Logo IWW Institut für Wissen in der Wirtschaft
Login
FeedbackAbschluss-Umfrage
AAArbeitsrecht aktiv

Sommer-Spezial 2022Beschäftigtendatenschutz, Teil 1: Vier typische Fälle aus der Praxis der Aufsichtsbehörden

Abo-Inhalt25.07.20227363 Min. Lesedauer

| Auch im letzten Jahr hatten die Aufsichtsbehörden für Datenschutz in Deutschland wieder viel zu tun. Ein beachtlicher Teil davon betrifft den Beschäftigtendatenschutz. Nachfolgend vier typische Fälle direkt aus den Tätigkeitsberichten (TB) der Aufsichtsbehörden. Interessant: Die Fälle wurden häufig von ArbN, vom ArbG oder Betriebsräten (BR) direkt gemeldet. |

1. Wenn die ArbN die Daten „mit nach Hause“ nimmt

Der Fall

Eine ehemalige ArbN sandte sich – als sie noch beim ArbG angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 ArbN an ihre private E-Mail-Adresse zu. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die ArbN war als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streit über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden. Der ArbG stellte Strafantrag bei der Staatsanwaltschaft, die das Verfahren einstellte und den Vorgang an die LDI abgab.

Die Stellungnahme der Aufsichtsbehörde (TB Brandenburg 2021, S. 58): Die Handlung der ehemaligen ArbN ist nicht dem Unternehmen zuzurechnen. Sie war selbst Betroffene im Bußgeldverfahren. Mit der Übersendung der personenbezogenen Daten der anderen ArbN an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.

Konsequenz: Der Verstoß wurde mit einer Geldbuße in dreistelliger Höhe festgesetzt.

2. Wenn der ArbN Bewerbungen an die private Adresse leitet

Der Fall

Ein ArbN leitete von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem ArbG eingegangen waren, an seine private E-Mail-Adresse weiter, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerber umfassten. Dies wurde von seinem ArbG bemerkt und angezeigt.

Die Stellungnahme der Aufsichtsbehörde (TB Brandenburg 2021, S. 58-60): Der ArbN handelte unbefugt. Die Übersendung der personenbezogenen Daten der Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen und konnte sich auf keine Rechtsgrundlage für die Übersendung der Unterlagen berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO geht zu ihren Gunsten aus. Selbst wenn das Interesse des ArbN an den Unterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen die Interessen, Grundrechte und -freiheiten der betroffenen Personen. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den ArbG des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Daten waren darüber hinaus für alle diejenigen einsehbar, die Zugriff auf seine E-Mails hatten, entweder beim Transport über das Internet oder während der Speicherung im E-Mail-Konto.

Konsequenz: Die Aufsichtsbehörde verhängte eine dreistellige Geldbuße gegen den ArbG.

3. Wenn der ArbG BEM-Protokolldaten an den BR weitergibt

Der Fall

Der Betriebsrat (BR) eines ArbG teilte der LDI NRW mit, dass der ArbG in mehreren Fällen sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO aus BEM-Gesprächen an den BR zur Unterrichtung nach § 80 Abs. 1 BetrVG (BetrVG) weitergegeben habe. Es handelte sich dabei um Mitteilungen über beabsichtigte krankheitsbedingte Kündigungen von mehreren ArbN zur Anhörung des BR nach § 102 BetrVG. Darin habe der ArbG erstmals aus Protokollen zitiert, die im Zuge von Maßnahmen des BEM gemäß § 167 Abs. 2 SGB IX erstellt wurden. Diese Protokolle enthielten Angaben zu krankheitsbedingten Fehltagen, eine Fehlzeitenquote und in neun Einzelfällen Gesundheitsdaten aus dem BEM-Verfahren, z. B. psychische Probleme, Magen- und Darmerkrankungen, Bandscheibenvorfälle und Rückenprobleme. Das BEM-Verfahren wurde durch drei besonders geschulte ArbN aus der Personalabteilung durchgeführt. Die BEM-Akten wurden getrennt von den Personalakten aufbewahrt. Andere Mitarbeiter und Führungskräfte der Personalabteilung erhielten Kenntnis von den Inhalten der BEM-Gespräche, soweit aufgrund ihrer konkreten Tätigkeit eine Notwendigkeit hierzu bestand. Der ArbG meinte, zur Verarbeitung der BEM-Daten zur Erfüllung seiner arbeits- und sozialrechtlichen Verpflichtung (§ 26 Abs. 3 BDSG) sowie zur Unterrichtung des BR im Verfahren zur betriebsbedingten Kündigung im Rahmen der Mitbestimmung verpflichtet gewesen zu sein.

Die Stellungnahme der Aufsichtsbehörde (LDI NRW, 27. TB 2022, S. 71 ff): Die Prüfung ergab, dass der ArbG durch die Personalstelle neben den Sozialdaten der betroffenen Beschäftigten Informationen zu krankheitsbedingten Fehlzeiten und den hierdurch verursachten Kosten sowie zur Prognose einer Erkrankung verarbeiten und an den BR im Rahmen der Mitbestimmung weitergeben darf. Nicht weitergegeben werden dürfen weitergehende Angaben zur Gesundheit der Betroffenen. Der ArbG wurde hierüber in Kenntnis gesetzt. Er schloss sich den Feststellungen an und teilte mit, künftig Gesundheitsdaten von ArbN nicht mehr zu verarbeiten und an den BR weiterzugeben.

