DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (35): Aspekte der Vertraulichkeit von Beschäftigtendaten : aus der RDV 3/2018, Seite 154 bis 157

Ausgewählt und kommentiert von Prof. Peter Gola*

Lesezeit 11 Min.

I. Interne Offenlegung von Personalaktendaten durch die Personalverwaltung

Der aktuelle Tätigkeitsbericht der Berliner Landesdatenschutzbeauftragte (Jahresbericht 2017, Kap. 8.3) weist auf Grund eines konkreten Anlasses darauf hin, dass die Korrespondenz und der Inhalt von Gesprächen zwischen Beschäftigten und Personalverantwortlichen auch ohne einen ausdrücklichen Hinweis auf die Vertraulichkeit der dort anfallenden Personaldaten grundsätzlich auch behördenintern vertraulich zu behandeln ist. Dies gilt insbesondere, wenn es sich um sog. „Personalaktendaten“ handelt. Diese unterliegen aufgrund ihrer Schutzwürdigkeit einer besonderen Geheimhaltungspflicht und dürfen nur einem eng begrenzten Personenkreis und auch nur im unbedingt erforderlichen Umfang zur Kenntnis gegeben werden. Die Erforderlichkeit setzt voraus, dass die Personalverwaltung im konkreten Einzelfall ihre Aufgabe ohne diese Datenweitergabe nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann und außerdem die Daten nur in dem Umfang, wie es die Aufgabenerfüllung gerade in Bezug auf die betroffene Person zum bestehenden Zeitpunkt erfordert, verwendet werden. Im konkreten Fall, in dem eine Richterin über Probleme mit Ihren Vorgesetzten berichtete, durfte dieser zwar zur Stellungnahme über die geschilderten Probleme, nicht aber über sonstige in dem Schriftverkehr geäußerte Überlegungen der Richterin zu ihrer beruflichen und persönlichen Situation informiert werden.

II. Weiterleitung von Gesundheitsdaten an Betriebsrat und Integrationsamt

Die Beschwerde einer schwerbehinderten Beschäftigten darüber, dass ihr Arbeitgeber im Rahmen eines Präventionsverfahrens sensible Personaldaten (Gesundheitsdaten, Abmahnungen und ein inzwischen aufgehobenes Urteil) an den Betriebsrat, die Schwerbehindertenvertretung und das Integrationsamt ohne ihr Einverständnis weitergegeben hatte, beurteilte die Berliner LfDI (TB 2017, Kap. 8.4) wie folgt:

Bezüglich der Nutzung der Personal- bzw. Personalaktendaten durch den Betriebsrat waren die besonderen gesetzlichen Vorgaben zur Beschäftigtendatenverarbeitung im Bundesdatenschutzgesetz a.F. zu beachten. Danach dürfen personenbezogene Daten (auch Personalaktendaten) für Zwecke des Beschäftigungsverhältnisses verarbeitet und genutzt werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Dabei wurde einerseits die Weiterleitung des mittlerweile aufgehobenen Urteils weder für die Durchführung noch für eine mögliche Beendigung des Arbeitsverhältnisses als erforderlich und damit als unzulässig bewertet. Etwas anderes sollte dagegen für die erteilten Abmahnungen gelten. Nach dem SGB IX schaltet der Arbeitgeber bei Eintreten von personen-, verhaltens- oder betriebsbedingten Schwierigkeiten, die den Bestand des Beschäftigungsverhältnisses gefährden können, möglichst frühzeitig die Schwerbehindertenvertretung und die im Sozialgesetzbuch IX genannten Vertretungen sowie das Integrationsamt ein (§ 84 Abs. 1 SGB IX). Er soll mit ihnen alle Möglichkeiten und alle zur Verfügung stehenden Hilfen zur Beratung und mögliche finanzielle Leistungen erörtern, mit denen die Schwierigkeiten beseitigt werden können, um das Arbeits- oder sonstige Beschäftigungsverhältnis möglichst dauerhaft fortzusetzen (§ 93 SGB IX).

Im Zusammenhang mit diesem sog. Präventionsverfahren spielen bereits erteilte Abmahnungen an die Beschäftigte eine wichtige Rolle, da sie konkrete Hinweise auf verhaltensbedingte Störungen des Arbeitsverhältnisses und Nachweise für bereits aufgezeigte und festgestellte Pflichtverstöße der Beschäftigten geben. Ihre Nutzung war daher erforderlich und zulässig. Da die Abmahnungen nur der Vorsitzenden des Betriebsrats und dem Vorsitzenden der Gesamtschwerbehindertenvertretung übersandt wurden, sei dem Gebot der Datensparsamkeit und der Vertraulichkeit hinreichend Rechnung getragen worden.

Auch die Weiterleitung der Abmahnungen an das Integrationsamt wurde im Hinblick auf die (mögliche) Beendigung des Beschäftigungsverhältnisses ebenfalls in gewissem Umfang als erforderlich angesehen. Die Prüfung möglicher Mittel und Wege zur Fortsetzung eines Beschäftigungsverhältnisses sei nur möglich, wenn entsprechende Daten der Beschäftigten vorliegen, weil die individuellen Umstände des Einzelfalls berücksichtigt werden müssen. Da es sich beim Integrationsamt um eine außenstehende Behörde handele, hätte die Weitergabe von Personalaktendaten jedoch besonders sorgfältig geprüft werden müssen. Ob es insoweit tunlich war, die Abmahnungen selbst in Kopie an das Integrationsamt zu versenden, stellte die LfDI in Frage. Ausreichend und vorzugswürdiger wäre es gewesen, dem Integrationsamt, insbesondere im Hinblick auf das Gebot der Datenvermeidung und Datensparsamkeit, in einem ersten Schritt zunächst nur eine kurze Beschreibung der konkreten Situation zu geben.

III. Zugriff auf Krankenakte im Krankenhaus durch den für das Krankenhaus als Dienstleister tätigen Arbeitgeber

Eine unzulässige Zweckentfremdung liegt auch vor, wenn ein Arbeitgeber der medizinische Geräte und Dienstleistungen für Krankenhäuser vertreibt und deswegen auch Zugriff auf die dort geführten Krankenakten hat, die Akte einer seiner Beschäftigten einsieht, die in einem von ihm betreuten Krankenhaus stationär behandelt wurde. Zwar hatte die Beschäftigte vor der Untersuchung eine vom Krankenhaus zur Verfügung gestellte Patienteninformation sowie eine Einwilligungserklärung unterschrieben, mit der sie sich auch mit der Einsichtnahme des mit der Abrechnung der Leistungen betrauten Personals ihres Arbeitgebers in ihre Gesundheitsdaten einverstanden erklärte. Damit lag zwar formal eine Einverständniserklärung der Petentin vor, doch war diese nach Ansicht der Berliner LfDI (TB 2017, Kap. 8.5) in zweifacher Hinsicht problematisch. Zunächst stellt die LfdI die Freiwilligkeit der Erklärung in Frage. Selbst wenn man jedoch von einer Wirksamkeit ausginge, würde sie sich nicht auf Zugriffe erstrecken, die nicht erforderlich sind. Denn die Kenntnis des Arbeitgebers von Gesundheitsdaten seiner Beschäftigten hat sich auf das absolut Notwendige zu beschränken. Dazu gehört keinesfalls die gesamte Krankenakte. Schließlich wollte die Patientin zweifelsohne nicht ihrer Vorgesetzten Einblick in ihre Krankenakte gewähren. Im Ergebnis gilt: Sind Beschäftigte zugleich Patienten von Beschäftigungsstellen, so sind beide Verhältnisse strikt voneinander zu trennen, um die Persönlichkeitsrechte der Betroffenen zu wahren.

IV. Ex-Beschäftigte am Facebook-Pranger

Eine Beschwerde einer zwischenzeitlich ausgeschiedenen Mitarbeiterin eines Unternehmens erreichte den Thüringer LfDI (3. TB zum Datenschutz: Nicht-öffentlicher Bereich 2016/2017, S. 296) Die Arbeitnehmerin musste feststellen, dass ihr ehemaliger Arbeitgeber über das soziale Netzwerk „Facebook“ alle Welt wissen ließ, er habe gegen sie wegen Verdachts des gewerbs- und bandenmäßigen Betrugs in mindestens 50 Fällen Strafanzeige erstattet. Sie habe sich durch Verbuchung von Scheinlieferungen persönlich bereichert und einen Schaden in sechsstelliger Höhe verursacht. Eine entsprechende Schadensersatzklage gegen die Mitarbeiterin war jedoch zuvor vom zuständigen Arbeitsgericht abgewiesen worden.

Angefragt erklärte das Unternehmen, man sei gegen das Urteil in Berufung gegangen und von der Schuld der Betroffenen überzeugt. Weil eine gütliche Einigung nicht möglich war, habe man sich unter Inanspruchnahme des Grundrechts auf Meinungsfreiheit zu der Veröffentlichung auf der vorrangig firmeninternen Plattform entschlossen. Das sei man im Übrigen auch den anderen Mitarbeitern schuldig gewesen, denn der Vorgang habe innerhalb der Belegschaft für Beunruhigung gesorgt. Man habe ja auch nur von einem „Verdacht“ gesprochen.

Zu Recht überzeugte die Argumentation den ThürLfDI nicht. Er leitete daher auch ein Bußgeldverfahren ein und bewegte schließlich das Unternehmen zur datenschutzkonformen Nutzung seiner Facebook Seite.

Klar gemacht wurde, dass das Grundrecht auf Meinungsfreiheit seine Schranken in den Vorschriften der allgemeinen Gesetze findet und dass eine solche Schranke auch § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) darstellt. Danach ist eine Veröffentlichung personenbezogener Daten nur erlaubt, wenn dies eine Rechtsvorschrift zulässt oder die Einwilligung des Betroffenen vorliegt. Beides war in keiner Weise ersichtlich.

Egal wie ärgerlich es ist, wenn man zu seinem vermeintlichen Recht nicht kommt. Eine Rechtfertigung, einen ehemaligen Mitarbeiter in sozialen Medien anzuprangern, gibt es nicht. Der Forderung, schriftliche Festlegungen zur Nutzung von Facebook zu treffen, kam das Unternehmen letztendlich auf massives Drängen des ThürLfDI nach. Danach dürfen grundsätzlich keine personenbezogenen Daten Beschäftigter auf dieser Plattform veröffentlicht werden, sofern keine wirksame Einwilligung der Betroffenen vorliegt. Wirksam ist eine Einwilligung allerdings nur, wenn sie freiwillig erteilt wurde. Im Beschäftigtenverhältnis sei dies nur dann der Fall, wenn der Beschäftigte unter keinerlei Zwang stehe, was nur in sehr seltenen Fällen gegeben sei.

V. Vertraulichkeitsbruch bei Bewerbungen

1. Wenn der Chef erfährt, dass der Mitarbeiter zur Konkurrenz will

Ziemlich schief gelaufen war die Bewerbung einer Beschäftigten, die sich zwecks Arbeitgeberwechsel auf eine von einem Personaldienstleister ausgeschriebene Stelle beworben hatte und daraufhin Probleme mit ihrem Arbeitgeber bekam. Was sie nicht wusste war, dass die Stelle für die Firma, in der die Betroffene aktuell beschäftigt war, ausgeschrieben war.

Die Arbeitnehmerin erbat vom ThürLfDI (3. TB: Nicht-öffentl. Bereich, Ziff. 7.8) Auskunft darüber, ob gegen ihren Arbeitgeber und den Personaldienstleister aus datenschutzrechtlichen Gründen etwas unternommen werden könne. Seine Prüfung führte zu dem Ergebnis, dass es für den Personaldienstleister, der als Verantwortliche Stelle agierte, nicht erforderlich gewesen ist, die Geschäftsführer über den Veränderungswunsch ihrer Mitarbeiterin zu informieren, da die Begründung eines weiteren Arbeitsverhältnisses bei dem gleichen Unternehmen sicher nicht zur Debatte stand. Fraglich bzw. nicht nachweisbar war, ob er seinen Auftraggeber gleichwohl informiert hatte. Ein datenschutzrechtlich überprüfbarer Aspekt war jedoch die Tatsache, dass das gesamte Gespräch zwischen der Arbeitnehmerin und ihrem Arbeitgeber über ihre Abwanderungsabsicht in Anwesenheit von zwei Zeugen stattfand. Der Veränderungswunsch hätte den anwesenden Personen (Assistenz der Geschäftsführung und Personalmitarbeiter) nicht mitgeteilt werden dürfen.

Vielmehr dürfe ein Vorgesetzter oder Personalverantwortlicher keine Informationen darüber erheben, ob oder inwiefern seine Mitarbeiter sich anderweitig bewerben, wenn die Mitarbeiter ihn hierüber nicht freiwillig in Kenntnis setzen.

Eine anderweitige Bewerbung stelle zudem keinen zulässigen Kündigungsgrund dar.

2. Information über und Kündigung wegen Bewerbung in einem anderen Unternehmen

Mit der gleichen Problematik hatte sich der ThürLfDI in einem weiteren Fall zu befassten (3. TB: Nicht-öffentl. Bereich, Ziff. 7.20). Hier war es zur Kündigung gekommen, weil die Arbeitgeberin von der Bewerbung der Beschäftigten bei einem anderen Unternehmen auf nicht endgültig klärbare Weise erfahren hatte.

Gleichwohl lagen Verstöße gegen datenschutzrechtliche Vorschriften sowohl seitens des Unternehmens, bei dem sich die Betroffene beworben hatte, als auch seitens des Beschäftigungsunternehmens nahe.

Daran ändert ggf. nichts, wenn die Behauptung der Arbeitgeberin der Beschäftigten zutreffen sollte, dass sich ihre Bewerbungsunterlagen eines Tages unvermittelt im Briefkasten der Geschäftsräume befunden hätten. Werden einem Unternehmen ohne dessen Zutun Bewerbungsunterlagen, die an ein anderes Unternehmen gesandt wurden, zugeleitet, liegt zwar keine Erhebung vor. Es besteht jedoch keine Rechtsgrundlage dafür, diese zur Kenntnis gelangten personenbezogenen Daten des Mitarbeiters zwecks Beendigung des Beschäftigungsverhältnisses zu nutzen.

VI. Veröffentlichung von Beschäftigtenbildern

1. Veröffentlichen von Bildern in einer Behindertenwerkstatt

Beschäftigter Mit der Frage, ob es zulässig sei, in einer Behindertenwerkstatt Bilder von der Tätigkeit der Behinderten und z.B. auch von der Weihnachtfeier in den Werkstätten und auch auf den Fluren der Einrichtung auszuhängen , hatte sich der ThürLfDi (3. TB, 2017, nicht-öffentl. Bereich. Ziff. 7.14) zu befassen. Die Behinderteneinrichtung bezweifelte, ob es möglich sei, in jedem Falle Einwilligungserklärungen einzuholen, da Zweifel hinsichtlich der Geschäftsfähigkeit bestünden. Der ThürLfDI nahm hierzu u.a. wie folgt Stellung:

Dabei wies er zunächst auf § 22 KUG hin, nach dem Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen. Ein Arbeitgeber dürfe Bilder seiner Beschäftigten – nach § 3 Abs. 11 Nr. 4 Bundesdatenschutzgesetz (BDSG) sind auch behinderte Menschen in anerkannten Werkstätten Beschäftigte – daher nur mit der Einwilligung verbreiten, etwa in Broschüren oder auf der Intra- oder Internetseite des Unternehmens. Sodann weist er auf die erforderliche Einsichtsfähigkeit des Einwilligenden hin. Insoweit falle dann ggf. dem auch für arbeitsrechtliche Sachverhalte bestellten Betreuer als gesetzlicher Vertretung die Aufgabe zu, über die Erteilung einer Einwilligung zu entscheiden.

2. Veröffentlichung von Fotos und Namen im Schaufenster einer Bank

Ein Kreditinstitut hängte in den Schaufenstern seiner Filialen Plakate mit Fotos sowie Vornamen und Zunamen von Beschäftigten aus. Außerdem lagen in den Filialen Flyer mit gleichen Daten der Beschäftigten aus. Zudem wurden bei Online-Banking und der elektronischen Kommunikation (Mailings) die gleichen Daten der Beraterinnen und Berater sowie deren Unterschriften regelmäßig auf den Bildschirmen der häuslichen Rechner oder Smartphones der Kunden angezeigt. Auf Anfrage erklärte das Institut, es stärke damit die individualisierte Kommunikation ihrer Beschäftigten mit den Kunden. Die Veröffentlichung der Beschäftigtendaten erfolge nur mit vorheriger Zustimmung der Beschäftigten. Die vorgelegte Einverständniserklärung entsprach jedoch nicht den Anforderungen an eine wirksame Einwilligung, wie sie nach § 4 a Absatz 1 Satz 1 Bundesdatenschutzgesetz vorgeschrieben war. Insbesondere befand sich beim mit „Ja“ anzukreuzenden Kästchen der Hinweis, mit der Zustimmung werde der Servicegedanke des Kreditinstituts unterstützt.

Beschäftigte erklärten der BremLfDI (40. TB, 2017, Ziff. 9.8), sie hätten die Einwilligungen erteilen müssen, weil dies vom Unternehmen erwartet worden sei und sie ansonsten in den Verdacht hätten geraten können, „den Servicegedanken“ des Arbeitgebers nicht zu unterstützen. Zumindest befürchteten sie für den Fall der Verweigerung einer Einwilligung Nachteile im weiteren Beschäftigungsverhältnis. Daraufhin sah der BremLfDI die Freiwilligkeit der Erklärung in Frage gestellt. Das Bankinstitut gab den Bedenken der Aufsichtsbehörde nach und entfernte die Aushänge in den Schaufenstern sowie die Bilder, Namen und Unterschriften der betroffenen Beschäftigten aus den Mailings und den Internet-Banking-Portalen.

VII. Betriebsärztliche Untersuchungen: keine automatische Schweigepflichtentbindung im Arbeitsvertrag

Nach § 8 Abs. 1 des Gesetzes über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit (Arbeitssicherheitsgesetz – ASiG) haben auch Betriebsärzte die Regeln der ärztlichen Schweigepflicht zu beachten. Lediglich auf Wunsch des Arbeitnehmers ist nach § 3 Abs. 2 ASiG das Ergebnis arbeitsmedizinischer Untersuchungen mitzuteilen.

Die Arbeitnehmervertretung eines Unternehmens beanstandete insoweit, dass ihr Arbeitgeber dazu übergegangen war, von seinen Arbeitnehmern im Arbeitsvertrag gleichzeitig die Unterschrift zur Entbindung der Betriebsärzte von ihrer Schweigepflicht gegenüber dem Arbeitgeber zu fordern. Der ThürLfDI (3. TB: Nicht-öffentl. Bereich, Ziff. 7.16) sah die Generalklausel u.a. deshalb als unwirksam an, da eine Entbindung von der Schweigepflicht des behandelnden Arztes nur in Frage kommt, soweit der Arbeitgeber ein berechtigtes Interesse an der entsprechenden Information darlegt. Praktisch müsste der/die Betroffene also vor einer Mitteilung des behandelnden Arztes an den Arbeitgeber im Einzelfall jeweils eine Schweigepflichtentbindung erteilen oder auch verweigern oder einschränken können.

Fazit ist: Eine pauschale Schweigepflichtentbindungserklärung in einem Arbeitsvertrag ist mit der Unterschrift des Vertrags keine wirksame Einwilligung zur Datenübermittlung zwischen Betriebsarzt und Arbeitgeber. Der Betriebsarzt muss vor jeder Datenübermittlung an den Arbeitgeber eine gesonderte zweckgebundene und freiwillige Schweigepflichtentbindung einholen.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.