Heute geht es mit dem zweiten Teil unserer Blogbeitragsreihe „Datenschutzrechtliche Fragen im Laufe eines Arbeitnehmerlebens“ weiter. Nachdem wir Ihnen letzte Woche vom turbulenten Bewerberprozess Angela M.s berichteten, fahren wir heute mit regelmäßig auftretenden Fragen, die sich ein Personaler im Laufe der Anstellung eines Mitarbeiters stellt, fort.
Diensthandy versus Bring-your-own-device
Wie Sie sich bestimmt bereits denken können, lief die Bewerbung für Frau M. gut. Sie wurde angestellt und entlockte ihrem Arbeitgeber sogar ein Diensthandy. Nach einem kurzen Anruf bei uns, wusste der Personaler Herr Gründlich, dass es hier dringend einer Nutzungsvereinbarung bedarf. Wir klärten ihn darüber auf, dass in dieser u. a. geregelt werden sollte, ob eine Privatnutzung zusätzlich erlaubt wird und welche Programme und Apps hierauf genutzt werden dürfen. Zusätzlich sollten Kontroll-, Weisungs- und Zugriffsrechte des Arbeitgebers geregelt sein. Auch Regelungen darüber, wie Angela M. das Handy zu schützen hat und was insbesondere bei einem Datenschutzvorfall zu tun ist, sind obligatorisch.
Im Anschluss verfasste Herr Gründlich zusammen mit der Geschäftsführung die Nutzungsvereinbarung und fragte sich, warum man in diesem Fall die Privatnutzung erlaubte. Schließlich verbot das Unternehmen auch sonst die Privatnutzung von Notebooks und dem geschäftlichen E-Mail-Postfach. Wir erläuterten ihm den Unterschied, der sich aus datenschutzrechtlicher Sicht ergab: Auf einem Diensthandy liegen im Regelfall viel weniger betriebliche Daten als auf einem Firmen-Notebook oder in einem E-Mail-Postfach, da man es meist nur für die geschäftliche Kommunikation nutzt. Daneben erfolgt zumeist kein Zugriff auf die betrieblichen Systeme mit Hilfe des Handys.
Frau M. unterzeichnete die Nutzungsvereinbarung und erhielt ein Diensthandy von Samsung, mit dem sie nur schwer zurechtkam und bat stattdessen um ein iPhone. Herr Gründlich, der über so viel Dreistheit empört war, entgegnete ihr, dass sie doch ihr eigenes Handy nutzen solle, wenn ihr das zugewiesene Handy nicht genüge. Aus einem unserer Blogbeiträge erfuhr er, dass in einem solchen Fall eine Bring-your-own-device-Nutzungsvereinbarung geschlossen werden muss. In dieser werden Weisungs-, Kontroll- und Zugriffsrechte des Arbeitgebers geregelt. Ebenfalls ist zu beachten, dass private Apps, wie WhatsApp und Co. keinen Zugriff auf die hinterlegten Geschäftskontakte erhalten. Diesbezüglich verwiesen wir Herrn Gründlich insbesondere auf folgenden Artikel: Datenverarbeitung durch WhatsApp – Bußgeld in dreistelliger Millionenhöhe!
Mitarbeiterüberwachung versus Mitarbeiterrechte
Nach einiger Zeit kam es immer öfter dazu, dass Frau M. zu spät zur Arbeit erschien. Das fiel auch Herrn Gründlich auf, der daher Frau Fachmann aus der IT bat, zu überprüfen, wann Angela M. mit ihrem Transponder im vergangenen Monat das Werk betrat und wieder verließ. Diese Zeiten wollte er anschließend mit Frau M.s Arbeitszeiten aus dem digitalen Zeiterfassungssystem abgleichen. Zu seinem Glück holte er vorab unseren Rat darüber ein, welche Daten eines digitalen Zeiterfassungssystems bzw. einer elektronischen Schließanlage zu welchen Zwecken verarbeiten werden dürfen.
Wir gaben dem Personaler folgenden Rat: Erfasste Arbeitszeitdaten dürfen nur für die Überprüfung der Einhaltung der Arbeitszeit sowie für besoldungsrechtliche Zwecke verwendet werden. Bei einer Schließanlage muss überprüft werden, ob berechtigte Interessen des Arbeitgebers für eine Auswertung sprechen. Grundsätzlich ist jedoch eine Speicherung und Auswertung der Zutrittsdaten nicht erforderlich, da eine Schließanlage grundsätzlich nur für die Zutrittsregulierung und eben nicht für eine anschließende Auswertung eingesetzt wird.
Darüber hinaus sind Verhaltens– und Leistungskontrollen mit Hilfe dieser Daten, z. B. in Gestalt eines Bewegungsprofils der Arbeitnehmer, unzulässig. Besondere Vorsicht gilt im Übrigen bei biometrischen Zeiterfassungssystemen. Solche verarbeiten besondere sensible Daten und sind daher nur zulässig, soweit sie erforderlich sind, wie z. B. bei besonders schützenswerten Arbeitsplätzen.
Flexibilität durch Home-Office versus Datenschutz
Nach all diesen Problemen kam allen Beteiligten das Home-Office während der Corona-Pandemie gerade recht. Wir berieten Herrn Gründlich anschließend über die zu erstellende Regelung. Sie sollte klarstellen, welche Software bzw. Apps und Geräte im Home- bzw. Mobile-Office genutzt werden dürfen sowie die Sicherung der Geräte und wann sie wieder herauszugeben sind. Der Arbeitgeber sollte auch festlegen, wie der Zugang zu den betrieblichen Systemen erfolgen darf. Hier empfahlen wir, ausschließlich über einen gesicherten Internetzugang, bzw. mittels VPN-Verbindung oder sonstigen verschlüsselten Verbindungen auf die Systeme zuzugreifen. Daneben braucht es klare Vorgaben zum Schutz vor Kenntnisnahme durch Dritte, z. B. Vorschriften hinsichtlich des Passworts sowie der Desktopsperre. Im Übrigen empfahlen wir weitere verbindliche Sicherheitsmaßnahmen im Home-Office und beim Transport bzw. bei der Übertragung von Akten und Daten.
Kontroll- und Zutrittsrechte des Arbeitgebers zu der Wohnung des Arbeitnehmers bestehen nur in begrenztem Umfang aufgrund dringlicher betrieblicher Belange, z. B. zur Überprüfung der Arbeits- und Sicherheitsbedingungen oder für Reparaturmaßnahmen. Dabei darf man jedoch das das Grundrecht auf Unverletzlichkeit der Wohnung anderer Bewohner nicht außer Acht lassen. Zusätzlicher Regelungen und insbesondere weiterer Sicherheitsmaßnahmen bedarf es im Übrigen bei Home- bzw. Mobile-Office in einem Land außerhalb der EU. In Ländern, in denen hohe Kriminalitätsraten existieren, sollte der Arbeitsraum und die Endgeräte zusätzlich verschlüsselt und physisch gesichert werden. Lokale Datenspeicherungen sollten nur verschlüsselt und pseudonymisiert erfolgen.
Digitalisierung versus „need-to-know“
Nachdem das Home-Office endete, hatte Angela M. noch keine Lust zurückzukehren und nahm sich für ihren Geburtstag einen Tag frei. Ihren Urlaubstag trug sie – wie jeder Mitarbeiter – in den gemeinsamen digitalen Urlaubskalender ein. Am darauffolgenden Tag gratulierten ihr die Kollegen nachträglich zum Geburtstag. Denn das hatten sie im gemeinsamen Geburtstagskalender gesehen. Frau M. beschwerte sich über diesen Verstoß gegen ihre Privatsphäre bei Herrn Gründlich, der sich abermals bei uns nach der Rechtslage erkundigte. Unser Rat war klar: Ein gemeinsamer Geburtstagskalender, auf den alle Mitarbeiter Zugriff haben, ist nur mit Einwilligung aller Betroffenen möglich. Lediglich Vorgesetzte und die Personalabteilung haben ein berechtigtes Interesse daran, die Geburtstage der jeweiligen Mitarbeiter einsehen zu können.
Bei einem gemeinsamen Urlaubskalender verhielt es sich ähnlich. Auch hier muss man Abstufungen nach dem need-to-know-Prinzip schaffen. Nur berechtigte Personen, wie z. B. Kollegen aus derselben Abteilung, Vorgesetze und Personaler sollten die Urlaubstage der Arbeitnehmer einsehen können. Es kommt jedoch maßgeblich auf die Größe des Unternehmens an. Bei kleineren Unternehmen sprechen oftmals Vertretungszwecke etc. für einem gemeinsamen firmeninternen Urlaubskalender.
Nach all diesen Diskussionen mit Herrn Gründlich hatte Angela M. genug und sie reicht ihre Kündigung ein. Worüber wir den Personaler auch nach dem Abschied von Frau M. beraten konnten, erfahren Sie kommende Woche.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
Kein Kommentar