So dokumentieren Datenschutzbeauftragte ihre Tätigkeit

Der betriebliche oder externe Datenschutzbeauftragte sollte seine Tätigkeiten regelmäßig dokumentieren. Einerseits kann er so jederzeit gegenüber der Geschäftsführung und Aufsichtsbehörden nachweisen, dass er seiner Überwachungspflicht nachgekommen ist. Andererseits gibt er dem Verantwortlichen ein gutes Bild von der aktuellen Umsetzung des Datenschutzes im Unternehmen.

Dokumentation des datenschutzrechtlichen Ist-Zustandes

Die moderne Führung in Unternehmen gebietet es der Geschäftsführung Aufgaben aller Art an die Belegschaft zu delegieren. Darunter fallen auch Tätigkeiten, die auf die Umsetzung von Datenschutzmaßnahmen zielen. Die Erstellung der unternehmensweiten Verzeichnisse der Verarbeitungstätigkeiten, die Formulierung und Aktualisierung der Datenschutzhinweise auf der Website und die Prüfung von Auftragsverarbeitern sind typische Beispiele der Delegierung. Die Fülle an datenschutzrechtlichen Pflichten, die sich aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ergeben, führt jedoch schnell dazu, dass die Geschäftsführung den Überblick verliert und nicht zu jeder Zeit über den aktuellen Datenschutzstatus des Unternehmens informiert ist.

Ein Datenschutzbericht bzw. Tätigkeitsbericht des Datenschutzbeauftragten bringt in diesem Fall Abhilfe. Er fasst die unternommenen Bemühungen innerhalb eines bestimmten Zeitraums in verständlicher Form zusammen und verschafft der Geschäftsführung klaren Überblick bezüglich der offenen Aufgaben bei der Umsetzung datenschutzrechtlicher Vorgaben. Typischerweise fertigt der betriebliche oder externe Datenschutzbeauftragte den Tätigkeitsbericht und stellt ihn der Geschäftsführung und anderen beteiligten Abteilungen bzw. Personen im Unternehmen zur Verfügung. Unter den weiteren Empfängerkreis fällt zum Beispiel die Rechtsabteilung der Organisation oder das Datenschutzteam, das kontinuierlich an der Einhaltung der gesetzlichen Vorgaben arbeitet.

Diese Dokumentation der Datenschutztätigkeiten muss nicht allen Mitarbeitern des Unternehmens zugänglich gemacht werden, sondern nur den organisatorisch für diese Aufgabe vorgesehenen. Um die Geschäftsführung und alle Beteiligten informiert zu halten, ist es ratsam, innerhalb regelmäßig stattfindender Gespräche über den aktuellen Status aufzuklären.

Dokumentation zur Erfüllung der Rechenschaftspflicht

Neben dem Nutzen einen allgemeinen Überblick zu schaffen, erfüllt der Tätigkeitsbericht auch eine rechtliche Anforderung, die sich aus Art. 5 Abs. 2 DSGVO und Art. 58 Abs. 1 lit. a DSGVO ergibt. Die sogenannte Rechenschaftspflicht bindet das Unternehmen daran, Nachweise über die Einhaltung datenschutzrechtlicher Vorgaben erbringen zu können. Wenn also die Datenschutzbehörde Auskunft zu einer speziellen Frage oder der allgemeinen Compliance-Situation einholt, kann ein Tätigkeitsbericht entweder direkt Aufschluss über die ergriffenen Maßnahmen geben oder als Wegweiser zur internen Dokumentation dienen.

Beispiel: Der Tätigkeitsbericht wird nicht konkret beschreiben, wie das Prüfungsergebnis zu jedem Auftragsverarbeiter des Berichtszeitraums lautet und wie man dazu gekommen ist. Dennoch lässt sich je nach Detailgrad des Berichts daraus ableiten, dass die Prüfung erfolgte, wann sie erfolgte und wo sie zu finden ist.

Aufbau und Inhalt des Tätigkeitsberichts

Zur konkreten Ausgestaltung des Berichts bestehen keine gesetzlichen Vorgaben. Wir empfehlen Ihnen jedoch, mindestens die folgenden Inhaltspunkte zu thematisieren:

  1. Allgemeines zum Datenschutz (aktuelle Neuigkeiten zu z.B. Rechtsprechung, Beschlüssen und Technologie)
  2. Aktueller Ist-Status im Datenschutz und getroffene Maßnahmen im Berichtszeitraum (insbesondere Verzeichnis der Verarbeitungstätigkeiten; Auftragsverarbeitung mit Liste der Auftraggeber und Auftragnehmer; Schulungsmaßnahmen; technische und organisatorische Maßnahmen; Online-Datenschutz z.B. bezüglich Website, Facebook-Fanpage und Newsletter)
  3. Durchführung von internen Kontrollen
  4. Finanzieller, zeitlicher und personeller Ressourcenbedarf
  5. Sonstiges
  6. Ausblick (geplante Vorhaben)

Tipp: Nutzen Sie einfach unsere kostenlose Vorlage für einen Datenschutzbericht und passen Sie diese an die speziellen Anforderungen Ihrer Organisation an.

Wie oft sollte ein Datenschutzbericht erstellt werden?

Abschließend stellt sich die Frage, wie oft ein Tätigkeitsbericht angefertigt werden sollte. Bezüglich des Turnus für den Berichtszeitraum ist es schwierig, allgemeine Aussagen zu treffen, die auf jede Art von Organisation passen. In datengetriebenen Unternehmen ist es durchaus sinnvoll, einen quartalsmäßigen oder halbjährlichen Turnus einzuführen. Im produzierenden Gewerbe kann dagegen ein Zeitraum von einem Jahr angemessen sein.

Der zeitliche Abstand der Berichte bemisst sich nicht zuletzt auch daran, wie viele datenschutzrechtliche Maßnahmen insgesamt getroffen werden und wie übersichtlich sich diese Maßnahmen in einem einzigen Tätigkeitsbericht dokumentieren lassen. Findet eine Vielzahl an Maßnahmen durch verschiedene Mitarbeiter bzw. Abteilungen statt, kann es für die Beteiligten nach Ablauf eines ganzen Jahres schwierig sein, die Maßnahmen übersichtlich, vollständig und präzise genug darzustellen.

Fazit: Dokumentation ist elementar

Der Tätigkeitsbericht hilft in einer arbeitsteiligen Organisation den Überblick über die Umsetzung von datenschutzrechtlichen Vorgaben zu bewahren und dient gleichzeitig als Nachweis gegenüber Aufsichtsbehörden. Inhaltliche Vorgaben an den Tätigkeitsbericht gibt es keine. Inhalt und Turnus sollten aber an der Natur der Organisation ausgerichtet werden, so dass die Übersichtlichkeit und der Sinngehalt des Berichts gewahrt wird.

Mit anderen Worten: Wie Sie den Datenschutz in Ihrem Unternehmen am besten dokumentieren, können Sie nur selbst herausfinden. Wichtig ist nur, dass Sie es in jedem Fall tun!

Die Dokumentation des Datenschutzes ist Ihnen einfach zu aufwändig? Dann bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen – und konzentrieren sich lieber auf Ihren Geschäftserfolg!

Datenschutzkonforme Facebook-Fanpages nach DSGVO

Fanpages bzw. Unternehmensprofile bei Facebook sind nach DSGVO nicht ohne Weiteres datenschutzkonform zu betreiben. Zuletzt sorgte ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufruhr – und brachte zahlreiche Unternehmen dazu, ihre Profile bei Facebook zu deaktivieren. Mittlerweile steuerte Facebook nach, so dass die datenschutzrechtlichen Hürden für eine Facebook-Fanpage etwas geringer ausfallen. Die deutschen Datenschutzbehörden sind nach jüngster Einschätzung weiterhin der Ansicht, dass das Betreiben einer Facebook-Fanpage zweifellos Datenschutzverstöße mit sich bringt.

Das Problem mit der gemeinsamen Verarbeitung

In seinem Urteil vom 5. Juni 2018 stellte der EuGH fest, dass Facebook-Fanpages in der bisherigen Gestaltung nicht datenschutzkonform sind. Wegen des Trackings von Fans mittels der Funktion „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook. Deshalb sind die Voraussetzungen des neuen Art. 26 DSGVO (EU-Datenschutz-Grundverordnung) von beiden Parteien zu erfüllen.

Ursprünglich scheiterte die Rechtskonformität an einer fehlenden vertraglichen Vereinbarung, um Fanpagebesucher über die gemeinsame Verarbeitung aufzuklären und die Pflichten zwischen Fanpagebetreiber und Facebook festzuhalten. Rund ein Vierteljahr nach Urteilsverkündung des EuGHs stellte Facebook diese Ergänzung seiner AGB zur Verfügung.

Problematisch ist dabei, dass sich Facebook vorbehält, das Addendum von Zeit zu Zeit zu aktualisieren. Selbstverständlich ist der Inhalt nicht verhandelbar, was Betreibern von Fanpages die Möglichkeit zur Intervention nimmt, wenn die Ergänzung einseitig von Facebook angepasst wird. Mit weiterer Nutzung des Dienstes gelten die neuen Bedingungen als akzeptiert. Der Wortlaut lässt leider nur hoffen, dass Betreiber über Änderungen wenigstens informiert werden und es gilt wie immer das Prinzip „take it or leave it“.

DSGVO-Konformität der Ergänzung

Art. 26 DSGVO fordert einer Vereinbarung zwischen gemeinsamen Verantwortlichen folgendes ab:

  • Erfüllung von Verpflichtungen durch den jeweiligen Verantwortlichen, darunter insbesondere die Erfüllung von Informationspflichten (Datenschutzhinweise) und Betroffenenrechten (Beantwortung von z. B. Löschanfragen)
  • Anlaufstelle für betroffene Personen
  • Bekanntgabe des wesentlichen Inhalts der Vereinbarung an Betroffene (Dazu verpflichtet sich Facebook in der Ergänzung. Es ist aber angeraten diese Information auf der eigenen Website zu führen, weil Facebook das Addendum jederzeit ohne Ihr Wissen einseitig ändern könnte).

Facebook hat zu allen oben genannten Pflichten Regelungen getroffen und eine Lösung gefunden, die dem Fanpagebetreiber jegliches Tätigwerden ersparen soll. Die DSK, das Gremium der deutschen Datenschutzaufsichtsbehörden, sieht dennoch in ihrer Stellungnahme vom 1. April 2019 weiterhin herbe Verstöße gegen Art. 26 DSGVO. Einige der Hauptkritikpunkte sind, dass Fanpagebetreibern keine Entscheidungsmacht über die Verarbeitung der Fanpagenutzerdaten von Facebook zugesprochen wird und zudem keine eigene Rechtsgrundlage zur Verarbeitung der Fanpagenutzerdaten haben. Die Pflichten, die Facebook in der Ergänzung einräumt, sind ein Schritt in die richtige Richtung und erfüllen in der aktuellen Fassung einige der Anforderungen des Art. 26 DSGVO. Dennoch besteht weiterhin das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 und 5 DSGVO fort.

Es hapert an Einflussmöglichkeiten für Fanpagebetreiber selbst. Die Konferenz der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im September 2018 als Reaktion auf das EuGH-Urteil einen Beschluss verfasst, dessen Fragen 5 bis 7 auch nach den Änderungen durch Facebook weitestgehend ungelöst blieben.

Einerseits gibt es immer noch keine Möglichkeit, das Tracking der Fans auszuschalten. Dies ist insbesondere relevant, weil die DSK seit Einführung der DSGVO eine Einwilligung für das Tracking (und damit auch für Insights-Daten) fordert (siehe unsere Einschätzung zum Thema). Diese kann auch mit den besprochenen Änderungen nicht durch den Betreiber eingeholt werden. Im Ergebnis fehlt ihm demnach immer noch eine gültige Rechtsgrundlage gem. Art. 6 Abs. 1 S. 1 DSGVO und er ist möglichen Bußgeldern nach Art. 83 Abs. 5 DSGVO weiterhin ausgesetzt.

Andererseits erlaubt es die Ergänzung Fanpagebetreibern nicht, sich auf die Erfüllung der sich aus Art. 26 DSGVO ergebenden Pflichten durch Facebook dauerhaft zu verlassen, weil die Vereinbarung einseitig und stillschweigend durch die soziale Plattform geändert werden kann.

Maßnahmen zur Risikominimierung bei Facebook-Fanpages

  1. Installieren Sie ein Opt-in-Banner auf Ihrer Website, das die Einwilligung für das Tracking auf Ihrer Facebook-Fanpage einholt. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
  2. Implementieren Sie in den Datenschutzhinweisen Ihrer Website die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
    • Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden,
    • die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten,
    • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung,
    • Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
  3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
  4. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular.
  5. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten. Auch dort greifen die Überlegungen und Feststellungen dieses Artikels.

Fazit: Ein Lichtblick für weiterhin bestehende datenschutzrechtliche Hürden

Das Hauptrisiko der Facebook-Unternehmensseiten besteht durch Mangel an einer Rechtsgrundlage für den Betreiber und die damit verbundene Rechtsunsicherheit fort.

Ein Lichtblick besteht, obwohl keine weiteren mildernden Maßnahmen von Facebook zu erwarten sind: Die kommende ePrivacy-Verordnung wird vermutlich ab Ende 2019 regeln, unter welchen Voraussetzungen Tracking für Statistikzwecke über längere Zeiträume ohne ausdrückliche Einwilligung der Betroffenen zulässig ist. Damit wäre zumindest eine große  datenschutzrechtliche Hürde überwunden.

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kopplungsverbot vs. Kopplungsprüfungsgebot

Das datenschutzrechtliche Kopplungsverbot wird immer dann angesprochen, wenn z. B. für den Download eines Whitepapers eine Einwilligung für den Empfang eines Newsletters oder werblicher E-Mails verlangt wird. Doch ist diese Kopplung von Angebot und Einwilligung wirklich rechtswidrig? Oder fordert die europäische Datenschutz-Grundverordnung (DSGVO) nicht eher eine gründliche Abwägung – besteht also ein Kopplungsprüfungsgebot?

Was besagt das Kopplungsverbot?

Auch das jüngste europäische Datenschutzrecht verbietet jede Art von Verarbeitung personenbezogener Daten, sofern keine Rechtsgrundlage für diese Verarbeitung besteht. Das Prinzip nennt sich „Verbot mit Erlaubnisvorbehalt“. Eine der möglichen Rechtsgrundlagen für die Verarbeitung von Daten, die eine Person identifizieren oder identifizierbar machen, ist die Einwilligung.

Das Kopplungsverbot soll die Verarbeitung personenbezogener Daten bei Einwilligungen verbieten, wenn die Verarbeitung dieser Daten zur Erfüllung eines Vertrags oder der Bereitstellung einer Dienstleistung nicht erforderlich ist. Die in diesem Artikel beschriebenen Rechtsgrundlagen werden durch das Kopplungsverbot direkt oder indirekt beeinflusst.

Die Rechtgrundlagen Erfüllung eines Vertrags und Einwilligung

Im Kontext des Kopplungsverbots muss zwischen den Rechtsgrundlagen Erfüllung eines Vertrags (gem. Art. 6 Abs. 1 lit. b DSGVO) und Einwilligung (gem. Art. 6 I lit. a DSGVO) unterschieden werden.

Meist kann die Rechtsgrundlage zur Erfüllung eines Vertrags von Firmen als Datenschutz-Wunderwaffe eingesetzt werden. Diese Grundlage erlaubt die Verarbeitung allerdings nur, wenn sie auch erforderlich ist, um Waren oder Services anzubieten. Zur Bereitstellung von Leistungen müssen immer personenbezogene Daten verarbeitet werden. Sei es zur Versendung von Gütern oder bei Dienstleistungen – ohne menschliche Kontaktpersonen oder Informationen zu Personen, auf die eine Leistung zugeschnitten werden soll, geht es in aller Regel nicht. Damit können sich Unternehmen meist auf diese Rechtsgrundlage stützen.

In Fällen, in denen die Verarbeitung von personenbezogenen Daten nicht erforderlich ist, um den Vertrag auszuführen, kann sich ein Verantwortlicher auf die Einwilligung als alternative Rechtsgrundlage stützen. Klassische Beispiele sind die Weitergabe von Kundendaten an Dritte für zusätzliche Zwecke oder Zusendung von Newslettern. Für diese Verarbeitungen holen sich Verantwortliche Einwilligungen ein, die vom Betroffenen freiwillig erteilt werden müssen.

Art. 7 Abs. 4 DSGVO konkretisiert die Freiwilligkeit der Einwilligung und stellt die Brücke zum Kopplungsverbot her. Er besagt, dass eine Einwilligung eventuell nicht freiwillig erteilt wurde, wenn

  • die Erfüllung eines Vertrags oder die Bereitstellung einer Dienstleistung von einer Einwilligung zur Verarbeitung von bestimmten personenbezogenen Daten abhängt und
  • diese Daten nicht erforderlich sind um den Vertrag auszuführen.

Warum sollte beispielsweise eine Banking-App nur unter der Bedingung funktionieren, dass der Nutzerstandort jederzeit ausgelesen werden kann? Mit anderen Worten: Stellt ein Anbieter sein Produkt oder seine Dienstleistung ausschließlich unter der Bedingung zur Verfügung, Daten verarbeiten zu dürfen, die er eigentlich nicht zur Leistungserbringung benötigt, könnte die Einwilligung unfreiwillig erteilt worden sein. Im Ergebnis wäre die Einwilligung unwirksam und dem Anbieter würde die Rechtsgrundlage zur Verarbeitung der Daten fehlen. Das macht eine Verarbeitung illegal.

Demnach gilt das Erforderlichkeitskriterium neben der Erfüllung eines Vertrags auch für die Einwilligung. Die Gegenüberstellung der Rechtsgrundlagen Vertragserfüllung und Einwilligung zeigt: Eine auf strikter Erforderlichkeit beruhende Einwilligung könnte die Handlungsmöglichkeiten für Unternehmen bei der Verarbeitung von Daten deutlich einschränken. Denn die Einwilligung wird allzu gerne als Rechtsgrundlage benutzt, wenn nicht erforderliche Daten doch noch irgendwie rechtmäßig verarbeitet werden sollen.

Das Kopplungsverbot ist ein Schaf im Wolfspelz

Bei genauem Lesen des Art. 7 Abs. 4 DSGVO fällt jedoch auf, dass die fehlende Erforderlichkeit der Verarbeitung nicht zwangsläufig dazu führt, dass eine Einwilligung unfreiwillig erteilt wurde. Anders ausgedrückt: Die DSGVO setzt nicht fest, dass eine Einwilligung bei fehlender Erforderlichkeit unwirksam ist. Viel mehr spricht sie davon, dass bei der Bewertung, ob eine Einwilligung freiwillig erteilt wurde, der Erforderlichkeit „Rechnung getragen“ werden soll. Es gibt demnach viele Kriterien, die die Wirksamkeit bestimmen. Erforderlichkeit ist nur eines davon, ohne spezielles Gewicht zu tragen.

Im Ergebnis handelt es sich um eine Pflicht zur Prüfung, anstelle eines klassischen Verbots. Wir sprechen also eher von einem Kopplungsprüfungsgebot. In vielen Fällen wird dem Verantwortlichen in Zukunft nicht erspart bleiben, eine Abwägung zu treffen, die die Erforderlichkeit der fragwürdigen Datenverarbeitung zumindest analysiert. Es kann aber auch davon ausgegangen werden, dass die Unwirksamkeit der Einwilligung mangels Erforderlichkeit nur in Extremfällen zum Tragen kommt.

Zur Veranschaulichung sei ein Fall genannt, in dem neben Erforderlichkeit zusätzlich die Wahlfreiheit für Betroffene fehlt. Eine Versicherung mit Monopolstellung ist ein Extremfall, wenn sie ihre Leistung nur gegen dauerhafte Überwachung der Vitalfunktionen nebst Beitragszahlung anbietet.

Der Erforderlichkeitsmaßstab für die Erfüllung eines Vertrags gem. Art. 6 Abs. 1 lit. b DSGVO

Doch was passiert mit dem Erforderlichkeitsmaßstab für die Rechtsgrundlage Erfüllung eines Vertrags? Unternehmen ist diese Rechtsgrundlage lieber, weil sie nicht widerrufen werden kann. Die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags ist auch hier der Dreh- und Angelpunkt zur Bewertung, ob die Verarbeitung der Daten nötig ist, um die vereinbarte Vertragsleistung zu erfüllen.

Strikt gesehen könnte man davon ausgehen, dass jede Datenverarbeitung, die nicht direkt mit dem Produkt oder der Dienstleistung verwandt ist, auch nicht erforderlich ist. Zum Beispiel wäre ein Nagelstudiobesuch immer auf Bargeld gegen Nagelmodellage beschränkt. Jedem ist aber klar, dass eine Erinnerung zum nächsten Studiobesuch sehr angenehm sein kann. Würde der Erforderlichkeitsmaßstab strikt ausgelegt, dürften die Nagelstudios unseres Beispiels Kunden aber nicht mehr zur Terminerinnerung kontaktieren, da es schlichtweg nicht erforderlich ist, um Nägel aufzuhübschen. Logische Folge so einer strikten Betrachtung ist, dass sich Geschäftsmodelle und Leistungen niemals weiterentwickeln könnten.

Der gegenteilige Ansatz ist es zu sagen, dass alles erforderlich zur Erfüllung des Vertrags ist, was die Parteien vertraglich vereinbart haben. Demnach würden Verantwortliche alle möglichen Verarbeitungen in den Vertrag integrieren und dadurch rechtfertigen. Hier entsteht das Problem, dass Verbraucher bei nicht verhandelbaren Verträgen die Kontrolle über ihre Daten verlieren.

Bisher ist noch unklar welcher der beiden Ansätze vorherrschen wird. In der Regel liegt die Wahrheit in der Mitte. Deshalb ist ein vorläufiger Handlungsvorschlag, die Vertragsgestaltung auf die geplanten Datenverarbeitungen anzupassen. Wenn die Verarbeitungen Teil der versprochenen Vertragsleistung sind, ist nämlich eher davon auszugehen, dass sie für die Erfüllung des Vertrags erforderlich sind.

Bei dem Vorgehen sind einige Dinge zu beachten:

  • Leistungen, die Sie in den Vertrag aufnehmen, müssen auch dauerhaft erbracht werden. Z. B. wären Sie zur Erinnerung an den nächsten Studiobesuch vertraglich verpflichtet, weil davon ausgegangen wird, dass der Kunde dafür bezahlt.
  • Berufen Sie sich immer nur auf eine Rechtsgrundlage. Es ist davon abzuraten, zusätzliche Einwilligungen einzuholen.
  • Erforderlichkeit in Beschäftigungsverträgen: Es gelten spezielle Regeln für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (Bewerber und Mitarbeiter). Diese finden sich in § 26 BDSG (Bundesdatenschutzgesetz).

Service gegen Daten im Internet

Neben den zuvor beschriebenen klassischen Vertragsverhältnissen (Produkt gegen Bezahlung), ist in den vergangenen Jahren ein alternatives Zahlungsmodell aufgekommen. Meist werden im Internet Dienstleistungen gegen personenbezogene Daten angeboten. Das kann reine Kontaktdaten betreffen oder bis zur Auslesung von Kaufverhalten oder sozialen Aktivitäten eines Betroffenen reichen. Payback und Facebook sind Beispiele für das Servicemodell gegen Daten, aber auch das Angebot eines Whitepaper-Downloads gegen zwingende Anmeldung zum Newsletter eines Unternehmens.

Das Kopplungsverbot spricht grundsätzlich nicht gegen dieses Servicemodell. Knifflig wird es, wenn Betroffene deutlich weniger aus dem Austauschverhältnis ziehen, als der Anbieter oder wenn die Wahl fehlt, einen alternativen Service zu benutzen. Die Freiwilligkeit ist aber in jedem Fall gegeben, solange vom Anbieter oder anderen Anbietern eine gleichwertige Leistung gegen Geld angeboten wird und eine Ausweichmöglichkeit ohne Nachteile für Betroffene besteht. Das Whitepaper-gegen-Newsletter-Modell bietet Betroffenen genügend Ausweichmöglichkeiten (z. B. Bezahlliteratur) und einen angemessenen Gegenwert zur Subscription (Whitepaper). Zudem hat das Bayerische Landesamt für Datenschutzaufsicht zur Thematik eindeutig Stellung bezogen (siehe S. 72 im PDF). Es sieht den Austausch von Online-Dienstleistungen gegen Newsletter-Subscription als vertragliches Verhältnis, das von Art. 6 Abs. 1 lit. b DSGVO gedeckt ist und demnach keiner Einwilligung bedarf. Voraussetzung sei aber, dass der Nutzer über die verpflichtende Preisgabe von Daten vor Vertragsschluss ausreichend informiert wird.

Ob ein Anbieter bei der Auslesung von Kaufverhalten oder sozialen Aktivitäten eine Monopolstellung innehat, also ein klares Ungleichgewicht besteht, wird zur Kopplungsbeurteilung entscheidender sein, als das Alternativangebot gegen Bezahlung. Das ist der Tatsache geschuldet, dass es in aller Regel schwierig ist, die Höhe der Geldzahlung festzusetzen, die anstatt einer Datenüberlassung fällig wäre. Der Wert der Daten hängt nämlich von der Art und Größe der Datenbank insgesamt ab. Diese Faktoren ändern sich mit der Zeit und sind nicht vorhersehbar.

Fest steht, dass der Beeinträchtigung der Freiwilligkeit der Einwilligung gem. Art. 7 Abs. 4 DSGVO Rechnung zu tragen ist, sobald der eingesetzte Preis eindeutig zu hoch ausfällt. Darüber hinaus steht fest, dass vermeintlich kostenlose Angebote nicht mehr als gratis deklariert werden können, weil transparent auf das Austauschverhältnis Daten gegen Leistung hingewiesen werden muss. Das Ende der Services gegen Daten ist mit dem Kopplungsprüfungsgebot jedenfalls nicht eingeläutet.

Update November 2018

Am 31. August 2018 fällte der Oberste Gerichtshof in Wien (Österreichs höchste Instanz in Zivil- und Strafsachen) ein Urteil in bzgl. des Kopplungsverbots. Dieses ist zwar nicht bindend für Gerichte anderer Mitgliedstaaten, könnte aber zumindest richtungsweisend sein.

Die Richter entschieden, dass eine an die Hauptdienstleistung gekoppelte Einwilligung zur Werbedatenverarbeitung inklusive Datenweitergabe an Dritte nicht mit den Voraussetzungen des Art. 7 Abs. 4 DSGVO vereinbar seien. Eine entsprechende Klausel war in den AGB eines TV-Dienstleisters enthalten, die er Kunden bei Vertragsschluss anerkennen ließ. Das Gericht stellte eine unerlaubte Kopplung der Dienstleistungserbringung mit der Einwilligung zu Werbezwecken fest, weil Werbung zur Erbringung der Dienstleistung nicht erforderlich sei. Zur Entscheidung trug zudem bei, dass Kunden nicht ausreichend transparent auf die Einwilligung in den AGB hingewiesen wurden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonformer Einsatz von Trigger-Mailings

Trigger-Mailings bzw. automatisierte E-Mails sind vor allem für Anbieter von Onlineshops ein wichtiges Informations- und Marketingwerkzeug. Doch wann dürfen Sie welche Trigger-Mailings überhaupt verschicken? Wann ist vorher eine Einwilligung einzuholen? Welche Inhalte sind für automatisierte E-Mails vorgeschrieben? Unser Ratgeber bringt alle Fakten auf den Punkt.

Trigger-Mailings und rechtliche Einschränkungen

Trigger-Mailings genießen bei Anbietern von Webshops hohe Beliebtheit. Ein Trigger-Mailing erzeugt automatisierte E-Mail-Benachrichtigungen an Kunden und Subscriber, wenn eine bestimmte Aktion im Shop oder in einem Newsletter ausgelöst wird. Zum Beispiel werden Trigger-Mailings verkaufsfördernd eingesetzt, wenn ein Kunde seinen Einkauf in einem Onlineshop abbricht (mit Produkten im Warenkorb) oder er über längere Zeit nicht gekaufte Produkte in seiner Wunschliste führt. Ein Trigger-Mailing kann Kunden darüber hinaus auch daran erinnern, dass eine Sendung gerade verschickt wurde.

Damit können Anbieter effizient Kunden und Interessenten mit vorformulierten Nachrichten ansprechen, ohne hohen administrativen Aufwand. Normalerweise wird für die Benachrichtigung die E-Mail-Adresse eines Nutzers verwendet, die sowieso bei der Registrierung für einen Account im Onlineshop erhoben wird – eine kostengünstige und attraktive Lösung für Anbieter und Adressaten, sollte man meinen.

Ganz so einfach ist es leider nicht, denn der europäische und deutsche Gesetzgeber haben dem E-Mail-Marketing so einige Stolpersteine in den Weg gelegt, um die Adressaten vor lästigen Ansprachen zu schützen. Diese Hindernisse finden sich zum einen im Gesetz gegen den unlauteren Wettbewerb (UWG) und zum anderen in der Datenschutz-Grundverordnung (DSGVO).

Hinzu kommt, dass viele Marketing-Automation-Systeme unkontrollierte Trigger-Mailings senden, wenn der Anwender die rechtlichen Grenzen nicht kennt und/oder entsprechende Einstellungen fehlen. Häufig ist nämlich bei Trigger-Mailings eine Einwilligung erforderlich, um Abmahn- und Bußgeldrisiken zu begegnen.

Einschränkungen gelten nur bei Werbung, aber was ist Werbung?

Die Stolpersteine der Gesetzgeber hindern Webshop-Anbieter nicht daran jegliche Art von E-Mail-Benachrichtigung an Betroffene zu versenden. So sind alle Nachrichten, die ausschließlich die Durchführung eines Kaufvertrags oder Dienstleistungsvertrags fördern, regelmäßig zulässig und unterliegen nicht den strengen Grenzen des § 7 UWG. Darunter fallen z.B. Versandbestätigungen und Rechnungen (siehe dazu unser Whitepaper zum DSGVO-konformen E-Mailmarketing).

Für Werbung gelten allerdings die wettbewerbsrechtlichen Grenzen, welche in manchen Fällen das Versenden von Nachrichten ohne Einwilligung des Adressaten verbieten. Werbe-E-Mails sind alle Nachrichten eines Unternehmens, die mittelbar oder unmittelbar auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Unmittelbare Werbung wären dabei z.B. Produktvorschläge, die den Kunden auf das Sortiment des Anbieters hinweisen. Um mittelbare Werbung handelt es sich z.B., wenn ein Anbieter Imagewerbung verschickt oder sein Sponsoring bekanntgibt.

Zusammenspiel von Wettbewerbsrecht und Datenschutzrecht bei E-Mailings

Die DSGVO findet Anwendung auf jedes Trigger-Mailing, denn unab­hängig davon, ob das UWG der DSGVO aufgrund von Art. 95 DSGVO vorgeht, darf das in der DSGVO festgelegte Datenschutzmindestschutzniveau nicht unterschritten werden. Die engen Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Anbieters) müssen primär erfüllt sein, damit das Mailing ohne Einwilligung verschickt werden darf. Durch die Einhaltung der Voraussetzungen des § 7 UWG kann die Interessenabwägung zu Ihren Gunsten ausgehen. Dies hat auch die Datenschutzkonferenz (Zusammenschluss der deutschen Datenaufsichtsbehörden) im November 2018 bestätigt. So enthält § 7 Abs. 3 UWG z.B. eine Ausnahme bezüglich der Versendung von Werbe-E-Mailings an Nutzer, die bereits Ihre Bestandskunden sind. Ein Bestandskunde kann jeder Kunde sein, der mindestens zwei Bestellungen getätigt hat und in wiederkehrenden Abständen bei Ihnen Waren bestellt. Diese Definition kann aber je nach Gewerbezweig variieren und individuell festgelegt werden. Durch die beschriebene Ausnahme kann teilweise auch Werbung ohne Einwilligung verschickt werden.

Das berechtigte Interesse ist ausschlaggebend und für einen Anbieter nur gegeben, wenn der Betroffene mit dem Mailing rechnet und es ihn in seinen Interessen oder Grundrechten und Grundfreiheiten nicht beeinträchtigt. Es ist daher immer hilfreich, den Nutzer im Bestellvorgang genau über die geplanten Mailings in Kenntnis zu setzen. Zudem sollten vom Anbieter auch weniger invasive Maßnahmen (wie die gute alte Postsendung) in Betracht gezogen werden. Wenn neben den genannten Voraussetzungen keine mildere Maßnahme greift, kann man sich auf das berechtigte Interesse stützen, was eine Einwilligung des Kunden entbehrlich macht. Eine individuelle Abwägung pro Mailingart ist notwendig.

Varianten von Trigger-Mailings und deren Zulässigkeit ohne Einwilligung

  1. Warenkorbabbruchs-Mailing und Wunschlisten-Erinnerungs-Mailing: Bei Erstbestellern ist diese Nachricht nur zulässig mit vorheriger Einwilligung des Adressaten gem. § 7 Abs. 2 Nr. 3 UWG. Die Ausnahme des § 7 Abs. 3 UWG greift bei Erstbestellern regelmäßig nicht. Bei Bestandskunden können Warenkorbabbruchs-Mailings auf Basis der Ausnahme des § 7 Abs. 3 UWG ohne Einwilligung versandt werden. Es muss sichergestellt sein, dass der Bestandskunde dem Erhalt nicht widersprochen hat und im Bestellungsprozess auf die werbliche Nutzung der Daten hingewiesen wurde. Eine Opt-Out-Möglichkeit muss jedem Mailing beigefügt werden und es dürfen im Mailing nur Waren oder Dienstleistungen beworben werden, die ähnlich zur Kaufhistorie des Kunden sind.
  2. Mailings für Produkt- oder Markenempfehlungen: Hier gelten die gleichen Feststellungen wie beim vorherigen Punkt. Eine Besonderheit ist, dass sich die Produktempfehlungen auf das eigene Angebot bzw. eigene Marken der werbenden juristischen Person beziehen müssen. Andernfalls ist § 7 Abs. 3 Nr. 2 UWG nicht erfüllt und eine Einwilligung des Adressaten erforderlich.
  3. Kundenzufriedenheits-Mailings: Gemäß aktueller Rechtsprechung (LG Hannover, 21.12.2017, AZ: 21 O 21/17; KG Berlin, 07.02.2017, AZ: 5 W 15/17) ist davon auszugehen, dass solche Trigger-Mailings der Einwilligungserfordernis gemäß § 7 Abs. 2 Nr. 3 UWG unterliegen. Eine Einwilligung nach Maßgabe des Art. 7 DSGVO ist einzuholen. Sofern im Kaufprozess an prominenter Stelle darauf hingewiesen wird, dass der Betroffene jederzeit Werbewiderspruch einlegen kann und auch das Kundenzufriedenheitsmailing so einen Hinweis bzw. Opt-out-Link enthält, kann von einer Reduktion des Bußgeldrisikos ausgegangen werden.
  4. Mailing bezüglich Abwicklung einer Bestellung (z.B. Versand und Rechnung): Der Versand solcher Mailings ist uneingeschränkt und ohne Einwilligung zulässig, weil hier keine wettbewerbsrechtlichen Einschränkungen gelten und der Versand durch die Vertragsdurchführung gem. Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt ist, sofern der Empfänger auch der Vertragspartner ist.

Allgemeine Hinweise beim Versand von Trigger-Mailings

Neben der Frage, ob man ein Trigger-Mailing ohne Einwilligung versenden darf, sind einige begleitende Maßnahmen zu treffen, um den Prozess datenschutzkonform zu gestalten:

  1. Falls eine Einwilligung erforderlich ist, müssen die Anforderungen des Art. 6 Abs. 1 lit. a und Art. 7 DSGVO bei der Gestaltung und Durchführung der Einwilligung erfüllt werden.
  2. Die Informationspflichten gem. Art. 13 DSGVO müssen immer eingehalten werden, um die Transparenz gegenüber dem Adressaten zu gewährleisten.
  3. Sofern die angebotene Dienstleistung oder das Produkt sensibel sind, gelten strengere Maßstäbe. Beispielsweise ist bei Erotikversandhäusern, Gesundheitsanbietern, religiösen Vereinigungen und ähnlichen Gewerben vom Versand ohne Einwilligung abzuraten. Davon ausgenommen sind die oben genannten Mailings zur Abwicklung einer Bestellung.
  4. Wer rastet, der rostet: Die ePrivacy-Verordnung könnte die Spielregeln für Trigger-Mailings in naher Zukunft erneut verändern, da die Vorgaben aus dem UWG ersetzt werden. Informieren Sie sich deshalb regelmäßig durch unseren kostenlosen Newsletter.

Fazit: Trigger-Mailings sind datenschutzrechtlich durchaus möglich

Bei der Versendung von Trigger-Mailings muss geltendes Wettbewerbs- sowie Datenschutzrecht eingehalten werden. Bestimmte Mailings können unter engen Voraussetzungen ohne die Einwilligung des Betroffenen verschickt werden, sofern der Inhalt der Mailings nicht sensibel ist. Vor allem der Versand von Mailings an Bestandskunden bietet großes Potential zu werben und gleichzeitig geltendes Recht einzuhalten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzschulung von Mitarbeitern und Betriebsräten

Neben den technischen und organisatorischen Schwachstellen im Datenschutz gibt es selbstverständlich auch die menschlichen. Da nichts normaler ist, als menschliche Fehlbarkeit, muss die Unternehmensführung dem durch Schulung von Mitarbeitern und insbesondere Betriebsräten entgegenwirken. Unser Ratgeber erklärt, worauf Sie laut Datenschutz-Grundverordnung (DSGVO) bei Datenschutz- und Informationssicherheitsschulungen im Unternehmen achten sollten.

Wer ist für Schulungen von Beschäftigten verantwortlich?

Entgegen der allgemeinen Auffassung ist der betriebliche Datenschutzbeauftragte nicht verantwortlich für die Durchführung von Schulungen. Es zählt nichtsdestotrotz gemäß Art. 39 Abs. 1 lit. b DSGVO zu seinen Aufgaben, die Strategien des Verantwortlichen bezüglich der Schulung von Mitarbeitern zu überwachen. Verantwortlich für die Datenverarbeitung ist deshalb in der Regel die Gesellschaft und damit deren Geschäftsführung.

Die betriebliche Praxis zeigt jedoch, dass die Durchführung von Mitarbeiterschulungen in der Regel an den Datenschutzbeauftragten delegiert wird. Dieses Vorgehen deckt sich mit der Pflicht des Datenschutzbeauftragten aus Art. 39 Abs. 1 lit. a DSGVO, die ihm die Unterrichtung und Beratung von Beschäftigten auferlegt.

Der Verantwortliche hat die nötigen Ressourcen zur Verfügung zu stellen, damit Mitarbeiter in ihrer Arbeitszeit geschult werden können und der Datenschutzbeauftragte (oder sonstige mit der Schulung beauftragte Stellen) die Mitarbeiter zum Datenschutz sensibilisieren kann.

Welche Mitarbeiter sollen geschult werden?

Alle Mitarbeiter, die an Verarbeitungen von personenbezogenen Daten beteiligt sind, müssen geschult werden. Zunächst sollte sich der Verantwortliche also die Frage stellen, was überhaupt „verarbeiten“ im Sinne der Datenschutz-Grundverordnung ist. Der Gesetzgeber gibt in Art. 4 Nr. 2 DSGVO folgende Beispiele, die so ziemlich jede Handhabung von personenbezogenen Daten einschließt: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Doch diese Vorgabe schließt nicht jede Art von Daten ein. Nur personenbezogene Daten lösen die Schulungspflicht aus. Darunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele für solche Informationen sind Namen, Kennnummern, IP-Adressen, Standort- und Körperdaten sowie sonstige identifizierende Merkmale.

Das bedeutet in der Praxis, dass ein Fantasie-Benutzername in einem Internetportal selbst noch kein personenbezogenes Datum ist, aber sich durch die verknüpfte IP-Adresse ein Personenbezug herstellen lässt. Im Ergebnis handelt es sich also auch dabei um personenbezogene Daten.

Einen Programmierer, der nur Software erstellt, wird keine Schulungspflicht treffen, weil er zwar Daten verarbeitet, diese aber nicht personenbezogen sind. Es ist aber allgemein bekannt, dass Bürojobs heutzutage diversifiziert sind und auch Programmierer durchaus in Kontakt mit Kunden kommen. Sobald der Programmierer dafür Zugriff auf ein Kontaktadressbuch hat oder Gesprächsnotizen in ein Dateisystem einpflegt, werden personenbezogene Daten verarbeitet und der Mitarbeiter muss geschult werden.

Andererseits müssen z. B. Reinigungskräfte und Mitarbeiter an Produktionslinien nicht unbedingt geschult werden, wenn sie nicht Leiter eines Teams sind und keinen Kundenkontakt haben. Nichtsdestotrotz solle man diese Mitarbeiter z. B. über den Zutrittsschutz belehren.

Wie sollten Mitarbeiter geschult werden?

Die Inhalte einer Schulung sollten auf das Zielpublikum zugeschnitten und nah am täglichen Berufsalltag sein. In einem Freizeitpark ist die Verarbeitung von Besucherdaten an der Anmeldung wesentlich wichtiger für die Belegschaft, als der Umgang mit Gesundheitsdaten, die von der DSGVO besonders schützenswert behandelt werden. Gesundheitsdaten hätten dagegen hohe Brisanz bei medizinischen Fachangestellten, die in einer Arztpraxis arbeiten.

Schließlich ist der Umgang mit Beschäftigtendaten und insbesondere Daten von Kollegen ein Thema, das in jeder Organisation angesprochen werden sollte. Dauerbrenner sind dabei häufig der Einsatz von WhatsApp zu betrieblichen Zwecken und Gruppenchats in Abteilungen.

Die Gliederung einer Schulung kann wie folgt aussehen, um die relevanten Inhalte zu vermitteln:

  1. Einführung in den Datenschutz: Warum ist Datenschutz wichtig, wen schützt der Datenschutz, Stellung und Kontaktdaten des Datenschutzbeauftragten
  2. Anwendungsbereich des Datenschutzes im Unternehmen: Was ist ein personenbezogenes Datum, was sind besondere personenbezogene Daten, Haftung bei Verstößen durch Mitarbeiter, Bedeutung der Verpflichtungserklärung
  3. Kundendatenschutz: Handlungshinweise bei Datenschutzpannen, Beantwortung von Betroffenenanfragen, Erstellung des Verzeichnisses von Verarbeitungstätigkeiten und Erfüllung der Informationspflichten
  4. Datenschutz in der Praxis: Unternehmensinterne Richtlinien zum Datenschutz, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, IT-Angriffsszenarien

Sollte Ihr Unternehmen Auftragsverarbeiter für andere Verantwortliche sein, sollte die Schulung ein Kapitel enthalten, das den Mitarbeitern nahelegt, was eine Auftragsverarbeitung ist und die Weisungsgebundenheit erklärt (Auftragskontrolle).

Online-Schulungen zum Datenschutz bzw. zur Informationssicherheit sind effizient und schaffen einen guten Beitrag zur Sensibilisierung von Mitarbeitern. Es sollte darauf geachtet werden, dass die oben genannten Punkte gebührend vermittelt werden. Demnach kann es hilfreich sein, den Mitarbeitern zusätzliche relevante Informationen z. B. auf einem Informationsblatt nachzureichen.

Nachweispflicht und Turnus der Schulung

Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die sogenannte Rechenschaftspflicht. Diese verpflichtet den Arbeitgeber unter anderem dazu, die Teilnahme an der Schulung zu dokumentieren. Dabei sollte beachtet werden, dass auch Schulungsteilnahmeaufzeichnungen bestimmten Löschfristen unterliegen und nach Austritt eines Mitarbeiters vernichtet werden müssen. Deshalb bietet es sich an, die Listen in einer Excel-Tabelle zu führen, wo Mitarbeiternamen leicht entfernt werden können. Zudem ist es sinnvoll, auch den jeweiligen Schulungsinhalt für spätere Nachweise zu dokumentieren.

Auch der Nachweis einer regelmäßigen Durchführung muss vom Verantwortlichen erbracht werden können. Gesetzlich ist dazu keine Frist angegeben. Es bietet sich also an, den Turnus dem betrieblichen Hintergrund anzupassen. Wenn es sich um ein datengetriebenes Unternehmen handelt, in dem z. B. die Offenlegung von sensiblen Daten großen Schaden für Betroffene anrichten kann, ist ein drei- bis sechsmonatiger Turnus angeraten. Als Beispiele seien hier Gesundheits-App- oder Datingplattform-Anbieter genannt. Sofern das Unternehmen z. B. in der Baubranche tätig ist und nur wenige Ansprechpartnerdaten in unverfänglichen Kontexten anfallen, ist ein Schulungsturnus von ein bis eineinhalb Jahren durchaus angemessen.

Schulung von Betriebsräten

Der Betriebsrat hat im Unternehmen eine besondere Stellung. Als Gegenspieler des Arbeitgebers ist er weitestgehend autonom in seinen Handlungen. Der Arbeitgeber hat in der Regel keine Einsicht, wie der Betriebsrat personenbezogene Daten verarbeitet. Nach seiner Rechtsprechung ging das Bundesarbeitsgericht davon aus, dass der Betriebsrat kein Verantwortlicher ist, aber mit dem Arbeitgeber zusammen für die Einhaltung des Datenschutzes zuständig ist.

Aufgrund der zumindest gemeinsamen Zuständigkeit für den Datenschutz ist momentan anzunehmen, dass der Betriebsrat datenschutzrechtliche Anforderungen eigenständig erfüllen muss. Somit reicht eine allgemeine Schulung für Betriebsräte wie oben beschrieben nicht aus. Es ist empfohlen einen „Datenschutzexperten“ im Betriebsrat zu benennen und diesem ein tiefergehendes Schulungsangebot zugänglich zu machen.

Die erhöhten Anforderungen an das datenschutzrechtliche Betriebsratswissen rühren daher, dass für den Verantwortungsbereich außerhalb der Einsicht des Arbeitgebers (z. B. für Kommunikation und Veranstaltung von Versammlungen sowie Entgegennahme von Anregungen Beschäftigter) Maßnahmen im Datenschutz durch den Betriebsrat selbst getroffen werden sollten.

Deswegen ist zu empfehlen, alle Betriebsräte an den oben beschriebenen Mitarbeiterschulungen teilnehmen zu lassen sowie zumindest einem Betriebsrat eine Weiterbildung bezüglich folgender Fragestellungen zu ermöglichen:

  1. Sicherstellung eigener Rechtsgrundlage gem. Art. 6 DSGVO
  2. Erfüllung der Informationspflichten gem. Art. 13 und 14 DSGVO gegenüber den Betroffenen;
  3. Beantwortung von Betroffenenanfragen / Sicherstellung von Betroffenenrechten gem. Art. 15 ff. DSGVO
  4. Führen eines Verzeichnisses von Verarbeitungstätigkeiten über die Verarbeitungen als Verantwortlicher gem. Art. 30 Abs. 1 DSGVO
  5. Wahrung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO
  6. Meldung von Verletzungen des Schutzes personenbezogener Daten (Datenpanne) gem. Art. 33 und 34 DSGVO
  7. Durchführung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
  8. Durchführung von vorherigen Konsultationen gem. Art. 36 DSGVO

Fazit: Systematische Schulungen helfen allen

Die systematische Schulung von Mitarbeitern zum sicheren Umgang mit Daten ist einer der wichtigsten Bestandteile des unternehmerischen Datenschutzes. Viele Datenpannen oder Verstöße gegen die DSGVO passieren aufgrund von Unkenntnis und fehlender Achtsamkeit. Mit Schulungen lassen sie beide Ursachen wirksam reduzieren; Wissen und Sensibilisierung rund um Datenschutz und Informationssicherheit werden verbessert.

Für die Datenschutzschulung von Mitarbeitern haben sich insbesondere Onlineschulungssysteme als praktikabel erwiesen, da sie individuelle Trainingsinhalte und -zeiten ermöglichen und zugleich die Dokumentation sicherstellen. Interaktive Elemente sowie zu erwerbende Zertifikate können zudem die Motivation der Mitarbeiter erhöhen.

Um einen oder mehrere Betriebsräte angemessen auf die datenschutzrechtlichen Aufgaben vorzubereiten, empfehlen sich ausführlichere Schulungen, wie sie zum Beispiel Industrie- und Handelskammern anbieten.

Dieser aktualisierte Artikel wurde zuerst am 3. März 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Richtlinien schützen Daten und Mitarbeiter

Richtlinien zum Datenschutz und zur Informationssicherheit im Unternehmen schaffen Klarheit über gewünschtes Verhalten, Pflichten und Verbote für Mitarbeiter. Mit gut implementierten und durch das Management vorgelebten Richtlinien beugen Sie Datenmissbrauch vor und schaffen ein transparentes Arbeitsklima. Welche Richtlinien Sie dafür benötigen, was diese enthalten sollten und wie Sie die Richtlinien am besten umsetzen, zeigt Ihnen unsere Anleitung.

Warum brauchen Unternehmen Sicherheits- und Datenschutzrichtlinien?

Wenn es um den Schutz von Daten geht, kommen Verantwortlichen oft zuerst Hacker-Angriffe von außen als mögliche Bedrohung in den Sinn. Doch häufig ist das Aussickern von Informationen oder der Datenverlust durch Unternehmensangehörige verschuldet – oft eher aus Unwissenheit, denn aus böser Absicht. Gut durchdachte Sicherheits- und Datenschutzrichtlinien sind ein effektives Mittel, um ein Bewusstsein für den richtigen Umgang mit vertraulichen Informationen zu schaffen.

Sie können sogar dazu beitragen, den absichtlichen Missbrauch von Daten zu verhindern. Denn leider kann auch aus dem ehemals treuen Mitarbeiter unter Umständen ein Innentäter werden, der seine Zugangsberechtigungen ausnutzt und sensible Informationen in Hände spielt, in die sie nicht gehören. Wiegen solche Risiken in einer Organisation besonderes schwer, mag es nahe liegen, strikte Überwachungsmechanismen einzuführen. Doch dem steht nicht nur entgegen, dass das Betriebsklima hierdurch leiden könnte, es sind auch gesetzliche Regelungen zu beachten, die eine Überwachung von Mitarbeitern nur eingeschränkt zulassen.

Auch hier können Richtlinien helfen. Zwar wird eine Sicherheits- oder Datenschutzrichtlinie an der grundsätzlichen Motivation eines potenziellen Innentäters nicht unbedingt etwas ändern. Aber geschickt umgesetzt, können Richtlinien im Unternehmen ein Umfeld schaffen, das den vorsätzlichen Missbrauch zumindest deutlich erschwert und die Mitarbeiteraufmerksamkeit schult.

Zudem schreibt die europäische Datenschutz-Grundverordnung (DSGVO) vor, dass das Mitarbeiterverhalten in Richtlinien z. B. zur Informationssicherheit und IT-Nutzung vorgegeben werden soll. Dies lässt sich aus Art. 32 Abs. 4 DSGVO sowie der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO ableiten.

Wie können Richtlinien effektiv eingesetzt werden?

Der entscheidende Punkt dabei ist, die Unternehmensmitglieder davon zu überzeugen, dass der Schutz vertraulicher Daten ihrem eigenen Wohl dient. In der Richtlinie sollte daher glaubhaft aufgezeigt werden, welche Bedeutung der Datenschutz für die Existenz des Unternehmens und damit auch der Arbeitsplätze hat. Auch sollte ausgeführt werden, dass die Regelungen zu einem wesentlichen Teil dazu dienen, die persönlichen Daten der Beschäftigten selbst zu schützen.

Eine sinnvoll ausgearbeitete Richtlinie motiviert die Mitarbeiter dazu, sie einzuhalten und darauf zu achten, dass sie von anderen Organisationszugehörigen eingehalten wird. Gleichzeitig macht sie von Anfang an klar, welche Strafen drohen, wenn gegen sie verstoßen wird. Im Rahmen eines Whistleblowing-Verfahrens können Mitarbeiter aktiv und anonym dabei helfen, geschäftsschädigendem Verhalten vorzubeugen und sich damit gleichzeitig selbst einen Gefallen tun. Somit kann eine durchdachte Sicherheitsrichtlinie schwer durchsetzbare und aufwendige Überwachungsmechanismen überflüssig machen.

Was sind die wichtigsten Richtlinien für Ihr Unternehmen?

  • Sicherheitsrichtlinie: enthält Grundsätze, Ziele, Maßnahmen und Verantwortlichkeiten für die Gewährleistung der IT-Sicherheit
  • IT-Nutzungsrichtlinie: regelt die ordnungsgemäße Nutzung von Endgeräten und Datenträgern durch Mitarbeiter
  • Datenschutznotfallrichtlinie: beugt der unrechtmäßigen Offenlegung von persönlichen Informationen vor und gibt Handlungsanweisungen im Schadensfall
  • Datenschutzkonzept: beschreibt die konkreten technischen und organisatorischen Maßnahmen, die zur Daten- und Informationssicherheit beitragen (Nutzen Sie unsere kostenlose Vorlage für ein Datenschutzkonzept)

Was sind die wichtigsten Inhalte für Ihre Richtlinien?

  • Betroffene Arbeitsprozesse und Verfahren
  • Bedarf und Ziele des Schutzes
  • Gesetzliche Verordnungen und Standards
  • Kurze und prägnante Ausformulierung der Schutzmaßnahmen
  • Konsequenzen der Nichtbeachtung
  • Kontaktdetails der Verantwortlichen und Ansprechpartner
  • Verweis auf Vertraulichkeit von Missstandsmeldungen

Wie werden Richtlinien erfolgreich implementiert?

  • Der Nutzen der Regelungen für die Mitarbeiter selbst sollte deutlich werden (Schutz von Arbeitsplätzen, Schutz der personenbezogenen Daten der Mitarbeiter)
  • Die Mitarbeiter sollten mit ins Boot geholt werden, um die gemeinsamen Ziele zu erreichen. Die Richtlinie sollte dazu animieren, sich für die Sicherheit von unternehmenseigenen Informationen einzusetzen.
  • Es sollte deutlich sein, dass die Geschäftsleitung voll und ganz hinter der Sicherheitsrichtlinie steht. Sonst wird sie auch von den Mitarbeitern nicht ernst genommen.
  • Die Richtlinie sollte im Unternehmen von Vorgesetzten vorgelebt werden. Eine allgemeine Nichtbeachtung kann ansonsten dazu führen, dass sich der Arbeitgeber bei arbeitsrechtlichen Sanktionen nicht mehr auf die Richtlinie stützen kann.
  • Es sollte detaillierte Prozess- und Verfahrensanweisungen geben, die den operativen Mitarbeitern zur korrekten Ausführung der Richtlinieninhalte verhelfen.
  • Den Mitarbeitern sollte klar sein, wie Sie sich verhalten sollen, wenn sie relevante Vorfälle beobachten. Die Hürde, um aktiv zu werden, sollte so gering wie möglich sein.
  • Die Einhaltung der Richtlinie sollte in regelmäßigen Abständen von einem festgelegten Zuständigen überprüft werden, Inhalte der Richtlinien sind ggfs. zu aktualisieren.

Dieser aktualisierte Artikel wurde zuerst am 13. Juni 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Dürfen Unternehmen krankgeschriebene Mitarbeiter kontrollieren?

Laut Institut der deutschen Wirtschaft waren Arbeitnehmer hierzulande 2017 durchschnittlich 17,3 Tage krankgeschrieben und konnten deswegen nicht zur Arbeit kommen. Da der Arbeitgeber den Lohn für eine bestimmte Zeitspanne trotz krankheitsbedingt nicht erbrachter Arbeitsleistung fortzahlen muss, bedeutet jeder Krankheitstag natürlich einen finanziellen Schaden für das Unternehmen. Nun scheint der Arbeitsdrang bei manch einem Arbeitnehmer nicht so ausgeprägt zu sein, wie er sein sollte. Das „Blaumachen“ wird mitunter als Kavaliersdelikt angesehen. Wie also können Arbeitgeber datenschutzkonform zwischen berechtigter und unberechtigter Krankschreibung unterscheiden?

Welche Möglichkeiten haben Unternehmen im Rahmen des Datenschutzes?

Welche Möglichkeiten haben Arbeitgeber, wenn sich der Verdacht der „Phantomkrankheit“ eines Mitarbeiters aufdrängt? Dies ist zum einen natürlich die Einschaltung des medizinischen Dienstes nach § 275 SGB V. Daneben versuchen jedoch auch viele Arbeitgeber, die Krankschreibung eines Mitarbeiters zu entkräften, indem sie Foto- oder Videoaufnahmen eines Mitarbeiters anfertigen, auf denen dieser äußerlich nicht den Eindruck einer Krankheit vermittelt.

Grundsätzlich richtet sich die Zulässigkeit derartiger Aufnahmen nach § 26 BDSG, wonach

  1. tatsächliche Anhaltspunkte vorliegen müssen, dass der Mitarbeiter die Krankheit nur vorgibt;
  2. neben den Aufnahmen kein milderes Mittel zur Aufklärung des Sachverhalts zur Verfügung steht und
  3. das Interesse des Arbeitgebers an der Aufklärung das Interesse des Arbeitnehmers auf Schutz seiner Persönlichkeitsrechte überwiegt.

Die genannten Punkte sollten stets vorsichtig ausgelegt werden, so dass im Zweifel von einer datenschutzrechtlichen Unzulässigkeit auszugehen ist. Denn eine falsche Einschätzung geht immer zulasten des Arbeitgebers und kann unter Umständen auch Schadensersatzklagen zur Folge haben.

Datenschutz-Kriterien für die Zulässigkeit einer Kontrolle krankgeschriebener Mitarbeiter

Wann müssen Anhaltspunkte für das Vortäuschen der Krankheit vorliegen?

Grundsätzlich kommt einer ärztlichen Arbeitsunfähigkeitsbescheinigung ein hoher Beweiswert zu. Der Arbeitgeber benötigt also einen triftigen Grund, warum er der Bescheinigung nicht glaubt und deswegen weitere Nachforschungen anstellt.

Dieser Grund für das Misstrauen muss bereits bei Beginn der Überwachung des Mitarbeiters vorliegen. Daher ist zu unterscheiden, ob der krankgeschriebene Mitarbeiter zufällig angetroffen wird oder ob er gezielt überwacht wird. Denn bei einer zufälligen Begegnung beginnt das Überwachen erst mit der äußerlichen „Analyse“ des Mitarbeiters auf Krankheitserscheinungen. Bei einem bewussten Nachstellen hingegen fängt die Überwachung schon mit Beginn des Nachstellens an. Dies soll freilich nicht bedeuten, dass bei einem zufälligen Antreffen des Mitarbeiters das Anfertigen von Aufnahmen schrankenlos möglich ist. Lediglich die erste der oben genannten Voraussetzungen ist so einfacher zu erreichen.

Sind Fotos von Mitarbeitern zum Beweis geeignet?

Grundsätzlich hat ein Arbeitgeber das allgemeine Persönlichkeitsrecht der Mitarbeiter zu respektieren, welches auch das Recht umfasst, nicht fotografiert oder aufgenommen zu werden. Jede Aufnahme des Mitarbeiters würde dieses Recht zunächst verletzen.

Es ist aber möglich, dass der Arbeitgeber dieses Recht des Mitarbeiters verletzen darf, und zwar dann, wenn er ein berechtigtes Interesse an der Verletzung geltend machen kann und das Interesse des Mitarbeiters am Unterlassen der Aufnahmen nicht höher zu gewichten ist. Dies kann der Fall sein, wenn eine Aufnahme zu beweisen vermag, dass der Mitarbeiter nicht unter der entsprechenden Krankheit leidet.

Dabei ist jedoch zu beachten, dass der Arbeitgeber im Regelfall die genaue Diagnose nicht kennt. Sofern ein Mitarbeiter beispielsweise beim Einkaufen „erwischt“ wird, bedeutet dies noch lange nicht, dass er nicht krank ist. Zumal Arbeitnehmern grundsätzlich jedes Verhalten erlaubt ist, das die Genesung nicht gefährdet oder verzögert.

Nicht jede Krankheit verpflichtet also zur Hütung des eigenen Betts. Leidet ein Mitarbeiter beispielsweise an einem grippalen Infekt, darf dieser durchaus Besorgungen im Supermarkt machen, ohne seine Pflichten gegenüber dem Arbeitgeber zu verletzen. Geht selbiger Mitarbeiter jedoch Bergsteigen, so ist er entweder nicht krank oder er verletzt seine Pflicht zur ungehinderten Genesung, was im Ergebnis wohl durch Fotos belegt werden darf.

Wann überwiegt das Interesse des Arbeitgebers?

Als Leitprinzip gilt, dass die verdeckte Aufnahme von Mitarbeitern immer nur als letztes Mittel eingesetzt werden sollte. Sofern dem Ziel mit einer offenen Aufnahme gedient ist, ist zu diesem Mittel zu greifen (lesen Sie dazu unseren Ratgeber zur Videoüberwachung im Unternehmen).

Pauschale und allgemeingültige Aussagen zum überwiegenden Interesse des Arbeitgebers können an dieser Stelle kaum getroffen werden, da stets alle Umstände des Einzelfalls berücksichtigt werden müssen. Es gilt jedoch die Faustregel, dass je öffentlicher und für die Allgemeinheit sichtbarer sich ein Arbeitnehmer bewegt, desto geringer ist sein Schutz vor eventuellen Aufnahmen. Aufnahmen des Mitarbeiters in seiner Wohnung sind daher grundsätzlich unzulässig. Hält sich ein Mitarbeiter jedoch im öffentlichen Straßenraum oder an sonstigen öffentlichen Plätzen auf, können Aufnahmen unter Umständen rechtmäßig sein. Aber auch die Intimität des Augenblicks, in dem die Aufnahme entsteht, ist mit in die Gewichtung einzubeziehen. Zudem stellen Fotos einen geringeren Eingriff in das Persönlichkeitsrecht dar, als länger andauernde Videoaufnahmen.

Fazit: Kontrolle bei Zweifeln am Krankheitsfall nur mit Rechtsbeistand

Anhand dieser vagen und auslegungsbedürftigen Kriterien ist also ersichtlich, wie wenig greifbar sich die Rechtslage in diesem Bereich darstellt. Vor der Durchführung der Kontrolle sollten Arbeitgeber stets einen Experten konsultieren und die Zulässigkeit fachmännisch und einzelfallbezogen prüfen lassen. Denn die Überwachung der eigenen Mitarbeiter ist ein heißes Eisen, an dem man sich schnell verbrennen kann.

Dieser aktualisierte Artikel wurde zuerst am 1. Juni 2015 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Private E-Mail- und Internetnutzung im Unternehmen

Die Versuchung zur privaten Nutzung des betrieblichen E-Mail-Accounts oder des Internetzugangs in der Arbeitszeit ist für Beschäftigte groß. Gerade weil es die Kommunikation bequemer macht und das private Datenvolumen des Smartphones schont, nutzen viele Angestellte die Betriebsmittel zu eigenen Zwecken. Ob damit eine vertragswidrige Zweckentfremdung einhergeht, sollten Arbeitgeber durch Regelungen zur IT-Nutzung klarstellen. Dies bringt zahlreiche weitere Vorteile mit sich, wie unser Praxistipp zeigt.

Private Nutzung des geschäftlichen E-Mail-Accounts

Es sollte eine Selbstverständlichkeit sein, dass Arbeitnehmer ihre Arbeitszeit dafür verwenden, ihren vertraglichen Pflichten nachzukommen. Andernfalls drohen Konsequenzen. Für Arbeitgeber ist es deshalb unter gewissen Umständen zulässig, E-Mails von Mitarbeitern auszuwerten, um eine Pflichtverletzung nachzuweisen und darauf gestützt sogar eine Kündigung auszusprechen.

