Die meisten Unternehmen verfügen mittlerweile über ein unternehmens- oder konzernweites Intranet. Dort befinden sich neben Informationen zu allgemeinen Themen vielfach auch Informationen zu einzelnen Mitarbeitern. Ob dies zulässig ist und was dabei beachtet werden sollte erfahren Sie hier:
Der Inhalt im Überblick
§ 32 BDSG als Maßstab für die Veröffentlichung von Mitarbeiterdaten
Wie auch bei der sonstigen Verarbeitung von Mitarbeiterdaten ist für die Zulässigkeit einer Veröffentlichung im Intranet § 32 BDSG maßgeblich. Danach dürfen personenbezogene Daten von Mitarbeitern u.a. dann erhoben werden, wenn es für die Durchführung des Beschäftigtenverhältnisses erforderlich ist. Die Erforderlichkeit der Veröffentlichung setzt voraus, dass der Arbeitgeber/das Unternehmen ein berechtigtes und schutzwürdiges Interesse an der Datenverarbeitung hat, hinter dem das Interesse des betroffenen Mitarbeiters am Schutz seiner persönlichen Daten zurücktreten muss.
Wann ist die Veröffentlichung von Mitarbeiterdaten erforderlich?
Welche Daten jeweils erforderlich sind kann nicht pauschal beantwortet werden, sondern ist bezogen auf den Einzelfall zu prüfen. Dabei kommt es auf die jeweilige Funktion des Mitarbeiters im Unternehmen an. Besteht in Bezug auf die konkrete Tätigkeit und Funktion des Mitarbeiters ein Bedürfnis danach, den Mitarbeiter bspw. ohne Umstände erreichen zu können, ist die Veröffentlichung seiner Kontaktdaten im Intranet generell zulässig.
Grenzen der Zulässigkeit
Die veröffentlichten Daten sind immer auf das erforderliche Minimum zu beschränken. So mag die Veröffentlichung von Name, Funktion und Kontaktdaten zulässig sein, um den unternehmens- bzw. konzerninternen Informationsfluss zu gewährleisten, während die Veröffentlichung von Fotos ohne eine entsprechende Einwilligung regelmäßig unzulässig ist. Auch bei Geburtstagslisten etc. ist Vorsicht zu wahren. Private Daten sollten grundsätzlich nicht im Intranet veröffentlicht werden. Auch bei Mitarbeitern, bei denen ein Veröffentlichungsinteresse prinzipiell ausgeschlossen werden kann (bspw. Putzdienst), sollte von einer Veröffentlichung ihrer Daten abgesehen werden.
Im Zweifel sollten immer nur geschäftliche Daten mit Bezug zur jeweiligen Tätigkeit veröffentlicht werden. Für alle anderen Informationen über den Mitarbeiter ist eine Einwilligung einzuholen. Am besten lassen Sie sich bezüglich der konkreten datenschutzrechtlichen Bewertung von Ihrem Datenschutzbeauftragten unterstützen.
Wie ist es um die Information der Mitarbeiter bestellt, zu welchen ihrer Daten sie eine Freigabe im Intranet erteilen? Im konkreten Fall: ein Mitarbeiter willigt nicht ein, seine Daten für diverse soziale Intranetaktivitäten freizugeben (Geburtstage, Jahrestage, Freizeitaktivitäten, etc.) und der mit der Content-Pflege beauftragte Intranetbereich trägt in der Raucherecke die Kunde durchs Haus, welche Mitarbeiter ein einsiedlergleiches Datenschutzgebahren an den Tag legen. Liegt hier ein Verstoß gegen das Datengeheimnis selbst vor?
Der Inhalt ist sehr richtig, aber als allgemeine Information nicht ausreichend. Mir fehlen einige praktische Beispiele wie z.b. Telefonlisten im Internet. Wie verhält es sich z.B. mit den Auszubildenden, Praktikanten? Vielleicht kann es dazu ja noch einmal eine Ergänzung geben.
Praktikanten sind keine Beschäftigten nach BDSG und fallen somit nicht unter §32. Deshalb würde ich sagen, dass die Daten von Praktikant/innen überhaupt nicht – ohne deren Einwilligung – veröffentlicht werden dürfen.
Der Begriff des Beschäftigten im Bundesdatenschutzgesetz ist weit auszulegen und geht dementsprechend über sozialversicherungs- und arbeitsrechtliche Definitionen hinaus. Dementsprechend fallen nahezu alle Personen darunter, denen eine arbeitnehmerähnliche Stellung zukommt. Dies trifft ebenfalls auf Praktikanten zu. Diese fallen also grundsätzlich ebenfalls unter den Begriff.
Also fallen Praktikanten unter den Begriff „Beschäftigte“ im BDSG, obwohl diese nicht in der abschließenden Auflisting unter §3 Nr. 11 aufgeführt werden?
Praktikanten fallen unter den Begriff „zu ihrer Berufsbildung Beschäftigte“.
„§ 3 Abs. 11 Nr. 2 verweist auf den Begriff der Berufsbildung, wie er in § 1 Abs. 1 BBiG ausgeformt ist, und erfasst die Berufsausbildungsvorbereitung, die Berufsausbildung, die berufliche Fortbildung sowie die berufliche Umschulung. Der Begriff geht somit weit über den der Berufsausbildung hinaus. Erfasst sind folglich auch Volontäre, Praktikanten und Anlernlinge (§ 26 BBiG), soweit sie sich nicht bereits in einem Arbeitsverhältnis i.S.v. § 3 Abs. 11 Nr. 1 befinden.“ So bspw. Seifert in Simitis, Kommentar zum BDSG.
Vielen Dank für die Erklärung.
In unserer Firma werden internationale Servicetechniker regelmäßig an verschiedenen Instrumenten trainiert. Alle bei uns angestellten Teilnehmer werden im Intranet mit jeweiligem Trainingsstatus veröffentlicht. Zugriff haben hierfür alle Kollegen, die im Service & Support arbeiten.
Techniker die bei unseren ausländischen Niederlassungen angestellt sind, dürfen angeblich nicht veröffentlicht werden. Mitarbeiter im Service & Support benötigen aber auch diese Informationen für ihre tägliche Arbeit und können diese Entscheidung absolut nicht nachvollziehen. Wie ist Ihre Meinung dazu?
Danke & Viele Grüße
Welche Mitarbeiterdaten im Intranet veröffentlicht werden dürfen, hängt regelmäßig von dem konkreten Zweck ab.
Für Deutschland würde dies bedeuten, dass der genaue Zweck der Veröffentlichung zu hinterfragen ist, insbesondere warum die Veröffentlichung der Daten für Mitarbeiter im Service & Support so wichtig ist. Sofern es sich bei den Niederlassungen im Ausland um eigene verantwortliche Stellen handelt, kann je nach Belegenheit ggf. auch nationales Recht zur Anwendung kommen.
In unserer Firma betreiben wir Anwendungen die aufzeichen, welche Anwender welche Änderungen an Daten vorgenommen haben. Zu diesen Daten gehören das eindeutige UserKennzeichen, Datum/Uhrzeit und die geänderten Daten. Dieser ‚Audit Trail‘ wird zur Erfüllung von gesetzlichen Auflagen benötigt. Es werden nur firmeninterne User erfasst, die Datenänderungen im Rahmen ihrer ihnen zugeordneten Pflichten vornehmen.
Gibt es gesetzliche Restriktionen, diese Daten für den ausschließlich firmeninternen Gebrauch auszuwerten?
Das Bundesdatenschutzgesetz sieht vor, dass ein Unternehmen, welches personenbezogene Daten verarbeitet, technische und organisatorische Maßnahmen trifft, um die Daten zu schützen. Zu diesen Maßnahmen gehört auch die Eingabekontrolle, die vorschreibt, dass nachträglich nachvollzogen werden kann, wer wann welche Änderungen an den Daten bzw. am System vorgenommen hat. Üblicherweise ist die Revision dieser Informationen zweckgebunden und unterliegt strengen Zugriffskontrollen.
Eine Änderung dieses Zwecks erfordert daher grundsätzlich eine Rechtsgrundlage.
Hallo, ich hätte eine Frage. Ist die Veröffentlichung von folgenden Daten im Intranet zulässig?
Name, Vorname, Funktion im Unternehmen, Arbeitszeitfaktor sowie Zugehörigkeit zum Managementteam, Key User
Die Daten werden weitergegeben in die Schweiz und zu einem anderem aufgekauten Unternehmen in Deutschland. Eine Zustimmung zwecks Veröffentlichung und Weitergabe der Daten in nicht EU Länder liegt meinerseits nicht vor.
Freue mich über eine Rückantwort. Danke
Zunächst möchte ich Sie darauf hinweisen, dass ohne genauere Kenntnis des Sachverhaltes keine abschließende Bewertung vorgenommen werden kann. Allgemein gilt jedoch, dass eine Übermittlung von personenbezogenen Daten an Dritte, ebenso wie deren Veröffentlichung, nur erfolgen darf, wenn entweder ein Rechtsgrund hierfür besteht oder der Betroffene eingewilligt hat.
Welche Mitarbeiterdaten im Intranet veröffentlicht werden dürfen, hängt vom konkreten Zweck ab. Zudem muss die Veröffentlichung der Daten „erforderlich“ sein. Erforderlich ist eine Verarbeitung von personenbezogenen Daten stets nur dann, wenn sie für den konkreten Zweck notwendig und nicht nur nützlich ist. Ob dies der Fall ist, beurteilt sich anhand aller Umstände des Einzelfalls. Sollen Mitarbeiterdaten an rechtlich getrennte Unternehmen weitergegeben werden, ist hierfür ebenfalls eine Rechtsgrundlage erforderlich und die genannte Prüfung vorzunehmen.
Der richtige Ansprechpartner für Ihr Anliegen ist der betriebliche Datenschutzbeauftragte. Dieser nimmt Ihre Anfragen auch vertraulich entgegen. Für weitere Unterstützung können Sie sich auch an Ihren Betriebsrat (sofern vorhanden) oder an einen entsprechend spezialisierten Rechtsanwalt wenden.
Wenn Mein Chef mich in einem Jahresbericht erwähnt, habe ich Anspruch das er wenn er meinen Namen veröffentlicht, ich das Recht habe das meine Titel zur Qualifikation mit publiziert werden
Grundsätzlich sollte der Inhalt einer Veröffentlichung von personenbezogenen Daten zuvor mit dem Arbeitnehmer abgestimmt werden. Sofern es keine Rechtsgrundlage für die Veröffentlichung gibt, sollte dem Mitarbeiter im Rahmen einer entsprechenden Einwilligungserklärung konkret dargelegt werden, welche Daten veröffentlicht werden sollen. Sofern der Mitarbeiter nicht damit einverstanden ist bzw. Änderungswünsche hat, kann er sich hierüber zuvor mit seinem Arbeitgeber beraten.
Inwiefern ein spezielles Recht auf die Veröffentlichung eines Titels besteht ist, ist keine primär datenschutzrechtliche Frage. Es wird hier wahrscheinlich auf die konkreten Umstände des Einzelfalls ankommen. Das BAG befand im Jahre 1984 offenbar dass Arbeitnehmer „aufgrund des verfassungsrechtlich geprägten allgemeinen Persönlichkeitsschutzes“ einen Anspruch darauf haben, dass der Arbeitgeber einen von ihnen erworbenen akademischen Grad „im Geschäftsverkehr nach außen in seiner konkreten Ausgestaltung korrekt verwendet“.
Sind im Intranet auch Telefonnummern (Durchwahl) und KFZ Zeichen, Name und Abteilung zulässig .
Siehe Antwort vom 6. September 2017, 16:08 Uhr
Mein Unternehmen stellt im Intranet ein Organigramm zur Verfügung in dem alle Mitarbeiter (ca. 70) enthalten sind, also welcher Mitarbeiter hat welchen Vorgesetzen. Jeder Mitarbeiter wird hier mit Vorname, Nachname, Foto dargestellt. Muss hierfür eine Genehmigung jedes Mitarbeiters vorliegen? Das Organigramm kann nur von Mitarbeitern und nur firmenintern eingesehen werden.
Eine Veröffentlichung eines Organigramms im Intranet mit Vorname und Nachname der Mitarbeiter und Vorgesetzten, ist grundsätzlich für Zwecke des Beschäftigungsverhältnisses erforderlich und damit datenschutzrechtlich zulässig. Problematisch wird es, wenn zu den Namen, auch Bilder der Mitarbeiter angehängt werden sollen. Hierzu muss eine Einwilligung nach den Vorgaben des Art. 7 DSGVO von jedem einzelnen Mitarbeiter eingeholt werden. Zu Beweiszwecken sollten die Einwilligungen schriftlich erfolgen.
Unser Unternehmen hat eine Niederlassung in Deutschland. Die Mutter (AG) sitzt in der Schweiz.
Die schweizer AG hat nun nach personenbezogenen Daten für unser Intranet gefragt.
Foto,Name, Vorname, Funktion im Unternehmen, Email, Durchwahl, Vorgesetzter.
Was muss ich beachten als Personalleiterin?
Einen Datenschutzbeauftragten gibt es bis dato noch nicht.
Ob die Veröffentlichung der weiteren Daten rechtlich zulässig ist, hängt vom jeweiligen Einzelfall ab.
Entscheidend ist, ob die Veröffentlichung für die Erbringung der Arbeitsleistung jedes Mitarbeiters erforderlich ist.
Dabei hilft die Beantwortung folgender Frage:
Muss jeder auf die dienstlichen Kommunikationsdaten aller anderen aufgeführten Mitarbeiter zugreifen können?
Es kommt spezifisch darauf an, ob es notwendigerweise zum Berufs- und Beschäftigungsprofil gehört, dass alle Mitarbeiter konzernübergreifend miteinander kommunizieren können. Lässt sich dies bejahen, dann kann die Veröffentlichung dieser Daten je nach Einzelfall auf ein berechtigtes Interesse des Arbeitgebers gem. Art. 6 Abs.1 lit. f DS-GVO gestützt werden.
Für die Veröffentlichung von Fotos ist die Einholung einer Einwilligungserklärung erforderlich.
Wie ist es wenn eine MA-Anwesenheitsliste öffentlich, also auch für den Kunden einsehbar, aushängt. Es ist nur der Vorname darauf Vermerkt und der Einsatzbereich.
Die aktuelle, zentrale Norm, nach der sich die Zulässigkeit einer Verarbeitung von Mitarbeiterdaten im Beschäftigtenverhältnis bestimmt, ist § 26 BDSG. Danach dürfte die Liste mit personenbezogenen Daten der Mitarbeiter nur veröffentlicht werden, wenn dies für die Durchführung des Beschäftigtenverhältnisses erforderlich ist. Ob eine Verarbeitung erforderlich ist, ist immer eine Bewertung des konkreten Einzelfalls. Die Erforderlichkeit setzt u.a. voraus, dass der Arbeitgeber ein berechtigtes Interesse an der Datenverarbeitung hat, hinter dem das Interesse des betroffenen Mitarbeiters am Schutz seiner Daten zurücktreten muss. Daneben ist zu prüfen, ob der verfolgte Zweck nicht auch durch ein anderes, milderes Mittel erreicht werden kann (EG 39 S. 9). Dies dürfte bei einer für Dritte einsehbare Liste mit personenbezogenen Daten oftmals der Fall sein.
Ich wurde auf Grund einer unzulässigen Anordnung, der ich nicht nachgekommen bin, gekündigt. Per Mail wurden alle Mitarbeiter der Firma über mein Ausscheiden informiert, darin steht, dass es „aus mehreren Gründen nicht mehr möglich war, mit mir zusammen zu arbeiten“. Das kommt mE einer Rufschädigung ziemlich nahe. Darf der AG solche Mails verschicken, bzw habe ich hier eine Handhabe, mich dagegen zu wehren?
Wenn Sie der Auffassung sind, dass die Veröffentlichung unzulässig war, steht Ihnen die Beschwerde bei einer Datenschutzaufsichtsbehörde offen. Da Sie außerdem der Meinung sind, es komme möglicherweise eine Rufschädigung in Betracht, könnten Sie unabhängig davon ein äußerungsrechtliches Vorgehen prüfen lassen.
Bitte haben Sie Verständnis, dass wir keine Rechtsberatung im Einzelfall leisten können.
Dürfen Arbeitsjubilare ohne deren Einwilligung durch Aushang intern veröffentlicht werden oder MUSS ich eine Einwilligung vom Arbeitnehmer eingeholt werden?
Grundsätzlich dürfen personenbezogene Daten durch Aushang veröffentlicht werden, wenn diesbezüglich eine Rechtsgrundlage vorliegt. Im Falle von Arbeitsjubilaren erscheint es eher als unwahrscheinlich, dass eine Rechtsgrundlage außer der Einwilligung als Rechtsgrundlage tauglich ist. Das hängt allerdings entscheidend davon ab, mit welcher Begründung sowie für welche Zwecke die Jubilare veröffentlicht werden sollen. Das wiederum kommt sehr auf den konkreten Einzelfall an, zu welchem wir in diesem Rahmen leider keine Rechtsberatung leisten können. Wir bitten um Ihr Verständnis dafür.
Mein AG hat im Rahmen einer firmeninternen Präsentation auf internationaler Ebene alle Jubilare der letzten beiden Jahre veröffentlicht (mit dem Kommentar, nicht vergessen nach diesen Personen Ausschau zu halten und zum Jubiläum zu gratulieren), alle ab mind. 30 Jahren wurden vom Hauptgeschäftsführer gesondert vorgelesen. Nach einer Einwilligung wurde vorab nicht gefragt, es wurde ohne Wissen der Betroffenen die Daten von der Personalabteilung eingeholt. Kann man sich dagegen wehren (und wie?), wenn man kein Interesse daran hat gegen seinen Willen „in die Manage gezerrt“ zu werden?
Grundsätzlich bedarf es für jede Datenverarbeitung einer entsprechenden Rechtsgrundlage. Die vorliegende Preisgabe der personenbezogenen Daten dürfte für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich sein und auch nicht ohne Weiteres von einem berechtigtes Interesse des Arbeitgebers gedeckt sein (in diesem Falle hätte es ohnehin zumindest einer Information zu dem Vorhaben mit der Einräumung einer Widerspruchsmöglichkeit bedurft). Solche Datenverarbeitungen sind daher in der Regel einwilligungsbedürftig. Sofern eine Datenverarbeitung ohne entsprechende Rechtsgrundlage durchgeführt wird, steht der betroffenen Person daher grundsätzlich ein Anspruch auf Löschung dieser Daten zu.
Dürfen Mitarbeiterzeitungen auf der öffentlichen Webseite (nicht Intranet, öffentlich) veröffentlicht werden? Auf der Mitarbeiterzeitungen sind neue Kollegen oder Beiträge von Kollegen vorhanden. Oder muss hierzu eine gesonderte Einwilligung aller betroffenen Mitarbeiter eingeholt werden?
Grundsätzlich bedarf es für die Veröffentlichung personenbezogener Daten im Internet, wie bspw. Fotos, einer Einwilligung. Allerdings kommt es stets auch auf den Kontext an, in dem die Veröffentlichungen stattfinden. Handelt es sich bspw. um eine Veröffentlichung die konkreten Bezug zum Arbeitsverhältnis hat oder aus anderen Gründen einen so hohen Stellenwert für das Unternehmen hat, dass die Interessen der betroffenen Person dahinter zurücktreten, kämen auch andere Rechtsgrundlagen in Betracht. Dies wäre Gegenstand einer sorgfältigen Prüfung unter Berücksichtig der konkreten Umstände des Einzelfalls.