Nutzung von Mitarbeiterdaten
Interne Verzeichnisse, Geburtstagslisten und Jubiläen Beliebt in beinahe jedem Unternehmen sind Geburtstagslisten. Meist kursieren sogar mehrere Versionen im Unternehmen. Jede Abteilung erstellt ihre eigene Liste. Manchmal hängen die Geburtstage an einer von jedem Mitarbeiter einsehbaren Stelle am schwarzen Brett, in der Kaffeeecke oder in der Kantine aus. Manches Mal werden die Listen in der Personalabteilung oder im Sekretariat erstellt, oft ohne Zutun des betreffenden Mitarbeiters. Eine Geburtstagsliste ist eine Nutzung von Beschäftigtendaten gemäß § 3 Abs. 5 BDSG. Können die Geburtstagslisten Personen einsehen, die nicht zum Unternehmen gehören, z.B. Besucher oder Mitarbeiter von Fremdfirmen, dann findet auch eine Datenübermittlung an Dritte statt (§ 3 Abs. 4 Nr. 3 BDSG). Laut § 32 Abs. 1 Satz 1 BDSG dürfen Beschäftigtendaten nur genutzt werden, wenn dies im Beschäftigungsverhältnis „für dessen Durchführung oder Beendigung erforderlich ist“. Eine Erforderlichkeit von Geburtstagslisten für das Beschäftigungsverhältnis ist wohl in den meisten Fällen nicht gegeben. In der Literatur gibt es allerdings Meinungen, in denen Geburtstagslisten als für die Pflege eines guten Betriebsklima dienlich gesehen werden. Einen Ausweg könnte die Einwilligung der Mitarbeiter in die Geburtstagsliste bieten. Doch die in § 4a BDSG geforderte „freie Entscheidung des Betroffenen“ wird von den Aufsichtsbehörden im Arbeitsverhältnis in der Regel angezweifelt, sodass eine Einwilligung schwierig rechtswirksam umzusetzen wäre.
Das Bayerische Landesamt für Datenschutzaufsicht schildert in seinem 2. Tätigkeitsbericht einen Fall zu „Geburtstags- und Jubiläumslisten“ und kommt darin zu dem Schluss, dass die Geburtstagsliste unzulässig ist. Typische Fälle im Beschäftigtendatenschutz Nutzung von Beschäftigtendaten Erforderlichkeit Einwilligung Möchte man im Unternehmen nicht ganz auf Geburtstagslisten verzichten, wäre folgender Zwischenweg möglich: Es wird eine leere Geburtstagsliste zur Verfügung gestellt, und die Mitarbeiter, die das möchten, tragen sich selbst ein. Es sollte auch jedem Mitarbeiter problemlos möglich sein, jederzeit selbst seinen Eintrag wieder zu entfernen. Insbesondere dann, wenn sich nicht alle Mitarbeiter eintragen, wäre das ein Zeichen dafür, dass die Eintragung tatsächlich freiwillig ist und dass kein direkter oder indirekter Druck zur Eintragung besteht. Der Mitarbeiter sollte zum Zeitpunkt seiner Eintragung wissen, wer alles Einblick in die Geburtstagsliste hat, ob sie z.B. unternehmensweit oder nur für die eigene Abteilung sichtbar ist. Bei einer dateibasierten Geburtstagsliste ist dies durch geeignete Zugriffsberechtigungen einzuschränken. Es gibt Meinungen,die der Geschäftsleitung und den Vorgesetzten das Führen von Geburtstagslisten ihrer Mitarbeiter zugestehen, auch ohne Einwilligung der betroffenen Mitarbeiter. Dem können schutzwürdige Interessen der Betroffenen entgegengehalten werden. Ältere Mitarbeiter möchten vielleicht ihr Geburtsjahr nicht bekannt geben, da dies Rückschlüsse auf ihren Erfolg oder Misserfolg auf der Karriereleiter erlauben könnte. Weibliche Mitarbeiter möchten ebenfalls oft nicht, dass ihr Geburtsjahr bekannt wird. Eine mögliche Lösung wäre, die Jahreszahl bei runden Geburtstagen nicht bekannt zu geben. Dies lässt sich jedoch in der Praxis wohl kaum vernünftig umsetzen. Die beste Variante wäre, den Betroffenen schlicht zu fragen und seine Wünsche bezüglich Gratulation zu Geburtstagen und Jubiläen zu berücksichtigen.
Abwesenheits- und Urlaubslisten
Zum Zweck der internen Arbeitsorganisation werden in Abteilungen an zentraler Stelle oft Kalender ausgehängt, in denen Abwesenheiten der Mitarbeiter und Kollegen eingetragen werden. Von Urlaub über Krankheit bis zu Arztbesuchen findet man Eintragungen, die von jedem Kollegen einzusehen sind. Gerade im Krankheitsfall werden die Eintragungen nicht vom Betroffenen selbst gemacht, sondern von Kollegen. Als Begründung wird genannt, man müsse wissen, wer wann an- oder abwesend ist, um Arbeitsabläufe planen zu können. Praxistipp: Zugriffsschutz vorsehen Hier liegt hier eine Übermittlung von Beschäftigtendaten gemäß § 3 Abs. 4 Nr. 3 BDSG vor. Im Fall der Krankheitsdaten sind die Daten sogar besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG.
Für die Übermittlung der Urlaubs- und Krankheitsdaten in Abwesenheitsübersichten wird ein Zweck benötigt, der im Fall der Abwesenheitsübersicht wohl kaum zu finden ist. Für den angestrebten Zweck, die Organisation der Arbeit im Team, genügt die Erfassung der Abwesenheit ohne weitere Begründung.
✓ Die Betroffenen tragen vorhersehbare Abwesenheitszeiten selbst ein.
✓ Es werden keine Abwesenheitsgründe angegeben.
✓ Bei Krankheit wird Tag für Tag die Abwesenheit ohne weitere Begründung eingetragen.
✓ Die Übersicht liegt immer nur für den aktuellen Monat und die Zukunft vor, vergangene
Monatsansichten werden entfernt.
