Die Markteinführung des Produkts Microsoft Office 365 sorgte von Beginn an für Kritik. Diverse Einstellungsmöglichkeiten und die damit verbundene Unübersichtlichkeit machen es nicht geschulten Nutzern schwierig, die Einstellungen so datenschutzkonform wie möglich zu gestalten. Nun hat Microsoft eine neue Funktion ins Leben gerufen: Über Workplace Analytics kann ein so genannter Produktivitätswert erstellt werden.
Der Produktivitätswert
Bei Workplace Analytics handelt es sich um ein Statistik Tool, welches Arbeitsgewohnheiten und das Arbeitsverhalten auswerten kann. Dabei wird ein so genannter Produktivitätswert generiert, welcher beispielsweise auswerten kann, wann welcher Mitarbeiter E-Mails verschickt hat, wie viele E-Mails an einem bestimmten Tag verschickt wurden, wie oft welches Tool von Microsoft benutzt wurde und Ähnliches.
Ziel dieser Auswertung gemäß Microsoft ist es, die Produktivität der Mitarbeiter zu fördern und Mitarbeiter, welche wenig aktiv sind in der Benutzung der verschiedenen Tools durch sehr aktive Mitarbeiter zu unterstützen und dadurch wiederum die Produktivität zu erhöhen.
Kritik am Produktivitätswert
Die Standardeinstellung im Rahmen der Auswertung für den Produktivitätswert sieht vor, dass Mitarbeiter namentlich gelistet werden. Dadurch kann genau abgelesen werden, wer wann welches Tool benutzt, Mails geschrieben oder mit Kollegen Daten ausgetauscht hat. Eine Anonymisierung ist im Programm zwar möglich, muss jedoch manuell eingestellt werden.
Damit ist es für Arbeitgeber grundsätzlich möglich, über den Produktivitätswert seine Mitarbeiter einer Verhaltens- und Leistungskontrolle zu unterziehen. Damit einher geht jedoch die Verletzung des allgemeinen Persönlichkeitsrechts der jeweiligen Arbeitnehmer. Derartige Kontrollen der Arbeitnehmer sind datenschutzrechtlich unzulässig und sind daher zu unterlassen.
Stellungnahme von Microsoft
Auf der Seite von Microsoft wird klar herausgestellt, dass es sich bei den neuen Funktionen nicht um ein Überwachungstool handelt. Vielmehr sollen neue Arbeitsweisen entdeckt werden sowie die Zusammenarbeit gefördert werden. Dabei weist Microsoft darauf hin, dass die Nutzer diverse Kontrollmöglichkeiten haben, wie beispielsweise das Löschen oder Anonymisieren von Daten.
Fazit
Im Rahmen der Nutzung des Produktivitätswerts sind Unternehmen gut damit beraten, die Einstellungen so datenschutzkonform wie möglich zu gestalten und genau zu prüfen, welche Daten verarbeitet werden dürfen. Letztlich sind die Arbeitgeber Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) und müssen für einen datenschutzkonformen Einsatz der Software im Unternehmen sorgen.
Laura Piater
Juristin
Consultant für Datenschutz
EuGH-Urteil
Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.
Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.
Konsequenzen des EuGH-Urteil
Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.
Datenschutzrechtliche Herausforderungen
Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:
- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.
- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.
- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.
- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.
- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.
- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.
- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.
Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz