Person mit Brille im Fokus arbeitet an einem Laptop und versucht sich mit einem Passwort einzuloggen
© Song_about_summer | stock.adobe.com

Die Aufsichtspflicht des Arbeitgebers bei der Datenverarbeitung durch seine Mitarbeiter

Arbeitgeber müssen sicherstellen, dass personenbezogene Daten nur auf Anweisung verarbeitet werden

Lesedauer: 8 Minuten

Die Datenschutzgrundverordnung regelt im Art 29, dass Personen, die Zugang zu personenbezogene Daten haben, aber einem Verantwortlichen unterstellt sind, diese Daten ausschließlich nur auf Weisung des Verantwortlichen verarbeiten dürfen.

Art 32 Abs.4 Datenschutzgrundverordnung regelt darüber hinaus, dass der Verantwortliche Schritte zu unternehmen hat, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf seine Anweisung verarbeiten.

Diese Bestimmungen wirken auch im Arbeitsverhältnis. Sie beziehen sich auf Arbeitnehmer, die – aus welchen Gründen auch immer, Zugang zu personenbezogenen Daten haben. Letztendlich gilt:

  • Arbeitnehmer, die Zugang zu personenbezogene Daten haben, dürfen diese ausschließlich nur dann verarbeiten, wenn ihnen der Arbeitgeber dazu auch die entsprechende Weisung erteilt hat.
  • Der Arbeitgeber hat sicherzustellen, dass Personen, die Zugang zu personenbezogenen Daten haben, diese nur verarbeiten, wenn er dazu auch eine Anweisung erteilt hat.

Diese Neuregelung macht es notwendig, dass die Unternehmen  neuerlich einen Blick auf die Aufgabenbereiche machen, die die Mitarbeiter des Unternehmens im Einzelnen wahrzunehmen haben. Dabei ist zu prüfen:

  • Welche Mitarbeiter des Unternehmens haben Zugang zu personenbezogenen Daten?
  • Um welche Daten handelt es sich dabei im Einzelnen?
  • Wie werden diese Daten im bzw. vom Unternehmen verarbeitet? 

Diese Prüfung kann ergeben, dass der beschäftigte Mitarbeiter eben keinen Zugang zu personenbezogenen Daten hat. 

Beispiel: 

Der Mitarbeiter ist in einem Restaurant als Küchenhilfskraft beschäftigt. Der Mitarbeiter ist als Hilfskraft in der Lebensmittelproduktion beschäftigt.

Diese Prüfung wird aber meist ergeben, dass der beschäftigte Mitarbeiter eben doch Zugang zu personenbezogenen Daten hat. Daher ist festzustellen, inwieweit diese personenbezogenen Daten vom Unternehmen verarbeitet werden, und wie der einzelne Mitarbeiter an dieser Verarbeitung mitwirkt bzw. mitzuwirken haben. Dabei ist der genaue Inhalt des Begriffes „Verarbeitung“ zu beachten und zu berücksichtigen, dass dieser Begriff sehr vielfältig und auch umfangreich ist. 

„Verarbeitung“ ist ein Vorgang, der im Zusammenhang mit personenbezogenen Daten ausgeführt wird. Dabei ist es unerheblich, ob dies mit oder ohne Hilfe automatisierter Verfahren geschieht. 

Zu Vorgängen, die als Verarbeitung anzusehen sind, gehören das Erheben, das Erfassen, die Organisation, und das Ordnen von Daten, aber auch die Speicherung, die Anpassung oder die Veränderung von Daten, sowie das Auslesen, das Abfragen und die Verwendung von Daten.

Die Verarbeitung der Daten in einer dieser Formen, also etwa das Erfassen der Daten eines Kunden oder eines Lieferanten oder auch eines Stellenbewerbers, sind ebenso wie das Ordnen und Speichern dieser Daten, Vorgangsweisen, die meist zur Folge haben, dass dabei die entsprechenden personenbezogenen Daten im Unternehmen bleiben, und gerade nicht jemand anderem als dem Unternehmen und seinen Mitarbeitern zugänglich werden.

Zum Verarbeiten personenbezogener Daten gehören aber auch die Offenlegung der Daten durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung. Diese Formen der Datenverarbeitung, insbesondere aber die Übermittlung haben zur Folge, dass personenbezogene Daten auch jemand anderem, als dem Unternehmen und seine Mitarbeitern bekannt gemacht werden. Diese Art der Verarbeitung personenbezogener Daten erfordert daher eine erhöhte Verantwortung. 

Zum Verarbeiten personenbezogener Daten gehört aber auch der Abgleich oder die Verknüpfung von Daten, sowie die Einschränkung: 

  • Abgleichen oder verknüpfen ist ein Vorgang, wodurch zwei oder mehr bekannte, aber separat gespeicherte Daten einander zugeordnet werden.
  • Die Einschränkung von Daten liegt vor, wenn gespeicherte personenbezogene Daten mit dem Ziel markiert werden, ihre künftige Verarbeitung einzuschränken. 

Diese Art der Verarbeitung von Daten erfordert vom damit befassten Mitarbeiter idR eine entsprechende Übersicht über die im Unternehmen gespeicherten Daten. Überdies wird er umfangreiche und übergreifende, auch komplexere Fragen zu beantworten bzw. darüber zu entscheiden haben. 

Das Verarbeiten von Daten kann aber auch im Löschen bestehen. Dadurch werden gespeicherte personenbezogene Daten von allen Datenträgern so entfernt, dass sie danach nicht mehr ausgelesen werden können. Das Verarbeiten kann aber auch im Vernichten, also darin bestehen, dass der Datenträger selbst zerstört wird, wodurch personenbezogene Daten  unleserlich werden.

Weisung des Arbeitgebers an den Mitarbeiter 

Der Inhalt einer Weisung des Arbeitgebers kann sehr generell gehalten sein, er kann aber auch sehr konkret sein. Er kann sich auf typisierte Vorgänge im Unternehmen beziehen, die in großer Anzahl stattfinden, er kann aber auch nur konkrete Einzelfälle zum Inhalt haben, die nur selten auftreten.

Die Weisung des Arbeitgebers personenbezogene Daten zu erheben und zu erfassen, bezieht sich in vielen Fällen nur auf einfache Vorgänge, die von mehreren Mitarbeitern oftmals durchzuführen sind. 

Beispiel: 

Eine Handelskette beauftragt seine Mitarbeiter im Verkauf den Kunden eine Kundenkarte anzubieten. Dieser Auftrag ist mit der Weisung verbunden, dem interessierten Kunden einen Fragebogen auszuhändigen, mit dem dieser personenbezogen Daten bekannt gibt, den ausgefüllten Bogen entgegen zunehmen, und die darin bekannt gegeben Daten im EDV System zu erfassen.

Aber auch das ordnen personenbezogener Daten kann ein einfacher Vorgang der Sachbearbeitung sein, mit dem ein Mitarbeiter beauftragt wird. 

Beispiel: 

Ein Serviceunternehmen hat langfristige Wartungsverträge mit vielen Kunden einzuhalten. Die Termine für die vorgeschriebenen Sicherheitsüberprüfungen der den Kunden gehörenden, und vom Unternehmen zu wartenden Geräte sind vorgegeben. 

Eine Sachbearbeiterin ist damit beauftragt diese Termine zu ordnen, damit die erforderlichen Arbeiten rechtzeitig vereinbart werden können. Sie ist somit aufgrund einer nur sie betreffenden Weisung damit beauftragt, personenbezogene Daten zu ordnen.

Der Aufgabenbereich des Mitarbeiters kann aber auch zum Inhalt haben, personenbezogene Daten durch Übermittlung zu verarbeiten. Damit bleiben personenbezogene Daten nicht mehr nur dem Unternehmen bekannt. Sie werden auch jemand anderem außerhalb des Unternehmens bekannt.  

Beispiel: 

In einem größeren Unternehmen mit mehreren hundert Beschäftigten kommt es nahezu in jedem Monat zu einem Beginn bzw. zu Beendigungen von Dienstverhältnissen. Eine Mitarbeiterin der Personalabteilung ist beauftragt die entsprechenden An- und Abmeldungen bei der Gebietskrankenkasse vorzunehmen, eine andere Mitarbeiterin dazu, diese Meldungen vertretungsweise zu erstatten.

Zur Übermittlung personenbezogener Daten kann es aber auch innerhalb eines Unternehmens kommen. Auch dafür braucht es einer Anweisung an  Mitarbeiter dementsprechend vorzugehen. 

Beispiel: 

Die Mitarbeiterin der Personalabteilung, die die An- und Abmeldungen bei der Gebietskrankenkasse vorzunehmen hat, ist überdies dazu beauftragt, die erfolgte Einstellung von Arbeitnehmern dem Betriebsrat unverzüglich mitzuteilen, und dabei auch dafür zu sorgen, dass die entsprechende Mitteilung die gesetzlich vorgesehenen Inhalte aufweist.

Das Abgleichen und Verknüpfen von personenbezogene Daten ist ein Vorgang, der mit einer erhöhten Verantwortung verbunden ist. Es ist dabei im Vorhinein eingehend zu prüfen, ob das in Aussicht genommene abgleichen von personenbezogenen Daten wegen der sich daraus ergebenden Inhalte und Informationen rechtlich gedeckt ist, oder die Verletzung von datenschutzrechtlichen Bestimmungen, oder auch anderer Normen zur Folge hat.

Beispiel: 

Der Verkaufsleiter eines Autoverleihers erteilt den Mitarbeitern der Kundendienststellen den Auftrag festzustellen, welche Autos Frauen bzw. welche Autos Männer besonders häufig wählen, aber auch welche Autos Kunden besonders häufig wählen, die sich als Touristen aus dem asiatischen Raum in Europa aufhalten.

Unternehmen die personenbezogene Daten erheben und verarbeiten werden diese Daten auch zum gegeben Zeitpunkt löschen müssen. Diese Weisung kann ein konkreter individueller Auftrag an einen Mitarbeiter sein, unverzüglich Daten zu löschen, die sich auf eine bestimmte Person beziehen.

Beispiel: 

Frau Eva Adam, ehemalige Kundin des Unternehmens macht ihr „Recht auf Vergessenwerden“ geltend. Sie beantragt, dass das Unternehmen die sie betreffenden personenbezogenen Daten unverzüglich löscht. Der Geschäftsführer des Unternehmens beauftragt den Verkaufsleiter alle personenbezogenen Daten, die sich auf Frau Adam beziehen unverzüglich zu löschen. Der Verkaufsleiter muss also dafür zu sorgen, dass die Daten der Fr. Adam ab sofort nicht mehr von den Datenträgern des Unternehmens ausgelesen werden können.

Die Weisung personenbezogen Daten zu löschen, kann aber auch ein genereller Auftrag des Unternehmens an einen Mitarbeiter sein, der Teil der Stellenbeschreibung des Mitarbeiters ist. 

Beispiel: 

Die mit den Recruiting Angelegenheiten des Unternehmens beschäftigte Mitarbeiterin ist von der Geschäftsleitung angewiesen, die personenbezogene Daten jener Stellenbewerber, die nicht in ein Dienstverhältnis aufgenommen worden sind, zu löschen. Weil Stellenbewerber binnen 6 Monaten nach der Ablehnung der Bewerbung Schadenersatzansprüche stellen können, beinhaltet die Weisung den Auftrag, dass die Löschung erst nach dem Ablauf von sieben Monaten ab dem Ende des Bewerbungsprozesses zu erfolgen hat.

Sicherstellen, dass personenbezogene Daten nur auf Anweisung verarbeitet werden 

Der Arbeitgeber ist verpflichtet die notwendigen organisatorischen und technischen Absicherungen vorzunehmen, die gewährleisten, dass alle Personen, die Zugang zu personenbezogenen Daten haben, diese auch nur auf Anweisung verarbeiten. 

Die Verantwortlichkeiten hinsichtlich der Verarbeitung personenbezogener Daten müssen also klar und unmissverständlich zugeteilt werden. Damit steht aber auch fest: 

  • Es ist nicht ausreichend, Mitarbeiter auf das gesetzlich angeordnete Datengeheimnis hinzuweisen, und von ihnen die Pflicht einzufordern, dieses auch einzuhalten.
  • Unternehmen müssen darüber hinaus konkrete Anweisungen erteilen, wie mit personenbezogenen Daten umzugehen ist. Sie müssen den Mitarbeitern darlegen, welche konkreten Vorgaben sie einzuhalten und welche Verhaltensregeln sie zu beachten haben.  

Beispiel: 

Eine Handelskette beauftragt seine Mitarbeiter im Verkauf den Kunden eine Kundenkarte anzubieten. Dieser Auftrag ist mit der Weisung verbunden, personenbezogene Daten von Kunden zu erheben, wenn sich der Kunde dazu entschließt die Kundenkarte zu wählen.

Die Verkaufsmitarbeiter erhalten genaue Vorgaben, wie mit den vom Kunden ausgefüllten Fragebogen umzugehen ist. Sie werden ausdrücklich darauf hingewiesen, dass sie niemandem davon Mitteilung machen dürfen, welche Kunden eine Kundenkarte beantragt haben. Ihnen wird ausdrücklich verboten, über ihnen bekannt gewordene Geburtsdaten und Wohnadressen von Kunden, auch nicht in der Familie und im Freundeskreis zu erzählen.

  • Die Mitarbeiter sind aber auch so zu schulen, dass sie selbst erkennen können, wann sie personenbezogene Daten nicht mehr den Weisungen entsprechend, sondern unberechtigt verarbeiten. 

Beispiel:

Die Mitarbeiterin der Personalabteilung, die die An- und Abmeldungen bei der Gebietskrankenkasse vorzunehmen hat, ist überdies dazu beauftragt, die erfolgte Einstellung von Arbeitnehmern dem Betriebsrat unverzüglich mitzuteilen. 

Ihr wird anlässlich der Übertragung dieser Aufgabe klargelegt, welche Positionen im Unternehmen, die eines leitenden Angestellten sind, für die eine Mitteilung an den Betriebsrat nicht vorsehen ist. Überdies wird mit ihr darüber gesprochen, dass das ArbVG noch weitere Fälle kennt, die die Übermittlung personenbezogener Daten an den Betriebsrat vorsehen. Diese darf sie aber nicht vorzunehmen. Sie ist damit entsprechend geschult, selbst zu erkennen, was sie dem Betriebsrat nicht übermitteln darf.

Rechtsquellen: Art 29, 32 DSGVO 

Stand: 26.06.2018

Weitere interessante Artikel
  • Rendering leuchtender Würfel mit 1 und 0 miteinander durch leuchtende Ketten verbunden
    EU-Daten­schutz-Grund­verordnung (DSGVO): Datenschutz­rechtliche Pflicht zur Daten­übertrag­barkeit 
    Weiterlesen
  • Eine Person sitzt bei einem Schreibtisch und blickt dabei auf einen Monitor, eine zweite Person mit Brille und Bart steht dahinter und blickt ebenfalls freudig auf den Monitor
    EU-Datenschutz-Grundverordnung (DSGVO): Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter
    Weiterlesen