung (Richtlinie Zeitwirtschaft)
  • Betriebsvereinbarung zur Zeiterfassung (Betriebsvereinbarung Zeitwirtschaft)
  • Dienstvereinbarung zur Zeiterfassung (Dienstvereinbarung Zeitwirtschaft)

dringend anzuraten. Diese Vereinbarungen fördern zum einen die Transparenz, wodurch die betroffenen Mitarbeiter wissen, wer Zugriff auf welche Daten hat. Des Weiteren überblicken Führungskräfte und der Arbeitgeber, auf welche Daten sie für welchen Zweck und für wie lange zugreifen dürfen. Positiver und nicht zu verachtender Nebeneffekt: Verantwortliche Stellen, gleich ob es sich um kleine, mittlere oder große Unternehmen, Behörden oder Konzerne handelt, beschäftigen sich oft erst richtig mit den Anforderungen an eine Zeiterfassung, sobald Ihr betrieblicher oder behördlicher Datenschutzbeauftragter nebst (wenn vorhanden) Betriebsrat (respektive Mitarbeitervertretung / Personalvertretung) gemeinsam mit der Geschäftsleitung oder deren Vertretern an einem Tisch sitzen. Die „Betriebsvereinbarung Zeiterfassung“ sowie die damit verbundenen Zwecke werden thematisiert und im Ergebnis wird sich auf Eckpunkte abgestimmt und niedergeschrieben.

Haben Sie weitere Fragen zur Thematik „Zeiterfassung Datenschutz“ oder benötigen Sie Hilfe bei der Erstellung von Betriebsvereinbarungen, Dienstvereinbarungen oder Richtlinien? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?

Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema Zeiterfassung, Videoüberwachung oder generell im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz bzw. Personaldatenschutz.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Beschäftigtendatenschutz und Briefgeheimnis in Unternehmen – Wann darf die Post geöffnet werden?

Briefgeheimnis in UnternehmenKaum werden Mitarbeiter beschäftigt kommt die Frage über das Briefgeheimnis in Unternehmen auf. Es ist hierbei absolut nebensächlich, ob es sich um Unternehmen (von der kleinen Firma bis zum großen Konzern), Behörden, Vereine oder sonstige sogenannte Verantwortliche Stellen handelt. Eingehende Briefe werden regelmäßig von einem Mitarbeiter bzw. der Poststelle geöffnet und an die Kollegen ausgegeben bzw. weitergeleitet. Die geöffnete Post durchläuft hierbei schnell eine Vielzahl an Stationen im Hause des Arbeitgebers bis sie dann schließlich irgendwann im Postfach oder auf dem Schreibtisch des Empfängers landet.  Der Zugriff bzw. die Einsicht in die Post durch die Mitarbeiter oder die Geschäftsführung und das Aufbewahren der Post in offenen Postfächern führen oftmals zu Konflikten, da Unbefugten bzw. Nicht-Berechtigten der Zugriff auf personenbezogene Daten, vertrauliche Daten sowie Betriebsgeheimnisse viel zu leicht ermöglicht wird.

Wissen Sie, welchen Weg die Post in Ihrem Hause durchläuft?

Der Grund für entstehenden Streitigkeiten kann z. B. das Briefgeheimnis sein. Gemäß Artikel 10 des Grundgesetzes (GG) ist das Briefgeheimnis unverletzlich, wobei das unbefugte Öffnen und die unbefugte Kenntnisnahme eines Briefes oder eines anderen Schriftstücks, laut § 202 Strafgesetzbuch (StGB),  zu einer Geld- oder Freiheitsstrafe von einem Jahr führen können. Um gegen § 202 StGB zu verstoßen, reicht das bloße Öffnen des Briefes oder eines anderen Schriftstücks. Aus diesem Grund ist die Wahrung des Briefgeheimnisses, Unternehmen, Vereinen, Behörden sowie anderen verantwortlichen Stellen sowie ihren Beschäftigten dringendst anzuraten. In der Praxis sind sich Arbeitgeber und Arbeitsnehmer allerdings oft uneinig, wann das Öffnen erlaubt bzw. rechtswidrig ist.

Die Adressierung der Post ist entscheidend!

Bei der Entscheidung, ob ein Brief oder ein anderes Schriftstück geöffnet werden darf, spielt zunächst die Adressierung des Briefes eine große Rolle.

Unsere Berater greifen auf das „Ampelsystem“ nicht nur für die Tätigkeitsberichte des externen Datenschutzbeauftragten, sondern auch für Berichte eines Datenschutzaudits zurück.  Einen Auszug der Ampel „rot“ – „Finger weg“ und grün – „alles im grünen Bereich“ haben wir für die nachfolgenden Handlungsempfehlungen für Sie verwendet.

Bildschirmfoto 2016-08-15 um 12.28.12Richtet sich die Post an das Unternehmen, wie in dem aufgeführten Beispiel, so können die Briefe bzw. Schriftstücke ohne Bedenken von dem zuständigen Mitarbeiter bzw. der Posteingangsstelle geöffnet werden.

Bildschirmfoto 2016-08-15 um 12.28.22Das zweite Beispiel sollte in der Praxis ebenfalls zu keinen bzw. wenigen Konflikten führen, da in diesen Fällen das Öffnen üblich ist und der aufgeführte Name lediglich als Hilfestellung für die interne Verteilung der Briefe bzw. Schriftstücke angesehen wird.

Bildschirmfoto 2016-08-15 um 12.28.32Steht der Empfänger über dem Unternehmen, so wird häufig erwartet, dass die Briefe dem Empfänger ungeöffnet überreicht werden. Aus dem Urteil des Landgerichts Hamm vom 19. Februar 2003 (Az.  14 Sa 1972/02) geht allerdings hervor, dass die Post ohne einen Vertrauensvermerk, wie zum Beispiel „persönlich“, geöffnet werden kann.

Bildschirmfoto 2016-08-15 um 12.28.41Auch der Vermerk „zu Händen“ bzw. „z. Hd.“ schützt nicht vor dem Öffnen. Briefe mit dem Vermerk, der zur Erleichterung der Verteilung dient, dürfen vom zuständigen Mitarbeiter bzw. der Poststelle geöffnet werden. (LG Arnsberg, Urteil vom 27. Oktober 1989 – 1 O 367/89)

Bildschirmfoto 2016-08-15 um 12.28.49Bei der Adressierung mit dem Hinweis „care off“, kurz „c/o“, bzw. „per Adresse“, kurz „p. Adr.“, ist vom Öffnen der Post abzuraten. Der Vermerk lässt sich zwar nicht eindeutig zuordnen, allerdings sollte von einem privaten Vorhaben des Absenders ausgegangen werden.

Bildschirmfoto 2016-08-15 um 12.29.02Briefe und weitere Schriftstücke mit Vertraulichkeitsvermerken, wie „Persönlich“, „Vertraulich“, „Privat“ etc.  sollten ebenfalls ungeöffnet ausgehändigt werden. Beim Öffnen der Briefe liegt in diesem Fall ein klarer Verstoß gegen das Briefgeheimnis vor (LAG Hamm, Urteil vom 19. Februar 2003, Az. 14 Sa 1972/02).

Des Weiteren sollten Briefe bzw. andere Schriftstücke, die zum Beispiel an den Betriebsrat, die Personalabteilung, den Betriebsarzt gerichtet sind, ebenfalls nicht durch andere Mitarbeiter, z. B. in der Poststelle, geöffnet werden, da diese sensible Daten enthalten könnten (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz bzw. Personaldatenschutz). Darüber hinaus sollten auch Mitarbeiter der Poststelle auf das Datengeheimnis, gemäß § 5 Bundesdatenschutzgesetz (BDSG), verpflichtet werden.

Benötigen Sie Unterstützung bei der Verpflichtung auf das Datengeheimnis gemäß § 5 BDSG oder bei einer Verpflichtungserklärung auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG)? Gerne stehen Ihnen unsere Berater als externer Datenschutzbeauftragter oder Datenschutzberater unterstützend und bedarfsgerecht zur Seite. Nehmen Sie Kontakt zu uns auf oder fordern Sie bequem ein unverbindliches Datenschutz-Angebot an.

Nach Öffnen der Post sollte zudem sichergestellt werden, dass die Briefe dem Empfänger, ohne Einsicht durch Dritte (Unbefugte), übergeben werden. Es sind geschlossene Postfächer zu empfehlen, da mit dieser Maßnahme der Zugriff auf sensible Daten/Informationen erschwert und somit Risiken minimiert werden können. Hierdurch ist es nicht nur leichter das Briefgeheimnis zu wahren, sondern generell etwas für mehr Datenschutz zu erreichen.

Schutz der elektronischen Post (E-Mail)

Neben dem Briefgeheimnis sieht der Gesetzgeber einen Schutz für die elektronische Post vor. Erlaubt oder duldet der Arbeitsgeber eine Privatnutzung des dienstlichen E-Mail-Postfachs, so tritt er als Telekommunikationsanbieter auf und muss sich an das Fernmeldegeheimnis, gemäß § 88 TKG halten. Das Fernmeldegeheimnis ist, laut § 10 GG, wie das Post- und Briefgeheimnis unverletzlich. Aus diesem Grund darf der Arbeitgeber bei der erlaubten oder geduldeten Privatnutzung unter anderem nicht auf die E-Mail-Postfächer der Mitarbeiter zugreifen.

Wird bei Ihnen jegliche Post vom Personal der Poststelle geöffnet oder habe Sie Fragen zur Privatnutzung des dienstlichen E-Mail-Postfachs? Dann nehmen Sie Kontakt zu uns auf.

Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

 

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Arbeitgeber aufgepasst! – „ Datenschutz Bewerbungen “ welche Bedeutung hat diese Begriffskombination?

Datenschutz BewerbungenDie Verbundenheit der Begriffe „ Datenschutz Bewerbungen “ wird von Arbeitgebern – trotz der hohen Bedeutung – häufig  schlichtweg ignoriert, vergessen oder falsch behandelt.

Zum Erschrecken der verantwortlichen Stellen (potenziellen Arbeitgeber) entstehen hierdurch allerdings regelmäßig, insbesondere bei Datenschutz-Verletzungen, Debatten über den richtigen Umgang mit Bewerbungsunterlagen. Bereits mehrfach fanden sich Meldungen in Medien, gleich durch Veröffentlichung in Zeitungen, Zeitschriften oder im Internet.

Am 10.08.2016 titelte beispielsweise die Kölner Express (www.express.de) : „Hallo, Datenschutz? Pulheimer findet Bewerbungsmappen einer Versicherung im Müll.

Ein Einwohner der Stadt Pulheim bei Köln fand klar erkennbare Bewerbungsunterlagen eines Unternehmens im Müll. Folglich wurden die Unterlagen nicht zurückgesendet, zerstört bzw. sicher vernichtet. Ähnliche Meldungen betrafen in der Vergangenheit zahlreiche Bereiche/Branchen, angefangen von Unternehmen und Universitäten bis hin zum Bundestag, da sie alle bereits für derartige Datenpannen verantwortlich waren.

Gelangt eine solche Panne an die Öffentlichkeit, so müssen sich „verantwortliche Stellen“ auf Bußgelder und auf einen erheblichen Imageverlust einstellen. Aus diesem Grund ist es Arbeitgebern anzuraten, neben den zahlreichen Anforderungen, die sie an Bewerber stellen, eine wesentliche Anforderung an sich selbst, den DATENSCHUTZ, nicht außer Acht lassen. Denn immer dann, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, greift das Datenschutzrecht. Ein Bewerber soll darauf vertrauen können, dass seine Bewerbungsdaten zum Zwecke der Bewerbung verwendet werden. Aus diesem Grund versendet er die Bewerbung und hierauf sollte dieser vertrauen können. Gleiches gilt bei einer Einstellung. Der Beschäftigtendatenschutz und Bewerberdatenschutz sollte berücksichtigt werden. Doch was ist darunter zu verstehen?

Wieso Datenschutz Bewerbungen („Beschäftigtendatenschutz“) schützt?

Erhebt, verarbeitet und nutzt ein Unternehmen, eine Behörde etc. personenbezogene Daten, wie sie in einer großen Menge in Bewerbungen zu finden sind, so tragen sie die Verantwortung für die Daten und müssen diese vor dem Zugriff durch Unbefugte schützen. Der Begriff „Unbefugte“ sollte dabei breit gefasst werden, da nicht nur Dritte, Personen außerhalb der „verantwortliche Stelle“, keinen Zugriff auf Bewerbungsunterlagen erhalten sollten, sondern auch interne Mitarbeiter, die diese Daten nicht zur Aufgabenerfüllung benötigen. Grundsätzlich gilt, dass der berechtigte Kreis, der auf die Bewerbungsmappe zu greifen darf, möglichst klein gehalten werden sollte.

Neben dem berechtigten Kreis, der auf die Daten zugreifen darf, sollte eine „verantwortliche Stelle“ die Löschung der Bewerbungsunterlagen im Blick behalten, sofern eine Rücksendung der Bewerbungen ausgeschlossen wurde. Im Wesentlichen spielen zwei Kriterien eine große Rolle:

  • Wann sollen Bewerbungsunterlagen aus Datenschutz-Sicht gelöscht werden?
  • Wie sollen Bewerbungsunterlagen datenschutzkonform gelöscht werden?

WANN sollten die Unterlagen gelöscht werden?

Im Datenschutz gilt, dass personenbezogene Daten nach Zweckentfall unmittelbar gelöscht werden sollen. Der Zweck ist dabei häufig an gesetzliche Aufbewahrungsfristen gebunden. Bei Bewerbungen sollte im Hinblick auf die Aufbewahrungsfrist berücksichtigt werden, wie lange die „verantwortliche Stelle“ benötigt, um sich für oder gegen einen Bewerber zu entscheiden. Wurde der Bewerber abgelehnt, entfällt der Zweck. Möchte sich die „verantwortliche Stelle“ gegen mögliche Klagen der abgelehnten Bewerber schützen, wäre nach Ablehnung des Bewerbers eine angemessene Aufbewahrungsdauer denkbar. Auch bei der E-Mail-Archivierung sollte die kürzere Aufbewahrungsdauer der Bewerbungen berücksichtigt werden. Für Fragen sollten Sie sich unbedingt an Ihren Datenschutzbeauftragten wenden.

WIE sollten Unterlagen gelöscht werden?

shredderBewerbungsunterlagen sind nach Zweckentfall (wenn eine Rücksendung nicht vereinbart bzw. ausgeschlossen wurde) ordnungsgemäß zu vernichten, wobei das Entsorgen der vollständigen Unterlagen im Müll oder Container ohne weitere Maßnahmen zu ergreifen, NATÜRLICH NICHT als ordnungsgemäß gilt.

Handelt es sich um Unterlagen in Papierform, so sollten die personenbezogenen Daten, die sich darauf befinden, unkenntlich gemacht werden, wobei das Zerstören mittels Schredder (mit angemessener Sicherheitsstufe) zu empfehlen ist. Kann oder möchte eine „verantwortliche Stelle“ dies nicht selbst durchführen, so wäre ein sogenannter Entsorgungsdienstleister zu beauftragen. (Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung und die Kontrolle des Dienstleisters durch Ihren Datenschutzbeauftragten ist dringendst anzuraten.) Sofern Sie Fragen zur Auswahl eines geeigneten Dienstleister haben, nehmen Sie Kontakt zu uns auf.

Bewerbungsunterlagen, die per E-Mail oder über ein Bewerbungsportal eingereicht wurden, sind ebenfalls zu löschen. Es sollte, wie bereits erläutert, sichergestellt werden, dass Bewerbungen nicht archiviert werden.

Notwendige Maßnahmen zum Schutz der Bewerbungen („Beschäftigtendatenschutz“) im Überblick

  • Keine Entsorgung der Bewerbungsunterlagen im Müll/Container, ohne Mappen zu zerstören
  • Zerstören bzw. vollständige Vernichtung der Unterlagen in Papierform mittels Schredder oder Entsorgungsdienstleister
  • Vor Zugriff durch Dritte schützen (u. a. Büro verschließen, Unterlagen im Schrank verschließen)
  • Zugriff nur für kleinen Kreis im Unternehmen ermöglichen
  • Nach Zweckentfall löschen
  • Nicht archivieren

Sie haben weitere Fragen zur Handhabung mit Bewerbungen oder möchten mehr über Datenpannen, die E-Mail-Archivierung etc. erfahren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten?

human-109103_640Die Thematik der Videoüberwachung hat in den vergangenen Jahren, insbesondere durch die rapide technische Entwicklung, stetig zugenommen. Mit dem heutigen Stand der Technik ist es uns bereits möglich, jederzeit hochauflösende Videos mit unseren Smartphones aufzunehmen und diese haben wir selbstverständlich nahezu immer zur Hand. Auch der Einsatz von Drohnen und sogenannten Dashcams steigt kontinuierlich.  Neben dem verstärkten privaten Einsatz von Videokameras hat die Verwendung von Videoüberwachungsanlagen auf öffentlichen Plätzen (i. d. R. durch oder für Behörden) sowie durch Unternehmen (Firmen / Konzerne) Vereine und Stiftungen zugenommen.

Mehrfach wurden in der Presse sogenannte Datenschutz-Affären bzw. Datenschutz-Skandale, bei denen das eigene Personal und Kunden überwacht wurden, aufgerollt. Dies brachte den Unternehmen, neben teuren Bußgeldern, erhebliche Imageverluste ein. Umso wichtiger ist es, dass sich die verantwortlichen Stellen (die verantwortliche Firma, Behörde, ein Verein, eine Körperschaft oder Stiftung) vor dem Einsatz von Videoüberwachungstechnik ausreichend mit dieser Thematik auseinandersetzen. Die geplanten Maßnahmen sollten durch den bestellten Datenschutzbeauftragten im Zuge der Vorabkontrolle auf Datenschutzkonformität (Verhältnismäßigkeit) geprüft werden.

Vorabkontrolle durch den Datenschutzbeauftragten

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss gemäß § 4d Abs. 5 Bundesdatenschutzgesetz (BDSG) vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Wichtige Kriterien zur Beurteilung der Zulässigkeit

Gerade bei der Videoüberwachung ist nur ein schmaler Grat zwischen dem Verbot und der Zulässigkeit. Die Beurteilung, ob Videoüberwachungsmaßnahmen zulässig sind und in welcher Form, kann deshalb nur in Abhängigkeit von den Umständen und Gegebenheiten erfolgen. Wichtige Beurteilungskriterien sind in diesem Zusammenhang

  • der Ort, an dem die Videoüberwachung stattfindet / stattfinden soll,
  • der Anlass (Zweckbestimmung) für die Videoüberwachung,
  • ob es sich um eine offene oder heimliche Überwachung handelt/handeln soll und
  • welcher Personenkreis von der Überwachung betroffen ist.

Unwichtig ist in diesem Zusammenhang zunächst, ob es sich um eine tatsächliche Videoüberwachung handelt, da auch der Einsatz von Kameraattrappen geprüft werden muss.

Der Ort der Überwachung ist dabei maßgebend, ob § 6 oder § 32 des Bundesdatenschutzgesetzes greift, wobei zwischen öffentlich zugänglichen und nicht-öffentlich zugänglichen Räumen unterschieden wird.  Ist die Rede von öffentlich zugänglichen Räumen, so sind Stellen gemeint, die der Öffentlichkeit zugänglich gemacht werden. Öffentlich zugängliche Räume sind zum Beispiel Fußwege, Empfangsbereiche oder Kaufhäuser. Räume ohne Publikumsverkehr, wie zum Beispiel Büroräume oder andere Betriebsflächen bzw. –räume, die einer Zugangskontrolle unterliegen, sind wiederum nicht-öffentlich zugängliche Räume. Auch Parkplätze oder Betriebsgelände ohne Einfriedung, die zwar von Jedem betreten werden könnten, jedoch mit Hinweis „Nur für Mitarbeiter“ versehen sind, zählen zu den nicht-öffentlich zugänglichen Räumen.

Neben der bereits erläuterten Unterscheidung der Räume spielt die Tatsache, ob es sich um eine offene oder verdeckte Überwachung handelt, eine große Rolle. Grundsätzlich gilt eine verdeckte Überwachung, sei es in öffentlich oder nicht-öffentlich zugänglichen Räumen, als unzulässig.  Aus diesem Grund ist es wichtig, dass Betroffene ausreichend, z. B. durch geeignete Hinweisschilder, auf die Videoüberwachung aufmerksam gemacht werden.

Ist eine Videoüberwachung angedacht, so ist der Zweck klar zu formulieren und zu dokumentieren. Ein Verfahrensverzeichnis sollte angefertigt und eine Betriebsvereinbarung geschlossen werden.  Neben dem Datenschutzbeauftragten, der vorab eine Kontrolle der Anlagen durchführen sollte, ist es Unternehmen dringendst anzuraten, den Betriebsrat, sofern vorhanden, zu involvieren. Der Betriebsrat hat, gemäß § 87 Abs. 1 Nr. 6 BetrVG, bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle des Personals ermöglichen, ein Mitbestimmungsrecht. Vor der Installation der Videoüberwachungsanlagen sollte des weiteren der Verarbeitungszweck festgelegt werden, wobei eine dauerhafte Verhaltens- und Leistungskontrolle der Beschäftigten keinesfalls der Grund für die Einrichtung von Videoüberwachungstechnik sein darf. Auch die Pflichten zur Benachrichtigung der Betroffenen und zur Löschung der Aufnahmen sind einzuhalten, wobei die zulässigen Überwachungszwecke, sowie die Fristen zur Löschung individuell entschieden werden müssen.  Grundsätzlich sind strenge Maßstäbe zu Gunsten der Betroffenen gesetzt, wobei in jedem Prüfungsschritt die beiden Prinzipien, die Erforderlichkeit und Verhältnismäßigkeit (sogenanntes „mildestes Mittel“) der Maßnahmen, abgewogen werden müssen.

Fazit zur Videoüberwachung

Eine Videoüberwachung kann unter gewissen Umständen von Nutzen sein, jedoch sollten bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Videoüberwachungsanlagen sind zahlreiche Faktoren zu beachten und zu prüfen. Speziell die Abwägung, ob der Einsatz von Videoüberwachungsanlagen den Grundsätzen der Verhältnismäßigkeit und der Erforderlichkeit entspricht, ist in der Praxis oft schwierig und erfordert eine genaue Prüfung durch den Datenschutzbeauftragten.

Planen Sie den Einsatz von Videoüberwachung oder haben Sie sogar bereits Kameras im Einsatz? Haben Sie Fragen zum Einsatz von Videoüberwachungsanlagen oder Kamera-Attrappen oder zur Umsetzung mittels Betriebsvereinbarung?

Fordern Sie ein kostenloses Angebot zum Datenschutz an oder nehmen Sie direkt Kontakt zu uns auf. Gerne beraten wir Sie rund um die Videoüberwachung, führen Vorabkontrollen durch und unterstützen Sie bei der Erstellung von Betriebsvereinbarungen / Richtlinien:

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten?

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 1Die fortschreitende technische Entwicklung führt zu steigenden Gefahren des Datenmissbrauchs. Es fallen immer mehr Daten an, die nahezu unbegrenzt gespeichert, verknüpft und ausgewertet werden können. Um dem Missbrauch von personenbezogenen Daten vorzubeugen, sowie Betroffene über die Erhebung und Verwendung der Daten zu informieren, werden Betroffenen besondere Rechte, wie das Recht auf Information bei erstmaliger Erhebung bzw. Speicherung (§ 33 Bundesdatenschutzgesetz, kurz BDSG), das Recht auf Auskunft (§ 34 BDSG), sowie das Recht auf Berichtigung, Sperrung und Löschung der Daten (§35 BDSG), zugesprochen.

Das Recht auf Information hat den Zweck, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen erhoben bzw. verarbeitet werden dürfen, da insbesondere bei einer Erhebung und Nutzung ohne Kenntnisnahme der Betroffenen die anderen Rechte eingeschränkt werden. Weiß der Betroffene nicht, dass Daten über ihn erhoben, verarbeitet oder genutzt werden, so wird er sehr wahrscheinlich nicht auf die Auskunft bestehen, wobei das Auskunftsrecht wiederrum für die Berichtigung, Sperrung und Löschung bedeutend ist. Müssen Unternehmen / Firmen, Vereine, Behörden etc. über die erstmalige Erhebung bzw. Verwendung ohne Tätigwerden der Betroffenen informieren, so liegt das Auskunftsrecht in den Händen der Betroffenen, da die verantwortlichen Stellen erst nach einem Auskunftsverlangen aktiv werden müssen. Die Unterrichtung des Betroffenen stärkt somit die Position des jeweiligen Menschen und schafft Transparenz darüber wer personenbezogene Daten über die natürlichen Personen vorhält.

Auskunftsrecht der Betroffenen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 2Laut § 34 BDSG haben Betroffene das Recht auf Auskunft, wobei dieses Recht nur natürlichen Personen gewährt wird, da auch nur diese vom deutschen Datenschutzrecht bzw. dem Bundesdatenschutzgesetz erfasst und damit geschützt werden.

Verlangt ein Betroffener eine Auskunft, so sind die verantwortlichen Stellen dazu verpflichtet, unverzüglich bzw. spätestens innerhalb von zwei Wochen, eine Auskunft zu erteilen. Bei einem Auskunftsersuchen ist weder eine Form zu beachten noch muss der Betroffene konkretisieren, über welche Daten er Auskunft erhalten möchte.  Dies bedeutet, dass der Betroffene seinen Auskunftswunsch sowohl in schriftlicher Form mittels Brief, E-Mail, Telefax als auch in mündlicher Form per Telefon oder persönlichem Gespräch äußern kann. Zudem werden im Internet teilweise Formulare angeboten, die Betroffene ebenfalls zum Auskunftsverlangen nutzen können.

Von dem Auskunftsrecht machen Betroffene in der Praxis häufig im Rahmen von Auskunfteien, wie zum Beispiel der Schufa, Gebrauch, da zahlreiche bzw. vermutlich nahezu alle natürlichen Personen von der Datenspeicherung (böse Stimmen könnten gar „Datenkrake Schufa“ sagen) der Schufa betroffen sind. Die Auskunft kann grds., wie bereits erläutert, sowohl schriftlich als auch mündlich erfolgen. Es bietet sich die Nutzung fertiger Formulare seriöser Quellen aus dem Internet an. Ein Formular findet sich sowohl auf der Webseite der Schufa (gut versteckt) ratsamer ist allerdings der auf der Homepage der Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDi) zu findende Vordruck. Beim Ausfüllen des Schufa-Formulars sollte beachtet werden, dass zum einen kein Häkchen bei der kostenpflichtigen Bonitätsauskunft gesetzt und zum anderen die Bankdaten nicht angegeben werden, da die Auskunft einmal im Kalenderjahr kostenlos ist. Diese jährliche kostenlose Selbstauskunft steht einem jedem Betroffenen zu.

Auskunftspflicht der verantwortlichen Stellen

Auskunftsrecht im Datenschutz – Was müssen Betroffene und verantwortliche Stellen beachten - Bild 3Bei Eingehen eines Auskunftsanspruchs sollte die verantwortliche Stelle schnell handeln und umgehend ihren Datenschutzbeauftragten einschalten, da eine Beantwortung, wie bereits erläutert, unverzüglich bzw. spätestens innerhalb von zwei Wochen (kein schuldhaftes Zögern!) erfolgen muss.

Die verantwortliche Stelle muss den Betroffenen, wenn beim Auskunftsersuchen nicht explizit gefordert, über alle gespeicherten personenbezogenen Daten, über die Herkunft der Daten, über den Empfänger im Fall einer Datenübermittlung, sowie über den Zweck der Datenspeicherung informieren, wobei die Angaben – abhängig vom vorliegenden Zweck zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten – erweitert werden müssen. Liegen der verantwortlichen Stelle keinen personenbezogenen Daten vor, so muss sie den Betroffenen bei einem Auskunftsanspruch darüber informieren (sog. Negativauskunft).

Eine besondere Problematik stellt allerdings die sichere Identifizierung der Betroffenen dar, insbesondere wenn der Auskunftswunsch mittels E-Mail, Telefon oder Fax geäußert wird. Wenn Zweifel an der Identität des Betroffenen bestehen, sollte die verantwortliche Stelle -bevor sie dem Auskunftsersuchen nachgeht-, prüfen, ob es sich tatsächlich um den Betroffenen handelt. Welche Methode für die Identitätsprüfung geeignet ist, hängt, wie im Datenschutz üblich, von der Situation/den Gegebenheiten ab. Ein in der Praxis häufig diskutiertes Thema ist die Prüfung mittels Personalausweiskopie, da dies, bis auf wenige Ausnahmen, wie zum Beispiel für Banken gemäß Geldwäschegesetz (GwG), verboten ist. Eine geeignete Möglichkeit könnte bei Auskunftsersuchen mittels E-Mail oder Telefon, das Abfragen von vorliegenden Informationen, wie dem Geburtsdatum in Kombination mit x weiteren Informationen über den Betroffenen, sein (gängig z. B. bei Callcentern). Alternativ könnte man den Betroffenen unter der gespeicherten Nummer zurückrufen, was auch bei einem Auskunftswunsch mittels Fax dringendst anzuraten ist. Bei einer Identifizierung des Betroffenen sollte die verantwortliche Stelle dem Auskunftsersuchen nachgehen.

Grundsätzlich ist die verantwortliche Stelle zur schriftlichen Auskunftserteilung verpflichtet, außer eine andere Form ist, aufgrund von besonderen Umständen, angemessen oder die verantwortliche Stelle kann sich aus der Pflicht entziehen. Dies ist bei einem Auskunftsersuchen allerdings nur bei wenigen Ausnahmen, wie zum Beispiel bei Interesse der öffentlichen Sicherheit, möglich. Zudem sollten verantwortliche Stellen darauf achten, dass sie personenbezogene Daten, die sie im Rahmen des Auskunftsverlangens erhalten, nicht zu anderen Zwecken als der Auskunftserteilung verwenden (sog. Zweckbindung). Die Erteilung der Auskunft sollte grundsätzlich bei Verlangen unentgeltlich und bei einer geschäftsmäßigen Speicherung zum Zweck der Datenübermittelung einmal im Kalenderjahr unentgeltlich erfolgen, wobei für eine Auskunftserteilung, die der Betroffene wirtschaftlich nutzen kann, Entgelt verlangt werden kann.

Bei verspäteter, fehlerhafter oder nicht erteilter Auskunft handelt es sich um eine Ordnungswidrigkeit, die bei Einschalten der Aufsichtsbehörde zu Bußgeldern führen kann. Des Weiteren kann die Aufsichtsbehörde, Maßnahmen zur Beseitigung anordnen oder die Verarbeitung der Daten untersagen.

Müssen Sie eine Datenauskunft gemäß § 34 BDSG gegenüber einem Betroffenen erteilen? Dann nehmen Sie Kontakt zu uns auf und nutzen Sie unsere maßgeschneiderten Dienstleistungen:

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.