Aktuell

Datenschutz für Personaldienstleister

Gerade bei kleinen und mittelständischen Personaldienstleistern spielt das Thema Datenschutz derzeit dennoch praktisch keine Rolle. Daten von Mitarbeitern und Bewerbern werden elektronisch erfasst und – häufig für die Ewigkeit - gespeichert, ohne dass eine schriftliche Einwilligung des Arbeitnehmers eingeholt oder über Zweck und Inhalt der Datenverarbeitung aufgeklärt wird. „Datenschutzbeauftragter“ ist ein Fremdwort und die Verantwortungs- und Aufgabenverteilung im Verhältnis zum Kunden ist völlig unklar. Personaldienstleister sind damit genau wie Call Center das schwache Glied, auf das eine Datenpanne im Zweifel abgewälzt wird. Zusätzlich müssen Zeitarbeitsfirmen nach wie vor mit einer kritischen Berichterstattung in der Öffentlichkeit leben und sollten deshalb besonders auf die Einhaltung von Datenschutzgrundsätzen achten - sowohl bei Bewerbern als auch bei Kunden.

Außer einem negativen Image drohen aber auch handfeste Sanktionen. Das reicht von Kontrollbesuchen der Datenschutzbehörden über die Anordnung von Maßnahmen bis hin zu Bußgeldern oder Strafen. Hinzu kommen können privatrechtlichen Unterlassungs-, Auskunfts- und Schadensersatzklage etwa von Kunden, Mitbewerbern oder Verbraucherverbänden. Und Fehler kann man viele machen.

1. Datenschutzbeauftragter

Jeder Personaldienstleister, bei dem 10 oder mehr Personen mit Datenerfassungsprozessen zu tun haben, ist verpflichtet, einen innerbetrieblichen Beauftragten für den Datenschutz zu bestellen. Bei der erforderlichen Personenzahl zählen alle Mitarbeiter (auch freie Mitarbeiter, Studenten, Azubis etc.), die an der Verarbeitung personenbezogener Daten beteiligt sind. Das kann bereits bei alltäglichen Koordinationsaufgaben wie der Terminverwaltung mittels Outlook oder E-Mails erfüllt sein. Kurz gesagt: alle Mitarbeiter, die am Firmencomputer sitzen, werden im Zweifel berücksichtigt, weshalb die Mindestzahl auch bei kleineren Firmen schnell erreicht sein kann.

Datenschutzbeauftragter können betriebsinterne oder auch externe Fachleute werden. Voraussetzung ist, dass der Datenschutzbeauftragte die erforderliche Fachkunde und Zuverlässigkeit besitzt. Das beinhaltet auch Neutralität bzw. die Vermeidung von Interessenskonflikten, weshalb Unternehmensinhaber, Mitglieder der Geschäftsleitung oder auch Leiter von Abteilungen wie IT, Recht oder Controlling regelmäßig als Datenschutzbeauftragte ausscheiden. Die erforderliche Fachkunde können die Beauftragten in der Regel im Rahmen von speziellen Schulungen, die zwischen 3 und 14 Tagen dauern, erwerben. Eine vorschnelle Auswahl des internen Datenschutzbeauftragten sollte vermieden werden: Durch die Bestellung kann er nur noch aus wichtigem Grund abberufen bzw. gekündigt werden.

Die Aufgabe des Datenschutzbeauftragten besteht darin, die ordnungsgemäße Einhaltung der Datenschutzgesetze zu überwachen. Dazu gehört die Prüfung, ob die für den Datenschutz erforderlichen technischen und organisatorischen Maßnahmen getroffen worden sind. Der Datenschutzbeauftragte überwacht außerdem die Anwendung von Datenverarbeitungsprogrammen, kontrolliert risikobehaftete Verfahren, wirkt bei der Benachrichtigung und Auskunftserteilung gegenüber Betroffenen mit, verwaltet die Verfahrensverzeichnisse und bearbeitet datenschutzrelevante Beschwerden. Und nicht zuletzt schult er die Mitarbeiter im Unternehmen und achtet auf die Verpflichtung auf das Datengeheimnis.

Regelmäßig geht seine Tätigkeit aber darüber hinaus, indem er das Unternehmen zum Schutz seiner Betriebs- und Geschäftsgeheimnisse berät (z.B. Verwendung von Datenträgern, Handys oder Verschlüsselung). Dafür stehen dem Beauftragten einige Rechte zur Seite: er besitzt einen Anspruch auf Freistellung von seiner bisher erbrachten Tätigkeit im erforderlichen Umfang (Gerichte sprechen bei Firmen mit bis zu 300 Mitarbeitern pauschal 20 Prozent der Arbeitszeit zu). Er hat das Recht zur Auskunftsverweigerung auch gegenüber seinem Arbeitgeber, ein Recht auf Vertraulichkeit (separate Behandlung von Telefonaten, Briefen und Faxen) und muss die notwendigen Arbeits- oder Hilfsmittel einschließlich passenden Räumlichkeiten sowie ggf. geeignetes Fach- und/oder Hilfspersonal zur Verfügung gestellt bekommen.

2. Videoüberwachung

Videoüberwachungen können entweder geheim stattfinden, um Verdachtsmomente gegen einzelne Mitarbeiter zu erhärten, oder aber sie werden öffentlich durchgeführt und richten sich ggf. gar nicht direkt gegen die Arbeitnehmer, z.B. in Kaufhäusern, in denen es in erster Linie um die Festsetzung von Ladendieben geht.

Die verdeckte Videoüberwachung hat das BAG bereits im Jahr 2003 in Ausnahmefällen für zulässig erklärt. Dafür muss aber immer ein konkreter Verdacht für eine erhebliche strafbare Verhandlung eines Arbeitnehmers vorliegen, weniger einschneidende Mittel dürfen nicht in Betracht kommen, weil sie nicht zum Ergebnis führen, und die Überwachung darf insgesamt nicht unverhältnismäßig sein. Deshalb kann auch bei einem begründeten Straftatverdacht eine Überwachung des Tresenbereichs zulässig sein, eine Überwachung der Toilette dürfte aber selbst dann ausgeschlossen sein, weil hier der Intimbereich des betroffenen Mitarbeiters gravierend beeinträchtigt wird.

Weniger streng hingegen sind die Vorgaben bei einer offenen Videoüberwachung, diese hält das BAG im Regelfall für zulässig, so lange die Mitarbeiter hierdurch nicht ausdrücklich schikaniert werden sollen (was im Einzelfall zu überprüfen ist).

Datenschutzrechtlich bestehen vergleichbare Wertungen. Für öffentlich zugängliche Räume gibt es die Vorgabe, dass eine Videoüberwachung nur zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke zulässig ist, soweit keine schutzwürdige Interessen der Betroffenen überwiegen. Ein überwiegendes Interesse liegt vor allem bei Ruhe-, Waschräumen oder Toiletten nahe. Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. Bei Zuordnung der durch Videoüberwachung erhobenen Daten zu einer bestimmten Person ist diese zu benachrichtigen. Im Zweifel werden vergleichbare Maßstäbe auch für nicht zugängliche Geschäftsräume gelten.

3. Screenings

Spätestens seit die Deutsche Bahn Daten ihrer Mitarbeiter massenhaft kontrolliert haben soll, weiß jeder, worum es sich bei Screenings handelt. Als Screening bezeichnet man das massenhafte und nicht anlassbezogene Auswerten von (z.B. Telefon-) Daten, um allein aus diesen abstrakten Werten Rückschlüsse auf mögliche Straftaten zu ziehen (z.B. daraus, dass ein Mitarbeiter bestimmte „verdächtige“ Telefonnummern wiederholt anruft). Auch die Überprüfung des E-Mailverkehrs auf bestimmte „Stichwörter“ wie z.B. „Gewerkschaft“ fällt hierunter. Ob Screeningmethoden tatsächlich besonders effektiv sind, sei einmal dahin gestellt; schließlich scheitern auch Geheimdienste meistens daran, dass sie zu viele und nicht zu wenige Daten besitzen. Ein Screening wird nur ausnahmsweise zulässig sein, wenn eine konkrete, gewichtige Gefahr besteht, die durch die Maßnahme mit an Sicherheit grenzender Wahrscheinlichkeit verhindert werden kann, und dass mit verhältnismäßigen und möglichst geringen Kollateralschaden. Die Maßnahme wird jedenfalls dann unzulässig, wenn sie geheim durchgeführt wird und hierbei auch persönliche Daten des Arbeitnehmers erfasst werden. Dann ist der Eingriff in die Privatsphäre stets als unverhältnismäßig anzusehen. Ein öffentliches Screening kann hingegen zulässig sein.

4. E-Mail und Internet

Bei der Nutzung von E-Mail hat der Arbeitgeber die Wahl. Entweder gestattet er die Nutzung von E-Mail und Internet ausschließlich zu dienstlichen Zwecken. Dann ist er kein Diensteanbieter im Sinne des Telekommunikations- und Telemedienrechts und ist vor allem nicht an die strengen Strafvorschriften über das Brief-, Post- und Fernmeldegeheimnis gebunden. Dienstliche E-Mails darf der Arbeitgeber gleichermaßen lesen wie normalen Briefverkehr im Unternehmen. Hier geht es schließlich um ganz normale Firmenkorrespondenz. Eine automatisierte Vollkontrolle auf bestimmte Begriffe oder von Seitenabrufen ist wie beim Screening jedoch allenfalls bei konkreten und erheblichen Verdachtsmomenten zulässig.

Gestattet ein Arbeitgeber auch die private Nutzung von Internet oder E-Mail, ist er rechtlich gesehen Telekommunikations- und Telemedienanbieter. Er ist dann zur Einhaltung des Telekommunikationsgeheimnisses verpflichtet und darf E-Mails der Mitarbeiter nicht ungefragt kontrollieren. Er darf alles das nicht, was bei einem Telefongespräch selbstverständlich verboten ist, er darf also weder abhören noch aufzeichnen oder protokollieren. Rechtlich ist es daher wenig sinnvoll, die private E-Mail- oder Internetnutzung zu gestatten, wenngleich dies in den meisten Betrieben – auch unter dem Stichwort „Mitarbeitermotivation“ – heutzutage üblich ist. Dann darf der Arbeitgeber aber auch nicht mehr ohne weiteres auf den Mailverkehr des Arbeitnehmers zugreifen.

Ein Kompromiss liegt oft darin, klar zwischen geschäftlicher und privater Nutzung zu trennen. Dem Arbeitnehmer können so z.B. private Interneteinwahlen, Mailadressen oder auch Pfade und Ordner zugewiesen werden, in denen er private Dateien auf dem Firmenrechner speichern darf. Dann sind die privat angefallenen Daten für den Arbeitgeber tabu – alle anderen Daten darf er aber im geschilderten Umfang überprüfen. Auch bei privater Kommunikation dürfen E-Mails oder deren Anhänge unterdrückt werden, wenn hiermit ein konkretes Sicherheitsrisiko verbunden ist, z.B. wegen Trojanern oder Viren. Streng genommen dürfen entsprechende E-Mails nur mit Einwilligung des Betroffenen gelöscht werden. Ansonsten sollte ein System zum Einsatz kommen, das zumindest Spam von der sonstigen Post isoliert und dem Mitarbeiter die Kenntnisnahme des Inhalts weiterhin ermöglicht. Auch Virenfilter sollten Mails nicht löschen, sondern sie auf dem Server in Quarantäne nehmen und den Adressaten darüber informieren. So vermeidet man eine rechtlich bedenkliche Löschung so genannter false positives (irrtümlich als schädlich eingestufter E-Mails).

5. Ortung durch Handys/GPS oder RFID

Beiden Ortungssystemen liegt das gleiche Grundprinzip zugrunde: Durch einen Sender ist es technisch jederzeit möglich, nahezu den exakten Aufenthaltsort eines Arbeitnehmers zu ermitteln. Bei jedem moderneren Handy kann diese Funktion aktiviert werden. RFID (Radio-Frequency-Identification) bezeichnet Transponder, die über Signale an eine Haupteinheit senden (Beispielsweise die Bestellterminals in der Gastronomie oder ähnliche Geräte in Supermärkten). Eine „Aufenthaltskontrolle“ von Arbeitnehmern über GPS ist heute beispielsweise bei Speditionen gang und gäbe. So schön es für einen Kunden auch ist, immer genau zu wissen, wo sich das aufgegebene Paket zur Zeit exakt befindet – für den Arbeitnehmer bedeutet es eine weitgehende Beschränkung seiner Persönlichkeitsrechte. Deshalb gilt auch hier:
- keine Kontrolle ohne vorherige Information des Arbeitnehmers,
- keine Kontrolle außerhalb der Dienstzeit (nachts),
- keine Kontrolle durch Geräte, bei denen auch die Privatnutzung gestattet ist.

6. Wie weit haften Personaldienstleister selbst für Datenschutzverstöße ?

Zunächst einmal trifft Personaldienstleister die Verpflichtung zur Einhaltung der Datenschutzregelungen in ihrem Einflussbereich selbst. Für interne Vorgänge (Vertragsdaten, Abrechnung, Datensicherheit) haben sie selbst die erforderlichen Vorkehrungen zu treffen und ggf. einen Datenschutzbeauftragten zu ernennen.

In seinem Bereich trägt der Kunde als verantwortliche Stelle grundsätzlich die Verantwortung, also auch gegenüber den Zeitarbeitnehmern, und hat die erforderlichen Weisungen zu treffen. Auch liegen die Mitbestimmungsrechte für die Zeitarbeitnehmer fast ausschließlich beim Betriebsrat des Kundenbetriebs. Dennoch trifft das Zeitarbeitsunternehmen stets eine Treue- und Schutzpflicht gegenüber seinen Arbeitnehmern, wie das BAG sagt. Erhält ein Zeitarbeitsunternehmen also Kenntnis von Datenverstößen, also vom Telefonabhören oder von Videokameras, ist es verpflichtet, den Auftraggeber auf den Verstoß unverzüglich hinzuweisen und – falls dem nicht abgeholfen wird – auf eine sofortige Beendigung dieser Beeinträchtigung hinzuwirken. Das bedeutet im schlimmsten Fall, dass auch die Beziehung zu einem guten Kunden zu beenden wäre, wenn dort nachhaltige Datenverstöße bekannt würden.

Soweit wird man es natürlich nur in den seltensten Fällen kommen lassen. Dennoch: nur wer sich rechtzeitig mit dem Thema befasst und die erforderlichen Weichen stellt, kann sich darauf verlassen, dass er nicht das nächste Opfer eines „Datenskandals“ wird.