Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (23): Fälle zum Beschäftigtendatenschutz : aus der RDV 1/2016, Seite 25 bis 27
Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*
Einsicht in Arbeitszeitkonten von Kollegen
Dass Mitarbeiter zwecks ihrer Arbeitsplanung auch die Arbeitszeitkonten ihrer Kollegen mit geplanten Urlaub und Freistellungen einsehen und so gemeinsame Veranstaltungen wie beispielsweise Weiterbildungen besser planen oder bei gewünschten Dienstplanänderungen erkennen können, wer dafür potentiell überhaupt in Frage kommt, sieht der SächsDSB (7. TB, 2013-3/2015, DS im n.-ö. Bereich; Ziff. 8.3.3) nur unter eingegrenzten Bedingungen als zulässig an.
Die entsprechende Datennutzung sei nach § 32 Abs. 1 Satz 1 bzw. § 28 Abs. 1 Satz 1 Nr. 2 BDSG nur zulässig, soweit sie für einen geregelten Dienstbetrieb zwingend erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Dies sei jedoch angesichts der Risiken einer weder wünschenswerten noch arbeitsrechtlich erlaubten Sozialkontrolle der Mitarbeiter untereinander im Regelfall nicht gegeben.
Eine andere Sichtweise wäre allenfalls dann vertretbar, wenn folgende Voraussetzungen erfüllt sind:
- Eine wechselseitige Einsicht ist nur innerhalb einer begrenzten Organisationseinheit möglich, also im Kreis von Personen, die ihre Arbeits- bzw. Abwesenheitszeiten aufeinander abstimmen bzw. hiervon zwingend Kenntnis nehmen müssen.
- Eine Rückschau auf vergangene Zeiträume ist begrenzt, maximal auf den jeweiligen Vormonat.
- Krankheitsbedingte oder sonst allein in der Person des Beschäftigten liegende Abwesenheiten sind als solche nicht ausgewiesen oder erkennbar.
- Kommen- und Gehen-Zeiten sowie Angaben zum Arbeitszeitsaldo (Plus- und Minusstunden) können von Kollegen nicht eingesehen werden.
Vorzuziehen sei jedoch auch im Hinblick auf § 3a BDSG, statt eines mitarbeiterübergreifenden Zugriffs auf Zeiterfassungskonten einen gesonderten Abwesenheits- und Dienstkalender zu führen.
Grenzen der Auftragsdatenverarbeitung – vorgesehene Privatisierung im öffentlichen Beschaffungswesen
Erwägungen der sächsischen Polizei- und Justizverwaltung zur Privatisierung der Beschaffung von Dienst- und Schutzkleidung der Bediensteten stießen bei dem SächsDSB auf erfolgreiche datenschutzrechtliche Bedenken (17. TB, 2015, Ziff. 5.1.4). Gedacht war daran, dass ein externer Dienstleister die Übernahme, Lagerung und Auslieferung von Dienstkleidung an die Bediensteten übernimmt. Ferner sollte ein automatisiertes Verfahren mit einer von dem Dienstleister betriebenen Bestellplattform die Abwicklung von Bestellungen, Retouren, Reklamationen, Beschwerden, Umtausch sowie die Rücknahme, Vernichtung oder Verwertung von Dienstkleidung ermöglichen. Zur Durchführung des Verfahrens sollte der Auftragnehmer jeweils Name, Vorname, Dienststelle und die dienstliche E-Mail-Adresse und Konfektionsgröße sowie im Falle von Privatbestellungen die Kontoverbindung und die Bankleitzahl als personenbezogene Daten der Bediensteten verarbeiten dürfen. Die Stammdaten sollten von der Polizeiverwaltung zur Verfügung gestellt werden. Ziel sollte sein die „Privatisierung“ bzw. „Vollprivatisierung“ des Beschaffungswesens im Polizeibereich (vgl. Antwort der Staatsregierung zu einer Kleinen Anfrage im Sächsischen Landtag – LT-Drs. 5/14390).