Übersichten privater Telefon- und Handynummern
Oft werden Listen mit privaten Telefonnummern der Mitarbeiter in Unternehmen geführt. Grundsätzlich gilt auch hier § 32 Abs. 1 Satz 1 BDSG, das heißt, für die Liste muss eine im Beschäftigtenverhältnis begründete Erforderlichkeit vorliegen. Die Erreichbarkeit im Notfall wäre ein Zweck, der das Führen dieser Liste erlaubt. Auch das Bayerische Landesamt für Datenschutzaufsicht äußert sich in seinem 1 Tätigkeitsbericht, dass die Speicherung der privaten Telefonnummer zulässig ist „wenn der Arbeitgeber die private Telefonnummer der Arbeitnehmerin im Rahmen des konkreten Arbeitsverhältnisses benötigt“.
✓ Es ist zu empfehlen, den Zugriff auf die private Nummernübersicht auf die unbedingt
notwendigen Personen einschränken, z.B. auf Vorgesetzte, Abteilungsleiter oder
Schichtführer.
✓ Es sollte darauf geachtet werden, dass sich auf der Liste auch nur die Mitarbeiter
befinden, die von den zugriffsberechtigen Personen im Notfall kontaktiert werden
müssen.
✓ Scheidet ein Mitarbeiter aus dem Unternehmen aus oder wechselt seine Aufgabe,
sodass eine Erreichbarkeit im Notfall nicht mehr notwendig ist, so ist der Eintrag
des betreffenden Mitarbeiters zu löschen.
Intern veröffentlichte Mitarbeiterfotos
Bilder sind sprechender als trockene Texte. Das Organigramm mit den Fotos der Mitarbeiter, das Türschild mit Namen und Foto, der Outlook-Kontakt mit dem Porträt des Mitarbeiters sind zugegebenermaßen mit den Fotos schöner als ohne. Für die Veröffentlichung von Fotos gilt das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie, §§ 22 und 23 KUG. Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt. Nach dem Tode des Abgebildeten bedarf es bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten. Angehörige im Sinne dieses Gesetzes sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten. Daher dürfen Fotos von Mitarbeitern nicht ohne Einwilligung der Betroffenen veröffentlicht werden. Das gilt auch für betriebsinterne Veröffentlichungen. Grundsätzlich ist vor der Veröffentlichung von Fotos die Erlaubnis des Mitarbeiters einzuholen. Die Erlaubnis ist auf die vorgesehenen Zwecke einzuschränken.
Beispiele für typische Zwecke für die Verwendung von Mitarbeiterfotos:
✓ Verwendung im (elektronischen) Unternehmensorganigramm
✓ an der Bürotür
✓ im (elektronischen) Kontaktverzeichnis
✓ im Intranet
✓ in Werbekatalogen und -broschüren
✓ in der Mitarbeiter- oder Kundenzeitung
✓ auf der Unternehmenswebseite.
Es muss sichergestellt werden, dass die Einwilligung der Mitarbeiter absolut freiwillig erfolgt. Willigt ein Mitarbeiter in die Veröffentlichung seiner Fotos nicht ein, darf er keinen Nachteilen unterliegen. Die Freiwilligkeit der Einwilligung muss den Mitarbeitern bekannt gemacht werden. Es ist zu empfehlen, das Einverständnis des Mitarbeiters schriftlich zu dokumentieren. Auch empfiehlt es sich, zu regeln, wie mit Widersprüchen gegen die Einwilligung umgegangen wird und was nach einem Ausscheiden des Mitarbeiters mit dem Foto geschehen soll. An der Bürotür ist ein Bild schnell entfernt, doch auf der Unternehmenswebsite möchte man das Bild vielleicht noch in einer Übergangszeit nutzen. Es empfiehlt sich, die Regeln und Vorschriften für den Umgang mit Fotos im Rahmen einer Unternehmensrichtlinie festzulegen und den Mitarbeitern zu erläutern.
Best-of-Listen (Rennlisten)
Der umsatzstärkste Vertriebsmitarbeiter, der LKW-Fahrer mit den wenigsten Unfällen, der Mitarbeiter mit den meisten Vertragsabschlüssen: Rankinglisten in Unternehmen ermöglichen Leistungsvergleiche, sie sollen Mitarbeiter zu mehr Leistung anspornen und Ziele vorgeben. Aus Sicht des Datenschutzes sind solche Best-of-Listen problematisch, da leistungsschwächere Mitarbeiter diskriminiert werden könnten. Eine anonymisierte Rankingliste, z.B. nur mit den Umsatzzahlen, würde die Möglichkeit einer Diskriminierung von Leistungsschwächeren vermeiden. Die Mitarbeiter kennen in der Regel ihre eigenen Umsatzzahlen und können sich selbst in der Liste zuordnen, ohne die einzelnen Kollegen identifizieren zu können. In diesem Tenor entschied das Bayerische Landesamt für
Datenschutzaufsicht in seinem
Tätigkeitsbericht 2009/2010:
„Eine unternehmensinterne, personenbezogene Veröffentlichung von Rankings in Form sog. Rennlisten ist datenschutzrechtlich unzulässig“. Eine anonymisierte Form würde den Zweck des Leistungsanreizes ebenso erfüllen, daher sei die personenbezogene Darstellung unverhältnismäßig und damit unzulässig. Freiwilligkeit sicherstellen In einem konkreten Fall der Versicherungswirtschaft empfiehlt der Hamburger Datenschutzbeauftragte in seinem Tätigkeitsbericht: „Rennlisten sollen in der Versicherungswirtschaft nur nach vorheriger Einwilligung der Betroffenen oder ohne personenbezogene Daten genutzt werden“. In diesem Fall haben die Obersten Datenschutzaufsichtsbehörden die Notwendigkeit der personenbezogenen Leistungsübersichten aufgrund des Vertretervertragsverhältnisses verneint (nachzulesen im 19. Tätigkeitsbericht (2002/2003) des Hamburger Datenschutzbeauftragten).
Intranet und Internet
Ein ansprechend gestalteter Internetauftritt ist heutzutage für Unternehmen zur Selbstverständlichkeit geworden. Neben der Darstellung von Produkten und unternehmensspezifischen Informationen werden oftmals auch Mitarbeiterdaten veröffentlicht. Von schlichten Erreichbarkeitsdaten der Mitarbeiter, über Fotos von Mitarbeitern am Arbeitsplatz und bei Betriebsfeiern bis hin zu Persönlichkeitsprofilen einzelner Mitarbeiter reichen die Spielarten der Mitarbeiterdatenveröffentlichung. Verständlich, die Unternehmen möchten sich gern kundenfreundlich und modern nach außen präsentieren. Doch nicht alles ist rechtlich ohne weiteres möglich.
Rechtsgrundlagen
Es handelt sich bei den veröffentlichten Mitarbeiterdaten um personenbezogene Daten gem. § 3 Abs.
1 BDSG, deren Verarbeitung dem § 4 BDSG unterliegen:
1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Die Zulässigkeit der Verarbeitung von Mitarbeiterdaten regelt im BDSG § 32 zur Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. Daraus ergibt sich, dass Mitarbeiterdaten nur dann im Internet veröffentlicht werden dürfen, wenn es zur Durchführung des Arbeitsverhältnisses notwendig ist und keine berechtigten Interessen des betroffenen Arbeitnehmers der Veröffentlichung entgegenstehen. Lässt sich keine Zulässigkeit aus § 32 BDSG für die veröffentlichung der Mitarbeiterdaten ableiten, so dürfen nur mit Einwilligung des betrofenen Mitarbeiters seine Daten ins Internet bzw. Intranet gestellt werden.
Was ist zur Durchführung des Arbeitsverhältnisses zulässig?
Der Arbeitgeber hat natürlich ein Interesse daran, dass Mitarbeiter, die nach außen hin auftreten, auch von außen erreichbar sind. Das sind typischerweise z.B. Mitarbeiter aus Vertrieb oder Support, deren Aufgabengebiet eine öffentliche Erreichbarkeit durch Kunden oder Interessenten bedingt. Diese Mitarbeiter haben die Veröffentlichung ihrer dienstlichen Kontaktdaten im Internet aufgrund ihrer arbeitsvertraglichen Pflichten hinzunehmen. Von Mitarbeitern, die im Unternehmen eine Funktion mit Außenwirkung innehaben, dürfen die Kontaktdaten im Internet in der Regel ohne Einwilligung veröffentlicht werden. Mitarbeiter mit solchen außenwirkenden Funktionen sind typischerweise:
✓ leitende Mitarbeiter, die von außen direkt angesprochen werden,
✓ z.B. Geschäftsführer, Direktoren oder Institutsleiter
✓ Mitarbeiter, die das Unternehmen nach außen vertreten oder als
✓ offizielle Ansprechpartner fungieren, z.B. Vertriebsmitarbeiter,
✓ Kundendienst, Pressesprecher
Möchte man aus Gründen der Sicherheit oder aus organisatorischen Gründen die direkte Telefondurchwahl des Mitarbeiters nicht im Internet bekannt geben, so kann auch die Telefonnummer des Sekretariats oder einer anderen zentralen Anlaufstelle, die den Kontakt herstellen kann, veröffentlicht werden. Sollen Daten von Personen, deren Arbeitsplatz keine derartige Außenwirkung beinhaltet, dennoch veröffentlicht werden, wird die Einwilligung der betroffenen Mitarbeiter benötigt. Solche Arbeitsplätze sind z.B. im Innendienst, an der Pforte, in der Lagerhaltung, Produktion oder Registratur zu finden.
Einwilligung
Eine rechtswirksame Einwilligung im Arbeitsverhältnis unterliegt Vorgaben. Die Voraussetzungen einer rechtswirksamen Einwilligung nach § 4a BDSG in Kurzform:
✓ freie Entscheidung des Betroffenen
✓ Hinweis auf vorgesehenen Zweck
✓ ggf. Hinweis auf die Folgen der Verweigerung
✓ Funktionen mit Außenwirkung
Im Arbeitsverhältnis ist die freie Entscheidung des Betroffenen fraglich, zumindest ist sie schwierig herzustellen. Für den Beschäftigten darf keinerlei Zwang oder Druck zur Einwilligung bestehen, weder direkt noch indirekt. Der Beschäftigte muss die Einwilligung verweigern können, ohne Sanktionen befürchten zu müssen. Eine erteilte Einwilligung in die Veröffentlichung seiner personenbezogenen Daten kann jederzeit nachträglich vom Beschäftigten widerrufen werden, sofern er nicht aufgrund seiner Position im Unternehmen oder seines Arbeitsvertrags die Veröffentlichung dulden muss. Im Fall einer widerrufenen Einwilligung sind die veröffentlichten Daten umgehend aus dem Internet zu entfernen. Die veröffentlichten Daten sind in der Regel zu löschen, sobald der betreffende Mitarbeiter aus dem Unternehmen ausscheidet. Unter Umständen kann, z.B. bei veröffentlichten Fotos, die eher erläuternder Art sind, kein automatisches Löschen notwendig sein, außer der ehemalige Mitarbeiter widerruft seine Einwilligung. Um Unklarheiten vorzubeugen, ist es empfehlenswert, die Vorgehensweise beim Ausscheiden des Mitarbeiters aus dem Unternehmen in der Einwilligungserklärung festzuhalten.
Welche Daten dürfen veröffentlicht werden?
Daten, die zur Erfüllung der Arbeitsaufgabe dienen, sind in der Regel für eine Veröffentlichung im Internet erlaubt. Folgende Daten dürfen ohne Einwilligung des Mitarbeiters veröffentlicht werden, sofern er eine Funktion mit Außenwirkung innehat:
✓ Name, Vorname
✓ Zuständigkeitsbereich
✓ Amts- oder Dienstbezeichnungen
✓ betriebliche bzw. dienstliche E-Mail-Adresse
✓ betriebliche bzw. dienstliche Telefon- und Faxnummer
✓ betriebliche bzw. dienstliche Anschrift
Nutzung von Mitarbeiterdaten
Sollen Daten, die über die obige Auflistung hinausgehen, im Internet veröffentlicht werden, so ist die Einwilligung des betroffenen Mitarbeiters notwendig. Das ist z.B. der Fall bei folgenden Daten:
✓ Foto des Mitarbeiters
✓ private Anschrift
✓ private Telefonnummer oder private Handynummer
✓ Lebenslauf
✓ Geburtsdatum
✓ Angaben zu Religionszugehörigkeit, Gewerkschaftszugehörigkeit
✓ Persönliche Angaben wie Hobbies
Fotos im Intranet und Internet
Für die Veröffentlichung von Fotos im Internet ist das speziellere Urheberrecht an Werken der bildenden Künste und der Photographie, kurz KUG heranzuziehen. § 22 Satz 1 KUG besagt, „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden“. Wie schon im vorhergehenden Kapitel erläutert bedarf es einer freiwilligen Einwilligung des betroffenen Mitarbeiters für die Veröffentlichung von Fotos im Intranet oder Internet. Die Ausnahmen vom Veröffentlichungsverbot, genannt im § 23 Abs. 1 KUG, sind für Mitarbeiterporträts in der Regel nicht zutreffend.
1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt
werden:
a) Bildnisse aus dem Bereich der Zeitgeschichte
b) Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen
Örtlichkeit erscheinen
c) Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die
dargestellten
d) Personen teilgenommen haben Bildnisse, die nicht auf Bestellung angefertigt sind,
sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient
Auch Firmenfeiern fallen üblicherweise nicht unter eine dieser Ausnahmen. Die Mitarbeiter müssen nicht damit rechnen, dass Fotos der Firmenfeier im Internet veröffentlicht werden. Möchte der Arbeitgeber dennoch Fotos der Feier veröffentlichen, muss er die Einwilligung der betroffenen Mitarbeiter einholen. Bei einer Bildveröffentlichung sind zudem immer auch die Urheberrechte des Fotografen zu beachten (§ 72 Abs. 1 UrhG). Unabhängig von der formalen Zulässigkeit einer Veröffentlichung von Mitarbeiterdaten im Internet sollte mit im Internet veröffentlichten Mitarbeiterdaten sparsam umgegangen werden. Zu bedenken ist, dass im Internet stehende Daten weltweit abrufbar sind, auch in Ländern, deren Datenschutzniveau deutlich niedriger als das der EU ist. Die Zweckbindung der Nutzung der Daten kann im Internet nicht sichergestellt werden. Die im Internet veröffentlichten Mitarbeiterdaten können von Dritten gesammelt und mit aktuellen oder zukünftigen Informationen zu einem Profil zusammengestellt werden. Empfehlenswert ist, die Interessen der Beteiligten und die Erforderlichkeit abzuwägen gegen die Risiken einer Veröffentlichung im Internet.
Nutzung von Mitarbeiterdaten
Beispiele der Übermittlung von Mitarbeiterdaten
Mitarbeiterdaten werden von der Personalabteilung oder anderen an internen Stellen innerhalb des Unternehmens weitergegeben. Der Begriff der Übermittlung von Daten ist im BDSG im § 3 Abs. 4 Satz 2 Nr. 3 definiert.
- (4) [...] Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: [...] 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,[...] Es bleibt noch zu klären, wer alles „Dritter“ ist bei einer Datenübermittlung.
Den Begriff des „Dritten“ regelt § 3 BDSG:
- (8) [...] Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Keine Dritten sind demnach die verantwortliche Stelle, der Betroffene selbst und Dienstleister, die Daten im Auftrag verarbeiten. Unternehmensinterne Datenweitergaben werden nicht als Übermittlung angesehen. Doch sind bei internen Weitergabe personenbezogener Daten die Vorschriften der Datennutzung zu beachten. Zur Erinnerung: Die Nutzung ist verboten, außer sie ist durch eine Rechtsvorschrift erlaubt, oder der Betroffene willigt ein. Im Fall von Beschäftigtendaten ist hier § 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) zu nennen. Die Übermittlung von Mitarbeiterdaten geschieht alltäglich und in vielfältiger Art und Weise. An ausgewählten Situationen aus dem Unternehmensalltag werden die Zulässigkeit erörtert und Empfehlungen für die Praxis gegeben.
Personaldaten per Telefax versenden
Möchte man Mitarbeiterdaten schnell übermitteln und dafür nicht E-Mail verwenden, dann wird oft das Telefax als bewährtes Kommunikationsgerät verwendet. Doch auch die Datenübermittlung per Telefax ist aus Datenschutzsicht nicht risikofrei. Sollen ausnahmsweise sensible Mitarbeiterdaten per Fax übertragen werden, dann ist mit dem Empfänger der Sendezeitpunkt abzustimmen und sicherzustellen, dass beim Empfänger kein Dritter die übertragenen Dokumente zur Kenntnis bekommt. So könnte z.B. beim Empfänger jemand am Faxgerät stehen und die Übertragung direkt entgegennehmen. Das Faxgerät sollte nur nach vorheriger Einweisung bedient werden. Die Empfänger-Kennungen sollten während des Versendens auf versehentliche Wählfehler (falsche Empfängernummer getippt) geprüft und ggf. der Faxversand abgebrochen werden. Zum Schutz vor Tippfehlern sollten häufig verwendete Nummern über den Nummernspeicher angewählt werden. Nach Übertragung bzw. Empfang von personenbezogenen Mitarbeiterdaten ist der Faxspeicher zu kontrollieren und ggf. zu löschen.
Mitarbeiteradressen an Versicherungen
Versicherungsunternehmen treten manchmal an Unternehmen heran mit der Bitte um Übermittlung von Mitarbeiteradressen. Die Versicherungen möchten den Mitarbeitern Versicherungsleistungen anbieten. Hier ist wieder nachzuprüfen, mit welcher Rechtsgrundlage die Übermittlung zulässig wäre. Weder § 28 BDSG noch § 32 BDSG liefert wohl eine angemessene Grundlage für die Übermittlung der Mitarbeiteradressen an die Versicherungen zum Zweck der Werbung. Auch die Gewährung von Firmenrabatten durch die Versicherungen kann hier den Zweck nicht rechtfertigen. Die Weitergabe der Adressen wäre nur mit Einwilligung der Mitarbeiter zulässig. Eine Übermittlung von Mitarbeiterdaten ohne Rechtsgrundlage kann unter Umständen doch erfolgen, sofern der Mitarbeiter seine Einwilligung zur Übermittlung gibt.
Mitarbeiterdaten an Krankenkassen
Ein Unternehmen wollte von einer Krankenkasse die Kosten einer Impfaktion erstattet bekommen und übersandte dazu der Kasse die komplette Liste aller geimpften Mitarbeiter. Darin waren auch Mitarbeiter aufgelistet, die gar nicht bei dieser Krankenkasse versichert waren. Die Empfehlung der Aufsichtsbehörde in diesem Fall war, vor Übersendung von Mitarbeiterlisten zu prüfen, ob der Empfänger berechtigt ist, die Daten zu erhalten, und ggf. nicht relevante Mitarbeiterdaten zu entfernen. Auch aus Sicht der Datensparsamkeit ist es empfehlenswert, nur die unbedingt benötigten Mitarbeiterdaten zu übersenden.
Übermittlung von Mitarbeiterdaten bei Fusionierung von Tochterunternehmen
Zwei demselben Konzern angehörende, jedoch rechtlich selbstständige Unternehmen beabsichtigten zu fusionieren. Die fusionierenden Unternehmen wollten im Vorfeld der Fusionierung Mitarbeiterdaten (in diesem Fall Eintrittsdatum, Geburtsdatum, Tätigkeit, Betriebszugehörigkeit und Ausbildung) an die Konzernmutter übermitteln. Die Aufsichtsbehörde sah eine derartige Übermittlung gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG als nicht zulässig an. (Der Fall war vor der Novellierung 2009, daher kein Bezug auf § 32 BDSG, was im Ergebnis jedoch nichts ändern würde.) Eine anonymisierte Übermittlung der Arbeitnehmerdaten, bei der keine Rückschlüsse auf die Personen gemacht werden können, wäre nach Ansicht der Behörde für den angestrebten Zweck ausreichend. Bevor Arbeitnehmerdaten übermittelt werden, sollte genau geprüft werden, ob eine anonymisierte oder wenigstens pseudonymisierte Übermittlung für den Zweck nicht auch ausreichen würde.
Interne Weitergabe von Dienstreisedaten
Durch nicht rechtzeitig stornierte Flugtickets für dienstreisende Mitarbeiter entstanden einem Unternehmen Kosten. Die betreffenden Mitarbeiter sollten die Gründe für die nicht angetretene Dienstreise angeben. Dazu wurde eine komplette Liste mit allen nicht angetretenen Flügen aller Mitarbeiter an alle auf der Liste aufgeführten Mitarbeiter verteilt. Die Liste enthielt die Namen der Mitarbeiter, die nicht abgesagten Flüge und Vermerke über den Grund, warum der Flug nicht angetreten wurde (z.B. wegen Erkrankung). Die angeschriebenen Mitarbeiter sollten die Liste mit ihren eigenen Begründungen vervollständigen. Dies ist eine Nutzung von Personaldaten. Dafür muss nach § 4 Abs. 1 BDSG eine Rechtsgrundlage vorhanden sein, also entweder eine Rechtsvorschrift, die die Nutzung erlaubt, oder die Einwilligung der betroffenen Mitarbeiter. Beides lag im vorliegenden Fall nicht vor. Im Jahr 2008 lag der § 32 BDSG für Beschäftigungsverhältnisse noch nicht vor. Die Argumentation zog daher § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Datenerhebung und -speicherung für eigene Geschäftszwecke) heran. Im Ergebnis befand die Aufsichtsbehörde, dass keine dienstliche Erforderlichkeit für die Weitergabe der Dienstreisedaten an die Mitarbeiter vorlag. Eine für jeden Mitarbeiter individuelle Aufstellung nur seiner Reisedaten würde keine Weitergabe der Daten bedeuten. Werden Mitarbeiterdaten auch anderen Mitarbeitern zur Kenntnis gemacht, sollte vorher genau geprüft werden, ob dies erforderlich ist und ob der angestrebte Zweck nicht auch ohne die Weitergabe der Mitarbeiterdaten an Kollegen erreicht werden kann.
Weitergabe von Bewerberdaten
Ein Unternehmen übermittelte Daten eines nicht eingestellten Bewerbers an die BAgIS (heute Jobcenter Bremen). Auf Nachfrage des Landesbeauftragten für Datenschutz gab das Unternehmen als Begründung für die Übermittlung an, die BAgIS darüber informieren zu wollen, dass es Zweifel an der Ernsthaftigkeit der Bewerbung hatte. Der Landesbeauftragte sah in der Übermittlung der Bewerberdaten die Vertraulichkeit von Bewerberdaten schwer beeinträchtigt. Die Datenübermittlung war somit unzulässig. Die Speicherung beim Empfänger (der BAgIS) sei daher ebenfalls unzulässig. Das Unternehmen hatte sich darum zu kümmern, dass die unzulässig bei der BAgIS gespeicherten Daten gelöscht wurden. Gerade Personaldaten und Bewerberdaten sind vertraulich zu behandelnde Informationen. Daher ist es empfehlenswert, vor einer beabsichtigten Übermittlung genau die gesetzliche Grundlage und Zulässigkeit zu prüfen.
Offene Mitarbeiterunterlagen in offen zugänglichen Postfächern
Die Postfächer von Mitarbeitern in einer wissenschaftlichen Einrichtung waren offen zugänglich. In diesen Postfächern wurden den Mitarbeitern auch Genehmigungen von Urlaub, Bildungsurlauben und Sonderurlauben unverschlossen abgelegt. So konnten auch andere Personen von diesen Urlauben Kenntnis nehmen. Nach Einbeziehung der Datenschutzbehörde wollte der Arbeitgeber zukünftig diese Genehmigungen in verschlossenen Umschlägen in die Postfächer geben. Auch Papier-Schriftstücke an die Mitarbeiter enthalten vertrauliche Informationen, die Dritten nicht zur Kenntnis gelangen sollten. Schriftstücke, Genehmigungen, Bescheinigungen und ähnliche Dokumente an Mitarbeiter sind am besten in geschlossenen Umschlägen zu übergeben.
Auftragsdatenverarbeitung in der Personalverwaltung
Das Wesen der Auftragsdatenverarbeitung
Über die Regelung der Auftragsdatenverarbeitung ermöglicht der Gesetzgeber, dass Unternehmen externe Dienstleister für die Verarbeitung personenbezogener Daten in Anspruch nehmen, ohne dass die Weitergabe von Daten als Übermittlung an Dritte eingestuft wird. Für die Zulässigkeit der Übermittlung an Dritte muss eine Rechtsvorschrift oder die Einwilligung der Betroffenen vorliegen. Doch Auftragnehmer einer Auftragsdatenverarbeitung sind nicht Dritte im Sinne von § 3 Abs. 8 Satz 2 u. 3 BDSG. Das Auftraggeber- Unternehmen bleibt weiterhin verantwortliche Stelle bezüglich der personenbezogenen Daten. (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. Damit eine Auftragsdatenverarbeitung vereinbart werden muss,
müssen bestimmte Kriterien vorliegen:
✓ Es handelt sich um Hilfstätigkeiten für den Auftraggeber, deren hauptsächlicher Inhalt
die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ist.
✓ Der Auftragnehmer unterliegt den Weisungen des Auftraggebers zur Datenerhebung,
-verarbeitung und -nutzung.
✓ Der Auftragnehmer erhebt selbst keine Daten, sondern verwende lediglich die ihm
übermittelten.
✓ Der Auftragnehmer darf die ihm übermittelten personenbezogenen Daten nicht für
andere Zwecke als die vereinbarten nutzen.
✓ Der Auftragnehmer darf die ihm übermittelten personenbezogenen Daten nicht für
eigene Zwecke nutzen.
✓ Der Auftragnehmer hat keine eigene Entscheidungsbefugnis über die Verarbeitung der
Daten.
✓ Der Auftragnehmer tritt gegenüber den Betroffenen nicht in eigenem Namen auf.
✓ Die Verantwortung für die Einhaltung der Vorschriften des Datenschutzes bleibt beim
Auftraggeber.
Technische Abwicklung der Lohn- und Gehaltsabrechnung durch einen externen Dienstleister Mitarbeiterbefragung durch ein externes Dienstleistungsunternehmen Personalsuche durch Personalberater nach Weisung des Auftraggebers Vernichtung von Personalakten durch externes Unternehmen nach Vorgaben des Auftraggebers Werden die Anwendungen der Personaldatenverarbeitung von externen Dienstleister gewartet, so ist für diese Dienstleister meist auch nicht zu vermeiden, dass sie dabei Einsicht in personenbezogene Daten erhalten. Hier liegt dann ebenfalls eine Datenübermittlung vor, die als Auftragsdatenverarbeitung entsprechend behandelt werden muss.
Wann liegt Funktionsübertragung vor?
Wie die Bezeichnung schon beinhaltet, liegt dann eine Funktionsübertragung vor, wenn eine Funktion oder ein ganzer Aufgabenbereich aus dem Unternehmen ausgegliedert und einem externen Dienstleister zur eigenverantwortlichen Durchführung übertragen wird. Beispiele von Auftragsdatenverarbeitung im Personalwesen Typische Anzeichen für eine Funktionsübertragung sind:
Dem Dienstleister ist es erlaubt, die ihm überlassenen personenbezogenen Daten für eigene Zwecke
zu nutzen.
✓ Der Funktionsüberträger hat keinen Einfluss auf die Verarbeitung der Daten.
✓ Der Dienstleister ist für die Datenverarbeitung und deren Zulässigkeit selbst
verantwortlich.
✓ Beispiele für eine Funktionsübertragung sind die Steuerberatung, die
Wirtschaftsprüfung und die Übertragung von Inkassotätigkeiten.
Die Übergänge zwischen Auftragsdatenverarbeitung und Funktionsübertragung sind fließend; beide sind in der Praxis nicht immer eindeutig einzuordnen. So kann die Vernichtung von Personalakten als Auftragsdatenverarbeitung gestaltet sein, wenn der Auftraggeber detaillierte Vorgaben zur Durchführung und zu den technischen und organisatorischen Maßnahmen macht und diese Vorgaben auch kontrolliert. Dieselbe Tätigkeit kann eine Funktionsübertragung sein, wenn der Auftraggeber keinerlei Einfluss auf die Durchführung hat.
✓ Die Personaldatenverarbeitung wird von einem externen Unternehmen durchgeführt.
✓ Das externe Unternehmen hat Entscheidungsbefugnis über Personalentscheidungen
sowie Personalentwicklung und -planung.
✓ Die Suche nach neuen Mitarbeitern wird von einem externen Unternehmen
durchgeführt. Das Unternehmen trifft eine Vorauswahl unter den Bewerbern und
entscheidet, welche Bewerber in die engere Wahl für die Stelle kommen.
Sollen Dienstleistungen im Sinne einer Funktionsübertragung von externen Unternehmen durchgeführt werden, so liegt eine Datenübermittlung vor. Die Verarbeitung von personenbezogenen Daten wäre dann nur zulässig, wenn es gemäß § 4 Abs. 1 BDSG eine Rechtsvorschrift gibt oder die Betroffenen eingewilligt haben. Im Fall von Mitarbeiterdaten ist gemäß § 32 (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) die grundsätzliche Rechtmäßigkeit der Datenverarbeitung zu prüfen. Dann ist zu prüfen, ob eine Datenübermittlung an das externe Unternehmen zulässig ist. Im Bereich des BDSG könnte z.B. § 28 BDSG (Datenerhebung und -speicherung für eigene Geschäftszwecke) als Grundlage geprüft werden.
Vertragliche Ausgestaltung des Auftragsdatenverarbeitungsverhältnisses
An die Ausgestaltung eines Vertrags zur Auftragsdatenverarbeitung hat der Gesetzgeber im § 11 BDSG genaue Vorgaben gemacht. Neben der schriftlichen Form sind inhaltlich folgende zehn Punkte vertraglich zu vereinbaren:
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
1) der Gegenstand und die Dauer des Auftrags,
2) der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder
Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3) die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4) die Berichtigung, Löschung und Sperrung von Daten,
5) die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von
ihm vorzunehmenden Kontrollen,
6) die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7) die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und
Mitwirkungspflichten des Auftragnehmers,
8) mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen
gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag
getroffenenFestlegungen,
9) der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem
Auftragnehmer vorbehält,
10) die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer
gespeicherter Daten nach Beendigung des Auftrags.
Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Die Pflicht des Auftraggebers, sich „von den technischen und organisatorischen Maßnahmen zu überzeugen“ wird in der Regel durch Vor-Ort-Kontrollen beim Auftragnehmer erfolgen. In der Praxis sind Vor-Ort-Kontrollen nicht immer zweckmäßig. Die Aufsichtsbehörden erwarten auch nicht in jedem Fall eine Vor-Ort-Kontrolle. Verfügt der Auftragsdatenverarbeiter über ein wohldurchdachtes Datensicherheitskonzept oder hat er Nachweise über seine technischen und organisatorischen Maßnahmen durch ein externes Audit, so können diese Nachweise eine Vor-Ort-Kontrolle unter Umständen erübrigen. Die Kontrollen beim Auftragsdienstleister sollten in angemessenen Zeitabständen wiederholt werden. Als angemessen können Wiederholungsfristen von ein bis drei Jahren angesehen werden. Dies sollte von der speziellen Auftragsdatenverarbeitung abhängig gemacht werden. Werden personenbezogene Daten an Auftragsdienstleister in Drittstaaten übermittelt, so unterliegt diese Auftragsdatenverarbeitung – neben den Vorgaben zu den Standardvertragsklauseln – auch § 11 BDSG (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag). Die Vorgaben aus § 11 BDSG sind im Vertrag einzuhalten.
Werden Mitarbeiterdaten an Auftragsdatenverarbeiter weitergegeben, darf die Pflicht des
Unternehmens zur Unterrichtung der betroffenen Mitarbeiter bei Datenübermittlung nicht vergessen
werden.
Ein Praxisbeispiel für eine notwendige Unterrichtung der Mitarbeiter:
Im Personalmanagement werden externe Personalberater als Auftragsdatenverarbeiter für das Unternehmen tätig. An diese Personalberater werden Mitarbeiterdaten übermittelt. Dann sind die betroffenen Mitarbeiter (oder Bewerber) über den Empfänger ihrer Daten zu informieren (§ 4 Abs. 3 Satz 1 BDSG). (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
- die Identität der verantwortlichen Stelle,
- die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
- die Kategorien von Empfängern nur, soweit der Betroffene nach Vorschriften des § 11 auch bei Auftragsdatenverarbeitung in Drittstaaten Unterrichtung der Mitarbeiter über Auftragsdatenverarbeitung den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden Daten innerhalb des Unternehmens (d.h. innerhalb der verantwortlichen Stelle) weitergeleitet, so kann angenommen werden, dass die Mitarbeiter üblicherweise mit einer internen Datenübermittlung rechnen. Eine Übermittlung der Mitarbeiterdaten an Personaldienstleister ist jedoch nicht allgemein üblich, daher sind die betroffenen Mitarbeiter darüber zu informieren. Das Gesetz spricht nur von „Kategorien von Empfängern“. Es ist daher nicht nötig, den Auftragsdienstleister namentlich zu nennen, nur die Empfängerkategorie, hier z.B. „Personalberater“, muss bezeichnet werden.
Nutzung von Mitarbeiterdaten innerhalb des Konzerns
Aus wirtschaftlichen oder organisatorischen Gründen findet im Konzern oftmals eine Zentralisierung von Aufgaben und Bereichen statt. Gerade Funktionsbereiche wie die Personalverwaltung oder die EDV-Abteilung werden gern zentralisiert. So können für alle Unternehmen im Konzern eine übergreifende Personalplanung und einheitliche IT-Standards kostensparend umgesetzt werden. In einem Konzern sind mehrere rechtlich selbstständige Unternehmen zusammengeschlossen. Eines der Unternehmen im Zusammenschluss kann dabei herrschend sein (die „Mutter“), muss es aber nicht. Weder im BDSG noch in den EG-Datenschutzrichtlinien wird ein Konzernprivileg ausgesprochen. Daher ist z.B. für jedes selbstständige Unternehmen innerhalb des Konzerns ein Datenschutzbeauftragter zu bestellen. Die Bestellung eines Datenschutzbeauftragten nur in der Konzernmutter ist nicht ausreichend wegen Fehlens des Konzernprivilegs. Da die im Konzern angesiedelten Unternehmen rechtlich selbstständig sind und es kein Konzernprivileg gibt, ist jedes Unternehmen im Konzern verantwortliche Stelle „seiner“ personenbezogenen Daten im Sinne von § 1 Abs. 2 Nr. 3 BDSG und § 2 Abs. 4 BDSG. 3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. Der Austausch von personenbezogenen Daten zwischen den Konzernunternehmen ist daher aus Sicht des BDSG eine Übermittlung. Die Zulässigkeit einer Übermittlung personenbezogener Daten muss gemäß BDSG gegeben sein, wie bei der Übermittlung zwischen Unternehmen außerhalb eines Konzerns auch. Für das Vorliegen einer Übermittlung von personenbezogenen Daten müssen die Daten nicht
unbedingt transportiert werden. Es genügt bereits, wenn ein Unternehmen nur Zugriff auf die Daten des anderen Unternehmens hat.
Sollen Beschäftigtendaten zwischen Konzernunternehmen übermittelt werden, kommen verschiedene Möglichkeiten für die Zulässigkeit der Übermittlung in Frage:
✓ Übermittlung im Rahmen einer Auftragsdatenverarbeitung
✓ Übermittlung im Rahmen einer Funktionsübertragung
✓ Zulässigkeit nach § 32 Abs. 1 (Beschäftigungsverhältnis)
✓ Zulässigkeit nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (Interessenabwägung)
✓ Zulässigkeit aufgrund von Einwilligung der Beschäftigten
✓ Zulässigkeit aufgrund einer Betriebsvereinbarung
Auftragsdatenverarbeitung oder Funktionsübertragung
Es spricht nichts dagegen, die Personalverwaltung von Beschäftigten im Rahmen einer Auftragsdatenverarbeitung oder einer Funktionsübertragung zentralisiert in einem Konzernunternehmen, meist wird dies die Konzernmutter sein, durchzuführen. Das Wesen einer Auftragsdatenverarbeitung, ihre Voraussetzungen und ihre Abgrenzung zur Funktionsübertragung wurden im vorhergehenden Kapitel bereits erörtert. Wird die Personaldatenverwaltung im Konzern als Auftragsdatenverarbeitung gestaltet, ist dafür Voraussetzung, dass das als Arbeitgeber fungierende Unternehmen (der Auftraggeber) die Personalentscheidungen trifft. Die Vorgaben im Vertrag zur Auftragsdatenverarbeitung sind dahingehend entsprechend auszugestalten. Auch die Lohn- und Gehaltsabrechnung mit Berechnung und Auszahlung der Gehälter kann üblicherweise als Auftragsdatenverarbeitung von einem Konzernunternehmen für andere im Konzern übernommen werden. Übernimmt jedoch z.B. die Konzernmutter die Personalverwaltung für ihre Töchter und hat in der Ausübung dieser Aufgabe auch noch eigene Entscheidungsbefugnis, so handelt es sich um eine Funktionsübertragung. Die Zentralisierung der Personalverwaltung in einem Konzernunternehmen kann demnach je nach tatsächlicher Ausprägung als Auftragsdatenverarbeitung gemäß § 11 BDSG oder als Weitergabe nach Interessenabwägung gemäß § 28 Abs. 1 Satz 1 Nr. 2 umgesetzt werden.
