wünsche ich allen Kunden, Interessenten, Freunden und Bekannten

Früher gab es sie überall, die firmenintern ausgehängten Dienstpläne. Diese sind inzwischen oft verschwunden. Dies hat mehrere Ursachen: Zum Einen hat sich durch gleitende Arbeitszeiten in vielen Bereichen die direkte Notwendigkeit für solche Pläne erübrigt. Zum Anderen beinhalten Dienstpläne typischerweise personenbezogene Daten (pbD). Aber wie geht man damit um?
Arbeitgeber sind dazu verpflichtet die Arbeitszeiten in einem Dienstplan rechtzeitig bekannt zu machen. Damit übt er auch sein Weisungsrecht gegenüber den Arbeitnehmern aus. Auf der anderen Seite ist der Dienstplan nach Bekanntgabe auch für den Arbeitgeber bindend und darf nicht willkürlich geändert werden. Das gibt auch den Arbeitnehmern Planungssicherheit.
Das Bundesarbeitsgericht hat festgelegt, dass neben dem Vor- und Nachnamen auch der Beginn und das Ende der jeweiligen Arbeitszeit enthalten muss. (BAG 28.10.1986, 1 ABR 11/85)
Wie bei jeder Verarbeitung von pbD bedarf es natürlich auch hier einer Rechtsgrundlage. Wie (fast) immer in Abhängigkeitsverhältnissen scheidet die Einwilligung nach § 26 BDSG Abs. 2 hier regelmäßig aus, da die Freiwilligkeit nicht gegeben ist und damit wäre die Einwilligung unwirksam. Da Einwilligungen zudem schnell zu widerrufen sind, kann dies ohnehin nicht das Mittel der Wahl sein.
Aber wenn wir schon beim § 26 BDSG sind, können wir ja auch direkt den Abs. 1 bemühen:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies … nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung … erforderlich ist.“
Was darf nicht in einen Dienstplan, wenn dieser „im Betrieb“ ausgehängt wird? Urlaubstage dürfen hier nicht als solche gekennzeichnet werden, denn es darf nicht über Gründe von Abwesenheit informiert werden. Krankheits- und Fehltage dürfen hier auch nicht erscheinen. Zum Einen sind sie vorab nicht planbar und zum Anderen unterliegen Gesundheitsdaten einem besonderen Schutz. Natürlich gilt auch hier: Gründe für Abwesenheiten gehören nicht in den Dienstplan.
Wo dürfen Dienstpläne ausgehängt werden? In einem Bereich, den nur die betroffenen Mitarbeiter einsehen können, ist dies sicher unkritisch. Hier muss sicher auch nicht mit einer speziellen Zutrittskontrolle der Personenkreis eingeschränkt werden, da die Schutzwürdigkeit der Daten nicht besonders hoch ist. In öffentlich zugänglichen Bereichen dürfen Dienstpläne aber nicht ausgehängt werden.
Was heißt das in der Praxis? Der Eingangsbereich einer Firma, der auch von Besuchern, Vertretern und Gästen frequentiert wird, ist nicht geeignet. In Büros, die typischerweise nur von den Mitgliedern einer Abteilung genutzt werden, kann man Dienstpläne aber aushängen.

Es gibt sie wieder, die Volkszählung oder neudeutsch Zensus. Erinnern Sie sich noch?

Es war im Jahr 1983 als es eine groß angelegte Werbekampagne zur Volkszählung’87 gestartet wurde und sich recht schnell ein weit aufgestellter Widerstand dagegen formierte. Dies ging so weit, dass Prominente öffentlich Kritik äußerten. Hier sind so namhafte Leute wie der Schriftsteller Günter Grass, der Gründer des Forsa-Instituts oder der ehemalige Richter des Bundesverfassungsgerichts Helmut Simon zu finden. Außerdem gab es viele Bürgerinitiativen, die sich gegen die Volkszählung aussprachen und auch öffentlich zum Boykott und damit zum Gesetzesbruch aufriefen. Es wurde das Schreckgespenst des gläsernen Bürgers beschworen. George Orwells Dystopie „1984“ war nicht nur von der Jahreszahl sehr aktuell, sondern wurde zum Kassenschlager.

Ein wesentlicher Punkt des Widerstandes war, dass mit den Daten aus der Volkszählung auch eine Korrektur der Meldedaten durchgeführt werden sollte. Die Zählung war ursprünglich für den 27. April 1983 geplant, wurde dann bis zum Urteil des Bundesverfassungsgerichts am 15. Dezember 1983 ausgesetzt und mit diesem Urteil untersagt. Die Kläger hatten bemängelt, dass durch die detaillierten Fragebögen ein Rückschluss auf einzelne Personen möglich wäre und damit der Datenschutz unterlaufen würde. Dies wäre auch damals schon ein Verstoß gegen das Grundgesetzt gewesen. Ja, richtig. Datenschutz gab es auch schon vor der DSGVO. Mit dem Urteil vom 15. Dezember 1983 formulierte das Bundesverfassungsgericht, basierend auf der Menschenwürde des Art. 1 GG und dem Recht auf freie Entfaltung der Persönlichkeit nach Art. 2 Abs. 1 GG, das Grundrecht auf informationelle Selbstbestimmung.

Folglich mussten für die Befragung im Jahr 1987 die Fragebögen neu gestaltet werden. In den neuen Fragebögen wurden die Angaben zur Person von den restlichen Angaben getrennt, wodurch die Anonymität verbessert werden sollte. Die ca. 9 Monate vor dem Stichtag des 25. Mai 1987 gestartete Werbekampagne „Zehn Minuten, die allen helfen“ war trotz eines Budgets von 46 Millionen DM ein Reinfall. Die erneut aufflammenden Kritik setzte dieses mal nicht beim Datenschutz an, sondern bei einer schleichenden Einschränkung von Bürgerrechten. Der Boykottaufruf wurde als Aufruf zu zivilem Ungehorsam für mehr Demokratie formuliert. Die Widerstand war dieses mal noch breiter angelegt und zog sich von den Jungdemokraten, über die Grünen, mehrere Gewerkschaften bis hin zu einzelnen Gemeinden (z.B. Freiburg). Es wurden über 1100 Bürgerinitiativen gegen die Volkszählung gegründet.

So weit zum Rückblick. Wir haben das Jahr 2022 und es gibt einen neuen Zensus. Obwohl die Bevölkerung durch fast 4 Jahre DSGVO für das Thema sensibilisiert ist, sind große Proteste ausgeblieben. Was ist anders?

Zum Ersten ist es die Art der Erhebung. In diesem Jahr wurde nicht jeder dazu verpflichtet, einen Fragebogen auszufüllen, sondern es ist eine statistische Erhebung, bei der nur ein kleiner Teil als Stichprobe mittel Fragebögen untermauert wird.

Gleichgeblieben ist aber die Verpflichtung, einen solchen Fragebogen auszufüllen, wenn man zur Gruppe der Stichprobe gehört. Da auch hier gilt, keine Datenverarbeitung ohne Rechtsgrundlage, wurde Zensusgesetz (Gesetz zur Durchführung des Zensus im Jahr 2022) verabschiedet. Dies ist bereits am 03. Dezember 2019 in Kraft getreten. Wegen der Corona-Pandemie wurde der Zensus dann nicht im Jahr 2021 durchgeführt, sondern mittels des „Gesetz zur Verschiebung des Zensus in das Jahr 2022 und zur Änderung des Aufenthaltsgesetzes“ vom 03. Dezember 2020, auf dieses Jahr verschoben. Der Stichtag oder besser Starttag war hier der 15. Mai 2022. Die Dauer der Stichprobenbefragung ist auf drei bis fünf Monate angesetzt.

Der Start hat dann wohl ohne großes Aufsehen stattgefunden. Einige Gemeinden haben zwar wegen der Kosten des Zensus Kommunalverfassungsbeschwerde eingereicht, aber viel mehr ist nicht passiert. Das Bundesverfassungsgericht hat die „Verfassungsbeschwerde gegen eine umfangreiche, nicht anonymisierte Meldedaten-Zusammenziehung im Zuge der inzwischen auf dieses Jahr 2022 verschobenen Volkszählung („Zensus“)“ nicht zur Entscheidung angenommen, weil der entsprechende fachgerichtliche Rechtsweg nicht eingehalten wurde.

Wie sieht es denn jetzt in der Praxis aus? Was ist zu tun, wenn man einen Fragebogen erhalten hat?

Wenn Sie keine Lust haben, an der Befragung teilzunehmen, hat ein Problem, denn in der Rechtsgrundlage ist auch eine Verpflichtung formuliert. Dies kann bei anhaltender Weigerung zu einem Bußgeld von 5000 € führen.

Kann man sich dagegen wehren? Ja klar, aber dann steht einem vermutlich ein Marathon durch die Instanzen bevor. Dafür wird man auf jeden Fall einen Anwalt brauchen.

Als Datenschützer ist man natürlich immer misstrauisch, wenn jemand im großen Stil Daten verarbeiten will. Ein „gerüttelt Maß“ gesundes Misstrauen gegenüber staatlichen Stellen gehört auch zum Berufsstand. Am Ende arbeiten wir aber immer nach formalen Prüfmethoden und da bietet der Zensus 2022 sehr wenig Angriffsfläche.

Wie in zahlreichen Meldungen zu lesen war, haben die EU und die USA eine „grundsätzliche Einigung“ darüber erzielt, dass personenbezogene Daten (pbD) wieder leichter ausgetauscht werden können.

Es könnte alles so schön sein und würde die Arbeit der Datenschutzbeauftragten erheblich vereinfachen.

Es besteht weder ein Grund zur Euphorie, noch zur Freude. Im Moment ist das alles nur heiße Luft. Wenn aus dieser „Willenserklärung“ tatsächlich ein neues, rechtsverbindliches Abkommen entstehen sollte (was ganz sicher noch Monate dauern würde) so wäre dieses Abkommen praktisch wertlos, da wir vermutlich nur wenige Tage danach ein „Schrems-3-Urteil“ hätten, welches ein solches Abkommen direkt für Nutzlos erklären würde.

Wo ist das Problem?

Im so genannten Schrems-2-Urteil hat der EuGH festgestellt, dass in den USA für pbD (besonders von EU-Bürgern) ein deutlich schwächeres Schutzniveau besteht. Gerade US-Gesetze wir der Cloud Act oder FISA wären in der EU undenkbar und sind mit den bei uns geltenden Regeln unvereinbar. So lange diese Gesetze in den USA bestehen, kann es kein wirksames Abkommen zum Datenaustausch geben. Dass der oberste US-Gerichtshof im Oktober letzten Jahres in einem Urteil die Möglichkeiten der US-Regierung noch ausgebaut hat, ist hier auch kontraproduktiv. Wenn es um Staatsgeheimnisse und Spionage geht, wurden die Rechte von Bürgern der USA und anderer Nationen (für mich sind das alle) nochmals deutlich herabgestuft und die Auslegung der Befugnisse der US-Regierung deutlich großzügiger gestaltet.

Um eine brauchbare Grundlage für ein Datenaustauschabkommen mit den USA zu schaffen, müssten die USA ihr Datenschutzniveau anheben. Hier gab es bislang keine Verbesserungen. Folglich wird es kein solches Abkommen mit Bestand geben.

Am 20.03.2022 ist das geänderte Infektionsschutzgesetz in Kraft getreten und morgen, am 02.04.2022 endet die Übergangsfrist, die viele Bundesländer gemäß § 28a Abs. 10 IfSG genutzt haben.

Was bedeutet das für uns?

