Dauerbrenner rechtlicher Diskussionen ist die Frage, in welchem Rahmen Arbeitgeber die Nutzung des dienstlichen PC überwachen dürfen. Regelmäßig geht es um die private Internet- oder E-Mail-Nutzung. Der Europäische Gerichtshof für Menschenrechte (EGMR) hat sich mittlerweile auch mit der Frage beschäftigt, wann private Dateien auf dienstlichen Computern ausgewertet werden dürfen.

Grundsätze der Nutzung betrieblicher Arbeitsmittel

Stellt der Arbeitgeber Hardware und Software zur Verfügung, dürfen die Arbeitsmittel nur für die betriebliche Tätigkeit genutzt werden. Eine private Nutzung ist dann erlaubt, wenn sie ausdrücklich durch Arbeitsvertrag oder Betriebsvereinbarung gestattet wird. Daneben ist die „normative Kraft des Faktischen“ zu beachten: Duldet der Arbeitgeber die private Nutzung über einen längeren Zeitraum hinweg, kann eine Privatnutzung als sog. „betriebliche Übung“ ebenfalls gestattet sein.

Diese Grundsätze gelten nicht nur für die Nutzung von Internet- und E-Mail, sondern auch für die Speicherung privater Dateien auf dienstlich zur Verfügung gestellten Geräten.

Auswertung bei ausschließlich betrieblich erlaubter Nutzung

Ist die private Nutzung nicht erlaubt, richtet sich das Recht zur Einsichtnahme ausschließlich nach Datenschutzrecht (hier insbesondere § 26 BDSG). Ein Zugriff auf die Dateien des Gerätes wird zulässig sein, solange der Zugriff für die Durchführung des Arbeitsverhältnisses erforderlich ist, mithin einem schutzwürdigen betrieblichen Zweck dient.

Eine Ausnahme wird dann anzunehmen sein, wenn bestimmte Daten eindeutig privater Natur sind. Ein Zugriff auf private Dateien wird unter Berücksichtigung der allgemeinen Persönlichkeitsrechte des Arbeitnehmers nicht für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sein. Ein Zugriff durch den Arbeitgeber dürfte hier nur in den engen Grenzen eines konkreten Missbrauchverdachts i.S.d. § 26 Abs.1 S.2 BDSG zulässig sein.

Auswertung bei erlaubter privater Nutzung

Hinsichtlich einer gestatteten privaten Nutzung des Arbeitsgerätes stellt sich die Rechtslage für die Speicherung privater Daten – im Gegensatz zur Auswertung von E-Mails, bei welcher den Arbeitgeber Pflichten aus dem Fernmeldegeheimnis gem. § 88 Abs. 2 S. 1 TKG treffen können – nicht wesentlich anders dar. Auch hier wird dem Arbeitgeber regelmäßig nicht die Verarbeitung von Dateien erlaubt sein, die eindeutig privater Natur sind.

Es empfiehlt sich daher in jedem Fall zu vereinbaren, private Dateien in einem klar erkenntlichen privaten Bereich zu speichern. Dies hat der EGMR in seinem Urteil vom 22. Februar 2018 nun bekräftigt.

Die EGMR-Entscheidung „Libert/France“ im Detail

Der Entscheidung des Europäischen Gerichtshof für Menschenrechte (EGMR) lag folgender Sachverhalt zugrunde:

Der Beschwerdeführer war Angestellter der staatlichen französischen Eisenbahngesellschaft. Eine interne Unternehmensrichtlinie gestattete die private Nutzung in begrenztem Umfang. Private Dateien seien dann aber als „privat“ zu kennzeichnen.

Aufgrund einer Untersuchung, ausgelöst durch eine Beschwerde eines Kollegen, wurde der Beschwerdeführer für mehrere Monate suspendiert. Als er zu seinem Arbeitsplatz zurückkehrte, stellte er fest, dass sein Arbeitsrechner inspiziert wurde. Sein Nachfolger hatte während seiner Abwesenheit auf dem Laufwerk „D:/Persönliche Daten“ im Ordner „Zum Lachen“ pornografische Dateien entdeckt und Vorgesetze darüber informiert. Der Beschwerdeführer gab an, dass ihm Unbekannte Dritte über da Intranet die Dateien auf den dienstlichen PC übertragen hätten. Er wurde schließlich entlassen.

Der EGMR hatte nun darüber zu entscheiden, ob die Einsichtnahme in die Dateien den Beschwerdeführer in seinem Recht auf Privatleben aus Art. 8 Abs.1 EMRK verletzte. Eine Besonderheit lag darin, dass Art. 8 Abs.2 EMRK die Einschränkung des Abs.1 durch eine Behörde regelt. Dies spielte hier eine Rolle, da die staatliche französische Eisenbahngesellschaft, trotz privatrechtlicher Rechtsform, als „Behörde“ i.S.d. Art. 8 Abs.2 EMRK zu behandeln war. Für die nachfolgend dargestellten datenschutzrechtlichen Erwägungen spielte dies jedoch nur eine untergeordnete Rolle.

Rechtliche Bewertung durch den EGMR

Der EGMR stellte fest, dass die Vorinstanzen zurecht darauf hingewiesen hatten, dass

• bei allen Dateien, die der Beschwerdeführer auf seinem dienstlichen Computer erstellt habe, davon auszugehen war, dass sie dienstlicher Natur waren, mit Ausnahme solcher Daten, die ausdrücklich als „privat“ gekennzeichnet wurden.
• Auch richtig festgestellt wurde, dass ein Arbeitnehmer nicht ein gesamtes Laufwerk, das für berufliche Dateien bestimmt sei, für private Zwecke nutzen könne.
• der Begriff „persönliche Daten“ sich auf Dokumente beziehen kann, die der Mitarbeiter als persönlich behandelt, die jedoch nicht eindeutig seinem Privatleben zuzuordnen seien.
• Der streitgegenständliche Datei-Ordner als „persönlich“ und nicht „privat“ gekennzeichnet war.

Was Arbeitnehmer beachten sollten

Knackpunkt der Entscheidung war die Feststellung des EGMR, dass der Arbeitgeber Dateien, die nicht eindeutig als „private Dateien“ zu erkennen sind, grundsätzlich verwerten darf. Entsprechend drehten sich die Erwägungen des Gerichts überwiegend um die Frage, ob im vorliegenden Fall die abgerufenen pornografischen Dateien als „privat“ zu erkennen gewesen waren. Nur in diesem Fall hätte das „Recht auf Privatleben“ des Arbeitnehmers als Ausfluss des Schutzes der Privatsphäre Vorrang vor dem Interesse des Arbeitgebers an der Datenerhebung gehabt.

Will ein Arbeitnehmer nicht, dass seine privaten Dateien auf dem Arbeitsrechner durch den Arbeitgeber oder Kollegen geöffnet werden, sollte er idealerweise erst gar keine privaten Dateien auf dem Gerät abspeichern. Tut er dies doch, sollte er sicherstellen, dass die Dateien eindeutig als „private Dateien“ zu erkennen sind, etwa durch die Speicherung in einem unmissverständlich bezeichneten Ordner. Der Ordner-Name „Persönlich“ dürfte nach dem EGMR nicht ausreichen. Auch könnte an eine Verschlüsselung des Ordners gedacht werden.

Doch selbst für den Fall, dass die Dateien klar erkennbar privater Natur sind, ist der Arbeitnehmer nicht vor einer Einsichtnahme durch den Arbeitgeber geschützt: Eine Einsichtnahme durch den Arbeitgeber käme etwa bei einem konkreten Verdacht einer schweren Verfehlung in Betracht.

Skandalöses Verhalten einiger Sicherheitsleute in Flüchtlingsheimen, sowie Vorkommnisse bei der Bewachung von Großveranstaltungen haben zu einer Verschärfung des Bewachungsgewerbes geführt. Die Bewachungsbranche soll nun selbst stärker überwacht werden. Mit einem neuen Gesetzesentwurf wird die Rechtsgrundlage für ein sog. „Bewacherregister“ ab dem 1. Januar 2019 geschaffen. Wir haben uns die kommenden Änderungen näher angeschaut.

Hintergrund der Gesetzesnovelle

Mit dem Gesetz zur Änderung bewachungsrechtlicher Vorschriften vom 4. November 2016 (BGBl. I S. 2456) wurde § 34a Abs. 6 Gewerbeordnung eingeführt, der die Errichtung eines Zentralregisters im Bewachungsgewerbe (sog. „Bewacherregister“) bis zum 31. Dezember 2018 vorschreibt. Das Register wird beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eingerichtet und soll den Vollzug des Bewachungsrechts verbessern. Den zuständigen Behörden soll ermöglicht werden, bei Vor-Ort-Kontrollen die Zuverlässigkeit und fachliche Eignung von Gewerbetreibenden und Wachpersonen schnell und verlässlich festzustellen.

Das Register soll zudem die verpflichtende Regelabfrage bei der jeweiligen Landesbehörde für Verfassungsschutz im Rahmen der Zuverlässigkeitsüberprüfung von Bewachungsgewerbetreibenden und Wachpersonen mit besonders sicherheitsrelevanten Aufgaben erleichtern. Die Industrie- und Handelskammern werden verpflichtet an das Register Daten zu Sachkunde- und Unterrichtungsnachweisen elektronisch zum Abruf bereitzustellen.

Drei Stufen der Einführung

Die Einführung des Registers erfolgt in drei Stufen:

• In der 1. Stufe („Erstbefüllung Behördenregistrierung“), die bis zum 20.07.2018 laufen soll, sind die gem. § 34a GewO zuständigen Behörden selbst im System zu registrieren.
• In der 2. Stufe („Erstbefüllung Gewerbedaten“) ist seit dem 01.08.2018 das Register durch die zuständigen Behörden mit Daten zu den Gewerbebetreibenden, ihren Erlaubnissen und Gewerbebetrieben („Gewerbedaten“), die ihrer Zuständigkeit unterliegen, zu befüllen.
• In der 3. Stufe („Erstbefüllung Personaldaten“), soll dann ab dem 1.11.2018 die Erfassung der eigentlichen Wachpersonaldaten im Register beginnen. Die Gewerbetreibenden erhalten mit der Freigabe ihrer Daten ein Schreiben mit ihren Zugangsdaten zum Bewacherregister. Darüber stellen sie anschließend die Personaldaten im Rahmen der Erstbefüllung bereit.

Verschärfung des Bewachungsgewerbes

Noch Ende 2016 erfolgte eine Verschärfung der Zuverlässigkeitsprüfung für das Bewachungsgewerbe. Schon vorher durften Inhaber einer Wachschutzfirma und das eingesetzte Personal nicht einschlägig vorbestraft sein. Seit Ende 2016 müssen Behörden nun auch bei der Zuverlässigkeitsprüfung zwingend eine polizeiliche Stellungnahme für den Unternehmer und das Personal einholen. Zudem können die Behörden hier Stellungnahmen der jeweiligen Landesverfassungsschutz-Ämter abrufen. Ab 2019 wird aus dem „können“ ein „müssen“, wenn es um Sicherheitskräfte in sensibleren Bereichen oder Führungskräfte geht. Das Bewacherregister soll diesen Prozess nun vereinfachen und insgesamt den Informationsaustausch hinsichtlich Behörden und Gewerbetreibenden in diesem Bereich beschleunigen.

Nach dem vorliegenden Gesetzesentwurf soll der bisherige § 11b GewO, der die Übermittlung personenbezogener Daten innerhalb der Europäischen Union und des Europäischen Wirtschaftsraumes bei reglementierten Berufen regelt, zu § 11c GewO werden. An seine Stelle tritt dann der neue „§ 11b Bewacherregister“.

Die neue Fassung des § 11b GewO im Detail

Die wesentlichen Neuerungen lassen sich wie folgt zusammenfassen:

• § 11b Abs.1 legt als Registerbehörde für das Bewacherregister das BAFA fest.
• § 11b Abs.2 enthält einen umfangreichen Datenkatalog, der nach Ansicht des Gesetzgebers die gem. § 34a erforderlichen Daten aufzählt, die im Register im Einzelnen zu verarbeiten sind. Der Katalog untergliedert sich in Unterkategorien mit jeweils weiteren Festsetzungen hinsichtlich der zu verarbeitenden Daten in bestimmten Kontexten, wie beispielhaft Daten zur Identifizierung und Erreichbarkeit des Gewerbetreibenden (Nr.1); Daten zur Identifizierung und Erreichbarkeit des Gewerbebetriebs (Nr.2); Daten zur Identifizierung und Erreichbarkeit von Wachpersonen (Nr.3); Umfang bzw. Erlöschen der Erlaubnis zum Betreiben eines Bewachungsgewerbes gem. §34a GewO (Nr. 4), Daten zu Sachkunde- und Unterrichtungsnachweisen der Industrie- und Handelskammern (Nr.10) usw. Hier sind zum Teil umfangreiche Datensätze über die eingesetzten Wachpersonen anzugeben (vgl. § 11b Abs.2. Nr.3 GewO).
• § 11b Abs.3 regelt die Speicherung von Statusangaben zum Ablauf der Verfahren und Prozesse im Register.
• § 11b Abs.4 konkretisiert die Daten die zu Sachkunde- und Unterrichtungsnachweisen elektronisch zum Abruf bereitzustellen sind. Zu diesem Zweck hat die DIHK (Deutsche Industrie- und Handelskammertag e. V.) eine entsprechende Datenbank aufzubauen, die ab dem 1. Januar 2019 vom Register angefragt wird.
• § 11b Abs.5 trifft Regelungen zur elektronischen Anmeldung von Wachpersonen und Führungspersonals durch den Gewerbetreibenden vor. Hier ist eine Kopie des Ausweisdokuments in das Register hochzuladen.
• In § 11b Abs.6 werden engmaschige Meldepflichten gegenüber den nach § 34a zuständigen Behörden und insbesondere auch gegenüber Gewerbetreibenden an das Register auferlegt.
• § 11b Abs.7 führt schließlich die konkreten Anlässe für Eintragungen, Löschungen und Datenänderungen der in Abs. 2 aufgeführten Daten auf.
• § 11b Abs.8 trifft Regelungen zur Löschung der im Register enthaltenen Daten auf. Bemerkenswert ist, dass Abs.8 keine Löschung der einmal registrierten Unzuverlässigkeit im Register vorsieht. Eine solche negative Eintragung kann im Wesentlichen nur durch eine neue Entscheidung in der Sache „überschrieben“ werden.
• § 11b Abs.9 ermächtigt die Bundesregierung zum Erlass von Verordnungen, durch welche weitere Einzelheiten hinsichtlich der Datensätze nach Abs.2, zu Datenübermittlungen an die Registerbehörde und etwa der Errichtung von Schnittstellen des Registers getroffen werden können.

Änderungen vorbehalten

Der besprochene Entwurf wird sicher nicht das Ende vom Lied sein. In der sog. „Gegenäußerung der Bundesregierung zu der Stellungnahme des Bundesrates zum Entwurf eines Zweiten Gesetzes zur Änderung bewachungsrechtlicher Vorschriften“, das im Gesetzesentwurf als Anlage 4 beigefügt ist, heißt es lapidar:

„Viele Anwendungen sind im Zusammenhang mit dem Bewacherregister wünschenswert, aber nicht bereits zum 1. Januar 2019 umsetzbar. Im künftigen laufenden Betrieb des Registers werden Weiterentwicklungen geprüft, die dann gesetzlich umzusetzen wären.“

Das Bewachungsgewerbe wird sich daher auf weitere Änderungen einstellen dürfen.

Ein Betriebsrat suchte erfolgreich sein Recht vor dem Landesarbeitsgericht München. Der Hintergrund: Bei existierenden Schwangerschaft kam es in dem Betrieb nicht zu einer zwingenden Mitteilung über die Person der Schwangeren an den Betriebsrat. Dieser fordert daher eine solche Mitteilung gerichtlich ein, um seinen Pflichten aus dem Betriebsverfassungsgesetz nachkommen zu können.

Der Betriebsrat sah sich bei Schwangerschaft vernachlässigt

Das Landesarbeitsgericht München (LAG München, Beschluss vom 27.9.2017 – 11 TaBV 36/17) beschäftigte sich mit den Rechten des Betriebsrates im Spannungsverhältnis zum Recht auf informationelle Selbstbestimmung und datenschutzrechtlichen Bestimmungen.

Konkret forderte der Betriebsrat, dass der Arbeitgeber ihn über ihm bekannte Schwangerschaften in Kenntnis setze. Denn in der Praxis des Unternehmens stellte der Arbeitgeber es einer Schwangeren frei, ob sie diese Information dem Betriebsrates zukommen lassen möchte oder dieser Weitergabe widerspreche. Im letzteren Falle setzte der Arbeitgeber nur einen bestimmten Personenkreis, wie der Führungskraft der Schwangeren, von der bestehenden Schwangerschaft in Kenntnis. Gleichzeitig wurde eine Gefährdungsbeurteilung nach dem Mutterschutzgesetz durch die Führungskraft durchgeführt. Stellte sich als Ergebnis der Beurteilung heraus, dass die Schwangere ihrer Arbeit nicht weiter nachkommen konnte, wurde der Betriebsrat erst mit der Versetzungsmeldung gemäß § 99 BetrVG über die Schwangerschaft informiert.

BetrVG vs. Informationelle Selbstbestimmung und Datenschutzrecht

Das Landesarbeitsgericht hat die Entscheidung des Arbeitsgerichts München bestätigt. Bereits dieses hatte den Interessen des Betriebsrats den Vorzug gegeben.

Ausgangspunkt der Entscheidung ist § 80 Abs. 1 Nr. 1 i.V.m. Abs. 2 Satz 1 (insbesondere im Hinblick auf das Mutterschutzgesetz und 89 BetrVG). Aus diesen Verpflichtungen des Betriebsrates ergibt laut den Ausführungen des Gerichts auch ein Informationsanspruch:

„(1) Der Betriebsrat hat folgende allgemeine Aufgaben:

1.  darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, (…) durchgeführt werden;
   […]

(2) Zur Durchführung seiner Aufgaben nach diesem Gesetz ist der Betriebsrat rechtzeitig und umfassend vom Arbeitgeber zu unterrichten; die Unterrichtung erstreckt sich auch auf die Beschäftigung von Personen, die nicht in einem Arbeitsverhältnis zum Arbeitgeber stehen, und umfasst insbesondere den zeitlichen Umfang des Einsatzes, den Einsatzort und die Arbeitsaufgaben dieser Personen.“

Der Betriebsrat argumentierte, dass er die Einhaltung des Mutterschutzgesetzes zu überwachen habe. Allerdings würde diese Aufgabe durch den Arbeitgeber dadurch beschränkt, dass er auf Grundlage des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung, den Informationsfluss zum Betriebsrat einschränkte, wenn dies dem Willen der Schwangeren entsprach.

Der Arbeitgeber führte dagegen an, dass es sich bei der Vorschrift zur Mitteilung der Schwangerschaft (mittlerweile aufgehoben: § 2 – MuSchArbV) an den Arbeitgeber für die Mitarbeiterin um eine Sollvorschrift handele. Daher müsse es ihr auch freistehen zu bestimmen, ob diese Information an den Betriebsrat weitergegeben werde. Des Weiteren würde die Schwangere durch die gesetzlich vorgeschriebene Mitteilung an die entsprechende Aufsichtsbehörde abgesichert, da deren umfassenden Befugnisse eine ausreichende Überwachung des Mutterschutzgesetzes gewährleisten.

Aus den Gründen…

Das Gericht folgte der Auffassung nicht und kam zu der Überzeugung, dass eine bloße Verlagerung der Überwachungspflichten in Hinblick auf den Mutterschutz auf die Aufsichtsbehörden nicht in Frage komme, da diese von außerhalb nicht ansatzweise die gleichen Schutzmöglichkeiten wie der Betriebsrat hätten.

Ebenfalls als nicht ausreichend wurde eine generelle Angabe, ohne Konkretisierung auf eine bestimmte Person bewertet, dass eine Schwangerschaft in einer bestimmten Abteilung bestünde. Denn ohne das Wissen, um welche Person es sich handele, könne die Überwachung nicht effizient gewährleistet werden. Darüber hinaus könne die Person auch nicht im Hinblick auf ihre Rechte beraten oder andere Mitarbeiter sachgerecht belehrt werden. Die Rechte des Betriebsrates seien auch nicht als disponibel anzusehen, was bedeutet, dass sie weder durch die Schwangere noch durch den Arbeitgeber verändert werden können.

Recht auf informationelle Selbstbestimmung

Die Schwangerschaft ist eine Information, die den Schutz des Rechts auf informationelle Selbstbestimmung, genießt, welche als besonders sensible Information der Intimsphäre der Grundrechtsträgerin zugeordnet ist.

Das Gericht hat den Eingriff in dieses Grundrecht aber als verhältnismäßig bewertet. Im Rahmen der Verhältnismäßigkeit prüfte das Gericht, ob die (gesetzlich festgelegten) Interessen des Betriebsrats im Verhältnis zu den Interessen der Schwangeren standen:

Die Verpflichtung den Namen der Schwangeren mitzuteilen, sei dazu geeignet, dass der Betriebsrat seine Pflichten insbesondere im Hinblick auf den Mutterschutz wahrnehmen könne. Erforderlichkeit bestünde ebenfalls, gerade im Hinblick auf die bereits genannten Argumente. Ein milderes, gleich geeignetes Mittel stehe nicht zur Verfügung, um dem Betriebsrat zur Wahrnehmung seiner Interessen zu verhelfen.

Auch die Angemessenheitsprüfung kommt zu keinem anderen Ergebnis: Als Hauptargumente werden an dieser Stelle genannt, dass die Mitteilung an den Betriebsrat im Interesse der Schwangeren erfolge. Eben nur durch diese Mitteilung werde der Betriebsrat in die Lage versetzt, beispielsweise die Einhaltung des Mutterschutzgesetzes zu überwachen. Außerdem gebe die Schwangere ihre Schwangerschaft auch bereits durch die Mitteilung an Arbeitgeber in stückweise der Öffentlichkeit preis. Ebenso wie die Information an Führungskräfte zur Gefährdungsbeurteilung weitergegeben werden dürfe, soll auch der Betriebsrat Kenntnis erhalten, um seine Pflichten zu wahren (und dies zum Vorteil der Schwangeren).

Datenschutz

Auch im Hinblick auf den Datenschutz kommt das Gericht zu keiner anderen Bewertung. Im Rahmen des § 3 Abs. 9 BDSG-alt könnte Schwangerschaft als sensibles Gesundheitsdatum anzusehen sein. Die Schwangerschaft sollte nicht als Krankheit betrachten werden, der Schutz der Gesundheit der Mutter stellt aber die Verbindung zum Gesundheitsdatum dar, sodass es sich hier um Gesundheitsdaten handele. Allerdings sei der Betriebsrat nicht als Dritter im Sinne von § 3 Abs. 4 Nr.3 BDSG-alt zu sehen, da er selbst Teil der Stelle sei (vgl. BAG Beschluss v. 07.02.2012 – 1 ABR 46/10). Im Rahmen der Abwägung von § 28 Abs. 6 Nr. 3 BDSG gelangt das Gericht auch nicht zu überwiegenden Interessen der Schwangeren, die gegen die Übermittlung ihres Namens sprechen könnten (diese Vorschrift ginge als speziellere Norm, § 32 BDSG vor).  Auf Argumente, die zuvor im Rahmen des informationellen Selbstbestimmungsrechts angebracht worden sind, wird Bezug genommen. Außerdem werden die in § 5 BDSG-alt und § 79 BetrVG verankerten Geheimhaltungspflichten als ausreichend schützend für die Information über die Schwangerschaft erachtet, dies auch unter dem Gesichtspunkt, dass die Schwangere ihre bestehende Schwangerschaft bereits dem Arbeitgeber mitgeteilt hat.

Anspruch des Betriebsrates besteht weiterhin

Dem Anspruch des Betriebsrates stehen daher weder das informationelle Selbstbestimmungsrecht, noch das Datenschutzrecht entgegen. Wie bereits erläutert, stehen die Regelungen des BetrVG nicht zur Disposition der Schwangeren.

Das Urteil bezieht sich in Teilen auf § 2 der Verordnung zum Schutze der Mütter am Arbeitsplatz (MuSchArbV). Diese Verordnung wurde mittlerweile aufgehoben. Die in der Verordnung geregelte Mitteilungspflicht an den Betriebsrat findet sich nicht mehr im nun geltenden MuSchG. Allerdings hatte das Gericht seinen Entscheidung auf  § 80 Abs. 1 Nr. 1 i.V.m. Abs. 2 Satz 1 a und § 89 BetrVG gestützt und die dort geregelten Pflichten des Betriebsrates, welcher sich dafür einzusetzen hat, dass die Vorschriften des Arbeitsschutz und Unfallverhütung eingehalten werden. Diese Regelungen gelten freilich fort. Daher dürften die in dem Urteil getroffenen Wertungen und Abwägungen trotz Wegfall der Verordnung nicht anders bewertet werden.

Auswirkungen des Urteils

Der Beschluss des LAG München ist noch auf Grundlage des alten BDSG ergangen. Allerdings finden sich die Vorschriften zu Gesundheitsdaten auch in Art. 9 DSGVO und § 22 BDSG. Die im Rahmen von § 28 BDSG-alt angestellte Abwägung wird nach heutiger rechtlicher Lage gemäß § 26 Abs.3 BDSG erfolgen, in welcher ebenfalls eine Abwägung anzustellen ist. Da die gleichen Erwägungen einzustellen wären, ist nicht davon auszugehen, dass das Gericht zu einem anderen Ergebnis gelangen würde.

Das Landesarbeitsgericht billigte dem Betriebsrat einen anlasslosen Informationsanspruch zu. Das Gericht erachtet es als erforderlich, dass der Arbeitgeber dem Betriebsrat den Namen der Schwangeren nennt, um die Überwachung des Mutterschutzes optimal zu gewährleisten. Es kommt dadurch zu einer Einschränkung des Persönlichkeitsrechts (Recht auf Informationelle Selbstbestimmung) der Schwangeren, die aber vom Gericht als verhältnismäßig betrachtet wird. Auch aus dem Datenschutzrecht erkennt das Gericht nicht auf ein überwiegendes Interesse zugunsten der Schwangeren. Die Rechte des Betriebsrates werden durch diese Entscheidung gestärkt.

Die Schwangere wird in ihrer Intimsphäre betroffen, demnach handelt es sich um einen der stärksten möglichen Einschränkungen ihres Rechts auf informationelle Selbstbestimmung. Das Gericht hat die Rechtsbeschwerde zugelassen. Daher ist abzuwarten, ob das Bundesarbeitsgericht, die durch den Beschluss des Landesarbeitsgerichts bestätigte Entscheidung des Arbeitsgerichts stützt.

Mit Art. 20 DSGVO hat das Recht auf Datenübertragbarkeit als Betroffenenrecht Einzug in den deutschen Datenschutz gefunden. Oft wird dieses Recht nur im Zusammenhang mit Online-Dienstleistungen gesehen, wie z.B. beim Wechsel eines Kunden zu einer anderen Social Media Plattform oder einem Musikportal. Der Artikel versucht zu klären, ob dieses Recht auch im Beschäftigungsverhältnis geltend gemacht werden kann.

Umfang des Anwendungsbereichs

Bei Art. 20 DSGVO stellt sich zunächst die Frage, ob dieser auf den Bereich der Beschäftigungsverhältnisse überhaupt anwendbar ist? Wie schon erwähnt, liegt der ursprüngliche gewollte Anwendungsbereich der Norm bei Online-Dienstleistungen, die sich an Verbraucher richten. Hierunter fallen z.B. soziale Netzwerke, Filmportale, E-Mail-Provider oder Cloud-Anbieter. Der Wortlaut der DSGVO beschränkt den Anwendungsbereich des Art. 20 DSGVO jedoch nicht, so dass nicht ausgeschlossen werden kann, dass das Recht auf Datenübertragbarkeit nicht auch auf das Arbeitgeber/Arbeitnehmer-Verhältnis angewendet werden kann.

§ 26 BDSG als Hindernis für die Anwendung

Die Anwendung des Art. 20 DSGVO auf Beschäftigungsverhältnisse könnte durch die speziellere Norm des § 26 BDSG verhindert werden. Nach Art. 88 DSGVO können spezialgesetzliche Normen für den Bereich Arbeitsverhältnisse erlassen werden, die dann vorrangig zur DSGVO anzuwenden sind. Hiervon wurde durch § 26 BDSG Gebrauch gemacht. Der § 26 BDSG beinhaltet aber keine Regelung über das Rechts auf Datenübertragbarkeit, die gegenüber Art. 20 DSGVO vorrangig anzuwenden wäre. Somit modifiziert der § 26 BDSG das Recht auf Datenübertragbarkeit nicht und schließt es für Beschäftigungsverhältnisse auch nicht aus.

Einwilligung oder Vertrag

Erste Voraussetzung für die Anwendung des Art. 20 DSGVO ist, dass der Betroffene seine Daten aufgrund einer Einwilligung oder eines Vertrags an den Verantwortlichen übermittelt hat. In Arbeitsverhältnissen werden hohe Anforderungen an die Einwilligung eines Arbeitnehmers gestellt. Freiwilligkeit wird dann angenommen, wenn der Arbeitgeber durch die Einwilligung einen wirtschaftlichen oder rechtlichen Vorteil erlangt. Hierdurch wird der Anwendungsbereich der Einwilligung in Beschäftigungsverhältnissen erheblich eingeschränkt. Als Alternative, um das erste Tatbestandsmerkmal des Art. 20 DSGVO zu erfüllen, kann aber auf den Arbeitsvertrag verwiesen werden. Da zur Begründung des Arbeitsverhältnisses grundsätzlich immer ein Vertrag geschlossen wird, durch den dem Arbeitgeber personenbezogene Daten des Arbeitnehmers zugehen, wird hierdurch die erste Anforderung des Art. 20 DSGVO erfüllt. Das Recht auf Datenübertragbarkeit greift nicht, wenn die Datenverarbeitung auf Art. 6 Abs. 1, lit. f) DSGVO oder einer Betriebsvereinbarung basiert.

Bereitgestellte Daten

Der Begriff des Bereitstellens ist in der DSGVO nicht definiert. Er ist nach Auffassung der Artikel-29-Datenschutzgruppe wegen der politischen Ziele des Rechts auf Datenübertragbarkeit grundsätzlich weit auszulegen. Hierunter fallen zumindest alle wissentlich und aktiv zur Verfügung gestellten Daten. Im Bereich der Beschäftigungsverhältnisse gehören hierzu z.B. Unterlagen die sich in der Bewerbungsmappe finden, Stammdaten die der Arbeitnehmer zur Verfügung stellt oder Daten die ein Arbeitnehmer in einem Intranet zur Verfügung stellt.

Ausnahmen des Art. 20 Abs. 4 DSGVO

Nach Absatz vier darf das Recht auf Datenübertragbarkeit die Recht und Freiheiten anderer Personen nicht beeinträchtigen. Ein Vergleich mit den anderen sprachlichen Fassungen der DSGVO legt jedoch offen, dass es sich bei dem Verweis um einen redaktionellen Fehler handelt. Andere Personen sind nicht nur Dritte, sondern auch der Verantwortliche selbst. Daher sind durch die Norm auch Rechte und Freiheiten des Arbeitgebers umfasst. Unter den Begriff „Rechte und Freiheiten“ fallen alle vom europäischen Primärrecht geschützten Individualinteressen. Ein solches geschütztes Primärrecht eines Arbeitgebers kann gefährdet sein, wenn durch die Erfüllung eines Anspruchs auf Datenübertragbarkeit gleichzeitig Betriebs- oder Geschäftsgeheimnisse des Arbeitgebers verletzt werden.

Auswirkungen für die Praxis

Nach Auslegung des Art. 20 DSGVO kann das Beschäftigungsverhältnis vom Recht auf Datenübertragbarkeit nicht ausgeklammert werden. Was allerdings aus juristischer Sicht vertretbar erscheint, kann zu erheblichen Problemen in Unternehmen führen, da bei zahlreichen Prozessen in Unternehmen Daten des Arbeitsnehmers, zur Durchführung des Arbeitsvertrags, an den Arbeitgeber fließen. Hierbei kann es zu ausufernden Ergebnissen kommen, wenn z.B. auch die erfassten personenbezogenen Daten eines Mitarbeiters für ein Protokoll zur Dokumentation einer Projektsitzung auf einmal unter das Recht auf Datenübertragbarkeit fallen. Im Zweifel müssen sich Arbeitgeber hier auf Abs. 4 berufen.

Sogenannte Compliance-Hotlines erfreuen sich in den USA großer Beliebtheit. Auch in deutschen Unternehmen erhalten Mitarbeiter und Externe die Möglichkeit, Missstände im Unternehmen anzuzeigen, Fälle sexueller Belästigung zu melden oder auch einfach Fragen zu stellen. Wegen der beteiligten Parteien und entgegenstehenden Interessen sind die datenschutzrechtlichen Aspekte dabei nicht zu vernachlässigen.

Neuigkeiten nach der DSGVO

Die Anforderungen an die Whistleblowing-Hotline haben wir bereits hier im Blog aufgegriffen. Die Datenschutzkonferenz hat darüber hinaus ebenfalls eine Orientierungshilfe zu Whisteblowing-Hotlines (Stand November 2018) veröffentlicht. Diese sollen Unternehmen bei firmeninternen Warnsystemen unterstützen.

Vor gut einer Woche wurde auf europäischer Ebene zudem ein einheitlicher Schutz beschlossen (Pressemitteilung vom 12.03.2019), das aber erst durch die Mitgliedstaaten in nationales Recht umgewandelt werden muss. Das Thema ist und bleibt aktuell.

Einwilligung erforderlich?

Für die Verarbeitung personenbezogener Daten im Rahmen der Whistleblowing-Hotlines sind die Rechtsgrundlagen des Art. 6 Abs. 1 lit. f 1 DSGVO und § 26 BDSG-neu heranzuziehen. Diese gelten jedoch nicht für die Identität des Hinweisgebers, denn eine Meldung sollte auch anonym erfolgen können. Eine Pflicht zur Offenlegung der eigenen Identität gibt es demnach nicht. Die Abgabe eines personenbezogenen Hinweises kann somit nur auf die Einwilligung gestützt werden.

Für die informierte Einwilligung müssen in diesem Fall einige Besonderheiten beachtet werden. So muss der Hinweisgeber darüber aufgeklärt werden, dass die Identität sowohl für interne als auch für außergerichtliche Schritte genutzt werden kann.

Identität des Hinweisgebers offenlegen?

Nach der oben erwähnten Orientierungshilfe ist auch der Beschuldigte über die Identität des Hinweisgebers zu informieren. Eine solche Pflicht könnte sich aus Artikel 14 DSGVO ergeben. Demnach umfasst die Informationspflicht nach Artikel 14 Abs. 2 lit. f DSGVO auch die Quelle personenbezogener Daten. Allerdings lässt sich m.E. durchaus vertreten, als Quelle lediglich auf die Whistleblowing-Hotline zu verweisen und nicht die Identität eines konkreten Hinweisgebers zu offenbaren.

Soll die Identität jedoch tatsächlich offenbart werden, müsste die Einwilligung ausdrücklich darauf hinweisen. Außerdem wäre klarzustellen, dass die Einwilligung mit Bekanntgabe der Identität nicht mehr widerrufen werden kann. Die Orientierungshilfe nennt den Zeitraum von 1 Monat bis diese geschehen muss.

Informationspflichten nicht vergessen

Auch hier sind – wie gewohnt –  neben der Aufklärung im Rahmen der Einwilligung die Informationspflichten nach Artikel 13 und 14 DSGVO zu beachten. Im Sinne der Transparenz ist dies auf der Plattform den Mitarbeitern oder ggf. Externen zur Verfügung zu stellen. Gerade diese Informationen sind mit Hinblick auf die mögliche Komplexität und Auswirkung einer Meldung transparent zu gestalten und verständlich zu formulieren.

Die Erfüllung der Informationspflichten dieser Compliance- und Whistleblowing-Hotlines ist im Trubel der Datenschutz-Grundverordnung seit Mai 2018 vielleicht untergegangen. Wichtig ist es jedoch, das nun nachzuholen.

Motivation und Zufriedenheit der Mitarbeiter können erfolgsbestimmend für ein Unternehmen sein. Eine Mitarbeiterbefragung kann zur richtigen Entscheidung im richtigen Moment führen und vor allgemeiner Unzufriedenheit im Unternehmen bewahren, Fachkräfte binden und im besten Fall Vertrauen zur Führungsebene schaffen oder stärken. Kein Wunder also, dass Chef oder Projektleitung regelmäßig großes Interesse an der Meinung des Teams oder der Belegschaft haben.

Alles neu macht der 25. Mai?

Dabei sind das Mittel der Wahl oft Mitarbeiterbefragungen. Doch was ist seit Geltung der DSGVO nun bei solchen Umfragen im Betrieb zu beachten? Grundsätzlich sind die datenschutzrechtlichen Fragestellungen gleich geblieben: Erheben Sie bei Mitarbeiterumfragen personenbezogene Daten, brauchen Sie eine Rechtsgrundlage. Es liegt nahe, zunächst nach einer speziellen Regelung zum Beschäftigtendatenschutz zu suchen.

Zu alten BDSG-Zeiten war der Beschäftigtendatenschutz in § 32 BDSG-alt speziell geregelt. Die DSGVO enthält ebenfalls keine konkreten, bereichsspezifischen Regelungen. Der Beschäftigtendatenschutz richtet sich also nach den allgemeinen Regelungen der DSGVO. Aber: Art. 88 Abs. 1 DSGVO enthält für den Beschäftigtendatenschutz eine Öffnungsklausel. Öffnungsklauseln schaffen Handlungsoptionen für den nationalen Gesetzgeber. Der deutsche Gesetzgeber hat von dieser Klausel durch Erlass des § 26 BDSG Gebrauch gemacht. § 26 BDSG setzt die Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses voraus. Der Begriff des Beschäftigten wird in § 26 Abs. 8 BDSG legal definiert.

Im Gegensatz zu den engen arbeitsrechtlichen Regelungen ist dieser sehr weit gefasst und erstreckt sich zur Gewährleistung eines umfassenden Schutzes auf alle möglichen Arbeitsverhältnisse, auf Bewerber ebenso wie auf Azubis oder Zivis. Für Bedienstete und Beschäftigte bei Behörden und öffentlichen Stellen des Bundes und Länder – einschließlich der Kommunen – gelten besondere bundes- und landesspezifische Regelungen (z. B. beamtenrechtliche Vorschriften). Die Regelungen des § 26 BDSG finden dann keine Anwendung.

§ 26 BDSG ist im Vergleich zum alten § 32 BDSG-alt länger. Das liegt vor allem daran, dass die Regelung besonderer Kategorien personenbezogener Daten direkt in § 26 BDSG selbst und nicht wie bislang in § 28 Abs. 6 bis 8 BDSG-alt erfolgt.

Datenschutzrechtliche Zulässigkeit der Mitarbeiterbefragung

Wie schon nach altem Recht ist jedoch die Abgabe einer Meinung durch den Arbeitnehmer bzw. Kritik am Arbeitgeber nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich. § 26 BDSG scheidet also als Rechtsgrundlage aus.

Werden Beschäftigtendaten zu anderen Zwecken verarbeitet, die nicht in direkten Zusammenhang mit dem konkreten Beschäftigungsverhältnis stehen, ist auf die allgemeinen Regelungen der DSGVO zurückzugreifen, insbesondere auf Art. 6 Abs.1 S. 1 lit. f DSGVO. Nun ist es durchaus im Interesse des Arbeitnehmers zu wissen, wie die Stimmung im Unternehmen ist und wie es um die Zufriedenheit des einzelnen Mitarbeiters steht. Dennoch wiegen die Interessen der einzelnen Mitarbeiter schwerer: Sie können Ihre Mitarbeiter nicht dazu zwingen, Ihnen ihre Meinung zu sagen.

Bleibt die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), eine mehr schlecht als rechte Rechtsgrundlage: Zwar zeigt § 26 Abs. 2 BDSG das auch im Beschäftigtenverhältnis trotz des dortigen Über-/Unterordnungsverhältnisses die Einwilligung als Rechtsgrundlage grundsätzlich in Betracht kommt, die Messlatte für eine tatschlich rechtswirksame Einwilligung im Job liegt aber sehr hoch. So heißt es in § 26 Abs. 2 S. 2 BDSG:

„Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.“

Bei einer freiwilligen Mitarbeiterumfrage auf Basis einer Einwilligung wird ein Arbeitnehmer realistischerweise negative Konsequenzen erwarten, wenn er die Einwilligung verweigert oder unter Klarnamen seine ggf. deutliche Kritik am Arbeitgeber äußert. Ein Vorteil für den Arbeitnehmer ist hier kaum zu sehen.

Tipps zur Durchführung von Mitarbeiterbefragungen

Es empfiehlt sich daher, die Mitarbeiterbefragung grundsätzlich anonym durchzuführen. Gestalten Sie ihre Umfragen so, dass keine Rückschlüsse auf den einzelnen Arbeitnehmer möglich sind. Dann erheben Sie keine personenbezogenen Daten und fallen mit Ihrer Umfragen nicht in den Anwendungsbereich der DSGVO. Wie können Sie dies sicherstellen? Hier die wichtigsten Punkte, die Sie bei jeder Mitarbeiterbefragung beachten sollten:

• Freiwilligkeit
  Sie können Mitarbeiter nicht zur Teilnahme verpflichten. Machen Sie deutlich, dass Ihnen dies bewusst ist.
• Transparenz
  Informieren Sie die Mitarbeiter in klarer und einfacher Sprache umfassend über Ablauf, Gegenstand und Sinn und Zweck der Mitarbeiterbefragung. Ein Hinweis im Intranet ist hierfür nicht ausreichend. Machen Sie außerdem transparent, wie und was ausgewertet wird. Nehmen Sie stets den Hinweis auf die Freiwilligkeit in die Informationen wie auch die Fragebögen auf.
• Anonymität
  Wie oben angeführt dürfen Mitarbeiter nicht nachträglich identifiziert werden. Denken Sie daran, dass auch durch Kombination von „Statistik“-Daten eine Identifizierung möglich sein kann. Je nach Größe des Betriebs reichen Alter, Geschlecht und Dauer der Betriebszugehörigkeit. Ähnliche Schwierigkeiten ergeben sich, wenn eine Auswertung bezogen auf kleine Organisationseinheiten vorgesehen ist. Hat eine Abteilung nur drei Mitarbeiter, kann die Anonymität sehr schnell aufgehoben sein. Zu empfehlen ist eine Auswertung pro Organisationseinheit erst ab sieben Mitarbeitern. Dieses Problem lässt sich ansonsten aber durch Zusammenfassung der Daten bei der Auswertung lösen.
• Betriebsrat einbinden
  Holen Sie den Betriebsrat ins Boot. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei der Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ohnehin mitzubestimmen. Zur Überwachung „bestimmt“ sind technische Einrichtungen, wenn sie objektiv geeignet sind, Verhaltens- oder Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen. Dies dürfte auf entsprechende Umfragetools jedenfalls zutreffen. Sinnvoll ist die Einbindung des Betriebsrats zur Steigerung der Akzeptanz immer.
• Datenschutzbeauftragte*n einbinden
  Um Probleme von vornherein zu vermeiden ziehen Sie bereits im Planungsstadium die/den Datenschutzbeauftragte*n hinzu. Diese*r kann Sie auch, wenn ein solcher gewünscht ist, bei der Auswahl eines Dienstleisters und dem Abschluss eines Auftragsverarbeitungsvertrags unterstützen.
• Die richtigen Fragen stellen
  Vermutlich die schwerste aller Aufgaben im Rahmen einer Mitarbeiterumfrage. Schon wie sie fragen beeinflusst die Antworten. Behalten Sie ihr Ziel im Auge und planen Sie sorgfältig. Zudem ist es auch hier sinnvoll, die/den Datenschutzbeauftragte*n miteinzubeziehen.

Wie in vielen Bereichen hat sich durch die DSGVO auch für Mitarbeiterumfragen in Wahrheit nicht viel geändert. Die entscheidenden Fragen sind dieselben, die Wahrnehmung aber ist eine andere. Eine sorgfältige, datenschutzkonforme Umsetzung Ihrer Umfragepläne ist daher anzuraten.

Wir berichten heute über die Antwort des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) auf eine Anfrage des GDD Erfahrungsaustauschkreises (kurz: Erfa) Coburg. Dieser hatte das BayLDA um Stellungnahme gebeten, auf welche Rechtsgrundlage die Übermittlung von Daten von Ansprechpartnern zwischen Unternehmen im B2B-Bereich gestützt werden kann.

Hohe Praxisrelevanz im Arbeitsalltag

Wenn Unternehmen miteinander in geschäftlichen Kontakt stehen, wird nach dem Erstkontakt, beispielsweise über eine allgemeine E-Mail-Adresse wie info@rocketstartup.de, schnell über die Kontaktdaten von Angestellten kommuniziert. Der Frank aus dem Vertrieb von Unternehmen A schreibt dann direkt dem Gustl aus dem Einkauf von Unternehmen B.

Wenn nun die Kontaktdaten von Ansprechpartnern im B2B-Bereich veröffentlicht oder sonst übermittelt werden, findet eine Verarbeitung personenbezogener Daten statt. Wegen des generellen Verbots mit Erlaubnisvorbehalt – d.h. jede Verarbeitung personenbezogener Daten ist verboten, es sei denn es gibt eine „Rechtfertigung“ – muss eine Rechtsgrundlage für die Datenverarbeitung her.

Vor diesem Hintergrund hat der GDD-Erfa-Kreis Coburg folgende Anfrage zur Rechtsgrundlage gestellt:

„Wenn Kontaktdaten von Ansprechpartner der B2B-Kunden verarbeitet werden, wie z. B. die Geschäfts-E-Mail-Adresse und Name, handelt es sich hierbei ja auch um personenbezogene Daten (wenn die E-Mail-Adresse aus Vor- und Nachnamen) besteht. Die Ansprechpartner werden im Rahmen des E-Mailkontaktes bei Datenerhebung bzgl. der Punkte des Art. 13 EU-DS-GVO in einem PDF hingewiesen. Es wird als Rechtsgrundlage Art. 6 Abs. 1 lit. b DS-GVO angegeben, da die Kontaktdaten der Ansprechpartner zur Durchführung des Rechtsgeschäftes mit dem Kunden benötigt werden. Ist die Rechtsgrundlage korrekt?“

Verarbeitung zur Vertragsanbahnung oder Erfüllung eines Vertrages

Wegen des geschäftlichen Kontextes ist es naheliegend, die Verarbeitung der Kontaktdaten eines Ansprechpartners auf die Rechtsgrundlage der Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b DSGVO zu stützen. Schließlich geschieht im B2B-Bereich alles im weitesten Sinne zur Anbahnung eines Vertrages oder zur Durchführung eines Vertrages.

Der Wortlaut des Art. 6 Abs. 1 lit. b DSGVO ist aber sehr restriktiv. Danach kann die Verarbeitung nur in folgenden Fällen auf die Rechtsgrundlage der Vertragsdurchführung gestützt werden:

„die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“

Wenn man das Gesetz also beim Wort nimmt, müssten die Ansprechpartner selbst Vertragspartei sein oder bei einer Vertragsanbahnung werden wollen. Das wird in der Praxis fast nie der Fall sein.

Alternative Rechtsgrundlagen

Alternativ könnte die Weitergabe der Kontaktdaten auf folgende Rechtsgrundlagen gestützt werden:

• Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses, § 26 Abs. 1 S.1 BDSG
• Einwilligung des Mitarbeiters, Art. 6 Abs. 1 lit. a DSGVO
• Das berechtigte Interesse des Arbeitgebers, Art. 6 Abs. 1 lit. f DSGVO

Erforderlichkeit für die Durchführung des Beschäftigungsverhältnisses

Im Rahmen des Beschäftigungsverhältnisses könnte man die Weitergabe von Kontaktdaten ggf. auf die Rechtsgrundlage der Erforderlichkeit zur Durchführung des Beschäftigungsverhältnisses stützen. Dafür spricht, dass die Herausgabe von Kontaktdaten bei vielen Stellen notwendig ist, damit der Mitarbeiter seinen Job machen kann.

Problematisch ist hierbei allerdings, dass bei dem Merkmal der Erforderlichkeit eine Verhältnismäßigkeitsprüfung vorzunehmen ist. Es darf also kein milderes, zur Erreichung des Zwecks gleich geeignetes Mittel zur Verfügung stehen.

Als milderes Mittel wäre beispielsweise die Einrichtung einer Kontaktzentrale (in vielen Unternehmen schon in Form des Sekretariats/Backoffice vorhanden) möglich, die die Anfragen an die zuständigen Mitarbeiter weiterleitet. So könnte sichergestellt werden, dass keine personenbezogenen Kontaktdaten weitergegeben werden. Letztlich wird aber im Einzelfall nach den konkreten Umständen zu entscheiden sein, ob die Weitergabe von Kontaktinformationen erforderlich ist.

Einwilligung des Mitarbeiters

Alternativ könnte die Einwilligung als Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. a DSGVO herangezogen werden. Hierbei ist allerdings problematisch,

• dass die Einwilligung freiwillig erteilt werden muss und
• dass sie jederzeit frei widerrufbar ist.

Die Freiwilligkeit im Beschäftigungsverhältnis ist, wegen des Abhängigkeitsverhältnisses des Beschäftigten von seinem Arbeitgeber, oft nicht gegeben. Zudem kann eine Einwilligung jederzeit ohne Angaben von Gründen widerrufen werden. Mit der Folge, dass ab dem Widerruf die Rechtsgrundlage für die Verarbeitung entfällt.

Eine Einwilligung sollte also auch nicht das Mittel der Wahl sein.

Berechtigtes Interesse des Arbeitgebers

Als weitere Alternative kommt das berechtigte Interesse des Unternehmens an der Verarbeitung der personenbezogenen Daten seiner Angestellten nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Schließlich müssen viele Mitarbeiter zur Erfüllung ihrer Aufgaben Kontakt mit B2B-Kunden pflegen.

Im Rahmen einer Interessenabwägung ist dann das berechtigte Interesse des Unternehmens an einem reibungslosen Geschäftsablauf mit dem Interesse des Arbeitnehmers an dem Schutz seiner Daten abzuwägen.

Diese Abwägung sollte während des Beschäftigungsverhältnisses in den meisten Fällen zugunsten des Arbeitgebers ausfallen, da zum einen geschäftliche Kontaktdaten keine sehr sensible Daten sind und es auch nicht ersichtlich ist, welches berechtigte Interesse der Arbeitnehmer daran hat, dass ihn auf der Arbeit – salopp gesagt – niemand erreichen kann.

Stellungnahme des BayLDA

So ähnlich sieht das auch das BayLDA:

„Artikel 6 Abs. 1 Buchst. b DS-GVO als Rechtsgrundlage ist nur einschlägig, wenn die Vertragsbeziehung zu der natürlichen Person selbst besteht, um deren Daten es geht, also z.B. bei einem Einzelkaufmann oder anderen Einzelpersonen (z.B. Selbständigen).

Wenn die Vertragsbeziehung dagegen z.B. zu einer GmbH besteht, und es werden personenbezogene (Kontakt-)Daten von Mitarbeitern dieser GmbH gespeichert, wäre Artikel 6 Abs. 1 Buchst. f DSGVO die „richtige“ Rechtsgrundlage, aufgrund derer der Verantwortliche die (Kontakt-)Daten dieser Mitarbeiter verarbeiten darf, soweit und solange es für die Geschäftsbeziehung zu dem „B2B-Partner“ (also z.B. zu der GmbH) erforderlich ist.“

Problematisch wird das berechtigte Interesse als Rechtsgrundlage aber, wenn ein Arbeitnehmer aus dem Unternehmen ausscheidet. Dann werden regelmäßig das berechtigte Interesse des Arbeitnehmers, dass seine Daten nicht mehr verarbeitet werden, die Interessen des Unternehmens überwiegen.

Problem 1: Widerspruch gegen die Verarbeitung

Problematisch ist bei der Verarbeitung aufgrund eines berechtigten Interesses, dass der Arbeitnehmer jederzeit nach Art. 21 Abs. 1 S. 1 DSGVO Widerspruch gegen die Verarbeitung seiner Kontaktdaten erheben könnte. Dann dürften die Kontaktdaten gemäß Art. 21 Abs. 1 S. 2 DSGVO nicht mehr genutzt werden, es sei denn das Unternehmen könnte schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen der betroffenen Personen, Rechte und Freiheiten der betroffenen Person überwiegen.

Es wird während des Beschäftigungsverhältnisses schwer sein, sich eine Konstellation vorzustellen, in der ein Arbeitnehmer ein überwiegendes in seiner Person begründetes berechtigtes Interesse daran hat, dass seine geschäftlichen Kontaktdaten nicht mehr verarbeitet werden. Denkbar wäre es aber schon, beispielweise, wenn ein Mitarbeiter sich einer Geschlechtsumwandlung unterzieht und nicht mit falschen Geschlecht angesprochen werden möchte oder ein Mitarbeiter wechselt die Abteilung und hat fortan keinen Außenkontakt mehr, z.B. in der Produktion.

Problem 2: Mitteilungspflicht gegenüber anderen Unternehmen

Der Arbeitnehmer hat auch nach Art. 17 Abs. 1 lit. c DSGVO ggf. auch ein Recht auf Berichtigung, Einschränkung der Verarbeitung oder Löschung seiner Daten, wenn keine vorrangigen berechtigten Interessen bei dem Arbeitgeber vorliegen.

Damit einher geht die Pflicht des Arbeitgebers gemäß Art. 19 DSGVO den Empfängern der Kontaktdaten – hier andere Unternehmen – die Löschung der Daten des ausgeschiedenen Mitarbeiters mitzuteilen. Es sei denn, es erweist sich als unmöglich oder es ist mit einem unverhältnismäßigen Aufwand verbunden. Die Daten des ausgeschiedenen Mitarbeiters werden aber häufig bei unzähligen Geschäftspartnern irgendwo gespeichert sein. Fraglich ist, wie die Pflicht zur Mitteilung umgesetzt werden soll. Man müsste ermitteln, an wen die Kontaktdaten weitergegeben wurden. Angesichts der Vielzahl der Kontakte im Geschäftsleben, die über einen Zeitraum von mehreren Jahren geknüpft werden, scheint das fast unmöglich.

Auswirkung auf die Praxis

Wie jede Stellungnahme der Aufsichtsbehörden ist auch diese zunächst nur eine Stellungnahme und kein rechtlich bindendes Urteil, dennoch entfalten die Stellungnahmen der Aufsichtsbehörden häufig faktische Bindungswirkung, weil Unternehmen oft nicht das Risiko eines Bußgeldes eingehen wollen.

Richtet man sich aber nach der Stellungnahme bedeutet das, dass im B2B-Bereich nur in seltenen Ausnahmenfällen, wenn ein Einzelkaufmann oder anderen Einzelpersonen (z.B. Selbständigen) handelt, die Rechtsgrundlage der Vertragsdurchführung angewendet werden könnte. Die Rechtsgrundlage würde nach dieser Auffassung im B2B-Bereich zu einer Rechtsgrundlage ohne Anwendungsbereich werden.

Die Kirche im Dorf lassen

Angesichts des sehr engen Anwendungsbereich des Art. 6 Abs. 1 lit. b DSGVO, fragt man sich, ob der Gesetzgeber bewusst den Anwendungsbereich des Art. 6 b stark beschränkt hat oder ob er aus Versehen einen Erlaubnistatbestand geschaffen hat, der im B2B-Bereich, in dem die wenigsten Unternehmen Einzelkaufmänner oder andere Einzelpersonen sind, praktisch keine Anwendung finden kann.

Das Beispiel zeigt die Fallstricke, welche die DSGVO für vermeintlich einfache Vorgänge bereithält. Ein Fall, in dem sich ein rechtlicher Laie sagen würde „nun lasst’s die Kirche mal im Dorf“. Ein Faktor, der die Problemtaik überhaupt erst schafft, ist auch das generelle Verbot mit Erlaubnisvorbehalt. Anders als im allgemeinen Zivilrecht gilt nicht der Grundsatz der Vertragsfreiheit „Alles was nicht verboten ist, ist erlaubt“, sondern „alles was nicht erlaubt ist, ist verboten“. Nicht gerade ein Paradestück an liberaler Gesetzgebung!

In seinem Teilurteil vom 19.03.2019 – 4 A 12/19 hatte das VG Lüneburg über einen Bußgeldbescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Die Behörde hatte ein Bußgeld gegenüber einer Reinigungsfirma erlassen, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Die Überwachung sei nach den Auffassungen der Aufsichtsbehörde und des Gerichts nicht erforderlich. Doch wie begründet das Gericht seine Entscheidung?

Der Sachverhalt

Dem Rechtsstreit liegt eine Anfechtungsklage der Reinigungsfirma (Klägerin) zugrunde. Die Niedersächsische Aufsichtsbehörde hatte entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen kann 18 Fahrzeuge der Flotte mittels dem eingebauten GPS orten. Diese Funktion lässt sich auch nicht ohne weiteres deaktivieren. Das System ist so ausgelegt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke, sowie den Zündungsstatus, speichere. Da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zuordenbar sind, besteht auch ein Personenbezug der Daten. Allerdings, so die Klägerin, erfolge eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr. Eine Privatnutzung der Fahrzeuge sei zwar nicht ausdrücklich gestattet, jedoch geduldet.

Datenschutzrechtliche Grundlagen zur GPS-Ortung von Firmenfahrzeugen

Sind die Fahrzeuge wie hier Personen eindeutig zuordenbar, handelt es sich bei der GPS-Ortung um die Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Insofern für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein.

Erforderlichkeit einer Verarbeitung im Beschäftigtenverhältnis

Im Rahmen der Erforderlichkeitsprüfung einer Verarbeitung sind die widerstreitenden Positionen von Arbeitgeber und Beschäftigten abzuwägen. Dabei muss das Interesse des Arbeitgebers an der Verarbeitung mit dem Persönlichkeitsrecht des Beschäftigten in einen schonenden Ausgleich gebracht werden, Gola, in: Gola/Heckmann, BDSG 13. Auflage, § 26 Rn. 16. Diese eher theoretische Definition besagt letztlich, dass die Interessen beider Seiten abgewogen werden müssen, dass das Mittel für den verfolgten Zweck geeignet sein muss und kein milderes gleich wirksames Mittel zur Verfügung steht.

Grundsätze des Datenschutzrechts

Dabei zu beachten sind auch die Grundsätze des Datenschutzrechts aus Art. 5 DSGVO. Mit der DSGVO wurde den Grundsätzen des Datenschutzrechts ein stärkerer Wert zugesprochen. Die Nichtbeachtung der Grundsätze ist mit der DSGVO zu einem bußgeldbewährten Verstoß gem. Art. 83 Abs. 5 lit. a DSGVO geworden und kann mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Im vorliegenden Fall sind gerade die Grundsätze der Fairness („Treu und Glauben) und der Transparenz gem. Art. 5 Abs. 1 lit. a DSGVO, sowie der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO, zu beachten. Danach müssen Datenverarbeitungen für die Betroffenen vorhersehbar sein, sie müssen über Art und Umfang der Datenverarbeitung informiert werden und die Datenverarbeitung muss auf das notwendige Minimum beschränkt werden, um den verfolgten Zweck zu erreichen. Wenn ein Verantwortlicher diese Grundsätze sehr gut umsetzt, beeinflusst dies wiederum positiv die Abwägung im Rahmen der Erforderlichkeitsprüfung.

Entscheidungsgründe im vorliegenden Fall

Das Gericht prüft richtigerweise im vorliegenden Fall die zwei Erlaubnistatbestände des § 26 Abs. 1 BDSG. Danach erfolgt zuerst die Prüfung, ob die Verarbeitung erforderlich zur Begründung Durchführung oder Beendigung eines Beschäftigtenverhältnisses ist. Anschließend erfolgt eine Prüfung, ob die Beschäftigten möglicherweise in die Verarbeitung eingewilligt haben.

Erforderlichkeit der GPS-Ortung

Die Klägerin gab an, dass die GPS-Ortung dazu dient die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. geklaute Fahrzeuge wieder aufzufinden. Außerdem soll so das Wochenendfahrtverbot und das Verbot der Privatnutzung durchgesetzt werden. Die Klägerin argumentiert, dass die GPS-Ortung dafür erforderlich sei, da kein milderes gleichwirksames Mittel ersichtlich ist.

Zu Recht äußert das Gericht, dass eine Überwachung außerhalb der Geschäftszeiten und am Wochenende nicht erforderlich sei. Die Klägerin hat selbst angegeben, dass die Privatnutzung der Fahrzeuge geduldet ist. Auch seien Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant sind. Die Dienstleistungen im Reinigungsgewerbe seien außerdem weniger zeitkritisch als etwa im Transportgewerbe, weswegen hier nicht der gleiche Maßstab anzusetzen ist. Letztlich können die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolgt wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Die Klägerin habe außerdem nicht nachweisen können, in welchen Fällen es tatsächlich zur Auswertung der Daten kam und diese tatsächlich relevant für die Durchführung eines Beschäftigungsverhältnisses wurden. Abgesehen davon arbeiten über 100 Mitarbeiter bei der Klägerin im Außendienst, aber nur 18 Fahrzeuge werden mittels des GPS-Systems geortet. Es ist für das Gericht daher nicht ersichtlich, weswegen ein normaler Betrieb bei den anderen Beschäftigten auch ohne Ortungssystem möglich ist.

Einwilligung

Die Klägerin legt im Rechtsstreit zwar einige „Einwilligungserklärungen“ der Beschäftigten vor. Die meisten davon erfüllen jedoch nicht die Voraussetzungen der Einwilligung im Beschäftigtenverhältnis gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG. Diese Erklärungen erfüllen entweder nicht die notwendigen Informationspflichten, oder es fehlt die Belehrung über das Widerrufsrecht der Betroffenen. Die Klägerin könne demnach die Verarbeitung auch nicht auf eine Einwilligung stützen.

GPS-Ortung muss immer im Einzelfall geprüft werden

Das Gericht lehnt aus den oben genannten Gründen die Klage ab. Der Bescheid sei geeignet die Datenverarbeitung künftig in den Einklang mit den geltenden Datenschutzgesetzen zu bringen und es sind auch keine milderen Mittel ersichtlich. Die Entscheidung zeigt verständlich, auf welche Punkte im Rahmen der Erforderlichkeitsprüfung eingegangen werden muss. Damit gibt sie einen guten Leitfaden für Unternehmen, die ihre Fahrzeugflotte mittels GPS orten wollen. Es wird außerdem gut veranschaulicht, dass es nicht nur auf die Verarbeitung an sich ankommt, sondern ganz entscheidend auch auf den Zweck und die Umstände der Verarbeitung. Eine GPS-Überwachung sollte daher immer gründlich durch einen sachkundigen Anwalt oder Datenschutzbeauftragten geprüft werden.

Headhunter können Unternehmen im Wettbewerb um die besten Bewerber helfen. Mit Inkrafttreten der DSGVO gilt es zu beleuchten, was sich nunmehr für Headhunter geändert hat. Im ersten Teil geht es zunächst um die Voraussetzungen, wie Headhunter sich Informationen beschaffen können. Der weiterführende Beitrag beschäftigt sich dann mit dem Zeitpunkt ab dem erfolgreichen Erstgespräch mit dem Bewerber.

Wie arbeiten Headhunter allgemein?

Viele Unternehmen beauftragen Headhunter, damit diese für sie einen passenden Kandidaten finden. Der Headhunter trifft in diesem Falle also eine Vorauswahl und präsentiert dem Unternehmen nur noch den Kandidaten, den er für besonders geeignet hält. Der Headhunter kann geeignete Bewerber wie folgt ermitteln:

1. Veröffentlichung einer Annonce (ggf. unter Anonymisierung des Unternehmens)
2. Suche in sozialen Netzwerken
3. Suche in eigener Datenbank bzw. Bewerber-Pool

Daneben kann ein Bewerber auch selber proaktiv den Kontakt zum Headhunter suchen, um einen passenden neuen Arbeitgeber zu finden.

Findet die DSGVO überhaupt Anwendung?

Art. 88 Abs. 1 DSGVO sieht eine Öffnungsklausel vor, wonach die Mitgliedstaaten selber spezifische Vorschriften für das Beschäftigtenrecht erlassen können. Der deutsche Bundesgesetzgeber hat hiervon in § 26 BDSG Gebrauch gemacht. Bewerber werden hierbei den Beschäftigten gleichgestellt. Danach dürfen personenbezogenen Daten

„zum Zwecke für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“

verarbeitet werden, soweit dies erforderlich ist oder der Bewerber der Verarbeitung eingewilligt hat. Absatz 7 dehnt den Anwendungsbereich sogar auf Beschäftigtendaten aus, die weder durch Automation noch mit der Absicht zur Speicherung in einem Dateisystem verarbeitet werden. Insoweit werden grundsätzlich auch handschriftliche Notizen und Gespräche erfasst.

Der Begriff Bewerber ist gesetzlich nicht weiter definiert. Wenn eine Person von sich aus aktiv den Kontakt zum Headhunter oder potentiellen Arbeitgeber aufnimmt, dann ist diese unzweifelhaft Bewerber. Wenn die Initiative aber zunächst vom Headhunter ausgeht, kann man dies wohl nicht so einfach annehmen. Erst wenn diese Person Interesse an der Stelle bekundet und die weitere Kommunikation zum Bewerbungsverfahren wünscht, wird sie zum Bewerber. Davor handelt es sich nur um einen potentiellen Kandidaten, sodass der Anwendungsbereich von § 26 BDSG noch nicht eröffnet ist. Bis zum Wille der Jobvermittlung gelten daher die Vorschriften der DGSVO.

Welche Quellen darf der Headhunter nutzen?

Die Datenerhebung ist gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, soweit der Headhunter ein berechtigtes Interesse an der Datenverarbeitung hat und diese auch erforderlich ist. Als Interesse kommt insoweit die Vertragserfüllung gegenüber dem beauftragenden Arbeitgeber in Betracht. Damit einher geht indirekt das Interesse des Arbeitgebers an der erfolgreichen Suche nach passenden Kandidaten. Die Datenverarbeitung ist erforderlich, wenn das berechtigte Interesse des Headhunters höher wiegt als das Persönlichkeitsrecht des Kandidaten. Zudem darf es keine weniger eingriffsintensiven Mittel zur Zielerreichung geben. Im Rahmen dieser Interessenabwägung sind neben der Art der Daten auch deren Herkunft zu berücksichtigen.

Informationen aus allgemeiner Google-Suche

Ein „Googlen“ von Kandidaten ist auch nach Inkrafttreten der DSGVO grundsätzlich zulässig. Weder die DSGVO noch das neue BDSG sehen einen Vorrang der Datenerhebung bei der betroffenen Person vor. Lediglich aus Art. 6 und 8 der Charta der Grundrechte der EU kann dieser sog. Direkterhebungsgrundsatz partiell abgeleitet werden, um so die Einflusschancen des Betroffenen zu stärken. Soweit der Headhunter passende Kandidaten im „Internet sucht“, unterliegt er jedenfalls den umfassenden Informationspflichten aus Art. 14 DSGVO.

Bei der Abwägung ist maßgeblich, für welchen Personenkreis der Kandidat die Daten zugänglich gemacht hat. Wenn der Zugang ganz ohne Mitgliedschaft in einem Netzwerk, Forum o Ä. für jedermann möglich ist, hat der Kandidat bereits selber diese Daten als nicht schutzbedürftig eingestuft. Das Verarbeitunsginteresse des Headhunters überwiegt dann regelmäßig.

Anders ist dies aber bei Daten, die erkennbar gegen den Willen des Betroffenen veröffentlicht wurden (z. B. diffamierende Fotos oder Informationen). Bei solchen überragt das Interesse des Betroffenen an der Nichtverarbeitung und daher sollten diese Daten nicht weiter beachtet werden.

Informationen aus sozialen Netzwerken

Bei Netzwerken muss man auch nach deren Art unterscheiden. Berufsorientierte Netzwerke wie Xing oder LinkedIn dienen insbesondere leichteren Kontaktaufnahme zwischen potentiellen Arbeitgebern und Bewerbern. Ein registrierter Nutzer kann hier also signalisieren, dass er an einem Jobwechsel interessiert ist. Der Headhunter agiert dann auch in deren Interesse, sodass die Interessenabwägung zu seinen Gunsten ausfällt. Bei freizeitorientierten Netzwerken, wie z. B. Instagram, sollte der Headhunter allerdings die Finger weglassen. Der Nutzer will dieses primär oder sogar ausschließlich zu privaten Zwecken nutzen. Insoweit überwiegt das Persönlichkeitsinteresse des Nutzers.

Auskunft beim Ex-Arbeitgeber

Manchmal möchte der Headhunter sich Informationen über den Bewerber durch den ehemaligen Arbeitgeber bestätigen lassen. Bereits vor Inkrafttreten der DSGVO war es stark umstritten, inwieweit eine Einwilligung des Bewerbes erforderlich ist. Hierzu wurde in folgenden Beitrag ausführlich erläutert, warum die Einholung einer Einwilligung ratsam ist. In der Regel handelt es sich dann um einen Bewerber, sodass § 26 BDSG Anwendung findet. Aus Absatz 2 dieser Norm ergibt sich hinsichtlich der Einwilligung die Besonderheit, dass diese schriftlich, also mit eigenhändiger Unterschrift, zu erfolgen hat.

Welche Rechte stehen den Kandidaten bzw. Bewerbern zu?

Über die Rechte des Bewerbers als Betroffenen haben wir bereits ausführlich hier berichtet. Allgemein lassen sich folgende Rechte nennen:

• Informationsrecht
• Auskunfts- und Widerspruchsrecht
• Recht auf Berichtigung, Löschung und Einschränkung
• Recht auf Datenübertragbarkeit

Insbesondere den Umfang seiner Informationspflichten sollte der Headhunter im Auge behalten. Soweit er Daten nicht ausschließlich beim Betroffenen erhoben hat, muss er diesem genau mitteilen, welche Datenkategorien er wo und zu welchen Zwecken erhoben hat, vgl. Art. 14 Abs. 1 und 2 DSGVO. Um dieser Pflicht hinreichend nachkommen zu können, ist eine geordnete Dokumentation unabdingbar. Die Voraussetzungen einer Ausnahme von dieser Pflicht wegen unverhältnismäßigen Aufwandes i. S. d. Art. 14 Abs. 5 lit. b DSGVO kommt nur selten in Frage und bedarf daher einer genauen Prüfung.

Was passiert bei Verstößen?

Soweit Headhunter gegen die Bestimmungen der DSGVO verstoßen, kann mit Bußgeldern gerechnet werden. Risikobehaftet sind vor allem das Sammeln potentiell sensibler Bewerberdaten (in Datenbanken) und die korrekte Umsetzung der Betroffenenrechte. So brachte die Informationspflicht einem Unternehmen in Polen ein Bußgeld ein, da die Meinung der Aufsichtsbehörde und des Verantwortlichen bei der Frage auseinandergingen, was ein unverhältnismäßiger Aufwand sei. Eine allgemeine Erläuterung zu den Geldbußen und Sanktionen können Sie folgendem Beitrag entnehmen: Datenschutz-Grundverordnung: Bußgelder und Sanktionen Teil 2

Traumjob Headhunter bleibt weiterhin erhalten

Die zunehmende Digitalisierung erleichtert die Suche für den Headhunter. Aber er kann nicht jede Quelle bedenkenlos verwenden. Denn wenn er diese Daten nicht in zulässiger Weise erhalten hat, dann kann dies schnell teuer für ihn werden.

Mit der erfolgreichen Suche eines geeigneten Kandidaten ist die Arbeit des Headhunters aber noch nicht getan. In der Fortsetzung wird berichtet, unter welchen Voraussetzungen der Headhunter die Daten an potentielle Arbeitgeber weitergeben darf und welche Pflichten ihn nach Abschluss des Bewerbungsverfahren treffen.

Gesundheitsdaten sind besonders schützenswerte Daten. Aber gilt dieser besondere Schutz auch, wenn das Unternehmen einen Betriebsarzt bestellt? An welche Vorgaben haben sich Betriebsarzt und Arbeitgeber zu halten? Darum geht es in diesem Artikel.

Gesundheitsdaten sind sensible Daten

Das Gesundheitswesen im Arbeitsverhältnis ist ein sensibles Thema, denn damit einher geht auch die Frage, wie viel der Arbeitgeber über die Gesundheit seiner Arbeitnehmer wissen darf oder sogar wissen muss.

Nach der Definition in Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten:

„[…] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Entscheidend ist, zu welchem Zweck die Daten verarbeitet werden. Erfolgt die Verarbeitung, um Rückschlüsse auf die Gesundheit zu ziehen, ist der Begriff der Gesundheitsdaten erfüllt.

Die Verarbeitung von Gesundheitsdaten

Als sensible Daten genießen Gesundheitsdaten einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Als besondere Kategorie personenbezogener Daten ist ihre Verarbeitung nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Dieses Verbot wird allerdings aufgehoben, wenn der Betroffene in die Verarbeitung der Daten eingewilligt hat (Art. 9 Abs. 2 lit. a DSGVO; „Verbot mit Erlaubnisvorbehalt“). Weitere Ausnahmen finden sich in Art. 9 Abs. 2 lit. h i.V.m. Art. 88 DSGVO i.V.m § 22 Abs. 1 Nr. 1 lit a – c BDSG. So ist die Verarbeitung von Gesundheitsdaten nach § 22 Abs. 1 Nr. 1 lit. b BDSG bspw. erlaubt, wenn dies

„zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich der für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.“

Dabei ist jedoch sicherzustellen, dass die Daten

„von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.“

Bestellung eines Betriebsarztes

§ 2 ASiG sieht vor, dass Unternehmen unter bestimmten Voraussetzungen einen Betriebsarzt bestellen müssen. Die Bestellung hat schriftlich zu erfolgen. Der Betriebsarzt hat die Aufgabe, den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes zu unterstützen (§ 3 ASiG). Insbesondere ist er verpflichtet, dem Betriebsarzt, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen (§ 2 Abs. 2 S. 2 ASiG). Zudem hat der Arbeitgeber den Betriebsarzt auch über den Einsatz von Personen zu unterrichten, die mit einem befristeten Arbeitsvertrag beschäftigt oder ihm zur Arbeitsleistung überlassen sind (§ 2 Abs. 2 S. 3 ASiG).

Das müssen Betriebsarzt und Arbeitgeber beachten

Zu unterscheiden ist die Vorsorgeuntersuchung von der Eignungsuntersuchung.

Arbeitsmedizinische Vorsorge

Vorsorgeuntersuchungen sollen arbeitsbedingte Erkrankungen einschließlich Berufskrankheiten frühzeitig erkennen und verhüten (§ 1 Abs. 1 ArbMedVV). Unterschieden wird zwischen Pflicht-, Angebots- und Wunschvorsorge (siehe §§ 4-5a ArbMedVV). Der Betriebsarzt stellt dem Arbeitgeber eine Vorsorgebescheinigung darüber aus, dass, wann und aus welchem Anlass ein arbeitsmedizinischer Vorsorgetermin stattgefunden hat und wann eine weitere arbeitsmedizinische Vorsorge aus ärztlicher Sicht angezeigt ist (§ 6 Abs. 3 Nr. 3 ArbMedVV).

Eignungsuntersuchung

Eignungsuntersuchungen dienen der Feststellung der gesundheitlichen Eignung des Arbeitnehmers an die jeweilige Tätigkeit. Eignungsuntersuchungen können durch Gesetz oder Rechtsverordnung vorgeschrieben sein. Unter bestimmten Voraussetzungen kann die Durchführung von Eignungsuntersuchungen aber auch im Tarifvertrag, in einer Betriebsvereinbarung oder im Arbeitsvertrag geregelt werden. Zudem kann der Arbeitgeber im Rahmen seiner (nebenvertraglichen) Fürsorgepflicht berechtigt und verpflichtet sein, eine betriebsärztliche Untersuchung anzuordnen. Im Anschluss an die Untersuchung darf der Betriebsarzt dem Arbeitgeber lediglich mitteilen, ob ein Arbeitnehmer für eine bestimmte Arbeitsaufgabe geeignet, eingeschränkt geeignet oder nicht geeignet ist. Die Mitteilung hat sich also auf das Ergebnis der medizinischen Untersuchung zu beschränken. Einen Anspruch auf Auskunft über die Art der Erkrankung hat der Arbeitgeber nicht. Eine Weitergabe über das Ergebnis hinausgehender Informationen an den Arbeitgeber ist nur mit Einwilligung des Arbeitnehmers erlaubt.

Ärztliche Schweigepflicht

Ist eine betriebsärztliche Untersuchung erlaubt, bedeutet dies wiederum nicht, dass der Betriebsarzt sämtliche erhobenen Informationen an den Arbeitgeber weitergeben darf. Der Betriebsarzt hat die ärztliche Schweigepflicht zu beachten, wenn er sich nicht gemäß § 203 StGB strafbar machen möchte. Die Schweigepflicht besteht für den Betriebsarzt auch gegenüber dem Arbeitgeber des Arbeitnehmers.

BEM nur mit Einwilligung

Im Rahmen des betrieblichen Eingliederungsmanagements (BEM) wird der Schutz des Arbeitnehmers gemäß § 167 Abs. 2 Satz 1 SGB IX dadurch sichergestellt, dass das BEM überhaupt nur mit Einwilligung des Arbeitnehmers durchgeführt werden kann. Die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen (Art. 9 Abs. 2 lit. b i.V.m. Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG).

Aufbewahrung und Übergabe der Patientenakten

Zu beachten ist weiterhin, dass die Akten des Betriebsarztes keine Unterlagen des Arbeitgebers sind und daher nicht zu den Personalakten gehören. Dies ändert jedoch nichts an dem Recht auf Einsicht des Arbeitnehmers in die Akte, denn Grundlage hierfür bildet das Patientenverhältnis (§ 630g BGB). Findet ein Wechsel des Betriebsarztes statt, sind im Hinblick auf die Patientenakten weitere datenschutzrechtliche Aspekte zu berücksichtigen.

Externer Betriebsarzt ist kein Auftragsverarbeiter

Abschließend soll noch darauf hingewiesen werden, dass die Einbeziehung eines externen Betriebsarztes regelmäßig keine Auftragsverarbeitung nach Art. 28 DSGVO darstellt. Vielmehr liegt eine Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen vor, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gegeben sein muss.

Der Bundestag hat eine Masernimpfpflicht zum 1. März 2020 beschlossen. In diesem Zusammenhang erreichte uns vergangene Woche die Frage eines interessierten Bloglesers, wie der Masernschutz-Impfnachweis im arbeitsrechtlichen Kontext zu erbringen ist. Immerhin wird durch die Offenbarung gegenüber dem Arbeitgeber ein personenbezogenes Gesundheitsdatum verarbeitet.

Erste Impfpflicht seit 1874

Die Frage, ob der Staat seine Bürger zur Gesundheit zwingen darf, ist heftig umstritten. Befürworter und Impfgegner stehen sich unversöhnlich gegenüber. Gegner haben bereits angekündigt, gegen die erste Impfpflicht seit 1874, vor das Bundesverfassungsgericht zu ziehen. Und was hat die Impfpflicht nun mit Datenschutz zu tun?

Der Entwurf sieht unter anderem vor, dass Personen, die in Gemeinschaftseinrichtungen oder medizinischen Einrichtungen tätig sind wie Lehrer, Erzieher, medizinisches Personal oder auch Tagepflegepersonen, nunmehr ihren Impfschutz gegenüber der Leitung nachzuweisen haben. Gemeinschaftseinrichtungen im Sinne des Gesetzes sind Einrichtungen, in denen überwiegend minderjährige Personen betreut werden. Dazu gehören etwa Kindertageseinrichtungen, Kinderhorte, Schulen, Heime oder auch Ferienlager.

Rechtmäßigkeit der Nachweisabfrage im Beschäftigungsverhältnis

Grundsätzlich ist § 26 BDSG die zentrale Vorschrift, wenn es um die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses geht. Demnach dürfen Arbeitgeber nur solche personenbezogenen Daten der Beschäftigten erheben, verarbeiten und nutzen, die für die Begründung, die Durchführung oder die Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Nach § 26 Abs. 8 Satz 2 BDSG gelten auch Bewerberinnen und Bewerber als Beschäftigte.

Ob eine Impfung durchgeführt wurde oder nicht, stellt gleichwohl ein „sensibles“ Gesundheitsdatum gem. Art. 9 Abs. 1 DSGVO dar. Gesundheitsdaten sind solche personenbezogenen Daten, welche Rückschlüsse auf die körperliche oder geistige Gesundheit einer natürlichen Person zulassen. Eine Verarbeitung ist grundsätzlich untersagt. Der Gesetzgeber hat in Erwägungsgrund 52 die Notwendigkeit von Ausnahmen gleichwohl erkannt:

„Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen sind, und – vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere für die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren.“

Die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten muss sich jedoch stets an den strengen Ausnahmen des Art. 9 Abs. 2 DSGVO messen lassen.

Rechtsgrundlage für die Abfrage durch den Arbeitgeber

Die Verarbeitung durch den Arbeitgeber kann daher jedenfalls nicht mehr auf § 26 Abs. 1 BDSG gestützt werden. Auch nicht auf Abs. 3, da es sich bei der Nachweisabfrage nicht originär um arbeitsrechtliche Pflichten handelt oder um Sozialschutz.

Ebenfalls kann die Verarbeitung nicht auf Art. 9 Abs. 2 lit. h gestützt werden, da die Verarbeitung in diesem Fall gem. Abs. 3 nur einem Berufsgeheimnis unterliegenden Fachpersonal gestattet wird.

In Abgrenzung zu Abs. 2 lit. h schafft Abs. 2 lit. i einen Ausnahmetatbestand für die Verarbeitung sensibler Datenkategorien, die aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich macht. Der Schutz vor Gesundheitsgefahren aufgrund von ansteckenden Infektionskrankheiten ist jedenfalls ein legitimes öffentliches Interesse. Aber Art. 9 Abs. 2 lit. i DSGVO allein kann nicht als Rechtsgrundlage dienen, sondern ist aufgrund seiner Klassifikation als Öffnungsklausel stets in Verbindung mit den entsprechenden nationalen Rechts anzuwenden.

Vorlagepflicht vor Beginn der Tätigkeit

In der deutschen Rechtsordnung wird der Schutz von Infektionskrankheiten maßgeblich durch das Infektionsschutzgesetz gewährleistet, welches nunmehr durch das Masernschutzgesetz weitreichende Änderungen erfährt. In § 23a IfSG heißt es dazu bisher:

„Soweit es zur Erfüllung von Verpflichtungen aus § 23 Absatz 3 in Bezug auf Krankheiten, die durch Schutzimpfung verhütet werden können, erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus erheben, verarbeiten oder nutzen, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. Im Übrigen gelten die Bestimmungen des allgemeinen Datenschutzrechts.“

Der von Gesundheitsminister Spahn vorangetriebenen Gesetzesentwurf weitet die Abfrage durch den Arbeitgeber nunmehr über die in § 23 Abs. 3 IfSG genannten Stellen dahingehend aus, dass auch Beschäftigte von Gemeinschaftseinrichtungen vor Beginn ihrer Tätigkeit einen Impfnachweis vorzulegen haben. Kann der Beschäftigte den Nachweis nicht erbringen, so darf die Leitung ihm keine Tätigkeiten übertragen. Die Übertragung einer Tätigkeit ohne Impfnachweis stellt künftig eine bußgeldbewährte Ordnungswidrigkeit dar. Der Arbeitgeber hat daher ein gesteigertes Interesse daran, den Impfnachweis dokumentieren zu können.

Laut Gesetz kann der Nachweis durch eine Impfdokumentation (Impfausweis) oder in Form eines ärztlichen Zeugnisses vorgelegt werden. Die Frage wie das „Vorlegen“ von Dokumenten beim Arbeitgeber konkret ausgestaltet werden darf, ist bereits aus anderen Fragestellungen bekannt und umstritten. Etwa bei der Vorlage von Führungszeugnissen oder der Anfertigung von Führerscheinkopien, sofern den Beschäftigten Firmenwagen zur Verfügung gestellt werden.

Keine Kopie in Personalakte

Aufgrund des Grundsatzes der Datenminimierung gem. Art 5 Abs. 1 lit. c DSGVO und der besonderen Sensibilität von Gesundheitsdaten sollte auf die Anfertigung einer Kopie des vorgelegten Nachweises gleichwohl verzichtet werden. Insbesondere dann, wenn Mitarbeiter ihren Nachweis mittels Vorlage des Impfpasses erbringen wollen, kann nicht ausgeschlossen werden, dass der Arbeitgeber noch weitere Impfungen und damit Gesundheitsdaten zur Kenntnis nimmt.

Der Nachweis der Impfung ist weder mit der Kontrolle, ob Mitarbeiter im Besitz einer gültigen Fahrerlaubnis sind, noch mit der Vorlage eines polizeilichen Führungszeugnisses vergleichbar. Hier wird vertreten, dass, zumindest sofern eine gesetzliche Vorlagepflicht (etwa § 72 a SGB VIII) besteht, auch Kopien des Führungszeugnisses zur Personalakte genommen werden dürfen. Der Inhalt eines solchen Zeugnisses kann sich im Laufe eines Beschäftigungsverhältnisses gleichwohl ändern, sodass in regelmäßigen Abständen erneut ein Zeugnis vorgelegt werden muss.

Impfnachweis datenschutzkonform dokumentieren

Im Gegensatz zu den oben genannten Konstellationen gerät der Arbeitgeber im Fall der Masernschutzimpfung nicht in Beweisnöte. Sofern der Impfschutz einmal vorliegt, hält dieser in der Regel ein Leben lang. Als milderes Mittel erscheint es daher ausreichend, sich den entsprechenden Nachweis über die Impfung vorzeigen zu lassen und einen Vermerk darüber anzufertigen, dass der Mitarbeiter oder die Mitarbeiterin über den entsprechenden Impfschutz verfügt. Ein solcher Vermerk kann gegebenenfalls durch das 4-Augen-Prinzip mit Unterschriften der für Personalangelegenheiten betrauten Mitarbeitern dokumentiert werden.

Woran denken Sie beim Begriff „Arbeitszeit“? Nicht wenige Arbeitnehmer dürften in diesem Moment ihren Traum von der Karibik langsam verblassen sehen. Unabhängig davon, ob Sie gern zur Arbeit gehen oder lieber ausschlafen würden, stellen sich folgende Fragen: Sind Arbeitszeiten datenschutzrechtlich als personenbezogene Daten geschützt und falls ja, was bedeutet das für die Praxis?

Was sind personenbezogene Daten?

Zur Frage, wie personenbezogene Daten definiert werden, existieren sicherlich Abermillionen Artikel im sagenumwobenen Neuland namens Internet. Beispielhaft sei hier auf einen unserer Blogbeiträge aus 2013 verwiesen – zugegeben, dieser Artikel ist schon etwas älter, aber in der Sache hat er sich gut gehalten. Weitergehende Informationen zum Begriff, zu passenden Erwägungsgründen und nützlichen Links finden sich hier.

Wer wissen möchte, was personenbezogene Daten sind, guckt – richtig! – ins Gesetz. Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Das ist ja schön und gut, aber wann ist denn jemand identifizierbar? Auch hier liefert die genannte Norm eine Antwort:

„als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Um Sie zu identifizieren, braucht es kein Foto, keine Videoüberwachung, kein Facebook: Schon anhand Ihrer IP-Adresse sind Sie identifizierbar. Für die Laien unter uns: Cache, Cookies und Verlauf nach der Sitzung zu löschen macht Sie nicht unsichtbar!

Arbeitszeit = personenbezogene Daten

Wer wann mit der Arbeit beginnt, Feierabend oder Pause macht – all das kann durch eine Arbeitszeiterfassung gespeichert werden. Da die Arbeitszeit stets mit einer bestimmten, identifizierten Person verknüpft ist, gibt es nichts zu beschönigen: Ihr Chef bzw. die Personalabteilung weiß im Zweifel, ob Sie vor dem Schreibtisch sitzen oder eine Raucherpause einlegen.

Aufgrund der Verknüpfung zwischen Arbeitszeit (Information) und Arbeitnehmer (identifizierte Person) handelt es sich bei der Arbeitszeit um personenbezogene Daten.

Dementsprechend stellte der EuGH (Az. C-342/12) im Mai 2013 fest:

„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.

Wie im Märchen?

Personenbezogene Daten verhalten sich wie Disney Prinzessinnen. Sie kommen im Zweifel nicht alleine klar. Anstelle des lang ersehnten Jünglings bedarf es einer schützenden Hand – dem Datenschutz! Ende gut, alles gut?

Sollten Sie nun jubeln und frohlocken, so enttäusche ich Sie nur ungern: Die Arbeitszeit mag als personenbezogenes Datum geschützt sein, das heißt jedoch nicht, dass sie unantastbar wäre.

Personenbezogene Daten dürfen nicht ohne Weiteres verarbeitet werden, dies ist korrekt. Liegt jedoch eine Rechtsgrundlage wie beispielsweise Art. 6 DSGVO oder § 26 BDSG vor, ist ein Erfassen, Speichern und Co. durchaus rechtmäßig. Dies gilt auch für Arbeitszeiten.

Berührungspunkte zwischen Arbeitszeit und Datenschutz

Berührungspunkte zwischen Arbeitszeit und Datenschutz gibt es viele. Exemplarisch wird auf die Arbeitszeiterfassung und auf Dienstpläne näher eingegangen.

Erfassung der Arbeitszeit

Die Erfassung der Arbeitszeit wird schon seit Ewigkeiten immer wieder thematisiert. Um die rechtliche Situation zusammenzufassen, widmeten wir uns bereits vor neun Jahren dieser Problematik.

Seitdem scheint sich zunächst nichts Wesentliches geändert zu haben:

• Weiterhin gilt, dass eine Arbeitszeiterfassung nicht zu einer laufenden Überwachung des Arbeitnehmers führen darf. So entschied das Arbeitsgericht Berlin im August 2017, dass es unverhältnismäßig ist, von den Mitarbeitern eines Taxiunternehmens zu verlangen, alle drei Minuten eine Taste zu drücken.
• Unverändert regelt 16 II 1, 2 ArbZG, dass der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen und die Nachweise für mindestens zwei Jahre aufzubewahren.

Der EuGH wäre jedoch nicht der EuGH, wenn er die Karten nicht wieder neu mischen würde: So entschied er am 14. Mai 2019 (Az. C-55/18), es sei notwendig, dass

„Mitgliedsstaaten die Arbeitgeber (…) verpflichten, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann“.

Im deutschen Arbeitszeitrecht ist dies bisher noch nicht angekommen, der Gesetzgeber schweigt (noch). Eines lässt sich jedoch schon jetzt feststellen: Die Erfassung der regulären Arbeitszeit ist längst nicht mehr datenschutzrechtlich ungeregeltes Gebiet, vielmehr ist sie in der Mitte der Gesellschaft angekommen. Sofern keine Dauerüberwachung des Mitarbeiters stattfindet und die Daten vor unberechtigtem Zugriff geschützt werden, ist in der Regel von einer Verhältnismäßigkeit der Arbeitszeiterfassung auszugehen.

Sorry Raucher!

Auslegen von Dienst- und Schichtplänen

Krankenschwestern, Altenpflegern und sonstigen Helden des Alltags dürften sie bekannt vorkommen: Dienst- und Schichtpläne. Nicht selten hängen diese für alle Mitarbeiter zugänglich aus, damit für jeden ersichtlich ist, wer wann wo zu erreichen ist und mit welchem (ggf. unliebsamen) Kollegen zusammengearbeitet wird.

Falls Sie sich nun fragen, ob auch wirklich jede Kollegin und jeder Kollege so genau wissen muss, warum Sie immer nur die besten Schichten belegen oder warum Sie so häufig krank sind, dann lautet die Antwort: Das kommt darauf an.

Das interne Auslegen von Dienst- und Schichtplänen lässt sich auf § 26 BDSG stützen, sofern es erforderlich für die Durchführung des Arbeitsverhältnisses ist. Häufig wird der ordnungsgemäße Betriebsablauf nur sichergestellt werden können, wenn sich die Mitarbeiter untereinander abstimmen, wer wann und mit wem arbeitet, Schichten tauscht etc. Natürlich gilt auch hier das Prinzip der Datenminimierung: Im Plan ist nur das anzugeben, was auch notwendig ist. Letztlich bleibt es aber eine Frage des Einzelfalls, ob das Auslegen noch rechtmäßig ist oder nicht.

Ende Gelände?

Das Datenschutzrecht befindet sich seit jeher im Wandel. Es wird nicht nur täglich neu erfunden, sondern auch neu ausgehandelt. Personenbezogene Daten sind nie „out“ – trotz aller Widrigkeiten sind sie vor ungerechtfertigter Beeinträchtigung zu bewahren.

Auch ohne Nostradamus lässt sich ein Blick in die Zukunft wagen: Die theoretisch anmutende Frage, ob Arbeitszeiten personenbezogene Daten sind, wird auch weiterhin praktische Relevanz haben. Für diese Erkenntnis braucht es keine Kristallkugel.

—

Das Thema ist für Sie oder in Ihrem Unternehmen relevant und Sie möchten Ihre Kompetenzen erweitern? Informieren Sie sich hier über unser Seminarangebot. Blogleser erhalten mit dem Code „DR. DATENSCHUTZ“ 15% Rabatt auf die Seminare, vorerst gültig bis zum 31.12.2019.

Viele Arbeitgeber haben ein Interesse daran, von ihren Bewerbern und potentiellen künftigen Arbeitnehmern ein polizeiliches Führungszeugnis zu verlangen. Schließlich will man ja wissen, wen man sich da ins Boot holt. Aber ist das überhaupt zulässig? Und was ist mit den Rechten der Arbeitnehmer? Mit diesem Beitrag sollen die wichtigsten Fakten zum Führungszeugnis aus datenschutzrechtlicher Sicht einmal dargestellt werden.

Führungszeugnis und Bundeszentralregister

Ein kleiner Fakt für die Besserwisser unter uns vorab: Das polizeiliche Führungszeugnis gibt es mit diesem Namen gar nicht mehr, es heißt nur noch Führungszeugnis. Der „alte“ Name ist jedoch weiterhin bei einem Großteil der Bevölkerung fest verankert. Regelungen zum Führungszeugnis finden sich im Bundeszentralregistergesetz (BZRG). Das Führungszeugnis ist nicht mehr und nicht weniger als eine behördliche Bescheinigung über registrierte Vorstrafen einer Person. Folgende Arten von Führungszeugnissen sind zu unterscheiden:

• Führungszeugnis für private Zwecke:
  Dieses enthält nur Verurteilungen, bei denen die Geldstrafe über 90 Tagessätze liegt bzw. eine Bewährungsstrafe von mehr als drei Monaten verhängt wurde (sofern keine weiteren Vorstrafen bestehen)
• Führungszeugnis für eine Behörde:
  Erhalten ausschließlich Behörden (auf Verlangen) und enthält deutlich mehr Informationen vermerkt als das Führungszeugnis für private Zwecke, z. B. auch die gerichtlich angeordnete Unterbringung in einer psychiatrischen Anstalt oder Entzug einer Gewerbeerlaubnis
• Europäisches Führungszeugnis:
  Dies ist vor allem dann wichtig, wenn der Bewerber Staatsangehöriger eines anderen EU-Mitgliedsstaates ist und enthält Nachweise über Verurteilungen, die im Herkunftsland stattgefunden haben
• Erweitertes Führungszeugnis:
  Ähnlich wie das private Führungszeugnis; enthält aber zusätzlich Angaben zu bestimmten Straftaten (z. B. Exhibitionistische Handlungen, Verbreitung pornographischer Schriften, Menschenhandel) und wird zur Prüfung der persönlichen Eignung von Menschen benötigt, die in ihrer beruflichen oder ehrenamtlichen Tätigkeit mit Minderjährigen in Kontakt kommen.

Was darf der Arbeitgeber?

Zum Thema Führungszeugnis tauchen in der Beraterpraxis relativ häufig einige Fragen auf: In welchen Fällen darf der (künftige) Arbeitgeber die Vorlage eines Führungszeugnisses verlangen? Und wie darf er mit den darin enthaltenen Daten des Arbeitnehmers umgehen? Oder muss vielleicht sogar jeder Arbeitnehmer ein Führungszeugnis vorlegen? Die Antwort auf die dritte Frage lautet ganz klar „nein“! Wie es im Datenschutzrecht nun einmal so ist, bedarf es stets einer Rechtsgrundlage. Auch hier gilt also immer das Verbot mit Erlaubnisvorbehalt.

Arbeitsrecht und Datenschutzrecht haben seit jeher eine besondere Beziehung zueinander. Dies liegt daran, dass hier naturgemäß die (meist) gegenläufigen Interessen von Arbeitgebern und Arbeitnehmern aufeinanderprallen. Das Interesse eines Arbeitgebers an größtmöglicher Information ist nachvollziehbar. Es ist aber wichtig sich klarzumachen, dass dies nur in engen Grenzen möglich ist. Diese Grenzen werden hier sowohl vom Datenschutzrecht als auch vom Arbeitsrecht gesetzt.

Grundsatz: Keine Vorlagepflicht!

In der beruflichen Praxis ist es meistens so, dass der künftige Arbeitnehmer das Führungszeugnis erst vorlegen muss, nachdem der Arbeitsvertrag unterzeichnet worden ist. Dies kann den Anschein erwecken, dass eine Art „Vorlagepflicht“ für den Arbeitnehmer bestehe, zumal der Arbeitgeber oft auch die Kosten für die Erstellung übernimmt. Diese Vorgehensweise hat immerhin den Vorteil, dass das Führungszeugnis so nicht zur Entscheidungsgrundlage gemacht wird, ob ein Arbeitsverhältnis zustande kommt oder nicht.

Das dem nicht so ist und die im Führungszeugnis genannten Daten durchaus sensibel sind, wird insbesondere durch Art. 10 S. 1 DSGVO deutlich. Die Norm sieht vor, dass eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht oder in Ausnahmefällen stattfinden darf. Auf diese Weise soll verhindert werden, dass strafrechtlich relevante Daten „unkontrolliert“ gespeichert werden.

Im Arbeitsverhältnis ist § 26 Abs. 1 BDSG meist die einschlägige Rechtsgrundlage. Dort heißt es sinngemäß, dass personenbezogene Daten zur Begründung oder Durchführung eines Beschäftigungsverhältnisses verarbeitet werden dürfen, soweit dies erforderlich ist. In der Begründung zu dieser Norm hat der Gesetzgeber angedacht, dass sie auch die Verarbeitung von personenbezogenen Daten, die unter Art. 10 S. 1 DSGVO fallen, im Beschäftigungskontext ermöglichen soll.

Keine Regel ohne Ausnahme

Das Merkmal der Erforderlichkeit des § 26 Abs. 1 BDSG ist jedoch vor dem Hintergrund des grundsätzlichen Verbotes des Art. 10 DSGVO eng auszulegen. Mann kann dieses bejahen, wenn eine gesetzliche Pflicht besteht den Beschäftigten auf Vorstrafen zu überprüfen oder solche Personen nicht zu beschäftigen. Ein häufiges Beispiel aus der Praxis stellt hier der § 72a SGB VIII dar und betrifft den Bereich der Arbeit mit Minderjährigen. Hier hat der jeweilige Arbeitgeber das Recht, sich bei Einstellung und zudem in regelmäßigen Abständen vom Arbeitnehmer ein Führungszeugnis vorlegen zu lassen. An diesem Beispiel lässt sich also gut erkennen, dass der Gesetzgeber dem Schutz von Minderjährigen einen hohen Wert beimisst.

In Fällen, die nicht ausdrücklich im Gesetz geregelt sind, ist eine Erforderlichkeit nur dann anzunehmen ist, wenn von dem Arbeitgeber eine besondere Zuverlässigkeit verlangt wird und für diese keine andere Nachweismöglichkeit besteht. Zudem muss jegliches strafrechtliches Vorverhalten relevant sein, weil die zu besetzende Stelle abstrakt ein starkes Vertrauensverhältnis erfordert. Als Beispiele sind hier Tätigkeiten im Bankwesen, im Bereich Compliance oder auch als Datenschutzbeauftragter zu nennen.

Der Arbeitgeber kann also nicht nach seinem Belieben die Vorlage eines Führungszeugnisses verlangen. In allen anderen als den oben genannten Konstellationen besteht für ihn nur ein Fragerecht hinsichtlich für die Tätigkeit relevanter Vorstrafen, beispielsweise nach Verkehrsdelikten bei einem Busfahrer. Denn hier bestünde bei der Forderung eines Führungszeugnisses ansonsten die Gefahr, dass der potentielle Arbeitgeber Informationen über etwaige Straftaten erhält, welche keinen Bezug zur konkreten Tätigkeit aufweisen. Dies wäre mit dem Grundsatz der Datenminimierung kaum vereinbar.

Geiz ist geil – auch im Datenschutz

Ferner stellt sich dann die Frage, wie der Arbeitgeber die Daten aus dem Führungszeugnis verarbeiten darf. Ist es erlaubt, z. B. eine Kopie anzufertigen oder reicht ein einfacher Vermerk in der Personalakte? Auch hier sollte zunächst unbedingt darauf geachtet werden, dass nur diejenigen Daten verwendet werden, welche auch wirklich erforderlich im Sinne des § 26 Abs. 1 BDSG sind. Der Grundsatz der Datenminimierung ist also stets zu wahren.

Darüber hinaus sollte der Kreis der Personen im Unternehmen, welche Zugriff auf das Führungszeugnis haben, auf das Nötigste beschränkt werden. Im Normalfall darf also nur die Unternehmensleitung sowie weitere mit dem Bewerbungsprozess betraute Personen Zugriff auf die personenbezogenen Daten haben.

Vorlage ja – Speicherung nein?

In den (wenigen) Fällen, in welchen der Gesetzgeber die Vorlage eines Führungszeugnisses ausdrücklich vorsieht, muss der Arbeitgeber dessen Vorlage im Regelfall dokumentieren. Eine Kopie oder eine andere Form der Speicherung mag da erst einmal die nächstliegende Lösung sein. Auf welche Weise die Dokumentation erfolgen muss, wird allerdings nicht ausdrücklich festgelegt. Es ist jedoch zu berücksichtigten, dass ein Führungszeugnis stets nur den Ist-Zustand darstellt. Schon am Tag nach dessen Ausstellung kann das Führungszeugnis theoretisch wieder veraltet sein.

Eine dauerhafte Speicherung in der Personalakte ist daher im Regelfall nicht zulässig. Vielmehr ist es ausreichend, die Vorlage des Führungszeugnisses zu dokumentieren. Dies kann man ggf. mit einem kurzen Vermerk ergänzen, dass keine Vorstrafen bestehen. Im Sozialrecht beispielsweise bestehen dazu konkrete Regelung. So heißt es in § 72a Abs. 5 S. 1 SGB VIII:

Träger der öffentlichen und freien Jugendhilfe dürfen von den nach den Absätzen 3 und 4 eingesehenen Daten nur den Umstand, dass Einsicht in ein Führungszeugnis genommen wurde, das Datum des Führungszeugnisses und die Information erheben, ob die das Führungszeugnis betreffende Person wegen einer Straftat nach Absatz 1 Satz 1 rechtskräftig verurteilt worden ist.

Der Gesetzgeber ist gefordert

Ebenso finden sich solche Vorgaben für die Datenerhebung und -speicherung in den § 124 Abs. 2 S. 4 SGB IX und § 75 Abs. 2 S. 5 SGB XII für hauptamtlich Beschäftigte. Der Grundsatz der Datenminimierung ist also auch immer bei der Dokumentation zu beachten. Dabei kommt es zwar wie so oft auf den konkreten Einzelfall an. In den meisten Fällen dürfte eine Speicherung des Führungszeugnisses aber nicht erforderlich im Sinne des § 26 Abs. 1 BDSG sein.

Ein Problem bleibt aber ohnehin: Bislang ist es nicht möglich, Auskünfte aus dem Führungszeugnis auf einzelne Bereiche zu beschränken. Aus datenschutzrechtlicher Sicht wäre es sinnvoll, beispielsweise nur Informationen über Vermögensdelikte zu erhalten, weil gerade diese für die konkrete Tätigkeit relevant sind. Alternativ wäre es auch möglich, dass der künftige Arbeitgeber – mit schriftlicher Einwilligung des Arbeitnehmers – das Führungszeugnis direkt anfordert und dabei die relevanten Bereiche nennen muss. Hier ist also der Gesetzgeber gefordert, damit das Grundrecht jedes Einzelnen auf Informationelle Selbstbestimmung nicht zu stark beschnitten wird.

Office 365 soll in Zukunft Microsoft 365 heißen. Mit dem Umbau wurden auch Zusatzfeatures der Office-Suite angekündigt: Employee Safety 365 ist eine Erweiterung der Kollaborationssoftware Teams, die wir datenschutzrechtlich genauer betrachtet haben.

Microsoft Office 365 – Bestandsaufnahme

Microsoft war auf unserem Blog schon des Öfteren ein Thema. Leider stand es bei einer datenschutzrechtlichen Beleuchtung nicht immer im besten Licht. Beispielsweise werden bei der Nutzung von Office 365 über 25.000 Events Diagnosedaten an Microsoft übermittelt. Wer einmal die Online-Service-Terms und das Data-Processing-Addendum von Microsoft gelesen hat, dem machen Plusquamperfekt und Futur 2 keine Angst mehr.

Da die Mitarbeiter von Unternehmen eigentlich den ganzen Tag nur noch mit dieser Office-Suite arbeiten, ist auch die Leistungs- und Verhaltenskontrolle mit Workplace Analytics und MS Graph treffsicherer geworden. Um Sicherheit und Produktivität weiter zu verbessern, hat Microsoft Employee Safety 365 vorgestellt.

Funktionsumfang von Employee Safety 365

Unternehmen können nun endlich die Computer-, Smartphone- und Internet-Nutzung der Mitarbeiter kontrollieren und steuern. Dazu zählen auch Auswertungen der Bildschirmzeit auf Windows- und Android-Geräten, sowie der Xbox. Nachdem ein Unternehmen über diese Funktionen überhaupt einmal ermittelt hat, wie lange Mitarbeiter während der Arbeitszeit Netflix schauen, können mittels Employee Safety 365 die Nutzungszeiten für Apps und Anwendungen reguliert werden. Dies gilt auch für Social-Media- und Messenger-Programme. Erste Unternehmen verzeichneten im Test erhebliche Erfolge in der Mitarbeiterbindung, seitdem sie die Nutzungsdauer für das Unternehmer- und Jobsuche-Portal Xing auf zwei Stunden am Tag reduzierten.

Employee Safety 365 soll jedoch nicht nur die Produktivität erhöhen, sondern die Arbeitnehmer auch schützen. Einige Features erhöhen sogar die Sicherheit der Arbeitnehmer noch vor dem Betreten der Büroräume. Mittels Location Tracker und Geofencing kann der Arbeitgeber die Arbeitswege und Geschwindigkeiten seiner Arbeitnehmer kontrollieren. Mittels Geofencing können morgendliche Abstecher vom normalen Arbeitsweg direkt mit einer E-Mail-Warnung verknüpft werden. Auch eine Fahrstilanalyse ist im Softwarepaket mit inbegriffen. So können Mitarbeiter, die auf dem Weg zur Arbeit schneller fahren als auf dem Heimweg, identifiziert und explizit gefördert werden. All diese Informationen werden bequem in automatisch erstellten Profilen gespeichert und ausgewertet.

Zulässig nach DSGVO?

Seit der Einführung der Datenschutz-Grundverordnung ist eine solche Überwachung natürlich nicht ohne weiteres möglich. Unter den Testunternehmen waren beispielsweise kollegiale Wettkämpfe sehr beliebt wie „höchste Geschwindigkeit beim Heimweg“ oder „längster Heimweg nach der Betriebsfeier“.

Aus datenschutzrechtlicher Sicht ist dies aber nicht unproblematisch. Der grundlegende Einsatz von Employee Safety 365 ist unkompliziert nach § 26 Abs. 1 S. 1 BDSG erforderlich für die Durchführung des Beschäftigungsverhältnisses. In der modernen Welt müssen Unternehmen ihr wichtigstes Kapital fördern, beschützen und nutzen. Da sich darum aber mittlerweile Banken kümmern, konzentrieren sich Unternehmen verstärkt auf ihr Personal.

Da Employee Safety 365 jedoch auch Daten außerhalb des Beschäftigungsverhältnisses verarbeitet, greift die Rechtsgrundlage nicht für alle Verarbeitungsvorgänge. Microsoft hat deshalb angekündigt, dass Employee Safety 365 mit einer voreingestellten Einwilligung für alle weiteren Verarbeitungen installiert wird. Administratoren können darüber hinaus das Ändern der Einstellungen durch die Mitarbeiter mittels entsprechender Policies verhindern.

Unternehmen sind eine Familie

Employee Safety 365 ist das neue Tool mit denen Unternehmen und Mitarbeiter zu einer Familie zusammenwachsen können. Denn nur ohne Geheimnisse oder vorgetäuschte Privatsphäre können die Mitarbeiter offen und ehrlich miteinander kommunizieren. Als wäre das Tool für Familien und nicht für Unternehmen entworfen, stellt es alle bisherigen Überlegungen zum Arbeitnehmerdatenschutz in Frage… oder hieß das Tool doch „Family Safety“ – das spielt an dem heutigen Tag ja aber keine Rolle.

Froher 1. April von Dr. Datenschutz.

Uns steht ein langes, sonniges Oster-Wochenende bevor. Manch ein Arbeitgeber möchte seinen Mitarbeitern eine kleine Aufmerksamkeit in Form eines Schoko-Osterhasen zu senden. Vielleicht soll es neben der Wertschätzung auch ein kleines Dankesschön für durch das Durchhaltevermögen während der Corona-Krise symbolisieren. Manch ein sensibilisierter Personaler fragt sich nun: Dürfen wir die Privatadressen der Mitarbeiter hierfür verwenden? Es folgt eine kleine datenschutzrechtliche Erläuterung.

Ausgangspunkt: Grundsatz der Zweckbindung

In der Personalakte findet man schnell die Privatadresse, welche bereits zu Beginn des Arbeitsverhältnisses bzw. sogar des Bewerbungsprozesses erhoben wurde. Grund für die Datenerhebung war die Durchführung des Arbeitsverhältnisses (vgl. § 26 Abs. 1 BDSG). Die Vertragsparteien werden anhand des Namen und der Adressdaten konkretisiert. Zudem will der Arbeitgeber auch Lohnzettel oder andere arbeitsrechtliche Informationen postalisch an den Mitarbeiter senden können.

In Art. 5 Abs. 1 lit. b DSGVO ist der Grundsatz der Zweckbindung normiert. Danach müssen personenbezogene Daten

„für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecke.“

Es ist wohl zweifelhaft, ob bei Vertragsschluss bereits klar war, dass Osterhasen oder sonstige kleine Gratifikationen an die Privatadressen des Mitarbeiters gesendet werden. Nur bei bereits bestehender „Tradition“ im Unternehmen wird ein Arbeitgeber hierüber in seinen Datenschutzhinweisen an die Mitarbeiter informieren.

Man kann sich darüber streiten, ob diese Form der Mitarbeitermotivation noch unter § 26 BDSG gefasst werden kann bzw. ob diese Datenverarbeitung für die Durchführung des Arbeitsverhältnisses erforderlich ist. Aber selbst wenn man dies verneinen sollte, kommt man auf anderen Wege zur Zulässigkeit.

Zulässige Zweckänderung

Keine Regel ohne Ausnahme. Art. 6 Abs. 4 DSGVO erläutert, wann man ausnahmsweise personenbezogene Daten zu einem anderen Zwecke verarbeiten darf:

„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, (…) so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist -unter anderem:

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten (…),

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

Zusammengefasst geht es hier also um eine Kompatibilitätsprüfung, das heißt, ist der ursprüngliche Zweck mit dem neuen Zweck vereinbar? Maßgeblich ist hierbei der Empfängerhorizont der betroffenen Person.

Ein gutes Arbeitsverhältnis sollte von gegenseitigen Respekt und Anerkennung gekennzeichnet sein. Insoweit gehört es auch zu einer guten Arbeitskultur, dass der Arbeitgeber die Arbeitsleistung des einzelnen Mitarbeiters wertschätzt. Dies führt letztlich dazu, dass die Mitarbeiter weiterhin motiviert arbeiten. Eine kleine Aufmerksamkeit in Form eines Schoko-Osterhasen oder Schoko-Nikolaus ist daher einerseits im Interesse des Arbeitnehmers und andererseits ist es – hoffentlich – auch nicht so unüblich, dass er damit nicht rechnen konnte. Für den Mitarbeiter gibt es auch keine nachteiligen Folgen – außer vielleicht einer Gewichtzunahme.

Die Grenze ist nur dort zu ziehen, wo es dem Arbeitgeber nicht mehr primär um Mitarbeitermotivation, sondern um Werbung für die eigene oder andere Firma geht. Die Nutzung der Privatadresse zu Werbezwecken überrascht dann doch jeden Mitarbeiter und ist daher nicht mehr mit dem ursprünglichen Zweck der Datenerhebung vereinbar.

Und die Rechtsgrundlage?

Art. 6 Abs. 4 DSGVO regelt nach herrschender Meinung nur, wann eine Zweckänderung zulässig ist und stellt selbst keine Rechtsgrundlage dar. Für den neuen Zweck der Datenverarbeitung muss daher noch separat eine Rechtsgrundlage nach Art. 6 Abs. 1, Art. 9 Abs. 2 DSGVO, dem BDSG oder anderen Spezialgesetzen vorliegen.

Wie bereits oben erwähnt, könnte man diese Form der Mitarbeitermotivation ggf. noch unter § 26 Abs. 1 BDSG rechtfertigen. Jedenfalls stellt es ein berechtigtes Interesse des Arbeitsgebers i. S. v. Art. 6 Abs. 1 S.1 lit. f DSGVO dar. Auf Seiten des Mitarbeiters sind keine er Interessen erkennbar, die überwiegend gegen die Datenverarbeitung sprechen. Insbesondere verwendet der Arbeitgeber nur ihm ohnehin schon bekannte Adressdaten, die nicht sonderlich schutzbedürftig sind.

Die Ostereiersuche kann beginnen

Vorsicht ist besser als Nachsicht. Es ist gut, wenn im Unternehmen der Datenschutz so Ernst genommen wird, sodass auch scheinbare Selbstverständlichkeiten nochmal kritisch hinterfragt werden. Je älter man wird, umso mehr verliert man leider diese Eigenschaft des Hinterfragens. Der Datenschutzbeauftragte kann natürlich sehr schnell Licht ins Dunkeln bringen. Und er freut sich auch mal sagen zu können: Ja, das geht.

Das Team vom Dr. Datenschutz wünschen Ihnen einen fleißigen Osterhasen und viel Spaß beim Vernaschen der Osterleckereien.

In Krisenzeiten wie zur Corona-Epidemie, aber auch bei Terroranschlägen oder Naturkatastrophen überlegen viele Arbeitgeber, ob ihre bisher dokumentierten Notfallmaßnahmen im Ernstfall genügen. Im WorldWideWeb findet man eine Vielzahl an Dienstleistern, die eine leichte und automatisierte Unterstützung anbieten. Bei der Suche nach dem passenden Notfallmanagement-Tool, darf der Arbeitnehmerdatenschutz aber nicht unberücksichtigt bleiben.

Was bieten solche Notfallmanagement-Tools an?

Es gibt viele Gründe, warum ein Unternehmen ein Notfallmanagement integrieren möchte:

• Erfüllung der Sorgfaltspflichten als Arbeitgeber durch effektiveren Schutz für die Mitarbeiter
• Erhöhung des Schutzes für die IT-Sicherheit und Datensicherheit
• Schadensbegrenzung durch schnelles und effektives Handeln in Krisensituationen
• Ermöglichen einer schnellen Wiederaufnahme des Hauptgeschäfts.

In der Vergangenheit schrieb man daher umfassende Notfallhandbücher und probte den Ernstfall mit den Mitarbeitern im Rahmen von Übungen für den Feueralarm o.Ä.

Durch die Globalisierung und Vernetzung der Welt veränderte sich die Arbeitsweise nachhaltig, sodass sich Unternehmen auch auf andere Krisenszenarien und mögliche Gefahren (z.B. Terroranschlag, Cyber-Kriminalität) einstellen müssen. Verschiedene Software-Lösungen wie die von Everbridge oder Rave Mobile Safety versuchen auch diesen Bereich zu digitalisieren und ermöglichen es dem Unternehmen u.a.:

• durch Tracking der Lokaldaten zu wissen, wer sich im Gebäude befindet, und mit diesen Personen im Notfall kommunizieren zu können,
• die Kommunikation und die Kollaboration für die Sammlung von Personen und Evakuierungsplänen zu automatisieren,
• Evakuierungspläne für Notfallsituationen zu automatisieren,
• zielgerichtet mittels SMS-Textwarnmeldungen, Sprachnachrichten, Mobil-App-Warnmeldungen, digitale Anzeigen oder Desktop-Benachrichtigungen Informationen zu senden sowie
• mit Hilfe mobiler Applikationen für das Smartphone sofort eine Nachricht an das Team zu senden.

Welche personenbezogenen Daten werden verarbeitet?

Je nach Funktionsweise des Notfallmanagement-Tools können folgende Daten der Mitarbeiter verarbeitet werden:

• Name
• betriebliche Kontaktdaten (E-Mail-Adresse und Telefonnummer)
• Standort und Adresse der Arbeitsstelle
• private Kontaktdaten
• dynamische Standortdaten (zuletzt bekannter Aufenthaltsort und vermuteter Aufenthaltsort anhand von Check-Ins oder Kalendereinträgen)
• aktuelle Standortdaten

Manche Notfallmanagement-Tools bieten die Möglichkeit der Verknüpfung mit dem Schlüsselsystem an. So wird getrackt, wo der Mitarbeiter zuletzt den Schlüssel verwendet hat und ob dies als Ein- oder Ausgang zu werten ist. Der Mitarbeiter kann aber auch seinen digitalen Terminkalender freigeben und anhand der Termine wird dann vermutet, wo sich der Mitarbeiter nun befindet.

Wenn das Tool auch eine App-Lösung für das Handy anbietet, können bei Zugriff auf die Ortungsdienste sogar die aktuellen Standortdaten erfasst werden.

Welche Rechtsgrundlagen kommen für die Datenverarbeitung in Betracht?

Diese Frage kann man nicht pauschal beantworten, da sie einerseits von der Funktionsweise des jeweiligen Tools, als auch von den Arten der zu verarbeitenden Daten abhängt. Aber auch der vom Unternehmen verfolgte Zweck spielt maßgeblich eine Rolle. Im Folgenden werden daher nur allgemeine rechtliche Überlegungen aufgezeigt.

§ 26 Abs. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (überwiegend berechtigte Interessen)

Der Arbeitgeber muss gegenüber seinen Mitarbeitern diverse Fürsorgepflichten gerecht werden und insbesondere dessen Sicherheit am Arbeitsplatz gewährleisten. Im Rahmen der Arbeitssicherheit muss der Arbeitgeber gewährleisten, dass er seine Mitarbeiter effektiv vor Gefahren schützen kann. Bei der Wahl der Mittel steht ihm hierzu auch ein gewisser Ermessensspielraum zu. Ein Notfallmanagement-Tool kann grundsätzlich zur Erhöhung der Arbeitssicherheit führen. Insoweit kann hier die Erforderlichkeit der Datenverarbeitung in der Regel grundsätzlich bejaht werden.

Da hier Mitarbeiter betroffenen sind, sind zunächst die Voraussetzungen des § 26 Abs. 1 BDSG (i. V. m. Art. 88 Abs. DSGVO) zu prüfen. Hier hat der Gesetzgeber eine Sondernorm für den Arbeitnehmerdatenschutz geschaffen. Es stellt sich also die Frage, ob ein solches Notfallmanagement-Tool gerade für die Durchführung des Arbeitsverhältnisses erforderlich ist. In der Regel gibt es bereits ein Notfallmanagement im Unternehmen, bei dem weniger Daten verarbeitet werden. Soweit man dieses ersetzen will, sollte man die Gründe für die Erwägung dokumentieren: Möglicherweise hat sich in der Vergangenheit gezeigt, dass das bisherige Notfallmanagement nicht effektiv war. Vielleicht ist sogar ein Mitarbeiter zu Schaden gekommen. Aber auch eine tatsächliche Erhöhung der Gefährdungslage für die Mitarbeiter kann den Einsatz eines solchen Tools erforderlich machen.

Falls man die Erforderlichkeit für das Arbeitsverhältnis nicht bejahen kann, wird man die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DSGVO prüfen. Hier findet dann eine umfassende Interessenabwägung statt.

Art der Daten sind maßgeblich für die Bewertung

Sowohl bei dieser Interessenabwägung nach Art. 6 DSGVO als auch bei § 26 BDSG sind die Grundsätze der Datensparsamkeit und Zweckbindung hinreichend zu beachten. Da je nach Funktionen des Tools verschiedene Arten und Anzahl an Daten verarbeitet werden, muss man hier eine differenzierte Betrachtung vornehmen. Je mehr Daten des Arbeitnehmers verarbeitet werden, umso schwerer wiegt der Eingriff in dessen Rechte und Freiheiten. Umso besser müssen die Gründe und verfolgten Zwecke hierfür sein, um dies legitimieren zu können. Am Ende der Bewertung des Tools kann man zu dem Schluss kommen, dass man einzelne Funktionen mangels Rechtsgrundlage nicht nutzen darf oder nur, soweit der Mitarbeiter freiwillig zustimmt.

Name, betriebliche Kontaktdaten und Standort der Arbeitsstelle

Diese statischen Daten sind nicht besonders schutzbedürftig, weil sie innerhalb des Unternehmens ohnehin intern bekannt sind. Mit dem Notfallmanagement-Tool und diesen Angaben wird lediglich der Arbeitsschritt der Benachrichtigung via SMS, E-Mail, oder Telefon im Falle eines Notfalls automatisiert und damit die zuständigen Personen entlastet. Es ändert sich also nur die Vorgehensweise der Datenverarbeitung, aber nicht die Art der Daten.

Private Kontaktdaten

Zwischen Arbeitsleben und Privatleben ist grundsätzlich strikt zu trennen. Außerhalb der Arbeitszeit und Arbeitsstätte überwiegen grundsätzlich die Interessen und Rechte der Arbeitnehmer an Privatsphäre. Die in der Praxis bislang herrschende Ansicht geht daher davon aus, dass der Arbeitgeber die privaten Kontaktdaten der Mitarbeiter im Falle von Notfällen nur auf Grundlage deren Einwilligung verarbeiten darf. Etwas Anderes kann sich wohl nur dann ausnahmsweise ergeben, wenn betriebliche Kontaktmöglichkeiten nicht bestehen.

Aktuelle Standortdaten

Insoweit ist zu berücksichtigen, dass ein Tool bei einer Erfassung von Standortdaten zu einer Verhaltenskontrolle und damit auch zu einer Rundumüberwachung führen kann. Dies stellt einen besonders schweren Eingriff in die Rechte und Freiheiten des Arbeitnehmers dar. In der datenschutzrechtlichen Literatur sowie der Rechtsprechung wurden einige Grundsätze zum Einsatz von Ortungssystemen und zur Auswertung des Fahrverhaltens von Beschäftigten bei Dienstwagen herausgearbeitet. Diese sind hier entsprechend zu beachten. Dazu gehören insbesondere die folgenden Punkte:

• Verbot einer Totalüberwachung,
• Verbot einer Überwachung im privaten Bereich und
• Verbot einer heimlichen Überwachung.

Eine umfassende Überwachung kann nur ausnahmsweise bei Risikoberufsgruppen wie Feuerwehrmann, Soldat im Kriegseinsatz o.Ä. zulässig sein. In der Regel wird man aber die Erforderlichkeit der Datenverarbeitung verneinen müssen.

Dynamische Standortdaten

Die vorgenannten Überlegungen gelten auch hier, insbesondere wenn die Bewegungsabläufe innerhalb des Gebäude durch eine Verknüpfung mit dem Schlüsselsystem getrackt werden. Die Freigabe von digitalen Terminkalendern stellt allerdings ein milderes Mittel dar, da die Standortdaten ungenauer ermittelt werden. Bei Mitarbeitern, die viele Dienstreisen im Ausland wahrnehmen – insbesondere in Krisengebieten – kann diese Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein.

Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung)

Bei all den Datenarten oder Funktionen des Notfallmanagement-Tools, die weder nach § 26 Abs. 1 BDSG noch auf Grundlage eines überwiegenden Interesses des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO begründet werden können, kann die Datenverarbeitung nur auf eine Einwilligung gestützt werden. Die Einwilligung ist demnach in der Regel für folgende Informationen einzuholen:

• private Kontaktdaten
• dynamische Standortdaten
• Freigabe der Ortungsdienste auf dem Handy bei Nutzung der App

Hierbei gilt es § 26 Abs. 2 Satz 3 BDSG zu beachten, wonach die Einwilligung von Mitarbeitern schriftlich oder oder elektronisch zu erfolgen hat. Der Arbeitgeber muss seine Mitarbeiter also vorab umfassend über die Datenverarbeitung und deren Rechte informieren. Zudem muss klargestellt werden, dass die Verweigerung einer Einwilligung das Arbeitsverhältnis nicht nachteilig beeinflusst.

Was muss ich als Arbeitgeber noch vor der Implementierung beachten?

Es ist an den Betriebsrat zu denken, da sich aus § 87 Nr. 6 Betriebsverfassungsgesetz ein Mitbestimmungsrecht für diesen ergeben kann. Eventuell bestehen auch schon sonstige Kollektivvereinbarungen, die ebenfalls bei der rechtlichen Bewertung zu berücksichtigen sind.

Soweit es sich um eine Software-as-a-Service Lösung handelt und der Software-Anbieter Zugriff auf Mitarbeiterdaten erhält, bedarf es den Abschluss einer Vereinbarung zur Auftragsverarbeitung i. S. v. Art. 28 DSGVO. Wenn ein Drittlandsbezug bei der Datenverarbeitung besteht, dann ist auch immer an den Abschluss von EU-Standardvertragsklauseln zu denken.

Je mehr Funktionen das Tool bietet und damit die Zahl der verarbeiteten Daten steigt, umso mehr ist auf die Datensicherheit zu achten. Der IT-Sicherheitsbeauftragte sollte daher einen prüfenden Blick auf die technischen und organisatorischen Maßnahmen werfen. Bei der Auswertung von aktuellen Standortdaten kann sich zudem eine Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ergeben.

Aufgrund der rechtlichen Komplexität sollte der Datenschutzbeauftragte frühzeitig bei der Auswahl eines Notfallmanagement-Tool einbezogen werden. Er kann am besten beurteilen, welche Funktionen unter Berücksichtigung des Arbeitnehmerdatenschutzes eingesetzt werden können.

Das Bundesarbeitsgericht (BAG) hat entschieden, dass der Arbeitgeber auf Dateien des auch privat genutzten Arbeitsrechners zugreifen kann, wenn diese nicht als „privat“ gekennzeichnet wurden. Zudem kann der Arbeitgeber hierauf auch seine Kündigung stützen. Was heißt das für den Datenschutz des Arbeitnehmers?

Überprüfung von Arbeitsmitteln durch den Arbeitsgeber

Zunächst stellt sich die Frage, ob der Arbeitgeber überhaupt auf den Arbeitsrechner seines Arbeitnehmers zugreifen darf. Nach mittlerweile gefestigter Rechtsprechung des BAG, darf der Arbeitgeber jedenfalls Erkenntnisse oder Beweismittel aus der Verwertung von Dateien-Inhalten eines Arbeitsrechners verwenden, wenn er diese im Einklang mit datenschutzrechtlichen Vorschriften erlangt hat (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 14 ff.).

Wegweisender BAG-Fall

Im konkreten Fall befanden die Richter aus Erfurt im Sinne des Beklagten (Arbeitgeber), der auf Grund eines Verdachtsfalles (Hinweis für die Spitzfindigen: nicht aber auf Tatsachen beruhenden Anfangsverdacht) den auch privat genutzten Arbeitsrechner seines Arbeitnehmers durchsuchte und eine darauf gegründete Kündigung aussprach. Die BAG-Richter ließen für die Kündigung einen begründeten Verdacht einer Pflichtverletzung ausreichen.

Entscheidende Norm: § 26 BDSG

Einschlägige datenschutzrechtliche Norm zur Bewertung der Zulässigkeit der Maßnahme ist § 26 Abs. 1 S. 1  BDSG (im Fall der inhaltsgleiche § 32 BDSG aF). Nach dieser Bestimmung dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses unter anderem dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses (so auch die Vorbereitung einer Kündigung – BAG 23. August 2018 – 2 AZR 133/18 – Rn. 22).

„§ 32 Abs. 1 Satz 2 BDSG aF entfaltet keine „Sperrwirkung“ dergestalt, dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulässig sein könnte (BAG 27. Juli 2017 – 2 AZR 681/16 – Rn. 30, BAGE 159, 380; ausführlich BAG 29. Juni 2017 – 2 AZR 597/16 – Rn. 28 ff., BAGE 159, 278). Allerdings muss die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auch nach § 32 Abs. 1 Satz 1 BDSG aF „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen.“

Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten muss geeignet, erforderlich und unter Berücksichtigung der Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkenden Mittel zur Verfügung stehen.

Im Rahmen der Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist zu beachten, dass die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine übermäßige Belastung für den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies ist für jedes personenbezogene Datum gesondert zu beurteilen (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 24).

Folgen für die Praxis

Der Arbeitgeber hat folglich eine Verhältnismäßigkeitsprüfung vorzunehmen, bevor er den Arbeitsrechner auswertet, die die Rechte seines Arbeitsnehmers entsprechend würdigt.

Datenschutzrechtlich brisant ist, dass das BAG klargestellt hat, dass der Arbeitgeber grundsätzlich auf alle Dateien auf dem Arbeitsrechner zugreifen kann, insofern der Arbeitnehmer diese nicht als explizit „privat“ kennzeichnet. Es liegt folglich in der Sphäre des Arbeitnehmers Dateien auf dem Arbeitsrechner deutlich mit der Kennzeichnung „privat“ zu versehen, wenn er sich vor der Überprüfung schützen möchte. Selbstverständlich ist auch dieser Schutz begrenzt z. B. beim Verdacht einer schweren Verfehlung. Es bleibt somit die in diesem Kontext wiederholende Frage, warum überhaupt private Dateien auf dem Arbeitsrechner speichern?

In seinem Teilurteil vom 19.03.2019 – 4 A 12/19 hatte das VG Lüneburg über einen Bescheid der Niedersächsischen Datenschutzaufsichtsbehörde zu entscheiden. Die Behörde hatte in seinem Bescheid die GPS-Ortung der Firmenfahrzeuge der Reinigungsfirma für datenschutzrechtlich unzulässig erklärt und Abhilfemaßnahmen gefordert. Die Überwachung sei nach den Auffassungen der Aufsichtsbehörde und des Gerichts nicht erforderlich. Doch wie begründet das Gericht seine Entscheidung?

Der Sachverhalt

Dem Rechtsstreit liegt eine Anfechtungsklage der Reinigungsfirma (Klägerin) zugrunde. Die Niedersächsische Aufsichtsbehörde hatte entschieden, dass die GPS-Überwachung der Firmenfahrzeuge eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle. Das Reinigungsunternehmen kann 18 Fahrzeuge der Flotte mittels dem eingebauten GPS orten. Diese Funktion lässt sich auch nicht ohne weiteres deaktivieren. Das System ist so ausgelegt, dass es für einen Zeitraum von 150 Tagen jede gefahrene Strecke, sowie den Zündungsstatus, speichere. Da die Fahrzeuge den jeweiligen Beschäftigten eindeutig zuordenbar sind, besteht auch ein Personenbezug der Daten. Allerdings, so die Klägerin, erfolge eine tatsächliche Ortung der Fahrzeuge sehr unregelmäßig und maximal drei bis vier Mal pro Jahr. Eine Privatnutzung der Fahrzeuge sei zwar nicht ausdrücklich gestattet, jedoch geduldet.

Datenschutzrechtliche Grundlagen zur GPS-Ortung von Firmenfahrzeugen

Sind die Fahrzeuge wie hier Personen eindeutig zuordenbar, handelt es sich bei der GPS-Ortung um die Verarbeitung personenbezogener Daten im Beschäftigtenkontext gem. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG. Insofern für die Verarbeitung keine Einwilligung vorliegt, muss die Verarbeitung zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein.

Erforderlichkeit einer Verarbeitung im Beschäftigtenverhältnis

Im Rahmen der Erforderlichkeitsprüfung einer Verarbeitung sind die widerstreitenden Positionen von Arbeitgeber und Beschäftigten abzuwägen. Dabei muss das Interesse des Arbeitgebers an der Verarbeitung mit dem Persönlichkeitsrecht des Beschäftigten in einen schonenden Ausgleich gebracht werden, Gola, in: Gola/Heckmann, BDSG 13. Auflage, § 26 Rn. 16. Diese eher theoretische Definition besagt letztlich, dass die Interessen beider Seiten abgewogen werden müssen, dass das Mittel für den verfolgten Zweck geeignet sein muss und kein milderes gleich wirksames Mittel zur Verfügung steht.

Grundsätze des Datenschutzrechts

Dabei zu beachten sind auch die Grundsätze des Datenschutzrechts aus Art. 5 DSGVO. Mit der DSGVO wurde den Grundsätzen des Datenschutzrechts ein stärkerer Wert zugesprochen. Die Nichtbeachtung der Grundsätze ist mit der DSGVO zu einem bußgeldbewährten Verstoß gem. Art. 83 Abs. 5 lit. a DSGVO geworden und kann mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Im vorliegenden Fall sind gerade die Grundsätze der Fairness („Treu und Glauben“) und der Transparenz gem. Art. 5 Abs. 1 lit. a DSGVO, sowie der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO, zu beachten. Danach müssen Datenverarbeitungen für die Betroffenen vorhersehbar sein, sie müssen über Art und Umfang der Datenverarbeitung informiert werden und die Datenverarbeitung muss auf das notwendige Minimum beschränkt werden, um den verfolgten Zweck zu erreichen. Wenn ein Verantwortlicher diese Grundsätze sehr gut umsetzt, beeinflusst dies wiederum positiv die Abwägung im Rahmen der Erforderlichkeitsprüfung.

Entscheidungsgründe im vorliegenden Fall

Das Gericht prüft richtigerweise im vorliegenden Fall die zwei Erlaubnistatbestände des § 26 Abs. 1 BDSG. Danach erfolgt zuerst die Prüfung, ob die Verarbeitung erforderlich zur Begründung Durchführung oder Beendigung eines Beschäftigtenverhältnisses ist. Anschließend erfolgt eine Prüfung, ob die Beschäftigten möglicherweise in die Verarbeitung eingewilligt haben.

