Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

Umsetzung der DSGVO-Löschpflicht durch Anonymisierung

 
 
 

 

 

 

Neben dem Recht auf Auskunft ist das Recht auf Vergessenwerden eines der wesentlichen Betroffenenrechte aus der Datenschutzgrundverordnung. Wann Betroffene dieses Recht geltend machen können und wann eine Löschpflicht des Verantwortlichen vorliegt, wird durch die DSGVO näher geregelt. Neben einer tatsächlichen Löschung sieht der Gesetzgeber die Möglichkeit der Anonymisierung vor.

In welchen Fällen eine Anonymisierung erfolgen kann und wie diese Abläuft, können Sie diesem Beitrag entnehmen.

 

Das Wichtigste in Kürze

  • Nach Art. 17 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen eine Löschung der über ihn gespeicherten personenbezogenen Daten zu verlangen
  • Eine Löschverpflichtung des Verantwortlichen kann unter Umständen entfallen, wenn eine der Ausnahmen des Art. 17 Abs. 3 DSGVO vorliegt
  • Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.
  • Unter Umständen genügt für eine Löschung eine Anonymisierung der personenbezogenen Daten.
  • Eine Anonymisierung kann durch Randomisierung, Generalisierung oder eine Kombination der beiden Varianten erfolgen.

 

Recht auf Vergessenwerden

Im Gegensatz zu den anderen Betroffenenrechten, die sich aus der DSGVO ergeben und regelmäßig einen Antrag des Betroffenen voraussetzten, ergibt sich das Recht auf Vergessenwerden sowie ein unmittelbarer Löschanspruch der betroffenen Person auch unabhängig von einem Antrag aus Art. 17 Abs. 1 DSGVO.

Eine Löschung muss insoweit unverzüglich vorgenommen werden, wenn die betroffene Person eine Löschung verlangt und sobald einer der Löschgründe aus Art. 17 Abs. 1 DSGVO gegeben ist.

 

Pflicht zur Löschung nach Art. 17 Abs. 1 DSGVO

Liegen folgende Voraussetzungen vor, ist der Verantwortliche zur unverzüglichen Löschung verpflichtet:

  • Die personenbezogenen Daten, die für die Verarbeitung zu einem bestimmten Zweck erhoben wurden, werden nicht mehr benötigt
  • Der Betroffene widerruft seine ursprünglich erteilte Einwilligung und es liegt keine anderweitige Rechtsgrundlage ein
  • Der Betroffene widerspricht der Datenverarbeitung im Sinne von Art. 21 DSGVO
  • Die Datenverarbeitung war unrechtmäßig
  • Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste gem. Art. 8 Abs. 1 DSGVO erhoben

Ausnahmen von der Löschpflicht nach Art. 17 Abs. 3 DSGVO

Liegt eine der folgenden Ausnahmen nach Art. 17 Abs. 3 DSGVO vor, entfällt eine Pflicht des Verantwortlichen:

  • Die Verarbeitung ist für die Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich;
  • Die Verarbeitung für die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe erforderlich ist;
  • Der Löschung steht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit entgegen;
  • Die Verarbeitung ist zu Archiv-, Forschungs- und statistischen Zwecken erforderlich;
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

 

Mit der Löschpflicht zusammenhängende Pflichten

Abgesehen von der konkreten Löschung ist der Verantwortliche weiterhin gem. Art. 19 DSGVO verpflichtet, weitere Datenempfänger zu benachrichtigen. Zudem ist der Verantwortliche gem. Art. 17 Abs. 2 DSGVO verpflichtet, sofern die Daten öffentlich gemacht wurden, weitere Verantwortliche davon zu unterrichten, dass der Betroffene eine Löschung sämtlicher Links zu diesen personenbezogenen Daten oder gegebenenfalls Kopien oder Replikationen dieser personenbezogenen Daten verlangt.

Zudem ist im Anschluss an die Löschung die betroffene Person über den Löschvorgang nach Art. 19 DSGVO zu informieren.

 

Umsetzung der Löschpflicht

Nach Art. 4 Nr. 2 DSGVO stellt der Löschvorgang selbst eine Datenverarbeitung i.S.d. DSGVO dar. Da der Begriff des Löschens in der DSGVO nicht weiter definiert wird, können Löschungen auf unterschiedliche Art und Weise durchgeführt werden. Zu beachten ist hierbei, dass von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen solche Daten ausgenommen sind, die vom Verantwortlichen rechtmäßig offengelegt und infolgedessen von Dritten gespeichert wurden.

Folgende Löschhandlungen kommen grundsätzlich in Betracht:

  • Überschreiben der Datenträger, die die personenbezogenen Daten speichern;
  • Physische Zerstörung der Datenträger und fachmännische Entsorgung;
  • Löschung der Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen;
  • Auslistung (insb. bei Suchmaschinen).

Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Das heißt, es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.

Löscherfolg durch Anonymisierung

Es stellt sich mithin die Frage, ob für eine Löschung von personenbezogenen Daten eines Betroffenen nach Art. 17 Abs. 1 DSGVO eine sachgemäße Anonymisierung ausreicht. Schließlich können anonymisierte Daten keiner natürlichen Person mehr zugeordnet werden. Anonymisierte Daten weisen keinerlei Personenbezug auf, sodass sie nicht mehr den datenschutzrechtlichen Vorschriften unterfallen.

Die DSGVO enthält in diesem Zusammenhang keine praktischen Regelungen oder Definitionen im Hinblick auf anonyme Daten. Auf anonymisierte Daten wird lediglich in Erwägungsgrund 26 Bezug genommen. Danach finden datenschutzrechtliche Grundsätze keine Anwendung, wenn Informationen vorliegen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürliche Person haben.

Eine absolute Anonymisierung dahingehend, dass es niemandem mehr möglich ist einen Personenbezug wiederherzustellen, wird in der Regel kaum möglich sein. Im Hinblick darauf ist es aus Sicht des Datenschutzes ausreichend, dass der Personenbezug lediglich so weit aufgehoben ist, dass es faktisch unmöglich ist, eine Re-Identifizierung vorzunehmen. Es darf faktisch auch nicht mehr möglich sein, eine natürliche Person anhand mehrerer Datensätze eines Datenbestandes oder auch unter mehreren voneinander unabhängigen Datenbeständen zu identifizieren. Dies ist regelmäßig dann der Fall, wenn Kosten und Zeitaufwand einer erneuten Identifizierung unverhältnismäßig hoch wären.

Im Hinblick auf eine sachgemäße Anonymisierung ist auf den Zeitpunkt der Durchführung sowie die zu diesem Zeitpunkt vorhandenen Technologien und technologischen Entwicklungen abzustellen. In diesem Zusammenhang obliegt es dem Verantwortlichen in regelmäßigen Abständen sicherzustellen, dass die Anonymisierung dem aktuellen Stand der Technik entspricht und jegliche Re-Identifizierungsmöglichkeit zu beseitigen.

 

Arten der Anonymisierung

Die Art. 29-Datenschutzgruppe werden mögliche Arten der Anonymisierung in folgende drei Gruppen eingeteilt:

  • Randomisierung

Dabei werden Datensätze aus dem Datenbestand zufällig herausgegriffen und isoliert. Dies kann je nach Datenbestand zu einer permanenten De-Identifikation führen. Allerdings muss dies für den konkreten Fall geprüft und sichergestellt werden.

  • Generalisierung

Hierbei werden Quasi-Identifier wie Einzelangaben und Werte so gut wie möglich zusammengefasst, sodass künstlich ein Verlust von Informationen herbeigeführt wird.

  • Kombination der Randomisierung und Generalisierung

Durch eine Kombination der genannten Varianten wird eine Verknüpfung der Datensätze in verschiedenen Datenbanken verhindert, sodass diese nicht mehr in Verbindung gebracht werden können.

 

Rechtsgrundlage der Anonymisierung

Da nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auch eine Anonymisierung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO in Gestalt einer Veränderung bzw. der Löschung darstellt, bedarf es auch für diese einer Rechtsgrundlage.

Grundsätzlich kommen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. In diesem Zusammenhang ist ein Rückgriff auf die Zweckänderung aus Art. 6 Abs. 4 DSGVO von besonderem Interesse. Darauf könnte die Anonymisierung  gestützt werden, sofern sie mit dem ursprünglichen Verarbeitungszweck, für den die Daten erhoben wurden, vereinbar ist.

Weiterhin wird als Rechtsgrundlage für die Anonymisierung Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 17 DSGVO herangezogen, da die Anonymisierung der Erfüllung der Löschpflicht des Verantwortlichen dient.

 

Geeignetheit der Anonymisierung zur Erfüllung der Löschpflicht

Unabhängig von der Frage nach der Rechtsgrundlage, auf welche die Anonymisierung gestützt werden kann, ist die Frage zu klären, ob eine Anonymisierung eine geeignete Löschhandlung zur Erfüllung der Löschpflicht des Verantwortlichen darstellt und dem Löschanspruch des Betroffenen gerecht wird. Insbesondere, da es in der Regel nur schwer feststellbar ist, wann eine sachgerechte Datenanonymisierung vorliegt.

Insoweit hat der Verantwortliche seiner Löschpflicht bereits Genüge getan, wenn es im Zeitpunkt der Vornahme der Anonymisierung faktisch unmöglich ist einen Personenbezug wiederherzustellen. In dem genannten Zeitpunkt darf es nicht möglich sein, ohne unverhältnismäßigen Aufwand eine Person zu identifizieren oder identifizierbar zu machen.

Die Löschpflicht aus Art. 17 DSGVO steht in engem Zusammenhang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO. Letzterer besagt, dass die Identifizierung oder Identifizierbarkeit einer Person nur solange möglich sein darf, bis der Verarbeitungszweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, erreicht ist.

Daraus folgt, dass eine Löschpflicht nach Art. 17 Abs.1 lit. a) DSGVO immer dann besteht, sobald die personenbezogenen Daten für eine zweckgebundene Datenverarbeitung nicht mehr erforderlich sind.

Daher ist die Löschpflicht immer dann ausreichend erfüllt, wenn durch eine geeignete Löschhandlung im Rahmen einer sachgemäßen Anonymisierung jeglicher Personenbezug, der eine Identifizierung oder Identifizierbarkeit ermöglicht, aufgehoben wird.

 

Ausblick

Liegt eine gesetzliche Löschpflicht vor oder machen Betroffene ihren Anspruch auf Löschung geltend, hat dies nicht unbedingt zur Folge, dass Daten vernichtet werden müssen. Auch Maßnahmen der Anonymisierung können einer Löschung im Sinne der DSGVO genügen. Diese Art der Datenverarbeitung birgt allerdings auch Risiken. Bei der Durchführung einer Anonymisierung gilt es daher unbedingt zu beachten, dass eine Rechtsgrundlage vorliegt und Sie als Verantwortlicher ihren Informationspflichten nachkommen, in dem Sie den Betroffenen umfassend über eine Anonymisierung informieren.

Da die Generierung eines anonymen Datenbestandes eine große Herausforderung für den Verantwortlichen darstellt und einige Fehlerquellen birgt, sollte in der Regel eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden. Findet in Ihrem Unternehmen regelmäßig eine Datenanonymisierung statt, sollten Sie die bestehende Anonymisierungen überprüfen und gegebenenfalls neu bewerten.

 

 
 
 

 

 

 

Der Versand von E-Mails gehört heute sowohl in der privaten Kommunikation als auch im unternehmerischen Geschäftsverkehr zum Alltag. Doch gerade beim Versenden von E-Mails kann es recht schnell zu einer Datenpanne kommen. Bereits ein Tippfehler im Adressfeld kann dazu führen, dass die Nachricht an eine falsche Person zugestellt wird. Aber auch beim Versenden vom Massen-E-Mails kann das Eintragen der Empfänger-Adressen in das falsche Feld einen Datenschutzverstoß begründen. In diesem Zusammenhang führte erst kürzlich die Versendung einer solchen Massen-E-Mail an einen größeren Personenkreis durch ein Impfzentrum zu einer schwerwiegenden Datenschutzpanne.

 

Das Wichtigste in Kürze

  • Impfzentrum veröffentlichte in einer Massen-E-Mail versehentlich knapp 1.500 Mailadressen
  • Nutzung offener E-Mail-Verteiler für das Versenden von Rundmails kann einen Verstoß gegen die DSGVO begründen
  • Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen
  • Für den datenschutzkonformen Versand von Rundmails sollte das Feld für die Blindkopie „Bcc“ verwendet werden

 

 

Personenbezogene Daten nach Impfterminabsage einsehbar

Nachdem im Kampf gegen das Corona-Virus das Impfen mit dem Vakzin AstraZeneca in Deutschland vorübergehend ausgesetzt wurde, verursachte eine Mitarbeiterin des Impfzentrums im Ennepe-Ruhr-Kreis bei der kurzfristigen Absage der Impftermine eine schwerwiegende Datenpanne.

Im Rahmen der Terminabsagen wurde eine Rundmail an alle knapp 1500 Impfkandidaten versendet. In der E-Mail waren für alle Empfänger neben dem Kommunikationsinhalt die Mailadressen sämtlicher Impfkandidaten, die bereits einen Impftermin vereinbart hatten, sichtbar.  Die Mitarbeiterin hatte sämtliche Adressen in das falsche Feld des Mailprogramms kopiert.

Auch bei E-Mail-Adressen handelt es sich regelmäßig um personenbezogene Daten. Somit stellt dieser Sachverhalt einen klaren Datenschutzverstoß dar, auch wenn keinerlei Gesundheitsdaten offengelegt wurden.

 

Nutzung offener E-Mail-Verteiler

Immer wieder kommt es auch im geschäftlichen Alltag vor, dass Rundmails, beispielsweise im Rahmen vom Newslettern versandt werden und zahlreiche E-Mail-Adressen offengelegt werden, weil der Absender die Adressen in das An- oder Cc-Feld des E-Mail-Programms einfügt. In einem solchen Fall ist für Empfänger erkennbar, welche E-Mail-Adressen dieselbe Nachricht erhalten haben.

Die Nutzung offener E-Mail-Verteiler für das Versenden von Massen-E-Mails kann grundsätzlich immer einen Verstoß gegen die DSGVO begründen.

Gemäß der Datenschutzgrundverordnung handelt es sich bei Vernichtung, Verlust oder, wie im vorliegenden Fall, der unbefugten Offenlegung von Daten um eine Verletzung des Schutzes personenbezogener Daten.

Sofern die Mail-Adressen mit dem Namen personalisiert sind, kann unter Umständen mit geringem Aufwand die Identität der dazugehörigen Person ermittelt werden. Enthalten demnach die im Verteiler aufgelisteten E-Mail-Adressen den eindeutigen Namen einer Person, liegen personenbezogene Daten vor. Wird die E-Mail-Adresse, die einen Namen enthält und somit einer natürlichen Person zuordenbar ist an Dritte weitergegeben, liegt darin ein meldepflichtiger Verstoß gegen die DSGVO vor. Denn personenbezogene Daten dürfen nur dann an Dritte übermittelt werden, wenn eine Einwilligung des Betroffenen vorliegt oder aber eine gesetzliche Grundlage gegeben ist.

Da im vorliegenden Fall keine Einwilligung der Betroffenen für die Offenlegung ihrer E-Mail-Adresse vorlag, wäre eine andere gesetzliche Grundlage erforderlich gewesen, die ebenso wenig vorhanden war.

Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen.

 

Datenschutzkonformer Versand von Rundmails

Grundsätzlich dürfen personenbezogene E-Mail-Adressen bei mehreren E-Mail-Empfängern nicht ohne deren Einwilligung in die Felder „An“ oder „Cc“ der E-Mail-Programme eingegeben werden. Insoweit sollte das Feld für die Blindkopie „Bcc“ verwendet werde. Adressen die in „Bcc“ aufgeführt sind, sind für andere Empfänger nicht sichtbar.

 

Sanktionen

Da es sich bei dem Impfzentrum um eine behördliche Einrichtung handelt, gegen die gem. § 43 Abs. 3 BDSG grundsätzliche kein Bußgeld verhängt werden kann, werden die Verantwortlichen lediglich auf den vorliegenden Datenschutzverstoß hingewiesen.

Demgegenüber kann der Versand von E-Mails mit offenen Verteilerlisten durch Privatpersonen oder Unternehmen schwerwiegende Folgen haben und mit empfindlichen Bußgeldern sanktioniert werden.

Grundsätzlich werden Bußgelder der Behörden lediglich gegenüber Unternehmen als für die Datenverarbeitung Verantwortliche ergehen. Kommt es trotz Schulungsmaßnahmen, Richtlinien und klarerer Vorgaben der Unternehmensleitung dennoch durch Verhalten eines Mitarbeiters zu einer Datenpanne, kann ausnahmsweise auch dieser mit einem Bußgeld belegt werden.

 

Ausblick

Derartige Fehler beim Versand von E-Mails, wie sie dem Impfzentrum unterlaufen sind, sind unbedingt zu vermeiden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter auch in diesem Bereich für den Datenschutz sensibilisieren. Dies gilt vor allem für Angestellte, die häufig per E-Mail nach außen kommunizieren, um beispielsweise Angebote oder Newsletter an Kunden zu versenden. Insoweit bedarf es der Schaffung klar definierter Prozesse sowie der Anweisung und Schulung sämtlicher Mitarbeiter, die im geschäftlichen Verkehr E-Mails versenden.

 
 
 

 

Bußgeld i.H.v. 475.000 € wegen verspäteter Meldung einer Datenschutzpanne

Spätestens seit der Einführung der Datenschutzgrundverordnung im Mai 2018 sollten Unternehmen die DSGVO und die dort benannten Pflichten ernst nehmen. Immer wieder verhängen die Datenschutzbehörden hohe Bußgelder wegen Missachtung datenschutzrechtlicher Grundsätze. So wurde das niederländische Portal für die Buchung von Unterkünften Booking.com mit einem Bußgeld in Höhe von 475.000 € für die verspätete Meldung einer Datenschutzpanne sanktioniert.

 

Das Wichtigste in Kürze

  • Eine Datenpanne liegt dann vor, wenn es zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten kommt oder unbefugte Dritte Kenntnis von den personenbezogenen Daten erlangen.

  • Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.

  • Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

  • Die Verletzung der Meldepflicht kann mit einer Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes sanktioniert werden.

 

Die Datenpanne

Der Bußgeldbescheid der niederländischen Datenschutzbehörde erging infolge einer schweren Datenpanne, die sich bei dem internationalen Online-Portal für die Buchung von Übernachtungsmöglichkeiten Booking.com abgespielt hat. Im Dezember 2018 verschafften sich Cyber-Kriminelle Zugang zu personenbezogenen Daten von über 4.000 Kunden.

Dafür sollen sie sich Zugangsdaten für die Booking.com-Konten von ca. 40 Hotel-Mitarbeitern in den Vereinigten Arabischen Emiraten beschafft haben.

Über die anschließende Nutzung der Plattform, konnten die Hacker auf die personenbezogenen Daten der Kunden zugreifen.

Gestohlen wurden komplette Datensätze mit Namen, Adressen sowie Zahlungsmitteln. Laut Booking.com soll es jedoch zu keiner Kompromittierung  des Codes sowie der Datenbanken gekommen sein.

Darüber hinaus konnten die Hacker telefonisch und per E-Mail, indem sie sich als Mitarbeiter der Plattform ausgaben, Kreditkartendaten abgreifen, wobei teilweise die Sicherheitsnummern einsehbar waren.

 

DSGVO-Verstoß: Verspätete Meldung der Datenpanne

Das Unternehmen mit Sitz in den Niederlanden stellte die Sicherheitsverletzung am 13. Januar 2019 fest. Eine Meldung an die Datenschutzbehörde erfolgte demgegenüber erst 25 Tage später am 7. Februar 2019, nachdem das Unternehmen drei Tage zuvor seine Kunden benachrichtigt hatte. Dieses Vorgehen stellt einen schweren Verstoß gegen die Meldepflicht aus der DSGVO dar.

 

Wann besteht eine Meldepflicht?

Gem. Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden.

Eine Datenpanne liegt gem. Art. 4 Nr. 12 DSGVO dann vor, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, die zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten führt oder zur Kenntnisnahme durch unbekannte Dritte.

Unter den Begriff der Datenschutzverletzung sind folgende Situationen zu fassen:

  • Vernichtung

Erfasst sind alle Formen der Datenlöschung, die eine unwiderrufliche Zerstörung von Daten zur Folge hat, ganz gleich, ob dies vorsätzlich oder unbeabsichtigt erfolgt.

  • Verlust

Auch Daten, die unvorhergesehen verloren gehen, ganz gleich, ob nur vorübergehend oder dauerhaft können einen Datenschutzverstoß darstellen.

  • Veränderung

Darunter ist die inhaltliche Umgestaltung von Daten zu verstehen, durch die personenbezogene Daten einen neuen Informationsgehalt aufweisen.

  • Offenlegung/Weitergabe

Insbesondere die Weitergabe von Daten an Dritte oder die Offenlegung gegenüber Dritten kann einen Datenschutzverstoß bedeuten, wenn keine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage einschlägig ist.

  • Unbefugter Zugriff

Können sich Dritte aufgrund unzureichender Sicherheitsmaßnahmen unbefugt Zugang zu personenbezogenen Daten verschaffen und von diesen Kenntnis nehmen, stellt auch dies eine Datenschutzverletzung dar.

Tritt eine dieser Situationen ein, liegt in der Regel eine meldepflichtige Datenschutzverletzung im Sinne des Art. 33 Abs. 1 DSGVO vor.

 

Frist zur Meldung einer Datenpanne

Gem. Art. 33 Abs. 1 DSGVO muss eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden.

Die Vorgabe der 72 Stunden-Frist soll eine schnelle Meldung sowie damit einhergehende Maßnahmen zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen gewährleisten.

Eine Überschreitung der Frist des Art. 33 Abs. 1 DSGVO ist nur dann zulässig, wenn für eine Meldung zu diesem Zeitpunkt nicht genügend Informationen vorliegen. Ist dies der Fall, muss bei Vornahme der Meldung eine überzeugende Begründung der Verzögerung beigefügt werden.

Sofern die inhaltlichen Mindestanforderungen nicht sofort, sondern nur schrittweise erfüllt werden können, besteht nach Art. 33 Abs. 4 DSGVO die Option, die erforderlichen Informationen nach und nach an die zuständige Behörde herauszugeben.

Für die Einhaltung der verhältnismäßig kurzen Frist ist es von großer Wichtigkeit, Datenschutzverletzungen im eigenen Unternehmen schnellstmöglich feststellen zu können. Aus diesem Grund ist es empfehlenswert, Prozesse für die Meldung von Datenpannen zu etablieren.

 

Meldepflicht des Verantwortlichen

Die Meldepflicht trifft grundsätzlich den für die Datenverarbeitung Verantwortlichen.

Sofern eine gemeinsame Verantwortlichkeit vorliegt, ist eine vorherige Festlegung der Verantwortung für eine Meldung erforderlich. Regelmäßig wird die Person, in deren Zuständigkeit die Datenschutzverletzungen dieser Art fallen, verantwortlich sein.

Kommt es im Rahmen einer Auftragsverarbeitung zu einer Datenschutzpanne, hat der Beauftragte gemäß Art. 33 Abs. 2 DSGVO unverzüglich Meldung an den Verantwortlichen zu machen, sodass dieser sich an die zuständige Aufsichtsbehörde wenden kann. Der Auftragsverarbeiter muss die Datenpanne hingegen nicht an die zuständige Aufsichtsbehörde melden.

 

Ausnahme der Meldepflicht

Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

Zentraler Anknüpfungspunkt ist demnach eine zuvor vorgenommene Risikoprognose. Der Verantwortliche muss eine Bewertung des Risikos vornehmen, bei der das Verhältnis von Schwere und Eintrittswahrscheinlichkeit der Verletzung sowie der Schadenshöhe berücksichtigt wird. Dabei müssen für das Nichtvorliegen des Risikos keine Beweise vorliegen. Eine schlüssige Prognose ist ausreichend.

 

Inhaltliche Anforderungen an die Meldepflicht

Inhaltliche Mindestanforderungen einer Meldung an die Aufsichtsbehörde regelt Art. 33 Abs. 3 DSGVO.

Danach muss die Meldung eine umfassende Beschreibung der Art der Datenschutzverletzung (z.B. Zugriff unbefugter Dritter) haben. Darin muss soweit es möglich ist, eine Angabe der Kategorien (z.B. Kundendaten) und der ungefähren Zahl der Betroffenen sowie die ungefähre Zahl der betroffenen personenbezogenen Datensätze enthalten sein.

Weiterhin muss aus der Meldung der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Konsequenzen der Datenschutzverletzung sowie eine Beschreibung der vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Beseitigung der Datenschutzverletzung und gegebenenfalls zur Abmilderung der nachteiligen Auswirkungen hervorgehen.

 

Benachrichtigung Betroffener über eine Datenpanne

Weiterhin enthält die Verordnung eine abgestufte Melde- und Benachrichtigungspflicht.

So müssen Betroffene im Gegensatz zur Aufsichtsbehörde nach Art. 34 Abs. 1 DSGVO immer erst dann benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.

Anders als gegenüber der Aufsichtsbehörde muss der Verantwortliche dem Betroffenen kein umfassendes Bild der Datenschutzverletzung geben. Aus der Benachrichtigung muss lediglich die Art der Datenschutzverletzung hervorgehen, etwaige Kontaktdaten des Datenschutzbeauftragten und eine Beschreibung der wahrscheinlichen Folgen sowie der bereits ergriffenen und empfohlenen Maßnahmen.

Trifft der Verantwortliche im Vorfeld geeignete Sicherheitsvorkehrungen, die einen Zugriff Dritter auf die schützenswerten Daten effektiv verhindern (bspw. durch Verschlüsselung), muss der Betroffene entsprechend Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden. Dasselbe gilt für den Fall, dass der Verantwortliche als Reaktion auf die Datenpanne Maßnahmen ergreift, die mit hoher Wahrscheinlichkeit sicherstellen, dass das hohe Risiko für die Daten des Betroffenen nicht mehr besteht.

 

Form der Meldung einer Datenpanne

Auch wenn Art. 33 DSGVO keine Vorgaben hinsichtlich der Form einer Meldung enthält, empfiehlt es sich aus Gründen des Nachweises einen schriftlichen Meldenachweis zu führen.

Denn in diesem Zusammenhang besteht eine allgemeine Dokumentationspflicht des Verantwortlichen aus der DSGVO, die zum einen der aufsichtsbehördlichen Prüfung und zum anderen dem Verantwortlichen als Nachweis dienen soll.

Entsprechende Meldeformulare sind regelmäßig auf den Webseiten der Landesdatenschutzbehörden zu finden.

 

Bußgeld wegen verspäteter Meldung der Datenpanne

Im Fall von Booking.com hat die niederländische Datenschutzbehörde zur Sanktion der zu spät eingegangenen Meldung ein Bußgeld in Höhe von 475.000 Euro verhängt.

Gem. Art. 83 Abs. 4 lit. a) DSGVO kann bei der Verletzung der Pflicht aus Art. 33 DSGVO eine Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes gegen den Verantwortlichen verhängt werden.

 

Ausblick

Bußgelder wie im Fall von Booking.com führen deutlich vor Augen, welche Konsequenzen die mangelhafte Umsetzung der DSGVO und der aus ihr resultierenden Pflichten haben kann. Die Aufsichtsbehörden nehmen die DSGVO ernst und prüfen nicht nur, ob Unternehmen ausreichende Maßnahmen zur Prävention von Datenschutzpannen treffen, sondern sanktionieren vielmehr auch den fehlerhaften Umgang mit Datenpannen, insbesondere verspätete Meldung an die zuständige Behörde. Bereiten Sie Ihr Unternehmen jetzt auf den richtigen Umgang mit Datenschutzpannen vor, indem sie interne Richtlinien zum Vorgehen bei Datenschutzverletzungen aufstellen sowie technische Maßnahmen implementieren, um solchen vorzubeugen.

 
 
 

 

 

 

Sehr geehrte Mandantinnen und Mandanten,

sehr geehrte Webseitenbesucher,

 

leider ist uns zur Kenntnis gelangt, dass eine uns bisher noch unbekannte Person falsche Abmahnungen im Namen eines Herrn Lao Saiha versendet, welche den Vorwurf einer Urheberrechtsverletzung zum Inhalt haben das Logo sowie die Anschrift unserer Kanzlei enthalten.

 

Der angebliche Sachbearbeiter dieser falschen Abmahnung ist ein Herr Santiano Maimone Baronello.

 

Im Rahmen dieser falschen Abmahnung wird die Abgabe einer strafbewährten Unterlassungserklärung gefordert sowie die Zahlung eines Betrages i.H.v. insgesamt 1.985,79 €, bestehend aus einer Schadensersatzforderung von 1.200,00 € und Rechtsverfolgungskosten i.H.v. 785,79 €.

 

Die Unterlassungserklärung soll an die Adresse des Herrn Baronello, Kirchgasse 334, 67454 Haßloch versandt werden, die Zahlung auf ein Konto mit der IBAN DE 5310 0110 0126 2773 5262 erfolgen.

 

Weder die Anschrift noch das angegebene Konto stehen in irgend einem Zusammenhang mit unserer Kanzlei oder deren Mitarbeitern.

 

Tatsächlich war und ist kein Herr Santiano Maimone Baronello in unserer Kanzlei beschäftigt. Es besteht auch kein Mandat des Herrn Lao Saiha in unserer Kanzlei. Diese Personen sind uns gänzlich unbekannt.

 

Wir müssen davon ausgehen, dass eine Vielzahl dieser Schreiben an potentielle Betroffene versandt wurden und diese in betrügerischer Absicht und unter Ausnutzung unseres Geschäftszeichens und unseres guten Rufs zur Zahlung der unberchtigten Forderungen veranlasst werden sollen. Wir haben Strafanzeige bei der zuständigen Staatsanwaltschaft Frankenthal erstattet, um die Schädigung weiterer Betroffener schnellstmöglich zu verhindern.

 

Sollten Sie ein derartiges Schreiben erhalten, welches Herr Santiano Maimone Baronello als Absender und als Empfänger der Unterlassungserklärung ausweist, sollten Sie weder eine Unterlassungserklärung abgeben noch die geforderten Beträge zahlen, sondern sich direkt an die nächste Polizeidienststelle oder die zuständige Staatsanwaltschaft wenden.

 

Die offiziellen Schreiben unserer Kanzlei erkennen Sie daran, dass sie neben dem Logo einen umfassenden Briefkopf mit Angaben über die beschäftigten Anwälte sowie Kontakt- und Kontodaten enthalten.

 

Sollten Sie sich nicht sicher sein, ob Sie ein Schreiben unserer Kanzlei erhalten haben oder ob es sich um einen Betrugsversuch handelt, können Sie gerne mit uns Kontakt aufnehmen. Die entsprechenden Angaben finden Sie auf unserer Webseite unter https://kolb-blickhan-partner.de/impressum/.

 
 
 
 

 

Corona-Tests durch den Arbeitgeber: Datenschutzrechtliche und arbeitsrechtliche Perspektive

 

Auch bei der derzeitigen Entwicklung der Corona-Pandemie bleiben Arbeitgeber nach den Ergebnissen des Bund-Länder-Gipfels vom 22.03.2021 von einer Pflicht zum Anbieten von Corona-Tests in ihren Unternehmen verschont. Zuvor wurde darüber diskutiert, ob die Betriebe verpflichtet werden sollten, ihren Beschäftigten, die nach wie vor in Präsenz statt vom Homeoffice aus tätig werden, regelmäßige Testangebote zu machen. Stattdessen wird nun weiter auf die Selbstverpflichtung der Spitzenverbände der Wirtschaft gesetzt: Diese appellieren an die Unternehmen, ihren Beschäftigten Selbsttests und, wenn möglich, PoC-Antigen-Schnelltests anzubieten. Während die Schnelltests von den Mitarbeitern selbst angewendet werden, müssen PoC-Antigen-Schnelltests von medizinisch oder geeignet geschultem Personal durchgeführt werden. Die Kosten der Tests tragen jeweils die Arbeitgeber. Ob die aufgrund der Selbstverpflichtung freiwillig durchgeführten Maßnahmen ausreichen, soll Anfang April überprüft werden und sodann gegebenenfalls die Arbeitsschutzverordnung angepasst werden.

Einzelne Bundesländer sehen in diesem Rahmen schon weitergehende Verpflichtungen vor: In Sachsen sind Arbeitgeber bspw. bereits aufgrund der dort geltenden Corona-Schutz-Verordnung angewiesen, ihren Beschäftigten einmal pro Woche einen kostenfreien Selbsttest anzubieten, unter dem Vorbehalt hinreichender Verfügbarkeit der Tests.

Gleich, ob der Arbeitgeber verpflichtet ist oder freiwillig handelt – in Hinblick auf Corona-Tests am Arbeitsplatz stellt sich zunächst die Frage, ob der Arbeitgeber seinerseits den Arbeitnehmer verpflichten kann, sich testen zu lassen bzw. selbst einen Test durchzuführen. Bei Durchführung der Tests resultieren hieraus weitere datenschutzrechtliche Fragestellungen, die ebenfalls im Folgenden näher beleuchtet werden sollen.

 

Darf der Arbeitgeber verpflichtende Corona-Tests anordnen?

Die grundsätzliche Möglichkeit des Arbeitsgebers, die Durchführung eines Corona-Tests für seine Arbeitnehmer anzuordnen, ergibt sich aus seinem Weisungsrecht nach § 106 GewO. Nach dieser Vorschrift darf der Arbeitgeber die Art der Arbeitsleistung nach „billigem Ermessen“ näher bestimmen, was eine Interessenabwägung voraussetzt. Der Arbeitgeber kann sich als Grundlage für die Weisung hierbei zunächst auf seine Pflicht berufen, während der Corona-Pandemie die erforderlichen Maßnahmen zum Gesundheitsschutz in seinem Betrieb zu treffen, § 618 I BGB, §§ 3, 9 II, III ArbSchG. Auch insoweit müsste eine Verpflichtung der Arbeitnehmer zu einem Selbst- oder Schnell-Test aber verhältnismäßig sein. Voranzustellen ist insofern, dass Selbst- und Schnelltests jedenfalls einen geeigneten Weg darstellen, um eine Corona-Infektion aufzudecken. Anders zu beurteilen kann die Geeignetheit der Maßnahme bspw. bei Temperaturmessungen am Betriebseingang sein, denn es ist nicht nachgewiesen, dass Fieber ein sicherer Indikator für eine Corona-Infektion ist.

Auf Seiten des Arbeitgebers besteht sodann ein allgemeines Interesse am betrieblichen Gesundheitsschutz sowie ein Interesse an der Verhinderung von infektionsbedingten Betriebsschließungen und einem störungsfreien Arbeitsablauf. Auf Seiten der Arbeitnehmer sind das Recht auf körperliche Unversehrtheit sowie sein Persönlichkeitsrecht in die Abwägung einzustellen. Jedoch wird man wohl nur einen leichten Eingriff in die körperliche Unversehrtheit des Arbeitnehmers annehmen können, denn dieser erschöpft sich in einem unangenehmen Gefühl bei Durchführung des Tests ohne weitere Folgen und ist zudem zeitlich stark begrenzt. Vor diesem Hintergrund werden vor allem bei vermehrten Infektionsfällen im Betrieb die vorgenannten Arbeitgeberinteressen überwiegen. Auch ohne auffälliges Infektionsgeschehen im Betrieb kann dies in Hinblick auf die Testung einzelner Arbeitnehmer der Fall sein, wenn diese Krankheitssymptome aufweisen, denn dann haben sie aufgrund Nr. 4.2.11 der SARS-CoV-Arbeitsschutzregel dem Arbeitsplatz fernzubleiben. Im Übrigen kann auch regelmäßig dann von einem Überwiegen der Arbeitgeberinteressen ausgegangen werden, wenn es sich um Arbeitsplätze mit engem Personenkontakt handelt, etwa bei pflegerischen oder anderen körpernahen Dienstleistungen. Zur Anordnung völlig verdachtsunabhängiger, anlassloser Tests ist der Arbeitgeber hingegen nicht berechtigt.

Ein weiterer Gesichtspunkt, der in diesem Kontext insbesondere mit einer zunehmenden Impfquote auch in jüngeren Gesellschaftsgruppen relevant werden kann, ist, dass der Impfschutz dem Verlangen des Arbeitgebers nach einem Schnelltest nicht entgegengehalten werden kann, da noch keine fundierten Erkenntnisse darüber bestehen, inwieweit geimpfte Personen weiter infektiös bleiben.

Hat der Arbeitgeber nach den vorstehend dargestellten Grundsätzen rechtmäßig einen Corona-Test angeordnet, so bietet ein Arbeitnehmer, der den Test verweigert und somit auch kein negatives Testergebnis vorweisen kann, seine Arbeitsleistung nicht ordnungsgemäß an. Der Arbeitgeber muss dieses Arbeitsangebot folglich nicht annehmen und kann dem Arbeitnehmer stattdessen auch den Zutritt zum Betrieb verwehren. Der Arbeitgeber gerät hierdurch nicht in Annahmeverzug i.S.v. § 615 S. 1 BGB, sondern es entfällt vielmehr der Vergütungsanspruch des Arbeitnehmers.

 

Beschäftigtendatenschutz bei Durchführung von Corona-Tests durch den Arbeitgeber

Rechtsgrundlagen der Datenverarbeitung

 

Werden in einem Unternehmen nun arbeitgeberseitig angeordnete Corona-Tests durchgeführt, so müssen hierbei die datenschutzrechtlichen Anforderungen eingehalten werden.

Generell erfolgt die Verarbeitung von Beschäftigtendaten auf Grundlage der § 26 I BDSG sowie Art. 6 I f) DS-GVO. Da es sich bei den im Zusammenhang mit dem Test erhobenen Daten – insbesondere den Testergebnissen – jedoch um Gesundheitsdaten handelt, ist Art. 9 I DS-GVO heranzuziehen. Gesundheitsdaten stellen eine besondere Kategorie personenbezogener Daten dar, die vom Gesetzgeber als besonders schützenswert erachtet wird. Aus diesem Grund ist die Verarbeitung dieser Daten grundsätzlich untersagt. Ausnahmsweise ist die Verarbeitung in den engen Grenzen des Art. 9 II DS-GVO möglich.

Im Rahmen von Beschäftigungsverhältnissen kommt als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten Art. 9 II b) DS-GVO i.V.m. § 26 III BDSG in Betracht: Die Verarbeitung von Gesundheitsdaten ist hiernach zulässig, wenn sie zur Erfüllung rechtlicher Pflichten des Arbeitsgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die „rechtliche Pflicht des Arbeitgebers“ aus dem Arbeitsrecht stellt hier die Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern aus § 618 I BGB dar. Daneben greift die Verpflichtung des Arbeitgebers nach §§ 3, 9 II, III ArbSchG, Gesundheitsrisiken am Arbeitsplatz so weit wie möglich auszuschließen. Diese Pflichten wurden bereits in Hinblick auf die Frage, ob der Arbeitgeber Corona-Tests überhaupt anordnen darf, bedeutsam, und spielen nun auch hier als Teil des Rechtsgrunds der Datenverarbeitung eine Rolle.

Neben § 26 III BDSG ist auch nach §§ 24 II, 22 I Nr. 1 b) BDSG die Verarbeitung der vorgenannten Daten zum Zweck der Gesundheitsvorsorge und für die Beurteilung der Arbeitsfähigkeit von Beschäftigten zulässig. Dies gilt jedoch nur, wenn die Daten durch ärztliches Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, verarbeitet werden. Bei einem von einem Betriebsarzt durchgeführten Corona-Test wäre diese Voraussetzung erfüllt.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit Corona-Tests kann des Weiteren auf der Rechtsgrundlage des Art. 9 II i) DS-GVO i.V.m. § 22 I Nr. 1 c) BDSG erfolgen, der die Verarbeitung besonderer Kategorien personenbezogener Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erlaubt. Hiervon wird auch der Schutz vor sich weltweit verbreitenden Pandemien umfasst, denn durch diese wird der Bereich der öffentlichen Gesundheit zweifelsohne betroffen.

Auch im Rahmen besonderer personenbezogener Daten kann die Datenverarbeitung grundsätzlich aufgrund einer Einwilligung der betroffenen Person rechtmäßig sein, die hier jedoch – anders als im Rahmen von Art. 6 I S. 1 a) DS-GVO – nicht konkludent abgegeben werden kann. Ausschließlich auf eine Einwilligung sollte die Verarbeitung von Daten bei der Durchführung von Corona-Tests jedoch besser nicht gestützt werden. Denn zu beachten ist stets, dass eine solche Einwilligung frei und informiert zu erfolgen hat. Insbesondere die Freiwilligkeit einer Einwilligung des Arbeitnehmers könnte aber aufgrund des bestehenden Abhängigkeitsverhältnisses zum Arbeitgeber zweifelhaft sein. Beim Verweigern der Einwilligung müsste der Arbeitnehmer hier befürchten, dass er den Zugang zu seinem Arbeitsplatz verwehrt bekommt und infolgedessen finanzielle Nachteile erleidet.

An möglichen Rechtsgrundlagen für die Datenverarbeitung anlässlich der Durchführung von Corona-Tests fehlt es also grundsätzlich nicht.

 

Weiterer Umgang mit den Daten

 

Führt ein Betriebsarzt oder ein anderer Angehöriger einer Gruppe der Heilberufe einen PoC-Antigen-Schnelltest durch, so hat er ein positives Testergebnis nach § 8 I i.V.m. § 9 IfSG an das jeweils zuständige Gesundheitsamt zu melden. Auch wenn grundsätzlich eine Schweigepflicht des Betriebsarztes besteht, tritt aufgrund der Gefährdungslage für die Gesundheit der anderen Arbeitnehmer und Kunden durch einen mit Corona infizierten Arbeitnehmer dessen Recht auf Vertraulichkeit der Informationen zurück. Ein Betriebsarzt ist daher berechtigt, (neben dem Gesundheitsamt) auch dem Arbeitgeber ein positives Testergebnis mitzuteilen.

Bei einem Selbsttest bestehen hingegen keine Meldepflichten gegenüber dem Gesundheitsamt. Der Arbeitnehmer, der den Test selbst vornimmt, ist jedoch aufgrund seiner nebenvertraglichen Rücksichtnahmepflichten und der Treuepflicht aus § 242 BGB verpflichtet, dem Arbeitgeber ein positives Testergebnis zu melden.

Den Arbeitgeber trifft indes keine Meldepflicht gegenüber dem Gesundheitsamt; im Umkehrschluss ist eine unaufgeforderte Weitergabe der erhobenen Daten an dieses nicht vorzunehmen.

Anders stellt sich die Situation lediglich dar, wenn das Gesundheitsamt eine Offenlegung nach § 16 I, II S. 3 IfSG anordnet.

Die betroffenen Beschäftigten sind spätestens zum Zeitpunkt der Datenerhebung über die Verarbeitung ihrer Daten zu informieren, Art. 13 DS-GVO. Die Information muss sich hierbei unter anderem auf die Rechtsgrundlagen der Verarbeitung, die Verarbeitungszwecke, die Speicherdauer, die für die Datenverarbeitung Verantwortlichen sowie etwaige Empfänger bei Weitergabe der Daten beziehen.

Darüber hinaus muss der Arbeitgeber sorgsam überlegen, wie er betriebsintern mit den gewonnenen Informationen über den positiv getesteten Arbeitnehmer umgeht – er darf diese sensiblen Daten bspw. nicht ohne weiteres an die Belegschaft weitergeben, denn dies würde nach der Erhebung der Gesundheitsdaten eine weitere Datenverarbeitung darstellen, die nicht mehr durch die vorgenannten Rechtsgrundlagen gedeckt ist. Im Einzelfall kann sich eine andere Beurteilung ergeben, wenn der positiv getestete Arbeitnehmer die Tage zuvor am Arbeitsplatz zugegen und war und dort gegebenenfalls andere Personen angesteckt haben könnte. Eine Informationspflicht des Arbeitgebers ergibt sich dann aus seiner bereits angesprochenen Fürsorgepflicht gegenüber den Beschäftigten. Um die in Betracht kommenden Personen zu warnen, kann eine Offenlegung des positiven Testergebnisses und unter Umständen – zu Identifizierungszwecken, jedoch nur, wenn dies ausnahmsweise erforderlich ist, um entsprechende Vorsorgemaßnahmen ergreifen zu können – auch des Namens des betreffenden Arbeitnehmers ihnen gegenüber notwendig sein. Der Schutz der Kontaktpersonen kann insoweit das Geheimhaltungsinteresse des betreffenden Arbeitnehmers überwiegen.

Zuletzt ist einem testenden Arbeitgeber dringend zu empfehlen, den allgemein bei der Datenverarbeitung zu beachtenden Grundprinzipen Rechnung zu tragen; besonders hervorgehoben seien hier der Zweckbindungsgrundsatz aus Art. 5 I b) DS-GVO, der Grundsatz der Datensparsamkeit bzw. Datenminimierung aus Art. 5 I c) DS-GVO sowie der Grundsatz der Speicherbegrenzung aus Art. 5 I e) DS-GVO. Daraus ergibt sich, dass grundsätzlich nur so viele Daten wie nötig erhoben werden dürfen und diese auch nur so lange gespeichert werden sollten, wie sie zur Zweckerreichung erforderlich sind. Dies dürfte in Hinblick auf die Testergebnisse selbst bereits unmittelbar nach Weiterleitung durch das testende Personal an die zuständigen Stellen der Fall sein.

 

 
 
 

 

 

 

Kommt es zu Verstößen gegen die Vorgaben der Datenschutzgrundverordnung, sind die Datenschutzbehörden und damit auch die Sanktionen durch Bußgelder nicht weit. In diesem Zusammenhang wird oftmals vernachlässigt, dass DSGVO-Verstöße auch Ansprüche Betroffener, gerichtet auf immateriellen Schadensersatz aus Art. 82 DSGVO nach sich ziehen können. Tatsächlich machen immer mehr Betroffene ihre Rechte geltend, sodass die deutschen Gerichte sich zunehmend mit immateriellen Schadenersatzansprüchen aus der DSGVO befassen müssen.

Auch das AG Pforzheim musste sich im vergangenen Jahr mit einer solchen Klage auf Schadenersatz auseinandersetzten.  In seinem Urteil vom 25.3.2020 (Az. 13 C 160/19) sprach das Gericht dem Betroffenen einen immateriellen Schadensersatzanspruch in Höhe von 4.000 € nach Art. 82 Abs. 1 DSGVO, wegen unrechtmäßiger Weitergabe sensibler Daten zu. Das AG stellte insbesondere fest, dass eine Datenübermittlung an Prozessbevollmächtigte zur Einbringung in gerichtliche Verfahren nicht ohne Weiteres erfolgen darf.

 

1. Hintergrund

Im streitgegenständlichen Verfahren verklagte der Betroffene einen Psychotherapeuten auf immateriellen Schadensersatz in Höhe von 5.000 €.

Die Frau des Klägers berichtete im Rahmen ihrer Behandlung beim Beklagten über Eheprobleme mit dem Kläger. Unter anderem erzählte sie von dessen Drogen- und Alkoholkonsum sowie von ungewöhnlichen Verhaltensauffälligkeiten. Infolgedessen bat der Beklagte den Betroffenen, sich in der Praxis vorzustellen. Der Betroffene kam der bitte nach, sodass ein Gespräch zwischen den beiden Parteien stattfand.

Sämtliche Informationen die der Beklagte von der Ehefrau sowie vom Kläger selbst im Rahmen des Gesprächs zu dessen Person erhielt sowie die daraus gestellte Diagnose wurden im Praxissystem dokumentiert. Nachdem es zur Trennung des Ehepaares gekommen war, wandte sich der Prozessbevollmächtigte der Ehefrau im Rahmen eines Umgangsverfahrens bezüglich der gemeinsamen Kinder an den Beklagten.

In diesem Zusammenhang übermittelte der Beklagte ein Schreiben an den Bevollmächtigten der Frau, das eine ausführliche Anamnese des Betroffenen samt Diagnose einer narzisstischen Persönlichkeitsstörung enthielt.

Diese Stellungnahme wurde in das Umgangsverfahren eingeführt, wodurch sämtliche am Prozess Beteiligte vom Inhalt des Schreibens Kenntnis erlangten.  Infolgedessen, erhob der Betroffene Klage gegen den Therapeuten auf immateriellen Schadensersatz in Höhe von 5.000 € auf Grund unbefugter Übermittlung von Gesundheitsdaten an Dritte.

 

2. Verstoß gegen die DSGVO

Gesundheitsdaten sind besonders sensible Daten, deren Verarbeitung grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist, es sei denn, es liegt einer der gesetzlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor. Dies ist dann der Fall, wenn der Betroffene beispielsweise in die Verarbeitung einwilligt oder diese – zum Beispiel im Rahmen eines medizinischen Behandlungsvertrages – für die Behandlung des Betroffenen als Patienten erforderlich ist.

Im vorliegenden Fall hatte der Betroffene weder eine Einwilligung zur Datenübermittlung an Dritte erteilt, noch lag einer der anderen Erlaubnistatbestände vor.

Die Datenübermittlung an den Prozessbevollmächtigten der Ehefrau diente allein der Einführung in das familienrechtliche Umgangsverfahren.

Obgleich die Beweggründe des Beklagten, aufgrund der psychischen Probleme des Ehemannes seiner Patientin auf den ersten Blick menschlich nachvollziehbar erscheinen, ist dennoch zu berücksichtigen, dass der Betroffene sich nicht in Behandlung des Psychotherapeuten befand und der Prozessbevollmächtigte der Ehefrau einen im Sinne der DSGVO außenstehenden Dritten darstellt.

Eine Datenübermittlung darf jedoch auch an Prozessbevollmächtigte nicht ohne Weiteres erfolgen. Das gilt umso mehr, wenn die Daten in einer den Betroffenen belastenden Weise in einen Prozess eingeführt werden sollen und dies zusätzlich die Offenlegung der Daten gegenüber weiteren Personen zur Folge hat

 

3. Berechnung der Höhe des Schadensersatzes

Grundsätzlich stellt nicht bereits der jeweilige Verstoß als solcher einen immateriellen Schaden dar. Vielmehr muss vom Betroffenen ein konkret eingetretener Nachteil als Folge des Datenschutzverstoßes vorgetragen werden. Maßgeblich für die Berechnung der Höhe des Schadensersatzanspruchs war im vorliegenden Fall, dass es sich bei den betroffenen Daten um Gesundheitsdaten handelt. Diese sind gem. Art. 9 Abs. 1 DSGVO besonders sensible Daten.

Da die Anmerkungen des Beklagten zur Person des Betroffenen Rückschlüsse auf die Psyche des Betroffenen zulassen und daher geeignet seien das Bild des Betroffenen gegenüber Dritten in negativer Hinsicht zu beeinträchtigen und dessen Selbstbild zu schädigen, ist dem Betroffenen durch die Offenlegung bereits ein konkreter Schaden eingetreten. Darin liege ein erheblicher Eingriff in die höchstpersönliche Sphäre des Betroffenen vor.

Obgleich die Daten nur einem abgrenzbaren Publikum – den Verfahrensbeteiligten und dem unmittelbaren Umfeld des Betroffenen – offengelegt wurden, vermag dies an der Entscheidung des Gerichts nichts zu ändern.

Demgegenüber dürfe nicht vernachlässigt werden, dass die offengelegten Informationen gerade im Rahmen eines familienrechtlichen Umgangsverfahrens als besonders sensibel einzustufen sind, da sie in erheblichem Maße geeignet sind, Einfluss auf die Entscheidung des Gerichts und die Entscheidung der Ehefrau über die Einräumung eines Umgangsrechts des Betroffenen mit den gemeinsamen Kindern zu nehmen.

