Cloud-Computing im Arbeitsrecht: Da­ten­schutz in der Wolke

Für Unternehmen wie Privatnutzer ist es selbstverständlich geworden, Daten nicht mehr auf internen Systemen zu speichern, sondern extern. Zugleich wird freie Software genutzt, um diese Daten verwalten und bearbeiten zu können. All das läuft über Anbieter so genannter Public-Cloud-Systeme und Software "as a Service". Die Namen der Anbieter, vor allem der kostenfreien Systeme, sind heute alltägliche Begriffe - Dropbox, Google Drive, MicrosoftOutlook.com usw.

In vielen (kleineren) Unternehmen erfolgt die Einführung und Nutzung dieser Systeme aber ohne datenschutzrechtliche Analyse. Gerade Start-up-Unternehmen und Mittelständler gefährden dabei ggf. nicht nur wertvolles Know How und Geschäftsgeheimnisse, sondern verletzten auch zwingendes und bußgeld- oder strafbewehrtes Arbeitnehmerdatenschutzrecht. Dabei ist die Compliance gar nicht so schwer.

"Aufräumen" ist teurer als "richtig einrichten"

Kleine und mittlere Unternehmen stehen zwar nicht im Fokus der Datenschutzbehörden und überhaupt besteht mangels behördlicher Personalressourcen kein hoher Verfolgungsdruck im Datenschutzbereich. Dennoch ist es falsch, sich bei systematischen Verstößen gegen Arbeitnehmerdatenschutzregeln sicher zu fühlen. Erstens kann eine interne oder externe "Skandalisierung" zum falschen Zeitpunkt kommen, auch für kleinere Unternehmen (z. B. bei der nächsten Finanzierungsrunde oder bei Restrukturierungsverhandlungen). Zweitens ist "Aufräumen" immer teurer als "richtig einrichten".

Wo ist also das Problem, wenn Gehaltsabrechnungen über die Dropbox verteilt werden, die Personalakten mit Urlaubsanträgen und Attesten in GoogleDrive geführt werden? Es handelt sich um besonders sensible Arbeitnehmerdaten, zu deren Schutz der Arbeitgeber wie für alle personenbezogenen Daten das zwingende Bundesdatenschutzgesetz (BDSG) beachten muss. Dieses gilt sogar nicht nur für elektronische Daten, sondern auch für Papierdaten im Arbeitsverhältnis.

Der Arbeitgeber darf nach dem BDSG auch nicht einfach Dienstleister nutzen und an diese Arbeitnehmerdaten übermitteln, sondern muss nach Ansicht der Datenschützer vor Einschaltung von Dienstleistern den Datenschutz durch diese sicherstellen. Dies gilt auch für "virtuelle" Dienstleister, somit auch Anbieter von Cloud-Diensten, selbst wenn diese kostenfrei sind. Denn nach § 4 Abs. 1 BDSG ist jede Datenerhebung, -nutzung oder –weitergabe verboten, die nicht aufgrund der gesetzlichen Regeln ausdrücklich erlaubt ist – das BDSG ist ein Verbotsgesetz mit Erlaubnisvorbehalt, ähnlich wie auch das Atomgesetz.

Zwei Wege für externe Datenverarbeitung

Es gibt datenschutzrechtlich zwei Varianten, um externe Dienstleister bei der Datenverarbeitung einzuschalten und damit auch zwei rechtliche Wege zur Erlaubnis: die "Auftragsdatenverarbeitung" und die "Datenweitergabe an Dritte". Bei der Auftragsdatenverarbeitung hat der Dienstleister keine eigenständige Entscheidungsbefugnis über die Daten, sondern handelt nur nach strikten Vorgaben des Arbeitgebers, wie z. B. klassisch die externe Lohnbuchhaltung. Deshalb erlaubt das BDSG die Auftragsdatenverarbeitung unter vergleichsweise geringeren, privilegierenden Anforderungen (§ 11 BDSG) und betrachtet den Auftragsdienstleister nicht als „Dritten“ im Verhältnis zum Auftraggeber (§ 3 Abs. 8 Satz 3 BDSG).

Cloud-Systeme von Anbietern in Deutschland oder in anderen EU-Staaten sind aus Sicht des Arbeitgebers typischerweise entweder reine externe Speichermedien oder – bei entsprechenden Zusatzdienstleistungen – Auftragsdatenverarbeiter. Damit bleibt der Arbeitgeber zwar das datenschutzrechtlich verantwortliche Unternehmen und ist insoweit auch für die Einhaltung der (deutschen) Datenschutzanforderungen beim Dienstleister verantwortlich. Die Nutzung ist aber bei Einhaltung der erleichterten Anforderungen nach § 11 Abs. 2 BDSG ohne weiteres zulässig. Dies bedeutetet, dass es eine schriftliche Auftragsvereinbarung geben muss, in der unter anderem Art und Dauer des Auftrags, Umfang, Art und der Zweck der vorgesehenen Datenerhebung, -verarbeitung oder -nutzung, die Art der Daten und der Kreis der Betroffenen, die Berichtigung, Löschung und Sperrung von Daten mit dem Anbieter schriftlich zu regeln sind.