Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Betriebliches Eingliederungsmanagement : Niederlage im Kündigungsschutzprozess wegen „Datenschutz“?

Erhebt ein krankheitsbedingt gekündigter Mitarbeiter Kündigungsschutzklage, rückt das betriebliche Eingliederungsmanagement (BEM) in den Fokus der Aufmerksamkeit. Das Landesarbeitsgericht Baden-Württemberg gab einer Kündigungsschutzklage u. a. wegen unzureichender Beachtung datenschutzrechtlicher Vorschriften statt (Urteil vom 28.07.2021, Az. 4 Sa 68/20).

Dr. Niels LepperhoffAbrechnungspraxisPraxis
Lesezeit 9 Min.

Ein Weckruf, den eige­nen BEM-Ablauf auf Daten­schutz-Compliance zu prüfen. Der Weckruf erfolgt vor dem Hin­tergrund, dass ein Arbeitgeber die Datenschutz-Compliance seines BEM-Prozesses und jeder einzelnen BEM – Maßnahme jederzeit nachwei­sen können muss.

Zu den „neuralgischen“ Punkten, die eine Prüfung erfordern, zählen insbesondere:

  • Wer hat Zugriff auf die im BEM offenbarten Gesundheitsdaten?
  • Erfüllt die Einwilligung zur Daten­verarbeitung im BEM die daten­schutzrechtlichen Anforderungen?
  • Wird der Mitarbeiter über die geplante Datenverarbeitung voll­ständig und korrekt informiert?

Zugriffe auf BEM-Akten: Der Vorgesetzte ist raus

Betriebliches Eingliederungsmanagement
Betriebliches Eingliederungsmanagement

Ein BEM hat die Aufgabe, dass Arbeit­geber und Mitarbeiter gemeinsam ergebnisoffen nach Maßnahmen suchen, um die Fehlzeiten des Mit­arbeiters zu reduzieren (§ 167 Abs. 2 S. 1 Sozialgesetzbuch (SGB) IX). Da es sich um einen ergebnisoffenen Such­prozess handelt, hat der Gesetzge­ber den Ablauf des BEM nicht im Detail geregelt. Aus dem Fehlen einer expliziten gesetzlichen Regelung darf nicht geschlossen werden, dass der Arbeitgeber freie Hand hat. Ins­besondere – und vorrangig – setzt die Datenschutz-Grundverordnung (DS-GVO) der Gestaltungsfreiheit Grenzen.

Im Rahmen eines BEM offenbart der Mitarbeiter regelmäßig Krankheitsdi­agnosen oder auch seine persönliche oder familiäre Situation – Informati­onen, die ein Arbeitgeber „normaler­weise“ nicht erfragen oder verarbeiten dürfte. Um sicherzustellen, dass die offenbarten Informationen aus­schließlich zur Durchführung des BEM verwendet werden, muss der Arbeit­geber dafür sorgen, dass keine Per­sonen außerhalb des BEM-Teams auf diese Daten zugreifen können (Art. 5 Abs.1 lit. f) i. V. m. 25 Abs. 2 DS-GVO).

Es bietet sich an, die Daten und Unter­lagen aus dem BEM in einer eigenen Akte zu verwalten, die getrennt von der Personalakte geführt wird. Papierakten sind so zu verschließen, dass ausschließlich das BEM-Team die Schlüssel hat. Elektronische Akten sind zu verschlüsseln, dass ausschließlich das BEM-Team diese entschlüsseln kann. Auch Administ­ratoren dürfen keinen Zugriff haben (LOHN+GEHALT 5/2019, S. 80 ff.). Wei­terhin muss sichergestellt werden, dass Protokollentwürfe und andere Unterlagen, die das BEM-Team erstellt, nicht außerhalb der BEM-Akte bspw. in persönlichen Laufwerken oder Teamlaufwerken gespeichert werden. Die Nutzung von E-Mail ist zu verbieten, sofern nicht eine Ende-zu-Ende-Verschlüsselung ver­wendet wird, die ausschließlich von Mitgliedern des BEM-Teams aufgeho­ben werden kann.

Betriebliches Eingliederungsmanagement 2
Betriebliches Eingliederungsmanagement 2

Organisatorisch sind die Mitglieder des BEM-Teams zur Verschwiegenheit auch gegenüber dem Arbeitgeber zu verpflichten.

