ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

BETRIEBSRAT UND DATENSCHUTZ – DIE REGELUNG DES § 79a BETRVG

Der Betriebsrat erfährt als Beschäftigtenvertretung eine besondere Rolle im Unternehmen. Damit einher gehen ebenfalls in der datenschutzrechtlichen Betrachtung Besonderheiten, die es sowohl zwischen Arbeitgeber und Betriebsrat als auch zwischen Datenschutzbeauftragten und Betriebsrat zu beachten gilt – dies geht insbesondere aus dem neuen § 79a des Betriebsverfassungsgesetzes (BetrVG) hervor. Der Beitrag befasst sich mit den wichtigsten Eckpunkten und gibt zentrale Handlungsempfehlungen an die Hand.


DER BETRIEBSRAT ALS TEIL DER VERANTWORTLICHEN STELLE

Lange Zeit umstritten war die Frage, ob es sich bei dem Betriebsrat um eine eigene verantwortliche Stelle handelt oder ob dieser dem Unternehmen als verantwortliche Stelle zuzurechnen ist. Eine besondere Bedeutung erlangt(e) diese Fragestellung, da sich die datenschutzrechtlichen Verpflichtungen der Datenschutz-Grundverordnung (DS-GVO) stets an die verantwortliche Stelle richten. Hiervon umfasst sind beispielsweise die umfangreichen Dokumentationspflichten, z.B. das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO oder die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DS-GVO.

Wie wir bereits in unserem Beitrag zum Betriebsrätemodernisierungsgesetz umfangreich darlegten, hat der Gesetzgeber über die neugeschaffene Regelung des § 79a BetrVG für eine Klarstellung gesorgt. § 79a Satz 2 BetrVG macht deutlich, dass der Arbeitgeber der datenschutzrechtlich Verantwortliche für die Verarbeitung der Beschäftigtendaten im Sinne der DS-GVO ist. Entgegen der Eigenverantwortung des Betriebsrates bei der Wahrnehmung ihrer Aufgaben, ist der Betriebsrat im datenschutzrechtlichen Sinne lediglich als Teil der verantwortlichen Stelle einzustufen, soweit dieser zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben Beschäftigtendaten verarbeitet.

Mit der Regelung in § 79a BetrVG folgt der Gesetzgeber der Auffassung der diesbezüglichen ständigen Rechtsprechung des Bundesarbeitsgerichtes (BAG). Demnach wurde der Betriebsrat noch vor Inkrafttreten der DS-GVO vom BAG lediglich als institutionell unselbständiger Teil der verantwortlichen Stelle des Arbeitgebers eingestuft. 


ZUSAMMENARBEIT VON BETRIEBSRAT UND VERANTWORTLICHER STELLE

Gemäß § 79a Satz 3 BetrVG unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Satz 3 verpflichtet den Betriebsrat und den Arbeitgeber zur Kooperation und zur gegenseitigen Unterstützung. Diese gegenseitige Pflicht zur Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ist mit der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers auf der einen Seite und der innerorganisatorischen Selbständigkeit und Wertungsfreiheit des Betriebsrats auf der anderen Seite begründet.

Im Umkehrschluss bedeutet dies jedoch auch, dass der Betriebsrat nicht Adressat der weitreichenden datenschutzrechtlichen Pflichten der DS-GVO sein kann. Dementsprechend obliegt dem Betriebsrat beispielsweise keine Pflicht zur Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten und ebenfalls keine Pflicht zur Benennung eines eigenen Datenschutzbeauftragten. Aus § 79a Satz 3 BetrVG lässt sich jedoch schlussfolgern, dass der Betriebsrat dem Verantwortlichen entsprechende Angaben übermitteln muss, die der verantwortlichen Stelle eine Erstellung der Verzeichnisse der Verarbeitungstätigkeiten für die Betriebsratstätigkeiten ermöglicht. Auch hinsichtlich etwaiger Verletzungen des Schutzes personenbezogener Daten oder im Rahmen der Geltendmachung von Betroffenenrechten ist der Betriebsrat gegenüber dem Verantwortlichen zur unverzüglichen Meldung und Zuarbeit verpflichtet.

Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Insoweit ist dieser innerhalb seines Zuständigkeitsbereichs verpflichtet, die ausreichende Umsetzung technischer und organisatorischer Maßnahmen nach Art. 24 und Art. 32 DS-GVO sicherzustellen sowie gegebenenfalls Nachbesserungen durch die verantwortliche Stelle einzufordern. Dieser muss den Betriebsrat zwingend mit den erforderlichen Mitteln, wie beispielsweise geeigneter Sicherungseinrichtungen für Dokumente mit personenbezogenen Daten, bereitstellen. Bei Beratungsbedarf zu datenschutzrechtlichen Sachverhalten darf der Betriebsrat ebenso die Beratungsleistungen des Datenschutzbeauftragten der verantwortlichen Stelle in Anspruch nehmen.


ZUSAMMENARBEIT VON BETRIEBSRAT UND DATENSCHUTZBEAUFTRAGTEN

Insofern bietet sich ebenfalls eine Zusammenarbeit zwischen dem Betriebsrat und dem Datenschutzbeauftragten an. Beispielsweise kann dieser die Beschäftigtenvertretung regelmäßig zu spezifischen datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Betriebsratstätigkeit schulen oder datenschutzrechtliche Beratungen zu (geplanten) Tätigkeiten des Betriebsrates vornehmen.

In den Fokus rückt hierbei das notwendige Vertrauensverhältnis zwischen Betriebsrat und Datenschutzbeauftragten, welches auch durch den Gesetzgeber gesehen wurde. § 79a Satz 4 BetrVG regelt hierzu, dass der oder die Datenschutzbeauftragte gegenüber dem Arbeitgeber zu sämtlichen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen, zur Verschwiegenheit verpflichtet ist. Weiterhin regelt § 79a Satz 5 BetrVG ebenfalls die Verschwiegenheitsverpflichtung hinsichtlich der Identitäten betroffener Personen gegenüber dem Arbeitgeber. Der vertrauensvollen Zusammenarbeit steht insoweit auch nicht die Stellung des Datenschutzbeauftragten durch den Arbeitgeber als Verantwortlichen entgegen.


FAZIT

Um den Anforderungen des § 79a BetrVG sowie den allgemeinen datenschutzrechtlichen Anforderungen nachkommen zu können, empfiehlt sich der Abschluss einer Vereinbarung oder die Anwendung einer Richtlinie zwischen dem Arbeitsgeber als Verantwortlichen sowie dem Betriebsrat hinsichtlich der datenschutzrechtlichen Zusammenarbeit. Hierbei sollten insbesondere die Unterstützung bei der Geltendmachung von Betroffenenrechten, die unverzüglichen Meldeverpflichtungen im Fall von Datenschutzverletzungen sowie etwaige Zuarbeiten hinsichtlich des Verzeichnisses der Verarbeitungstätigkeiten geregelt werden. Weiterhin sollten Regelungen aufgenommen werden, welche ein Mindestmaß an technischen und organisatorischen Maßnahmen festlegen, um die Sicherheit der Verarbeitung durch den Betriebsrat zu gewährleisten. Der Datenschutzbeauftragte ist auf seine besondere Stellung und die sich in diesem Zusammenhang aus § 79a Satz 4 und 5 BetrVG ergebenden besonderen Verschwiegenheitsverpflichtungen zu sensibilisieren.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.

    Tags:
  • Arbeitgeber
  • Betriebsrat
  • Betriebsrätemodernisierungsgesetz
  • Betriebsverfassungsgesetz
  • Verschwiegenheitsverpflichtung
Lesen

AUFBEWAHRUNG VON BESCHÄFTIGTENDATEN

Im Rahmen einer Bewerbung sowie eines sich daran gegebenenfalls anschließenden Beschäftigungsverhältnisses fallen eine Reihe verschiedener Dokumente und Unterlagen mit personenbezogenen Daten an. Bei der datenschutzrechtlichen Betrachtung dieser Prozesse steht regelmäßig der maximal zulässige Aufbewahrungszeitraum im Fokus. Wann sind derartige Dokumente und Unterlagen spätestens zu vernichten?


WANN SIND BEWERBUNGSUNTERLAGEN ZU VERNICHTEN?

Auch wenn nach Beendigung des Bewerbungsverfahrens die Unterlagen von Bewerbenden nicht mehr benötigt werden, sollten diese jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass Bewerbende nach einer erfolglosen Bewerbung Ansprüche aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Unter Berücksichtigung der dort hinterlegten Fristen ist eine Aufbewahrung von bis zu sechs Monaten aus datenschutzrechtlicher Sicht vertretbar. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um die bewerbende Person gegebenenfalls für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung dieser.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist die bewerbende Person hierauf bereits bei der Absage hinzuweisen.


FÜR WELCHEN ZEITRAUM KÖNNEN PERSONALAKTEN AUFBEWAHRT WERDEN?

Personalakten sollten noch für mindestens drei Jahre nach Beendigung des Beschäftigungsverhältnisses aufbewahrt werden. Erst anschließend verjähren die im Bürgerlichen Gesetzbuch (BGB) geregelten Ansprüche aus dem Arbeitsverhältnis. Diese umfassen beispielsweise die Einforderungen eines Arbeitszeugnisses oder eines möglichen Schadenersatzanspruches. Hinsichtlich der Verjährungsfristen ist jedoch Vorsicht geboten: Diese wird immer erst ab dem Ende des jeweiligen Jahres gerechnet, in dem der Arbeitsvertrag endet – unabhängig vom genauen Zeitpunkt der Kündigung. Endet das Arbeitsverhältnis beispielsweise zum 30. September 2021, sind derartige Unterlagen erst zum 01. Januar 2025 zu vernichten.

Für öffentliche Stellen können sich darüber hinaus hiervon abweichende Aufbewahrungsfristen ergeben. Ziff. 4.1 der VwV Personalakten sieht für Personalakten von Beschäftigten im öffentlichen Dienst des Freistaates Sachsen beispielsweise eine regelmäßige Aufbewahrungsfrist von bis zu fünf Jahren vor.

Bestimmte Dokumente einer Personalakte sind hingegen länger aufzubewahren. Die Länge der Aufbewahrungsfrist ist spezialgesetzlich geregelt. Dabei dürfen nur die Teile der Personalakte aufbewahrt werden, die den jeweiligen spezialgesetzlichen Aufbewahrungsfristen unterliegen. Anschließend ist die sachgerechte Vernichtung auch dieser Dokumente durchzuführen.

So ergeben sich beispielsweise für Dokumente und Unterlagen…
– arbeitsrechtlicher Natur regelmäßige Aufbewahrungsfristen von drei Jahren (z.B. Arbeitszeugnisse);
– zur Lohnsteuer regelmäßige Aufbewahrungsfristen von sechs Jahren (z.B. Freistellungsbescheinigungen, Arbeitszeitlisten, Reisekostenabrechnungen);
– zum Lohn mit Relevanz für die betriebliche Gewinnermittlung regelmäßige Aufbewahrungsfristen von zehn Jahren (z.B. Lohnsteuerunterlagen, Lohnlisten);
– zur Altersvorsorge über Pensionskassen regelmäßige Aufbewahrungsfristen von bis zu 30 Jahren.


WAS IST BEI DER AUFBEWAHRUNG VON BESCHÄFTIGTENDATEN NOCH ZU BEACHTEN?

Im Bereich digitaler Daten gibt es Unterlagen, die Arbeitnehmer selbst löschen müssen. Der Arbeitgeber macht sich unter Umständen beim Löschen des E-Mail-Kontos ausgeschiedener Beschäftigter ohne derer Erlaubnis schadenersatzpflichtig, so ein Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urt. v. 05.09.2021, Az.: 4 W 961/12). Arbeitgeber sind deshalb gut beraten, Beschäftigte an ihrem letzten Arbeitstag aufzufordern personenbezogene Daten aus dem gesamten System zu löschen. Hierzu können insbesondere private E-Mails, Ziele, die im betrieblichen Navigationssystem gespeichert sind, sowie private Dateien auf betrieblichen Endgeräten zählen.


WEITERFÜHRENDE INFORMATIONEN

Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Aufbewahrungsfrist
  • Beschäftigtendatenschutz
  • Bewerbungsunterlagen
  • Löschpflicht
  • Personalakte
Lesen

E-MAIL-WEITERLEITUNG IN VERTRETUNGSFÄLLEN

Insbesondere die bevorstehende Urlaubszeit lässt vermehrt die datenschutzrechtlichen Fragestellungen im Zusammenhang mit einer möglichen Weiterleitung von E-Mails in Vertretungsfällen aufkommen. Doch die weitaus größere Herausforderungen stellen die kurzfristigen und ungeplanten Abwesenheiten, zum Beispiel aufgrund von Krankheiten, dar. Von elementarer Bedeutung ist diesbezüglich, ob die verantwortliche Stelle die private Nutzung dienstlicher Kommunikationsmittel erlaubt. Der Beitrag umreißt in diesem Zusammenhang Problemfälle und Möglichkeiten.


AUSSCHLIEßLICH DIENSTLICHE NUTZUNG DER E-MAIL-POSTFÄCHER?

Ist die private Nutzung der E-Mail-Postfächer nicht ausdrücklich untersagt, ergeben sich für die verantwortlichen Stellen bereits hier die ersten Probleme. Grundsätzlich ist dann davon auszugehen, dass auch private und persönliche Inhalte durch Beschäftigte per E-Mail kommuniziert werden könnten. Ein Zugriffsrecht der verantwortlichen Stelle oder durch andere Beschäftigte – und dementsprechend erst recht eine automatisierte Weiterleitung der E-Mails – verbietet sich insoweit bereits aufgrund des  dann einschlägigen Fernmeldegeheimnisses nach § 88 TKG (Telekommunikationsgesetz). Gemäß § 88 Abs. 1 TKG unterliegen sämtliche Inhalte und näheren Umstände der Kommunikation, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war, dem Fernmeldegeheimnis.

Wird aufgrund einer kurzfristigen und ungeplanten Abwesenheit von Beschäftigten zeitnah ein Zugriff zu einem Postfach benötigt, bedarf es dann einer informierten Einwilligung des jeweiligen Beschäftigten sowie unter Umständen ebenfalls der Einbeziehung der jeweiligen Beschäftigtenvertretung. Während die Einbeziehung der Beschäftigtenvertretung womöglich zeitnah möglich ist, kann in bestimmten Situationen das Einholen der Einwilligung der betroffenen Person nahezu unmöglich sein. Verantwortliche Stellen sind – unter anderem – aus diesem Grund gut beraten, die private Nutzung der dienstlichen Kommunikationsmittel ausdrücklich zu untersagen.


WEITERLEITUNG AUF PRIVATE E-MAIL-POSTFÄCHER

In Abwesenheitsfällen gänzlich ungeeignet ist die Weiterleitung der dienstlichen E-Mails auf private E-Mail-Postfächer der jeweiligen Beschäftigten. Da die personenbezogenen Daten hierbei den unmittelbaren Wirkungsbereich der verantwortlichen Stelle verlassen, stellt eine solche Weiterleitung regelmäßig eine Übermittlung an Dritte dar, für welche es einer einschlägigen Rechtsgrundlage bedarf. Darüber hinaus kann so durch die verantwortliche Stelle nicht vollumfänglich die Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) sichergestellt werden. Weiterhin verliert die verantwortliche Stelle hierbei die Zugriffsmöglichkeit auf die entsprechenden E-Mails und die darin enthaltenen personenbezogenen Daten, welches grundsätzlich auch die Umsetzung und Überprüfung von regelmäßigen Löschroutinen unmöglich macht.


WEITERLEITUNG AUF DIENSTLICHE E-MAIL-POSTFÄCHER

Grundsätzlich unproblematisch – ein Verbot der privaten Nutzung vorausgesetzt – ist die Weiterleitung von E-Mails von sogenannten Funktionspostfächern (z.B. info@xyz.de). Hier ist für den Absender bereits eindeutig erkennbar, dass ein solches E-Mail-Postfach nicht zwingend einer einzelnen Person zugeordnet ist, sondern gegebenenfalls mehrere Personen die eingehenden E-Mails bearbeiten. Im Abwesenheitsfall kann somit eine Weiterleitung auf eine Vertretung vorgenommen werden, soweit die internen Abläufe eine solche erfordern.

Im Rahmen von persönlichen E-Mail-Postfächern ist davon auszugehen, dass der Absender einer E-Mail grundsätzlich annimmt, dass ausschließlich der jeweilige Beschäftigte Zugriff auf eingehende E-Mails erhält. Eine Weiterleitung sollte aus diesem Grund auch bei untersagter Privatnutzung der E-Mail-Postfächer regelmäßig ausbleiben und stattdessen eine Abwesenheitsnotiz mit einem einfachen Verweis auf die Vertretung bei eilbedürftigen Anliegen verwendet werden. Der Absender kann so selbst entscheiden, ob er das Anliegen der Vertretung vorträgt oder eine persönliche Klärung mit dem ursprünglich vorgesehenen Empfänger bevorzugt.

Etwas anderes kann sich unter Umständen dann ergeben, wenn die Beschäftigten häufig fristgebundene Angelegenheiten bearbeiten und es aus organisatorischen Gründen zwingend der Gewährleistung einer zeitnahen Bearbeitung von derartigen Anliegen bedarf. Eine mögliche Rechtsgrundlage einer Weiterleitung von E-Mails bilden hierbei die Durchführung des Beschäftigtenverhältnisses gemäß § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) beziehungsweise die jeweiligen Interessen der verantwortlichen Stelle gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, sofern nicht beispielsweise spezialgesetzliche Verschwiegenheitsverpflichtungen einer solchen Weiterleitung entgegenstehen. Hierunter können unter anderem Kommunikationen mit Personalvertretungen oder auch dem Datenschutzbeauftragten fallen.

In jedem Fall ist der Absender (möglichst zuvor) über eine Weiterleitung zu informieren. Die Vergabe von Vollzugriffen auf das E-Mail-Postfach der zu vertretenden Beschäftigten ist jedoch zu vermeiden.


UMGANG BEI AUSSCHEIDEN VON BESCHÄFTIGTEN

Mit dem Ausscheiden von Beschäftigten sind die mit der jeweiligen Person in Verbindung stehenden persönlichen E-Mail-Postfächer umgehend zu deaktivieren und zu löschen, sodass auf diesen keine weiteren E-Mails eingehen können. Dies ist insbesondere mit Blick auf Art. 17 Abs. 1 lit. a DS-GVO zeitnah umzusetzen, da die verantwortliche Stelle die Verpflichtung zur Löschung personenbezogener Daten trifft, welche für die Verarbeitungszwecke nicht mehr notwendig sind, für welche diese erhoben oder auf sonstige Weise verarbeitet wurden.

Der Absender der E-Mail erhält bei dem Versand einer E-Mail an ein gelöschtes E-Mail-Postfach durch den jeweiligen E-Mail-Server automatisiert eine Benachrichtigung, dass der entsprechende Empfänger nicht existiert und die E-Mail nicht zugestellt werden konnte. Hierdurch bekommt dieser die Möglichkeit sich über andere bekannte Kontaktwege an die verantwortliche Stelle zu wenden – und sofern nicht bereits geschehen – Kontaktmöglichkeiten zur neuen Ansprechperson in Erfahrung zu bringen.

Vor einer Löschung der jeweiligen E-Mail-Postfächer ist jedoch zu prüfen, ob bestimmte geschäftliche Inhalte gesetzlichen Aufbewahrungsfristen unterliegen, die einer Löschung entgegenstehen, Art. 17 Abs. 3 lit. b DS-GVO. Sofern im Rahmen einer solchen Überprüfung die Kenntnisnahme von privaten Kommunikationsinhalten nicht ausgeschlossen werden kann, ist der jeweilige Beschäftigte vor dem Ausscheiden darauf hinzuweisen, dass derartige Inhalte zuvor eigenständig zu löschen sind. Sollte dies bereits nichts nicht mehr möglich sein, so sollte eine vertrauliche Person benannt werden, welche – beispielsweise im Beisein der Beschäftigtenvertretung – das E-Mail-Postfach sichtet, um geschäftliche E-Mail-Kommunikation zu separieren und offensichtliche private oder anderweitig vertrauliche Nachrichten ohne weitere Einsichtnahme umgehend löscht.


FAZIT

Die Thematik der Weiterleitung von E-Mails in Vertretungsfällen ist aus datenschutzrechtlicher Sicht äußerst facettenreich. Verantwortliche Stellen sollten insbesondere vor diesem Hintergrund durch eine verbindliche Festlegung im Rahmen einer Richtlinie die private Nutzung der dienstlichen Kommunikationsmittel untersagen. Hierdurch lassen sich meist bereits eine Vielzahl von Problemfällen vermeiden. Darüber hinaus sind die jeweiligen (organisatorischen) Erfordernisse der verantwortlichen Stelle sowie die regelmäßigen internen Prozesse und sich hieraus ergebende Fristen zu berücksichtigen. Bei der Betrachtung der aufgeworfenen Thematik sollte aufgrund der Vielzahl der zu berücksichtigenden Umstände stets der Datenschutzbeauftragte einbezogen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Abwesenheit
  • E-Mail
  • Funktionspostfächer
  • Vertretung
  • Weiterleitung
Lesen

UMGANG MIT BEWERBUNGSUNTERLAGEN

Bewerbungen enthalten eine Fülle personenbezogener Daten. Umso wichtiger ist es, dass das gesamte Bewerbungsverfahren, einschließlich der Verwaltung und anschließenden Löschung der Bewerbungsunterlagen, den datenschutzrechtlichen Regelungen entspricht. Dabei gelten neben den allgemeinen Grundsätzen des Datenschutzes auch einige Besonderheiten. Wie eine praxisnahe Umsetzung erfolgen kann, erfahren Sie im Folgenden.


DIE WAHL DES BEWERBUNGSWEGES

Bewerbungen können dem Unternehmen auf zahlreichen Wegen zugehen. Neben der Zusendung auf dem Postweg oder per E-Mail werden hierfür oftmals auch Bewerberportale genutzt. Bei letzterem muss zwingend darauf geachtet werden, dass dieses über eine ausreichende Verschlüsselung nach aktuellem Stand der Technik verfügt. Weiterhin sollte für die Datenverarbeitung innerhalb des Bewerberportals eine Datenschutzerklärung erstellt oder die vorhandene Datenschutzerklärung des Unternehmens ergänzt werden. Kommt im Zusammenhang mit dem Bewerberportal außerdem ein Dienstleister zum Einsatz, ist mit diesem unter Umständen ein Vertrag zur Auftragsverarbeitung abzuschließen.

Wird den Bewerbern angeboten ihre Bewerbungsunterlagen per E-Mail einzusenden, ist ebenfalls dafür zu sorgen, dass eine ausreichende Verschlüsselung gewährleistet wird. Doch auch mit dieser birgt die Zusendung per E-Mail einige Risiken, sodass Formulierungen, nach denen die Bewerbungsunterlagen ausschließlich oder bevorzugt per E-Mail zu versenden sind, vermieden werden sollten. Den Bewerbern soll die Wahl des Bewerbungsweges grundsätzlich ohne Befürchtung von Nachteilen frei zustehen.


VERWALTUNG

Unabhängig des Bewerbungsweges dürfen Bewerbungsunterlagen nur für direkt am Bewerbungsverfahren beteiligte Personen zugänglich sein. Hierzu können beispielsweise die Personalabteilung und der jeweilige Entscheidungsträger gehören. Dementsprechend sollten in der Ausschreibung auch keine allgemeinen E-Mail-Adressen, wie zum Beispiel info@unternehmen.de, sondern stets allein der Personalabteilung zugeordnete E-Mail-Adressen angegeben werden. Bei der Vervielfältigung oder elektronischen Ablage von Bewerbungsunterlagen ist ebenso auf die Einhaltung eines gestuften Berechtigungskonzeptes zu achten. Weiterhin ist dafür Sorge zu tragen, dass Bewerbungsunterlagen niemals frei zugänglich am Arbeitsplatz zurückgelassen werden und stets getrennt von anderen Datensätzen aufbewahrt werden.


AUFBEWAHRUNG & LÖSCHUNG

Auch wenn nach Beendigung des Bewerbungsverfahrens die Daten des Bewerbers nicht mehr benötigt werden, sollten die Bewerbungsunterlagen jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass der Bewerber nach einer erfolglosen Bewerbung Ansprüche des Allgemeinen Gleichbehandlungsgesetzes (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Um einen derartigen Anspruch geltend zu machen, wird dem Bewerber durch das AGG eine Frist von zwei bis sechs Monaten gegeben. Unter Berücksichtigung von etwaigen Verzögerungen bei der Zustellung ist dementsprechend eine Aufbewahrungsfrist von drei Monaten angemessen. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um den Bewerber für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung des Bewerbers.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung des Bewerbers. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist der Bewerber hierauf bereits bei der Absage hinzuweisen.


FAZIT

Wie eingangs erwähnt, sind innerhalb des Bewerbungsverfahrens einige datenschutzrechtliche Besonderheiten zu beachten. Die Umsetzung dieser in die Praxis stellt jedoch keinen besonderen Aufwand dar. Wie bei anderen Prozessen auch, empfiehlt es sich unter Abstimmung mit den im Unternehmen am Bewerbungsverfahren beteiligten Personen, ein datenschutzfreundliches Vorgehen zu etablieren. So kann von Beginn an potentiellen Mitarbeitern gezeigt werden, welchen Stellenwert der Datenschutz im Unternehmen hat.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Aufbewahrung
  • Beschäftigtendatenschutz
  • Bewerbung
  • Bewerbungsunterlagen
  • Datenschutz
  • Löschung
Lesen