DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (28): Personaldatenschutz, Mitarbeitervertretung, Einwilligung der Beschäftigten : aus der RDV 6/2016, Seite 320 bis 323

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Lesezeit 12 Min.

Kontrolle des Personalrats durch den behördeninternen DSB

Zur Kontrolle des Personalrats durch den behördeninternen DSB hält der ThürLfDI (11. TB für den n.ö. Bereich, 2014/2015, Ziff. 6.29 u.a. folgendes fest: „Datenschutzrechtlich ist der Personalrat einer Dienststelle als Teil dieser Dienststelle zu bewerten. Die Pflicht zur Sicherstellung der Einhaltung der datenschutzrechtlichen Vorschriften trifft jedoch die verantwortliche Stelle nach § 34 ThürDSG, also die Dienststelle. Auch beim Personalrat müssen die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten, die im Rahmen seiner Aufgabenerfüllung verarbeitet werden, getroffen sein. Werden Mängel festgestellt, ist die Dienststelle aufgerufen, geeignete Maßnahmen zu treffen, damit die Mängel behoben werden. Hierfür sind dem Personalrat von der Dienststelle auch die Mittel zur Verfügung zu stellen, damit die datenschutzrechtlichen Vorschriften eingehalten werden können.“

Zur Überprüfung, ob Mängel der technischen und organisatorischen Maßnahmen bestehen, kann die Dienststellenleitung auch den behördlichen Datenschutzbeauftragten beauftragen.

Hierzu hat der ThürLfDI Folgendes ausgeführt: „Die Zuständigkeit und die Befugnisse des Beauftragten für den Datenschutz sind in § 10a ThürDSG festgelegt. Zwar hat das Bundesarbeitsgericht (BAG) in seinem Beschluss vom 11. November 1997 entschieden, dass eine Kontrollbefugnis des betrieblichen Datenschutzbeauftragten für Betriebsräte nicht besteht. Gleichzeitig hat es allerdings dargelegt, dass das Bundesverwaltungsgericht die Frage der Kontrollbefugnis des betrieblichen Datenschutzbeauftragten in Bezug auf die Personalverwaltung im öffentlichen Dienst ausdrücklich offen gelassen hat (BAG, B. v. 11. 11. 1997, Az.: 1 ABR 21/97, Rn. 31).

Nach § 10a Abs. 2 ThürDSG hat der Beauftragte für den Datenschutz die Aufgabe, die Daten verarbeitende Stelle bei den Ausführungen der datenschutzrechtlichen Vorschriften zu unterstützen und auf deren Einhaltung hinzuwirken. Dies gilt grundsätzlich auch für den Personalrat, der als Teil der Dienststelle, die für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich ist, hiervon nicht grundsätzlich ausgenommen ist. Auch das Thüringer Personalvertretungsgesetz enthält keine Ausnahmeregelung.

Eine Prüfung der Einhaltung der datenschutzrechtlichen Vorgaben beim Personalrat durch den behördlichen Datenschutzbeauftragten ist daher nicht vollständig ausgeschlossen. Im Falle einer Prüfung dürfen jedoch vom behördlichen Datenschutzbeauftragten grundsätzlich keine personenbezogenen Daten der Beschäftigten zur Kenntnis genommen werden, die dem Personalrat zur Aufgabenerfüllung vorliegen. Die datenschutzrechtliche Prüfung hat sich daher auf das Vorliegen geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten zu beschränken.

Eine Ausnahme bezüglich der personenbezogenen Daten in oder aus Personalakten ergibt sich aus § 10a Abs. 4 Satz 1 ThürDSG, indem diese mit Einwilligung der Betroffenen durch den Beauftragten für den Datenschutz einsehbar sind. Das gilt nach Auffassung des ThürLfDI auch für der Mitarbeitervertretung – ggf. auch nur vorübergehend – vorgelegte Unterlagen. Auch das Amtsgeheimnis der Personalratsmitglieder hinsichtlich der personenbezogenen Daten, die ihnen in ihrer Aufgabenwahrnehmung bekannt geworden sind, stehe dem Einsichtsrecht des Datenschutzbeauftragten nicht entgegen, wenn die Einwilligung des einzelnen Betroffenen vorliegt.

