Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

Fachbeitrag

In Krisenzeiten wie zur Corona-Epidemie, aber auch bei Terroranschlägen oder Naturkatastrophen überlegen viele Arbeitgeber, ob ihre bisher dokumentierten Notfallmaßnahmen im Ernstfall genügen. Im WorldWideWeb findet man eine Vielzahl an Dienstleistern, die eine leichte und automatisierte Unterstützung anbieten. Bei der Suche nach dem passenden Notfallmanagement-Tool, darf der Arbeitnehmerdatenschutz aber nicht unberücksichtigt bleiben.

Was bieten solche Notfallmanagement-Tools an?

Es gibt viele Gründe, warum ein Unternehmen ein Notfallmanagement integrieren möchte:

  • Erfüllung der Sorgfaltspflichten als Arbeitgeber durch effektiveren Schutz für die Mitarbeiter
  • Erhöhung des Schutzes für die IT-Sicherheit und Datensicherheit
  • Schadensbegrenzung durch schnelles und effektives Handeln in Krisensituationen
  • Ermöglichen einer schnellen Wiederaufnahme des Hauptgeschäfts.

In der Vergangenheit schrieb man daher umfassende Notfallhandbücher und probte den Ernstfall mit den Mitarbeitern im Rahmen von Übungen für den Feueralarm o.Ä.

Durch die Globalisierung und Vernetzung der Welt veränderte sich die Arbeitsweise nachhaltig, sodass sich Unternehmen auch auf andere Krisenszenarien und mögliche Gefahren (z.B. Terroranschlag, Cyber-Kriminalität) einstellen müssen. Verschiedene Software-Lösungen wie die von Everbridge oder Rave Mobile Safety versuchen auch diesen Bereich zu digitalisieren und ermöglichen es dem Unternehmen u.a.:

  • durch Tracking der Lokaldaten zu wissen, wer sich im Gebäude befindet, und mit diesen Personen im Notfall kommunizieren zu können,
  • die Kommunikation und die Kollaboration für die Sammlung von Personen und Evakuierungsplänen zu automatisieren,
  • Evakuierungspläne für Notfallsituationen zu automatisieren,
  • zielgerichtet mittels SMS-Textwarnmeldungen, Sprachnachrichten, Mobil-App-Warnmeldungen, digitale Anzeigen oder Desktop-Benachrichtigungen Informationen zu senden sowie
  • mit Hilfe mobiler Applikationen für das Smartphone sofort eine Nachricht an das Team zu senden.

Welche personenbezogenen Daten werden verarbeitet?

Je nach Funktionsweise des Notfallmanagement-Tools können folgende Daten der Mitarbeiter verarbeitet werden:

  • Name
  • betriebliche Kontaktdaten (E-Mail-Adresse und Telefonnummer)
  • Standort und Adresse der Arbeitsstelle
  • private Kontaktdaten
  • dynamische Standortdaten (zuletzt bekannter Aufenthaltsort und vermuteter Aufenthaltsort anhand von Check-Ins oder Kalendereinträgen)
  • aktuelle Standortdaten

Manche Notfallmanagement-Tools bieten die Möglichkeit der Verknüpfung mit dem Schlüsselsystem an. So wird getrackt, wo der Mitarbeiter zuletzt den Schlüssel verwendet hat und ob dies als Ein- oder Ausgang zu werten ist. Der Mitarbeiter kann aber auch seinen digitalen Terminkalender freigeben und anhand der Termine wird dann vermutet, wo sich der Mitarbeiter nun befindet.

Wenn das Tool auch eine App-Lösung für das Handy anbietet, können bei Zugriff auf die Ortungsdienste sogar die aktuellen Standortdaten erfasst werden.

Welche Rechtsgrundlagen kommen für die Datenverarbeitung in Betracht?

Diese Frage kann man nicht pauschal beantworten, da sie einerseits von der Funktionsweise des jeweiligen Tools, als auch von den Arten der zu verarbeitenden Daten abhängt. Aber auch der vom Unternehmen verfolgte Zweck spielt maßgeblich eine Rolle. Im Folgenden werden daher nur allgemeine rechtliche Überlegungen aufgezeigt.

§ 26 Abs. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (überwiegend berechtigte Interessen)

Der Arbeitgeber muss gegenüber seinen Mitarbeitern diverse Fürsorgepflichten gerecht werden und insbesondere dessen Sicherheit am Arbeitsplatz gewährleisten. Im Rahmen der Arbeitssicherheit muss der Arbeitgeber gewährleisten, dass er seine Mitarbeiter effektiv vor Gefahren schützen kann. Bei der Wahl der Mittel steht ihm hierzu auch ein gewisser Ermessensspielraum zu. Ein Notfallmanagement-Tool kann grundsätzlich zur Erhöhung der Arbeitssicherheit führen. Insoweit kann hier die Erforderlichkeit der Datenverarbeitung in der Regel grundsätzlich bejaht werden.

