Das Intranet ist ein Bereich, der in der datenschutzrechtlichen Betrachtung manchmal etwas in den Hintergrund rückt. Auch hier sind jedoch die Anforderungen der DSGVO zu beachten, die nachfolgend einmal in Kürze erläutert werden sollen.

Intranet-Portale sind in Unternehmen weit verbreitet, nicht zuletzt im Zuge einer stärkeren Verlagerung der Bürotätigkeit auf das Home-Office. So lässt sich gerade die Einbindung mehrerer Standorte eines Unternehmens und der hierfür erforderliche Informationsaustausch über eine Intranet-Anwendung leichter bewerkstelligen. Bei Intranet-Systemen stehen in erster Linie personenbezogene Mitarbeiterdaten im Vordergrund, deren Verarbeitung in hohem Maße datenschutzrelevant ist. Für die datenschutzrechtliche Bedeutung von Intranet-Anwendungen spricht außerdem, dass man sich im Privatleben der mit moderner Technologie einhergehenden Datenverarbeitung in einem gewissen Maße entziehen kann, während dies Beschäftigten in ihrem Arbeitsumfeld kaum möglich ist.

Datenschutzrechtlich problematisch können Intranet-Portale insoweit sein, als dass durch sie eine Vielzahl – auch sensibler und vertraulicher Informationen – mit einem zahlenmäßig ggf. großen Personenkreis im Unternehmen geteilt werden können. Zugleich ist oftmals nicht sichergestellt, für welchen Zeitraum diese Informationen vorgehalten werden und ob eine systemseitige Löschung der Daten möglich ist.

Nicht zuletzt ist die Freiwilligkeit einer Einwilligung in einem abhängigen Beschäftigungsverhältnis rechtlich umstritten. Diese ist auch für Intranet-Anwendungen relevant, bei denen die Datenverarbeitung in vielen Fällen in Ermangelung einer Rechtsgrundlage auf eine Einwilligung gestützt werden muss.

Datenschutzrechtliche Rahmenbedingungen

Wenn keine Rechtsgrundlage für die Datenverarbeitung einschlägig ist, ist die Veröffentlichung von Mitarbeiterdaten im Intranet grundsätzlich zulässig, sofern der jeweilige Mitarbeiter hierin gem. Art. 6 Abs. 1 S. 1 lit. a i.V.m. Art. 7 Abs. 2 S. 1 DSGVO einwilligt, die Einwilligung schriftlich erfolgt, die Verweigerung der Einwilligung keine Nachteile bedeutet und sie jederzeit durch den Arbeitnehmer widerrufen werden kann. Sowohl bei einer dienstlichen als auch bei einer privaten Nutzung des Intranets ist daher bei der erstmaligen Verwendung eine informierte Einwilligung des Mitarbeiters i.S.v. Art. 6 Abs. 1 S. 1 lit. a i.V.m. Art. 7 Abs. 2 S. 1 DSGVO erforderlich.

Die Datenschutzinformation gem. Art. 13 DSGVO sollte dabei folgende Elemente beinhalten:

  • Betroffene Datenkategorien
  • Art und Dauer der Datenverarbeitung
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Konkrete Bezeichnung des Empfängers bei der Übermittlung von Daten
  • Hinweis auf das Bestehen und die Form der Ausübung des Widerrufsrechts

Die Bewertung der datenschutzrechtlichen Zulässigkeit von Intranet-Anwendungen richtet sich weiterhin nach der Art der veröffentlichten Daten (z.B. Kontaktdaten der Mitarbeiter, Bildnisse, Qualifikationen und Lebensläufen). Von Bedeutung ist ebenso, inwieweit die Mitarbeiterdaten innerhalb eines Unternehmens oder konzernweit innerhalb bzw. außerhalb der EU verbreitet und damit verarbeitet werden.

Wenn für die Intranet-Anwendung ein externer Dienstleister zum Einsatz kommt, sollte – wenn personenbezogene Daten weisungsgebunden im Auftrag verarbeitet werden – das Unternehmen als verantwortliche Stelle mit dem Auftragsverarbeiter einen Vertrag zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO schließen.

Veröffentlichung von Kontaktdaten

Personenbezogene Beschäftigtendaten dürfen im Intranet grundsätzlich auch ohne Einwilligung oder Mitwirkung des Betroffenen veröffentlicht werden, soweit dies i.S.v. § 26 Abs. 1 S. 1 BDSG für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Dies gilt für die Namen der Beschäftigten, das Eintrittsdatum, die dienstlichen Telefonnummern und E-Mail-Adressen, die Unternehmenszugehörigkeit und die Firmenadresse. Auch die Bekanntgabe der betreuten Projekte im Intranet ist auf Grundlage von § 26 Abs. 1 S. 1 BDSG ohne Einwilligung der Betroffenen zulässig, sofern es für die Zusammenarbeit im Unternehmen erforderlich ist.

Die Veröffentlichung von Kontaktdaten bzw. die zugrundeliegende Datenübermittlungen an unternehmenseigene Gesellschaften innerhalb der EU sind von der Zweckbestimmung des Vertragsverhältnisses i.S.v. § 26 Abs. 1 S. 1 BDSG gedeckt, wenn bei der Übermittlung ein über die eigene Gesellschaft als verantwortliche Stelle hinausgehender Konzernbezug vorliegt. Bei einer intranetbasierten Datenübermittlung an Konzerngesellschaften außerhalb der EU sollte zusätzlich sichergestellt werden, dass bei der datenempfangenden Konzerngesellschaft ein angemessenes Datenschutzniveau gewährleistet wird.

Veröffentlichung von Mitarbeiterfotos

Bei der Veröffentlichung von Bildnissen im Intranet ist i.S.v. § 22 S. 1 KUG aufgrund des Rechts am eigenen Bild eine vorherige Einwilligung jeder einzelnen abgebildeten Person erforderlich, solange diese individuell erkennbar ist. Ebenso darf die Veröffentlichung nicht die berechtigten Interessen des Abgebildeten verletzen, was einzelfallabhängig geprüft werden sollte.

Es empfiehlt sich – ausgehend von der Rechtsprechung – im Sinne einer rechtssicheren Lösung, auch für die Veröffentlichung von Mitarbeiterfotos im Intranet eine schriftliche Einwilligung einzuholen. Eine erteilte Einwilligung in die Veröffentlichung von Bildnissen bei einem Konzern wäre im Übrigen auch die Rechtsgrundlage für eine Übermittlung an Konzerngesellschaften innerhalb und außerhalb der EU. Hierfür sollten die Mitarbeiter aber im Vorfeld in transparenter Weise über die Datenübermittlung informiert werden.

Veröffentlichung von Qualifikationen und Lebensläufen

Eine Veröffentlichung von Qualifikationen sollte im Intranet auf Grundlage von § 26 Abs. 1 S. 1 BDSG nur für diejenigen Mitarbeiter erfolgen, die projekt- bzw. funktionsbezogen unternehmensweit eingesetzt werden. Lebensläufe dürfen grundsätzlich nur auf Grundlage einer Einwilligung des betroffenen Mitarbeiters erhoben und im Intranet veröffentlicht werden. Es sollte die Entscheidung der Mitarbeiter bleiben, ob und in welchem Umfang Informationen über den eigenen Werdegang im Intranet sichtbar sind.

Veröffentlichung von Geburtstagen

Die Veröffentlichung des Geburtsdatums im Intranet wäre ohne eine Einwilligung der betroffenen Mitarbeiter datenschutzrechtlich als nicht zulässig anzusehen, da die Preisgabe nicht gem. § 26 Abs. 1 S. 1 BDSG für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Grund ist, dass nicht jeder Beschäftigte seinen Geburtstag bekannt gemacht wissen möchte.

Kalenderfunktion im Intranet

Auch eine Kalenderfunktion im Intranet ist datenschutzrechtlich nicht unbedenklich. Mitarbeiter könnten sehen, welcher Kollege bzw. welche Kollegin wann Dienst hat und ggf. nähere Rückschlüsse auf den Grund der jeweiligen Abwesenheit ziehen. Grundsätzlich sollten die Abwesenheiten im Intranet nur für denjenigen Mitarbeitern sichtbar sein, die mit dem jeweiligen Kollegen innerhalb einer Abteilung oder eines Projekts zusammenarbeiten. Für eine unternehmens- oder gar konzernweite Veröffentlichung von Abwesenheiten muss ein konkreter Anlass bestehen. Generell unzulässig wäre es, den Grund der Abwesenheit (beispielsweise die Krankheit eines Mitarbeiters) im Intranet zu offenbaren.

Die Darstellung in der Kalenderansicht sollte möglichst unscharf gehalten werden. Es empfiehlt sich dabei, Urlaubszeiten als solche kenntlich zu machen. Alle anderen Formen der Abwesenheit sollten im Kalender nur als „abwesend“ erscheinen. Zentral ist auch, dass für die Kalenderfunktion feste und wenn möglich automatisierte Löschungsroutinen implementiert werden. Dies sollte einzelfallabhängig geschehen und kann ggf. auch Gegenstand einer Betriebsvereinbarung werden.

Fazit

Dies sind nur einige der für die Datenverarbeitung im Intranet relevanten Themen. Intranet-Anwendungen werden weiterhin eine wichtige Rolle bei der unternehmensinternen Kommunikation spielen. Die technische Entwicklung wird dabei weiterhin rasant voranschreiten. So wären auch im Bereich des Intranets Virtual- und Augmented Reality-Anwendungen denkbar, mit denen globale Mitarbeiterbesprechungen weltweit so durchgeführt werden können, als befänden sich die Teilnehmer in einem Raum. Dies kann sich – nicht nur in Zeiten von Kontaktbeschränkungen – als ein adäquater Ersatz für aufwendige und klimaschädliche Geschäftsreisen erweisen.

Mit Virtual- und Augmented Reality-Anwendungen einhergehen kann allerdings die Verarbeitung besonderer personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (z.B. die Brillenträgerschaft), die eine ausdrückliche Einwilligung der Teilnehmer gem. Art. 9 Abs. 2 lit. a DSGVO und ggf. seitens der verantwortlichen Stelle eine Datenschutz-Folgenabschätzung gem.  Art. 35 DSGVO erfordern würde.

Über weiteren Entwicklungen zum Datenschutz im Intranet halten wir Sie wie gewohnt auch im neuen Jahr gerne weiter auf dem Laufenden.