DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (19): Neue und alte Fragen beim Beschäftigtendatenschutz : aus der RDV 3/2015, Seite 133 bis 135

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Lesezeit 8 Min.

Elektronische Schließ- und Zugangssysteme

Elektronische Schließanlagen ersetzen zunehmend herkömmliche Türschlossanlagen, bei denen regelmäßig keine personenbezogene Daten beim Öffnen und Verschließen der Türen anfallen. Der Einsatz elektronischer Systeme rechtfertigt aber keine über den für das Öffnen und Schließen der Türen erforderlichen Zeitraum hinausgehende Speicherung personenbezogener Zugangsdaten. Es muss sichergestellt sein, dass die Daten unverzüglich nach dem Zugang bzw. dem Verlassen der Räumlichkeit automatisch gelöscht werden. Dies ist im Rahmen einer Vorabkontrolle festzuhalten (BremLfDI, 37. TB, 2014, Ziff. 12.1.1). Zulässig wäre die fortdauernde Speicherung nur, wenn die neuen Möglichkeiten der Schließanlage auch gleichzeitig der Arbeitszeiterfassung dienen sollen Bei Zugangskontroll- und Zeiterfassungseinrichtungen wird die Identifikation des Beschäftigten zunehmend mit biometrischen Daten, d.h. in der Regel per Fingerabdruck, durchgeführt. Jedenfalls mit der Zweckbestimmung Arbeitszeiterfassung werden biometrische Identifikationsverfahren von den Aufsichtsbehörden kritisch gesehen. Im Rahmen der erforderlichen Vorabkontrolle ist zunächst zu untersuchen, ob es für den Arbeitgeber zumutbare, weniger in das Persönlichkeitsrecht der Beschäftigten eingreifende Verfahren zur Arbeitszeiterfassung gibt. Nach der Bremischen LBfDI (37. TB, 2014, Ziff. 12.2.1) sind beim gleichwohl erfolgenden Einsatz biometrischer Verfahren folgende Vorgaben zu beachten: „Die Speicherung und Nutzung biometrischer Daten und der aus ihnen gewonnenen Templates bzw. Signaturen muss auslesesicher und gegen unbefugten Zugriff geschützt sein, die Beschäftigten müssen umfassend über die technischen Systeme und die dort implementierten Verfahren und Sicherheitsvorkehrungen und darüber unterrichtet werden, wann und durch wen eine Datenerhebung und Identitätsfeststellung erfolgt und was mit den Daten weiter geschieht“. Der ThürLfDI (10. TB, 2012/13, Ziff. 6.6) zieht jedenfalls bei Zeiterfassungssystemen die Grenze enger. Danach stellt die Erhebung der Fingerabdruckdaten von Beschäftigten zwecks Zeiterfassung einen grundsätzlichen Verstoß gegen den in § 32 Abs. 1 BDSG verankerten Erforderlichkeitsgrundsatz dar. Eine Zeiterfassung per Chipkarte oder Ausweis erfülle denselben Zweck und stelle für den Beschäftigten den weniger einschneidenden Grundrechtseingriff dar. § 32 Abs. 1 BDSG sei nicht hinreichend bestimmt, um einen derart intensiven Grundrechtseingriff zu rechtfertigen.

Eine etwaige Einwilligung des Beschäftigten in solche Praktiken scheitere in aller Regel an der mangelnden Freiwilligkeit (§ 4 a BDSG) im Über-Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigtem (vgl. auch die Hinweise des ThürLfDI zur biometrischen Datenerfassung am Arbeitsplatz“ http://www.tlfdi.de/imperia/md/content/datenschutz/veroeffentlichungen/hinweis_biometrischen_datenerfassung_am_arbeitsplatz.pdf).

Zu beachten ist die jeweilige Zweckbestimmung der in dem Erfassungssystem gespeicherten Zugangsdaten (vgl. auch § 31 BDSG). Unzulässig ist es, Daten eines Zugangskontrollsystems nachträglich auch zur Leistungs- und Verhaltensüberwachung, d.h. zur Arbeitszeitkontrolle, zu nutzen. Speichert ein Unternehmen bei jedem Zugang Datum, Uhrzeit und Person, um im Falle des Verlustes der Zutrittskarte überprüfen zu können, ob und wann die Karte seit dem Verlust evtl. illegitim genutzt wurde, so berechtigt das auch im Verdachtsfall nicht, Zugangsdaten mit dem von den Mitarbeitern auszufüllenden Gleitzeitbogen abzugleichen. Im konkreten Fall (BlnBDI, JB 2014, Ziff. 6.1) zeigte die Praxis jedoch, dass offensichtlich auch für die Speicherung der Daten mit der Zweckbestimmung „Verlustkontrolle“ eine Erforderlichkeit nicht gegeben war (§ 32 Abs. 1 S. 1 BDSG), da eine derartige Nutzung in der Vergangenheit nie stattgefunden hatte. Das gegen das Unternehmen verhängte Bußgeld wurde von diesem akzeptiert.