Da hier Mitarbeiter betroffenen sind, sind zunächst die Voraussetzungen des § 26 Abs. 1 BDSG (i. V. m. Art. 88 Abs. DSGVO) zu prüfen. Hier hat der Gesetzgeber eine Sondernorm für den Arbeitnehmerdatenschutz geschaffen. Es stellt sich also die Frage, ob ein solches Notfallmanagement-Tool gerade für die Durchführung des Arbeitsverhältnisses erforderlich ist. In der Regel gibt es bereits ein Notfallmanagement im Unternehmen, bei dem weniger Daten verarbeitet werden. Soweit man dieses ersetzen will, sollte man die Gründe für die Erwägung dokumentieren: Möglicherweise hat sich in der Vergangenheit gezeigt, dass das bisherige Notfallmanagement nicht effektiv war. Vielleicht ist sogar ein Mitarbeiter zu Schaden gekommen. Aber auch eine tatsächliche Erhöhung der Gefährdungslage für die Mitarbeiter kann den Einsatz eines solchen Tools erforderlich machen.

Falls man die Erforderlichkeit für das Arbeitsverhältnis nicht bejahen kann, wird man die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DSGVO prüfen. Hier findet dann eine umfassende Interessenabwägung statt.

Art der Daten sind maßgeblich für die Bewertung

Sowohl bei dieser Interessenabwägung nach Art. 6 DSGVO als auch bei § 26 BDSG sind die Grundsätze der Datensparsamkeit und Zweckbindung hinreichend zu beachten. Da je nach Funktionen des Tools verschiedene Arten und Anzahl an Daten verarbeitet werden, muss man hier eine differenzierte Betrachtung vornehmen. Je mehr Daten des Arbeitnehmers verarbeitet werden, umso schwerer wiegt der Eingriff in dessen Rechte und Freiheiten. Umso besser müssen die Gründe und verfolgten Zwecke hierfür sein, um dies legitimieren zu können. Am Ende der Bewertung des Tools kann man zu dem Schluss kommen, dass man einzelne Funktionen mangels Rechtsgrundlage nicht nutzen darf oder nur, soweit der Mitarbeiter freiwillig zustimmt.

Name, betriebliche Kontaktdaten und Standort der Arbeitsstelle

Diese statischen Daten sind nicht besonders schutzbedürftig, weil sie innerhalb des Unternehmens ohnehin intern bekannt sind. Mit dem Notfallmanagement-Tool und diesen Angaben wird lediglich der Arbeitsschritt der Benachrichtigung via SMS, E-Mail, oder Telefon im Falle eines Notfalls automatisiert und damit die zuständigen Personen entlastet. Es ändert sich also nur die Vorgehensweise der Datenverarbeitung, aber nicht die Art der Daten.

Private Kontaktdaten

Zwischen Arbeitsleben und Privatleben ist grundsätzlich strikt zu trennen. Außerhalb der Arbeitszeit und Arbeitsstätte überwiegen grundsätzlich die Interessen und Rechte der Arbeitnehmer an Privatsphäre. Die in der Praxis bislang herrschende Ansicht geht daher davon aus, dass der Arbeitgeber die privaten Kontaktdaten der Mitarbeiter im Falle von Notfällen nur auf Grundlage deren Einwilligung verarbeiten darf. Etwas Anderes kann sich wohl nur dann ausnahmsweise ergeben, wenn betriebliche Kontaktmöglichkeiten nicht bestehen.

Aktuelle Standortdaten

Insoweit ist zu berücksichtigen, dass ein Tool bei einer Erfassung von Standortdaten zu einer Verhaltenskontrolle und damit auch zu einer Rundumüberwachung führen kann. Dies stellt einen besonders schweren Eingriff in die Rechte und Freiheiten des Arbeitnehmers dar. In der datenschutzrechtlichen Literatur sowie der Rechtsprechung wurden einige Grundsätze zum Einsatz von Ortungssystemen und zur Auswertung des Fahrverhaltens von Beschäftigten bei Dienstwagen herausgearbeitet. Diese sind hier entsprechend zu beachten. Dazu gehören insbesondere die folgenden Punkte:

  • Verbot einer Totalüberwachung,
  • Verbot einer Überwachung im privaten Bereich und
  • Verbot einer heimlichen Überwachung.

Eine umfassende Überwachung kann nur ausnahmsweise bei Risikoberufsgruppen wie Feuerwehrmann, Soldat im Kriegseinsatz o.Ä. zulässig sein. In der Regel wird man aber die Erforderlichkeit der Datenverarbeitung verneinen müssen.

Dynamische Standortdaten

Die vorgenannten Überlegungen gelten auch hier, insbesondere wenn die Bewegungsabläufe innerhalb des Gebäude durch eine Verknüpfung mit dem Schlüsselsystem getrackt werden. Die Freigabe von digitalen Terminkalendern stellt allerdings ein milderes Mittel dar, da die Standortdaten ungenauer ermittelt werden. Bei Mitarbeitern, die viele Dienstreisen im Ausland wahrnehmen – insbesondere in Krisengebieten – kann diese Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein.

Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung)

Bei all den Datenarten oder Funktionen des Notfallmanagement-Tools, die weder nach § 26 Abs. 1 BDSG noch auf Grundlage eines überwiegenden Interesses des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO begründet werden können, kann die Datenverarbeitung nur auf eine Einwilligung gestützt werden. Die Einwilligung ist demnach in der Regel für folgende Informationen einzuholen:

  • private Kontaktdaten
  • dynamische Standortdaten
  • Freigabe der Ortungsdienste auf dem Handy bei Nutzung der App

Hierbei gilt es § 26 Abs. 2 Satz 3 BDSG zu beachten, wonach die Einwilligung von Mitarbeitern schriftlich oder oder elektronisch zu erfolgen hat. Der Arbeitgeber muss seine Mitarbeiter also vorab umfassend über die Datenverarbeitung und deren Rechte informieren. Zudem muss klargestellt werden, dass die Verweigerung einer Einwilligung das Arbeitsverhältnis nicht nachteilig beeinflusst.

Was muss ich als Arbeitgeber noch vor der Implementierung beachten?

Es ist an den Betriebsrat zu denken, da sich aus § 87 Nr. 6 Betriebsverfassungsgesetz ein Mitbestimmungsrecht für diesen ergeben kann. Eventuell bestehen auch schon sonstige Kollektivvereinbarungen, die ebenfalls bei der rechtlichen Bewertung zu berücksichtigen sind.

Soweit es sich um eine Software-as-a-Service Lösung handelt und der Software-Anbieter Zugriff auf Mitarbeiterdaten erhält, bedarf es den Abschluss einer Vereinbarung zur Auftragsverarbeitung i. S. v. Art. 28 DSGVO. Wenn ein Drittlandsbezug bei der Datenverarbeitung besteht, dann ist auch immer an den Abschluss von EU-Standardvertragsklauseln zu denken.

Je mehr Funktionen das Tool bietet und damit die Zahl der verarbeiteten Daten steigt, umso mehr ist auf die Datensicherheit zu achten. Der IT-Sicherheitsbeauftragte sollte daher einen prüfenden Blick auf die technischen und organisatorischen Maßnahmen werfen. Bei der Auswertung von aktuellen Standortdaten kann sich zudem eine Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ergeben.

Aufgrund der rechtlichen Komplexität sollte der Datenschutzbeauftragte frühzeitig bei der Auswahl eines Notfallmanagement-Tool einbezogen werden. Er kann am besten beurteilen, welche Funktionen unter Berücksichtigung des Arbeitnehmerdatenschutzes eingesetzt werden können.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

4 Kommentare zu diesem Beitrag

  1. Warum werden die TOMs nur vom IT-SiB geprüft? Auch Art. 32 stellt darauf ab, daher ist das auch ein Prüfthema für den DSB. So wie hier geschrieben, sieht es nach reiner IT-Sicherheit aus, was ich bisher anders interpretiert habe

    • Art. 32 DSGVO ist an den Verantwortlichen der Datenverarbeitung adressiert. Der Datenschutzbeauftragte (DSB) ist nicht der Verantwortliche der Datenverarbeitung. Die Aufgaben des DSB sind in Art. 39 DSGVO normiert. Danach muss er zwar die Einhaltung der Datenschutz-Vorschriften überwachen, was auch grundsätzlich eine summarische Prüfung der getroffenen technischen und organisatorischen Maßnahmen umfasst. Aber die konkrete Umsetzung der IT-Sicherheit obliegt nicht beim DSB. Gerade bei technischen Sicherheitsvorkehrungen kann der IT-Sicherheitsbeauftragte durch seine einschlägige Fachexpertise über IT-Sicherheit wohl eher eine abschließende Bewertung vornehmen. Eine abschließende Bewertung bedarf ein vertieftes technisches Verständnis, welches ein DSB haben kann, aber nicht muss. Für seine fachliche Eignung genügt das vertiefte Verständnis von Datenschutzrecht. Ein technisches Grundverständnis ist aber natürlich ebenfalls wünschenswert. Andernfalls müsste auch sonst der TÜV den Inhalt seiner 4-5 Tage Seminare zur Zertifizierung zum DSB überdenken.

  2. Grundsätzlich mal: Welche Rechte – wenn überhaupt – habe ich als Datenschutzbeauftragter, die Einhaltung der betrieblich vereinbarten Datenschutzmaßnahmen an einem Heimarbeitsplatz, an dem personenbezogene Daten verarbeitet werden, zu kontrollieren? Darf ich unangemeldet die Person zuhause besuchen und ihr Arbeitszimmer inspizieren, so wie ich ja auch im Unternehmen Kontrollen durchführen darf (und sollte!)?

    • Die Kontrollrechte des DSB richten sich gegen den Arbeitgeber als Verantwortlicher der Datenverarbeitung. Bei der Ausübung der Kontrollrechte als DSB muss im besonderen Umfang berücksichtigt werden, dass der Arbeitsplatz sich nicht mehr in der herkömmlichen Sozialsphäre der Betriebsräume befindet, sondern hier die Privatsphäre des Mitarbeiters tangiert wird. Eine unangemeldete Kontrolle dürfte daher grundsätzlich unverhältnismäßig sein, sodass der Mitarbeiter den Zugang zur Wohnung, Haus o. Ä. verweigern darf.

      Bevor der DSB sich die Arbeitsstätte Homeoffice überhaupt ansehen dürfte, muss er überprüfen, ob der Arbeitgeber die entsprechenden technischen und organisatorischen Maßnahmen getroffen hat, damit der Mitarbeiter datenschutzkonform zu Hause arbeiten kann. Denn wenn diese Möglichkeit bereit nicht besteht – weil die technische Ausstattung, Arbeitsanweisungen etc. fehlen – dann muss das Arbeiten im Homeoffice erst gar nicht vor Ort kontrolliert werden. Das Ergebnis wäre ja schon vorhersehbar. Insoweit hätte erstmal der Arbeitgeber seine Hausaufgaben zu erledigen.

      Wenn die technischen und organisatorischen Maßnahmen dahingehend bereits erfüllt wurden, dann wird mit der Besichtigung des Homeoffice-Platzes vor Ort primär kontrolliert, ob der einzelne Mitarbeiter sich tatsächlich an die Arbeitsanweisungen hält oder nicht. Etwaige Missstände hätten dann vor allem arbeitsrechtliche Konsequenzen. Dies gehört aber wiederum nicht zur Aufgabe des DSB. Dieser sollte sich daher nur davon überzeugen, dass die vom Arbeitgeber getroffenen Maßnahmen auch tatsächlich umsetzbar und effektiv sind und der Arbeitgeber ggf. entsprechende Überprüfungen vornimmt.

      Bei der Auswahl der Kontrollmaßnahmen sei noch auf zwei Aspekte hinzuweisen: Einerseits kann der DSB seine Kontrollpflicht auch dadurch erfüllen, dass er zunächst die Mitarbeiter befragt. Dies wäre ein wesentlich milderes Mittel im Vergleich zur unangemeldeten Kontrolle in den privaten Räumen des Mitarbeiters. Wenn sich hierbei Missstände offenbaren, können erforderliche Maßnahmen ergriffen werden (z. B. Schulung der Mitarbeiter, Handouts an die Mitarbeiter etc.). Selbst eine angemeldete Kontrolle würde weniger in die Rechte des Mitarbeiters eingreifen. Andererseits stellt eine unangekündigte vor-Ort-Kontrolle einen intensiven Eingriff dar, sodass diese jedenfalls nicht ohne Anlass erfolgen sollte. Bei einer anlassbezogenen Kontrolle verwischt aber wiederum die Grenze zu einer arbeitsrechtlichen Kontrollmaßnahme, die ja gerade nicht Aufgabe des DSB sind.

      Nach alledem ist grundsätzlich davon abzuraten, dass der DSB unangemeldet beim Mitarbeiter vor Ort-Kontrollen durchführt. Dem DSB stehen andere Mittel zur Verfügung um seine Kontrollpflichten hinreichend zu erfüllen. Zu guter Letzt ist hier eine Abstimmung mit dem Betriebsrat dringend zu empfehlen, um auch die arbeitsrechtliche Zulässigkeit dieser Kontrolle zu gewährleisten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.