Zulässigkeit aus dem Beschäftigungsverhältnis
Die Zulässigkeit der Übermittlung von Beschäftigtendaten innerhalb eines Konzerns kann sich auch aus § 32 Abs. 1 BDSG (Erforderlichkeit im Rahmen des Beschäftigtenverhältnisses) ergeben. Grundsätzlich rechtfertigt der Arbeitsvertrag mit einem Unternehmen, das einem Konzern angehört, nicht, dass die Mitarbeiterdaten an andere Konzernunternehmen zur Personalverwaltung oder zu anderen Zwecken übermittelt werden. Beinhaltet der Arbeitsvertrag einen klaren Bezug zum Konzern, z.B. derart, dass der Mitarbeiter auch in anderen Konzernunternehmen eingesetzt werden könnte, so ist die Datenübermittlung aus der Zweckbestimmung des Arbeitsvertrags gerechtfertigt. Die Daten des Beschäftigten können dann z.B. in ein zentrales Personalplanungssystem im Konzern übermittelt werden. Des Weiteren zählen Beschäftigte mit einer Funktion im Unternehmen, die ganz offensichtlich konzernbezogene Tätigkeiten umfasst, und auch Führungskräfte zu den Mitarbeitern, bei denen aufgrund von § 32 Abs. 1 BDSG eine konzerninterne Datenübermittlung zu rechtfertigen wäre. Diesen Beschäftigten muss der Konzernbezug ihrer Tätigkeit allerdings bereits zu Beginn ihres Arbeitsverhältnisses bekannt gewesen sein. Um späteren Unklarheiten vorzubeugen, ist es daher empfehlenswert, falls die konzerninterne Datenübermittlung bereits bei Einstellung des Mitarbeiters dem Unternehmen abzusehen ist, dies auch im Arbeitsvertrag zu regeln. In jedem Fall ist vor der Übermittlung von personenbezogenen Arbeitnehmerdaten im Konzern die Erforderlichkeit zu prüfen und sicherzustellen, dass die Übermittlung zulässig ist. Erkennungsmerkmale einer Funktionsübertragung Doch es gibt Ausnahmen!
Zulässigkeit aus Interessenabwägung
Das BDSG bietet die Möglichkeit, die Zulässigkeit einer Übermittlung von personenbezogenen Daten von einer Interessenabwägung abhängig zu machen. Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung
als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig
- soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht,
- dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, [...]
Lässt sich aus § 32 BDSG kein Erlaubnistatbestand für die Übermittlung der Beschäftigtendaten ableiten, so könnte überlegt werden, die Datenübermittlung mit berechtigtem Interesse des Arbeitgebers zu rechtfertigen. Da der Gesetzgeber gerade kein Konzernprivileg wollte, ist bei der Abwägung der Interessen sorgfältig vorzugehen. Allein das Interesse eines Konzerns, Funktionen zu zentralisieren, um Kosten einzusparen, kann nach Meinung der Aufsichtsbehörden nicht höher bewertet werden als das Interesse des Beschäftigten, seine Daten nicht an andere als seinen Arbeitgeber zu geben. Die Abwägung der Interessen des Arbeitgebers und der schutzwürdigen Interessen des Betroffenen ist nicht immer einfach und erfordert in jedem Einzelfall große Sorgfalt. Zulässigkeit aufgrund von Einwilligung für eine rechtswirksame Einwilligung ist eine Voraussetzung, dass der Beschäftigte ohne Nachteile die Möglichkeit hat, seine Einwilligung zu verweigern. Im Fall der Übermittlung von Mitarbeiterdaten an eine konzerninterne Personalverwaltung ist diese Voraussetzung wohl kaum umzusetzen, da der Arbeitgeber ja seinerseits die Personaldaten des Mitarbeiters verarbeiten muss. Daher wird allgemein von den Aufsichtsbehörden die Auffassung vertreten, dass in diesem Fall nicht mit einer Einwilligung als Rechtsgrundlage für die Übermittlung der Mitarbeiterdaten gearbeitet werden kann.
Zulässigkeit aufgrund einer Betriebsvereinbarung
Betriebsvereinbarungen sind Rechtsvorschriften im Sinne von § 4 Abs. 1 BDSG und sind damit für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erlaubnisnormen. Bei der Gestaltung der Betriebsvereinbarung ist darauf zu achten, dass die Regelungen der Betriebsvereinbarung zwar vom BDSG abweichen dürfen, doch nur, sofern die BDSG-Vorschriften durch Vorkehrungen ersetzt werden, deren Schutzwirkung mindestens der des BDSG entspricht. Es ist weit verbreitet, in Konzernen übergreifende Mitarbeiterverzeichnisse mit Namen, betrieblicher Telefonnummer und E-Mail- Adresse der Beschäftigten zu führen. Sind diese Verzeichnisse für die Erbringung der Arbeitsleistung erforderlich, so ist dies gemäß § 28 Abs. 1 Nr. 1 BDSG begründet. Die
Aufgabe der im Kommunikationsverzeichnis aufgeführten Mitarbeiter sollte allerdings auch so geprägt sein, dass es für die Mitarbeiter zur Erfüllung ihrer Aufgabe notwendig ist, miteinander zu kommunizieren. Bei Reinigungspersonal oder Gabelstaplerfahrern sind konzernweite Kommunikationsaufgaben in der Regel kaum im Aufgabengebiet zu erwarten. Diese Mitarbeitergruppen sollten daher nicht in konzerninterne Verzeichnisse aufgenommen werden. Ist die Zulässigkeit der Übermittlung sichergestellt, wird in einem zweiten Schritt das angemessene Datenschutzniveau des Empfängers geprüft, insbesondere wenn der Sitz des Empfängerunternehmens in einem Drittstaat liegt.