Anmeldeinformationen bei Produktionsmaschinen

Worauf kommt es an?

In dieser Rubrik werden Fragen von Unternehmern an unsere Experten gestellt

Einführung in das Thema:

Wie bei jeder anderen Verarbeitung personenbezogener Daten ist auch hier eine Rechtsgrundlage erforderlich. Grundsätzlich kann diese in der Einwilligung des Betroffenen oder etwa in einer gesetzlichen Regelung bestehen. Weitere denkbare Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Handelt es sich um personenbezogene Daten eines Beschäftigten, kommt insbesondere § 26 Abs. 1 Satz 1 BDSG in Betracht.

Frage:

Das von mir betreute Unternehmen schafft demnächst einige moderne Produktionsmaschinen an. Bei diesen können auch Nutzerprofile hinterlegt werden. So kann die Maschine etwa individuell auf die Körpergröße und weitere persönliche Faktoren des Maschinenbedieners eingerichtet werden. Hierzu meldet sich der Maschinenbediener einfach mit seiner Kennung und seinem Passwort an. Für uns ist klar, dass etwa Daten, die in Log-Dateien und Protokolle geschrieben werden, personenbezogen sind. Uns stellen sich nun jedoch einige Fragen: Ist die Verarbeitung solcher „Mitarbeiterdaten“ datenschutzrechtlich zulässig? Muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?

Antwort:

Wie bei jeder anderen Verarbeitung personenbezogener Daten ist auch im von Ihnen beschriebenen Fall eine Rechtsgrundlage erforderlich. Grundsätzlich kann diese in der Einwilligung des Betroffenen oder etwa in einer gesetzlichen Regelung, sprich in einer gesetzlichen Erlaubnis, bestehen. Weitere denkbare Rechtsgrundlagen ergeben sich aus Art. 6 Datenschutz-Grundverordnung (DSGVO). Handelt es sich um personenbezogene Daten eines Beschäftigten, kommt insbesondere § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) in Betracht.

So kann die Verarbeitung solcher Daten zulässig sein, wenn sie für Zwecke des Beschäftigungsverhältnisses (hier dessen Durchführung) erforderlich ist.

Zur Durchführung des Beschäftigungsverhältnisses ist es erforderlich, dass der Arbeitgeber seinen Pflichten aus dem Arbeitsverhältnis nachkommt. Dazu zählt auch die Pflicht zur Fürsorge für den Arbeitnehmer. Das heißt, er muss den Arbeitsplatz so gestalten, dass der Arbeitnehmer seine Arbeitsleistung erbringen kann und er die Tätigkeit des Arbeitnehmers – dort, wo machbar und wirtschaftlich vertretbar – auch erleichtern muss.

Insofern kann es schlussendlich auch erforderlich sein, dass bestimmte Informationen (z. B. Anmeldeinformationen, individuelle Einstellungen) verarbeitet werden.

Selbst wenn man annimmt, dass sich im konkreten Fall § 26 Abs. 1 Satz 1 BDSG nicht als Rechtsgrundlage eignet, muss das nicht bedeuten, dass es keine gesetzliche Rechtsgrundlage gibt, die eine Verarbeitung der Daten erlaubt. In Betracht kommt nämlich neben § 26 Abs. 1 Satz 1 BDSG auch Art. 6 Abs. 1 Buchst. f DSGVO. Danach kann die Verarbeitung erlaubt sein, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Dabei dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht das berechtigte Interesse des Unternehmens überwiegen.

Dass Ihr Unternehmen seiner Fürsorgepflicht nachkommen und Mitarbeitern durch individuelle Einstellungen an einer Maschine das Arbeiten erleichtern will, ist als berechtigtes Interesse anzuerkennen. Wird bei den zu verarbeitenden Daten darauf geachtet, dass die Grundprinzipien aus Art. 5 DSGVO eingehalten werden (z. B. Transparenz, Datenminimierung), kann schlussendlich die erforderliche Interessenabwägung zugunsten des berechtigten Unternehmensinteresses ausfallen.

Eine DSFA ist nach Art. 35 Abs. 1 DSGVO dann erforderlich, wenn etwa die Form der Verarbeitung, neue Technologien, die Art, der Umfang, die Umstände und der Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Daneben ist eine DSFA z. B. dann erforderlich, wenn es zur systematischen und umfassenden Bewertung persönlicher Aspekte kommt. Findet etwa keine Auswertung der Einstellungen oder der Anmeldeinformationen statt, dürfte wohl keine DSFA erforderlich sein.

Andreas Würtz
Andreas WürtzDatenschutz-Experte

Weitere Fragen von Unternehmern an unsere Experten

Dienstleister aus den USA Welche Datenschutzmaßnahmen gilt es zu [...]

Verantwortung für die Datenschutzumsetzung Wer ist zuständig? [...]

Anmeldeinformationen bei Produktionsmaschinen Worauf kommt es an? [...]

Mitarbeiter nutzt Privatcomputer Ist das ein erheblicher Verstoß? [...]

Bleiben Sie auf dem neusten Stand

Gratis E-Mail-Update zum Thema Datenschutz und anderen interessanten Themen. Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG. Sie können sich jederzeit wieder abmelden

Hinweis zum Datenschutz

Mit dem Newsletter von Datenschutz-Ticker bewältigen Sie den Datenschutz
in Ihrem Unternehmen mit Leichtigkeit