Compliance
Subscribe Abonnieren Sie die Beiträge von Compliance

Neues zum Whistleblowing – Neuer Referentenentwurf zum Hinweisgeberschutzgesetz

Am 13. April 2022 veröffentlichte das Bundesministerium der Justiz einen Referentenentwurf für ein Hinweisgeberschutzgesetz („HinSchG-E“). Umgangssprachlich als „Whistleblowergesetz“ bezeichnet, setzt es eine entsprechende Richtlinie des Europäischen Parlaments und des Rates um (RL (EU) 2019/1937) („Richtlinie“). Aus arbeitsrechtlicher Sicht ist insbesondere der vorgesehene Schutz von Whistleblowern vor Kündigungen, Versetzungen oder Disziplinarmaßnahmen bemerkenswert. Das gilt nicht nur bei der Meldung von Verstößen gegen das Unionsrecht, sondern – über die europäischen Vorgaben hinausgehend – auch bei Verstößen gegen rein nationales Recht. Auf die bis Mitte Mai stattfindende Verbände- und Länderbeteiligung zum Referentenentwurf folgt dann die Abstimmung in Bundestag und Bundesrat.

ENTSTEHUNGSGESCHICHTE

Bereits von der letzten Bundesregierung wurde ein Referentenentwurf zum Hinweisgeberschutz auf den Weg gebracht. Das damalige Gesetzgebungsverfahren scheiterte jedoch an Unstimmigkeiten zwischen SPD und Union. Streitpunkt war, ob Whistleblower nur geschützt werden sollten, wenn es um Verstöße gegen EU-Recht geht oder weitergehend auch bei gemeldeten Verstößen gegen nationales Recht. Während die SPD schon damals eine nun auf den Weg gebrachte überschießende Umsetzung der Richtlinie befürwortete, kritisierte die Union die damit einhergehende Bürokratie und zusätzliche Regulierung.

Am 17. Dezember 2021 ist die in der Richtlinie vorgegebene Umsetzungsfrist verstrichen. Anfang 2022 hatte die EU-Kommission daraufhin ein Vertragsverletzungsverfahren eingeleitet. Bis zum Inkrafttreten des HinSchG können sich Beschäftigte gegebenenfalls unmittelbar auf einzelne Artikel der Richtlinie berufen.

INHALT DES REFERENTENENTWURFS

Im Wesentlichen entspricht der Referentenentwurf demjenigen aus der letzten Legislaturperiode. Hinsichtlich des persönlichen Anwendungsbereichs des HinSchG-E ist klarzustellen, dass u.a. auch Vorstände und Geschäftsführer als Hinweisgeber in Frage kommen und damit vom Hinweisgeberschutz profitieren können. In sachlicher Hinsicht werden Verstöße gegen Vorschriften aus dem Strafrecht, bestimmte Ordnungswidrigkeiten und Unions- sowie korrespondierendes nationales Recht erfasst. Dem HinSchG-E zufolge sind unternehmensinterne und externe Meldekanäle zu errichten, an die sich Whistleblower wenden können. Das interne Meldesystem kann nach dem HinSchG-E beispielsweise auch über eine konzernweite Meldestelle gewährleistet werden. Die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, muss dabei bei dem jeweiligen beauftragenden Tochterunternehmen verbleiben. Zwischen beiden Meldekanälen haben Hinweisgeber ein Wahlrecht. Bei Einhaltung der gesetzlich geregelten Anforderungen an eine Meldung werden die Beschäftigten umfangreich vor Repressalien wie Kündigung oder sonstigen Benachteiligung geschützt.

ABWEICHUNGEN VOM BISHERIGEN ENTWURF

Der sachliche Anwendungsbereich sollte nach dem Entwurf von 2021 noch die Meldung und Offenlegung von Informationen über Verstöße, die straf- oder bußgeldbewehrt sind, sowie sonstige Verstöße gegen Gesetze, Rechtsverordnungen und sonstige Vorschriften des Bundes und der Länder und bestimmte EU-Rechtsakte erfassen. Der jetzige Entwurf ist dahingehend etwas enger formuliert und umfasst bußgeldbewehrte Verstöße nur insoweit, als die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient (§ 2 Abs. 1 Nr. 2 HinSchG-E). Zudem soll statt wie im alten Entwurf vorgesehen nicht der Bundesdatenschutzbeauftragte, sondern das Bundesamt für Justiz für die externe Meldestelle zuständig sein. Die Begründung des aktuellen Entwurfs stellt zudem anders als die des vorhergehenden klar, dass die erwähnten konzernweiten Meldestellen als „Dritte“ im Sinne des Gesetzes gelten.

WESENTLICHE ASPEKTE IN ARBEITSRECHTLICHER HINSICHT

Auswirkungen auf das Arbeitsrecht hat insbesondere der Schutz der Beschäftigten vor benachteiligenden Handlungen oder Unterlassungen [...]

Weiterlesen




Öffentlichmachung von Prozessakten mit sensiblen Daten als fristloser Kündigungsgrund?

Nach einem aktuellen Urteil des Landesarbeitsgerichts Baden-Württemberg vom 25. März 2022 (7 Sa 63/21) kann die (betriebs-)öffentliche Zugänglichmachung von Schriftsätzen aus arbeitsgerichtlichen Verfahren mittels Dropbox, in denen u.a. Gesundheitsdaten von anderen Mitarbeitern enthalten sind, sogar die außerordentliche Kündigung eines langjährig beschäftigten Mitarbeiters und Betriebsratsmitglieds rechtfertigen. Zumindest auf der Grundlage der Pressemitteilung – und in Unkenntnis der Entscheidungsgründe des vollständigen Urteils – wirft der Kündigungssachverhalt insbesondere die Frage auf, in welchen Fällen und inwieweit Mitarbeiter an das Datenschutzrecht, insbesondere nach der DSGVO, gebunden und Verstöße hiergegen als Kündigungsgrund geeignet sind.

SACHVERHALT UND ARBEITSGERICHTLICHE ENTSCHEIDUNGEN

Der gekündigte Mitarbeiter war bereits seit über 20 Jahren beim Arbeitgeber beschäftigt und über 15 Jahre Mitglied des Betriebsrats. Die außerordentliche Kündigung, der der Betriebsrat nach § 103 BetrVG zustimmte, beruht auf dem Vorwurf, dass der Mitarbeiter Schriftsätze aus einem vorherigen Kündigungsschutzverfahren zwischen den Arbeitsvertragsparteien betriebsöffentlich bzw. einem größeren Verteilerkreis mittels Dropbox zugänglich gemacht hatte. In den Schriftsätzen waren insbesondere Gesundheitsdaten weiterer Mitarbeiter unter voller Namensnennung erhalten.

In der ersten Instanz hielt das Arbeitsgericht die außerordentliche Kündigung für wirksam, weil der Mitarbeiter durch sein Verhalten gegen Bestimmungen des Datenschutzes verstoßen habe. Dagegen wandte sich der Mitarbeiter mit seiner Berufung und argumentierte, dass ein Datenschutzverstoß von vornherein ausscheide, da die DSGVO gemäß Art. 2 Abs. 2c DSGVO nicht anwendbar sei. Nach Art. 2 Abs. 2 c) DSGVO findet die DSGVO keine Anwendung auf natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Das Landesarbeitsgericht wies die Berufung jedoch ab, wobei es nicht mehr auf einen Datenschutzverstoß abstellte. Der Arbeitnehmer habe, indem er die Schriftsätze durch einen beliebig weitervertreibbaren Link öffentlich zugänglich machte, eine rechtswidrige und schuldhafte Verletzung der Persönlichkeitsrechte der in den Schriftsätzen namentlich benannten Personen begangen. Dieses Verhalten könne auch nicht durch u.a. Verteidigungsinteressen des Arbeitnehmers gerechtfertigt werden.

WEN BINDET DIE DSGVO?

Wie sich aus dem zuvor genannten Art. 2 Abs. 2 c) DSGVO, der auch als „Haushaltsausnahme“ bezeichnet wird, ergibt, sind Personen bei ausschließlich persönlicher oder familiärer Tätigkeit nicht an die DSGVO gebunden. Dazu im Gegensatz stehen berufliche Tätigkeiten, die wiederum in den Anwendungsbereich des DSGVO fallen. Danach sind Verstöße gegen die DSGVO von Arbeitnehmern während ihrer arbeitsvertraglichen Tätigkeit grundsätzlich geeignet, eine Kündigung zu rechtfertigen.

Im vom Landesarbeitsgericht Baden-Württemberg entschiedenen Fall ging es hinsichtlich der Veröffentlichung der Prozessakten offensichtlich nicht um eine Datenverarbeitung, die im Rahmen des Beschäftigungsverhältnisses zu Arbeitszwecken erfolgte, sondern um das – nach eigener Aussage des Mitarbeiters – Anliegen, Transparenz hinsichtlich des damaligen Kündigungssachverhalts zu schaffen. Folgerichtig hat das Landesarbeitsgericht Baden-Württemberg die Kündigung wohl auch nicht mehr auf einen potenziellen Datenschutzverstoß gestützt.

WORIN LIEGT DER MAßGEBLICHE ARBEITSRECHTLICH RELEVANTE VERSTOß?

Das Landesarbeitsgericht Baden-Württemberg stützt sich ausweislich der Pressemitteilung auf eine Persönlichkeitsrechtsverletzung durch die Veröffentlichung der Schriftsätze. Zunächst ist festzustellen, dass es keine explizite Norm gibt, wonach die Veröffentlichung von zivilrechtlichen Prozessakten untersagt ist. Gleichzeitig finden arbeitsgerichtliche Verhandlungen grundsätzlich öffentlich statt. Insofern besteht hinsichtlich der Prozessinhalte bereits keine besondere Vertraulichkeit, eher im Gegenteil. Davon abgesehen dürften Gesundheitsdaten anderer Mitarbeiter, die nicht aufgrund der konkreten Tätigkeit im Betrieb, sondern „beiläufig“ bekannt werden, nicht unmittelbar der [...]

Weiterlesen




Endlich: Neue Standardvertragsklauseln der EU veröffentlicht!

Am vergangenen Freitag, den 04. Juni 2021, hat die EU-Kommission dem internationalen Datenverkehr ein wichtiges Update verpasst: die neuen EU-Standardvertragsklauseln (Standard Contractual Clauses; SCC) wurden veröffentlicht. Bei den Standardvertragsklauseln handelt es sich um von der EU-Kommission anerkannte Musterverträge, die im internationalen Datentransfer eine große Bedeutung haben.

Hintergrund

Das Update war nach dem sog. Schrems-II-Urteil des Europäischen Gerichtshofes (EuGH) vom Juli 2020 dringend notwendig. Zur Erinnerung: In diesem Urteil hat sich der EuGH mit Übermittlungen personenbezogener Daten in Drittländer, dem EU-US Privacy Shield sowie SCCs befasst. Das Gericht erklärte die Regelungen des Privacy Shield für unwirksam und sieht die EU-Standardvertragsklauseln nur noch unter gewissen Voraussetzungen als rechtmäßige Grundlage für die Übermittlung personenbezogener Daten in Drittländer an. So ist selbst bei Abschluss von SCCs mit Anbietern in einem Drittland vor einer Übermittlung von Daten in das Drittland zu prüfen, ob das vom EU-Recht geforderte Schutzniveau in dem Zielland der Datenübermittlung eingehalten wird. Um das zu erreichen, müssen ggf. zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung) für die personenbezogenen Daten mit dem Datenimporteur vereinbart und regelmäßig überprüft werden. Mit dem Wegfall des Privacy Shields sind die SCCs zur wesentlichen Grundlage für den internationalen Datentransfer geworden.

Wesentliche Regelungsinhalte

  • Baukastenprinzip: Die neuen SCCs sind modular aufgebaut, sodass mehr Gestaltungsoptionen als bisher zur Verfügung stehen. Vorgesehen sind Module für die Übermittlungen personenbezogener Daten von a) Verantwortlichen an Verantwortliche, b) Verantwortlichen an Auftragsverarbeiter, c) von Auftragsverarbeitern an Auftragsverarbeiter oder d) von Auftragsverarbeitern an Verantwortliche.
  • Schrems-II-Klausel: Die vom EuGH in seinem Schrems-II-Urteil angemahnte Risikobewertung vor Datenübermittlungen in Drittländer, insbesondere hinsichtlich der Rechtsvorschriften und Gepflogenheiten im Empfängerland, die sich auf das Datenschutzniveau für die exportierten Daten auswirken können, ist ebenfalls in die SCCs aufgenommen worden. Aufgrund der detaillierten Hinweise zur Durchführung der Risikobewertung können die neuen SCCS hier für ein deutliches Mehr an Rechtssicherheit sorgen.
  • Pflichten bei staatlichen Zugriffen: Detailliert geregelt sind auch die Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten. Dazu gehört u.a. eine Benachrichtigungspflicht ggü. den betroffenen Personen und dem Datenexporteur. Selbst wenn es dem Datenimporteur aufgrund rechtlicher Bestimmungen untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so muss sich der Datenimporteur nach besten Kräften um eine Aufhebung des Verbots bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur muss zudem die Rechtmäßigkeit staatlicher Zugriffsversuche überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und ggf. rechtliche Schritte dagegen unternehmen.
  • Kopplungsklausel: Die neuen SCCs berücksichtigen, dass internationale Datenverarbeitungen immer komplexer werden und nachträglich Veränderungen hinsichtlich der beteiligten Parteien eintreten können. Eine optionale Klausel 7 sieht vor, dass jederzeit neue Beteiligte als Partei den SCCs beitreten können. Dies ist besonders für Fallgestaltungen gemeinsamer Verantwortlichkeit von Relevanz.

Handlungsempfehlung

Die gute Nachricht ist, dass die neuen Standardvertragsklauseln durch ihren modularen Aufbau mehr Verarbeitungssituationen berücksichtigen, sie endlich DSGVO-spezifisch formuliert sind und die Schrems-II-Rechtsprechung des EuGH berücksichtigt wurde. Das erleichtert den Abschluss neuer Verträge. Für bereits abgeschlossene SCCs gilt ein Übergangszeitraum von 18 Monaten, innerhalb dessen die alten Verträge durch die neuen Standardvertragsklauseln ersetzt [...]

Weiterlesen




Bremen führt Corona-Testpflicht für Arbeitnehmer ein

Echte Corona-Testpflicht für alle Arbeitnehmer in Bremen

Die echte Testpflicht für Arbeitnehmer kommt – zumindest in Bremen. Dies hat der Bremer Senat am 4. Mai 2021 beschlossen und verschärft damit als erstes Bundesland die Vorgaben der SARS-CoV-2-Arbeitsschutzverordnung des BMAS für alle Arbeitnehmer. In Bremen müssen nicht nur Arbeitgeber im Betrieb tätigen Arbeitnehmern die Tests anbieten, Arbeitnehmer sind auch zur Testung verpflichtet. Das geht über Verordnungen in anderen Ländern wie Sachsen und Berlin hinaus, die z.B. nur eine Testpflicht für Arbeitnehmer mit Kundenkontakt vorgeben. Inkrafttreten soll die Bremer Verordnung wohl am 10. Mai 2021. Spannend ist, ob andere Bundesländer dem Beispiel Bremens folgen werden. Unabhängig davon dürfte es Arbeitgebern auch ohne gesetzliche Regelungen möglich sein, per Direktionsrecht oder Betriebsvereinbarung für bestimmte Bereiche eine Testpflicht im Betrieb einzuführen. (https://hrnewsgermany.com/covid-19/antigen-schnelltests-pflicht-zum-test-am-arbeitsplatz/)

https://www.senatspressestelle.bremen.de/detail.php?gsid=bremen146.c.357780.de&asl=bremen02.c.730.de




Corona-Tests in Unternehmen, der Datenschutz und Besonderheiten der Bundesländer

Seit der letzten Änderung der SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV), die am 23. April in Kraft getreten ist (und nach derzeitigem Stand bis 30. Juni 2021 gilt), müssen Unternehmen ihren Beschäftigten mindestens zweimal pro Kalenderwoche einen Test in Bezug auf einen direkten Erregernachweis des Coronavirus anbieten. Wir erläutern die wichtigsten Eckpunkte.

Angebotspflicht = Testpflicht?

Nach § 5 Abs. 1 Corona-ArbSchV sind Arbeitgeber nur dazu verpflichtet ihren Beschäftigten zweimal pro Kalenderwoche einen Test anzubieten. Eine Pflicht für Arbeitnehmer, sich testen zu lassen, enthält die Verordnung nicht. Nach derzeitigem Stand besteht für Arbeitnehmer also keine generelle gesetzliche Pflicht, sich einem Coronatest zu unterziehen (auf Länderebene gibt es Ausnahmen wie z.B. in der SächsCoronaSchVO). Wie wirksam die Einführung einer bloßen Angebotspflicht bei der tatsächlichen Eindämmung der Verbreitung des Coronavirus wirklich ist, bleibt wegen einer fehlenden gesetzlichen Testpflicht auf Arbeitnehmerseite zweifelhaft. Die Frage, ob der Arbeitgeber selbst eine solche Testpflicht für seinen Betrieb festlegen kann, hatten wir bereits in einem früheren Beitrag beantwortet.

Angeboten werden müssen diese Tests allen Beschäftigten, soweit diese nicht ausschließlich in ihrer Wohnung arbeiten. Die Testpflicht korrespondiert insoweit mit der neuen Pflicht zum Home Office. Eine flächendeckende Rückkehr ins Büro wird durch die Angebotspflicht gerade nicht bezweckt, vielmehr sollen sich beide Maßnahmen zum Schutze der Arbeitnehmer gerade ergänzen.

Welche Art von Test angeboten werden muss, ist in der Verordnung nicht festgelegt. Es kommen nach der Entwurfsbegründung PCR-Tests oder Antigen-Schnelltests zur professionellen oder zur Selbstanwendung in Betracht. Der Arbeitgeber muss diese Tests nicht selbst durchführen, sondern kann die Testung der Beschäftigten auch durch Dritte (z.B. durch geeignete Dienstleister, Apotheken oder anerkannte Testzentren/Teststellen) durchführen lassen.

Wer zahlt die Rechnung?
Die Frage der Kostentragung für diese Maßnahmen ist in der Corona-ArbSchV nicht geregelt. Die Bundesregierung geht davon aus, dass die Testangebotspflicht der Arbeitgeber sowie die anschließende Testung der Beschäftigten Maßnahmen des betrieblichen Arbeits- und Gesundheitsschutzes im Sinne des Arbeitsschutzgesetzes sind. Die Kosten für derartigen Maßnahmen, so die Bundesregierung, habe daher grundsätzlich der Arbeitgeber zu tragen.

Allerdings gibt es für Testungen von Beschäftigten in einigen Bereichen der medizinischen Versorgung und der Pflege sowie bei der Betreuung von Kindern oder Menschen mit Beeinträchtigungen dennoch Möglichkeiten einer Kostenerstattung auf Basis der §§ 4-7 der Coronavirus-Testverordnung.

Dokumentationspflichten und Datenschutz
Darüber hinaus sind Arbeitgeber gem. § 5 Abs. 2 Corona-ArbSchV dazu verpflichtet, Nachweise über die Beschaffung von Tests oder Vereinbarungen mit Dritten über die Testung der Beschäftigten bis zum 30. Juni 2021 aufzubewahren. Aber Achtung: Die Corona-ArbSchV beinhaltet nur eine Pflicht zur Dokumentation dahingehend, dass eine Testmöglichkeit tatsächlich geschaffen wurde. Es besteht keine Dokumentationspflicht hinsichtlich der Testergebnisse einzelner Mitarbeiter bzw. hinsichtlich der Tatsache, welche Mitarbeiter hiervon letztendlich Gebrauch gemacht haben oder nicht.

Bei den Ergebnissen der Corona-Tests ebenso wie der bloßen Feststellung, dass eine Testung stattgefunden hat, handelt es sich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO, für die ein besonderer Schutz gilt. Grundsätzlich kommt eine Dokumentation der Tatsache, dass ein Mitarbeiter an einem Test teilgenommen hat oder gar eine Dokumentation des jeweiligen Testergebnisses nicht in Betracht, weil es einer [...]

Weiterlesen




Betriebsvereinbarungen als Rechtsgrundlage für nicht erforderliche Verarbeitungen von Beschäftigtendaten

Das Landesarbeitsgericht Baden-Württemberg hat sich mit Urteil vom 25. Februar 2020 (Az. 17 Sa 37/20) u.a. zu Betriebsvereinbarungen als Erlaubnistatbestand für nicht erforderliche Verarbeitungen personenbezogener Daten geäußert und die ausgeprägten Gestaltungsmöglichkeiten der Betriebsparteien im Bereich des Datenschutzrechts verdeutlicht.

Sachverhalt
Gegenstand des Urteils war ein Streit zwischen einem Beschäftigten und dessen Arbeitgeber über die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten (Beschäftigtendaten). Der Arbeitgeber hatte zuvor mit den Planungen zur Einführung eines cloudbasierten Personalinformationsmanagementsystems (PIMS) begonnen. Zu Erprobungszwecken wurden in diesem Zusammenhang nicht nur fiktive Testdaten an die US-amerikanische Konzernmutter übermittelt und in das cloudbasierte PIMS eingespeist, sondern auch personenbezogene Echtdaten. Zwar gab es zwischen Betriebsrat und Arbeitgeber eine Betriebsvereinbarung über die Einführung des PIMS, in der in einem Katalog festgelegt worden war, welche Beschäftigtendaten in das cloudbasierte System übertragen werden dürfen. Der Arbeitgeber übermittelte jedoch über die Festlegungen hinaus noch weitere Beschäftigtendaten an die Konzernmutter, die diese Daten im PIMS verarbeitete. Diese Verarbeitung dieser weiteren personenbezogenen Daten war nach Ansicht des Beschäftigten rechtswidrig, weil sie nicht durch die Betriebsvereinbarung gedeckt war. Der Beschäftigte forderte in diesem Zusammenhang immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen einer rechtswidrigen Verarbeitung seiner Daten.

Entscheidung des Gerichts
Das Gericht stellt zunächst fest, dass die Verarbeitung der personenbezogenen Daten des Beschäftigten, die nicht zu den Katalogdaten der Betriebsvereinbarung gehören, weder auf § 26 Abs. 4 BDSG i.V.m. der Betriebsvereinbarung noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden kann.

Die Zulässigkeit der Verarbeitung von Echtdaten zu Testzwecken auf Grundlage des § 26 Abs. 1 S. 1 BDSG bzw. des Art. 6 Abs. 1 S. 1 lit. f DSGVO scheitert nach Ansicht des Gerichts jeweils an der fehlenden Erforderlichkeit der Verarbeitung.

Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Hier fehlt es nach Ansicht des Gerichts an der Erforderlichkeit der Verarbeitung i.S.d. § 26 Abs. 1 S. 1 BDSG, da der Arbeitgeber zur Durchführung der Arbeitsverhältnisse nicht darauf angewiesen gewesen sei, bereits vor Einführung des PIMS echte Beschäftigtendaten in der Cloud zu Testzwecken zu verarbeiten bzw. durch die Konzernmutter verarbeiten zu lassen.

Auch Art. 6 Abs. 1 S. 1 lit. f DSGVO (sog. berechtigtes Interesse) ist nach Ansicht des Gerichts keine geeignete Rechtsgrundlage. Im Zusammenhang mit diesem Erlaubnistatbestand betont das Gericht die notwendige Prüfung, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen die Erhebung erfolgte, vernünftigerweise damit rechnen musste, dass möglicherweise eine Verarbeitung für einen bestimmten Zweck erfolgen wird. Hier mussten die Beschäftigten nach Auffassung des Gerichts mit einer Verarbeitung ihrer personenbezogenen Daten zu bloßen Testzwecken – angesichts der parallel stattfindenden Datenverarbeitung im Live-System – nicht rechnen. Selbst wenn man [...]

Weiterlesen




Arbeits- und Datenschutzrecht im Home Office: Was ist zu beachten?

Nachdem die Covid-19-Pandemie seit etwa einem Jahr dazu führt, dass mehr und mehr Unternehmen den Arbeitsplatz ihrer Mitarbeiter ins Home Office verlagern bzw. Mobile Work einführen, schreiben mittlerweile auch die geltenden Corona-Arbeitsschutzverordnungen Arbeitgebern vor, ihren Mitarbeitern – soweit wie möglich – die Tätigkeit aus dem Homeoffice zu ermöglichen.

Gleichwohl besteht Unsicherheit darüber, welche Vorgaben aus arbeits- und datenschutzrechtlicher Sicherheit zu beachten sind. Wir zeigen Ihnen die wichtigsten Punkte auf, die aus unserer Sicht bei der Organisation von Home Office und Mobile Work zu beachten sind.

Arbeitszeit
In Bezug auf die Arbeitszeit gilt im Home Office nichts anderes als bei der Arbeitsleistung im Büro: Der Arbeitgeber ist weiterhin berechtigt, die zeitliche Lage der Arbeitszeit festzulegen (im Home Office sind dies typischerweise Kernzeiten, in denen der Arbeitnehmer erreichbar sein muss oder bestimmte Termine zu Teambesprechungen, aber auch die Anordnung von festen Arbeitszeiten ist möglich). Besondere Beachtung sollte der Arbeitgeber etwaig von den Arbeitnehmern geleisteten Überstunden/Mehrarbeit schenken – diese braucht er sich auch bei Arbeitsleistung im Home Office nicht „aufdrängen“ zu lassen. Diesbezüglich empfiehlt es sich, gerade gegenüber Arbeitnehmern im Home Office genau festzulegen, was die Voraussetzungen für ggf. zuschlagspflichtige Mehrarbeit sind: allen voran die ausdrückliche Aufforderung oder Genehmigung von Überstunden im Voraus durch den Vorgesetzten.

Auch die Vorgaben des Arbeitszeitgesetzes gelten im Home Office uneingeschränkt: z.B. das Tätigkeitsverbot an Sonn- und Feiertagen, die mindestens 11-stündige Ruhezeit zwischen zwei Arbeitstagen sowie die 8-stündige (im Ausnahmefall auch 10-stündige) tägliche Höchstarbeitszeit.

Arbeitgebern empfehlen wir, im Hinblick auf die eingeschränkten Kontrollmöglichkeiten im Home Office, die Mitarbeiter eingehend zu den gesetzlichen und betrieblichen Anforderungen zu schulen und sie zur eigenverantwortlichen Einhaltung zu verpflichten.

Arbeitsmittel und Aufwendungsersatz
Der Arbeitnehmer hat ein Recht darauf, dass der Arbeitgeber ihm einen funktionsfähigen Arbeitsplatz zur Verfügung stellt. So wird der Arbeitgeber dem im Home Office befindlichen Arbeitnehmer regelmäßig die hierfür nötigen Arbeitsmittel (PC, Drucker, Telefon) zur Verfügung stellen. Dies ist auch aus Gründen des Daten- und Geheimnisschutzes vorzugswürdig, da nur bei den unternehmenseigenen Geräten Herausgabeansprüche bestehen und die Privatnutzung untersagt werden kann.

Schafft der Arbeitnehmer sich Arbeitsmittel selbst auf eigene Kosten an, hat er ggf. einen Erstattungsanspruch nach § 670 BGB gegen den Arbeitgeber. Grundsätzliche Voraussetzung hierfür ist, dass die Anschaffung im überwiegenden Interesse des Arbeitsgebers liegt. Gleiches gilt grundsätzlich auch für die im Home Office anfallenden „Nebenkosten“ wie Strom, Internet- und Telefonkosten. Um hier eine aufwendige Berechnung von Einzelposten zu vermeiden, empfiehlt sich – wenn überhaupt – die Vereinbarung eines monatlichen Pauschalbetrags. Da § 670 BGB abdingbar ist, ist eine solche Erstattung – insbesondere, wenn das Home Office dem Wunsch des Arbeitnehmers entspricht – aber keineswegs zwingend.

Arbeitssicherheit und Arbeitsschutz
Auch die gesetzlichen Arbeitsschutzbestimmungen des Arbeitsschutzgesetzes gelten grundsätzlich im Home Office. Vor besondere Schwierigkeiten stellt den Arbeitgeber hier vor allem die Tatsache, dass er nur sehr begrenzte Einblicke und in der Regel kein Zutrittsrecht in das häusliche Arbeitszimmer seiner Arbeitnehmer hat. Das Gesetz legt den Arbeitnehmern insoweit eine Mitwirkungspflicht auf (§§ 15, 16 ArbSchG), die gerade im Home Office eine besondere Rolle spielen dürfte. Handelt es sich um [...]

Weiterlesen




Neues zum Whistleblowing – Meinungsfreiheit und Staatsbürgerpflicht vs. Loyalität im Arbeitsverhältnis

Zumeist sind es Arbeitnehmer, die Missstände oder Straftaten melden, welche ihnen im Zusammenhang mit ihrem Arbeitsverhältnis bekannt geworden sind. Mangels ausdrücklicher gesetzlicher Regelung besteht jedoch für Arbeitnehmer eine große Unsicherheit, unter welchen Voraussetzungen sie insbesondere extern gegenüber Behörden Hinweise geben dürfen, ohne Gefahr zu laufen, durch den Arbeitgeber wirksam gekündigt zu werden. Genauso kann der Arbeitgeber nur schwerlich abschätzen, wann er zur Kündigung des Arbeitsverhältnisses berechtigt ist. Abhilfe soll künftig das Hinweisgeberschutzgesetz („HinSchG“) schaffen, dass die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („Whistleblower-Richtlinie“) noch im Laufe dieses Jahres umsetzen soll. Ganz aktuell sorgt nun ein Urteil des Europäischen Gerichtshofs für Menschenrechte („EGMR“) für Aufsehen, weil es dem hinweisgebenden Arbeitnehmer Prüfungspflichten auferlegt, welche der Referentenentwurf des HinSchG und die Whistleblower-Richtlinie gerade nicht vorsehen.

Bisherige Grundsätze des EGMR zum Whistleblowing
Der EGMR prüft regelmäßig, ob die infolge des Whistleblowings des Arbeitnehmers ausgesprochene Kündigung durch den Arbeitgeber und die kündigungsstattgebenden Urteile der nationalen Gerichte den Arbeitnehmer in seinem Recht auf freie Meinungsäußerung verletzen. Dabei stellt sich der EGMR insbesondere folgende Prüfungs- und Abwägungsfragen:

  • Besteht ein öffentliches Interesse an der Information?
  • Hat der Arbeitnehmer die Information sorgfältig daraufhin geprüft, ob sie zuverlässig ist?
  • Überwiegt das Interesse gegenüber dem möglichen Schaden für den Arbeitgeber?
  • Welche Motivation treibt den Arbeitnehmer? Handelt er im guten Glauben oder um dem Arbeitgeber zu schaden?
  • War es dem Arbeitnehmer zumutbar, interne Meldekanäle zu nutzen?

EGMR-Urteil vom 16. Februar 2021
In dem Urteil des EGMR vom 16. Februar 2021 ging es um einen deutschen Arzt, der in einem Krankenhaus in Liechtenstein tätig gewesen war. Bei der Durchsicht von elektronischen Patientenakten war ihm aufgefallen, dass mehrere Patienten direkt nach einer Behandlung durch einen Kollegen mit Morphin gestorben waren. Aufgrund weiterer Notizen in der elektronischen Akte ging der Arzt davon aus, dass der Kollege aktive Sterbehilfe geleistet hatte. Diesen Verdacht brachte der Arzt bei der Staatsanwaltschaft zur Anzeige, die daraufhin die Ermittlungen aufnahm. Der Arzt ergänzte seinen bisherigen Verdacht im Laufe der Ermittlungen noch um weitere sechs Fälle. Nach Prüfung der wesentlich umfangreicheren Papierakten stellte sich jedoch heraus, dass die Behandlung mit Morphin angemessen und der Verdacht deshalb unbegründet war. Das Krankenhaus kündigte dem Arzt daraufhin fristlos. Die Klage des Arztes gegen die Kündigung blieb in allen Instanzen – einschließlich derjenigen des Lichtensteiner Verfassungsgerichts – erfolglos.

Dem Verfassungsgericht im Ergebnis folgend erkannte der EGMR in der Kündigung und den Arbeitsgerichtsentscheidungen keine Verletzung des Art. 10 EMRK. Maßgeblich sei nach dem EGMR, dass der Arzt nicht alle ihm zumutbaren und möglichen Versuche unternommen habe, zu prüfen, ob die Verdachtsmomente genau und zuverlässig sind. Er habe als erfahrener und schon länger im besagten Krankenhaus beschäftigter Arzt gewusst, dass die elektronischen Akten kein vollständiges Bild vermittelten. Deshab hätte er sich zusätzlich die Papierakten beschaffen müssen. Ihm wäre dann die Haltlosigkeit seiner Vorwürfe aufgefallen.

Widerspruch zu HinSchG und Whistleblower-Richtlinie?
Ausweislich des Referentenentwurfs des HinSchG soll eine Voraussetzung für den Schutz von Whistleblowern sein, dass die Informationen zutreffend sind, oder zum Zeitpunkt der Meldung oder Offenlegung hinreichender Grund [...]

Weiterlesen




FOLGE UNS

THEMENBEREICHE

ARCHIV