DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (12) : aus der RDV 2/2014, Seite 88 bis 90

Zusammengestellt und kommentiert von Prof. Peter Gola, Königswinter*

Archiv RDV
Lesezeit 8 Min.

Beschäftigtendatenschutz

Alkoholtest am Arbeitsplatz

Ein Unternehmen mag Anlass haben, durch ein Alkoholverbot jeglichem Alkoholmissbrauch am Arbeitsplatz vorzubeugen, wobei dem Arbeitnehmer auch ohne ausdrückliches Verbot klar sein muss, dass jeder Alkoholgenuss, der seine Arbeitsfähigkeit beeinträchtigt, pflichtwidrig ist. Insofern kann auch ein Interesse des Arbeitgebers nicht verneint werden, Verstöße gegen das Alkoholverbot beweiskräftig festzustellen. Zutreffend weist der LfD Baden Württemberg (31. TB, 2012/2013, Ziff. 9.1) unter Bezugnahme auf die Rechtsprechung des BAG darauf hin, dass Arbeitnehmer wegen ihres verfassungsmäßigen garantierten Grundrechts auf körperliche Integrität vom Arbeitgeber weder zu einer Untersuchung ihres Blutalkoholwertes noch zur Mitwirkung an einer Atemalkoholanalyse gezwungen werden können. Zulässig wäre der Test nur, falls der Betroffene einwilligt (BAG vom 26.01.1995 – 2 AZR 649/94 –), was er freiwillig wohl nur tun würde, falls er annimmt, damit die Unbegründetheit des Verdachts beweisen zu können.

Auch bei Abgabe einer unbefristeten, bindenden und damit nicht widerrufbaren arbeitsvertraglichen Zustimmung, im konkreten Verdachtsfall an einer Atemalkoholanalyse teilzunehmen, kann die Freiwilligkeit der Einwilligung des Mitarbeiters zu dem Zeitpunkt, an dem die Untersuchung tatsächlich stattfinden soll, in Frage stehen. Um dem Arbeitnehmer Gelegenheit zu geben, den Verdacht einer Alkoholisierung auszuräumen, sollte der Arbeitgeber die Möglichkeit der freiwilligen Mitwirkung an objektiven Tests (z.B. mittels „Alkomat“ oder einer von einem Arzt entnommenen Blutprobe) anbieten. Verpflichtet ist er hierzu, wenn der Arbeitnehmer den Test verlangt (BAG vom 16.09.1999 – 2 AZR 123/99 –)

Urlaubsanträge nur mit Begründung?

Das BUrlG trifft keine Regelung, dass ein Arbeitnehmer bei der Beantragung von Urlaub auch Angaben zu den Gründen oder zu der Gestaltung des Urlaubs zu machen habe. Will der Arbeitgeber gleichwohl solchen Angaben erheben, so hängt es von den konkreten Gegebenheiten ab, ob diese zusätzliche Information für die Durchführung des Arbeitsverhältnisses objektiv erforderlich ist (§ 32 Abs. 1 S. 1 BDSG).

Dies kann sich nach dem Sächsischen Landesbeauftragten (6. TB Datenschutz im nicht öffentl. Bereich, 2011/3, 2013, Ziff. 8.3.1) aus mehren Gründen ergeben. Und zwar u.a., wenn mehrere Urlaubsanträge für den gleichen Zeitraum vorliegen, aber aus betrieblichen Gründen nicht alle genehmigt werden können. Auch wenn der Arbeitnehmer von der gesetzlichen Regel, den Urlaub in der Weise zeitlich zusammenhängend zu nehmen (§ 7 Abs. 2 BUrlG), damit der mit dem Urlaub verfolgte Erholungszweck gewährleistet ist, abweicht und wiederholt Kurzurlaube beantragt, kann ein Grund bestehen, Angaben zur Verwendung des Urlaubs zu verlangen. Andererseits bedeutet das, dass der der Arbeitgeber nicht befugt wäre, z.B. pauschal in Urlaubsantragsformularen die Urlaubsverwendung abzufragen. Dem stände das Recht des Arbeitnehmers, seine Freizeit frei gestalten zu dürfen, sowie sein Recht auf Privatsphäre bzw. informationelle Selbstbestimmung entgegen.

Fingerabdruck zur Identifizierung bei Gleitzeiterfassung

Bedenken meldet der Sächsische LfD (6. TB für den nicht öffentl. Bereich, 2011/3, 2013 Ziff. 8.3.2) gegenüber dem zunehmenden Einsatz von fingerabdruckbasierten Zeiterfassungssystemen an.

Angesichts der besonderen Sensibilität solcher körperbezogenen Daten sei eine Nutzung für Zwecke der Zutrittskontrolle aus Verhältnismäßigkeitsgründen auf besondere Ausnahmefälle zu beschränken. Dazu gehörten in erster Linie Anwendungsfälle mit besonderen Sicherheitsanforderungen. Hier sollten dann vorzugweise besonders datenschutzfreundliche Verfahren zum Einsatz kommen, bei denen etwa beim Arbeitgeber selbst keine Daten gespeichert werden, weil die Fingerabdrücke stattdessen ausschließlich auf einem im Besitz des Betroffenen befindlichen und unter seiner Kontrolle stehenden Chip gespeichert sind und die Authentifizierung durch Vergleich des tatsächlichen biometrischen Musters mit dem gespeicherten Muster direkt auf der Karte (Comparison on Card) erfolgt.

Die Erforderlichkeit biometrischer Systeme wird in jedem Falle zutreffend verneint bei dem bloßen Zweck der Zeiterfassung;, zumal dafür wesentlich weniger in das Persönlichkeitsrecht der Arbeitnehmer eingreifende Verfahren zur Verfügung stehen. Der LfD verweist auch auf Literaturstimmen, nach denen eine Erforderlichkeit dann nicht besteht, wenn von mehreren gleichermaßen wirksamen Maßnahmen die den Arbeitnehmer stärker belastende gewählt wird (vgl. Gola/ Schomerus, BDSG, 11 Aufl., Rdn. 12 zu § 32; Seifert in Simitis (Hrsg.), BDSG, 7 Aufl., Rdn. 97 zu § 32). Auch nach Däubler in Däubler/Klebe /Wedde/Weichert, BDSG, 3. Aufl. § 32 Rdn. 86) könne der Zweck „Erfassung der Arbeitszeit“ keinen so weitreichenden Eingriff gestatten.

Führerscheinprüfung durch externe Dienstleister

§ 21 Abs. 1 Nr. 2 StVG verpflichtet den Arbeitgeber, wenn Arbeitnehmer Firmenfahrzeuge nutzen dürfen bzw. müssen, sich der gültigen Fahrerlaubnis des Fahrers zu vergewissern. Erforderlich ist auch eine in Zeitabständen erfolgende Nachprüfung, für die – sofern kein besonderer Anlass vorliegt – nach dem datenschutzrechtlichen Erforderlichkeitsgrundsatz der Quartalszeitraum genügt. Der LfD Sachsen, (6. TB für den nichtöffentlichen Bereich, 2011/3, 2013, Ziff 8.3.3) hatte zu beurteilen, unter welchen Gegebenheiten der Arbeitgeber die Kontrolle einem externen Dienstleister übertragen könne. Die Kontrolle durch den Dienstleister erfolgte unter Einschaltung eines bundesweit tätigen Tankstellenunternehmens, das den mit einem Barcode versehenen Führerschein scannt und dem Dienstleister zuleitet. Die individuelle Aufforderung zur Führerscheinvorlage erfolgt über eine im System des Dienstleisters gespeicherte Rufnummer bzw. E-Mail-Adresse.

Dazu hält der LfD zunächst fest, dass insoweit das Verlangen nach einer privaten Rufnummer oder E-Mail-Adresse nicht gerechtfertigt sei. Die Kontrolle selbst ist aber im Rahmen der Durchführung des Beschäftigungsverhältnisses erforderlich bzw. geboten. Keine Bedenken bestehen, wenn die betriebliche Rufnummer und andere notwendige betriebsbezogene Daten im Rahmen eines Vertrages nach § 11 BDSG durch den Dienstleister verarbeitet werden und in den Vertrag auch der Kooperationspartner, der die Sichtprüfung vornimmt, wirksam einbezogen ist.

Arbeitgeberauskünfte und Referenzen

Keine neue Erkenntnis ist es, dass ein Arbeitgeber Auskünfte über einen Bewerber bei dessen früheren oder derzeitigen Arbeitgeber nur mit Zustimmung des Betroffenen einholen darf. Erstrecken dürfen sich die Auskünfte nur auf Angaben, die für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich sind. Gleiches gilt für die Befragung von Referenzpersonen, wobei in deren selbstverständlich freiwilligen Benennung durch den Bewerber eine konkludente Zustimmung in die Einholung entsprechender Auskünfte liegen kann (LfD Baden-Württemberg, 31. TB, 2012/2013, Ziff. 9.2). Die Auskunft macht nur Sinn, wenn sie die Angaben im Zeugnis des Bewerbers insbesondere um aktuelle Angaben ergänzt, die nach dem Zeugnisrecht nicht vermerkt werden dürfen.

Due-Diligence-Prüfung

Die Zulässigkeit der Übermittlung von Beschäftigtendaten an einen potentiellen Unternehmenskäufer beschäftigten die Aufsichtsbehörden immer wieder (vgl. Bericht 7, RDV 3/2013, S. 140). Datenschutzrechtliche Fragen tauchen nicht auf, wenn Angaben zu Geschlecht, Qualifikation, Bezahlung, Altersstruktur, Dauer der Betriebszugehörigkeit oder zum Krankenstand anonymisiert und aggregiert erfolgen. Anders ist es, wenn – was auch der Fall sein kann, wenn die Angaben pseudonymisiert erfolgen – Einzelpersonen, z.B. aus der Funktionsbezeichnung (Prokurist; Leiter Forschungsabteilung etc.), identifiziert werden können. Hier ist § 28 Abs. 1 S. 1 Nr. 2 bzw. Abs. 2 Nr. 2a BDSG als Rechtfertigungsnorm zu prüfen und zumindest bei für das Unternehmen wichtigen Personen zu bejahen. Einer Übermittlung besonderer Arten personenbezogener Daten, wie z.B. Angaben über Krankheitszeiten, würde jedoch durch die insoweit maßgebende Zulässigkeitsnorm des § 28 Abs. 6 Nr. 3 und Abs. 7 S. 1 BDSG nicht gerechtfertigt (LfD Sachsen, 6. TB Datenschutz im nicht öffentl. Bereich, 2011/3, 2013, 8.3.6.).

Eine Auskunft zu viel

Unbefugt erfolgte dagegen eine Auskunft, die ein Arbeitgeber einem besorgten Vater erteilte. Dieser wollte erfahren, warum der Arbeitgeber das Ausbildungsverhältnis der Tochter beendet habe. Der Arbeitgeber korrigierte – wohl zur Überraschung des Vaters – den Sachverhalt und teilte mit, dass die Kündigung von der Tochter selbst ausgesprochen worden sei (LfD SachsenAnhalt, 11. TB, 4, 2011/3, 2013, Ziff. 11.4), worüber sich die Tochter bei dem LfD beschwerte.

Der betriebliche Datenschutzbeauftragte

Der DSB geht als letzter

Im Falle der Insolvenz eines Unternehmens erlischt die Pflicht des Unternehmens zur Bestellung eines Datenschutzbeauftragten erst dann, wenn – nach Abschluss des Insolvenzverfahrens – der Betrieb eingestellt wird bzw. im Rahmen der Abwicklung des Unternehmens die Mitarbeiterzahl i.S.d. § 4f Abs. 1 BDSG unter die gesetzlich Bestellgrenze fällt (LfD Baden Württemberg, 31. TB, 2012/2013, Ziff. 10.1). Mit Wegfall der Bestellpflicht verliert der DSB sein Amt. Ein Widerruf der Bestellung erübrigt sich. Der Eintritt der Insolvenz ist jedoch kein wichtiger Grund, der zum Widerruf oder zur Kündigung berechtigt. Ggf. geht der DSB somit als letzter.

Auch die andere Seite kann es treffen

Geht ein externer betrieblicher Datenschutzbeauftragter in Konkurs, so muss nach Auffassung des LfD Sachsen (6. TB für den nicht-öffentl. Bereich, 2011/3, 2013, Ziff 8.13.4) der Insolvenzverwalter die Daten, die der Datenschutzbeauftragte in Wahrnehmung seiner Aufgabe erhalten hatte, aus der Insolvenzmasse aussondern (§§ 667, 1. Alt., 675 BGB i.V.m. § 47 InsO) und (nach Anbieten) auf Verlangen den Auftraggebern herausgeben. Keine Aussage trifft er dazu, ob mit der Eröffnung der Insolvenz die Bestellung als Datenschutzbeauftragter endet.

Unwirksame Bestellung eines Mitinhabers und Finanzleiters

Die gesetzlich geforderte Zuverlässigkeit des betrieblichen Datenschutzbeauftragten (§ 4f Abs. 2 S. 1 BDSG) ist in Frage gestellt, wenn der Finanzleiter eines Unternehmens, an dem er gleichzeitig als Mitgesellschafter beteiligt ist, zum Datenschutzbeauftragten bestellt wird. Es muss die nahe liegende Gefahr ausgeschlossen werden, dass von dem Betroffenen – auch im höchsteigenen Interesse – zu berücksichtigende Finanzinteressen des Unternehmens der Wahrnehmung der unabhängigen Rolle des DSB entgegenstehen (vgl. LfD Sachsen, 6. TB für den nicht öffentl. Bereich 2011/3/2013, Ziff. 8.13.3)

DSB bei Arztpraxen

Der LfD Baden-Württemberg (31. TB, 2012/2013, Ziff. 7.10) hält fest, dass in Arztpraxen die Bestellpflicht für einen DSB regelmäßig erst bei Überschreiten der in § 4 f Abs. 1 BDSG genannten Zahl der bei der Verarbeitung personenbezogener Daten Beschäftigten eintritt. Auch wenn es hier vornehmlich um die Verarbeitung von Patienten- und Gesundheitsdaten, also um besonders sensible Daten i.S.d. § 3 Abs. 9 BDSG, gehe, bestehe nicht die ansonsten eine Bestellpflicht auslösende Pflicht zur Vorabkontrolle nach § 4d Abs. 5 BDSG, da im Regelfall ein Behandlungsvertrag nach § 630a BGB vorliege, d.h. die Erhebung und Verarbeitung zur Durchführung eines Rechtsgeschäftes bzw. teilweise sogar auf Grund einer Einwilligung des Patienten erfolge. Somit obliegt in kleineren Praxen die Erfüllung der BDSG-Pflichten dem Praxisinhaber selbst (§ 4g Abs. 2a BDSG).

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.