HR NEWS
Immer UpToDate im Arbeitsrecht
HR NEWS
HR NEWS
Immer UpToDate im Arbeitsrecht
Compliance
Subscribe Abonnieren Sie die Beiträge von Compliance

Update Nachweisgesetz – Künftig Textform statt Schriftform ausreichend?

von und | Mrz 28, 2024 | , , , , , , , , , , , , , , , ,

Bereits seit dem 1. August 2022 gilt das „neue“ Nachweisgesetz („NachwG“), das die Arbeitgeber u.a. dazu verpflichtet, ihren Mitarbeitern eine schriftliche (= mit Originalunterschrift versehene) Niederschrift über die wesentlichen Arbeitsbedingungen auszuhändigen. Insbesondere an diesem Schriftformerfordernis gab es von Anfang an erhebliche Kritik, da die maßgebliche EU-Richtlinie über transparente und vorhersehbare Arbeitsbedingungen in der Europäischen Union ((EU) 2019/1152) („Richtlinie“) ein solches nicht zwingend vorsah (siehe hierzu bereits den Blog-Eintrag vom 24. Juni 2022).

Das Bundeskabinett hatte sich am 13. März 2024 über den Entwurf „eines Vierten Gesetzes zur Entlastung der Bürgerinnen und Bürger, der Wirtschaft sowie der Verwaltung von Bürokratie“ (BEG IV) geeinigt und reagierte damit auch auf die Kritik am strengen Schriftformerfordernis des NachwG: Der Kabinettsentwurf sieht vor, dass künftig ein in elektronischer Form im Sinne des § 126a BGB (= qualifiziert elektronisch signiert) abgeschlossener Arbeitsvertrag für den erforderlichen Nachweis ausreichen solle. Nun aber überraschte der Bundesjustizminister mit einem Rundschreiben vom 21. März 2024. Danach solle in Zukunft die einfache Textform (z.B. eine E-Mail) genügen, um Mitarbeitern den erforderlichen Nachweis über die wesentlichen Arbeitsbedingungen zur Verfügung zu stellen.

Ob, wann und wie diese Anpassung des NachwG erfolgt, ist offen. Laut des Rundschreibens soll eine Niederschrift jedoch weiterhin in Schriftform notwendig sein, sofern Mitarbeiter eine solche einfordern sollten. Auch deshalb ist fraglich, ob es sich tatsächlich um einen „großen Wurf“ der Entbürokratisierung handelt. Selbst wenn, würde lediglich eine bürokratische Hürde gesenkt werden, die erst im August 2022 eingeführt worden ist.

1. Keine Auswirkungen auf den Abschluss von Arbeitsverträgen

Entgegen manch erster Einschätzung zu dem Rundschreiben des Bundesjustizministers würde sich an den Formvorgaben für den Abschluss eines Arbeitsvertrages nichts ändern. Der Abschluss eines Arbeitsvertrages bedarf weiterhin grundsätzlich keiner Form. Dieser konnte bisher schon mündlich oder einfach per E-Mail geschlossen werden.

Schon bislang gab es Kritiker, die angesichts der Formfreiheit des Arbeitsvertrages selbst an der Verhältnismäßigkeit des Schriftformerfordernisses für den Nachweis der wesentlichen Arbeitsbedingungen zweifelten. Ein (Schrift-)Formerfordernis hat u.a. eine Beweis- und Dokumentationsfunktion. Wenn der Gesetzgeber nicht einmal eine Dokumentationsfunktion für den Abschluss des Arbeitsvertrages selbst für notwendig erachtet, ist fraglich, wieso der bloße Nachweis der Vertragsbedingungen einer strengeren Form unterliegen können soll.

2. Besondere Schriftformerfordernisse bleiben unberührt

Unabhängig davon, ob und wie die Anpassung des NachwG vollzogen werden wird, wäre davon allein das Schriftformerfordernis für den Nachweis der wesentlichen Arbeitsbedingungen betroffen. Demnach wären weiterhin insbesondere die folgenden gesetzlichen Schriftformerfordernisse zu beachten:

• Kündigung und Abschluss von Aufhebungsverträgen (§ 623 BGB)
• Befristungsabreden, auch bei Verlängerung des Arbeitsverhältnisses über Regelaltersgrenze hinaus (§ 14 Abs. 4 TzBfG)
• Vereinbarung eines nachvertraglichen Wettbewerbsverbots (§ 74 Abs. 1 HGB)

Auch wenn sich die letzten beiden Schriftformerfordernisse allein auf die konkrete Regelung – Befristung bzw. Wettbewerbsverbot beziehen – werden befristete Arbeitsverträge und auch solche mit nachvertraglichen Wettbewerbsabreden in der Praxis in der Regel sowieso schriftlich abgeschlossen, wodurch den Anforderungen des NachwG automatisch entsprochen wird.

3. Unklare Bedeutung der geplanten weiteren Gesetzesänderung

Die ersten Reaktionen auf das Rundschreiben des Bundesjustizministers und der geplanten Absenkung des Formerfordernisses [...]

Continue Reading



mehr lesen

DSGVO-Auskunftsrecht: Europäische Aufsichtsbehörden starten koordinierte Prüfaktion

von | Mrz 18, 2024 | , , , , ,

Die europäischen Datenschutzbehörden haben eine koordinierte Prüfaktion mit Fokus auf das Auskunftsrecht gem. Art. 15 DSGVO gestartet. Dabei handelt es sich um eines der in der Praxis bedeutsamsten Datenschutzrechte, gerade auch von Beschäftigten. In Deutschland beteiligen sich neben dem Bundesbeauftragten für Datenschutz die Länder Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein.

Ziel der Prüfaktion zum Auskunftsrecht

Nach Art. 15 DSGVO hat jede betroffene Person das Recht, Auskunft zu verlangen, ob und welche personenbezogenen Daten durch ein Unternehmen verarbeitet werden. Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs beschäftigen häufig Arbeitgeber und Gerichte. Dabei ergeben sich die Herausforderungen nicht nur aus komplexen juristischen Fragestellungen, sondern ganz praktisch aus dem korrekten Umgang mit Auskunftsanfragen, z.B. von (ehemaligen) Beschäftigten.

Ziel der koordinierten Prüfaktion ist es nun, zu beurteilen, wie Unternehmen das Auskunftsrecht in der Praxis umsetzen und inwiefern zu konkreten Aspekten bspw. eine weitere Sensibilisierung von Unternehmen oder Betroffenen durch die Datenschutzbehörden sinnvoll sein könnte. Kerninstrument der Prüfaktion ist ein strukturierter Fragebogen zur Umsetzung des Rechts auf Auskunft, der von den Datenschutzbehörden sukzessive an Unternehmen verschickt wird.

Recht auf Auskunft hat große praktische Relevanz

Insbesondere in arbeitsrechtlichen Auseinandersetzungen hat der Auskunftsanspruch große Relevanz erhalten. So wird er bspw. im Kündigungsschutzprozess genutzt, um an Informationen beim (ehemaligen) Arbeitgeber zu gelangen, dort möglichst viel Aufwand zu verursachen oder um Fehler (z.B. ein Fristversäumnis) zu provozieren, die später gewinnbringend in einem Vergleich herangezogen werden können.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

Datenschutz-Compliance überprüfen

Bei dem Recht auf Auskunft handelt es sich um eines jener Betroffenenrechte, die am häufigsten Gegenstand einer formellen Beschwerde bei Datenschutzaufsichtsbehörden sind. Bei Verstößen gegen die Vorschriften der DSGVO drohen Schadensersatzansprüche und Geldbußen. Zuletzt hatte die Rechtsprechung die Verhängung von DSGVO-Geldbußen erleichtert.

Ein guter Anlass für Unternehmen also, um die bestehenden Prozesse und Abläufe zu überprüfen. Ein zentraler Aspekt einer starken und effektiven Datenschutz-Organisation im Unternehmen ist die Bearbeitung von Anfragen betroffener Personen, die ihr Auskunftsrecht oder andere Datenschutzrechte wahrnehmen wollen. Gibt es Richtlinien und Arbeitsanweisungen, die den Umgang mit DSGVO-Betroffenenanfragen erklären und regeln? Wissen alle relevanten Personen, wie bei Eingang einer Anfrage zu DSGVO-Betroffenenrechten zu verfahren ist?



mehr lesen

Umfassende Unternehmensverantwortung: Neue Rechtsprechung erleichtert DSGVO-Geldbußen

von | Feb 26, 2024 | , , , , , ,

Warum ist das relevant? Die bisherige deutsche Rechtslage ging davon aus, dass die bloße Feststellung eines Datenschutzverstoßes durch ein Unternehmen für die Verhängung einer Geldbuße nicht ausreichend war. Vielmehr musste positiv festgestellt werden, dass eine Person aus der Führungsebene des Unternehmens gegen die Regelungen der DSGVO verstoßen oder seine Aufsichtspflichten verletzt hat und dies vorsätzlich oder fahrlässig geschehen ist. Damit führte nicht jede Verletzung der DSGVO-Bestimmungen, z.B. eine zu spät erteilte Auskunft an einen Beschäftigten oder die nicht-erfolgte Löschung von personenbezogenen Daten ehemaliger Beschäftigter, unbedingt zu einem Bußgeld.

Die Ausgangslage hat sich nun geändert. Nachdem der EuGH (Urteil vom 05.12.2023 – C-683/21 und C-807/21) Ende 2023 bereits wesentliche Feststellungen zu der Frage getroffen hatte, ob und unter welchen Voraussetzungen eine DSGVO-Geldbuße unmittelbar gegen ein Unternehmen verhängt werden darf, hat das Berliner Kammergericht (Beschluss vom 22.01.2024 – 3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 – 161 AR 84/21) diesen „Ball“ nun aufgenommen und weitere wichtige Feststellungen zur Verhängung von Geldbußen wegen DSGVO-Verstößen getroffen.

Das Wichtigste in Kürze:

  • Die Verhängung einer Geldbuße gegen ein Unternehmen hängt nicht davon ab, dass zuvor festgestellt wurde, von welcher natürlichen Person der Datenschutz-Verstoß begangen wurde. Das Kammergericht wird deutlich: „alle Personen, die im Rahmen der unternehmerischen Tätigkeit [des datenschutzrechtlich Verantwortlichen] handeln, [fallen] in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation.“
  • Unternehmen sind damit im Deliktsbereich der DSGVO per se schuldfähig, allein eine ordentliche Organisation ist keine Entschuldigung zur Vermeidung einer Geldbuße. Zukünftig kann unmittelbar gegen ein Unternehmen eine Geldbuße verhängt werden, selbst wenn das Verschulden einer Leitungsperson oder eine Aufsichtspflichtverletzung nicht nachgewiesen werden kann. Es ist ausreichend, wenn das Unternehmen über die Rechtswidrigkeit der Verarbeitung (d.h. über den Verstoß gegen die DSGVO) nicht im Unklaren sein konnte. Es wird nicht einmal eine Kenntnis seitens der Unternehmensleitung oder ihrer Repräsentanten vorausgesetzt.
  • Unternehmen haften als datenschutzrechtlicher Verantwortliche damit sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Das gilt wohl auch für Auftragsverarbeiter, derer sich das Unternehmen bedient.
  • Denkbare Szenarien zur Abwendung einer Geldbuße, also zur Exkulpation, umfassen in Zukunft vor allem den Mitarbeiterexzess (bspw. bewusste Verstöße gegen Richtlinien, Betriebsvereinbarungen oder Dienstanweisungen).

Handlungsempfehlung: Jede Person im Unternehmen muss wissen, welche datenschutzrechtlichen Anforderungen und Maßstäbe für die jeweilige Arbeit gelten. Zur Vermeidung von DSGVO-Geldbußen müssen Unternehmen in der Lage sein, darzulegen und nachzuweisen, dass sie einen eventuellen Verstoß gegen das Datenschutzrecht nicht erkennen (also darüber im Unklaren sein) konnten. Interne Datenschutzrichtlinien und -weisungen können zur Begründung eines Mitarbeiterexzesses und damit zur Exkulpation dienen. Die Etablierung, regelmäßige Überprüfung und Dokumentation einer funktionierenden Datenschutz-Organisation sowie die notwendigen Datenschutz-Schulungen aller Mitarbeiter gewinnen weiter an Wert. Sie sind zudem im Rahmen von Art. 82 Abs. 2 DSGVO nicht nur für die Entscheidung über das „Ob“ der Geldbuße relevant, sondern auch für die Bemessung von deren Höhe.

 

 

[...]

Continue Reading


mehr lesen

Statusfeststellung und Legal-Tech-Compliance-Check

von und | Feb 8, 2024 | , , ,

Der sozialversicherungsrechtliche Status von Geschäftsführern und (vermeintlich) freien Mitarbeitenden ist ein Dauerbrenner. Seit jeher wird aus ganz unterschiedlichen Beweggründen auf teils mehr oder weniger kreative Weise versucht, Konstellationen zu entwickeln, mit denen einer Versicherungspflicht in den Zweigen der deutschen Sozialversicherungsträgern entgangen werden kann. Im Rahmen von Betriebsprüfungen durch die Deutsche Rentenversicherung Bund (DRV) kommt es für Unternehmen jedoch immer wieder zu unschönen Überraschungen.

1. AKTUELLE ENTSCHEIDUNGEN
Zuletzt hat das Sozialgericht (SG) Landshut entschieden, dass ein Gesellschafter-Geschäftsführers, obwohl er 50% der Gesellschaftsanteile hält, jedoch im Falle einer Pattsituation im Rahmen der Gesellschafterversammlung durch den anderen Gesellschafter-Geschäftsführer aufgrund einer im Gesellschaftsvertrag vereinbarten Stichentscheidungskompetenz überstimmt werden kann, abhängig beschäftigt und somit sozialversicherungspflichtig ist (SG Landshut, Urteil vom 11. Januar 2024 – S 1 BA 23/23). Anders als rein schuldrechtliche Stimmbindungsklauseln, die keinen Einfluss auf die statusrechtliche Beurteilung haben (BSG, Urteil vom 12. Mai 2020 – B 12 R 11/19 R), soll dies nach Ansicht des SG bei einer im Gesellschaftsvertrag festgehaltene Kompetenzordnung – ebenso wie eine qualifizierte Sperrminorität (BSG, Urteil vom 11. November 2015 – B 12 KR 13/14 R) – anders sein.

Eine Konstellation wie in der Entscheidung des SG Landshut mag ein Sonderfall sein. Regelmäßig werden durch die Sozialgerichte aber auch Entscheidungen zu praxisrelevanteren Konstellationen getroffen. So ging es im Sommer 2023 vor dem BSG (20. Juli 2023 – B 12 BA 1/23 R) um eine Person, die als Allein-Gesellschafter-Geschäftsführer einer Ein-Mann-UG im Rahmen eines Dienstleistungsvertrages zwischen UG und einem dritten Auftraggeber (Krankenhaus) Leistungen als Pflegefachkraft erbrachte. Die DRV hatte ein abhängiges Beschäftigungsverhältnis des Allein-Gesellschafter-Geschäftsführers zum Auftraggeber der UG für die Dauer der dort erbrachten Tätigkeiten festgestellt. Im Ergebnis hat auch das BSG diese Ansicht bestätigt. Demnach mag zwar ein Allein-Gesellschafter-Geschäftsführer einer UG/GmbH als solcher nicht bei der UG/GmbH abhängig beschäftigt i.S.d. § 7 Abs. 1 SGB IV sein. Der Allein-Gesellschafter-Geschäftsführer war jedoch im Rahmen des Dienstleistungsvertrages zwischen UG und Auftraggeber letztlich zur Erbringung weisungsgebundener Arbeitsleistung unter Eingliederung in die Arbeitsorganisation des Auftraggebers an diesen überlassen worden. Das ist nach Ansicht des BSG grundsätzlich ausreichend.

2. BEDEUTUNG
Die umfassenden Entscheidungsgründe des BSG und der umfangreiche Begründungsaufwand (Parallele zur Arbeitnehmerüberlassung, Gesetzessystematik und historische Entwicklung, verfassungsrechtliche Schranken) deuten dabei nicht auf eine vermeintliche Sonderkonstellation hin, sondern unterstreichen die Bedeutung der Entscheidung. Denn in der täglichen Praxis ist es Gang und Gäbe (bspw. im IT-Sektor), das Risiko einer abhängigen Beschäftigung und Beitragspflicht von freien Mitarbeitenden dadurch zu verringern, dass die freien Mitarbeitenden nicht selbst den Dienstleistungsvertrag mit dem Auftraggeber abschließen, sondern eine juristische Person (UG oder GmbH) dazwischengeschaltet wird. Da die freien Mitarbeitenden als Alleingesellschafter der UG/GmbH (vermeintlich) zwingend selbstständig tätig sind, geht mit dieser Ausgestaltung die Erwartung der Beteiligten einher, dass ein abhängiges Beschäftigungsverhältnis zwischen freien Mitarbeitenden und Auftraggeber nicht begründet werden kann. Laut BSG ist dies ein Trugschluss. Denn: Im Rahmen der sozialversicherungsrechtlichen Beurteilung einer Tätigkeit kommt es vornehmlich auf deren tatsächliche Ausgestaltung und nicht die zugrundeliegenden vertraglichen Beziehungen an.

3. KONSEQUENZEN EINER UNRICHTIGEN STATUSRECHTLICHEN BEURTEILUNG
Die Konsequenzen bei einer unrichtigen Beurteilung der sozialversicherungsrechtlichen Beurteilung sind [...]

Continue Reading



mehr lesen

Datenschutzrechtliche Pflichten & mögliche Stolperfallen beim Whistleblowing

von | Jul 14, 2023 | , , , ,

Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.

Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle
Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.

  • Datenschutz-Folgenabschätzung: Vor der Einrichtung eines Meldekanals muss aufgrund des hohen Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt und dokumentiert werden. Ziel einer solchen Datenschutz-Folgenabschätzung ist es, derartige Risiken durch technische und organisatorische Maßnahmen zu minimieren.
  • Verarbeitungsverzeichnis: Auch das Hinweisgeberverfahren ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.
  • Vertraulichkeitsvereinbarung: Um die Funktionsfähigkeit des Hinweisgeberschutzsystems zu gewährleisten, sieht das Hinweisgeberschutzgesetz in §§ 8, 9 HinSchG einen weitgehenden Schutz der Identitäten aller von einer Meldung betroffenen Personen vor. Demnach darf ihre Identität ausschließlich internen Meldestellen sowie für Folgemaßnahmen zuständigen Personen bekannt gemacht werden. Nur in bestimmten Ausnahmefällen, zum Beispiel auf Verlangen von Strafverfolgungsbehörden, dürfen Informationen zur Identität einer hinweisgebenden Person weitergegeben werden. Dieses Vertraulichkeitsgebot ist gesetzlich vorgesehen. Es bietet sich jedoch für Arbeitgeber im Rahmen ihrer Fürsorgepflicht an, die für die interne Meldestelle zuständigen Personen auf die Folgen der Nichteinhaltung dieser Vorschriften im Rahmen einer zusätzlichen Vertraulichkeitsvereinbarung hinzuweisen.
  • Schulungspflicht: Nach § 15 Abs. 2 HinSchG haben Unternehmen dafür Sorge zu tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen, insbesondere um die Vertraulichkeit der Identität betroffener Personen zu wahren. Dies ist ggf. durch geeignete Schulungen sicherzustellen und umfasst auch den datenschutzkonformen Umgang bei der Erfassung und Verarbeitung eingehender Hinweise.
  • Dokumentationspflicht: Die interne Meldestelle ist gem. § 11 HinSchG verpflichtet, alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise zu dokumentieren.
  • Aufbewahrungs- und Löschpflichten: Die Dokumentation der eingegangenen Meldung gem. 30 DSGVO grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen. Eine darüberhinausgehende Aufbewahrungsfrist ist möglich, solange dies erforderlich und verhältnismäßig ist.
  • Technisch organisatorische Maßnahmen: Unternehmen müssen technisch organisatorische Maßnahmen gem. Art. 32 DSGVO treffen, um eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen. Das ist auch dann der Fall, wenn Dritte mit den Aufgaben einer internen Meldestelle betraut wurden.
  • Auslagerung der internen Meldestelle: Das Hinweisgeberschutzgesetz sieht in § 14 Abs. 1 Hin-SchG die Möglichkeit vor, Dritte mit den Aufgaben einer internen Meldestelle zu betrauen. Dies befreit den Beschäftigungsgeber jedoch nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen durch das Hinweisgebersystem gemeldeten Verstoß abzustellen. Zudem sollte die Klärung der datenschutzrechtlichen Verantwortlichkeiten je nach konkreter Ausgestaltung der Zusammenarbeit z.B. im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) erfolgen.
  • Datenschutzbeauftragter als Meldestelle: Gerade für kleine Unternehmen mit geringerem Bedarf ist es zumindest denkbar, die Person des [...]

    Continue Reading


mehr lesen

DSGVO-Auskunftsanspruch: 10.000 Euro Schadensersatz für verspätete Auskunft

von | Mrz 24, 2023 | , ,

Der datenschutzrechtliche Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO beschäftigt weiterhin Arbeitgeber und Gerichte, insbesondere im Arbeitsverhältnis lauern zahlreiche Fallstricke. Diese ergeben sich nicht nur aus komplexen juristischen Fragestellungen, etwa zum Umfang des Auskunftsanspruchs und des Rechts auf Kopie gem. Art. 15 Abs. 3 DSGVO. Oftmals stellt bereits der praktische Umgang mit Auskunftsanfragen von Beschäftigten Unternehmen vor Herausforderungen.

Dass es sich lohnt, eine gut aufgestellte Datenschutzorganisation zu haben, zeigt ein aktuelles Urteil des Arbeitsgerichts Oldenburg vom 09. Februar 2023 (3 Ca 150/21). Der Kläger verlangte von seiner (ehemaligen) Arbeitgeberin unter anderem Auskunft nach Art. 15 Abs. 1 DSGVO sowie eine Kopie der Daten gemäß Art. 15 Abs. 3 DSGVO. Das Unternehmen verweigerte die Auskunftserteilung. Erst im Gerichtsverfahren legte es einzelne Unterlagen vor – 20 Monate nach dem Auskunftsbegehren. Das Gericht hat dem Kläger allein aufgrund dieser verspätet erteilten Auskunft einen Schadensersatz von 10.000 Euro zugesprochen.

DER DATENSCHUTZRECHTLICHE AUSKUNFTSANSPRUCH

Der Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO und das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO bestehen neben dem Einsichtsrecht in die Personalakte gem. § 83 Abs. 1 BetrVG. In der Praxis wird der DSGVO-Anspruch vielfach zur Erhöhung des „Lästigkeitswertes“ im Konfliktfall genutzt, um auf diese Weise Verhandlungsmasse zu gewinnen und um ggf. an zusätzliche Informationen und Unterlagen für einen (späteren) Rechtsstreit zu gelangen.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

10.000 EURO SCHADENSERSATZ

Wird der Anspruch nicht ordnungsgemäß erfüllt, kann dies zu einem Schadensersatzanspruch gem. Art. 82 DSGVO führen sowie ggf. zu einer Geldbuße gem. Art. 83 Abs. 5 lit. b DSGVO.

Wie kam das Arbeitsgericht Oldenburg im vorliegenden Fall zu einer Summe von 10.000 Euro für eine verspätet erteilte Auskunft? Dem Gericht genügt (unter Berufung auf das Bundesarbeitsgericht) zur Begründung des Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO bereits die Verletzung von Vorschriften der DSGVO. Nach Ansicht des Gerichts ist es gerade nicht erforderlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegen muss. Dementsprechend führt also bereits die Nichteinhaltung von Vorschriften der DSGVO (hier: der Fristen für die Erfüllung des Auskunftsanspruchs) zu einem Schadensersatzanspruch für die betroffene Person. Das Gericht geht zudem davon aus, dass bei der Berechnung der Höhe des Schadensersatzes Präventionscharakter und Abschreckungswirkung zu berücksichtigen seien: Der Schadensersatz soll weh tun.

Hier war der Auskunftsanspruch 20 Monate zu spät erteilt worden. Für jeden Monat, in dem die Auskunft nicht erteilt wurde, hat das Gericht 500 Euro angesetzt, sodass es auf die Gesamtsumme von 10.000 Euro kommt.

Die vorliegende Entscheidung setzt eine Reihe von Entscheidungen fort, in denen deutsche Arbeitsgerichte allein die Verletzung von Vorschriften der DSGVO als ausreichend erachtet haben, um einen Schadensersatzanspruch des Beschäftigten zu begründen.

Gerade beim Auskunftsanspruch lassen sich viele Fehler mit Hilfe einer robust aufgestellten [...]

Continue Reading



mehr lesen

Neues zum Whistleblowing – Neuer Referentenentwurf zum Hinweisgeberschutzgesetz

von und | Apr 22, 2022 | , , , ,

Am 13. April 2022 veröffentlichte das Bundesministerium der Justiz einen Referentenentwurf für ein Hinweisgeberschutzgesetz („HinSchG-E“). Umgangssprachlich als „Whistleblowergesetz“ bezeichnet, setzt es eine entsprechende Richtlinie des Europäischen Parlaments und des Rates um (RL (EU) 2019/1937) („Richtlinie“). Aus arbeitsrechtlicher Sicht ist insbesondere der vorgesehene Schutz von Whistleblowern vor Kündigungen, Versetzungen oder Disziplinarmaßnahmen bemerkenswert. Das gilt nicht nur bei der Meldung von Verstößen gegen das Unionsrecht, sondern – über die europäischen Vorgaben hinausgehend – auch bei Verstößen gegen rein nationales Recht. Auf die bis Mitte Mai stattfindende Verbände- und Länderbeteiligung zum Referentenentwurf folgt dann die Abstimmung in Bundestag und Bundesrat.

ENTSTEHUNGSGESCHICHTE

Bereits von der letzten Bundesregierung wurde ein Referentenentwurf zum Hinweisgeberschutz auf den Weg gebracht. Das damalige Gesetzgebungsverfahren scheiterte jedoch an Unstimmigkeiten zwischen SPD und Union. Streitpunkt war, ob Whistleblower nur geschützt werden sollten, wenn es um Verstöße gegen EU-Recht geht oder weitergehend auch bei gemeldeten Verstößen gegen nationales Recht. Während die SPD schon damals eine nun auf den Weg gebrachte überschießende Umsetzung der Richtlinie befürwortete, kritisierte die Union die damit einhergehende Bürokratie und zusätzliche Regulierung.

Am 17. Dezember 2021 ist die in der Richtlinie vorgegebene Umsetzungsfrist verstrichen. Anfang 2022 hatte die EU-Kommission daraufhin ein Vertragsverletzungsverfahren eingeleitet. Bis zum Inkrafttreten des HinSchG können sich Beschäftigte gegebenenfalls unmittelbar auf einzelne Artikel der Richtlinie berufen.

INHALT DES REFERENTENENTWURFS

Im Wesentlichen entspricht der Referentenentwurf demjenigen aus der letzten Legislaturperiode. Hinsichtlich des persönlichen Anwendungsbereichs des HinSchG-E ist klarzustellen, dass u.a. auch Vorstände und Geschäftsführer als Hinweisgeber in Frage kommen und damit vom Hinweisgeberschutz profitieren können. In sachlicher Hinsicht werden Verstöße gegen Vorschriften aus dem Strafrecht, bestimmte Ordnungswidrigkeiten und Unions- sowie korrespondierendes nationales Recht erfasst. Dem HinSchG-E zufolge sind unternehmensinterne und externe Meldekanäle zu errichten, an die sich Whistleblower wenden können. Das interne Meldesystem kann nach dem HinSchG-E beispielsweise auch über eine konzernweite Meldestelle gewährleistet werden. Die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, muss dabei bei dem jeweiligen beauftragenden Tochterunternehmen verbleiben. Zwischen beiden Meldekanälen haben Hinweisgeber ein Wahlrecht. Bei Einhaltung der gesetzlich geregelten Anforderungen an eine Meldung werden die Beschäftigten umfangreich vor Repressalien wie Kündigung oder sonstigen Benachteiligung geschützt.

ABWEICHUNGEN VOM BISHERIGEN ENTWURF

Der sachliche Anwendungsbereich sollte nach dem Entwurf von 2021 noch die Meldung und Offenlegung von Informationen über Verstöße, die straf- oder bußgeldbewehrt sind, sowie sonstige Verstöße gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften des Bundes und der Länder und bestimmte EU-Rechtsakte erfassen. Der jetzige Entwurf ist dahingehend etwas enger formuliert und umfasst bußgeldbewehrte Verstöße nur insoweit, als die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (§ 2 Abs. 1 Nr. 2 HinSchG-E). Zudem soll statt wie im alten Entwurf vorgesehen nicht der Bundesdatenschutzbeauftragte, sondern das Bundesamt für Justiz für die externe Meldestelle zuständig sein. Die Begründung des aktuellen Entwurfs stellt zudem anders als die des vorhergehenden klar, dass die erwähnten konzernweiten Meldestellen als „Dritte“ im Sinne des Gesetzes gelten.

WESENTLICHE ASPEKTE IN ARBEITSRECHTLICHER HINSICHT

Auswirkungen auf das Arbeitsrecht hat insbesondere der Schutz der Beschäftigten vor benachteiligenden Handlungen oder Unterlassungen [...]

Continue Reading



mehr lesen

Öffentlichmachung von Prozessakten mit sensiblen Daten als fristloser Kündigungsgrund?

von und | Apr 6, 2022 | , , , , , , , , , , , , ,

Nach einem aktuellen Urteil des Landesarbeitsgerichts Baden-Württemberg vom 25. März 2022 (7 Sa 63/21) kann die (betriebs-)öffentliche Zugänglichmachung von Schriftsätzen aus arbeitsgerichtlichen Verfahren mittels Dropbox, in denen u.a. Gesundheitsdaten von anderen Mitarbeitern enthalten sind, sogar die außerordentliche Kündigung eines langjährig beschäftigten Mitarbeiters und Betriebsratsmitglieds rechtfertigen. Zumindest auf der Grundlage der Pressemitteilung – und in Unkenntnis der Entscheidungsgründe des vollständigen Urteils – wirft der Kündigungssachverhalt insbesondere die Frage auf, in welchen Fällen und inwieweit Mitarbeiter an das Datenschutzrecht, insbesondere nach der DSGVO, gebunden und Verstöße hiergegen als Kündigungsgrund geeignet sind.

SACHVERHALT UND ARBEITSGERICHTLICHE ENTSCHEIDUNGEN

Der gekündigte Mitarbeiter war bereits seit über 20 Jahren beim Arbeitgeber beschäftigt und über 15 Jahre Mitglied des Betriebsrats. Die außerordentliche Kündigung, der der Betriebsrat nach § 103 BetrVG zustimmte, beruht auf dem Vorwurf, dass der Mitarbeiter Schriftsätze aus einem vorherigen Kündigungsschutzverfahren zwischen den Arbeitsvertragsparteien betriebsöffentlich bzw. einem größeren Verteilerkreis mittels Dropbox zugänglich gemacht hatte. In den Schriftsätzen waren insbesondere Gesundheitsdaten weiterer Mitarbeiter unter voller Namensnennung erhalten.

In der ersten Instanz hielt das Arbeitsgericht die außerordentliche Kündigung für wirksam, weil der Mitarbeiter durch sein Verhalten gegen Bestimmungen des Datenschutzes verstoßen habe. Dagegen wandte sich der Mitarbeiter mit seiner Berufung und argumentierte, dass ein Datenschutzverstoß von vornherein ausscheide, da die DSGVO gemäß Art. 2 Abs. 2c DSGVO nicht anwendbar sei. Nach Art. 2 Abs. 2 c) DSGVO findet die DSGVO keine Anwendung auf natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Das Landesarbeitsgericht wies die Berufung jedoch ab, wobei es nicht mehr auf einen Datenschutzverstoß abstellte. Der Arbeitnehmer habe, indem er die Schriftsätze durch einen beliebig weitervertreibbaren Link öffentlich zugänglich machte, eine rechtswidrige und schuldhafte Verletzung der Persönlichkeitsrechte der in den Schriftsätzen namentlich benannten Personen begangen. Dieses Verhalten könne auch nicht durch u.a. Verteidigungsinteressen des Arbeitnehmers gerechtfertigt werden.

WEN BINDET DIE DSGVO?

Wie sich aus dem zuvor genannten Art. 2 Abs. 2 c) DSGVO, der auch als „Haushaltsausnahme“ bezeichnet wird, ergibt, sind Personen bei ausschließlich persönlicher oder familiärer Tätigkeit nicht an die DSGVO gebunden. Dazu im Gegensatz stehen berufliche Tätigkeiten, die wiederum in den Anwendungsbereich des DSGVO fallen. Danach sind Verstöße gegen die DSGVO von Arbeitnehmern während ihrer arbeitsvertraglichen Tätigkeit grundsätzlich geeignet, eine Kündigung zu rechtfertigen.

Im vom Landesarbeitsgericht Baden-Württemberg entschiedenen Fall ging es hinsichtlich der Veröffentlichung der Prozessakten offensichtlich nicht um eine Datenverarbeitung, die im Rahmen des Beschäftigungsverhältnisses zu Arbeitszwecken erfolgte, sondern um das – nach eigener Aussage des Mitarbeiters – Anliegen, Transparenz hinsichtlich des damaligen Kündigungssachverhalts zu schaffen. Folgerichtig hat das Landesarbeitsgericht Baden-Württemberg die Kündigung wohl auch nicht mehr auf einen potenziellen Datenschutzverstoß gestützt.

WORIN LIEGT DER MAßGEBLICHE ARBEITSRECHTLICH RELEVANTE VERSTOß?

Das Landesarbeitsgericht Baden-Württemberg stützt sich ausweislich der Pressemitteilung auf eine Persönlichkeitsrechtsverletzung durch die Veröffentlichung der Schriftsätze. Zunächst ist festzustellen, dass es keine explizite Norm gibt, wonach die Veröffentlichung von zivilrechtlichen Prozessakten untersagt ist. Gleichzeitig finden arbeitsgerichtliche Verhandlungen grundsätzlich öffentlich statt. Insofern besteht hinsichtlich der Prozessinhalte bereits keine besondere Vertraulichkeit, eher im Gegenteil. Davon abgesehen dürften Gesundheitsdaten anderer Mitarbeiter, die nicht aufgrund der konkreten Tätigkeit im Betrieb, sondern „beiläufig“ bekannt werden, nicht unmittelbar der [...]

Continue Reading



mehr lesen

Endlich: Neue Standardvertragsklauseln der EU veröffentlicht!

von | Jun 7, 2021 | , ,

Am vergangenen Freitag, den 04. Juni 2021, hat die EU-Kommission dem internationalen Datenverkehr ein wichtiges Update verpasst: die neuen EU-Standardvertragsklauseln (Standard Contractual Clauses; SCC) wurden veröffentlicht. Bei den Standardvertragsklauseln handelt es sich um von der EU-Kommission anerkannte Musterverträge, die im internationalen Datentransfer eine große Bedeutung haben.

Hintergrund

Das Update war nach dem sog. Schrems-II-Urteil des Europäischen Gerichtshofes (EuGH) vom Juli 2020 dringend notwendig. Zur Erinnerung: In diesem Urteil hat sich der EuGH mit Übermittlungen personenbezogener Daten in Drittländer, dem EU-US Privacy Shield sowie SCCs befasst. Das Gericht erklärte die Regelungen des Privacy Shield für unwirksam und sieht die EU-Standardvertragsklauseln nur noch unter gewissen Voraussetzungen als rechtmäßige Grundlage für die Übermittlung personenbezogener Daten in Drittländer an. So ist selbst bei Abschluss von SCCs mit Anbietern in einem Drittland vor einer Übermittlung von Daten in das Drittland zu prüfen, ob das vom EU-Recht geforderte Schutzniveau in dem Zielland der Datenübermittlung eingehalten wird. Um das zu erreichen, müssen ggf. zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung) für die personenbezogenen Daten mit dem Datenimporteur vereinbart und regelmäßig überprüft werden. Mit dem Wegfall des Privacy Shields sind die SCCs zur wesentlichen Grundlage für den internationalen Datentransfer geworden.

Wesentliche Regelungsinhalte

  • Baukastenprinzip: Die neuen SCCs sind modular aufgebaut, sodass mehr Gestaltungsoptionen als bisher zur Verfügung stehen. Vorgesehen sind Module für die Übermittlungen personenbezogener Daten von a) Verantwortlichen an Verantwortliche, b) Verantwortlichen an Auftragsverarbeiter, c) von Auftragsverarbeitern an Auftragsverarbeiter oder d) von Auftragsverarbeitern an Verantwortliche.
  • Schrems-II-Klausel: Die vom EuGH in seinem Schrems-II-Urteil angemahnte Risikobewertung vor Datenübermittlungen in Drittländer, insbesondere hinsichtlich der Rechtsvorschriften und Gepflogenheiten im Empfängerland, die sich auf das Datenschutzniveau für die exportierten Daten auswirken können, ist ebenfalls in die SCCs aufgenommen worden. Aufgrund der detaillierten Hinweise zur Durchführung der Risikobewertung können die neuen SCCS hier für ein deutliches Mehr an Rechtssicherheit sorgen.
  • Pflichten bei staatlichen Zugriffen: Detailliert geregelt sind auch die Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten. Dazu gehört u.a. eine Benachrichtigungspflicht ggü. den betroffenen Personen und dem Datenexporteur. Selbst wenn es dem Datenimporteur aufgrund rechtlicher Bestimmungen untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so muss sich der Datenimporteur nach besten Kräften um eine Aufhebung des Verbots bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur muss zudem die Rechtmäßigkeit staatlicher Zugriffsversuche überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und ggf. rechtliche Schritte dagegen unternehmen.
  • Kopplungsklausel: Die neuen SCCs berücksichtigen, dass internationale Datenverarbeitungen immer komplexer werden und nachträglich Veränderungen hinsichtlich der beteiligten Parteien eintreten können. Eine optionale Klausel 7 sieht vor, dass jederzeit neue Beteiligte als Partei den SCCs beitreten können. Dies ist besonders für Fallgestaltungen gemeinsamer Verantwortlichkeit von Relevanz.

Handlungsempfehlung

Die gute Nachricht ist, dass die neuen Standardvertragsklauseln durch ihren modularen Aufbau mehr Verarbeitungssituationen berücksichtigen, sie endlich DSGVO-spezifisch formuliert sind und die Schrems-II-Rechtsprechung des EuGH berücksichtigt wurde. Das erleichtert den Abschluss neuer Verträge. Für bereits abgeschlossene SCCs gilt ein Übergangszeitraum von 18 Monaten, innerhalb dessen die alten Verträge durch die neuen Standardvertragsklauseln ersetzt [...]

Continue Reading



mehr lesen

Bremen führt Corona-Testpflicht für Arbeitnehmer ein

von und | Mai 5, 2021 | , , , , , , , , , , , , ,

Echte Corona-Testpflicht für alle Arbeitnehmer in Bremen

Die echte Testpflicht für Arbeitnehmer kommt – zumindest in Bremen. Dies hat der Bremer Senat am 4. Mai 2021 beschlossen und verschärft damit als erstes Bundesland die Vorgaben der SARS-CoV-2-Arbeitsschutzverordnung des BMAS für alle Arbeitnehmer. In Bremen müssen nicht nur Arbeitgeber im Betrieb tätigen Arbeitnehmern die Tests anbieten, Arbeitnehmer sind auch zur Testung verpflichtet. Das geht über Verordnungen in anderen Ländern wie Sachsen und Berlin hinaus, die z.B. nur eine Testpflicht für Arbeitnehmer mit Kundenkontakt vorgeben. Inkrafttreten soll die Bremer Verordnung wohl am 10. Mai 2021. Spannend ist, ob andere Bundesländer dem Beispiel Bremens folgen werden. Unabhängig davon dürfte es Arbeitgebern auch ohne gesetzliche Regelungen möglich sein, per Direktionsrecht oder Betriebsvereinbarung für bestimmte Bereiche eine Testpflicht im Betrieb einzuführen. (https://hrnewsgermany.com/covid-19/antigen-schnelltests-pflicht-zum-test-am-arbeitsplatz/)

https://www.senatspressestelle.bremen.de/detail.php?gsid=bremen146.c.357780.de&asl=bremen02.c.730.de



mehr lesen

FOLGE UNS

Jetzt anmelden

THEMENBEREICHE

ARCHIV