Konsequenz: Zur Ahndung der Datenverstöße wurde gegen den ArbG ein Bußgeld verhängt. Dabei wurde zu seinen Gunsten berücksichtigt, dass die Verarbeitung und die Weitergabe der Gesundheitsdaten der Betroffenen für diese keine negativen Folgen hatten.

Praxistipp | Die LDI NRW weist darauf hin:

  • Im BEM-Verfahren dürfen Gesundheitsdaten aus der BEM-Akte nicht in die Personalakten übernommen werden. Sie müssen in einer separaten BEM-Akte räumlich und funktional getrennt aufbewahrt werden.
  • In die Personalakte dürfen nur solche Angaben aufgenommen werden, die zum Nachweis des ordnungsgemäßen BEM-Verfahrens erforderlich sind. Hierzu gehören Angaben, ob und wann die Durchführung eines BEM angeboten wurde, ob die betroffene Person hiermit einverstanden war oder das BEM abgelehnt hat und welche konkreten Maßnahmen angeboten und umgesetzt wurden.
  • Im BEM-Verfahren erhobene Gesundheitsdaten dürfen zudem nicht für andere Zwecke, beispielsweise zur Vorbereitung einer krankheitsbedingten Kündigung, genutzt und an den BR weitergegeben werden.
  • Im Falle einer Kündigung darf zur Unterrichtung des BR nach § 80 Abs. 1, § 102 BetrVG nur der Nachweis erbracht werden, dass ein BEM-Verfahren dem ArbN als milderes Mittel angeboten und ggf. durchgeführt wurde.

4. Beschäftigtendaten im Kündigungsschutzprozess

Der Fall

Ein ArbN, dem fristlos gekündigt worden war, ging vor das Arbeitsgericht. Er beantragte den Erlass einer einstweiligen Verfügung gegen den ArbG mit dem Ziel, weiterbeschäftigt zu werden. Dabei offenbarte er dem Arbeitsgericht ohne Grund und Rechtsgrundlage Einzelheiten aus den Beschäftigungsverhältnissen mehrerer Kollegen.

Die Stellungnahme der Aufsichtsbehörde (LfD Niedersachsen, 27. TB 2021, S. 147 ff.): Auf Nachfrage teilte der ArbG mit, er habe die Erhebung der personenbezogenen Daten der ArbN durch den Mitarbeiter nicht abschließend klären können. Er machte glaubhaft, dass die Tätigkeit des ArbN weder die Kenntnisnahme noch die weitergehende Nutzung von Einzelheiten aus den Beschäftigungsverhältnissen der Kollegen erforderte. Die Offenbarung der personenbezogenen Daten gegenüber dem Arbeitsgericht war daher nicht dem ArbG, sondern dem ehemaligen ArbN als datenschutzrechtlich Verantwortlichem zuzurechnen. Er hatte damit den ihm zugewiesenen Verantwortungsbereich deutlich verlassen und war so selbst zum Verantwortlichen im Sinne der DSGVO geworden (sogenannter Mitarbeiterexzess).

Aufgrund der Art und Anzahl der betroffenen personenbezogenen Daten der Beschäftigten wurde gegen ihn ein Prüfverfahren eingeleitet. Dieses ergab, dass die Offenbarung der Einzelheiten aus den Beschäftigungsverhältnissen der ArbN gegenüber dem Arbeitsgericht ohne Rechtsgrundlage und damit unrechtmäßig erfolgte. Andere Rechtsgrundlagen als die des Art. 6 Abs. 1 S. 1 lit. f DSGVO (Interessenabwägung) kamen nicht in Betracht. Die Prüfung ergab, dass die Voraussetzungen dieser Rechtsgrundlage nicht erfüllt waren. Zwar stand die Offenbarung im Kontext der Rechtsverfolgung und -verteidigung und konnte zur Wahrung eines berechtigten Interesses ausgelegt werden. Es fehlte jedoch im vorliegenden Fall bereits im Ansatz daran.

Aus dem Antrag des ArbN auf Erlass einer einstweiligen Verfügung ging nicht hervor, welche Relevanz die Einzelheiten aus den Beschäftigungsverhältnissen der anderen ArbN für die Wirksamkeit der Kündigung hatte. Dies konnte der ArbN auch im Prüfverfahren nicht darlegen. Es fehlte die Zweckdienlichkeit.

Konsequenz: Es wurde eine Verwarnung ausgesprochen.

AUSGABE: AA 8/2022, S. 138 · ID: 48481316

Favorit
Hinweis
Teilen
Drucken
Zitieren

Beitrag teilen

Hinweis: Abo oder Tagespass benötigt

Link
E-Mail
X
LinkedIn
Xing

Mehr zu diesen Themen

Filter
Loading...
Loading...
Loading...
Heft-Reader
2022
Juli

Bildrechte