Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

In Krisenzeiten wie zur Corona-Epidemie, aber auch bei Terroranschlägen oder Naturkatastrophen überlegen viele Arbeitgeber, ob ihre bisher dokumentierten Notfallmaßnahmen im Ernstfall genügen. Im WorldWideWeb findet man eine Vielzahl an Dienstleistern, die eine leichte und automatisierte Unterstützung anbieten. Bei der Suche nach dem passenden Notfallmanagement-Tool, darf der Arbeitnehmerdatenschutz aber nicht unberücksichtigt bleiben.

Was bieten solche Notfallmanagement-Tools an?

Es gibt viele Gründe, warum ein Unternehmen ein Notfallmanagement integrieren möchte:

  • Erfüllung der Sorgfaltspflichten als Arbeitgeber durch effektiveren Schutz für die Mitarbeiter
  • Erhöhung des Schutzes für die IT-Sicherheit und Datensicherheit
  • Schadensbegrenzung durch schnelles und effektives Handeln in Krisensituationen
  • Ermöglichen einer schnellen Wiederaufnahme des Hauptgeschäfts.

In der Vergangenheit schrieb man daher umfassende Notfallhandbücher und probte den Ernstfall mit den Mitarbeitern im Rahmen von Übungen für den Feueralarm o.Ä.

Durch die Globalisierung und Vernetzung der Welt veränderte sich die Arbeitsweise nachhaltig, sodass sich Unternehmen auch auf andere Krisenszenarien und mögliche Gefahren (z.B. Terroranschlag, Cyber-Kriminalität) einstellen müssen. Verschiedene Software-Lösungen wie die von Everbridge oder Rave Mobile Safety versuchen auch diesen Bereich zu digitalisieren und ermöglichen es dem Unternehmen u.a.:

  • durch Tracking der Lokaldaten zu wissen, wer sich im Gebäude befindet, und mit diesen Personen im Notfall kommunizieren zu können,
  • die Kommunikation und die Kollaboration für die Sammlung von Personen und Evakuierungsplänen zu automatisieren,
  • Evakuierungspläne für Notfallsituationen zu automatisieren,
  • zielgerichtet mittels SMS-Textwarnmeldungen, Sprachnachrichten, Mobil-App-Warnmeldungen, digitale Anzeigen oder Desktop-Benachrichtigungen Informationen zu senden sowie
  • mit Hilfe mobiler Applikationen für das Smartphone sofort eine Nachricht an das Team zu senden.

Welche personenbezogenen Daten werden verarbeitet?

Je nach Funktionsweise des Notfallmanagement-Tools können folgende Daten der Mitarbeiter verarbeitet werden:

  • Name
  • betriebliche Kontaktdaten (E-Mail-Adresse und Telefonnummer)
  • Standort und Adresse der Arbeitsstelle
  • private Kontaktdaten
  • dynamische Standortdaten (zuletzt bekannter Aufenthaltsort und vermuteter Aufenthaltsort anhand von Check-Ins oder Kalendereinträgen)
  • aktuelle Standortdaten

Manche Notfallmanagement-Tools bieten die Möglichkeit der Verknüpfung mit dem Schlüsselsystem an. So wird getrackt, wo der Mitarbeiter zuletzt den Schlüssel verwendet hat und ob dies als Ein- oder Ausgang zu werten ist. Der Mitarbeiter kann aber auch seinen digitalen Terminkalender freigeben und anhand der Termine wird dann vermutet, wo sich der Mitarbeiter nun befindet.

Wenn das Tool auch eine App-Lösung für das Handy anbietet, können bei Zugriff auf die Ortungsdienste sogar die aktuellen Standortdaten erfasst werden.

Welche Rechtsgrundlagen kommen für die Datenverarbeitung in Betracht?

Diese Frage kann man nicht pauschal beantworten, da sie einerseits von der Funktionsweise des jeweiligen Tools, als auch von den Arten der zu verarbeitenden Daten abhängt. Aber auch der vom Unternehmen verfolgte Zweck spielt maßgeblich eine Rolle. Im Folgenden werden daher nur allgemeine rechtliche Überlegungen aufgezeigt.

§ 26 Abs. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (überwiegend berechtigte Interessen)

Der Arbeitgeber muss gegenüber seinen Mitarbeitern diverse Fürsorgepflichten gerecht werden und insbesondere dessen Sicherheit am Arbeitsplatz gewährleisten. Im Rahmen der Arbeitssicherheit muss der Arbeitgeber gewährleisten, dass er seine Mitarbeiter effektiv vor Gefahren schützen kann. Bei der Wahl der Mittel steht ihm hierzu auch ein gewisser Ermessensspielraum zu. Ein Notfallmanagement-Tool kann grundsätzlich zur Erhöhung der Arbeitssicherheit führen. Insoweit kann hier die Erforderlichkeit der Datenverarbeitung in der Regel grundsätzlich bejaht werden.

Da hier Mitarbeiter betroffenen sind, sind zunächst die Voraussetzungen des § 26 Abs. 1 BDSG (i. V. m. Art. 88 Abs. DSGVO) zu prüfen. Hier hat der Gesetzgeber eine Sondernorm für den Arbeitnehmerdatenschutz geschaffen. Es stellt sich also die Frage, ob ein solches Notfallmanagement-Tool gerade für die Durchführung des Arbeitsverhältnisses erforderlich ist. In der Regel gibt es bereits ein Notfallmanagement im Unternehmen, bei dem weniger Daten verarbeitet werden. Soweit man dieses ersetzen will, sollte man die Gründe für die Erwägung dokumentieren: Möglicherweise hat sich in der Vergangenheit gezeigt, dass das bisherige Notfallmanagement nicht effektiv war. Vielleicht ist sogar ein Mitarbeiter zu Schaden gekommen. Aber auch eine tatsächliche Erhöhung der Gefährdungslage für die Mitarbeiter kann den Einsatz eines solchen Tools erforderlich machen.

Falls man die Erforderlichkeit für das Arbeitsverhältnis nicht bejahen kann, wird man die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DSGVO prüfen. Hier findet dann eine umfassende Interessenabwägung statt.

Art der Daten sind maßgeblich für die Bewertung

Sowohl bei dieser Interessenabwägung nach Art. 6 DSGVO als auch bei § 26 BDSG sind die Grundsätze der Datensparsamkeit und Zweckbindung hinreichend zu beachten. Da je nach Funktionen des Tools verschiedene Arten und Anzahl an Daten verarbeitet werden, muss man hier eine differenzierte Betrachtung vornehmen. Je mehr Daten des Arbeitnehmers verarbeitet werden, umso schwerer wiegt der Eingriff in dessen Rechte und Freiheiten. Umso besser müssen die Gründe und verfolgten Zwecke hierfür sein, um dies legitimieren zu können. Am Ende der Bewertung des Tools kann man zu dem Schluss kommen, dass man einzelne Funktionen mangels Rechtsgrundlage nicht nutzen darf oder nur, soweit der Mitarbeiter freiwillig zustimmt.

Name, betriebliche Kontaktdaten und Standort der Arbeitsstelle

Diese statischen Daten sind nicht besonders schutzbedürftig, weil sie innerhalb des Unternehmens ohnehin intern bekannt sind. Mit dem Notfallmanagement-Tool und diesen Angaben wird lediglich der Arbeitsschritt der Benachrichtigung via SMS, E-Mail, oder Telefon im Falle eines Notfalls automatisiert und damit die zuständigen Personen entlastet. Es ändert sich also nur die Vorgehensweise der Datenverarbeitung, aber nicht die Art der Daten.

Private Kontaktdaten

Zwischen Arbeitsleben und Privatleben ist grundsätzlich strikt zu trennen. Außerhalb der Arbeitszeit und Arbeitsstätte überwiegen grundsätzlich die Interessen und Rechte der Arbeitnehmer an Privatsphäre. Die in der Praxis bislang herrschende Ansicht geht daher davon aus, dass der Arbeitgeber die privaten Kontaktdaten der Mitarbeiter im Falle von Notfällen nur auf Grundlage deren Einwilligung verarbeiten darf. Etwas Anderes kann sich wohl nur dann ausnahmsweise ergeben, wenn betriebliche Kontaktmöglichkeiten nicht bestehen.

Aktuelle Standortdaten

Insoweit ist zu berücksichtigen, dass ein Tool bei einer Erfassung von Standortdaten zu einer Verhaltenskontrolle und damit auch zu einer Rundumüberwachung führen kann. Dies stellt einen besonders schweren Eingriff in die Rechte und Freiheiten des Arbeitnehmers dar. In der datenschutzrechtlichen Literatur sowie der Rechtsprechung wurden einige Grundsätze zum Einsatz von Ortungssystemen und zur Auswertung des Fahrverhaltens von Beschäftigten bei Dienstwagen herausgearbeitet. Diese sind hier entsprechend zu beachten. Dazu gehören insbesondere die folgenden Punkte:

  • Verbot einer Totalüberwachung,
  • Verbot einer Überwachung im privaten Bereich und
  • Verbot einer heimlichen Überwachung.

Eine umfassende Überwachung kann nur ausnahmsweise bei Risikoberufsgruppen wie Feuerwehrmann, Soldat im Kriegseinsatz o.Ä. zulässig sein. In der Regel wird man aber die Erforderlichkeit der Datenverarbeitung verneinen müssen.

Dynamische Standortdaten

Die vorgenannten Überlegungen gelten auch hier, insbesondere wenn die Bewegungsabläufe innerhalb des Gebäude durch eine Verknüpfung mit dem Schlüsselsystem getrackt werden. Die Freigabe von digitalen Terminkalendern stellt allerdings ein milderes Mittel dar, da die Standortdaten ungenauer ermittelt werden. Bei Mitarbeitern, die viele Dienstreisen im Ausland wahrnehmen – insbesondere in Krisengebieten – kann diese Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein.

Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung)

Bei all den Datenarten oder Funktionen des Notfallmanagement-Tools, die weder nach § 26 Abs. 1 BDSG noch auf Grundlage eines überwiegenden Interesses des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO begründet werden können, kann die Datenverarbeitung nur auf eine Einwilligung gestützt werden. Die Einwilligung ist demnach in der Regel für folgende Informationen einzuholen:

  • private Kontaktdaten
  • dynamische Standortdaten
  • Freigabe der Ortungsdienste auf dem Handy bei Nutzung der App

Hierbei gilt es § 26 Abs. 2 Satz 3 BDSG zu beachten, wonach die Einwilligung von Mitarbeitern schriftlich oder oder elektronisch zu erfolgen hat. Der Arbeitgeber muss seine Mitarbeiter also vorab umfassend über die Datenverarbeitung und deren Rechte informieren. Zudem muss klargestellt werden, dass die Verweigerung einer Einwilligung das Arbeitsverhältnis nicht nachteilig beeinflusst.

Was muss ich als Arbeitgeber noch vor der Implementierung beachten?

Es ist an den Betriebsrat zu denken, da sich aus § 87 Nr. 6 Betriebsverfassungsgesetz ein Mitbestimmungsrecht für diesen ergeben kann. Eventuell bestehen auch schon sonstige Kollektivvereinbarungen, die ebenfalls bei der rechtlichen Bewertung zu berücksichtigen sind.

Soweit es sich um eine Software-as-a-Service Lösung handelt und der Software-Anbieter Zugriff auf Mitarbeiterdaten erhält, bedarf es den Abschluss einer Vereinbarung zur Auftragsverarbeitung i. S. v. Art. 28 DSGVO. Wenn ein Drittlandsbezug bei der Datenverarbeitung besteht, dann ist auch immer an den Abschluss von EU-Standardvertragsklauseln zu denken.

Je mehr Funktionen das Tool bietet und damit die Zahl der verarbeiteten Daten steigt, umso mehr ist auf die Datensicherheit zu achten. Der IT-Sicherheitsbeauftragte sollte daher einen prüfenden Blick auf die technischen und organisatorischen Maßnahmen werfen. Bei der Auswertung von aktuellen Standortdaten kann sich zudem eine Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ergeben.

Aufgrund der rechtlichen Komplexität sollte der Datenschutzbeauftragte frühzeitig bei der Auswahl eines Notfallmanagement-Tool einbezogen werden. Er kann am besten beurteilen, welche Funktionen unter Berücksichtigung des Arbeitnehmerdatenschutzes eingesetzt werden können.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Notfallmanagement-Tools und der Arbeitnehmerdatenschutz.