Für Inhaber größerer Einzelhandelsbetriebe ist es häufig schwierig, Manipulationsversuche durch eigene Mitarbeiter bei Kassiervorgängen aufzudecken. Deshalb führte ein Unternehmen ein so genanntes Bondatenanalysesystem ein, das selbständig die Bondaten der einzelnen Märkte auf Unregelmäßigkeiten bei den Kassiervorgängen überprüft.
Kontrollen von Beschäftigten zur Verhinderung von Straftaten und sonstigen Rechtsverstößen können unter Beachtung der Voraussetzungen des § 32 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) zulässig sein. Grundsätzlich kommen alle Maßnahmen im Unternehmen in Betracht, die das regelkonforme Verhalten der Beschäftigten gewährleisten. Solche Maßnahmen müssen allerdings verhältnismäßig sein.
So wären beispielsweise flächendeckende verdachtsunabhängige automatisierte Abgleiche von Beschäftigtendaten (Screening) nach dem im Beschäftigtendatenschutz geltenden Verbot der Totalüberwachung unzulässig. Andererseits ist der Arbeitgeber nicht verpflichtet, stets zunächst stichprobenartige Überprüfungen in verdachtsanfälligen Bereichen durchzuführen. Sowohl die Interessen der Beschäftigten als auch die der Arbeitgeber sind im Einzelfall zu berücksichtigen.
Das hier zu prüfende Bondatenanalysesystem war zweistufig ausgestaltet.
- Auf der ersten Stufe fand zunächst eine Überprüfung der Bondaten der einzelnen Filialen auf Unregelmäßigkeiten statt. Nach Unternehmensangaben sollte eine festgestellte Unregelmäßigkeit der an der jeweiligen Kasse beschäftigten Person zuzuordnen sein.
- Soweit für einen Arbeitsbereich Auffälligkeiten festgestellt wurden, konnten in einem zweiten Schritt über die Bedienernummer die betroffenen Personen identifiziert werden.
Zulässig und zweckmäßig ist es, die Daten im ersten Schritt anonymisiert zu nutzen. Anonyme Daten lassen keine Rückschlüsse auf eine Person zu und sind damit vom Datenschutzrecht nicht erfasst. Doch oft bestehen Unklarheiten, ob Daten anonymisiert oder pseudonymisiert sind. Daten sind anonymisiert, wenn es nicht mehr möglich ist, diese auf eine bestimmte Person zurückzuführen (§ 3 Abs. 6 BDSG). Dies ist jedoch bei pseudonymisierten Daten möglich. Hier wird etwa ein Name durch eine Nummer – ein Pseudonym – ersetzt. Eine Rückführbarkeit auf eine bestimmte Person ist dann noch möglich. Bei pseudonymisierten Daten finden die Datenschutzgesetze deshalb Anwendung. Ob Daten anonymisiert oder pseudonymisiert sind, ist damit von entscheidender Bedeutung.
Das Unternehmen verwandte bereits auf der ersten Stufe pseudonymisierte, also auf die einzelne Person zurückführbare Daten. Wir haben dem Unternehmen daher empfohlen, im ersten Schritt – also zu einem frühen Zeitpunkt der Analyse – zunächst eine anonymisierte Datennutzung vorzusehen. Daran kann sich ggf. eine erneute Überprüfung in konkret auffällig gewordenen Bereichen mit pseudonymisierten Beschäftigtendaten (Bedienernummern) anschließen. Dieser Empfehlung folgte das Unternehmen und hat das Analysesystem entsprechend umgestellt.
Analysesysteme zur Aufdeckung von Manipulationen in Unternehmen dürfen nicht zu einer anlasslosen Totalüberwachung der Beschäftigten führen, sondern müssen verhältnismäßig sein. Sofern eine anonymisierte Überprüfung nicht ausreicht, kann bei Auffälligkeiten in bestimmten Bereichen eines Unternehmens eine personenbezogene Überprüfung im Einzelfall erfolgen. Der Fall zeigt, dass gute Ergebnisse erzielt werden können, wenn Unternehmen sich frühzeitig an uns wenden. Mögliche datenschutzrechtliche Probleme können so im Vorfeld ausgelotet und Gesetzesverstöße vermieden.
Quelle: LDI-NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks