Kategorie: Beschäftigtendatenschutz
8. Oktober 2020
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.
Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, „Welcome Back Talks“ durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.
Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.
H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.“ Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.
Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.
Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.
30. Juni 2020
Gegen einen Anspruch auf Datenkopie des Art. 15 Abs. 3 DSGVO eines Arbeitnehmers kann sich der Arbeitgeber wehren, wenn der dafür erforderliche Aufwand in groben Missverhältnis zum Leistungsinteresse steht. Das hat jedenfalls das AG Düsseldorf entschieden (noch nicht rechtskräftig).
Das Gericht gestand dem Arbeitnehmer einen Auskunftsanspruch im Grundsatz zu. Dazu führt es aus, dass die Auskunft vollständig und so konkret und detailliert sein muss, dass sich der Betroffene ein Bild davon machen kann welche Datenverarbeitungen zu welchen Zwecken erfolgen.
Der Arbeitgeber hat in der erteilten Auskunft pauschal erklärt, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. b, c und f DSGVO erfolge. Diese Auskunft stelle keine konkrete und detaillierte Zwecksetzungen dar, so das Gericht. Verstärkt werde dies dadurch, dass der Arbeitgeber auf einen Anhang verwiesen hatte. Die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO.
Besonders interessant sind die Ausführungen zum weiteren Klagebegehren des Arbeitnehmers – der Herausgabe einer Datenkopie. Das AG Düsseldorf folgert aus dem Grundsatz von Treu und Glauben nach Art. 8 Abs. 2 S. 1 GRCh und Art. 5 Abs. 1 lit. a DSGVO, der für die gesamte Datenverarbeitung gelte, dass dem Verantwortlichen per se kein unverhältnismäßiger Aufwand abverlangt werden könne. Der Aufwand, nach personenbezogenen Daten des Klägers in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten der Beklagten nebst aller Vorgesetzten und Kollegen des Klägers zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse des Arbeitnehmers.
Immer öfter beschäftigen sich Gerichte mit der Frage, wie weit der Auskunftsanspruch des Art. 15 DSGVO geht. Wir berichteten bereits über ein Urteil des LG Heidelberg. Hier wies das Gericht ein Auskunftsbegehren mit der Begründung ab, dass die Wiederherstellung und Aufbereitung der Daten aus einem Backup in dem konkreten Fall einen unverhältnismäßigen Aufwand darstellten. Es bleibt abzuwarten, ob zukünftige Rechtsprechung auf dieser Linie bleibt.
5. Juni 2020
Die Berliner Beauftrage für Datenschutz und Informationsfreiheit, Maja Smoltczyk, prüft ob der Online-Modehändler gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Dies bestätigte die Aufsichtsbehörde gegenüber Golem.de und verifizierte damit einen Bericht von Business Insider.
Anlass ist der Einsatz der Softwaresysteme „Zalos“ und „Zafeto“ von Zalando, welche über sogenannte MDs (Mobile Datenspeicher) die Arbeitsabläufe der Mitarbeiter in den Logistikzentren steuern. Die Geräte teilen den Mitarbeiter die Aufträge zu, einen bestimmten Artikel aus dem Lager zu entnehmen. Dabei werden über das System die Standzeiten ebenso erfasst wie die Menge und Schnelligkeit der erledigten Aufträge (Picks). Die Ergebnisse werden den Mitarbeitern dann in wiederkehrenden Feedbackgesprächen präsentiert. Das Unternehmen nutzt die Systeme nach eigenen Angaben um ihre Arbeitsabläufe zu optimieren.
„sehr überwachungsintensiv“
Die Software erscheine auf den ersten Blick „sehr überwachungsintensiv“, sagte eine Sprecherin der Behörde gegenüber Business Insider. „Es wirkt so, als sei die Kontrolle sehr engmaschig, die Zalando über die beiden Systeme Zalos und Zafeto über seine Mitarbeiter hat. Jetzt wird geprüft, ob das mit der Datenschutzgrundverordnung vereinbar ist.“
Die Berliner Datenschutzbeauftragte prüft außerdem das von Zalando eingesetzte Feedback-Tool „Zonar“, über das die „Süddeutsche Zeitung“ berichtet hat.
13. Mai 2020
Im Urteil vom 5. Dezember 2019 (Az.: 2 AZR 223/19) hat sich das Bundesarbeitsgericht mit dem besonderen Kündigungsschutz für Datenschutzbeauftragte befasst.
Grundsätzlich gilt für interne Datenschutzbeauftragte ein besonderer Kündigungsschutz gemäß § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 1 BDSG. Besonderen Kündigungsschutz genießen zum Beispiel auch Arbeitnehmer in Elternzeit oder Betriebsratsmitglieder. Diese Personengruppen können entweder nicht oder nur aus besonders wichtigem Grund gemäß § 626 BGB gekündigt werden.
Ein wichtiger Grund kann zum Beispiel in der Unzumutbarkeit des Fortführens des Arbeitsverhältnisses liegen. Durch die besondere Stellung des Datenschutzbeauftragten soll ein effektiver und ungestörter Datenschutz gewährleistet werden.
Im zugrundliegenden Urteil ist die Gesamtanzahl
der Beschäftigten des Unternehmens unter den zum damaligen Zeitpunkt
maßgeblichen Schwellenwert von zehn Mitarbeiter gesunken. Das Unternehmen
wollte daraufhin seinen internen Datenschutzbeauftragten kündigen.
Das Bundesarbeitsgericht hat diese Kündigung als wirksam eingestuft. Als Begründung führte das Gericht an, dass maßgeblich für die Pflicht zur Benennung eines Datenschutzbeauftragten die Anzahl der Beschäftigten ist. Diese Pflicht entfällt nach aktueller Rechtslage, wenn die Gesamtanzahl der Beschäftigten unter 20 sinkt.
Dem Urteil kommt momentan besondere Relevanz zu teil, da am 26. November 2019 das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft getreten ist. Dadurch stieg der Schwellenwert für die zwingende Benennung eines Datenschutzbeauftragen gemäß § 38 Abs. 1 Satz 1 BDSG von zehn auf 20 Mitarbeiter.
Damit gelten Datenschutzbeauftragte in Unternehmen ab zehn Mitarbeitern, aber unter 20 Mitarbeitern, als freiwillige Datenschutzbeauftragte, da für deren Bestellung keine gesetzliche Pflicht mehr vorliegt. Für diese Datenschutzbeauftragten entfällt der besondere Kündigungsschutz, der normalerweise erst nach Abberufung beginnt, ab dem 27. November 2020 automatisch. Ab diesem Datum an gelten Datenschutzbeauftragte in so einem Unternehmen als „normale“ Mitarbeiter, die den entsprechenden gesetzlichen Bestimmungen unterliegen.
Wenn Sie keine Mitarbeiter haben, die Sie zum internen Datenschutzbeauftragten ernennen können oder wollen, können Sie sich hier über externe Datenschutzbeauftragte informieren.
24. April 2020
Der aktuelle, durch die Infektionen einer Vielzahl von Menschen mit dem neuartigen Virus SARS Covid-19 verursachte, Ausnahmezustand hat die Digitalisierung der Arbeitswelt bei erster, unbefangener Betrachtung erheblich beschleunigt. Eine Vielzahl von Arbeitnehmern arbeitet im Home-Office, Meetings finden virtuell statt und die Kundenkontakte werden gänzlich online abgewickelt. Nachdem die hektischste Phase scheinbar abgeklungen ist, implementieren einige Unternehmen Regelungen und Handlungsanweisungen für die digitale Arbeit, die auch über die Zeit der Ausgangs- oder Kontaktbeschränkungen hinaus gelten sollen.
Die Möglichkeit einer Implementierung derartiger Regelungen mittels arbeitgeberseitigem Weisungsrecht außer Acht gelassen, soll das Instrument der datenschutzrechtlichen Betriebsvereinbarung über die Zeit der aktuellen Corona-Pandemie hinaus, als proaktives Instrument zur Gestaltung des Digitalisierungsprozesses genutzt werden.
Gegenwärtige Friktionen werden aufgelöst
Zunächst sind Betriebsvereinbarungen eine praxistaugliche Rechtsgrundlage. Deutschland hat von der in Art. 88 DSGVO normierten – fakultativen – Öffnungsklausel in Form von § 26 Abs. 1 S. 1 BDSG Gebrauch gemacht. Betriebsvereinbarungen können überdies Grundlage von Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses sein (§ 26 Abs. 4 BDSG).
Darüber hinaus bedarf es im Falle des Abschlusses einer Betriebsvereinbarung keiner Einwilligung des Arbeitnehmers. Diese ist – trotz § 26 Abs. 2 BDSG – im Einzelfall problematisch, da aufgrund des bestehenden Über- und Unterordnungsverhältnisses per se die Gefahr einer „unfreiwilligen“ Einwilligung besteht.
Die Beteiligungsrechte in datenschutzrechtlichen Konstellationen können zeitgleich erfüllt werden
Überdies kann der Arbeitgeber zugleich ohnehin obligatorische Beteiligungsrechte der Arbeitnehmer erfüllen. So steht es dem Arbeitgeber auch im Rahmen der Corona – Pandemie nicht frei, die Home-Office Verfügbarkeit der Arbeitnehmer mit eilig eingeführten Tools zu realisieren.
Insbesondere normiert § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Vorrichtungen, die dazu objektiv und unmittelbar geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies gilt ohne Rücksicht darauf, ob der Arbeitgeber dieses Ziel verfolgt und die durch die Überwachung gewonnenen Daten auch auswertet. Hierzu gehören insbesondere die auch gängigen elektronischen Datenverarbeitungssysteme (EDV) und IT-Anwendungen.
Inhalt von Betriebsvereinbarungen in der Praxis
Inhaltlich müssen die Betriebsvertragsparteien insbesondere auch die Grundsätze des Art. 5 Abs. 1 lit. a) – f) DSGVO beachten (§ 26 Abs. 5 BDSG). Mithin sollten die Parteien das Niveau der Grundsätze der Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sowie Integrität und Vertraulichkeit einhalten.
Ferner empfiehlt es sich, die Rechte der betroffenen Personen gemäß Art. 12 ff. DSGVO in die Betriebsvereinbarung einzubeziehen. Schließlich sollte in Betriebsvereinbarungen ausdrücklich festgelegt werden, ob sie als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verwendet wird.
Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.
Präzisierung des Anspruchs
auf Auskunft bei umfangreicher Verarbeitung
In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.
Den umfassenden Hauptantrag der betroffenen Person wies das
Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu
dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent
in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:
Zweifel an
Erstreckung des Anspruchs auf Backup-Daten
Es könne bereits bezweifelt werden, dass der Verantwortliche
die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet.
Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an
einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der
Verantwortliche ein Zugriffsrecht hat.
Unverhältnismäßiger
Aufwand gemessen am Informationsinteresse
Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung
der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand
darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung
der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen
werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails
umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied
den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter
Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene
Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen
unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen
Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten
Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend
gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das
verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.
Bewertung
Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.
Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.
Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.
27. Januar 2020
Der Modehändler H&M steht wegen massiven Datenschutzverstößen in der Kritik. Die FAZ berichtete am Samstag, dass H&M im großen Stil private Daten seiner Mitarbeiter gesammelt und gespeichert hat. Die FAZ zitiert den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mit den Worten, dass die Daten „detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer“ enthalten. Dabei geht es auch um Krankheiten und Familienstreitigkeiten.
Die Datenschutzbehörde in Hamburg (dort hat die Deutschlandzentrale von H&M ihren Sitz) ein Bußgeldverfahren eingeleitet, so die FAZ, nachdem sich der Verdacht der Spionage erhärtete. Der Datenschutzbeauftragte Johannes Caspar teilte mit, dass „das qualitative und quantitative Ausmaß der für die gesamte Leitungsebene des Unternehmens zugänglichen Mitarbeiterdaten eine umfassende Ausforschung der Mitarbeiterinnen und Mitarbeiter zeigt, die in den letzten Jahren ohne vergleichbares Beispiel ist“.
Der Umfang der Datenspeicherung war zufällig aufgeflogen, als Mitarbeiter des Kundencenters beim Durchstöbern interner Dateien im IT-System auf offen zugängliche Ordner mit brisantem Material stießen.
H&M äußerte sich zum Vorfall und teilte mit, dass der Vorfall ernst genommen werde und er aufrichtig bedauert wird. Der Vorfall befände sich in juristischer Prüfung.
Was für ein Bußgeld die Hamburger Datenschützer ins Auge fassen, bleibt abzuwarten.
20. März 2019
Daimler musste in einem Prozess erfahren, dass dem Arbeitnehmer ein gestärktes Auskunftsrecht gegenüber dem Arbeitgeber zusteht und muss deshalb einem Manager umfassend Auskunft zu über ihn gesammelten Daten geben. Das Auskunftsrecht aus Art. 15 DSGVO könnte angesichts des noch nicht veröffentlichten Urteils des Landesarbeitsgerichts Baden-Württemberg zu einer Welle von Prozessen führen. In dem Urteil wird dem Autokonzern auferlegt, die über einen klagenden Manager vorliegenden Informationen umfassend offenzulegen; dazu gehören auch Erkenntnisse über interne Ermittlungen. Bundesweit erstmals wurde das Auskunftsrecht damit auch in der zweiten Instanz sehr weitreichend ausgelegt.
Durch die DSGVO wurde das bisher schon bestehende Auskunftsrecht durch die Möglichkeit hoher Sanktionen gestärkt. Außerdem ist das Recht des Betroffenen auf eine Kopie aller seiner gespeicherten personenbezogenen Daten ganz neu hinzugekommen. Auf diese Regelung der DSGVO hatte sich der klagende Daimler-Manager in der zweiten Instanz berufen. Das Landesarbeitsgericht gab ihm nicht nur im Streit um Abmahnungen und Kündigungen fast vollständig recht. Es verurteilte den Autokonzern auch dazu, ihm Auskunft über nicht in seiner Personalakte gespeicherte Leistungs- und Verhaltensdaten samt einer Kopie zu geben. Daimler hatte dies mit der Begründung verweigert, die Anonymität von Hinweisgebern schützen zu müssen. Derzeit streitet Daimler mit dem Manager um die Vollstreckung des Urteils, also den Umfang der herauszugebenden Daten. Bei Konflikten zwischen Arbeitnehmern und Arbeitgebern könnte das Auskunftsrecht in Zukunft zu einem beliebten Druckmittel werden.
6. Februar 2019
Sofern im Rahmen einer unternehmensinternen Veranstaltung Fotografien von Mitarbeitern und/oder Gästen angefertigt werden, liegt darin grundsätzlich ein Eingriff in das Recht am eigenen Bild der betroffenen Personen gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Da es allein dem Betroffenen obliegt, darüber zu entscheiden, wer unter welchen Umständen Fotos von ihm anfertigen und veröffentlichen darf, ist eine Rechtfertigung erforderlich.
Bei den Fotografien handelt es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Deren Verarbeitung ist auf Grund von Art. 6 Abs. 1 S. 1 lit. f DSGVO dann rechtmäßig, wenn die Veröffentlichung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es ist eine umfassende Interessenabwägung durchzuführen. Wirtschaftliche Interessen des Unternehmens können zum Beispiel die Dokumentation einer betrieblichen Veranstaltung zu Werbezwecken, die interne Stärkung des Betriebsklimas oder der Betriebstreue und ggf. auch die Kundenbindung im Rahmen weiterer Marketingmaßnahmen sein.
Daneben kommt außerdem die Einwilligung gemäß Art. 4 Nr. 11, Art. 7 DSGVO als rechtssichere Rechtfertigungsgrundlage in Betracht. Sofern es sich bei den fotografierten Personen u.a. um Mitarbeiter handelt, wovon bei einem betrieblichen Ereignis auszugehen ist, sind hierbei die strengen Anforderungen des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu beachten.
Während die Einwilligung im Sinne der DSGVO formfrei erteilt werden kann, sieht § 26 Abs. 2 S. 3 BDSG grundsätzlich die Schriftform für Einwilligungen im Rahmen eines Beschäftigtenverhältnisses vor.