Dabei war zunächst die Frage zu beantworten, inwieweit ein privater Auftragnehmer an der hoheitlichen Pflichtaufgabe des Dienstherrn, die benannten Bediensteten mit angemessener Dienstkleidung auszustatten (vgl. §§ 136, 143 SächsBG), beteiligt werden kann und in welchem Umfang er befugt sein kann, für die öffentliche Stelle die Beschäftigtendaten im Zusammenhang mit der Beschaffung der Dienstkleidung zu verarbeiten. Maßgebend dafür war die rechtliche Einordnung des Austausches personenbezogener Daten mit dem Dienstleister, nämlich ob dieser im Wege der Auftragsdatenverarbeitung oder zwecks einer Funktionsübertragung erfolgt.
Bei einer Auftragsdatenverarbeitung ist die Polizeiverwaltung weiterhin als datenschutzrechtlich verantwortliche Stelle zu betrachten (vgl. § 7 Sächs-DSG). Die Weitergabe von Informationen an den Auftragnehmer wäre nicht als Übermittlung von Beschäftigtendaten sondern wie eine Weitergabe innerhalb der organisatorischen Stelle der Polizeiverwaltung anzusehen und somit zulässig. Die Übermittlung von Beschäftigtendaten an nicht-öffentliche Stellen ist hingegen gesetzlich beschränkt und wäre nur zulässig gewesen, soweit eine Rechtsvorschrift eine Übermittlung vorsieht oder der Betroffene einwilligt (vgl. § 37 Abs. 3 SächsDSG).
Der SächsDSB kommt sodann zu dem Ergebnis, dass der Vorgang über den Fall der Auftragsdatenverarbeitung hinausgehe, da er nicht nur Datenverarbeitung im engen technischen Sinne, sondern auch inhaltliche Aufgabenübertragung beinhaltet. Es sei jedoch nicht zulässig, die Erlaubnis der Auftragsdatenverarbeitung seitens der Exekutive zu einer allgemeinen Rechtsgrundlage für Outsourcing und Aufgabenübertragung auf Dritte umzuformen, obwohl sie vom Wortlaut und Zweck her eine ganz andere Fallgestaltung regeln soll.
Soweit Aufgaben oder auch Teilbereiche der Aufgabenerfüllung auf eine andere öffentliche oder nicht-öffentliche Stelle übertragen werden sollen und die damit verbundene elektronische Datenverarbeitung nur Annex zur eigentlichen Aufgabenverlagerung ist, sei zu beachten, dass angesichts der verfassungsrechtlich geforderten Bindung der Verwaltung an Recht und Gesetz eine funktionale Tätigkeit nur durch den Gesetz- und Verordnungsgeber bestimmt werden kann, wobei gleichzeitig der Umfang der funktionalen Tätigkeit des Auftragnehmers zu begrenzen und die zuständige Stelle für deren Aufgaben zu bestimmen ist. Das Sächsische Beamtengesetz bzw. die ergänzenden Rechtsverordnungen eröffnen hierzu keine Möglichkeiten.
Zudem wäre eine Übermittlung personenbezogener Daten der Bediensteten zwecks Funktionsübertragung nicht erforderlich und damit nach § 37 SächsDSB unzulässig gewesen. Vorstellbar wäre nämlich gewesen, dass der Dienstleister die Bestellungen der Dienstkleidung lediglich für die Behörden speichert und für diese „durchleitet“ und die Weitergabe und Entgegennahme von Erklärungen im Namen der Behörde vornimmt.
GPS-Ortung von Dienstfahrzeugen
Zu den grundsätzlichen Anforderungen an die Überwachung von Dienstfahrzeugen per GPS-Überwachung äußert sich der 7. TB, 04/2014-03/2015, des SächsDSB für den n.ö. Bereich, (Ziff. 8.3.4, S. 59). Die genaue Feststellung, zu welchem Zeitpunkt bzw. lange sich die von den Beschäftigten genutzten Fahrzeuge an welchem Ort befinden bzw. befunden haben, bedarf einer Erlaubnis der Datenerhebung und Speicherung nach § 4 Abs. 1 BDSG. Auch wenn sich die Angaben unmittelbar nur auf das Empfangsgerät beziehen, entsteht durch die beim Arbeitgeber mögliche Gerätezuordnung zu den ein entsprechend ausgerüstetes Fahrzeug führenden Beschäftigten regelmäßig ein Personenbezug (§ 3 Abs. 1 BDSG)
Der SächsDSB billigt ein Ortungssystem, das – neben der datenschutzrechtlich unbedenklichen Fahrzeugverfolgung im Diebstahlsfall – im Falle eines bundesweiten, jeweils über mehrere Tage andauernden Einsatzes der Beschäftigten ausschließlich für Zwecke der Fahrzeug- bzw. Mitarbeiterdisposition eingesetzt wird (§ 32 Abs. 1 Satz 1 BDSG). Erforderlich sei es in der Regel jedoch nur, dass der Arbeitgeber die Standortdaten seiner Beschäftigten ausschließlich in Echtzeit verarbeitet und nutzt. Die Speicherung der Standortdaten berge bzw. vergrößere darüber hinaus die Gefahr der nachträglichen zweckfremden Nutzung der Daten zur Verhaltenskontrolle.
Dieses besondere Risiko ist auch der Grund, weshalb Arbeitgeber regelmäßig verpflichtet sind, vor Einsatz des Ortungssystems eine Vorabkontrolle durchzuführen (§ 4d Abs. 5 BDSG).
Für den Einsatz von GPS-Systemen werden folgende Grundsätze aufgestellt: Die offene Verwendung von Ortungssystemen zur Koordinierung des Einsatzes von Fahrzeugen und Mitarbeitern ist
- unter Beachtung betriebsverfassungsrechtlicher Vorgaben,
- der Durchführung einer datenschutzrechtlichen Vorabkontrolle
auf Grundlage von § 32 Abs. 1 Satz 1 BDSG insoweit datenschutzrechtlich zulässig, wie es aus betrieblichen Gründen
- erforderlich ist, den Standort des georteten oder den gleichzeitigen Einsatz anderer Fahrzeuge oder verschiedener Mitarbeiter kurzfristig zu beeinflussen,
- sich die Datenerhebung auf den geografischen Standort des Fahrzeugs beschränkt und
- wdie Daten sofort gelöscht werden, sobald das geortete Fahrzeug seine Position ändert.
Weitergabe von Beschäftigtendaten an potentiellen neuen Arbeitgeber
Ein Unternehmen schloss aus Kostengründen sein bisheriges Callcenter und hatte deswegen den dortigen Beschäftigten gekündigt; die Callcenter-Leistungen sollten künftig von einem externen Dienstleister erbracht werden. Um den Betroffenen jedoch eine Weiterbeschäftigung zu ermöglichen und dem beauftragten Dienstleister bereits mit den Aufgaben vertrautes Personal zu verschaffen, gab das Unternehmen die Namen und privaten Telefonnummern der betroffenen Mitarbeiter an den neuen Callcenter-Betreiber weiter. Dieser kontaktierte diese in der Folgezeit telefonisch und unterbreitete ihnen das Angebot einer Anschlussbeschäftigung, allerdings zu weit schlechteren Bedingungen als bisher.
Zutreffend hält der SächsDSB (7. TB, 04/2013-03/2015, Datenschutz im n.-ö. Bereich, Ziff. 8.3.2) fest, dass die Übermittlung der Daten ebenso rechtswidrig war, wie die weitere Nutzung und Verarbeitung der Daten durch den potentiellen neuen Arbeitgeber. Die Beschäftigten hatten ausschließlich selbst darüber zu entscheiden, ob sie wegen einer baldigen Arbeitslosigkeit und einer möglichen Anschlussbeschäftigung bei anderen Arbeitgebern vorstellig werden möchten. Ihr bisheriger Arbeitgeber hätte eine Übermittlung von Namen und Erreichbarkeiten also allein mit der Einwilligung der Betroffenen tätigen dürfen, sprich auf die besondere Nachfrage, ob sie sich vorstellen können, künftig für das Nachfolgeunternehmen zu arbeiten und ob dieses deswegen die Daten erhalten und Kontakt aufnehmen darf.
Zudem weist der SächsDSB darauf hin, dass schon ihrem bisherigen Arbeitgeber die Erhebung und Verarbeitung privater Telefonnummern allein bei einem objektiven Erfordernis einer besonderen außerdienstlichen Erreichbarkeit (z.B. Rufbereitschaft/Beschäftigungsverhältnis mit flexiblem Personaleinsatz) gestattet gewesen sei, da Arbeitnehmer ansonsten ein schutzwürdiges Interesse daran haben, dass ihre privaten Kommunikationsmittel als der Privatsphäre zugehörig respektiert werden und eine stetige Erreichbarkeit durch Vorgesetzte nicht ihr Freizeitempfinden und -verhalten beeinträchtigt.
Mitarbeiterbefragung
Die BfDI äußert sich in ihrem jüngsten TB (25. Tätigkeitsbericht 2013-2014, Ziff 5.7.2) 81 – wenn auch sehr allgemein – zur Zulässigkeit von Mitarbeiterumfragen,
Zu der Frage der Einschaltung des Personalrats bei personenbezogenen Datenerhebungen, gleichgültig ob sie pseudonymisiert oder anonymisiert erfolgen, ergeht folgender mehr Fragen offen lassender als beantwortender Hinweis: Vor der Planung und Durchführung einer Mitarbeiterbefragung sei zu prüfen, ob eine Beteiligung der Personalvertretung erfolgen muss. Ob als Erlaubnistatbestand eine Dienstvereinbarung ausreicht, soll vom – nicht präzisierten – Einzelfall und der jeweiligen Ausgestaltung abhängen. Auch die Frage, ob eine Mitarbeiterbefragung anonym oder pseudonym durchgeführt werden darf, bleibt unter Hinweis auf die hierüber entscheidenden jeweiligen konkreten Umstände des Einzelfalls offen.
Konkreter wird es, wenn die Mitarbeiterbefragung unmittelbar personenbezogen oder pseudonymisiert erfolgt, wobei im Falle einer elektronischen Befragung die Versendung eines Links an die personalisierten E-Mail-Postfächer der Beschäftigten gegen die Anonymität der Umfrage spricht. Hier ist eine rechtliche Grundlage erforderlich. Als Rechtsgrundlage wird die Einwilligung der Mitarbeiter nach § 4a BDSG trotz des Machtungleichgewichts zwischen Arbeitgeber/Dienstherr und Beschäftigtem im Rahmen von Mitarbeiterbefragungen als zulässig angesehen, da das Beschäftigungsverhältnis hiervon nicht unmittelbar betroffen sei. Das Risiko der Re-Identifizierung bei pseudonymisierten Befragungen muss aber möglichst gering bleiben, beispielsweise durch Auslagerung einer Zuordnungsliste an Personen außerhalb der Behörde und begrenzte Zugriffsmöglichkeiten von Behördenmitarbeitern. Um die Freiwilligkeit zu gewährleisten, dürfen Beschäftigten, die sich gegen eine Teilnahme entscheiden, keine Nachteile entstehen. Personalisierte Mahnungen haben daher zu unterbleiben; allgemeine Aufforderungen zur Teilnahme hingegen sind zulässig.
Den Befragten muss klargemacht sein, dass bei Mitarbeiterbefragungen subjektive Einschätzungen und Bewertungen nur freiwillig abgefragt, d.h. nicht verpflichtend erhoben werden dürfen. Wesentliche Bedeutung kommt daher einer vorherigen umfassenden Aufklärung der Mitarbeiter zu. Zudem ist der Hinweis auf die Freiwilligkeit in die Fragebögen selbst aufzunehmen und hervorzuheben.
Soweit Anonymität zugesichert ist, muss diese nicht nur bei der Erhebung, sondern auch bei der Auswertung – beispielsweise den Einheiten statistischen Ergebnisse – gewährleistet sein. Falls die elektronische Umsetzung der anonymen Befragung gewünscht ist, kommt die Abfrage an Stand-alone-Computern in Betracht, die keine Rückschlüsse auf den Arbeitsplatz der betroffenen Beschäftigten zulassen. Besteht Teilnahmepflicht bzw. sollen Doppelteilnahmen vermieden werden und soll nachgehalten werden, wer seine Bewertung abgegeben hat, ist dies nur bei Umfragen in Papierform unschwer zu realisieren.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.