Einführung von Google Apps im Unternehmen und der Beschäftigtendatenschutz

Fragen & Antworten

Und wieder einmal ein Beitrag aus der Reihe Fragen & Antworten. Heute geht es um folgende Frage:

Ein kleines Unternehmen ohne Betriebsrat und damit Betriebsvereinbarungen entschließt sich seine Emails z.B. über Googlemail abzuwickeln, seinen Mitarbeitern also Emailaccounts bei Googlemail einzurichten. Die Nutzer, also Mitarbeiter der Firma, werden dann sehr viele personenbezogene Daten über Googlemail abwickeln. Muss das kleine Unternehmen und/oder Googlemail dafür eine Einwilligungserklärung der Nutzer, also Mitarbeiter des Unternehmens, einholen?

Meiner bescheidenen Meinung nach – dies wird durchaus unterschiedlich gesehen – lautet die Antwort wie folgt:

Wenn es keinen Betriebsrat, gibt es per se erst einmal keine Mitbestimmungsrechte der Mitarbeiter. Dass ein externer Dienstleister wie z.B. Google zum Einsatz kommt, kann der Arbeitgeber hier im Rahmen seines Direktionsrechts über Betriebsmittel für sich entscheiden. Wenn die Wahl dann eben auf Google fällt, ist das erst einmal so. Aber: Natürlich müssen beim Einsatz eines Dienstleisters für das Senden, Empfangen und Archivieren von E-Mail (hier: Gmail) die datenschutzrechtlichen Vorschriften eingehalten werden.

Beim Gmail besteht für ein deutsches Unternehmen konkret die Herausforderung, dass die Verarbeitung der Daten derzeit (Stand: 16.11.2016) ganz oder zu größten Teilen in den USA erfolgt. Bei einer Verarbeitung von Daten außerhalb der Europäischen Union muss das Unternehmen dann Sorge dafür tragen, dass für die Verarbeitung der Daten in einem Drittstaat wie den USA ein angemessenes Datenschutzniveau eingehalten wird.

Genau genommen soll nach ganz herrschender Meinung eine „Zwei-Stufen-Prüfung“ durchgeführt werden (vgl. dazu Düsseldorfer Kreis, „Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen“). Auf der ersten Stufe ist dabei zu prüfen, ob es eine Einwilligung oder Rechtsvorschrift für die Übermittlung der Daten gibt. Im Hinblick auf den Einsatz eines E-Mail-Services wird diese Stufe kein Problem darstellen, da § 28 Abs. 1 Nr. 1 BDSG oder notfalls § 28 Abs. 1 Nr. 2 BDSG hier eine Rechtsgrundlage darstellt. Wir brauchen hier also m.E. nicht zwingend eine Einwilligung der Mitarbeiterinnen und Mitarbeiter.

Auf der zweiten Stufe muss dann das Vorliegen des „angemessenen Datenschutzniveaus“ in dem jeweiligen Drittstaat geprüft werden. Eine Bejahung kann im Falle der USA und Google derzeit auf verschiedene Arten erfolgen. Alle sind mit Blick in die Zukunft etwas „wackelig“ – dazu aber gleich mehr.

Im Falle von Google gab es in der „Vergangenheit“ (und gibt es aktuell immer noch) die Möglichkeit, mit Google sog. EU-Standardvertragsklauseln abzuschließen. Bei einer Verwendung der EU-Standardvertragsklauseln kann ein angemessenes Datenschutzniveau angenommen werden, so dass insoweit ein Einsatz von Gmail datenschutzrechtlich zulässig sein kann. Warum nur „kann“ – da kommen wir zum vorhin angesprochenen „Wackeligen“. Denn ob die EU-Standardvertragsklauseln wirklich für ein angemessenes Datenschutzniveau sorgen oder ggf. genauso unwirksam wie der ehemalige „Safe Harbor“ wird wohl demnächst der EuGH klären. Es spricht einiges dafür, dass die EU-Standardvertragsklauseln langfristig keine gute Wahl sind. Derzeit sind sie aber noch wirksam und können nach wie vor verwendet werden.

Zweite und wohl aktuell „datenschutzrechtlich“ bessere Wahl, um ein angemessenes Datenschutzniveau annehmen zu können, ist „Privacy Shield“. Das ist – kurz gefasst – der Nachfolger von Safe Harbor und basiert auch auf einer Art von Selbstzertifizierung von Unternehmen in den USA, die sich als Voraussetzung bestimmten Pflichten im Umfang mit Daten aus der EU unterwerfen.

Im Falle von Gmail ist entscheidend, dass der Betreiber von Gmail, die Google Inc., Teilnehmer von „Privacy Shield“ ist (Listeneintrag hier). Im Übrigen auch für Beschäftigtendaten (HR Data). Damit kann auf der zweiten Stufe derzeit auch ein angemessenes Datenschutzniveau angenommen werden.

Auch „Privacy Shield“ ist allerdings alles andere als „safe“. Denn auch hier gibt es gewichtige Bedenken gegen die Annahme, dass damit ein angemessenes Datenschutzniveau gewährleistet wird. Das wird auch durch die politischen Änderungen in den USA durch die Wahl von Donald Trump zum nächsten Präsidenten der USA nicht einfacher. Entsprechend wird derzeit auch schon versucht, gerichtlich gegen „Privacy Shield“ vorzugehen. „Privacy Shield“ ist also auch „shaky“ im Sinne von „wackelig“. Aber der Vorteil beim Privacy Shield ist, dass die EU die Vorgaben regelmäßig evaluieren und ggf. mit den USA adaptieren will. Letztlich wird also die Praxis zeigen, wie „datenschutzfreundlich“ die Privacy-Shield-Variante wirklich ist. In rein datenschutzrechtlicher Hinsicht liegen aber derzeit die Voraussetzungen für ein angemessenes Datenschutzniveau vor. Denn noch ist „Privacy Shield“ noch nicht vom EuGH für unwirksam erklärt worden. Und das ist letztlich das entscheidende Kriterium.

Im Hinblick auf die Ausgangsfrage lautet meine Antwort aber wie folgt:

  • Der Einsatz von Gmail in dem Unternehmen ohne Betriebsrat ist auch ohne Einwilligung der Beschäftigten grundsätzlich zulässig.
  • Aber Achtung: Wenn und soweit per E-Mail auch „besondere Arten personenbezogener Daten“ (i.S.d. § 3 Abs. 9 BDSG), z.B. Gesundheitsdaten von Beschäftigten des Unternehmens über Gmail versendet oder gespeichert werden, kann wegen § 28 Abs. 6 BDSG i.V.m. § 4a Abs. 3 BDSG ein Einwilligung erforderlich sein.

Der Teufel steckt also etwas im Detail.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.