In dieser Folge werden 7 wichtige Punkte im Zusammenhang mit dem Beschäftigtendatenschutz besprochen:
1. Nutzung von E-Mail und Internet am Arbeitsplatz: Verbietet der Arbeitgeber nicht die private Nutzung von E-Mail und Internet am Arbeitsplatz, „wird“ der Arbeitgeber Diensteanbieter nach § 2 Abs. 1 TMG und unterliegt dem Fernmeldegeheinmis nach § 88 TKG. Die Folge: eine Überwachung des E-Mail Verkehrs ist nicht möglich, auch nicht zu Zwecken der IT Sicherheit. Es droht ein gegebenenfalls strafbarer Verstoß gegen§§ 202a, 206 StGB, § 88 TKG und § 2 Abs. 1 und § 7 Abs 3.TMG. Best-Practice: Generelles Verbot der privaten Nutzung.
2. Mobile Endgeräte inklusive Mobiltelefon: Hier ist die gleiche Problemlage wie bei E-Mail und Internet. Aber auch die Nutzung von externen Apps: kann problematisch sein aufgrund der Funktionsweise, zum Beispiel: WhatsApp. Best-Practice: private Nutzung verbieten bzw. externe Apps nur in Containerlösung erlauben.
3. Datenschutz im Home-Office: Unabhängig von technischen Fragen gibt es widerstreitende Interessen nämlich die Kontrollrechte und- Pflichten des Arbeitgebers versus allgemeines Persönlichkeitsrecht und das Recht auf Unverletzlichkeit der Wohnung, Art. 13 GG der Beschäftigten. Hier kommt es zu einer Einwirkung ins Privatrecht. Der Betriebsrat ist zu beteiligen (§ 87 Abs. 1 Nr. 2 und Nr. 6 BetrVG.) Best-Practice: schriftliche Vereinbarung mit den Beschäftigten oder Abschluss einer Betriebsvereinbarung.
4. Betriebliche Mitbestimmung und Datenschutz: § 87 Abs. 1 Nr. 6 BetrVG regelt die Mitbestimmung in sogenannten Sozialangelegenheiten. Danach hat der Betriebsrat ein Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Dies ist das Einfallstor für die Mitbestimmung des Betriebsrates in datenschutzrechtlicher Hinsicht. Aber auch aus § 26 Abs. 3 BDSG ergibt sich, dass die Verarbeitung personenbezogener Daten im Beschäftigungskontext und für Zwecke der Beschäftigung auf Grundlage einer Betriebsvereinbarung erfolgen kann. Hierbei ist wiederum Artikel 88 Absatz 2 DSGVO zu beachten. Bei dieser Norm wird besonderes Augenmerk auf die Wahrung der menschlichen Würde und der Grundrechte der betroffenen Personen, also Beschäftigten gelegt.
5. Datenschutz bei Online-/Videobesprechungen: Verschiedene Aspekte sind zu beachten: sinnvolle technische und organisatorische Maßnahmen zur Datensicherheit. Ggf. Beteiligung des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG. In der Regel ist ein Auftragsverarbeitungsvertrag, Art 28 DSGVO mit dem Anbieter des Videodienstes abzuschließen und es entsprechende Anpassungen in der Datenschutzerklärung sowie der der Datenschutzinformationen vorzunehmen. Eine besondere Problemstellung ergibt sich auch daraus, dass die meisten gängigen Videotools aus den USA kommen und auch dort gehostet werden. Hier ist wieder das Urteil des EuGH zum Datentransfer in Drittländer relevant (EuGH, Urteil vom 16. Juli 2020 (Rechtssache C-311/18 „Schrems“ II). Dieses Urteil habe ich in Folge #01 bereits besprochen.
6. Informationspflichten des Arbeitgebers: Nach Art. 12, 13 Abs. 1 DSGVO gilt der Grundsatz, dass eine Information über die Datenverarbeitung zum Zeitpunkt der Erhebung der Daten zur Folge hat. Daraus ergeben sich Konsequenzen: Im Bewerbungsverfahren: muss bereits umfassend informiert werden. Bei Verwendungen von online-Bewerberplattformen muss dies auch in der Datenschutzerklärung mit berücksichtigt werden. Im bestehenden Arbeitsverhältnis ist Best practice eine Anlage zum Arbeitsvertrag oder auch ein Gesondertes Informationsschreiben.
7. Notwendige Rechtstexte im Beschäftigungsverhältnis: Die Liste der notwendigen Rechtstexte ist hier nicht abschließen. Die wichtigsten sind: Der schriftliche Arbeitsvertrag, der eine entsprechende Datenschutzklausel bzw. Datenschutz-Information enthalten sollte. Im Hinblick auf die aktuelle Coronazeit ist eine schriftliche Vereinbarung über Home-Office auch sinnvoll. Ebenso sollte die private Nutzung von E-Mail und Internet sowie von mobilen Geräten geregelt werden, oder eben deren Verbot. Eine Datenschutzinformation im Sinne von Art. 13 und 14 DSGVO sollte bereitgehalten werden, sofern nicht bereits im Arbeitsvertrag abfließt berücksichtigt. Sinnvoll sind auch gegebenenfalls Einwilligungen für die Verwendung von Fotos (unter Berücksichtigung von § 26 Abs.2 BDSG.) Letztlich müssen auch alle beschäftigungsrelevanten Verarbeitungsarten in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) mit aufgenommen werden. Gegebenenfalls kommen auch Betriebsvereinbarungen zu Spezialthemen in Betracht, bei denen auch personenbezogene Beschäftigtendaten verarbeitet werden. Dies ist jeweils Einzelfall abhängig.
DIGITALRECHT- Datenschutz, Arbeitsrecht und IT-Recht.
Podcast und Beratung.
Der Digitalrecht-Podcast mit Rechtsanwalt Henning Koch befasst sich mit dem Digitalrecht, Themen aus den Querschnittsbereichen des Datenschutz, Arbeitsrecht und IT-Recht – im Zusammenhang mit digitalen Anwendungen. Mal alleine, mal mit Gesprächspartnern. Aktuell, kompetent und mit einem Augenzwinkern.
Diesen Podcast finden Sie auf www.herrkochhatrecht.de, bei Spotify, Apple podcast, Amazon Podcast, Deezer und den üblichen anderen podcast-Apps.
Henning Koch ist Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht sowie zertifizierter (auch behördlicher) Datenschutzbeauftragter in der Wetzlarer Wirtschaftskanzlei Ruhmann Peters Altmeyer Daneben ist er Geschäftsführer der RPA Datenschutz+Compliance GmbH . Schwerpunkte seiner täglichen Arbeit liegen im Datenschutz, dem Arbeitsrecht und dem IT-Recht. Herr Koch ist auch Trainer für Betriebsverfassungsrecht und Datenschutzrecht.
Feedback für Henning Koch gern per mail henning (at) herrkochhatrecht.de
oder Henning Koch folgen unter Instagram, twitter und LinkedIn.
Photo by Markus Winkler on Unsplash
