> externer Datenschutzbeauftragter > Betriebsdatenschutz

Übertragung von Personaldaten und Kundendaten – Datenschutz beim Unternehmenskauf (Asset Deal vs. Share Deal)

Datenschutz beim UnternehmenskaufEin Unternehmenskauf kann vielerlei Gründe haben, beispielsweise der Erwerb von Kundendaten, die Übernahme von Schlüsselmitarbeitern des Zielunternehmens oder auch die Übernahme von Lieferbeziehungen. Nicht selten wird er als Einstieg in die Selbstständigkeit genutzt, die hierfür bekanntesten Beispiele sind wohl die häufig praktizierten Übernahmen von Arztpraxen, Apotheken oder Zahnarztpraxen. Ein Unternehmenskauf bringt in der Regel auch einen Übergang von personenbezogenen Daten mit sich. Aus diesem Grund sollten die datenschutzrechtlichen Regelungen beachtet werden, um möglichen Sanktionen entgegenzuwirken.

Ihr externer Datenschutzbeauftragter unterstützt Sie in allen datenschutzrechtlichen Belangen und klärt auf, warum der Datenschutz beim Unternehmenskauf beachtet werden sollte.

Personenbezogene Daten – Währung des 21. Jahrhunderts

Das Pflegen von Kundenbeziehungen war und ist das A und O für mögliche Umsatzsteigerungen im Unternehmen. Je mehr Informationen über die Verhaltensweisen des Kunden gesammelt werden können, desto einfacher ist es, gezielt die individuellen Bedürfnisse des Einzelnen zu erfassen, um diesem direkt die Produkte oder Dienstleistungen anzubieten, die er braucht oder die er nach ähnlichen Verhaltensmustern anderer Konsumenten in Betracht ziehen könnte. Wer Kundendaten sammelt und effektiv auswertet erhält folglich nicht nur einen Vorsprung im Verhältnis zu anderen Mitbewerbern, sondern kann sich Umsatzsteigerungen durch effiziente Datenauswertung und damit verbundene Vermarktung sichern. Somit stellen Kundendaten einen wesentlichen Vermögenswert dar und können ein Grund für einen Unternehmenskauf sein. Auf das oben aufgeführte Beispiel der Übernahme einer Arztpraxis bezogen, kann es sich hierbei um die unmittelbare Gewinnung von 500 und mehr Kunden handeln. Der Kunde, in diesem Fall Patient, wird dabei indirekt und vermeintlich zur Ware.

Aufgrund des Personenbezugs von Kunden-, Mitarbeiter- und Lieferantendaten sollten nicht-öffentliche Stellen den Datenschutz beim Unternehmenskauf daher nicht außer Acht lassen (§ 3 BDSG). Personenbezogene Daten bedürfen nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) eines besonderen Schutzes. So ist das Verarbeiten, Nutzen und Speichern personenbezogener Daten nur dann gestattet, wenn

  • der Betroffene dem freiwillig zustimmt oder
  • eine gesetzliche Vorschrift existiert, die das Verfahren erlaubt.

Neben den Kundendaten stellen auch Mitarbeiterdaten oder auch Lieferantendaten personenbezogene Daten dar, welche ebenso unter den § 4 Abs. 1 BDSG fallen und einer vorvertraglichen Prüfung, ob eine Zustimmung der Betroffenen einzuholen ist, bedürfen.

Datenschutz beim Unternehmenskauf

Vor einem Unternehmenskauf ist der Austausch von Informationen unerlässlich — sei es, um die Haftung zu beschränken, indem die Aufklärungspflicht durch den Verkäufer statuiert wird, oder um im Interesse des Käufers vollumfängliche Informationen über das Kaufobjekt zu erhalten. Dabei besteht besonders bei der Übertragung von Personendaten, welche von den Kunden, Lieferanten und Mitarbeitern des Unternehmens gesammelt wurden, eine Möglichkeit, gegen datenschutzrechtliche Reglementarien zu verstoßen.

Wie oben bereits erwähnt, stellt die Übermittlung personenbezogener Daten nach dem § 4 BDSG einen vom Betroffenen zustimmungsbedürftigen Vorgang dar, sofern keine gesetzliche Bestimmung besteht. Folglich ist es relevant, zu prüfen, ob die Übertragung eine Zustimmung des Betroffenen benötigt oder nicht.

Im Fokus eines Unternehmenskaufes steht oft der Erwerb von Kundendaten, da diese einen wichtigen Teil des Unternehmenswertes darstellen. Gerade weil der Käufer den wertvollen Kundenstamm (verbunden mit den Kundendaten) übernehmen will, wird der Käufer einen entsprechenden Betrag verlangen wollen. Ein Übergang dieser Daten ist jedoch datenschutzrechtlich gesehen nicht immer zulässig. Es muss im Einzelfall geprüft werden, welche Daten zu welchem Zweck genutzt und übertragen werden sollen. Dies gilt vor allem, wenn es sich nicht um einen Anteilskauf (Share Deal) oder eine Verschmelzung des Unternehmens mit einem anderen handelt, sondern um einen Kauf von Vermögenswerten des Unternehmens (Asset Deal), bei dem die Rechtspersönlichkeit des Unternehmens bestehen bleibt.

Share Deal

Der Share Deal ist neben dem Asset Deal eine Möglichkeit des Unternehmenskaufes und beschreibt den Anteilskauf (z. B. Kauf von Aktien oder von GmbH-Anteilen) eines Unternehmens. Obwohl bei einem hundertprozentigen Anteilskauf die Gesamtheit des Unternehmens übergeht, bieten sich einige datenschutzrechtliche Risiken, welche beachtet werden sollten.

Wie erwähnt, wird der Käufer vor einem Unternehmenskauf Informationen über das Unternehmen verlangen. Dies geschieht mithilfe der Due Diligence (kurz DD), auch bekannt als Due-Diligence-Prüfung (im Geschäftsverkehr gebotene Sorgfaltspflicht), welche eine Risikoprüfung darstellt und i. d. R. vom Käufer angefertigt oder beauftragt wird, Aufklärung über die tatsächliche Unternehmenssituation zu schaffen. Es ist nicht selten der Fall, dass der Käufer hierbei von „Dritten“, wie Steuerberatern, Unternehmensberater, Wirtschaftsprüfern oder Rechtsanwälten, unterstützt wird. Eine Due Diligence kann somit dem Käufer und weiteren „Dritten“ Zugang zu Kundenlisten oder Arbeitnehmerdaten liefern. In einem solchen Fall ist das Informieren der Betroffenen oder die Einholung ihrer Zustimmung meist nicht notwendig.

Der § 28 Abs. 1 Nr. 2 BDSG sieht zwar vor, dass der Zugriff auf personenbezogene Daten zulässig ist, sofern dieser der „Wahrung berechtigter Interessen der verantwortlichen Stelle“ dient und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt“. Fraglich ist jedoch, ob die Veräußerung des Unternehmens ein „berechtigtes Interesse“ darstellt, da es sich dabei vorrangig um das Interesse der Gesellschafter handelt. Aus diesem Grund ist es empfehlenswert, bei der Vorlage einer Due Diligence personenbezogene Daten unkenntlich zu machen oder zu anonymisieren. Sonstige Fälle sollten mit dem zuständigen Datenschutzbeauftragten besprochen werden.

Asset Deal

Im Unterschied zum Share Deal werden beim Asset Deal nicht Anteilsrechte am Unternehmen erworben, sondern einzelne Wirtschaftsgüter. Dabei gehen die bestehenden Verhältnisse (z.B. Verträge) nicht mit auf den Erwerber über. Sollen diese mit übergehen, muss eine Vereinbarung des Überganges zwischen Verkäufer und Käufer vereinbart werden. Datenschutzrechtlich brisant wird das Thema, wenn ein Kundenstamm veräußert werden soll. Hierbei handelt es sich um die Übertragung personenbezogener Daten. Bei Kundendaten handelt es sich i. d. R. um Einzelangaben (wie Name, Adresse, Geburtsdatum usw.), welche unmittelbare oder mittelbare Rückschlüsse auf die Person (Betroffener) zulassen. In den meisten Fällen wird deshalb eine Zustimmung des Betroffenen notwendig sein.

In diesem Zusammenhang ist die Übermittlung von Namen, Postanschrift, Geburtsjahr und Beruf durch das im § 28 Abs. 3 BDSG enthaltene „Listenprivileg“ in den meisten Fällen unproblematisch.

