wenn in einem Unternehmen eine Software eines externen Dienstleisters eingesetzt wird, bei dem die Daten von Mitarbeitern des Unternehmens im Rahmen eines Accounts verarbeitet werden, was ist dabei datenschutzrechtlich zu betrachten und zu beachten?
Also die Mitarbeiter loggen sich zB mit ihrem Namen bei der Anwendung ein.
Dies stellt ja eine Verarbeitung dar. Also muss hierfür eine Rechtsgrundlage gegeben sein. Dies könnte Art. 6 Abs, 1 lit b DSGVO sein. Wenn der Mitarbeiter sich nicht einloggen kann, kann er seine Arbeit nicht machen und damit seinen Arbeitsvertrag nicht erfüllen.
Außerdem müssen die übrigen datenschutzrechtlichen Grundsätze beachtet werden.
Ist dies für jede Anwendung einzeln zu prüfen?
Eher nicht “b”! Erforderlich zur Erfüllung eines Vertrags mit der betroffenen Person wäre das Verarbeiten der Anmelde- und Nutzungsdaten nur, wenn der Arbeitsvertrag auf die Nutzung genau dieser Software abzielt; z. B. dass jemand hautpsächlich zum Warten /Testen /Entwickeln dieser Fremd-Software eingestellt wurde.
I. d. R. ist die genutzte Software aber nebensächlich. Zur (Arbeits)Vertragserfüllung erforderliche Verarbeitungen stehen meist im Zusammenhang mit der Aufgabe (z. B. Vertrieb, Buchhaltung, Fahren) und allgmeinen Beschäftigungsaspekten (Personalakte, Lohn, Sozialversicherung, Arbeitssicherheit).
Der Arbeitgeber benötigt einen Erlaubnistatbestand, mit dem er Beschäftigtendaten (Anmeldung, Nutzung, Inhalt) an den Anbieter der Software als Dritten übermitteln darf. (Außer es handelt sich um dessen Auftragsverarbeiter; dann muss man bei der Auswahl des Dienstleisters und seiner Software aber auch die Grundsätze und Einzelvorschriften einhalten.)
Normalerweise wären Nutzungsdaten aus Sicht des Arbeitgebers “berechtigtes Interesse”. Nämlich an der Nutzung der Software, Betriebssicherheit, Verbesserung. (Nicht zum inhaltlichen Verarbeiten personenbezogener Daten wie Personal- oder Kundenverwaltung, sondern zur leichteren Abgrenzung in unserem Beispiel irgendwas nicht-personenbezogenes, z. B. technische Messreihen.) Weil die damit einher gehende Verarbeitung der Nutzungsdaten (An- /Abmeldung, Datenänderungen) “erforderlich” (geeignet, verhältnismäßig, kein milderes Mittel) zu sein hätte, muss diese sich auf das Nötige beschränken. (Grundsätze Art. 4, Verantwortung Art. 24, Datenschutz bei Design Art. 25, techn. u. org. Maßnahmen Art. 32 usw.) Bei “berechtigtem Interesse” dürften keine Rechte und Freiheiten der Person gegenüber dem Interesse überwiegen, also die Verarbeitung nicht zu invasiv oder intransparent ausfallen. So dürfte der Arbeitgeber nicht verlangen, dass sein Personal sich Auswertungen durch den Software-Anbieter aussetzt. Wenn man z. B. von privaten Endgeräten aus mit Google- /Microsoft- usw. Software arbeitet, die dann auch in außerbetrieblichen Bereichen Daten erhebt und mit den dienstlich veranlassten Verarbeitungen in Profilen zusammenführt.
D., der argumentiert, dass man genau hinschauen muss und der fremden (bei Auftragsverarbeitung praktisch “eigenen”) Software nicht einfach alles erlaubt.
Der Erlaubnistatbestand ergibt sich für mich aus Art. 6 Abs. 1 lit. b)! Der Arbeitsvertrag!
Der TO beschreibt ausdrücklich, dass MA ohne einen Login ihre übertragenen Aufgaben nicht erfüllen können und somit auch ihrer Verpflichtung gem. dem Arbeitsvertrag erfüllen. Zusätzlich kann es natürlich auch das berechtigte Interesse des Verantwortlichen sein, wenn durch das Tool die Arbeitseffizienz gesteigert werden kann.
Eine Auftragsverarbeitung halte ich auch für sehr Wahrscheinlich. Das ist primär aber auch davon abhängig, was der Anbieter des Tools genau macht. Eine reine lokale Installation ohne Support durch den Anbieter dürfte unkritisch sein. Wenn die Zugangsdaten durch den Dienstleister auf einem externen System verwaltet werden und der Dienstleister Support leistet bei Problemen dann liegt eine Auftragsverarbeitung vor.
Bei der Einführung neuer Anwendungen ist meines Erachtens immer eine datenschutzrechtliche Bewertung notwendig. Zumindest sollte geklärt sein, ob da neue Verarbeitungen generiert werden oder eine bereits bekannte Verarbeitung eine Anpassung erfährt bzw. abgelöst wird.
Je nachdem, was der Anbieter (sonst noch) macht, kann das Anmelden für irgendwas (Arbeitsvertrag, berechtigte Interessen) erforderlich sein; was darüber hinaus geht (Profiling, Verhaltensanalyse, zu lange Protokollierung, Unter-Auslagerung an Sicherheitsprüfer mit eigenen Datensammlungen, KI-Lernen) aber nicht.
Um welches Software-Tools es sich konkret handelt geht aus dem Ursprungsbeitrag nicht hervor.
Teil 1 wird mit ziemlicher Sicherheit aber zutreffend sein, Teil 2 ist wohl eher spekulativ. Das wäre jedoch konkret zu hinterfragen und ggf. auszuschließen notfalls muss ein anderer Anbieter gewählt werden.
Sofern es einen Betriebsrat oder Personalrat gibt, hat dieser bei Softwareeinführungen auch noch ein Wörtchen mitzureden.