Datenschutz bei Mitarbeiter-Apps

Immer mehr Unternehmen setzen auf Mitarbeiter-Apps. Die Applikationen lassen sich zumeist sowohl auf dem Smartphone als auch über PCs / Laptops oder Tablets verwenden. Insbesondere in Zeiten, in denen Unternehmen Tätigkeiten vom Büro in das Homeoffice verlagern, dienen sie hauptsächlich dem Wissensaustausch sowie einer verbesserten Vernetzung.

So haben Unternehmen z.B. die Möglichkeit, Mitarbeiterinnen und Mitarbeitern unabhängig von Ort und Zeit ihrer Arbeit wichtige interne Neuigkeiten mitzuteilen oder mit ihnen zu kommunizieren. Denkbar ist darüber hinaus etwa die Nutzung zur Zeiterfassung, um Urlaubsanträge einzureichen sowie für digitale Schulungen oder Pflichtunterweisungen.

Typische Funktionen von ­Mitarbeiter-Apps

Die Vorteile, die Mitarbeiter-Apps bieten können, sind dementsprechend groß und liegen v.a. darin, bestimmte Prozesse zu erleichtern. Gängige Funktionen von Mitarbeiter-Apps, die (u.a.) dieses Ziel verfolgen, sind:

• Profil (dienstliche Stamm- und Kontaktdaten, ggf. Foto)
• Verzeichnisse (Mitarbeiterliste, Mitarbeitergruppen, Geburtstage, Jubiläen)
• Gruppen (z.B. für Standorte, Abteilungen, zur Projektorganisation)
• Dokumente (Upload/Download von Dateien, Dateiaustausch)
• Suchfunktion (z.B. nach Dokumenten oder Beiträgen)
• Newsfeed (Beiträge, ggf. mit Kommentaren/Interaktionen)
• Messenger-Dienst (Nachrichten, Chat)
• Forum (z.B. für allgemeine Fragen)
• Formulare (u.a. Zeiterfassung, Urlaubsanträge)
• Planung (Kalender, Terminorganisation)
• Schulung (z.B. Nutzung als eLearning-Plattform)
• Galerie (Fotosammlung)

Rechtsgrundlagen für Mitarbeiter-Apps

Bei all dieser Flexibilität und Vielfältigkeit dürfen Arbeitgeber jedoch die Voraussetzungen für eine datenschutzkonforme Verwendung von Mitarbeiter-Apps nicht außer Acht lassen: Für die damit verbundene Verarbeitung personenbezogener Beschäftigtendaten ist gemäß Art. 5 Abs. 1 Satz 1 Buchst. a und Art. 6 Datenschutz-Grundverordnung (­DSGVO) grundsätzlich eine Rechtsgrundlage erforderlich. Sie hängt von den Zwecken ab, die mit der App verfolgt werden, sowie von den konkreten Funktionen.

Für die Erfüllung des Arbeitsvertrags erforderlich?

Ist die Nutzung der App für die Durchführung des Beschäftigungsverhältnisses bzw. die Erfüllung des Arbeitsvertrags erforderlich, können Verantwortliche die Verarbeitung auf Art. 6 Abs. 1 Buchst. b ­DSGVO stützen. Dies wäre z.B. der Fall, wenn Beschäftigte die Arbeitsleistung nicht ohne die Benutzung bestimmter Funktionen der App erbringen können.

Die Datenverarbeitung im Rahmen von Funktionen, die nicht für die Arbeit erforderlich sind, lässt sich jedoch mit dieser Rechtsgrundlage nicht rechtfertigen.

Dient die Mitarbeiter-App der Organisation?

Sofern die App der Unternehmensorganisation dient, kann ein berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f ­DSGVO die Datenverarbeitung legitimieren, sofern nicht die Interessen, Grundrechte oder -freiheiten der Beschäftigten der Verarbeitung entgegenstehen. So könnten sich z.B. mithilfe der App auf Basis dieser Rechtsgrundlage reibungslose betriebsinterne Abläufe sicherstellen lassen. Dies gilt allerdings nur für die Funktionen, die erforderlich sind, um diese Zwecke zu verfolgen.

Sind Funktionen nicht erforderlich?

Ist die App bzw. sind bestimmte Funktionen der App weder für die Durchführung des Beschäftigungsverhältnisses noch zur Wahrung berechtigter Interessen des Unternehmens notwendig, sollte deren Nutzung freiwillig sein. Rechtsgrundlage der Datenverarbeitung wäre die Einwilligung der Beschäftigten gemäß Art. 6 Abs. 1 Buchst. a ­DSGVO. Dies ist z.B. bei einem Forum oder bei dem freiwilligen Upload von Fotos anzunehmen.

Prinzip der Datenminimierung beachten

Aus den datenschutzrechtlichen Grundsätzen nach Art. 5 Abs. 1 ­DSGVO ergibt sich u.a. die Vorgabe, dass grundsätzlich so wenig personenbezogene Daten so kurz wie möglich verarbeitet werden sollten. Daher sollte die Anwendung so konzipiert sein, dass den Prinzipien der Datenminimierung (Art. 5 Abs. 1 Buchst. c ­DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e ­DSGVO) entsprochen werden kann. Dies lässt sich durch die folgenden technischen und organisatorischen Vorkehrungen unterstützen.

Technische Maßnahmen

So gilt es bereits vor aktiver Nutzung der App darauf zu achten, ob der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design & Privacy by Default gemäß Art. 25 ­DSGVO) hinreichend umgesetzt wird (siehe dazu auch Lang, Datenschutz PRAXIS 12/2023, S. 1–4). So sollten standardmäßig nur tatsächlich erforderliche Daten von den Mitarbeiterinnen und Mitarbeitern abgefragt und ausufernde Dateneingaben beschränkt werden (z.B. durch Zeichenlimits oder den Verzicht auf Freitextfelder).

