Einsatz von Wearables bei der Arbeit: Wie sicher sind die Daten von Beschäftigten?

Ob Smartwatches, Datenbrillen, Handschuhe mit Sensoren und Scannern oder Fitnesstracker für betriebliche Gesundheitsprogramme: Wearables gewinnen mit fortschreitender Digitalisierung immer mehr an Popularität und bieten Arbeitgebern eine hervorragende Möglichkeit, ihre betrieblichen Arbeitsprozesse zu optimieren und diesen technologischen Fortschritt in ihrem Betrieb effektiv einzusetzen. So können Wearables den betrieblichen Arbeitsprozess erheblich erleichtern und insbesondere Gesundheitsgefahren der Beschäftigten minimieren. Wie so oft, haben jedoch technologische Entwicklungen auch ihre Schattenseiten: Wearables generieren eine Menge an personenbezogenen Daten, weshalb an die Erhebung und Verarbeitung dieser Daten erhöhte Anforderungen zu stellen sind. Wie sicher sind eigentlich diese Daten wirklich und wie können Beschäftigte vor einer Leistungskontrolle des Arbeitgebers geschützt werden? Diese und weitere Fragen sollen nachfolgend näher beleuchtet werden:

1. Was sind Wearables?

Wearables sind mobile Kleincomputer, welche von Beschäftigten direkt am Körper bzw. am Kopf getragen werden. Sie fallen in der Regel kaum auf und erfassen mittels Sensoren Werte der Beschäftigten. Ein grundlegender Unterschied zwischen den herkömmlichen mobilen Computersystemen (wie z.B. Smartphones) und Wearables liegt beim Zweck: Bei Wearables ist nicht die Nutzung des Computersystems als solches die Haupttätigkeit, sondern vielmehr die Tätigkeit der jeweiligen Person, welche von dem am Körper getragenen Computersystem unterstützt wird.

2. Wo werden Wearables im Betrieb eingesetzt?

Der Einsatz von Wearables im Betrieb kann aus unterschiedlichen Gründen erfolgen: So können beispielsweise Beschäftigte zum Zwecke der betrieblichen Gesundheitsvorsorge mit Smartwatches oder Fitnessarmbändern ausgestattet werden, um auf diese Weise sowohl im beruflichen als auch im privaten Umfeld auf ihre Gesundheit zu achten. Vorteil für Arbeitgeber ist sicherlich, auf diese Weise Arbeitsausfälle durch Erkrankungen zu reduzieren und für eine stabile Arbeitsleistung ihrer Beschäftigten zu sorgen. Sehr beliebt ist auch der Einsatz von Wearables in der Logistik Branche.  Im Rahmen von sog. „Pick-by-Voice-Systemen“ erhalten die Beschäftigten ein Headset, auf welches sie die Lageranweisungen von der Software per Sprachausgabe erhalten. Auf diese Weise werden Handscanner und unzählige Papierlisten nicht mehr benötigt und Störungen im Arbeitsablauf vermieden. Darüber hinaus erweist sich auch der Einsatz von Wearables zu Ausbildungszwecken als äußerst nützlich und wird von Unternehmen vermehrt eingesetzt.

3. Welche datenschutzrechtlichen Bedenken gibt es hierbei?

Die Möglichkeit zum Sammeln und Auswerten von Daten scheint mit dem Einsatz von Wearables schier endlos zu sein: Von personenbezogenen Daten bis hin zu sensiblen Gesundheitsdaten ist theoretisch vieles technisch umsetzbar. Aus diesem Grund müssen die Daten der Beschäftigten vor Zugriffen Dritter geschützt werden. Insbesondere ist aber auch aus arbeitsrechtlicher Perspektive sicherzustellen, dass keine Leistungskontrolle der Beschäftigten erfolgt. Es besteht nämlich die Möglichkeit, dass bspw. Smartwatches seitens der Arbeitgeber dazu genutzt werden, Bewegungsprofile systematisch aufzuzeichnen und die Leistungen der Beschäftigten zu überwachen. Der Beschäftigtendatenschutz spielt in diesem Kontext somit eine entscheidende Rolle (vgl. auch hierzu unser Webseitenbeitrag zum Thema „Einsatz von Videoüberwachungsanlagen unter datenschutzrechtlichen Gesichtspunkten“).

4. Auf welche Rechtsgrundlage kann der Einsatz von Wearables gestützt werden?

a) § 26 Abs. 1 BDSG Vertragserfüllung im Beschäftigtendatenschutz
§ 26 Abs.1 BDSG sieht einerseits vor, dass die Verarbeitung von Beschäftigtendaten im Rahmen der Nutzung von Wearables erforderlich und im Übrigen verhältnismäßig sein müssen. Ob Wearables tatsächlich zur Durchführung des Beschäftigungsverhältnisses erforderlich sind, muss je nach Einzelfall beurteilt werden und kann sich unter Umständen als äußerst schwierig erweisen. Das VG Hannover hat jedenfalls im Februar 2023 entschieden, dass das Logistikzentrum Amazon in Winsen die Arbeitsgeschwindigkeit seiner Beschäftigten mithilfe von Handscannern überwachen darf (Az. 10 A 6199/20) und damit die Erforderlichkeit bejaht. Nach Auffassung des Gerichts überwiege nämlich das Interesse Amazons, die Abläufe im Logistikzentrum zu optimieren und die Leistung seiner Beschäftigten zu überwachen. Ob dieses Urteil in zweiter Instanz vor dem Oberverwaltungsgericht Lüneburg doch noch gekippt wird, bleibt abzuwarten. Fest steht jedenfalls, dass sich das Datenschutzrecht dem technologischen Fortschritt nicht gänzlich verschließt, aber gleichwohl klare Grenzen setzt. Die Unternehmen müssen jedenfalls vor dem Einsatz von Wearables dafür Sorge tragen, dass durch geeignete Vorkehrungen, wie z.B. durch die Regelung von Zugriffsrechten, die Umsetzung von technischen und organisatorischen Maßnahmen sowie die Achtung des Grundsatzes der Datenminimierung, die Rechte ihrer Beschäftigten hinreichend berücksichtigt werden.

b) Einwilligung
Sofern die Erforderlichkeit der Datenverarbeitung verneint wird, kommt als weitere Rechtsgrundlage eine datenschutzrechtliche Einwilligung nach § 26 Abs. 2 BDSG in Betracht. Eine solche Einwilligung ist jedoch nur wirksam, wenn sie freiwillig abgegeben wird. Problematisch hierbei in der Regel, dass aufgrund der wirtschaftlichen Abhängigkeit von Arbeitnehmern gegenüber ihren Arbeitgebern eine Freiwilligkeit oft nicht angenommen werden kann, weil Arbeitnehmer oftmals aus Sorge um ihren Arbeitsplatz der Maßnahme des Arbeitgebers zustimmen (vgl. hierzu DSK Kurzpapier Nummer 14)

Insofern sind Einwilligungen im Beschäftigungsverhältnis häufig mit Risiken und gewissen Unsicherheiten verbunden.

c) Betriebsvereinbarung
Zumindest ist für Unternehmen, welche einen Betriebsrat haben, sicherste Rechtsgrundlage die Betriebsvereinbarung gem. Art. Art. 88 Abs.1 DS-GVO i.V.m. § 26 Abs. 4 BDSG. § 87 Abs. 1 Nr.6 BetrVG verpflichtet nämlich diese Unternehmen, vor Einführung technischer Einrichtungen den Betriebsrat stets einzubinden. Die Betriebsvereinbarung muss in diesem Zusammenhang insbesondere die Einhaltung der Grundsätze aus Art. 5 Abs.1 DS-GVO sicherstellen. Grundlegende Bedeutung kommt hierbei insbesondere dem Grundsatz der Zweckbindung aus Art. 5 Abs.1 lit. b) DS-GVO zu, wonach die Zwecke, für die die Beschäftigtendaten erhoben, verarbeitet oder genutzt werden, eindeutig und detailliert beschrieben werden müssen. Die Beschäftigten müssen klar erkennen können, zu welchem Zweck ihre Daten verarbeitet werden (Transparenzgebot). Darüber hinaus sind auch Regelungen zur Datenminimierung festzuhalten und die hierfür erforderlichen Maßnahmen zu dokumentieren. Zudem ist auch der Grundsatz der Speicherbegrenzung zu beachten und klare Löschfristen zu vereinbaren. Nicht zuletzt sind auch Ausführungen zu den technischen und organisatorischen Maßnahmen aufzunehmen, um so sicherzustellen, dass die erhobenen Daten hinreichend geschützt werden.

5. Wie können Beschäftigte geschützt werden?

Um zu gewährleisten, dass einerseits die Interessen des Arbeitgebers hinreichend berücksichtigt werden und andererseits keine Leistungskontrollen der Beschäftigten stattfinden, müssen für den Einsatz von technischen Einrichtungen zumindest folgende Maßnahmen ergriffen werden:

• Die Beschäftigten müssen im Rahmen von Datenschutzhinweisen auf die Datenverarbeitung hingewiesen und informiert werden, um auf diese Weise das Transparenzgebot der DS-GVO einzuhalten.
• Ein weiterer wichtiger Punkt ist die Klärung der rechtlichen Frage, ob die Durchführung einer Datenschutz-Folgenabschätzung für den Einsatz von Wearables nach Art. 35 DS-GVO erforderlich ist. Dies wird in der Regel beim Einsatz von neuen bzw. innovativen Technologien angenommen, weshalb in diesen Fällen regelmäßig eine entsprechende Risikobewertung vorgenommen werden muss (vgl. hierzu auch unseren Webseitenbeitrag zum Thema „How to Datenschutz-Folgenabschätzung“). In diesem Zusammenhang müssen unter anderem auch Ausführungen zu einem möglichen Drittlandtransfer gemacht werden, wobei im Falle einer Übermittlung der Beschäftigtendaten in ein Drittland noch weitere Maßnahmen, wie z.B. der Entwurf eines Transfer Impact Assessments, ausgearbeitet werden müssen. Im Falle von Wearables ist ein solcher Drittlandtransfer auch nicht unüblich, da eine Vielzahl dieser Geräte von Cloud Anbietern betrieben werden.
• Last but not least ist auch an die Aufnahme dieses Datenverarbeitungsprozesses in das Verarbeitungsverzeichnis zu denken, wobei hierzu unter anderem auch Ausführungen zur Rechtsgrundlage, den Empfängerkategorien sowie zu den betroffenen Datenkategorien gemacht werden müssen.

6. Fazit

Insgesamt kann festgehalten werden, dass der Einsatz von Wearables sowohl Unternehmern als auch Beschäftigten zu Gute kommt. Aus Sicht von Unternehmern tragen Wearables erheblich dazu bei, den Betriebsablauf zu optimieren und Kosten zu sparen. Gleichwohl profitieren Beschäftigte insbesondere im Hinblick auf die Förderung Ihrer Gesundheit. Aus datenschutzrechtlicher Sicht hingegen erfordern Wearables eine erhöhte Aufmerksamkeit und dürfen von Unternehmen nicht unterschätzt werden. Vor dem Einsatz von Wearables sollten sich Arbeitgeber daher intensiv damit beschäftigen, wie sie die Daten ihrer Beschäftigten ausreichend schützen und welche zwingend erforderlichen datenschutzrechtlichen Dokumente sie hierfür bereitstellen.

Sofern Sie die Einführung von Wearables in Ihrem Unternehmen planen oder Hilfe bei bereits eingesetzten Wearables benötigen, kommen Sie auf uns zu. Wir unterstützen Sie gerne hierbei und stellen sicher, dass in Ihrem Unternehmen sämtliche datenschutzrechtlichen Anforderungen eingehalten und mögliche Datenschutzverstöße von vornherein vermieden werden.