Neue Technologien im Arbeitsumfeld und der Datenschutz

News

Seien es Stechkarten oder das Schloss für Schließfächer. Diese Gegenstände sind uns seit Ewigkeiten bekannt, legen dank der Digitalisierung aber nun ein neues Gewand an. Was dies mit Datenschutz im Arbeitsumfeld zu tun hat, lesen Sie hier.

Systematische Zeiterfassung durch Fingerabdruck?

Nach einem vielbeachteten Urteil des Europäischen Gerichtshofs aus dem Mai vergangenen Jahres, steht fest, dass die Zeiterfassung verpflichtend wird. Sicherlich gibt es viele Unternehmen, die klassische Stechkarten, ID-Karten oder Badges benutzen, um den Eintritt ins Gebäude und den Beginn der Arbeitszeit zu dokumentieren, doch zunehmend wird dies durch software- oder webbasierte Zeiterfassungssysteme ersetzt. Eine jüngere Technologie ermöglich es sogar, die Identifizierung des Mitarbeiters ausschließlich durch den Fingerabdruck durchzuführen.

Grundsätzlich gehören Fingerabdrücke zu den biometrischen Daten. Diese Art personenbezogener Daten stellt eine besondere Kategorie dar, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten natürlicher Personen auftreten können. Der Einsatz eines biometrischen Zeiterfassungssystems ist daher nur unter Einhaltung strenger datenschutzrechtlichen Vorgaben zulässig. So kommt regelmäßig nur eine freiwillige Einwilligung der Mitarbeiter oder eine Betriebsvereinbarung gem. § 26 Abs.4 BDSG als Rechtsgrundlage für die Einführung in Betracht. Des Weiteren müssen ausreichende ToMs getroffen und eine Datenschutz-Folgenabschätzung durchgeführt werden. Ausführlicher behandeln wir diese Vorgaben im Beitrag „Anforderungen an ein biometrisches Authentifizierungssystem“.

Shared Workspaces und digitale Schließfächer

Das Konzept von „Shared Workspaces“ ist auch in Deutschland angekommen. Unternehmen stellen den Mitarbeitern örtlich flexible Arbeitsplätze zur Verfügung. Dadurch haben Mitarbeiter die Chance, bislang noch unbekannte Kollegen kennenzulernen und so das Gemeinschaftsgefühl zu stärken. Bei einem Shared Workspace lauern aber auch einige datenschutzrechtliche Fallstricke. Die Punkte

  • WLAN Nutzung,
  • Telefonieren und Drucken,
  • Verlassen des Arbeitsplatzes,
  • Arbeiten am Arbeitsplatz

haben wir im Beitrag „Datenschutzkonformes Arbeiten in Co-Working Spaces“ näher beleuchtet. Nach getaner Arbeit sind die Arbeitsunterlagen der Mitarbeiter wie z.B. Dokumente oder mobile dienstliche Geräte sicher zu verstauen. Neben abschließbaren Rollcontainern greifen Unternehmen hier vermehrt zu Schließfächern. Eine charmante Möglichkeit, um auf den altbekannten Schlüssel zu verzichten, sind Schnittstellen zum Benutzerkonto des Mitarbeiters, sodass das Schließfach ausschließlich vom Smartphone des Mitarbeiters geöffnet werden kann.

Dabei werden Informationen wie das Öffnen und Schließen des Schließfachs sowie Benutzer- und Gerätenamen gespeichert. Für diese Verarbeitung scheidet § 26 BDSG als Rechtsgrundlage aus, da sie in der Regel nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich sein wird. Zumal Mitarbeiter ihre Sachen genauso gut in den bereits erwähnten abschließbaren Rollcontainer verstauen könnten. Eine Alternative könnte allerdings das berechtigte Interesse nach Art. 6 Abs.1 S.1 lit. f DSGVO darstellen. Bei der hier erforderlichen Interessenabwägung ist ausschlaggebend, dass das Interesse Betroffener nicht das berechtigte Interesse des verantwortlichen Unternehmens überwiegt. Sollte der ausschließliche Zweck des Verantwortlichen sein, den Mitarbeitern ein sicheres Schließfach ohne Verhaltenskontrolle zur Verfügung zu stellen, so darf angenommen werden, dass das Interesse des Betroffenen nicht dem des Verantwortlichen übersteigt. Mitarbeiter sollte dabei nicht das Gefühl vermittelt bekommen kontrolliert zu werden.

Instant-Messenger im Unternehmen

Schnell, praktisch aber datenschutzrechtlich meist bedenklich. Viele Unternehmen setzen Instant-Messenger zur firmeninternen Kommunikation ein. Dabei sind immer auch die dadurch potentiell entstehenden Sicherheitsrisiken im Auge zu behalten. Gerade beim Marktführer WhatsApp schwingt immer mit, dass er selbst ein geschäftliches Interesse an den anfallenden Daten hat und zu wenig Einblicke gibt, wie er tatsächlich mit Daten umgeht. Daher gehen auch die Meinungen der Datenschutzaufsichtsbehörden zu dessen Zulässigkeit auseinander. Die LfD Niedersachsen vertritt die Meinung, dass der Einsatz von WhatsApp Business im Unternehmen gegen die DSGVO verstoße. Anders äußerte sich zuletzt der SächsDB in seinem aktuellen Tätigkeitsbericht (S.207). Zwar hält auch er den Einsatz für problematisch, beanstandet diesen aber nicht, wenn eine Containerlösung eingesetzt wird und alternative Kommunikationswege angeboten werden.

Dieser Rechtsunsicherheit kann man sich ein stückweit entziehen, indem man eine der mittlerweile zahlreichen WhatsApp-Alternativen einsetzt. Auf welche Punkte man bei der Auswahl des richtigen Messengers für sein Unternehmen achten sollte, um das Datenschutzrisiko zu minimieren, finden Sie im Beitrag „DSGVO-Checkliste zum Einsatz von Messengern im Unternehmen„.

Die Spitze des Eisbergs

Die genannten Szenarien sind heute fast schon alltäglich. Sie bilden dabei aber nur die Spitze des Eisbergs. Neue Technologien und digitale Trends stehen bereits in den Startlöchern, um die Arbeitswelt zu revolutionieren. Für Unternehmen sollte beim Einsatz neuer Anwendungen der Datenschutz im Fokus stehen, da anderweitig die Rechte Betroffener verletzt werden können. Insbesondere sollten neue Technologien intensiv auf die Einhaltung datenschutzrechtlicher Grundprinzipien geprüft werden. „Privacy by Design“ und Privacy by Default“ sollten keine Fremdworte sein. In jedem Fall empfiehlt es sich, die Einführung immer von Beginn an durch den jeweiligen Datenschutzbeauftragten begleiten zu lassen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Zu bedenken ist, dass Betriebsvereinbarungen nur in Betrieben mit Betriebsrat entstehen können. Alle Betriebe ohne Betriebsrat können keine Betriebsvereinbarung abschließen – siehe § 77 Betriebsverfassungsgesetz (Betriebsvereinbarungen sind immer Regelungen zwischen Arbeitgeber und Betriebsrat!). Dort bleibt nur eine freiwillige Einwilligung der betroffenen Person – mit allen bekannten Einschränkungen!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.