FAQ

Die Mitarbeiter sollen vom frühestmöglichen Zeitpunkt an eingebunden werden. Dafür muss beizeiten eine Partizipationsstrategie mit u. a. Mitarbeiterinformationsveranstaltungen eingeplant werden.

Es ist eine Migrationsphase aufgrund fehlendem Vertrauen in die digitale Lösung von mindestens einem Jahr vorzusehen, damit sich die Mitarbeiter an die digitale Applikation gewöhnen können.

Es muss eine detaillierte Prozessanalyse angefertigt werden, um den Prozess zu verstehen und formal zu erfassen sowie um Medien- und Systembrüche zu identifizieren.

Für die Bewertung der Machbarkeit können Leitfäden (bspw. VDMA-Leitfaden) verwendet werden. Damit kann der spezifische Reifegrad in einem Unternehmen bzw. Unternehmensbereichs ermittelt werden.

Industrie 4.0 Use-Cases sollten nicht sprunghaft, sondern schrittweise eingeführt werden. Dafür ist die Definition einer Minimallösung des Use-Cases erforderlich. Davon ausgehend sollten mind. 6 bis 10 Ausbaustufen bis zur endgültigen Lösung eingeplant werden. Die einzelnen Iterationen sollten flexibel gestaltet sein. Notwendig dafür ist entsprechende Methodenkenntnis agiler Vorgehensweisen in Projektmanagement und Entwicklung. siehe Scrum, MVP

Zusätzlich zu den im Rollenmodell aufgeführten Rollen/Funktionen ist die Person, die das Problem identifiziert hat, erforderlich, da dort sowohl das fachliche Knowhow als auch eine emotionale Komponente ausgeprägt ist. Darüber hinaus sollten noch sog. Schnittstellen-Mitarbeiter (bspw. AV oder QM/QS) im Projektteam sein.

Die Personenauswahl sollte aufgrund Persönlichkeit, Einfluss, Macht aus einem gleichwertigen interdisziplinären Team plus den Umsetzern erfolgen. Dafür ist die Kenntnis über Beziehungs- und Machtgeflechte fern jeder Organisationsstruktur erforderlich.

Die Idee an sich kann sehr einfach formuliert sein. Die Detaillierung und Ausgestaltung der Zieldefinition muss jedoch in interdisziplinären Workshops stattfinden.

Der Experte hat den Gesamtüberblick, der Spezialist bzw. Dienstleister ist nur für eine bestimmte Tätigkeit im Projekt zuständig.

Es sollte schon frühzeitig ein umfangreiches Netzwerk aus Spezialisten und Dienstleitern aufgebaut werden, um schnell reagieren zu können. Dafür ist ein Engagement in Verbänden, Netzwerken oder Innovationsnetzwerken erforderlich.

Es soll vor Projektende ein Hauptverantwortlicher ernannt werden. Sobald der Use-Case vom Projektstatus in den operativen Betrieb überführt wird muss dafür ein Verantwortlicher/Kümmerer ernannt sein. Dieser muss klar benannt sein oder die interne IT-Abteilung ist für die Lösung verantwortlich.

Geschäftsleitung oder Werkleitung, d.h. Management.

Dokumentation der Projekte anhand standardisierter Methoden, sie BPM oder EPK, um Wissen teilen zu können und ggf. den Prozess zu verbessern.

Nach einer bestimmten Nutzungszeit der Applikation soll eine Mitarbeiterbefragung durchgeführt werden, damit Bedarfe für Verbesserungen des Use-Cases oder Mitarbeiterschulungen durchgeführt werden können. Ebenso kann festgesellt werden wie das Nutzererlebnis oder Nutzung des Tools ist.

Die Auswahl ersten Industrie 4.0 Anwendungsfalls in einem Unternehmen soll durch das Management/ Geschäftsführung erfolgen. Ziel soll sein, durch ein verständliches „Leuchtturmprojekt“ Akzeptanz der Mitarbeiter für die Digitalisierung zu gewinnen. Nachfolgeprojekte wiederum können durch Verständnis, Diskussion und Begreifen der Potentiale Bottom-Up erfolgen.

Zu Beginn der Digitalisierung eines Unternehmens sollen 3 Use-Cases unterschiedlicher Schwierigkeit ausgewählt werden: einfach – mittel –schwer. Der Use-Case mit geringstem Schwierigkeitsgrad sollte auf jeden Fall ein Erfolg sein, um Lerneffekte im Unternehmen anzustoßen und um Konsequenzen für anspruchsvollere Use-Cases zu ziehen (Bspw. Zieldefinition, Ressourcen, Rollen/Funktionen,…)

Der internen IT muss eine klare Rolle im Projekt zugewiesen werden. IT-Projektleiter und IT-Spezialisten müssen benannt werden. Die IT muss vor allem Zugriff auf ein externes Expertennetzwerk gewährleisten.

Die Rahmenbedingungen eines Forschungsprojektes müssen beachtet werden und eine klare Digitalisierungsstrategie über das Forschungsprojekt hinaus.

Die konkrete Tätigkeit bestimmt die Menge der Informationen und Daten, die insgesamt dargestellt werden und damit die Festlegung des gesamten und des gleichzeitigen Informationsbedarfs. Ein grundsätzliches Optimum für verschiedene Tätigkeiten ist daher nicht a priori festzulegen.

Wichtig ist die Passung der Technologie und verschiedener Aufgabenmerkmale z. B. im Hinblick auf Aufgabenzuordnung, Handlungsspielraum und Interaktionsgestaltung (Task-Technology-Fit). Daher erfordert der Einsatz neuer Technologien eine sorgfältige Analyse und Auswahl der Arbeitsaufgaben, um eine gebrauchstaugliche Implementierung zu ermöglichen.

Bislang zeigen sich keine spezifischen Alterseffekte, d. h. die Akzeptanz und Einsatzbereitschaft ist bei den sogenannten digital Natives nicht prinzipiell höher als bei den digital Immigrants. Auf Grund der weiten Verbreitung besteht insbesondere für Touchscreen-Technologien auch in allen Altersgruppen bereits Vorerfahrung mit der Bedienung.

Menschzentrierte CPS sind in erster Linie Arbeitsmittel. Damit greifen die Grundsätze aus der Betriebssicherheitsverordnung insbesondere § 6 Abs. 1. Konkrete Informationen bietet ergänzend die Technische Regel für Betriebssicherheit (TRBS 1151.)

In der neuen Arbeitsstättenverordnung finden sich Vorgaben zur Gestaltung von Bildschirmarbeitsplätzen. Danach dürfen mobile Bildschirmgeräte ohne Trennung zwischen Bildschirm und externem Eingabemittel (wie Smartphones und Tablets) nur an Arbeitsplätzen betrieben werden, an denen die Geräte nur kurzzeitig verwendet werden oder an denen die Arbeitsaufgaben mit keinen anderen Bildschirmgeräten ausgeführt werden können.

Handgehaltene Touchscreen-Geräte wie Smartphones und Tablets eigenen sich insbesondere wenn größere Textmengen, kleinteilige Bilder/technische Zeichnungen für einen hohen Informationsbedarf einzelner Arbeitsschritte und kurze Texteingaben notwendig sind. Vorhandene Ablagemöglichkeiten für die Geräte, wenn sie nicht gebraucht werden sind sinnvoll. Werden bei der Haupttätigkeit Handschuhe getragen, kann dies die Nutzung der Touchscreen-Geräte beeinträchtigen. Nutzende versuchen u. U. unterschiedliche Beleuchtungssituationen, durch verschiedene, teils ungünstige Haltungen auszugleichen. Daher sind reflektionsarme Displays vorzuziehen. Durch die Einheit von Tastatur und Display ist eine für alle Körperpartien einheitlich entlastende Positionierung der Devices schwierig. Dauer und Intensität sind daher entscheidende Faktoren für die biomechanische Belastung durch Nutzung von Smart Devices. Touchscreen-Geräte eignen sich eher für kurzzeitigen Einsatz.

Mit Head -Mounted Displays wie z. B. Datenbrillen können Informationen direkt ins Blickfeld der Beschäftigten eingespielt werden. Beide Hände bleiben so frei für die eigentliche Tätigkeit. Sinnvoll vor allem für kurze Informationen auf Grund der Displaygröße und wenn die Beschäftigten mobil sein müssen. Weniger geeignet, wenn die Hauptaufgabe das vollständige Sichtfeld und/oder die ungeteilte Aufmerksamkeit erfordert. Wichtig ist auch, dass die Umgebungsbedingungen abgestimmt, damit die Information auf dem Display auch störungsfrei wahrzunehmen ist. Mitunter ist die Akzeptanz auf Grund ergonomischer Mängel verschiedener Modelle gering mit potenziellen Auswirkungen auf Motivation und Leistung.

Datenschutzrechtliche Probleme stellen sich stets, aber auch nur beim Umgang (das heißt bei der Erhebung, Verarbeitung und Nutzung) personenbezogener Daten. Ein Personenbezug besteht, wenn die natürliche Person, auf die sich die Daten beziehen, bestimmt oder bestimmbar ist, vgl. § 3 Abs. 1 BDSG. Individualisierte Beschäftigtendaten werden diesen Personenbezug regelmäßig aufweisen. Wenn die Daten allerdings anonymisiert oder die Daten mehrerer Beschäftigter aggregiert werden (z.B. durchschnittlicher Lohn, Entwicklung der durchschnittlichen Wartungszeit eines CPS), ist das Datenschutzrecht nicht anwendbar. Es ist aber im Einzelfall sorgfältig zu prüfen, ob die einzelne Person nicht doch mit Zusatzwissen re-identifiziert werden kann, das im Unternehmen verfügbar ist. Eine interne Pseudonymisierung („Spanish Walls“) kann eine effektive datenschutzfreundliche Maßnahme sein, hebt den Personenbezug aber nicht auf.

