Zweckbindung auch bei der Arbeitszeitkontrolle
Zweckbindung auch bei der Arbeitszeitkontrolle
Mitunter werden Beschäftigte eines Unternehmens zur Verrichtung spezieller Aufgaben vorübergehend in einem anderen Unternehmen als sogenannte Fremdfirmenmitarbeiter eingesetzt. Hierbei müssen die Fremdfirmenmitarbeiter bei der Verrichtung der ihnen übertragenen Arbeiten auch den Weisungen des auftraggebenden Unternehmens Folge leisten. Die Personalverantwortung sowie die Lohn- und Gehaltszahlung verbleiben bei ihrem Arbeitgeber. In einem der Behörde zur Kenntnis gebrachten Sachverhalt wurden alle Fremdfirmenmitarbeiter durch das auftraggebende Unternehmen verpflichtet, beim Betreten des Geländes einen Transponder an der Pforte zu betätigen, um die aktuell auf dem Gelände befindlichen Personen zu erfassen, damit im Falle eines Notfalls eruiert werden könne, wer sich noch auf dem Gelände befindet. Die Verpflichtung zur Erfassung sowie der genaue Zweck dieser Erfassung wurden in den Verträgen zwischen den Fremdfirmen und dem auftraggebenden Unternehmen niedergeschrieben.
Ferner wurde vertraglich vereinbart, ein sogenanntes Bautagebuch zu führen, in dem die Arbeitszeiten der Fremdfirmen und ihrer Beschäftigten dokumentiert und zu Abrechnungszwecken sowie zur Zeiterfassung der Beschäftigten genutzt werden sollten. Die beim Betreten und Verlassen des Betriebsgeländes erfassten Daten wurden mehr als sechs Monate im Unternehmen aufbewahrt. Zur Klärung von aufgetretenen Unregelmäßigkeiten forderte der Arbeitgeber eines Fremdfirmenmitarbeiters vom auftraggebenden Unternehmen die an der Pforte beim Betreten und Verlassen des Geländes erfassten Daten des betroffenen Mitarbeiters an, um diese mit den ihm vorliegenden Zeiterfassungsdaten abgleichen zu können. Der betroffene Mitarbeiter bemängelte bei unserer Behörde die erfolgte Zurverfügungstellung dieser Daten durch das auftraggebende Unternehmen.
In Art. 5 Abs. 1 lit. b DSGVO wird der sogenannte Grundsatz der Zweckbindung normiert. Dieser besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Übertragen auf den vorliegenden Sachverhalt durften daher die Daten, die an der Pforte zur Anwesenheitsfeststellung in einem Notfall erhoben worden sind, auch nur zu diesem Zweck genutzt und verarbeitet werden. Eine Übermittlung dieser Daten an den Arbeitgeber des Fremdfirmenmitarbeiters für Zwecke der Kontrolle der Anwesenheitszeiten stellt eine unzulässige Datenverarbeitung dar, ohne legitimierende Rechtsgrundlage erfolgt ist. Auch die Speicherung dieser Daten über einen Zeitraum von mehr als sechs Monaten hinweg stellte eine Datenschutzverletzung dar. Personenbezogene Daten müssen, soweit keine speziellen Aufbewahrungspflichten entgegenstehen, gelöscht werden, sobald sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind (Art. 5 Abs. 1 lit. e DSGVO).
Zur Zweckerfüllung der Feststellung der Anwesenheit in einem Notfall wären die Daten spätestens 24 Stunden nach Verlassen des Geländes zu löschen gewesen. Für die Evakuierung des Geländes in einem Notfall und den Nachweis, dass alle Personen das Gelände verlassen haben, ist es nicht mehr erforderlich zu wissen, wer sich vor einem mehr als 24 Stunden zurückliegenden Zeitraum auf dem Gelände befunden hat.
Im vorliegenden Sachverhalt wurde gegenüber dem auftraggebenden Unternehmen, das die Daten ohne eine erforderliche Rechtsgrundlage an den Arbeitgeber des Fremdfirmenmitarbeiters übermittelt hat, von unseren Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO Gebrauch gemacht. Das Unternehmen akzeptierte die Maßnahmen und stellte seine Systeme datenschutzkonform um.
Fazit/Empfehlung: Die Zwecke, zu denen personenbezogene Daten verarbeitet werden, müssen im Vorfeld der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) eindeutig und transparent festgehalten werden. Die Verwendung dieser Daten für andere Zwecke kann zu einer unrechtmäßigen Datenverarbeitung führen, die geahndet werden kann.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks