Zurück zur Übersicht
17.07.2023

Zweckbindung auch bei der Arbeitszeitkontrolle

Zweckbindung auch bei der Arbeitszeitkontrolle

Mitunter werden Beschäftigte eines Unternehmens zur Verrichtung spezieller Aufgaben vorübergehend in einem anderen Unternehmen als sogenannte Fremdfirmenmitarbeiter eingesetzt. Hierbei müssen die Fremdfirmenmitarbeiter bei der Verrichtung der ihnen übertragenen Arbeiten auch den Weisungen des auftraggebenden Unternehmens Folge leisten. Die Personalverantwortung sowie die Lohn- und Gehaltszahlung verbleiben bei ihrem Arbeitgeber. In einem der Behörde zur Kenntnis gebrachten Sachverhalt wurden alle Fremdfirmenmitarbeiter durch das auftraggebende Unternehmen verpflichtet, beim Betreten des Geländes einen Transponder an der Pforte zu betätigen, um die aktuell auf dem Gelände befindlichen Personen zu erfassen, damit im Falle eines Notfalls eruiert werden könne, wer sich noch auf dem Gelände befindet. Die Verpflichtung zur Erfassung sowie der genaue Zweck dieser Erfassung wurden in den Verträgen zwischen den Fremdfirmen und dem auftraggebenden Unternehmen niedergeschrieben.

Ferner wurde vertraglich vereinbart, ein sogenanntes Bautagebuch zu führen, in dem die Arbeitszeiten der Fremdfirmen und ihrer Beschäftigten dokumentiert und zu Abrechnungszwecken sowie zur Zeiterfassung der Beschäftigten genutzt werden sollten. Die beim Betreten und Verlassen des Betriebsgeländes erfassten Daten wurden mehr als sechs Monate im Unternehmen aufbewahrt. Zur Klärung von aufgetretenen Unregelmäßigkeiten forderte der Arbeitgeber eines Fremdfirmenmitarbeiters vom auftraggebenden Unternehmen die an der Pforte beim Betreten und Verlassen des Geländes erfassten Daten des betroffenen Mitarbeiters an, um diese mit den ihm vorliegenden Zeiterfassungsdaten abgleichen zu können. Der betroffene Mitarbeiter bemängelte bei unserer Behörde die erfolgte Zurverfügungstellung dieser Daten durch das auftraggebende Unternehmen.

In Art. 5 Abs. 1 lit. b DSGVO wird der sogenannte Grundsatz der Zweckbindung normiert. Dieser besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Übertragen auf den vorliegenden Sachverhalt durften daher die Daten, die an der Pforte zur Anwesenheitsfeststellung in einem Notfall erhoben worden sind, auch nur zu diesem Zweck genutzt und verarbeitet werden. Eine Übermittlung dieser Daten an den Arbeitgeber des Fremdfirmenmitarbeiters für Zwecke der Kontrolle der Anwesenheitszeiten stellt eine unzulässige Datenverarbeitung dar, ohne legitimierende Rechtsgrundlage erfolgt ist. Auch die Speicherung dieser Daten über einen Zeitraum von mehr als sechs Monaten hinweg stellte eine Datenschutzverletzung dar. Personenbezogene Daten müssen, soweit keine speziellen Aufbewahrungspflichten entgegenstehen, gelöscht werden, sobald sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind (Art. 5 Abs. 1 lit. e DSGVO).

Zur Zweckerfüllung der Feststellung der Anwesenheit in einem Notfall wären die Daten spätestens 24 Stunden nach Verlassen des Geländes zu löschen gewesen. Für die Evakuierung des Geländes in einem Notfall und den Nachweis, dass alle Personen das Gelände verlassen haben, ist es nicht mehr erforderlich zu wissen, wer sich vor einem mehr als 24 Stunden zurückliegenden Zeitraum auf dem Gelände befunden hat.

Im vorliegenden Sachverhalt wurde gegenüber dem auftraggebenden Unternehmen, das die Daten ohne eine erforderliche Rechtsgrundlage an den Arbeitgeber des Fremdfirmenmitarbeiters übermittelt hat, von unseren Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO Gebrauch gemacht. Das Unternehmen akzeptierte die Maßnahmen und stellte seine Systeme datenschutzkonform um.

Fazit/Empfehlung: Die Zwecke, zu denen personenbezogene Daten verarbeitet werden, müssen im Vorfeld der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) eindeutig und transparent festgehalten werden. Die Verwendung dieser Daten für andere Zwecke kann zu einer unrechtmäßigen Datenverarbeitung führen, die geahndet werden kann.

Quelle: LfDI Saarland

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks