Datenschutzschulung von Mitarbeitern und Betriebsräten

Neben den technischen und organisatorischen Schwachstellen im Datenschutz gibt es selbstverständlich auch die menschlichen. Da nichts normaler ist, als menschliche Fehlbarkeit, muss die Unternehmensführung dem durch Schulung von Mitarbeitern und insbesondere Betriebsräten entgegenwirken. Unser Ratgeber erklärt, worauf Sie laut Datenschutz-Grundverordnung (DSGVO) bei Datenschutz- und Informationssicherheitsschulungen im Unternehmen achten sollten.

Wer ist für Schulungen von Beschäftigten verantwortlich?

Entgegen der allgemeinen Auffassung ist der betriebliche Datenschutzbeauftragte nicht verantwortlich für die Durchführung von Schulungen. Es zählt nichtsdestotrotz gemäß Art. 39 Abs. 1 lit. b DSGVO zu seinen Aufgaben, die Strategien des Verantwortlichen bezüglich der Schulung von Mitarbeitern zu überwachen. Verantwortlich für die Datenverarbeitung ist deshalb in der Regel die Gesellschaft und damit deren Geschäftsführung.

Die betriebliche Praxis zeigt jedoch, dass die Durchführung von Mitarbeiterschulungen in der Regel an den Datenschutzbeauftragten delegiert wird. Dieses Vorgehen deckt sich mit der Pflicht des Datenschutzbeauftragten aus Art. 39 Abs. 1 lit. a DSGVO, die ihm die Unterrichtung und Beratung von Beschäftigten auferlegt.

Der Verantwortliche hat die nötigen Ressourcen zur Verfügung zu stellen, damit Mitarbeiter in ihrer Arbeitszeit geschult werden können und der Datenschutzbeauftragte (oder sonstige mit der Schulung beauftragte Stellen) die Mitarbeiter zum Datenschutz sensibilisieren kann.

Welche Mitarbeiter sollen geschult werden?

Alle Mitarbeiter, die an Verarbeitungen von personenbezogenen Daten beteiligt sind, müssen geschult werden. Zunächst sollte sich der Verantwortliche also die Frage stellen, was überhaupt „verarbeiten“ im Sinne der Datenschutz-Grundverordnung ist. Der Gesetzgeber gibt in Art. 4 Nr. 2 DSGVO folgende Beispiele, die so ziemlich jede Handhabung von personenbezogenen Daten einschließt: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Doch diese Vorgabe schließt nicht jede Art von Daten ein. Nur personenbezogene Daten lösen die Schulungspflicht aus. Darunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele für solche Informationen sind Namen, Kennnummern, IP-Adressen, Standort- und Körperdaten sowie sonstige identifizierende Merkmale.

Das bedeutet in der Praxis, dass ein Fantasie-Benutzername in einem Internetportal selbst noch kein personenbezogenes Datum ist, aber sich durch die verknüpfte IP-Adresse ein Personenbezug herstellen lässt. Im Ergebnis handelt es sich also auch dabei um personenbezogene Daten.

Einen Programmierer, der nur Software erstellt, wird keine Schulungspflicht treffen, weil er zwar Daten verarbeitet, diese aber nicht personenbezogen sind. Es ist aber allgemein bekannt, dass Bürojobs heutzutage diversifiziert sind und auch Programmierer durchaus in Kontakt mit Kunden kommen. Sobald der Programmierer dafür Zugriff auf ein Kontaktadressbuch hat oder Gesprächsnotizen in ein Dateisystem einpflegt, werden personenbezogene Daten verarbeitet und der Mitarbeiter muss geschult werden.

Andererseits müssen z. B. Reinigungskräfte und Mitarbeiter an Produktionslinien nicht unbedingt geschult werden, wenn sie nicht Leiter eines Teams sind und keinen Kundenkontakt haben. Nichtsdestotrotz solle man diese Mitarbeiter z. B. über den Zutrittsschutz belehren.

Wie sollten Mitarbeiter geschult werden?

Die Inhalte einer Schulung sollten auf das Zielpublikum zugeschnitten und nah am täglichen Berufsalltag sein. In einem Freizeitpark ist die Verarbeitung von Besucherdaten an der Anmeldung wesentlich wichtiger für die Belegschaft, als der Umgang mit Gesundheitsdaten, die von der DSGVO besonders schützenswert behandelt werden. Gesundheitsdaten hätten dagegen hohe Brisanz bei medizinischen Fachangestellten, die in einer Arztpraxis arbeiten.

Schließlich ist der Umgang mit Beschäftigtendaten und insbesondere Daten von Kollegen ein Thema, das in jeder Organisation angesprochen werden sollte. Dauerbrenner sind dabei häufig der Einsatz von WhatsApp zu betrieblichen Zwecken und Gruppenchats in Abteilungen.

Die Gliederung einer Schulung kann wie folgt aussehen, um die relevanten Inhalte zu vermitteln:

  1. Einführung in den Datenschutz: Warum ist Datenschutz wichtig, wen schützt der Datenschutz, Stellung und Kontaktdaten des Datenschutzbeauftragten
  2. Anwendungsbereich des Datenschutzes im Unternehmen: Was ist ein personenbezogenes Datum, was sind besondere personenbezogene Daten, Haftung bei Verstößen durch Mitarbeiter, Bedeutung der Verpflichtungserklärung
  3. Kundendatenschutz: Handlungshinweise bei Datenschutzpannen, Beantwortung von Betroffenenanfragen, Erstellung des Verzeichnisses von Verarbeitungstätigkeiten und Erfüllung der Informationspflichten
  4. Datenschutz in der Praxis: Unternehmensinterne Richtlinien zum Datenschutz, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, IT-Angriffsszenarien

Sollte Ihr Unternehmen Auftragsverarbeiter für andere Verantwortliche sein, sollte die Schulung ein Kapitel enthalten, das den Mitarbeitern nahelegt, was eine Auftragsverarbeitung ist und die Weisungsgebundenheit erklärt (Auftragskontrolle).

Online-Schulungen zum Datenschutz bzw. zur Informationssicherheit sind effizient und schaffen einen guten Beitrag zur Sensibilisierung von Mitarbeitern. Es sollte darauf geachtet werden, dass die oben genannten Punkte gebührend vermittelt werden. Demnach kann es hilfreich sein, den Mitarbeitern zusätzliche relevante Informationen z. B. auf einem Informationsblatt nachzureichen.

Nachweispflicht und Turnus der Schulung

Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die sogenannte Rechenschaftspflicht. Diese verpflichtet den Arbeitgeber unter anderem dazu, die Teilnahme an der Schulung zu dokumentieren. Dabei sollte beachtet werden, dass auch Schulungsteilnahmeaufzeichnungen bestimmten Löschfristen unterliegen und nach Austritt eines Mitarbeiters vernichtet werden müssen. Deshalb bietet es sich an, die Listen in einer Excel-Tabelle zu führen, wo Mitarbeiternamen leicht entfernt werden können. Zudem ist es sinnvoll, auch den jeweiligen Schulungsinhalt für spätere Nachweise zu dokumentieren.

Auch der Nachweis einer regelmäßigen Durchführung muss vom Verantwortlichen erbracht werden können. Gesetzlich ist dazu keine Frist angegeben. Es bietet sich also an, den Turnus dem betrieblichen Hintergrund anzupassen. Wenn es sich um ein datengetriebenes Unternehmen handelt, in dem z. B. die Offenlegung von sensiblen Daten großen Schaden für Betroffene anrichten kann, ist ein drei- bis sechsmonatiger Turnus angeraten. Als Beispiele seien hier Gesundheits-App- oder Datingplattform-Anbieter genannt. Sofern das Unternehmen z. B. in der Baubranche tätig ist und nur wenige Ansprechpartnerdaten in unverfänglichen Kontexten anfallen, ist ein Schulungsturnus von ein bis eineinhalb Jahren durchaus angemessen.

Schulung von Betriebsräten

Der Betriebsrat hat im Unternehmen eine besondere Stellung. Als Gegenspieler des Arbeitgebers ist er weitestgehend autonom in seinen Handlungen. Der Arbeitgeber hat in der Regel keine Einsicht, wie der Betriebsrat personenbezogene Daten verarbeitet. Nach seiner Rechtsprechung ging das Bundesarbeitsgericht davon aus, dass der Betriebsrat kein Verantwortlicher ist, aber mit dem Arbeitgeber zusammen für die Einhaltung des Datenschutzes zuständig ist.

Aufgrund der zumindest gemeinsamen Zuständigkeit für den Datenschutz ist momentan anzunehmen, dass der Betriebsrat datenschutzrechtliche Anforderungen eigenständig erfüllen muss. Somit reicht eine allgemeine Schulung für Betriebsräte wie oben beschrieben nicht aus. Es ist empfohlen einen „Datenschutzexperten“ im Betriebsrat zu benennen und diesem ein tiefergehendes Schulungsangebot zugänglich zu machen.

Die erhöhten Anforderungen an das datenschutzrechtliche Betriebsratswissen rühren daher, dass für den Verantwortungsbereich außerhalb der Einsicht des Arbeitgebers (z. B. für Kommunikation und Veranstaltung von Versammlungen sowie Entgegennahme von Anregungen Beschäftigter) Maßnahmen im Datenschutz durch den Betriebsrat selbst getroffen werden sollten.

Deswegen ist zu empfehlen, alle Betriebsräte an den oben beschriebenen Mitarbeiterschulungen teilnehmen zu lassen sowie zumindest einem Betriebsrat eine Weiterbildung bezüglich folgender Fragestellungen zu ermöglichen:

  1. Sicherstellung eigener Rechtsgrundlage gem. Art. 6 DSGVO
  2. Erfüllung der Informationspflichten gem. Art. 13 und 14 DSGVO gegenüber den Betroffenen;
  3. Beantwortung von Betroffenenanfragen / Sicherstellung von Betroffenenrechten gem. Art. 15 ff. DSGVO
  4. Führen eines Verzeichnisses von Verarbeitungstätigkeiten über die Verarbeitungen als Verantwortlicher gem. Art. 30 Abs. 1 DSGVO
  5. Wahrung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO
  6. Meldung von Verletzungen des Schutzes personenbezogener Daten (Datenpanne) gem. Art. 33 und 34 DSGVO
  7. Durchführung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
  8. Durchführung von vorherigen Konsultationen gem. Art. 36 DSGVO

Fazit: Systematische Schulungen helfen allen

Die systematische Schulung von Mitarbeitern zum sicheren Umgang mit Daten ist einer der wichtigsten Bestandteile des unternehmerischen Datenschutzes. Viele Datenpannen oder Verstöße gegen die DSGVO passieren aufgrund von Unkenntnis und fehlender Achtsamkeit. Mit Schulungen lassen sie beide Ursachen wirksam reduzieren; Wissen und Sensibilisierung rund um Datenschutz und Informationssicherheit werden verbessert.

Für die Datenschutzschulung von Mitarbeitern haben sich insbesondere Onlineschulungssysteme als praktikabel erwiesen, da sie individuelle Trainingsinhalte und -zeiten ermöglichen und zugleich die Dokumentation sicherstellen. Interaktive Elemente sowie zu erwerbende Zertifikate können zudem die Motivation der Mitarbeiter erhöhen.

Um einen oder mehrere Betriebsräte angemessen auf die datenschutzrechtlichen Aufgaben vorzubereiten, empfehlen sich ausführlichere Schulungen, wie sie zum Beispiel Industrie- und Handelskammern anbieten.

Dieser aktualisierte Artikel wurde zuerst am 3. März 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Richtlinien schützen Daten und Mitarbeiter

Richtlinien zum Datenschutz und zur Informationssicherheit im Unternehmen schaffen Klarheit über gewünschtes Verhalten, Pflichten und Verbote für Mitarbeiter. Mit gut implementierten und durch das Management vorgelebten Richtlinien beugen Sie Datenmissbrauch vor und schaffen ein transparentes Arbeitsklima. Welche Richtlinien Sie dafür benötigen, was diese enthalten sollten und wie Sie die Richtlinien am besten umsetzen, zeigt Ihnen unsere Anleitung.

Warum brauchen Unternehmen Sicherheits- und Datenschutzrichtlinien?

Wenn es um den Schutz von Daten geht, kommen Verantwortlichen oft zuerst Hacker-Angriffe von außen als mögliche Bedrohung in den Sinn. Doch häufig ist das Aussickern von Informationen oder der Datenverlust durch Unternehmensangehörige verschuldet – oft eher aus Unwissenheit, denn aus böser Absicht. Gut durchdachte Sicherheits- und Datenschutzrichtlinien sind ein effektives Mittel, um ein Bewusstsein für den richtigen Umgang mit vertraulichen Informationen zu schaffen.

Sie können sogar dazu beitragen, den absichtlichen Missbrauch von Daten zu verhindern. Denn leider kann auch aus dem ehemals treuen Mitarbeiter unter Umständen ein Innentäter werden, der seine Zugangsberechtigungen ausnutzt und sensible Informationen in Hände spielt, in die sie nicht gehören. Wiegen solche Risiken in einer Organisation besonderes schwer, mag es nahe liegen, strikte Überwachungsmechanismen einzuführen. Doch dem steht nicht nur entgegen, dass das Betriebsklima hierdurch leiden könnte, es sind auch gesetzliche Regelungen zu beachten, die eine Überwachung von Mitarbeitern nur eingeschränkt zulassen.

Auch hier können Richtlinien helfen. Zwar wird eine Sicherheits- oder Datenschutzrichtlinie an der grundsätzlichen Motivation eines potenziellen Innentäters nicht unbedingt etwas ändern. Aber geschickt umgesetzt, können Richtlinien im Unternehmen ein Umfeld schaffen, das den vorsätzlichen Missbrauch zumindest deutlich erschwert und die Mitarbeiteraufmerksamkeit schult.

Zudem schreibt die europäische Datenschutz-Grundverordnung (DSGVO) vor, dass das Mitarbeiterverhalten in Richtlinien z. B. zur Informationssicherheit und IT-Nutzung vorgegeben werden soll. Dies lässt sich aus Art. 32 Abs. 4 DSGVO sowie der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO ableiten.

Wie können Richtlinien effektiv eingesetzt werden?

Der entscheidende Punkt dabei ist, die Unternehmensmitglieder davon zu überzeugen, dass der Schutz vertraulicher Daten ihrem eigenen Wohl dient. In der Richtlinie sollte daher glaubhaft aufgezeigt werden, welche Bedeutung der Datenschutz für die Existenz des Unternehmens und damit auch der Arbeitsplätze hat. Auch sollte ausgeführt werden, dass die Regelungen zu einem wesentlichen Teil dazu dienen, die persönlichen Daten der Beschäftigten selbst zu schützen.

Eine sinnvoll ausgearbeitete Richtlinie motiviert die Mitarbeiter dazu, sie einzuhalten und darauf zu achten, dass sie von anderen Organisationszugehörigen eingehalten wird. Gleichzeitig macht sie von Anfang an klar, welche Strafen drohen, wenn gegen sie verstoßen wird. Im Rahmen eines Whistleblowing-Verfahrens können Mitarbeiter aktiv und anonym dabei helfen, geschäftsschädigendem Verhalten vorzubeugen und sich damit gleichzeitig selbst einen Gefallen tun. Somit kann eine durchdachte Sicherheitsrichtlinie schwer durchsetzbare und aufwendige Überwachungsmechanismen überflüssig machen.

Was sind die wichtigsten Richtlinien für Ihr Unternehmen?

  • Sicherheitsrichtlinie: enthält Grundsätze, Ziele, Maßnahmen und Verantwortlichkeiten für die Gewährleistung der IT-Sicherheit
  • IT-Nutzungsrichtlinie: regelt die ordnungsgemäße Nutzung von Endgeräten und Datenträgern durch Mitarbeiter
  • Datenschutznotfallrichtlinie: beugt der unrechtmäßigen Offenlegung von persönlichen Informationen vor und gibt Handlungsanweisungen im Schadensfall
  • Datenschutzkonzept: beschreibt die konkreten technischen und organisatorischen Maßnahmen, die zur Daten- und Informationssicherheit beitragen (Nutzen Sie unsere kostenlose Vorlage für ein Datenschutzkonzept)

Was sind die wichtigsten Inhalte für Ihre Richtlinien?

  • Betroffene Arbeitsprozesse und Verfahren
  • Bedarf und Ziele des Schutzes
  • Gesetzliche Verordnungen und Standards
  • Kurze und prägnante Ausformulierung der Schutzmaßnahmen
  • Konsequenzen der Nichtbeachtung
  • Kontaktdetails der Verantwortlichen und Ansprechpartner
  • Verweis auf Vertraulichkeit von Missstandsmeldungen

Wie werden Richtlinien erfolgreich implementiert?

  • Der Nutzen der Regelungen für die Mitarbeiter selbst sollte deutlich werden (Schutz von Arbeitsplätzen, Schutz der personenbezogenen Daten der Mitarbeiter)
  • Die Mitarbeiter sollten mit ins Boot geholt werden, um die gemeinsamen Ziele zu erreichen. Die Richtlinie sollte dazu animieren, sich für die Sicherheit von unternehmenseigenen Informationen einzusetzen.
  • Es sollte deutlich sein, dass die Geschäftsleitung voll und ganz hinter der Sicherheitsrichtlinie steht. Sonst wird sie auch von den Mitarbeitern nicht ernst genommen.
  • Die Richtlinie sollte im Unternehmen von Vorgesetzten vorgelebt werden. Eine allgemeine Nichtbeachtung kann ansonsten dazu führen, dass sich der Arbeitgeber bei arbeitsrechtlichen Sanktionen nicht mehr auf die Richtlinie stützen kann.
  • Es sollte detaillierte Prozess- und Verfahrensanweisungen geben, die den operativen Mitarbeitern zur korrekten Ausführung der Richtlinieninhalte verhelfen.
  • Den Mitarbeitern sollte klar sein, wie Sie sich verhalten sollen, wenn sie relevante Vorfälle beobachten. Die Hürde, um aktiv zu werden, sollte so gering wie möglich sein.
  • Die Einhaltung der Richtlinie sollte in regelmäßigen Abständen von einem festgelegten Zuständigen überprüft werden, Inhalte der Richtlinien sind ggfs. zu aktualisieren.

Dieser aktualisierte Artikel wurde zuerst am 13. Juni 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Dürfen Unternehmen krankgeschriebene Mitarbeiter kontrollieren?

Laut Institut der deutschen Wirtschaft waren Arbeitnehmer hierzulande 2017 durchschnittlich 17,3 Tage krankgeschrieben und konnten deswegen nicht zur Arbeit kommen. Da der Arbeitgeber den Lohn für eine bestimmte Zeitspanne trotz krankheitsbedingt nicht erbrachter Arbeitsleistung fortzahlen muss, bedeutet jeder Krankheitstag natürlich einen finanziellen Schaden für das Unternehmen. Nun scheint der Arbeitsdrang bei manch einem Arbeitnehmer nicht so ausgeprägt zu sein, wie er sein sollte. Das „Blaumachen“ wird mitunter als Kavaliersdelikt angesehen. Wie also können Arbeitgeber datenschutzkonform zwischen berechtigter und unberechtigter Krankschreibung unterscheiden?

Welche Möglichkeiten haben Unternehmen im Rahmen des Datenschutzes?

Welche Möglichkeiten haben Arbeitgeber, wenn sich der Verdacht der „Phantomkrankheit“ eines Mitarbeiters aufdrängt? Dies ist zum einen natürlich die Einschaltung des medizinischen Dienstes nach § 275 SGB V. Daneben versuchen jedoch auch viele Arbeitgeber, die Krankschreibung eines Mitarbeiters zu entkräften, indem sie Foto- oder Videoaufnahmen eines Mitarbeiters anfertigen, auf denen dieser äußerlich nicht den Eindruck einer Krankheit vermittelt.

Grundsätzlich richtet sich die Zulässigkeit derartiger Aufnahmen nach § 26 BDSG, wonach

  1. tatsächliche Anhaltspunkte vorliegen müssen, dass der Mitarbeiter die Krankheit nur vorgibt;
  2. neben den Aufnahmen kein milderes Mittel zur Aufklärung des Sachverhalts zur Verfügung steht und
  3. das Interesse des Arbeitgebers an der Aufklärung das Interesse des Arbeitnehmers auf Schutz seiner Persönlichkeitsrechte überwiegt.

Die genannten Punkte sollten stets vorsichtig ausgelegt werden, so dass im Zweifel von einer datenschutzrechtlichen Unzulässigkeit auszugehen ist. Denn eine falsche Einschätzung geht immer zulasten des Arbeitgebers und kann unter Umständen auch Schadensersatzklagen zur Folge haben.

Datenschutz-Kriterien für die Zulässigkeit einer Kontrolle krankgeschriebener Mitarbeiter

Wann müssen Anhaltspunkte für das Vortäuschen der Krankheit vorliegen?

Grundsätzlich kommt einer ärztlichen Arbeitsunfähigkeitsbescheinigung ein hoher Beweiswert zu. Der Arbeitgeber benötigt also einen triftigen Grund, warum er der Bescheinigung nicht glaubt und deswegen weitere Nachforschungen anstellt.

Dieser Grund für das Misstrauen muss bereits bei Beginn der Überwachung des Mitarbeiters vorliegen. Daher ist zu unterscheiden, ob der krankgeschriebene Mitarbeiter zufällig angetroffen wird oder ob er gezielt überwacht wird. Denn bei einer zufälligen Begegnung beginnt das Überwachen erst mit der äußerlichen „Analyse“ des Mitarbeiters auf Krankheitserscheinungen. Bei einem bewussten Nachstellen hingegen fängt die Überwachung schon mit Beginn des Nachstellens an. Dies soll freilich nicht bedeuten, dass bei einem zufälligen Antreffen des Mitarbeiters das Anfertigen von Aufnahmen schrankenlos möglich ist. Lediglich die erste der oben genannten Voraussetzungen ist so einfacher zu erreichen.

Sind Fotos von Mitarbeitern zum Beweis geeignet?

Grundsätzlich hat ein Arbeitgeber das allgemeine Persönlichkeitsrecht der Mitarbeiter zu respektieren, welches auch das Recht umfasst, nicht fotografiert oder aufgenommen zu werden. Jede Aufnahme des Mitarbeiters würde dieses Recht zunächst verletzen.

Es ist aber möglich, dass der Arbeitgeber dieses Recht des Mitarbeiters verletzen darf, und zwar dann, wenn er ein berechtigtes Interesse an der Verletzung geltend machen kann und das Interesse des Mitarbeiters am Unterlassen der Aufnahmen nicht höher zu gewichten ist. Dies kann der Fall sein, wenn eine Aufnahme zu beweisen vermag, dass der Mitarbeiter nicht unter der entsprechenden Krankheit leidet.

Dabei ist jedoch zu beachten, dass der Arbeitgeber im Regelfall die genaue Diagnose nicht kennt. Sofern ein Mitarbeiter beispielsweise beim Einkaufen „erwischt“ wird, bedeutet dies noch lange nicht, dass er nicht krank ist. Zumal Arbeitnehmern grundsätzlich jedes Verhalten erlaubt ist, das die Genesung nicht gefährdet oder verzögert.

Nicht jede Krankheit verpflichtet also zur Hütung des eigenen Betts. Leidet ein Mitarbeiter beispielsweise an einem grippalen Infekt, darf dieser durchaus Besorgungen im Supermarkt machen, ohne seine Pflichten gegenüber dem Arbeitgeber zu verletzen. Geht selbiger Mitarbeiter jedoch Bergsteigen, so ist er entweder nicht krank oder er verletzt seine Pflicht zur ungehinderten Genesung, was im Ergebnis wohl durch Fotos belegt werden darf.

Wann überwiegt das Interesse des Arbeitgebers?

Als Leitprinzip gilt, dass die verdeckte Aufnahme von Mitarbeitern immer nur als letztes Mittel eingesetzt werden sollte. Sofern dem Ziel mit einer offenen Aufnahme gedient ist, ist zu diesem Mittel zu greifen (lesen Sie dazu unseren Ratgeber zur Videoüberwachung im Unternehmen).

Pauschale und allgemeingültige Aussagen zum überwiegenden Interesse des Arbeitgebers können an dieser Stelle kaum getroffen werden, da stets alle Umstände des Einzelfalls berücksichtigt werden müssen. Es gilt jedoch die Faustregel, dass je öffentlicher und für die Allgemeinheit sichtbarer sich ein Arbeitnehmer bewegt, desto geringer ist sein Schutz vor eventuellen Aufnahmen. Aufnahmen des Mitarbeiters in seiner Wohnung sind daher grundsätzlich unzulässig. Hält sich ein Mitarbeiter jedoch im öffentlichen Straßenraum oder an sonstigen öffentlichen Plätzen auf, können Aufnahmen unter Umständen rechtmäßig sein. Aber auch die Intimität des Augenblicks, in dem die Aufnahme entsteht, ist mit in die Gewichtung einzubeziehen. Zudem stellen Fotos einen geringeren Eingriff in das Persönlichkeitsrecht dar, als länger andauernde Videoaufnahmen.

Fazit: Kontrolle bei Zweifeln am Krankheitsfall nur mit Rechtsbeistand

Anhand dieser vagen und auslegungsbedürftigen Kriterien ist also ersichtlich, wie wenig greifbar sich die Rechtslage in diesem Bereich darstellt. Vor der Durchführung der Kontrolle sollten Arbeitgeber stets einen Experten konsultieren und die Zulässigkeit fachmännisch und einzelfallbezogen prüfen lassen. Denn die Überwachung der eigenen Mitarbeiter ist ein heißes Eisen, an dem man sich schnell verbrennen kann.

Dieser aktualisierte Artikel wurde zuerst am 1. Juni 2015 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutzkonforme Facebook-Fanpages nach DSGVO

Fanpages bzw. Unternehmensprofile bei Facebook sind nach DSGVO nicht ohne Weiteres datenschutzkonform zu betreiben. Zuletzt sorgte ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufruhr – und brachte zahlreiche Unternehmen dazu, ihre Profile bei Facebook zu deaktivieren. Mittlerweile steuerte Facebook nach, so dass die datenschutzrechtlichen Hürden für eine Facebook-Fanpage etwas geringer ausfallen. Immerhin gibt es einen Lichtblick!

Das Problem mit der gemeinsamen Verarbeitung

In seinem Urteil vom 5. Juni 2018 stellte der EuGH fest, dass Facebook-Fanpages in der bisherigen Gestaltung nicht datenschutzkonform sind. Wegen des Trackings von Fans mittels der Funktion „Insights“ sah das Gericht eine gemeinsame datenschutzrechtliche Verantwortlichkeit in dem Verhältnis zwischen Fanpagebetreiber und Facebook. Deshalb sind die Voraussetzungen des neuen Art. 26 DSGVO (EU-Datenschutz-Grundverordnung) von beiden Parteien zu erfüllen.

Bisher scheiterte die Rechtskonformität an einer fehlenden vertraglichen Vereinbarung, um Fanpagebesucher über die gemeinsame Verarbeitung aufzuklären und die Pflichten zwischen Fanpagebetreiber und Facebook festzuhalten. Rund ein Vierteljahr nach Urteilsverkündung des EuGHs stellt Facebook diese Ergänzung seiner AGB nun zur Verfügung.

Problematisch ist dabei, dass sich Facebook vorbehält, das Addendum von Zeit zu Zeit zu aktualisieren. Selbstverständlich ist der Inhalt nicht verhandelbar, was Betreibern von Fanpages die Möglichkeit zur Intervention nimmt, wenn die Ergänzung einseitig von Facebook angepasst wird. Mit weiterer Nutzung des Dienstes gelten die neuen Bedingungen als akzeptiert. Der Wortlaut lässt leider nur hoffen, dass Betreiber über Änderungen wenigstens informiert werden und es gilt wie immer das Prinzip „take it or leave it“.

DSGVO-Konformität der Ergänzung

Art. 26 DSGVO fordert einer Vereinbarung zwischen gemeinsamen Verantwortlichen folgendes ab:

  • Erfüllung von Verpflichtungen durch den jeweiligen Verantwortlichen, darunter insbesondere die Erfüllung von Informationspflichten (Datenschutzhinweise) und Betroffenenrechten (Beantwortung von z. B. Löschanfragen)
  • Anlaufstelle für betroffene Personen
  • Bekanntgabe des wesentlichen Inhalts der Vereinbarung an Betroffene (Dazu verpflichtet sich Facebook in der Ergänzung. Es ist aber angeraten diese Information auf der eigenen Website zu führen, weil Facebook das Addendum jederzeit ohne Ihr Wissen einseitig ändern könnte).

Facebook hat zu allen oben genannten Pflichten Regelungen getroffen und eine Lösung gefunden, die dem Fanpagebetreiber jegliches Tätigwerden ersparen soll. Die Pflichten, die Facebook in der Ergänzung einräumt, sind ein Schritt in die richtige Richtung und erfüllen in der aktuellen Fassung den Großteil der Anforderungen des Art. 26 DSGVO. Demnach ist zumindest das Risiko der Verhängung eines Bußgeldes gem. Art. 83 Abs. 4 DSGVO bekämpft worden.

Allerdings hapert es insbesondere noch an Einflussmöglichkeiten für Fanpagebetreiber selbst. Die Konferenz der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte als Reaktion auf das EuGH-Urteil einen Beschluss verfasst, dessen Fragen 5 bis 7 auch nach den Änderungen durch Facebook weitestgehend ungelöst bleiben.

Einerseits gibt es immer noch keine Möglichkeit, das Tracking der Fans auszuschalten. Dies ist insbesondere relevant, weil die DSK seit Einführung der DSGVO eine Einwilligung für das Tracking (und damit auf für Insights-Daten) fordert (siehe unsere Einschätzung zum Thema). Diese kann auch mit den besprochenen Änderungen nicht durch den Betreiber eingeholt werden. Im Ergebnis fehlt ihm demnach immer noch eine gültige Rechtsgrundlage gem. Art. 6 Abs. 1 S. 1 DSGVO und er ist möglichen Bußgeldern nach Art. 83 Abs. 5 DSGVO weiterhin ausgesetzt.

Andererseits erlaubt es die Ergänzung Fanpagebetreibern nicht, sich auf die Erfüllung der sich aus Art. 26 DSGVO ergebenden Pflichten durch Facebook dauerhaft zu verlassen, weil die Vereinbarung einseitig und stillschweigend durch die soziale Plattform geändert werden kann.

Maßnahmen zur Risikominimierung bei Facebook-Fanpages

  1. Installieren Sie ein Opt-in-Banner auf Ihrer Website, das die Einwilligung für das Tracking auf Ihrer Facebook-Fanpage einholt. Damit können Sie zumindest eine Rechtsgrundlage für einige durch Insights getrackte Nutzer schaffen.
  2. Implementieren Sie in den Datenschutzhinweisen Ihrer Website die Essenz der Ergänzungsvereinbarung mit Facebook. Die Hinweise sollten zumindest folgendes enthalten:
    • Betroffenenrechte können bei Facebook Ireland sowie Ihnen geltend gemacht werden,
    • die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten liegt bei Facebook und Facebook erfüllt sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten,
    • Facebook Ireland stellt das Wesentliche der Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung,
    • Sie als Betreiber treffen keine Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten und alle weiteren sich aus Art. 13 DSGVO ergebenden Informationen, darunter Rechtsgrundlage, Identität des Verantwortlichen und Speicherdauer von Cookies auf Nutzerendgeräten.
  3. Platzieren Sie einen Link Ihrer ergänzten Datenschutzhinweise im Infobereich der Fanpage bei Facebook.
  4. Übermitteln Sie Anfragen von Betroffenen und Aufsichtsbehörden vereinbarungsgemäß an Facebook unter diesem Formular.
  5. Überprüfen Sie auch Ihre anderen Plattformen, die Nutzerauswertungen anbieten. Auch dort greifen die Überlegungen und Feststellungen dieses Artikels.

Fazit: Ein Lichtblick für weiterhin bestehende datenschutzrechtliche Hürden

Das Hauptproblem der Facebook-Unternehmensseiten besteht durch Mangel an einer Rechtsgrundlage für den Betreiber und die damit verbundene Rechtsunsicherheit fort.

Ein Lichtblick besteht, obwohl keine weiteren mildernden Maßnahmen von Facebook zu erwarten sind: Die kommende ePrivacy-Verordnung wird vermutlich ab Ende 2019 regeln, unter welchen Voraussetzungen Tracking für Statistikzwecke über längere Zeiträume ohne ausdrückliche Einwilligung der Betroffenen zulässig ist. Damit wäre auch die vorliegende datenschutzrechtliche Hürde überwunden.

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Private E-Mail- und Internetnutzung im Unternehmen

Die Versuchung zur privaten Nutzung des betrieblichen E-Mail-Accounts oder des Internetzugangs in der Arbeitszeit ist für Beschäftigte groß. Gerade weil es die Kommunikation bequemer macht und das private Datenvolumen des Smartphones schont, nutzen viele Angestellte die Betriebsmittel zu eigenen Zwecken. Ob damit eine vertragswidrige Zweckentfremdung einhergeht, sollten Arbeitgeber durch Regelungen zur IT-Nutzung klarstellen. Dies bringt zahlreiche weitere Vorteile mit sich, wie unser Praxistipp zeigt.

Private Nutzung des geschäftlichen E-Mail-Accounts

Es sollte eine Selbstverständlichkeit sein, dass Arbeitnehmer ihre Arbeitszeit dafür verwenden, ihren vertraglichen Pflichten nachzukommen. Andernfalls drohen Konsequenzen. Für Arbeitgeber ist es deshalb unter gewissen Umständen zulässig, E-Mails von Mitarbeitern auszuwerten, um eine Pflichtverletzung nachzuweisen und darauf gestützt sogar eine Kündigung auszusprechen.

Selbst die fristlose Kündigung eines langjährig beschäftigten Arbeitnehmers kann gerechtfertigt sein, wenn dieser einen bedeutenden Teil seiner Arbeitszeit für den Austausch privater E-Mails nutzt. So entschied es das Landesarbeitsgericht Niedersachsen in seinem Urteil vom 31. Mai 2010 (AZ: 12 SA 875/09).

Der Arbeitgeber konnte nachweisen, dass der Kläger in einem Zeitraum von sieben Wochen mehrere Stunden pro Arbeitstag mit dem Schreiben privater E-Mails verbrachte. Die dem Kläger im betreffenden Zeitraum zugegangenen E-Mails umfassten im konkreten Fall fast 800 DIN A4-Seiten.

Die private Nutzung der Dienst-IT war zwar nicht ausdrücklich geregelt, eine Dienstanweisung aus dem Jahr 1997 gab aber vor, dass das Unterbrechen der Arbeitszeit zur Erledigung privater Angelegenheiten nicht erlaubt sei.

Problematisch war auch, dass der Arbeitgeber es in der Vergangenheit geduldet hatte, dass sein E-Mailsystem zumindest in den Pausen für private Zwecke genutzt wurde. Mit einer eindeutigen Regelung zur E-Mail-Nutzung wäre es vielleicht gar nicht erst zum Prozess gekommen, da dem Arbeitnehmer seine unmittelbare Pflicht zur Unterlassung bewusst gewesen wäre.

Private Nutzung des geschäftlichen Internetzugangs

In einer Zeit, in der viele Angestellte mit eigenen Smartphones surfen und mit Whatsapp kommunizieren, ist die Anziehung des geschäftlichen E-Mail-Accounts hinter die der Internetnutzung über den arbeitgebereigenen Zugang gefallen. Die private Nutzung des geschäftlichen Internetzugangs ist jedoch ein großer Produktivitätskiller, Grund vieler Abmahnungen und begründet deutliche Einbußen für den Arbeitgeber bei Missbrauch.

Zum Vorteil der Arbeitgeberseite hat das Bundesarbeitsgericht schon 2005 entschieden, dass die private Nutzung des Internets während der Arbeitszeit eine Verletzung der arbeitsvertraglichen Pflichten darstellen kann (BAG, Urteil vom 7. Juli 2005, AZ: 2 AZR 581/04). Genauer gesagt befand das Gericht, dass die private Nutzung des Internets die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen darf. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflichten in zeitlicher und inhaltlicher Hinsicht vernachlässigt. Letztlich wurde durch das Gericht sogar festgestellt, dass im Falle einer exzessiven Privatnutzung des Internets während der Arbeitszeit es keiner Abmahnung vor der Kündigung bedarf.

Doch was ist genau mit einer „erheblichen“ Beeinträchtigung oder „exzessiven“ Privatnutzung gemeint? Rechtliche Unsicherheit bleibt bestehen, da diese Begriffe großen Interpretationsspielraum zulassen. Erschwerend kommt hinzu, dass dem Arbeitgeber grundsätzlich kein Kontroll- und Einsichtsrecht bei Internetaktivitäten von Mitarbeitern zusteht, weil er als Dienstanbieter gemäß TKG gilt. Um für beide Seiten Sicherheit zu schaffen und dem Arbeitgeber Kontrollmöglichkeiten einzuräumen, ist deshalb eine Richtlinie zur IT-Nutzung hilfreich.

Richtlinie zur IT-Nutzung bringt Klarheit

Rechtliche Sicherheit für Arbeitgeber und Gewissheit für Arbeitnehmer lässt sich durch eine Richtlinie zur IT-Nutzung schaffen. Indem klar vorgegeben wird, was dem Arbeitnehmer erlaubt ist und was nicht, können Streitfälle vermieden werden. Zudem sind Übertritte durch Arbeitnehmer leichter zu ahnden, weil die Grenzen deutlich abgesteckt wurden.

Die Richtlinie zur IT-Nutzung sollte den privaten Gebrauch der geschäftlichen E-Mail ausschließen. Dies maximiert zum einen die Arbeitszeit, zum anderen birgt das Verbot praktische Vorteile: Wenn etwa ein Mitarbeiter kurzfristig erkrankt, kann der Arbeitgeber dem Vertreter erlauben, das E-Mail-Postfach einzusehen, da sich dank des Verbots keine privaten Daten darin befinden.

Ein anderer Fall ist ein Mitarbeiter, der das Unternehmen im Schlechten verlässt. Sollte die private Nutzung nicht ausgeschlossen sein, könnte der Ex-Mitarbeiter den Arbeitgeber durch die Abwesenheit einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) vom Zugriff auf die E-Mails hindern.

In manchen Berufen kann der Browserverlauf eines Mitarbeiters eine Information sein, mit der die Krankheitsvertretung arbeiten muss. Wurde die private Nutzung nicht ausgeschlossen oder nicht wenigstens auf Pausenzeiten begrenzt, kann das Fernmeldegeheimnis bzw. das Bundesdatenschutzgesetz (BDSG) den Arbeitgeber hindern, den Verlauf einzusehen.

Einige praktische Hinweise bei Einführung einer Richtlinie zur IT-Nutzung:

  • Auch wenn Sie private Internet- und E-Mailnutzung schriftlich verboten/eingeschränkt haben, kann eine faktische Duldung Ihre Richtlinie arbeitsrechtlich unwirksam machen.
  • Das Recht des Arbeitnehmers auf Privatsphäre kann die berechtigten Interessen des Arbeitgebers zur Überwachung überwiegen. Deshalb ist trotz Ausschluss der privaten Internet- und E-Mail-Nutzung darauf hinzuweisen, dass stichprobenhafte Kontrollen durch den Arbeitgeber durchgeführt werden. Dies ist mit dem jüngsten Urteil des EGMR vom 5. September 2017 im Einklang und berücksichtigt die neusten Tendenzen in der europäischen Rechtslandschaft.
  • Sofern Sie die Internetnutzung in Pausenzeiten erlauben, holen Sie eine DSGVO-konforme Einwilligung ein, damit Sie die Einhaltung kontrollieren können.
  • Sie sollten sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben lassen.
  • Legen Sie Arbeitnehmern die Richtlinie jährlich zur Erinnerung vor.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Treffen Sie Regelungen zu „Bring-your-own-device“ (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern.

Dieser aktualisierte Artikel wurde zuerst am 18. April 2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

E-Mails rechtssicher und datenschutzkonform archivieren

Unternehmen, die E-Mails rechtssicher und datenschutzkonform archivieren wollen, stehen vor einer mindestens mittleren Herausforderung. Denn die Aufbewahrungspflichten für E-Mails sind nicht in einem eigenen Gesetz geregelt, sondern ergeben sich aus unterschiedlichsten Rechtsquellen, die teils gegenläufige Ziele verfolgen. Während der Gesetzgeber beispielsweise aus steuerrechtlichen Gesichtspunkten ein Interesse an einer längerfristigen Aufbewahrung hat, stellt die EU-Datenschutz-Grundverordnung (DSGVO) das Gebot der Speicherbegrenzung auf. Je nach Sachverhalt ergeben sich daher verschiedene Fristen, die (auch technisch) in Einklang zu bringen sind.

Aufbewahrungsfristen für E-Mails

Für die geschäftliche Kommunikation bestehen vielfältige handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Erfolgt der Schriftverkehr in elektronischer Form, wirken sich diese auch auf den Einsatz der Informationstechnik aus.

Handels- und Geschäftsbriefe, zu denen auch E-Mails mit geschäftlichem Inhalt zählen, sind z. B. mindestens sechs Jahre bzw. bis zum Abschluss einer laufenden Steuerprüfung aufzubewahren (§ 257 Absatz 4 HGB; § 147 Absatz 3 AO). Unabhängig hiervon empfiehlt es sich, Unterlagen mindestens so lange aufzubewahren, wie sich noch Folgen aus dem zugrundeliegenden Rechtsverhältnis ergeben können, etwa solange noch Haftungsansprüche möglich sind. Dies sind grundsätzlich drei Jahre gemäß § 195 BGB.

Für (elektronische) Unterlagen, die für die Bilanzierung relevant sind, gilt eine Aufbewahrungsfrist von zehn Jahren (§ 14b Absatz 1 UStG). Dazu zählen insbesondere Rechnungen, Buchungsbelege und Inventare.

Technische Anforderungen an das E-Mail-Archiv

Gemäß den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) muss der Originalzustand der archivierten Daten jederzeit überprüfbar sein. Das stellt komplexe Anforderungen an das Archivierungssystem:

  • Alle Dokumente müssen zeitnah auffindbar sein.
  • Systeme sind zudem gegen Vernichtung, Untergang und Diebstahl zu schützen.
  • Ein Verändern, Überschreiben oder Ersetzen von Daten darf nicht ohne eine entsprechende Kennzeichnung möglich sein. Zudem müssen die Dokumente jederzeit im ursprünglichen Dateiformat wiederherstellbar sein.
  • Wenn neue IT-Systeme eingeführt werden, muss gewährleistet sein, dass die archivierten Datenformate damit kompatibel sind.
  • Die Dokumente müssen sich maschinell auswerten lassen. Die Archivierung von Ausdrucken oder PDF-Versionen der E-Mails genügt daher nicht.

Die archivierten E-Mails sollten nur für einen ausgewählten Kreis von Mitarbeitern und nur bei dringendem Bedarf zugänglich sein. Das sollte aus Gründen der Nachweisbarkeit in einem Berechtigungskonzept festgehalten werden. Zudem sollten sich Unternehmen mit der Frage beschäftigen, wie die Unwiederherstellbarkeit archivierter E-Mails nach Ablauf der Aufbewahrungsfrist erreicht wird.

Datenschutzrechtliche Einschränkungen

Eine selektive Archivierung einzelner E-Mails würde bei den meisten Unternehmen einen unverhältnismäßig großen Aufwand verursachen. Auch liegt hierin eine Fehlerquelle, wenn wichtige Nachrichten übersehen werden.

Wird jedoch prinzipiell der gesamte E-Mailverkehr archiviert, stellt das eine datenschutzrechtliche Herausforderung dar: Wenn im Unternehmen die private Nutzung der E-Mailkonten geduldet wird, ist davon auszugehen, dass bei der Archivierung auch private personenbezogene Daten der Mitarbeiter gespeichert werden. Dies erfordert aber eine ausdrückliche Einwilligung der Mitarbeiter.

Entweder müsste eine entsprechende rechtskonforme Einwilligung von jedem einzelnen Mitarbeiter eingeholt werden oder eine Vereinbarung mit der Arbeitnehmervertretung geschlossen werden (vgl. § 26 Abs. 1 BDSG, § 87 BetrVG).

Generell ist davon abzuraten, dass Mitarbeiter die geschäftliche E-Maildresse zu privaten Zwecken nutzen dürfen; so können Sie die Notwendigkeit einer Einwilligung vermeiden. Der gesamte elektronische Schriftverkehr gilt in dem Fall als Geschäftsverkehr und bedarf für die Archivierung keiner Einwilligung durch die Mitarbeiter. Dies ist aber immer noch kein Freischein zur endlosen Archivierung, da die E-Mails reichlich personenbezogene Daten von Ansprechpartnern enthalten und auch geschäftliche E-Mails von Mitarbeitern nicht unbegrenzt gespeichert werden dürfen.

In vielen Fällen liegt ein Aufbewahrungsinteresse des Verantwortlichen vor, das von keiner der genannten gesetzlichen Aufbewahrungspflichten gedeckt ist. In solchen Fällen kann ein berechtigtes Aufbewahrungsinteresse bestehen, das die weitere Speicherung erlaubt. Konkrete Beispiele hierfür sind die Aufbewahrung von Werbeeinwilligungen oder Schulungsnachweisen von Mitarbeitern. Eine individuelle Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist dafür regelmäßig notwendig.

Fazit: E-Mail-Archivierung nur mit Löschkonzept

Die rechtskonforme bzw. rechtssichere Archivierung von E-Mails bildet für Unternehmen eine große Herausforderung. Dies liegt vor allem an der schieren Menge von Informationen, die einer Entscheidung über Aufbewahrung oder Löschung bedürfen. Zudem gewähren die gesetzlichen Aufbewahrungspflichten nur bedingt rechtliche Sicherheit darüber, ob eine E-Mail gespeichert werden darf oder nicht.

Um E-Mails datenschutzkonform zu archivieren, ist deshalb dringend ein Löschkonzept anzuraten. Dieses bringt allen Beteiligten den Prozess näher und fördert eine gezielte Archivierungsbegrenzung im Unternehmen. Nicht zuletzt dient ein Löschkonzept der Dokumentation und dem Nachweis gegenüber der Aufsichtsbehörde.

Dieser aktualisierte Artikel wurde zuerst am 16. August 2011 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Die datenschutzrechtliche Zulässigkeit psychologischer Eignungstests

Psychologische Eignungstests oder Assessments in Bewerbungsverfahren erfreuen sich großer Beliebtheit bei Personalern und HR-Abteilungen. Derartige Tests sind jedoch nicht immer rechtlich zulässig. Denn der Datenschutz gibt bei der Bewerberauswahl einen Rahmen vor, der mit der Testdurchführung nicht überschritten werden darf. Welche Bedingungen für einen psychologischen Eignungstest vorliegen müssen, erfahren Sie in diesem Artikel.

Psychologische Eignungstests in Bewerbungsverfahren

Die Auswahl von Bewerbern geht mit steigenden Anforderungen an Verantwortliche in Personalabteilungen einher. Zum einen vergrößert sich die Bewerberzahl in Zeiten, in denen Stellen nicht mehr nur in regionalen Zeitungsannoncen, sondern räumlich unbegrenzt in Online-Jobbörsen ausgeschrieben wird, mitunter um ein Vielfaches. Zum anderen steigen auch die Anforderungen, die an neue Mitarbeiter gestellt werden. Sieht man sich in den digitalen Stellenmärkten um, findet sich kaum eine Stellenanzeige, die allein auf die fachliche Kompetenz des Bewerbers abstellt. Stattdessen werden im Regelfall neben den typischen Soft-Skills wie Teamfähigkeit, Ausdruckstärke, Zielstrebigkeit oder Belastbarkeit oft auch analytisches Denkvermögen, strukturierte Arbeitsweise, Identifikation mit dem Unternehmen und ähnliche Anforderungen vom Bewerber erwartet.

Aufgrund der geringen Überprüfbarkeit eines Bewerbungsanschreibens oder des Lebenslaufes im Hinblick auf eben diese Soft-Skills, bietet sich die Durchführung von psychologischen Eignungstests an. Zweck dieser Eignungstests ist es, mit geringem Zeitaufwand systematisch einen möglichst tiefgehenden Einblick in die Persönlichkeit der Bewerber zu erhalten.

Da derartige Messungen massiv in das allgemeine Persönlichkeitsrecht des Bewerbers eingreifen, müssen die diesbezüglichen datenschutzrechtlichen Anforderungen eingehalten werden. Dementsprechend bedarf die Durchführung solcher Persönlichkeitstests einer rechtlichen Legitimierung. Dies gilt besonders vor dem Hintergrund, dass im Rahmen solcher Eignungstests oftmals auch besondere Arten personenbezogener Daten erhoben und verarbeitet werden.

Erste datenschutzrechtliche Legitimierung: Einwilligung

Eine Option der rechtlichen Ausgestaltung wäre das Einholen einer Einwilligung von jedem Bewerber, der ein solches psychologisches Eignungsverfahren durchlaufen soll. Hierbei ist jedoch zu beachten, dass die Einwilligung nicht in jedem Fall als Allheilmittel gesehen werden kann. Denn gerade rund um Arbeitsverhältnisse können begründete Bedenken hinsichtlich der Freiwilligkeit bestehen, die für die Wirksamkeit einer Einwilligung erforderlich ist. Zwar hat das Bundesarbeitsgericht in einer Entscheidung verdeutlicht, dass grundsätzlich davon auszugehen ist, dass Arbeitnehmer auch innerhalb eines Arbeitsverhältnisses frei entscheiden können. Dies kann jedoch nicht pauschal für jeden Einzelfall angenommen werden. Stattdessen ist stets die konkrete Ausgestaltung der Situation der Eignungstests zu berücksichtigen und der Druck auf den Arbeitnehmer zu beachten, der durch das Machtgefälle im Beschäftigungsverhältnis auf den Mitarbeiter einwirkt.

Zudem gilt, dass nur solche Tests durchgeführt werden dürfen, an denen der Arbeitgeber ein berechtigtes Interesse hat. Somit dürfen nur solche Fähigkeiten oder Eigenschaften geprüft werden, die für das künftige Arbeitsverhältnis tatsächlich relevant sind, was beispielsweise für sexuelle Vorlieben oder philosophische bzw. weltanschauliche Überzeugungen im Regelfall nicht angenommen werden kann.

Daneben sind die gängigen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung zu beachten, wie die Aufklärung über die Konsequenzen der Nichterteilung oder auch die Art und den Umfang der Datenverarbeitung. Im Arbeitgeber-Bewerber-Verhältnis geht man wie erwähnt von einem Machtungleichgewicht aus (siehe dazu: Verarbeitung nach Treu und Glauben). Demnach ist bei Einholen der Einwilligung stets darauf zu achten, dass dem Kandidaten kein Schaden entsteht, auch wenn er die Einwilligung verweigert. Es sollte immer nachweislich auf die Folgen der Versagung hingewiesen werden.

Zweite datenschutzrechtliche Legitimierung: § 26 BDSG

Neben dem Einholen einer Einwilligung besteht auch die Möglichkeit einer Rechtfertigung psychologischer Eignungstests nach § 26 Bundesdatenschutzgesetz (BDSG). Demnach gilt eine Datenverarbeitung als zulässig, wenn sie für das Beschäftigungsverhältnis erforderlich ist.

Bei der Frage der Erforderlichkeit ist zu beachten, dass diese nicht nur dann gegeben ist, wenn beispielsweise das Gesetz eine besondere persönliche Eignung verlangt, wie bei Piloten oder auch der Betreuung von Kindern und Jugendlichen. Vielmehr kann die Erforderlichkeit bereits dann zu bejahen sein, wenn die Tätigkeit auf der zu besetzenden Stelle gewisse Anforderungen an die Persönlichkeit des Bewerbers stellt. Dies kann beispielsweise eine hohe Belastbarkeit aufgrund des Arbeitsaufkommens oder auch ein hohes Maß an Empathie für Führungspositionen sein. Stresstests können deshalb bei hoch belastenden Tätigkeiten zulässig sein. An dieser Stelle spielen jedoch viele Faktoren eine Rolle, die in ihrer Gesamtheit in jedem Einzelfall gegeneinander abgewogen werden müssen.

Eine Einwilligung schafft im Zweifel mehr Rechtssicherheit. Dem Arbeitgeber ist deshalb geraten (trotz vorliegen vermeintlicher Erforderlichkeit) eine Einwilligung einzuholen, weil ein Eignungstest ein gewaltiger Eingriff in das Persönlichkeitsrecht darstellt. Zudem ist der Bewerber in Grundzügen über die Funktionsweise des Tests aufzuklären und hat Anspruch auf Bekanntgabe des Testergebnisses.

Grundsätzliche Anforderungen für psychologische Eignungstests

Pauschal lässt sich sagen, dass die Durchführung von psychologischen Eignungstests dann nicht zulässig ist, wenn die zukünftige Tätigkeit keine speziellen Anforderungen an den Bewerber stellt und der Arbeitgeber den Test lediglich aus allgemeinem Interesse durchführen lässt. Mit anderen Worten: Nur, wenn die zu ermittelten Eigenschaften des Bewerbers eine reale Bedeutung für die zu erfüllenden Aufgaben haben, dürfen sie in Tests abgefragt werden. Beispielsweise werden allgemeinen Intelligenztests die nötige Spezifität abgesprochen. Diese werden deshalb für kaum eine berufliche Tätigkeit zu rechtfertigen sein.

Es ist Grundvoraussetzung der Rechtmäßigkeit eines jeden Tests, dass dieser überhaupt eine bewährte Methode besitzt, Rückschlüsse auf die abgefragten Persönlichkeitsmerkmale zu ziehen oder zumindest einer bewährten Übung der Personalpraxis entspricht. Demzufolge muss die Testmethodik wissenschaftlichen Kriterien entsprechen und folglich ein realistisches Abbild der Persönlichkeit liefern können.

Fazit: Datenschutz spielt bei der Bewerberauswahl eine wichtige Rolle

Psychologische Eignungstests bzw. Assessment-Center sind aus Perspektive des Datenschutzes dann zulässig, wenn eine geeignete Rechtsgrundlage vorliegt. Vor allem wenn Bewerber für die zu besetzende Stelle über spezielle Soft Skills verfügen müssen, können dazu passende Tests im Auswahlverfahren eingesetzt werden.

Beim Einsatz von psychologischen Testverfahren sind selbstverständlich weitere Datenschutzvorgaben wie etwa die Information der Bewerber über Datenverarbeitung gemäß Art. 13 DSGVO (Datenschutz-Grundverordnung) zu beachten. Hierfür können Sie unseren kostenlosen Generator für ein Mitarbeiter-Informationsschreiben nach DSGVO benutzen.

Dieser aktualisierte Artikel wurde zuerst am 20. Juni 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutzkonforme Videoüberwachung im Unternehmen

Eine Videoüberwachung von Mitarbeitern bzw. Beschäftigten ist laut europäischer Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) nicht einfach so rechtens. Denn während der Arbeit beobachtet zu werden, stellt einen deutlichen Eingriff in das Persönlichkeitsrecht von Betroffenen dar. Wenn aber wichtige Gründe für eine Überwachung von Beschäftigten per Video sprechen, ist diese unter bestimmten Umständen möglich. Für Arbeitgeber kommt es vor allem darauf an, die Videoüberwachung datenschutzkonform auszugestalten.

Die meisten Menschen sehen die Beobachtung durch eine Videokamera als die unangenehmste Art der Überwachung an, weil sie so umfassend ist. Es wird dabei schließlich nicht nur ein einfaches Protokoll mit wenigen technischen Informationen erstellt, sondern jede Bewegung und jeder Gesichtsausdruck aufgezeichnet. Das Datenschutzrecht wertet die Videoüberwachung folgerichtig als schwerwiegenden Eingriff in das Persönlichkeitsrecht des Betroffenen. Deshalb ist eine Videoüberwachung nur dann zulässig, wenn es für den konkreten Fall eine entsprechend schwerwiegende Rechtfertigung gibt.

Allgemeines zur Kameraüberwachung von Geschäftsräumen

Ein zulässiger Beobachtungszweck kann die Wahrnehmung des Hausrechts sein. Grundsätzlich ist es dem Eigentümer oder Mieter einer Fläche erlaubt, zum Schutz des Objekts Kameras aufzustellen. Doch dieses Recht ist an strenge Bedingungen geknüpft und darf keineswegs als Freibrief verstanden werden. Soll beispielsweise der Eingangsbereich eines Gebäudes überwacht werden, darf die Kamera nicht mehr als eben diesen Bereich erfassen. Öffentliche Bereiche wie die Straße vor der Eingangstür dürfen in der Regel nicht per Kamera überwacht werden. Diese Regeln finden sich in § 4 Abs. 1 BDSG. Die genannte Norm wird allerdings von einigen Aufsichtsbehörden als europarechtswidrig betrachtet. Hilfsweise sollten Sie also Art. 6 Abs. 1 lit. f DSGVO beachten.

Videoüberwachung von Beschäftigten und Besuchern

Auch innerhalb von Grundstücksgrenzen sind die Interessen der Betroffenen, etwa der Beschäftigten eines Unternehmens, zu schützen. Wenn Sie als Arbeitgeber eine Kamera aufstellen wollen, sind Sie in der Pflicht nachzuweisen, dass Sie geltendes Recht nicht verletzen.

Von hoher Bedeutung ist die konkrete Umsetzung der Videoüberwachung, weil nur so sicherzustellen ist, ob die Kamera der Wahrnehmung des Hausrechtes oder der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke dient. Eine Kamera, die durch das gesamte Großraumbüro filmt, lässt sich schwerlich zur Wahrung des Hausrechtes rechtfertigen. Auch die Videoüberwachung der gesamten Belegschaft lässt sich regelmäßig nicht unter Rückgriff auf berechtigte Interessen des Arbeitgebers rechtskonform einsetzen.

Andererseits können einzelne Beschäftigte auf Grundlage des § 26 BDSG überwacht werden, wenn ein auf Tatsachen gestützter Verdacht zur schweren Verletzung arbeitsvertraglicher Pflichten vorliegt (BAG, ZD 2012, ZD Jahr 2012, Seite 558). Hier muss betont werden, dass vorsorgliche verdachtslose Kontrollen der Arbeitsleistung immer als Verstoß gegen die Menschwürde gewertet werden. (BAG, NZA 2017, NZA Jahr 2017 Seite 1327 – „keylogger“). In einem gesonderten Ratgeber erklären wir Ihnen, worauf Sie achten müssen, wenn Sie Videoaufzeichnungen von Mitarbeitern als Beweis vor Gericht nutzen wollen.

Der Erfassungswinkel einer Kamera kann zum Verhängnis für Arbeitgeber werden, wie im folgenden Fall: Das Landesarbeitsgericht Hessen sprach einer Arbeitnehmerin 7.000 Euro Entschädigung zu, weil eine Kamera zur Überwachung des Eingangsbereiches theoretisch auch ihren Arbeitsplatz hätte erfassen können. Die Klägerin fühlte sich daher permanent im Blickbereich der Kamera und empfand dies als ständigen Überwachungsdruck. Dass die Kamera so eingestellt war, dass sie tatsächlich nur den Eingang erfasste, wurde vom Gericht nicht berücksichtigt. Der Arbeitgeber hätte ihr eindeutig nachweisen müssen, dass dies nicht der Fall ist (Az. 7 Sa 1586/09).

Welche Informationspflichten gelten bei der Videoüberwachung im Unternehmen?

Videoüberwachung ist in unseren Alltag eingezogen und so omnipräsent, dass sie manchmal kaum mehr auffällt. Viele moderne Büros verfügen zum Beispiel über eine Videosprechanlage an den Türen, die Bilder des Besuchers in Echtzeit überträgt. Obwohl die Bilder nicht gespeichert werden, müssen Personen über diesen Vorgang informiert werden – eine datenschutzrechtliche Baustelle derer sich kaum ein Unternehmen bewusst ist. Selbstredend gilt die gleiche Informationspflicht bei Videoanlagen, die Bildmaterial speichern.

Entsprechende Hinweisschilder müssen deutlich sichtbar angebracht sein. Jeder, der den überwachten Bereich betreten will, muss vorher auf einen entsprechenden unübersehbaren Hinweis stoßen, damit die Möglichkeit eingeräumt wird, sich der Überwachung zu entziehen. Wenn die Aufzeichnungen wie in den meisten Fällen einzelnen Personen zuordenbar sind, müssen die Betroffenen auch über die Art der Verarbeitung und Nutzung der Aufnahmen gemäß Art. 13 DSGVO informiert werden. Deutliche Hinweise auf eine aufgestellte Kamera sollten folgendes enthalten:

  • B. ein Piktogramm mit Kamerasymbol,
  • die Identität des Verantwortlichen für die Kamera,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • ein Hinweis auf den Verarbeitungszweck mit Rechtsgrundlage,
  • das berechtigte Interesse zur Videoüberwachung,
  • die Empfänger der Videodaten,
  • gegebenenfalls geplante Drittlandtransfers der Daten,
  • Hinweis, ob die Bereitstellung der Aufnahme gesetzlich oder vertraglich erforderlich ist,
  • Dauer der Speicherung sowie
  • Hinweise auf Auskunfts- und Beschwerderecht.

Außerdem ist zu beachten, dass Videoaufzeichnungen ausschließlich für den vorbestimmten Verarbeitungszweck verwendet werden dürfen.

Welche Bereiche im Unternehmen dürfen nicht überwacht werden?

In Intimzonen, z. B. Toiletten oder Umkleideräumen, ist eine Videoüberwachung in jedem Fall unzulässig. Auch Attrappen sind nicht erlaubt. Reine Freizeitbereiche (beispielsweise Bars, Sitzgruppen, ein Foyer, Aufenthaltsräume) dürfen ebenfalls nicht überwacht werden. Hier überwiegt das Persönlichkeitsrecht der Mitarbeiter.

Sofern Sie eine verdeckte Kameraüberwachung anstreben, sind die rechtlichen Hürden marginal niedriger. Nur wenn sichergestellt ist, dass die offene Überwachung keinen Effekt hätte und ein konkreter Verdacht einer strafbaren Handlung vorliegt, lässt sich diese Art von Kontrolle mit aktuellem Datenschutzrecht vereinen.

Wie sind Attrappen von Überwachungskameras einzusetzen?

Attrappen sind so zu behandeln wie echte Kameras. Das bedeutet, dass in jedem Fall die gleichen Konsequenzen zu ziehen sind (Prüfung der Erforderlichkeit, Zulässigkeit, Informationspflichten etc.)

Dürfen Kassenbereiche und Abrechnungsräume überwacht werden?

Die Beobachtung von Kassenbereichen und Abrechnungsräumen, in denen mit hohen Bargeldbeträgen umgegangen wird, ist unter Einhaltung aller sonstigen Voraussetzungen (Einzelfallprüfung, Hinweisschilder, Risikoanalyse, Speicherungsdauer etc.) in der Regel zulässig. Die Mitarbeiter sind allerdings in ausreichender Form über die Videoüberwachung zu informieren. Gegebenenfalls ist der Betriebsrat zu beteiligen. Eine dauerhafte Erfassung des Arbeitsbereichs von Mitarbeitern (z. B. Bar, Tresen, Verkaufsstände, Kasse) ist unverhältnismäßig und sollte daher unterbleiben.

Wie lange dürfen Videoaufnahmen gespeichert werden?

Es ist schwierig eine allgemeine Speicherfrist für Videoaufnahmen festzulegen, da die Dauer der Speicherung von den individuellen Umständen der jeweiligen Situation abhängt. Als Faustregel gilt:

  1. Die Speicherung oder Verwendung ist zulässig, wenn sie erforderlich ist, um den verfolgten Zweck der Videoüberwachung zu erreichen.
  2. Zugleich dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Nehmen wir also das Beispiel der Überwachung von Mitarbeitern, die mit hohen Geldbeträgen hantieren: Da allgemein tägliche Kontrollen des Kassenbestands durchgeführt werden, würde ein Diebstahl meist innerhalb 24 Stunden zutage kommen. Räumt man dann noch eine angemessene Reaktionszeit zur Auswertung des Videomaterials ein, wird sich eine Speicherfrist von über 72 Stunden nicht rechtfertigen lassen. Im Gegenteil könnte man bei einer Videosprechanlage eines Unternehmens kaum begründen, warum Besucheraufnahmen überhaupt gespeichert werden müssen. Die Aufnahmen dienen meist lediglich der Entscheidung darüber, ob ein Besucher bekannt ist oder nicht. Der Zweck gibt demnach keinen ausreichenden Grund zur Speicherung.

Grundsätzlich gilt, dass die Aufbewahrung von gespeicherten Videoaufnahmen auf wenige Kalendertage zu beschränken ist, da die dauerhafte Überwachung sowieso schon stark in das Persönlichkeitsrecht von Beschäftigten einschneidet. Auch das Urteil des Bundesarbeitsgerichts (BAG) zur Beweisverwertung von Videoaufnahmen von Mitarbeitern ändert nichts an der zwingenden Voraussetzung, dass die Speicherdauer an den verfolgten Zwecken gemessen werden muss.

Fazit: Videoüberwachung von Mitarbeitern ist ein heikles Thema

Die Videoüberwachung im Unternehmen unterliegt strengen datenschutzrechtlichen Voraussetzungen und einer Menge arbeitsrechtlicher Urteile. Demnach sollte die Überwachung von Arbeitnehmern stets bedacht und geplant erfolgen, um Arbeitnehmerrechte zu wahren und rechtliche Risiken für das Unternehmen zu mindern. Auch vermeintlich harmlose Vorrichtungen wie Videosprechanlagen sollten inspiziert und datenschutzkonform gestaltet werden. In jedem Fall sollte der Datenschutzbeauftragte des Unternehmens bei der Umsetzung hinzugezogen werden.

Dieser aktualisierte Artikel wurde zuerst am 27.10.2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Videoaufnahmen von Mitarbeitern zur Beweisverwertung vor Gericht

Das jüngste Urteil des Bundesarbeitsgerichts (BAG) erweitert die zeitlichen Grenzen, in denen Videoaufnahmen von Mitarbeitern vor Gericht als Beweis verwertet werden können (Urteil vom 23. August 2018, 2 AZR 133/18). Arbeitgeber sollten sich dadurch jedoch nicht veranlasst sehen, flächendeckend Mitarbeiterverhalten aufzunehmen und Videoaufnahmen unbegrenzt aufzubewahren. Damit ein Überwachungsvideo zur Beweisverwertung vor Gericht zugelassen werden kann, müssen Sie u. a. die Vorschriften der EU-Datenschutz-Grundverordnung (DSGVO) einhalten. Wie Sie als Arbeitgeber die Videoüberwachung gestalten sollten, damit einer Verwertung vor Gericht nichts im Wege steht, erfahren Sie hier.

Das BAG-Urteil zur Beweisverwertung von Videoaufnahmen

Eine Arbeitnehmerin wurde in einer Lottoannahmestelle mit angeschlossener Zeitschriften- und Tabakhandlung des Arbeitgebers beschäftigt. Der Verkaufsraum sowie der Kassenbereich wurden offen videoüberwacht, um das Eigentum des Betreibers vor Straftaten von Kunden sowie Mitarbeitern zu schützen. Als ein Warenschwund festgestellt wurde, wertete der Arbeitgeber Videoaufzeichnungen aus, die zum Zeitpunkt der Auswertung nahezu sechs Monate alt waren. Er stellte vermögensschädigende Handlungen der Arbeitnehmerin fest und sprach daraufhin die fristlose Kündigung aus.

Die Arbeitnehmerin legte Kündigungsschutzklage ein und ein Kündigungsrechtsstreit entbrach, in dem sich der Arbeitgeber auf das Videomaterial als Beweis für die Schädigung stützte. Nach Auffassung des Landesarbeitsgerichts (LAG) Hamm (LAG Hamm, Urteil vom 20. Dezember 2017 – 2 Sa 192/17) war die Speicherung sowie Auswertung unrechtmäßig. Das Gericht stellte fest, die Daten einer offenen Videoüberwachung zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke in einem öffentlichen Geschäft seien unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Die Intensität der Persönlichkeitsrechtsverletzung für die Arbeitnehmerin stünde der Berücksichtigung der Videoaufnahme entgegen.

Das jüngste Urteil des Bundesarbeitsgerichts hob das Berufungsurteil des LAG Hamm auf und veranlasste damit eine Neuverhandlung. Das Bundesarbeitsgericht stellte allerdings bisher nur fest, dass die Speicherung von Bildsequenzen möglich ist, solange die Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Hinzu kommen zwei weitere Prämissen: Zum einen müsse es sich um eine vorsätzliche Handlung eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers handeln. Zum anderen müsse die offene Videoüberwachung rechtmäßig im Sinne der DSGVO gewesen sein.

Sollte das nun wieder zuständige Landesarbeitsgericht Hamm also feststellen, dass die offene Videoüberwachung rechtmäßig war, dann wäre die Verwertung des Videomaterials zulässig.

So wahren Sie die Rechtmäßigkeit bei der offenen Videoüberwachung

Für Arbeitgeber ist insbesondere Folgendes zu beachten: Ohne die Videoüberwachung datenschutzrechtlich sauber zu gestalten, können Videobeweise trotz des hier beschriebenen BAG Urteils nicht verwertet werden. Das Bundesdatenschutzgesetz regelt in § 4 BDSG den Einsatz von Videoüberwachung und beschränkt diese auf die Wahrnehmung des Hausrechtes und berechtigte Interessen für konkret festgelegte Zwecke. Es ist umstritten, ob die DSGVO diese speziellere nationale Regelung, wie sie der deutsche Gesetzgeber getroffen hat, überhaupt zulässt. Deshalb sollte zur Bestimmung der Rechtmäßigkeit immer auch Art. 6 Abs. 1 DSGVO herangezogen werden.

Damit offene Videoaufnahmen keinem Beweisverwertungsverbot unterliegen, ist die offene Videoüberwachung insbesondere mit folgenden Maßnahmen rechtmäßig zu gestalten:

  • Die Überwachung muss gem. § 26 Abs. 1 S. 1 BDSG erforderlich sein für die Durchführung des Beschäftigungsverhältnisses. Hier könnte man argumentieren, dass z. B. die Videoüberwachung eines Geldtransportfahrers erforderlich und gerechtfertigt ist, um einerseits den Mitarbeiter vor Dritten zu schützen, aber auch, um den Arbeitgeber vor Vermögensdelikten durch Kunden sowie den Mitarbeiter selbst zu bewahren. Ein Beispiel, in dem hingegen definitiv keine Erforderlichkeit zur Videoüberwachung besteht, wäre ein Mitarbeiter in einer Produktionslinie, der Maschinenteile niederen Wertes zusammensetzt.
  • Gemäß Art. 6 Abs. 1 lit. f DSGVO ist eine Interessenabwägung erforderlich, die feststellt, ob die berechtigten Interessen des Arbeitgebers an der Überwachung die Interessen, Rechte und Grundfreiheiten des Beschäftigten überwiegen. Dabei sollte bedacht werden, welche Auswirkungen die offene Überwachung für einen Arbeitnehmer hat. Überwachungsdruck und konstante Auswertung von Mimik sowie Verhalten sind Einschnitte, die vor der Installation bedacht und abgewogen werden sollten.
  • Die Verhältnismäßigkeit einer Maßnahme gebietet, dass die Videoüberwachung immer nur als letztes Mittel eingesetzt werden sollte, wenn es keine Maßnahmen gibt, die weniger in das Persönlichkeitsrecht des Betroffenen einschneiden. Technische Maßnahmen wie das „Ausgrauen“ einzelner Bereiche des Erfassungswinkels einer Kamera kann den Überwachungscharakter entschärfen.
  • Mitarbeiter sollten über die offene Videoüberwachung umfangreich informiert werden. Dazu zählt z. B., ihnen den Filmwinkel der Kamera vorzuführen und sie über Speicherfristen und Zugriffsberechtigte aufzuklären. Die unmittelbaren Voraussetzungen der Informationspflichten finden sich in Art. 13 DSGVO (nutzen Sie dafür einfach unseren kostenlosen Generator für ein Mitarbeiter-DSGVO-Informationsschreiben)
  • Wenn dem Arbeitnehmer eine Straftat nachgewiesen werden soll, muss die Überwachung gem. § 26 Abs. 1 S. 2 BDSG zur Aufdeckung erforderlich sein. Es müssen also tatsächliche Anhaltspunkte für eine Straftat vorliegen. Ein „bloßer Verdacht“ auf Grund von vagen Hinweisen oder bloßen Gerüchten reicht dazu regelmäßig nicht aus. Eine präventive Überwachung ist nicht möglich, sondern kann nur eigens dafür errichtet werden, wenn die Voraussetzungen des § 26 Abs. 1 S. 2 BDSG erfüllt sind.
  • Art. 5 Abs. 1 lit. e DSGVO gebietet die Löschung von personenbezogenen Daten, was Videoaufnahmen von identifizierbaren Mitarbeitern einschließt, nachdem der Zweck für die Verarbeitung nicht mehr besteht. Demnach sollten Speicherfristen so kurz wie möglich und lang wie nötig gehalten werden.

Hinweise zur Frist der Beweisverwertung

Bisher wurde davon ausgegangen, dass Videoaufnahmen von z. B. Ladenflächen und Büroeingängen zur Wahrung des Hausrechts wenige Tage nach Aufnahme gelöscht werden müssen, um dem Datenschutz zu genügen. Da Art. 5 Abs. 1 lit. e DSGVO (Begrenzung der Speicherdauer) auf die Rechtmäßigkeit der Videoüberwachung Einfluss nimmt, müssen gute Gründe für eine Monate andauernde Speicherung von Aufnahmen existieren.

Das BAG hat die Rechtslage nun konkretisiert und erlaubt die Speicherung solange eine Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Art. 5 Abs. 1 lit. e DSGVO schließt allerdings aus,

  1. dass z. B. Aufnahmen zum alleinigen Zweck der Wahrung des Hausrechts angefertigt werden,
  2. man über die Zweckbegrenzung hinaus Aufzeichnungen speichert und
  3. sich später auf den (anderen) Zweck der Mitarbeiterüberwachung beruft, wenn ein Verdacht aufkommt.

Die Begründung liegt darin, dass die Aufnahmen zur Wahrung des Hausrechtes grundsätzlich wesentlich kürzeren Speicherfristen unterliegen, als eine Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Zudem ist eine Zweckänderung nur selten und unter strengen Voraussetzungen möglich.

Fazit: Datenschutzkonformität der Videoüberwachung bleibt vorrangig

Das Bundesarbeitsgericht eröffnet mit seinem Urteil zwar Wege, Videoaufnahmen länger vor Gericht verwerten zu dürfen. Der Richterspruch ist aber noch lange kein Freischein zur Vorratsspeicherung und unberechtigter Videoüberwachung von Arbeitnehmern.

Videoüberwachung muss weiterhin den strengen Anforderungen der DSGVO genügen. Damit der Videobeweis vor Gericht verwendet werden kann, muss die Videoüberwachung zulässig und damit datenschutzrechtskonform gestaltet sein. Dass das ohne gute Planung und Koordination kaum umsetzbar ist, beweisen die aufgeführten zu treffenden Maßnahmen dieses Artikels.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kopplungsverbot vs. Kopplungsprüfungsgebot

Das datenschutzrechtliche Kopplungsverbot wird immer dann angesprochen, wenn z. B. für den Download eines Whitepapers eine Einwilligung für den Empfang eines Newsletters oder werblicher E-Mails verlangt wird. Doch ist diese Kopplung von Angebot und Einwilligung wirklich rechtswidrig? Oder fordert die europäische Datenschutz-Grundverordnung (DSGVO) nicht eher eine gründliche Abwägung – besteht also ein Kopplungsprüfungsgebot?

Was besagt das Kopplungsverbot?

Auch das jüngste europäische Datenschutzrecht verbietet jede Art von Verarbeitung personenbezogener Daten, sofern keine Rechtsgrundlage für diese Verarbeitung besteht. Das Prinzip nennt sich „Verbot mit Erlaubnisvorbehalt“. Eine der möglichen Rechtsgrundlagen für die Verarbeitung von Daten, die eine Person identifizieren oder identifizierbar machen, ist die Einwilligung.

Das Kopplungsverbot soll die Verarbeitung personenbezogener Daten bei Einwilligungen verbieten, wenn die Verarbeitung dieser Daten zur Erfüllung eines Vertrags oder der Bereitstellung einer Dienstleistung nicht erforderlich ist. Die in diesem Artikel beschriebenen Rechtsgrundlagen werden durch das Kopplungsverbot direkt oder indirekt beeinflusst.

Die Rechtgrundlagen Erfüllung eines Vertrags und Einwilligung

Im Kontext des Kopplungsverbots muss zwischen den Rechtsgrundlagen Erfüllung eines Vertrags (gem. Art. 6 Abs. 1 lit. b DSGVO) und Einwilligung (gem. Art. 6 I lit. a DSGVO) unterschieden werden.

Meist kann die Rechtsgrundlage zur Erfüllung eines Vertrags von Firmen als Datenschutz-Wunderwaffe eingesetzt werden. Diese Grundlage erlaubt die Verarbeitung allerdings nur, wenn sie auch erforderlich ist, um Waren oder Services anzubieten. Zur Bereitstellung von Leistungen müssen immer personenbezogene Daten verarbeitet werden. Sei es zur Versendung von Gütern oder bei Dienstleistungen – ohne menschliche Kontaktpersonen oder Informationen zu Personen, auf die eine Leistung zugeschnitten werden soll, geht es in aller Regel nicht. Damit können sich Unternehmen meist auf diese Rechtsgrundlage stützen.

In Fällen, in denen die Verarbeitung von personenbezogenen Daten nicht erforderlich ist, um den Vertrag auszuführen, kann sich ein Verantwortlicher auf die Einwilligung als alternative Rechtsgrundlage stützen. Klassische Beispiele sind die Weitergabe von Kundendaten an Dritte für zusätzliche Zwecke oder Zusendung von Newslettern. Für diese Verarbeitungen holen sich Verantwortliche Einwilligungen ein, die vom Betroffenen freiwillig erteilt werden müssen.

Art. 7 Abs. 4 DSGVO konkretisiert die Freiwilligkeit der Einwilligung und stellt die Brücke zum Kopplungsverbot her. Er besagt, dass eine Einwilligung eventuell nicht freiwillig erteilt wurde, wenn

  • die Erfüllung eines Vertrags oder die Bereitstellung einer Dienstleistung von einer Einwilligung zur Verarbeitung von bestimmten personenbezogenen Daten abhängt und
  • diese Daten nicht erforderlich sind um den Vertrag auszuführen.

Warum sollte beispielsweise eine Banking-App nur unter der Bedingung funktionieren, dass der Nutzerstandort jederzeit ausgelesen werden kann? Mit anderen Worten: Stellt ein Anbieter sein Produkt oder seine Dienstleistung ausschließlich unter der Bedingung zur Verfügung, Daten verarbeiten zu dürfen, die er eigentlich nicht zur Leistungserbringung benötigt, könnte die Einwilligung unfreiwillig erteilt worden sein. Im Ergebnis wäre die Einwilligung unwirksam und dem Anbieter würde die Rechtsgrundlage zur Verarbeitung der Daten fehlen. Das macht eine Verarbeitung illegal.

Demnach gilt das Erforderlichkeitskriterium neben der Erfüllung eines Vertrags auch für die Einwilligung. Die Gegenüberstellung der Rechtsgrundlagen Vertragserfüllung und Einwilligung zeigt: Eine auf strikter Erforderlichkeit beruhende Einwilligung könnte die Handlungsmöglichkeiten für Unternehmen bei der Verarbeitung von Daten deutlich einschränken. Denn die Einwilligung wird allzu gerne als Rechtsgrundlage benutzt, wenn nicht erforderliche Daten doch noch irgendwie rechtmäßig verarbeitet werden sollen.

Das Kopplungsverbot ist ein Schaf im Wolfspelz

Bei genauem Lesen des Art. 7 Abs. 4 DSGVO fällt jedoch auf, dass die fehlende Erforderlichkeit der Verarbeitung nicht zwangsläufig dazu führt, dass eine Einwilligung unfreiwillig erteilt wurde. Anders ausgedrückt: Die DSGVO setzt nicht fest, dass eine Einwilligung bei fehlender Erforderlichkeit unwirksam ist. Viel mehr spricht sie davon, dass bei der Bewertung, ob eine Einwilligung freiwillig erteilt wurde, der Erforderlichkeit „Rechnung getragen“ werden soll. Es gibt demnach viele Kriterien, die die Wirksamkeit bestimmen. Erforderlichkeit ist nur eines davon, ohne spezielles Gewicht zu tragen.

Im Ergebnis handelt es sich um eine Pflicht zur Prüfung, anstelle eines klassischen Verbots. Wir sprechen also eher von einem Kopplungsprüfungsgebot. In vielen Fällen wird dem Verantwortlichen in Zukunft nicht erspart bleiben, eine Abwägung zu treffen, die die Erforderlichkeit der fragwürdigen Datenverarbeitung zumindest analysiert. Es kann aber auch davon ausgegangen werden, dass die Unwirksamkeit der Einwilligung mangels Erforderlichkeit nur in Extremfällen zum Tragen kommt.

Zur Veranschaulichung sei ein Fall genannt, in dem neben Erforderlichkeit zusätzlich die Wahlfreiheit für Betroffene fehlt. Eine Versicherung mit Monopolstellung ist ein Extremfall, wenn sie ihre Leistung nur gegen dauerhafte Überwachung der Vitalfunktionen nebst Beitragszahlung anbietet.

Der Erforderlichkeitsmaßstab für die Erfüllung eines Vertrags gem. Art. 6 Abs. 1 lit. b DSGVO

Doch was passiert mit dem Erforderlichkeitsmaßstab für die Rechtsgrundlage Erfüllung eines Vertrags? Unternehmen ist diese Rechtsgrundlage lieber, weil sie nicht widerrufen werden kann. Die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags ist auch hier der Dreh- und Angelpunkt zur Bewertung, ob die Verarbeitung der Daten nötig ist, um die vereinbarte Vertragsleistung zu erfüllen.

Strikt gesehen könnte man davon ausgehen, dass jede Datenverarbeitung, die nicht direkt mit dem Produkt oder der Dienstleistung verwandt ist, auch nicht erforderlich ist. Zum Beispiel wäre ein Nagelstudiobesuch immer auf Bargeld gegen Nagelmodellage beschränkt. Jedem ist aber klar, dass eine Erinnerung zum nächsten Studiobesuch sehr angenehm sein kann. Würde der Erforderlichkeitsmaßstab strikt ausgelegt, dürften die Nagelstudios unseres Beispiels Kunden aber nicht mehr zur Terminerinnerung kontaktieren, da es schlichtweg nicht erforderlich ist, um Nägel aufzuhübschen. Logische Folge so einer strikten Betrachtung ist, dass sich Geschäftsmodelle und Leistungen niemals weiterentwickeln könnten.

Der gegenteilige Ansatz ist es zu sagen, dass alles erforderlich zur Erfüllung des Vertrags ist, was die Parteien vertraglich vereinbart haben. Demnach würden Verantwortliche alle möglichen Verarbeitungen in den Vertrag integrieren und dadurch rechtfertigen. Hier entsteht das Problem, dass Verbraucher bei nicht verhandelbaren Verträgen die Kontrolle über ihre Daten verlieren.

Bisher ist noch unklar welcher der beiden Ansätze vorherrschen wird. In der Regel liegt die Wahrheit in der Mitte. Deshalb ist ein vorläufiger Handlungsvorschlag, die Vertragsgestaltung auf die geplanten Datenverarbeitungen anzupassen. Wenn die Verarbeitungen Teil der versprochenen Vertragsleistung sind, ist nämlich eher davon auszugehen, dass sie für die Erfüllung des Vertrags erforderlich sind.

Bei dem Vorgehen sind einige Dinge zu beachten:

  • Leistungen, die Sie in den Vertrag aufnehmen, müssen auch dauerhaft erbracht werden. Z. B. wären Sie zur Erinnerung an den nächsten Studiobesuch vertraglich verpflichtet, weil davon ausgegangen wird, dass der Kunde dafür bezahlt.
  • Berufen Sie sich immer nur auf eine Rechtsgrundlage. Es ist davon abzuraten, zusätzliche Einwilligungen einzuholen.
  • Erforderlichkeit in Beschäftigungsverträgen: Es gelten spezielle Regeln für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (Bewerber und Mitarbeiter). Diese finden sich in § 26 BDSG (Bundesdatenschutzgesetz).

Service gegen Daten im Internet

Neben den zuvor beschriebenen klassischen Vertragsverhältnissen (Produkt gegen Bezahlung), ist in den vergangenen Jahren ein alternatives Zahlungsmodell aufgekommen. Meist werden im Internet Dienstleistungen gegen personenbezogene Daten angeboten. Das kann reine Kontaktdaten betreffen oder bis zur Auslesung von Kaufverhalten oder sozialen Aktivitäten eines Betroffenen reichen. Payback und Facebook sind Beispiele für das Servicemodell gegen Daten, aber auch das Angebot eines Whitepaper-Downloads gegen zwingende Anmeldung zum Newsletter eines Unternehmens.

Das Kopplungsverbot spricht grundsätzlich nicht gegen dieses Servicemodell. Knifflig wird es, wenn Betroffene deutlich weniger aus dem Austauschverhältnis ziehen, als der Anbieter oder wenn die Wahl fehlt, einen alternativen Service zu benutzen. Die Freiwilligkeit ist aber in jedem Fall gegeben, solange vom Anbieter oder anderen Anbietern eine gleichwertige Leistung gegen Geld angeboten wird und eine Ausweichmöglichkeit ohne Nachteile für Betroffene besteht. Das Whitepaper-gegen-Newsletter-Modell bietet Betroffenen genügend Ausweichmöglichkeiten (z. B. Bezahlliteratur) und einen angemessenen Gegenwert zur Subscription (Whitepaper).

Ob ein Anbieter bei der Auslesung von Kaufverhalten oder sozialen Aktivitäten eine Monopolstellung innehat, also ein klares Ungleichgewicht besteht, wird zur Kopplungsbeurteilung entscheidender sein, als das Alternativangebot gegen Bezahlung. Das ist der Tatsache geschuldet, dass es in aller Regel schwierig ist, die Höhe der Geldzahlung festzusetzen, die anstatt einer Datenüberlassung fällig wäre. Der Wert der Daten hängt nämlich von der Art und Größe der Datenbank insgesamt ab. Diese Faktoren ändern sich mit der Zeit und sind nicht vorhersehbar.

Fest steht, dass der Beeinträchtigung der Freiwilligkeit der Einwilligung gem. Art. 7 Abs. 4 DSGVO Rechnung zu tragen ist, sobald der eingesetzte Preis eindeutig zu hoch ausfällt. Darüber hinaus steht fest, dass vermeintlich kostenlose Angebote nicht mehr als gratis deklariert werden können, weil transparent auf das Austauschverhältnis Daten gegen Leistung hingewiesen werden muss. Das Ende der Services gegen Daten ist mit dem Kopplungsprüfungsgebot jedenfalls nicht eingeläutet.

Update November 2018

Am 31. August 2018 fällte der Oberste Gerichtshof in Wien (Österreichs höchste Instanz in Zivil- und Strafsachen) ein Urteil in bzgl. des Kopplungsverbots. Dieses ist zwar nicht bindend für Gerichte anderer Mitgliedstaaten, könnte aber zumindest richtungsweisend sein.

Die Richter entschieden, dass eine an die Hauptdienstleistung gekoppelte Einwilligung zur Werbedatenverarbeitung inklusive Datenweitergabe an Dritte nicht mit den Voraussetzungen des Art. 7 Abs. 4 DSGVO vereinbar seien. Eine entsprechende Klausel war in den AGB eines TV-Dienstleisters enthalten, die er Kunden bei Vertragsschluss anerkennen ließ. Das Gericht stellte eine unerlaubte Kopplung der Dienstleistungserbringung mit der Einwilligung zu Werbezwecken fest, weil Werbung zur Erbringung der Dienstleistung nicht erforderlich sei. Zur Entscheidung trug zudem bei, dass Kunden nicht ausreichend transparent auf die Einwilligung in den AGB hingewiesen wurden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.