HR NEWS
Immer UpToDate im Arbeitsrecht
HR NEWS
HR NEWS
Immer UpToDate im Arbeitsrecht
Beschäftigtendatenschutz
Subscribe Abonnieren Sie die Beiträge von Beschäftigtendatenschutz

DSGVO-Auskunftsrecht: Europäische Aufsichtsbehörden starten koordinierte Prüfaktion

von | Mrz 18, 2024 | , , , , ,

Die europäischen Datenschutzbehörden haben eine koordinierte Prüfaktion mit Fokus auf das Auskunftsrecht gem. Art. 15 DSGVO gestartet. Dabei handelt es sich um eines der in der Praxis bedeutsamsten Datenschutzrechte, gerade auch von Beschäftigten. In Deutschland beteiligen sich neben dem Bundesbeauftragten für Datenschutz die Länder Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein.

Ziel der Prüfaktion zum Auskunftsrecht

Nach Art. 15 DSGVO hat jede betroffene Person das Recht, Auskunft zu verlangen, ob und welche personenbezogenen Daten durch ein Unternehmen verarbeitet werden. Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs beschäftigen häufig Arbeitgeber und Gerichte. Dabei ergeben sich die Herausforderungen nicht nur aus komplexen juristischen Fragestellungen, sondern ganz praktisch aus dem korrekten Umgang mit Auskunftsanfragen, z.B. von (ehemaligen) Beschäftigten.

Ziel der koordinierten Prüfaktion ist es nun, zu beurteilen, wie Unternehmen das Auskunftsrecht in der Praxis umsetzen und inwiefern zu konkreten Aspekten bspw. eine weitere Sensibilisierung von Unternehmen oder Betroffenen durch die Datenschutzbehörden sinnvoll sein könnte. Kerninstrument der Prüfaktion ist ein strukturierter Fragebogen zur Umsetzung des Rechts auf Auskunft, der von den Datenschutzbehörden sukzessive an Unternehmen verschickt wird.

Recht auf Auskunft hat große praktische Relevanz

Insbesondere in arbeitsrechtlichen Auseinandersetzungen hat der Auskunftsanspruch große Relevanz erhalten. So wird er bspw. im Kündigungsschutzprozess genutzt, um an Informationen beim (ehemaligen) Arbeitgeber zu gelangen, dort möglichst viel Aufwand zu verursachen oder um Fehler (z.B. ein Fristversäumnis) zu provozieren, die später gewinnbringend in einem Vergleich herangezogen werden können.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

Datenschutz-Compliance überprüfen

Bei dem Recht auf Auskunft handelt es sich um eines jener Betroffenenrechte, die am häufigsten Gegenstand einer formellen Beschwerde bei Datenschutzaufsichtsbehörden sind. Bei Verstößen gegen die Vorschriften der DSGVO drohen Schadensersatzansprüche und Geldbußen. Zuletzt hatte die Rechtsprechung die Verhängung von DSGVO-Geldbußen erleichtert.

Ein guter Anlass für Unternehmen also, um die bestehenden Prozesse und Abläufe zu überprüfen. Ein zentraler Aspekt einer starken und effektiven Datenschutz-Organisation im Unternehmen ist die Bearbeitung von Anfragen betroffener Personen, die ihr Auskunftsrecht oder andere Datenschutzrechte wahrnehmen wollen. Gibt es Richtlinien und Arbeitsanweisungen, die den Umgang mit DSGVO-Betroffenenanfragen erklären und regeln? Wissen alle relevanten Personen, wie bei Eingang einer Anfrage zu DSGVO-Betroffenenrechten zu verfahren ist?



mehr lesen

Umfassende Unternehmensverantwortung: Neue Rechtsprechung erleichtert DSGVO-Geldbußen

von | Feb 26, 2024 | , , , , , ,

Warum ist das relevant? Die bisherige deutsche Rechtslage ging davon aus, dass die bloße Feststellung eines Datenschutzverstoßes durch ein Unternehmen für die Verhängung einer Geldbuße nicht ausreichend war. Vielmehr musste positiv festgestellt werden, dass eine Person aus der Führungsebene des Unternehmens gegen die Regelungen der DSGVO verstoßen oder seine Aufsichtspflichten verletzt hat und dies vorsätzlich oder fahrlässig geschehen ist. Damit führte nicht jede Verletzung der DSGVO-Bestimmungen, z.B. eine zu spät erteilte Auskunft an einen Beschäftigten oder die nicht-erfolgte Löschung von personenbezogenen Daten ehemaliger Beschäftigter, unbedingt zu einem Bußgeld.

Die Ausgangslage hat sich nun geändert. Nachdem der EuGH (Urteil vom 05.12.2023 – C-683/21 und C-807/21) Ende 2023 bereits wesentliche Feststellungen zu der Frage getroffen hatte, ob und unter welchen Voraussetzungen eine DSGVO-Geldbuße unmittelbar gegen ein Unternehmen verhängt werden darf, hat das Berliner Kammergericht (Beschluss vom 22.01.2024 – 3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 – 161 AR 84/21) diesen „Ball“ nun aufgenommen und weitere wichtige Feststellungen zur Verhängung von Geldbußen wegen DSGVO-Verstößen getroffen.

Das Wichtigste in Kürze:

  • Die Verhängung einer Geldbuße gegen ein Unternehmen hängt nicht davon ab, dass zuvor festgestellt wurde, von welcher natürlichen Person der Datenschutz-Verstoß begangen wurde. Das Kammergericht wird deutlich: „alle Personen, die im Rahmen der unternehmerischen Tätigkeit [des datenschutzrechtlich Verantwortlichen] handeln, [fallen] in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation.“
  • Unternehmen sind damit im Deliktsbereich der DSGVO per se schuldfähig, allein eine ordentliche Organisation ist keine Entschuldigung zur Vermeidung einer Geldbuße. Zukünftig kann unmittelbar gegen ein Unternehmen eine Geldbuße verhängt werden, selbst wenn das Verschulden einer Leitungsperson oder eine Aufsichtspflichtverletzung nicht nachgewiesen werden kann. Es ist ausreichend, wenn das Unternehmen über die Rechtswidrigkeit der Verarbeitung (d.h. über den Verstoß gegen die DSGVO) nicht im Unklaren sein konnte. Es wird nicht einmal eine Kenntnis seitens der Unternehmensleitung oder ihrer Repräsentanten vorausgesetzt.
  • Unternehmen haften als datenschutzrechtlicher Verantwortliche damit sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Das gilt wohl auch für Auftragsverarbeiter, derer sich das Unternehmen bedient.
  • Denkbare Szenarien zur Abwendung einer Geldbuße, also zur Exkulpation, umfassen in Zukunft vor allem den Mitarbeiterexzess (bspw. bewusste Verstöße gegen Richtlinien, Betriebsvereinbarungen oder Dienstanweisungen).

Handlungsempfehlung: Jede Person im Unternehmen muss wissen, welche datenschutzrechtlichen Anforderungen und Maßstäbe für die jeweilige Arbeit gelten. Zur Vermeidung von DSGVO-Geldbußen müssen Unternehmen in der Lage sein, darzulegen und nachzuweisen, dass sie einen eventuellen Verstoß gegen das Datenschutzrecht nicht erkennen (also darüber im Unklaren sein) konnten. Interne Datenschutzrichtlinien und -weisungen können zur Begründung eines Mitarbeiterexzesses und damit zur Exkulpation dienen. Die Etablierung, regelmäßige Überprüfung und Dokumentation einer funktionierenden Datenschutz-Organisation sowie die notwendigen Datenschutz-Schulungen aller Mitarbeiter gewinnen weiter an Wert. Sie sind zudem im Rahmen von Art. 82 Abs. 2 DSGVO nicht nur für die Entscheidung über das „Ob“ der Geldbuße relevant, sondern auch für die Bemessung von deren Höhe.

 

 

[...]

Continue Reading


mehr lesen

Datenschutzrechtliche Pflichten & mögliche Stolperfallen beim Whistleblowing

von | Jul 14, 2023 | , , , ,

Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.

Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle
Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.

  • Datenschutz-Folgenabschätzung: Vor der Einrichtung eines Meldekanals muss aufgrund des hohen Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt und dokumentiert werden. Ziel einer solchen Datenschutz-Folgenabschätzung ist es, derartige Risiken durch technische und organisatorische Maßnahmen zu minimieren.
  • Verarbeitungsverzeichnis: Auch das Hinweisgeberverfahren ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.
  • Vertraulichkeitsvereinbarung: Um die Funktionsfähigkeit des Hinweisgeberschutzsystems zu gewährleisten, sieht das Hinweisgeberschutzgesetz in §§ 8, 9 HinSchG einen weitgehenden Schutz der Identitäten aller von einer Meldung betroffenen Personen vor. Demnach darf ihre Identität ausschließlich internen Meldestellen sowie für Folgemaßnahmen zuständigen Personen bekannt gemacht werden. Nur in bestimmten Ausnahmefällen, zum Beispiel auf Verlangen von Strafverfolgungsbehörden, dürfen Informationen zur Identität einer hinweisgebenden Person weitergegeben werden. Dieses Vertraulichkeitsgebot ist gesetzlich vorgesehen. Es bietet sich jedoch für Arbeitgeber im Rahmen ihrer Fürsorgepflicht an, die für die interne Meldestelle zuständigen Personen auf die Folgen der Nichteinhaltung dieser Vorschriften im Rahmen einer zusätzlichen Vertraulichkeitsvereinbarung hinzuweisen.
  • Schulungspflicht: Nach § 15 Abs. 2 HinSchG haben Unternehmen dafür Sorge zu tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen, insbesondere um die Vertraulichkeit der Identität betroffener Personen zu wahren. Dies ist ggf. durch geeignete Schulungen sicherzustellen und umfasst auch den datenschutzkonformen Umgang bei der Erfassung und Verarbeitung eingehender Hinweise.
  • Dokumentationspflicht: Die interne Meldestelle ist gem. § 11 HinSchG verpflichtet, alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise zu dokumentieren.
  • Aufbewahrungs- und Löschpflichten: Die Dokumentation der eingegangenen Meldung gem. 30 DSGVO grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen. Eine darüberhinausgehende Aufbewahrungsfrist ist möglich, solange dies erforderlich und verhältnismäßig ist.
  • Technisch organisatorische Maßnahmen: Unternehmen müssen technisch organisatorische Maßnahmen gem. Art. 32 DSGVO treffen, um eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen. Das ist auch dann der Fall, wenn Dritte mit den Aufgaben einer internen Meldestelle betraut wurden.
  • Auslagerung der internen Meldestelle: Das Hinweisgeberschutzgesetz sieht in § 14 Abs. 1 Hin-SchG die Möglichkeit vor, Dritte mit den Aufgaben einer internen Meldestelle zu betrauen. Dies befreit den Beschäftigungsgeber jedoch nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen durch das Hinweisgebersystem gemeldeten Verstoß abzustellen. Zudem sollte die Klärung der datenschutzrechtlichen Verantwortlichkeiten je nach konkreter Ausgestaltung der Zusammenarbeit z.B. im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) erfolgen.
  • Datenschutzbeauftragter als Meldestelle: Gerade für kleine Unternehmen mit geringerem Bedarf ist es zumindest denkbar, die Person des [...]

    Continue Reading


mehr lesen

Nach neuem EuGH-Urteil: Wie geht es weiter im deutschen Beschäftigtendatenschutz?

von | Mai 12, 2023 |

Für alle Personalverantwortlichen gibt es spannende Neuigkeiten aus dem Bereich Beschäftigtendatenschutz: Aufgrund einer Entscheidung des EuGH (Urteil vom 30. März 2023, C 34/21) könnte § 26 BDSG, die zentrale deutsche Norm zur Verarbeitung von Beschäftigtendaten, möglicherweise nicht mehr anwendbar sein. Wir erläutern den Kontext der Entscheidung und zeigen auf, weshalb das Urteil für Unternehmen dennoch kein Grund zur Panik ist.

Die Entscheidung des EUGH

Der EuGH hat in seinem Urteil festgestellt, dass die Regelungen zum Beschäftigtendatenschutz in § 23 des Hessischen Datenschutzgesetzes (HDSG) nicht mit der DSGVO vereinbar sind. Diese Entscheidung stützt das Gericht darauf, dass § 23 HDSG im Wesentlichen eine bloße Wiederholung der Bestimmungen der DSGVO sei. Mitgliedsstaaten können eigene Vorschriften zum Beschäftigtendatenschutz nur unter der Bedingung erlassen, dass es sich um spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext handelt. Gerade das sei bei einer bloßen Wiederholung der allgemeinen Vorschriften zur Verarbeitung personenbezogener Daten aber nicht der Fall.

Da die Regelung des HDSG nahezu wortgleich mit § 26 BDSG ist, lassen sich die Wertungen der Entscheidung des EuGH auf die Verarbeitung von Beschäftigtendaten durch Unternehmen auf Grundlage des § 26 BDSG übertragen. Das liegt insbesondere für § 26 Abs. 1 BDSG durchaus nahe – eine Auswirkung auf den gesamten § 26 BDSG scheint möglich, aber nicht zwingend.

Kurz und knapp: Was heißt das für Unternehmen?

Für deutsche Unternehmen stellt § 26 BDSG die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten dar, sodass durch das Urteil eine gewisse Rechtsunsicherheit entsteht. Allerdings ist auch bei einem Wegfall dieser Rechtsgrundlage davon auszugehen, dass jeweils ein alternativer Erlaubnistatbestand für im Beschäftigungskontext übliche Verarbeitungen identifiziert werden kann (z.B. Vertragsdurchführung, Erfüllung rechtlicher Verpflichtungen oder berechtigtes Interesse), sodass die Verarbeitungen im Regelfall nicht einzustellen sind. Daher dürften vor allem die derzeit noch verwendeten Datenschutzinformationen sowie Verarbeitungsverzeichnisse mit Blick auf die dort genannten Rechtsgrundlagen zu aktualisieren sein.

Einzelne Datenschutzbehörden empfehlen zudem bereits, zukünftig verstärkt auf Betriebsvereinbarungen zu setzen. Dabei ist besonders wichtig, dass sie die von der DSGVO geforderten speziellen Garantien zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Die Bedeutung dieser Pflichtinhalte hat der EuGH in seiner Entscheidung betont – anderenfalls droht ihnen womöglich das gleiche Schicksal wie dem § 26 Abs. 1 BDSG. Dabei ist zu beachten, dass Betriebsvereinbarungen vor allem in einer konkretisierenden Funktion zur Schaffung von Rechtssicherheit beitragen können. Zur Schaffung völlig neuer Rechtsgrundlagen sind sie eher nicht geeignet (wenngleich einzelne Arbeitsgerichte das durchaus anders sehen).

Gerne unterstützen wir Sie bei Fragen zur Auswirkung der EuGH-Entscheidung auf Ihr Unternehmen und bei eventuell notwendigen Schritten zur Anpassung bestehender datenschutzrechtlicher Dokumente.



mehr lesen

DSGVO-Auskunftsanspruch: 10.000 Euro Schadensersatz für verspätete Auskunft

von | Mrz 24, 2023 | , ,

Der datenschutzrechtliche Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO beschäftigt weiterhin Arbeitgeber und Gerichte, insbesondere im Arbeitsverhältnis lauern zahlreiche Fallstricke. Diese ergeben sich nicht nur aus komplexen juristischen Fragestellungen, etwa zum Umfang des Auskunftsanspruchs und des Rechts auf Kopie gem. Art. 15 Abs. 3 DSGVO. Oftmals stellt bereits der praktische Umgang mit Auskunftsanfragen von Beschäftigten Unternehmen vor Herausforderungen.

Dass es sich lohnt, eine gut aufgestellte Datenschutzorganisation zu haben, zeigt ein aktuelles Urteil des Arbeitsgerichts Oldenburg vom 09. Februar 2023 (3 Ca 150/21). Der Kläger verlangte von seiner (ehemaligen) Arbeitgeberin unter anderem Auskunft nach Art. 15 Abs. 1 DSGVO sowie eine Kopie der Daten gemäß Art. 15 Abs. 3 DSGVO. Das Unternehmen verweigerte die Auskunftserteilung. Erst im Gerichtsverfahren legte es einzelne Unterlagen vor – 20 Monate nach dem Auskunftsbegehren. Das Gericht hat dem Kläger allein aufgrund dieser verspätet erteilten Auskunft einen Schadensersatz von 10.000 Euro zugesprochen.

DER DATENSCHUTZRECHTLICHE AUSKUNFTSANSPRUCH

Der Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO und das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO bestehen neben dem Einsichtsrecht in die Personalakte gem. § 83 Abs. 1 BetrVG. In der Praxis wird der DSGVO-Anspruch vielfach zur Erhöhung des „Lästigkeitswertes“ im Konfliktfall genutzt, um auf diese Weise Verhandlungsmasse zu gewinnen und um ggf. an zusätzliche Informationen und Unterlagen für einen (späteren) Rechtsstreit zu gelangen.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

10.000 EURO SCHADENSERSATZ

Wird der Anspruch nicht ordnungsgemäß erfüllt, kann dies zu einem Schadensersatzanspruch gem. Art. 82 DSGVO führen sowie ggf. zu einer Geldbuße gem. Art. 83 Abs. 5 lit. b DSGVO.

Wie kam das Arbeitsgericht Oldenburg im vorliegenden Fall zu einer Summe von 10.000 Euro für eine verspätet erteilte Auskunft? Dem Gericht genügt (unter Berufung auf das Bundesarbeitsgericht) zur Begründung des Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO bereits die Verletzung von Vorschriften der DSGVO. Nach Ansicht des Gerichts ist es gerade nicht erforderlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegen muss. Dementsprechend führt also bereits die Nichteinhaltung von Vorschriften der DSGVO (hier: der Fristen für die Erfüllung des Auskunftsanspruchs) zu einem Schadensersatzanspruch für die betroffene Person. Das Gericht geht zudem davon aus, dass bei der Berechnung der Höhe des Schadensersatzes Präventionscharakter und Abschreckungswirkung zu berücksichtigen seien: Der Schadensersatz soll weh tun.

Hier war der Auskunftsanspruch 20 Monate zu spät erteilt worden. Für jeden Monat, in dem die Auskunft nicht erteilt wurde, hat das Gericht 500 Euro angesetzt, sodass es auf die Gesamtsumme von 10.000 Euro kommt.

Die vorliegende Entscheidung setzt eine Reihe von Entscheidungen fort, in denen deutsche Arbeitsgerichte allein die Verletzung von Vorschriften der DSGVO als ausreichend erachtet haben, um einen Schadensersatzanspruch des Beschäftigten zu begründen.

Gerade beim Auskunftsanspruch lassen sich viele Fehler mit Hilfe einer robust aufgestellten [...]

Continue Reading



mehr lesen

Corona-Tests in Unternehmen, der Datenschutz und Besonderheiten der Bundesländer

von und | Apr 30, 2021 | , , , , , , ,

Seit der letzten Änderung der SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV), die am 23. April in Kraft getreten ist (und nach derzeitigem Stand bis 30. Juni 2021 gilt), müssen Unternehmen ihren Beschäftigten mindestens zweimal pro Kalenderwoche einen Test in Bezug auf einen direkten Erregernachweis des Coronavirus anbieten. Wir erläutern die wichtigsten Eckpunkte.

Angebotspflicht = Testpflicht?

Nach § 5 Abs. 1 Corona-ArbSchV sind Arbeitgeber nur dazu verpflichtet ihren Beschäftigten zweimal pro Kalenderwoche einen Test anzubieten. Eine Pflicht für Arbeitnehmer, sich testen zu lassen, enthält die Verordnung nicht. Nach derzeitigem Stand besteht für Arbeitnehmer also keine generelle gesetzliche Pflicht, sich einem Coronatest zu unterziehen (auf Länderebene gibt es Ausnahmen wie z.B. in der SächsCoronaSchVO). Wie wirksam die Einführung einer bloßen Angebotspflicht bei der tatsächlichen Eindämmung der Verbreitung des Coronavirus wirklich ist, bleibt wegen einer fehlenden gesetzlichen Testpflicht auf Arbeitnehmerseite zweifelhaft. Die Frage, ob der Arbeitgeber selbst eine solche Testpflicht für seinen Betrieb festlegen kann, hatten wir bereits in einem früheren Beitrag beantwortet.

Angeboten werden müssen diese Tests allen Beschäftigten, soweit diese nicht ausschließlich in ihrer Wohnung arbeiten. Die Testpflicht korrespondiert insoweit mit der neuen Pflicht zum Home Office. Eine flächendeckende Rückkehr ins Büro wird durch die Angebotspflicht gerade nicht bezweckt, vielmehr sollen sich beide Maßnahmen zum Schutze der Arbeitnehmer gerade ergänzen.

Welche Art von Test angeboten werden muss, ist in der Verordnung nicht festgelegt. Es kommen nach der Entwurfsbegründung PCR-Tests oder Antigen-Schnelltests zur professionellen oder zur Selbstanwendung in Betracht. Der Arbeitgeber muss diese Tests nicht selbst durchführen, sondern kann die Testung der Beschäftigten auch durch Dritte (z.B. durch geeignete Dienstleister, Apotheken oder anerkannte Testzentren/Teststellen) durchführen lassen.

Wer zahlt die Rechnung?
Die Frage der Kostentragung für diese Maßnahmen ist in der Corona-ArbSchV nicht geregelt. Die Bundesregierung geht davon aus, dass die Testangebotspflicht der Arbeitgeber sowie die anschließende Testung der Beschäftigten Maßnahmen des betrieblichen Arbeits- und Gesundheitsschutzes im Sinne des Arbeitsschutzgesetzes sind. Die Kosten für derartigen Maßnahmen, so die Bundesregierung, habe daher grundsätzlich der Arbeitgeber zu tragen.

Allerdings gibt es für Testungen von Beschäftigten in einigen Bereichen der medizinischen Versorgung und der Pflege sowie bei der Betreuung von Kindern oder Menschen mit Beeinträchtigungen dennoch Möglichkeiten einer Kostenerstattung auf Basis der §§ 4-7 der Coronavirus-Testverordnung.

Dokumentationspflichten und Datenschutz
Darüber hinaus sind Arbeitgeber gem. § 5 Abs. 2 Corona-ArbSchV dazu verpflichtet, Nachweise über die Beschaffung von Tests oder Vereinbarungen mit Dritten über die Testung der Beschäftigten bis zum 30. Juni 2021 aufzubewahren. Aber Achtung: Die Corona-ArbSchV beinhaltet nur eine Pflicht zur Dokumentation dahingehend, dass eine Testmöglichkeit tatsächlich geschaffen wurde. Es besteht keine Dokumentationspflicht hinsichtlich der Testergebnisse einzelner Mitarbeiter bzw. hinsichtlich der Tatsache, welche Mitarbeiter hiervon letztendlich Gebrauch gemacht haben oder nicht.

Bei den Ergebnissen der Corona-Tests ebenso wie der bloßen Feststellung, dass eine Testung stattgefunden hat, handelt es sich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO, für die ein besonderer Schutz gilt. Grundsätzlich kommt eine Dokumentation der Tatsache, dass ein Mitarbeiter an einem Test teilgenommen hat oder gar eine Dokumentation des jeweiligen Testergebnisses nicht in Betracht, weil es einer [...]

Continue Reading



mehr lesen

Arbeits- und Datenschutzrecht im Home Office: Was ist zu beachten?

von und | Apr 15, 2021 | , , , ,

Nachdem die Covid-19-Pandemie seit etwa einem Jahr dazu führt, dass mehr und mehr Unternehmen den Arbeitsplatz ihrer Mitarbeiter ins Home Office verlagern bzw. Mobile Work einführen, schreiben mittlerweile auch die geltenden Corona-Arbeitsschutzverordnungen Arbeitgebern vor, ihren Mitarbeitern – soweit wie möglich – die Tätigkeit aus dem Homeoffice zu ermöglichen.

Gleichwohl besteht Unsicherheit darüber, welche Vorgaben aus arbeits- und datenschutzrechtlicher Sicherheit zu beachten sind. Wir zeigen Ihnen die wichtigsten Punkte auf, die aus unserer Sicht bei der Organisation von Home Office und Mobile Work zu beachten sind.

Arbeitszeit
In Bezug auf die Arbeitszeit gilt im Home Office nichts anderes als bei der Arbeitsleistung im Büro: Der Arbeitgeber ist weiterhin berechtigt, die zeitliche Lage der Arbeitszeit festzulegen (im Home Office sind dies typischerweise Kernzeiten, in denen der Arbeitnehmer erreichbar sein muss oder bestimmte Termine zu Teambesprechungen, aber auch die Anordnung von festen Arbeitszeiten ist möglich). Besondere Beachtung sollte der Arbeitgeber etwaig von den Arbeitnehmern geleisteten Überstunden/Mehrarbeit schenken – diese braucht er sich auch bei Arbeitsleistung im Home Office nicht „aufdrängen“ zu lassen. Diesbezüglich empfiehlt es sich, gerade gegenüber Arbeitnehmern im Home Office genau festzulegen, was die Voraussetzungen für ggf. zuschlagspflichtige Mehrarbeit sind: allen voran die ausdrückliche Aufforderung oder Genehmigung von Überstunden im Voraus durch den Vorgesetzten.

Auch die Vorgaben des Arbeitszeitgesetzes gelten im Home Office uneingeschränkt: z.B. das Tätigkeitsverbot an Sonn- und Feiertagen, die mindestens 11-stündige Ruhezeit zwischen zwei Arbeitstagen sowie die 8-stündige (im Ausnahmefall auch 10-stündige) tägliche Höchstarbeitszeit.

Arbeitgebern empfehlen wir, im Hinblick auf die eingeschränkten Kontrollmöglichkeiten im Home Office, die Mitarbeiter eingehend zu den gesetzlichen und betrieblichen Anforderungen zu schulen und sie zur eigenverantwortlichen Einhaltung zu verpflichten.

Arbeitsmittel und Aufwendungsersatz
Der Arbeitnehmer hat ein Recht darauf, dass der Arbeitgeber ihm einen funktionsfähigen Arbeitsplatz zur Verfügung stellt. So wird der Arbeitgeber dem im Home Office befindlichen Arbeitnehmer regelmäßig die hierfür nötigen Arbeitsmittel (PC, Drucker, Telefon) zur Verfügung stellen. Dies ist auch aus Gründen des Daten- und Geheimnisschutzes vorzugswürdig, da nur bei den unternehmenseigenen Geräten Herausgabeansprüche bestehen und die Privatnutzung untersagt werden kann.

Schafft der Arbeitnehmer sich Arbeitsmittel selbst auf eigene Kosten an, hat er ggf. einen Erstattungsanspruch nach § 670 BGB gegen den Arbeitgeber. Grundsätzliche Voraussetzung hierfür ist, dass die Anschaffung im überwiegenden Interesse des Arbeitsgebers liegt. Gleiches gilt grundsätzlich auch für die im Home Office anfallenden „Nebenkosten“ wie Strom, Internet- und Telefonkosten. Um hier eine aufwendige Berechnung von Einzelposten zu vermeiden, empfiehlt sich – wenn überhaupt – die Vereinbarung eines monatlichen Pauschalbetrags. Da § 670 BGB abdingbar ist, ist eine solche Erstattung – insbesondere, wenn das Home Office dem Wunsch des Arbeitnehmers entspricht – aber keineswegs zwingend.

Arbeitssicherheit und Arbeitsschutz
Auch die gesetzlichen Arbeitsschutzbestimmungen des Arbeitsschutzgesetzes gelten grundsätzlich im Home Office. Vor besondere Schwierigkeiten stellt den Arbeitgeber hier vor allem die Tatsache, dass er nur sehr begrenzte Einblicke und in der Regel kein Zutrittsrecht in das häusliche Arbeitszimmer seiner Arbeitnehmer hat. Das Gesetz legt den Arbeitnehmern insoweit eine Mitwirkungspflicht auf (§§ 15, 16 ArbSchG), die gerade im Home Office eine besondere Rolle spielen dürfte. Handelt es sich um [...]

Continue Reading



mehr lesen

Betriebsschließung wegen Covid-19

von | Apr 8, 2021 | , ,

Erste Gerichtsentscheidungen bejahen Lohnfortzahlungspflicht des Arbeitgebers

1. DIE FRAGE DES BETRIEBSRISIKOS, § 615 S. 3 BGB
Ob der Arbeitgeber die Gehälter seiner Arbeitnehmer selbst dann weiterbezahlen muss, wenn er sie ohne eigenes (und ohne deren) Verschulden vorübergehend nicht beschäftigen kann, wird mit Hilfe der Lehre vom Betriebsrisiko beantwortet. Grundsätzlich gilt zwar der Leitsatz „ohne Arbeit kein Lohn“ (§§ 275 Abs.1, 326 Abs. 1 BGB). Liegt jedoch ein Fall des Betriebsrisikos vor – anerkannt etwa bei einer Naturkatastrophe, Brandschäden oder witterungsbedingtem Arbeitsausfall – dann muss, so § 615 S. 3 BGB, der Arbeitgeber die Gehälter seiner Arbeitnehmer weiterbezahlen, obwohl diese wegen Unmöglichkeit im Gegenzug keine Arbeitsleistung erbringen können. Kerngedanke ist hierbei, dass der Arbeitgeber Nutznießer des wirtschaftlichen Erfolges seines Betriebes ist, so dass er als dessen Kehrseite auch das Risiko für schlechte Zeiten und Misserfolge zu tragen hat.

Seitdem im Frühjahr 2020 die Coronapandemie auch Deutschland erreicht hat, mussten viele Betriebe aufgrund behördlicher Anordnung aus Gründen des allgemeinen Gesundheitsschutzes vorübergehend schließen. Diese Arbeitgeber fragen sich, ob sich in diesen Fällen „nur“ ein allgemeines Lebensrisiko verwirklicht und dementsprechend der Grundsatz „ohne Arbeit kein Lohn“ gilt oder doch die Betriebsrisikolehre greift und die Gehälter der unfreiwillig nicht weiterbeschäftigten Arbeitnehmer auch während der Betriebsschließung gezahlt werden müssen.

2. DIE CORONA-PANDEMIE ALS BETRIEBSRISIKO DES ARBEITGEBERS?
Die Grenzen des Betriebsrisikos sind nicht klar umrissen und das Gesetz enthält keine Definition, die bei der Abgrenzung des Betriebsrisikos zum allgemeinen Lebensrisiko helfen könnte. Das Betriebsrisiko wird wechselnd als „im Betrieb liegende Gründe“, „betriebstechnische Gründen“ oder „in der betrieblichen Sphäre des Arbeitgebers liegend“ beschrieben. Ob auch die Betriebsschließung wegen der Corona-Pandemie unter diese Kategorie der unverschuldeten, aber dem Arbeitgeber zuzurechnenden Betriebsstörung fällt, war bisher nicht klar. Immerhin beruhen die Betriebsschließungen auf (nicht zwingenden) gesundheitspolitischen Entscheidungen (die im Ermessen der Politik stehen) und nicht – wie Naturkatastrophen – auf einer zwingenden physischen Gewalt. Andererseits ist in Fällen der behördlichen Betriebsschließung der Arbeitnehmer arbeitsfähig, -willig und in der Lage, seiner Arbeitspflicht nachzukommen, so dass die Einordnung als allgemeines Lebensrisiko zu dessen Lasten als nicht sachgerecht erscheint.

Nun liegt das erste landesgerichtliche Urteil zu dieser Frage vor:

3. LAG DÜSSELDORF BEJAHT BETRIEBSRISIKO
In seiner Entscheidung vom 30. März 2021 (8 Sa 674/20) hat das LAG Düsseldorf nun die Vorinstanz, das ArbG Wuppertal vom 23. September 2020 (7 Ca 1468/29), bestätigt und geurteilt, dass die aktuelle Corona-Pandemie eine Naturkatastrophe ist (sic!) und nach der Betriebsrisikolehre dieses Risiko vom Arbeitgeber zu tragen ist. Der Arbeitgeber schuldet demnach auch dann die Gehälter (nach § 615 S. 3 BGB), wenn seine Arbeitnehmer wegen einer behördlich angeordneten Betriebsschließung ihre Arbeitsleistung nicht erbringen können.

Interessanterweise stellt das LAG Düsseldorf dabei auch fest, dass es nicht darauf ankommt, ob die behördliche Anordnung bundes- oder landesweit für eine bestimmte Branche oder nur punktuell örtlich begrenzte Betriebe betrifft. Bisher stellten einige Stimmen in der Literatur gerade auf diese Unterscheidung ab und bejahten jedenfalls bei einer punktuell bzw. nur gegenüber einem einzelnen Betrieb erteilten behördlichen Anordung zur Betriebsschließung das Betriebsrisiko und damit die Lohnfortzahlungpflicht des Arbeitsgebers.

Die detaillierten [...]

Continue Reading



mehr lesen

Antigen-Schnelltests – Pflicht zum Test am Arbeitsplatz?

von und | Mrz 3, 2021 | , ,

1. ANTIGEN-SCHNELLTESTS ZUR SELBSTANWENDUNG
Seit Ausbruch der Corona-Panemie im vergangenen Jahr stehen Arbeitgeber bei der Organisation des Arbeitsalltags vor vielschichtigen Herausforderungen. Hierbei müssen sie wirtschaftliche Interessen, Gesichtspunkte des Arbeitsschutzes und der ihnen gegenüber ihren Mitarbeitern obliegenden Fürsorgepflichten immer wieder mit den berechtigten Interessen ihrer Mitarbeiter in Einklang bringen.
Inzwischen wurden erste Antigen-Schnelltests vom Bundesinstitut für Arzneimittel und Medizinprodukte für eine Selbstanwendung zugelassen. Hierbei handelte es sich zunächst um drei sog. „Nasal-Tests“, bei denen der Abstrich im vorderen Bereich der Nase („Nasebohren“) entnommen wird. Dies wird deutlich weniger unangenehm empfunden, als die Nasopharyngeal-Tests, bei denen Sekret tief aus dem Rachenraum durch die Nase und/oder den Rachen entnommen wird. Zudem sollen in Kürze hier auch Tests zugelassen werden, bei denen der Test mit einer Speichelprobe erfolgen kann („Spucktest“). Es wird erwartet, dass die Tests in Kürze im Handel für jedermann erhältlich sind und die Anzahl der zugelassenen Tests sprunghaft zunehmen wird.

Hier stellt sich nun für Arbeitgeber die Frage, ob derartige Tests für solche Bereiche zur Pflicht für die Mitarbeiter (auch außerhalb von „Hot Spot-Regelungen“) gemacht werden können, in denen eine Präsenz im Betrieb weiterhin unumgänglich ist. Ein Ausbruch von Coronainfektionen kann weitreichende Folgen für ein Unternehmen haben und die vorübergehende Stilllegung des gesamten Betriebes oder aber eines kritischen Betriebsteils auslösen. Hier wäre z.B. denkbar, an einem Tag der Woche einen solchen Test von allen Mitarbeitern zu verlangen und diesen nur bei „negativem“ Testergebnis den Zugang zum Betriebsgelände zu gewähren.

Bereits am 5. Februar 2021 wies in diesem Zusammenhang das Arbeitsgericht Offenbach einen Antrag auf einstweilige Verfügung eines Mitarbeiters ab. Dieser hatte im Eilverfahren den Zugang zu seinem betrieblichen Arbeitsplatz verlangt, der ihm zuvor durch den Arbeitgeber verweigert worden war, weil der Mitarbeiter nicht an einem PCR-Schnelltest zur Bestimmung einer möglichen Corona-Infektion teilnehmen wollte. Die verpflichtende Schnelltestung hatte der Arbeitgeber zusammen mit dem Betriebsrat eingeführt. Ohne auf die Zulässigkeit einer solchen betrieblichen Vereinbarung einzugehen, sah das Gericht im zu entscheidenden Fall die für eine einstweilige Verfügung vorausgesetzte Eilbedürftigkeit als nicht gegeben an. Offen blieb hier zunächst die Zulässigkeit des Vorhabens insgesamt.

2. ARBEITSRECHTLICHE BEURTEILUNG
Dem Arbeitgeber steht gem. § 106 S. 2 GewO ein Weisungsrecht nach billigem Ermessen in Bezug auf die Ordnung im Betrieb zu, soweit sie nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften näher geregelt ist.
Hinsichtlich der Billigkeit einer solchen Weisung kommt es – wenn keine der besagten Regelungen entgegenstehen – dabei auf eine Abwägung der Interessen im Einzelfall an.

Hierbei stehen sich die Interessen des einzelnen Mitarbeiters auf körperliche Unversehrtheit, Achtung seines Persönlichkeitsrechts, sein Recht auf informationelle Selbstbestimmung und seiner Intimsphäre und die des des Arbeitgebers auf wirtschaftliche Betätigung sowie seine Schutz- und Fürsorgepflichten gegenüber allen anderen Mitarbeitern gegenüber.

