Es gibt Auszeichnungen, über die man sich freut und dann gibt es Auszeichnungen, die eigentlich gar keine sind und die man im Zweifelsfall besser auch gar nicht erst haben möchte.

Was in Hollywood der Golden Raspberry Award (goldene Himbeere) als Negativauszeichnung für Schauspieler ist, ist in Deutschland auf dem Gebiet des Datenschutzes, in Anlehnung an George Orwells Roman, der Big Brother Award.

Glückwunsch!

So oder so ähnlich muss es auch der Firma Bofrost am Ende der letzten Woche ergangenen sein, welche nicht nur Himbeeren im Produktsortiment, sondern jetzt auch den beliebten Datenschutzpreis verliehen bekommen hat. Da sagen wir doch glatt: Glückwunsch!

Doch kam diese Auszeichnung auch nicht von ungefähr, denn augenscheinlich hatte sich die Firma Bofrost auch ganz gehörig angestrengt. Ob dies allerdings mit der begehrten Preisverleihung zusammenhing, ist unklar. Grund hierfür war, dass der Arbeitgeber versuchte, Dateien des Betriebsrats, die er bereits eingesehen hatte, auszuwerten und zu verwerten.

Auf der Suche nach Verfehlungen

Hintergrund dieses Versuchs war der Vorwurf des Arbeitgebers, dass ein Betriebsratsmitglied diese Datei erstellt, verfasst und damit einen Arbeitszeitbetrug begangen habe, da er sich als nicht freigestelltes Betriebsratsmitglied für die fragliche Zeit nicht ausgestempelt habe. Letztlich versuchte der Arbeitgeber sein Ansinnen vor dem Arbeitsgericht durchzusetzen und bekam eine eindeutige Absage erteilt (ArbG Wesel, Beschluss vom 19.09.2011, Az.: 5 BV 14/11).

Das Spannende daran: Unklar war, wie der Arbeitgeber überhaupt an die Daten gelangt war. Die Stimmung zwischen den Betriebsparteien war im Hause Bofrost also vermutlich ungefähr so frostig wie das eigene Produktsortiment.

Nicht überraschend daher der Versuch des Arbeitgebers, sein Ansinnen in der nächsten Instanz zu verwirklichen. Aber auch der Betriebsrat versuchte nun herauszufinden, wie der Arbeitgeber überhaupt an seine Daten gelangt war und beantragte Einsicht in Protokolldateien für Zugriffe auf das Betriebsratslaufwerk. Beide Begehren wurden jedoch vom Landesarbeitsgericht abgelehnt (Landesarbeitsgericht Düsseldorf, Beschlüsse vom 07.03.2012 Az.: 4 TaBV 87/11 und 11/12).

Der Antrag des Betriebsrats wurde mit der Begründung abgelehnt, dass dem Betriebsrat seinerseits das Rechtsschutzinteresse fehle, um vom Arbeitgeber die Protokolldateien zu verlangen. Der Betriebsrat wisse vielmehr, dass es bei seinem Laufwerk eine „undichte Stelle“ gebe. Es obliege daher dem Betriebsrat, in eigener Verantwortung eine solche zu schließen.

Die Verschlüsselung der entsprechenden Betriebsratslaufwerke wäre daher eine Möglichkeit zum Eigenschutz gewesen.

Auskunft, Auskunft, Auskunft!

Diese Argumentation dürfte im Hinblick auf den Betriebsrat zumindest nicht ganz falsch sein, ist es doch Aufgabe des Betriebsrats,  das allgemeine Persönlichkeitsrecht zu schützen (§ 75 Abs. 2 BetrVG) und darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze (also auch das Datenschutzrecht) beachtet werden (§ 80 Abs. 1 Nr. 1 BetrVG). Da auch Betriebsräte Teil der Belegschaft sind, gilt dies natürlich auch zu eigenen Gunsten.

Anders dürfte die Rechtslage allerdings aussehen, wenn der Betriebsrat ein Auskunftsverlangen nicht kollektiv in seiner Eigenschaft als Betriebsrat, sondern als individuell Betroffener i.S.d. BDSG geltend gemacht hätte. Denn gem. § 34 BDSG hat die verantwortliche Stelle

… dem Betroffenen auf Verlangen Auskunft zu erteilen über

1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.

Eine Falschauskunft kann mit einem Bußgeld von bis zu 50.000,- EUR geahndet werden (§ 43 Abs. 1 Nr. 8a i.V.m Abs. 3 BDSG).

Ohne Betriebsvereinbarung geht (fast) nix

Der Einsatz technischer Überwachungsmaßnahmen bedarf zudem ohnehin zwingend einer Zustimmung des Betriebsrats (§ 87 Abs. 1 Nr. 6 BetrVG). Nach der vom Bundesarbeitsgericht aufgestellten Theorie der Wirksamkeitsvoraussetzung ist die tatsächlich durchgeführte Mitbestimmung  Wirksamkeitsvoraussetzung für Maßnahmen zum Nachteil des Arbeitnehmers (siehe z.B. BAG, Urteil vom 17.5.2011, Az.: 9 AZR 201/10).

Maßnahmen zum Nachteil der Arbeitnehmer sind danach solche, die bereits bestehende Rechtspositionen der Arbeitnehmer (hierzu gehört auch das Recht auf informationelle Selbstbestimmung) beeinträchtigen. Das bedeutet, dass entsprechende Eingriffe ohne Vorliegen einer zwingenden schriftlichen Betriebsvereinbarung letztlich auch datenschutzrechtlich unzulässig sind und auch nicht durch individuelle Gestaltungen (z.B. Einwilligungen) zu Lasten von Arbeitnehmern umgangen werden können.

Arbeitnehmerdatenschutz

Zudem ist zu bedenken, dass § 32 Abs. 1 Satz 2 BDSG die Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten zu Strafverfolgungszwecken ohnehin nur unter bestimmten Voraussetzungen zulässt.

Liegen diese Voraussetzungen nicht vor und werden trotzdem entsprechende Daten verwendet, so begeht der Arbeitgeber eine Ordnungswidrigkeit, welche mit einem Bußgeld von bis zu 300.000,- EUR geahndet werden kann (§ 43 Abs. 2 Nr. 2 i.V.m Abs. 3 BDSG).

Ohnehin sind Mitglieder des Betriebsrats von ihrer beruflichen Tätigkeit ohne Minderung des Arbeitsentgelts zu befreien, wenn und soweit es nach Umfang und Art des Betriebs zur ordnungsgemäßen Durchführung ihrer Aufgaben erforderlich ist (§ 37 Abs. 2 BetrVG).

Auch wenn er sich also zur Wahrnehmung seiner Betriebsratstätigkeit ausgestempelt hätte, so hätte der Arbeitgeber den Betriebsrat daher bezahlen müssen. Insoweit hätte der Betriebsrat lediglich Ort und voraussichtliche Dauer der beabsichtigten Betriebsratstätigkeit darlegen müssen (BAG, Urteil vom 5.03.1995, Az.: 7 AZR 643/94), weshalb ein Arbeitszeitbetrug mangels Vermögensschaden ohnehin eher fraglich erscheint.

Daher verwundert es letztlich nicht, dass beide Seiten das Urteil des Landesarbeitsgerichts am Ende akzeptiert haben. Denn wer will schon als verantwortlich handelnder Betriebsrat oder Geschäftsführer sein eigenes Unternehmen schädigen?!

Jemand der sich zwar nicht unbedingt mit Himbeeren, dafür aber mit dem Thema Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Noch immer ist es in der Praxis üblich, dass ein Mitarbeiter bei seiner Einstellung in einem neuen Unternehmen einen Fragebogen über seiner Person ausfüllen muss.

In diesem Beitrag wird es darum gehen, welche Fragen dürfen im Rahmen eines firmeninternen Personalbogens gestellt werden und welche nicht.

Fragerecht des Arbeitgebers

Das Fragerecht des Arbeitgebers ist durch die Rechtsprechung auf einen Bereich „zulässiger Fragen“ eingeschränkt worden. Dabei werden der Inhalt und der Umfang der Auskunftspflicht maßgeblich von der Art der Tätigkeit und den Einwirkungsmöglichkeiten des Arbeitnehmers bestimmt.

Der Arbeitgeber muss also ein berechtigtes, billigenswertes und schutzwürdiges Interesse an der Beantwortung seiner Fragen haben. Dies sollte nur dann der Fall sein, wenn die Datenerhebung durch den Arbeitgeber für das Beschäftigungsverhältnis erforderlich ist. Dieses Interesse muss weiter objektiv so stark sein, dass dahinter das Interesse des Arbeitnehmers am Schutz seines Persönlichkeitsrechts zurücktreten muss.

Geburtsort und Staatsangehörigkeit

Die Angabe des Geburtsortes des Mitarbeiters enthält keine Aussage über eine fachliche Eignung und ist deswegen grundsätzlich unzulässig.

Die Frage nach der Staatsangehörigkeit kann im Hinblick auf das AGG problematisch sein, da die ethnische Herkunft nach § 1 AGG ein Diskriminierungsmerkmal ist.

Um aber zu wissen, ob ein Bewerber bzw. Mitarbeiter eine EU-Arbeitserlaubnis braucht (um ggf. das Antrags-Verfahren bei der Behörde schon im Vorfeld einzuleiten), muss entweder die Frage nach der Staatsangehörigkeit oder dann nach einer EU-Arbeitserlaubnis gestellt werden dürfen.

Sinnvoller scheint es, die Frage nach einer EU-Arbeitserlaubnis zu stellen. Damit wird zum einen ein Konflikt mit dem AGG vermieden und zum anderen festgestellt, ob der Mitarbeiter eine Arbeitserlaubnis für die Ausübung der Tätigkeit bedarf. Dies ist grundsätzlich nur in den Fällen erforderlich, wenn der Mitarbeiter nicht aus einem EU-Mitgliedstaat kommt (bis 31.12.2013 gilt dies auch für neue EU-Mitgliedstaaten Bulgarien und Rumänien). Eine Frage nach der Staatsangehörigkeit erübrigt sich.

Kinder

Die Angaben über die Kinder haben für die Personalverwaltung insoweit eine Bedeutung, wenn sie zur Berechnung von Leistungen des Arbeitgebers (z.B. Familienzuschlag) oder bei Auswahlentscheidungen für eine Versetzung bzw. für die soziale Auswahl nach § 1 Abs. 3 KSchG benötigt wird.

Geschlecht

Grundsätzlich hat das Geschlecht des Mitarbeiters für die Beschäftigung keine Bedeutung. Andererseits kann das Geschlecht aber wichtig sein, um Maßnahmen zur Förderung der Frau im Arbeitsleben durchführen zu können.

Frage über den Leistungsbezug vom Arbeitsamt

Die Angabe, ob der Angestellte in den letzten 12 Monaten Leistungen vom Arbeitsamt oder Sozialamt bezogen hat, darf auf die Ausübung der Tätigkeit keinen Bezug nehmen. Der Arbeitgeber ist nur berechtigt zu fragen, ob der Arbeitnehmer zusätzliche Tätigkeiten neben der Haupttätigkeit ausübt.

Schwerbehinderung

Wenn sich die Behinderung auf die Ausübung der Tätigkeit am Arbeitsplatz auswirkt, soll diese Frage zulässig sein.

Bisheriger Gehalt und Gehalt einer Nebenbeschäftigung

Zulässig ist die Frage nach der bisherigen Verdiensthöhe nur dann, wenn das zuletzt bezogene Gehalt für die Besetzung der Stelle relevant ist bzw. weil es Hinweise auf die Qualifikation des Bewerbers zulässt oder der Bewerber dieses von sich aus thematisiert.

Die Frage nach einer Nebenbeschäftigung ist zulässig, jedoch nicht die Frage nach dem Entgelt. Für den Arbeitgeber ist es nicht erforderlich zu wissen, welche weitere Einkommen der Arbeitnehmer hat. Für ihn ist nur von Bedeutung, dass er Arbeitnehmer in der Lage ist, seine Tätigkeit ordnungsgemäß und ungestört auszuüben.

Krankheiten

Der Arbeitgeber kann ein Interesse daran haben, schwere Krankheiten und Gesundheitsschädigungen des Mitarbeiters zu kennen, wenn diese geeignet sind, seine Arbeitsleistung wesentlich zu beeinträchtigen.

Die Frage nach einer HIV-Infizierung darf nur dann gestellt werden, wenn auf dem Arbeitsplatz eine Ansteckungsgefahr für Dritten besteht. Dies ist z.B. bei den Ärzten und Krankenschwerestern der Fall.

In der betrieblichen Praxis bestehen nicht selten Unklarheiten über die Rolle und Stellung des Betriebsrates aus datenschutzrechtlicher Sicht. Während der Betriebsrat dazu neigt, Auswertung und Verwertung von Arbeitnehmerdaten pauschal mit dem Verweis auf das Datenschutzrecht zu kritisieren, verweigert die Geschäftsleitung oft eine Zusammenarbeit mit dem Betriebsrat mit dem Verweis auf den Datenschutz der Mitarbeiter.

Über den letzteren Fall hatte das LAG Niedersachsen am 18. April 2012 (AZ 16 TaBV 39/11) zu entscheiden.

Sachverhalt

Der Betriebsrat wollte in die Lohn- und Gehaltslisten Einblick nehmen. Der Arbeitgeber, eine Neurochirurgische Klinik, hatte Haustarifverträge abgeschlossen – allerdings wurde ein großer Teil der Mitarbeiter außertariflich vergütet. Der Betriebsrat verlangte – vergeblich – Einsichtnahme in die Bruttolohn- und -gehaltslisten der Arbeitnehmer inklusive sämtlicher Lohnbestandteile.

Der Arbeitgeber verweigert dies mit dem Verweis auf das BDSG, u.a. mit der Begründung, dass fast die Hälfte der Arbeitnehmer der Einsichtnahme in ihre Lohnunterlagen ausdrücklich widersprochen hatten.

Urteil

Das LAG Niedersachsen hat dem Betriebsrat recht gegeben und dabei insbesondere den datenschutzrechtlichen Einwand verworfen. Das Einsichtsrecht des Betriebsrats in die Bruttolohn- und -gehaltslisten verstößt nach Ansicht der Richter weder gegen deutsches noch gegen Unionsdatenschutzrecht, auch wenn ein Teil der Arbeitnehmer der Einsicht in ihre Unterlagen widersprochen hat.

Bewertung

Die Entscheidung ist zu begrüßen und schafft sowohl für Arbeitgeber als auch für Betriebsräte Rechtsklarheit.

Der Betriebsrat hat im Datenschutz eine Zwischenstellung. Einerseits stellt das BAG klar, dass der Betriebsrat mangels Rechtspersönlichkeit nicht selbst “verantwortliche Stelle” iSv. § 3 Abs. 7 BDSG ist sondern als Teil des Unternehmens auch Teil der verantwortlichen Stelle.

Andererseits muss der Betriebsrat eigenständig Maßnahmen beschließen, um einem Missbrauch der Daten innerhalb seines Verantwortungsbereichs zu begegnen. Dabei ist der Betriebsrat nicht an die Vorgaben des Unternehmens gebunden sondern kann im Rahmen des pflichtgemäßen Ermessens selbst entscheiden, welche technischen und  organisatorischen Maßnahmen er zum Schutz der Daten trifft (vgl. Bundesarbeitsgericht Beschluss vom 12.8.2009, 7 ABR 15/08).

Der Betriebsrat ist aber niemals Dritter iSd § 3 Abs. 8 Satz 2 BDSG sondern allenfalls “Empfänger” iSd § 3 Abs. 8 Satz 1 BDSG ( s. Gola/Schomerus, BDSG, 10. Aufl. § 3 Rdnr. 51).

Diese Unterscheidung ist wichtig, um den Datenfluss innerhalb des Unternehmens verstehen und datenschutzrechtlich bewerten zu können. Denn eine Übermittlung von Daten an den Betriebsrat, etwa im Rahmen von Auskunfts- oder Einsichtsrechten stellt keine “Übermittlung” iSd § 3 Abs. 4 Nr. 3 BDSG dar, sondern eine Nutzung. Die datenschutzrechtliche Zulässigkeit dieser Nutzung richtet sich daher nicht nach § 32 BDSG sondern nach dem Betriebsverfassungsrecht (Seifert/Simitis, BDSG, 7. Aufl. §32, Rdnr. 170).

Folgerichtig stellt das LAG Niedersachsen auch nur darauf ab, ob der Betriebsrat ein Einsichtsrecht aus dem Betriebsverfassungsrecht hat. Dies war vorliegend gemäß § 80 Abs 2 S 2 Halbs 2 BetrVG gegeben, so dass der Gericht dem Antrag des Betriebsrats stattgab.

Fazit

Besteht ein gesetzlicher Anspruch des Betriebsrats auf Nutzung der Arbeitnehmerdaten, so kann auch der entgegenstehende Wille der betroffenen Mitarbeiter am Einsichtsrecht des Betriebsrats nichts ändern.

Die Geschäftsleitung bzw. die Personalabteilung kann sich nicht darauf berufen, dass die Informationen vertraulich und durch das Datengeheimnis iSd § 5 BDSG geschützt seien.

Nun also auch Aldi: nach Medienberichten soll Aldi Süd einen Detektiv angeheuert haben, der Details über das Privatleben und die finanzielle Situation der Mitarbeiter herausfinden sollte – unter anderem mit Hilfe von Überwachungskameras..

Kameras zur Mitarbeiterüberwachung

Dabei hat sich der Detektiv laut Spiegel verschiedenster Mittel bedient; beispielsweise wurden Kameras eingesetzt, die die Mitarbeiter bei der Arbeit überwachen sollten. Insbesondere soll es sich um Kameras gehandelt haben, die in den Umkleidekabinen der Mitarbeiter installiert wurden. Was mit den Aufnahmen geschah und ob sie darüberhinaus vielleicht sogar im Rahmen des Arbeitsverhältnisses verwendet wurden, ist (noch) nicht klar.

Anordnung aus der Führungsetage

Die Anweisung zu der Überwachung soll von den Führungskräften von Aldi Süd gekommen sein.

Laut Spiegel sagte der angeheuerte Detektiv hierzu:

“Ich hatte weiterhin den Auftrag, alle Auffälligkeiten zu melden. Also auch, wenn ein Mitarbeiter zu langsam arbeitete, ich von einem Verhältnis der Mitarbeiter untereinander erfahren habe oder ich andere Details aus dem Privatleben mitbekam, zum Beispiel im Hinblick auf die finanzielle Situation des Mitarbeiters”.

Mitarbeiterüberwachung: Nichts Neues in der Discounter-Branche

Dass Mitarbeiter überwacht werden ist in der Discounter-Branche keine Seltenheit: Im Frühjahr 2008 machte der Aldi-Konkurrent Lidl mit Mitarbeiterüberwachung in schlimmster Form Schlagzeilen. Auch hier wurden Kameras eingesetzt, um die Mitarbeiter während der Arbeit zu überwachen. Dabei ging die Bespitzelung soweit, dass sogar die Toilettengänge der Mitarbeiter notiert wurden.

Aber auch in anderen Branchen wird es mit dem Datenschutz in dieser Hinsicht manchmal nicht so genau genommen; der Textildiscounter KiK holte Informationen über die finanziellen Verhältnisse der Mitarbeiter ein, die Deutsche Bahn spähte ebenfalls ihre Mitarbeiter aus.

Videoüberwachung: nur in strengen Grenzen zulässig

Dabei ist gerade die Videoüberwachung am Arbeitsplatz ein datenschutzrechtlich besonders sensibles Thema; nur in strengen Grenzen ist es erlaubt, Kameras zu installieren und dabei Mitarbeiter oder auch Kunden zu filmen. Dabei stellt die verdeckte Videoüberwachung das letzte Mittel dar, da hier die Eingriffsintensität besonders hoch ist.

Konsequenzen müssen her!

Aldi Süd bestreitet die erhobenen Vorwürfe der Mitarbeiterüberwachung bislang. Sollte sich der Verdacht allerdings bewahrheiten, wird es für die Verantwortlichen unangenehm. Taten wie diese, in denen der Arbeitnehmerdatenschutz absolut keine Beachtung mehr findet, müssen streng geahndet werden. In der Vergangenheit hat sich dies beispielsweise am Abhör-Skandal der Deutschen Telekom gezeigt: ein Abteilungsleiter, der eine Firma mit der Auswertung von Verbindungsdaten beauftragte, wurde zu einer Haftstrafe verurteilt.

Eins steht auf jeden Fall fest: das Image leidet in solchen Fällen enorm – und als Kunde wird man sich jetzt beim Einkaufen häufiger mal nach einer Kamera umsehen…

Lange war es rund um das Thema Beschäftigtendatenschutz ruhig. Nun wird die Gerüchteküche umso munterer. Nachdem letzte Woche bereits MdB Frieser auf seiner Homepage erklärte, dass der Gesetzentwurf zum Beschäftigtendatenschutz kurz vor der Abstimmung stehe, scheint es täglich neue Informationen zum Thema zu geben.

Kritik am neuen Entwurf

Neben neuen Informationen zum aktuellen Stand des Beschäftigtendatenschutzgesetzes wird aber auch die Kritik am Inhalt desselbigen wieder lauter. Insgesamt erscheint immer fraglicher, ob es tatsächlich noch um ein Beschäftigtendatenschutzgesetz geht – oder ob inzwischen ganz andere Interessen in den Vordergrund gerückt sind. Zum Beispiel die der Arbeitgeber…

Kritikpunkt „Videoüberwachung“

Vor allem die Regelungen zur Videoüberwachung ziehen den Unmut von Datenschützern, Arbeitnehmern und der Öffentlichkeit auf sich. Grund dafür ist, dass zwar die heimliche Videoüberwachung verboten, die öffentliche aber dafür ausgeweitet werden soll. Diese war für nicht-öffentliche Stellen bislang nach § 6b BDSG lediglich zulässig zur

• Wahrnehmung des Hausrechts oder
• zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke.

Künftig soll die Videoüberwachung möglich sein

• zur Zutrittskontrolle,
• zur Wahrnehmung des Hausrechts,
• zum Schutz des Eigentums,
• zur Sicherheit des Beschäftigten,
• zur Sicherheit von Anlagen,
• zur Abwehr von Gefahren für die Sicherheit des Betriebes,
• zur Qualitätskontrolle,

sofern weitere Anforderungen im Rahmen unbestimmter Rechtsbegriffe eingehalten werden. Aus zwei mach sieben. Eine Erweiterung der Videoüberwachung dürfte auf der Hand liegen. Und auch die festgelegten Voraussetzungen lassen einen recht großen Interpretationsrahmen. Denn wer kann schon konkret bezeichnen, was eigentlich genau unter „Qualitätskontrolle“ zu verstehen ist.

