Kategorie: Beschäftigtendatenschutz

BfDI 2.0 – Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird oberste Bundesbehörde

7. Januar 2016

Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.

Beschäftigtendatenschutz: Rechtfertigung des Datenumgangs durch Einwilligungserklärungen

27. Oktober 2015

Lange Zeit wurde nahezu einhellig vertreten, dass Einwilligungserklärungen im Arbeitsverhältnis den Umgang mit Beschäftigtendaten nicht oder nur in speziellen Fällen legitimieren können. Hintergrund dieser Auslegung ist/war, dass § 4a Abs. 1 Bundesdatenschutzgesetz (BDSG) als Wirksamkeitsvoraussetzung einer Einwilligungserklärung vorgibt, dass diese auf der freien Entscheidung des Betroffenen beruht. Ob ein Beschäftigter im Rahmen seiner beruflichen Tätigkeit in der Tat frei entscheiden kann, wird/wurde wegen seines Abhängigkeitsverhältnisses oftmals zu Recht bezweifelt bzw. sogar auch grundsätzlich abgelehnt.

Insoweit stellt die Wertung des Bundesarbeitsgerichts (BAG), dass in einer Entscheidung zur Veröffentlichung von Videoaufnahmen eines Beschäftigten feststellte, dass auch im Arbeitsverhältnis eine freie Entscheidung der Beschäftigten im Hinblick auf die Ausübung des Rechts auf informationelle Selbstbestimmung möglich ist, eine Kehrtwendung dar. Der freien Entscheidung eines Beschäftigten stehen – so das Gericht – weder das einem Beschäftigtenverhältnis immanente Abhängigkeitsverhältnis noch ein bestehendes Weisungsrecht des Arbeitgebers entgegen.

Eine Einwilligungserklärung kommt somit als Legitimationsgrundlage im Beschäftigtenverhältnis grundsätzlich in Betracht. Erforderlich ist dafür jedoch (selbstverständlich), dass die übrigen Anforderungen aus dem BDSG einhalten werden. So muss der Beschäftigte genau wissen, welchen Umgang mit seinen personenbezogenen Daten er bestätigt. Die Einwilligung ist dementsprechend transparent und konkret zu gestalten. Ihm sollte darüber hinaus dargelegt werden, dass die Einwilligungserklärung stets mit Wirkung für die Zukunft widerrufen werden kann und die Nichtabgabe der Einwilligungserklärung sowie ein Widerruf keine negativen Auswirkungen auf das Beschäftigtenverhältnis haben. Auch gilt der Grundsatz der Schriftform, wenn nicht besondere Umstände ein Abweichen von der Schriftform rechtfertigen.

Bevor vorschnell der Weg über eine Einwilligungserklärung gewählt wird, sollte unternehmensseitig stets geprüft werden, ob nicht bereits eine (vorrangige) gesetzliche Rechtfertigung für den geplanten Umgang mit Beschäftigtendaten vorliegt. Dann wäre ein Rückgriff auf die Einholung von Einwilligungserklärungen nicht ratsam und in Einzelfällen sogar schädlich. Zudem sollte geprüft werden, ob es sich um einen mitbestimmungspflichtigen Sachverhalt handelt und eine Betriebsvereinbarung die Einholung von individuellen Einwilligungserklärungen ggf. ersetzen kann.

 

Mindestlohnkontrolle versus Datenschutz – Erfahrungen aus der Beratungspraxis

16. Juli 2015

Das im August 2014 in Kraft getretene Mindestlohngesetz (MiLoG) verpflichtet seit 1.1.2015 Arbeitgeber in Deutschland, einen flächendeckenden, branchenunabhängigen gesetzlichen Mindestlohn zu zahlen. Diese kontrovers diskutierte Neuerung hat sich auch in der täglichen Beratung zum Datenschutz bemerkbar gemacht. Durch § 13 MiLoG i.V.m. § 14 Arbeitnehmer-Entsendegesetz (AEntG) ergibt sich nun nämlich eine Pflicht des Auftraggebers, die Einhaltung des Mindestlohns auch bei seinen Dienstleistern und deren Subunternehmern zu überwachen und für deren Einhaltung letztlich auch im Rahmen der Generalunternehmerhaftung zu haften. In der Praxis geschieht dies z.T. dadurch, dass Auftraggeber ihre Auftragnehmer auffordern, ihre komplette Lohnbuchhaltung offenzulegen.

Diese Praxis dürfte über das Ziel von § 13 MiLog, § 14 AEntG hinausschießen und aus datenschutzrechtlicher Sicht jedenfalls zu beanstanden sein. Aus dem Gesetz ergibt sich nämlich weder die Pflicht des Auftragegbers in die Lohnbuchhaltung Einsicht zu nehmen noch die Pflicht des Auftraggebers, diese offen zu legen. Ein Auftragnehmer, der einer enstprechenden Aufforderung folgt, setzt sich hier dem Risiko eines Datenschutzverstoßes aus. Diese Problematik ist mittlerweile auch durch die Landesdatenschutzbeauftragten erkannt worden, welche auf ihrer 89. Jahrestagung in Wiesbaden bereits den Bundesgesetzgeber aufgefordert haben, die datenschutzrechtlichen Belange bei der Überwachung des Mindestlohnes stärker als bisher zu beachten. Auch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein warnt davor, Informationen zu Familienstand, Steuerklasse, Geburtsdatum, Privatanschrift von Beschäftigten oder gar deren Konfessionzugehörigkeit zu offenbaren (bei letzterer handelt es sich sogar um ein sog. besonderes personenbezogenes Datum i.S.v. § 3 Abs. 9 BDSG).

Unternehmen die sich derartigen Forderungen ihrer Auftraggeber ausgesetzt sehen, tun gut daran, nicht auf diese einzugehen. Das Gesetz fordert bei genauer Betrachtung derartige Offenbarungen auch nicht. Vielmehr dürfte ein Unternehmer seiner Überwachungspflicht in der Regel dadurch gerecht werden, dass er sich von seinem Auftragnehmer vertraglich unter Aufnahme einer Vertragsstrafenregelung zusichern lässt, dass der Mindestlohn gezahlt wird. Hinsichtlich etwaiger Subunternehmer ist laut einem Urteil des BAG auch eine Haftungsfreistellung möglich.

Sollten doch Teile der Lohnbuchhaltung offenbart werden, so sollten jedenfalls nur anonymisierte Daten herausgegeben werden, die nicht mehr einem einzelnen Arbeitnehmer zugeordnet werden können. Den Grundsätzen der Datensparsmkeit sowie der Zweckbindung folgend, sollten nur insoweit Daten offenbart werden, als dies zur Erfüllung des Zwecks (Überwachung der Einhaltung des MiLoG) unbedingt erforderlich ist. Unternehmer die an dieser Stelle zu freigiebig Daten herausgeben setzen sich ansonsten nicht nur Haftungsansprüchen ihrer Mitarbeiter aus, sondern auch möglichen Sanktionen von Aufsichtsbehörden. Darüber hinaus sollte auch das Risiko eines publikumswirksamen „Datenlecks“ zu Vorsicht im Umgang mit Beschäftigtendaten mahnen.

Klinikträger muss Privatanschrift eines Arztes nicht herausgeben

21. Mai 2015

In einem Urteil von Anfang diesen Jahres hat der BGH geurteilt (vgl. BGH vom 20.01.2015 VI ZR 137/14), dass ein Klinikträger die Privatanschrift eines bei ihm beschäftigten Arztes nicht herausgeben muss.

Grundlage dieser Entscheidung war, dass der Kläger, ein Patient im Krankenhaus des beklagten Klinikträgers, beabsichtigte, den Klinikträger sowie einen bei diesem angestellten Arzt auf Schadensersatz und Schmerzensgeld wegen eines Behandlungsfehlers zu verklagen.

Um die Klage dem Arzt zuzustellen, forderte der Kläger den Klinikträger auf, ihm die Privatanschrift des Arztes zu nennen. Dies verweigerte der Beklagte. Daraufhin verklagte der Kläger den Klinikträger auf Auskunft.