Wichtig sind außerdem Funktionen, die (automatisierte) Löschungen erlauben, sodass beispielsweise Beiträge und Inhalte nach einer bestimmten Zeit automatisch innerhalb der Anwendung gelöscht werden. Zudem sollte es den Beschäftigten möglich sein, von ihnen selbst eingestellte Inhalte (Beiträge, Fotos, Nachrichten) jederzeit zu bearbeiten oder vollständig zu entfernen.

Organisatorische Maßnahmen

Neben technischen sind auch organisatorische Maßnahmen zu ergreifen. Zu empfehlen ist ein Rollen- und Berechtigungskonzept, das regelt, wer welche Inhalte einsehen kann. Sinnvoll sind außerdem interne Regelungen (Richtlinien) zum allgemeinen Umgang mit der App, die für eine datensparsame Nutzung sensibilisieren. Darin sollte auch aufgenommen werden, welche Inhalte grundsätzlich in die App eingepflegt bzw. in der App veröffentlicht werden dürfen.

Insbesondere bietet es sich an, Aussagen hinsichtlich der Frage zu treffen, ob es den Mitarbeiterinnen und Mitarbeitern erlaubt ist, auch private Daten in die App einzutragen bzw. diese für private Zwecke zu nutzen. Sofern z.B. private Chats zwischen den Beschäftigten gestattet werden, sollten Verantwortliche aufgrund der Vorgaben aus dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und v.a. zum Fernmeldegeheimnis (Art. 10 Grundgesetz) eine freiwillige und hinreichend informierte Einwilligung der beteiligten Beschäftigten – auch im Hinblick auf Zugriffs- und Kontrollmöglichkeiten – einholen.

Nutzungsmöglichkeit der Mitarbeiter-Apps festlegen

Ferner sollte geregelt werden, über welche Endgeräte die Mitarbeiterinnen und Mitarbeiter die App verwenden dürfen. Zu empfehlen ist, die Nutzung auf Geräte zu beschränken, die der Arbeitgeber zur Verfügung stellt und deren Sicherheit daher die IT-Abteilung steuert. Eine Nutzungsmöglichkeit über Privatgeräte („Bring your own device“ – BOYD) bringt – auch wenn datenschutzrechtliche Anforderungen umgesetzt werden wie die Einwilligung der Beschäftigten – aus Sicht der Informationssicherheit Risiken mit sich. Bei BYOD besteht keine Kontrolle über die Geräte.

Einsatz von Dienstleistern prüfen

Außerdem ist zu prüfen, ob im Zusammenhang mit der Mitarbeiter-App externe Dienstleister eingebunden werden. Denkbar ist beispielsweise, dass diese die technische Infrastruktur der App bereitstellen (z.B. das Hosting der Anwendung) oder Supportleistungen erbringen, wodurch sie Zugriff auf personenbezogene Daten erhalten könnten.

Für diese Konstellationen ist mit dem jeweiligen Dienstleister ein Vertrag zur Auftragsverarbeitung abzuschließen, der den Anforderungen aus Art. 28 Abs. 3 ­DSGVO entspricht. Auch sind dessen technische und organisatorische Maßnahmen zu prüfen sowie zu dokumentieren.

Datenübermittlung an ­Drittländer

In diesem Rahmen sollte auch kontrolliert werden, ob durch die Nutzung der App personenbezogene Daten der Beschäftigten in Drittländer außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) übertragen werden können. Ist dies der Fall, müssen die Anforderungen der Art. 44 ff. ­DSGVO erfüllt sein. Insbesondere bei Datenübermittlungen an Dienstleister/Unternehmen, die unter keinen Angemessenheitsbeschluss der EU-Kommission fallen, ist zu prüfen, ob sich ein angemessenes Datenschutzniveau annehmen lässt.

Pflichten gegenüber den ­Beschäftigten

Ferner sind die Beschäftigen gemäß Art. 13 ­DSGVO über die Datenverarbeitungen im Zusammenhang mit der App zu informieren. Das kann durch eine passgenaue und verständliche Datenschutzerklärung innerhalb der App geschehen. In Unternehmen mit einem Betriebsrat bietet es sich an, den Einsatz der Mitarbeiter-App in einer Betriebsvereinbarung festzulegen.

Nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) besteht ohnehin ein Mitbestimmungsrecht des Betriebsrats bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Da dieses Mitbestimmungsrecht weit ausgelegt wird, kann es sehr schnell bei Mitarbeiter-Apps greifen. Deshalb ist es ratsam, den Betriebsrat möglichst früh einzubeziehen.

Denken Sie als DSB an die Möglichkeit, eine Betriebsvereinbarung abzuschließen, sofern es in Ihrem Unternehmen einen Betriebsrat gibt. Diese Betriebsvereinbarung sollte auch datenschutzrechtliche Themen aufnehmen. Dabei sind in diesem Bereich die Anforderungen aus Art. 88 Abs. 2 ­DSGVO (siehe § 26 Abs. 4 BDSG) zu beachten!

Fazit & Checkliste zu Mitarbeiter-Apps

Bei Mitarbeiter-Apps müssen Verantwortliche mit Unterstützung und Beratung durch den oder die DSB zahlreiche Anforderungen für einen datenschutzkonformen Einsatz berücksichtigen. Die folgende Checkliste bietet Ansatzpunkte für eine erste Prüfung und Dokumentation: Checkliste Datenschutz bei Mitarbeiter-Apps

Conrad S. Conrad, Elena Folkerts