Homeoffice/Telearbeit und m... / 5 Datenschutz im Rahmen von Telearbeit und mobiler Arbeit

5.1 Verarbeitung personenbezogener Daten

Im Rahmen der Telearbeit sind auch öffentlich-rechtliche Datenschutzvorschriften (Bundesdatenschutzgesetz – BDSG bzw. EU-Datenschutzverordnung (EU) 2016/679DSGVO) zu beachten. In arbeitsrechtlicher Hinsicht ist die Einordnung des Telearbeiters als Arbeitnehmer, Heimarbeiter, arbeitnehmerähnliche Person oder selbstständiger Unternehmer von zentraler Bedeutung, um hieraus Rechte und Pflichten des Telearbeiters selbst oder seines Arbeit- bzw. Auftraggebers abzuleiten. Die Datenschutzvorschriften knüpfen dagegen nicht an den arbeitsrechtlichen Status einer Person an, sondern sind immer dann zu beachten, wenn personenbezogene Daten durch nicht-öffentliche Stellen (z. B. Arbeitgeber. Auftraggeber) verarbeitet werden.[1] Zur Verarbeitung gehört jeglicher mit oder ohne Hilfe automatisierter Verfahren durchgeführte Vorgang im Kontext des Umgangs mit personenbezogenen Daten, etwa die Erfassung, Erhebung, Speicherung, Übermittlung, Veränderung, Verwendung, Übermittlung, Verknüpfung und Bereitstellung personenbezogener Daten, ebenso das Auslesen und das Löschen von Daten.[2]

Zulässig ist die Verarbeitung personenbezogener Daten dann, wenn die betroffene Person in die Verarbeitung eingewilligt hat oder eine anderweitige Rechtsgrundlage für die Verarbeitung besteht.[3] Eine Rechtsgrundlage kann auch dadurch gegeben sein, dass die Verarbeitung zur Durchführung eines Vertrages oder Erfüllung einer gesetzlichen Verpflichtung erforderlich ist.[4] Eine spezielle Rechtsgrundlage besteht für die Datenverarbeitung in Beschäftigungsverhältnissen. Gemäß § 26 Abs. 1 Satz 1 BDSG  ist die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten erforderlich ist. Dies würde beispielsweise die Datenverarbeitung durch den Arbeitgeber oder einen vom Arbeitgeber beauftragten Dritten im Rahmen einer arbeitsschutzrechtlich gebotenen Gefährdungsbeurteilung eines Telearbeitsplatzes legitimieren. Der Arbeitgeber als Verantwortlicher muss durch geeignete Maßnahmen sicherstellen, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Zu diesen gehören gemäß Art. 5 DSGVO:

  • Sicherstellung einer transparenten, nachvollziehbaren und rechtskonformen Datenverarbeitung,
  • Zweckbindung zwischen Erhebung und Verarbeitung,
  • Beschränkung der Verarbeitung auf das notwendige Maß (Datenminimierung),
  • Berichtigung oder Löschung unrichtiger Daten (Datenrichtigkeit),
  • Begrenzung der Speicherung auf den erforderlichen Zeitraum und
  • Gewährleistung der Sicherheit der Daten gegenüber unrechtmäßiger Verarbeitung oder Verlust.

Beruht die Datenverarbeitung auf einer Einwilligung der betroffenen Person, muss diese u. a. über ihr Recht zum Widerruf der Einwilligung belehrt werden.[5]

5.1.1 Einsatz von Arbeitnehmern

Handelt es sich beim Telearbeiter um einen Arbeitnehmer, Heimarbeiter im Sinne des HAG oder eine arbeitnehmerähnliche Person, so unterliegen diese als "Beschäftigte" den Bestimmungen des BDSG über die Datenverarbeitung in Beschäftigungsverhältnissen.[1] Gemäß § 26 Abs. 1 bis 4 BDSG bedarf es nicht stets der Einwilligung des Beschäftigten in die Datenverarbeitung. Vielmehr ist die Verarbeitung personenbezogener Daten etwa auch auf der Grundlage von Kollektivvereinbarungen (z. B. Betriebsvereinbarungen) zulässig. Derartige kollektivrechtliche Regelungen müssen allerdings die Grundsätze des Art. 88 Abs. 2 DSGVO beachten. Dazu gehören u. a. die Festlegung von Maßnahmen der berechtigten Interessen und der Grundrechte der betroffenen Personen im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder eines Konzerns und die Überwachungssysteme am Arbeitsplatz.

Beispielsweise verstößt das Speichern des Bearbeiters und des letzten Änderungsdatums einer Datei im Rahmen einer Online-Datenbank nicht gegen das BDSG, wenn berechtigte Interessen des Arbeitgebers dies erforderlich machen (etwa Vermeidung erheblicher wirtschaftlicher Schäden bei Kunden).[2]

5.1.2 Einsatz von arbeitnehmerähnlichen Personen oder selbstständigen Unternehmern

Wenn der Telearbeiter als selbstständiger Unternehmer oder freiberuflich Tätiger personenbezogene Daten zu verarbeiten hat, liegt eine Auftragsverarbeitung gemäß Art. 28 DSGVO vor. In diesem Fall ist der Telearbeiter gemäß Art. 28 DSGVO für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und muss entsprechende technische und organisatorische Vorkehrungen treffen. Der Auftragnehmer hat als Auftragsverarbeiter gemäß § 38 Abs. 1 BDSG unt...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge