Die virtuelle Wolke hat in wenigen Jahren den Weg von scheinbarer Utopie zum Alltag zurückgelegt. Bei Cloud Computing in Unternehmen kommt es jedoch oftmals zu Verstößen gegen den Arbeitnehmerdatenschutz. Wie es anders geht, erklärt Anja Mengel.
Für Unternehmen wie Privatnutzer ist es selbstverständlich geworden, Daten nicht mehr auf internen Systemen zu speichern, sondern extern. Zugleich wird freie Software genutzt, um diese Daten verwalten und bearbeiten zu können. All das läuft über Anbieter so genannter Public-Cloud-Systeme und Software "as a Service". Die Namen der Anbieter, vor allem der kostenfreien Systeme, sind heute alltägliche Begriffe - Dropbox, Google Drive, MicrosoftOutlook.com usw.
In vielen (kleineren) Unternehmen erfolgt die Einführung und Nutzung dieser Systeme aber ohne datenschutzrechtliche Analyse. Gerade Start-up-Unternehmen und Mittelständler gefährden dabei ggf. nicht nur wertvolles Know How und Geschäftsgeheimnisse, sondern verletzten auch zwingendes und bußgeld- oder strafbewehrtes Arbeitnehmerdatenschutzrecht. Dabei ist die Compliance gar nicht so schwer.
"Aufräumen" ist teurer als "richtig einrichten"
Kleine und mittlere Unternehmen stehen zwar nicht im Fokus der Datenschutzbehörden und überhaupt besteht mangels behördlicher Personalressourcen kein hoher Verfolgungsdruck im Datenschutzbereich. Dennoch ist es falsch, sich bei systematischen Verstößen gegen Arbeitnehmerdatenschutzregeln sicher zu fühlen. Erstens kann eine interne oder externe "Skandalisierung" zum falschen Zeitpunkt kommen, auch für kleinere Unternehmen (z. B. bei der nächsten Finanzierungsrunde oder bei Restrukturierungsverhandlungen). Zweitens ist "Aufräumen" immer teurer als "richtig einrichten".
Wo ist also das Problem, wenn Gehaltsabrechnungen über die Dropbox verteilt werden, die Personalakten mit Urlaubsanträgen und Attesten in GoogleDrive geführt werden? Es handelt sich um besonders sensible Arbeitnehmerdaten, zu deren Schutz der Arbeitgeber wie für alle personenbezogenen Daten das zwingende Bundesdatenschutzgesetz (BDSG) beachten muss. Dieses gilt sogar nicht nur für elektronische Daten, sondern auch für Papierdaten im Arbeitsverhältnis.
Der Arbeitgeber darf nach dem BDSG auch nicht einfach Dienstleister nutzen und an diese Arbeitnehmerdaten übermitteln, sondern muss nach Ansicht der Datenschützer vor Einschaltung von Dienstleistern den Datenschutz durch diese sicherstellen. Dies gilt auch für "virtuelle" Dienstleister, somit auch Anbieter von Cloud-Diensten, selbst wenn diese kostenfrei sind. Denn nach § 4 Abs. 1 BDSG ist jede Datenerhebung, -nutzung oder –weitergabe verboten, die nicht aufgrund der gesetzlichen Regeln ausdrücklich erlaubt ist – das BDSG ist ein Verbotsgesetz mit Erlaubnisvorbehalt, ähnlich wie auch das Atomgesetz.
Zwei Wege für externe Datenverarbeitung
Es gibt datenschutzrechtlich zwei Varianten, um externe Dienstleister bei der Datenverarbeitung einzuschalten und damit auch zwei rechtliche Wege zur Erlaubnis: die "Auftragsdatenverarbeitung" und die "Datenweitergabe an Dritte". Bei der Auftragsdatenverarbeitung hat der Dienstleister keine eigenständige Entscheidungsbefugnis über die Daten, sondern handelt nur nach strikten Vorgaben des Arbeitgebers, wie z. B. klassisch die externe Lohnbuchhaltung. Deshalb erlaubt das BDSG die Auftragsdatenverarbeitung unter vergleichsweise geringeren, privilegierenden Anforderungen (§ 11 BDSG) und betrachtet den Auftragsdienstleister nicht als „Dritten“ im Verhältnis zum Auftraggeber (§ 3 Abs. 8 Satz 3 BDSG).
Cloud-Systeme von Anbietern in Deutschland oder in anderen EU-Staaten sind aus Sicht des Arbeitgebers typischerweise entweder reine externe Speichermedien oder – bei entsprechenden Zusatzdienstleistungen – Auftragsdatenverarbeiter. Damit bleibt der Arbeitgeber zwar das datenschutzrechtlich verantwortliche Unternehmen und ist insoweit auch für die Einhaltung der (deutschen) Datenschutzanforderungen beim Dienstleister verantwortlich. Die Nutzung ist aber bei Einhaltung der erleichterten Anforderungen nach § 11 Abs. 2 BDSG ohne weiteres zulässig. Dies bedeutetet, dass es eine schriftliche Auftragsvereinbarung geben muss, in der unter anderem Art und Dauer des Auftrags, Umfang, Art und der Zweck der vorgesehenen Datenerhebung, -verarbeitung oder -nutzung, die Art der Daten und der Kreis der Betroffenen, die Berichtigung, Löschung und Sperrung von Daten mit dem Anbieter schriftlich zu regeln sind.
2/2: Problem: Anbieter außerhalb der EU
Anders liegt es jedoch bei Anbietern außerhalb der EU, wobei in der Praxis die Bestimmung des anwendbaren Rechts und der gerade für die virtuellen Dienste zuständigen Rechtsordnung komplex und teils ungeklärt ist. Für die Nutzung von Angeboten von außerhalb der EU ist aber jedenfalls bereits nach § 3 Abs. 8 Satz 3 BDSG gesetzlich eine privilegierte Auftragsdatenverarbeitung ausgeschlossen; EU-Ausländer sind danach immer "Dritte" im Verhältnis zum Arbeitgeber.
Deswegen muss der Arbeitgeber zunächst die Nutzung und Datenübertragung an den Anbieter als Datenweitergabe an Dritte datenschutzrechtlich rechtfertigen. Gerade für US-Anbieter ist dies mangels Anerkennung eines der EU gleichwertigen Datenschutzniveaus in den USA anspruchsvoll. Zwar nehmen die bekannten US-Anbieter an dem sogenannten "Safe-Harbor-Verfahren" teil – ein Verfahren, mit dem sich die US-Unternehmen selbst datenschutzrechtlich im Sinne des EU-Rechts zertifizieren und erklären können, sich an die strengeren Datenschutzregeln der EU zu halten.
Einwilligung der Arbeitnehmer mögliche Lösung
Dies allein soll nach deutschem Datenschutzrecht aber nicht genügen. Der Arbeitgeber muss weitergehend einen Vertrag schließen, der inhaltlich nicht nur die Anforderungen nach § 11 Abs. 2 BDSG analog erfüllt, sondern weitere Mindestvertragsinhalte haben muss. Außerdem hat der Arbeitgeber weitgehende eigene Prüfpflichten zur aktiven Sicherstellung des Schutzes der Daten. Diese sind in der Praxis nur schwer und in jedem Fall mit hohem Aufwand umsetzbar, jedenfalls im Kontakt mit den Großanbietern kostenfreier Public Clouds.
Als Alternative kommt zwar die individuelle Einwilligung der Arbeitnehmer zur Datenübermittlung in die Cloud in Betracht, auch wenn die Datenschutzbehörden diesen Weg kritisch sehen. Zu Einwilligungen sind jedoch rechtliche Anforderungen zur Gestaltung zu beachten, die in der Praxis bisher oft vernachlässigt werden. Insoweit hat das Bundesarbeitsgericht in jüngerer Zeit zumindest die lange vorherrschende datenschutzrechtliche Ansicht zurückgewiesen (Urt. v. 11.12.2014 – 8 AZR 1010/13), Arbeitnehmern sei im Arbeitsverhältnis die erforderliche "freie" Einwilligung gar nicht möglich. Bei richtiger Gestaltung sind daher wirksame Einwilligungserklärungen erreichbar.
Wem diese rechtlich zulässigen Wege in die internationale Public Cloud zu aufwendig sind, kann Datenschutzcompliance (nur) mit EU-inländischen Public Clouds oder Private Clouds herstellen - oder muss weiter auf das Management der Non-Compliance setzen.
Die Autorin Dr. Anja Mengel, LL.M. (Columbia), Rechtsanwältin und Partnerin bei ALTENBURG Fachanwälte für Arbeitsrecht in Berlin, ist eine sehr renommierte Arbeitsrechts- und Compliance-Expertin.
Dr. Anja Mengel, LL.M., Cloud-Computing im Arbeitsrecht: Datenschutz in der Wolke . In: Legal Tribune Online, 03.08.2015 , https://www.lto.de/persistent/a_id/16341/ (abgerufen am: 26.04.2024 )
Infos zum Zitiervorschlag