Erforderlichkeit der GPS-Ortung

Die Klägerin gab an, dass die GPS-Ortung dazu dient die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. geklaute Fahrzeuge wieder aufzufinden. Außerdem soll so das Wochenendfahrtverbot und das Verbot der Privatnutzung durchgesetzt werden. Die Klägerin argumentiert, dass die GPS-Ortung dafür erforderlich sei, da kein milderes gleichwirksames Mittel ersichtlich ist.

Zu Recht äußert das Gericht, dass eine Überwachung außerhalb der Geschäftszeiten und am Wochenende nicht erforderlich sei. Die Klägerin hat selbst angegeben, dass die Privatnutzung der Fahrzeuge geduldet ist. Auch seien Ortungssysteme für die Prävention von Diebstählen völlig ungeeignet und somit nicht erforderlich. Des Weiteren sei auch eine ständige Ortung der Fahrzeuge nicht zur Koordination von Mitarbeitern und Fahrzeugen erforderlich. Eine solche Planung sei stets zukunftsorientiert, weswegen Informationen über vergangene und aktuelle Standorte der Fahrzeuge nicht relevant sind. Die Dienstleistungen im Reinigungsgewerbe seien außerdem weniger zeitkritisch als etwa im Transportgewerbe, weswegen hier nicht der gleiche Maßstab anzusetzen ist. Letztlich können die GPS-Daten auch nicht als Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern dienen. Ein solcher Nachweis erfolgt wesentlich sicherer und weniger eingriffsintensiv bei den Auftraggebern vor Ort.

Die Klägerin habe außerdem nicht nachweisen können, in welchen Fällen es tatsächlich zur Auswertung der Daten kam und diese tatsächlich relevant für die Durchführung eines Beschäftigungsverhältnisses wurden. Abgesehen davon arbeiten über 100 Mitarbeiter bei der Klägerin im Außendienst, aber nur 18 Fahrzeuge werden mittels des GPS-Systems geortet. Es ist für das Gericht daher nicht ersichtlich, weswegen ein normaler Betrieb bei den anderen Beschäftigten auch ohne Ortungssystem möglich ist.

Einwilligung

Die Klägerin legt im Rechtsstreit zwar einige „Einwilligungserklärungen“ der Beschäftigten vor. Die meisten davon erfüllen jedoch nicht die Voraussetzungen der Einwilligung im Beschäftigtenverhältnis gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG. Diese Erklärungen erfüllen entweder nicht die notwendigen Informationspflichten, oder es fehlt die Belehrung über das Widerrufsrecht der Betroffenen. Die Klägerin könne demnach die Verarbeitung auch nicht auf eine Einwilligung stützen.

GPS-Ortung muss immer im Einzelfall geprüft werden

Das Gericht lehnt aus den oben genannten Gründen die Klage ab. Der Bescheid sei geeignet die Datenverarbeitung künftig in den Einklang mit den geltenden Datenschutzgesetzen zu bringen und es sind auch keine milderen Mittel ersichtlich. Die Entscheidung zeigt verständlich, auf welche Punkte im Rahmen der Erforderlichkeitsprüfung eingegangen werden muss. Damit gibt sie einen guten Leitfaden für Unternehmen, die ihre Fahrzeugflotte mittels GPS orten wollen. Es wird außerdem gut veranschaulicht, dass es nicht nur auf die Verarbeitung an sich ankommt, sondern ganz entscheidend auch auf den Zweck und die Umstände der Verarbeitung. Eine GPS-Überwachung sollte daher immer gründlich durch einen sachkundigen Anwalt oder Datenschutzbeauftragten geprüft werden.

Headhunter können Unternehmen im Wettbewerb um die besten Bewerber helfen. Mit Inkrafttreten der DSGVO gilt es zu beleuchten, was sich nunmehr für Headhunter geändert hat. Im ersten Teil geht es zunächst um die Voraussetzungen, wie Headhunter sich Informationen beschaffen können. Der weiterführende Beitrag beschäftigt sich dann mit dem Zeitpunkt ab dem erfolgreichen Erstgespräch mit dem Bewerber.

Wie arbeiten Headhunter allgemein?

Viele Unternehmen beauftragen Headhunter, damit diese für sie einen passenden Kandidaten finden. Der Headhunter trifft in diesem Falle also eine Vorauswahl und präsentiert dem Unternehmen nur noch den Kandidaten, den er für besonders geeignet hält. Der Headhunter kann geeignete Bewerber wie folgt ermitteln:

1. Veröffentlichung einer Annonce (ggf. unter Anonymisierung des Unternehmens)
2. Suche in sozialen Netzwerken
3. Suche in eigener Datenbank bzw. Bewerber-Pool

Daneben kann ein Bewerber auch selber proaktiv den Kontakt zum Headhunter suchen, um einen passenden neuen Arbeitgeber zu finden.

Findet die DSGVO überhaupt Anwendung?

Art. 88 Abs. 1 DSGVO sieht eine Öffnungsklausel vor, wonach die Mitgliedstaaten selber spezifische Vorschriften für das Beschäftigtenrecht erlassen können. Der deutsche Bundesgesetzgeber hat hiervon in § 26 BDSG Gebrauch gemacht. Bewerber werden hierbei den Beschäftigten gleichgestellt. Danach dürfen personenbezogenen Daten

„zum Zwecke für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“

verarbeitet werden, soweit dies erforderlich ist oder der Bewerber der Verarbeitung eingewilligt hat. Absatz 7 dehnt den Anwendungsbereich sogar auf Beschäftigtendaten aus, die weder durch Automation noch mit der Absicht zur Speicherung in einem Dateisystem verarbeitet werden. Insoweit werden grundsätzlich auch handschriftliche Notizen und Gespräche erfasst.

Der Begriff Bewerber ist gesetzlich nicht weiter definiert. Wenn eine Person von sich aus aktiv den Kontakt zum Headhunter oder potentiellen Arbeitgeber aufnimmt, dann ist diese unzweifelhaft Bewerber. Wenn die Initiative aber zunächst vom Headhunter ausgeht, kann man dies wohl nicht so einfach annehmen. Erst wenn diese Person Interesse an der Stelle bekundet und die weitere Kommunikation zum Bewerbungsverfahren wünscht, wird sie zum Bewerber. Davor handelt es sich nur um einen potentiellen Kandidaten, sodass der Anwendungsbereich von § 26 BDSG noch nicht eröffnet ist. Bis zum Wille der Jobvermittlung gelten daher die Vorschriften der DGSVO.

Welche Quellen darf der Headhunter nutzen?

Die Datenerhebung ist gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, soweit der Headhunter ein berechtigtes Interesse an der Datenverarbeitung hat und diese auch erforderlich ist. Als Interesse kommt insoweit die Vertragserfüllung gegenüber dem beauftragenden Arbeitgeber in Betracht. Damit einher geht indirekt das Interesse des Arbeitgebers an der erfolgreichen Suche nach passenden Kandidaten. Die Datenverarbeitung ist erforderlich, wenn das berechtigte Interesse des Headhunters höher wiegt als das Persönlichkeitsrecht des Kandidaten. Zudem darf es keine weniger eingriffsintensiven Mittel zur Zielerreichung geben. Im Rahmen dieser Interessenabwägung sind neben der Art der Daten auch deren Herkunft zu berücksichtigen.

Informationen aus allgemeiner Google-Suche

Ein „Googlen“ von Kandidaten ist auch nach Inkrafttreten der DSGVO grundsätzlich zulässig. Weder die DSGVO noch das neue BDSG sehen einen Vorrang der Datenerhebung bei der betroffenen Person vor. Lediglich aus Art. 6 und 8 der Charta der Grundrechte der EU kann dieser sog. Direkterhebungsgrundsatz partiell abgeleitet werden, um so die Einflusschancen des Betroffenen zu stärken. Soweit der Headhunter passende Kandidaten im „Internet sucht“, unterliegt er jedenfalls den umfassenden Informationspflichten aus Art. 14 DSGVO.

Bei der Abwägung ist maßgeblich, für welchen Personenkreis der Kandidat die Daten zugänglich gemacht hat. Wenn der Zugang ganz ohne Mitgliedschaft in einem Netzwerk, Forum o Ä. für jedermann möglich ist, hat der Kandidat bereits selber diese Daten als nicht schutzbedürftig eingestuft. Das Verarbeitunsginteresse des Headhunters überwiegt dann regelmäßig.

Anders ist dies aber bei Daten, die erkennbar gegen den Willen des Betroffenen veröffentlicht wurden (z. B. diffamierende Fotos oder Informationen). Bei solchen überragt das Interesse des Betroffenen an der Nichtverarbeitung und daher sollten diese Daten nicht weiter beachtet werden.

Informationen aus sozialen Netzwerken

Bei Netzwerken muss man auch nach deren Art unterscheiden. Berufsorientierte Netzwerke wie Xing oder LinkedIn dienen insbesondere leichteren Kontaktaufnahme zwischen potentiellen Arbeitgebern und Bewerbern. Ein registrierter Nutzer kann hier also signalisieren, dass er an einem Jobwechsel interessiert ist. Der Headhunter agiert dann auch in deren Interesse, sodass die Interessenabwägung zu seinen Gunsten ausfällt. Bei freizeitorientierten Netzwerken, wie z. B. Instagram, sollte der Headhunter allerdings die Finger weglassen. Der Nutzer will dieses primär oder sogar ausschließlich zu privaten Zwecken nutzen. Insoweit überwiegt das Persönlichkeitsinteresse des Nutzers.

Auskunft beim Ex-Arbeitgeber

Manchmal möchte der Headhunter sich Informationen über den Bewerber durch den ehemaligen Arbeitgeber bestätigen lassen. Bereits vor Inkrafttreten der DSGVO war es stark umstritten, inwieweit eine Einwilligung des Bewerbes erforderlich ist. Hierzu wurde in folgenden Beitrag ausführlich erläutert, warum die Einholung einer Einwilligung ratsam ist. In der Regel handelt es sich dann um einen Bewerber, sodass § 26 BDSG Anwendung findet. Aus Absatz 2 dieser Norm ergibt sich hinsichtlich der Einwilligung die Besonderheit, dass diese schriftlich, also mit eigenhändiger Unterschrift, zu erfolgen hat.

Welche Rechte stehen den Kandidaten bzw. Bewerbern zu?

Über die Rechte des Bewerbers als Betroffenen haben wir bereits ausführlich hier berichtet. Allgemein lassen sich folgende Rechte nennen:

• Informationsrecht
• Auskunfts- und Widerspruchsrecht
• Recht auf Berichtigung, Löschung und Einschränkung
• Recht auf Datenübertragbarkeit

Insbesondere den Umfang seiner Informationspflichten sollte der Headhunter im Auge behalten. Soweit er Daten nicht ausschließlich beim Betroffenen erhoben hat, muss er diesem genau mitteilen, welche Datenkategorien er wo und zu welchen Zwecken erhoben hat, vgl. Art. 14 Abs. 1 und 2 DSGVO. Um dieser Pflicht hinreichend nachkommen zu können, ist eine geordnete Dokumentation unabdingbar. Die Voraussetzungen einer Ausnahme von dieser Pflicht wegen unverhältnismäßigen Aufwandes i. S. d. Art. 14 Abs. 5 lit. b DSGVO kommt nur selten in Frage und bedarf daher einer genauen Prüfung.

Was passiert bei Verstößen?

Soweit Headhunter gegen die Bestimmungen der DSGVO verstoßen, kann mit Bußgeldern gerechnet werden. Risikobehaftet sind vor allem das Sammeln potentiell sensibler Bewerberdaten (in Datenbanken) und die korrekte Umsetzung der Betroffenenrechte. So brachte die Informationspflicht einem Unternehmen in Polen ein Bußgeld ein, da die Meinung der Aufsichtsbehörde und des Verantwortlichen bei der Frage auseinandergingen, was ein unverhältnismäßiger Aufwand sei. Eine allgemeine Erläuterung zu den Geldbußen und Sanktionen können Sie folgendem Beitrag entnehmen: Datenschutz-Grundverordnung: Bußgelder und Sanktionen Teil 2

Traumjob Headhunter bleibt weiterhin erhalten

Die zunehmende Digitalisierung erleichtert die Suche für den Headhunter. Aber er kann nicht jede Quelle bedenkenlos verwenden. Denn wenn er diese Daten nicht in zulässiger Weise erhalten hat, dann kann dies schnell teuer für ihn werden.

Mit der erfolgreichen Suche eines geeigneten Kandidaten ist die Arbeit des Headhunters aber noch nicht getan. In der Fortsetzung wird berichtet, unter welchen Voraussetzungen der Headhunter die Daten an potentielle Arbeitgeber weitergeben darf und welche Pflichten ihn nach Abschluss des Bewerbungsverfahren treffen.

Gesundheitsdaten sind besonders schützenswerte Daten. Aber gilt dieser besondere Schutz auch, wenn das Unternehmen einen Betriebsarzt bestellt? An welche Vorgaben haben sich Betriebsarzt und Arbeitgeber zu halten? Darum geht es in diesem Artikel.

Gesundheitsdaten sind sensible Daten

Das Gesundheitswesen im Arbeitsverhältnis ist ein sensibles Thema, denn damit einher geht auch die Frage, wie viel der Arbeitgeber über die Gesundheit seiner Arbeitnehmer wissen darf oder sogar wissen muss.

Nach der Definition in Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten:

„[…] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Entscheidend ist, zu welchem Zweck die Daten verarbeitet werden. Erfolgt die Verarbeitung, um Rückschlüsse auf die Gesundheit zu ziehen, ist der Begriff der Gesundheitsdaten erfüllt.

Die Verarbeitung von Gesundheitsdaten

Als sensible Daten genießen Gesundheitsdaten einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Als besondere Kategorie personenbezogener Daten ist ihre Verarbeitung nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Dieses Verbot wird allerdings aufgehoben, wenn der Betroffene in die Verarbeitung der Daten eingewilligt hat (Art. 9 Abs. 2 lit. a DSGVO; „Verbot mit Erlaubnisvorbehalt“). Weitere Ausnahmen finden sich in Art. 9 Abs. 2 lit. h i.V.m. Art. 88 DSGVO i.V.m § 22 Abs. 1 Nr. 1 lit a – c BDSG. So ist die Verarbeitung von Gesundheitsdaten nach § 22 Abs. 1 Nr. 1 lit. b BDSG bspw. erlaubt, wenn dies

„zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich der für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist.“

Dabei ist jedoch sicherzustellen, dass die Daten

„von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.“

Bestellung eines Betriebsarztes

§ 2 ASiG sieht vor, dass Unternehmen unter bestimmten Voraussetzungen einen Betriebsarzt bestellen müssen. Die Bestellung hat schriftlich zu erfolgen. Der Betriebsarzt hat die Aufgabe, den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes zu unterstützen (§ 3 ASiG). Insbesondere ist er verpflichtet, dem Betriebsarzt, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen (§ 2 Abs. 2 S. 2 ASiG). Zudem hat der Arbeitgeber den Betriebsarzt auch über den Einsatz von Personen zu unterrichten, die mit einem befristeten Arbeitsvertrag beschäftigt oder ihm zur Arbeitsleistung überlassen sind (§ 2 Abs. 2 S. 3 ASiG).

Das müssen Betriebsarzt und Arbeitgeber beachten

Zu unterscheiden ist die Vorsorgeuntersuchung von der Eignungsuntersuchung.

Arbeitsmedizinische Vorsorge

Vorsorgeuntersuchungen sollen arbeitsbedingte Erkrankungen einschließlich Berufskrankheiten frühzeitig erkennen und verhüten (§ 1 Abs. 1 ArbMedVV). Unterschieden wird zwischen Pflicht-, Angebots- und Wunschvorsorge (siehe §§ 4-5a ArbMedVV). Der Betriebsarzt stellt dem Arbeitgeber eine Vorsorgebescheinigung darüber aus, dass, wann und aus welchem Anlass ein arbeitsmedizinischer Vorsorgetermin stattgefunden hat und wann eine weitere arbeitsmedizinische Vorsorge aus ärztlicher Sicht angezeigt ist (§ 6 Abs. 3 Nr. 3 ArbMedVV).

Eignungsuntersuchung

Eignungsuntersuchungen dienen der Feststellung der gesundheitlichen Eignung des Arbeitnehmers an die jeweilige Tätigkeit. Eignungsuntersuchungen können durch Gesetz oder Rechtsverordnung vorgeschrieben sein. Unter bestimmten Voraussetzungen kann die Durchführung von Eignungsuntersuchungen aber auch im Tarifvertrag, in einer Betriebsvereinbarung oder im Arbeitsvertrag geregelt werden. Zudem kann der Arbeitgeber im Rahmen seiner (nebenvertraglichen) Fürsorgepflicht berechtigt und verpflichtet sein, eine betriebsärztliche Untersuchung anzuordnen. Im Anschluss an die Untersuchung darf der Betriebsarzt dem Arbeitgeber lediglich mitteilen, ob ein Arbeitnehmer für eine bestimmte Arbeitsaufgabe geeignet, eingeschränkt geeignet oder nicht geeignet ist. Die Mitteilung hat sich also auf das Ergebnis der medizinischen Untersuchung zu beschränken. Einen Anspruch auf Auskunft über die Art der Erkrankung hat der Arbeitgeber nicht. Eine Weitergabe über das Ergebnis hinausgehender Informationen an den Arbeitgeber ist nur mit Einwilligung des Arbeitnehmers erlaubt.

Ärztliche Schweigepflicht

Ist eine betriebsärztliche Untersuchung erlaubt, bedeutet dies wiederum nicht, dass der Betriebsarzt sämtliche erhobenen Informationen an den Arbeitgeber weitergeben darf. Der Betriebsarzt hat die ärztliche Schweigepflicht zu beachten, wenn er sich nicht gemäß § 203 StGB strafbar machen möchte. Die Schweigepflicht besteht für den Betriebsarzt auch gegenüber dem Arbeitgeber des Arbeitnehmers.

BEM nur mit Einwilligung

Im Rahmen des betrieblichen Eingliederungsmanagements (BEM) wird der Schutz des Arbeitnehmers gemäß § 167 Abs. 2 Satz 1 SGB IX dadurch sichergestellt, dass das BEM überhaupt nur mit Einwilligung des Arbeitnehmers durchgeführt werden kann. Die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen (Art. 9 Abs. 2 lit. b i.V.m. Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG).

Aufbewahrung und Übergabe der Patientenakten

Zu beachten ist weiterhin, dass die Akten des Betriebsarztes keine Unterlagen des Arbeitgebers sind und daher nicht zu den Personalakten gehören. Dies ändert jedoch nichts an dem Recht auf Einsicht des Arbeitnehmers in die Akte, denn Grundlage hierfür bildet das Patientenverhältnis (§ 630g BGB). Findet ein Wechsel des Betriebsarztes statt, sind im Hinblick auf die Patientenakten weitere datenschutzrechtliche Aspekte zu berücksichtigen.

Externer Betriebsarzt ist kein Auftragsverarbeiter

Abschließend soll noch darauf hingewiesen werden, dass die Einbeziehung eines externen Betriebsarztes regelmäßig keine Auftragsverarbeitung nach Art. 28 DSGVO darstellt. Vielmehr liegt eine Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen vor, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gegeben sein muss.