Kategorie: Beschäftigtendatenschutz
25. April 2023
Zurzeit planen das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) neue Reglementierungen für den Beschäftigtendatenschutz. Dies geht aus einer Liste mit Vorschlägen für einen Gesetzesentwurf des Beschäftigtendatenschutzes hervor, über die verschiedene Nachrichtenportale (hier oder hier nachzulesen) berichtet haben.
Besserer Schutz vor Überwachung
Mit dem geplanten Gesetzesvorhaben beabsichtigten das BMI und BMAS einen besseren Schutz von Beschäftigten vor Überwachungsmaßnahmen des Arbeitgebers. Ein Ziel sei u.a. verdeckte Überwachungsmaßnahmen besser zu reglementieren. Derzeit kann beispielsweise die verdeckte Videoüberwachung nur ausnahmsweise, unter strengen Voraussetzungen eingesetzt werden. Möchte ein Arbeitgeber die verdeckte Videoüberwachung beispielsweise zur Aufklärung von Straftaten einsetzen, darf kein Mittel zur Verfügung stehen, dass die Persönlichkeitsrechte der Beschäftigten weniger intensiv tangiert. Zur Regulierung der verdeckten Überwachungsmaßnahmen, sehen BMI und BMAS nun konkrete Maßnahmen vor. Dabei solle die Überwachung nur möglich sein, wenn der eindeutige Verdacht einer Straftat vorliege und andere Abhilfemaßnahmen bereits ausgeschöpft worden seien.
Außerdem beabsichtigen die Ministerien neue Regelungen für die offene Videoüberwachung. Demnach solle die gesetzliche Neuregelung die Privatsphäre von Beschäftigten besser schützen. Eine offene Überwachung am Arbeitsplatz müsse strengen Grenzen unterfallen. Beschäftigte benötigten Räume, in denen keine Kameraüberwachung erlaubt sei. Auch die Zeiten, zu denen eine Überwachung erfolge solle eingeschränkt werden. Derzeit ist vor allem die Kameraüberwachung bestimmter Räume als unzulässig anzusehen. Dazu zählen Umkleiden, sowie Pausenräume und Toiletten.
Darüber hinaus planten das BMI und BMAS die Konkretisierung des Einwilligungserfordernis im Beschäftigtenverhältnis. Derzeit kann die Kameraüberwachung auf Grundlage einer Einwilligung nach § 26 Abs. 2 S. 1 BDSG erfolgen. Der Gesetzentwurf solle die Anforderungen der Freiwilligkeit, die Voraussetzung einer wirksamen Einwilligung sei, konkretisieren.
Zusätzlich plane das BMI und BMAS eine Regelung zu Fragestellung, die im Rahmen eines Bewerbungsgespräch zulässig seien. Im Hinblick auf Fragen, die ein Bewerber beantworten muss, kann es grundsätzlich zur Verarbeitung personenbezogener Daten besonderer Kategorie iSd Art. 9 DSGVO kommen.
Fazit
Es bleibt abzuwarten, welche konkreten Vorschläge der geplante Gesetzentwurf enthalten wird. Zurzeit bleibt es denkbar, dass der Gesetzesentwurf zugleich die Bedenken, die der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 30.03.2023 (Az. C-23/21) aufbrachte, behandelt oder zumindest im Ansatz berührt (wir berichteten).
11. April 2023
Der Gerichtshof der Europäischen Union (EuGH) entschied (Rs. C-34/21) vor rund 2 Wochen, dass der § 23 Abs. 1 S. 1 HDSIG nicht die Anforderungen einer spezifischeren Vorschrift iSd Art. 88 DSGVO erfülle. Die Entscheidung über diese landesrechtliche Norm wirft für die Anwendung des gleichlautenden § 26 Abs. 1 S. 1 BDSG einige Fragen auf.
Hintergründe
Grundlage des Verfahrens vor dem EuGH war eine Klage des Hauptpersonalrates der Lehrerinnen und Lehrer beim Hessischen Kultusministerium beim Verwaltungsgericht Wiesbaden. Dabei war fraglich, ob im Rahmen des Unterrichtes per Videokonferenz eine Einwilligung der Lehrkräfte erforderlich sei. Zwecks Unterricht per Videokonferenz habe das Hessische Kultusministerium für die erfolgende Datenverarbeitung die Einwilligung aller betroffenen Schülerinnen und Schülern eingeholt. Für die betroffenen Lehrkräfte habe das Einwilligungserfordernis nicht gegolten. Stattdessen sei die Verarbeitung ihrer personenbezogenen Daten auf Grundlage des § 23 HDSIG erfolgt.