Bewerberunterlagen: Einsicht für alle Personalratsmitglieder?

Des Weiteren hatte sich der ThürLfDI (11. TB n.ö. Bereich, 2014/2015, Ziff. 6.4) mit der Frage zu befassen, ob allen Personalratsmitgliedern ein Einsichtsrecht in die Bewerbungsuntergen zusteht, die bei Einstellungen gemäß § 68 Abs. 2 Satz 4 ThürPersVG vorzulegen sind. Die Dienststelle wollte das Einsichtsrecht mit Hinweis auf den besonderen Schutz von Bewerberdaten auf den Personalratsvorsitzenden beschränken.

Der ThürLfDI vertrat dazu folgenden Standpunkt: Zwar sei aus datenschutzrechtlichen Grundsätzen die Dienststellenleitung verpflichtet, nur die für eine Personalmaßnahme erforderlichen personenbezogenen Daten dem Personalrat zugänglich zu machen. Bei der Einstellung eines Bewerbers sind die Unterlagen des Bewerbers sowie seiner Mitbewerber für die Entscheidung des Personalrats erforderlich. Andererseits sei es aufgrund der Sensibilität der personenbezogenen Daten der Bewerber nicht erforderlich, neben dem Personalratsvorsitzenden auch allen anderen Mitgliedern den Zugang zu den personenbezogenen Daten zu gewähren. Werden im Rahmen der Aufgabenverteilung unter den Personalratsmitgliedern die Zuständigkeit der einzelnen Personalratsmitglieder auf verschiedene Ämter aufgegliedert, genügt es, wenn das jeweils zuständige Personalratsmitglied, das an den Bewerbungsgesprächen teilnimmt, auch die für die Aufgabenwahrnehmung erforderlichen personenbezogenen Daten der Bewerber erhält.

Soweit aber dem zuständigen Personalratsmitglied die Daten zugänglich gemacht werden, ist darüber hinaus eine Vorlage an den Personalratsvorsitzenden oder andere Mitglieder des Personalrats grundsätzlich nicht mehr erforderlich, d.h. hat der Personalrat einzelne Aufgaben auf einzelne Personalratsmitglieder delegiert, reicht es aus, nur diesen Zugang zu den zur Aufgabenerfüllung erforderlichen personenbezogenen Daten von Bewerbern zu gewähren.

Online-Zugriff des Personalrats auf Zeiterfassungsdaten

Zwischen Dienststelle und Personalrat kann es zu Konflikten kommen, wenn die Unterrichtung des Personalrats unter namentlicher Nennung von Beschäftigten im Raum steht. Im Berichtszeitraum musste sich der LfDI-Rh-Pf. (25. TB 2014/2015, Ziff. 3.1.2) mit der Frage beschäftigen, ob der Personalrat auf die Daten der elektronischen Zeiterfassung zugreifen darf.

Datenschutzrechtlich handelt es sich bei Datenweitergaben innerhalb einer verantwortlichen Stelle um eine Nutzung, deren Zulässigkeit sich nach §§ 31 Abs. 1, 13 LDSG beurteilt. Hiernach ist die Weitergabe personenbezogener Personaldaten an den Personalrat zulässig, wenn dies entweder eine Rechtsvorschrift ausdrücklich vorsieht oder zur Aufgabenerfüllung des Personalrats erforderlich ist. Da das Landespersonalvertretungsgesetz selbst keine Verpflichtung der Dienststelle enthält, dem Personalrat personenbezogene Daten in Bezug auf die elektronische Zeiterfassung zur Verfügung zu stellen, komme es daher darauf an, ob die Weitergabe mit dem datenschutzrechtlichen Grundsatz der Erforderlichkeit zu vereinbaren ist. Die Anwendung des Erforderlichkeitsgrundsatz beinhaltet eine Prüfung dahingehend, ob es für die Aufgabenerfüllung der Personalvertretung ausreichend ist, lediglich anonymisierte bzw. pseudonymisierte Daten zu erhalten. Wenn diese Frage zu bejahen ist, scheidet die Weitergabe personenbezogener Mitarbeiterdaten aus. Hierzu verweist der LfDI sodann auf das Bundesverwaltungsgericht (B. v. 19. 03 2014, Az. 6 P 1/13), das die Auflistung anonymisierter Daten zur Kontrolle der Arbeitszeiten durch den Personalrat – jedenfalls in einem ersten Schritt – als ausreichend ansah und einen eigenen unmittelbaren Zugriffs auf die Datenbank verneinte.

Zwar sind die Angaben über die Arbeitszeiten der Beschäftigten sowie die dabei zu bewertenden Fallgestaltungen (Dienstreisen, Urlaub, Gleittage) grundsätzlich nicht als sensibel einzustufen. Doch verbietet es der Grundsatz der Verhältnismäßigkeit, dass der Personalrat diese Angaben einer bestimmten Person zuordnen kann, ohne dass dies für die Wahrnehmung seiner Kontrollaufgabe erforderlich ist. Hinzu kommt, dass aus den Arbeitszeitlisten auch die Fehlzeiten wegen Erkrankung ersichtlich sind. Diese Angaben sind in besonderer Weise schützenswert (vgl. § 3 Abs. 9 BDSG).

Erst soweit bei der Überprüfung der Listen Unstimmigkeiten zu erkennen gibt, hat der Personalrat auf einer zweiten Stufe Anspruch auf Erläuterungen, welche auch zur Aufdeckung der Identität des betroffenen Beschäftigten führen können, wenn anders eine Klärung der Angelegenheit nicht möglich ist.

Datenschutzrechtliche Einwilligungen von Beschäftigten im Rahmen des Abschlusses von Arbeitsverträgen

Nach Auffassung des HessLfD (44. TB, 2015, Ziff. 4.10.1) besteht keine Notwendigkeit für die Einholung einer Einwilligung, wenn die Übermittlung von Beschäftigtendaten von einer gesetzlichen Rechtsgrundlage gedeckt ist. Sie wirke in solchen Konstellationen irreführend und sei daher zu vermeiden.

Konkret ging es um die Einwilligungen in die Übermittlung ihrer Personaldaten an eine Zentraldatenbank der Konzernmutter, die vom LfDI bereits nach § 32 Abs. 1 S. 1 BDSG als zulässig angesehen wurde, weil die Bewerber bereits im Zuge des Bewerbungsverfahrens dahingehend informiert werden, dass die Personaldatenverarbeitung beim Mutterkonzern erfolge. Auch ergab sich der Konzernbezug des Beschäftigungsverhältnisses bereits aus der Organisationsstruktur des Unternehmens, da der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufwies, indem er ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsah (Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ vom 11.01.2005, 3; https://www.datenschutz. hessen.de/ft-konzerndatenschutz.htm).

Ein Konzernbezug, der eine Übermittlung rechtfertigt, ist ferner dann gegeben, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist.

Zwar kann auch eine Einwilligung gemäß § 4a BDSG Grundlage für die Übermittlung von Daten sein. Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann. Dies gelte erst recht, wenn sie Voraussetzung für den Abschluss des jeweiligen Arbeitsvertrags ist.

Darüber hinaus sei zu bedenken, dass die Einwilligung jederzeit widerruflich ist und sie daher nur ausnahmsweise einen praktikablen Weg darstellt. Widerruft der Betroffene seine Einwilligung, hat nämlich mit dem Widerruf eine Übermittlung zu unterbleiben. Ist also die Einwilligung die einzige Rechtfertigung der Übermittlung, muss die Möglichkeit eines Widerrufs berücksichtigt und organisatorisch umgesetzt werden, was für eine zentrale Gehaltsabrechnung wohl keine praktikable Option sei.

Da eine dennoch von den Beschäftigten eingeholte Einwilligung zu der Übermittlung ihrer Daten irreführend wäre und den Beschäftigten den unrichtigen Eindruck vermittelt, sie hätten es selbst in der Hand, ob ihre Daten an eine andere Konzerngesellschaft übermittelt werden, wurde von einer solchen Einholung von Einwilligungen „auf Vorrat“ dringend abgeraten.

Zugleich bezweifelt der HessDSB, dass eine solche Einwilligung überhaupt wirksam wäre, da der Widerruf praktisch nicht möglich ist (Art. 29-Datenschutzgruppe WP 187 Stellungnahme 15/2011 zur Definition von Einwilligungen, III.A.1. S. 16; http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/ 2011/wp187_de.pdf). Anderseits ist aber zu beachten, dass gemäß § 4 Abs. 3 S. 3 BDSG auch auf die Folgen der Ver weigerung der Einwilligung hinzuweisen ist, d.h. die Be troffenen sind auch darüber zu informieren, dass die Nichterteilung ihrer Einwilligung folgenlos bliebe. Die Datenübermittlung an die Konzernmutter würde dann auf § 32 Abs. 1 Satz 1 BDSG gestützt trotzdem rechtlich zulässig stattfinden.

Elektronische Personalakte

Das Land Thüringen hat durch Ergänzung des Beamtengesetzes zum 1. Januar 2015 Regelungen zur teilweisen oder vollständigen automatisierten Führung von Personalakten eingeführt (§ 81 Abs. 2 Satz 1 Thüringer Beamtengesetz (ThürBG)). Die Stellungnahme des ThürLfDI (11. TB öffentlicher Bereich, 2014/2015, Ziff. 6.3) wird hier zusammengefasst wiedergegeben:

Voraussetzung hierfür ist, dass die nach § 9 ThürDSG erforderlichen technischen und organisatorischen Voraussetzungen vorliegen.

Hierbei sind verschiedene Aspekte zu beachten:

  • Zunächst muss in technischen Projekten, wie zur Einführung der elektronischen Personalakte in ein existierendes Dokumentenmanagementsystem, in der Dokumentation genau ausgeführt werden, welche Rollen eine Software vorsieht und wie diese Rollen mit Berechtigungen belegt werden. Rollen sind klar zu trennen und in ihrer funktionalen Beschreibung zu dokumentieren.
  • Weiterhin ist schlüssig zu dokumentieren, welche Bereiche mit zugehörigen Mitarbeitern diesem Rollenkonzept zugewiesen werden und wer Änderungen an den Berechtigungen vornehmen darf.
  • Sofern eine Person mehrere Rollen ausübt, sind ihr dafür grundsätzlich auch verschiedene Accounts in der Software zuzuweisen. Dies kann – abhängig von der inneren Struktur der jeweiligen Software – auch in Form der Zuweisung verschiedener „Werkzeuge“ zu ein- und demselben Account erfolgen. Wichtig ist aus datenschutzrechtlicher Sicht, dass jederzeit nachvollziehbar ist, wer welche Änderungen an Dokumenten einerseits, aber bspw. auch an Einstellungen des Systems andererseits vorgenommen hat.
  • Die Rollen des Datenschutzbeauftragten sowie des/der ITAdministratoren sind personell voneinander zu trennen.
  • Da Administratoren mit grundsätzlich unterschiedlichen Passwörtern arbeiten, sind Gruppenkennungen in einem Feinkonzept zur Rechtezuweisung grundsätzlich zu vermeiden.

Für die elektronische Personalaktenführung speziell gilt, dass absolut sichergestellt sein muss, dass auf die automatisiert geführten Dokumente der Personalakte ein unbefugter Zugriff oder unbefugter Zugang nicht möglich ist. Zugang dürfen nämlich nach wie vor nur die Beschäftigten haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind und nur, soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist (§ 80 Abs. 1 ThürBG). Dabei ist zu beachten, dass der übergeordnete Administrator hier, wenn er nicht auch mit der Bearbeitung von Personalangelegenheiten beauftragt ist, keinen Zugang zur Personalakte haben darf.

Im Einzelnen gilt sodann:

  • Werden zur Anlegung der elektronischen Personalakte vorhandene Dokumente eingescannt, können mangels entsprechender Ermächtigung im ThürBG damit nicht Personen außerhalb der Personalverwaltung beauftragt werden.
  • Es empfiehlt sich in Bezug auf abzulegende Personaldokumente, ein rechts- sowie revisionssicheres PDF-Format zu verwenden, das digitale Signaturen, Verschlüsselung und Passwortschutz ermöglicht.
  • Wegen der Ungeklärtheit der Urkundenqualität von elektronischen Dokumenten empfiehlt es sich, Unterlagen mit Urkundenqualität auch noch in Papierform zu führen (so genannte Hybridakte).
  • Kann zu einzelnen Unterlagen eine gesonderte Löschung aufgrund Fristablaufs im automatisierten Verfahren nicht vorgenommen werden, sollten diese Dokumente ebenfalls in Papierform geführt werden. Dies betrifft Krankmeldungen, Arbeitszeitdaten, Urlaubsgewährung, aber auch für Betroffene ungünstige Beschwerden und Behauptungen (§§ 86, 87 ThürBG).

