> Arbeitnehmerdatenschutz

Datenschutz bei Arbeitnehmerüberlassung – Auf was Sie datenschutzrechtlich bei Leiharbeiterverhältnissen achten sollten

Datenschutz bei ArbeitnehmerüberlassungUm den Marktanforderungen gerecht zu werden und fehlende Kapazitäten zu decken, greifen Unternehmen häufig auf Arbeitnehmerüberlassung, auch Leiharbeit genannt, zurück. Arbeitnehmer, die in einem solchen Verhältnis mit einem Unternehmen stehen, arbeiten meist nur für einen begrenzten Zeitraum, in dem ein höherer Arbeitsbedarf besteht. Dabei fließen zum einen zahlreiche personenbezogene Daten zwischen dem Entleiher und dem Verleiher, zum anderen ist es keine Seltenheit, dass der Leiharbeiter mit zahlreichen personenbezogenen Daten, die in der Verantwortung des Entleihers liegen, in Berührung kommt. Es stellt sich hier deshalb häufig die Frage, wie mit dieser Thematik datenschutzrechtlich umzugehen ist.

Ihr externer Datenschutzbeauftragter unterstützt Sie in datenschutzrechtlichen Belangen und erklärt wieso der Datenschutz bei der Arbeitnehmerüberlassung nicht ignoriert werden sollte.

Datenschutz bei Arbeitnehmerüberlassung

Bei einer Arbeitnehmerüberlassung wird ein bereits von einem Zeitunternehmen (Verleiher) angestellter Arbeitnehmer einem anderen Unternehmen (Entleiher) zur Verfügung gestellt. Die Überlassung ist bei einer solchen Konstellation vorübergehender Natur. Die Maximaldauer eines solchen Verhältnisses ist weder in der AÜG (Gesetz über die Regelung der gewerbsmäßigen Arbeitnehmerüberlassung) noch in der europäischen Leiharbeiterrichtlinie festgesetzt und daher individuell vereinbar.

Wie oben bereits erwähnt, besteht das Arbeitsverhältnis nur zwischen dem Verleiher und dem Leiharbeiter. Der Leiharbeiter unterliegt jedoch der Weisung des Entleihers. Es stellt sich dabei die Frage, inwieweit das Recht eines Arbeitnehmers auch für den Leiharbeiter gilt und ob die daraus resultierenden Pflichten (z.B. Auskunftsrecht des Arbeitnehmers) auch den Entleiher treffen.

Recht auf informelle Selbstbestimmung

Aufgrund der besonderen Konstellation bei einem Leiharbeiterverhältnis ist die rechtliche Zuweisung kompliziert. Dies liegt daran, dass eine Verknüpfung von Arbeitsrecht und Datenschutzrecht notwendig ist, was wiederum durch das Nichtvorhandensein eines einheitlichen Regelwerkes das Hinzuziehen einer Vielzahl von Gesetzen und der Hilfe des Richterrechts, das durch die Rechtsprechung der Gerichte geschaffen wird, bedarf. Vom Richterrecht ist, wie sich unschwer vermuten lässt, die Rede, wenn durch die Rechtsprechung Rechtssätze entwickelt werden, um Gesetzeslücken zu schließen. Gängige Praxis ist es dann, dass diese Entscheidungen nicht selten bei ähnlichen oder vergleichenbaren Fragestellungen berücksichtigt werden.

Trotz des Fehlens einer speziellen Regelung für Leiharbeiter im nichtöffentlichen Bereich ist der Grundsatz der informellen Selbstbestimmung einzuhalten. Aus diesem Grund finden die Vorschriften des Bundesdatenschutzgesetzes (BDSG) für Arbeitnehmerüberlassungen bzw. Leiharbeiter Anwendung, so fallen unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz (BDSG) auch Leiharbeitnehmer.

Datenschutzrechtliche Kriterien für Leiharbeiter – Auf was der Entleiher achten muss

Grundsätzlich gilt das Bundesdatenschutzgesetz (BDSG) bei datenschutzrechtlichen Belangen bezüglich der Mitarbeiter als Auffangnorm und wird auch für Arbeitnehmerüberlassungen als solches genutzt.

Im Gegensatz zu einem normalen Arbeitsverhältnis gelten die datenschutzrechtlichen Pflichten innerhalb eines Leiharbeiterverhältnisses nicht nur für den Arbeitgeber (Verleiher), sondern erstrecken sich ebenso auf den Entleiher.

Fürsorgepflicht des Entleihers und daraus resultierende Offenbarungspflicht

Datenschutzrechtlich relevant bei einem Leiharbeiterverhältnis ist unter anderem das Fragerecht (Auskunftsrecht) des Leiharbeiters. Nach dem Bundesdatenschutzgesetz hat der Leiharbeiter ein Auskunftsrecht über die Daten, welche zu seiner Person gesammelt wurden. Dieses Recht richtet sich originär jedoch an den Arbeitgeber (Verleiher), der beispielsweise eine Personalakte über diesen anlegt und diese Daten unter anderem für die Lohnabrechnung nutzt. Das besondere Vertragsverhältnis könnte allerdings auch für den Entleiher eine gewisse Fürsorgepflicht gegenüber dem Leiharbeiter sowie eine Offenbarungspflicht aufgrund der latenten Gefährdung von personenbezogenen Daten begründen.

Daraus lassen sich Auskunftsansprüche des Leiharbeitnehmers nach § 34 BDSG ableiten. Dieser hat wie jeder andere Arbeitnehmer einen Auskunftsanspruch, welcher gegenüber dem Entleiher sowie Verleiher besteht, da beide als verarbeitende Stelle angesehen werden. Ebenso lässt sich diesbezüglich eine Regelung im AÜG finden. Nach § 13 AÜG hat der Leiharbeiter einen speziellen Auskunftsanspruch über die Arbeitsbedingungen im Betrieb des Entleihers, wonach er vom Entleiher Auskunft über dessen Betrieb und die wesentlichen Arbeitsbedingungen verlangen kann. Zum Beispiel kann der Leiharbeiter Auskunft über das Gehalt erlangen, das vergleichbare Angestellte erhalten, die direkt beim Entleiher beschäftigt werden. Der § 12 AÜG verpflichtet den Entleiher des Weiteren dazu, im Vertrag mit dem Verleiher entsprechende Angaben über die Arbeitnehmerüberlassung aufzunehmen.

Zwar besteht zwischen den Leiharbeitern und den Entleihern kein direktes Beschäftigungsverhältnis, allerdings fallen, wie bereits erwähnt, unter den Begriff der Beschäftigten gemäß § 3 Abs. 11 Bundesdatenschutzgesetz auch Leiharbeitnehmer. Aus diesem Grund ist es anzuraten, dass Leiharbeiter – sofern sie personenbezogene Daten erheben, verarbeiten oder nutzen, ebenso wie die Arbeitnehmer des Entleihers auf das Datengeheimnis verpflichtet werden. Es sollte allerdings beachtet werden, dass bereits der potentielle Zugriff durch die Leiharbeiter eine derartige Verpflichtung erforderlich macht.

Notwendigkeit einer Zustimmungseinholung

Die Erhebung und Verarbeitung der Daten des Leiharbeiters hat für den Entleiher den Zweck, Informationen zu sammeln, die für das Arbeitsverhältnis notwendig sind. Zwar besteht häufig Uneinigkeit, ob sich die Zulässigkeit der Datenverarbeitung durch den Entleiher auf § 28 oder § 32 BDSG beruht. Eine Datenweitergabe an den Entleiher sowie die Datenverarbeitung durch den Entleiher dürfte allerdings ohne Zustimmung des Leiharbeiters zulässig sein, wenn diese Daten zur Wahrung der Interessen des Verleihers notwendig sind.

Deshalb dürfte regelmäßig keine Pflicht für den Entleiher bestehen eine Einwilligung des Leiharbeiters einzuholen. Eine vorherige Einholung der Zustimmung des Leiharbeiters schadet jedoch nicht, da der Verleiher nach § 33 BDSG verpflichtet ist, den Leiharbeiter über die Übermittlung seiner Daten an den Entleiher zu informieren und somit parallel zur Information die Einwilligung einholen könnte.

Recht auf Berichtigung, Sperrung und Löschung

Neben der Auskunftspflicht hat der Leiharbeiter auch alle anderen Rechte, die Betroffenen, deren personenbezogene Daten verarbeitet werden, zustehen. Zu diesen Rechten gehören:

  • die Berichtigung fehlerhaft gespeicherter oder übermittelter Daten (§ 35 Abs. 1 BDSG),
  • die Löschung bei unzulässiger Speicherung (§ 35 Abs. 2 BDSG) sowie
  • die Sperrung von Daten, wenn eine Löschung nicht möglich ist (§ 35 Abs. 3 BDSG).

Beurteilung der Arbeitsleistung – Was tun, wenn der Leiharbeiter mit der Bewertung nicht einverstanden ist?

Problematisch wird es vor allem dann, wenn der Leiharbeiter nicht mit der Beurteilung des Entleihers über seine Arbeitsleistung einverstanden ist. Eine Löschung der Bewertung durch den Entleiher könnte allerdings durch ein unbegründetes Veto durch den Leiharbeiter zu einer Verfälschung der Situation führen. Um beiden Interessen zu genügen, ist es ratsam, dem Leiharbeiter eine Gegendarstellung zu erlauben, die in die Personalakte aufgenommen würde. Im konkreten Fall sollte Rücksprache mit dem DSB gehalten werden.

Der Entleiher muss jedoch keine Bewertung über die Arbeitsleistung des Leiharbeiters abgeben sowie steht dem Leiharbeiter kein Recht zu von diesem die Ausstellung eines Arbeitszeugnisses zu verlangen, da zwischen Ihnen kein Arbeitsvertrag geschlossen wurde.

Fazit

Aufgrund des komplexen Konstrukts bei einem Leiharbeiterverhältnis, basierend aus der Beteiligung mehrerer Akteure, kann die Zuweisung der bestehenden Rechtverhältnisse äußerst schwierig sein. Besonders im Datenschutz ist darauf zu achten, dass für den Entleiher ebenso datenschutzrechtliche Pflichten gelten, auch wenn zwischen ihm und dem betreffenden Leiharbeiter kein Arbeitsvertrag besteht. Missachtungen können zu Bußgeldern oder auch Imageverlusten für das Unternehmen führen. Daher sollte bei einer solchen Thematik immer der Rat einer datenschutzrechtlich versierten Person (z.B. Datenschutzbeauftragter oder auch Datenschutzberater) eingeholt werden, um mögliche Probleme zu vermeiden.

Sofern Sie weitere Fragen zu dieser Thematik oder anderen Datenschutz-Themen haben, helfen wir Ihnen gerne weiter.

Wir bieten Ihnen optimale Unterstützung im Bereich Datenschutz und beantworten gerne weitere Fragen zum Datenschutz bei Arbeitnehmerüberlassungen. Kontaktieren Sie uns und holen Sie sich ein unverbindliches und kostenloses Datenschutz-Angebot bei uns ein. Wir rufen auch gerne zurück.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Chef-Trojaner“ – wenn der Arbeitgeber die Grenzen des Arbeitnehmerdatenschutzes (Beschäftigtendatenschutzes) überschreitet

ArbeitnehmerdatenschutzDie zunehmende Digitalisierung kann nicht nur den Arbeitsalltag im Büro erleichtern, sondern viele Risiken im Arbeitnehmerdatenschutz respektive Beschäftigtendatenschutz hervorrufen. Der Grund ist, dass sich für Vorgesetze immer mehr Möglichkeiten zur Verhaltens- und Leistungskontrolle sowie zur Überwachung der Mitarbeiter, mittels technisch gestützter IT-Systeme,  bieten. Es ist hierbei zunächst nebensächlich in welcher sogenannten „Verantwortlichen Stelle“ (z. B. Unternehmen, Behörde , Verein oder Verband) das Problem auftritt.

Das private Surfen deutscher Arbeitnehmer soll, so zumindest die Ansicht zahlreicher Arbeitgeber, verstärkt kontrolliert werden. Der Vorgesetzte könnte sich -dank digitaler Datenströme- jederzeit ein exaktes Bild über die Aktivitäten der Mitarbeiter verschaffen, dabei spielt vielfach keine Rolle, ob der Arbeitnehmer nun im Büro, im Homeoffice oder von unterwegs per Smartphone und Tablet arbeitet.

Gründe für die ansteigende Leistungs- und Verhaltenskontrolle sind zum einen der hohe finanzielle Schaden, der dem Arbeitgeber durch das private Surfen entsteht und andererseits auch Überlegungen im Hinblick auf die sogenannte Störerhaftung, die allerdings abgeschafft werden soll. Ein wesentlich höheres Risiko, das dem Arbeitgeber durch die Privatnutzung droht, ist allerdings der Verlust von sensiblen Daten, wie zum Beispiel von Firmengeheimnissen und personenbezogenen Daten, durch bewusstes oder unbewusstes Fehlverhalten der Mitarbeiter. Zum einen steigt die Gefahr vor Viren, Trojanern und anderen Schadprogrammen zum anderen ist das Risiko höher, dass Mitarbeiter sensible Daten an Unbefugte transferieren könnten. Die technische Entwicklung ist, wie bereits erläutert, ein weiterer Faktor, der die Verhaltens- und Leistungskontrolle verstärkt und den Arbeitnehmerdatenschutz / Angestelltendatenschutz gefährdet.

Doch wie viel Kontrolle ist erlaubt? Wo sind Grenzen im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz?

Wie kann überwacht werden?

Zahlreiche Überwachungsprogramme existieren bereits seit Jahren. Jedoch wurden die Produkte ursprünglich, wie bei der Remote-Desktop-Software, für andere Zwecke entwickelt. Zweck der Remote-Desktop-Software war logischerweise der Einsatz zu Wartungsarbeiten und später, nach der Weiterentwicklung, erst  als „Spion-Software“.

Daneben existieren natürlich zahlreiche weitere Programme, die eine Kontrolle des Arbeitnehmers ermöglichen könnten und damit den Arbeitnehmerdatenschutz gefährden würden. Viele Hersteller werben mit sogenannter Monitoring-Software, die nicht nur Bildschirmaufnahmen ermöglicht, sondern regelmäßig Auswertungen an den Arbeitgeber übersendet. Des Weiteren ist eine Kontrolle mittels Filter-Programmen möglich. Je nach Einstellung könnten hier sogar Screenshots vom Bildschirm des Arbeitnehmers erstellt und an den Vorgesetzen verschickt werden. Kommunikationsdienste, wie zum Beispiel Skype for Business, können ebenfalls – wenn auch nur in einem sehr geringen Umfang – zur Kontrolle und Überwachung beitragen, weil der Vorgesetzte einsehen kann, wer verfügbar ist bzw. wer nicht verfügbar ist. Darüber hinaus tragen viele Mitarbeiter selbst zur erhöhten Kontrolle bei, indem sie verstärkt soziale Medien, wie Facebook, einsetzen. Doch selbst bei der typischen Ausübung ihrer Tätigkeit im Unternehmen hinterlassen die Mitarbeiter digitale Spuren, so können viele Unternehmen mittels GPS-Ortung der Firmen-Fahrzeuge den Aufenthaltsort oder Fahr- und Standzeiten ihrer Mitarbeiter ermitteln.

Für die Installation der Überwachungsprogramme auf dem Computer des Mitarbeiters gibt es mehrere Möglichkeiten. Der Systemadministrator kann die Software zum Beispiel unbemerkt installieren oder der Vorgesetzte sendet eine .EXE-Datei an alle Mitarbeiter, die nur noch ausgeführt werden muss. Durch die Versendung einer Anwendungssoftware und der unbemerkten / ungewollten Installation durch Mitarbeiter würde der Vorgesetze die gleichen Wege nutzen, wie die Versender von sonstiger Schadsoftware. Wer durch geeignete Datenschutzschulungen sensibilisiert ist, der dürfte auf eine solche „Masche“ natürlich nicht reinfallen.

Das der Arbeitnehmer nichts von der Installation und Ausführung merkt, ist sogar eine Eigenschaft, die von vielen Herstellern explizit beworben wird.

Was sagt der Arbeitnehmerdatenschutz?