Anders sieht es jedoch aus bei Kundeninformationen des Unternehmens, z.B. E-Mail-Adresse, Telefonnummer, Kaufhistorie oder auch Konto- oder Kreditkartendaten. Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht ist die Übermittlung solcher personenbezogenen Daten nur zulässig, sofern eine Belehrung der betroffenen Kunden stattgefunden hat und die Widerspruchsmöglichkeit dem Kunden mitgeteilt wurde. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte, in dem von ihr entschieden Fall, wegen des Verstoßes genannter Kriterien ein Bußgeld von 3000 €.

Aus diesem Grund sollte vor Vertragsschluss immer die Einwilligung des Kunden eingeholt werden, da dies die spätere Weitergabe und Nutzung der Daten durch den Käufer erheblich erleichtert. Wird vorab beim Kunden keine Zustimmung eingeholt, besteht die Möglichkeit den Kunden über sein Widerspruchsrecht zu informieren und diesem eine Frist für den Widerspruch zu gewähren. Ein Verstoß gegen diese Vorgaben kann zu empfindlichen Sanktionen führen, welche nicht nur einen finanziellen Verlust mit sich bringen, sondern sich auch negativ auf das Image des Unternehmens auswirken können.

Fazit

Bei einem Unternehmenskauf ist immer eine genaue Analyse des Unternehmens erforderlich. Diese ist nicht nur relevant für den Käufer, indem dieser u.a. Informationen über das Zielobjekt erhält, sondern schützt den Verkäufer mitunter durch die Dokumentation der Vorverkaufsmaßnahmen (z.B. Due Diligence) vor möglichen Ansprüchen des Käufers, wegen Verletzung der Nebenpflichten aufgrund von nicht ordnungsgemäßer Aufklärung über das Objekt.

Datenschutzrechtlich relevant ist dieser Vorgang beim Unternehmenskauf besonders dann, wenn personenbezogene Daten übertragen werden. Um mögliche Haftungsrisiken zu vermeiden, sollte vorab geprüft werden, wie diese zu kategorisieren sind. Zu unterscheiden ist dabei die Zulässigkeit der Datenübermittlung und die Verwertbarkeit der Daten für den Käufer, welche ebenso erhebliche Kriterien für die Kaufpreisfindung sind und den Kernbereich einer Due Diligence bilden.

Sollte eine umfangreiche Datenschutzanalyse entfallen, ist von einer grob fahrlässigen Handlung auszugehen, da eine solche Analyse ein in der Praxis häufig angewendetes Verfahren ist. Eine daraus resultierende widerrechtliche Handlung in Sachen Datenschutz kann durch die Aufsichtsbehörde mit empfindlichen Sanktionen belegt werden und hat weitreichendere Folgen als den Verlust von Kapital, da ein Verlust des Ansehens (Image) des Unternehmens meist auch den Verlust von Kundschaft bedeutet.

Sie sollten daher den Datenschutz beim Unternehmenskauf nicht außer Acht lassen und den Rat eines Datenschutzberaters oder Ihres internen/externen Datenschutzbeauftragten einholen.

Sollten Sie noch Fragen zum Datenschutz beim Unternehmenskauf haben oder sich im Bereich Datenschutz besser positionieren wollen, dann steht Brands Consulting Ihnen gerne zur Seite. Wir unterstützen Sie in allen datenschutzrechtlichen Belangen und stehen Ihnen stets als kompetenter und zuverlässiger Ansprechpartner in Sachen Datenschutz zur Verfügung.

Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Arbeitsplatzüberwachung: GPS-Ortung und Datenschutz – „Ich weiß, wo du heute, gestern und letzten Monat warst!“

GPS-Ortung und DatenschutzDas Thema der Arbeitsplatzüberwachung z. B. durch GPS-Ortung in Verbindung mit Datenschutz, insbesondere Beschäftigtendatenschutz gewinnt stetig an Bedeutung. Ortungssysteme sind weder in Dienstfahrzeugen noch in Smartphones keine Seltenheit mehr, schnell kann dies zu einer dauerhaften, anlasslosen Überwachung am Arbeitsplatz führen.  Die Bestimmung eines Standortes ist unter anderem mittels Global Positioning System (GPS), Location-based Services (LBS) sowie radio-frequency identification (RFID) möglich. Bei der Global Positioning System-Ortung (GPS) wird die Position mithilfe von Satelliten bestimmt. GPS wird insbesondere für Navigationssysteme verwendet. Neben GPS ermöglicht Location-based Services, zu deutsch standortbezogene Dienste, die Positionsbestimmung eines mobilen Endgerätes – respektive des Besitzers – über nahegelegene Funkzugangsknoten. Bei RFID können Standortdaten mit Hilfe eines Transponders und eines Schreib-/Lesegerätes mit Antenne berührungslos ausgelesen werden, allerdings muss der Transponder in die Reichweite der Antenne gelangen.

Neben zahlreichen privaten und betriebswirtschaftlichen Vorteilen bergen Ortungssysteme eine Vielzahl an Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter erklärt, warum Systeme zur Ortung und Datenschutz nicht voneinander zu trennen sind und was verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine oder Behörden, berücksichtigen sollten, damit eine unzulässige Arbeitsplatzüberwachung vermieden wird.

GPS-Ortung und Datenschutz – Was Organisationen beachten sollten

Werden die Standorte von Dienstfahrzeugen oder dienstlichen Smartphones ermittelt, so kann daraus geschlossen werden, wo sich eine kleine Gruppe an Arbeitnehmern oder der einzelne Arbeitnehmer aufhält bzw. aufgehalten hat. Ein Personenbezug ist damit spätestens unter Zuhilfenahme der Einsatzpläne der Mitarbeiter gegeben, folglich greift das Datenschutzrecht. Sollen personenbezogene Daten erhoben, verarbeitet und/oder genutzt werden, so sollte stets das Verbot mit Erlaubnisvorbehalt bedacht werden. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten erlaubt, wenn eine Rechtgrundlage oder die informierte und wirksame Einwilligung des Betroffenen dies erlauben.

Laut § 28 Abs. 1 Nr. 2 BDSG (Hinweis: Siehe auch § 32 BDSG für Zwecke des Beschäftigungsverhältnisses) dürfen personenbezogene Daten erhoben werden, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sind und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Um dies festzustellen, ist eine Interessensabwägung zwischen der verantwortlichen Stelle und dem Betroffenen notwendig. Mögliche Gründe für eine Ortung wären

  • der Diebstahl des Fahrzeugs oder Endgeräts,
  • die Aufdeckung von Straftaten bei einem begründeten Verdacht,
  • die Wahrung berechtigter Interessen der Organisation/eines Dritten, z.B. Geldtransporter, Krankenwagen

Der Einsatz von Ortungssystemen zur Überwachung der Mitarbeiter, sogenannte Verhaltens- und Leistungskontrolle ist allerdings untersagt und sollte dringend unterbunden werden. Selbst bei einer erlaubten Datenerhebung und –verarbeitung ist der Grundsatz der Datensparsamkeit zu beachten. Das heißt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die tatsächlich notwendig sind. Zum Beispiel liegt für die Ortung des Standortes ein berechtigtes Interesse einer Speditionsfirma zur Warenverfolgung vor, allerdings ist für diesen Zweck die Erhebung der Dauer von Fahrtunterbrechungen nicht notwendig. Bei erlaubter privater Verwendung von Dienstfahrzeugen/Endgeräten darf ebenfalls keine Ortung durchgeführt werden.

Zwischen einer Erlaubnis und dem Verbot von Ortungssystemen liegt in dem meisten Fällen nur ein schmaler Grat. Umso wichtiger ist es, dass sich Organisationen mit dem Thema „GPS-Ortung und Datenschutz“ auseinandersetzen und nicht auf fachkundige Beratung durch einen Datenschutzbeauftragten oder Datenschutzberater verzichten. Zumal verantwortliche Stellen gemäß § 4d Abs. 5 BDSG bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte der Betroffenen aufweisen, verpflichtet sind, eine Vorabkontrolle durch den Datenschutzbeauftragten durchführen zu lassen.

GPS-Ortung und Datenschutz – Beteiligung des Datenschutzbeauftragten und ggf. des Betriebsrates

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss, wie bereits erläutert, vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Neben der Beteiligung des Datenschutzbeauftragten sollte – sofern vorhanden – der Betriebsrat vor Beginn der Verarbeitung einbezogen werden, da dieser gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglichen, ein Mitbestimmungsrecht hat.

Als verantwortliche Stelle ist man zudem gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des BDSG zu erfüllen und den Zugriff durch Unbefugte zu vermeiden.

Fazit

Der Einsatz von Ortungssystemen kann unter gewissen Umständen aus Sicht der verantwortlichen Stelle (z. B. Unternehmen) erforderlich sein, im überwiegenden Interesse des Betreibers liegen und gleichzeitig kein Grund zur Annahme vorliegt, dass die schutzwürdigen Interessen des oder der Betroffenen überwiegen. Es sollten daher unbedingt bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Ortungssystemen sind viele Kriterien/Grundsätze, insbesondere die Datensparsamkeit, Zweckbindung und Verhältnismäßigkeit, zu beachten. Des Weiteren sollten klaren Regelungen, unter anderem zum Zweck, zur Löschung und zu den Zugriffsberechtigungen, mit Hilfe von Betriebsvereinbarungen/Dienstvereinbarungen/Richtlinien geschaffen werden.

Möchten Sie mehr zu Ortung und Datenschutz erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ (Vorab)Kontrolle Datenschutzbeauftragter “ – Die Prüfung der Zweckbindung und Verhältnismäßigkeit

Kontrolle DatenschutzbeauftragterDie Bedeutsamkeit für das Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ resultiert aus der hohen Relevanz unserer personenbezogenen Daten, also der Informationen, die uns als Menschen vereinfacht ausgedrückt „zuzuordnen sind“. Der Umgang mit personenbezogenen Daten ist für die sogenannten verantwortlichen Stellen, so insbesondere für Unternehmen, wichtig, sei es, um Marktforschung oder Werbung zu betreiben, zur Suche nach geeigneten Bewerbern oder zur Arbeitszeitplanung.

Es ist unerlässlich, personenbezogene Daten zu erheben, um den Geschäftszweck zu erfüllen. Dabei sollte nicht außer Acht gelassen werden, dass der von der Datenerhebung betroffene Mensch Schutzrechte hat, die nicht übergangen werden dürfen.

Ihr externer Datenschutzbeauftragter informiert zum Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ und über relevante Kriterien, die nicht außer Acht gelassen werden sollten.

„ Kontrolle Datenschutzbeauftragter “ – Wann ist eine Datenerhebung, -verarbeitung oder –nutzung erlaubt?

Grundsätzlich ist die Erhebung personenbezogener Daten nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit

  • das BDSG dies erlaubt
  • eine andere Rechtsvorschrift dies erlaubt oder
  • der Betroffene zustimmt

Durchbrochen wird diese Vorschrift u.a. durch den § 28 BDSG:

Nach diesem ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, wenn diese für die Begründung, Durchführung oder Beendigung eines rechtgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Abs. 1 Nr.1). Bei Arbeitsverhältnissen tritt jedoch der § 32 BDSG an die Stelle des § 28 BDSG. Weiterhin ist nach Nr. 2 der Umgang mit personenbezogenen Daten gestattet, soweit diese für die Wahrung berechtigter Interessen der verantwortlichen Stelle dienen. Das bedeutet, dass stets eine Abwägung der Interessen der zuständigen Stelle mit denen des Betroffenen stattfinden sollte.

§ 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke der Beschäftigungsverhältnisse

Besonderes Augenmerk sollte auf die Verarbeitung personenbezogener Daten innerhalb eines Beschäftigungsverhältnisses gelegt werden. Natürlich in Abhängigkeit zur Branche werden regelmäßig insbesondere im Mittelstand in kaum einem anderen Gebiet bzw. in keiner Abteilung so viele personenbezogene Daten erhoben.

Diese Datenerhebung ist nicht grundlos, da sie u.a. für die Planung der Personalpolitik, die Sicherung eines effizienten Personaleinsatzes oder die Kontrolle des Arbeitseinsatzes vom Arbeitgeber erforderlich ist. Gegen die Datenerhebung und –verarbeitung im Rahmen des Beschäftigungsverhältnisses würde sich der Mitarbeiter/Beschäftigte auch aus Sorge seinen Arbeitsplatz zu verlieren, in den seltensten Fällen zur Wehr setzen. Um den Mitarbeiter zu schützen, hat der Gesetzgeber den § 32 BDSG eingesetzt. Er gestattet den Umgang mit personenbezogenen Daten, sofern diese erforderlich sind und die Zweckbindung gewahrt bleibt und es somit zu keiner Zweckentfremdung für andere Nutzungen kommt.

Beispiel: Die Bezahlkarte in der hauseigenen Kantine des Arbeitgebers dient der Vereinfachung des Bezahlvorganges und nicht der Analyse über das Ess- und Trinkverhalten des einzelnen Mitarbeiters. Personenbezogene Daten werden hier zweckgebunden erfasst. Die Info, der Mitarbeiter konsumierte für 4,00 € ist ausreichend. Nicht erforderlich ist es regelmäßig die Portion Currywurst + Pommes zu erfassen. Auch dürfte es selbstverständlich sein, dass ein Mitarbeiter keine Hinweise auf der Basis seines „ungesunden Essverhaltens“ erhält und Datensätze zu diesen Zwecken ohne informierte und freiwillige Einwilligung verknüpft werden.

Hinweis: Zur Zweckbestimmung können Sie sich weiter unten im Text konkreter informieren.

Durchgeführt wird eine solche Prüfung oder die Beratung hierzu i. d. R. von einem kirchlichen / behördlichen oder betrieblichen Datenschutzbeauftragten (Kontrolle Datenschutzbeauftragter).

„ Kontrolle Datenschutzbeauftragter “ – Die Zweckbestimmung

Bei der Kontrolle durch den Datenschutzbeauftragten wird zum einen die Zweckbestimmung geprüft, wobei eine Interessenabwägung des Arbeitgebers und des/der betroffenen Mitarbeiter stattfindet. In diesem Rahmen prüft der Datenschutzbeauftragte, ob die geplante Maßnahme zur Erfüllung des Zwecks geeignet ist.

Will ein Arbeitgeber z.B. eine Videoüberwachungsanlage in seinem Ladenlokal installieren, so verfolgt er eventuell nicht unbedingt den Zweck, seine Mitarbeiter zu überwachen, sondern will sein Eigentum und das seiner Kunden schützen. Dessen ungeachtet wird durch den Gebrauch der Kameras der Mitarbeiter in seinen Persönlichkeitsrechten (z.B. Recht am eigenen Bild) verletzt. Auch könnte eine Videoüberwachung zur dauerhaften Verhaltens- und Leistungskontrolle der Mitarbeiter, die unzulässig ist, genutzt werden. Eine Interessenskollision von Arbeitgeber und Arbeitnehmer entsteht.

Neben der Zweckbestimmung muss die Verhältnismäßigkeit geprüft werden. Im Datenschutz gilt, dass immer zum „milderen Mittel“ gegriffen werden muss. Der Datenschutzbeauftragte muss aus diesem Grund nicht nur prüfen, ob die (geplante) Maßnahme geeignet ist, sondern ob die Maßnahme erforderlich. Beschäftigt sich der Datenschutzbeauftragte mit der (Vorab-)Kontrolle, so lässt sich die Prüfung der Verhältnismäßigkeit nicht verhindern bzw. sollte nicht vergessen werden.

„ Kontrolle Datenschutzbeauftragter “ – Verhältnismäßigkeitsprüfung

Ebenfalls durchzuführen vom Datenschutzbeauftragten ist eine Verhältnismäßigkeitsprüfung.

Bei der Prüfung der Verhältnismäßigkeit muss einzelfallspezifisch geprüft werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

(2) Ist die Maßnahme zulässig?

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Wendet man diese Kriterien auf die oben genannte Fallkonstellation mit der Videoüberwachung an, kann folgendes entnommen werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

Ja, da durch die Videoüberwachung ermittelt werden kann, wer einen Diebstahl getätigt hat. Weiterhin dient eine Videoüberwachung als Abschreckungsmittel, da der mögliche Dieb ein erhöhtes Risiko hat, erwischt zu werden, versucht er es möglicherweise erst gar nicht.

(2) Ist die Maßnahme zulässig?

Bei einer Videoüberwachung ist zu beachten, wo sich die Videoüberwachungsanlage befindet. Ist eine Installation in öffentlich zugänglichen Räumen, wie in dem Fallbeispiel, gewollt, so wird der § 32 Abs. 1 BDSG vom § 6b BDSG verdrängt. Nach § 6b wäre so eine Maßnahme innerhalb des Beschäftigungsverhältnisses nur zulässig, sofern sie eingesetzt wird, um berechtigte Interessen des Arbeitgebers zu schützen. Vorrausetzung dafür ist einerseits das Bestehen eines konkret festgelegten Zwecks für die Nutzung, andererseits darf es keinen Anhaltspunkt geben, der die schutzwürdigen Interessen der betroffenen Mitarbeiter überwiegen lässt (§ 6b Abs. 1 Nr. 3 BDSG). Weiterhin muss die Videoüberwachung und die dafür verantwortliche Stelle durch geeignete Maßnahmen kenntlich gemacht werden (§ 6b Abs. 2 BDSG).

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Maßgeblich für den Arbeitnehmer sind in dem Beispiel der Schutz seines Eigentums und das seiner Kunden. Somit könnte er alternativ zu dem Videoüberwachungssystem auch Alarmanlagen, elektronische Schließsysteme, Schlösser etc. verwirklichen, ohne in die Persönlichkeitsrechte seiner Mitarbeiter einzugreifen.

Führen die alternativen Möglichkeiten nicht zum Erfolg, kann eine heimliche Videoüberwachung durchgeführt werden.

Nach dem BAG-Urteil (2 AZR 51/02) vom 27.03.2003 ist eine verdeckte Videoüberwachung zulässig, wenn:

  1. ein konkreter Verdacht einer Strafhandlung besteht
  2. mildere Mittel erfolglos waren und folglich
  3. die Videoüberwachung das einzige Mittel darstellt.

In der Praxis ist eine solche Prüfung nicht nur für die Frage der Modalitäten für die Nutzung von Videoüberwachungssystemen interessant, sondern ebenso bei

  • Bewerberdatenbanken
  • Telefonüberwachung
  • E-Mail-Kontrollen
  • BYOD (Bring Your Own Device)
  • Cloud Computing
  • Detektiv/Testkunden zur Überwachung
  • Due Diligence

und vielen anderen Bereichen, welche durch die unterschiedlichen Gestaltungsformen und dem Fortschreiten der technischen Entwicklung nicht immer klar zu deuten sind.

Rechtsfolgen

Die unbefugte Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann zu unterschiedlichen Saktionen führen. Dies möglichen Strafen reichen von arbeitsrechtlichen Konsequenzen, über Bußgeldern bis hin zu Freiheitsstrafen. Des Weiteren führt das Bekanntwerden von Datenschutzverstößen unabdingbar zu erheblichem Imageverlust. Um solche Rechtfolgen und die Verschlechterung des Ansehens der „verantwortlichen Stelle“ zu vermeiden bedarf es einer ordnungsgemäßen Prüfung durch einen Datenschutzbeauftragten.

Fazit

Gerade in der Praxis ist die Thematik „ Kontrolle Datenschutzbeauftragter “ und die damit verbundene Prüfung der Zweckbindung respektive Zweckgebundenheit und der Verhältnismäßigkeit des beabsichtigten Vorhabens unerlässlich. Dabei muss bei jeder geplanten Maßnahme eine einzelfallbezogene Prüfung stattfinden, um ein optimales Ergebnis zu erreichen.

Gerade, weil eine unterlassene oder nicht sachgerechte Prüfung negative Rechtfolgen und einen erheblichen Imageverlust mit sich bringen kann, sollte diese Prüfung durch einen kompetenten Datenschutzbeauftragten durchgeführt werden.

Falls Sie mehr zum Thema „(Vorab)Kontrolle Datenschutzbeauftragter“ erfahren möchten oder sich nicht sicher sind, ob das von Ihnen beabsichtigte Verfahren den datenschutzrechtlichen Bestimmungen genügt, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Kein Recht am eigenen Bild – Zigarettenhersteller planen personalisierte Schockfotos (Achtung Datenschutz-Satire)

Recht am eigenen BildDie EU-Kommission plant, angesichts der Unwirksamkeit der seit Mai 2016 eingeführten Schockfotos für Zigarettenschachteln, das Thema „Recht am eigenen Bild“ in den Hintergrund zu rücken und mittels personalisierter Schockbilder zu warnen. Eine Sprecherin der EU-Kommission sagte diesbezüglich: „Nachdem wird festgestellt haben, dass verfaulte Zähne, abgestorbene Füße und schwarze Lungen ohne das dazugehörende Gesicht nicht zu dem gewünschten Effekt geführt haben, starteten wir vor einigen Wochen einen Testlauf mit personalisierten Bildern und der gewünschte Effekt trat bei den betroffenen Rauchern ein. Endlich konnten wir schockieren.“  Neben der EU-Kommission zeigte sich vor allem der Chef eines sozialen Netzwerkes hellauf begeistert: „Endlich haben wir Abnehmer für die hochgeladenen Bilder unserer User gefunden.“

Bei den Schockbildern auf Zigarettenschachteln soll es allerdings nicht bleiben. Nächstes Jahr plant die Kommission vor den Gefahren des Alkoholmissbrauchs zu warnen. Auch für alkoholische Getränke sind personalisierte Schockbilder geplant. Auf die Frage nach der Herkunft der Schockfotos erläuterte die Sprecherin: „Ausreichend Material sollten wir zunächst von Unternehmen erhalten, die ihre Betriebsfeiern umfangreich festhalten und Bildmaterial veröffentlichen. Neben den Betriebsfeiern hat uns der Veranstalter eines bedeutenden Volksfestes „feuchtfröhliches“ Bildmaterial versprochen. Seiner Ansicht bietet die Wiese in der Nähe des Volksfestes, der sogenannte „Kotzhügel“, der bereits letztes Jahr von vielen „Gaffern“ und „Hobbyfotografen“ in sozialen Netzwerken als (Groß-)Event gefeiert wurde, ausreichend Material, um vor „so ziemlich allem“ zu warnen, so der Veranstalter.

Nun zur Aufklärung des vorstehenden satirischen Beitrags:

Recht am eigenen Bild – Was sagen Datenschützer und Datenschutzbeauftrage?

Datenschützer und Datenschutzbeauftragte warnen vor der unbefugten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Auch bei Bildern handelt es sich um sogenannte personenbezogene Daten, da auf diesen Bildern Merkmale erkennbar sind, die auf eine Person zurückschließen lassen.

Ein Datenschutzbeauftragter erklärte zum Thema „Recht am eigenen Bild“: „Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn eine Rechtsgrundlage vorliegt oder der Betroffene einwilligt hat. Das Heranziehen vom Kunsturheberrechtsgesetz ist unabdingbar.“

Zum Thema „Recht am eigenen Bild“ steht im Kunsturhebergesetz, dass die Verbreitung von Bildern erlaubt ist, wenn der Abgebildete eingewilligt hat. Die Einwilligung gilt auch als erteilt, wenn der Abgebildete entlohnt wurde. Zudem legt das Kunsturheberrechtsgesetz Ausnahmen fest, wann das Verbreiten von Bilder erlaubt ist. Eine Ausnahme, gemäß § 23 Kunsturheberrechtsgesetz, stellt das Erfassen und Verbreiten von Versammlungen dar.

Nun wieder etwas Humor:

Datenschutz SatireUm das Recht am eigenen Bild, trotz der Pläne der EU-Kommission zu schützen, geben Datenschützer und Datenschutzbeauftragte schützen folgende Sicherheitsmaßnahmen raus:

  • Mit dem Rauchen und Trinken aufhören
  • Keine Versammlungen oder andere Veranstaltungen mit großem Menschenaufkommen besuchen
  • Nicht vor schönen Landschaften/Sehenswürdigkeiten rauchen oder trinken
  • Tragen von Sturmhauben, Masken oder Burkas

Recht am eigenen Bild – Was sagt die Politik?

Politiker in aller Welt reagierten prompt. Ein Politiker verkündete: „Als großer Fan vom Datenschutz, insbesondere der Datensparsamkeit, sperre ich bis auf weiteres sämtliche sozialen Medien. Sie glauben nicht, was die Menschen tagtäglich für einen Quatsch veröffentlichen.“

Ein Anderer reagierte wiederrum völlig gegensätzlich und erklärte: „Das Rauchen und Trinken stellt seit Jahren eine Gefahr für die innere Sicherheit unseres Landes dar. Einzig illegal eingeschleuste Überraschungseier seien für das Land gefährlicher. Aus diesem Grund habe man beschlossen, die EU-Kommission zu unterstützen.“ Aus Insiderkreisen hört man, dass sämtliche Geheimdienste mit der Aufspürung von Rauchern und mit der Übermittlung von Fotos beschäftigt seien.

Auch hörte man verstärkt sowohl auf politischer als journalistischer Seite die Sätze: „Wir schaffen das!“, „Mit mir wird es das nicht geben!“ oder „Wir haben nichts gegen die Schockfotos, aber bitte nicht hier!“.

Möchten Sie mehr zum Thema „Recht am eigenen Bild“ erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie direkt Kontakt mit uns auf oder holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

datenschutz camsVideoüberwachungsanlagen können die Privatsphäre von Betroffenen erheblich einschränken, weshalb das Thema „ Videoüberwachung Datenschutz “ sowohl Privatpersonen als auch Organisationen beschäftigt. Was bzw. wer ist hier mit Organisationen gemeint?

Verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes (BDSG). Hierzu zählen:

  • Unternehmen (Firmen, Einzelunternehmen, Gesellschaften eines Konzerns usw.),
  • Behörden,
  • Vereine/Verbände,
  • oder Stiftungen.

Der Einsatz von Videoüberwachungsanlagen kann im Hinblick auf die Sicherheit zu vielen Vorteilen führen. Diese wären z. B.:

  • Abschreckung von Straftätern,
  • die leichtere Suche bei Straftaten nach den „Übeltätern“,
  • Sicherung von Beweisen.

Aus diesem Grund ist es wenig verwunderlich, dass nicht nur Organisationen, sondern auch Privatpersonen zu Videoüberwachungsanlagen zurückgreifen. Hörte man früher eher bei eskalierten Nachbarschaftsstreitigkeiten von einem Einsatz, so werden verstärkt Videoüberwachungsanlagen präventiv von Privatpersonen angebracht. In diesem Zusammenhang sieht man vermehrt den Einsatz von sogenannten „Klingel-Cams“ bzw. „Türspion-Kameras“.

Bei „Klingel-Cams“ handelt es sich üblicherweise um Kameras, die an der Klingel angebracht werden. Wird die Klingel betätigt, so können die Bewohner – bevor sie die Tür öffnen – feststellen, wer geklingelt hat. Daneben existieren auch „Klingel-Cams“ auf die sich die Bewohner jederzeit „aufschalten“ können. Auch gibt es bereits „Türspion-Kameras“, die das Einsehen von Aufnahmen mit dem Smartphone ermöglichen. Hierbei tritt natürlich unweigerlich die Frage nach der Zulässigkeit auf, die sowohl Betroffene als auch Eigentümer betrifft. Ist der Einsatz von „Türspion-Kamers“ erlaubt?

Ihr externer Datenschutzbeauftragter informiert im Folgenden über das Thema „ Videoüberwachung Datenschutz “, wobei nicht nur der Einsatz von „Klingel-Cams“, sondern die Videoüberwachung in Organisationen thematisiert werden.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

Die Thematik rund um „Klingel-Cams“ beschäftigte seit Jahren nicht nur Betroffene, eher unfreiwillig die Eigentümer bzw. Verantwortlichen, Datenschützer und Datenschutzbeauftragte, sondern auch die Instanzen der deutschen Gerichte, sogar den Bundesgerichtshof (BGH).

Um kurz das Thema „Nachbarschaftsstreitigkeiten“ aus der Einleitung aufzugreifen. Ja, die dauerhafte Videoüberwachung aufgrund eines Nachbarschaftsstreits von weiteren Wohnungseigentümern sollte unterlassen werden (Urteil des AG München vom 4.12.2013 – Az. 413 C 26749/13).

Grundsätzlich ist Privatpersonen anzuraten, von „Klingel-Cams“ die Finger wegzulassen, allerdings liegen Ausnahmen vor, die im Einzelfall den Einsatz erlauben könnten. Möchten Wohnungseigentümer bzw. der Vermieter des Hauses eine solche Kamera anbringen, so sollten einige Maßnahmen ergriffen werden.

  • Unter anderen sollte sichergestellt werden, dass die Kamera erst bei Betätigung der Klingel aktiv wird und sich zeitnah wieder automatisiert ausschaltet,
  • wobei die Aufnahmen nur vom Bewohner eingesehen werden dürfen, bei dem geklingelt wurde.
  • Des Weiteren sollten die Aufnahmen nicht gespeichert werden,
  • der Betroffene sollte mit Hilfe eines Hinweisschildes informiert werden
  • und die Kamera sollte so eingestellt werden, dass möglichst nur die Person, die geklingelt hat, gefilmt wird.

Zwischen dem Verbot und der Erlaubnis ist nur ein „schmaler Grat“, weshalb sich Privatpersonen vor Anbringung von Überwachungskameras ausreichend mit dem Thema „ Videoüberwachung Datenschutz “ auseinanderzusetzen sollten. Spätestens beim beruflichen Einsatz von „Klingel-Cams“ bzw. allgemein von Videoüberwachungsanlagen sollte auf fachkundige Beratung keinesfalls verzichtet werden. Dies gilt übrigens auch für Kameraattrappen, da diese die „informationelle Selbstbestimmung“ von Betroffenen ebenfalls einschränken können.

„Videoüberwachungsanlagen Datenschutz“ – Worauf Organisationen achten sollten

Planen „verantwortliche Stellen“, wie z. B. Unternehmen, das Anbringen von Videoüberwachungsanlagen, so sollten sich diese dringend von einem Datenschutzbeauftragten beraten lassen, dabei spielt es keine Rolle, ob es sich um Videoüberwachungsanlagen handelt, die nichts aufnehmen (Kameraattrappen), die ausschließlich aufnehmen (auch bekannt unter „verlängertes Auge“) oder auch das Speichern von Aufnahmen ermöglichen.

Im Datenschutzrecht steht die „informationelle Selbstbestimmung“ im Vordergrund. Das Ziel ist es, dass natürliche Personen selbst über die Erhebung, Verarbeitung und Nutzung ihrer Daten entscheiden können, damit diese sich frei entfalten können. Bei Anbringung einer Kameraattrappe passen sich Betroffene, wie Mitarbeiter und Kunden, automatisch an, weil sie nicht wissen, dass es nur eine Attrappe ist. Eine Kameraattrappe ließe sich zudem, wenn sich ein Betroffener an diese gewöhnt hat, recht unkompliziert durch eine funktionstüchtige Videoüberwachungsanlage ersetzen. Dies verletzt das Grundrecht der Persönlichkeitsentfaltung sowie die informationelle Selbstbestimmung. Daher greift – rein logisch – das Datenschutzrecht auch bei Kameraattrappen.

Organisationen sollten bei der Planung der Videoüberwachungsanlagen Maßnahmen, wie die Vorabkontrolle durch einen Datenschutzbeauftragten, ergreifen sowie klare Regelungen aufstellen. Ist ein Datenschutzbeauftragter extern oder intern bestellt, so kontrolliert er die geplanten Videoüberwachungsmaßnahmen und unterstützt „verantwortliche Stellen“ bei der Erstellung von Betriebsvereinbarungen zu Videoüberwachungsanlagen, Video-Dienstvereinbarungen bzw. Richtlinien und sonstige Regelwerke rund um Videokameras und sonstige Datenschutz-Regelwerke.

Das fehlerhafte Anbringen von Videoüberwachungsanlagen kann für „verantwortliche Stellen“ zu erheblichen Konsequenzen führen. Neben der Demontage von teuren Anlagen drohen sogar Bußgelder und ein erheblicher Imageverlust.

Möchten Sie mehr zum Thema „ Videoüberwachung Datenschutz “ erfahren, dann lesen Sich doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Wenn Sie sich im Datenschutz dauerhaft besser positionieren möchten, dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Workplace by Facebook und Datenschutz“ – Netzwerk für Mitarbeiter oder doch nur ein Auffangnetz für Daten

Workplace by Facebook DatenschutzVor einigen Tagen hat Facebook „Workplace by Facebook“ vorgestellt, allerdings stellt sich die Frage, ob die Unternehmensplattform Workplace by Facebook Datenschutz-Risiken nach sich zieht. Sobald es um Facebook geht, sind sowohl Datenschützer als auch Datenschutzbeauftragte kritisch, da die Nutzung von Facebook, insbesondere für „verantwortliche Stellen“, wie Unternehmen oder Behörden, zu zahlreichen Risiken führen kann.

Ebenso, wie für Privatpersonen, bietet Facebook nun eine Plattform für Unternehmen, die eine asynchrone Kommunikation zwischen den Mitarbeitern – unabhängig vom Standort der Unternehmen und Niederlassungen – erleichtern soll. Mit Hilfe von „Workplace by Facebook“ können Mitarbeiter unter anderem miteinander – auch in Gruppen – chatten, Dateien versenden oder Live-Videos teilen, allerdings stellt sich trotz der praktisch erscheinenden Funktionen die Frage, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Ihr externer Datenschutzbeauftragter informiert Sie über die neue Plattform und erklärt, ob „Workplace by Facebook“ ebenso, wie das klassische Facebook, zu Datenschutz-Problemen führen kann.

Welche Funktionen bietet „Workplace by Facebook“?

Einer der Vorteile, die viele Unternehmen in „Workplace by Facebook“ sehen, ist die Ähnlichkeit zu der privaten Plattform „Facebook“. Bis auf die Farbe – von dem kräftigen blau ins helle grau – haben sich die meisten Funktionen nicht geändert, wodurch sich die meisten Mitarbeiter schnell zurechtfinden werden und eine Usability von Beginn an zu erwarten sein dürfte. Die typischen Funktionen, wie

  • Chat,
  • Live-Video,
  • Gruppen,
  • Neuigkeiten,
  • Veranstaltungen
  • und die Möglichkeit Dateien zu teilen,

bleiben bestehen.

Mitarbeiter, die über einen Account für „Workplace by Facebook“ verfügen, können über das Smartphone die Funktionen nutzen, da die entsprechende App sowohl für Android als auch iOS angeboten wird.

Ein Unterschied zu der privaten Plattform ist allerdings, dass „Workplace by Facebook“ für Unternehmen nicht kostenlos ist. Die Preise sind gestaffelt und richten sich nach der Anzahl an Mitarbeitern.

  • Bis zu 1000 Mitarbeiter = monatlich 3 US-Dollar pro Mitarbeiter
  • Bis zu 10000 Mitarbeiter = monatlich 2 US-Dollar pro Mitarbeiter
  • Ab 10000 Mitarbeiter = monatlich 1 US-Dollar pro Mitarbeiter

Trotz alternativer Kollaborationslösungen, wie Yammer oder Slack, könnte „Workplace by Facebook“ für die Zusammenarbeit  in Unternehmen oder Behörden interessant sein, allerdings sollte die Thematik „Workplace by Facebook Datenschutz“ nicht außer Acht gelassen werden.

Verursacht Workplace by Facebook Datenschutz-Risiken?

„Workplace by Facebook“ bringt zwar viele Funktionen mit sich, die für Unternehmen und andere „verantwortliche Stellen“ interessant und hilfreich sein könnten, allerdings stellt Workplace diese vor neue Herausforderungen. Facebook und Datenschutz sind zwei Begriffe, die die wenigsten Nutzer, Datenschützer oder Datenschutzbeauftragte – außer es handelt sich um Kritik – in einem Satz nennen würden. Aus diesem Grund fragen sich viele Organisationen, ob Workplace by Facebook Datenschutz-Risiken hervorruft.

Bevor auf mögliche Probleme eingegangen wird, sollen einige Änderungen und Maßnahmen benannt werden, die bereits von Facebook ergriffen worden sind und aus Datenschutzsicht positiv bewertet werden sollten.

  • Facebook ist dem Privacy Shield-Abkommen beigetreten
  • Technische und organisatorische Maßnahmen wurde zum Teil ergriffen, wie die Trennung des privaten Facebook-Accounts vom beruflichen Workplace-Account (Trennungsgebot bzw. Getrennte Verarbeitung).
  • Laut Facebook sollen die Daten von Workplace nicht an Webetreibende übermittelt werden.
  • Die Kontrolle / Verwaltung der Unternehmensdaten bleibt laut Facebook beim Unternehmen.

Ein Risiko, dass sowohl bei Facebook als auch bei „Workplace by Facebook“ aus Datenschutzsicht berücksichtigt werden sollte, ist die Datenübermittlung. Im Hilfebereich von „Workplace by Facebook“ steht, dass sobald das Arbeitskonto eingerichtet wird, das Profil automatisch mit Informationen, die der Arbeitgeber bereitstellt, gefüllt wird. Dies könnten Informationen, wie der Name oder die Berufsbezeichnung, sein. Bei diesen Informationen handelt es sich allerdings bereits um personenbezogene Daten, die gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur auf Basis eine Rechtgrundlage oder der informierten Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden dürfen.

Bei der Betrachtung von § 32 Abs. 1 BDSG fällt auf, dass der Arbeitgeber personenbezogene Daten der Beschäftigten erheben, verarbeiten und nutzen darf, wenn dies unter anderem für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Eine Übermittlung personenbezogener Beschäftigtendaten kann aus diesem Grund nicht auf Basis von § 32 Abs. 1 BDSG erfolgen.

Neben der fehlenden Erlaubnisnorm ist die Bereitstellung der Daten an Facebook bzw. „Workplace by Facebook“ problematisch, da es sich um eine Übermittlung in ein Drittland handelt. Facebook schreibt diesbezüglich, dass Unternehmen bzw. Organisationen Daten ihrer Mitarbeiter als „Datenverantwortliche“ an Facebook Irland als Auftragsdatenverarbeiter und Facebook Inc. als Unterauftragnehmer einreichen bzw. übermitteln können. Der Sitz von Facebook Inc. ist in den USA, wobei die Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau angesehen werden. Bei Drittländern ohne angemessenes Datenschutzniveau sollten Organisation vor der Übermittlung Sorge tragen, dass es hergestellt wird, allerdings ist Facebook hinsichtlich „Workplace by Facebook“ dem Privacy-Shield-Abkommen beigetreten. Die EU-Kommission hat den Safe-Harbor-Nachfolger, das EU-US-Privacy-Shield, am 12.07.2016 verabschiedet, wodurch eine Übermittlung derzeit auf Basis dieses Abkommens möglich ist, allerdings ist fragwürdig, wie lange es dauert bis der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield aufhebt. „Verantwortliche Stellen“ sollten aus diesem Grund nicht ausschließlich auf das Privacy-Shield-Abkommen vertrauen und weitere Maßnahmen, wie das Abschließen von EU-Standardvertragsklauseln oder das Einholen von informierten Einwilligungen, ergreifen.

Des Weiteren sollte der Arbeitgeber klare Richtlinien erstellen, damit Mitarbeiter wissen, welchen Informationen bzw. Daten auf der Plattform ausgetauscht werden dürfen. Ein weiterer Punkt, der die Notwendigkeit von Richtlinien begründet, ist die Möglichkeit zur Leistungs- und Verhaltenskontrolle. Unternehmensadministratoren haben Zugriff auf Statistiken, wie

  • Gruppenstatistiken,
  • Statistiken über beanspruchte Konten,
  • Inhaltsstatistiken
  • und Nachrichtenstatistiken.

Der Zugriff auf diese Auswertungen macht es für Arbeitgeber möglich festzustellen, wie aktiv ein Mitarbeiter sich beteiligt und kann somit Rückschlüsse auf die Leistung des Mitarbeiters ziehen. Automatisierte Datenverarbeitungen, die eine Verhaltens- und Leistungskontrolle ermöglichen, sollten vorab durch den Datenschutzbeauftragten geprüft werden (sogenannte Vorabkontrolle). Denken Sie auch an die Beteiligung des Betriebsrates einschließlich denkbarer Ergebnisse wie einer Betriebsvereinbarung unter Beteiligung des Datenschutzbeauftragten.

Fazit

„Verantwortliche Stellen“, wie Unternehmen oder Behörden, sollten auf Kollaborationslösungen zurückgreifen, deren Anbieter innerhalb der EU / des EWR sitzt, da die Risiken um ein Vielfaches geringer sind.

Möchten oder können Arbeitgeber nicht auf andere Lösungen zurückgreifen, so sollten sie das Thema „Workplace by Facebook Datenschutz“ nicht außer Acht lassen und sich umfangreich beraten lassen und Mitarbeiter schulen. Der Umgang mit Facebook ist für viele Mitarbeiter kein Problem, allerdings trifft dies nicht immer auf den datenschutzkonformen Umgang zu. An einer fachkundigen Beratung und Unterstützung durch einen Datenschutzbeauftragten sollte in diesem Fall nicht gespart werden. Zumal Facebook viele Versprechen – ab einer gewissen Abhängigkeit der Nutzer – „zufällig vergessen könnte“, wie zuletzt im Zusammenhang mit WhatsApp geschehen. Wenn Sie mehr zu diesem Thema erfahren wollen, dann lesen Sie doch unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“.

Möchten Sie mehr zum Thema „ Workplace by Facebook Datenschutz “ erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Vorabkontrolle Datenschutzbeauftragter “ – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte

Vorabkontrolle DatenschutzbeauftragterTrotz der hohen Verbundenheit der Begriffe „ Vorabkontrolle Datenschutzbeauftragter “ sieht man in der Praxis häufig, dass innerhalb einer „verantwortliche Stellen“ zwar ein interner betrieblicher Datenschutzbeauftragter oder externer Datenschutzbeauftragter bestellt wurde, sich die Verantwortlichen allerdings nicht darüber bewusst sind, dass bestimmte Verfahren vorab zwingend durch den Datenschutzbeauftragten kontrolliert werden sollten. Die sogenannte Datenschutz-Vorabkontrolle darf nicht vergessen werden.

Ihr externer Datenschutzbeauftragter informiert im Folgenden, wann und unter welchen Umständen die sogenannte Vorabkontrolle durch den bestellten Datenschutzbeauftragten und zwar ausschließlich durch diesen „Beauftragten für den Datenschutz“ erfolgen sollte.

„ Vorabkontrolle Datenschutzbeauftragter “ – die hohe Bedeutung für den Datenschutz

Durch das Bundesdatenschutzgesetz (BDSG) sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt, gemäß § 4d Abs. 2 BDSG, wenn innerhalb der „verantwortliche Stelle“ ein interner betrieblicher Datenschutzbeauftragter bzw. externer Datenschutzbeauftragter bestellt wurde. Des Weiteren legt § 4d Abs. 5 BDSG fest, dass für einige automatisierte Datenverarbeitungen eine Vorabkontrolle zu erfolgen hat.

§ 4d Abs. 6 S. 1 BDSG schreibt hierzu das Folgende: „Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor.

Zuständig für die Vorabkontrolle ist damit eindeutig der Datenschutzbeauftragte unter Mitwirkung der verantwortlichen Stelle!!!

Eine Vorabkontrolle ist eine Überprüfung des Datenschutzbeauftragten VOR der automatisierten Datenverarbeitung, dabei ermöglicht sie der „verantwortlichen Stelle“ sich frühzeitig mit den potenziellen Datenschutz-Risiken und Gefahren, die sich durch die automatisierte Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben, zu befassen.

Wann sollte eine Vorabkontrolle stattfinden? Gibt es Situationen bei der eine Vorabkontrolle entfällt?

Wann eine solche Vorabkontrolle stattfinden soll, ist vom Gesetzgeber bestimmt. So besagt der § 4d Abs. 5 BDSG, dass eine solche Kontrolle nur durchzuführen ist, wenn ein automatisches Verfahren „besondere Risiken“ für die Rechte und Freiheiten der davon Betroffenen darstellt. Aber wann stellt die automatisierte Datenverarbeitung ein erhöhtes Risiko dar?

Das erhöhte Risiko wird wird im § 4d Abs. 5 BDSG in zwei Punkten näher erläutert. Nach diesem ist die Vorabkontrolle bei der Verarbeitung von besonderen Arten personenbezogener Daten (§3 Abs. 9 BDSG) sowie bei deren Verwertung, welche Rückschlüsse auf die Fähigkeiten, Leistung oder Verhalten des Betroffenen begründet, sogenannte Verhaltens- und Leistungskontrolle, anzuwenden. Es ist darauf zu achten, dass bereits die bloße Möglichkeit einer Verhaltens- und Leistungskontrolle eine Vorabkontrolle vorsieht. Aus diesem Grund sollten unter anderem Zeiterfassungssysteme und Videoüberwachungsanlagen einer Vorabkontrolle durch den Datenschutzbeauftragten unterzogen werden. Möchten Sie mehr zu Thema Videoüberwachung oder Zeiterfassung erfahren, dann lesen Sie doch unsere Beiträge „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“ oder „Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten“.

In der Praxis liegen weitere Verfahren vor, die ebenfalls einer Datenschutz-Vorabkontrolle unterzogen werden sollten, allerdings ist das Thema „ Vorabkontrolle Datenschutzbeauftragter “ nicht in allen Fällen für „verantwortliche Stellen“ so deutlich erkennbar, wie bei der Videoüberwachung oder Zeiterfassung.

Bezüglich der Voraussetzungen für eine Vorabkontrolle bietet der § 4d Abs. 5 BDSG zwar das Heranziehen des § 3 Abs. 9 BDSG an, welcher erläutert, dass Daten, die eine Vorabkontrolle benötigen, vorliegen, sobald diese im Zusammenhang mit rassischer und ethnischer Herkunft, politischer Meinung, religiöser oder philosophischer Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben stehen.

Diese besonderen Angaben, wie die religiöse Überzeugung und Angaben über die Gesundheit, werden im betrieblichen / behördlichen Alltag häufig im Rahmen der gesetzlich vorgeschriebenen Speicherung der Religionszugehörigkeit für die Ermittlung der Kirchensteuer sowie im Zusammenhang mit dem Betrieblichen Eingliederungsmanagements (BEM) bzw. dem Betrieblichen Gesundheitsmanagements (BGM) erhoben und verarbeitet.

Nach dem § 4d Abs. 5 Nr. 2 BDSG unterfällt ebenso die Verarbeitung personenbezogener Daten, die die Persönlichkeit des Beteiligten bewerten sollen, der Vorabkontrolle. Was unter der Bewertung der Persönlichkeit des Betroffenen zu verstehen ist, kann schwer ermittelt werden, da eine Bewertung immer aus dem eigenen Standpunkt erfolgt und subjektive Tendenzen nicht zu vermeiden sind.  Selbst bei besonderen Arten personenbezogener Daten oder bei personenbezogenen Daten, die eine Verhaltens- und Leistungskontrolle ermöglichen, gibt es noch die Ausnahmen im § 4d Abs. 5 Satz 2 letzter Halbsatz.  Eine Vorabkontrolle kann demnach entfallen, wenn:

  • eine gesetzliche Verpflichtung für die Verarbeitung besteht,
  • die Einwilligung des Betroffenen vorliegt (Achtung Exkurs: Einwilligungen im Kontext des Arbeitsverhältnisses regelmäßig schwierig) oder
  • die Verarbeitung der Daten einem Vertragsverhältnis oder auch vertragsähnlichen Verhältnis dienen.

Im Zweifel über die Erforderlichkeit einer Vorabkontrolle sollte auf fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten (siehe auch Dienstleistung: externer Datenschutzbeauftragter) zurückgegriffen werden.

Was sind die Folgen einer unterlassenen Datenschutz-Vorabkontrolle?

Erfolgt keine Vorabkontrolle, so stellt dies zwar keine Ordnungswidrigkeit oder Straftat, gemäß §§ 43, 44 BDSG dar. Auch bedeutet es nicht, dass eine automatisierte Datenverarbeitung ohne Vorabkontrolle nicht rechtmäßig ist, allerdings ermöglicht sie vorab Fehler festzustellen. Wird erst im Nachgang festgestellt, dass die automatisierte Datenverarbeitung nicht datenschutzkonform erfolgt, da die relevanten Kriterien, wie der Anlass der Datenverarbeitung, die über ein Verbot oder eine Zulässigkeit des Verfahrens entscheiden, nicht eingehalten werden, so muss die „verantwortliche Stelle“ Änderungen vornehmen oder die Verfahren einstellen. Dies führt zumeist zu einem erheblichen Mehraufwand. Des Weiteren ist nicht auszuschließen, dass automatisierte Datenverarbeitungen, wie Videoüberwachungssysteme, unter anderem durch die Aufsichtsbehörde geprüft werden. Wird zum Beispiel festgestellt, dass die „verantwortliche Stelle“ die Mitarbeiter überwacht, so kann dies zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen. Auch auf das „Betriebsklima“ wirken sich Probleme rund um die Videoüberwachung nicht gerade positiv aus. Mitarbeiter sollten daher bestmöglich zu den Hintergründen einer Videoüberwachung informiert werden. Wir bieten unseren Kunden daher die Möglichkeit diese durch die Vorabkontrolle gewonnenen Kenntnisse zu den Mitarbeitern zu transferieren und integrieren diese in einem sehr reduzierten Umfang in unsere Datenschutzschulungen.

Es ist daher für niemanden von Vorteil, wenn ein Verfahren zwar schnell zum Einsatz kommt, jedoch erneuert / stark verändert werden muss, weil Aspekte des Datenschutzes nicht hinreichend beachtet wurden. Beim Einsatz von Videoüberwachungsanlagen kann eine Folge z. B. das Abhängen der zuvor teuer erworbenen und installierten Videokameraanlagen sein.

Neben der Vorabkontrolle sollten „verantwortliche Stellen“ weitere Maßnahmen, wie die Erstellung eines öffentlichen und von internen Verfahrensverzeichnissen (auch als interne Verfahrensübersicht bekannt), ergreifen. Zudem sollte beachtet werden, dass der Betriebsrat bei Verfahren, die eine Leistungs- und Verhaltenskontrolle ermöglichen ein Mitbestimmungsrecht hat, vgl. § 87 Abs. 1 Nr. 6 BetrVG.

Benötigen Sie Informationen zum Thema „ Vorabkontrolle Datenschutzbeauftragter “ bzw. „Datenschutz Vorabkontrolle“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund automatisierte Datenverarbeitungen, wie  Zeiterfassung und Videoüberwachung.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten?

human-109103_640Die Thematik der Videoüberwachung hat in den vergangenen Jahren, insbesondere durch die rapide technische Entwicklung, stetig zugenommen. Mit dem heutigen Stand der Technik ist es uns bereits möglich, jederzeit hochauflösende Videos mit unseren Smartphones aufzunehmen und diese haben wir selbstverständlich nahezu immer zur Hand. Auch der Einsatz von Drohnen und sogenannten Dashcams steigt kontinuierlich.  Neben dem verstärkten privaten Einsatz von Videokameras hat die Verwendung von Videoüberwachungsanlagen auf öffentlichen Plätzen (i. d. R. durch oder für Behörden) sowie durch Unternehmen (Firmen / Konzerne) Vereine und Stiftungen zugenommen.

Mehrfach wurden in der Presse sogenannte Datenschutz-Affären bzw. Datenschutz-Skandale, bei denen das eigene Personal und Kunden überwacht wurden, aufgerollt. Dies brachte den Unternehmen, neben teuren Bußgeldern, erhebliche Imageverluste ein. Umso wichtiger ist es, dass sich die verantwortlichen Stellen (die verantwortliche Firma, Behörde, ein Verein, eine Körperschaft oder Stiftung) vor dem Einsatz von Videoüberwachungstechnik ausreichend mit dieser Thematik auseinandersetzen. Die geplanten Maßnahmen sollten durch den bestellten Datenschutzbeauftragten im Zuge der Vorabkontrolle auf Datenschutzkonformität (Verhältnismäßigkeit) geprüft werden.

Vorabkontrolle durch den Datenschutzbeauftragten

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss gemäß § 4d Abs. 5 Bundesdatenschutzgesetz (BDSG) vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Wichtige Kriterien zur Beurteilung der Zulässigkeit

Gerade bei der Videoüberwachung ist nur ein schmaler Grat zwischen dem Verbot und der Zulässigkeit. Die Beurteilung, ob Videoüberwachungsmaßnahmen zulässig sind und in welcher Form, kann deshalb nur in Abhängigkeit von den Umständen und Gegebenheiten erfolgen. Wichtige Beurteilungskriterien sind in diesem Zusammenhang

  • der Ort, an dem die Videoüberwachung stattfindet / stattfinden soll,
  • der Anlass (Zweckbestimmung) für die Videoüberwachung,
  • ob es sich um eine offene oder heimliche Überwachung handelt/handeln soll und
  • welcher Personenkreis von der Überwachung betroffen ist.

Unwichtig ist in diesem Zusammenhang zunächst, ob es sich um eine tatsächliche Videoüberwachung handelt, da auch der Einsatz von Kameraattrappen geprüft werden muss.

Der Ort der Überwachung ist dabei maßgebend, ob § 6 oder § 32 des Bundesdatenschutzgesetzes greift, wobei zwischen öffentlich zugänglichen und nicht-öffentlich zugänglichen Räumen unterschieden wird.  Ist die Rede von öffentlich zugänglichen Räumen, so sind Stellen gemeint, die der Öffentlichkeit zugänglich gemacht werden. Öffentlich zugängliche Räume sind zum Beispiel Fußwege, Empfangsbereiche oder Kaufhäuser. Räume ohne Publikumsverkehr, wie zum Beispiel Büroräume oder andere Betriebsflächen bzw. –räume, die einer Zugangskontrolle unterliegen, sind wiederum nicht-öffentlich zugängliche Räume. Auch Parkplätze oder Betriebsgelände ohne Einfriedung, die zwar von Jedem betreten werden könnten, jedoch mit Hinweis „Nur für Mitarbeiter“ versehen sind, zählen zu den nicht-öffentlich zugänglichen Räumen.

Neben der bereits erläuterten Unterscheidung der Räume spielt die Tatsache, ob es sich um eine offene oder verdeckte Überwachung handelt, eine große Rolle. Grundsätzlich gilt eine verdeckte Überwachung, sei es in öffentlich oder nicht-öffentlich zugänglichen Räumen, als unzulässig.  Aus diesem Grund ist es wichtig, dass Betroffene ausreichend, z. B. durch geeignete Hinweisschilder, auf die Videoüberwachung aufmerksam gemacht werden.

Ist eine Videoüberwachung angedacht, so ist der Zweck klar zu formulieren und zu dokumentieren. Ein Verfahrensverzeichnis sollte angefertigt und eine Betriebsvereinbarung geschlossen werden.  Neben dem Datenschutzbeauftragten, der vorab eine Kontrolle der Anlagen durchführen sollte, ist es Unternehmen dringendst anzuraten, den Betriebsrat, sofern vorhanden, zu involvieren. Der Betriebsrat hat, gemäß § 87 Abs. 1 Nr. 6 BetrVG, bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle des Personals ermöglichen, ein Mitbestimmungsrecht. Vor der Installation der Videoüberwachungsanlagen sollte des weiteren der Verarbeitungszweck festgelegt werden, wobei eine dauerhafte Verhaltens- und Leistungskontrolle der Beschäftigten keinesfalls der Grund für die Einrichtung von Videoüberwachungstechnik sein darf. Auch die Pflichten zur Benachrichtigung der Betroffenen und zur Löschung der Aufnahmen sind einzuhalten, wobei die zulässigen Überwachungszwecke, sowie die Fristen zur Löschung individuell entschieden werden müssen.  Grundsätzlich sind strenge Maßstäbe zu Gunsten der Betroffenen gesetzt, wobei in jedem Prüfungsschritt die beiden Prinzipien, die Erforderlichkeit und Verhältnismäßigkeit (sogenanntes „mildestes Mittel“) der Maßnahmen, abgewogen werden müssen.

Fazit zur Videoüberwachung

Eine Videoüberwachung kann unter gewissen Umständen von Nutzen sein, jedoch sollten bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Videoüberwachungsanlagen sind zahlreiche Faktoren zu beachten und zu prüfen. Speziell die Abwägung, ob der Einsatz von Videoüberwachungsanlagen den Grundsätzen der Verhältnismäßigkeit und der Erforderlichkeit entspricht, ist in der Praxis oft schwierig und erfordert eine genaue Prüfung durch den Datenschutzbeauftragten.

Planen Sie den Einsatz von Videoüberwachung oder haben Sie sogar bereits Kameras im Einsatz? Haben Sie Fragen zum Einsatz von Videoüberwachungsanlagen oder Kamera-Attrappen oder zur Umsetzung mittels Betriebsvereinbarung?

Fordern Sie ein kostenloses Angebot zum Datenschutz an oder nehmen Sie direkt Kontakt zu uns auf. Gerne beraten wir Sie rund um die Videoüberwachung, führen Vorabkontrollen durch und unterstützen Sie bei der Erstellung von Betriebsvereinbarungen / Richtlinien:

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.