Was ist eine “Spezifischere Norm”?
Im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH stand nun in Frage, welche Voraussetzungen eine spezifischere Vorschrift iSd Art. 88 DSGVO erfüllen müsse.
Art. 88 DSGVO enthält eine sog. Öffnungsklausel. Die DSGVO erlaubt den Mitgliedstaaten der europäischen Union demnach eine nationale Vorschrift zu erlassen, die der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dient. § 23 HDSIG und § 26 BDSG sollen eine solche nationale, spezifische Regelung sein.
Aus Sicht des Gerichtshof sei bei der Umsetzung der Öffnungsklausel in nationales Recht Art. 88 Abs. 2 DSGVO zu beachten. Demnach setzte die DSGVO der nationalen Norm eine Grenze. Sie müsse geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Außerdem sei es erforderlich, dass der Regelungsgehalt der nationalen Norm auf „(…) den Schutz der Rechte und Freiheiten von Beschäftigten bei der Verarbeitung ihrer personenbezogene Daten im Beschäftigtenkontext abziele (…)“ (EuGH, Urteil vom 30.03.2023, C-23/21, Rn. 65).
Zusätzlich könne die spezifischere Norm nicht lediglich die Vorgaben der DSGVO wiederholen. Sie müsse eine Regelung aufstellen, die eine Konkretisierung im vorgesehenen Bereich darstelle.
Anwendbarkeit des § 23 HDSIG
Darüber hinaus war es fraglich, welcher Folge eintrete, wenn eine nationale Norm die Anforderungen der DSGVO nicht erfülle. Aus Sicht des Gerichtshof sei dies insbesondere im Hinblick auf § 23 HDSIG fraglich. Dieser setzte voraus, dass ein Verantwortlicher personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses verarbeite. Dies entspräche der Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO.
Demnach sei eine Norm, die die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht erfülle nicht anzuwenden. Alternativ könne die nationale Norm lediglich eine Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO darstellen. Ob dies der Fall ist, prüfte der EuGH nicht.
Fazit
Nach der Entscheidung des EuGH muss nun das VG Wiesbaden die Vorgaben des EuGH umsetzen. Für die Entscheidung ist § 26 Abs. 1 S. 1 BDSG grundsätzlich nicht relevant. Ob die Rechtsmäßigkeit dieser Norm künftig aber tangiert wird, bleibt abzuwarten.
24. März 2023
Das Arbeitsgericht Oldenburg hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter immateriellen Schadensersatz in Höhe von 10.000 Euro zu zahlen, weil es einem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO nicht nachgekommen sei (Urteil vom 09.02.2023, Az. 3 Ca 150/21). Der Fall zeigt, dass die Datenschutz-Grundverordnung (DSGVO) auch im Bereich der Arbeitsverhältnisse ein wichtiger Faktor ist.
Sachverhalt
In einem Arbeitsrechtsstreit forderte ein ehemaliger Geschäftsführer und Vertriebsleiter einer Firma für Feuerwerkskörper von seiner ehemaligen Arbeitgeberin Auskunft über seine personenbezogenen Daten. Die Arbeitgeberin verweigerte jedoch die Auskunftserteilung und legte erst im Prozess einzelne Unterlagen vor. Der Kläger machte neben dem Auskunftsersuchen auch einen Anspruch auf immateriellen Schadensersatz geltend.
Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO
Bis heute ist die Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO umstritten. Dabei stellt sich immer wieder die Frage, wie präzise die erteilten Auskünfte sein müssen.
Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Unternehmen oder einer Organisation Auskunft darüber zu erhalten, ob personenbezogene Daten von ihnen verarbeitet werden und wenn ja, welche Daten dies sind. Der Auskunftsanspruch gemäß Art. 15 DSGVO ist ein wichtiges Instrument, das es den Betroffenen ermöglicht, mehr Kontrolle über ihre personenbezogenen Daten zu erlangen und sicherzustellen, dass diese ordnungsgemäß verarbeitet werden. Die Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO ist weitreichend und umfasst sowohl die Daten, die von dem Unternehmen oder der Organisation verarbeitet werden, als auch eine Reihe von anderen Informationen. Insbesondere hat die betroffene Person das Recht, Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, sowie die voraussichtliche Dauer, für die die personenbezogenen Daten gespeichert werden, zu erhalten.