Nachdem die Klage den Instanzenzug durchlief, urteilte der BGH schließlich, dass ein solcher Auskunftsanspruch nicht besteht.

Die Anspruchsgrundlage für den Auskunftsanspruch des Patienten gegen den Klinikträger ergibt sich aus den Grundsätzen von Treu und Glauben, § 242 BGB. Danach ist derjenige zur Auskunft verpflichtet, der in zumutbarer Weise Auskünfte beschaffen kann und der Anspruchsteller diese Auskünfte zur Vorbereitung oder Durchführung seines Rechts nicht selber beschaffen kann.

Die Privatanschrift des Arztes ist hier jedoch nicht zur Vorbereitung oder Durchführung der Rechte des klagenden Patienten notwendig, so der BGH in seiner Urteilsbegründung.

Zunächst ist für eine wirksame Zustellung einer Klage nicht erforderlich, dass die Klageschrift dem Beklagten an dessen Privatanschrift zugestellt wird. Daneben stehen auch datenschutzrechtliche Grundsätze der Weitergabe der Privatadresse entgegen.

Gemäß § 32 BDSG durfte der Klinikträger als Arbeitgeber des Arztes dessen Privatanschrift – ein personenbezogenes Datum – zur Durchführung des Beschäftigungsverhältnisses erheben und nutzen. In diesem Umfang ist eine Datenverarbeitung der Privatanschrift zulässig. Die Weitergabe der Privatanschrift ist von dem Zweck der Durchführung des Beschäftigungsverhältnisses jedoch nicht mehr gedeckt. Die Auskunft an den klagenden Patienten würde mithin gegen den im Datenschutzrecht geltenden Zweckbindungsgrundsatz verstoßen. Dieser besagt, dass Daten nur für den vorweg festgelegten Zweck verarbeitet werden dürfen.

Da die Weitergabe zum Zwecke der Rechtsverfolgung nicht mehr in den Umfang der Durchführung des Beschäftigungsverhältnisses fällt, kann der Klinikträger auch nicht zur Weitergabe verpflichtet werden. Auch die Voraussetzungen einer nachträglichen Zweckänderung der Datenverarbeitung waren im vorliegenden Fall nicht gegeben.

In diesem Fall überwog das Interesse des Arztes an seiner Privatsphäre dem Auskunftsersuchen des Patienten. Dieser kann seine Klage dem Arzt allerdings auch wirksam an dessen Arbeitsplatz zustellen und nicht zwingend an dessen Privatanschrift.

BAG: Heimliche Video-Observation von Arbeitnehmern durch Detektiv

13. April 2015

Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 19.02.15 (Az.: 8 AZR 1007/13) entschieden, dass ein Arbeitgeber, der wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit einem Detektiv die Überwachung eines Arbeitnehmers überträgt, rechtswidrig handelt, wenn sein Verdacht nicht auf konkreten Tatsachen beruht. Für dabei heimlich hergestellte Abbildungen gelte dasselbe. Eine solche rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts könne einen Anspruch auf Schmerzensgeld begründen.

Die Klägerin war bei der Beklagten seit Mai 2011 als Sekretärin der Geschäftsleitung tätig. Ab dem 27. Dezember 2011 war sie arbeitsunfähig erkrankt, zunächst mit Bronchialerkrankungen. Für die Zeit bis 28. Februar 2012 legte sie nacheinander sechs Arbeitsunfähigkeitsbescheinigungen vor, zuerst vier eines Facharztes für Allgemeinmedizin, dann ab 31. Januar 2012 zwei einer Fachärztin für Orthopädie. Der Geschäftsführer der Beklagten bezweifelte den zuletzt telefonisch mitgeteilten Bandscheibenvorfall und beauftragte einen Detektiv mit der Observation der Klägerin. Diese erfolgte von Mitte bis Ende Februar 2012 an vier Tagen. Beobachtet wurden u.a. das Haus der Klägerin, sie und ihr Mann mit Hund vor dem Haus und der Besuch der Klägerin in einem Waschsalon. Dabei wurden auch Videoaufnahmen erstellt. Der dem Arbeitgeber übergebene Observationsbericht enthält elf Bilder, neun davon aus Videosequenzen. Die Klägerin hält die Beauftragung der Observation einschließlich der Videoaufnahmen für rechtswidrig und fordert ein Schmerzensgeld, dessen Höhe sie in das Ermessen des Gerichts gestellt hat. Sie hält 10.500 Euro für angemessen. Die Klägerin habe erhebliche psychische Beeinträchtigungen erlitten, die ärztlicher Behandlung bedürften. Das Landesarbeitsgericht hat der Klage in Höhe von 1.000,00 Euro stattgegeben.

Die Revisionen beider Parteien blieben vor dem Achten Senat des Bundesarbeitsgerichts ohne Erfolg. Die Observation einschließlich der heimlichen Aufnahmen war – so das Gericht – rechtswidrig. Der Arbeitgeber habe keinen berechtigten Anlass zur Überwachung gehabt. Der Beweiswert der Arbeitsunfähigkeitsbescheinigungen sei weder dadurch erschüttert worden, dass sie von unterschiedlichen Ärzten stammten, noch durch eine Änderung im Krankheitsbild oder weil ein Bandscheibenvorfall zunächst hausärztlich behandelt worden war. Die vom Landesarbeitsgericht angenommene Höhe des Schmerzensgeldes müsse revisionsrechtlich nicht korrigiert werden. Es sei nicht zu entscheiden gewesen, wie Videoaufnahmen zu beurteilen sind, wenn ein berechtigter Anlass zur Überwachung gegeben ist, so das Gericht.

Veröffentlichung des Tätigkeitsberichts des Bayerischen Landesamtes für Datenschutzaufsicht

26. März 2015

In dieser Woche hat das Bayerische Landesamt für Datenschutzaufsicht seinen Tätigkeitsbericht für die Jahre 2013 und 2014 veröffentlicht. Neben einem Überblick über die allgemeine Tätigkeit der 17 Personen umfassenden Behörde werden hier zahlreiche Einzelfälle zu Datenschutzthemen der letzten Jahre dargestellt. So schildert der Bericht unter anderem die Bemühungen der Behörde, zu prüfen, welche Daten Smart TVs über ihre Nutzer an Hersteller und Dritte melden. Zu diesem Thema, welches auch medial in den letzten Monaten Beachtung fand, führte die Behörde eigene Tests durch, deren Ergebnisse letzten Monat veröffentlicht wurden. In diesen konnte dargelegt werden, dass bereits beim Einschalten des Fernsehers Daten an verschiedene Server verschickt wurden und letztlich eine komplette Ausforschung des TV-Verhaltens möglich ist. Auch zu weiteren Themen wie Fahrzeugdaten, Videoüberwachung und Beschäftigtendatenschutz gibt die Behörde einen interessanten Einblick in ihre Tätigkeit. Insgesamt zeigt sich, dass Bürger immer öfter den Kontakt zu den Aufsichtsbehörden suchen und diese dann auch eigene Ermittlungen durchführen und in vielen Fällen auch Bußgelder verhängen. Die staatliche Aufsicht über die Einhaltung des Datenschutzes, dieser Eindruck entsteht, wurde in den letzten Jahren immer engmaschiger und effektiver.

BAG: Veröffentlichung von Videoaufnahmen eines Arbeitnehmers

5. März 2015

Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 19.02.2015 (Aktenzeichen 8 AZR 1011/13) festgestellt, dass Bildnisse von Arbeitnehmern ausschließlich mit deren schriftlicher Einwilligung veröffentlicht werden dürfen. Eine ohne Einschränkung erteilte Einwilligungserklärung ende allerdings nicht automatisch mit dem Auflösen des Arbeitsverhältnisses. Die Einwilligung könne jedoch zu einem späteren Zeitpunkt widerrufen werden, wenn dafür ein plausibler Grund vorgetragen wird.

In dem diesem Urteil zugrunde liegenden Sachverhalt hatte ein Arbeitgeber Filmaufnahmen ihrer Arbeitnehmer für Werbemaßnahmen verwendet. In diesem Zusammenhang hatte der Kläger schriftlich seine Einwilligung zu einer Mitwirkung in einem Werbefilm, in dem er zweimal erkennbar als Person abgebildet war, erklärt. Nach der Beendigung des Arbeitsverhältnisses hatte er den Widerruf seiner etwaigen Einwilligung erklärt und die Beklagte aufgefordert, die Filmaufnahmen binnen 10 Tagen aus dem Netz zu nehmen. Der Arbeitnehmer verlangte weiter Unterlassung und ein Schmerzensgeld.

Zu Unrecht, wie das BAG nun klarstellte. Denn der Kläger hatte für diese gegenläufige Ausübung seines Rechts auf informationelle Selbstbestimmung keinen plausiblen Grund angegeben. Er könne daher eine weitere Veröffentlichung nicht untersagen lassen und würde durch diese in seinem Persönlichkeitsrecht nicht verletzt werden.

LAG MV: Kein Mitbestimmungsrecht des Betriebsrats bei Installation einer Kamera-Attrappe

13. Februar 2015

Das Landesarbeitsgericht Mecklenburg-Vorpommern (LAG MV) hat beschlossen, dass das Anbringen der Attrappe einer Videokamera im Außenbereich eines Klinikgebäudes offensichtlich keinen Mitbestimmungstatbestand im Sinne des § 87 Betriebsverfassungsgesetz erfüllt (3. Kammer, Beschluss vom 12.11.2014, 3 TaBV 5/14).

Ein Mitbestimmungsrecht nach § 87 Absatz 1 Nr. 6 Betriebsverfassungsgesetz, was gegeben ist, wenn technische Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, eingeführt oder angewendet werden, scheide schon „auf den ersten Blick ersichtlich“ aus, da die streitgegenständliche Kamera-Attrappe objektiv nicht dazu geeignet sei, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Ein Mitbestimmungsrecht könne sich auch nicht gemäß § 87 Absatz 1 Nr. 1 Betriebsverfassungsgesetz herleiten. Gegenstand dieser Regelung sei das betriebliche Zusammenleben der Arbeitnehmer, welches der Arbeitgeber durch Verhaltensregeln sowie sonstige Maßnahmen und Anordnungen beeinflussen und koordinieren kann. Eine Kamera-Attrappe, die im Außenbereich angebracht ist, könne jedoch schon auf den ersten Blick keine Auswirkungen auf das innerbetriebliche Zusammenleben der Arbeitnehmer entfalten. Auch sei nicht erkennbar, welche konkreten (Mit-)Gestaltungsmöglichkeiten sich diesbezüglich ergeben sollen. In diesem Zusammenhang sei insbesondere zu bedenken, dass die Arbeitnehmer nach wie vor den betroffenen Eingang betreten und verlassen können, ohne neuen zusätzlichen Regelungen unterworfen zu sein. Durch die Attrappe werde gerade nicht kontrolliert, wann wer das Gebäude durch den betroffenen Zugang betritt oder verlässt.

Zwar werde in der Literatur vereinzelnd unter Hinweis auf den umfassenden Schutz der Persönlichkeitsrechte der Arbeitnehmer eine weitergehende Auslegung zum Anwendungsbereich des § 87 Abs. 1 Nr. 1 Betriebsverfassungsgesetz vertreten – jedoch sei auch nach dieser Ansicht die Feststellung einer objektiv tatsächlich vorgenommenen Kontrolle erforderlich. Auch diese Voraussetzungen seien – so das Gericht – vorliegend ersichtlich nicht gegeben, da eine im Außenbereich angebrachte Attrappe einer Videokamera nicht in der Lage ist, eine tatsächliche Kontrollwirkung auszuüben und mithin die Persönlichkeitsrechte der Arbeitnehmer objektiv nicht tangieren kann.

1 2 3 4