Alle Treffer anzeigen
Dieses Fenster schließen

Datenschutz im vernetzten Auto Teil 5

Was sagt der Betriebsrat zum gläsernen Fahrer?

15.09.2015

„Arbeitnehmer können mithilfe vernetzter Fahrzeuge durch den Arbeitgeber kontrolliert werden. Ob dies zulässig ist, hängt maßgeblich von der Erforderlichkeit der Datenerhebung ab.“

 

Das vernetzte Auto verbindet auch Beschäftigte und deren persönliches Umfeld, das bestimmungsgemäß mit dem Fahrzeug in Berührung kommt, mit dem Arbeitgeber. Damit ist das weite Feld des Beschäftigtendatenschutzes betreten, das Lorenz Franck auf der Fachtagung „Datenschutz im gläsernen Auto“ behandelte.


Personenbezug von Fahrzeugdaten


Beispielhaft zählte Franck zunächst verschiedene Datenkategorien auf (Positionsdaten, Telekommunikationsdaten, Fahrverhalten, Bild- und Videodaten, Fahrzeugdaten), mit deren Anfallen im Rahmen moderner Fahrzeugsysteme zu rechnen sei. Unter Berufung auf den Landesbeauftragten für den Datenschutz Baden-Württemberg Klingbeil wurde der potentielle Personenbezug für sämtliche im Fahrzeug anfallenden Daten bejaht, „weil sie sich in aller Regel zumindest dem Halter, mit weiterem Zusatzwissen sogar dem Fahrer zuordnen“[1] ließen. Die Theorie des absoluten Personenbezugs, wonach dessen Herstellung durch einen beliebigen Dritten ausreiche, sei insoweit vorzugswürdig, da sich andernfalls erhebliche Schutzlücken ergäben.


Rechtfertigung des Datenumgangs durch Datenschutz- und Arbeitsrecht

 

a) §§ 32, 28 BDSG

 

Anschließend behandelte Franck mögliche datenschutzrechtliche Rechtfertigungen. In Ermangelung eines speziellen Beschäftigtendatenschutzgesetzes stelle § 32 BDSG die Kernvorschrift für die Zulässigkeit des Umgangs mit Arbeitnehmerdaten dar. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies (…) für dessen Durchführung erforderlich ist. Daneben komme die Anwendung von § 28 BDSG in Betracht. Zwar werde § 28 Abs. 1 S. 1 Nr. 1 BDSG nach herrschender Meinung von der Spezialvorschrift des § 32 BDSG verdrängt. Für andere, nicht unmittelbar auf das Beschäftigungsverhältnis bezogene Zwecke bleibe der Anwendungsbereich des § 28 Abs. 1 S. 1 Nrn. 2 und 3 BDSG jedoch eröffnet.

 

b) Einwilligung

 

Ferner könne der Umgang mit Arbeitnehmerdaten im Rahmen vernetzter Fahrzeuge auch durch die datenschutzrechtliche Einwilligung gerechtfertigt sein. Problematisch könne im Beschäftigungsverhältnis jedoch sein, ob die Einwilligung auf der freien Entscheidung des Betroffenen beruhe (§ 4a Abs. 1 S. 1 BDSG). Zweifeln begegne das Kriterium der Freiwilligkeit aufgrund der wirtschaftlichen Abhängigkeit des Arbeitnehmers vom Arbeitgeber. Insoweit bestehe die Gefahr einer einseitigen Durchsetzung von Arbeitgeberinteressen.

 

c) Betriebsvereinbarung

 

Als weiteren datenschutzrechtlichen Erlaubnistatbestand nannte Franck die Betriebsvereinbarung. Gemäß § 4 Abs. 1 BDSG i.V.m. § 77 Abs. 4 S. 1 BetrVG gelte diese als den Datenumgang legitimierende Rechtsvorschrift. Geregelt werden könnten hier Arbeitgeber- und Arbeitnehmerpflichten in Bezug auf die Interaktion mit der Unternehmens-IT. Eine Inhaltskontrolle nach AGB-Recht sei hier gesetzlich ausgeschlossen (§ 310 Abs. 4 S. 1 BGB). Zu beachten sei indessen, dass das Privatleben des Arbeitnehmers dem Regelungsbereich einer Betriebsvereinbarung entzogen sei.

 

d) Vertragliche Vereinbarung

 

Ebenfalls möglich sei eine vertragliche Vereinbarung über den Datenumgang in vernetzten Dienstfahrzeugen. Eine entsprechende Regelung müsse allerdings sowohl den Anforderungen des BDSG als auch denen des Rechts der Allgemeinen Geschäftsbedingungen (AGB, §§ 307 ff. AGB) genügen. Insbesondere dürfe der Arbeitnehmer nicht unangemessen benachteiligt werden. Dies könne bereits dann der Fall sein, wenn es an einer klaren Festlegung von Rechten und Pflichten fehle (§ 307 Abs. 1 S. 2 BGB), wobei etwaige Unklarheiten bei der Auslegung Allgemeiner Geschäftsbedingungen stets zu Lasten des Arbeitgebers gingen (§ 305c Abs. 2 BGB).


Betriebliche Mitbestimmung


Mit Blick auf die Verwendung vernetzter Fahrzeuge innerhalb von Beschäftigungsverhältnissen ging Franck sodann auf mögliche Mitbestimmungsrechte des Betriebsrates ein. In diesem Zusammenhang möglicherweise von Relevanz seien § 87 Abs. 1 Nr. 1 BetrVG (Ordnung des Betriebs und Verhalten der Arbeitnehmer), § 87 Abs. 1 Nrn. 2 und 3 BetrVG (Beginn, Ende, Pausen, Verteilung der Arbeitszeit bzw. vorübergehende Verkürzung/Verlängerung der Arbeitszeit), § 87 Abs. 1 Nr. 10 BetrVG (Fragen der betrieblichen Lohngestaltung). Besondere Bedeutung komme § 87 Abs. 1 Nr. 6 BetrVG zu. Danach stehe dem Betriebsrat bei Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein Mitbestimmungsrecht zu. Erforderlich sei hierfür indes keine gezielte Zweckbestimmung,[2] sondern lediglich die Geeignetheit der Einrichtung zur Überwachung der Arbeitnehmer. Hierbei sei zu beachten, dass grundsätzlich sämtliche im Fahrzeug anfallenden Daten zur Verhaltens- und Leistungskontrolle der Arbeitnehmer geeignet seien.[3]

 

Betroffenenrechte


Ferner stünden den Betroffenen Rechte auf Information und Transparenz, (§§ 4, 6b, 33 BDSG) zu. Darüber hinaus könnten Ansprüche auf Unterlassung, Löschung, Sperrung und Berichtigung in Betracht kommen. Ebenfalls bestehe die Möglichkeit von Interventionen und Petitionen durch Datenschutzbeauftragte, Betriebsrat, Datenschutzaufsichtsbehörden oder ständische Gremien. Bemerkenswert sei allerdings, dass für Fahrzeuge keine der Nr. 22 Anh. BildschirmarbV vergleichbare Vorschrift existiere. Hiernach dürfe ohne Wissen der Benutzer keine Vorrichtung zur qualitativen oder quantitativen Kontrolle verwendet werden.

 

Praxisbeispiele


Zur Veranschaulichung datenschutzrechtlicher Problemstellungen im Bereich vernetzter Fahrzeuge und Beschäftigtendatenschutz bildete Franck abschließend zwei praktische Beispiele:

 

a) Auswertung des Fahrverhaltens von Beschäftigten

 

Zunächst wurde dabei die Frage aufgeworfen, ob der Arbeitgeber bei unsachgemäßem Umgang des Arbeitnehmers mit dem im Unternehmenseigentum stehenden, ausschließlich beruflich genutzten Dienstfahrzeug zur Geltendmachung von Regressforderungen auf Daten aus dem Fahrzeug zurückgreifen dürfe. Denkbar sei dies etwa bei Versicherung des Dienstwagens über einen Telematik-Tarif oder im Falle einer Rückmeldung zur Schadensursache durch die reparierende Werkstatt.

 

Im Ergebnis nahm Franck hier die Zulässigkeit des Datenrückgriffs durch den Arbeitgeber an. Da es sich um personenbezogene Beschäftigtendaten handele, deren Erhebung und Nutzung für Zwecke des Beschäftigtenverhältnisses erfolge und insoweit auch erforderlich sei, greife § 32 Abs. 1 S. 1 BDSG als datenschutzrechtliche Rechtfertigung ein. Der Arbeitnehmer sei folglich zum Schadensersatz aufgrund einer Pflichtverletzung aus dem Arbeitsverhältnis verpflichtet (§§ 611, 280 Abs. 1, 241 Abs. 2 BGB).

