Wenn der Arbeitgeber es gut meint, aber den Datenschutz außer Acht lässt
Beabsichtigt ein Arbeitgeber im Rahmen des betrieblichen Gesundheitsmanagements, eine betriebliche Zusatzkrankenversicherung zugunsten seiner Beschäftigten anzubieten, sollte er vor der Weiterleitung der personenbezogenen Daten der Beschäftigten an eine private Krankenversicherungsgesellschaft unbedingt eine Einwilligung der Beschäftigten in diese Datenweiterleitung einholen. Hieran ändert auch nichts, dass der Arbeitgeber zuvor mit dem Betriebsrat eine Betriebsvereinbarung über das Anbieten einer solchen Zusatzversicherung getroffen hatte.
Beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) beschwerte sich eine Mitarbeiterin über das Verhalten ihres Arbeitgebers. Dieser hatte gemeinsam mit dem Betriebsrat eine Betriebsvereinbarung über die Einführung einer privaten Zusatzkrankenversicherung zugunsten der Beschäftigten getroffen. Die private Krankenversicherungsgesellschaft hatte der Arbeitgeber bereits ausgewählt und mit dieser als Versicherungsnehmer einen sogenannten Gruppenversicherungsvertrag abgeschlossen, in dem die Beschäftigten als versorgungsberechtigte Personen versichert werden sollten. An sich eine gute Sache. Wenn der Arbeitgeber dabei nicht vorschnell personenbezogene Daten der Beschäftigten an die bereits ausgewählte Versicherungsgesellschaft weitergeleitet hätte, ohne die Beschäftigten vorab zu fragen, ob sie die angebotene Versicherung überhaupt möchten und sie mit einer Weitergabe ihrer Daten an die Krankenversicherung einverstanden sind. Der Arbeitgeber ging vielmehr davon aus, dass eine zuvor mit dem Betriebsrat geschlossene Betriebsvereinbarung über die Einrichtung und den Umfang der betrieblichen Krankenversicherung ausreichen würde, die Datenweiterleitung der Beschäftigtendaten zu rechtfertigen.
Dies sah der TLfDI anders. Die Betriebsvereinbarung enthielt eine Klausel, nach der der Beschäftigte zwar berechtigt war, der Datenweitergabe zu widersprechen. Dies reicht zum einen als Übermittlungsbefugnis nicht aus. Die Beschäftigten, die erst einen Tag vor der stattgefundenen Datenweitergabe über die beabsichtigte Einführung der betrieblichen Krankenzusatzversicherung informiert wurden, konnten zum anderen nicht verhindern, dass ihre Daten der Versicherung bekannt wurden.
Mit Beschäftigtendaten darf ein Arbeitgeber nicht leichtfertig umgehen. So ist eine Verarbeitung der personenbezogenen Daten der Beschäftigten grundsätzlich nur zulässig, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses auch erforderlich ist. Dies ergibt sich aus Art. 88 Abs. 1 Datenschutzgrundverordnung (DSGVO) in Verbindung mit § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG). Doch was heißt erforderlich? Die Verarbeitung von personenbezogenen Daten von Beschäftigten muss geeignet und zugleich das relativ mildeste Mittel sein, um den unternehmerischen Interessen bei der Begründung, aber auch bei der Durchführung und Beendigung von Beschäftigungsverhältnissen Rechnung zu tragen (vergleiche Simitis, Hornung, Spiecker, Datenschutzrecht, DSGVO mit BDSG, 1. Auflage 2019, Art. 88, Rn. 56 f.). Gemessen an diesen Maßstäben: Ist eine betriebliche Zusatzkrankenversicherung zugunsten der Beschäftigten erforderlich zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses? Klare Antwort: Nein.
Das Angebot mag von dem Arbeitgeber im zu entscheidenden Fall durchaus gut gemeint gewesen sein. Auch verkennt der TLfDI nicht, dass es im Einzelfall durchaus sinnvoll sein kann, eine zusätzliche private Absicherung im Krankheitsfall vorzuhalten. Aber dies führt vorliegend nicht zur Annahme einer Erforderlichkeit im Sinne des § 26 Abs. 1 Satz 1 BDSG. Schließlich kann das Beschäftigungsverhältnis auch ohne eine solche Zusatzversicherung fortgesetzt werden.
§ 26 Abs. 1 Satz 1 Halbsatz 2 BDSG sieht vor, dass personenbezogene Daten von Beschäftigten auch dann verarbeitet werden dürfen, wenn dies „zur Ausübung oder Erfüllung der sich […] aus einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“. Dies betrifft zum einen den Unterrichtungsanspruch des Betriebsrates gegenüber dem Arbeitgeber nach § 80 Abs. 2 Satz 1 Betriebsverfassungsgesetz (BetrVG). Dabei sind dem Betriebsrat die zu seiner Aufgabenwahrnehmung (zum Beispiel aus §§ 99, 102, 112 BetrVG, aber auch aus Personalvertretungsgesetz der Länder und des Bundes oder dem Sprecherausschussgesetz) erforderlichen Informationen vom Arbeitgeber zur Verfügung zu stellen. Zum anderen sieht Art. 88 Abs. 1 DSGVO in Verbindung mit § 26 Abs. 4 BDSG ausdrücklich vor, dass auch die Betriebsvereinbarung selbst tauglicher Erlaubnistatbestand für eine Datenverarbeitung sein kann (vergleiche Paal/ Pauly/ Gräber/ Nolden, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Beck’sche Kompakt-Kommentare, § 26 Rn. 19 f.). In einem solchen Fall bedarf es keines Rückgriffes auf § 26 Abs. 1 Satz 1 BDSG. Jedoch sind die Verhandlungspartner (also der Arbeitgeber und der Betriebsrat) dabei nicht von den strengen Vorgaben der DSGVO befreit, sondern müssen nach Art. 88 Abs. 2 DSGVO selbst alle Maßnahmen zur Wahrung des Datenschutzniveaus der DSGVO ergreifen. Eine Datenübermittlung an Dritte, wie hier an eine private Versicherungsgesellschaft, bedarf dabei stets einer (gesetzlichen) Rechtfertigung, die vorliegend nicht bestand. Die in der Betriebsvereinbarung enthaltene Widerspruchslösung wird dem nicht gerecht. Einzig mögliche Rechtfertigung war mithin eine ausdrückliche und vorab eingeholte Einwilligung der betroffenen Beschäftigten, die die Vorgaben des § 26 Abs. 2 BDSG erfüllt.
Eine solche Einwilligung der Beschäftigten wäre vorliegend nach § 26 Abs. 2 Satz 2 BDSG möglich und zulässig gewesen. Schließlich wollte der Arbeitgeber die Beiträge für die betriebliche Krankenversicherung ausschließlich und in vollem Umfang übernehmen, sodass den Beschäftigten ein finanzieller Vorteil entstünde.
Die Einholung einer Einwilligung von den Beschäftigten hat der Arbeitgeber im zu entscheidenden Fall jedoch unterlassen. Sich hierbei auf die Vereinbarung mit dem Betriebsrat und der darin enthaltenen Widerspruchslösung zu verlassen, war ein Trugschluss. Schließlich diente die Weiterleitung der Daten der Beschäftigten an die Versicherung auch nicht dazu, die Rechte und Pflichten des Betriebsrates aus der Betriebsvereinbarung zu erfüllen (§ 26 Abs. 1 Satz 1 BDSG), sondern vielmehr der Erfüllung der Arbeitgeberinteressen gegenüber der Krankenversicherung aus dem bereits abgeschlossenen Gruppenversicherungsvertrag. Der TLfDI stellte den Verstoß gegenüber der Verantwortlichen fest und sprach gemäß Art. 58 Abs. 2 Buchstabe b DSGVO eine Verwarnung aus.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
- Externer Datenschutzbeauftragter
Dieser Absatz enthält Affiliatelinks/Werbelinks