Intranet: Welche Mitarbeiterdaten dürfen veröffentlicht werden?

Fachbeitrag

Die meisten Unternehmen verfügen mittlerweile über ein unternehmens- oder konzernweites Intranet. Dort befinden sich neben Informationen zu allgemeinen Themen vielfach auch Informationen zu einzelnen Mitarbeitern. Ob dies zulässig ist und was dabei beachtet werden sollte erfahren Sie hier:

§ 32 BDSG als Maßstab für die Veröffentlichung von Mitarbeiterdaten

Wie auch bei der sonstigen Verarbeitung von Mitarbeiterdaten ist für die Zulässigkeit einer Veröffentlichung im Intranet § 32 BDSG maßgeblich. Danach dürfen personenbezogene Daten von Mitarbeitern u.a. dann erhoben werden, wenn es für die Durchführung des Beschäftigtenverhältnisses erforderlich ist. Die Erforderlichkeit der Veröffentlichung setzt voraus, dass der Arbeitgeber/das Unternehmen ein berechtigtes und schutzwürdiges Interesse an der Datenverarbeitung hat, hinter dem das Interesse des betroffenen Mitarbeiters am Schutz seiner persönlichen Daten zurücktreten muss.

Wann ist die Veröffentlichung von Mitarbeiterdaten erforderlich?

Welche Daten jeweils erforderlich sind kann nicht pauschal beantwortet werden, sondern ist bezogen auf den Einzelfall zu prüfen. Dabei kommt es auf die jeweilige Funktion des Mitarbeiters im Unternehmen an. Besteht in Bezug auf die konkrete Tätigkeit und Funktion des Mitarbeiters ein Bedürfnis danach, den Mitarbeiter bspw. ohne Umstände erreichen zu können, ist die Veröffentlichung seiner Kontaktdaten im Intranet generell zulässig.

Grenzen der Zulässigkeit

Die veröffentlichten Daten sind immer auf das erforderliche Minimum zu beschränken. So mag die Veröffentlichung von Name, Funktion und Kontaktdaten zulässig sein, um den unternehmens- bzw. konzerninternen Informationsfluss zu gewährleisten, während die Veröffentlichung von Fotos ohne eine entsprechende Einwilligung regelmäßig unzulässig ist. Auch bei Geburtstagslisten etc. ist Vorsicht zu wahren. Private Daten sollten grundsätzlich nicht im Intranet veröffentlicht werden. Auch bei Mitarbeitern, bei denen ein Veröffentlichungsinteresse prinzipiell ausgeschlossen werden kann (bspw. Putzdienst), sollte von einer Veröffentlichung ihrer Daten abgesehen werden.

Im Zweifel sollten immer nur geschäftliche Daten mit Bezug zur jeweiligen Tätigkeit veröffentlicht werden. Für alle anderen Informationen über den Mitarbeiter ist eine Einwilligung einzuholen. Am besten lassen Sie sich bezüglich der konkreten datenschutzrechtlichen Bewertung von Ihrem Datenschutzbeauftragten unterstützen.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

13 Kommentare zu diesem Beitrag

  1. Wie ist es um die Information der Mitarbeiter bestellt, zu welchen ihrer Daten sie eine Freigabe im Intranet erteilen? Im konkreten Fall: ein Mitarbeiter willigt nicht ein, seine Daten für diverse soziale Intranetaktivitäten freizugeben (Geburtstage, Jahrestage, Freizeitaktivitäten, etc.) und der mit der Content-Pflege beauftragte Intranetbereich trägt in der Raucherecke die Kunde durchs Haus, welche Mitarbeiter ein einsiedlergleiches Datenschutzgebahren an den Tag legen. Liegt hier ein Verstoß gegen das Datengeheimnis selbst vor?

  2. Der Inhalt ist sehr richtig, aber als allgemeine Information nicht ausreichend. Mir fehlen einige praktische Beispiele wie z.b. Telefonlisten im Internet. Wie verhält es sich z.B. mit den Auszubildenden, Praktikanten? Vielleicht kann es dazu ja noch einmal eine Ergänzung geben.

    • Praktikanten sind keine Beschäftigten nach BDSG und fallen somit nicht unter §32. Deshalb würde ich sagen, dass die Daten von Praktikant/innen überhaupt nicht – ohne deren Einwilligung – veröffentlicht werden dürfen.

      • Der Begriff des Beschäftigten im Bundesdatenschutzgesetz ist weit auszulegen und geht dementsprechend über sozialversicherungs- und arbeitsrechtliche Definitionen hinaus. Dementsprechend fallen nahezu alle Personen darunter, denen eine arbeitnehmerähnliche Stellung zukommt. Dies trifft ebenfalls auf Praktikanten zu. Diese fallen also grundsätzlich ebenfalls unter den Begriff.

        • Also fallen Praktikanten unter den Begriff „Beschäftigte“ im BDSG, obwohl diese nicht in der abschließenden Auflisting unter §3 Nr. 11 aufgeführt werden?

          • Praktikanten fallen unter den Begriff „zu ihrer Berufsbildung Beschäftigte“.

            „§ 3 Abs. 11 Nr. 2 verweist auf den Begriff der Berufsbildung, wie er in § 1 Abs. 1 BBiG ausgeformt ist, und erfasst die Berufsausbildungsvorbereitung, die Berufsausbildung, die berufliche Fortbildung sowie die berufliche Umschulung. Der Begriff geht somit weit über den der Berufsausbildung hinaus. Erfasst sind folglich auch Volontäre, Praktikanten und Anlernlinge (§ 26 BBiG), soweit sie sich nicht bereits in einem Arbeitsverhältnis i.S.v. § 3 Abs. 11 Nr. 1 befinden.“ So bspw. Seifert in Simitis, Kommentar zum BDSG.

  3. In unserer Firma werden internationale Servicetechniker regelmäßig an verschiedenen Instrumenten trainiert. Alle bei uns angestellten Teilnehmer werden im Intranet mit jeweiligem Trainingsstatus veröffentlicht. Zugriff haben hierfür alle Kollegen, die im Service & Support arbeiten.
    Techniker die bei unseren ausländischen Niederlassungen angestellt sind, dürfen angeblich nicht veröffentlicht werden. Mitarbeiter im Service & Support benötigen aber auch diese Informationen für ihre tägliche Arbeit und können diese Entscheidung absolut nicht nachvollziehen. Wie ist Ihre Meinung dazu?

    Danke & Viele Grüße

    • Welche Mitarbeiterdaten im Intranet veröffentlicht werden dürfen, hängt regelmäßig von dem konkreten Zweck ab.
      Für Deutschland würde dies bedeuten, dass der genaue Zweck der Veröffentlichung zu hinterfragen ist, insbesondere warum die Veröffentlichung der Daten für Mitarbeiter im Service & Support so wichtig ist. Sofern es sich bei den Niederlassungen im Ausland um eigene verantwortliche Stellen handelt, kann je nach Belegenheit ggf. auch nationales Recht zur Anwendung kommen.

  4. In unserer Firma betreiben wir Anwendungen die aufzeichen, welche Anwender welche Änderungen an Daten vorgenommen haben. Zu diesen Daten gehören das eindeutige UserKennzeichen, Datum/Uhrzeit und die geänderten Daten. Dieser ‚Audit Trail‘ wird zur Erfüllung von gesetzlichen Auflagen benötigt. Es werden nur firmeninterne User erfasst, die Datenänderungen im Rahmen ihrer ihnen zugeordneten Pflichten vornehmen.
    Gibt es gesetzliche Restriktionen, diese Daten für den ausschließlich firmeninternen Gebrauch auszuwerten?

    • Das Bundesdatenschutzgesetz sieht vor, dass ein Unternehmen, welches personenbezogene Daten verarbeitet, technische und organisatorische Maßnahmen trifft, um die Daten zu schützen. Zu diesen Maßnahmen gehört auch die Eingabekontrolle, die vorschreibt, dass nachträglich nachvollzogen werden kann, wer wann welche Änderungen an den Daten bzw. am System vorgenommen hat. Üblicherweise ist die Revision dieser Informationen zweckgebunden und unterliegt strengen Zugriffskontrollen.
      Eine Änderung dieses Zwecks erfordert daher grundsätzlich eine Rechtsgrundlage.

  5. Hallo, ich hätte eine Frage. Ist die Veröffentlichung von folgenden Daten im Intranet zulässig?

    Name, Vorname, Funktion im Unternehmen, Arbeitszeitfaktor sowie Zugehörigkeit zum Managementteam, Key User

    Die Daten werden weitergegeben in die Schweiz und zu einem anderem aufgekauten Unternehmen in Deutschland. Eine Zustimmung zwecks Veröffentlichung und Weitergabe der Daten in nicht EU Länder liegt meinerseits nicht vor.
    Freue mich über eine Rückantwort. Danke

    • Zunächst möchte ich Sie darauf hinweisen, dass ohne genauere Kenntnis des Sachverhaltes keine abschließende Bewertung vorgenommen werden kann. Allgemein gilt jedoch, dass eine Übermittlung von personenbezogenen Daten an Dritte, ebenso wie deren Veröffentlichung, nur erfolgen darf, wenn entweder ein Rechtsgrund hierfür besteht oder der Betroffene eingewilligt hat.

      Welche Mitarbeiterdaten im Intranet veröffentlicht werden dürfen, hängt vom konkreten Zweck ab. Zudem muss die Veröffentlichung der Daten „erforderlich“ sein. Erforderlich ist eine Verarbeitung von personenbezogenen Daten stets nur dann, wenn sie für den konkreten Zweck notwendig und nicht nur nützlich ist. Ob dies der Fall ist, beurteilt sich anhand aller Umstände des Einzelfalls. Sollen Mitarbeiterdaten an rechtlich getrennte Unternehmen weitergegeben werden, ist hierfür ebenfalls eine Rechtsgrundlage erforderlich und die genannte Prüfung vorzunehmen.

      Der richtige Ansprechpartner für Ihr Anliegen ist der betriebliche Datenschutzbeauftragte. Dieser nimmt Ihre Anfragen auch vertraulich entgegen. Für weitere Unterstützung können Sie sich auch an Ihren Betriebsrat (sofern vorhanden) oder an einen entsprechend spezialisierten Rechtsanwalt wenden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.