Darüber hinaus hat die betroffene Person das Recht, eine Kopie der personenbezogenen Daten, die verarbeitet werden, zu erhalten. Diese Kopie muss in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Wenn die betroffene Person dies wünscht, kann sie auch verlangen, dass die personenbezogenen Daten direkt an einen anderen Verantwortlichen übermittelt werden.
Es ist wichtig zu beachten, dass das Recht auf Auskunft nicht uneingeschränkt ist. In bestimmten Situationen kann es gerechtfertigt sein, den Auskunftsanspruch gemäß Art. 15 DSGVO einzuschränken oder auszusetzen. Beispielsweise kann dies der Fall sein, wenn die Verarbeitung personenbezogener Daten die öffentliche Sicherheit gefährdet oder das Recht auf Meinungsfreiheit und Informationsfreiheit anderer Personen beeinträchtigt.
Die Beklagte hat das Auskunftsersuchen des Klägers zurückgewiesen, da sie der Meinung war, dass der Anspruch nicht bestehe. Das Arbeitsgericht Oldenburg entschied jedoch, dass die Beklagte verpflichtet gewesen sei, das Auskunftsbegehren zu erfüllen. Der Kläger hätte das Recht auf Auskunft über sämtliche seiner bei der Beklagten verarbeiteten personenbezogenen Daten sowie zu den sich aus Artikel 15 Abs. 1 Hs. 2, Abs. 2 DSGVO ergebenden Informationen. Das Gericht ging jedoch nicht auf die Frage ein, ob der Verantwortliche auch Auskunft über Informationen erteilen müsse, die dem Betroffenen bereits bekannt sind.
Art. 82 Abs. 1 DSGVO mit präventivem Charakter
Artikel 82 DSGVO regelt das Recht auf Schadensersatz bei Verstößen gegen die DSGVO. Dieser Artikel stellt sicher, dass Betroffene bei Verletzung ihrer Datenschutzrechte einen Anspruch auf finanziellen Ausgleich haben.
Wenn ein Verantwortlicher oder ein Auftragsverarbeiter gegen die DSGVO verstößt, kann dies zu einem Schaden für den Betroffenen führen. In diesem Fall kann der Betroffene gemäß Artikel 82 DSGVO eine angemessene Entschädigung verlangen, die den erlittenen materiellen oder immateriellen Schaden ausgleicht. Dabei müssen die Umstände des Einzelfalls berücksichtigt werden, einschließlich der Art, Schwere und Dauer des Verstoßes sowie des Umfangs des erlittenen Schadens.
Das Arbeitsgericht stellte fest, dass die Beklagte gegen ihre Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO verstoßen habe, indem sie das Auskunftsbegehren des Klägers nicht innerhalb eines Monats erfüllte. Die Nichterfüllung der DSGVO-Verpflichtungen führe bereits zu einem auszugleichenden immateriellen Schaden, weshalb der Kläger nicht weiter spezifizieren müsse, welcher Schaden ihm entstanden sei. Der präventive Charakter des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO solle dazu beitragen, die Einhaltung der Datenschutzbestimmungen sicherzustellen.
„Das Bundesarbeitsgericht hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung vom 05.05.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Klägerin unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme (BAG, Urt. v. 05.05.2022 – 2 AZR 363/21 Rn. 23).“
So hielt das ArbG in diesem Fall einen Schadensersatz von 10.000 Euro für gerechtfertigt. Anders als das Bundesarbeitsgericht (BAG), das im dortigen Fall einen Schadensersatz von 1.000 Euro für ausreichend hielt, sah das ArbG hier aufgrund des höheren Auskunftsinteresses des Klägers und des langen Zeitraums der Nichterfüllung der Auskunftspflicht einen höheren Schadensersatz als gerechtfertigt an.
Fazit
Unternehmen sollten sicherstellen, dass sie über angemessene Mechanismen verfügen, um Anfragen von Mitarbeitern nach Art. 15 DSGVO zu erfüllen, und sicherstellen, dass sie innerhalb der gesetzlich vorgeschriebenen Frist antworten.
19. Dezember 2022
Die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) wird bald eingeführt, um Papier zu sparen sowie die Arbeit zu erleichtern. Dadurch müssen gesetzlich Versicherte ihrem Arbeitgeber grundsätzlich keine Bescheinigung mehr aushändigen, wenn sie arbeitsunfähig sind. Der Hinweis an den Arbeitgeber, dass er erkrankt ist, und die voraussichtliche Dauer genügt.
Wie funktioniert die elektronische Arbeitsunfähigkeitsbescheinigung?
Der Arzt erstellt die eAU in seinem Praxisverwaltungssystem (PVS), signiert sie mit einer Qualifizierten Elektronischen Signatur (QES) und verschickt sie Ende-zu-Ende-verschlüsselt mit dem KIM-Dienst (Kommunikation im Medizinwesen) an die Krankenkasse des erkrankten Arbeitnehmers. Ärtze sind bereits seit Oktober 2021 zum Versenden der eAU verpflichtet. Welche Systeme den eAU-Versand ermöglichen, lässt sich im TI-Score der für die Digitalisierung zuständigen Gematik GmbH sehen.
Sobald die eAU an die Krankenkasse verschickt wurde, gelangt sie zu einer zentralen Sammelstelle der gesetzlichen Krankenkassen. Somit sind jetzt die gesetzlichen Krankenkassen zum Nachweis verpflichtet. Der Arbeitgeber kann die Arbeitsunfähigkeitsbescheinigung über das Entgeltabrechnungsprogramm bei der Sammelstelle anfragen und sie abrufen, sobald sie dort bereitsteht: Eine Abfrage ist frühestens ab dem Folgetag der Arbeitsunfähigkeit sinnvoll. Bleibt der Arbeitgeber drei Tage lang ohne Krankschreibung von der Arbeit, empfiehlt die AOK eine Abfrage frühestens ab dem fünften Tag der Arbeitsunfähigkeit. Außerdem wird der Arbeitgeber informiert, sobald die AU bereitsteht.
Die Änderungen durch die eAU für gesetzlich Versichertete
Ab Januar 2023 müssen gesetzlich Versicherte ihren Arbeitgeber nur noch über ihre Erkrankung informieren, vgl. § 5 Abs. 1 Satz 2 des Entgeltfortzahlungsgesetzes. Nur wenn die Arbeitsunfähigkeit länger als drei Kalendertage dauert und es im Arbeitsvertrag nicht anders geregelt ist, kann der Arbeitgeber eine Anfrage bei einer dafür eingerichteten Stelle bei den gesetzlichen Krankenkassen stellen. Grundsätzlich müssen Arbeitnehmer demnach keine Arbeitsunfähigkeitsbescheinigung mehr an die Krankenkasse oder den Arbeitgeber senden.
Die Änderungen für Arbeitgeber
Arbeitgeber dürfen ab Januar 2023 von ihren gesetzlich Versicherten in der Regel keine Arbeitsunfähigkeitsbescheinigung mehr verlangen. Dazu muss der Arbeitgeber verschiedene Angaben übermitteln, etwa den Namen, das Geburtsdatum, die Versichertennummer und die Betriebsnummer des Beschäftigungsbetriebs. Ist die Versichertennummer des Arbeitnehmers nicht bekannt, muss diese mit dem Abrechnungsprogramm bei der Datenstelle der Rentenversicherung abgefragt werden. Wenn das nicht möglich ist, müssen zusätzlich Geburtsname und Geburtsort des Arbeitnehmers zur eindeutigen Identifikation angegeben werden.
Praxistipp bei technischen Störungen
Es ist nicht unwahrscheinlich, dass der Übergang zur eAU nicht ohne Probleme funktionieren wird. Das bedeutet also, dass die behandelnden Ärzte den Versicherten eine Arbeitsunfähigkeitsbescheinigung, die dem Arbeitgeber vorgelegt werden kann, wohl weiter in Papierform aushändigen.
Gerade zu Beginn des elektronischen Meldeverfahrens ist es laut einer Sprecherin des Bundesministeriums für Arbeit und Soziales (BMAS)„wichtig, dass Arbeitnehmerinnen und Arbeitnehmer einen Nachweis für ihre Arbeitsunfähigkeit erhalten, den sie bei Bedarf gegebenenfalls selbst ihrem Arbeitgeber vorlegen können, wenn dieser beispielsweise irrtümlich von unberechtigten Fehlzeiten ausgeht und arbeitsrechtliche Konsequenzen (Lohnkürzung, Abmahnung, Kündigung) erwägt“. Daher sei es laut BMAS wichtig, dass Ärztinnen und Ärzte den Versicherten übergangsweise eine Arbeitsunfähigkeitsbescheinigung für Arbeitgeber in Papierform aushändigen. Gesetzlich Versicherte sollten demnach auch darauf „achten und gegebenenfalls ausdrücklich darauf bestehen, dass ihnen diese Bescheinigung weiterhin ausgestellt wird“.
16. Dezember 2022
Die Abgeordneten des Deutschen Bundestages haben am Freitag, 16. Dezember 2022, einen „besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen.
Warum ist der Schutz von Hinweisgebern wichtig?
Im beruflichen Kontext ist der Schutz von Hinweisgebern ein wichtiges, gleichzeitig aber auch sensibles Thema, da er für den Erhalt integrer Arbeitsplätze und die Einhaltung ethischer Grundsätze in Unternehmen unerlässlich ist. Hinweisgeber tragen dazu bei, Missstände aufzudecken und zu korrigieren, indem sie Informationen über illegale oder unethische Praktiken melden.
Das Problem: Die Meldung solcher Vorgänge kann sehr riskant sein, da sie möglicherweise finanzielle Verluste oder negative Konsequenzen bei der Arbeit einbringen kann.
Aus diesem Grund müssen hinweisgebende Mitarbeiter vor Diskriminierung und Repressalien geschützt werden.
Eine weitere Herausforderung besteht darin, dass viele Mitarbeiter oft nicht wissen, wo sie solche Informationen melden können oder wie sie am besten vorgehen sollen. Daher ist es für Unternehmen wichtig, einen Mechanismus zur Meldung von Missständen zu schaffen und proaktiv über diese Mechanismen zu informieren.
Das neue Gesetz
In den letzten Jahren ist die Bedeutung des Schutzes von Hinweisgebern immer stärker in den Fokus der Öffentlichkeit gerückt. Dies ist vor allem auf die steigende Zahl von Whistleblowern zurückzuführen, die sich gegen Missstände in ihrem Unternehmen oder in ihrer Branche wenden.
Mit dem nun beschlossenen Gesetzesentwurf soll der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen ausgebaut werden. Nach eigenem Bekunden will die Bundesregierung mit dem Gesetz nun zum einen die Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU) 2019 / 1937, (EU) 2020 / 1503) und zum anderen die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) umsetzen. Deutschland – sowie einige weitere EU-Staaten – sind mit der Umsetzung allerdings sehr spät dran, denn die EU-Richtlinie hätte eigentlich bis zum 17. Dezember 2021 transferiert werden müssen. Gegen Deutschland läuft deswegen ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren.
Was ändert sich für Unternehmen und Beschäftigte?
Kernstück des Entwurfes ist ein neu zu schaffendes „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz, HinSchG). Dieses Gesetz soll dem Entwurf zufolge die wesentlichen Anforderungen und Verfahren an den Hinweisgeberschutz beinhalten. Danach müssen grundsätzliche alle Unternehmen, die mindestens 50 Mitarbeiterinnen und Mitarbeiter beschäftigen, eine interne Meldestelle einrichten; Unternehmen mit bis zu 249 Mitarbeitenden haben die Möglichkeit, Meldestellen gemeinsam aufbauen.
Neue Meldestellen
Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Bereiche sind darüber hinaus spezielle Meldestellen vorgesehen. Wie die Bundesregierung ausführt, ist der Anwendungsbereich entsprechend der Vorgaben der EU-Richtlinie weit gefasst und umfasst neben Arbeiternehmerinnen und Arbeitnehmer auch Beamtinnen und Beamte, Anteilseignerinnen und Anteilseigner, Mitarbeiterinnen und Mitarbeiter von Lieferanten und Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben.