In Hinblick auf den Beschäftigtendatenschutz greift § 32 BDSG für Beschäftigtendaten bzw. Arbeitnehmerdaten. Der richtige Umgang mit den betrieblichen Computern, den Handys und des WLANs bedarf allerdings klar definierter innerbetrieblicher Vorgaben. Diese Vorgaben können sich z. B. aus Arbeitsanweisungen, Betriebsvereinbarungen, Richtlinien oder sonstigen – bestenfalls schriftlichen –  Unterlagen ergeben. Derartige Maßnahmen sind anzuraten, da zu all diesen Themen für die Beschäftigten klare und verständliche rechtliche Regelungen weitestgehend fehlen. Viele Arbeitgeber versuchen den Umgang mit personenbezogenen Daten der Mitarbeiter im Zusammenhang mit der Internetnutzung durch klare und zur Transparenz beitragende Betriebsvereinbarungen zu regeln. In Unternehmen ohne Betriebsrat herrscht hingegen regelmäßig Chaos und Unstimmigkeit. Bei dem Betriebsrat handelt es sich um eine Kontrollinstanz, die auch auf die Einhaltung des Beschäftigtendatenschutzes hinwirkt. Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei einer technischen Einrichtung, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglicht, ein Mitbestimmungsrecht. Binden Sie als Firma daher frühzeitig Ihren Betriebsrat, als Behörde Ihren Personalrat und in sozialen Einrichtungen Ihre Mitarbeitervertretung (MAV) ein und schaffen Sie verständliche Vorgaben. Eine gute Zusammenarbeit mit Ihrem Datenschutzbeauftragten ist dabei absolut empfehlenswert.

Darf der Chef zusehen?

Um diese Frage zu beantworten, muss geprüft werden, welche Art der Internetnutzung vorliegt. Grundsätzlich sind drei Arten der Internetnutzung zu differenzieren:

  1. Betriebliche Nutzung

Um diese Art der Nutzung handelt es sich, wenn ein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht. Der Arbeitnehmer schreibt zum Beispiel E-Mails, um mit Kunden geschäftliche Angelegenheiten zu erörtern.

  1. Dienstlich veranlasste Nutzung

Diese könnte vorliegen, wenn ein Arbeitnehmer seinen Ehepartner kontaktiert, um ihm mitzuteilen, dass er sich aufgrund seiner Arbeit verspäten wird.

  1. Private Nutzung

Eine private Nutzung liegt vor, wenn kein spezifischer Bezug zu den Arbeitsaufgaben des Arbeitnehmers besteht.

Um die private Internetnutzung im Unternehmen zu regeln, bestehen für den Arbeitgeber verschiedene Formen von Nutzungsregelungen:

  1. Verbot

Wurde durch den Arbeitnehmer ein Verbot der privaten Internetnutzung am Arbeitsplatz ausgesprochen, unterliegt der Arbeitgeber auch nicht dem Fernmeldegeheimnis des § 88 Telekommunikationsgesetzes (TKG). Der Arbeitgeber darf in diesem Fall stichprobenartig prüfen, ob das Surfen der Arbeitnehmer dienstlicher Natur ist, wobei eine vollständige Verhaltens- und Leistungskontrolle des Arbeitsnehmers auch bei einem Verbot untersagt ist. Heißt: bestmöglich nur Kontrollen in der Kombination Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter.

  1. Ausdrückliche Erlaubnis

Bei einer erlaubten Privatnutzung tritt der Arbeitergeber als Telekommunikationsanbieter auf und muss sich an Telekommunikationsgesetz, folglich an das Fernmeldegeheimnis, gemäß § 88 TKG, halten. In diesem Fall sollte der Arbeitgeber weder Verbindungsdaten noch den E-Mail-Verkehr einsehen. Dies gilt sogar, wenn der Mitarbeiter (ungeplant) für einige Wochen/Monate ausfällt oder das Beschäftigungsverhältnis beendet wird. Zudem darf der Arbeitgeber nicht auf die E-Mail-Postfächer und die Verbindungsdaten zugreifen, sogar bei Einwilligung des Arbeitnehmers. Der Grund ist, dass das Fernmeldegeheimnis nicht nur den Arbeitnehmer schützen soll, sondern auch die Kommunikationspartner.  Heißt: Vor sämtlichen Maßnahmen unbedingt  eine Abstimmung zwischen Vertreter des Unternehmens + Vertreter Betriebsrat + externer Datenschutzbeauftragter bzw. interner Datenschutzbeauftragter durchführen.

  1. Duldung

Eine sehr kritische Konstellation stellt die Duldung der privaten Internetnutzung durch den Arbeitgeber dar. Sollte die private Nutzung für den Arbeitgeber erkennbar sein und offensichtlich geduldet werden, entsteht nach einer Zeit von ca. 6-12 Monaten regelmäßig eine sogenannte betriebliche Übung. Diese kann zur Folge haben, dass der Arbeitnehmer auch in Zukunft das Internet zu privaten Zwecken nutzen darf. Das Beenden einer betrieblichen Übung, wenn es zu einer Verschlechterung für den Arbeitnehmer führt, ist in der Praxis gar nicht so einfach. Das Bundesarbeitsgericht (BAG) entschied, dass eine betriebliche Übung nicht mittels gegenläufiger betrieblicher Übung (BAG, Urteil vom 18.03.2009, Az.: 10 AZR 281/08) beseitigt werden kann. Zudem entschied das BAG im Urteil vom 05.08.2009, dass eine Betriebsvereinbarung, in der nicht klar formuliert ist, dass die betriebliche Übung mit der Vereinbarung beendet werden soll, zu keiner Beseitigung führt (Az.: 10 AZR 483/08).

Bei einer Duldung der privaten Nutzung muss sich der Arbeitgeber ebenfalls an das Fernmeldegeheimnis, gemäß § 88 TKG, halten und darf weder die Verbindungsdaten noch den E-Mail-Verkehr einsehen.

Soweit der Arbeitgeber die private Nutzung des Internets am Arbeitsplatz gestattet hat, darf er diese nicht kontrollieren. Das Überwachen des E-Mail-Verkehrs, der Browserverlaufs oder anderer Verbindungsdaten ist bei erlaubter oder geduldeter Privatnutzung untersagt, sonst würde er die Privatsphäre seiner Mitarbeiter verletzen. Insbesondere die informationelle Selbstbestimmung der Mitarbeiter (Arbeitnehmerdatenschutz) sollte gewahrt werden, denn jeder Mensch soll selbst darüber entscheiden, welche personenbezogenen Daten er preisgeben möchte. Bei der Kontrolle der privaten Internetnutzung könnte der Arbeitgeber, ohne Einwilligung des Mitarbeiters und ohne gesetzlicher Grundlage, eine Vielzahl an persönlichen Daten erheben und verarbeiten. Das Fernmeldegeheimnis soll die freie Persönlichkeitsentfaltung gewährleisten. Hierdurch sind sowohl der Inhalt, die näheren Umstände und die beteiligten Personen des Kontakts erfasst, § 88 Abs. 1 S. 1 TKG.

Ist die private Internet-Nutzung durch den Arbeitgeber nicht gestattet, ist es ihm unter bestimmten Voraussetzungen erlaubt Mitarbeiter zu überwachen. Dies wird damit begründet, dass eine unerlaubte private Internet-Nutzung letztlich einen Missbrauch der Arbeitszeit bedeutet. Um dem entgegenzuwirken, ist eine stichprobenartige Überprüfung durch den Arbeitgeber zulässig. Eine permanente Überwachung als eine Art elektronische Verhaltens- und Leistungskontrolle ist aber unter keinen Umständen erlaubt. Sind Prozesse geplant, die eine Leistungs- und Verhaltenskontrolle ermöglichen, so hat der Betriebsrat, gemäß § 87 Abs. 1 Nr. 6 BetrVG, ein Mitbestimmungsrecht und der Datenschutzbeauftragte sollte ebenfalls einbezogen werden. Laut § 4d Abs. 5 BDSG sollten Verfahren, die eine Verhaltens- und Leistungskontrolle ermöglichen durch den Datenschutzbeauftragten vorab kontrolliert werden (sogenannte Vorabkontrolle).

Eine stichprobenartige Kontrolle bei untersagter Internetnutzung sollte, wie bereits erwähnt, ebenfalls nur unter Anwesenheit eines Betriebsratsmitglieds und des Datenschutzbeauftragten erfolgen. Klare Prozesse, die Abstimmungen und gute Zusammenarbeit fordern, sind gefragt.

Strafbarkeit bei Fehlverhalten?