Zumindest für den Fall, dass eine Tätigkeit zwingend in den betrieblichen Räumen des Arbeitgebers notwendig ist (z.B. Produktionsanlagen, Logistik-Abteilungen, Rechenzentren, etc.) und somit eine Arbeit aus dem Homeoffice von vornherein ausscheidet, halten wir auch eine generelle, verpflichtende Einführung von Coronaschnelltests für arbeitsrechtlich zulässig. So spricht für ein überwiegendes Arbeitsgeberinteresse [...]

Continue Reading



mehr lesen

Fürsorgepflicht vs. Datenschutz. Recht oder Pflicht zur Offenlegung der Identität infizierter Mitarbeiter?

von | Feb 4, 2021 | , ,

RECHT ODER PFLICHT ZUR OFFENLEGUNG DER IDENTITÄT INFIZIERTER MITARBEITER?

Immer wieder seit Ausbruch der Pandemie stehen Arbeitgeber vor der Frage, ob, in welcher Weise und gegenüber wem sie die Identität eines infizierten oder der Infektion verdächtigen Mitarbeiters offenlegen dürfen. Die Kollision der Fürsorgepflicht gegenüber der Belegschaft mit der Pflicht zur Wahrung des Persönlichkeitsrechts und des Schutzes der Daten des Betroffenen lässt sich bei verhältnismäßigem Vorgehen des Arbeitgebers im Sinne der Fürsorgepflicht und damit des Infektionsschutzes lösen.

Problem
Viele Personalverantwortliche, Betriebs- und Werksleiter kennen und fürchten die Situation seit März vergangenen Jahres: Ein Mitarbeiter, der in den Tagen zuvor im Betrieb tätig war, meldet sich arbeitsunfähig, weil er entweder positiv auf Corona getestet wurde oder der konkrete Verdacht einer außerbetrieblichen Ansteckung besteht. Der Empfänger der schlechten Nachricht muss nun unter Einbindung von Krisenstab, Betriebsarzt und ggf. dem Gesundheitsamt entscheiden, wie er seine übrigen Beschäftigten schnell und wirkungsvoll vor Ansteckung schützen kann, ohne gleich den Namen des Betroffenen ans (virtuelle) schwarze Brett zu hängen.

Abwägung und Lösung
Bei der Information über eine (mögliche) Infektion handelt es sich um ein Gesundheitsdatum. Für diese Kategorie personenbezogener Daten gelten besonders strenge Vorschriften. Während nach den Art. 5 und 6 der DS-GVO bereits hohe Hürden für die rechtmäßige Verarbeitung aller personenbezogenen Daten bestehen, ist nach Art. 9 Abs. 1 DS-GVO die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Zu diesen Kategorien zählen neben Daten etwa über die rassische und ethnische Herkunft oder politische Meinungen auch die Gesundheitsdaten. Ausnahmen von der Untersagung sind im zweiten Absatz des Art. 9 DS-GVO geregelt. Insbesondere zwei davon können dem Arbeitgeber bei der Lösung des beschriebenen Problems helfen: (i) Die betroffene Person willigt ausdrücklich in die Offenlegung ihrer (möglichen) Infektion ein. Nicht nur wegen des besonderen Erfordernisses der Ausdrücklichkeit ist die Einwilligungslösung wie in vielen Fällen auch hier riskant. Die Einwilligung muss freiwillig erfolgen, was im Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer per se zweifelhaft ist. Zudem muss der Zweck der Verarbeitung des Gesundheitsdatums konkret festgelegt werden. Abgesehen von diesen rechtlichen Problemen scheitert der Weg über die Einwilligung gerade bei schweren Verläufen mit womöglich stationärer Behandlung häufig bereits an den tatsächlichen Gegebenheiten. (ii) Praktisch relevanter ist daher die Ausnahme vom Verarbeitungsverbot nach Art. 9 Abs. 2 b) DS-GVO, wenn die Verabeitung der Gesundheitsdaten erforderlich ist, damit der Arbeitgeber die ihm aus dem Arbeitsrecht obliegenden Pflichten erfüllen kann. Die u.a. im SARS-CoV-2-Arbeitsschutzstandard kodifizierte Fürsorgepflicht des Arbeitgebers auferlegt ihm den Schutz seiner Beschäftigten vor Ansteckung mit dem Coronavirus aus Anlass ihrer Tätigkeit für den Arbeitgeber. Mögliche betriebliche Kontaktpersonen des Infizierten benötigen die Information über die Gefahr, um sich und ihre Angehörigen soweit wie möglich zu schützen. Alle übrigen Mitarbeiter sind darauf angewiesen, dass die Kontaktpersonen schnell identifiziert und isoliert werden, was regelmäßig nur über die allgemeine Kenntnis von der Infektion eines bestimmten Kollegen möglich ist, weil der Arbeitgeber nahezu niemals alle betrieblichen Kontaktpersonen der letzten Tage selbst ermitteln kann.

Im Regelfall dürfte der Arbeitgeber daher sowohl datenschutzrechtlich berechtigt als auch arbeitsrechtlich verpflichtet sein, über den Umstand einer (möglichen) Infektion zu informieren. Dies [...]

Continue Reading



mehr lesen

FOLGE UNS

Jetzt anmelden

THEMENBEREICHE

ARCHIV