Datenschutz in der Personalabteilung: Auch hier ist Datensparsamkeit angesagt

Ein Klassiker ist beispielsweise die nicht rechtzeitige Löschung von Bewerberdaten. Denn viele Unternehmen speichern Bewerbungen in einer Art Talent-Pool für die Zukunft, ohne dass die Bewerber dazu informiert wurden, geschweige denn eingewilligt haben. Die Speicherung ist aber nur bis zu sechs Monate nach Abschluss des Auswahlverfahrens zulässig, damit die Daten bei eventuellen Klagen nach dem Allgemeinen Gleichbehandlungsgesetz noch vorhanden sind. Einer längeren Speicherung müssen Bewerber ausdrücklich zustimmen.

Im Vorfeld ist natürlich zu klären, welche Daten denn überhaupt erhoben werden dürfen. Hier gilt das Prinzip der Datensparsamkeit – also darf nur abgefragt werden, was wirklich relevant für die Stelle ist. In einem Fall wollte ein Unternehmen, das wohl wirklich allumfassend informiert sein wollte, von potenziellen Mitarbeitern z.B. auch gleich wissen, wie es mit der Kündigung des aktuellen/vorherigen Jobs aussieht, wie Ehepartner und Kinder heißen, wann diese geboren wurden, was sie arbeiten bzw. wo sie in den Kindergarten / zur Schule gehen, wie die Wohnsituation ist und ob Krankheiten oder Schulden vorliegen. Nach einem freundlichen Hinweis der zuständigen Aufsichtsbehörde hat das Unternehmen den Bewerbungsfragebogen dann nicht mehr verwendet und das Bewerbungsverfahren umgestellt.

Auch, wo und mit welchem Dienst man erhobene Daten speichert, spielt eine ganz entscheidende Rolle. Bei Microsoft Office gibt es die klassischen, auf dem Rechner installierten Programme Word, Excel usw. – oder aber die Möglichkeit, die Software über die Cloud von „Microsoft 365“ im Abo laufen zu lassen und dann immer nur den Teil davon zu nutzen, den man gerade braucht. Natürlich speichert Microsoft die Daten dann aber in den USA, sodass die dortigen Behörden durchaus auch Zugriff auf sie haben. Die Datenschutzbeauftragten von Bund und Ländern sind daher uneins und ringen um eine gemeinsame Linie. Ausgangspunkt ist u.a. das Urteil des Europäischen Gerichtshofs in Sachen „Privacy Shield“. Da die Datenschutzbeauftragten der Bundesländer zuständig sind, könnte es sogar dazu kommen, dass Office 365 in einem Bundesland erlaubt ist – dort wo die Datenschützer auf Microsofts Kompromissbereitschaft setzen – und im anderen nicht – wo die Kollegen eher vorsichtig sind und erst Fakten schaffen wollen. Für Nutzer ist diese Uneinigkeit natürlich absolut nicht zufriedenstellend. Und selbst wenn die Datenschutzbehörden grünes Licht geben, müssen sie doch Klagen befürchten, wenn beispielsweise doch Daten von ihren Kunden in den USA auftauchen. Wer Office 365 nutzt, muss also genau prüfen, ob sogenannte Inhaltsdaten an Microsoft abfließen können. Das mit Sicherheit auszuschließen, ist aber quasi unmöglich. Auf der sicheren Seite ist man nur mit einer datenschutzkonformen Alternative.

Nun aber wieder zurück zum eigentlichen Thema. Da widmen wir uns nun der Kategorie „Zwar praktisch, aber dennoch unzulässig“:

Nummer 1: Gehaltsabrechnungen dürfen nicht einfach unverschlüsselt per E-Mail an die Mitarbeiter verschickt werden. Die Aufsichtsbehörden verweisen hier darauf, dass das genauso sicher sei, wie eine mit Bleistift geschriebene Postkarte zu verschicken – also absolut unangemessen für solch sensible Daten.

Nummer 2: Die Zusendung ärztlicher Atteste bei einer Krankmeldung darf nicht über WhatsApp verlangt werden. Denn auch Krankmeldungen sind sensible Daten – und bei WhatsApp kann der Zugriff Dritter auf diese nicht ausgeschlossen werden. (Ganz aktuell: Sicherheitsbehörden sollen bald auf Wunsch der EU verschlüsselte Kommunikation wie auf WhatsApp mitlesen können; wohl wissend, dass die Sicherheit aller darunter leidet. Aber auch: Das Bundesverfassungsgericht hat zum so genannten „Data Mining“ entschieden, dass die erweiterte Datennutzung nach dem Antiterrordateigesetz teilweise verfassungswidrig ist.)

Nummer 3: Wie können Arbeitgeber korrekt die Arbeitszeit ihrer Beschäftigten erfassen? Jedenfalls nicht mit Fingerabdruckscannern. Zwar kann man den Scanner wohl noch weniger austricksen als andere Systeme, aber die Aufsichtsbehörden sind der Auffassung, dass weniger risikobehaftete Mittel zur reinen Zeiterfassung zur Verfügung stehen. Die Erfassung biometrischer Daten beeinträchtigt die Rechte der Arbeitnehmer zu stark.

Nummer 4: Den Standort von Mitarbeitern zu tracken ist problematisch. Jüngstes Beispiel ist Lieferando. Hier läuft das Tracking in der Regel auch noch über das private Handy der Fahrer, was bei diesen zu einem hohen Datenverbrauch führt. Die App übermittelt und speichert – personalisiert und durchaus jahrelang (!) – sekundengenaue Angaben vom Eingang der Bestellung über die Abholung der Speisen bis hin zur Übergabe beim Kunden sowie Kalkulationen, inwieweit der Fahrer vorgegebene Zeiten einhält. Damit lässt sich ein präzises Leistungs- und Verhaltensprofil erstellen, das die Fahrer extrem unter Druck setzt. Angesichts schon zahlreicher Gerichtsurteile gegen Lieferando ist es hoffentlich nur eine Frage der Zeit, bis die Behörden auch dieser Praxis ein Ende setzen. (Dazu passend: In Apples App-Store müssen Entwickler jetzt anzeigen, welche Daten sie sammeln; das soll Transparenz für die Nutzer schaffen.)

Nummer 5: Bei Anrufen in Call-Centern hört man oft, dass einzelne Anrufe „zu Schulungszwecken“ aufgezeichnet werden (können). Die Bremer Datenschutzaufsicht zweifelt an dieser Begründung und wertet sie als einen Verstoß gegen das Datenschutzrecht, da für die Schulung der Beschäftigten gerade die Aufzeichnung nicht erforderlich ist. Außerdem muss auch der Angestellte zustimmen, dass er einer Aufzeichnung zustimmt – eine Zustimmungspflicht im Rahmen des Jobs liegt hier in der Regel nicht vor.

Nummer 6: Arbeitgeber fürchten sich natürlich auch vor diebischen Angestellten, die entweder Waren oder Daten „mitgehen lassen“. Anlasslose Kontrollen sind dennoch unzulässig. Nur wenn ein konkreter, belegbarer Verdacht vorliegt, darf kontrolliert werden – aber auch nur in angemessener Form. Ansonsten überwiegt das schutzwürdige Interesse des Beschäftigten und es gilt die Unschuldsvermutung. Einen Generalverdacht darf es aus Sicht des Datenschutzes nicht geben.

Diese Beispiele spiegeln eine kleine Auswahl typischer Stolperfallen im Umgang mit Beschäftigten und Bewerbern wider, die an dieser Stelle vielleicht ein erstes Nachdenken darüber verursachen. Im Einzelfall kommen natürlich noch Dutzende weitere zu beachtende Aspekte hinzu, über die wir uns gern individuell austauschen können.

In meinem letzten Blogeintrag ging es unter anderem um den Streit zwischen „Itsmydata“ und „Check24“. Dazu möchte ich noch diesen Artikel mit dem Titel „Datenteilung und Datentreuhänder: Baldige Zukunft oder bloße Fiktion?“ als Denkanstoß nachreichen.

Dass der Datenschutz sich auch immer mehr mit dem Kartellrecht überschneidet, zeigen die jüngsten Klagen gegen Facebook und Google: Texas und neun weitere US-Staaten verklagen Google für dessen Verhalten im Werbemarkt; illegale Tricks, Lügen und ein Kartell mit Facebook sollen das Werbemonopol zementiert haben. 48 der US-Bundesstaaten verklagen außerdem Facebook, weil es mit seiner marktbeherrschenden Stellung einen freien Wettbewerb verhindern würde und illegal ein Monopol aufgebaut hätte. Die Bundesstaaten wollen erreichen, dass die Übernahmen von WhatsApp und Instagram für illegal erklärt werden und deren Verkauf gerichtlich angeordnet wird, „damit Innovation und freier Wettbewerb gedeihen können“. Facebook hatte bei der Übernahme von WhatsApp und Instagram stets beteuert, die Daten der verschiedenen Dienste seien technisch gar nicht miteinander verknüpfbar. Schon kurze Zeit nach den jeweiligen Übernahmen wurden sie dennoch miteinander verzahnt. Im Übrigen hat die US-Regierung in einer Klage im Oktober auch Google die Aufspaltung nahegelegt. Auch Australien verklagt Facebook und wirft dem Netzwerk vor, mit dem Schutz privater Daten zu werben, während insgeheim die Informationen genutzt würden, um Übernahmeziele ausfindig zu machen.

Auch die EU geht bei der Regulierung voran: Kurz vor Weihnachten legte sie einen Entwurf für ein Gesetz für digitale Dienste vor. Es soll quasi als Grundgesetz für die großen Tech-Konzerne gelten, indem es EU-weit einheitliche Vorschriften für die Moderation von Inhalten und den Datenschutz schafft und zu deren Durchsetzung eine durchschlagskräftigen EU-Aufsichtsbehörde statt kleinteiliger nationaler Ämter vorsieht. Und es soll marktbeherrschende Stellungen bereits verhindern, bevor sie eintreten. Zwar sind die Chancen, dass sich EU-Regeln auch weltweit durchsetzen, ganz gut, aber ein Manko bleibt: Die Digitalgiganten werden weiterhin vor allem als Unternehmen gesehen, deren wirtschaftliche Macht kontrolliert werden muss. Dabei greifen Google, Twitter, YouTube und Co. schon jetzt so tief in Fragen von Macht, Wahrnehmung und persönlicher Freiheit ein, dass sie mitbestimmen können, wie sich Gesellschaften konstituieren und wie Menschen ihr Leben leben. Aber noch ist das Gesetz ja in der Findungsphase – hoffen wir auf eine noch umfassendere Betrachtungsweise in der finalen Version.

Google und Amazon drohen 100 bzw. 35 Millionen Euro Bußgeld in Frankreich, weil sie Cookies genutzt haben, die ohne Zustimmung oder vorherige, ausreichende Information der Nutzer auf deren Computern abgelegt wurden. Ach, und die Urheberrechtsreform und die Diskussion um Uploadfilter sind zurück: Die Bundesregierung ringt derzeit um die Umsetzung der beschlossenen EU-Richtlinie. Wer jetzt immer noch nicht genug Datenschutz-News hat, dem kann ich zu guter Letzt den kurzweiligen und unterhaltsamen Datenschutz-Jahresrückblick mit dem Hamburger Datenschutzbeauftragten Johannes Caspar ans Herz legen.

Ich wünsche einen guten Start ins Jahr 2021!

Foto: Adobe Stock | blende11.photo