Veröffentlicht von:
Verarbeitung personenbezogener Daten von Beschäftigten mit Cloud-Anwendungen. Drei wichtige Fragestellungen.
- 4 Minuten Lesezeit
Verarbeitung personenbezogener Daten von Beschäftigten mit Cloud-Anwendungen.
Drei wichtige Fragestellungen.
Die Rechtmäßigkeit der Datenverarbeitung im Sinne von Art. 6 DSGVO muss gewährleistet sein.
1. Rechtsgrundlagen
§ 26 BDSG als Rechtsgrundlage
Gemäß § 26 Abs. 1 S. 1, 1. Halbsatz BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies insbesondere für die Begründung, Durchführung und Beendigung des Beschäftigtenverhältnisses erforderlich ist.
Erlaubt ist eine Datenverarbeitung jedoch nach herrschender Meinung nur, wenn sie „erforderlich“ ist. Nachdem der Gesetzgeber es ausdrücklich bei der bisherigen Rechtslage belassen wollte, kann für den Begriff der Erforderlichkeit an der bisherigen Rechtsprechung angeknüpft werden.
Das Bundesarbeitsgericht hat zur früheren Rechtslage eine Verhältnismäßigkeitsprüfung durchgeführt, d.h. die Geeignetheit, Erforderlichkeit und Angemessenheit geprüft (vgl. BAG 20. Juni 2013 - 2 AZR 546/12 - Rn. 28, BAGE 145, 278). Geeignet ist die Maßnahme des Arbeitgebers, wenn der angestrebte Zweck gefördert werden kann. Auf der Stufe der Erforderlichkeit ist zu prüfen, ob dem Arbeitgeber kein anderes gleich geeignetes und wirksames Mittel zur Verfügung steht, welches das allgemeine Persönlichkeitsrecht des Arbeitnehmers weniger belastet (vgl. BAG 20. Juni 2013 - 2 AZR 546/12 – a.a.O.). Mit dem Kriterium der Erforderlichkeit der Datenverarbeitung ist sichergestellt, dass ein an sich legitimes Datenverarbeitungsziel nicht zum Anlass genommen wird, überschießend personenbezogene Daten zu verarbeiten. Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers bedingt dies entsprechend der Bekundung des Gesetzgebers eine Abwägung widerstreitender Grundrechtspositionen im Wege praktischer Konkordanz sowie eine Verhältnismäßigkeitsprüfung (vgl. BAG 7. Mai 2019 - 1 ABR 53/17 - Rn. 42, BAGE 166, 309). Auf der Ebene der Angemessenheit sind die schutzwürdigen Belange des Arbeitgebers und des Arbeitnehmers abzuwägen.
Das - etwas sperrig - zunächst aber erst einmal als Ausgangsposition vorab.
Eine Erforderlichkeit eines Cloud-Dienstes im Sinne von § 26 Abs. 1 BDSG zur Durchführung des Arbeitsverhältnisses besteht insoweit nicht, wenn alternative Lösungen bestehen. § 26 Abs 1. BDSG scheidet dann als Rechtsgrundlage aus.
Art. 6 Abs. 1 lit. f) DSGVO als Rechtsgrundlage
Ggfs. kann die Nutzung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.
Laut Rechtsprechung des EuGH (Az. C-13/16, C- 40/17, C-708/18) unterliegen Sachverhalte, die auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden sollen, einer komplexen dreistufigen Prüfung.
Auf der ersten Stufe ist nach dem berechtigten Interesse des Datenverarbeiters zu fragen.
Auf der zweiten Stufe muss die Datenverarbeitung zur Verwirklichung der Interessen erforderlich sein und auf der dritten Stufe dürfen die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Im Rahmen der dritten Stufe ist u.a. gemäß Erwägungsgrund 47 Satz 3 zur DSGVO zu prüfen, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Die deutschen Datenschutzbehörden legen zudem als maßgebliche Kriterien zugrunde:
- die vernünftigen Erwartungen der betroffenen Person
- die Vorhersehbarkeit der Verarbeitung
- die Transparenz
- die Möglichkeit der Intervention durch den Betroffenen
- die Verkettung von Daten
- die beteiligten Akteure
- die Dauer der Beobachtung
- der Kreis der betroffenen Personen
- die Datenkategorien
- und der Umfang der Datenverarbeitung
2. Cloudbasierte Auftragsverarbeitungsverhältnis
Allgemeines
Wenn die Datenverarbeitung über einen externen Cloud-Dienstleister erfolgt, muss gewährleistet sein, dass auch die Datenübermittlung zwischen dem verantwortlichen Unternehmen und dem Datenempfänger rechtmäßig ist.
Dazu bedarf es eines sog. Auftragsverarbeitungsverhältnisses im Sinne des Art. 28 DSGVO. Die Privilegierung der Auftragsverarbeitung, die darin zu sehen ist, dass Verantwortlicher und Auftragsverarbeiter rechtlich als einheitliche verantwortliche Stelle gesehen werden (vgl. Art. 4 Nr. 10 DSGVO), resultieren daraus, dass der Auftragsverarbeiter dem Verantwortlichen in einer oder mehrerer Phasen des Datenumgangs weisungsgebunden Unterstützung leistet. Der Verantwortliche muss über Zweck und Mittel der Datenverarbeitung entscheiden. Die Entscheidungsbefugnis des Dienstleisters über die eingesetzten technischen und organisatorischen Mittel schließt die Auftragsverarbeitung indes nicht aus.
Datenverarbeitung innerhalb der EU / Drittlandsübermittlung
Die Auftragsverarbeitung innerhalb der EU bzw. des EWR folgt den gleichen Regeln wie die Beauftragung eines inländischen Dienstleisters, bei der Auftragsverarbeitung in einem Drittland sind zusätzlich die Art. 44 ff. DSGVO zu beachten.
Vertragliche Rahmenbedingungen / Auftragsverarbeitungsvertrag
Ein Auftragsverarbeitungsverhältnis gemäß Art. 28 Abs. 2 DSGVO setzt grundsätzlich einen Vertrag unter Beachtung der Umsetzung der normierten Mindestanforderungen für die Vertragsgestaltung zwischen dem Verantwortlichen und dem Auftragsverarbeiter voraus.
Mindestinhalt sind:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien von betroffenen Personen
- Weisungsbefugnis des Verantwortlichen
- Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen und organisatorischen Maßnahmen
- Genehmigungsbedürfnis und Mindeststandards bei Subunternehmern
- Unterstützung des Verantwortlichen bei Betroffenenanfragen
- Unterstützung des Verantwortlichen bei Erfüllung der Meldepflicht von Datenschutzvorfällen und der Durchführung von Datenschutz-Folgenabschätzung
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt.
3. Technische und organisatorische Rahmenbedingungen
Cloud-Computing-Systeme unterliegen bestimmten infrastrukturellen Rahmenbedingungen, deren Schutz bezüglich der Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität, Transparenz, Intervenierbarkeit und Nicht-Verkettbarkeit gewährleistet werden muss. Dieser Schutz orientiert sich an dem Schutzbedarf der zu verarbeitenden personenbezogenen Daten. Die Umsetzung der Schutzziele ist durch technische und organisatorische Maßnahmen abzusichern. Die wirksame Umsetzung der technischen und organisatorischen Maßnahmen ist schriftlich nachzuweisen.
Henning Koch ist in der Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB am Standort Marburg Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht und zertifizierter (zugleich auch behördlicher) Datenschutzbeauftragter sowie Geschäftsführer der RPA Datenschutz + Compliance GmbH.
Artikel teilen: