Datenschutz: Unterschiedliche Rollen der Mitarbeiter nicht verwechseln

„Mitarbeiter als Betroffener” gedanklich trennen vom „Mitarbeiter als Erfüllungsgehilfe”

Als Grundlage ist es für die Geschäftsführung und für die Personalabteilung hilfreich, gedanklich zunächst 2 Rollen klar voneinander zu unterscheiden, die jeder Mitarbeiter in sich vereint: Er ist einerseits „Betroffener”, da seine personenbezogenen Daten durch den Arbeitgeber verarbeitet werden, und andererseits quasi „Erfüllungsgehilfe”, da das Sozialunternehmen seine datenschutzrechtlichen Verpflichtungen nur dann erfüllen kann, wenn die Mitarbeiter daran zuverlässig mitwirken. Aus jeder der beiden Rollen ergeben sich für den Arbeitgeber datenschutzrechtliche Anforderungen, die er erfüllen muss.

Schematische Darstellung am Beispiel einer Pflegeeinrichtung: Der Mitarbeiter ist sowohl der Handelnde zur tatsächlichen Erbringung der Pflegeleistung als auch seinerseits Betroffener der Datenverarbeitung durch den Arbeitgeber.

Der Mitarbeiter als Betroffener: Standardgeschäft

Da jeder Arbeitgeber gezwungen ist, die personenbezogenen Daten seiner Mitarbeiter zu verarbeiten, zählt die Einhaltung der damit verbundenen datenschutzrechtlichen Pflichten zum Standardgeschäft jeder Personal­abteilung. Die Informationspflichten gegenüber dem Mitarbeiter nach Art. 13 und ggf. 14 sind zu erfüllen, was normalerweise in Form eines Informationsschreibens erfolgt. Notwendige Informationen sind die Zwecke der Verarbeitung und deren Rechtsgrundlage, die Empfänger bzw. deren Kategorien, Speicherdauer, Information über die Betroffenenrechte sowie Informationen, die meist lediglich als „Fehlanzeige” aufzuzeigen sind wie Profiling und Übermittlungen in ein Drittland. Zu den im Informationsschreiben häufig vergessenen Empfänger­kategorien gehören der Betriebsrat oder auch Behörden, mit denen man als Sozialunternehmen nicht regelmäßig Kontakt hat, z.B. Ausländerbehörde, Zoll o.ä.

Aufmerksamkeit auf Einwilligungsbedürftige Sachverhalte

Die Tatsache, dass auch manche Verarbeitung der Mitarbeiterdaten einwilligungsbedürftig sein kann, wird in der Praxis der Sozialwirtschaft leider noch zu oft übersehen. Es gilt die Faustregel: Wenn eine Verarbeitung nicht (zwingend) erforderlich ist, um den Pflichten aus dem Beschäftigungsverhältnis oder einer (konkret benennbaren) gesetzlichen Verpflichtung nachzukommen, dann wird für die Verarbeitung eine Einwilligung benötigt. Praxisbeispiele für solche einwilligungsbedürftigen Sachverhalte sind das Gruppenfoto der Pflegekräfte auf der Website der Einrichtung oder auch die automatische Erfassung der Kfz-Kennzeichen an der Parkplatz­einfahrt. Dem datenschutzrechtlichen Qualitäts-Check halten die in der Praxis verwendeten Einwilligungen leider sehr oft nicht stand. Häufig zu beobachtende Mängel sind eine nicht ausreichend konkrete Nennung des Gegenstandes, das Fehlen von möglichen Folgen, die die Einwilligung für den Mitarbeiter haben kann (Stichwort „Das Internet vergisst nichts”) und auch die ausdrücklichen Hinweise auf Widerrufsmöglichkeit und reiwilligkeit. Da der Arbeitgeber nachweisen können muss, dass die Einwilligung tatsächlich vorlag, scheiden mündliche oder gar „konkludente” Einwilligungen von vornherein aus.

Auf den Geschmack gekommen: Datenschutz als Instrument im Arbeitsrecht

Immer häufiger begegnet man dem Phänomen, dass die Betroffenenrechte des Datenschutzes in arbeits­rechtlichen Auseinandersetzungen auf Arbeitnehmerseite instrumentalisiert werden. Bekanntestes Beispiel ist wahrscheinlich das Urteil des LAG Baden-Württemberg vom Dezember 2018 zum Auskunftsrecht eines Mitarbeiters, mit dem diesem das Recht zuerkannt wurde, Kopien auch von solchen personenbezogenen Daten zu erhalten, die nicht Teil der Personalakte sind. Aus der Entscheidung geht jedoch nicht klar hervor, welchen Umfang dieses Recht auf Kopie haben soll. Eine solche Präzisierung wäre natürlich aus der Anwendungspraxis des Datenschutzes heraus wünschenswert gewesen. Im Übrigen wurde zu diesem Urteil Revision beim Bundes­arbeitsgericht eingelegt. Eine Aufsichtsbehörde wie etwa das Landesamt für Datenschutzaufsicht in Bayern verneint demgegenüber explizit und aus gutem Grund, dass der Arbeitnehmer Anspruch beispielsweise auf eine Kopie seines E-Mail-Postfaches hätte. Schließlich müssen hier auch die Datenschutz-Interessen anderer betroffener Personen sowie der Schutz der Geschäftsgeheimnisse des Arbeitgebers berücksichtigt werden. Dennoch: Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO gehören inzwischen zum Standardrepertoire im Arbeitsrecht.

Der Mitarbeiter als Erfüllungsgehilfe: Weisungsrecht ausüben und Verpflichtung dokumentieren

Die Einhaltung des Datenschutzes ohne das aktive Mitwirken der Mitarbeiter ist in einem Sozialunternehmen nicht zu gewährleisten. Daraus ergeben sich für den Arbeitgeber, der der datenschutzrechtlich Verantwortliche ist, mehrere Notwendigkeiten, wenn Bußgeld- und Schadensersatzrisiken vermieden werden sollen. Zum einen sollte der Arbeitgeber gegenüber dem Arbeitnehmer klar und nachvollziehbar von seinem Weisungsrecht Gebrauch machen und bestimmte Verhaltensweisen, „Dos” und „Don’ts”, vom Mitarbeiter ausdrücklich einfordern. Wichtige Inhalte darin sind beispielsweise der Vertraulichkeitsgrundsatz an sich, Grundregeln im Umgang mit den Klienten und ihren Angehörigen sowie mit Kollegen, Sorgfalt in der IT-Nutzung, Verbot der privaten E-Mail-Nutzung dienstlicher Accounts und die ausschließliche Nutzung dienstlicher Infrastruktur für dienstliche Zwecke. Zu beachten ist dabei, dass die Anweisung so gestaltet wird, dass sie ggf. auch in Streitfällen arbeitsrechtlich durchsetzbar ist. Dabei ist neben der eindeutigen Formulierung insbesondere auch die Frage einer eventuellen Mitbestimmungspflicht zu prüfen.

Zum anderen muss darauf geachtet werden, jeden Mitarbeiter förmlich durch eine unterschriebene Erklärung auf das Datengeheimnis hinzuweisen, wobei auch ausdrücklich auf die geltenden betriebsinternen
Anweisung­en zum Datenschutz verwiesen werden sollte.

Keine Datenschutz-Compliance ohne Mitarbeiterschulung

Personenbezogene Daten müssen nach Art. 5 Abs. 1 lit. f) DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet. Daraus folgt, dass alle Mitarbeiter, die mit personen­bezogenen Daten umgehen, geschult sein müssen, denn ohne eine Schulung als Kern aller organisatorischen Maßnahmen kann die angemessene Sicherheit nicht gewährleistet werden. Klassische Schulungsinhalte umfassen dabei sicherlich das „Basiswissen” zu personenbezogenen Daten und dem Vertraulichkeitsgrundsatz. Aber gerade der Transfer aus dem abstrakten Datenschutzrecht in die alltägliche Praxis der Sozialeinrichtung, also in der Pflege beispielsweise der Umgang mit externen Mitwirkenden wie Therapeuten, Ärzten und Kliniken, sollte berücksichtigt werden, da ansonsten die Arbeitswirklichkeit der Mitarbeiter nicht ausreichend aufgegriffen wird. Rödl & Partner bietet entsprechende Online-Schulungen speziell für Pflegeeinrichtungen und Pflegedienste sowie, ab November 2019, auch für Kliniken und für Kitas an.