Auslagerung von Arbeitnehmerdaten in der Cloud

Der Arbeitnehmerdatenschutz beschäftigt immer mal wieder die Gerichte. Die Problematiken sind oftmals den Arbeitgebern, den Arbeitnehmern und auch den Betriebsräten nicht immer geläufig. Gerade neue technische Möglichkeiten auch hinsichtlich der Verarbeitung personenbezogener Daten der Arbeitnehmer führen oft zu der Frage, unter welchen Voraussetzungen eine Verarbeitung der Daten möglich ist. Dabei ist Cloud-Computing stark auf dem Vormarsch. Die Digitalisierung von Strukturen wie z.B Kundenbeziehungen und damit auch deren dezentrale Verfügbarkeit über Tag und Nacht, erfahren eine immer größer werdende Beachtung.

Dies gilt auch für das Auslagern von Arbeitnehmerdaten in die Cloud. Hierbei bestehen aus datenschutzrechtlicher Sicht besondere Problematiken.  Daher soll in dem folgenden Artikel ein kurzer Überblick über diese Thematik mit samt den rechtlichen Anforderungen gegeben werden.

Sofern Sie als Arbeitgeber die Einführung eines solchen Systems planen oder als Betriebsrat hinsichtlich der Einführung und Voraussetzungen beraten werden möchten, können Sie sich gerne an uns wenden. Wir sind eine Kanzlei für Arbeitsrecht und IT-Recht in Hannover und agieren deutschlandweit. Die Verzahnung zwischen Arbeitsrecht und Datenschutzrecht ist eines unserer Fachgebiete.

Was ist Cloud Computing?

Um die rechtliche Problematik zu verstehen muss als Erstes beschrieben werden, was Cloud Computing ist.

Cloud Computing meint das Ausführen von Rechenoperationen (zumeist Programme), die nicht lokal stattfindet, sondern aus der Ferne abgerufen wird. Dies kann sowohl privat (z.B. ein firmeninternes Netzwerk), als auch mittels anderer, externer Anbieter geschehen. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über technische Schnittstellen und Protokolle sowie über Browser.

Cloud Computing kann dabei Infrastrukturen (Infrastructure as a Service), Programmierungs- und Laufzeitumgebungen (Platform as a Service) sowie Software und Anwendungen (Software as a Service) bereitstellen.

So stellt z.B. das Speichern von Daten in der Dropbox Cloud Computing dar. Diese Daten werden auf einem fremden Server gespeichert und können beliebig abgerufen werden. Von zu Hause oder auch unterwegs. Letztlich ist auch facebook eine Cloud, die ein Programm zur Verfügung stellt, mit dem man mit anderen Menschen in Kontakt treten sowie Bilder und sonstige Informationen speichern und verarbeiten kann.

Allgemeine Datenschutzrechtliche Anforderungen

Ganz gleich, ob die arbeitnehmerbezogenen Daten extern oder intern verarbeitet werden, bleibt der Arbeitgeber die verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG). Dies bedeutet zunächst, dass dieser für die Sicherheit der Daten verantwortlich ist und diese zudem nur nach Maßgabe des BDSG erheben, verarbeiten und nutzen darf.

Sofern der Arbeitnehmer in die Datenerhebung oder -nutzung nicht nach § 4 Abs. 1 BDSG einwilligt, ist auf den allgemeinen und für das Arbeitsverhältnis relevanten Erlaubnistatbestand des § 32 Abs. 1 S. 1 BDSG zurückzugreifen.

Tipp:

Arbeitgebern ist daher zu raten, eine entsprechende Einwilligung des Arbeitnehmers einzuholen. Auch wenn dagegen auf Grund der Über- und Unterordnung im Arbeitsverhältnis gegen die Freiwilligkeit der Einwilligung Bedenken erhoben werden, steht dies zumindest nach dem Bundesarbeitsgericht der Einwilligung nicht zwingend entgegen (BAG Urteil vom 11.12.2014 – 8 AZR 1010/13). Die Landesbeauftragten für Datenschutz sehen dies aber auch weiterhin kritisch.

Überblicksartig kann gesagt werden, dass bei der Auslagerung von Daten in eine Cloud der Arbeitgeber für ein Schutzniveau sorgen muss, wie es bestünde, wenn er die Daten selber nach Maßgabe der Gesetze verarbeitet.

Die konkreten Anforderungen regelt § 11 BDSG. Denn die Auslagerung von Arbeitnehmerdaten stellt eine Auftragsdatenverarbeitung dar. Es werden also Daten von anderen Stellen als der verantwortlichen Stelle verarbeitet.

Hierbei muss zur Funktionsübertragung abgegrenzt werden. Bei der Funktionsübertragung wird die zu Grunde liegende Aufgabe (z.B. Kundenservice via Callcenter) übertragen, bzw. outsourct. Die neue Stelle ist dabei selbst verantwortlich im Sinne des Bundesdatenschutzgesetzes.

Konkrete Anforderungen der Auftragsdatenverarbeitung

Die konkreten Anforderungen an die Auftragsdatenverarbeitung zielen überwiegend auf Kontrolle und Einfluss der verantwortlichen Stelle ab. Diese muss die datenverarbeitende Stelle sorgfältig auswählen und dabei auch kritisch prüfen, ob diese den Anforderungen des deutschen Datenschutzrechts gerecht wird.

Dazu wird ein Vertrag zwischen der verantwortlichen Stelle und der datenverarbeitenden Stelle geschlossen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  1. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  1. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen bezüglich der Datensicherheit,
  1. die Berichtigung, Löschung und Sperrung von Daten,
  1. die nach § 11 Abs. 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  1. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  1. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  1. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  1. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  1. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Anforderungen ergeben sich also vorwiegend dahingehend, dass die Herrschaft über die Daten faktisch aus der Hand gegeben wird, die verantwortliche Stelle also Kontroll- und Einwirkungsrechte erhält und dazu sowohl die Reichweite und Intensität der Bearbeitung einsehen kann sowie über die wesentlichen Umstände informiert wird.

Wesentlich ist dabei, dass der Cloud-Anbieter der verantwortlichen Stelle gegenüber weisungsgebunden ist. Dies dürfte insbesondere bei größeren Anbietern wie Amazon oder Microsoft nicht der Fall sein. Denn die Weisungsmöglichkeit setzt konkrete Eingriffsmöglichkeiten voraus. Die verantwortliche Stelle muss die abschließende Entscheidungsbefugnis über das Schicksal der Daten haben.

Dies geht Hand in Hand mit den Kontrollrechten der verantwortlichen Stelle. Diese müssen effektiv bestehen. Die verantwortliche Stelle muss kontrollieren können, ob die verarbeitende Stelle die vertraglichen Vorgaben und die rechtlichen Sicherheitsstandards erfüllt. Dies setzt auch voraus, dass die Erhebung und Speicherung der Daten nachvollzogen werden kann, also transparent ist. Kann also der Cloud-Anbieter den Standort jederzeit verlagern oder sich gar dem Zugriff der verantwortlichen Stelle entziehen, wäre das mit den Vorgaben des § 11 BDSG nicht vereinbar.

Insbesondere, wenn sich die verarbeitenden Stellen im Ausland befinden, ist sicherzustellen, dass dort ein vergleichbares Schutzniveau existiert (§§ 4b, 4c BDSG).

Liegen die Voraussetzungen der Auftragsdatenverarbeitung vor, dann wird diese privilegiert. Für die Übermittlung der Daten von der verantwortlichen Stelle zur überarbeitenden Stelle und zurück, braucht es keinen weiteren Erlaubnistatbestand mehr. Es reicht dann die Voraussetzungen des § 32 BDSG einzuhalten oder auf eine Einwilligung zurückgreifen zu können.

Arbeitsrechtliche Grenzen?

Das Einsetzen von cloudbasierten Systemen ist auf Grund des Direktionsrechts möglich. Zu beachten ist, dass der Betriebsrat nach § 87 I Nr. 6 BetrVG ein Mitbestimmungsrecht innehat, weil durch die Auslagerung und Implementierung in ein Cloud-Computing-System neue Kontrollmechanismen ergeben.

Tipp:

Es ist daher ratsam, den Betriebsrat frühestmöglich zu beteiligen und ein Konzept vorzulegen.

Zusammenfassung

Neben den technischen Herausforderungen ist bei der Auslagerung von Arbeitnehmerdaten auch das Bundesdatenschutzgesetz zu berücksichtigen. Zu der allgemeinen Erlaubnis zum Erheben und Verarbeiten der Daten, müssen auch die Voraussetzungen der Auftragsdatenverarbeitung vorliegen.

Die Einhaltung der Voraussetzungen muss im Einzelfall genau und gewissenhaft überprüft werden.  Dies kann sich als ein sehr komplexes Unterfangen rausstellen, da viele Faktoren zu beachten sind.

Sofern Sie als Arbeitgeber vorhaben, eine cloudbasierte Lösung in Betracht zu ziehen oder als Betriebsrat hinsichtlich der Einführung und Voraussetzungen derartiger Systeme sowie hinsichtlich einer sachgerechten Ausübung Ihres Mitbestimmungsrechts beraten werden möchten, können Sie sich gerne an uns wenden. Wir sind eine Kanzlei für Arbeitsrecht und IT-Recht in Hannover und agieren deutschlandweit. Die Verzahnung zwischen Arbeitsrecht und Datenschutzrecht ist eines unserer Fachgebiete.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen