x Hilfe schließen

Anmeldeinformationen bei Produktionsmaschinen – Worauf kommt es an?

Anmeldeinformationen bei Produktionsmaschinen – Worauf kommt es an? © fotolia, kinwun

Wie bei jeder anderen Verarbeitung personenbezogener Daten ist auch hier eine Rechtsgrundlage erforderlich. Grundsätzlich kann diese in der Einwilligung des Betroffenen oder etwa in einer gesetzlichen Regelung bestehen. Weitere denkbare Rechtsgrundlagen ergeben sich aus Art. 6 DSGVO. Handelt es sich um personenbezogene Daten eines Beschäftigten, kommt insbesondere § 26 Abs. 1 Satz 1 BDSG in Betracht.

Über den Autor

Mehr als 12 Jahre Berufserfahrung als Vollzeit-Datenschützer im Unternehmen. Darüber hinaus ist er seit vielen Jahren als Chefredakteur von "Datenschutz aktuell" tätig und zeigt seinen Lesern wie sich Datenschutz pragmatisch umsetzen lässt.

FRAGE: Das von mir betreute Unternehmen schafft demnächst einige moderne Produktionsmaschinen an. Bei diesen können auch Nutzerprofile hinterlegt werden. So kann die Maschine etwa individuell auf die Körpergröße und weitere persönliche Faktoren des Maschinenbedieners eingerichtet werden. Hierzu meldet sich der Maschinenbediener einfach mit seiner Kennung und seinem Passwort an. Für uns ist klar, dass etwa Daten, die in Log-Dateien und Protokolle geschrieben werden, personenbezogen sind. Uns stellen sich nun jedoch einige Fragen: Ist die Verarbeitung solcher „Mitarbeiterdaten“ datenschutzrechtlich zulässig? Muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?

ANTWORT: Wie bei jeder anderen Verarbeitung personenbezogener Daten ist auch im von Ihnen beschriebenen Fall eine Rechtsgrundlage erforderlich. Grundsätzlich kann diese in der Einwilligung des Betroffenen oder etwa in einer gesetzlichen Regelung, sprich in einer gesetzlichen Erlaubnis, bestehen. Weitere denkbare Rechtsgrundlagen ergeben sich aus Art. 6 Datenschutz-Grundverordnung (DSGVO). Handelt es sich um personenbezogene Daten eines Beschäftigten, kommt insbesondere § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) in Betracht.

So kann die Verarbeitung solcher Daten zulässig sein, wenn sie für Zwecke des Beschäftigungsverhältnisses (hier dessen Durchführung) erforderlich ist.

Zur Durchführung des Beschäftigungsverhältnisses ist es erforderlich, dass der Arbeitgeber seinen Pflichten aus dem Arbeitsverhältnis nachkommt. Dazu zählt auch die Pflicht zur Fürsorge für den Arbeitnehmer. Das heißt, er muss den Arbeitsplatz so gestalten, dass der Arbeitnehmer seine Arbeitsleistung erbringen kann und er die Tätigkeit des Arbeitnehmers – dort, wo machbar und wirtschaftlich vertretbar – auch erleichtern muss.

Insofern kann es schlussendlich auch erforderlich sein, dass bestimmte Informationen (z. B. Anmeldeinformationen, individuelle Einstellungen) verarbeitet werden.

Selbst wenn man annimmt, dass sich im konkreten Fall § 26 Abs. 1 Satz 1 BDSG nicht als Rechtsgrundlage eignet, muss das nicht bedeuten, dass es keine gesetzliche Rechtsgrundlage gibt, die eine Verarbeitung der Daten erlaubt. In Betracht kommt nämlich neben § 26 Abs. 1 Satz 1 BDSG auch Art. 6 Abs. 1 Buchst. f DSGVO. Danach kann die Verarbeitung erlaubt sein, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Dabei dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht das berechtigte Interesse des Unternehmens überwiegen.

Dass Ihr Unternehmen seiner Fürsorgepflicht nachkommen und Mitarbeitern durch individuelle Einstellungen an einer Maschine das Arbeiten erleichtern will, ist als berechtigtes Interesse anzuerkennen. Wird bei den zu verarbeitenden Daten darauf geachtet, dass die Grundprinzipien aus Art. 5 DSGVO eingehalten werden (z. B. Transparenz, Datenminimierung), kann schlussendlich die erforderliche Interessenabwägung zugunsten des berechtigten Unternehmensinteresses ausfallen.

Eine DSFA ist nach Art. 35 Abs. 1 DSGVO dann erforderlich, wenn etwa die Form der Verarbeitung, neue Technologien, die Art, der Umfang, die Umstände und der Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Daneben ist eine DSFA z. B. dann erforderlich, wenn es zur systematischen und umfassenden Bewertung persönlicher Aspekte kommt. Findet etwa keine Auswertung der Einstellungen oder der Anmeldeinformationen statt, dürfte wohl keine DSFA erforderlich sein.

© 2019 TeachToProtect