Das Rückidentifizierungsrisiko muss also im Einzelfall beurteilt werden. Die Bestimmbarkeit von Personen muss nicht zwingend über den Namen erfolgen. Ausreichend ist, wenn andere Identifikationsmerkmale (wie z.B. Geschlecht, Geburtsdatum, Arbeitgeberanschrift, Stellung des Betroffenen im Unternehmen, fachliche Qualifikation) die Personenbeziehbarkeit mit verhältnismäßigem Aufwand ermöglichen. Ob allein das Entfernen des Namens und der Personalnummer eines Beschäftigten ausreicht, um einen Personenbezug vollständig zu beseitigen, kann u.a. davon abhängen, wie groß der Kreis der betroffenen Mitarbeiter ist. Wird eine Einzelperson als Mitglied einer Personengruppe gekennzeichnet, z.B. bei der Überwachung von Arbeitnehmergruppen, so gelten die zur Gruppe aufgenommenen Daten dann als personenbezogen, wenn sie auf die Einzelpersonen „durchschlagen“.

Anonymisierte Daten weisen keinen Personenbezug auf. Daher handelt es sich nicht um „personenbezogene“ Daten, weshalb der Anwendungsbereich des BDSG bzw. der EU-DSGVO nicht eröffnet ist.

Daten gelten als anonym, wenn eine inhaltliche Aussage nicht mehr oder nur mit unverhältnismäßig großem Aufwand (Zeit, Kosten, Arbeitskraft) auf bestimmte Personen beziehbar sind. Bei der Frage, wann ein Personenbezog praktisch nicht mehr hergestellt werden kann, kommt es auf die Erkenntnisquellen an, die der speichernden Stelle direkt oder indirekt zur Verfügung stehen (s. Frage 1). Dies ist im Einzelfall sorgfältig zu prüfen.

Der Umgang mit anonymen Mitarbeiterdaten unterfällt in der Regel auch nicht der Mitbestimmung gemäß § 87 Abs. 1 Nr. 6 BetrVG. Danach hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein Mitbestimmungsrecht. In dem Umgang mit anonymisierten Arbeitnehmerdaten besteht indes keine Gefahr für das Persönlichkeitsrecht der Arbeitnehmer, sofern die Anonymisierung der Daten nicht aufgehoben werden kann.

Ein Umgang mit Beschäftigtendaten ist nach § 4 Abs. 1 BDSG nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Neben der in § 4 Abs. 1 BDSG erwähnten Einwilligung kommen insbesondere folgende Erlaubnistatbestände für den Umgang mit personenbezogenen Beschäftigtendaten in Betracht:

Wichtigste Rechtsgrundlage im Arbeitsverhältnis ist § 32 Abs. 1 Satz 1 BDSG, wonach personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses unter anderem dann erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Durchführung des Beschäftigungsverhältnisses „erforderlich“ ist.

Zur Aufdeckung von Straftaten darf ein Umgang mit Beschäftigtendaten nach Maßgabe des § 32 Abs. 1 Satz 2 BDSG dann erfolgen, wenn zu dokumentierende tatsächlich Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, der Umgang zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss des Umgangs nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG zudem zulässig, soweit es zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

Für den Umgang mit „besonderen Arten personenbezogener Daten“, wozu etwa Vitaldaten wie der Pulsschlag von Mitarbeitern gehören, gelten die strengeren Anforderungen der §§ 28 Abs. 6 bis Abs. 8 BDSG.

Auch Betriebsvereinbarungen bzw. sonstige Kollektivverträge können den Datenschutz des Arbeitnehmers als „andere Rechtsvorschrift“ regeln. In der Praxis ist dies ein flexibles Instrument, das Anforderungen des konkreten Betriebs und seiner technischen Ausstattung berücksichtigen kann. Nach der überwiegenden Ansicht im Schrifttum kann dabei auch zum Nachteil des Beschäftigten von den Vorgaben des BDSG abgewichen werden. Die inhaltlichen Ausgestaltungsmöglichkeiten der Betriebsvereinbarung werden begrenzt durch § 75 Abs. 2 BetrVG, wonach Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben.

Die datenschutzrechtliche Einwilligung legitimiert im Grundsatz jeden Datenumgang, weil sie gerade Ausdruck der informationellen Selbstbestimmung des Beschäftigten ist. Im betrieblichen Umfeld wirft sie aber mehrere rechtliche und faktische Probleme auf.

Rechtlich verlangt § 4a BDSG (bzw. künftig Art. 7 EU-DSGVO) eine informierte und freiwillige Einwilligung. Im Kontext von Beschäftigungsverhältnissen ist angesichts des strukturellen Ungleichgewichts zwischen Arbeitsgeber und Arbeitnehmer problematisch, inwiefern auf Seiten des Beschäftigten von einer „freiwilligen“ Entscheidung gesprochen werden kann. Dies ist für das geltende Recht umstritten und nur teilweise gerichtlich geklärt. Die „Freiwilligkeit“ dürfte wohl nur ausnahmsweise, insbesondere wenn personenbezogene Daten für die Gewährung freiwilliger Arbeitgeberleistungen benötigt werden, zu bejahen sein.

Diesem Problem kann auch nicht dadurch vorgebeugt werden, dass der Arbeitgeber eine Klausel aufnimmt, wonach der Arbeitnehmer erklärt, bei seiner Entscheidung über die Einwilligung nicht unter Druck gesetzt worden zu sein. Anders kann sich die Situation darstellen, wenn ein Betriebsrat besteht und mit diesem die Rahmenbedingungen für Einwilligungen in einer Betriebsvereinbarung ausgehandelt werden. Hier kann z.B. geregelt werden, dass die Verweigerung oder der Widerruf der Einwilligung keine arbeitsrechtlichen Konsequenzen nach sich ziehen darf.

Auch dann bestehen aber noch AGB-rechtliche Grenzen sowie die Schwierigkeit, den formellen Anforderungen des § 4a BDSG (insbesondere § 4a Abs. 1 Satz 2 BDSG, wonach der Betroffene auf den vorgesehenen Zweck des Umgangs sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen ist) nachzukommen.

Daneben bestehen faktische Probleme des Einsatzes der Einwilligung. Wenn sie tatsächlich freiwillig erfolgt, wird es zumindest in großen Betrieben immer Fälle geben, in denen sie verweigert wird. Überdies können einzelne Arbeitnehmer ihre Einwilligung jederzeit widerrufen. Beides steht einheitlichen betrieblichen Abläufen und Datenverarbeitungsvorgängen entgegen. Letztlich muss gewährleistet werden, dass dem Arbeitnehmer bei Verweigerung oder Widerruf seiner Einwilligung keine Nachteile entstehen. Dies würde auf ein paralleles Angebot herkömmlicher und neuartiger Arbeitsplätze hinauslaufen.

Jenseits der erläuterten rechtlichen Probleme bietet sich die Einwilligung schon deshalb im Beschäftigungskontext nicht als zweckmäßiges Mittel an.

Wenn die Abfrage und Auswertung von Beschäftigtendaten aus betrieblichen Systemen zu Kontrollzwecken zulässig ist, bieten sich organisatorische Sicherungsinstrumente an, um den Eingriff in Persönlichkeitsrechte abzumildern oder überhaupt erst zulässig zu machen. Eine organisatorische Maßnahme kann die Pflicht zur Beteiligung von Betriebsrat oder Datenschutzbeauftragtem sein.

Sofern in einer Betriebsvereinbarung vorgesehen ist, dass eine Auswertung der erhobenen Daten unter Einbeziehung des betrieblichen Datenschutzbeauftragten und/oder des Betriebsratsvorsitzenden (oder seines Stellvertreters) erfolgt, kann mittels der Betriebsvereinbarung auch eine Protokollierung der Datenbankzugriffe seitens der Geschäftsleitung vereinbart werden. Dies folgt aus § 80 Abs. 1 Nr. 1 BetrVG, wonach der Betriebsrat darüber zu wachen hat, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen […] und Betriebsvereinbarungen durchgeführt werden. Dabei sind für das Handeln des Betriebsrats die in § 75 BetrVG aufgestellten Grenzen (Behandlung der Betriebsangehörigen nach den Grundsätzen von Recht und Billigkeit sowie die Schutz- und Förderpflicht in Bezug auf die freie Entfaltung der Persönlichkeit der im Betrieb tätigen) maßgeblich.

Eine einheitliche Definition des Cloud Computing existiert bisher weder in juristischer noch technischer Hinsicht. Allgemein geht es um die Auslagerung von Verarbeitungsprozessen auf Server, die von Dritten betrieben werden. Dies kann sich auf Infrastrukturen, Softwareplattformen, einzelne Programme oder reine Speicherlösungen beziehen. In allen Varianten erhöht sich die Zahl derjenigen, die Zugriff auf die Daten haben. Insbesondere bei der Einbindung außereuropäischer Anbieter führt dies zu rechtlichen und faktischen Datenschutzrisiken.

Rechtlich kann es sich beim Cloud Computing entweder um eine Auftragsdatenverarbeitung oder um eine Funktionsübertragung handeln. Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber (hier der Arbeitgeber) „Herr der Daten“ und datenschutzrechtlich verantwortlich. Eine Übermittlungsbefugnis ist nicht erforderlich, wohl aber die Einhaltung der Anforderungen von § 11 BDSG. Hauptproblem der Umsetzung als Auftragsdatenverarbeitung ist, dass der Arbeitgeber die Einhaltung datenschutzrechtlicher Vorgaben durch den Cloud-Anbieter nicht stets in vollem Umfang nachprüfen kann. Dementsprechend sind viele der Anforderungen des § 11 BDSG problematisch (Auswahl, Weisungen, Kontrollrechte; bei Standard-Cloud Verträgen auch Schriftform und Vorgaben aller Art durch den Cloud Nutzer). Da ein Verstoß gegen die Vorgaben zum Verlust der Privilegierung der Auftragsdatenverarbeitung führt, ist die datenschutzrechtliche Zulässigkeit dieser Gestaltung derzeit vielfach zweifelhaft.

