Unternehmen versuchen stets, interne Prozesse zu digitalisieren und zu vereinfachen. Hierzu gehören auch das Beschaffungswesen und die Abwicklung von internen Bestellungen für die Beschäftigten, bspw. durch die selbstständige Verwaltung von Bestellaufträgen für die eigene Arbeitskleidung. Im Arbeitsrecht wird zwischen Berufs-, Dienst- und Schutzkleidung unterschieden – im Folgenden liegt der Fokus auf der Bestellung von Arbeitskleidung.
Anforderungen aus dem Datenschutz
Wenn Unternehmen einen externen Shop (Dienstleister) nutzen, in dem sich alle Beschäftigten die Arbeitskleidung selbst aussuchen oder bestellen können, lässt sich einiger administrativer Aufwand über mehrere Freigabeprozesse intern sparen. Das könnte z. B. Dienstkleidung bei einem Handwerksunternehmen, Sicherheitskleidung für Beschäftigte auf Baustellen oder der Kittel nebst Schutzausrüstung für die Laborarbeit sein. All diese unterschiedlichen Berufsgruppen können das tägliche Tragen von Berufs- und Dienstkleidung sowie von individueller Schutzkleidung und Ausrüstung voraussetzen, die idealerweise passgenau sein muss. Nicht selten soll die Arbeitskleidung auch noch personalisiert werden und den Vor- und Nachnamen der Mitarbeitenden anzeigen (mehr zum Thema Namensschilder lesen Sie hier).
Aber auch ohne den Namen auf der Kleidung bzw. Ausrüstung tauchen personenbezogene Daten im Zusammenhang mit Arbeitskleidung auf: Werden intern bspw. Inventarlisten mit allen Beschäftigten des Betriebes und deren Ausstattung geführt oder aber die Bestellscheine in unterschiedlichen Bereichen des Unternehmens im Rahmen der Abrechnung/Buchhaltung und Planung abgelegt, liegt eine Verarbeitung von personenbezogenen Daten im Zusammenhang mit der zugewiesenen Kleidung vor.
Die Ausgabe von zwei schwarzen Jacken der Größe „L“ an Olaf Schmidt (Logistikmitarbeiter) dürfte auf den ersten Blick wenig datenschutzrechtliche Bedenken auslösen, insbesondere wenn alle Mitarbeitenden dieser Personengruppe/Stelle über dieselbe Ausstattung verfügen und selbige während des gesamten Arbeitsalltags einsetzen müssen.
Sind das auch sensible Daten?
Jedoch könnten sich auch mittelbar weitere Rückschlüsse aus der genutzten Kleidung ziehen lassen, sodass vor dem Hintergrund der jüngsten Rechtsprechung des EuGH (Urteil vom 01.08.2022, Rs. C-184/20) auch die Verarbeitung von sensiblen personenbezogenen Daten in Betracht gezogen werden muss. Denn nach Auffassung des Gerichts könnten sich auch besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO aus bestimmten Informationen zu einer Person ableiten lassen – und somit den Anwendungsbereich dieser besonders schützenswerten Daten eröffnen. Allen voran könnten hier Gesundheitsdaten zur Person berührt sein.
Es ist nicht auszuschließen, dass sich bereits aus der Konfektionsgröße zu einer Person mittelbar auch eine Aussage zu deren Gesundheitszustand treffen lässt, zumindest aber bei besonderen Kleidungsgrößen oder raschen Veränderungen der Größen. Zu denken wäre theoretisch an Kleidung für kleinwüchsige Personen oder Menschen mit einer bestimmten körperlichen Behinderung sowie an eine Schwangerschaft. Bereits besondere Schutzbrillen für Brillenträger oder zusätzliche Hilfsinstrumente lassen direkte Informationen zum Gesundheitszustand eines Menschen zu. Und wenn plötzlich mehrere Personen aus einer Arbeitsgruppe neue Ausrüstung bestellen, könnte zuvor ein Unfall in diesem Bereich eingetreten sein, der auch mit Gesundheitsrisiken einhergeht?
Aber auch beim Druck des Namens einer Person könnte auch über die Herkunft derselben diskutiert werden, sodass allein der Name unter Umständen auch in den Anwendungsbereich von Art. 9 DSGVO fällt? Diese Interpretation lässt das obige EuGH-Urteil vielleicht sogar zu – allerdings sollte es kontextbezogen analysiert respektive eng ausgelegt und nicht ohne Weiteres auf alle anderen Szenarien angewandt werden.
Die richtige datenschutzrechtliche Rechtsgrundlage
Können die Beschäftigten über einen Shop die Arbeitskleidung und Ausstattung direkt selbst bestellen, die sodann von einem externen Dienstleiter angefertigt und ausgeliefert wird, stellt sich die Frage nach der Rechtsgrundlage für diese Datenverarbeitungen. Gleiches gilt bei selbstverwalteten, individuellen Accounts auf der Website eines solchen Anbieters für die Beschäftigten, die ihre Stammdaten und Kleidergrößen dort hinterlegen und ggf. auch eine Bestellhistorie sowie automatische Verknüpfung mit dem Rechnungs- und Bestellwesen im Unternehmen vorfinden. Häufig wird bei Berufskleidung und aus Gründen der Arbeitssicherheit vorgegebenen Schutzausrüstung anzunehmen sein, dass die Verarbeitung der personenbezogenen Daten der Beschäftigten für die Bestellung als Teil der Durchführung des Beschäftigungsverhältnisses im Sinne von § 26 Abs. 1 BDSG gilt und somit der Prozess dem sog. Beschäftigtendatenschutz unterfällt. Auch die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten, wären unter den strengen Vorgaben aus § 26 Abs. 3 BDSG im Anwendungsbereich des Beschäftigungsdatenschutzes zulässig.
Unter Umständen sehen die Bestellung und Anfertigung der Kleidung auch die persönliche Angabe des Vor- und Nachnamens zum Druck/Stickerei dieser Daten auf dem Kleidungsstück oder Arbeitsmittel vor. Ob jedoch der Vor- und Nachname der Mitarbeitenden auf dem Kittel oder der Schutzjacke im Außendienst im Sinne von § 26 BDSG erforderlich ist, kann sicherlich infrage gestellt werden. Für die interne Zuordnung nach Reinigung (z. B. durch ein externes Reinigungsunternehmen) oder bei Notfällen (einem Brand im Gebäude) kann die Beschriftung sinnvoll sein. Dieses mag zwar auch alles ein wenig durch die Firmenphilosophie beeinflusst werden können, aber insbesondere bei Beschäftigten mit Außenkontakt, z. B. beim Einsatz in der Öffentlichkeit, dürften keine zwingenden Gründe für die Zuschaustellung des Namens, typischerweise über der Brusttasche, bestehen. Dabei kann der wetterfeste, abgedruckte oder eingestickte Name die Namensschilder ersetzen, lässt sich aber auch nur bedingt schnell verdecken.
Dann ließe sich ggf. mit guten Gründen ein berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 S. 1 lit. f DSGVO annehmen, wenn die namentliche Ansprache der Mitarbeitenden untereinander und auch die Vorstellung der Person gegenüber dem Publikumsverkehr gewollt ist – und dem kein schutzwürdiges Interesse der einzelnen angestellten Person überwiegt. Dieses kann in unterschiedlichen Arbeitsbereichen mit unterschiedlichem Vertrauensverhältnis oder Kundenservice abweichend beurteilt werden. Denkbar sind aber auch negative Vorfälle in der Vergangenheit, die diese Entscheidung maßgeblich beeinflussen (sei es Diebstahl durch die Belegschaft, sei es aber auch ein Nachstellen jüngerer Kolleginnen). Zudem kann der angezeigte Name des Boten vielleicht als „Bestätigungsnachweis“ oder „Kontrolle“ bei Abholung oder Auslieferung einer hochwertigen Ware dienen, nicht jedoch vor böswilligen Angreifern oder Dieben schützen, die mutmaßlich nicht die eigene Arbeitskleidung tragen dürften.
Führen bestimmte Umstände dazu, dass der Anwendungsbereich der besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO eröffnet wird, da diese Datenverarbeitung nicht für die Durchführung des Beschäftigungsverhältnisses nach § 26 Abs. 1 BDSG bzw. § 26 Abs. 3 BDSG erforderlich ist und daher nicht dem Zwecke der Durchführung des Beschäftigungsverhältnisses dient (bspw. bei Bestellungen für private Anlässe), bedarf es für die Datenverarbeitung einer Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO. Hier könnte, sofern die Datenverarbeitung nicht auf Grund von Pflichten aus dem Arbeitsrecht gem. Art. 9 Abs. 2 lit. b DSGVO ergeht, allen voran die Einwilligung der Person nach Art. 9 Abs. 2 lit. a DSGVO in Betracht kommen, bei der jedoch insbesondere im Arbeitsverhältnis erhebliche Zweifel an der Freiwilligkeit der Abgabe dieser Zustimmung bestehen. Ohnehin dürfte kaum Platz für die freie Entscheidung sein, wenn „alle“ diese Kleidung tragen (müssen).
Es lässt sich aber auch vertreten, dass es sich dann um solche Informationen (z. B. Gesundheitsdaten) handelt, die die betroffene Person „offensichtlich öffentlich gemacht hat“ nach Art. 9 Abs. 2 lit. e DSGVO.
Im Ergebnis bleiben aber Fragezeichen im Hinblick auf die Wahl einer geeigneten Rechtsgrundlage für den Einsatz dieses Onlineshop als elektronisches Bestellsystem für die Beschäftigten, insbesondere wenn darüber weit mehr als nur die bloße Ausstattung bestellt werden kann.
Vertragliche Regelungen mit Dienstleistern
Wird der Shop durch einen externen Dienstleister verwaltet oder angeboten, bedarf es eines Vertrages über die Auftragsverarbeitung nach Art. 28 DSGVO oder nach den neusten EU-Standardvertragsklauseln der EU-Kommission, sofern dieser Auftragsverarbeiter einen Sitz in einem unsicheren Drittland hat. Letzteres sollte aber noch weitere Schutzvorkehrungen aufseiten des Dienstleisters erfordern, wenn derartige sensible Beschäftigtendaten (mit Profil und Bestellhistorie) auf Servern in unsicheren Drittländern verarbeitet werden.
Gleiches gilt auch für die Fälle, in denen ein externer Dienstleister mit der Reinigung, Vermietung und Verwaltung von entsprechender Arbeitskleidung beauftragt wird.
Dabei gilt es auch, entsprechende technisch-organisatorische Maßnahmen nach Art. 32 DSGVO sicherzustellen und regelmäßig zu kontrollieren, damit Unbefugte keinen Zugang zu diesen Daten der Beschäftigten erhalten und auch der Grundsatz von Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO eingehalten wird.
Durch interne Arbeitsanweisungen und Maßnahmen können möglicherweise die Datensätze und Speicherdauer reduziert werden.