Das Landesarbeitsgericht Baden-Würt­temberg hat in dem eingangs erwähn­ten Urteil ausgeführt, dass Vorgesetzte und eine „Standortleitung“, die nicht dem BEM-Team angehören, keinen Zugriff erhalten dürfen. Das Gericht wies zu Recht darauf hin, dass diese Beschränkung nicht durch eine Ein­willigung aufgehoben werden kann. Selbst wenn die Einwilligung Vor­gesetzte oder andere Vertreter des Arbeitgebers als Empfangsberech­tigte nennen würde, muss die Wei­tergabe zusätzlich für die Zwecke des BEM erforderlich sein.

Eine solche Erforderlichkeit ist regelmäßig nicht gegeben, da Vorgesetzte nur die Maß­nahmen kennen müssen, aber nicht deren Begründung oder Herleitung. Die Erforderlichkeit muss objektiv gegeben sein, d. h. ohne die Weiter­gabe ist der Zweck des BEM gefährdet. Die Argumente zweckmäßig oder kos­tengünstig reichen nicht aus.

Es kann erforderlich sein, dass weitere Personen außerhalb des BEM-Teams Daten aus der BEM-Akte erhalten sol­len. Eine solche Datenübermittlung muss für die Durchführung des BEM erforderlich sein und bedarf zusätz­lich einer vorherigen Einwilligung des Mitarbeiters in die Weitergabe.

Einwilligung: „Schreiben nach Zahlen“

Im Rahmen eines BEM werden regel­mäßig zwei Arten von personenbe­zogenen Daten eines Mitarbeiters verarbeitet. Die „sowieso“ für die Durchführung des Beschäftigungsver­hältnisses erforderlichen Daten wie z. B. Name, private und dienstliche Kontaktdaten, Position, Tätigkeiten, Qualifikation und Fehlzeiten bilden das Fundament. Ohne diese Anga­ben ließe sich der Mitarbeiter weder einladen noch ansprechen. Da die Durchführung eines BEM als Teil des Beschäftigungsverhältnisses betrach­tet werden kann, bedarf es keiner Einwilligung zur Verwendung dieser Daten.

Alle Daten, die normalerweise durch einen Arbeitgeber nicht verarbei­tet werden dürfen, dürfen nur dann erfragt oder verwendet werden, wenn der Mitarbeiter vorher in die entspre­chende Verarbeitung eingewilligt hat. Eine solche Einwilligung stellt folglich die Arbeitsgrundlage für das BEM-Team dar. Das Datenschutzrecht legt die Aus­gestaltung der Einwilligung fest.

In der Einwilligung zu nennen sind insbesondere:

  1. die Identität des für die Verarbei­tung Verantwortlichen,
  2. der Zweck oder die Zwecke,
  3. die von der Verarbeitung betroffe­nen Datenarten,
  4. alle Empfänger und
  5. das Bestehen des Widerrufsrechts.

In Konzernstrukturen oder bei der Einbeziehung von externen Fallmana­gern kommt der Identität des Verant­wortlichen besondere Bedeutung zu. Zu nennen sind die Unternehmen und Organisationen, bei denen die Mitglie­der des BEM-Teams angestellt sind. Die Mitglieder des BEM-Teams sind grundsätzlich ebenfalls mit Namen zu nennen, da die Einwilligung an diese Personen gebunden wird und die Ver­arbeitung ausschließlich den genann­ten Personen erlaubt wird.

Die Zwecke ergeben sich aus der Ziel­setzung des BEM. Sie sind jedoch explizit aufzuführen, um die Wirk­samkeit der Einwilligung nicht in Frage zu stellen. Es ist zu beach­ten, dass Daten grundsätzlich nur für die Zwecke verwendet, werden dür­fen, für die sie erhoben worden sind. Wird die Einwilligung für den Zweck „Durchführung eines BEM“ erteilt, so dürfen die Daten nicht für eine Kün­digung verwendet werden. Deshalb empfiehlt es sich, genau zu überlegen, für welche Zwecke die Daten genutzt werden könnten. Ob ein Mitarbei­ter in den Zweck „krankheitsbedingte Kündigung“ einwilligt, ist eine andere Frage.

Zu nennen sind die – wie oben ausge­führt – „zusätzlichen“ Datenarten. Ste­hen diese noch nicht fest, bietet sich an, die Einwilligung erst dann ein­zuholen, wenn die benötigten Daten absehbar sind. Pauschale Begriffe wie z. B. „erforderliche Daten“ sind regel­mäßig unzulässig und führen zur Unwirksamkeit der Einwilligung.

Bei den Empfängern sind alle Per­sonen, Unternehmen und Orga­nisationen zu nennen, denen die „zusätzlichen“ Daten offengelegt oder übermittelt werden könnten.

Zusammen mit der Einwilligung ist die Datenschutzinformation gemäß Art. 13 und 14 DS-GVO dem Mitarbei­ter auszuhändigen, in der die Verar­beitung personenbezogener Daten im Rahmen des BEM beschrieben wird. Eine Einwilligung ohne diese zusätzli­che Information betrachten Aufsichts­behörden und Gerichte grundsätzlich als unwirksam.

Es kann im Verlauf eines BEM sinnvoll werden, externe Stellen oder Perso­nen wie Ärzte oder Ämter einzubezie­hen. Für eine solche Datenweitergabe bedarf es der Einwilligung des Mit­arbeiters. Es bietet sich an, eine sol­che Einwilligung getrennt von der oben besprochenen Einwilligung für das BEM-Team zu erstellen und einzuholen.

Das Landesarbeitsgericht wies in dem eingangs erwähnten Urteils zu Recht auf die Problematik „Freiwilligkeit“ hin. Einwilligungen müssen freiwil­lig erteilbar oder nicht erteilbar sein. Zweifel an der Freiwilligkeit wecken Zweifel an der Wirksamkeit. Das Vor­liegen der Freiwilligkeit muss der Arbeitgeber nachweisen können. Frei­willigkeit bedeutet bspw., dass bei Nichterteilung dem Mitarbeiter keine Nachteile entstehen dürfen, außer dass das BEM vielleicht nicht so effek­tiv durchgeführt werden kann wie mit der Erteilung der Einwilligung. Umgekehrt darf die Zustimmung nicht „belohnt“ werden. Um den Nachweis der Freiwilligkeit einfacher führen zu können, bietet es sich an, entspre­chende Erklärungen in die Einwilli­gung aufzunehmen.

Die Einwilligung ist im Regelfall schriftlich oder elektronisch zu ertei­len. Der Arbeitgeber muss die korrekte Erteilung der Einwilligung jederzeit nachweisen können.

Einwilligungen können jederzeit mit Wirkung für die Zukunft ohne Angabe von Gründen widerrufen werden. Nach dem Widerruf dürfen die entsprechenden Daten nicht mehr verwendet werden. Die Datenspeiche­rung stellt eine Form der Datenverar­beitung dar. Ob die betroffenen Daten sofort gelöscht werden müssen, ist datenschutzrechtlich im Einzelfall zu prüfen.

Datenschutzinformation: Zu kurz ist schnell falsch

§ 267 Abs. 2 SGB IX erinnert daran, dass eine Datenschutzinformation dem Mitarbeiter vorzulegen ist. Auch wenn dort nur gefordert wird, auf „Art und Umfang der hierfür erhobenen und verwendeten Daten hinzuweisen“, so gelten zusätzlich die weitreichende­ren Anforderungen von Art. 13 und 14 DS-GVO. Um die Wirksamkeit der Ein­willigung nicht zu gefährden, sollte diese Datenschutzinformation zusam­men mit der Einwilligung dem Mitar­beiter ausgehändigt werden.

Die Inhalte einer Datenschutzinfor­mation sind gesetzlich festgelegt. Ein Arbeitgeber hat alle Anforderungen umzusetzen, d. h. ein Streichen oder Weglassen ist unzulässig und gefähr­det die Rechtmäßigkeit des BEM. Der Arbeitgeber darf lediglich die Formu­lierung selbst wählen. Insbesondere Art. 13 und 14 DS-GVO listen die inhalt­lichen Anforderungen auf (ausführli­cher in LOHN+GEHALT 2/2018, S. 36 ff.).

In der Praxis zeigt sich, dass Unterneh­men ein BEM unterschiedlich durch­führen. Deshalb ist bei der Verwendung von Mustern Vorsicht geboten. Muster bedürfen grundsätzlich der Anpassung an den gelebten Prozess.

Sobald externe Fallmanager mitwir­ken, muss nicht nur die Einwilligung auch für die externen Fallmanager gelten. Zusätzlich müssen die exter­nen Fallmanager ihre eigene Daten­schutzinformation bei Erteilung der Einwilligung dem Mitarbeiter aus­händigen oder durch den Arbeitgeber aushändigen lassen. Weil Fallmanager eigenständig entscheiden sollen und dürfen, liegt hier grundsätzlich keine Auftragsverarbeitung vor, d. h. das Unternehmen, bei dem die Fallmana­ger angestellt sind, agiert wie auch der Arbeitgeber als Verantwortlicher.

Es ist selbstständig für die nach­weisbare Einhaltung aller daten­schutzrechtlichen Vorschriften verantwortlich. Es sollten zwischen dem externen Fallmanager und dem Arbeitgeber (vertraglich) verschie­dene Punkte vereinbart werden, etwa, wie die BEM-Akten zu führen sind, die Verschwiegenheit sowie der Umgang mit widerrufenen Einwilligungen. Ob eine gemeinsame Verantwortung i. S. d. Art. 26 DS-GVO vorliegt, die wei­teren Regelungsbedarf und Infor­mationspflichten gegenüber dem Mitarbeiter sowie eine gesamtschuld­nerische Haftung bei Schäden nach sich zieht, ist im Einzelfall zu prüfen.

Fazit

Die Gestaltung des BEM-Ablaufs sowie die konkrete Durchführung im Einzel­fall bemessen sich auch nach daten­schutzrechtlichen Maßstäben. Um ein Scheitern von krankheitsbedingten Kündigungen sowie Bußgelder oder Schadensersatzansprüche zu vermei­den, empfiehlt sich eine Prüfung der Datenschutz-Compliance.

Zu den Prüffeldern zählen bspw.:

  • Hat ausschließlich das BEM-Team Zugriff auf BEM-Akten und BEM-Daten?
  • Ist ausgeschlossen, dass Personen wie IT-Administratoren und Vorgesetzte Zugriff erlangen können?
  • Ist die Nutzung von E-Mail ohne Ende-zu-Ende-Verschlüsselung verbo­ten und unterbleibt sie nachweislich?
  • Sind die Mitglieder des BEM-Teams zur Vertraulichkeit auch gegenüber dem Arbeitgeber verpflichtet?
  • Erfüllen die eingeholten Einwilli­gungen die datenschutzrechtlichen Anforderungen?
  • Ist die Datenschutzinformation kor­rekt und vollständig?
  • Wird die Datenschutzinformation zusammen mit der Einwilligung ausgehändigt?
  • Kann die Freiwilligkeit der Einwilli­gung nachgewiesen werden?
  • Ist sichergestellt, dass bei Widerruf der Einwilligung eine weitere Verarbeitung der Daten unterbleibt?
  • Werden BEM-Akte und BEM-Daten fristgerecht gelöscht und vernichtet? Erfolgt die Vernichtung von Papierunterlagen mit der Sicherheitsstufe 4 gemäß DIN 66399?
  • Bei der Hinzuziehung externer Fallmanager ergibt sich weiterer Prüfbedarf:
  • Erstreckt sich die Einwilligung für das BEM-Team auch auf die externen Fallmanager?
  • Ist sichergestellt, dass dem Mitarbeiter zusammen mit der Einwilligung auch die Datenschutzinformation des externen Fallmanagers ausgehändigt wird?
  • Ist mit dem Fallmanager (vertraglich) vereinbart, wie die BEM-Akte geführt wird, wer wie und wann die BEM-Daten löscht und wie mit widerrufenen Einwilligungen umzugehen ist?
  • Wurde das Vorliegen einer gemeinsamen Verantwortung i. S. d. Art. 26 DS-GVO geprüft?
  • Sofern eine gemeinsame Verantwortung i. S. d. Art. 26 DS-GVO vorliegt, sind die dort genannten Anforderungen umgesetzt?

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Betriebliches Eingliederungsmanagement 3
Betriebliches Eingliederungsmanagement 3

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.