HR NEWS
Immer UpToDate im Arbeitsrecht
HR NEWS
HR NEWS
Immer UpToDate im Arbeitsrecht
compliance
Subscribe Abonnieren Sie die Beiträge von compliance

Betriebsvereinbarungen als Rechtsgrundlage für nicht erforderliche Verarbeitungen von Beschäftigtendaten

von | Apr 23, 2021 | , , , ,

Das Landesarbeitsgericht Baden-Württemberg hat sich mit Urteil vom 25. Februar 2020 (Az. 17 Sa 37/20) u.a. zu Betriebsvereinbarungen als Erlaubnistatbestand für nicht erforderliche Verarbeitungen personenbezogener Daten geäußert und die ausgeprägten Gestaltungsmöglichkeiten der Betriebsparteien im Bereich des Datenschutzrechts verdeutlicht.

Sachverhalt
Gegenstand des Urteils war ein Streit zwischen einem Beschäftigten und dessen Arbeitgeber über die Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten (Beschäftigtendaten). Der Arbeitgeber hatte zuvor mit den Planungen zur Einführung eines cloudbasierten Personalinformationsmanagementsystems (PIMS) begonnen. Zu Erprobungszwecken wurden in diesem Zusammenhang nicht nur fiktive Testdaten an die US-amerikanische Konzernmutter übermittelt und in das cloudbasierte PIMS eingespeist, sondern auch personenbezogene Echtdaten. Zwar gab es zwischen Betriebsrat und Arbeitgeber eine Betriebsvereinbarung über die Einführung des PIMS, in der in einem Katalog festgelegt worden war, welche Beschäftigtendaten in das cloudbasierte System übertragen werden dürfen. Der Arbeitgeber übermittelte jedoch über die Festlegungen hinaus noch weitere Beschäftigtendaten an die Konzernmutter, die diese Daten im PIMS verarbeitete. Diese Verarbeitung dieser weiteren personenbezogenen Daten war nach Ansicht des Beschäftigten rechtswidrig, weil sie nicht durch die Betriebsvereinbarung gedeckt war. Der Beschäftigte forderte in diesem Zusammenhang immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen einer rechtswidrigen Verarbeitung seiner Daten.

Entscheidung des Gerichts
Das Gericht stellt zunächst fest, dass die Verarbeitung der personenbezogenen Daten des Beschäftigten, die nicht zu den Katalogdaten der Betriebsvereinbarung gehören, weder auf § 26 Abs. 4 BDSG i.V.m. der Betriebsvereinbarung noch auf § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 DSGVO gestützt werden kann.

Die Zulässigkeit der Verarbeitung von Echtdaten zu Testzwecken auf Grundlage des § 26 Abs. 1 S. 1 BDSG bzw. des Art. 6 Abs. 1 S. 1 lit. f DSGVO scheitert nach Ansicht des Gerichts jeweils an der fehlenden Erforderlichkeit der Verarbeitung.

Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Hier fehlt es nach Ansicht des Gerichts an der Erforderlichkeit der Verarbeitung i.S.d. § 26 Abs. 1 S. 1 BDSG, da der Arbeitgeber zur Durchführung der Arbeitsverhältnisse nicht darauf angewiesen gewesen sei, bereits vor Einführung des PIMS echte Beschäftigtendaten in der Cloud zu Testzwecken zu verarbeiten bzw. durch die Konzernmutter verarbeiten zu lassen.

Auch Art. 6 Abs. 1 S. 1 lit. f DSGVO (sog. berechtigtes Interesse) ist nach Ansicht des Gerichts keine geeignete Rechtsgrundlage. Im Zusammenhang mit diesem Erlaubnistatbestand betont das Gericht die notwendige Prüfung, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen die Erhebung erfolgte, vernünftigerweise damit rechnen musste, dass möglicherweise eine Verarbeitung für einen bestimmten Zweck erfolgen wird. Hier mussten die Beschäftigten nach Auffassung des Gerichts mit einer Verarbeitung ihrer personenbezogenen Daten zu bloßen Testzwecken – angesichts der parallel stattfindenden Datenverarbeitung im Live-System – nicht rechnen. Selbst wenn man [...]

Continue Reading



mehr lesen

Arbeits- und Datenschutzrecht im Home Office: Was ist zu beachten?

von und | Apr 15, 2021 | , , , ,

Nachdem die Covid-19-Pandemie seit etwa einem Jahr dazu führt, dass mehr und mehr Unternehmen den Arbeitsplatz ihrer Mitarbeiter ins Home Office verlagern bzw. Mobile Work einführen, schreiben mittlerweile auch die geltenden Corona-Arbeitsschutzverordnungen Arbeitgebern vor, ihren Mitarbeitern – soweit wie möglich – die Tätigkeit aus dem Homeoffice zu ermöglichen.

Gleichwohl besteht Unsicherheit darüber, welche Vorgaben aus arbeits- und datenschutzrechtlicher Sicherheit zu beachten sind. Wir zeigen Ihnen die wichtigsten Punkte auf, die aus unserer Sicht bei der Organisation von Home Office und Mobile Work zu beachten sind.

Arbeitszeit
In Bezug auf die Arbeitszeit gilt im Home Office nichts anderes als bei der Arbeitsleistung im Büro: Der Arbeitgeber ist weiterhin berechtigt, die zeitliche Lage der Arbeitszeit festzulegen (im Home Office sind dies typischerweise Kernzeiten, in denen der Arbeitnehmer erreichbar sein muss oder bestimmte Termine zu Teambesprechungen, aber auch die Anordnung von festen Arbeitszeiten ist möglich). Besondere Beachtung sollte der Arbeitgeber etwaig von den Arbeitnehmern geleisteten Überstunden/Mehrarbeit schenken – diese braucht er sich auch bei Arbeitsleistung im Home Office nicht „aufdrängen“ zu lassen. Diesbezüglich empfiehlt es sich, gerade gegenüber Arbeitnehmern im Home Office genau festzulegen, was die Voraussetzungen für ggf. zuschlagspflichtige Mehrarbeit sind: allen voran die ausdrückliche Aufforderung oder Genehmigung von Überstunden im Voraus durch den Vorgesetzten.

Auch die Vorgaben des Arbeitszeitgesetzes gelten im Home Office uneingeschränkt: z.B. das Tätigkeitsverbot an Sonn- und Feiertagen, die mindestens 11-stündige Ruhezeit zwischen zwei Arbeitstagen sowie die 8-stündige (im Ausnahmefall auch 10-stündige) tägliche Höchstarbeitszeit.

Arbeitgebern empfehlen wir, im Hinblick auf die eingeschränkten Kontrollmöglichkeiten im Home Office, die Mitarbeiter eingehend zu den gesetzlichen und betrieblichen Anforderungen zu schulen und sie zur eigenverantwortlichen Einhaltung zu verpflichten.

Arbeitsmittel und Aufwendungsersatz
Der Arbeitnehmer hat ein Recht darauf, dass der Arbeitgeber ihm einen funktionsfähigen Arbeitsplatz zur Verfügung stellt. So wird der Arbeitgeber dem im Home Office befindlichen Arbeitnehmer regelmäßig die hierfür nötigen Arbeitsmittel (PC, Drucker, Telefon) zur Verfügung stellen. Dies ist auch aus Gründen des Daten- und Geheimnisschutzes vorzugswürdig, da nur bei den unternehmenseigenen Geräten Herausgabeansprüche bestehen und die Privatnutzung untersagt werden kann.

Schafft der Arbeitnehmer sich Arbeitsmittel selbst auf eigene Kosten an, hat er ggf. einen Erstattungsanspruch nach § 670 BGB gegen den Arbeitgeber. Grundsätzliche Voraussetzung hierfür ist, dass die Anschaffung im überwiegenden Interesse des Arbeitsgebers liegt. Gleiches gilt grundsätzlich auch für die im Home Office anfallenden „Nebenkosten“ wie Strom, Internet- und Telefonkosten. Um hier eine aufwendige Berechnung von Einzelposten zu vermeiden, empfiehlt sich – wenn überhaupt – die Vereinbarung eines monatlichen Pauschalbetrags. Da § 670 BGB abdingbar ist, ist eine solche Erstattung – insbesondere, wenn das Home Office dem Wunsch des Arbeitnehmers entspricht – aber keineswegs zwingend.

Arbeitssicherheit und Arbeitsschutz
Auch die gesetzlichen Arbeitsschutzbestimmungen des Arbeitsschutzgesetzes gelten grundsätzlich im Home Office. Vor besondere Schwierigkeiten stellt den Arbeitgeber hier vor allem die Tatsache, dass er nur sehr begrenzte Einblicke und in der Regel kein Zutrittsrecht in das häusliche Arbeitszimmer seiner Arbeitnehmer hat. Das Gesetz legt den Arbeitnehmern insoweit eine Mitwirkungspflicht auf (§§ 15, 16 ArbSchG), die gerade im Home Office eine besondere Rolle spielen dürfte. Handelt es sich um [...]

Continue Reading



mehr lesen

Neues zum Whistleblowing – Meinungsfreiheit und Staatsbürgerpflicht vs. Loyalität im Arbeitsverhältnis

von und | Feb 18, 2021 | , ,

Zumeist sind es Arbeitnehmer, die Missstände oder Straftaten melden, welche ihnen im Zusammenhang mit ihrem Arbeitsverhältnis bekannt geworden sind. Mangels ausdrücklicher gesetzlicher Regelung besteht jedoch für Arbeitnehmer eine große Unsicherheit, unter welchen Voraussetzungen sie insbesondere extern gegenüber Behörden Hinweise geben dürfen, ohne Gefahr zu laufen, durch den Arbeitgeber wirksam gekündigt zu werden. Genauso kann der Arbeitgeber nur schwerlich abschätzen, wann er zur Kündigung des Arbeitsverhältnisses berechtigt ist. Abhilfe soll künftig das Hinweisgeberschutzgesetz („HinSchG“) schaffen, dass die EU-Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („Whistleblower-Richtlinie“) noch im Laufe dieses Jahres umsetzen soll. Ganz aktuell sorgt nun ein Urteil des Europäischen Gerichtshofs für Menschenrechte („EGMR“) für Aufsehen, weil es dem hinweisgebenden Arbeitnehmer Prüfungspflichten auferlegt, welche der Referentenentwurf des HinSchG und die Whistleblower-Richtlinie gerade nicht vorsehen.

Bisherige Grundsätze des EGMR zum Whistleblowing
Der EGMR prüft regelmäßig, ob die infolge des Whistleblowings des Arbeitnehmers ausgesprochene Kündigung durch den Arbeitgeber und die kündigungsstattgebenden Urteile der nationalen Gerichte den Arbeitnehmer in seinem Recht auf freie Meinungsäußerung verletzen. Dabei stellt sich der EGMR insbesondere folgende Prüfungs- und Abwägungsfragen:

  • Besteht ein öffentliches Interesse an der Information?
  • Hat der Arbeitnehmer die Information sorgfältig daraufhin geprüft, ob sie zuverlässig ist?
  • Überwiegt das Interesse gegenüber dem möglichen Schaden für den Arbeitgeber?
  • Welche Motivation treibt den Arbeitnehmer? Handelt er im guten Glauben oder um dem Arbeitgeber zu schaden?
  • War es dem Arbeitnehmer zumutbar, interne Meldekanäle zu nutzen?

EGMR-Urteil vom 16. Februar 2021
In dem Urteil des EGMR vom 16. Februar 2021 ging es um einen deutschen Arzt, der in einem Krankenhaus in Liechtenstein tätig gewesen war. Bei der Durchsicht von elektronischen Patientenakten war ihm aufgefallen, dass mehrere Patienten direkt nach einer Behandlung durch einen Kollegen mit Morphin gestorben waren. Aufgrund weiterer Notizen in der elektronischen Akte ging der Arzt davon aus, dass der Kollege aktive Sterbehilfe geleistet hatte. Diesen Verdacht brachte der Arzt bei der Staatsanwaltschaft zur Anzeige, die daraufhin die Ermittlungen aufnahm. Der Arzt ergänzte seinen bisherigen Verdacht im Laufe der Ermittlungen noch um weitere sechs Fälle. Nach Prüfung der wesentlich umfangreicheren Papierakten stellte sich jedoch heraus, dass die Behandlung mit Morphin angemessen und der Verdacht deshalb unbegründet war. Das Krankenhaus kündigte dem Arzt daraufhin fristlos. Die Klage des Arztes gegen die Kündigung blieb in allen Instanzen – einschließlich derjenigen des Lichtensteiner Verfassungsgerichts – erfolglos.

Dem Verfassungsgericht im Ergebnis folgend erkannte der EGMR in der Kündigung und den Arbeitsgerichtsentscheidungen keine Verletzung des Art. 10 EMRK. Maßgeblich sei nach dem EGMR, dass der Arzt nicht alle ihm zumutbaren und möglichen Versuche unternommen habe, zu prüfen, ob die Verdachtsmomente genau und zuverlässig sind. Er habe als erfahrener und schon länger im besagten Krankenhaus beschäftigter Arzt gewusst, dass die elektronischen Akten kein vollständiges Bild vermittelten. Deshab hätte er sich zusätzlich die Papierakten beschaffen müssen. Ihm wäre dann die Haltlosigkeit seiner Vorwürfe aufgefallen.

Widerspruch zu HinSchG und Whistleblower-Richtlinie?
Ausweislich des Referentenentwurfs des HinSchG soll eine Voraussetzung für den Schutz von Whistleblowern sein, dass die Informationen zutreffend sind, oder zum Zeitpunkt der Meldung oder Offenlegung hinreichender Grund [...]

Continue Reading



mehr lesen

FOLGE UNS

Jetzt anmelden

THEMENBEREICHE

ARCHIV