Selbst die fristlose Kündigung eines langjährig beschäftigten Arbeitnehmers kann gerechtfertigt sein, wenn dieser einen bedeutenden Teil seiner Arbeitszeit für den Austausch privater E-Mails nutzt. So entschied es das Landesarbeitsgericht Niedersachsen in seinem Urteil vom 31. Mai 2010 (AZ: 12 SA 875/09).

Der Arbeitgeber konnte nachweisen, dass der Kläger in einem Zeitraum von sieben Wochen mehrere Stunden pro Arbeitstag mit dem Schreiben privater E-Mails verbrachte. Die dem Kläger im betreffenden Zeitraum zugegangenen E-Mails umfassten im konkreten Fall fast 800 DIN A4-Seiten.

Die private Nutzung der Dienst-IT war zwar nicht ausdrücklich geregelt, eine Dienstanweisung aus dem Jahr 1997 gab aber vor, dass das Unterbrechen der Arbeitszeit zur Erledigung privater Angelegenheiten nicht erlaubt sei.

Problematisch war auch, dass der Arbeitgeber es in der Vergangenheit geduldet hatte, dass sein E-Mailsystem zumindest in den Pausen für private Zwecke genutzt wurde. Mit einer eindeutigen Regelung zur E-Mail-Nutzung wäre es vielleicht gar nicht erst zum Prozess gekommen, da dem Arbeitnehmer seine unmittelbare Pflicht zur Unterlassung bewusst gewesen wäre.

Private Nutzung des geschäftlichen Internetzugangs

In einer Zeit, in der viele Angestellte mit eigenen Smartphones surfen und mit Whatsapp kommunizieren, ist die Anziehung des geschäftlichen E-Mail-Accounts hinter die der Internetnutzung über den arbeitgebereigenen Zugang gefallen. Die private Nutzung des geschäftlichen Internetzugangs ist jedoch ein großer Produktivitätskiller, Grund vieler Abmahnungen und begründet deutliche Einbußen für den Arbeitgeber bei Missbrauch.

Zum Vorteil der Arbeitgeberseite hat das Bundesarbeitsgericht schon 2005 entschieden, dass die private Nutzung des Internets während der Arbeitszeit eine Verletzung der arbeitsvertraglichen Pflichten darstellen kann (BAG, Urteil vom 7. Juli 2005, AZ: 2 AZR 581/04). Genauer gesagt befand das Gericht, dass die private Nutzung des Internets die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen darf. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflichten in zeitlicher und inhaltlicher Hinsicht vernachlässigt. Letztlich wurde durch das Gericht sogar festgestellt, dass im Falle einer exzessiven Privatnutzung des Internets während der Arbeitszeit es keiner Abmahnung vor der Kündigung bedarf.

Doch was ist genau mit einer „erheblichen“ Beeinträchtigung oder „exzessiven“ Privatnutzung gemeint? Rechtliche Unsicherheit bleibt bestehen, da diese Begriffe großen Interpretationsspielraum zulassen. Erschwerend kommt hinzu, dass dem Arbeitgeber grundsätzlich kein Kontroll- und Einsichtsrecht bei Internetaktivitäten von Mitarbeitern zusteht, weil er als Dienstanbieter gemäß TKG gilt. Um für beide Seiten Sicherheit zu schaffen und dem Arbeitgeber Kontrollmöglichkeiten einzuräumen, ist deshalb eine Richtlinie zur IT-Nutzung hilfreich.

Richtlinie zur IT-Nutzung bringt Klarheit

Rechtliche Sicherheit für Arbeitgeber und Gewissheit für Arbeitnehmer lässt sich durch eine Richtlinie zur IT-Nutzung schaffen. Indem klar vorgegeben wird, was dem Arbeitnehmer erlaubt ist und was nicht, können Streitfälle vermieden werden. Zudem sind Übertritte durch Arbeitnehmer leichter zu ahnden, weil die Grenzen deutlich abgesteckt wurden.

Die Richtlinie zur IT-Nutzung sollte den privaten Gebrauch der geschäftlichen E-Mail ausschließen. Dies maximiert zum einen die Arbeitszeit, zum anderen birgt das Verbot praktische Vorteile: Wenn etwa ein Mitarbeiter kurzfristig erkrankt, kann der Arbeitgeber dem Vertreter erlauben, das E-Mail-Postfach einzusehen, da sich dank des Verbots keine privaten Daten darin befinden.

Ein anderer Fall ist ein Mitarbeiter, der das Unternehmen im Schlechten verlässt. Sollte die private Nutzung nicht ausgeschlossen sein, könnte der Ex-Mitarbeiter den Arbeitgeber durch die Abwesenheit einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) vom Zugriff auf die E-Mails hindern.

In manchen Berufen kann der Browserverlauf eines Mitarbeiters eine Information sein, mit der die Krankheitsvertretung arbeiten muss. Wurde die private Nutzung nicht ausgeschlossen oder nicht wenigstens auf Pausenzeiten begrenzt, kann das Fernmeldegeheimnis bzw. das Bundesdatenschutzgesetz (BDSG) den Arbeitgeber hindern, den Verlauf einzusehen.

Einige praktische Hinweise bei Einführung einer Richtlinie zur IT-Nutzung:

  • Auch wenn Sie private Internet- und E-Mailnutzung schriftlich verboten/eingeschränkt haben, kann eine faktische Duldung Ihre Richtlinie arbeitsrechtlich unwirksam machen.
  • Das Recht des Arbeitnehmers auf Privatsphäre kann die berechtigten Interessen des Arbeitgebers zur Überwachung überwiegen. Deshalb ist trotz Ausschluss der privaten Internet- und E-Mail-Nutzung darauf hinzuweisen, dass stichprobenhafte Kontrollen durch den Arbeitgeber durchgeführt werden. Dies ist mit dem jüngsten Urteil des EGMR vom 5. September 2017 im Einklang und berücksichtigt die neusten Tendenzen in der europäischen Rechtslandschaft.
  • Sofern Sie die Internetnutzung in Pausenzeiten erlauben, holen Sie eine DSGVO-konforme Einwilligung ein, damit Sie die Einhaltung kontrollieren können.
  • Sie sollten sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben lassen.
  • Legen Sie Arbeitnehmern die Richtlinie jährlich zur Erinnerung vor.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Treffen Sie Regelungen zu „Bring-your-own-device“ (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern.

Dieser aktualisierte Artikel wurde zuerst am 18. April 2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

E-Mails rechtssicher und datenschutzkonform archivieren

Unternehmen, die E-Mails rechtssicher und datenschutzkonform archivieren wollen, stehen vor einer mindestens mittleren Herausforderung. Denn die Aufbewahrungspflichten für E-Mails sind nicht in einem eigenen Gesetz geregelt, sondern ergeben sich aus unterschiedlichsten Rechtsquellen, die teils gegenläufige Ziele verfolgen. Während der Gesetzgeber beispielsweise aus steuerrechtlichen Gesichtspunkten ein Interesse an einer längerfristigen Aufbewahrung hat, stellt die EU-Datenschutz-Grundverordnung (DSGVO) das Gebot der Speicherbegrenzung auf. Je nach Sachverhalt ergeben sich daher verschiedene Fristen, die (auch technisch) in Einklang zu bringen sind.

Aufbewahrungsfristen für E-Mails

Für die geschäftliche Kommunikation bestehen vielfältige handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Erfolgt der Schriftverkehr in elektronischer Form, wirken sich diese auch auf den Einsatz der Informationstechnik aus.

Handels- und Geschäftsbriefe, zu denen auch E-Mails mit geschäftlichem Inhalt zählen, sind z. B. mindestens sechs Jahre bzw. bis zum Abschluss einer laufenden Steuerprüfung aufzubewahren (§ 257 Absatz 4 HGB; § 147 Absatz 3 AO). Unabhängig hiervon empfiehlt es sich, Unterlagen mindestens so lange aufzubewahren, wie sich noch Folgen aus dem zugrundeliegenden Rechtsverhältnis ergeben können, etwa solange noch Haftungsansprüche möglich sind. Dies sind grundsätzlich drei Jahre gemäß § 195 BGB.

Für (elektronische) Unterlagen, die für die Bilanzierung relevant sind, gilt eine Aufbewahrungsfrist von zehn Jahren (§ 14b Absatz 1 UStG). Dazu zählen insbesondere Rechnungen, Buchungsbelege und Inventare.

Technische Anforderungen an das E-Mail-Archiv

Gemäß den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) muss der Originalzustand der archivierten Daten jederzeit überprüfbar sein. Das stellt komplexe Anforderungen an das Archivierungssystem:

  • Alle Dokumente müssen zeitnah auffindbar sein.
  • Systeme sind zudem gegen Vernichtung, Untergang und Diebstahl zu schützen.
  • Ein Verändern, Überschreiben oder Ersetzen von Daten darf nicht ohne eine entsprechende Kennzeichnung möglich sein. Zudem müssen die Dokumente jederzeit im ursprünglichen Dateiformat wiederherstellbar sein.
  • Wenn neue IT-Systeme eingeführt werden, muss gewährleistet sein, dass die archivierten Datenformate damit kompatibel sind.
  • Die Dokumente müssen sich maschinell auswerten lassen. Die Archivierung von Ausdrucken oder PDF-Versionen der E-Mails genügt daher nicht.

Die archivierten E-Mails sollten nur für einen ausgewählten Kreis von Mitarbeitern und nur bei dringendem Bedarf zugänglich sein. Das sollte aus Gründen der Nachweisbarkeit in einem Berechtigungskonzept festgehalten werden. Zudem sollten sich Unternehmen mit der Frage beschäftigen, wie die Unwiederherstellbarkeit archivierter E-Mails nach Ablauf der Aufbewahrungsfrist erreicht wird.

Datenschutzrechtliche Einschränkungen

Eine selektive Archivierung einzelner E-Mails würde bei den meisten Unternehmen einen unverhältnismäßig großen Aufwand verursachen. Auch liegt hierin eine Fehlerquelle, wenn wichtige Nachrichten übersehen werden.

Wird jedoch prinzipiell der gesamte E-Mailverkehr archiviert, stellt das eine datenschutzrechtliche Herausforderung dar: Wenn im Unternehmen die private Nutzung der E-Mailkonten geduldet wird, ist davon auszugehen, dass bei der Archivierung auch private personenbezogene Daten der Mitarbeiter gespeichert werden. Dies erfordert aber eine ausdrückliche Einwilligung der Mitarbeiter.

Entweder müsste eine entsprechende rechtskonforme Einwilligung von jedem einzelnen Mitarbeiter eingeholt werden oder eine Vereinbarung mit der Arbeitnehmervertretung geschlossen werden (vgl. § 26 Abs. 1 BDSG, § 87 BetrVG).