Die hinweisgebende Person soll laut des Gesetzesentwurfs wählen können, ob sie sich an eine interne oder externe Meldestelle wende. Entscheidend ist, dass die Identität der hinweisgebenden Person in beiden Fällen grundsätzlich vertraulich zu behandeln ist. Meldungen sollen daher laut Entwurf auch anonym möglich sein. Laut Entwurfstext soll für interne Meldestellen allerdings keine Verpflichtung bestehen, „die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen“. Gleiches soll vorbehaltlich spezialgesetzlicher Regelungen auch für die externen Meldestellen gelten. In beiden Fällen sollte zudem gelten, dass die jeweilige Meldestelle „anonym eingehende Meldungen allerdings bearbeiten [sollte], soweit dadurch die vorrangige Bearbeitung nicht anonymer Meldungen nicht gefährdet wird“.
Schutz vor Repressalien
Für hinweisgebende Personen und bestimmte andere Personen gilt ein Schutz vor Repressalien beziehungsweise vor einer Drohungen damit.
Erfolgt nach einer Meldung durch einen Arbeitnehmer eine „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“, soll laut Entwurfstext vermutet werden, dass es sich um eine Repressalie handelt. Daher hat „In diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte“.
Bei einem Verstoß gegen das Verbot von Repressalien soll dem Hinweisgeber ein Schadensersatzanspruch gegen den Verursacher zustehen.
In der Praxis bleibt abzuwarten, in wie weit die gesetzlichen Regelungen tatsächlich zu einem reibungslosen Aufdecken von Missständen führen.
Fazit
Der Schutz von Hinweisgebern ist von entscheidender Bedeutung für die Einhaltung ethischer Grundsätze im beruflichen Umfeld sowie für den Erhalt integrer Arbeitsplätze und fair gehandhabte Geschäftsfelder. Daher ist es Aufgabe aller Beteiligten – insbesondere der Unternehmen – sicherzustellen, dass effektive Maßnahmen zum Schutz von Hinweisgebern getroffen werden.
14. Dezember 2022
Der aktuelle 11. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) befasst sich mit diesem interessanten Thema aus dem Beschäftigtenkontext:
Bei der Einstellung eines neuen Mitarbeiters gehört es zum Standard, dass dieser eine entsprechende Erklärung zum vertraulichen Umgang mit personenbezogenen Daten bzw. der Einhaltung der datenschutzrechtlichen Anforderungen unterzeichnet.
Einen Mustertext findet man im Kurzpapier Nr. 19 der Datenschutzkonferenz (DSK), das auch im oben genannten Tätigkeitsbericht beiliegt (S. 51).
Das BayLDA erörtert in seinem Tätigkeitsbericht, welche Folgen es hat, wenn ein Beschäftigter sich weigert, die Verpflichtung auf das Datengeheimnis zu unterzeichnen.
Dürfen Beschäftigte ihre Unterschrift verweigern?
Nach Ansicht des BayLDA sei eine Unterschriftsverweigerung irrelevant.
Weigert sich der Arbeitnehmer, die Erklärung zu unterzeichnen, dann reiche es aus, dass der Arbeitgeber den bestehenden Prozess nachweist, den Beschäftigten auf die Einhaltung der datenschutzrechtlichen Pflichten hinweist und auch die Weigerung einschließlich des Umstandes der Weigerung dokumentiert. Zwar sieht das Gesetz dabei kein Formerfordernis für die Verpflichtung vor, dennoch empfiehlt es sich wegen der nachzukommenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO eine unterzeichnete Erklärung des Beschäftigten (in schriftlicher oder elektronischer Form) bereitzuhalten.
Schließlich kann sich durch die Weigerung des Beschäftigten die Einhaltung der datenschutzrechtlichen Pflichten, die sich insbesondere aus der DSGVO ergeben, nicht einfach ausgehebelt werden. Die Stellungnahme des BayLDA dazu ist für Arbeitgeber sehr praxistauglich.
17. November 2022
Die Amtspflichtverletzung eines betrieblichen Datenschutzbeauftragten erlaube nach Systematik sowie Sinn und Zweck des § 6 Abs. 4 BDSG nicht die fristlose Kündigung. Dies entschied das Arbeitsgericht Heilbronn mit Urteil vom 29. September 2022 (Az. 8 Ca 135/22).
Hintergründe der Kündigung
Aus Sicht des Arbeitgebers sei die fristlose Kündigung erforderlich gewesen, da der angestellte Datenschutzbeauftragte verschiedenen Verpflichtungen nicht nachgekommen sei. Dieser habe die Aufgaben, die sich aus seiner Stellung als Datenschutzbeauftragten ergeben, nicht ausreichend erfüllt. Somit sei es zu mehreren Datenschutzmängeln im Unternehmen gekommen.
Unterscheidung zwischen Abberufung und Kündigung
Das ArbG stellte die Unwirksamkeit der fristlosen Kündigung fest. Insoweit könne die Missachtung seiner Pflichten, die sich aus der Funktion als Datenschutzbeauftragter ergeben, nicht der alleinige Kündigungsgrund sein.
Das Gericht betonte dabei, dass zu unterscheiden sei zwischen arbeitsrechtlichen Pflichtverletzungen und solchen, die das Amt des Datenschutzbeauftragten betreffen. Bei Verletzung der Amtspflichten seien die gesetzlichen Sanktionen anzuwenden. Eine Kündigung sei stattdessen nicht möglich.
Außerdem führte das Gericht an, dass § 6 Abs. 4 BDSG ausdrücklich zwischen der Abberufung und der Kündigung unterscheide. Die Abberufung des Datenschutzbeauftragten sei grundsätzlich möglich. Dafür müsse ein Grund vorliegen, der nach Maßgabe des §626 BGB zu bestimmen sei. Darüber hinaus müsse der Grund mit der Funktion als Datenschutzbeauftragten in Verbindung stehen. Hinsichtlich der Kündigung stelle das Gesetz den Datenschutzbeauftragten unter einen besonderen Schutz. Die Kündigung sei grundsätzlich nicht möglich. Ausnahme dieser Regel sei das Vorliegen eines Kündigungsgrunds, der zur fristlosen Kündigung berechtige.
Aus Sicht des Gerichtes sei die ausdrückliche Unterscheidung zwischen Abberufung und Kündigung für die Kündigung des Datenschutzbeauftragten zu beachten. Wegen dieser Unterscheidung sei die Kündigung wegen einer Amtspflichtverletzung nicht möglich.
Zusätzlich sei der Sinn und Zweck der Abberufung und Kündigung zu berücksichtigen. Um den Datenschutzbeauftragten die freie Funktionsausübung zu ermöglichen, sei die Abberufung nicht ohne Grund möglich. Der Kündigungsschutz des Datenschutzbeauftragten begründe sich hingegen aus möglichen Konflikten. Diese könnten aufgrund der arbeitsrechtlichen Verpflichtungen und der Ausführung der datenschutzrechtlichen Funktion entstehen.
7. Oktober 2022
Vor kurzem legte der Generalanwalt Manuel Campos Sánchez-Bordona seine Schlussanträge in der Rechtssache C-34/21 vor. Darin befasste er sich u.a. mit der Frage, ob § 23 des Hessischen Landesdatenschutzgesetzes (HDSIG) eine „spezifische Vorschrift“ im Sinne des Art. 88 DSGVO darstelle. Obwohl § 23 HDSIG eine landesrechtliche Vorschrift ist, könnten die Schlussanträge nationale Beachtung erlangen. Grund dafür ist, dass § 23 HDSIG gleichlautend mit § 26 BDSG ist.
Hintergrund
Die Vorlagefrage wurde dem EuGH vom VG Wiesbaden vorgelegt. In der Rechtssache stritten die beteiligten Parteien über die Durchführung von Online-Unterricht mittels eines Videokonferenzsystems. Konkret stand zur Debatte, ob Schulen die personenbezogenen Daten von Lehrkräften auf Grundlage einer Einwilligung verarbeiten können, oder ob als Rechtsgrundlage das berechtigte Interesse heranzuziehen sei.
Das vorlegende Gericht wollte wissen, ob § 23 HDSIG als „(…) eine „spezifischere Vorschrift“ hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten nach Art. 88 DSGVO anzusehen sei.“ (GA Sánchez-Bordona, Schlussanträge vom 22.09.22, Rs. C-34/21, Rn. 11)
Nach Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten hinsichtlich der Datenverarbeitung im Beschäftigtenkontext nationale Regelungen erlassen. Der Generalanwalt Sánchez-Bordona stellte fest, dass eine spezifischere Vorschrift nur vorliege, wenn die Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllt seien. Die Norm müsse „geeignete und besondere Maßnahmen zur Wahrung der Würde, der berechtigten Interessen und der Grundrechte der Beschäftigten enthalten.“
Argumente
Aus Sicht des Generalanwaltes Sánchez-Bordona sei § 23 HDSIG keine speziellere Regelung im Sinne des Art. 88 DSGVO. Diese Ansicht begründete der Generalanwalt mit der Systematik und dem Wortlaut der Normen. Nach § 23 HDSIG könne ein Verantwortlicher die personenbezogenen Daten von Beschäftigten verarbeiten, wenn dies für einen bestimmten Zweck erforderlich sei. Die nationale Norm lege als Zwecke konkret „(…) die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses (…) die Durchführung, Beendigung oder Abwicklung“ des Beschäftigtenverhältnisses fest.
Insoweit treffe § 23 HDSIG keine Bestimmung, die von Art. 6 Abs. lit. b DSGVO abweiche. Die Norm lege keine Regelung fest, die dem Schutz der Beschäftigtenrechte bei Verarbeitung ihrer personenbezogenen Daten diene. Dies sei aber für die Anforderung an eine „speziellere“, den Art. 88 DSGVO konkretisierende Norm erforderlich.
Fazit
Bei seiner Entscheidung ist der EuGH nicht an den Vortrag des Generalstaatsanwaltes gebunden. Es ist aber nicht ausgeschlossen, dass die Stellungnahme im Rahmen des Beschäftigtendatenschutzes künftig Beachtung findet.
31. August 2022
Das LAG Rheinland-Pfalz hat am 05.07.2022 (Az. Az. 6 Sa 54/22) entschieden, dass ein Arbeitgeber ein berechtigtes Interesse an der Weitergabe von Informationen über seine ehemalige Arbeitnehmerin an ihren neuen Arbeitgeber haben könne.
Der Sachverhalt
Hintergrund der Entscheidung waren verschiedene Äußerungen, die der ehemalige Arbeitgeber der Klägerin gegenüber deren neuen Arbeitgeber getätigt habe. Unter anderem behauptete der beklagte Arbeitgeber, dass die Klägerin verschiedene Pflichtverletzungen während der Anstellungen verübt habe.
Das Ziel des beklagten Arbeitgebers sei es gewesen, den neuen Arbeitgeber und dessen Kunden vor einem möglichen Schaden zu schützen. Gegen die getätigten Äußerungen wollte die Arbeitnehmerin einen Unterlassungsanspruch geltend machen.
Die Entscheidung
Das LAG stellte fest, dass ein Arbeitnehmer vor der Offenlegung von personenbezogenen Daten durch das allgemeine Persönlichkeitsrecht geschützt sei. Dieser Schutz erstrecke sich auch auf Daten, die der Arbeitgeber in zulässiger Weise erlangt habe. Grundsätzlich habe jedermann das Recht selbst darüber zu entscheiden, „(…) wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)
Außerdem, so das Gericht, müsse der Arbeitgeber vor Weitergabe der Informationen eine Abwägung zwischen seinem Interesse an der Weitergabe und dem allgemeinem Persönlichkeitsrecht des Arbeitnehmers vornehmen. Nach Beendigung des Arbeitsverhältnisses treffe den Arbeitgeber einerseits eine Fürsorgepflicht. Andererseits könne der Arbeitgeber aber ein Interesse daran haben, „(…) andere Arbeitgeber bei der Wahrung ihrer Belange zu unterstützen.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)
Das Fazit
In seiner Argumentation folgte das LAG einer älteren Entscheidung des BAG (BAG, Urteil vom 18.12.1984, Az. 3 AZR839/83). Dieses hatte bereits über das berechtigte Interesse des Arbeitgebers an einer Informationsweitergabe entschieden. Das LAG lies es offen, ob die zwischenzeitlich eingetretenen Entwicklungen auf dem Gebiet des Datenschutzrechtes möglicherweise das Auskunftsrecht des Arbeitgebers, dass nach Durchführung der Interessenabwägung bestehen könne, tangieren. Jedenfalls habe der ehemalige Arbeitgeber in diesem Fall kein Interesse an der Weitergabe der Informationen. Demnach bestehe der Unterlassungsanspruch der Klägerin.
14. Juli 2022
Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?
Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung
Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.
Die Anforderungen der DSGVO an Urlaubskalender
Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig. Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.
Urlaubskalender, zugänglich für alle?
Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.