Darüber hinaus muss die Einwilligung bestimmt, informiert und freiwillig abgegeben werden. Für die Beurteilung der Freiwilligkeit der Einwilligung von Mitarbeitern sieht § 26 Abs. 2 S. 1 BDSG ergänzend zu den Bestimmungen der DSGVO vor, dass bei der Beurteilung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Von der Freiwilligkeit kann jedoch gemäß § 26 Abs. 2 S. 2 BDSG ausgegangen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Um der Informationspflicht ausreichend nachzukommen, sollte sich der Verantwortliche an den Art. 12 ff. DSGVO orientieren. Wegen der sog. Rechenschaftspflicht des Verantwortlichen sollte die Information schriftlich erfolgen. Es empfiehlt sich ein Aushang am Eingang des jeweiligen Veranstaltungsortes sowie innerhalb des Veranstaltungsgeländes. Die Aushänge müssen hierbei deutlich platziert werden, gut lesbar und inhaltlich verständlich sein. Sofern von den Mitarbeitern vorab eine schriftliche Einwilligung, etwa im Rahmen eines Onboarding-Prozesses, eingeholt wird, sollten die erforderlichen Informationen bereits im Rahmen der Einwilligung erteilt werden.
Schließlich ist die freie Widerrufbarkeit der Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO zu beachten, wobei der Widerruf seine Wirkung nur für die Zukunft entfaltet.
Fazit:
Sofern nicht ausgeschlossen werden kann, dass auch Fotos von einzelnen Mitarbeitern bzw. Gästen angefertigt und veröffentlicht werden, wobei eine Veröffentlichung im Intranet schon ausreicht, stellt die Eiwilligungserklärung den rechtssichersten Weg dar. Es sollte für diesen Fall vor Beginn einer betrieblichen Veranstaltung eine Einwilligung aller Teilnehmer schriftlich eingeholt werden.
Sofern von einem Mitarbeiter oder Gast keine Einwilligung vorliegt, dürfen von ihm/ihr keine Fotografien angefertigt und veröffentlicht werden, auf welchen der Betroffene im Fokus der Aufnahme steht und nicht lediglich als Beiwerk abgebildet wird.
20. November 2018
Durch das Inkrafttreten der Datenschutz-Grundverordnung und des BDSG-neu sind die Anforderungen an Unternehmen im Allgemeinen schärfer geworden. Auch im Bereich des Bewerberdatenschutzes hat sich der Umgang mit den Daten stark verändert. Bei den wenigsten Unternehmen gehen noch Bewerbungen in Papierform ein. Zumeist erhalten die Unternehmen Online-Bewerbungen via E-Mail oder Website. Doch wie müssen Unternehmen mit den unterschiedlichen Bewerbungseingängen umgehen?
Bewerbungen die in Papierform bei einem Unternehmen eingehen sind datenschutzrechtlich weniger problematisch als Online-Bewerbungen zu bewerten. Erst wenn die Bewerbung digitalisiert wird oder die Bewerberdaten in ein System eingetragen werden spricht man von einer Verarbeitung im Sinne der DSGVO. Sobald die Daten in einen Verarbeitungsprozess eingebunden werden, sollte der Bewerber gemäß Art. 13 sowie Art. 14 DSGVO über die Verarbeitung sowie die Betroffenenrechte informiert werden.
Bei Bewerbungen die via E-Mail bei einem Unternehmen eingehen sollte vor allem eine verschlüsselte Übermittlung gewährleistet werden. Außerdem ist es zu empfehlen, dass die interne Weiterleitung zwischen den jeweiligen Mitarbeitern oder Abteilungen durch eine Arbeitsanweisung geregelt wird.
Ähnlich der Bewerbungen via E-Mail, muss im Fall einer Bewerbung durch die Website eine Verschlüsselung der Daten sichergestellt werden. Bei Bewerbungen die mittels eines externen Dienstleisters generiert werden, besteht die Möglichkeit, dass Dritte Zugang zu den Daten erlangen. Um sich dahingehend abzusichern sollte ein Vertrag zur Auftragsverarbeitung zwischen dem Unternehmen und dem externen Dienstleister abgeschlossen werden.
Generell gilt, das Daten von Bewerbern strikt von anderen Datensätzen zu trennen sind.