Tatsächlich Arbeitgeberfreundlich?

Auch wenn diese Ausweitung erst einmal stark danach aussieht, als ob lediglich die Interessen der Arbeitgeberseite berücksichtigt worden sind, verflüchtigt sich dieses Bauchgefühl bei genauerem Hinsehen.

Denn gerade der Einzelhandel wird bei dem Verbot der heimlichen Videoüberwachung verzweifeln dürfen. Denn zur Feststellung von Straftaten durch eigene Mitarbeiter blieb oft die heimliche Videoüberwachung das letzte Mittel, wenn weniger einschneidende Maßnahmen bereits probiert wurden – leider ohne Erfolg. Die Anforderungen an eine solche heimliche Videoüberwachung waren bereits durch die Rechtsprechung enorm hoch, so dass in diesen Fällen zumindest von einem Interessensausgleich gesprochen werden konnte.

Auch das Thema Einwilligung wird nach dem geplanten Entwurf künftig für größere Probleme in Unternehmen sorgen. Denn die Einwilligung im Beschäftigtendatenschutzgesetz soll künftig gänzlich verboten werden. Eine Ausnahme soll lediglich für Lichtbilder gelten. Auch wenn Aufsichtsbehörden schon lange die Ansicht vertreten haben, dass eine wirksame Einwilligung im Beschäftigtenverhältnis wegen des Über-Unterordnungsverhältnisses bereits mangels Freiwilligkeit nicht erteilt werden könne, dürfte die grundsätzliche Unzulässigkeit dieser doch zu enormen praktischen Problemen führen.

Fazit

Insgesamt bleibt festzuhalten, dass der neue Entwurf wohl weder den Interessen der Arbeitgeber noch denen der Arbeitnehmer entsprechen dürfte.  Auch die Frage nach der Praktikabilität der Regelungen erscheint äußerst fraglich, auch wenn zumindest ein Konzernprivileg ansatzweise berücksichtigt worden ist.

Insofern bleibt abzuwarten, ob die bisher geplanten Regelungen tatsächlich so verabschiedet werden oder ob das endgültige Gesetz doch noch ein paar Überraschungen bereithält. Erst dann kann endgültig gesagt werden, ob der Beschäftigtendatenschutz mit dem neuen Gesetz vom Regen in die Traufe gelangt ist…

Weitere Informationen unter: www.arbeitnehmerdatenschutz.de

Vor etwas mehr als einer Woche haben wir die leichte Brise zum Thema Beschäftigtendatenschutz aufgegriffen, um die Kritikpunkte des Gesetzesentwurfs zu beleuchten.

Nun aber hat sich die “Brise” zu einer “Böe” verstärkt und macht den Gesetzesentwurf nun konkret zur Tagesordnung des Bundestages.

Startschuss ist gefallen

Am 30.01.2013 tagt der Innenausschuss des Bundestages zum Thema Beschäftigtendatenschutz. Die Tagesordnung des Innenausschusses sieht hierzu insgesamt sechs Anträge (2a-f) der im Parlament vertretenen Parteien vor, die sich mit dem Schutz der Beschäftigten befassen.

Es kann also eine kontroverse Diskussion erwartet werden. Ist diese dann überstanden, legt der Innenausschuss dem Plenum einen Bericht über den Verlauf und die Ergebnisse der Beratung vor.

Das Rennen geht weiter

Zwei Tage später am 01.02.2013 steht laut Tagesordnung des Bundestages dann auch schon die zweite und dritte Beratung im Bundestag an. Sollte nach der dritten Lesung der Gesetzesentwurf tatsächlich die notwendige Mehrheit im Bundestag gefunden haben wird er dem Bundesrat vorgelegt. Wie sich der Bundesrat dazu äußern wird, kann dann mit Spannung erwartet werden. Bei der Brisanz des Beschäftigtendatenschutzes kann auch eine Einberufung des Vermittlungsausschusses nicht ausgeschlossen werden.

Fazit

Es wäre wünschenswert, wenn die Böe weiter anhält und hoffentlich ein den Arbeitnehmer wirklich schützendes Gesetz verabschiedet wird. Nur so kann auch in der Praxis durch geregelte Zustände wieder Ruhe einkehren.

Für weitere Informationen weisen wir nochmal auf unseren Artikel zum Arbeitnehmerdatenschutz hin.

Das alte Sprichwort „Wer Wind säht, wird Sturm ernten“ scheint zumindest beim Thema Beschäftigtendatenschutzgesetz nicht zu gelten. Denn obwohl so viel Wind um das Beschäftigtendatenschutzgesetz gemacht wurde, scheint sich nun eine endgültige Flaute breit zu machen.

Was bisher geschah…

Nach dem die Gerüchteküche Anfang Januar wieder stark gebrodelt hatte, nachdem MdB Frieser auf seiner Homepage erklärte, dass der Gesetzentwurf zum Beschäftigtendatenschutz kurz vor der Abstimmung stehe, schaffte es das Thema Beschäftigtendatenschutz immerhin auf Tagesordnung von Innenausschuss und Bundestag. Doch das war es dann auch schon.

Beschäftigtendatenschutz gestoppt

Kurzfristig wurde das Thema Beschäftigtendatenschutz von der Koalition wieder von der Tagesordnung genommen, wie n-tv.de berichtete. Grund dafür sei die vielfach geäußerte Kritik am vorgestellten Entwurf. Diese betraf vor allem die geplanten Regelungen zur Videoüberwachung sowie die Lockerung der vorher geplanten Eingrenzung der Datenerhebung im Bewerbungsverfahren, die insbesondere der Bundesbeauftragte für Datenschutz Peter Schaar kritisierte.

Ob es wohl jemals kommen wird?

Die Frage, wann und ob das Gesetz zum Beschäftigtendatenschutz jemals kommen wird, drängt sich nahezu auf. Doch zumindest vorerst dürfte sich das Thema erledigt haben…

Für weitere Informationen weisen wir nochmal auf unseren Artikel zum Arbeitnehmerdatenschutz und Überwachung am Arbeitsplatz hin.

In diesem Blog haben wir des Öfteren über GPS-Überwachung von Mitarbeitern berichtet, zuletzt hier.

Die in den jeweiligen Artikeln zugrunde gelegten Techniken der GPS-Überwachung gehen inzwischen gar nicht mehr weit genug. Durch eine Speicherung von Daten in der Cloud und Miniaturisierung von Funktechnologien sind die Einsatzbereiche inzwischen weitaus größer.

Die alten Möglichkeiten

Der klassische Fall der GPS-Überwachung sah einen eingebauten GPS-Empfänger vor, welcher nach der Fahrt hinsichtlich der gefahrenen Strecke ausgewertet wurde. Hochprofessionelle Systeme zum Flottenmanagement hatten auch schon in der Vergangenheit deutlich mehr Möglichkeiten. Der aktuelle Standort des Fahrzeugs wurde in Echtzeit übermittelt, zudem konnten Bremsverhalten und Spritverbrauch u.ä. ausgewertet werden.

Die neue Regelung

Im neuen Entwurf des geplanten Beschäftigtendatenschutzgesetzes (sofern es denn jemals kommen wird) ist folgende grundsätzliche Regelung geplant:

Die Erhebung von Arbeitnehmerdaten durch Ortungssysteme (z.B. GPS) soll nach dem Gesetzesentwurf nur während der Arbeits- und Bereitschaftszeiten zur Sicherheit des Arbeitnehmers oder zur Koordinierung des Einsatzes des Arbeitnehmers zulässig sein. Ferner dürfen keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Beschäftigten am Ausschluss der konkreten Datennutzung überwiegen. Im Rahmen der Diebstahlsicherung von Sachen (z.B. Kfz) ist die personenbezogene Ortung während der erlaubten Nutzung ausgeschlossen.

Die neue Generation

Die neue Generation von Car Tracking Systemen gibt diese Möglichkeiten nun dem Endverbraucher an die Hand. An die Hand, weil aktiv beworben wird, die eigenen Kinder damit zu überwachen. Manche Eltern werden bisher schon die Möglichkeit – jedenfalls in Betracht gezogen haben-  bei sozialen Netzen (Facebook usw.) mit dem eigenen Nachwuchs “befreundet” zu sein.

Nebeneffekt, durch das Teilen und Veröffentlichen von Inhalten auf derartigen Netzwerken sieht das geneigte und interessierte Elternteil den Partyverlauf am Wochenende und die Statusmeldungen zur Langeweile in der Schule in Echtzeit.

Kinder, Kinder

Mit dem bspw. so beworbenen Delphi Car Connector kommt nun das Echtzeit Positionstracking (einschließlich der Werte von Geschwindigkeit, Strecke, Fahrverhalten, usw. ) hinzu. Kein geheimes Treffen im Autokino oder heimlicher Ausflug in die benachbarte Großstadt. Natürlich kann auf diese Weise nicht nur der Nachwuchs überwacht werden, sondern die Eltern in Ihren Fahrzeugen durch den Arbeitgeber selbst. Installiert wird diese neue Geräteklasse einfach über Anstecken an die seit 2000 gesetzlich vorgeschriebene OBD-II Schnittstelle im Auto. Dieses kleine neue Bauteil fällt nicht besonders auf und meldet gleichwohl sämtliche elektronisch vorliegenenden Daten des Autos, bis hin zum Reifendruck.

Das alles wird jedenfalls den Arbeitnehmer interessieren, für fahrende Teenager sei am Ende noch der Hinweis notiert, dass auch die Musikauswahl so gesteuert werden kann und die Eltern aus der Ferne die iTunes Auswahl fix vorgeben.

Gute Fahrt!

Wir erleben es in der Beratung häufig, dass der §88 TKG ein regelrechtes Schattendasein im Unternehmen führt. Regelmäßig sind jedenfalls neu eingestellte Mitarbeiter nach §5 BDSG auf das Datengeheimnis verpflichtet, die Systemadministratoren auch, jedoch liegt keine besondere Verpflichtung nach §88 TKG vor. Dieser Blogbeitrag soll einmal die Voraussetzungen und den Hintergrund einer solchen Verpflichtung erläutern.

Fernmeldegeheimnis im Arbeitsverhältnis

Der §88 TKG ist die einfachgesetzliche Ausprägung des Fernmeldegeheimnisses nach Art. 10 GG (Munz, Taeger/Gabel, BDSG, §88 Rn 1). Die Vorschrift wendet sich somit an private Telekommunikationsanbieter. Gestattet der Arbeitgeber die Internetnutzung zu privaten Zwecken, so wird er rechtlich gesehen zum Anbieter von Telekommunikationsdienstleistungen (§3 Nr. 6 + 10 TKG), was für den Arbeitgeber erhebliche Konsequenzen nach sich zieht. Denn als TK-Anbieter unterliegt er dem Fernmeldegeheimnis (§88 TKG). Hierunter fallen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Wir haben an dieser Stelle ausführlich über Datenschutz am Arbeitsplatz berichtet.

Ausnahmen

Getreu der römischen Juristenweisheit

Coram iudice et in alto mari sumus in manu Dei

sind wir vor Gericht und auf hoher See in Gottes Hand. Dies gilt in diesem Fall auch in der Luft. Nach dem §88 Abs. 4 TKG sind nämlich Telekommunikationsanlagen an Bord eines Fahrzeugs für Seefahrt und Luftfahrt insofern von der Vorschrift ausgenommen, als die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person besteht, die das Fahrzeug führt oder gegenüber ihrer Stellvertretung. Um Missverständnisse zu vermeiden, vor Gericht gilt natürlich der §88 TKG.

Rechtsfolgen bei Verstößen

Auch wenn das TKG an sich keine Strafvorschriften enthält, gelten Bußgeldvorschriften nach §149 TKG und subsidiär, also für den Fall dass das TKG nicht gelten sollte, die des BDSG sowie auch Schadens- und Unterlassungsansprüche (Munz, Taeger/Gabel, BDSG, §88 Rn 27). Bei Verletzungen des Datengeheimnisses oder des Fernmeldegeheimnisses kommt also sogar eine Strafbarkeit in Betracht, insbesondere nach §§ 44, 43 Abs. 2 BDSG und nach § 206 StGB (Strafgesetzbuch). Die Vertraulichkeit sollte folglich ernst genommen werden, was wiederum insbesondere den Zugriff auf E-Mail Postfächer der Mitarbeiter betrifft.

Praxistipp

Vor dem Hintergrund der vorstehenden Ausführungen sollten Administratoren in jedem Fall besonders auf das Datengeheimnis verpflichtet werden. Dies kann in einer “Doppelerklärung” erfolgen, d.h. zunächst eine Verpflichtungserklärung nach §5 BDSG und auf dem selben Blatt eine nach §88 TKG.  Der Mehraufwand ist dabei sehr überschaubar.

Bei Fragen hilft Ihnen sicherlich gern Ihr betrieblicher Datenschutzbeauftragter.

Vor bereits mehr als 10 Jahren wurde das papierlose Büro als Modetrend ausgerufen. Die Druckerhersteller und Büroartikelverkäufer waren fast schon zu bedauern, denn Ausdrucke und Akten sollte es in der Zukunft kaum noch geben. Die Umsetzung der technischen Möglichkeiten hinkt gleichwohl bis heute hinterher und nach wie vor beherrschen Papier und Akten die Büroräume.

Die Ablösung von geduldigem Papier ist bisweilen auch nicht ganz trivial, was dieser Beitrag anhand des Beispiels der Einführung der elektronischen Gehaltsabrechnung einmal exemplarisch darstellen möchte.

Form der elektronischen Abrechnung

Zunächst muss ein gängiges, kompatibles Format, etwa das PDF-Format definiert werden. Dieses sollte zudem digital signiert und gegen nachträgliche Veränderungen geschützt sein. Inhaltlich muss auch die elektronische Gehaltsabrechnung den Anforderungen der Entgeltbescheinigungsrichtlinie sowie den §§126a und 126b BGB genügen.

Die Mitarbeiter und ggf. der Betriebsrat sind bei der Einführung frühzeitig zu involvieren und besonders die Mitarbeiter umfassend zu informieren, besonders sofern auch weitere Mitteilungen über das elektronische Abrufverfahren zur Verfügung gestellt werden sollen.

Zugriff auf die elektronische Gehaltsabrechnung

Sodann sollten die Zugriffsmöglichkeiten auf die elektronische Gehaltsabrechnung festgelegt werden. Von der einfachsten Möglichkeit, dem Versenden per E-Mail als Dateianhang, raten wir jedenfalls ab. Die Gefahren einer, zudem oft unverschlüsselt versandten E-Mail, liegen schon bei der Versendung selbst. Kleinere Rechtsschreibfehler in der E-Mail Adresse und der falsche Empfänger erhält eine fremde Gehaltsabrechnung; bedingt durch die Outlook Autovervollständigung vielleicht sogar eine firmenfremde Person.

Eine empfehlenswerte Variante ist der Zugriff über eine verschlüsselte Seite des Intranets. Damit ist schon ein zweistufiges Berechtigungssystem gegeben, der Mitarbeiter muss sich zuerst im Intranet autorisieren und in einem zweiten Schritt mit seinen Benutzerdaten kann er erst auf die dort zur Verfügung gestellte elektronische Gehaltsabrechnung zugreifen.

Speicherung und Druck der elektronischen Gehaltsabrechnung

Die vorstehende Möglichkeit zum Abruf (Download) der elektronischen Gehaltsabrechnung ist mit relativ überschaubarem technischen Aufwand umzusetzen. Die spannende Frage ist aber, wie geht es nun weiter. In der Regel wird sich der Mitarbeiter gerade die elektronische Gehaltsabrechnung ausdrucken wollen. Hierzu sollte ausschließlich ein entweder direkt am Arbeitsplatz befindlicher Drucker ausgewählt werden können, oder ein Netzwerkdrucker mit einer PIN-Funktion.

Diese Funktion bedeutet, dass der Mitarbeiter vor Ausdruck der Gehaltsabrechnung direkt am Gerät eine zuvor festgelegte PIN-Nummer eingeben muss, damit der Druckauftrag ausgeführt wird. In der Konfiguration des Gerätes sollte festgelegt werden, was bei einer mehrmaligen falschen PIN-Eingabe, oder einer ausbleibenden Pin-Eingabe mit dem Druckauftrag passieren soll. Im Idealfall wird dieser gelöscht und verbleibt insbesondere nicht auf dem internen Speicher des Gerätes.

Zu Regeln ist auch die erlaubte Art der Speicherung, d.h. darf der Mitarbeiter eine elektronische Kopie der elektronischen Gehaltsabrechnung auf seinem privaten/Unternehmens- USB-Stick speichern oder sich an seine private E-Mail-Adresse schicken (davon raten wir ab), denn verlässt der Mitarbeiter einmal das Unternehmen, hätte er keinen Zugriff mehr auf die vorhandenen Gehaltsabrechnungen und das Unternehmen müsste ihm diese nachträglich zur Verfügung stellen.

Regelungen für Mitarbeiter ohne Intranetzugang

Des Weiteren muss an Mitarbeiter ohne Intranet-/Internetzugang gedacht werden, bspw. Mitarbeiter in Schutzfristen (Mutterschutz, im Krankheitsfalle, längerer Urlaub, freiberuflich Tätige, etc.).

Technische Sicherheit

Wie bereits oben erwähnt sollte der Zugriff auf die entsprechende Seite nur verschlüsselt möglich sein und das oder die dort herunter zu ladenden Dokumente sowohl digital signiert als auch gegen Veränderungen geschützt sein. Es muss unbedingt sichergestellt werden, dass jeder Mitarbeiter ausschließlich seine Gehaltsabrechnung herunter laden oder einsehen kann und auch versehentliche Verwechslungen ausgeschlossen werden können (z.B. bei identischen Mitarbeiter Vor-/Nachnamen).

Ferner sollte bei jedem Aufruf der Seite erneut Benutzername und Passwort einzugeben sein und keine Speicherung im Browser möglich sein. Zugriffe sollten auch protokolliert werden (Beginn- / Ende, Zeitstempel, Benutzername und Aktion) und diese Protolldatei gegen Manipulationen geschützt werden. Zu regeln bleibt dann noch der Zugriff auf die Protokolldatei.

Praxistipp

Vorstehende Ausführungen sollen einmal die Komplexität des vermeintlich einfachen Ablösens des guten alten und geduldigen Papiers in die elektronische Form skizzieren. Gerade die Einführung der elektronischen Gehaltsabrechnung ist sicherlich ein sehr sensibles Thema, denn diese enthalten oftmals besondere Arten personenbezogener Daten, wie etwa die Religionszugehörigkeit (vgl. §3 Abs. 9 BDSG).

Bei Fragen hierzu kontaktieren Sie am Besten auch direkt Ihren betrieblichen Datenschutzbeauftragten.

Bei der Polizei gibt es viele Befürworter der Überwachung der Bürger.

Als Hauptargument wird gerne die Verbesserung der Aufklärungsquote von Verbrechen ins Feld geführt. Der Wunsch nach der Legitimation von Vorratsdatenspeicherung, Videoüberwachung und Fahndung in sozialen Netzwerken ist groß. Informationen sind der Grundstein zur erfolgreichen Verbrecherjagd.

Wenn der Jäger zum Gejagten wird

Ganz anders ist es aber, wenn es um die Überwachung der Polizisten selbst geht.

In Hamburg sollen ab August 2013 Streifenwagen mit GPS-Empfängern ausgestattet werden. Diese GPS-Technik soll den Polizisten nicht zur Navigation dienen, sondern der Zentrale Informationen über den Standort des Streifenwagens geben.

Koordination der Einsatzmittel durch GPS

Die Ortungstechnik per GPS wird schon seit geraumer Zeit in Rettungswagen eingesetzt, um der Leitzentrale die Koordination der Wagen zu erleichtern. So kann sichergestellt werden, dass Hilfe möglichst schnell vor Ort ist. Auch die Polizei soll durch diese Technik schneller zur Hilfe eilen können. So vergeht zwischen Notruf und Eintreffen der Polizisten weniger Zeit und eventuell wird so der ein oder andere Verbrecher noch auf frischer Tat erwischt.

Hört sich nach einer guten Idee an. Doch auf einmal erklingen aus Polizeikreisen ganz neue Töne:

Für die Deutsche Polizeigewerkschaft (DPolG) Hamburg und die Mehrheit der Kolleginnen und Kollegen ist das System ein digitaler „Leinenzwang“ und eine elektronische Kontroll- und Überwachungsinstanz.

Zweierlei Maß zur Sicherheit der Bürger

Zusammengefasst heißt es, dass auf der einen Seite mehr Überwachung der Bürger zur Aufklärung von Straftaten gefordert wird. Eine Überwachung der Polizisten ist aber eine unzumutbare Überwachungsinstanz.

Diesen Widerspruch erklärt der stellvertretende Landesvorsitzende der DPolG so:

Video- und Telefondatenüberwachung findet nur an Orten beziehungsweise in Situationen statt, in denen es um die Sicherheit der Menschen geht. Bei der GPS-Überwachung der Polizei geht es hingegen um eine dauerhafte und verdachtsunabhängige Überwachung. Der Polizeipräsident scheint seinen eigenen Mitarbeitern nicht zu vertrauen.

Wer hat Angst vorm Überwachen?

Dabei wird der Standort der Streifenwagen allein der zuständigen Einsatzzentrale übermittelt und nicht gespeichert. Wovor fürchten sich die Polizisten also? Ist Datenschutz nicht nur für die, die etwas zu verbergen haben?

Gleiches Recht für alle

Datenschutz ist eben kein Täterschutz. Natürlich dürfen Polizisten – ebenso wie andere Arbeitnehmer – nicht bedingungslos überwacht werden. Die Erhebung von Positionsdaten zur Koordinierung der Einsatzwagen ist nicht per se unzulässig. Auch hier bedarf das System einer genauen Prüfung, ob datenschutzrechtliche Grundsätze wie z. B. Datensparsamkeit und Zweckbindung eingehalten werden.

Mehr zum Thema GPS-Überwachung von Arbeitnehmern finden Sie hier.

Im Unternehmen herrscht oft Unklarheit, ob und wie lange Abwesenheits- und Fehlzeiten der Mitarbeiter gespeichert werden dürfen. Das klassische Beispiel ist neben der Notiz oder Rundmeldung der Kurzerkrankung auch die Ablage der Arbeitsunfähigkeitsbescheinigung, des “gelben Scheins”.

Gesundheitsdaten als sensible Daten

Sensible Daten sind nach der Vorschrift des §3 Abs. 9 BDSG

besondere Arten personenbezogener Daten…Angaben über Gesundheit… .

Somit sind Krankmeldungen und auch die Arbeitsunfähigkeitsbescheinigung besondere personenbezogene Daten. Beide Arten der Krankmeldung lassen nämlich Rückschlüsse auf die Gesundheit ziehen, unter anderem bedingt durch die Fachrichtung des behandelnden Arztes, oder die Mitteilung an welcher Krankheit genau der Mitarbeiter erkrankt ist.

Ist der Arbeitnehmer zur Krankmeldung verpflichtet?

Arbeitnehmer müssen sich nach §5 EntgFG (Entgeltfortzahlungsgesetz) grundsätzlich unverzüglich, also ohne schuldhaftes Zögern, beim Arbeitgeber krank melden. Dauert die Arbeitsunfähigkeit länger als drei Tage, hat der Arbeitnehmer eine ärztliche Bescheinigung über das Bestehen der Arbeitsunfähigkeit sowie deren voraussichtliche Dauer spätestens an dem darauffolgenden Arbeitstag vorzulegen. Der Arbeitgeber ist dabei berechtigt, die Vorlage der ärztlichen Bescheinigung früher zu verlangen

Welche Gesundheitsdaten darf der Arbeitgeber speichern?

Der Arbeitgeber hat regelmäßig ein Interesse an der Speicherung und auch Auswertung der Abwesenheits- und Fehlzeiten der Mitarbeiter. Die genaue Ermittlung von diesen Abwesenheits- und Fehlzeiten der Arbeitnehmer, sei es wegen einer plötzlichen Erkrankung oder auch dem unentschuldigten Fernbleiben, entspricht dabei in der Regel dem berechtigten Interesse und ist auch als erforderlich iS §32 Abs. 1 S. 1 BDSG anzusehen (vgl. Simitis, BDSG, §32 Rn 74).

Wie lange darf der Arbeitgeber die Daten speichern?

Gleichwohl muss der Arbeitgeber darauf achten, dass die Speicherung nur insofern erfolgt, solange dies erforderlich ist. Die Erforderlichkeit kann dabei aus der Durchführung des Arbeitsverhältnisses oder dessen Beendigung herrühren.

Der Arbeitgeber darf insbesondere die krankheitsbedingten Fehlzeiten solange speichern, wie sie für arbeitsrechtliche Maßnahmen erforderlich sind (z.B. Verlangen der Vorlage einer Arbeitsunfähigkeitsbescheinigung ab dem ersten Krankheitstag bei häufigen Kurzerkrankungen). Die Vorschrift des §616 BGB steht dem Arbeitgeber dabei ebenfalls zu Seite, denn danach darf er die Abwesenheitszeiten solange speichern, wie sie für Abrechnungszwecke erforderlich sind.

In jedem Fall müssen Krankmeldungen und Arbeitsunfähigkeitsbescheinigungen sorgsam und vertraulich behandelt werden. Bei Fragen wenden Sie sich doch direkt einmal an Ihren betrieblichen Datenschutzbeauftragten.

Nach dem gestrigen Beitrag über den Umgang mit Krankmeldungen der Mitarbeiter geht es heute um das Verfahren des betrieblichen Wiedereingliederungsmanagements (BEM). Zweck dieser Maßnahme ist die Vermeidung von “Schwierigkeiten” im Arbeits- oder sonstigen Beschäftigungsverhältnis, die zur einer Gefährdung dieses Verhältnisses führen könnten.

Was ist BEM?

Das betriebliche Wiedereingliederungsmanagement ist eine Aufgabe des Arbeitgebers, um Mitarbeiter bei der Überwindung der Arbeitsunfähigkeit zu helfen und Maßnahmen zu ergreifen, krankheitsbedingten Fehlzeiten vorzubeugen.

Die gesetzliche Grundlage hierfür ist im §84 SGB IX, zu finden:

Sind Beschäftigte innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig, klärt der Arbeitgeber mit der zuständigen Interessenvertretung im Sinne des § 93, …, mit Zustimmung und Beteiligung der betroffenen Person die Möglichkeiten, wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann (betriebliches Eingliederungsmanagement).

Muss ich als Arbeitnehmer an BEM Maßnahmen teilnehmen?

Die Teilnahme am BEM bedarf der Zustimmung (also “weniger” als die Einwilligung der § 4a Abs. 1 und Abs. 3 BDSG) des Betroffenen, hierbei ist er zuvor auf die Ziele des betrieblichen Eingliederungsmanagements sowie auf Art und Umfang der hierfür erhobenen und verwendeten Daten und mögliche Einsichtsrechte (z.B. Integrationsteam) hinzuweisen. Durch das BEM erlangte Kenntnisse sind im Falle von sensiblen Daten (z.B. Gesundheitsdaten) in geschlossenen Umschlägen oder außerhalb der Personalakte in besonders gesicherten Schränken aufzubewahren

Muss ich als Arbeitgeber BEM Maßnahmen anbieten?

Auch wenn die Teilnahme seitens des Arbeitnehmers freiwillig ist, so gilt dies nicht für das Angebot des Arbeitgebers. Dieser ist entsprechend der oben genannten Norm vielmehr bei Vorliegen der Voraussetzungen hierzu verpflichtet. Unterlässt der Arbeitgeber ein entsprechendes Angebot und spricht er dennoch später eine krankheitsbedingte Kündigung aus, so läuft er aufgrund einer dann umgekehrten umfassenden und konkreten Darlegungs- und Beweislast Gefahr den Kündigungsprozess zu verlieren.

Bei Fragen wenden Sie sich doch direkt einmal an Ihren betrieblichen Datenschutzbeauftragten.

In unserem Artikel Datenschutz bei Gesundheitsdaten von Mitarbeitern haben wir uns schon mit dem Thema Gesundheitswesen im Arbeitsverhältnis beschäftigt. Wie ist es aber, wenn das Unternehmen verpflichtet ist, einen Betriebsarzt zu bestellen?

An welche Vorgaben haben sich der Betriebsarzt und der Arbeitgeber zu halten? Um diese Fragen geht es im vorliegenden Artikel.

Gesundheitsdaten sind sensible Daten

Das Gesundheitswesen im Arbeitsverhältnis ist ein sensibles Thema. Wie viel darf oder vielleicht sogar muss der Arbeitgeber über die Gesundheit seinen Mitarbeitern wissen?

§ 3 Abs. 9 BDSG ordnet die Gesundheitsdaten in die Gruppe „besondere Arten personenbezogener Daten“ ein. Damit will der Gesetzgeber zum Ausdruck bringen, dass es bei Gesundheitsdaten um überdurchschnittlich sensitive Daten handelt, bei denen ein besonderer sorgfältiger Umgang geboten ist.

Sonderregelungen für Gesundheitsdaten

Daher sieht das BDSG für den Umgang mit Gesundheitsdaten eine Reihe von Sonderregelungen vor. Als solche Sonderregelungen wären § 4a Abs. 3 BDSG und § 28 Abs. 6 bis 9 BDSG hervorzuheben.

So regelt § 4a Abs. 3 BDSG, dass sich die Einwilligung, die sich auf die Erhebung, Verarbeitung oder Nutzung von Gesundheitsdaten erstrecken soll, ausdrücklich auf diese Daten beziehen muss.

Ferner ist das Erheben von besonderen Arten personenbezogener Daten gemäß § 28 Abs. 7 BDSG zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist. Es ist sicher zu stellen, dass die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

Pflicht zur Bestellung eines Betriebsarztes

§ 2 Arbeitssicherheitsgesetz (ArbSiG) legt fest, dass Betriebe unter bestimmten Voraussetzungen einen Betriebsarzt bestellen müssen. Der Betriebsarzt wird vom Unternehmer schriftlich bestellt. § 3 ArbSiG und  § 81 ArbeitnehmerInnenschutzgesetz (ASchG) definiert die Aufgaben des Betriebsarztes. Allgemein lässt sich sagen, dass der Betriebsarzt die Aufgabe hat, den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes zu beraten und zu unterstützen. In § 82 ASchG werden die Tätigkeiten eines Betriebsarztes aufgezählt.

§ 2 Abs. 2 ArbSiG regelt, dass der Betriebsarzt stets eine aktuelle Liste der Arbeitnehmer des Betriebes besitzen muss, egal ob diese einen befristeten oder unbefristeten Arbeitsvertrag haben oder ihm zur Arbeitsleistung überlassen wurden.

Das muss der Betriebsarzt beachten

Der Betriebsarzt ist datenschutzrechtlich ein Teil des Unternehmens. Daher liegt eine Nutzung (und nicht Übermittlung) von Gesundheitsdaten vor, wenn der Betriebsarzt von Arbeitgeber Daten von Mitarbeiter erhält.

Das heißt aber nicht zugleich, dass der Betriebsarzt alle ihm bekannten Gesundheitsdaten von Mitarbeitern dem Arbeitgeber zur Verfügung stellen muss. Der Betriebsarzt hat gegenüber dem Unternehmen seine ärztliche Schweigepflicht zu beachten, wenn er sich nicht gemäß § 203 StGB strafbar machen möchte.

Das darf der Arbeitgeber wissen

Grundsätzlich darf der Arbeitgeber nur das wissen, was der Arbeitnehmer bereit ist mitzuteilen. Das heißt: eine Weitergabe von Gesundheitsdaten an den Arbeitgeber durch den Betriebsarzt bedarf der Einwilligung des Arbeitnehmers.

Bei einem ausdrücklichen Widerspruch durch den Arbeitnehmer darf der Betriebsarzt die Gesundheitsdaten nicht an den Arbeitgeber weitergeben. Der Betriebsarzt kann nicht durch eine pauschale Vereinbarung von seinem Schweigepflicht entbunden werden.

Unbeachtet von diesem Grundsatz gibt es Sonderregelungen in Bezug auf Weitergabe von Gesundheitsdaten (z.B. § 15 SGB VII oder  § 202 SGB VII i.V.m. § 5 BKVO). Ob die Voraussetzungen dieser Vorschriften vorliegen, ist im Einzelfall zu prüfen.

Allerdings darf der Betriebsarzt dem Arbeitgeber mitteilen, ob ein Arbeitnehmer für eine bestimmte Arbeitsaufgabe geeignet, beschränkt geeignet oder nicht geeignet ist. Die Mitteilung hat sich also lediglich auf das Ergebnis der medizinischen Untersuchung zu beschränken. Einen Anspruch auf Auskunft über die Art der Erkrankung hat der Arbeitgeber nicht.

Die Gesundheitsdaten haben nichts in der Personalakte zu suchen, sondern müssen als Gesundheitsakten bei dem Betriebsarzt aufbewahrt werden. Die Gesundheitsakten der Mitarbeiter sind 10 Jahre aufzubewahren, teilweise auch länger. Das gilt auch dann, wenn der Betriebsarzt das Unternehmen verlässt. In diesem Falle hat er sicherzustellen, dass der nachfolgender Betriebsarzt die Gesundheitsakten von ihm erhält, ohne dass der Arbeitgeber zwischenzeitlich in die Akte hineingeschaut hat.

Zudem sind die Mitarbeiter über den Wechsel des Betriebsarztes zu informieren. Die Mitarbeiter haben das Recht, Widerspruch gegen die Weitergabe ihrer Gesundheitsdaten an den neuen Betriebsarzt zu erheben, falls diese nicht im Rahmen von Pflichtuntersuchungen erhoben wurden.

Bei Fragen wenden Sie sich doch direkt einmal an Ihren betrieblichen Datenschutzbeauftragten.

Privatwirtschaftliche Unternehmen haben insbesondere im Vertriebsbereich das Interesse, Arbeitnehmerdaten in  sog. „Rennlisten“ oder „Bestenlisten“ betriebsintern zu veröffentlichen. In entsprechenden Übersichten sollen die Leistungen von Mitarbeitern, z.B. ihre Verkaufserfolge, vergleichend gegenüber gestellt werden.

Die betriebsinterne Bekanntgabe des Rankings soll den Mitarbeitern einen direkten Leistungsvergleich ermöglichen und sie indirekt zu mehr Leistung anspornen.

Datenschutzrechtliche Bedenken

Grundsätzlich ist datenschutzrechtlich nichts dagegen einzuwenden, dass der Arbeitgeber die Vertriebsaktivitäten seiner Mitarbeiter zum Zwecke der Vertriebssteuerung erfasst und auswertet. Er hat ein berechtigtes Informationsinteresse, um die Vertriebsaktivitäten seiner Mitarbeiter effizient gestalten zu können.

Die Nutzung der Daten zur Erstellung und Veröffentlichung von Rennlisten wirft jedoch erhebliche datenschutzrechtliche Bedenken auf.

Diskriminierung leistungsschwacher Mitarbeiter

Unzweifelhaft bezweckt der Arbeitgeber mit der Veröffentlichung der Listen i.d.R. einen gewissen Druck auf leistungsschwache Mitarbeiter auszuüben, damit diese sich in Zugzwang sehen. Die Veröffentlichung der Liste kann damit durchaus zu einer Diskriminierung leistungsschwacher Mitarbeiter führen.

Gerade bei Bestenlisten ist zu bedenken, dass indirekt auch Informationen über die nicht aufgeführten Mitarbeiter preisgegeben werden können. Wenn in der Abteilung nur eine geringe Mitarbeiterzahl beschäftigt ist, ist eine Diskriminierung der nicht aufgeführten Mitarbeiter wahrscheinlich.

Ansporn auch bei anonymisierten Rennlisten

Genauer betrachtet erscheint schon fraglich, ob eine namentliche Aufführung der Mitarbeiter vonnöten ist, um den Ansporn-Effekt zu erzielen.

Auch bei einer anonymisierten Darstellung wird jeder Mitarbeiter aus der Leistungsübersicht sein Leistungsniveau ablesen und seine Leistungsfähigkeit zu der seiner Kollegen in Relation setzen können. Die Diskriminierungsgefahr wäre gebannt.

Personenbezug nur im Ausnahmefall

Sofern die betriebsinterne Veröffentlichung von Arbeitnehmerdaten in „Rennlisten“ oder „Bestenlisten“ ausnahmsweise personenbezogen erfolgen soll, so kann dies nur nach strenger Prüfung des Vorliegens datenschutzrechtlicher Voraussetzungen als zulässig erachtet werden.

In Betracht kommt eine Zulässigkeit bspw. bei einer schon im Arbeitsvertrag geregelten Erforderlichkeit oder dem Vorliegen einer wirksamen Einwilligung (wobei der Aspekt der Freiwilligkeit aufgrund des Abhängigkeitsverhältnisses problematisch ist).

Heute Morgen bin ich über einen aktuellen Bericht auf heise online gestolpert dessen Überschrift mich ins Grübeln brachte. Heise titelte: „Keine Entschädigung bei verschwiegener Schwerbehinderung“ und löste damit eine kontroverse Diskussion innerhalb der Leserschaft im Kommentarbereich aus.

Offene Fragen

Mir als Jurist und passioniertem Datenschützer gingen bei dieser Überschrift gleich mehrere Gedanken durch den Kopf:

• Haben wir nicht einmal gelernt, dass die generelle Frage nach einer Schwerbehinderung durch den Arbeitgeber regelmäßig eine unzulässige Frage ist?
• Steht es nicht grundsätzlich jedem frei, seinen Gesundheitszustand offen zu legen?
• Wie kann ein Gericht eine Informationspflicht scheinbar hintenherum einführen, die es doch gerade nicht gibt, und einem Betroffenen einen Rechtsanspruch unter Hinweis auf ein rechtlich korrektes Verhalten verwehren?
• Ist letzteres, wie der Titel suggeriert, in diesem Fall überhaupt geschehen?
• Muss jetzt jeder Schwerbehinderte schon in seinen Bewerbungsunterlagen seine Schwerbehinderung angeben?

Wie diversen Kommentaren auf heise online zu entnehmen ist, stellten sich viele Leser die gleichen Fragen. Dieses Urteil verlangt, insbesondere da die Schwerbehinderung als sog. besonderes personenbezogenes Datum i.S.d. § 3 Abs. 9 BDSG gilt, nach einer Auseinandersetzung und möglicherweise auch Klarstellung.

Der Fall

Um die Diskussion nachvollziehen zu können, lohnt es sich, sich zunächst mit dem Urteil des Arbeitsgerichts Stuttgart eingehender zu befassen:

Das Arbeitsgericht Stuttgart hatte sich in seinem Urteil vom 29.01.2014 (Az.: 11 Ca 6438/13) mit der Frage zu befassen, ob einem abgelehnten Bewerber gemäß §§ 81 Abs. 2 SGB IX (10. Buch des Sozialgesetzbuches), 15 Abs. 2 AGG (Allgemeines Gleichbehandlungsgesetz) ein Entschädigungsanspruch wegen Benachteiligung aufgrund einer Schwerbehinderung gegen den potentiellen Arbeitgeber zusteht.

Der Sachverhalt

Der schwerbehinderte Kläger hatte sich bei der Beklagten auf eine Stellenausschreibung beworben und in seiner Bewerbung nach Auffassung der Beklagten nicht ausdrücklich auf die bestehende Schwerbehinderung hingewiesen. Er hatte lediglich im Lebenslauf als Zusatz zu einem Zeitraum der Arbeitsunfähigkeit den Hinweis aufgenommen „Schwerbehinderung“ und zusätzlich nach seinen Angaben die Anlagen mit „Lebenslauf mit Behinderung“ bezeichnet. Letzteres wurde allerdings von der Beklagten bestritten. Weitere ausdrückliche Erklärungen oder Nachweise zu einer bestehenden Schwerbehinderung, insbesondere im Anschreiben, gab der Kläger nicht ab.

Der Kläger wurde durch die Beklagte nicht zu einem Vorstellungsgespräch eingeladen. Hierauf machte er einen Anspruch auf Schadenersatz in Höhe von 3 Bruttomonatsgehältern geltend und begründete diesen damit, dass er von der Beklagten nur aufgrund seiner bestehenden Schwerbehinderung nicht eingeladen worden sei.

Die Ablehnung

Das Arbeitsgericht erkannte zwar an, dass in der ausgebliebenen Einladung zu einem Vorstellungsgespräch zwar eine Benachteiligung liege, lehnte einen Anspruch auf Schadenersatz unter Verweis auf die fehlende Kausalität zwischen der Benachteiligung und der bestehenden Schwerbehinderung ab.

Rechtlicher Rahmen

Nach der herrschenden Rechtsprechung und juristischen Fachliteratur gilt: Eine bestehende Schwerbehinderung muss nur dann mitgeteilt werden, wenn diese Auswirkungen auf die berufliche Leistungspflicht hat. Ein Bewerber hat grundsätzlich das Recht, diese zu verschweigen.

Nach §§ 81 Abs. 2 SGB IX, 15 Abs. 2 AGG steht einem Beschäftigten (hierzu gehören ausdrücklich auch Bewerber) gegen den Arbeitgeber ein Anspruch auf Schadenersatz zu, wenn er wegen eines in § 1 AGG enthaltenen Merkmales, hier die Schwerbehinderung, benachteiligt wird.

Nach ständiger Rechtsprechung des Bundesarbeitsgerichts liegt ein Nachteil im Rahmen einer Auswahlentscheidung, insbesondere bei Einstellung oder Beförderung, bereits dann vor, wenn der Beschäftigte nicht in die Auswahl einbezogen, sondern vorab ausgeschieden wird. Die Benachteiligung liegt in der Versagung einer Chance.

§ 15 Abs. 2 AGG erfordert weiterhin, dass die Benachteiligung gerade auf der Berücksichtigung des unzulässigen Merkmales beruht, d.h. gerade die hier im Raum stehende Schwerbehinderung des Klägers muss auch der Grund für die Nichtberücksichtigung gewesen sein (vgl.: § 2 Abs. 1 Ziff. 1 AGG „wegen“). Dies ist die sog. Kausalität.

Normalerweise hat im deutschen Zivilrecht jede Partei die Umstände darzulegen und zu beweisen, die für sie von Vorteil, also anspruchsbegründend sind. Gem. § 22 AGG kann eine Benachteiligung in diesem Sinne allerdings schon angenommen werden, bzw. die Kausalität wird vermutet, wenn der Bewerber Indizien vorträgt, die seine Benachteiligung vermuten lassen. In diesem Falle greift eine sog. Beweislastumkehr und der Arbeitgeber hat seinerseits die Pflicht, die vermutete Benachteiligung zu widerlegen.

Die Entscheidung des Gerichtes

Nach der Auffassung des Arbeitsgerichtes Stuttgart bedarf es für die Annahme der Beweislastumkehr allerdings einer ausreichenden Darstellung darüber, dass der Arbeitgeber den Grund, auf den der Bewerber seine Benachteiligung stützen will, auch tatsächlich kennt, oder hätte kennen können. Dies wurde im vorliegenden Fall vom Gericht abgelehnt.

Hierzu führt das Gericht aus:

“Es obliegt deshalb dem abgelehnten Bewerber, die Kenntnis bzw. Möglichkeit hierzu darzulegen. […]Aus dem Bewerbungsschreiben selbst ergibt sich kein Hinweis auf das Vorliegen einer Schwerbehinderung.[…] Es genügt nicht, dass ein Hinweis so beschaffen ist, dass der Leser der Bewerbung objektiv die Möglichkeit hat, die Schwerbehinderung zur Kenntnis zu nehmen.[…] Mit der Zielsetzung der §§ 81 ff. SGB IX einerseits und der §§ 15, 7, 3, 1 AGG andererseits ist es nicht zu vereinbaren, dass ein Bewerber lediglich versteckte Hinweise auf eine Schwerbehinderung gibt. […]“

Und die Folgen?

Über das Ergebnis und die Begründung des Gerichtes, eine ausreichende Kenntnisnahmemöglichkeit des Arbeitgebers habe nicht vorgelegen, kann sicherlich diskutiert werden. Dies ist wie immer Auslegungsfrage. Wichtiger für die datenschutzrechtliche Praxis ist jedoch, hat dieses Urteil nun Folgen für den Schwerbehindertendatenschutz?

Schweigerecht ausgehebelt?

Hat das Gericht mit dieser Entscheidung das Schweigerecht generell ausgehebelt?

Nein!

Auch weiterhin gilt, dass eine Schwerbehinderung nicht generell offengelegt werden muss und der Arbeitgeber danach nicht grundlos fragen darf.

Generelle Offenbarungspflicht?

Hat das Gericht damit eine generelle Offenbarungspflicht begründet?

Nein!

Das Arbeitsgericht Stuttgart hat vielmehr einen seit langem bekannten und akzeptierten Grundsatz gestärkt, dass derjenige, der aus einem Umstand Vorteile ziehen will, muss diesen auch offenlegen. Das ist nicht neu und findet sich zum Beispiel auch im Bereich der Urlaubsgewährung. So haben Schwerbehinderte i.S.d. § 81 SGB IX gem. § 125 SGB IX 5 Tage zusätzlichen Urlaub. Hierzu bedarf es allerdings der Offenbarung gegenüber dem Arbeitgeber.

Darf ein Arbeitgeber seinen Angestellten kündigen, nur weil er ihn auf Facebook als „Geschäftsführer eines Unternehmens, der seine Mitarbeiter nicht im Griff hat“ beschrieben hat? Bei dieser Aussage handelt es sich wohl eher um eine freie Meinungsäußerung als Beleidigung.

Beleidigung – ob im Internet oder im realen Leben – ist eine Straftat und kann ggf. eine Kündigung rechtfertigen. Freie Meinungsäußerung ist dagegen in Deutschland durch Art. 5 GG geschützt.

Oder liegt das Problem ganz woanders?

Wo liegt das Problem?

Das Problem bei solchen Sachverhalten liegt meistens in der Verwertbarkeit der Aussage im gerichtlichen Prozess. Jeder Arbeitgeber soll sich fragen, wo die Grenzen liegen, wenn er sich über seine Mitarbeiter im Internet informieren (oder dann ausspionieren) möchte.

Gibt es klare gesetzliche Regelungen?

Die Rechtsprechung ist in solchen Fällen ist sehr unübersichtlich (ein Beispiel ist hier zu finden). Eine BGH-Entscheidung zu dieser Thematik gibt es noch nicht, daher gibt es auch keine Rechtssicherheit für Arbeitnehmer.

Das bedeutet: es ist immer noch nicht ganz klar, welche Informationen der Arbeitgeber über seine Mitarbeiter aus sozialen Netzwerken erheben darf und welche nicht.

Das Gesetz sagt mit § 32 Abs. 1 BDSG lediglich, dass

“Personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.”

Welche Informationen darf der Arbeitgeber auf Facebook über seine Mitarbeiter erheben?

Letztendlich kommt es darauf an, welche Kommunikation als vertraulich zu bezeichnen ist. Da muss sich der Arbeitgeber in die Lage des Arbeitnehmers setzten und überlegen, ob ein bestimmter Beitrag der Allgemeinheit gewidmet war oder nur einem bestimmten bzw. bestimmbaren Personenkreis.

Allgemein lässt sich sagen, dass Informationen, die bei Facebook veröffentlicht werden, als vertrauliche Kommunikation einzustufen sind. Das gilt auch dann, wenn der Arbeitgeber sein Profil für die Facebook-Gemeinschaft öffentlich zugänglich macht. Da Facebook teilweise heimlich bzw. intransparent seine AGB’s sowie Einstellungen ändert, könnte es dem jeweiligen Mitarbeiter gar nicht offensichtlich sein, dass sein Profil von jedem Facebook-Nutzer angesehen werden kann. Eine Ausnahme gilt nur dann, wenn der Arbeitgeber sein Facebook-Profil über Google-Suche sichtbar hält. Google ist unstreitig als allgemein zugängliche Informationsquelle anzusehen.

Erhebung von Informationen aus Xing oder LinkedIn sind wohl unproblematischer. Der Ziel von diesen Netzwerken ist es, Kontakte im beruflichen Umfeld anzusprechen und damit auch den eigenen Arbeitgeber.

Fünf Monate nach Beginn seiner Prüfung bei der Essener Autowaschkette Mr. Wash, kommt der zuständige NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), Ulrich Lepper, zu dem Ergebnis, dass das Unternehmen seine Mitarbeiter und Kunden in 60 Fällen unzulässig und rechtswidrig gefilmt hat.

Der Fall Mr. Wash

Bereits Anfang des Jahres berichteten diverse Medien, darunter vor allem der Stern, und der Focus, dass die Essener Waschstraßenkette Mr. Wash ihre knapp 800 Beschäftigten in 23 Filialen sowie 10 weiteren Niederlassungen in unzulässiger Weise per Webcams überwachten. So waren diverse Webcams nicht nur auf sicherheitsrelevante Bereiche, wie z.B. die Waschstraßenein- und ausfahrt, sondern auch so ausgerichtet, dass schon dem Laien-Betrachter auffiel, dass hier offensichtlich die Mitarbeiter selbst im Focus der Aufnahme standen.

Seitens des Unternehmens wurde damals die Existenz dieser Aufzeichnungen auch bestätigt, welches gegenüber dem Stern hierzu ausführte, es liege

“in der Natur der Sache, dass im Erfassungsbereich dieser Kameras auch Personen zu erkennen sind.”

In keinem Fall sei es hier um die Überwachung von Mitarbeitern und Kunden gegangen.

Unzulässige Videoüberwachung

Dies sah nun der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen erwartungsgemäß ein wenig anders und kam zu dem Ergebnis, dass die in den Medien erhobenen Vorwürfe zumindest in 60 Fällen berechtigt waren.

Hierfür forderte das LDI NRW das Unternehmen zunächst gem. § 38 Abs. 3 BDSG zur umfassenden Auskunft über Art und Zweck der in den Filialen installierten Videoüberwachung auf und prüfte die Vorwürfe stichprobenartig in zwei Filialen vor Ort.

Zwar gab es nach Angaben des Sprechers des LDI-NRW, Nils Schröder, die dieser gegenüber dem Stern machte,

“keine verdeckte Überwachung der Mitarbeiter in Sozialräumen,”

doch auch die auf Fahrlässigkeit beruhende unzulässige, da zu weit gehende, offene Videoüberwachung von Mitarbeitern und Kunden sei ein

“relativ schwerer Verstoß.”

Positiv wurde durch das LDI bewertet, dass sich Mr. Wash im Rahmen der Überprüfung kooperativ verhalten habe.

Und die Quittung?

Neben einer Verfügung gem. § 38 Abs 5 BDSG, die unzulässige Videoüberwachung sofort zu beenden und die betreffenden Webcams unverzüglich abzubauen oder so zu verändern, dass diese die Rechte der Betroffenen in ausreichendem Maße berücksichtigen, hagelte es ein deftiges Bußgeld.

Ganze 64.000 € muss Mr. Wash nun an die Staatskasse zahlen.

Zu beachten ist hier, dass sich das Bußgeld, nach Informationen der WAZ aus zwei Bußgeldtatbeständen zusammensetzt:

1. So beläuft sich das Bußgeld für die eigentliche unzulässige Videoüberwachung auf 54.000 €.
2. Da sich aber zusätzlich herausstellte, dass Mr. Wash trotz gesetzlicher Erforderlichkeit keine Datenschutzbeauftragten bestellt hatte, wurden hierfür noch einmal 10.000 € Geldbuße fällig.

Die Höhe des Bußgeldes bleibt der Beurteilung der zuständigen Stelle vorbehalten. Das LDI wies jedoch darauf hin, dass das Bußgeld im Falle des Vorsatzes sogar doppelt so hoch hätte ausfallen können.

Zwischenzeitlich sind, nach Informationen der WAZ, bereits 30 der 60 Kameras abgebaut, bzw. anders ausgerichtet und ein betrieblicher Datenschutzbeauftragter durch das Unternehmen bestellt worden.

Fazit

Videoüberwachung ist einer der stärksten Eingriffe, die ein Betroffener in seinem Persönlichkeitsrecht und seinem Recht auf informationelle Selbstbestimmung erleiden kann. Dies wurde erst kürzlich durch den Düsseldorfer Kreis, dem Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder in seiner Orientierungshilfe Videoüberwachung bestätigt.

Nicht selten erleben wir in unserer täglichen Praxis als Datenschutzbeauftragte, dass die Sensibilität für Datenschutz im Allgemeinen zunimmt, dass gerade im Bereich der Videoüberwachung jedoch noch viele Fehler gemacht werden. Solche Fehler können, wie dieser Fall anschaulich darstellt, erhebliche Folgen für Ihr Unternehmen bedeuten. Eine umfassende Vorabkontrolle durch Ihren Datenschutzbeauftragten kann diese Risiken deutlich minimieren.

Die Verwaltung der Personalakten ist beim Arbeitnehmerdatenschutz von besonderer Bedeutung. Dabei gilt es den Grundsatz der “Vertraulichkeit der Personalakte” zu wahren. Wir erklären, was sich genau dahinter verbirgt.

Personalakte

Die Personalakte enthält neben den Angaben zur Person und dem Lebenslauf zum Teil sehr sensible Daten, wie z.B. Angaben zur Gesundheit, zu den familiären Verhältnissen oder zur Religion des Arbeitnehmers. Sie bildet somit ein umfassendes Profil des Arbeitnehmers, welches besonders vor unbefugter Einsicht und Weitergabe zu schützen ist.

Gesetzliche Grundlage im öffentlichen Dienst

Für den öffentlichen Bereich widmen sich u.a. die §§ 106-115 des Bundesbeamtengesetzes (BBG) und § 50 Beamtenstatusgesetz dem Personalaktenrecht.

Gemäß § 106 Abs. 1 Satz 2 BBG ist die Personalakte

(1)…vertraulich zu behandeln und durch technische und organisatorische Maßnahmen vor unbefugter Einsichtnahme zu schützen.

Nach § 107 Abs. 1 BBG dürfen nur Beschäftigte Zugang zur Personalakte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind und nur soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist.

Fast gleichlautend zu diesen Normen ist § 50 Beamtenstatusgesetz.

Keine gesetzliche Reglung im privaten Arbeitsverhältnis

Eine konkrete gesetzliche Regelung existiert für privatrechtliche Arbeitsverhältnisse nicht. Dennoch hat der Arbeitgeber die gleichen Pflichten zu beachten, wie auch der öffentliche Dienst. Dies ergibt sich zunächst aus dem datenschutzrechtlichen Grundsatz des „Verbots mit Erlaubnisvorbehalt“ nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG). Der Arbeitgeber ist daher ebenfalls verpflichtet die Persönlichkeitsrechte seiner Arbeitnehmer aus Art. 1 Abs. 1 i.V.m Art. 2 Abs. 1 GG zu schützen. Ihm ist es daher nicht gestattet, jeder Anfrage zur Einsicht in die Personalakte für beliebige Zwecke nachzukommen.

So stellte das Bundesarbeitsgericht schon 1987 fest:

„Aufgrund des verfassungsrechtlich gewährleisteten Persönlichkeitsschutzes ist der Arbeitgeber verpflichtet, die Personalakten des Arbeitnehmers sorgfältig zu verwahren, bestimmte Informationen vertraulich zu behandeln und für die vertrauliche Behandlung durch die Sachbearbeiter Sorge zu tragen (Fortführung der bisherigen Rechtsprechung des Senats). Auch muß der Arbeitgeber den Kreis der mit Personalakten befaßten Mitarbeiter möglichst eng halten (BAG, Urteil vom 15. Juli 1987 – 5 AZR 215/86 –, BAGE 54, 365-374)“

Mit dieser Rechtsprechung steht aber auch fest, dass der Grundsatz der Vertraulichkeit keineswegs grenzenlos bestehen kann. Eine Durchbrechung der Vertraulichkeit ist dann möglich, wenn eine Rechtsgrundlage die Offenlegung des Inhalts der Personalakte anderen Mitarbeitern oder sogar Dritten, also außerhalb des Unternehmens stehenden Stellen erlaubt. Dies kann ggf. auch gegen den Willen des Arbeitnehmers zulässig sein.

Eine mögliche Rechtsgrundlage für die Weitergabe einer Personalakte bzw. Gewährung des Zugangs ist § 32 Abs. 1 S.1 BDSG. Gemäß § 32 Abs. 2 BDSG findet § 32 Abs. 1 BDSG auch auf die papiergeführte Personalakte Anwendung. Nach § 32 Abs. 1 S. 1 BDSG wäre die Bekanntgabe des Inhalts der Personalakte zulässig, wenn dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnis erforderlich ist.

Ob die Weitergabe an einen anderen Mitarbeiter erforderlich ist, muss im Rahmen einer Interessenabwägung und in jedem Einzelfall umfassend geprüft werden. Im Ergebnis kann es sodann erforderlich sein, dass bestimmte Bereiche einer Personalakte dem Zugriff anderer entzogen bleibt. So sind bei einer Steuerprüfung nur die Unterlagen einer Personalakte zur Verfügung zu stellen, die auch steuerrechtliche Relevanz haben. Die übrigen Angaben sind weiterhin vertraulich zu behandeln.

Praktische Umsetzung der Vertraulichkeit der Personalakte

Innerhalb eines Unternehmens kann es also durchaus vorkommen, dass mehrere Mitarbeiter oder sogar Dritte (z.B. Steuerprüfer) mit der Personalakte bei der Erledigung Ihrer Aufgaben in Berührung kommen.

Da nicht jeder Mitarbeiter oder ein Dritter Einsicht in den gesamten Bestand der Personalakte benötigen wird, stellt sich die Frage, wie der Grundsatz der Vertraulichkeit praktisch umgesetzt werden kann. Letztlich geht es darum, den Anforderungen des § 9 BDSG und dessen Anlage (technische und organisatorische Maßnahmen) nachzukommen. Danach ist der Arbeitgeber verpflichtet, die unter Beachtung des Verhältnismäßigkeitsprinzips und des Schutzbedarfs der Daten angemessenen Schutzvorkehrungen zu ergreifen.

Denkbar sind hierbei die folgenden Maßnahmen:

• Führung besonderer / gesonderter Personalakten (z.b. bei Gesundheitsdaten)
• Nutzung von verschlossenen Umschlägen innerhalb der Personalakte
• Aufbewahrung in besonders gesicherten Schränken / Räumen
• Verpflichtung der Mitarbeiter die Einsichtnahme zu vermerken
• Weitergabe der Personalakte nur gegen eine Quittung
• Einführung eines abgestuften Zugangs- und Zugriffssystem (4-Augen-Prinzip)

Fazit

Bei Fragen zum Arbeitnehmerdatenschutz sollten Sie sich in jedem Fall zunächst an Ihren Datenschutzbeauftragten wenden. Durch eine unzulässige Offenlegung der Personalakte oder auch nur bestimmter Inhalte einer Personalakte können zudem Schadensersatzansprüche des Arbeitnehmers begründet werden. Inwieweit der Arbeitnehmer selbst ein Recht zu Einsicht in seine Personalakte hat, haben wir in dem Artikel “Die Gedanken sind frei – Die Einsicht in Akten (leider) auch” beschrieben.

Viele IT-Abteilungen wollen TeamViewer bei der Analyse und Lösung von IT-Problemen der Mitarbeiter im Umgang mit deren Arbeitscomputern als Hilfsmittel nutzen. Datenschutzrechtlich ist dies jedoch nicht uneingeschränkt möglich. Im Folgenden werden die wesentlichen Punkte zum datenschutzkonformem Einsatz von TeamViewer am Beispiel des genannten Falls dargestellt. IT-Sicherheitsaspekte werden nicht beleuchtet.

Was kann TeamViewer?

TeamViewer ist eine Desktop-Sharing-Software, welche Fernwartungen, Online-Präsentationen, Onlinemeetings, Webkonferenzen, Dateitransfer und VPN-Verbindungen ermöglicht. Die Software wird auf dem jeweiligen Rechner, dessen Desktop geteilt werden soll, installiert. Ist TeamViewer auf einem anderen Rechner innerhalb desselben Netzwerks installiert, findet der  Zugriff auf den jeweiligen Rechner wie folgt statt:

1. Neben einer automatisch generierten PartnerID erzeugt TeamViewer ein Sitzungskennwort, das sich bei jedem Start ändert.
2. Nach einer aktiven Freigabe durch den Nutzer, wird eine verschlüsselte Verbindung zwischen den jeweiligen Rechnern aufgebaut.

Daneben besteht jedoch auch die Möglichkeit, Teamviewer mit Windows automatisch starten zu lassen und so einen Zugriff ohne einer aktiven Freigabe zu ermöglichen. Zusätzlich kann TeamViewer so konfiguriert werden, dass dieser als Hintergrundprozess für den Nutzer unsichtbar arbeitet. Diese Konfiguration ist jedoch nicht standardmäßig aktiviert sondern muss von dem jeweiligen Administrator vorher eingestellt werden.

Weiterhin besteht die Möglichkeit, dass der Rechner im Rahmen der so genannten Wake-on-LAN-Funktion automatisch eingeschaltet und anschließend aus der Ferne gesteuert werden kann. Auch hier ist jedoch eine gesonderte Konfiguration nötig.

Datenschutzrechtliche Problemstellung

Datenschutzrechtlich ist TeamViewer vor allem deshalb problematisch, weil die Software grundsätzlich auch dazu eingesetzt werden kann, das Verhalten und/oder die Leistung der Arbeitnehmer (heimlich) zu überwachen. Damit fällt TeamViewer unter den Wortlaut des § 87 Abs. 1 Nr. 6 BetrVG. Danach hat

der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen (Mitbestimmungsrecht des Betriebsrats).

Bevor dem Betriebsrat jedoch die Anwendung zur Mitbestimmung vorgelegt werden kann, muss geprüft werden, ob TeamViewer datenschutzkonform eingesetzt werden kann.

§ 32 BDSG als Rechtsgrundlage

Da es TeamViewer in dem hier geschilderten Fall innerhalb des Beschäftigtenverhältnisses eingesetzt werden soll, ist zunächst an § 32 BDSG als mögliche Rechtsgrundlage zu denken. Fraglich ist hierbei jedoch, ob die Anwendung tatsächlich zur „Durchführung“ eines Beschäftigungsverhältnisses erforderlich ist, wie es § 32 BDSG fordert.

Hieran bestehen erhebliche Zweifel. Die Arbeiten, die der Mitarbeiter im Zusammenhang mit seinem Computer zu erledigen hat, sind auch ohne eine entsprechende Fernwartungssoftware möglich. Die Software dürfte daher in den überwiegenden Fällen nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Auch die Mitarbeiter in der IT-Abteilung können Ihre Aufgaben auf andere Art und Weise wahrnehmen und sind nicht zwingend auf den Einsatz von TeamViewer angewiesen.

Somit dürfte die Anwendung des § 32 BDSG vorliegend ausscheiden.

§ 28 Abs. 1 BDSG als Rechtsgrundlage

Als Rechtsgrundlage käme jedoch weiterhin § 28 Abs. 1 Nr.2 BDSG in Betracht, der nach der hier vertretenen Auffassung auch neben § 32 BDSG anwendbar ist. Nach § 28 Abs. 1 Nr.2 BDSG ist

das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

Interessen der verantwortlichen Stelle (Arbeitgeber)

Das Interesse des Arbeitgebers an einer effektiven und zeitnahen Bearbeitung von IT-Problemen über eine Fernwartungssoftware kann durchaus als berechtigtes Interesse im Sinne der Vorschrift gewertet werden. Eine Verarbeitung ist jedoch nur dann möglich, wenn die schutzwürdigen Interessen der Betroffenen nicht überwiegen.

Interessen der Betroffenen (Arbeitnehmer)

Das Interesse der Betroffenen besteht darin, keiner Überwachung am Arbeitsplatz ausgesetzt zu sein, da dies ein nicht unerheblichen Eingriff in Ihre Persönlichkeitsrechte darstellen würde. Das Merkmal der Erforderlichkeit i.S.d. § 28 Abs. 1 Nr. 2 BDSG setzt voraus, dass für die Erreichung des geplanten Zwecks kein gleich geeignetes, milderes Mittel zur Verfügung steht und der Einsatz von Fernwartungssoftware zur Erreichung des verfolgten Zwecks verhältnismäßig ist.

Erforderlichkeit

Als milderes Mittel käme die Analyse und Problemlösung durch die IT-Mitarbeiter an den jeweiligen Arbeitsplätzen in Betracht. Soweit es sich um kleinere Unternehmen handelt, kann man hier unter Umständen schon dazu kommen, dass dies tatsächlich das weniger einschneidende Mittel zur Zweckerreichung darstellt. Eine Fernwartungssoftware, wie TeamViewer, wäre sodann nicht mehr erforderlich.

Zweifelhaft ist dies aber in großen Unternehmen mit einer Vielzahl von Mitarbeitern. Hier kann tatsächlich die Fernwartungssoftware das mildeste Mittel darstellen. In diesem Fall muss der Einsatz von TeamViewer aber insgesamt noch verhältnismäßig sein. Hierzu müssten die schutzwürdigen Interessen der Betroffenen ausreichend gewahrt sein.

Wahrung der Rechte der Betroffenen

Zur Interessenwahrung ist es nach der hier vertretenen Auffassung unabdingbar, dass die folgenden Maßnahmen eingehalten werden:

• Deaktivierung der (unbemerkten) Hintergrundaktivität (Der Mitarbeiter muss bemerken, wann die Fernwartung erfolgt.)
• Deaktivierung der Wake-On-LAN-Funktion
• Sicherstellung, dass der Mitarbeiter bei der Fernwartung stets anwesend ist (z.B. paralleles Telefonat mit dem zuständigen Mitarbeiter aus der IT)
• Möglichkeit für den Mitarbeiter die Fernwartung jederzeit zu unterbrechen
• Erstellung einer Betriebsvereinbarung zum Schutz vor Leistungs- und Verhaltenskontrollen

Werden diese Maßnahmen eingehalten, wäre nach der hier vertretenen Auffassung auch die Verhältnismäßigkeit im Rahmen der Erforderlichkeitsprüfung gewahrt. An dieser Stelle sei noch darauf hingewiesen, dass auf Grund der Mitbestimmungsrechte des Betriebsrats hier ein zeitnaher und konstruktiver Dialog gesucht werden sollte, um Missverständnissen vorzubeugen. Ist kein Betriebsrat vorhanden, so sind die Mitarbeiter entsprechend ins Boot zu holen.