Kategorien
Neueste Beiträge
Datenschutz und Projektzeiterfassung
Für Beratungsunternehmen, Kanzleien etc. ist es wichtig, aufzuzeichnen, für welchen Kunden, welche Arbeitszeiten des Unternehmens in Anspruch nehmen. Dabei werden dann nicht selten die Daten der Beschäftigten, also personenbezogene Daten, verarbeitet. Wie verhält es sich also hierbei mit dem Datenschutz? Was ist zu beachten?
Arten der Projektzeiterfassung
Es gibt verschiedene Wege, die Zeit, die ein Beschäftigter für die Arbeit an einem speziellen Projekt aufbringt, zu messen. Dabei reicht es von manuellen Eintragungen in beispielsweise einer Tabelle bis zu automatischen Erfassung aufgrund von Software-Verknüpfungen. Die beginnen dann beispielsweise sofort mit der Zeitaufzeichnung, sobald ein Beschäftigter in einem CRM-System eine den jeweiligen Vorgang betreffende Nachricht öffnet.
Rechtsgrundlage
Wie bei jeder anderen Verarbeitung personenbezogener Daten gilt auch hier, dass eine Rechtsgrundlage vorliegen muss. Je nach Art der eingesetzten Art der Projektarbeitsaufzeichnung muss ein Arbeitgeber als Verantwortlicher hierbei selbst abwägen, zu welchem Zweck die Daten verarbeitet werden. Dies kann einen Hinweis auf die Rechtsgrundlage liefern. Folgende Fragen kann sein ein Verantwortlicher demnach stellen:
1) Gibt der Kunde (Auftragnehmer) vor, inwiefern, mithilfe welcher Mittel und wie detailliert die Arbeitsaufzeichnung stattfinden soll (siehe Art. 6 Abs. 1 lit. b) DSGVO)?
2) Inwiefern ist dieser Verarbeitungsvorgang mit der Erfüllung der Aufgaben des Beschäftigten vereinbar (§ 26 Abs. 1 BDSG)?
3) Kann diese Art der Verarbeitung eventuell auch auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f) DSGVO) des Arbeitgebers gestützt werden?
Grenzwertigkeit zur Überwachung
Es gilt also genau abzuwägen, inwiefern welches Ausmaß an Erfassung der an einem Projekt gearbeiteten Zeit angemessen ist. Wenn ein Beschäftigter beispielsweise ausschließlich projektbezogen arbeitet, kann ein Arbeitgeber die Projektaktivitäten eines Beschäftigten minütlich nachverfolgen. In so manch einem Unternehmen wird diese Art des Arbeitsnachweises dann allerdings auch auf interne, wenn nicht sogar auch auf administrative Aufgaben ausgeweitet. Ganz gleich, ob dies versteckt passiert oder die Beschäftigten dies offensichtlich mitbekommen, entsteht hierbei ein Überwachungsdruck.
Verarbeitete personenbezogene Daten
Projektzeiterfassung unterscheidet sich von der Arbeitszeiterfassung. Während die Arbeitszeiterfassung sich auf die gesamte Arbeitszeit bezieht, konzentriert sich die Projektzeit auf einen Abschnitt der Gesamtzeit. Dementsprechend und je nach Art des eingesetzten Systems der Projektzeiterfassung kann auch der Umfang der erfassten personenbezogenen Daten unterschiedlich sein. Eine Gemeinsamkeit haben sie dahingehend aber alle: die Dauer der Zeit, an der ein Beschäftigter an einem Projekt gearbeitet hat.
Software as a Service (SaaS)
Hierbei kann es mitunter zur Verarbeitung der „üblichen“ personenbezogenen Daten kommen. Das sind beispielsweise Nutzerprofildaten, also die, die für die eigentliche Nutzung der Software als wirklich notwendig angesehen werden. Hinzukommen die Metadaten. Diese verarbeitet zumeist mindestens der Dienstleister. Nicht selten verarbeiten SaaS-Anbieter aber auch weitaus mehr als die eigentlich notwendigen Daten.
Auftragsverarbeitung, Drittlandsübermittlung
Je nach Art der Projektzeiterfassung ist zu beachten, ob ein Dienstleister zum Einsatz kommt. Demnach wäre dann ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. Weiterführend sollte ein Verantwortlicher prüfen, ob personenbezogene Daten in ein Drittland übermittelt werden. Zusätzlich stellt sich die Frage, ob es sich bei diesem Drittland um ein unsicheres handelt. Wenn ja, ist es dennoch wichtig, den Datenschutz und die -sicherheit gewährleisten zu können. Falls dies nicht möglich ist, sollte ein Verantwortlicher vom Einsatz eines bestimmten Dienstes absehen. Sofern sowohl der Datenschutz als auch die -sicherheit sichergestellt sind, sind bei der unsicheren Drittlandsübermittlung die Standarddatenschutzklauseln (Link zur aktuellsten Version) abzuschließen und ein Transfer Impact Assessment durchzuführen. – Speziell mit der Thematik der Datenübermittlung in ein Drittland befasst sich dieser Beitrag. –
Verzeichnis von Verarbeitungstätigkeiten, Datenschutzhinweis. Datenschutz-Folgenabschätzung
Natürlich ist es auch wichtig, dieser Datenverarbeitung im Verzeichnis von Verarbeitungstätigkeiten festzuhalten. So kann ein Verantwortlicher auch erkennen, welche Personengruppen er bei dieser Verarbeitung erfasst und folglich darüber informieren muss (siehe Art. 13 Abs. 1, 2 DSGVO, Datenschutzhinweis). Je nach Ausmaß der Aktivitäten durch die Projektaufzeichnung empfehlen wir, ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Gemäß der Muss-Liste der Datenschutzkonferenz kann es sich demnach um eine „umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden“, handeln. Im Zuge der Durchführung einer Datenschutz-Folgenabschätzung kann ein Verantwortlicher dann auch einschätzen, inwiefern ein bestimmter Umfang der Aufzeichnung von Projektaktivitäten überhaupt vertretbar ist.
Fazit
Auch bei der Projektzeiterfassung ist es wichtig, den Datenschutz im Auge zu behalten und nur die Daten zu verarbeiten, die ein Verantwortlicher wirklich unbedingt benötigt (siehe Art. 5 Abs. 1 lit. c) DSGVO). So lässt es sich dann auch vermeiden, dass es auch hier in eine Überwachung der Beschäftigten übergeht. – Mehr zu diesem Thema hier. – Beachtet ein Verantwortlicher die Vorgaben der DSGVO in diesem Zusammenhang nicht, drohen u. a. Bußgelder, Schadensersatzansprüche und Abmahnungen.
Wir unterstützen und beraten Sie gern zur datenschutzkonformen Umsetzung solch einer Verarbeitungstätigkeit. Kontaktieren Sie uns für ein unverbindliches Angebot.