Sonstige Kontrollen

Die Fahrzeuge eines Betriebs mit Ortungssystemen auszurüsten, ist zur Organisation der betrieblichen Abläufe ggf. zulässig (Gola, Datenschutz am Arbeitsplatz, Rn. 181 ff). Dass es sich bei den jeweiligen Standortdaten allein schon wegen der Möglichkeit der Zusammenführung der Personaleinsatzpläne mit den Ortungsdaten der Fahrzeuge um personenbezogene Daten handelt, steht außer Frage (vgl. BremLfDI, 37. TB, 2014, Ziff.12.2.3). Gleiches gilt für die Daten, die die Computersysteme sog. connected cars über das Fahrverhalten der sie als Dienstwagen nutzenden Beschäftigten liefern. Erfasst werden die beanspruchten Drehmomente und Drehzahlbereiche, Bremsbetätigung und Bremseinsatz, Kuppelungsbetätigung und -verschleiß, Kraftstoffverbrauchswerte und Gewichtsklasse, etc. Dabei steht außer Frage, dass eine kontinuierliche, detaillierte Kontrolle des Fahrverhaltens der Beschäftigten durch Auswertung dieser Daten durch den Arbeitgeber von den Kontrollrechten nach § 32 Abs. 1 S. 1 BDSG nicht mehr erfasst würde (vgl. Jaspers/ Franck, RDV 2/2015, S. 69).

Ob sich die die Fahrzeuge betreuende Werkstatt unter dem Gesichtspunkt des Datenschutzes der Beschäftigten jedoch weigern kann, dem Halter wunschgemäß für jedes Fahrzeug seiner Fahrzeugflotte Ausdrucke der protokollierten Informationen aus den Fahrzeugdatenspeichern zu liefern, wie es offensichtlich das BayLDA (6. TB, 2013/14, Ziff. 20.3.4) empfiehlt, hängt zumindest davon ab, wem diese Daten „gehören“ (vgl. hierzu Schwartmann/Ohr, RDV 2/2015, S. 58).

Dass der Arbeitgeber im Rahmen betrieblicher Telefondatenerfassung die Daten dienstlicher Gespräche erfassen und unter dem Verhältnismäßigkeitsgesichtspunkt auch bezüglich Fehlverhalten kontrollieren kann, steht außer Frage (Gola, Datenschutz am Arbeitsplatz, Rn. 344 ff.). Gleiches gilt für die Telefondaten der den Mitarbeitern ausschließlich für dienstliche Zwecke zur Verfügung gestellten Mobiltelefone (BayLDA, 6. TB, 2013/14, Ziff. 15.3). Der Arbeitgeber kann auch hier Einblick in die Einzelverbindungsnachweise nehmen, um die diesbezüglichen Kontrollbefugnisse nach § 32 Abs. 1 S. 1 BDSG wahrzunehmen. Zu beachten ist jedoch auch hier, dass der Arbeitgeber die Mitarbeiter schriftlich zu informieren und dies und die eventuell erforderliche Einschaltung des Betriebsrats auch gegenüber der Telefongesellschaft schriftlich zu erklären hat (§ 99 TKG). Nach wie vor als fraglich sieht es das BayLDA an, ob die Speicherung der kompletten Zielnummer zulässig ist, da zwischen Arbeitgeber und externen Gesprächspartnern der Mitarbeiter ein Vertragsverhältnis, das die Telefondatenerfassung rechtfertigen könnte, fehle. Auch von einer stillschweigenden Einwilligung kann nicht ausgegangen werden. Daher ist eine Abwägung der widerstreitenden Interessen von Arbeitgeber und Gesprächsteilnehmer nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG durchzuführen. Um insoweit Probleme zu vermeiden, empfiehlt es sich, nur die Vorwahl und einen Teil der Rufnummer des Gesprächspartners zu speichern, da dies für eine stichprobenartige Kontrolle – unter Rückfrage bei dem Beschäftigten – regelmäßig ausreicht.

Ein heimliches Mithören von Telefongesprächen durch den Arbeitgeber eines Markt- und Meinungsforschungsunternehmen sieht das BayLDA (6. TB, 2013/14, Ziff. 15.6) unter nachfolgenden Bedingungen als zulässig an: Rechtsgrundlage für die Datenerhebung soll nicht § 32 Abs. 1 S. 1 BDSG sein, d.h. die Maßnahme soll nicht mehr der Durchführung der Arbeitspflicht dienen, sondern einem berechtigten Kontroll- und Schulungsinteresse im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Zutreffend abgestellt wird darauf, dass bei einem Markt- und Meinungsforschungsinstitut der Geschäftserfolg sich nur durch ein hohes Qualitätsniveau der Telefonate erzielen lässt, so dass das Mithören der Gespräche in einem gewissen Umfang, d.h. unter dem Grundsatz der Verhältnismäßigkeit, erforderlich ist. Bei neuen Interviewern mit erhöhtem Schulungsbedarf können die Kontrollen häufiger vorgenommen werden als bei Interviewern mit sehr langer Berufserfahrung.

