Wearables und damit auch das verantwortliche Unternehmen verarbeiten im Rahmen des Einsatzes jedoch personenbezogene Daten der Mitarbeitenden. Es können Vitalfunktionen erfasst werden, der Standort der Mitarbeitenden sowie auf Wunsch Bild und Ton aufgezeichnet werden. Zunächst sollen Wearables also zur Produktivitätssteigerung, Verbesserung der Arbeitssicherheit und des Arbeitskomforts beitragen. Doch eignen sie sich eben auch bestens zur Überwachung und Kontrolle der Mitarbeitenden.
Daraus ergibt sich eine erhebliche Relevanz für den Beschäftigtendatenschutz. Es besteht ein rechtliches Spannungsverhältnis zwischen dem Persönlichkeitsrecht der Beschäftigten und der (technischen) Notwendigkeit des betrieblichen Einsatzes. Zu beachten ist außerdem, dass das Unternehmen insbesondere beim Einsatz von Fitnesstrackern zur verantwortlichen Stelle für die Verarbeitung von Gesundheitsdaten wird. Gesundheitsdaten unterliegen als besondere Kategorie personenbezogener Daten einem besonderen Schutz.
Möchte das Unternehmen tatsächlich Daten seiner Mitarbeiter verwenden, muss eine rechtliche Grundlage dafür vorhanden sein. Im Regelfall wird die Erfassung insbesondere von Gesundheitsdaten nicht als erforderlich i. S. d. § 26 BDSG anzusehen sein. Daher scheidet die Norm als gesetzliche Rechtsgrundlage für die Verarbeitung aus.
Selbstverständlich sind auch Gestaltungen und Einsatzzwecke denkbar, die eine Ausnahme von dieser Regel bilden. So muss die Ausstattung der Mitarbeitenden mit Wearables geeignet und erforderlich zur Optimierung der Arbeitsabläufe sein und darf nicht zu dessen Lasten gehen. Zulässig sind nur Geräte, die im Hinblick auf das Persönlichkeitsrecht der Mitarbeitenden auch angemessen sind. Es muss also eine Interessenabwägung im Einzelfall vorgenommen werden. Wenn der Arbeitgeber Wearables per Direktionsrecht einführen will, müssen die Geräte speziell auf die Arbeitssituation angepasst sein und eine Arbeitsplatzrelevanz aufweisen. Geräte, die auf den Privatgebrauch ausgelegt sind, sind dies oftmals nicht. Besondere Vorsicht ist geboten, wenn die Geräte dauerhaft und regelmäßig Daten ermitteln und übertragen. Die Mitarbeitenden müssen stets die Kontrolle über den Einsatz behalten und die Erfassung abstellen oder zeitlich/räumlich beschränken können, ohne dass dies den Mitarbeitenden negativ angerechnet wird. Nur auf diesem Weg kann ein angemessenes Schutzniveau erreicht werden.
Rechtsgrundlage für eine zulässige Datenverarbeitung mittels Wearables im Beschäftigungsverhältnis kann auch eine Betriebsvereinbarung sein. Zu beachten ist allerdings, dass auch hier das Prinzip der Verhältnismäßigkeit unter Wahrung der bereits genannten Grundsätze gilt.
In der Regel wird jedoch die Einwilligung einschlägige Rechtsgrundlage für den Einsatz von Wearables im Unternehmen sein. Die Einwilligung setzt voraus, dass die Mitarbeitenden sie unter Zusicherung echter Freiwilligkeit erklärt haben. Sie müssen frei entscheiden können, ob und inwiefern ein Wearable genutzt werden soll.
Beispiele für den Einsatz
Der Einsatz von Wearables mit beispielsweise Standortfunktionen bedarf besonderer Voraussetzungen. Einerseits ist z. B. die Nutzung von Wearables mit derlei Funktionen zum Zwecke der Nothilfe grundsätzlich zulässig. Gleichzeitig bietet die Funktion dem Arbeitgeber aber auch die Möglichkeit, ein genaues Bewegungsprofil zu erstellen, was wiederum nicht zulässig ist. Eine Rundumüberwachung könnte aber beispielsweise durch Anpassung der Speicherintervalle und Speicherdauer erreicht werden.
Eine andere Möglichkeit wäre eine eingeschränkte Übermittlung der Daten vom Gerät an das Unternehmen zum Zwecke einer Provisionierung. Wenn Unternehmen fitnessbewusste Mitarbeitende belohnen möchten, könnte die Information, dass diese täglich eine bestimmte Schrittzahl erreichen, eine entsprechende Einwilligung vorausgesetzt, an den Arbeitgeber übermittelt werden. Das Unternehmen sollte allerdings nur die Information erhalten, dass die vereinbarte Schrittzahl erreicht wurde, statt der Information wie viele Schritte die Mitarbeitenden tatsächlich geschafft haben.
Nutzen Mitarbeitende ein privates Gerät im betrieblichen Zusammenhang (Bring your own Device = BYOD) müssen Arbeitgeber für eine technisch klare Trennung zwischen der Erfassung von privaten und dienstlichen Daten sorgen. Es gelten hier ansonsten dieselben datenschutzrechtlichen Vorgaben wie bei der Nutzung von vom Unternehmen zur Verfügung gestellten Geräten.
Die Auffassung der Aufsichtsbehörden
Bereits im Jahr 2016 führten sieben deutsche Datenschutzaufsichtsbehörden der Länder eine deutschlandweite Prüfaktion von Wearables durch. Geprüft wurden sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Des Weiteren wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis fiel eindeutig aus: kein Gerät erfüllte die datenschutzrechtlichen Anforderungen. Bemängelt wurden unter anderem:
- Mangelnde Transparenz bezüglich Zuständigkeiten und Datenverarbeitungen,
- Zusammenführung von Einzeldaten zu Profilen,
- Unzureichende Datenschutzerklärungen,
- Teilen von Daten mit anderen Personen, ohne vorherige Zustimmung der Nutzer
- Weitergabe von Fitness-Daten der Nutzer für eigene Forschungszwecke und Marketingzwecke an verbundene Unternehmen und Dritte
- Unzureichende Möglichkeiten und Angaben zur Datenlöschung
Die Situation mag sich insbesondere durch Einführung der DS-GVO mittlerweile verbessert haben. Das Ergebnis macht aber deutlich, dass Unternehmen die Geräte und Anbieter vor ihrem Einsatz einer intensiven Kontrolle im Hinblick auf den Datenschutz unterziehen sollten.