Zum Inhalt springen

Arbeitnehmerdatenschutz

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

Semi­nar “Recht­li­che Aspek­te der IT-Nutzung”

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhr­au als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung /​ Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter anderem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehlverhalten

  • Scha­den­er­satz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E‑Mail und Internet
  • IT-Pro­to­kol­lie­rung und Auswertung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­bei­ter­fo­tos auf der Webseite
  • Ein­sicht­nah­me in per­sön­li­che E‑Mail-Kon­ten und Ablagen
  • Lega­le Kon­trol­len und inter­ne Ermittlungen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medien
  • Impres­sum und Datenschutzerklärung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Computing)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhr­au von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erhoben)

Knack­punkt Geburtstagsliste

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schi­ne eine Geburtstag­lis­te mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­ta­ge der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Bei­de Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te hält die­se Vor­ge­hens­wei­se ohne gül­ti­ge Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffent­li­chen Bereich (also Unter­neh­men und Ver­ei­ne) auf Sei­te 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die dar­in genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­ti­on der Daten­nut­zung für eine öffent­li­che Geburts­tags­lis­te nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Anga­be mit oder ohne Geburts­jahr erfolgt.

Für die kor­rek­te For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Offe­ner Email-Ver­tei­ler führt zu Buß­geld gegen Unternehmen

Schon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de weitergeleitet.

Der ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Über­mitt­lung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. 

Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wur­de ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayL­DA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kür­ze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fäl­le von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayL­DA vom 28.06.2013.

Mal sehen, was der Kol­le­ge so ver­dient — Daten­pan­ne bei der Telekom

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­da­le. Wie zahl­rei­che Medi­en wie n‑tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine inter­ne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­he­ne Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­wei­le wur­de sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her kei­ne Kenntnis.

 

 

Pri­va­tes Out­sour­cing durch Mitarbeiter

Bereits in einer Kun­den­in­for­ma­ti­on aus 2012 haben wir auf das The­ma inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­de­ne Funk­tio­nen in der IT-Struk­tur wer­den durch gewief­te Mit­ar­bei­ter und exter­ne Tools — oft­mals dann ohne Kennt­nis der IT-Ver­ant­wort­li­chen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hen­de Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Sati­re Maga­zin The Oni­on einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Dar­in wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auk­tio­nen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­wer­te exter­ne Hilfs­kräf­te an. Die­se erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der sei­ne freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Sati­re begann, wur­de mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Fir­ma wand­te sich an das Sicher­heits­un­ter­neh­men Veri­zon mit der Bit­te, auf­fäl­li­ge Log­files zu über­prü­fen. Die­se wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach Chi­na bele­gen. Die Ver­bin­dung wur­de mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hau­se, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­ly­se, das die Ver­bin­dung in den letz­ten 6 Mona­ten fast kon­ti­nu­ier­lich auf­ge­baut war. Die Unter­su­chung des Arbeits­plat­zes brach­te es dann ans Tages­licht: der Ent­wick­ler hat­te sich für ein Fünf­tel sei­nes eige­nen Jah­res­ge­halts einen Dienst­leis­ter aus dem fer­nen Chi­na geleis­tet, der sei­ne Pro­gram­mier­auf­ga­ben pflicht­be­wußt über­nahm. Das not­wen­di­ge eTo­ken schick­te der fin­di­ge Mit­ar­bei­ter auf dem Post­weg ins Land der auf­ge­hen­den Son­ne. Mitt­ler­wei­le arbei­tet der Pro­gram­mie­rer nicht mehr für das Unter­neh­men. Kuri­os jedoch: der ver­meint­lich von ihm gelie­fer­te Pro­gramm-Code war stets so gut, so daß er mehr­fach bes­te Bewer­tun­gen dafür erhielt.

Wie fin­dig sind Ihre Mitarbeiter?

Angeb­lich heim­li­che Mit­ar­bei­ter­über­wa­chung bei ALDI Süd

Laut Spie­gel, Welt und N24 soll es zu einer heim­li­chen Mit­ar­bei­ter­über­wa­chung bei ALDI Süd gekom­men sein. Gleich­lau­tend wird von einem Detek­tiv berich­tet, der unter Andro­hung des Ver­lusts wei­te­rer Auf­trä­ge gezwun­gen wur­de, Minia­tur­ka­me­ras z.B. über den Mit­ar­bei­ter­schrän­ken anzu­brin­gen. Wei­ter­hin soll­te er der ALDI Füh­rungs­kraft alle “Auf­fäl­lig­kei­ten” mel­den wie z.B. lang­sa­mes Arbeits­tem­po, Bezie­hun­gen unter den Mit­ar­bei­tern oder auch pri­va­te Details wie finan­zi­el­le Verhältnisse.

Das Unter­neh­men weist der­weil alle Vor­wür­fe zurück.

Wie hier auf dem Blog mehr­fach berich­tet, ist Video­über­wa­chung unter Daten­schutz­ge­sichts­punk­ten kein “Teu­fels­werk”. Es gilt, bestimm­te Richt­li­ni­en und Ver­fah­rens­wei­sen ein­zu­hal­ten. Mehr erfah­ren Sie in unse­rem Bei­trag Video­über­wa­chung — umsich­tig ein­set­zen, Kon­flik­te vermeiden

Irr­tü­mer im Daten­schutz (Teil 3): Wir haben kei­ne schüt­zens­wer­ten Daten im Unternehmen

“Wir haben kei­ne per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” — die­se Aus­sa­ge trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gera­de bei rei­nen B2B-Unter­neh­men geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur weni­ge Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

“(1) Per­so­nen­be­zo­ge­ne Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betrof­fe­ner).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­ge­ne Daten im Unter­neh­men allei­ne schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hin­zu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­ge­ne Daten im Unternehmen.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

“(9) Beson­de­re Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexualleben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur rei­ne per­so­nen­be­zo­ge­ne Daten, son­dern nach die­ser Defi­ni­ti­on sogar eine beson­de­re Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch eini­ge der og. Merkmale).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tig­te” detailliert:

“(11) Beschäf­tig­te sind:

  1. Arbeit­neh­me­rin­nen und Arbeitnehmer,
  2. zu ihrer Berufs­bil­dung Beschäftigte,
  3. Teil­neh­me­rin­nen und Teil­neh­mer an Leis­tun­gen zur Teil­ha­be am Arbeits­le­ben sowie an Abklä­run­gen der beruf­li­chen Eig­nung oder Arbeits­er­pro­bung (Reha­bi­li­tan­din­nen und Rehabilitanden),
  4. in aner­kann­ten Werk­stät­ten für behin­der­te Men­schen Beschäftigte,
  5. nach dem Jugend­frei­wil­li­gen­dien­ste­ge­setz Beschäftigte,
  6. Per­so­nen, die wegen ihrer wirt­schaft­li­chen Unselb­stän­dig­keit als arbeit­neh­mer­ähn­li­che Per­so­nen anzu­se­hen sind; zu die­sen gehö­ren auch die in Heim­ar­beit Beschäf­tig­ten und die ihnen Gleichgestellten,
  7. Bewer­be­rin­nen und Bewer­ber für ein Beschäf­ti­gungs­ver­hält­nis sowie Per­so­nen, deren Beschäf­ti­gungs­ver­hält­nis been­det ist,
  8. Beam­tin­nen, Beam­te, Rich­te­rin­nen und Rich­ter des Bun­des, Sol­da­tin­nen und Sol­da­ten sowie Zivildienstleistende.”

Das Bun­des­da­ten­schutz­ge­setz spen­diert in sei­ner aktu­el­len Fas­sung den Beschäf­tig­ten sogar einen eige­nen Paragraphen:

§ 32 Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäftigungsverhältnisses

“(1) Per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten dür­fen für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach Begrün­dung des Beschäf­ti­gungs­ver­hält­nis­ses für des­sen Durch­füh­rung oder Been­di­gung erfor­der­lich ist. Zur Auf­de­ckung von Straf­ta­ten dür­fen per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten nur dann erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn zu doku­men­tie­ren­de tat­säch­li­che Anhalts­punk­te den Ver­dacht begrün­den, dass der Betrof­fe­ne im Beschäf­ti­gungs­ver­hält­nis eine Straf­tat began­gen hat, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung zur Auf­de­ckung erfor­der­lich ist und das schutz­wür­di­ge Inter­es­se des Beschäf­tig­ten an dem Aus­schluss der Erhe­bung, Ver­ar­bei­tung oder Nut­zung nicht über­wiegt, ins­be­son­de­re Art und Aus­maß im Hin­blick auf den Anlass nicht unver­hält­nis­mä­ßig sind.
(2) Absatz 1 ist auch anzu­wen­den, wenn per­so­nen­be­zo­ge­ne Daten erho­ben, ver­ar­bei­tet oder genutzt wer­den, ohne dass sie auto­ma­ti­siert ver­ar­bei­tet oder in oder aus einer nicht auto­ma­ti­sier­ten Datei ver­ar­bei­tet, genutzt oder für die Ver­ar­bei­tung oder Nut­zung in einer sol­chen Datei erho­ben werden.
(3) Die Betei­li­gungs­rech­te der Inter­es­sen­ver­tre­tun­gen der Beschäf­tig­ten blei­ben unberührt.”
Womit fest­steht:
  1. Beschäf­tigt ein Unter­neh­men Mit­ar­bei­ter, lie­gen per­so­nen­be­zo­ge­ne Daten vor.
  2. Auf­grund der vor­lie­gen­den Daten eines Mit­ar­bei­ters han­delt es sich dabei sogar um beson­de­re Arten per­so­nen­be­zo­ge­ner Daten, die einen erhöh­ten Schutz­sta­tus besitzen.
  3. Das Bun­des­da­ten­schutz­ge­setz legi­ti­miert das Erhe­ben, Ver­ar­bei­ten und Nut­zen der Mit­ar­bei­ter­da­ten zum Zwe­cke des Beschäftigungsverhältnisses.
  4. Das Bun­des­da­ten­schutz­ge­setz fin­det auf Unter­neh­men mit Mit­ar­bei­tern Anwendung.
  5. Es bleibt zu prü­fen, ob die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten zusätz­lich vorliegt.

