Fünf Fragen zu den Änderungen im Beschäftigtendatenschutz gemäß der DSGVO an Datenschutzexperten Bernd Fuhlert, Geschäftsführer der @-yet GmbH. Die Fragen stellte die unabhängige und freie Journalistin Ulla Coester.
Netzpalaver: Verschiedene Untersuchungen zeigen, dass immer noch in vielen Bereichen Unsicherheit bei der Umsetzung der DSGVO besteht – können Sie das aufgrund Ihrer Erfahrung bestätigen und woran liegt dies Ihrer Meinung nach?
Bernd Fuhlert: Stimmt, es wurde gerade auch wieder aktuell durch eine Studie von Trend Micro belegt, dass deutsche Unternehmen nur unzureichend auf die Umsetzung der EU-Datenschutz-Grundverordnung vorbereitet sind. Große Unsicherheit herrscht meiner Erfahrung nach beispielsweise darin zu definieren – und dies wird auch allgemein durch die genannte Studie belegt – welche Daten überhaupt personenbezogen sind und wie diese jetzt geschützt werden müssen. Alles in allem ist das neue europäische Datenschutzrecht sehr komplex, sodass meines Erachtens die Unsicherheit auch daraus resultiert, dass im Vorfeld weitreichende Fragen in verschiedenen Bereichen zu klären sind – angefangen bei „Welche Prozesse verarbeiten persönliche Informationen?“ bis hin zu „Existieren ausreichend Schutzmaßnahmen zur Sicherung der Daten?“. Dass bei schwerwiegenden Verstößen wie etwa die unerlaubte Weiterleitung von sensiblen Daten an ein Drittland mit teilweise empfindlichen Bußgeldstrafen von bis zu 20 Millionen Euro zu rechnen ist, ist hierbei wahrscheinlich auch ein Faktor.
Netzpalaver: Welche Herausforderungen kommen mit der Einführung der DS-GVO auf die Unternehmen zu und warum müssen sie sich in diesem Rahmen noch einmal intensiv mit dem Beschäftigtendatenschutz beschäftigen?
Bernd Fuhlert: Meiner Meinung nach ist dies ratsam, da zukünftig stetig mehr Überwachungsmöglichkeiten standardmäßig in den Systemen implementiert sein werden. Der Einsatz von künstlicher Intelligenz ermöglicht es, die Techniken zum Monitoring sowie zur Auswertung des Arbeitspensums noch weiter zu verfeinern. Theoretisch lässt sich die Verwendung der gegebenen Möglichkeiten mit den berechtigten Interessen des Arbeitgebers verargumentieren, dem es ja letztendlich zusteht, die Leistung seiner Arbeitnehmer zu messen – zum Beispiel, um daraus ein differenziertes Entlohnungssystem zu entwickeln.
Diesem eventuellen Ansinnen des Arbeitgebers schiebt jedoch die DSGVO einen Riegel vor. Denn aufgrund der Öffnungsklausel von Art. 88 DSGVO können für den Arbeitnehmerdatenschutz spezifischere Rechtsvorschriften erlassen werden – dies wurde in § 26 BDSG (neu) getan. Daraus resultieren wichtige Änderungen für den Arbeitnehmerdatenschutz: so wird unter anderem die Überwachung der Beschäftigten nach der DSGVO im Rahmen der Kontrolle der Arbeitsweise und des Verhaltens strenger reglementiert, wodurch viel tiefergehender zu unterscheiden sein wird nach der Begründung, der Durchführung und der Beendigung des Beschäftigungsverhältnisses. Unbedingt zu beachten ist auch, dass alle betroffenen Personen, also auch Arbeitnehmer, nach Art. 12 DSGVO einen umfassenden Informationsanspruch haben.
Da durch die – aufgrund der DSGVO – zusätzlichen Anforderungen an den Datenschutz die Möglichkeiten nicht nur weitaus eingeschränkter, sondern auch mit deutlichen Haftungsrisiken für den Unternehmer und das Unternehmen sowie, bei einem Verstoß dagegen, mit erheblichen monetären Strafen verbunden sind, empfiehlt es sich hier genauestens hinzuschauen.
Netzpalaver: Können Sie die Überwachungsmöglichkeiten etwas näher erläutern?
Microsoft-Workplace-Analytics ist hier beispielhaft zu nennen. Dies ist ein Add-On für die Enterprise-Versionen von Office-365 und muss einzeln erworben werden. Die Kosten hierfür liegen zwischen zwei und sechs Dollar – je nach Lizenzmodell. Offiziell heißt es, Workplace-Analytics liefere aussagekräftige, leicht umsetzbare Trendeinblicke in Kommunikation und Zusammenarbeit, um zu verstehen, was sich auf die Produktivität und Motivation der Mitarbeiter auswirkt – also wie lässt sich ein Unternehmen mittels Software profitabler und leistungsfähiger gestalten. Aber bedeutet es – zwischen den Zeilen – nicht auch, dass Unternehmen die Software dazu nutzen, um die Entscheidungsfindung darüber zu erleichtern, welcher Mitarbeiter das Unternehmen tatsächlich weiterbringt oder eben auch nicht? Da diese Funktionalität zusätzlich und ausdrücklich bestellt werden muss, ist es für die Unternehmen noch transparent.
Aufgepasst werden muss allerdings bei einem Release-Wechsel auf Windows-10. Dann heißt die Funktionalität OMS (Office-Management-Solution) und gibt Administratoren Auskunft darüber, wer wann welche Dinge bearbeitet, E-Mails geschrieben oder mit welchen Office-Produkten gearbeitet hat und noch unendlich viel mehr. Unter dem folgenden Link findet man weiteres Informationen dazu: https://support.office.com/en-us/article/Metric-descriptions-and-glossary-for-Workplace-Analytics-bdb79fd3-dac8-4101-83ed-8221e79a0318?ui=en-US&rs=en-US&ad=US. Insgesamt wird dadurch eine detaillierte Aufstellung darüber generiert, zu welchen Zeiten viel gearbeitet wird und wann weniger, und vor allem, von welcher Person im Unternehmen. So erhält der Unternehmer einen (angeblich allgemeinen) Bewertungsmaßstab für die Produktivität am Arbeitsplatz.
Natürlich gibt es solche Möglichkeiten auch bei anderen Software-Herstellern. Bei Anti-Malware-Lösungen läuft das ganze unter dem Stichpunkt „Geräteüberwachung“ oder auch „Kindersicherung“. Weitere Informationen dazu gibt es beispielsweise bei https://family.norton.com/web/privacy_policy.jsp .
Netzpalaver: Jetzt stellt sich natürlich für einen Unternehmer die Frage, ob und welchem Rahmen eine – vielleicht berechtigte – Überwachung der Mitarbeiter unter Einhaltung der DSGVO überhaupt möglich ist?
Bernd Fuhlert: Grundsätzlich darf der Arbeitgeber unter keinen Umständen Spionagesoftware heimlich auf jene Laptops oder PCs, die er seinen Mitarbeitern zur Verfügung stellt, implementieren und die so generierten Daten auswerten. Was hingegen möglich wäre ist, die Anmeldung am Netzwerk über diese Geräte zu protokollieren. Das ist aus dem Grund datenschutzkonform, weil infolge dieser Anmeldung kaum möglich ist, Rückschlüsse darüber zu ziehen, in welcher Form die angemeldeten Personen das jeweilige Gerät nutzen. Des Weiteren ist eine Protokollierung zulässig, wer wann auf besonders sensible Daten zugegriffen hat.
Wichtig zu beachten ist, dass alle anderen Kontrollsysteme gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz, auch zukünftig nur in Zusammenarbeit mit dem Betriebsrat eingeführt werden können. Selbst wenn ein Arbeitgeber zum Beispiel aus begründetem Verdacht heraus eine zeitlich begrenzte Überwachung durchführen möchte, muss diese mit dem Betriebs- beziehungsweise Personalrat abgestimmt werden. Generell gibt es nur ganz bestimmte Branchen, in denen auch zukünftig eine dauerhafte Überwachung zulässig sein kann. Ein Grund dafür ist, dass an einer Arbeitsstätte besondere Gefahren drohen, wie dies zum Beispiel an einem Bankschalter der Fall ist.
Netzpalaver: Wie lautet Ihr Fazit?
Bernd Fuhlert: Kurz und knapp: Eine solche Totalüberwachung verkennt, dass die Produktivität im Unternehmen auf einem vertrauensvollen Miteinander und Kollegialität basiert. Mein Tipp lautet daher ganz einfach – ein Datenschutzbeauftragter kann maßgeblich dazu beitragen, dass dies erhalten bleibt.
#Netzpalaver #@-yet
