Urteile zur Datenverarbeitung im Beschäftigungskontext

Die DS-GVO hat den Mitgliedsstaaten in Art. 88 DS-GVO die Möglichkeit eingeräumt, eigene Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis zu erlassen. Der deutsche Gesetzgeber hat diese Öffnung genutzt und Regelungen zum Beschäftigtendatenschutz in das Bundesdatenschutzgesetz (BDSG) aufgenommen. Bei der Prüfung der datenschutzrechtlichen Vorgaben müssen deshalb nicht nur die Voraussetzungen der DS-GVO, sondern auch § 26 BDSG beachtet werden. Zudem werden die Schutzinteressen von Beschäftigten in vielen Bereichen als sehr hoch angesehen, weshalb eine Reihe von Vorgängen wie die Rechte und Befugnisse des Betriebsrates, GPS-Tracking oder Zeiterfassung genau geprüft werden müssen. Die Frage der Zulässigkeit der Verarbeitung von Beschäftigtendaten musste bereits wiederholt vor Gericht geklärt werden:

Eine Kassiererin kann, wenn Sie Kenntnis von der Videoaufzeichnung im Kassenbereich hat, damit rechnen, dass auch ihre Tätigkeit miterfasst wird. Deshalb ist die Verarbeitung von offenen Videoaufzeichnungen hier zulässig. Wenn eine längere Aufbewahrung der Aufzeichnungen erforderlich ist, kann dies datenschutzrechtlich ebenfalls zulässig sein.

(Az.: 2 AZR 133/18)

Der Datenschutz steht dem Einsichtnahmerecht des Betriebsrats in personalisierte Gehaltslisten nicht entgegen.

Hierbei handelt es sich zwar um eine Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts (Art. 4 DS-GVO), jedoch erlaubt das Beschäftigtendatenschutzrecht eine solche Verarbeitung, wenn diese zur Ausübung der sich aus dem BetrVG ergebenden Rechte und Pflichten des Betriebsrats nötig ist (§ 26 Abs. 1 Satz 1 Alt. 4 BDSG). Daher ist die Weitergabe der Gehaltslisten datenschutzrechtlich auch zulässig.

(1 ABR 53/17)

Fallbeschreibung

Ein Mitarbeiter eines IT-Unternehmens hatte mit seinem Arbeitsvertrag eine Anlage erhalten, durch die festgelegt war, dass die vom Arbeitgeber gestellten Arbeitsmittel, wie z. B. der Laptop, nicht für private Zwecke genutzt werden dürfen. Zudem hat der Arbeitnehmer darüber sein Einverständnis erteilt, dass der Arbeitgeber die auf den Arbeitsmitteln befindlichen Daten zum Zwecke der Zuordnung zu geschäftlichen oder privaten Vorgängen überprüfen und auswerten darf. Dennoch hatte der Arbeitnehmer mit seinem dienstlichen Laptop rund ein Dutzend Mails an seinen Vater geschrieben, in denen es um die Anschaffung eines neuen privaten Kraftfahrzeuges ging. Zusätzlich hat er an manchen Tagen über 600 Websites zu privaten Zwecken aufgerufen, beispielsweise Facebook, Booking.com, Mailportale und diverse Internetseiten von Autohäusern sowie Gebrauchtwagenhändlern. In der Folge wurde er von seinem Arbeitgeber außerordentlich gekündigt und erhob daraufhin Kündigungsschutzklage beim zuständigen Arbeitsgericht (ArbG) Siegburg. Nachdem das Gericht die Klage abgewiesen hatte (ArbG Siegburg, Urteil v. 18.04.2019, Az.: 5 Ca 852/18), legte er Berufung vor dem Landesarbeitsgericht (LAG) Köln ein.

Entscheidung des LAG Köln

Das Landesarbeitsgericht bestätigte das Urteil des Arbeitsgerichts und damit die Rechtsmäßigkeit der außerordentlichen Kündigung. Bei der exzessiven Nutzung des Internets handelt es sich nach Ansicht des Gerichts unbestritten um Arbeitszeitbetrug, welcher wiederum als wichtiger Grund nach § 626 Abs. 1 Bürgerliches Gesetzbuch (BGB) gilt.

Auch die vom Kläger geltend gemachten „massiven Verstöße gegen den Datenschutz“ wies das Gericht ab. Dass der Arbeitgeber das Fehlverhalten des Arbeitnehmers vor Gericht durch Inhalte von privaten E-Mails, die auf dem dienstlichen Laptop geschrieben worden waren und das private Surfen im Internet durch den Browser-Caches belegen konnte, ist im Beschäftigungsverhältnis durch § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) legitimiert. Denn personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist. Da der Arbeitgeber diese Daten im Kündigungsschutzprozess genutzt hatte, um den Arbeitszeitbetrug zu beweisen, diente dies der Beendigung des Beschäftigungsverhältnisses und war damit rechtmäßig.

(LAG Köln, Urteil v. 07.02.2020, Az.: 4 Sa 329/19)

Fallbeschreibung

Der Arbeitgeber der späteren Klägerin ließ während ihrer Beschäftigungszeit ein 36-sekündiges Werbevideo für seinen mobilen Pflegedienst drehen, das später auf YouTube veröffentlicht wurde. In dem Video ist die Frau zunächst unscharf und ab Sekunde 0:11 in Ganzkörperaufnahme zu sehen, wie sie in ein Auto einsteigt, auf dem „Wir suchen Pflegekräfte“ zu lesen ist und ein Audio-Overlay sagt „Steige jetzt mit ein!“. Später ist sie deutlich und in Portraitgröße im Auto sitzend zu erkennen, während das Audio-Overlay „zwischenmenschliche Beziehungen“ anpreist. Allerdings hatte sich die Klägerin nur mündlich zum Videodreh bereit erklärt. Der Arbeitgeber hatte es unterlassen, die nach Art. 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) notwendige schriftliche Einwilligung einzuholen. Außerdem klärte er die Frau weder über den konkreten Verarbeitungszweck noch über das ihr zustehende Widerrufsrecht auf. Nachdem die Frau das Arbeitsverhältnis gekündigt hatte, erhob die Frau Klage und verlangte 6000 € Schadensersatz in Form von Schmerzensgeld gem. Art. 82 Datenschutzgrundverordnung (DS-GVO).

Entscheidung des Landesarbeitsgerichts (LAG) Schleswig-Holstein

Das Landesarbeitsgericht Schleswig-Holstein bestätigte in seiner Entscheidung das vorangegangene Urteil des Arbeitsgerichts Kiel – der Klägerin steht bereits auf Grund des Verstoßes gegen DSGVO-Vorschriften ein Schmerzensgeld in Höhe von 2000 € zu. Dass die Frau darüber hinaus einen weiteren Schaden erlitten hat, musste sie in diesem Fall nicht beweisen, da die sogenannte Erheblichkeitsschwelle bereits auf Grund des Verstoßes gegen elementare Datenschutzvorschriften überschritten war. Das Gericht hat in seiner Urteilsbegründung folgendes ausgeführt: „Verstöße müssen nämlich effektiv sanktioniert werden. Der Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile).“ Darüber hinaus waren beide Gerichte der Ansicht, dass die Beeinträchtigung des Rechts am eigenen Bild im vorliegenden Fall nicht schwerwiegend war, da die Frau von den Videoaufnahmen gewusst und sogar freiwillig mitgewirkt hat. Die Klägerin hatte sich mit den Aufnahmen sogar einverstanden erklärt, allerdings nicht in der notwendigen schriftlichen Form und ohne vorherige Unterrichtung über den Verarbeitungszweck und das Widerrufsrecht. Bei Bemessung der Höhe des Schmerzensgeldes hat das Gericht berücksichtigt, dass der ehemalige Arbeitgeber das Video umgehend aus dem Netz genommen hat, nachdem die Klägerin ihn aufgefordert hatte, die Nutzung des Videos zu unterlassen.

(LAG Schleswig-Holstein, Beschluss vom 01.06.2022, Az. 6 Ta 49/22)

Fallbeschreibung

Einem Produktionsfacharbeiter in einem Großbetrieb mit Betriebsrat wurde ordentlich krankheitsbedingt gekündigt, nachdem er seit 2016 über mehrere Jahre hinweg rund 30 bis 50 Arbeitstage pro Jahr krankheitsbedingt gefehlt und auf die Einladung zum BEM-Verfahren (Verfahren zum betrieblichen Eingliederungsmanagement) wiederholt nicht reagiert hatte. Daraufhin reichte der Mitarbeiter Kündigungsschutzklage ein. Das Verfahren landete nach dem Urteil des Arbeitsgerichts (ArbG) Reutlingen zu Gunsten des Klägers (ArbG Reutlingen, Urteil v. 19.11.2020, Az.: 1 Ca 108/20), gegen das Berufung eingelegt wurde, vor dem Landesarbeitsgericht (LAG) Baden-Württemberg.

Entscheidung des LAG Baden-Württemberg

Bei der Beurteilung, ob eine krankheitsbedingte Kündigung „sozial gerechtfertigt“ und zulässig ist, wird bei Arbeitsgerichten einheitlich ein 3-Stufen-Modell angewendet. Dieses beinhaltet eine negative Gesundheitsprognose (Stufe 1), eine negative Belastungsprognose (Stufe 2) und eine Interessenabwägung (Stufe 3). Die ersten beiden Stufen sind nach Ansicht des LAG Baden-Württembergs erfüllt. Die Erkrankungen hätten zum Teil bereits chronischen Charakter, weshalb auch künftig mit Fehlzeiten zu rechnen sei. Während der Fehlzeit musste und muss der Arbeitgeber weiterhin Entgelt zahlen, ohne dass der Mitarbeiter seine Arbeitsleistung erbracht hat, was eine wirtschaftliche Belastung darstellt. Aufgrund der zu erwartenden Fehlzeiten wird diese Belastung auch weiter bestehen.

Im Rahmen der Interessenabwägung auf Stufe 3 kam das Gericht allerdings zu dem Entschluss, dass die Datenschutzvorgaben nicht ausreichend beachtet wurden und die Kündigung damit nicht „sozial gerechtfertigt“ war. Der Arbeitgeber war in diesem Fall nach § 167 Abs. 2 SGB IX verpflichtet, den Arbeitnehmer zu einem BEM-Verfahren einzuladen und ist dieser Pflicht auch nachgekommen. Beim Einwilligungsformular für die Teilnahme am BEM-Verfahren und der damit verbundenen Verarbeitung von Gesundheitsdaten des Mitarbeiters bestanden allerdings Unklarheiten. Zwar gab es eine Betriebsvereinbarung zum BEM, die unter anderem auch die Beteiligten auflistet. Auf dem Einwilligungsformular wurde allerdings nicht differenziert, ob die Standortleitung in ihrer Funktion als Mitglied des in der Betriebsvereinbarung genannten „Betrieblichen Eingliederungsteams“ oder als Mitglied des „Integrationsteams“ Informationen erhalten darf oder davon unabhängig. Zudem wurde nicht hervorgehoben, dass das „Integrationsteam“ gesondert hinzugezogen werden kann und dies nur mit Einverständnis des Beschäftigten geschieht. Aus diesen Gründen war für den Arbeitnehmer nicht absehbar, welche Folgen seine Einwilligung auslöst und er war damit auch nicht verpflichtet, auf die Einladung zum BEM-Verfahren zu reagieren. Das BEM-Verfahren wurde unzureichend eingeleitet.

(LAG Baden-Württemberg, Urteil v. 20.10.2021, Az.: 4 Sa 70/20)

Der Betriebsrat ist kein Dritter i. S. d. DS-GVO, sondern Teil der verantwortlichen Stelle, dem Unternehmen. Er ist zur Erfüllung seiner Pflichten dazu berechtigt, auch nichtanonymisierte Bruttolohn- und Gehaltslisten einzusehen.

(Az.: 12 TaBV 23/18)

Das Verwaltungsgericht Wiesbaden hat in einem aktuellen Urteil klargestellt, dass auch Gesundheitsdaten in einem arbeitsgerichtlichen Verfahren von der Gegenseite datenschutzrechtlich rechtmäßig vorgetragen werden können.

Ergebnislose Gespräche zur betrieblichen Wiedereingliederung

Ein angestellter Volljurist einer GmbH war aufgrund längerer Krankheit arbeitsunfähig. Vor Wiederaufnahme seiner Tätigkeit bat er seine Arbeitgeberin um ein Gespräch zum Betrieblichen Eingliederungsmanagement nach § 167 SGB IX (BEM). Sinn und Zweck eines BEM ist, dass dieses Gespräch Arbeitnehmer insbesondere nach längerer Krankheit die Rückkehr in die Arbeit erleichtern und erneuter Krankheit vorbeugen soll. Der betroffene Jurist schlug mehrere Teilnehmer am Verfahren vor, darunter ein Mitglied des Betriebsrats und der Schwerbehindertenvertretung, seinen Vorgesetzten und seinen Bruder – allerdings verlief das Gespräch ohne greifbares Ergebnis.

Klage auf behindertengerechte Beschäftigung

Daraufhin erhob der Mann Klage vor dem Arbeitsgericht Hannover. Er verlangte von seiner Arbeitgeberin eine behindertengerechte Beschäftigung und Schadensersatz. In dem Verfahren wurde der Inhalt des BEM-Gesprächs von der Anwältin der GmbH vorgetragen. Das Gericht wies die Klage schließlich ab, da der Kläger wegen des fehlenden Präventionsverfahren nach § 167 SGB IX keinen Anspruch auf schwerbehindertengerechte Beschäftigung habe.

Beschwerde bei der Aufsichtsbehörde

Im Anschluss daran wandte sich der Mann an die Landesbeauftragte für den Datenschutz Niedersachsen (LfD). Er beanstandete, dass die gegnerische Anwältin rechtswidrig Zugang zu seiner BEM-Akte erhalten und vor Gericht daraus wörtlich zitiert habe. Das LfD forderte die Rechtsanwältin zur Stellungnahme auf. Diese erklärte, dass der Jurist selbst der Meinung gewesen sei, dass es kein BEM-Verfahren war, da der Betriebsarzt nicht dabei war. Außerdem habe sie lediglich eine mündliche Zusammenfassung des erfolglosen BEM-Gesprächs von der Arbeitgeberin erhalten. Sie habe keine Informationen über Erkrankungen des Klägers erhalten. Nach Prüfung des Falles erklärte die LfD, dass es bezüglich der Datenverarbeitung durch die Anwältin keinen Anlass für Beanstandungen gebe.

Klage gegen die LfD

Mit der nun erhobenen Klage vor dem Verwaltungsgericht (VG) Wiesbaden sollte die LfD verurteilt werden, gegen die Rechtsanwältin vorzugehen. Allerdings wies das VG die Klage ab. Das Gericht folgte der Argumentation der LfD und stellte fest, dass die Anwältin nicht gegen die DSGVO und deren Grundsätze verstoßen hätte.

Im Hinblick auf die Datenverarbeitung ist die Rechtsanwältin Verantwortliche im Sinne der DS-GVO. Dies wurde mit dem Status eines unabhängigen Organs der Rechtspflege begründet. Rechtsgrundlage für die Datenverarbeitung durch die Rechtsanwältin ist Art. 6 Abs. 1 lit. f) i. V. m. Art. 9 DS-GVO. Die Anwältin hat an der Verarbeitung der Daten ein berechtigtes Interesse aufgrund der vertraglichen Verpflichtungen gegenüber der GmbH und auch zur Wahrung der berechtigten Interessen der Arbeitgeberin. Zusätzlich war die Datenverarbeitung nach Art. 9 Abs. 2 lit. f) DS-GVO rechtmäßig, da im vorliegenden Fall eine Ausnahmeregelung vorliegt, die eine Verarbeitung u. a. zur Verteidigung von Rechtsansprüchen erlaubt. Da der Kläger im arbeitsgerichtlichen Verfahren selbst ärztliche Atteste und E-Mails mit Verweis auf das BEM-Verfahren vorgelegt hat, muss die Gegenseite diese im Prozessvortrag der Rechtsanwältin ebenfalls verwenden dürfen.

(VG Wiesbaden, Urteil vom 19.01.2022 – 6 K 361/21.W)

Die niedersächsische Datenschutzaufsichtsbehörde hatte per Bescheid entschieden, dass die GPS-Überwachung von Firmenfahrzeugen einer Reinigungsfirma eine nicht erforderliche Verarbeitung von Beschäftigtendaten darstelle.
Dagegen klagte die Reinigungsfirma. Die Nutzung der Firmenfahrzeuge für private Zwecke wurde den Mitarbeitern zwar nicht ausdrücklich gestattet, jedoch von der Reinigungsfirma geduldet. Eine Deaktivierung des GPS-Systems war nur mit sehr hohem Aufwand möglich. Die vorgebrachten Gründe der Reinigungsfirma, beeindruckten das Gericht wenig. Letztlich scheiterte die Klage der Reinigungsfirma daran, dass diese bei der Einholung der Einwilligungserklärungen der Beschäftigten vergessen hatte, diese auf deren Widerrufsrecht hinzuweisen. Der Bescheid der Aufsichtsbehörde hatte somit weiterhin Bestand.

(Az.: 4 A 12/19)

Biometrische Daten dürfen von Arbeitgebern nur dann verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der potenzielle Missbrauch von Zeiterfassungssystemen ist keine ausreichende Begründung, um eine Zeiterfassung mittels Fingerabdrucks auf die Notwendigkeit zur Durchführung des Arbeitsverhältnisses zu stützen. Als Rechtsgrundlage kommt nur die Einwilligung der Mitarbeiter in Betracht.

(Az.: 29 Ca 5451/19)