DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (29): Elektronische Schließanlagen/Ortungssysteme : aus der RDV 2/2017, Seite 72 bis 75

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Lesezeit 9 Min.

Der bayerische Landesbeauftragte hat sich in seinem am 31. Januar 2017 für das Jahr 2016 vorgelegten Tätigkeitsbericht auch wiederum mit verschiedenen Fällen des Beschäftigungsdatenschutzes befasst.

1. Datenschutz bei elektronischen Schließanlagen

U.a. nimmt er dabei ausführlich Stellung zum Einsatz elektronischer Schließanlagen, die dazu dienen, den einzelnen Beschäftigten durch Zuweisung eines mit einer eindeutigen Identifizierungsnummer gekennzeichneten elektronischen Schlüssels – oft in Gestalt eines Transponders – die Öffnung von bestimmten Türschlössern zu ermöglichen (Ziff. 11.2). Im elektronischen Schließplan wird dementsprechend festgelegt, welche Türen von welchen Schlüsseln geöffnet werden können. Darüber hinaus wird hier elektronisch gespeichert, welcher Schlüssel welcher/m Beschäftigten ausgehändigt wurde. Auf diese Weise kann insbesondere sichergestellt werden, dass Räume, in denen sensible Daten aufbewahrt werden, nur von den jeweils zuständigen Beschäftigten betreten werden können. Eine elektronische Schließanlage ermöglicht es zudem, die Zutrittsberechtigungen – etwa nach dem Ausscheiden von Beschäftigten – nachträglich zu ändern. Gehen Schlüssel verloren, können sie umgehend gesperrt werden; ferner können die betroffenen Türzylinder entsprechend umprogrammiert werden, so dass sich ein etwaiger Finder nicht unberechtigt Zutritt zu den Diensträumen verschaffen kann.

Im Ergebnis hält der LfD positiv fest, dass der Einsatz einer elektronischen Schließanlange nicht nur eine effektive, detaillierte Zutrittskontrolle ermögliche, sondern auch- aufgrund der softwaretechnischen Programmierung der Schlüssel und der Türzylinder – die gewohnte, vergleichsweise aufwändige Verwaltung und Vergabe von herkömmlichen Schlüsseln entbehrlich mache. Gleichwohl hängt ihr Einsatz von der Erfüllung einer Reihe von datenschutzrechtlichen Vorgaben ab.

Zulässigkeit der Erhebung und Verwendung von Beschäftigtendaten

In dem zentralen Schließplan wird zumindest gespeichert, welcher Beschäftigte welchen elektronischen Schlüssel mit welchen Zutrittsberechtigungen erhalten hat. Möglich ist aber grundsätzlich auch, dass zentral oder in den Speichereinheiten der Schlüssel und Türzylinder erfasst wird, mit welchem Schlüssel welche Tür zu welchem Zeitpunkt geöffnet wurde.

Durch eine Verknüpfung der eindeutigen Schlüssel-Identifizierungsnummer mit den zugehörigen Personendaten aus dem elektronischen Schließplan kann sodann die/der einzelne Beschäftigte unschwer identifiziert werden; zudem kann ihr/sein „Zutrittsverhalten“ nachvollzogen werden – und damit letztlich auch ein Bewegungsprofil erstellt werden.

Die Erhebung wie auch die Verarbeitung und die Nutzung solcher personenbezogenen Beschäftigtendaten bedarf einer datenschutzrechtlichen Erlaubnis. Diese kann sich nach dem in diesem Falle in Art. 15 Abs. 1 BayDSG geregelten „Verbot mit Erlaubnisvorbehalt“ aus dem Gesetz selbst, aus einer anderen Rechtsvorschrift oder der Einwilligung des Betroffenen ergeben.

Da es nach Ansicht des LfD in Anbetracht der (strukturellen) Abhängigkeit, in der die Beschäftigten zu ihrem Dienstherrn stehen, im Dienstverhältnis stets fraglich sei, ob eine Einwilligung tatsächlich freiwillig, also ohne – zumindest gefühlten – (Gruppen-)Druck, erteilt wird, scheide die Einwilligung als Grundlage der DV-Verarbeitung mittels der Schließanlage regelmäßig aus. Der Einsatz von elektronischen Schließanlagen ist daher auf der Grundlage einer Einwilligung der Beschäftigten – wenn überhaupt – nur in sehr engen Grenzen möglich.

Als eine „bereichsspezifische“ gesetzliche Rechtsgrundlage im Sinne des Art. 15 Abs. 1 Nr. 1 BayDSG kommt für die Erhebung von personenbezogenen Beschäftigtendaten bei bayerischen Beamten die Vorschrift des Art. 102 Bayerisches Beamtengesetz (BayBG) in Betracht, wobei diese Bestimmung nach Ansicht des LfD auch ohne entsprechende Verweisungsnorm als allgemein gültiges Schutzprinzip für alle öffentlichen Bediensteten, d.h. auch auf die nicht-verbeamteten Beschäftigten des bayerischen öffentlichen Dienstes entsprechend anzuwenden ist. Sie erlaubt die Erhebung von sog. Personalaktendaten“, soweit dies (unter anderem) zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt.

Bei den Daten im elektronischen Schließplan, die eine Zuordnung der elektronischen Schlüssel zu den jeweiligen Beschäftigten erlauben, handelt es sich jedoch – ebenso wie bei den möglicherweise gespeicherten „Zutrittsdaten“– nicht um Unterlagen, die mit dem Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen. Diese Daten stellen somit keine Personalaktendaten im Sinne des § 50 Satz 2 Beamtenstatusgesetz, wohl aber personenbezogene Sachaktendaten dar.

Damit richtet sich die Zulässigkeit der Verarbeitung und Nutzung von derartigen Beschäftigtendaten nach den allgemeinen Vorschriften des Bayerischen Datenschutzgesetzes, d.h. hier Art. 17 Abs. 1 BayDSG.

Damit kommt es für die Beurteilung der datenschutzrechtlichen Zulässigkeit entscheidend darauf an, ob und inwieweit die mit dem Einsatz von elektronischen Schließanlagen verbundenen Erhebungen, Nutzungen und Verarbeitungen personenbezogener Beschäftigtendaten zur ordnungsgemäßen Aufgabenerfüllung der öffentlichen Stelle – im Wesentlichen also zur sachgerechten Organisation des Betriebsablaufs und zur effektiven Wahrnehmung des Hausrechts – erforderlich sind.

Die Erforderlichkeit ist zu bejahen, wenn die mit dem Einsatz einer elektronischen Schließanlage einhergehenden Datenerhebungen und -verwendungen nicht nur die Aufgabenerfüllung des Dienstherrn objektiv unterstützen und fördern, sondern auch zu den schutzwürdigen Interessen der Beschäftigten in einem angemessenen Verhältnis stehen. Insbesondere dürfen die (berechtigten) Interessen des Dienstherrn nicht auf andere, weniger in das Persönlichkeitsrecht der Beschäftigten eingreifende Weise gewahrt werden können.

Damit ist wie folgt abzuwägen: Die Führung eines elektronischen Schließplans, aus dem sich nicht nur ergibt, welcher elektronische Schlüssel welcher/m Beschäftigten ausgehändigt wurde, sondern auch, zu welchen Räumen jeweils der Zutritt gestattet wurde, kann in der Regel als zur Aufgabenerfüllung des Dienstherrn erforderlich angesehen werden. Hier bestehen zwischen einer in Papierform geführten „Schlüsselliste“ und einem elektronischen Schließplan keine maßgeblichen Unterschiede.

Problematischer ist es hingegen, wenn mittels der elektronischen Schließanlage – sei es zentral, sei es im Schlüssel, sei es im Türzylinder – auch die „Zutrittsdaten“ gespeichert werden, also protokolliert wird, mit welchem Schlüssel (und damit mittelbar auch von welchem Beschäftigten) wann welches Türschloss geöffnet oder geschlossen wurde.

Ob und inwieweit eine solche Speicherung zulässig ist, lässt sich nicht für alle Bereiche aller öffentlichen Stellen einheitlich und im Vorhinein beurteilen. Diese Bewertung hängt maßgeblich von den Umständen des Einzelfalles ab und kann daher letztlich nur vor Ort abschließend erfolgen. Grundsätzlich ist jedoch eine Speicherung der Zutritte zur behördlichen Aufgabenerfüllung nicht erforderlich. Zweck einer Schließanlage ist es, eine aufgabengerechte Zutrittsverwaltung zu betreiben und eine sachgerechte Ausübung des Hausrechts zu ermöglichen. Hierzu bedarf es einer Protokollierung der Zutritte beim Einsatz einer elektronischen Schließanlage ebenso wenig wie beim Gebrauch einer herkömmlichen, mechanischen Schließanlage.

Ist eine Speicherung von „Zutrittsdaten“ im Ausnahmefall – etwa beim Einsatz einer elektronischen Schließanlage in besonders sicherheitsrelevanten Bereichen – einmal zulässig, so ist sicherzustellen, dass die Speicherung möglichst kurz erfolgt und ein Zugriff auf die gespeicherten Daten unmöglich ist oder zumindest auf einen vorher festgelegten Personenkreis eng begrenzt wird. Besonders wichtig ist es auch, die gespeicherten personenbezogenen Beschäftigtendaten durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen.

Beteiligungsrechte

Zu beachten ist ferner, dass nach bayerischem Datenschutzrecht (Art. 26 Abs. 1 S. 1 BayDSG) der Einsatz einer elektronischen Schließanlage der vorherigen schriftlichen datenschutzrechtlichen Freigabe durch den behördlichen DSB bedarf.

Zudem besteht zwingend Mitbestimmung gemäß Art. 75a Abs. 1 Nr. 1 Bayerisches Personalvertretungsgesetz (BayPVG), wenn bzw. weil von der elektronische Schließanlage gespeicherte Daten der Überwachung des Verhaltens oder der Leistung der Beschäftigten dienen könnten.

In einer Dienstvereinbarung (§ 73 BayPVG) sollte nach Empfehlung des LfD insbesondere geregelt werden,

  • zu welchen Zwecken genau welche – gegebenenfalls in einer Anlage zur Dienstvereinbarung konkret zu benennenden – Daten mittels der elektronischen Schließanlage in welchem Umfang erhoben, verarbeitet oder genutzt werden; dabei ist die Dauer der Speicherung auf das für den jeweiligen Zweck unbedingt erforderliche Maß zu begrenzen,
  • welche Personen innerhalb der öffentlichen Stelle Zugriff auf die gespeicherten Daten haben, wobei – wenn möglich – eine Protokollierung der Zugriffe erfolgen sollte,
  • wann genau die Daten zu löschen sind; dabei sind generell kurzfristige Löschvorgaben zu machen,
  • dass die Verwendung der Daten zur permanenten und allgemeinen Verhaltens- oder Leistungskontrolle ausgeschlossen ist. Zulässig sind allenfalls Anlasskontrollen im Falle eines durch konkrete Tatsachen begründeten Verdachts auf einen dienst-, arbeits-, straf- oder ordnungswidrigkeitsrechtlichen Verstoß sowie anlasslose Stichproben. In diesen Fällen darf die Auswertung des Datenmaterials allerdings nur unter Beteiligung der Personalvertretung und des oder der behördlichen Datenschutzbeauftragten vorgenommen werden,
  •  dass die Beschäftigten über den Inhalt der Dienstvereinbarung unterrichtet werden.[1]

Ausstattung von Dienstfahrzeugen mit Ortungs . psystemen

Festgestellt wurde von dem LfD auch die stetig zunehmende Ausrüstung von Dienstfahrzeugen mit GPS-Ortungssystemen, die in erster Linie dem Zweck dient, die Fahrzeugeinsätze – insbesondere durch die Verringerung der Fahrzeiten zum nächsten Einsatzort – zu optimieren (Ziff. 11.4). U.a. betroffen sind daher vor allem kommunale Bauhoffahrzeuge zur Planung und Steuerung der Straßenreinigungs-/-pflegearbeiten oder des Winterdienstes – mit Ortungssystemen.

Mit Hilfe satellitengestützter Ortungssysteme kann jederzeit der geographische Standort des Fahrzeugs – und damit im Regelfall auch der Aufenthaltsort der Beschäftigten – exakt bestimmt werden. In der Folge können die Fahrzeit und die Fahrtroute der Beschäftigten (Bewegungsmuster) genau nachvollzogen werden. Erfasst werden – je nach System – zudem etwa auch Fahrtunterbrechungen nach Ort und Zeit, Geschwindigkeiten oder Verbrauchswerte; so können zusätzlich Rückschlüsse auf das Fahrverhalten gezogen werden.

Hinsichtlich der datenschutzrechtlichen Erlaubnis solcher Datenerhebungen gelten die zuvor gemachten Ausführungen gleichermaßen.

Danach kommt eine Einwilligung der Beschäftigten – wenn überhaupt – nur in sehr engen Grenzen in Betracht.

Auch hier lässt sich die Frage, ob und inwieweit der Einsatz von Ortungssystemen nach Art und Umfang diesen Anforderungen in der Praxis genügen kann, nicht für alle öffentlichen Stellen einheitlich und im Vorhinein beurteilen. Vielmehr hängt dies maßgeblich von den Umständen des Einzelfalls ab und kann daher letztlich meist nur vor Ort abschließend beurteilt werden.

Unabhängig davon gibt der LfD folgende allgemeine Hinweise:

  • Kein permanenter Kontrolldruck

Festzuhalten ist, dass eine Dauerüberwachung unzulässig ist. Unzulässig ist insoweit schon die Erhebung der Daten, nicht erst deren Nutzung und Verarbeitung. Nicht zulässig ist insbesondere eine Überwachung auf Vorrat, etwa für den Fall, dass das Dienstfahrzeug gestohlen wird. Insgesamt dürfen die Beschäftigten keinem permanenten Kontrolldruck ausgesetzt werden.

  • Keine Ortung bei Privatnutzung

Ist den Beschäftigten die Nutzung des Dienstfahrzeugs zu privaten Zwecken gestattet, so müssen sie währenddessen das Ortungssystem deaktivieren können. Denn die Dokumentation einer solchen – zulässigen – Privatnutzung ist zur Optimierung des Betriebsablaufs augenscheinlich nicht erforderlich. Der (Weiter-)Betrieb des Ortungssystems während einer erlaubten Privatnutzung des Dienstfahrzeugs ist auf der Grundlage einer Einwilligung der Beschäftigten nur in sehr engen Grenzen möglich.

  • Verwendung von Ortungsdaten zur Dienstaufsicht

Nicht von vornherein und in jedem Falle unzulässig ist eine Verwendung von Ortungsdaten zu Zwecken der Dienstaufsicht. So ist gemäß Art. 17 Abs. 3 Satz 1 Fall 1 BayDSG – im Rahmen der Verhältnismäßigkeit – eine Datenverarbeitung oder -nutzung für andere Zwecke möglich, wenn sie der Wahrnehmung von Aufsichts- oder Kontrollbefugnissen dient. Aus Datenschutzsicht sollte aber von dieser Möglichkeit – auch zur Vermeidung eines unzulässigen permanenten Kontrolldrucks – nur zurückhaltend Gebrauch gemacht werden. Letztlich erscheint eine Verwendung von Ortungsdaten zur Dienstaufsicht nur im Falle eines hinreichenden, tatsachengestützten Verdachts auf eine dienstoder arbeitsrechtliche Pflichtverletzung oder bei einem durch konkrete Tatsachen begründeten Verdacht auf eine Straftat oder Ordnungswidrigkeit denkbar.

  • Diebstahl des Dienstfahrzeugs

Wenig problematisch ist es, wenn eine GPS-Ortung erst aktiviert wird, wenn ein Dienstfahrzeug gestohlen wurde. In diesem Fall liegt schon keine Erhebung personenbezogener Daten einer/eines Beschäftigten vor; die daher dann einschlägige Rechtsgrundlage in Art. 16 BayDSG ist in ihren Voraussetzungen erfüllt. Die Datenverarbeitung und -nutzung ist sodann gemäß Art. 17 BayDSG gerechtfertigt.[2]

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.

[1] Vgl. zur Thematik auch die Hinweise des ThürLfDI „Einsatz von Zutrittskontrollsystemen“ https://www.tlfdi.de oder ULD SchleswigHolstein, 27. TB, 2005, Abschnitt Nr. 4.1.3.

[2] Vgl. insgesamt auch die Orientierungshilfe des LfDI N-W, „Einsatz von Ortungssystemen und Beschäftigtendatenschutz“, https://www.ldi.nrw.de.