 

Unsi­cher in Bezug auf die wei­te­re Vor­ge­hens­wei­se? Dann spre­chen Sie uns ein­fach an. Wir hel­fen schnell, unbü­ro­kra­tisch und unkompliziert.

Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

Auch eine Art von “Ziel­grup­pe” — Kun­den im Visier heim­li­cher Video­über­wa­chung bei ALDI Süd

Das Nach­rich­ten­ma­ga­zin DER SPIEGEL brach­te den Stein ins Rol­len, wei­te­re Bericht­erstat­tun­gen in TV, Radio, Print und Web folg­ten. Nach Infor­ma­tio­nen, die dem Maga­zin vor­lie­gen, gerie­ten bevor­zugt Frau­en in kur­zen Röcken oder mit tief Ein­blick gewäh­ren­den Tops ins Visier heim­li­cher Video­über­wa­chungs­maß­nah­men durch eini­ge Fili­al­lei­ter in Frank­furt /​ Main, Die­burg und wei­te­ren hes­si­schen Stand­or­ten. Doch damit nicht genug. In “loh­nens­wer­ten” Fäl­len wur­den die ahnungs­lo­sen Kun­din­nen und Kun­den her­an­ge­zoomt, Video­se­quen­zen auf CD gebrannt und unter­ein­an­der getauscht.

ALDI Süd schreibt lt. Spie­gel in einer Stel­lung­nah­me, dass

“das Fehl­ver­hal­ten eines ein­zel­nen Mit­ar­bei­ters nicht aus­ge­schlos­sen wer­den kön­ne. Soll­te ein miss­bräuch­li­cher Umgang den Vor­ge­setz­ten bekannt wer­den, wird ein sol­ches Vor­ge­hen umge­hend unter­sucht, unter­bun­den und zieht ent­spre­chen­de dis­zi­pli­na­ri­sche Kon­se­quen­zen nach sich.”

Trotz des Video­über­wa­chungs­skan­dals eines Wett­be­wer­bers im Jahr 2008 sol­len wei­ter­hin erneut Kas­sen­be­rei­che inkl. der Ein­ga­be­fel­der der EC-Ter­mi­nals auf Auf­nah­men zu sehen sein. Mobi­le Mini­ka­me­ra-Anla­gen auch in  Berei­chen ohne Kun­den­zu­tritt sowie feh­len­de Hin­weis­schil­der run­den den sorg­lo­sen Umgang des Dis­coun­ters mit die­ser zu Recht per Gesetz restrik­tiv zu hand­ha­ben­den Maß­nah­me ab.

Was sagt denn das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Das Bun­des­da­ten­schutz­ge­setz stellt hohe Anfor­de­run­gen an die Durch­füh­rung von Video­über­wa­chungs­maß­nah­men. Die­se sind zwar nicht ver­bo­ten, jedoch ist es mit Beru­fung auf das eige­ne Haus­recht nicht getan. Für wei­ter­füh­ren­de Infor­ma­tio­nen emp­feh­len wir die­se Beiträge

Pla­nen Sie die Ein­füh­rung von Video­über­wa­chung in Ihrem Unter­neh­men? Fra­gen Sie recht­zei­tig Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann spre­chen Sie uns an.

BYOD (Bring Your Own Device) — zusätz­li­che Daten­schutz-Risi­ken für Unternehmen

“BYOD” ist in aller Mun­de, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fo­ne, Smart­phones und Note­books beruf­lich für ihren Arbeitgeber.

IT-Admi­nis­tra­to­ren kämp­fen dadurch mit Wild­wuchs in der IT-Land­schaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken — zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­ti­on oft­mals die Augen und ris­kie­ren dabei so einiges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­di­ge Ein­fluss- und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stös­se, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schä­den durch nega­ti­ve Presseberichte.

Was vie­le nicht wis­sen, die recht­li­chen Aspek­te die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­ble­me, Haf­tungs­fra­gen, Ver­stö­ße gegen han­dels- und steu­er­recht­li­che Vor­schrif­ten, IT-Sicher­heit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gera­de ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­ge­ne Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und die­se dann mit einem der zahl­rei­chen Cloud-Diens­te syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für kei­ne vor­ge­schrie­be­ne Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­geld­ri­si­ko.

Unser Tipp:

  • Sor­gen Sie für kla­re Ver­ein­ba­run­gen und Richt­li­ni­en in Ihrem Unter­neh­men und inves­tie­ren Sie in die not­wen­di­ge IT-Infrastruktur.
  • Oder fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten! Sie haben kei­nen, dann spre­chen Sie uns an!

 

Bild­nach­weis: about​pi​xel​.de /​Was­ser­test © Kel­ler­meis­ter

Die mobile Version verlassen