Veröffentlichung von Mitarbeiterdaten auf der Unternehmenshomepage: Datenschutz und rechtliche Rahmenbedingungen
In der heutigen digitalen Welt ist die Unternehmenshomepage oft die erste Anlaufstelle für (Neu-)Kunden und Geschäftspartner. Eine gängige Praxis ist es, Mitarbeiterdaten auf der Webseite zu veröffentlichen, um Transparenz und Kundennähe zu fördern. Doch wie verhält es sich dabei mit dem Datenschutz? Was ist mit den Persönlichkeitsrechten der betroffenen Mitarbeiter? Welche rechtlichen Rahmenbedingungen müssen beachtet werden?
Rechtliche Grundlagen und Voraussetzungen
Die Veröffentlichung von Mitarbeiterdaten unterliegt strengen datenschutzrechtlichen Bestimmungen. Nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten, zu denen auch Mitarbeiterdaten (Name, Vorname, E‑Mail-Adresse, Telefonnummer usw.) gehören, besonders schützenswert.
Grundsätzlich ist die Verarbeitung dieser Daten nur zulässig, wenn z. B. eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat (vergl. Art. 5 Abs. 1 lit a DSGVO).
Berechtigte Interessen des Unternehmens
Eine Verarbeitung personenbezogener Daten kann aus der Sicht des Unternehmens gerechtfertigt sein, wenn sie zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO).
Dies könnte etwa der Fall sein, wenn die Veröffentlichung der Daten zur Verbesserung des Kundenservice und der Kommunikation dient. Ein anderes Beispiel ist, dass eine Künstleragentur die angestellten Künstler auf der Unternehmenshomepage bewirbt.
Das Bundesverwaltungsgericht (BVerwG) hat bereits 2008 entschieden, dass die Veröffentlichung von Basisinformationen wie Name, Zuständigkeitsbereich, Telefonnummer und E‑Mail-Adresse eines Mitarbeiters im öffentlichen Dienst zulässig sein kann, wenn dies zur Erfüllung dienstlicher Aufgaben erforderlich ist (BVerwG, B. v. 12. 3. 2008 – 2 B 131.07).
Nach den Regelungen der DSGVO entspricht dieses dem sog. berechtigten Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Wichtig ist hier, dass eine Abwägung der Interessen des Unternehmens mit den Interessen des Beschäftigten (z. B. aus dem Recht auf informationelle Selbstbestimmung, vergl. BVerfG, Urteil v. 15. Dezember 1983, Az. 1 BvR 209, 269, 362, 420, 440, 484/83 — Volkszählungsurteil) erfolgt und dokumentiert wird (vergl. Art. 5 Abs. 2 DSGVO).
Die Prüfung der Anwendbarkeit der Rechtsgrundlage erfolgt dabei grundsätzlich in den folgenden drei Schritten:
- Der für die Verarbeitung der personenbezogenen Daten Verantwortliche oder ein Dritter haben ein berechtigtes (also legitimes) Interesse an der Datenverarbeitung.
- Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich; d. h. es gibt keine andere Möglichkeit, den Zweck mit milderen Mitteln zu erreichen, welche die Grundrechte und Grundfreiheiten der betroffenen Person weniger belasten.
- Die Abwägung der wechselseitigen Interessen und der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, ergibt, dass die Interessen der betroffenen Person nicht überwiegen.
Liegen diese drei Voraussetzungen kumulativ vor, kann eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.
Datenminimierung und Einwilligung
Ein zentrales Prinzip der DSGVO ist die Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Das bedeutet, dass nur solche Daten veröffentlicht werden sollten, die für den jeweiligen Zweck erforderlich sind. Für Mitarbeiter mit Außenkontakt kann die Angabe von Name, Arbeitsgebiet und Kontaktdaten zulässig sein, um die Erreichbarkeit und Transparenz zu gewährleisten. Es kommt aber immer auf den konkreten Einzelfall an, sodass eine generalisierende Bewertung der Veröffentlichung von personenbezogenen Daten der Beschäftigten nicht wirklich möglich ist. Hier sollten sich die Unternehmen von einem juristisch versierten Datenschutzbeauftragten oder Anwalt für Datenschutzrecht unterstützen lassen. Eine falsche Bewertung der Sach- und Rechtslage kann zu Bußgeldern führen. So verhängte die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) am 28.07.2022 ein Bußgeld in Höhe 900.000 EUR gegen ein Kreditinstitut. Das Kreditinstitut war irrtümlich davon ausgegangen, dass ihre Verarbeitung aufgrund des berechtigten Interesses möglich sei.
Wenn darüber hinausgehende Daten wie Fotos oder detaillierte Profile veröffentlicht werden sollen, ist eine ausdrückliche Einwilligung des Mitarbeiters erforderlich. Diese Einwilligung sollte aus Beweisgründen schriftlich erfolgen und den Zweck sowie den Umfang der Datenverwendung klar definieren. Das Kunsturhebergesetz (KUG) schützt das Recht am eigenen Bild und fordert ebenfalls eine Einwilligung für die Veröffentlichung von Mitarbeiterfotos.
Praktische Umsetzung und Empfehlungen
Unternehmen sollten bei der Veröffentlichung von Mitarbeiterdaten stets eine Abwägung zwischen Transparenz und Datenschutz vornehmen. Nicht alles, was „schick“ ist oder vermeintlich den Unternehmenserfolg unterstützt, ist rechtlich möglich. Eine „Andere machen doch auch“ oder „Ach, da passiert schon nichts“ Einstellung kann sich schnell in eine Auseinandersetzung mit den betroffenen Personen oder einer Behörde entwickeln und eine finanzielle und kapazitive Belastung für das Unternehmen darstellen.
Folgende Empfehlungen können helfen, das Risiko zu reduzieren:
- Minimierung der veröffentlichten Daten: Veröffentlichen Sie nur Daten, die für den jeweiligen Zweck erforderlich sind. Definieren und dokumentieren Sie den Zweck genau.
- Einwilligungen einholen: Vor der Veröffentlichung von Fotos oder detaillierten Mitarbeiterprofilen sollten Sie immer eine schriftliche Einwilligung einholen. Also keine Widerspruchslösung („Wir machen das mal und wer nicht einverstanden ist, soll sich melden.“)
- Transparente Kommunikation: Mitarbeiter über die geplante Veröffentlichung und deren Zweck umfassend informieren. Informieren Sie auch darüber, dass die Daten weltweit gesehen werden können und ggf. auch von Dritten missbraucht werden können (z. B. sog. Doxing)
- Regelmäßige Überprüfung: Die veröffentlichten Daten sollten regelmäßig überprüft und gegebenenfalls aktualisiert oder entfernt werden. Diese Aufgabe sollte Ihre Datenschutzbeauftragter übernehmen und die Prüfung dokumentieren.
Zusammenfassung
Die Veröffentlichung von Mitarbeiterdaten auf der Unternehmenshomepage ist unter bestimmten Bedingungen zulässig, erfordert jedoch eine sorgfältige Abwägung und Beachtung datenschutzrechtlicher Vorgaben. Hier sollten sich Unternehmen von einem juristisch versierten Datenschutzbeauftragten oder einem spezialisierten Anwalt für Datenschutzrecht unterstützen lassen. Durch eine transparente Kommunikation und die Einholung von Einwilligungen können Unternehmen sicherstellen, dass sie sowohl den gesetzlichen Anforderungen gerecht werden als auch das Vertrauen ihrer Mitarbeiter und Kunden erhalten.
Vereinbaren Sie noch heute Ihren Beratungstermin!
Unsere Experten stehen Ihnen zur Verfügung, um alle Ihre Fragen zu beantworten. Nutzen Sie die Gelegenheit für eine persönliche Beratung.
Nur begrenzte Termine verfügbar – sichern Sie sich Ihren Platz!
Über 500 zufriedene Mandanten haben bereits einen Termin gebucht.