18. GDD-Sommer-Workshop
DA+

Bericht : Praxisfälle zum Datenschutzrecht IX: Veröffentlichung von Beschäftigtendaten im Unternehmen und außerhalb : aus der RDV 2/2021, Seite 113 bis 116

Archiv RDV
Lesezeit 12 Min.

I. Sachverhalt

Unternehmen U möchte für seine Beschäftigten und Kunden/Kundinnen kommunikativer und transparenter werden. Dazu plant die Geschäftsführung, im Intranet des Unternehmens unter der Rubrik „Personalia“ über die Einstellung von neuen Beschäftigten unter Angabe von Namen, Funktion, dienstlichen Kontaktdaten bzw. das Ausscheiden von Beschäftigten zu informieren. Ferner soll unter der Rubrik zu Dienstjubiläen und runden Geburtstagen gratuliert werden.

Im Hinblick auf die Außenkommunikation ist vorgesehen, dass Geschäftsführung, Abteilungsleiter/innen, Außendienstmitarbeiter/innen sowie Sekretariatsmitarbeiter/ innen auf der öffentlichen Website des Unternehmens jeweils mit Namen, Zuständigkeit, dienstlichen Kontaktdaten und Foto freundlich dargestellt werden sollen. Ist das Vorhaben datenschutzrechtlich zulässig?

II. Musterfalllösung

1. Unternehmensinterne Veröffentlichung von „Personalia“ im Intranet

Es stellt sich die Frage, ob die betriebsinterne Veröffentlichung im Intranet zur Durchführung des Beschäftigungsverhältnisses gem. § 26 Abs. 1 S. 1 BDSG erforderlich ist.

Die Erforderlichkeit einer Veröffentlichung zur Durchführung des Beschäftigungsverhältnisses setzt voraus, dass diese im Zusammenhang mit der Wahrnehmung von arbeitsvertraglichen Rechten oder Pflichten steht. Insoweit ist der Gegenstand der veröffentlichten Information von entscheidender Bedeutung.

Ferner wird bei der Prüfung der Erforderlichkeit, die nicht voraussetzt, dass das Verfahren der einzig mögliche und damit unvermeidbare Weg zur Erreichung der verfolgten Zwecke ist, zu bestimmen sein, ob die Veröffentlichung im Hinblick auf ggf. entgegenstehende Interessen der Beschäftigten verhältnismäßig ist.

Typischerweise wird es für die Arbeitsabläufe im Unternehmen nicht erforderlich sein, dass alle Beschäftigten über sämtliche Personalveränderungen informiert werden. Regelmäßig genügt es, Personalwechsel nur insofern allgemein bekanntzugeben, wie diese für die Organisation des Betriebs maßgebende Stellen betreffen, z.B. die Einstellung eines neuen Personalleiters. Im Übrigen reicht es grundsätzlich, ausschließlich diejenigen Beschäftigten über Personalveränderungen zu informieren, für welche die konkrete Veränderung praktisch relevant ist, weil sie mit der betreffenden Person zusammenarbeiten. Etwas anderes mag ausnahmsweise in kleinen Unternehmen bzw. Organisationen gelten, wo sich ohnehin alle Mitarbeiter persönlich kennen.

Zwischenergebnis: Soweit bezogen auf die konkrete Position die allgemeine Kommunikation der Personalveränderung für die unternehmerischen Abläufe geboten ist, ist der Weg der Veröffentlichung im Intranet unter Beachtung des Prinzips der Verhältnismäßigkeit als erforderlich anzusehen und daher gem. § 26 Abs. 1 S. 1 BDSG rechtmäßig.

Entsprechendes gilt, sofern die dienstlichen Kontaktdaten neueingestellter Beschäftigter sowie deren Funktion unternehmensintern allgemein bekanntgegeben werden sollen. Dies ist datenschutzrechtlich nur zulässig, soweit es aufgrund der konkreten Funktion der betroffenen Beschäftigten im Unternehmen erforderlich ist. Sollen Kontakt- und Zuständigkeitsinformationen von Beschäftigten konzernweit geteilt werden, z.B. im Rahmen von konzernweiten Verzeichnissen, ist vor Aufnahme zu prüfen, inwiefern die im Rahmen der konkreten Tätigkeit erwarteten konzernweiten Kontakte eine Publizität in diesem Ausmaß erforderlich machen. Entscheidend ist insoweit eine Einzelfallbetrachtung bzw. eine typisierende Betrachtung auf Basis von gleichartigen Gruppen von Beschäftigten. Ggf. kann ein Verzeichnis auch mittels Zugriffsberechtigungen in unterschiedliche Funktionsbereiche unterteilt werden, um mit vertretbarem Aufwand eine Beschränkung der Reichweite bzw. Publizität zu erreichen.

Fraglich ist, ob die unternehmensöffentliche Würdigung von Betriebsjubiläen unter dem Zweck der Durchführung des Beschäftigungsverhältnisses als erforderlich angesehen werden kann. Die Betriebstreue eines Mitarbeiters bringt dessen enge Verbundenheit mit dem Unternehmen zum Ausdruck, welche durch die interne Veröffentlichung danksagend gewürdigt werden soll. Zugleich soll mit entsprechenden Veröffentlichungen zur Pflege des Betriebsklimas beigetragen werden. Die Veröffentlichung von Betriebsjubiläen steht zwar im Zusammenhang mit dem Beschäftigungsverhältnis, allerdings kann dieses zweifelsohne auch ohne Veröffentlichung von Jubiläen durchgeführt werden. Die interne Veröffentlichung ist damit nicht über § 26 Abs. 1 S. 1 BDSG gerechtfertigt.

Fraglich ist, ob neben § 26 Abs. 1 S. 1 BDSG auch Art. 6 Abs. 1 S. 1 lit. f DS-GVO, also die Interessenabwägung als Rechtsgrundlage in Betracht kommt. Zwar ist, obwohl der Wortlaut dies nicht deutlich macht, § 26 BDSG keine abschließende Regelung für die Verarbeitung von Beschäftigtendaten.[1] Grundsätzlich kann daher auch eine Verarbeitung von Beschäftigtendaten über Art. 6 Abs. 1 S. 1 lit. f DS-GVO legitimiert sein. Bei gleichzeitigem Bestehen eines Vertragsverhältnisses muss Art. 6 Abs. 1 S. 1 lit. f DS-GVO allerdings einschränkend ausgelegt werden, da ansonsten die sich aus Art. 6 Abs. 1 S. 1 lit. b DS-GVO bzw. § 26 Abs. 1 S. 1 BDSG ergebende Beschränkung auf vertraglich erforderliche Datenverarbeitungen ausgehöhlt würde. Die nicht auf vertragliche Erforderlichkeit abstellende Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. f DS-GVO findet nur Anwendung, wenn Zwecke verfolgt werden, die nicht unmittelbar auf das Beschäftigungsverhältnis, d.h. die Rechtsbeziehung Arbeitgeber-Beschäftigter bezogen sind.[2] Wie bereits ausgeführt, steht die Veröffentlichung von Betriebsjubiläen zwar im Zusammenhang mit dem Beschäftigungsverhältnis. Sie betrifft aber nicht die vertragliche Beziehung zwischen Arbeitgeber und Beschäftigtem, da kein Zusammenhang zu Rechten und Pflichten aus dem Beschäftigungsverhältnis besteht. Ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO ist damit vorliegend möglich.

Nach Art. 6 Abs. 1 lit. f DS-GVO ist eine Datenverarbeitung gestattet, soweit diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der verantwortliche Arbeitgeber verfolgt vorliegend mit der Pflege des Betriebsklimas ein berechtigtes Interesse. Fraglich ist, ob schutzwürdige Interessen des Beschäftigten überwiegen.

Bezüglich der Bekanntgabe der Jubiläen erscheint es – unter Berücksichtigung der Umstände des jeweiligen Einzelfalls – prinzipiell vertretbar, dies jedenfalls dann nicht anzunehmen, wenn die Beschäftigten zuvor entsprechend informiert wurden und ihnen im Vorfeld der konkreten Veröffentlichung eine Widerspruchsmöglichkeit gegen diese gem. Art. 21 Abs. 1 DS-GVO eingeräumt wurde, von der kein Gebrauch gemacht wurde. Hat der Beschäftigte einer Verarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DS-GVO widersprochen, ist der Verantwortliche gem. Art. 21 Abs. 1 S. 2 DS-GVO nicht mehr berechtigt, die personenbezogenen Daten zu verarbeiten, solange er keine zwingend schutzwürdigen Gründe für die Verarbeitung nachweisen kann, welche die Interessen des Beschäftigten überwiegen. Von einem überwiegenden Interesse des Arbeitgebers kann bei der Veröffentlichung von Betriebsjubiläen nicht ausgegangen werden. Dies würde auch dem ursprünglichen Zweck der Stärkung des Betriebsklimas zuwiderlaufen.

Freilich muss der Arbeitgeber nicht auf die gesetzliche Verarbeitungserlaubnis aus Art. 6 Abs. 1 S. 1 lit. f DS-GVO zurückgreifen, sondern kann sich stattdessen auch dafür entscheiden, die Veröffentlichung im Intranet nur in Absprache mit den betroffenen Beschäftigten und auf Basis einer Einwilligung entsprechend § 26 Abs. 2 BDSG durchzuführen. Eine Einwilligung sollte jedenfalls dann eingeholt werden, wenn zusätzlich Informationen zum persönlichen Werdegang des Mitarbeiters veröffentlicht werden sollen.

Auch im Hinblick auf die Veröffentlichung von Geburtstagen ist ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO prinzipiell möglich. Bei der Veröffentlichung von Geburtstagen ist hingegen fraglich, ob eine Widerspruchslösung als ausreichend zu bewerten ist. Dagegen spricht, dass anders als bei Betriebsjubiläen mit dem Geburtstag die persönliche Sphäre des Mitarbeiters betroffen ist. Auch empfinden viele Personen ihren Geburtstag bzw. ihr Alter als sensible Information. Die Entscheidung über die Veröffentlichung solcher Daten muss beim Beschäftigten verbleiben, demnach kann insoweit nur mit einer Einwilligung gem. § 26 Abs. 2 BDSG eine rechtmäßige Verarbeitung erfolgen.

Zwischenergebnis: Die betriebsinterne Veröffentlichung von Betriebsjubiläen ist gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO statthaft, sofern den Beschäftigten die Möglichkeit des Widerspruchs eingeräumt wird. Eine Veröffentlichung von Geburtstagen ist ohne Einwilligung nicht zulässig.

Ergebnis: Das Vorhaben von U ist unter den beschriebenen, je nach Datum unterschiedlichen Zulässigkeitsvoraussetzungen umsetzbar.

2. Veröffentlichung von Beschäftigtendaten auf der Unternehmenshomepage

a) Allgemeines

Im Hinblick auf die Veröffentlichung von Beschäftigtendaten im Internet gilt der gleiche Maßstab wie hinsichtlich der unter Ziff. 1 geprüften Veröffentlichung im Intranet. Entscheidend ist, ob die Veröffentlichung – hier im Internet, nicht im Intranet – zur Durchführung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG). Maßstab für die Zulässigkeit der Veröffentlichung von Beschäftigtendaten im Internet ist, inwiefern die vertraglich vereinbarte Tätigkeit auch Außenkontakte mit sich bringt und der Beschäftigte als direkter Ansprechpartner fungieren soll.[3] Im Rahmen der bei der Prüfung der Erforderlichkeit notwendigen Verhältnismäßigkeitsprüfung ist im Hinblick auf Internetveröffentlichungen zu beachten, dass eine Veröffentlichung von personenbezogenen Daten im Internet von jedermann global abrufbar ist und die gefunden Informationen zu einer Person ggf. mit weiteren im Netz vorhandenen Daten zu Persönlichkeitsprofilen zusammengeführt werden können.[4] Internetveröffentlichungen haben also eine deutlich größere Eingriffsintensität als Veröffentlichungen im Intranet. Für die Durchführung des Beschäftigungsverhältnisses gem. § 26 Abs. 1 BDSG erforderlich kann etwa die Internetveröffentlichung von Namen, Funktion sowie dienstlichen Kontaktdaten bspw. von Geschäftsführern/Geschäftsführerinnen, Außendienstmitarbeitern/-mitarbeiterinnen, Kundenbetreuern/-betreuerinnen oder des/der Pressesprechers/-sprecherin sein.[5] In die Beurteilung der Erforderlichkeit sollte allerdings einbezogen werden, ob ggf. die Verwendung einer Funktions- statt einer namensbezogenen Mailadresse möglich ist. Der Arbeitgeber hat zudem dafür zu sorgen, seinen Internetauftritt so zu konfigurieren, dass Mitarbeiter nicht ohne weiteres von Suchmaschinen wie Google gefunden werden können.[6]

b) Besonderheiten im Hinblick auf die Veröffentlichung von Fotos

Im Hinblick auf die Veröffentlichung von Fotos ist zunächst die Frage nach den einschlägigen Regelungen zu klären. Zu erörtern ist, ob für die Veröffentlichung der Mitarbeiterfotos das Kunsturhebergesetz (KunstUrhG) einschlägig ist oder aber die DS-GVO bzw. das BDSG.

Eindeutig ist, dass sich etwa das Anfertigen und Speichern von Fotos ausschließlich nach der DS-GVO richtet, weil diese Sachverhalte vom KunstUrhG, welches sich nur mit der Verbreitung bzw. öffentlichen Zurschaustellung von Bildnissen befasst, nicht erfasst sind.

Im Übrigen hat das BAG[7] zwar im Jahr 2014 entschieden, dass das KunstUrhG für die Frage der Einwilligung in die Verwertung und den Widerruf dieser Einwilligung als spezielleres und bereichsspezifisches Gesetz gegenüber den Regelungen des BDSG a.F. Vorrang habe. Das Gericht bezog sich in seiner Entscheidung insofern auf die Subsidiaritätsklausel in § 1 Abs. 3 Satz 1 BDSG a.F., wonach „andere Rechtsvorschriften des Bundes … soweit sie auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind“, den Vorschriften des BDSG „vorgehen“.

Eine ähnliche Regelung ist auch im aktuell gültigen BDSG enthalten (§ 1 Abs. 2 S. 1 BDSG). Dieses regelt allerdings auch, dass die Vorschriften dieses Gesetzes keine Anwendung finden, soweit das Recht der Europäischen Union, im Besonderen die DS-GVO in der jeweils geltenden Fassung, unmittelbar gilt. Dieser Anwendungsvorrang der unmittelbar geltenden DS-GVO macht es fraglich, ob die BAG Entscheidung aus dem Jahr 2014 heute noch einmal mit gleichem Inhalt ergehen könnte. Auch die durch Art. 85 bzw. Art. 88 DS-GVO gegenüber den Mitgliedstaaten eingeräumten Gestaltungsspielräume ändern an diesen Zweifeln nichts. Mit der Verwendung von Mitarbeiterfotos im Internet werden regelmäßig keine in Art. 85 DS-GVO genannten Zwecke, etwa journalistische[8] oder künstlerische Zwecke, verfolgt. Da die § § 22, 23 KunstUrhG sich nicht spezifisch auf den Beschäftigungskontext beziehen, wird auch Art. 88 DS-GVO als Grundlage für eine weitere Anwendung des KunstUrhG zumindest im Beschäftigungsverhältnis ausscheiden.[9]

Die Beurteilung der Veröffentlichung der Mitarbeiterfotos richtet sich damit vorliegend ausschließlich nach der DSGVO bzw. dem BDSG.[10]

Für eine direkte Kontaktaufnahme mit der entsprechenden Person ist die Veröffentlichung von Fotos allerdings nicht erforderlich, so dass § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage ausscheidet. Ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO kommt in diesem Fall nicht in Betracht. Mit der Erreichbarkeit für die Ansprache durch Kunden bzw. Interessenten wird vorliegend ein Zweck verfolgt, der unmittelbar auf das Beschäftigungsverhältnis bezogen ist. Würde man hier einen Rückgriff auf die Interessenabwägung gestatten, käme es zu einer Aushöhlung des Erforderlichkeitsprinzips im Rahmen von Art. 6 Abs. 1 S. 1 lit. b DS-GVO.[11] Im Ergebnis kommt die Veröffentlichung der Fotos damit nur auf Grundlage einer Einwilligung in Betracht, wobei die besonderen Anforderungen an die Einwilligung von Beschäftigten nach § 26 Abs. 2 BDSG zu beachten sind.

Nach § 26 Abs. 2 BDSG bestehen besondere Formanforderungen an die Einwilligung von Beschäftigten. Während nach der DS-GVO Einwilligungen formfrei erteilt werden können, muss nach § 26 Abs. 2 BDSG bei der Einwilligung von Beschäftigten grundsätzlich die Schriftform oder elektronische Form gewahrt werden, es sei denn, wegen besonderer Umstände ist ausnahmsweise eine andere Form angemessen. Der Arbeitgeber muss die beschäftigte Person zudem in Textform über den Zweck der Datenverarbeitung sowie ihr Widerrufsrecht nach Art. 7 Abs. 3 DS-GVO aufklären.

Außerdem verlangt § 26 Abs. 2 BDSG, dass bei Einwilligungen im Beschäftigungsverhältnis wegen des bestehenden Abhängigkeitsverhältnisses zwischen Beschäftigtem und Arbeitgeber jeweils eine besondere Prüfung der Freiwilligkeit der Erklärung erfolgt. Die gesetzlichen Regelbeispiele in § 26 Abs. 2 S. 2 BDSG, in denen von einer Freiwilligkeit der Erklärung ausgegangen werden kann, sind vorliegend nicht einschlägig. Der Arbeitgeber muss also deutlich machen, dass die Beschäftigten mit Außenkontakt frei entscheiden können, ob auch ihr Bild veröffentlicht werden soll oder nicht. Es darf kein Druck ausgeübt werden, etwa in Form der Aussage, alle anderen hätten auch ihre Einwilligung erteilt. Widerruft der Beschäftigte eine zunächst abgegebene Einwilligung in die Veröffentlichung, ist sein Bild wieder zu löschen.

Wie bereits im Abschnitt a) erwähnt, sind Unternehmen zudem gehalten, durch entsprechende technische und organisatorische Maßnahmen eine Auffindbarkeit der Mitarbeiter in Suchmaschinen wie Google zu unterbinden. Mitarbeiterdaten und Fotos auf Unternehmenswebseiten sollen nicht die Bildung von Persönlichkeitsprofilen unterstützen.

c) Ergebnis

Das Vorhaben von U, Kontaktdaten sowie Mitarbeiterfotos auf der Unternehmenswebseite zur veröffentlichen, ist datenschutzrechtlich umsetzbar. Bezüglich der Kontaktdatenveröffentlichung ist insbesondere darauf zu achten, dass die Veröffentlichung nur für Beschäftigte erfolgt, die nach Art ihrer Tätigkeit als direkte, namensbezogene Ansprechpartner nach außen fungieren. Fotos dürfen nur mit Einwilligung der betroffenen Beschäftigten ins Internet gestellt werden, wobei bei der Einholung kein Druck ausgeübt werden darf.

3. Praxishinweise

Wenn Fotos nicht – wie bei Einzelaufnahmen – schnell zu entfernen sind oder für festgelegte Zwecke über einen längeren Zeitraum zur Verfügung stehen sollen, sollte mit den abgebildeten Beschäftigten ein separater Vertrag über die Anfertigung und Verwendung der Aufnahmen geschlossen werden. Beispielhaft sind hier Gruppenfotos zur Unternehmenspräsentation. Hier müsste bei erfolgtem Widerruf der Einwilligung die betroffene Person in der Form unkenntlich gemacht werden, dass keine Identifizierung mehr möglich ist. Dies ist für den Verantwortlichen aber regelmäßig keine Option. Ein Gruppenfoto mit verpixelten Personen ist zu Repräsentationszwecken nicht brauchbar.

* Miriam Claus, LL.M. ist Referentin bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

[1] Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl. (2019), Rn. 748.

[2] Gola, a.a.O., Rn. 755.

[3] LfDI Baden-Württemberg, Ratgeber Beschäftigtendatenschutz, 4. Aufl. (2020), S. 42 (abrufbar unter: https://t1p.de/vfy7 (zuletzt abgerufen am 15.02.2021)).

[4] LfDI Baden-Württemberg, ebenda.

[5] Koreng/Lachenmann/Bergt, Formularhandbuch Datenschutzrecht, 2. Aufl. 2018, H. I. 1., Rn. 1.

[6] LfDI Baden-Württemberg, ebenda.

[7] BAG, Urt. v. 11.12.2014 – 8 AZR 1010/13.

[8] Entsprechend der Rechtsprechung zum Medienprivileg nach § 41 BDSG a.F. wird man eine journalistische Tätigkeit nur im Fall „organisatorisch in sich geschlossener, gegenüber den sonstigen (betrieblichen) Stellen abgeschotteter, in der redaktionellen Tätigkeit autonomer Organisationseinheiten“ annehmen können, vgl. BVerwG, Beschluss vom 29.10.2015 – 1 B 32.15.

[9] Assmus/Winzer, ZD 2018, 508 (512) m.w.N.

[10] So auch Assmus/Winzer, ZD 2018, 508 (513); Benedikt/Kranig, ZD 2019, 4 (6); LfDI Baden-Württemberg, Ratgeber Arbeitnehmerdatenschutz, 4. Auflage (2020), S. 44.

[11] Vgl. dazu oben unter II.1.