Corona-Warn-App bei der Arbeit (Symbolbild)
Login

Corona-Warn-App, Videokonferenzdienste und Anwesenheitsdokumentation:
5 aktuelle Herausforderungen im Beschäftigtendatenschutz

Ohne Zweifel entfaltet auch der Beschäftigtendatenschutz in Zeiten der Pandemie aktuell eine erhebliche Dynamik: Im Zuge der Einführung der Corona-Warn-App vor vier Wochen wies das Bayrische Landesamt für Datenschutzaufsicht darauf hin, dass die Freiwilligkeit nicht durch Nutzungsverpflichtungen untergraben werden dürfe. Gegen Zuwiderhandlungen werde ggf. auch mit Geldbußen vorgegangen.1 Am Freitag vor einer Woche stellte die Berliner Beauftragte für Datenschutz und Informationsfreiheit bei nahezu allen Anbietern von Video-Konferenzdiensten rechtliche Mängel in den standardmäßig verwendeten Dokumenten zur Auftragsdatenverarbeitung fest. Gleichzeitig wies sie darauf hin, dass diese Dienste daher nur genutzt werden dürfen, wenn unternehmensseitig abweichende Vereinbarungen mit den Anbietern getroffen wurden.2 Auf der anderen Seite fordert die Pandemie zum Teil auch ein größeres Maß an Datenerhebung als dies bisher der Fall war. Ein Beispiel dafür ist insbesondere die Ende Juni in der Fleischindustrie geführte Diskussion über das Nachhalten von Mitarbeiteradressen, die lediglich über Subunternehmen in den Betrieben beschäftigt werden. Sind diese Daten mangels Erhebung nicht kurzfristig verfügbar, drohen ordnungsbehördliche Maßnahmen.3

Wir bedanken uns bei Rechtsanwalt Dr. Alexander Lentz für den vorliegenden Gastbeitrag. Der Beitrag behandelt ein wegen der sich stets verändernden Krisenlage hochaktuelles Thema. Nach Erscheinen können sich sehr schnell Änderungen der Sach- und Rechtslage ergeben. Dr. Lentz gibt die ihm bekannte Sach- und Rechtslage mit Stand vom 12.07.2020 wieder.

Gerade bei kleineren und mittleren Unternehmen, die aufgrund ihrer Größe entsprechendes datenschutzrechtliches Know-How nur zum Teil selbst vorhalten können, führt dies aktuell zu einer erheblichen Verunsicherung. Insbesondere diesen mögen die folgenden Fragen und Antworten eine erste Richtschnur bieten, wo bei Ihnen ggf. Handlungsbedarf besteht:

1. Kann der Arbeitgeber den Arbeitnehmer zur Nutzung der „Corona-Warn-App“ einseitig verpflichten?

Grundsätzlich wird eine solche einseitige Verpflichtung aus verschiedenen Gründen als unzulässig angesehen. Im Hinblick auf eine Nutzungsverpflichtung auf dem privaten Mobiltelefon sowie außerhalb der Dienstzeit steht dies außer Frage. Vereinzelt wird vertreten, dass es darüber hinaus Ausnahmen geben könnte. Angesichts des mit der App verbundenen Prinzips der Freiwilligkeit dürfte eine solche Verpflichtung aktuell aber selbst dort datenschutzrechtliche Angriffsflächen bieten, wo ausnahmsweise -wie bspw. in der Altenpflege- aufgrund besonderer Risikogruppen eine betriebliche Sondersituation besteht und die „Nutzungspflicht“ zudem auf das Diensthandy in der Dienstzeit beschränkt wird.

Zur Vermeidung von Weiterungen ist daher auch in solchen „Sonderfällen“ die vorherige Abstimmung mit der jeweils zuständigen Aufsichtsbehörde dringend geboten. Bei unterschiedlichen rechtlichen Einschätzungen mag das Unternehmen zudem ggf. ergänzend (einstweiligen) Rechtsschutz für die jeweils vorliegende Sondersituation in Anspruch nehmen, sollte dies erfolgversprechend sein.

2. Ändert sich etwas, wenn sich die Verpflichtung aus einer entsprechenden Betriebsvereinbarung ergibt?

Gemäß Art. 88 DSGVO kann mittels einer Betriebsvereinbarung grundsätzlich eine selbstständige datenschutzrechtliche Legitimation geschaffen werden kann. Insoweit unterscheidet sie sich datenschutzrechtlich nachhaltig von der zuvor dargestellten einseitigen Arbeitgeberweisung. Zu berücksichtigen ist aber auch hier, dass sowohl private Mobiltelefone als auch das Freizeitverhalten der Mitarbeiter der Regelungsbefugnis der Betriebsparteien unstreitig entzogen sind. Es verbleibt damit ein recht eingeschränkter Regelungsspielraum für eine Nutzungspflicht. Regelmäßig wird sich zudem die Frage der Angemessenheit gemäß Art 88 Abs. 2 DSGVO stellen.

Zudem bleibt auch hier die Frage offen, ob und inwieweit die Verpflichtung aus der Betriebsvereinbarung mit dem der Entwicklung der App zugrundeliegenden „Prinzip der Freiwilligkeit“ in Einklang zu bringen ist.

Auch in diesem Fall bietet sich daher der zuvor bereits skizzierte Ansatz an, sich insoweit mit den Aufsichtsbehörden abzustimmen und im Zweifel im Nachgang proaktiv selbst eine rechtliche Klärung herbeizuführen, sollte man so zu keiner Lösung kommen. Eine gemeinsame Argumentation der Betriebsparteien bezüglich bestehender betrieblicher Sondersituationen wie auch die über Art. 88 DSGVO eröffneten rechtlichen Ermessenspielräume mögen insoweit etwas größere Handlungsspielräume eröffnen.

3. Kann bereits eine bloße gemeinsame nachhaltige Empfehlung der Betriebsparteien, die App freiwillig zu nutzen, im Hinblick auf die damit verbundene faktische Einschränkung der Freiwilligkeit datenschutzrechtliche Sanktionen nach sich ziehen?

Ob auch in einem solchen Fall bereits eine datenschutzrechtlich unzulässige Beeinträchtigung der Freiwilligkeit aus Sicht einer Aufsichtsbehörde vorliegen könnte, lässt sich zwar nicht mit absoluter Sicherheit ausschließen. Denn der Begriff der „Freiwilligkeit“ ist im Kontext des Beschäftigtendatenschutzes seit jeher äußerst umstritten und nicht abschließend geklärt. Jedoch wird man vorliegend berücksichtigen müssen, dass die Betriebsparteien -bzw. die für sie handelnden Akteure- mit einer entsprechenden Erklärung ebenfalls eigene Grundrechtspositionen (bspw. Art 5 Abs. 1 GG „Meinungsfreiheit“) wahrnehmen. Im Regelfall dürften daher entsprechende Empfehlungen keine Sanktionen nach sich ziehen.

juris PartnerModul Arbeitsrecht jetzt 4 Wochen gratis testen Gratis testen

4. Welche Anforderungen muss ich an ein Videokonferenzsystem und die in diesem Zusammenhang abgeschlossenen Vereinbarungen stellen?

Es ist in jedem Fall geboten, sich nachhaltig mit der Konfiguration des genutzten Systems auseinanderzusetzen. Die kostenfreien Hilfsangebote im Netz dazu reichen von allgemein gehaltenen Ausführungen einzelner Aufsichtsbehörden4 über etwas umfangreichere Praxishilfen5 bis zum umfangreichen „Kompendium Videokonferenzsysteme“ des Bundesamts für Sicherheit in der Informationstechnik (BSI)6. Auch kleinere Unternehmen werden daher nicht darum herumkommen, sich mit diesen Fragen spätestens jetzt auseinanderzusetzen.

Ob allerdings dies zudem auch dazu führt, dass in Anbetracht der aktuellen Ausgestaltung der Vereinbarungen zur Auftragsverarbeitung zudem nahezu kein einziger Standartanbieter von „Software as a Service“ Leistungen à la Zoom, Goto Meeting oder MS Teams aktuell genutzt werden kann, ohne dass selbst Kleinstunternehmen die dortigen Standart-Vereinbarungen umfangreich und mit rechtlicher Unterstützung ohne weitere Hilfestellung der Aufsichtsbehörden nachverhandeln müssen, wirft doch gewisse Zweifel auf. Die eingangs erwähnte Stellungnahme der Berliner BfDI legt dies allerdings nahe.

Den hiervon ggf. betroffenen Arbeitgebern kann zunächst nur geraten werden, sich angesichts des seit über vier Jahren bekannten und seit zwei Jahren in Kraft getretenen Art. 42 DSGVO (Datenschutzspezifische Zertifizierungsverfahren und Datenschutzsiegel) einstweilen zunächst direkt hilfesuchend an die jeweilige Aufsichtsbehörde zu wenden. Mangels eines etablierten Zertifizierungsverfahren nach Art 42 DSGVO und somit bislang auch noch nicht zertifizierter Standard-Videokonferenz-Software sollte dort zunächst die Frage adressiert werden, welche ganz konkreten ergänzenden Anforderungen bei den jeweiligen Anbietern in Anbetracht der der Behörde bekannten Muster ergänzend zu adressieren sind. Zudem mag ergänzend angefragt werden, bei welchem der Vielzahl von Anbietern dies aus Sicht der Behörde aktuell nicht erforderlich ist, so dass die betriebliche Nutzung einer Videokonferenzsoftware möglich bleibt.

Ob kleinere Unternehmen darauf kurzfristig eine Antwort bekommen, mag angesichts unbestritten knapper Ressourcen dahinstehen. Es dürfte allen Beteiligten jedoch deutlich machen, dass in der aktuellen Situation datenschutzrechtliche Herausforderungen nicht allein bei kleinen und mittleren Unternehmen liegen können. Gerade diese hatte Art 42 Abs. 1 S. 2 DSGVO im Hinblick auf die „technischen und organisatorischen Maßnahmen nach Art 32 DSGVO“ ausdrücklich in den Blick genommen. Auch im Hinblick auf etwaige Bußgelder dürfte dieser Ansatz gemäß Art 83 Abs. 2 d, f und j nicht ohne Wirkung bleiben. Dass es im Hinblick auf die aktuellen datenschutzrechtlichen Herausforderungen durchaus auch andere Möglichkeiten gibt, kleinere Unternehmen einzubinden, haben jüngst verschiedene andere Aufsichtsbehörden bewiesen7. Auch dies mag die aktuelle Debatte befruchten, inwieweit für die vorliegende Fragestellung ein bundesweit einheitlicher unterstützender Ansatz der Aufsichtsbehörden kurzfristig wünschenswert wäre8.

5. Welche Dokumentationspflichten bezüglich Adressen und Erreichbarkeit bestehen für ein Unternehmen im Hinblick auf „Betriebsfremde“ oder etwaige von Subunternehmen oder Dienstleistern angesichts des grundsätzlichen Gebots der „Datensparsamkeit“?

Die vorliegende Frage lässt sich so pauschal angesichts regional unterschiedlicher Vorgaben, regional unterschiedlicher Pandemiesituationen wie auch angesichts des hier zur Verfügung stehenden Platzes nicht abschließend beantworten. Wichtig ist jedoch im Blick zu behalten, dass auch das jeweils zur Anwendung kommende Datenschutzrecht in Zeiten der Pandemie ein „moving target“ ist.

Dies gilt zum einen für die Pflicht, Daten zu erheben, weil dies im Rahmen einer Sondersituation -hier der Pandemie - aus Gründen des Gesundheitsschutzes geboten ist. In einem solchen Fall gibt es regelmäßig explizite, von den Ordnungsbehörden gemachte Vorgaben bspw. in Form regionaler Verordnungen, die diese zusätzliche Datenerhebung dann auch legitimieren. Hier bleibt Unternehmen letztlich nichts anderes übrig, als die Ohren offen zu halten.

Das bedeutet gleichzeitig aber auch, dass dann, wenn diese Sondersituation nicht mehr vorliegt diese Pflicht wegfällt. Da dies auch für die sie legitimierende Ermächtigungsgrundlage gilt, hat das Unternehmen sein Verhalten erneut anzupassen und von der Datenerhebung so dann wieder abzusehen. Ansonsten würde es sich fortan datenschutzwidrig verhalten.

Fußnoten

1 https://www.lda.bayern.de/de/thema_corona_warn_app.html

2 Vgl. https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

3 Sieh dazu hier jüngst auch: https://www.juris.de/jportal/nav/juris_2015/aktuelles/magazin/corona-warn-app-datenerfassung-betriebsfremde.jsp

4 Vgl. bspw. https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/

5 https://www.gdd.de/downloads/praxishilfen/gdd-praxishilfe_xvi-videokonferenzen-und-datenschutz

6 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf?__blob=publicationFile&v=4

7 Vgl. dazu bspw. dazu den Ansatz der Hamburger Aufsichtsbehörde im Hinblick auf die Kontakterfassung von Restaurant-Gästen: https://datenschutz-hamburg.de/pressemitteilungen/2020/06/2020-06-24-kontaktdatenerfassung-stichprobe

8 Vgl. dazu auch die „Empfehlung 55“ der Datenethikkommission im Rahmen Ihres letztjährigen Gutachtens (dort S.28): https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6

Lesen Sie zum Thema "Corona & Datenschutz" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul Compliance
juris PartnerModul Compliance
Lösungsansätze zur Umsetzung von compliance-rechtlichen Vorgaben innerhalb diverser Rechtsgebiete, wie z. B. dem Arbeits- oder Wirtschaftsrecht.
Weitere Produktinformationen

			juris PartnerModul Compliance premium
juris PartnerModul Compliance premium
Erfahren Sie u.a. welche Maßnahmen bei der Prävention und Vermeidung von Haftung und Strafbarkeit zu ergreifen sind.
Weitere Produktinformationen

			juris PartnerModul Datenschutz
juris PartnerModul Datenschutz
Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.
Weitere Produktinformationen

			juris PartnerModul IT-Recht
juris PartnerModul IT-Recht
Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.
Weitere Produktinformationen

			juris PartnerModul Arbeitsrecht
juris PartnerModul Arbeitsrecht
Lösungsmöglichkeiten für alle arbeitsrechtlichen Fragestellungen ausgerichtet am Bedarf des anwaltlichen Praktikers.
Weitere Produktinformationen

			juris PartnerModul Arbeitsrecht premium
juris PartnerModul Arbeitsrecht premium
Von der krankheitsbedingten Entlassung über Kranken-/Mutterschaftsgeld bis zur betrieblichen Altersversorgung und Schwerbehindertenrecht.
Weitere Produktinformationen

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33