Unternehmen haben ein Interesse daran, über die Arbeitsleistungen ihrer Beschäftigten im Bild zu sein. Dabei müssen sie sich allerdings an die gesetzlichen Bestimmungen zum Beschäftigtendatenschutz halten.
Ortung per GPS
Die Datenschutz Aufsichtsbehörde sah sich in den vergangenen Jahren immer wieder mit der GPS-Überwachung von Beschäftigten konfrontiert. Sie musste sich nun erneut mit einem Fall aus dem Jahr 2017 beschäftigen: Bei einem Kontrollverfahren sah die Behörde es nicht als erforderlich an, dass ein GPS-Ortungssystem in Firmenfahrzeugen einer Gebäudeservice-Firma (Reinigungsgewerbe) eingesetzt wurde. Es kam dadurch zu unzulässigen Verarbeitungen von personenbezogenen Daten der Beschäftigten. Die Rechtswidrigkeit wurde in einem Bescheid festgestellt und der weitere Einsatz des GPS-Ortungssystems weitgehend untersagt. Er wurde allein für den Fall eines Diebstahls als zulässig bewertet, um das Fahrzeug wiederzufinden. Gegen diesen Bescheid hatte das Unternehmen Klage erhoben.
Das Verwaltungsgericht (VG) Lüneburg bestätigte die Behördenentscheidung mit Urteil vom 15. März 2019, Aktenzeichen 4 A 12/19, und wies die Klage der Firma ab. Das Gericht hat sich ausführlich mit den möglichen Einsatzformen von GPS-Ortungssystemen im Beschäftigungsverhältnis auseinandergesetzt. Das Urteil enthält unter anderem Ausführungen zur Erforderlichkeit der Verarbeitung von Positionsdaten durch Arbeitgeber mithilfe von Ortungssystemen (zum Beispiel zur Tourenplanung, zum Diebstahlschutz und zur Nachweispflicht für die Abrechnung mit Kunden). Im Ergebnis wurde in diesem Fall die Erforderlichkeit zur Beschäftigtenkontrolle abgelehnt. Als Prüfungsmaßstab wurden vom Gericht Datenschutz-Grundverordnung (DSGVO) sowie die Regelung des § 26 Bundesdatenschutzgesetz (BDSG) berücksichtigt. Gegen dieses Urteil wurde jedoch beim Oberverwaltungsgericht Lüneburg unter dem Aktenzeichen 11 LA 154/19 Berufung eingelegt. Eine abschließende Entscheidung steht noch aus.
Zurechenbarkeit von Handlungen
Im Rahmen eines noch laufenden Klageverfahrens, bei dem es um die Standortüberwachung eines früheren Beschäftigten geht, stellte sich die Frage nach dem Verantwortlichen. Die Besonderheit des Falles ist, dass die Standortüberwachung vor Inkrafttreten der DSGVO beendet wurde und somit materiellrechtlich am Maßstab des Bundesdatenschutzgesetzes alter Fassung (BDSG a. F.) zu messen war. Offen ist – im Hinblick auf die datenschutzrechtliche Verantwortlichkeit –, ob die veranlasste Verarbeitung der Beschäftigtendaten im Rahmen einer „Funktionsübertragung“ vom Tochterunternehmen an die Konzernmutter oder als Auftragsdatenverarbeitung nach § 11 BDSG a. F. durch die Konzernmutter durchgeführt wurde. Denn bei einer Funktionsübertragung wäre die Konzernmutter für die Verarbeitung verantwortlich.
Zur Abgrenzung einer weisungsgebundenen Datenverarbeitung im Auftrag nach § 11 BDSG a. F. von der im Gesetz nicht ausdrücklich geregelten sogenannten Funktionsübertragung ist maßgeblich, ob der Dienstleister lediglich zur Erbringung untergeordneter Hilfsdienste ohne eigenen Wertungs- und Entscheidungsspielraum eingebunden wird oder ob er insbesondere eigene materielle vertragliche Leistungen über die technische Datenverarbeitung hinaus erbringt.
Speziell für die Fälle zentralisierter (Konzern-)Personalabteilungen wird die Funktionsübertragung grundsätzlich als zulässig angesehen. Eine endgültige Bewertung ist jedoch nur anhand einer Einzelfallbetrachtung möglich. Hierbei sind die konkret zwischen den Parteien vereinbarten Bedingungen der Zusammenarbeit entscheidend.
Die entsprechende Auswertung der vertraglichen Regelungen durch die Behörde hat ergeben, dass eine Datenverarbeitung im Auftrag vorgelegen hat. Es bestand in den entscheidungsrelevanten Bereichen eine Weisungsabhängigkeit der Konzernmutter von der Tochter. In Folge dessen blieb es bei der Verantwortlichkeit des Tochterunternehmens. Das Ergebnis des zum Ende des Berichtszeitraums noch laufenden Verfahrens beim Verwaltungsgericht Hannover bleibt abzuwarten.
Videokameras und Handscanner
Die Datenschutz Aufsichtsbehörde hat im Jahr 2019 eine Datenschutzüberprüfung bei einem Logistikunternehmen mit Sitz in Niedersachsen eingeleitet. Durch die Kontrolle soll geklärt werden, ob die Vorgaben der DSGVO eingehalten werden und ob die dort unter dem Stichwort „Feedback-Verfahren“ vorgenommenen Datenverarbeitungen zu einer ständigen Verhaltens- und Leistungskontrolle der Beschäftigten führen.
Das Unternehmen wurde unter anderem um Stellungnahme gebeten, zu welchem Zweck und aufgrund welcher Rechtsgrundlage dort technische Hilfsmittel wie Videokameras und sogenannte Handscanner eingesetzt werden, ob diese geeignet sind, die Beschäftigten zu überwachen und deren Arbeitsverhalten zu bewerten und ob eine Datenschutz-Folgenabschätzung für die Verarbeitungsvorgänge vorliegt. Zudem werden Datenübermittlungen in andere EU-Länder sowie in Drittländer überprüft. Das Kontrollverfahren war zum Ende des Berichtszeitraums noch nicht abgeschlossen.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks