Mitarbeiter des Unternehmens sind gesetzlich dazu verpflichtet ein Führungszeugnis (Führungszeugnis für die Behörde) an die zuständige Behörde zu übermitteln (Antrag wird gestellt und die Behörde leitet das Führungszeugnis an die zuständige Behörde weiter). Arbeitgeber hat keinen Einblick o.ä. - das ist für mich soweit unproblematisch für den Arbeitgeber.
Der zuständige Mitarbeiter beim Arbeitgeber besorgt sich nun ein Kartenlesegerät für Personalausweise sowie die benötigte Software vom Bund und stellt seinen Kollegen bietet den Kollegen an, dass diese an seinem Rechner die Führungszeugnisse online beantragen können (Perso wird zu Authentifizierung eingelesen und an Behörde übermittelt), damit die Kollegen nicht alle zur Behörde rennen müssen.
Ist das datenschutzrechtlich zulässig? Hat jmd Erfahrung bzw. ähnliche Erfahrungen?
Wenn es ein Angebot ist, dann ist auch die Wahrnehmung freiwillig, die Kollegen sind also nicht gezwungen, diese Möglichkeit zu nutzen. Darum würde mich interessieren: Welche Daten werden durch die Nutzung des Lesegerätes auf dem Rechner des Mitarbeiters gespeichert? Welchen Einblick hat der Mitarbeiter während der Beantragung in diesen Vorgang?
Fällt ein polizeiliches Füphrungszeugnis unter Art. 10 DS-GVO?
Denn dann wäre es egal, ob der Mitarbeiter das Angebot freiwillig wahrnehmen kann oder nicht, wenn durch die Beantragung vom Rechner des zuständigen Mitarbeiters aus, entsprechende Daten, die ebenfalls unter Art. 10 DS-GVO fallen würden/könnten, auf dem Rechner landen.
Art. 10 DS-GVO sieht die EInwilligung als zu erfüllende weitere Anforderung in Ergänzung zu Art. 6 DS-GVO nicht vor.
Führungszeugnisse enthalten eine Angabe zu strafrechtlichen Verurteilungen. Auch leere. Der Nichteintrag von Verurteilungen ist eine deutliche Angabe zum Thema.
(Wir sind uns doch einig darüber, dass es praktisch nur bedeutet, dass es zwischen der Berücksichtigungsfrist und dem Ausstellungsdatum nicht für eine Verurteilung gereicht hat.)
Art. 6 Abs. 1 bestimmt Einwilligungen als eine von mehreren Möglichkeiten für die Rechtmäßigkeit von… irgendswas .
Für den spezielleren Fall des Beschäftigungsverhältnisses gibt es neben dem Mainstream § 26 Abs. 1 BDSG die Einwilligung in Abs. 2.
Art. 9 Abs. 2 nennt die Einwilligung als eine von mehreren Ausnahmen vom Verarbeitungsverbot für “besondere Kategorien”.
Im Vergleich zu diesen beiden anderen Sonderfällen gibt es in Art. 10 nur 2 Möglichkeiten, und die Einwilligung ist keine davon. Schlechte Karten für die Einwilligung.
Am ehesten “Richtung Einwilligung” wäre, die Betroffenen etwas selbst erledigen zu lassen. Dann allerdings ohne Verarbeitungsvorgänge /Kenntnis beim Arbeitgeber. Der könnte z. B. frankierte Umnschläge spendieren, oder die Fahrtkosten zur Vorlage. Die Freiwilligkeit wird meistens sowieso problematisch sein.
D., der für das Einsehen, Übermitteln und Speichern von Führungszeugnissen (erweiterte oder nicht) immer eine ausdrückliche Vorschrift sehen möchte. Oder eine spezifische behördliche Aufsicht. Natürlich auch Grundsätze berücksichtigt, usw.
Eine Bearbeitung über die technischen Systeme des Arbeitgebers halte ich bei der sehr weitgefassten Definition von Artikel 4 Nr.2 DS-GVO für den Begriff Verarbeitung dann doch für zu gewagt (weil nicht eindeutig risikofrei).
Dort steht ja quasi: Mache irgendwas (=Vorgang oder Vorgangsreihe) wobei personenbezogene Daten eine Rolle spielen ("… in Zusammenhang mit …"). - dann ist das eine Verarbeitung im Sinne der DS-GVO
Die Definition verlangt noch nicht mal im Wortlaut, dass etwas mit den personenbezogenen Daten im Rahmen der Verarbeitung gemacht wird (im Sinne einer auf den Hauptzweckgerichteten Nutzung etc.) - es reicht ein den eigentlich Vorgang/die Vorgangsreihe begleitende Rolle … aber die Diskussion wird zu akademisch.
Art.10 sieht keine Einwilligung aber eine rechtliche Grundlage vor: “oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten […] zulässig ist”. GDPO schrieb von einer gesetzlichen Verpflichtung der Mitarbeiter.
Die Freiwilligkeit im kurzen Zwiegespräch bezog sich jedoch nicht darauf, ein Führungszeugnis abzugeben oder die Daten daraus zu verarbeiten. Die Freiwilligkeit bezog sich darauf, das Angebot des Kollegen mit dem Lesegerät wahrzunehmen. Unabhängig von dieser freiwilligen Nutzung bestehen die von mir gestellten Fragen zur Speicherung der Daten der Beantragung (Personalausweis, PIN) und zur Einsichtmöglichkeit des Kollegen während der Beantragung. Es ist sicherzustellen, dass der Arbeitgeber diese Daten nicht verarbeitet. Für die Beantwortung von GDPOs Frage ist jedoch irrelevant, um welcher Art Führungszeugnis es sich handelt (einfach, erweitert, europäisch). Zum einen besteht dieselbe Anforderung an alle Mitarbeiter. Zum Anderen geht es um die Online-Beantragung und nicht darum, welche strafrechtlichen Verurteilungen und Straftaten von wem zu welchen Zwecken verarbeitet werden dürfen. Das Führungszeugnis wird meines Wissens nicht bei/während der Beantragung erstellt, es wird an die Meldeadresse versandt. Wird es zur Vorlage bei einer Behörde benötigt, ist es unmittelbar an diese Behörde zu versenden (§§30 ff BZRG). Das wäre bei GDPOs Mitarbeitern der Fall.
Wenn also ein Mitarbeiter - aus welchen Gründen auch immer - entscheidet, das Lesegerät des Kollegen für eine Online-Beantragung nutzen zu wollen, muss dieser sicherstellen, dass keine pb Daten zum Vorgang gespeichert werden und dass der Mitarbeiter während des Vorgangs unbeobachtet ist. Ich sehe hier keinen Bezug zu Art.10, auch nicht zur Erlaubnis in §26 BDSG.
Ach so, dann machen die das außerhalb der Verantwortung des Arbeitgebers.
Quasi ein dumm gemachtes Gerät, das immer wieder frisch wäre, wenn das Einlesen abgeschlossen ist. Hoffentlich lässt sich das schaffen (Verschlüsselung, abgeschottete Transaktionen). Das ist schon bei der Privatnutzung von Telefonen schwer hinzukriegen, weil man denen die Wahlwiederholung austreiben müsste, und die Telefonanlage sich alles merkt. (Na gut, der Inhalt der Kommunikation wird beim Telefon normalerweise nicht aufgezeichnet.)
D., der wegen “der zuständige Mitarbeiter besorgt sich” davon ausging, dass er(!) es wegen seiner Zuständigkeit betrieblich einsetzt, also der Arbeitgeber die Daten verarbeitet.
Für mich besteht ein Unterschied zwischen “der zuständige Mitarbeiter besorgt sich” und “der Arbeitgeber hat dem zuständigen Mitarbeiter besorgt”. Darum ging ich von einem eigenständigen Handeln des zuständigen Mitarbeiters aus. Das ist natürlich in seinem Sinne, weil es Ermahnung und Termineinhaltung vereinfacht (in etwa: “Hast Du Dein Führungszeugnis beantragt?” “Nö.” “Na dann mach es fix, dauert nur 5 Minuten.”). In der Praxis werden diejenigen, denen der Gang zur Behörde zu beschwerlich scheint oder ist, das Angebot gern annehmen. Darüber sollte man sich keine Illusionen machen. Wenn die Offline-Beantragung mit einer Freistellung verbunden ist, dann hat auch der AG ein Interesse an der Beschleunigung des Prozesses. Doch selbst wenn der AG das Lesegerät zur Verfügung stellt, bleibt es bei der Nichtverarbeitung seinerseits, da die Nutzung freiwillig ist und der AG bei einer Nichtnutzung, Offline-Beantragung oder heimischen Online-Beantragung ebenso wenige Daten erhielte.
Ich bin skeptisch, dass mehr dumme (brauchbare) als funktionsstarke (problematische) Geräte angeboten werden. Und dass in der Praxis nicht doch 12 Leute “helfen”.
D., der gern länger sucht oder mehr bezahlt, damit er T-Shirts usw. ohne Aufdruck kaufen darf. Entsprechend selten findet man inzwischen Geräte ohne Datenschutzproblem, z. B. auf die Grundfunktion beschränkte (dumme) Fernseher.
Das wäre ein Thema für die IT-Forensiker: Welche pb Daten werden wie und von wem bei der Nutzung von Ausweislesegeräten verarbeitet? Vermutlich sind es mehr als 12 Leute…
Soweit ich weiß, können die Auslesegeräte keinen Daten speichern. Es wird also darum gehen, was die Software/App und der Rechner bei dem Vorgang speichern, was ja wohl vom Mitarbeiter in Eigenregie verwaltet wird. Andererseits könnte der Mitarbeiter dafür auch seinen betriebsinternen Rechner nutzen, womit dann wieder die IT-Abteilung und damit der Arbeitgeber involviert wären.
Siehe https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/online-ausweisen/online-ausweisen-node.html.
Der Inhalt der Daten des Personalausweises ist damit nach meiner Auffassung hinreichend geschützt, der Transporteur der Nachricht (Firmennetzwerk → Internetanbieter → Server des Empfängers der Daten haben keinen Einblick auf den Inhalt. Das Firmennetzwerk registriert allerdings, dass von Rechner Mitarbeiter x eine Verbindung zum Server Bundesdienst aufgenommen wurde. Wenn auch der Zugriff auf den Rechner protokolliert wird (Benutzeranmeldung), erfährt der AG, dass der Benutzer xy am Datum um Uhrzeit Daten an den Bundeserver übermittelt hat. Der Empfänger der Daten erhält hingegen nur die öffenliche IP-Adresse, die vom Internetprovider der Firma in der Regel alle 24 Stunden neu zugeteilt wird.
Jup, der Link führt zur bürgerfreundlichen FAQ mitohne technischem Hintergrund.
Bei einer verschlüsselten Übermittlung sind keine pb Daten des Beantragenden durch den Arbeitgeber einsehbar. Es sei denn, es werden arbeitgeberseits MITM-Proxy oder sonstige DPI-Tools eingesetzt (gern vergessen: Einklinken lokaler AV-Software in SSL/TLS-Verbindungen) = NoGo. Das Endgerät ist das des Kollegen mit dem Lesegerät, hier kann bei einer Übermittlung nicht auf den beantragenden Mitarbeiter geschlussfolgert werden, denn alle Mitarbeiter nutzen dasselbe Endgerät. Vor dieser Übermittlung steht allerdings der Gerätetyp (PIN-Eingabe am Lesegerät vs. PIN-Eingabe am Rechner => Keylogger, Malware = NoGo), die Option “Verlauf der Ausweisvorgänge speichern” in der AusweisApp und sonstige Speicherungen in lokalen Anwendungs, Treiber- und/oder Cache-Verzeichnissen = NoGo.
.