Ein schon für das geltende Recht viel diskutierter Ausweg ist die Prüfung durch unabhängige Dritte, die allerdings derzeit nicht rechtlich geregelt ist. Art. 28 Abs. 5 der EU-DSGVO ermöglicht es dem Arbeitgeber deshalb künftig, Verhaltensregeln und Zertifizierungen im Sinne von Art. 40 bzw. 42 EU-DSGVO als einen „Faktor“ dafür heranzuziehen, dass der Cloud-Anbieter hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der EU-DSGVO steht und der Schutz der Rechte der Arbeitnehmer gewährleistet wird. Am zweckmäßigsten ist es daher – vor allem für kleine und mittlere Unternehmen – nur auf zertifizierte Anbieter zurückzugreifen, die erfolgreich eine Zertifizierung gemäß Art. 42 EU-DSGVO durchgeführt haben. Die Nutzung zertifizierter Cloud-Anbieter befreit den Cloud-Anwender allerdings nicht von der Verpflichtung, die Einhaltung der Datenschutzpflichten durch den Cloud-Anbieter regelmäßig zu überprüfen.

Als weitere Lösung kommt die Nutzung von Private Clouds in Betracht: dabei werden die Ressourcen exklusiv für einen Anwender zur Verfügung gestellt. Der Betrieb der Private Cloud kann dabei entweder vom Nutzer selbst oder aber auch von einem Dienstleister und entweder im Rechenzentrum des Nutzers oder aber auch im Rechenzentrum des Dienstleisters realisiert werden. Da das entsprechende Angebot individuell für den jeweiligen Nutzer erstellt wird, ist in diesem Fall eine datenschutzkonforme Ausgestaltung der Cloud rechtlich und technisch denkbar, sofern dabei die Anforderungen des § 11 BDSG bzw. der Datenschutzgrundverordnung eingehalten werden.

Wenn der Auftragsdatenverarbeiter außerhalb der EU/des EWR ansässig ist (s. Frage 8) bzw. keine Auftragsdatenverarbeitung vorliegt, begegnet die Übermittlung (§ 3 Abs. 4 Nr. 3 BDSG) besonderen Hindernissen, da sie nach § 4 Abs. 1 BDSG eines Rechtfertigungsgrunds (Gesetz oder Einwilligung) bedarf. Sind keine Rechtfertigungsgründe (s. Frage 3) einschlägig bzw. – wie regelmäßig im Fall der Einwilligung der Beschäftigten – praktisch nicht umsetzbar, kommt eine Anonymisierung der auszulagernden Daten vor der Übermittlung an den Cloud-Anbieter in Betracht.

Das Entfernen des Personenbezugs von Daten Betroffener etwa durch Mittel der Verschlüsselung, dürfte wohl mit den heute üblicherweise benutzten Verschlüsselungswerkzeugen nicht rechtssicher möglich sein. Das Datenschutzrecht fordert nämlich einen dauerhaften Wegfall des Personenbezugs, welchen gängige Verfahren bei normalem Einsatz wohl nicht bieten dürften. Die sich hieraus ergebenden Risiken könnten allenfalls durch eine Kombination von klassischer Verschlüsselung und Informationsverteilung sowie durch technisch-organisatorische Maßnahmen wie sichere Löschungsmöglichkeiten bei zertifizierten Dienstleistern verringert werden. Die Datenschutzbehörden der Länder gehen jedenfalls in der Regel davon aus, dass eine Verschlüsselung „regelmäßig“ keine Anonymisierung bewirkt.

Den Einsatz von Cloud-Anbietern aus Drittstaaten kann der Arbeitgeber wegen der Regelung in § 3 Abs. 8 Satz 3 BDSG nicht auf das „Privileg“ der Auftragsdatenverarbeitung nach § 11 BDSG (s. Frage 6) stützen. In Deutschland ansässige Unternehmen müssen deshalb über eine Rechtsgrundlage für die Übermittlung verfügen und zusätzliche Voraussetzungen nach § 4b und § 4c Abs. 1 BDSG einhalten, wenn sie Beschäftigtendaten an Cloud-Anbieter in Drittstaaten übermitteln. Insbesondere müssen Anbieter in Drittstaaten ein angemessenes Datenschutzniveau gewährleisten. Sollte ein solches Schutzniveau fehlen, kann eine Übermittlung der Beschäftigtendaten ausnahmsweise unter den Voraussetzungen des § 4c Abs. 1 BDSG dennoch gerechtfertigt sein (etwa bei Einwilligung der betroffenen Mitarbeiter oder Wahrung lebenswichtiger Interessen der Mitarbeiter, was wohl in der Regel nicht der Fall sein dürfte). Auch mithilfe von EU-Standardvertragsklauseln, Binding Corporate Rules und anderen Garantien wie dem allerdings umstrittenen „Privacy Shield“ lässt sich eine Datenübermittlung in Länder mit geringerem Datenschutzniveau legitimieren.

Zur Datenübermittlung an Drittstaaten bedarf es daher stets einer Rechtsgrundlage, die insbesondere bei der Übermittlung von Gesundheitsdaten im Sinne von § 3 Abs. 9 BDSG fehlen dürfte. Während nämlich die Übermittlung sensibler Daten im Rahmen einer Auftragsdatenverarbeitung innerhalb der EU und des EWR gem. § 11 BDSG an keine weiteren Voraussetzungen geknüpft ist, müssen für eine Übermittlung in einen Drittstaat die umfangreichen Voraussetzungen des § 28 Abs. 6 BDSG erfüllt sein, sofern keine ausdrückliche Einwilligung der Arbeitnehmer im Sinne von § 4a Abs. 3 BDSG vorliegt.

Die Datenschutz-Grundverordnung erleichtert nach Art. 46 Abs. 2 lit. e) und lit. f) EUDSGVO eine Übermittlung in „Drittstaaten“ auch dann, wenn genehmigte Verhaltensregeln (Art. 40 EU-DSGVO) oder ein genehmigtes Zertifizierungsverfahren (Art. 42 EUDSGVO) zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung „geeigneter Garantien“, einschließlich in Bezug auf die Rechte der betroffenen Personen, bestehen.

Zu unterscheiden ist die Konstellation des Einsatzes von BYOD als Betriebsmittelersatz einerseits und des optionalen BYOD-Einsatz andererseits.

Ist BYOD als Betriebsmittelersatz ausgestaltet (das heißt, der Arbeitnehmer ist verpflichtet, sein Gerät während der Arbeit zu verwenden), muss dem auf Grundlage eines Formulararbeitsvertrags beschäftigten Arbeitnehmer eine über die Vergütung hinausgehende Kompensation gezahlt werden, da die Aufbürdung einer zusätzlichen Pflicht ohne Gegenleistung als unangemessene Benachteiligung des Arbeitnehmers im Sinne von § 307 Abs. 1 Satz 1 BGB angesehen wird, was in der Regel zur Unwirksamkeit der Vereinbarung führt. Die Höhe der Kompensation sollte sich dabei an den marktüblichen Leasingraten und den Kosten des Supports und/oder einer Geräteversicherung orientieren.

Ist der BYOD-Einsatz lediglich als Option ausgestaltet, bedarf es insofern keiner Kompensation. Allerdings sollte der Arbeitgeber für den Fall, dass der Arbeitnehmer wieder auf Betriebsgeräte zurückgreifen will, einen ausreichenden „Gerätepool“ bereithalten, um den Rechtsfolgen des Annahmeverzugs gemäß § 615 Satz 1 BGB – Zahlung einer Vergütung ohne Arbeitsleistung – zu entgehen.

Aus Sicht des Datenschutz- und IT-Sicherheitsrechts sind die beiden Formen hingegen weitgehend gleich zu behandeln.

Bei Verlust oder Beschädigung des vom Arbeitnehmer verwendeten Smartphones kann eine Ersatzpflicht des Arbeitgebers entsprechend § 670 BGB in Betracht kommen.

Ob eine solche Ersatzpflicht im Einzelfall besteht, richtet sich danach, ob der Verlust oder die Beschädigung betrieblich veranlasst oder ob der Verlust oder die Beschädigung lediglich dem allgemeinen Lebensrisiko des Arbeitnehmers zuzurechnen ist. Eine betriebliche Veranlassung wird im Rahmen von BYOD immer dann gegeben sein, wenn das Smartphone bei der Erfüllung dienstlicher Tätigkeit oder im Zusammenhang damit beschädigt wird oder verloren geht. Da der Arbeitgeber die Nutzung des privaten Smartphones für betriebliche Zwecke mit der Implementierung von BYOD gebilligt hat und ein eigenes Gerät nicht zur Verfügung stellen muss, dürfte in solchen Fällen die Beschädigung bzw. der Verlust nicht dem allgemeinen Lebensrisiko des Arbeitnehmers zuzurechnen, sondern betrieblich veranlasst sein.

In den Fällen, in denen eine Haftung des Arbeitnehmers für den Verlust oder die Beschädigung des Smartphones grundsätzlich besteht, kommen die Grundsätze des sogenannten innerbetrieblichen Schadensausgleichs anspruchsbegrenzend zur Anwendung. Dies führt im Ergebnis grundsätzlich zu einer Haftungsverteilung zwischen Arbeitgeber und Arbeitnehmer entsprechend dem Grad des Arbeitnehmerverschuldens. Bei „einfacher“ Fahrlässigkeit seitens des Arbeitnehmers würde dies in aller Regel zu einer Kürzung des Schadensersatzanspruchs des Arbeitgebers in Höhe von 50% führen.

Die Grundsätze des innerbetrieblichen Schadensausgleichs sind nur eingeschränkt abdingbar. Abweichungen zu Lasten des Arbeitnehmers werden nur dann als zulässig erachtet, wenn der Arbeitnehmer eine „angemessene“ Kompensation für das eingegangene Risiko erhält. Allerdings ist nicht hinreichend geklärt, an welcher Höhe sich ein vom Arbeitgeber zu zahlender Kompensationsbetrag zu orientieren hat. So wird etwa vereinzelt angenommen, die Kompensationszahlung müsse nicht den Schaden abdecken, sondern nur den Betrag umfassen, den der Arbeitnehmer für eine Versicherung der Schäden zu zahlen hätte. Hier besteht ein erhebliches Maß an Rechtsunsicherheit, sodass praktisch jeder Abgeltungsklausel das Risiko einer unzureichenden Abgeltung mit der Folge eines Ersatzanspruchs des Arbeitnehmers anhaftet.

Vor diesem Hintergrund empfiehlt sich der Abschluss einer Geräteversicherung, durch die gewährleistet wird, dass dem Arbeitnehmer ein notwendiges Gerät bei Verlust oder Beschädigung zur Verfügung gestellt wird.

Ist hingegen neben der Nutzung des eigenen Endgeräts auch weiterhin der Einsatz betrieblicher Geräte möglich, wird eine Klausel, die dem Arbeitnehmer alle im Zusammenhang mit dem Betrieb des Endgeräts anfallenden Kosten auferlegt, als zulässig erachtet.

Datenschutzrechtliche Relevanz erlangen nur technische Gestaltungen, bei denen der Arbeitnehmer bzw. sein mobiles Endgerät von anderen geortet werden oder bei denen dieses Endgerät die selbst ermittelten Positionsdaten an einen anderen sendet. Ortet sich das Endgerät des Arbeitnehmers lediglich selbst, liegt darin kein Erheben personenbezogener Daten durch eine verantwortliche Stelle.

In allen anderen Fällen richtet sich die Zulässigkeit von Ortungssystemen insbesondere nach § 32 BDSG bzw. etwaigen Kollektivverträgen.

Maßgeblich ist die Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses, also die legitimen Zwecke im Einzelfall, wobei hier dem Arbeitgeber ein unternehmerischer Beurteilungs- und Gestaltungsspielraum zusteht. Eine Ortung kommt danach überhaupt nur dann in Betracht, wenn es um Beschäftigte geht, deren aktueller Aufenthaltsort für betriebliche Abläufe relevant ist. Dies gilt z.B. für die Koordinierung der Arbeit, wenn etwa ein Wartungsauftrag an den nächstpositionierten geeigneten Arbeiter vergeben werden soll. Steht hingegen schon anderweitig fest, welcher Arbeiter adressiert werden soll, genügt es, dass er über das Kommunikationssystem erreichbar ist.

Auch wenn die Ortung nach diesem Maßstab zulässig ist, darf sie keine besonders geschützten Lebensbereiche erfassen (z.B. Pausen-, Sanitär- oder private Räume) und nur in Ausnahmefällen – etwa aus Gründen der Sicherheit – permanent erfolgen. Der Datenumgang ist vielmehr auf Fälle konkreten Informationsbedarfs seitens des Arbeitgebers zu beschränken. Dies gilt neben der Kontrolle – für die grundsätzlich nur konkrete Verdachtsfälle ausreichen – auch für die Einsichtnahme zu organisatorischen Zwecken.

Auf technischer Ebene hat die Ortung möglichst nicht ständig, sondern nur ereignisbasiert stattzufinden. Jedenfalls ist es in aller Regel nicht erforderlich, die Positionsdaten personenbezogen zu speichern. Eine weitere Auswertung kann ebenso gut anonymisiert erfolgen. Auf diese Weise kann bereits die Entstehung von Bewegungsprofilen verhindert werden.

Unter dem Aspekt der Datensparsamkeit (§ 3a BDSG) sind solche Systeme zu bevorzugen, die sich selbst orten und ihre Positionsdaten nur auf Anfrage einer autorisierten Stelle – z.B. einer wartungsbedürftigen Maschine oder eines hilfesuchenden Mitarbeiters – mitteilen. Dem Nutzer soll es außerdem möglich sein, seine Ortung zeitweilig zu unterbinden. Um das Kontrollpotenzial der Technik weiter zu vermindern, sollten schließlich zentrale Instanzen vermieden und stattdessen bevorzugt P2P-Verbindungen eingesetzt werden.

Der Umgang mit von Wearables generierten Daten weist insbesondere folgende Problemstellungen auf:

3.12.1. Personenbezug der Daten

Zunächst ist zu fragen, ob die von den Wearables generierten Daten Personenbezug aufweisen. (siehe Frage 1).

3.12.2. Zweck der Erhebung

Weiter ist relevant, zu welchem Zweck die von den Wearables generierten personenbezogenen Daten erhoben werden. Hier sind insbesondere folgende Konstellationen denkbar:

Die Wearables dienen der Verbesserung betrieblicher Abläufe oder

Die Wearables sind Teil eines betrieblichen Gesundheitsprogramms.

Dient das Wearable der Verbesserung betrieblicher Abläufe spricht dies zunächst für die Zulässigkeit des Datenumgangs, ohne dass es hierfür einer Einwilligung seitens der Beschäftigten bedürfte, vgl. § 32 Abs. 1 Satz 1 BDSG, wobei es sodann im Einzelfall im Rahmen der „Erforderlichkeit“ einer Interessenabwägung bedarf (s. Frage 3). Ist hingegen der Einsatz des Wearables für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich, kommt allenfalls eine Einwilligung der Beschäftigten, ggf. flankiert durch eine Betriebsvereinbarung, als Rechtfertigungsgrund für den Datenumgang in Betracht.

Im Rahmen der Einwilligung ist wiederum zu beachten, dass es dem Arbeitnehmer möglich sein muss, die Verwendung des Wearables zu verweigern, ohne dafür seitens des Arbeitgebers Nachteile befürchten zu müssen. Der Wearable-Einsatz muss also freiwillig sein (s. zu den damit verbundenen Problemen Frage 4). Dazu muss sichergestellt sein, dass der Arbeitnehmer die geschuldete Arbeitsleistung weiterhin erbringen kann. Maßgeblich ist dabei ein Vorher-Nachher-Vergleich. Dagegen ist es unschädlich, wenn Mitarbeiter, die sich für die Wearable-Nutzung entscheiden, einen Vorteil genießen, der vorher nicht bestand, also von einem Bonus-Programm profitieren oder aufgrund der Effizienzsteigerung einen höheren Akkordlohn erzielen.

Betriebliche Gesundheitsprogramme lassen sich in der Regel nur auf der Rechtsgrundlage von Einwilligungen durchführen, da etwa die Teilnahme an betrieblichen Fitnesswettbewerben für die Durchführung des Beschäftigtenverhältnisses üblicherweise nicht erforderlich ist.

3.1.1. Art der personenbezogenen Daten

Schließlich ist von entscheidender Bedeutung, welche Informationen über die Beschäftigten erhoben werden. Handelt es sich etwa um besondere Arten personenbezogener Daten wie Gesundheitsdaten im Sinne von § 3 Abs. 9 BDSG (z.B. Pulsschlag), so wäre der Datenumgang selbst dann nicht zu rechtfertigen, wenn er für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Die speziellen gesetzlichen Erlaubnistatbestände in § 28 Abs. 6 bis 8 BDSG beschränken den Umgang auf wenige Ausnahmen, die vornehmlich im medizinischen und wissenschaftlichen Bereich angesiedelt sind.

Im Beschäftigungsverhältnis bleibt darum allein die Einwilligung, die sich jedoch gemäß § 4a Abs. 3 BDSG ausdrücklich auf diese besonderen Arten personenbezogener Daten beziehen muss. Darüber hinaus stellen sich alle allgemeinen Probleme des Datenumgangs bei besonderen Arten personenbezogener Daten in verschärfter Form. Dies gilt vor allem für die Freiwilligkeit der Einwilligung im Beschäftigungsverhältnis (s. Frage 4), der Datensicherheit und der Gewährleistung der Betroffenenrechte.

Diese Probleme verkomplizieren sich zusätzlich, wenn die personenbezogenen Daten in einer Cloud gespeichert werden (s. Frage 6).

Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (EU-DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Neben Änderungen der Stellung des Datenschutzbeauftragten, der Erhöhung der Sanktionen, Neuerungen bei den technischen und organisatorischen Maßnahmen sowie der Pflicht zur Führung eines Verfahrensverzeichnisses ist insbesondere auf die Datenschutz-Folgenabschätzung nach Art. 35 f. EU-DSGVO sowie die Normierung des Grundsatzes Privacy by Design and by Default in Art. 25 EU-DSGVO hinzuweisen.

Nach Art. 35 Abs. 1 EU-DSGVO ist nach vorheriger Einholung des Rates des Datenschutzbeauftragten (Abs. 2) eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Form der Verarbeitung, vor allem bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies liegt nach Art. 35 Abs. 3 EU-DSGVO beispielsweise bei der Verarbeitung sensitiver Daten sowie der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche vor. Die Folgenabschätzung soll letztlich feststellen, ob die geplante Verarbeitung datenschutzrechtlich zulässig ist. Geht aus der Abschätzung hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, so hat der Verantwortliche gemäß Art. 36 Abs. 1 EU-DSGVO vor der Verarbeitung die Aufsichtsbehörde zu konsultieren, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Eine weitere wichtige Änderung stellt die ausdrückliche Normierung des Prinzips des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Art. 25 EU-DSGVO dar. Hiernach sollen bereits zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – getroffen werden, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen. Darüber hinaus sollen die Voreinstellungen so gestaltet werden, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.