 

Sodann wurde die obige Fallgestaltung dahingehend abgewandelt, dass das Dienstfahrzeug durch den Arbeitnehmer nicht lediglich beruflich, sondern zugleich privat genutzt werde. Insofern wies Franck drauf hin, dass der Rechtgrund für die Nutzung des Dienstwagens nun nicht mehr ausschließlich in dem Arbeitsverhältnis selbst zu sehen sei. Daneben sei ein Leihvertrag begründet worden, der isoliert neben dem Arbeitsverhältnis stehe. Sofern der unsachgemäße Umgang mit dem Dienstfahrzeug im Rahmen der privaten Nutzung geschehen sei, stehe folglich kein Schadensersatzanspruch aus dem Arbeitsverhältnis, sondern aus dem Leihvertrag in Rede (§§ 598, 280 Abs. 1, 241 Abs. 2 BGB). Da der Rückgriff des Arbeitgebers vor diesem Hintergrund nicht mehr für Zwecke des Beschäftigungsverhältnisses erfolge, komme eine Rechtfertigung des Datenumgangs nach § 32 Abs. 1 S. 1 BDSG nicht in Betracht. Zur Anwendung könne dann allerdings § 28 Abs. 1 S. 1 Nr. 1 BDSG kommen („Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung für die (…) Durchführung (…) eines (…) Schuldverhältnisses“). Sofern der Leihvertrag selbstständig neben dem Beschäftigungsverhältnis stehe, und die Regressforderungen ausschließlich auf das ernstgenannte Rechtsverhältnis bezogen seien, stehe § 32 Abs. 1 S. 1 BDSG der Anwendung des § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht entgegen.

 

Anlässlich der zuvor erörterten Fallgestaltung wurde aus dem Kreis der Tagungsteilnehmer die sog. Spind-Entscheidung des Bundesarbeitsgerichts aus dem Jahr 2013 angesprochen.[4] Dort war die heimliche Durchsuchung des Spinds eines Beschäftigten durch den Arbeitgeber für rechtswidrig und die hierdurch erlangten Beweismittel als prozessual unverwertbar angesehen worden. Letztlich offen gelassen hatte das Gericht, ob sich die Unzulässigkeit der Datenerhebung, welche auch in einer rein tatsächlichen Handlung bestehen kann,[5] bereits aus § 32 Abs. 1 BDSG ergebe. Jedenfalls stelle die Durchsuchung des Spinds einen Eingriff in das allgemeine Persönlichkeitsrecht des Beschäftigten dar, ohne dass dies durch überwiegende Interessen des Arbeitgebers gerechtfertigt sei. Mit Blick auf die geschilderte Entscheidung wurde sodann die Frage der Vergleichbarkeit eines herkömmlichen Spinds mit einem elektronischen Fahrzeugspeicher aufgeworfen.

 

b) GPS-Tracking

 

Als weiterer Praxisfall wurde die Aufzeichnung von Routen, Umwegen, Beginn und Ende der Arbeitszeit eines Außendienstmitarbeiters per GPS-Modul erörtert. Zu unterstellen war ferner, dass die dokumentierten Informationen automatisch an die Unternehmenszentrale gesendet werden.

 

Als mögliche datenschutzrechtliche Erlaubnistatbestände nannte Franck § 32 Abs. 1 S. 1 BDSG sowie § 28 Abs. 1 S. 1 Nr. 2 BDSG. Einer sorgfältigen Abwägung zu unterziehen sei dabei stets die Erforderlichkeit des GPS-Trackings. Während die Ortung des Arbeitnehmers im Falle vorgegebener Routen noch zulässig sein könne, sei die stetige Überwachung des Beschäftigten zur Dokumentation etwaiger Umwege bzw. zur Kontrolle der vereinbarten Arbeitszeiten unverhältnismäßig.[6]

 

[1] Vgl. hierzu unter http://www.stuttgarter-zeitung.de/inhalt.interview-zum-datenschutz-daten-im-auto-sind-personenbezogen.f75156e1-ba48-4934-aa18-2db3937cdf6b.html.

[2] Franck RDV 2013, 185, 188.

[3] Jaspers/Franck RDV 2015, 69, 72.

[4] BAG Urt. v. 20.6.2013 – 2 AZR 546/12, RDV 2014, 103.

[5] Stück CCZ 2014, 191, 192 unter Verweis auf ErfK/Franzen § 32 BDSG Rz. 2.

[6] Vgl. hierzu auch Jaspers/Franck RDV 2015, 69, 73.


RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.