Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 08/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
14. Mai 2024

Datenschutz bei Mitarbeiter-Apps

Mitarbeiter-Apps sind flexibel und vielfältig einsetzbar. Damit die Verwendung auch datenschutzkonform ist, sind zahlreiche Voraussetzungen zu erfüllen.
Bild: iStock.com / ipopba
5,00 (2)
drucken
Beschäftigtendatenschutz
Einen schnellen Zugriff auf wichtige Informationen sowie eine einfache interne Kommunikation – Mitarbeiter-Apps machen es möglich. Doch was ist aus Sicht des Datenschutzes zu beachten?

Immer mehr Unternehmen setzen auf Mitarbeiter-Apps. Die Applikationen lassen sich zumeist sowohl auf dem Smartphone als auch über PCs / Laptops oder Tablets verwenden. Insbesondere in Zeiten, in denen Unternehmen Tätigkeiten vom Büro in das Homeoffice verlagern, dienen sie hauptsächlich dem Wissensaustausch sowie einer verbesserten Vernetzung.

So haben Unternehmen z.B. die Möglichkeit, Mitarbeiterinnen und Mitarbeitern unabhängig von Ort und Zeit ihrer Arbeit wichtige interne Neuigkeiten mitzuteilen oder mit ihnen zu kommunizieren. Denkbar ist darüber hinaus etwa die Nutzung zur Zeiterfassung, um Urlaubsanträge einzureichen sowie für digitale Schulungen oder Pflichtunterweisungen.

Typische Funktionen von ­Mitarbeiter-Apps

Die Vorteile, die Mitarbeiter-Apps bieten können, sind dementsprechend groß und liegen v.a. darin, bestimmte Prozesse zu erleichtern. Gängige Funktionen von Mitarbeiter-Apps, die (u.a.) dieses Ziel verfolgen, sind:

  • Profil (dienstliche Stamm- und Kontaktdaten, ggf. Foto)
  • Verzeichnisse (Mitarbeiterliste, Mitarbeitergruppen, Geburtstage, Jubiläen)
  • Gruppen (z.B. für Standorte, Abteilungen, zur Projektorganisation)
  • Dokumente (Upload/Download von Dateien, Dateiaustausch)
  • Suchfunktion (z.B. nach Dokumenten oder Beiträgen)
  • Newsfeed (Beiträge, ggf. mit Kommentaren/Interaktionen)
  • Messenger-Dienst (Nachrichten, Chat)
  • Forum (z.B. für allgemeine Fragen)
  • Formulare (u.a. Zeiterfassung, Urlaubsanträge)
  • Planung (Kalender, Terminorganisation)
  • Schulung (z.B. Nutzung als eLearning-Plattform)
  • Galerie (Fotosammlung)

Rechtsgrundlagen für Mitarbeiter-Apps

Bei all dieser Flexibilität und Vielfältigkeit dürfen Arbeitgeber jedoch die Voraussetzungen für eine datenschutzkonforme Verwendung von Mitarbeiter-Apps nicht außer Acht lassen: Für die damit verbundene Verarbeitung personenbezogener Beschäftigtendaten ist gemäß Art. 5 Abs. 1 Satz 1 Buchst. a und Art. 6 Datenschutz-Grundverordnung (­DSGVO) grundsätzlich eine Rechtsgrundlage erforderlich. Sie hängt von den Zwecken ab, die mit der App verfolgt werden, sowie von den konkreten Funktionen.

Für die Erfüllung des Arbeitsvertrags erforderlich?

Ist die Nutzung der App für die Durchführung des Beschäftigungsverhältnisses bzw. die Erfüllung des Arbeitsvertrags erforderlich, können Verantwortliche die Verarbeitung auf Art. 6 Abs. 1 Buchst. b ­DSGVO stützen. Dies wäre z.B. der Fall, wenn Beschäftigte die Arbeitsleistung nicht ohne die Benutzung bestimmter Funktionen der App erbringen können.

Die Datenverarbeitung im Rahmen von Funktionen, die nicht für die Arbeit erforderlich sind, lässt sich jedoch mit dieser Rechtsgrundlage nicht rechtfertigen.

Dient die Mitarbeiter-App der Organisation?

Sofern die App der Unternehmensorganisation dient, kann ein berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f ­DSGVO die Datenverarbeitung legitimieren, sofern nicht die Interessen, Grundrechte oder -freiheiten der Beschäftigten der Verarbeitung entgegenstehen. So könnten sich z.B. mithilfe der App auf Basis dieser Rechtsgrundlage reibungslose betriebsinterne Abläufe sicherstellen lassen. Dies gilt allerdings nur für die Funktionen, die erforderlich sind, um diese Zwecke zu verfolgen.

Sind Funktionen nicht erforderlich?

Ist die App bzw. sind bestimmte Funktionen der App weder für die Durchführung des Beschäftigungsverhältnisses noch zur Wahrung berechtigter Interessen des Unternehmens notwendig, sollte deren Nutzung freiwillig sein. Rechtsgrundlage der Datenverarbeitung wäre die Einwilligung der Beschäftigten gemäß Art. 6 Abs. 1 Buchst. a ­DSGVO. Dies ist z.B. bei einem Forum oder bei dem freiwilligen Upload von Fotos anzunehmen.

Praxis-Tipp
Fragen Sie als Datenschutzbeauftragter (DSB) bereits im Planungsstadium der Einführung nach, welche Zwecke der Verantwortliche mit der Mitarbeiter-App verfolgt und über welche Funktionen die App verfügt. Diese Informationen sind erforderlich, um die Rechtmäßigkeit der Datenverarbeitung zu prüfen.

Prinzip der Datenminimierung beachten

Aus den datenschutzrechtlichen Grundsätzen nach Art. 5 Abs. 1 ­DSGVO ergibt sich u.a. die Vorgabe, dass grundsätzlich so wenig personenbezogene Daten so kurz wie möglich verarbeitet werden sollten. Daher sollte die Anwendung so konzipiert sein, dass den Prinzipien der Datenminimierung (Art. 5 Abs. 1 Buchst. c ­DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e ­DSGVO) entsprochen werden kann. Dies lässt sich durch die folgenden technischen und organisatorischen Vorkehrungen unterstützen.

Technische Maßnahmen

So gilt es bereits vor aktiver Nutzung der App darauf zu achten, ob der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design & Privacy by Default gemäß Art. 25 ­DSGVO) hinreichend umgesetzt wird (siehe dazu auch Lang, Datenschutz PRAXIS 12/2023, S. 1–4). So sollten standardmäßig nur tatsächlich erforderliche Daten von den Mitarbeiterinnen und Mitarbeitern abgefragt und ausufernde Dateneingaben beschränkt werden (z.B. durch Zeichenlimits oder den Verzicht auf Freitextfelder).

Wichtig sind außerdem Funktionen, die (automatisierte) Löschungen erlauben, sodass beispielsweise Beiträge und Inhalte nach einer bestimmten Zeit automatisch innerhalb der Anwendung gelöscht werden. Zudem sollte es den Beschäftigten möglich sein, von ihnen selbst eingestellte Inhalte (Beiträge, Fotos, Nachrichten) jederzeit zu bearbeiten oder vollständig zu entfernen.

Organisatorische Maßnahmen

Neben technischen sind auch organisatorische Maßnahmen zu ergreifen. Zu empfehlen ist ein Rollen- und Berechtigungskonzept, das regelt, wer welche Inhalte einsehen kann. Sinnvoll sind außerdem interne Regelungen (Richtlinien) zum allgemeinen Umgang mit der App, die für eine datensparsame Nutzung sensibilisieren. Darin sollte auch aufgenommen werden, welche Inhalte grundsätzlich in die App eingepflegt bzw. in der App veröffentlicht werden dürfen.

Insbesondere bietet es sich an, Aussagen hinsichtlich der Frage zu treffen, ob es den Mitarbeiterinnen und Mitarbeitern erlaubt ist, auch private Daten in die App einzutragen bzw. diese für private Zwecke zu nutzen. Sofern z.B. private Chats zwischen den Beschäftigten gestattet werden, sollten Verantwortliche aufgrund der Vorgaben aus dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und v.a. zum Fernmeldegeheimnis (Art. 10 Grundgesetz) eine freiwillige und hinreichend informierte Einwilligung der beteiligten Beschäftigten – auch im Hinblick auf Zugriffs- und Kontrollmöglichkeiten – einholen.

Nutzungsmöglichkeit der Mitarbeiter-Apps festlegen

Ferner sollte geregelt werden, über welche Endgeräte die Mitarbeiterinnen und Mitarbeiter die App verwenden dürfen. Zu empfehlen ist, die Nutzung auf Geräte zu beschränken, die der Arbeitgeber zur Verfügung stellt und deren Sicherheit daher die IT-Abteilung steuert. Eine Nutzungsmöglichkeit über Privatgeräte („Bring your own device“ – BOYD) bringt – auch wenn datenschutzrechtliche Anforderungen umgesetzt werden wie die Einwilligung der Beschäftigten – aus Sicht der Informationssicherheit Risiken mit sich. Bei BYOD besteht keine Kontrolle über die Geräte.

Einsatz von Dienstleistern prüfen

Außerdem ist zu prüfen, ob im Zusammenhang mit der Mitarbeiter-App externe Dienstleister eingebunden werden. Denkbar ist beispielsweise, dass diese die technische Infrastruktur der App bereitstellen (z.B. das Hosting der Anwendung) oder Supportleistungen erbringen, wodurch sie Zugriff auf personenbezogene Daten erhalten könnten.

Für diese Konstellationen ist mit dem jeweiligen Dienstleister ein Vertrag zur Auftragsverarbeitung abzuschließen, der den Anforderungen aus Art. 28 Abs. 3 ­DSGVO entspricht. Auch sind dessen technische und organisatorische Maßnahmen zu prüfen sowie zu dokumentieren.

Datenübermittlung an ­Drittländer

In diesem Rahmen sollte auch kontrolliert werden, ob durch die Nutzung der App personenbezogene Daten der Beschäftigten in Drittländer außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) übertragen werden können. Ist dies der Fall, müssen die Anforderungen der Art. 44 ff. ­DSGVO erfüllt sein. Insbesondere bei Datenübermittlungen an Dienstleister/Unternehmen, die unter keinen Angemessenheitsbeschluss der EU-Kommission fallen, ist zu prüfen, ob sich ein angemessenes Datenschutzniveau annehmen lässt.

Pflichten gegenüber den ­Beschäftigten

Ferner sind die Beschäftigen gemäß Art. 13 ­DSGVO über die Datenverarbeitungen im Zusammenhang mit der App zu informieren. Das kann durch eine passgenaue und verständliche Datenschutzerklärung innerhalb der App geschehen. In Unternehmen mit einem Betriebsrat bietet es sich an, den Einsatz der Mitarbeiter-App in einer Betriebsvereinbarung festzulegen.

Nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) besteht ohnehin ein Mitbestimmungsrecht des Betriebsrats bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Da dieses Mitbestimmungsrecht weit ausgelegt wird, kann es sehr schnell bei Mitarbeiter-Apps greifen. Deshalb ist es ratsam, den Betriebsrat möglichst früh einzubeziehen.

Denken Sie als DSB an die Möglichkeit, eine Betriebsvereinbarung abzuschließen, sofern es in Ihrem Unternehmen einen Betriebsrat gibt. Diese Betriebsvereinbarung sollte auch datenschutzrechtliche Themen aufnehmen. Dabei sind in diesem Bereich die Anforderungen aus Art. 88 Abs. 2 ­DSGVO (siehe § 26 Abs. 4 BDSG) zu beachten!

Fazit & Checkliste zu Mitarbeiter-Apps

Bei Mitarbeiter-Apps müssen Verantwortliche mit Unterstützung und Beratung durch den oder die DSB zahlreiche Anforderungen für einen datenschutzkonformen Einsatz berücksichtigen. Die folgende Checkliste bietet Ansatzpunkte für eine erste Prüfung und Dokumentation: Checkliste Datenschutz bei Mitarbeiter-Apps

Conrad S. Conrad, Elena Folkerts

Conrad S. Conrad Elena Folkerts
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Conrad S. Conrad
Conrad S. Conrad
Conrad S. Conrad ist Volljurist und Senior Berater Datenschutz bei der datenschutz nord GmbH am Standort Hamburg.
Elena Folkerts
Elena Folkerts
Elena Folkerts, M.A., arbeitete zunächst in der Rechtsabteilung eines mittelständischen Softwareunternehmens und ist nun für einen der bundesweit führenden Dienstleister im Bereich Datenschutz tätig.
Verwandte Beiträge
24. Juli 2024
Podcast datenschutz-praxis

KI-Training mit personenbezogenen Daten bei Instagram und Facebook | Podcast Folge 52

Podcast
Künstliche Intelligenz
24. Juli 2024
Steuerakte
Bild: © gopixa/iStock/Getty Images Plus

Auskunftsanspruch: Kein Einblick in die eigene Steuerakte?

Urteil
Urteil
22. Juli 2024
Was ist genau unter Vertraulichkeit im Datenschutz zu verstehen?
Bild: iStock.com / Stadtratte

Vertraulichkeit: Was heißt das im Datenschutz?

Hintergrund
IT-Sicherheit
08. Juli 2024
Eine falsche Meldung an die SCHUFA kann zum Schadensersatz berechtigen
Bild: iStock.com / Mironov-Konstanti

DSGVO-Schadensersatz von 2.000 €

Urteil
05. Juli 2024
Technisch-organisatorische Maßnahmen: Das gehört ins Datensicherheitskonzept
Bild: i3D_VR / iStock / Thinkstock

Technisch-organisatorische Maßnahmen: Das gehört ins Datensicherheitskonzept

Analyse
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.