Der Arbeitgeber kann – wie bereits erläutert – durch die ausdrückliche Erlaubnis zur privaten Internetnutzung, rechtlich gesehen zum Anbieter von Telekommunikationsdienstleistungen werden. In diesem Fall unterliegt der Arbeitgeber dem Fernmeldegeheimnis, § 88 TKG. Dies kann erhebliche Konsequenzen mit sich bringen. Der Zugriff auf Inhalte privater E-Mails könnte ggf. zum einen als Ausspähen von Daten nach § 202 a Strafgesetzbuch (StGB) gewertet werden und damit zu einer Geldstrafe oder sogar einer Freiheitsstrafe von bis zu drei Jahren führen. Werden zudem Inhalte blockiert, wie zum Beispiel private E-Mails mittels Spam-Filter, oder teilt der Arbeitgeber die gewonnenen Informationen mit weiteren Personen, greift § 206 StGB. Eine Verletzung des Fernmeldegeheimnisses kann, laut § 206 StGB, zu einer Geldstrafe oder zu einer Freiheitsstrafe von bis zu fünf Jahren führen. Folge ist, dass der Arbeitgeber die näheren Umstände von Seitenaufrufen seitens seiner Arbeitnehmer in der Regel nicht mehr protokollieren und E-Mails nicht einsehen, filtern oder archivieren dürfte.

Der Arbeitgeber darf als Kommunikationsanbieter, gemäß § 100 Abs. 1 TKG, bei Störungen oder Fehlern auf Verkehrsdaten zurückgreifen. Der Zugriff auf die Daten sollte allerdings ausschließlich zum Erkennen und Beseitigen der Fehler erfolgen. Eine unzulässige Verwendung kann, gemäß § 149 Abs. 1 Nr. 16 und Abs. 2 Nr. 2 TKG, zu einem Bußgeld von bis zu 300.000 Euro führen.

Sind Sie innerhalb Ihres Unternehmens auf eine derartige Situation gestoßen und wissen Sie nicht, wie Sie verhalten sollen? Als erster Ansprechpartner sollte Ihr Datenschutzbeauftragter dienen. Falls Sie diese Funktion noch nicht besetzt haben, fordern Sie doch gleich ein unverbindliches Angebot an oder nehmen Sie direkt Kontakt zu uns auf.

Als externer Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema des Angestelltendatenschutzes / Beschäftigtendatenschutzes /Arbeitnehmerdatenschutz.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten

Zeiterfassung Datenschutz„ Zeiterfassung Datenschutz “ sind häufig diskutierte Themen, die in der Praxis zu vielen Fragen und zu hohen Risiken für „verantwortliche Stellen“ führen können.

Grundsätzlich gilt, dass die Zeiterfassung nicht verteufelt werden sollte, da sie zahlreiche Vorteile sowohl für den Arbeitnehmer als auch für den Arbeitgeber birgt, allerdings sollten sich „verantwortliche Stellen“ vor der Einführung der Zeiterfassung an einen Datenschutzbeauftragten wenden, da vorab einige Kontrollen durchgeführt und Maßnahmen ergriffen werden müssen.

Wieso Sie besser einen Datenschutzbeauftragten kontaktieren sollten und wie Sie die Themen „Zeiterfassung Datenschutz“ unter einen Hut bekommen, berichtet Ihr externer Datenschutzbeauftragter.

Wieso Sie bei der Zeiterfassung Datenschutz nicht außer Acht lassen sollten

Erfasst ein Unternehmen, eine Behörde oder eine andere „verantwortliche Stelle“ die Arbeitszeiten der Mitarbeiter, so greift das Datenschutzrecht. Der Grund ist, dass mittels Zeiterfassungssysteme personenbezogene Daten erhoben, verarbeitet und genutzt werden können.

Bei personenbezogenen Daten handelt es sich, gemäß § 3 Bundesdatenschutzgesetz (BDSG), um Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ist die Rede von bestimmten personenbezogenen Daten, so meint man Daten, die einer Person direkt zugeordnet werden können, wie der Name. Bei bestimmbaren Daten handelt es sich um personenbezogene Daten, die einer natürlichen Person nicht direkt, allerdings unter Zuhilfenahme einer weiteren Information oder Informationsquelle (z. B. einer Liste) zugeordnet werden können, wie zum Beispiel die Personalnummer.

Bei der Erfassung der Mitarbeiterzeiten sollte deshalb beachtet werden, dass im Datenschutzrecht das „Verbot mit Erlaubnisvorbehalt“ gilt, wodurch jegliche Erhebung, Verarbeitung und Nutzung, außer die basiert auf einer Rechtsgrundlage oder einer „informierten Einwilligung“, verboten ist.

Zulässigkeit der Zeiterfassung

Bevor Zeiterfassungssysteme eingeführt werden, sollte die „verantwortliche Stelle“ prüfen,

  • welche Daten,
  • für welchen Zweck,
  • und wie lange

erfasst werden dürfen und wer auf diese Daten zugreifen darf.

Des Weiteren sollten sie spätestens an diesem Punkt einen fachkundigen und zuverlässigen Datenschutzbeauftragten einschalten. Der Datenschutzbeauftragte, intern oder extern bestellt, sollte die geplante Zeiterfassung vorab prüfen, sogenannte Vorabkontrolle. Die Verpflichtung zur Vorabkontrolle ist in § 4 d BDSG aufgeführt. Gemäß der Vorschrift sollten automatisierte Datenverarbeitungen, wenn sie besondere Risiken für Betroffene aufweisen, durch einen Datenschutzbeauftragten vor Beginn der Datenverarbeitung geprüft werden.  Ganz besondere hohe Risiken könnten sich z. B. bei der (geplanten) Installation einer biometrischen Zeiterfassung ergeben, die üblicherweise mittels Fingerscan- bzw. Fingerprintsystem erfolgt. „Irgendwo“ muss daher systemseitig der Fingerabdruck aller Mitarbeiter hinterlegt sein. Selbst für Außenstehende mit stärkeren Berührungspunkten zum Datenschutz wird hierbei klar, dass ein derartiges Verfahren nicht ohne Weiteres eingeführt werden kann und zumindest Prüfschritte notwendig sind.

Im Rahmen der Vorabkontrolle muss der Datenschutzbeauftragte prüfen, ob die (geplante) Datenerhebung, -verarbeitung und -nutzung datenschutzkonform ist, wobei der Datenschutzbeauftragte ähnliche Beurteilungskriterien, wie bei der Videoüberwachung heranzieht. Möchten Sie mehr zum Thema „Videoüberwachung“ erfahren, dann lesen Sie doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Ebenso, wie bei der Videoüberwachung, ist oft nur ein schmaler Grat zwischen dem Verbot und der Zulässigkeit, weswegen die Systeme genauestens geprüft werden sollten. Zudem ist das Erstellen einer:

  • Richtlinie zur Zeiterfassung (Richtlinie Zeitwirtschaft)
  • Betriebsvereinbarung zur Zeiterfassung (Betriebsvereinbarung Zeitwirtschaft)
  • Dienstvereinbarung zur Zeiterfassung (Dienstvereinbarung Zeitwirtschaft)

dringend anzuraten. Diese Vereinbarungen fördern zum einen die Transparenz, wodurch die betroffenen Mitarbeiter wissen, wer Zugriff auf welche Daten hat. Des Weiteren überblicken Führungskräfte und der Arbeitgeber, auf welche Daten sie für welchen Zweck und für wie lange zugreifen dürfen. Positiver und nicht zu verachtender Nebeneffekt: Verantwortliche Stellen, gleich ob es sich um kleine, mittlere oder große Unternehmen, Behörden oder Konzerne handelt, beschäftigen sich oft erst richtig mit den Anforderungen an eine Zeiterfassung, sobald Ihr betrieblicher oder behördlicher Datenschutzbeauftragter nebst (wenn vorhanden) Betriebsrat (respektive Mitarbeitervertretung / Personalvertretung) gemeinsam mit der Geschäftsleitung oder deren Vertretern an einem Tisch sitzen. Die „Betriebsvereinbarung Zeiterfassung“ sowie die damit verbundenen Zwecke werden thematisiert und im Ergebnis wird sich auf Eckpunkte abgestimmt und niedergeschrieben.

Haben Sie weitere Fragen zur Thematik „Zeiterfassung Datenschutz“ oder benötigen Sie Hilfe bei der Erstellung von Betriebsvereinbarungen, Dienstvereinbarungen oder Richtlinien? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?

Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema Zeiterfassung, Videoüberwachung oder generell im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz bzw. Personaldatenschutz.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.