Fingerabdruckscanner zur Arbeitszeiterfassung?

Zur datenschutzrechtlichen Problematik des Einsatzes eines Fingerabdruckscanners bei der Arbeitszeiterfassung verweist der ThürLfDI (11. TB, n.ö. Bereich, 2014/2015, Ziff. 6.12) auf die „Hinweise zur biometrischen Datenerfassung am Arbeitsplatz“, die auf seiner Homepage unter „Themen – Beschäftigtendatenschutz“ verfügbar sind. Danach ist folgendes zu beachten:

  • Die Erhebung, Speicherung, Übermittlung und Nutzung biometrischer Daten ist gemäß § 4 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Biometrische Daten gelten dabei als besonders sensible Daten, die einer besonderen Schutzbedürftigkeit unterliegen.
  • Es existieren für die Arbeitnehmer weit weniger in das Recht auf informationelle Selbstbestimmung eingreifende und dem Grundsatz der Datensparsamkeit nach § 3a BDSG gerecht werdende technische wie organisatorische Möglichkeiten, die geeignet sind, die Arbeitszeit zu erfassen und dabei ohne die Verwendung biometrischer Daten auszukommen. Das sind beispielsweise Arbeitszeiterfassungssysteme, die mit einer Chipkarte oder einem Transponder zu bedienen sind. In manchen Betrieben reicht auch die handschriftliche Aufzeichnung aus.
  • Allein die geringere, aber auch nicht auszuschließende Betrugsanfälligkeit, Arbeitszeiten zu manipulieren, führt im Rahmen einer Verhältnismäßigkeitsprüfung nicht zu einer anzunehmenden Erforderlichkeit der Verwendung biometrischer Daten zur Arbeitszeiterfassung. Im Falle festgestellter Falschangaben von Arbeitszeiten stehen dem Arbeitgeber genügend Mittel zur Vertretung eigener Interessen (z.B. strafrechtliche Verfolgung wegen Betruges gemäß § 263 StGB und außerordentliche Kündigung) zur Verfügung.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, auch biometrischer Daten, ist zwar gemäß § 4 Abs. 1 BDSG unter anderem dann zulässig, wenn der von der Datenverarbeitung Betroffene einwilligt. Die Einwilligung ist aber nur unter den Voraussetzungen des § 4a BDSG wirksam, d.h., wenn diese schriftlich und tatsächlich freiwillig abgegeben und der Betroffene auf die Folgen einer verweigerten Einwilligung hingewiesen wird. Insbesondere in bestehenden Abhängigkeitsverhältnissen, wie im Rahmen arbeitsvertraglicher Beziehungen, ist die Frage der Freiwilligkeit regelmäßig kritisch zu hinterfragen. Hier müssen die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten umfassend informiert werden.

Außerdem muss es eine tatsächliche Alternative zu der biometrischen Zeiterfassung geben, sodass der betroffene Arbeitnehmer ein Wahlrecht hat. Diese kann beispielsweise darin bestehen, dass neben der Zeiterfassung mittels Fingerabdruck die Erfassung über Transponder angeboten wird.

Gleichermaßen entschied auch der LfD Sachsen Anhalt (22 TB, 2013/2015, Ziff. 12.3). Für bloße Zwecke der Zeiterfassung seien biometrische Verfahren in der Regel mangels Erforderlichkeit nicht einsetzbar, da wesentlich weniger in das Persönlichkeitsrecht der Arbeitnehmer eingreifende Verfahren zur Verfügung stehen dürften. Auch eine Nutzung für Zwecke der Zutrittskontrolle muss auf besondere Ausnahmefälle (z.B. in Sicherheitsbereichen) beschränkt bleiben.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.