Fraglich ist es jedoch, ob die notwendige Transparenz gegenüber den Interviewern hinsichtlich des Mithörens bereits dadurch gewährleistet ist, dass sie im Vertrag umfassend darüber informiert wurden und außerdem eine Einverständniserklärung (zur Freiwilligkeit dieser Erklärung vgl. Gola, Datenschutz am Arbeitsplatz, Rn. 402, 411, 422) unterzeichneten. Wenn das einzelne Mithören verdeckt erfolge, ist das nach dem BayLDA unschädlich.

Auch die Belange der Befragten seien durch das zeitweise Mithören telefonischer Interviews, ohne dass sie informiert werden, nicht verletzt, da sie zu Beginn des Interviews über den Zweck des Telefonanrufs informiert werden und durch ihre Einwilligung in das Interview zu erkennen geben, dass sie mit der Auswertung ihrer Angaben durch das Forschungsinstitut einverstanden sind. Die Anonymität der Befragten wird dadurch gewahrt, dass ein Aufschalten des Supervisors erst nach der Kontaktphase erfolgt.

Krankheitsdaten

Kein erstmaliger (vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rn. 960), aber inzwischen schon als eklatant zu bezeichnender Fall ist die Veröffentlichung von personenbezogenen Krankheitsabwesenheitszeiten (ULD, 35. TB 2015, Ziff. 5.7.6). Um die schlechte wirtschaftliche Situation seines Betriebes der Belegschaft deutlich zu machen und die Anwesenheitsmoral zu fördern, startete ein Arbeitgeber eine besondere Informations-Aktion. Die von den Beschäftigten erfassten Arbeitszeiten wurden vom Arbeitgeber nach sogenannten produktiven und unproduktiven Arbeitszeiten sowie Fehlzeiten wegen Krankheit ausgewertet. Die ermittelten Daten wurden monatlich unter Namensnennung und Ermittlung der jeweils konkreten finanziellen Belastung für den Arbeitgeber durch Aushang bekannt gegeben. Die Zahlen sollten den Beschäftigten die Hintergründe der bereits erfolgten Einstellung der Weihnachtsgeldzahlung sowie von anstehenden betriebsbedingten Kündigungen verdeutlichen. Ein Hinweis der Aufsichtsbehörde führte umgehend zum Entfernen des Aushangs. Da das Ziel jedoch erreicht worden sei und die wirtschaftliche Lage des Betriebes sich verbessert habe, will der Arbeitgeber künftig weiterhin entsprechende Listen – jedoch ohne dass ein Personenbezug möglich ist – zur Motivation der Beschäftigten veröffentlichen.

Mit der Speicherdauer für krankheitsbedingte Fehlzeiten in der Personalakte befasste sich das BayLDA (6. TB, 2013/14, Ziff. 15.1) und sah hierfür grundsätzliche eine Frist von einem Jahr, bei Fehlzeiten von mehr als sechs Wochen im Kalenderjahr von vier Jahren, als zulässig an. Die Erforderlichkeit der Speicherung im Rahmen der Durchführung des Beschäftigungsverhältnisses (§ 32 Abs. 1 S. 1 BDSG) ergebe sich bei längerfristiger Erkrankung im Hinblick auf etwaige krankheitsbedingte Kündigungen oder im Hinblick auf ein betriebliches Eingliederungsmanagement (§ 84 Abs. 2 SGB IX).

Informationspflichten

Fotos von Beschäftigten dürfen auf der Homepage des Unternehmens regelmäßig nur mit – i.d.R. schriftlicher – Einwilligung (vgl. BAG, in diesem Heft, S. 48) des Beschäftigten veröffentlicht werden (§§ 22, 23 KUG). Abgesehen von der Freiwilligkeit der Erklärung und des nötigen Hinweises auf die Folgen bei der Verweigerung der Einwilligung bedarf es eines „informierten“ Betroffenen. Die Bremische LfDI (37. TB, 2014, Ziff. 12.1.2) zeigt den Umfang der entsprechenden Informationspflichten auf. Die Beschäftigen müssen ausdrücklich darauf hingewiesen werden, dass sie mit der Einstellung ihrer Daten ins Internet regelmäßig nicht mehr über diese verfügen können. Auch wenn eine Einwilligung widerrufen werden kann, können die Daten zwar von der Homepage entfernt werden, ihr Verbleib im Internet ist aber auf Dauer, weil Suchmaschinen darauf verlinken und diese Bilddateien jederzeit weltweit mit anderen Daten aus sozialen Netzwerken etc. verknüpft und verwertet werden können.

Als unzulässig bewertet wurde auch, dass Bewerbungen bei Radio Bremen ausschließlich im Online-Verfahren möglich waren., da hierbei – insbesondere im Hinblick auf mitgesandte sensible Unterlagen – die gebotenen Anforderungen an eine sichere Übertragung nicht bestehen. Dem Bewerber muss einmal das Risiko des Verfahrens aufgezeigt und zum anderen auch der reguläre Postweg eröffnet werden.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.