Datenschutz im betrieblichen Eingliederungsmanagement

Gliederung

1 Einleitung

2 Begriffsbestimmungen
2.1 BEM
2.2 Daten
2.3 Verarbeitung von Daten

3 Grundrecht auf informationelle Selbstbestimmung/Datenschutz-grundrecht
3.1 Art. 7 und 8 GrCH
3.2 Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG
3.3 Art. 8 Abs. 1 EMRK

4 Ermächtigungsgrundlage für die Verarbeitung von Daten
4.1 Art. 6 DS-GVO
4.2 § 26 BDSG

5 Für das BEM relevante Rechtfertigungsgründe nach § 26 BDSG
5.1 Entscheidung über die Begründung eines Beschäftigungsverhältnisses
5.2 Durchführung eines begründeten Beschäftigungsverhältnisses
5.3 Beendigung eines begründeten Beschäftigungsverhältnisses
5.4 Wahrnehmung von Rechten/Pflichten der betrieblichen Interessenvertretung gegenüber Betroffenen
5.5 Einwilligung
5.6 Besonderheiten im Arbeitsverhältnis

6 Umgang mit den Daten in den einzelnen Schritten des BEM
6.1 Schritt 1: Feststellung der Fehlzeiten
6.2 Schritt 2: Erstkontaktaufnahme zum Betroffenen
6.3 Schritt 3: Führung eines Erstgesprächs
6.4 Schritt 4: Besprechung der Situation
6.5 Schritt 5: Vereinbarung und Umsetzung der Maßnahmen
6.6 Schritt 6: Erfolgskontrolle

7 Fazit

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Schematischer Ablauf eines BEM

Abbildung 2: Beispiele für personenbezogene Daten

1 Einleitung

Das betriebliche Eingliederungsmanagement gibt es schon seit 2004.¹ Es ist dabei sehr sensibel für den Beschäftigten, da es nicht erfolgreich ohne dessen personenbezogene Daten durchgeführt werden kann. Daher stellt sich die Frage, inwieweit diese Daten für die Beschäftigen, welche an einem Verfahren des betrieblichen Eingliederungsmanagements teilnehmen, grundsätzlich geschützt sind.

Diese Frage ist vor allem deswegen aktuell, weil sich durch die Novellierung des Datenschutzrechts im Zuge des Erlasses der Europäischen Datenschutz-Grundverordnung² für viele eine große Unsicherheit bezüglich der Verarbeitung von Daten natürlicher Personen gestellt hat.

Ziel dieser Arbeit ist es daher, aufzuzeigen, welche datenschutzrechtlichen Aspekte bei der Durchführung eines BEM-Verfahrens zu beachten sind.

Hierfür wird die nachfolgende Arbeit sich zunächst in Kapitel 2 mit der Definition der wichtigsten Begrifflichkeiten beschäftigen. Anschließend wird sie sich in Kapitel 3 damit beschäftigen, welche Datenschutzgrundrechte (Recht auf informationelle Selbstbestimmung) für die Beschäftigten gelten. Weiter wird in Kapitel 4 aufgezeigt, welche Legitimierungsgründe für die Verarbeitung personenbezogener Daten grundsätzlich herangezogen werden könnten. Es wird ferner in Kapitel 5 erläutert, welche von diesen Gründen für eine Rechtfertigung der Datenverarbeitung im Rahmen des BEM in Betracht kommen. Abschließend wird in Kapitel 6 anhand der einzelnen Verfahrensschritte des BEM aufgezeigt, was aus datenschutzrechtlicher Sicht jeweils bei der Durchführung dieser Schritte zu beachten ist. Zum Schluss wird Kapitel 7 noch ein kurzes Fazit ziehen.

Anmerkung: Die Arbeit ist allein aufgrund der besseren Lesbarkeit in der männlichen Form geschrieben. Sie erstreckt sich dabei immer auf sämtliche Geschlechter.

2 Begriffsbestimmungen

Da sich diese Arbeit mit dem Datenschutz im betrieblichen Eingliederungsmanagement beschäftigt, soll an dieser Stelle zunächst erläutert werden, was ein BEM überhaupt ist und was man unter Daten sowie unter deren Verarbeitung versteht.

2.1 BEM

Unter dem betrieblichen Eingliederungsmanagement (kurz BEM) versteht man das nach § 167 Abs. 2 SGB IX³ durchzuführende Verfahren. Ziel dieses Verfahrens ist es, die krankheitsbedingten Fehlzeiten der Beschäftigten zu reduzieren und damit den Arbeitsplatz langfristig zu sichern.⁴ Daher werden zunächst die Krankheitsursachen innerhalb des Betriebes ermittelt, bevor anschließend Maßnahmen vereinbart werden, durch die die künftige krankheitsbedingte Fehlzeit der betroffenen Beschäftigten reduziert werden kann.⁵

Das Verfahren ist dabei vom Arbeitgeber zu starten, da dieser regelmäßig die Fehlzeiten seiner Mitarbeiter zu überwachen und damit das Vorliegen der Voraussetzungen für ein BEM festzustellen hat.⁶ BEM ist generell dann durchzuführen, wenn ein Beschäftigter innerhalb eines Jahres länger als sechs Wochen arbeitsunfähig ist, ein Beschäftigungsverhältnis besteht und der Betroffene dem BEM zustimmt.⁷ Die Arbeitsunfähigkeit kann dabei ununterbrochen gegeben sein oder sich aus wiederholten kürzeren Ausfällen ergeben. Gezählt werden auch einzelne Fehltage, selbst dann, wenn hierfür keine Arbeitsunfähigkeitsbescheinigung vorliegt.⁸

Am BEM sind mindestens ein Vertreter des Arbeitgebers sowie der betroffene Beschäftigte zu beteiligen. Sofern der Betroffene zustimmt, ist auch die betriebliche Interessenvertretung⁹ und bei Schwerbehinderten die Schwerbehindertenvertretung hinzu zu ziehen. Im Bedarfsfall erweitert sich der Kreis um den Betriebs- oder Werksarzt und, soweit durch sie Leistungen möglich sind, um die Rehabilitationsträger. Im Einzelfall können auch noch die Fachkraft für Arbeitssicherheit und auch ein betrieblicher Sozialarbeiter am Verfahren mitwirken.¹⁰

Das BEM verläuft grundsätzlich ergebnisoffen¹¹ und wird nur mit Einwilligung des Betroffenen durchgeführt.

Es verläuft vereinfacht in den folgenden Schritten:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Schematischer Ablauf eines BEM¹²

2.2 Daten

Der Begriff der personenbezogenen Daten wird in Art. 4 Abs. 1 Nr. 1 DS-GVO definiert. Er bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist dabei dann identifizierbar, wenn sie durch direkte oder indirekte Zuordnung von Merkmalen, die Ausdruck ihrer Physis, Physiologie, Genetik, Psyche, oder der wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind identifiziert werden kann. Gleiches gilt für die Zuordnung von Merkmalen wie Kennnummern, Kennungen, Standortdaten oder Online-Kennungen. Beispiele für personenbezogene Daten zeigt die folgende Abbildung 2: Beispiele für personenbezogene Daten.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Beispiele für personenbezogene Daten¹³

Vom Schutzbereich der DS-GVO für die personenbezogenen Daten ausgenommen sind die juristischen Personen.¹⁴

2.3 Verarbeitung von Daten

Der Begriff der Datenverarbeitung ist nicht einheitlich geregelt. Das BDSG unterschied zwischen der Erhebung, Verarbeitung und Nutzung von Daten.¹⁵ Diese waren dabei wie folgt zu verstehen:

Unter der Erhebung von Daten wird deren Gewinnung und Beschaffung verstanden.¹⁶

Unter der Verarbeitung von Daten werden miterfasst:

- das Speichern: Erfassung von Daten zur dauerhafter Wiedergabe und Aufbewahrung auf einem entsprechenden Medium.¹⁷
- das Verändern: Abwandlung der Daten zur Erreichung eines neuen Informationsgehalts.¹⁸
- das Übermitteln: Bereitstellung der Daten für Dritte zur Einsichtnahme beziehungsweise zum Abruf sowie Übermittlung der Daten an Dritte.¹⁹
- das Sperren: Markierung von – zu löschenden – Daten, dass eine weitere Nutzung oder Verarbeitung nicht mehr zulässig ist.²⁰
- das Löschen: Unumkehrbare Unkenntlichmachung der gespeicherten Daten.²¹

Die Nutzung ist die Datenverwendung jedweder Art, wenn sie nicht bereits von der Verarbeitung erfasst ist.²²

Die DS-GVO hingegen fasst in ihrer Begriffsbestimmung der Verarbeitung in Art. 4 Nr. 2 die Verarbeitung umfassender und verdrängt den bisherigen Verarbeitungsbegriff des BDSG.²³ Folglich ist inzwischen jeder Umfang, der mit den personenbezogenen Daten eines anderen erfolgt, eine Verarbeitung.²⁴

3 Grundrecht auf informationelle Selbstbestimmung/Datenschutz-grundrecht

Da für die Durchführung eines BEM notwendigerweise immer auch Daten des betroffenen Beschäftigten benötigt werden, stellt sich zunächst die Frage, ob diesen Mitarbeitern ein (Grund-)Recht auf den Schutz ihrer Daten zusteht. Daher werden nachfolgend zunächst die Garanten des Datenschutzes in Deutschland vorgestellt.

3.1 Art. 7 und 8 GrCH

Die Charta der Grundrechte der Europäischen Union²⁵ (GrCH) gehört zum Primärrecht der Europäischen Union.²⁶ Als solches steht sie über dem deutschen Verfassungsrecht.²⁷

Sie schützt durch ihre Art. 7 und 8 das Privatleben der Menschen sowie deren Daten. Dabei ist Art. 7 GrCH eine Nachbildung des Art. 8 EMRK²⁸, weshalb hier auch nur dessen Schutzbereich und –garantien übernommen wurden, ohne dass eine Erweiterung stattfand.²⁹ Art. 8 GrCH schützt die personenbezogenen Daten vor einer willkürlichen Verarbeitung.³⁰

Das genannte Recht auf Privatsphäre, dient dem Schutz natürlicher Personen gegenüber den Organen der Europäischen Union sowie ihrer Mitgliedstaaten.³¹ Um die personenbezogenen Daten der einzelnen trotzdem effektiv auch im privaten Bereich zu schützen, wurde die DS-GVO erlassen.

3.2 Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG

Das Recht auf informationelle Selbstbestimmung ist ein Unterfall des allgemeinen Persönlichkeitsrechts, welches aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG³² abgeleitet wird und es ist notwendig aufgrund der Datenverarbeitungsmöglichkeiten unserer Zeit.³³

Dieses Recht erstreckt sich auch auf das Arbeitsleben, was dazu führt, dass den Arbeitgeber die Verpflichtung trifft, das Persönlichkeitsrecht seiner Beschäftigten genügend zu schützen.³⁴

Geschützt ist der Einzelne demnach beispielsweise vor:

- Grundloser Videoüberwachung während der Arbeit³⁵
- Unbegrenztem Zugang Dritter zur eigenen Personalakte³⁶
- Graphologischen Gutachten³⁷

Neben der Anwendung des Rechts auf informationelle Selbstbestimmung im Beschäftigtenverhältnis gilt zu Gunsten der Arbeitnehmer ferner das BDSG³⁸.

3.3 Art. 8 Abs. 1 EMRK

Die Europäische Menschenrechtskonvention (EMRK) wurde auf Betreiben des Europarats als völkerrechtlicher Vertrag geschlossen³⁹ und vom deutschen Gesetzgeber ratifiziert.

Art. 8 Abs. 1 EMRK lautet „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.“ Dieser weite Schutzbereich bewahrt auch die Daten über eine Person vor der willkürlichen Erhebung, Speicherung und Verarbeitung durch den Staat. Dadurch soll das Privatleben geschützt werden.⁴⁰ Die EMRK selbst gilt im Verhältnis zwischen Privaten allerdings nicht unmittelbar.

4 Ermächtigungsgrundlage für die Verarbeitung von Daten

Wie bereits dargestellt wurde, stehen den abhängig Beschäftigten Schutzrechte für ihre personenbezogenen Daten zur Verfügung, wodurch ihnen die Privatsphäre geschützt werden soll. Daher stellt sich nun die Frage, wodurch der Arbeitgeber ermächtigt werden kann, doch die personenbezogenen Daten seiner Beschäftigten – zumindest teilweise – zu verarbeiten.

4.1 Art. 6 DS-GVO

Gemäß Art. 6 Abs. 1 Satz 1 DS-GVO werden als Ermächtigungsgrundlage für die Datenverarbeitung benennt:

a) Einwilligung der betroffenen Person
b) Notwendigkeit für die Erfüllung eines Vertrags der betroffenen Person
c) Notwendigkeit zur Erfüllung einer rechtlichen Verpflichtung, des Datenverarbeitenden (genannt Verantwortlicher)
d) Notwendigkeit zum Schutz der lebenswichtigen Interessen einer natürlichen Person
e) Notwendigkeit zur Wahrnehmung einer Aufgabe des öffentlichen Interesses oder der Ausübung öffentlicher Gewalt
f) Erforderlichkeit zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (bei entsprechend negativer Interessenabwägung mit den Rechten des Betroffenen)

Um die Verarbeitung personenbezogener Daten zu legitimieren, reicht es aus, wenn einer der genannten Rechtfertigungsgründe vorliegt.⁴¹

Aufgrund der in Art. 88 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) normierten Öffnungsklausel wird der Datenschutz von Beschäftigten allerdings nicht hier, sondern vielmehr durch das Bundesdatenschutzgesetz (BDSG) geregelt. Das BDSG ist hierbei bezogen auf das Arbeitsleben lex specialis gegenüber der DS-GVO.⁴² Dies führt dazu, dass aufgrund des § 26 BDSG die DS-GVO in Deutschland für das Beschäftigungsverhältnis nicht mehr anwendbar ist.⁴³

4.2 § 26 BDSG

Da das betriebliche Eingliederungsmanagement nach § 167 Abs. 2 SGB IX nur in einem Beschäftigungsverhältnis durchzuführen ist – da es den Erhalt eines Arbeitsplatzes sichern soll – ist nach einem Rechtfertigungsgrund zur Verarbeitung personenbezogener Daten in einem Beschäftigungsverhältnis zu suchen. Eine entsprechende Regelung findet sich in § 26 Abs. 1 BDSG.

[...]

---

¹ Vgl. Britschgi, Betriebliches Eingliederungsmanagement, Seite 17.

² Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DS-GVO), vom 27. April 2016 (Abl. L 119 S. 1), welche zuletzt durch Bekanntmachung vom 23. Mai 2018 (Abl. L 127 S. 2) geändert worden ist.

³ Sozialgesetzbuch Neuntes Buch – Rehabilitation und Teilhabe von Menschen mit Behinderung (SGB IX) vom 19. Juni 2001 (BGBl. I S. 1046, 1047), das zuletzt durch Artikel 23 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2541) geändert worden ist.

⁴ Vgl. BT-Drs. 15/1783, S. 16 (abrufbar unter: http://dip21.bundestag.de/dip21/btd/15/017/1501783.pdf).

⁵ Vgl. Fischer, Das Betriebliche Eingliederungsmanagement (BEM) Seite 6 f.

⁶ Vgl. Müller-Wenner, in: Müller-Wenner/Winkler, § 84 Rn. 16.

⁷ Vgl. Feldes, in: Feldes/Helbig/Krämer/Rehwald/Westermann, § 167 Rn. 26a.

⁸ Vgl. Besgen, Schwerbehindertenrecht, Rn. 178.

⁹ Dies kann beispielsweise der Betriebs-, Personal-, Richter-, Staatsanwalts- oder Präsidialrat sein.

¹⁰ Vgl. Fischer, Das Betriebliche Eingliederungsmanagement (BEM), Seite 16.

¹¹ Vgl. Axtmann/Gruber, Betriebliches Eingliederungsmanagement – Eine Chance für Arbeitgeber, https://www.humanresourcesmanager.de/news/betriebliches-eingliederungsmanagement-eine-chance-fuer-arbeitgeber.html.

¹² Angelehnt an: Vgl. Fischer, Das Betriebliche Eingliederungsmanagement (BEM), Seiten 46 – 67.

¹³ Ohne Verfasser, Was sind personenbezogene Daten?, https://www.datenschutz.org/personenbezogene-daten/

¹⁴ Vgl. Erwägungsgrund 14 zur DSGVO.

¹⁵ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 109.

¹⁶ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 110.

¹⁷ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 112.

¹⁸ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 112.

¹⁹ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 114.

²⁰ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 115.

²¹ Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 116.

²² Vgl. Kühling/Seidel/Sivridis, Datenschutzrecht, Seite 117.

²³ Vgl. Schwartmann/Hermann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 4 Rn. 39.

²⁴ Vgl. Schwartmann/Hermann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 4 Rn. 35.

²⁵ Charta der Grundrechte der Europäischen Union (GrCH) vom 26. Oktober 2012 (Abl. C 326 S. 391).

²⁶ Vgl. Hakenberg, Europarecht, Rn. 212.

²⁷ Vgl. Oberrath, Öffentliches Recht, Rn. 11.

²⁸ Europäische Menschenrechtskonvention (EMRK) vom 4. November 1950, welche zuletzt durch das Protokoll Nr. 14 vom 13. Mai 2004 geändert worden ist.

²⁹ Vgl. Bernsdorff, in: Meyer, Art. 7 Rn. 1.

³⁰ Vgl. Bernsdorff, in: Meyer, Art. 8 Rn Nr. 21.

³¹ Vgl. Bernsdorff, in: Meyer, Art. 8 Rn. 18.

³² Grundgesetz für die Bundesrepublik Deutschland (GG) vom 23. Mai 1949 (BGBl. I S. 2347), das zuletzt durch Artikel 1 des Gesetzes vom 28. März 2019 (BGBl. I S. 404) geändert worden ist.

³³ Vgl. Jarass, in: Jarass/Pieroth, Art. 2 Rn. 37.

³⁴ Vgl. Jarass, in: Jarass/Pieroth, Art. 2 Rn. 77

³⁵ Vgl. BAGE 111, 173/178 ff.

³⁶ Vgl. BAGE 136, 156 Rn. 40 f.

³⁷ Vgl. BAGE 41, 54/61

³⁸ Bundesdatenschutzgesetz (BDSG) vom 30.06.2017 (BGBl. I S. 2097).

³⁹ Vgl. Grabenwarter, Europäische Menschenrechtskonvention, § 1 Rn. 1f.

⁴⁰ Vgl. Grabenwarter, Europäische Menschenrechtskonvention, § 22 Rn. 10.

⁴¹ Vgl. Schwartmann/Klein, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 6 Rn. 7.

⁴² Vgl. Thüsing/Traut, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 88 Rn. 6 mit 8.

⁴³ Vgl. ohne Verfasser, Beschäftigtendatenschutz nach der DS-GVO und dem BDSG-neu, https://datenschutzbeauftragter-hamburg.de/2017/10/beschaeftigtendatenschutz-nach-der-ds-gvo-und-dem-bdsg-neu/