Unternehmens- und Informations-Management Consultants

 

Startseite
UIMC
UIMCollege
Termine
Dienstleistungen
Produkte/Hilfsmittel
Veröffentlichungen
Tipp des Monats
Stellenangebote
Sitemap
Suchfunktion
Impressum/Datenschutz
Kontakt

Ausbildungsbetrieb

 

DienstleistungenAufbau eines DSMSExterne DatenschutzbeauftragungCoaching eines int. DSBDatenschutz-AnalysenSchulungenHilfsmittelLösungen

 

Problem des Datenschutzes bei der Weitergabe von Mitarbeiter-Privatanschriften

 

A.   Nutzung der Adressdaten der Mitarbeiter zum Versand von Zeitschriften

 

Bei der Rechtmäßigkeit des Versands von Zeitschriften an die Privatanschriften der Mitarbeiter ist es unerheblich, ob der Versand durch Dienstleister oder durch das Unternehmen selbst veranlasst wird.

 

Bekanntlich sind die „Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das Gesetz [BDSG] oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“

 

Eine solche Rechtsnorm kann im Zusammenhang des Beschäftigungsverhältnisses im neuen § 32 BDSG gesucht werden, wonach „personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für dessen Durchführung oder Beendigung erforderlich ist.“

 

Dies ist nach herrschender Rechtsmeinung nicht gegeben, da die Datennutzung zum Versand einer Zeitschrift an die Privatanschrift nicht für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist.

 

Ferner kann geprüft werden, inwiefern die Datennutzung auf Basis des § 28 Absatz 1 Satz 1 Nr. 2 BDSG zulässig ist: , da „das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.“

In diesem Zusammenhang gehen die Rechtsmeinungen jedoch auseinander. Nach Auffassung verschiedener Aufsichtsbehörden, ist eine Datennutzung in diesem Zusammenhang jedoch zulässig. So sieht es die Aufsichtsbehörde Schleswig-Holstein (ULD), welche als recht restriktiv bei der Haltung im Rahmen des o. g. „Abwägungsparagrafen“ gilt (eine Rechtsauffassung der Aufsichtsbehörde in NRW konnte nicht recherchiert werden), so, dass der Arbeitgeber ein berechtigtes Interesse an der Versendung von ihm geteilten Meinungen hat. Berechtigt ist jedes Interesse, das mit der Rechtsordnung im Einklang steht. Die Meinungsbildung über politische und wirtschaftliche Fragen und die Verbreitung der Meinung der Arbeitgeber sind berechtigte Interessen. Hierfür ist die Versendung von Fachzeitschriften erforderlich. Hieran ändert sich nichts dadurch, dass es möglich wäre, die Zeitung auch im Betrieb den Arbeitnehmern zugänglich zu machen. Es dürfte unstreitig sein, dass das Ziel der Meinungsbildung im häuslichen Umfeld des Arbeitnehmers besser erreicht wird.

Überwiegende schutzwürdige Interessen der Betroffenen werden nicht verletzt. Wenn ein Arbeitnehmer die Nutzung der Daten zur Versendung von Fachzeitschriften unterbinden will, so kann er dies jederzeit durch einen entsprechenden Widerspruch tun. § 28 Absatz 4 BDSG ist anwendbar. Dadurch, dass durch die Zeitung zwingend ab der ersten Ansprache mit einem Formular die Möglichkeit des Widerspruchs angeboten wird, wird der Aufwand für einen solchen Widerspruch minimiert.“

 

Die Aufsichtsbehörde Baden-Württemberg teilt hingegen die Bedenken der wohl überwiegenden Literaturmeinung und lehnt die Weitergabe der Mitarbeiterdaten ab. Sie sieht keinen hinreichenden Zusammenhang mit dem Arbeitsverhältnis und fordert eine Einwilligung der Betroffenen. Auf jeden Fall muss der Mitarbeiter umfassend über die Datenübermittlung sowie sein Widerspruchsrecht informiert werden. Hierbei muss sichergestellt werden, dass ein Widerspruch dem Arbeitgeber nicht zur Kenntnis gelangt und dadurch keine nachteiligen Folgen für den Arbeitnehmer entstehen.

Daher kann festgehalten werden, dass die Nutzung der Privatanschriften für den Versand einer Zeitschrift zwar zulässig, aber nicht unumstritten ist. Seit der Novellierung des BDSG im September 2009 ist es im – auch vom gesprochenen – Widerspruchsrecht erforderlich, den Betroffenen bei jeder Zusendung der Zeitschrift hierüber zu informieren

 

B.    Datenverarbeitung durch einen Dienstleister

 

Da die Durchführung solcher Aufgaben in Kooperation mit einem Dienstleister vorgenommen wird,  gelten die Bedingungen des § 11 BDSG. Besonders sind hierbei die gemäß Anlage zu § 9 zu treffenden technischen und organisatorischen Maßnahmen zu berücksichtigen:

 

Eingabekontrolle

 

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten des Auftraggebers in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Die Zugangsprotokolle umfassen erfolgreiche/erfolglose Logins und vom Benutzer bzw. dem System initiierte Logins. Systemsicherheitsrelevante Aktivitäten (alle Aktivitäten im Administrator-Modus) sind zu protokollieren. Die Protokolldaten sind manipulationssicher, zeitnah verfügbar und gemäß den gesetzlichen Anforderungen aufzubewahren. Der Zugriff auf Protokolldaten ist nur autorisierten Benutzern zu gestatten. Die Protokolldaten sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

 

Auftragskontrolle

 

Es ist sicherzustellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Hierzu sind die Regelungen des Datenschutzvertrags/der Datenschutzvereinbarung zur Kontrolle und zu Subunternehmen sowie § 11 BDSG zu beachten.

 

Verfügbarkeitskontrolle

 

Personenbezogene Daten des Auftraggebers sind gegen zufällige Zerstörung oder Verlust zu schützen.

Um das Risiko eines Datenverlusts zu reduzieren, sind regelmäßige Datensicherungen durchzuführen, welche mit dem Auftraggeber abzusprechen sind. Ferner sind die Datenverarbeitungssysteme entsprechend zu warten und zu aktualisieren.

 

Die Trennungskontrolle ist im zugrunde liegenden Vertrag bzw. in den AGB zu regeln.

 

Auch wenn durch den Gesetzgeber „die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen“ offen formuliert wird und eine entsprechende Regelung in den AGB enthalten ist, wird empfohlen, dass eine vorherige Information, wenn nicht sogar eine Genehmigung durch das Unternehmen eingeholt werden sollte, bevor ein Unterauftragsverhältnis gestartet wird. Dies ist zwar nicht zwingend, aber zu empfehlen.

 

Die Vereinbarungen, die mit dem Auftragnehmer oder der bei ihm beschäftigten Personen getroffen werden, müssen Regelungen enthalten, dass bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderer Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers eine unverzügliche Information an den Auftraggeber erfolgen muss.