Cloud Computing gehört in der Arbeitswelt 4.0 zum Alltag. Wir zeigen, was beim Datenschutz für Beschäftigte und aus arbeitsrechtlicher Sicht zu beachten ist.
Das Schlagwort „Industrie 4.0″ ist derzeit in aller Munde und beschreibt die sog. vierte industrielle Revolution, an deren Schwelle sich die Wirtschaft derzeit befindet. Das Internet, mobile Computer und auch das Cloud-Computing haben das Potential, den industriellen Prozess einmal mehr entscheidend zu verändern. Diese sog. „Industrie 4.0″ wirkt sich auch auf die Arbeitswelt aus – dabei ist klar, dass die Arbeit der Zukunft flexiblere und vernetztere Formen annehmen wird.
Plastisch zeigt sich dies schon jetzt am Cloud-Computing. Cloud Computing beschreibt das Speichern, Verarbeiten und Verwenden von Daten, die sich auf entfernten Rechnern/Servern befinden und auf die über das Internet zugegriffen wird. Es ist schon jetzt einer der großen ökonomischen Trends. Es ermöglicht schnellen und einfachen Zugriff auf eine IT-Infrastruktur über mehrere Geräte sowie eine unbeschränkte Verfügbarkeit der Daten.
Outsourcing von Beschäftigtendaten
Allerdings werfen die durch das Cloud-Computing eröffneten Möglichkeiten gerade mit Blick auf den Beschäftigtendatenschutz Fragen auf. Nutzt ein Arbeitgeber Cloud-Anwendungen, liegt auf der Hand, dass im Rahmen solcher Anwendungen zahlreiche personenbezogene Beschäftigtendaten erhoben und verarbeitet werden. Dies ist etwa der Fall, wenn die Verwaltung der Beschäftigtendaten in eine Cloud „outgesourct″ wird. Dann finden sich in der Cloud etwa Gehaltsabrechnungen oder Zeiterfassungsdaten. Beschäftigtendaten werden aber auch erhoben, wenn Arbeitsergebnisse als Datei oder in einer E-Mail in der Cloud archiviert werden.
Die Zulässigkeit eines solchen Outsourcings von Beschäftigtendaten in eine Cloud beurteilt sich nach dem Bundesdatenschutzgesetz (BDSG). Trotz der Internationalität der Cloud-Anbieter gilt deutsches Datenschutzrecht, wenn ein deutscher Arbeitgeber personenbezogene Daten seiner Arbeitnehmer in Deutschland erhebt bzw. verarbeitet. Dabei müssen auch die allgemeinen Grundsätze im Datenschutzrecht beachtet werden.
Datenschutzrechtlich kritisch zu prüfen: externe Clouds
Datenschutzrechtlich ist in einem ersten Schritt zu klären, ob der Arbeitgeber die betreffenden Beschäftigtendaten überhaupt erheben darf. Grundsätzlich gilt für Datenerhebung im Arbeitsverhältnis der Maßstab der Erforderlichkeit (§ 32 Abs. 1 S. 1 BDSG). Im zweiten Schritt ist zu prüfen, ob das Outsourcing der Beschäftigtendaten in die Cloud rechtlich zulässig ist.
Unproblematisch zulässig sind unternehmensinterne Clouds, da hier kein Datentransfer weg vom Arbeitgeber stattfindet. Bei unternehmensexternen Clouds ist dies genauer zu prüfen. Üblicherweise soll der Arbeitgeber als „Herr der Daten″ die volle Verfügungsgewalt behalten und Art und Umfang der Datenverarbeitung bestimmen. Der Cloud-Anbieter stellt lediglich die Infrastruktur zur Datenverarbeitung zur Verfügung. Dies ist die Konstellation der sog. Auftragsdatenverarbeitung. Dabei bleibt der Arbeitgeber beim Cloud Computing datenschutzrechtlich verantwortlich.
Die Zulässigkeit hängt von einer sogfältigen Auswahl des Cloud-Anbieters und dem Bestehen tatsächlicher Kontrollmöglichkeiten des Arbeitgebers als Auftraggeber ab. Verarbeitet der Cloud-Anbieter die Daten nicht im EU-Raum oder im Europäischen Wirtschaftsraum oder bestehen keine ausreichenden Kontrollmöglichkeiten des Arbeitgebers, gilt der Cloud-Anbieter als „Dritter″ im datenschutzrechtlichen Sinn. In diesem Fall unterliegt die Zulässigkeit einer Datenübermittlung nochmals strengeren Voraussetzungen, die ggf. zu prüfen wäre.
Liegt eine Auftragsdatenverarbeitung vor, ist diese in einem schriftlichen Vertrag zu regeln, in dem u.a. der Gegenstand und die Dauer des Auftrags sowie der Umfang, die Art und der Zweck der vorgesehenen Datenerhebung und der Kreis der Betroffenen festzulegen sind (§ 11 Abs. 2 BDSG).
Cloud-Computing aus arbeitsrechtlicher Sicht
Neben dem Datenschutzrecht sind beim Cloud Computing und der Auslagerung von Beschäftigtendaten auch arbeitsrechtliche Aspekte zu beachten. Gegenüber dem einzelnen Arbeitnehmer kann der Arbeitgeber grundsätzlich im Wege des Direktionsrechtes vorgeben, Cloud-Anwendungen zu nutzen und dort etwa Dokumente zu archivieren.
Neben Unterrichtungs- und Beratungsrechten ist insbesondere das Mitbestimmungsrecht des Betriebsrats in Bezug auf technische Einrichtungen einschlägig (§ 87 Abs. 1 Nr. 6 BetrVG). Da nach der Rechtsprechung für das Eingreifen dieses Mitbestimmungsrechts bereits die objektive Eignung einer technischen Einrichtung zur Überwachung der Arbeitnehmer ausreicht, dürfte das Mitbestimmungsrecht bei Cloud-Computing ausnahmslos eingreifen. Grund ist, dass sich mit Hilfe der eingesetzten Software in der Regel die Verhaltens- und Leistungsdaten der die Cloud nutzenden Arbeitnehmer erfassen lassen und sich damit Aussagen zu deren Verhalten und Leistung treffen lassen.
Soll Cloud-Computing im Unternehmen genutzt werden, ist dies auf Grundlage des heutigen Rechts möglich. Allerdings müssen die in der Praxis zum Teil sperrigen Anforderungen des Datenschutzrechts beachtet werden. Zudem muss der Betriebsrat ins Boot geholt und dort ggf. bestehende Ängste abgebaut werden.