• § 20a Infektionsschutzgesetz (IfSG) erhält den neuen Absatz 7 der besagt, dass Voll- und teilstationäre Einrichtungen, die zugelassene Pflegeeinrichtungen im Sinne von §72 Sozialgesetzbuch (SGB) XI sind, dem RKI monatlich den Anteil der gegen das Coronavirus SARS-CoV-2 geimpften Mitarbeitenden mitteilen müssen. Daraus ergibt sich die Rechtsgrundlage, die entsprechenden personenbezogenen Daten (pbD) zu verarbeiten.
• Die bundesgesetzliche Rechtsgrundlage zur Erfassung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmenden entfällt
• Ebenso entfällt die bundesgesetzliche Rechtsgrundlage ungeimpfte Mitarbeitende zu testen.
• Durch diese Änderungen muss evtl. die Gefärdungsbeurteilung (§5 und §6 ArbSchG) aktualisiert werden. Dazu gehört auch eine Anpassung des Hygienekonzepts.

Wenn die Rechtsgrundlagen wegfallen bedeutet dies ganz klar, dass eine Datenverarbeitung so lange untersagt ist, bis eine andere Rechtsgrundlage gefunden wurde.

Leider sind heute am 01.04.2022 weder aus NRW, noch aus Niedersachsen brauchbare Informationen zu Landesregelungen zu bekommen. In lokalen Hotspots können die Kreise in Abstimmung mit dem jeweiligen Bundesland, zusätzliche Beschränkungen erlassen.

Nicht erst seit Home Office ist es ein großes Problem, wenn private und geschäftliche Daten auf Geräten durchmischt werden. Verwenden Mitarbeiter private Geräte zu beruflichen Zwecken, passiert dies aber regelmäßig. Das hat dann erhebliche Folgen für beide Seiten.

Als der Verantwortliche behält man die volle Verantwortung für den Schutz der Daten, hat aber nicht das Recht, diesen auf dem Gerät des Mitarbeiters zu überprüfen oder Maßnahmen durchzusetzen. Kurz gesagt: Die Pflichten bleiben, aber man verliert die Kontrolle.

Der Mitarbeiter begibt sich aber ebenfalls auf sehr dünnes Eis. Private Datenverarbeitung ist nicht Bestandteil des Gültigkeitsbereichs der DSGVO.

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
…
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
…

Art. 2 Abs. 2 DSGVO

Hier sind die Begriffe persönlich und familiär sehr eng zufassen. Private Kontakte, Daten von Familie und Freunden fallen in diesen Bereich, auch wenn keine verwandtschaftlichen Beziehungen bestehen. Werden diese Daten mit geschäftlichen Daten durchmischt, besteht diese „Haushaltsausnahme“ nicht mehr. Dann nutzt der Mitarbeiter die Daten gewerblich und die DSGVO und andere Datenschutzgesetze greifen voll. Das bedeutet, dass eine private Person eine gewerbliche Datennutzung betreibt (auch wenn damit kein Cent verdient wird) und Verstöße genau wie bei Unternehmen geahndet werden. Hier sind zwar nicht Millionenschwere Bußgelder zu befürchten, aber es wurden schon mehrfach Bußgelder zwischen 1000 und 1500 Euro gegen Privatpersonen verhängt.

Es haben folglich beide Seiten, Arbeitgeber und Arbeitnehmer ein Interesse daran, die Daten streng zu trennen und jede Durchmischung zu vermeiden.

Deshalb rate ich grundsätzlich, auf jegliche Form von BYOD zu verzichten.

• Keine dienstliche Nutzung privater Geräte (auch nicht im Home Office)
• Keine private Nutzung dienstlicher Geräte

In diesem Zusammenhang möchten ich darauf hinweisen, dass man besonders bei Smartphones darauf achten muss, keine personenbezogenen Daten in Drittländer zu übertragen. Dies betrifft nicht nur WhatsApp, sondern auch die Datensicherungsdienste von Apple und Google.

Dass WhatsApp nicht sinnvoll datenschutzkonform genutzt werden kann, haben die Aufsichtsbehörden bereits mehrfach betont. Aber nicht nur dort werden Daten in die USA übertragen. Apple und Google sichern einem nicht zu, dass die Daten des Gerätes innerhalb der EU bleiben. Als Folge davon muss davon ausgegangen werden, dass die Daten in ein Land mit niedrigerem Schutzniveau (hier besonders die USA) übertragen werden. Darum sind deren Datensicherungsdienste zu deaktivieren.