Generell ist davon abzuraten, dass Mitarbeiter die geschäftliche E-Maildresse zu privaten Zwecken nutzen dürfen; so können Sie die Notwendigkeit einer Einwilligung vermeiden. Der gesamte elektronische Schriftverkehr gilt in dem Fall als Geschäftsverkehr und bedarf für die Archivierung keiner Einwilligung durch die Mitarbeiter. Dies ist aber immer noch kein Freischein zur endlosen Archivierung, da die E-Mails reichlich personenbezogene Daten von Ansprechpartnern enthalten und auch geschäftliche E-Mails von Mitarbeitern nicht unbegrenzt gespeichert werden dürfen.

In vielen Fällen liegt ein Aufbewahrungsinteresse des Verantwortlichen vor, das von keiner der genannten gesetzlichen Aufbewahrungspflichten gedeckt ist. In solchen Fällen kann ein berechtigtes Aufbewahrungsinteresse bestehen, das die weitere Speicherung erlaubt. Konkrete Beispiele hierfür sind die Aufbewahrung von Werbeeinwilligungen oder Schulungsnachweisen von Mitarbeitern. Eine individuelle Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist dafür regelmäßig notwendig.

Fazit: E-Mail-Archivierung nur mit Löschkonzept

Die rechtskonforme bzw. rechtssichere Archivierung von E-Mails bildet für Unternehmen eine große Herausforderung. Dies liegt vor allem an der schieren Menge von Informationen, die einer Entscheidung über Aufbewahrung oder Löschung bedürfen. Zudem gewähren die gesetzlichen Aufbewahrungspflichten nur bedingt rechtliche Sicherheit darüber, ob eine E-Mail gespeichert werden darf oder nicht.

Um E-Mails datenschutzkonform zu archivieren, ist deshalb dringend ein Löschkonzept anzuraten. Dieses bringt allen Beteiligten den Prozess näher und fördert eine gezielte Archivierungsbegrenzung im Unternehmen. Nicht zuletzt dient ein Löschkonzept der Dokumentation und dem Nachweis gegenüber der Aufsichtsbehörde.

Dieser aktualisierte Artikel wurde zuerst am 16. August 2011 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Die datenschutzrechtliche Zulässigkeit psychologischer Eignungstests

Psychologische Eignungstests oder Assessments in Bewerbungsverfahren erfreuen sich großer Beliebtheit bei Personalern und HR-Abteilungen. Derartige Tests sind jedoch nicht immer rechtlich zulässig. Denn der Datenschutz gibt bei der Bewerberauswahl einen Rahmen vor, der mit der Testdurchführung nicht überschritten werden darf. Welche Bedingungen für einen psychologischen Eignungstest vorliegen müssen, erfahren Sie in diesem Artikel.

Psychologische Eignungstests in Bewerbungsverfahren

Die Auswahl von Bewerbern geht mit steigenden Anforderungen an Verantwortliche in Personalabteilungen einher. Zum einen vergrößert sich die Bewerberzahl in Zeiten, in denen Stellen nicht mehr nur in regionalen Zeitungsannoncen, sondern räumlich unbegrenzt in Online-Jobbörsen ausgeschrieben wird, mitunter um ein Vielfaches. Zum anderen steigen auch die Anforderungen, die an neue Mitarbeiter gestellt werden. Sieht man sich in den digitalen Stellenmärkten um, findet sich kaum eine Stellenanzeige, die allein auf die fachliche Kompetenz des Bewerbers abstellt. Stattdessen werden im Regelfall neben den typischen Soft-Skills wie Teamfähigkeit, Ausdruckstärke, Zielstrebigkeit oder Belastbarkeit oft auch analytisches Denkvermögen, strukturierte Arbeitsweise, Identifikation mit dem Unternehmen und ähnliche Anforderungen vom Bewerber erwartet.

Aufgrund der geringen Überprüfbarkeit eines Bewerbungsanschreibens oder des Lebenslaufes im Hinblick auf eben diese Soft-Skills, bietet sich die Durchführung von psychologischen Eignungstests an. Zweck dieser Eignungstests ist es, mit geringem Zeitaufwand systematisch einen möglichst tiefgehenden Einblick in die Persönlichkeit der Bewerber zu erhalten.

Da derartige Messungen massiv in das allgemeine Persönlichkeitsrecht des Bewerbers eingreifen, müssen die diesbezüglichen datenschutzrechtlichen Anforderungen eingehalten werden. Dementsprechend bedarf die Durchführung solcher Persönlichkeitstests einer rechtlichen Legitimierung. Dies gilt besonders vor dem Hintergrund, dass im Rahmen solcher Eignungstests oftmals auch besondere Arten personenbezogener Daten erhoben und verarbeitet werden.

Erste datenschutzrechtliche Legitimierung: Einwilligung

Eine Option der rechtlichen Ausgestaltung wäre das Einholen einer Einwilligung von jedem Bewerber, der ein solches psychologisches Eignungsverfahren durchlaufen soll. Hierbei ist jedoch zu beachten, dass die Einwilligung nicht in jedem Fall als Allheilmittel gesehen werden kann. Denn gerade rund um Arbeitsverhältnisse können begründete Bedenken hinsichtlich der Freiwilligkeit bestehen, die für die Wirksamkeit einer Einwilligung erforderlich ist. Zwar hat das Bundesarbeitsgericht in einer Entscheidung verdeutlicht, dass grundsätzlich davon auszugehen ist, dass Arbeitnehmer auch innerhalb eines Arbeitsverhältnisses frei entscheiden können. Dies kann jedoch nicht pauschal für jeden Einzelfall angenommen werden. Stattdessen ist stets die konkrete Ausgestaltung der Situation der Eignungstests zu berücksichtigen und der Druck auf den Arbeitnehmer zu beachten, der durch das Machtgefälle im Beschäftigungsverhältnis auf den Mitarbeiter einwirkt.

Zudem gilt, dass nur solche Tests durchgeführt werden dürfen, an denen der Arbeitgeber ein berechtigtes Interesse hat. Somit dürfen nur solche Fähigkeiten oder Eigenschaften geprüft werden, die für das künftige Arbeitsverhältnis tatsächlich relevant sind, was beispielsweise für sexuelle Vorlieben oder philosophische bzw. weltanschauliche Überzeugungen im Regelfall nicht angenommen werden kann.

Daneben sind die gängigen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung zu beachten, wie die Aufklärung über die Konsequenzen der Nichterteilung oder auch die Art und den Umfang der Datenverarbeitung. Im Arbeitgeber-Bewerber-Verhältnis geht man wie erwähnt von einem Machtungleichgewicht aus (siehe dazu: Verarbeitung nach Treu und Glauben). Demnach ist bei Einholen der Einwilligung stets darauf zu achten, dass dem Kandidaten kein Schaden entsteht, auch wenn er die Einwilligung verweigert. Es sollte immer nachweislich auf die Folgen der Versagung hingewiesen werden.

Zweite datenschutzrechtliche Legitimierung: § 26 BDSG

Neben dem Einholen einer Einwilligung besteht auch die Möglichkeit einer Rechtfertigung psychologischer Eignungstests nach § 26 Bundesdatenschutzgesetz (BDSG). Demnach gilt eine Datenverarbeitung als zulässig, wenn sie für das Beschäftigungsverhältnis erforderlich ist.

Bei der Frage der Erforderlichkeit ist zu beachten, dass diese nicht nur dann gegeben ist, wenn beispielsweise das Gesetz eine besondere persönliche Eignung verlangt, wie bei Piloten oder auch der Betreuung von Kindern und Jugendlichen. Vielmehr kann die Erforderlichkeit bereits dann zu bejahen sein, wenn die Tätigkeit auf der zu besetzenden Stelle gewisse Anforderungen an die Persönlichkeit des Bewerbers stellt. Dies kann beispielsweise eine hohe Belastbarkeit aufgrund des Arbeitsaufkommens oder auch ein hohes Maß an Empathie für Führungspositionen sein. Stresstests können deshalb bei hoch belastenden Tätigkeiten zulässig sein. An dieser Stelle spielen jedoch viele Faktoren eine Rolle, die in ihrer Gesamtheit in jedem Einzelfall gegeneinander abgewogen werden müssen.

Eine Einwilligung schafft im Zweifel mehr Rechtssicherheit. Dem Arbeitgeber ist deshalb geraten (trotz vorliegen vermeintlicher Erforderlichkeit) eine Einwilligung einzuholen, weil ein Eignungstest ein gewaltiger Eingriff in das Persönlichkeitsrecht darstellt. Zudem ist der Bewerber in Grundzügen über die Funktionsweise des Tests aufzuklären und hat Anspruch auf Bekanntgabe des Testergebnisses.

Grundsätzliche Anforderungen für psychologische Eignungstests

Pauschal lässt sich sagen, dass die Durchführung von psychologischen Eignungstests dann nicht zulässig ist, wenn die zukünftige Tätigkeit keine speziellen Anforderungen an den Bewerber stellt und der Arbeitgeber den Test lediglich aus allgemeinem Interesse durchführen lässt. Mit anderen Worten: Nur, wenn die zu ermittelten Eigenschaften des Bewerbers eine reale Bedeutung für die zu erfüllenden Aufgaben haben, dürfen sie in Tests abgefragt werden. Beispielsweise werden allgemeinen Intelligenztests die nötige Spezifität abgesprochen. Diese werden deshalb für kaum eine berufliche Tätigkeit zu rechtfertigen sein.

Es ist Grundvoraussetzung der Rechtmäßigkeit eines jeden Tests, dass dieser überhaupt eine bewährte Methode besitzt, Rückschlüsse auf die abgefragten Persönlichkeitsmerkmale zu ziehen oder zumindest einer bewährten Übung der Personalpraxis entspricht. Demzufolge muss die Testmethodik wissenschaftlichen Kriterien entsprechen und folglich ein realistisches Abbild der Persönlichkeit liefern können.

Fazit: Datenschutz spielt bei der Bewerberauswahl eine wichtige Rolle

Psychologische Eignungstests bzw. Assessment-Center sind aus Perspektive des Datenschutzes dann zulässig, wenn eine geeignete Rechtsgrundlage vorliegt. Vor allem wenn Bewerber für die zu besetzende Stelle über spezielle Soft Skills verfügen müssen, können dazu passende Tests im Auswahlverfahren eingesetzt werden.

Beim Einsatz von psychologischen Testverfahren sind selbstverständlich weitere Datenschutzvorgaben wie etwa die Information der Bewerber über Datenverarbeitung gemäß Art. 13 DSGVO (Datenschutz-Grundverordnung) zu beachten. Hierfür können Sie unseren kostenlosen Generator für ein Mitarbeiter-Informationsschreiben nach DSGVO benutzen.

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!