Unter Abwägung dieser Gesichtspunkte bezifferte das Gericht in diesem Fall den Schadensersatzanspruch des Betroffenen auf 4.000 €. Da die Datenweitergabe in die höchstpersönliche Sphäre des Betroffenen eingriff und der Rechtsverletzung durch die Einführung im Umgangsprozess eine gewisse Außenwirkung zukommt, kann von einer bloßen Bagatelle nicht mehr die Rede sein. Die Höhe sei sowohl ausreichend als auch erforderlich, um die von der DSGVO geforderte Abschreckungswirkung zu erzielen und zugleich die Genugtuungsfunktion, die der Entschädigung des Betroffenen dient, zu gewährleisten.

 

4. Ausblick

Die bisher ergangenen Entscheidungen zeigen, dass deutsche Gerichte Art. 82 Abs. 1 DSGVO beim Zuspruch immateriellen Schadensersatzes tendenziell restriktiv Anwenden und sich an den bisher bewährten Grundsätzen des Schadensrechts orientieren. Zwar sieht Art. 82 Abs. 1 DSGVO eine Entschädigung des Betroffenen für immaterielle Schäden vor. Eine Verletzung der DSGVO – Vorschriften begründet allerdings nicht automatisch einen Anspruch auf Schadensersatz.

Insoweit muss der Betroffene einen konkreten, in seiner Person unmittelbar aufgetretenen Schaden darlegen. Ein solcher Nachteil ist stets anzunehmen, wenn dem Betroffenen aus der Datenschutzverletzung spürbare Nachteile entstehen und diese objektiv nachvollziehbar persönliche Belange des Betroffenen in erheblichem Maß beeinträchtigen und diese Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.

Davon abzugrenzen sind bloße Bagatellverstöße, die lediglich eine individuell empfundene Unannehmlichkeit des Anspruchsstellers darstellen. Sofern dem Betroffenen allerdings die Darlegung einer konkreten Beeinträchtigung gelingt, sind Beträge in Höhe mehrerer tausend Euro durchaus denkbar, wie das Urteil des AG Pforzheim erneut zeigt. Ob es bei einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO verbleibt, bleibt abzuwarten. Was dieser Fall allerdings wieder einmal bestätigt ist, dass Datenschutz heutzutage nicht nur elementarer Bestandteil der Compliance eines Großunternehmens darstellt, sondern auch vom selbstständigen Kleinunternehmer und Freiberufler ernst genommen werden sollte.

 
 
 

 

Nachdem seit Dezember 2020 nun bereits der 3. Impfstoff gegen die Sars- Covid 19 Infektion (Corona) in der EU zugelassen wurde, stellen sich insbesondere, aber keineswegs nur in sensiblen Bereichen wie Krankenhäusern, Arzt- und Zahnarztpraxen sowie für den Bereich der sog. „körpernahen“ Dienstleistungen wie Friseure, Beautysalons etc. Arbeitgeber und Arbeitnehmer die Frage, ob von der Arbeitgeber eine Impfung verlangen kann (Impfpflicht) und hiervon möglicherweise sogar den Bestand des Arbeitsverhältnisses abhängig machen kann.

Nach derzeitiger Gesetzeslage scheint dies gegenwärtig schwierig zu sein, da eine entsprechende Verpflichtung eines Arbeitnehmers nicht auf Grund eines Gesetzes derzeit nicht besteht. Dies gilt auch für solche Berufsgruppen, die in § 3 der seit dem 15.12.2020 geltenden Corona-Impfverordnung (https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/C/Coronavirus/Verordnungen/CoronaImpfV_-_De_Buette.pdf) als priorisiert bezeichnet werden.

Denkbar wäre auch, dass eine Impfpflicht z.B. aus Tarifvertrag oder Arbeitsvertrag folgt. Gerade im letzteren Falle könnten Arbeitgeber die Aufnahme einer entsprechenden arbeitsvertraglichen Verpflichtung in Erwägung ziehen.

Hierzu würde es aber im Grundsatz der Zustimmung des Arbeitnehmers bedürfen. Bei der Überlegung, eine entsprechende Verpflichtung arbeitsvertraglich zu etablieren, darf jedoch nicht übersehen werden, dass eine Klauselkontrolle gerichtlich erfolgen kann; Gleiches gilt auch dann, wenn in einem relativ jungen Arbeitsverhältnis bereits einer entsprechenden Impfverpflichtung zugestimmt wurde, daher der Arbeitsvertrag bereits abgeschlossen wurde, und hierin eine Impfpflicht  Rechtsprechung existiert hierzu bislang nicht.

 

Impfnachweis

Weiter ist die Frage nach der Kontrolle bzw. dem Impfnachweis relevant. Ein solcher Nachweis könnte allenfalls in Form der Präsentation eines Impfnachweises oder eines Impfpasses erbracht werden. Solange allerdings eine gesetzliche Impflicht nicht besteht, könnten sich ernstzunehmende Bedenken unter dem Gesichtspunkt des Datenschutzes ergeben. Ein besonderes Augenmerk ist hierbei auf den Umstand zu richten, dass es sich bei einem Impfnachweis bzw. dem Impfausweis um Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt, die einen besonderen Schutz genießen und deren Verarbeitung besonders hohen Anforderungen unterliegt.

Nach derzeitiger Gesetzeslage ist erscheint eine Verarbeitung derartiger (Arbeitnehmer-)Daten nahezu unmöglich. Ob dies für die in der o.g. Corona- Impfverordnung genannten priorisierten Berufsgruppen gilt, erscheint ebenso zweifelhaft, da sich hieraus auch keine Verpflichtung zu einer Impfung für betroffenen Berufsgruppen gilt.

 


Fazit

Zusammenfassend erscheint es nach gegenwärtiger Rechtlage schwierig, eine Impflicht für Arbeitnehmer zu etablieren. Die Impfung ist eine ärztliche Behandlung, die zugleich einen Eingriff in die körperliche Unversehrtheit des Arbeitnehmers bildet.

Soweit ein Tarifvertrag, Betriebsvereinbarung oder Arbeitsvertrag vorsieht, dass der Arbeitnehmer einer Impfpflicht unterliegt, drängt sich die Frage auf, ob solch eine Bestimmung mit unserer Verfassung, insb. Art. 2 Abs. 2 S. 1 GG, vereinbar ist. Eine „Zwangsimpfung“, d.h. die Impfung unter Anwendung körperlicher Gewalt, ist ausgeschlossen. Nichtsdestotrotz kann in Einzelfällen die Möglichkeit bestehen, dass ein Arbeitgeber den Bestand des Arbeitsverhältnisses von der Impfung abhängig macht und im Falle, dass der Arbeitnehmer sich nicht impfen lässt, eine Kündigung ausspricht. Solch ein Vorgehen bedarf einer umfassenden Interessensabwägung, in der einerseits das Recht auf körperliche Unversehrtheit des Arbeitnehmers, andererseits die (unternehmerischen) Interessen des Arbeitgebers berücksichtigt werden müssen. Tendenziell dürfte das Recht auf körperliche Unversehrtheit des Arbeitnehmers überwiegen.

Daraus folgt, dass auch solche Arbeitnehmer, die eine Impfung ablehnen, gegenwärtig nicht mit arbeitsrechtlichen Konsequenzen rechnen müssen.    

 

 

 
 
 

 

 

 

Ein Update zu Corona und Arbeitsrecht 

In unseren beiden Artikeln vom 17.03.2020 (abrufbar unter https://kolb-blickhan-partner.de/corona-virus-und-arbeitsrecht/ und https://kolb-blickhan-partner.de/corona-virus-kuendigung/) gingen wir auf arbeitsrechtliche Fragestellungen ein, die mit der Corona-Pandemie im Zusammenhang stehen.

Nachdem nunmehr ein Dreivierteljahr vergangen ist, möchten wir Sie über die Entwicklung in der arbeitsgerichtlichen Rechtsprechung der vergangenen Monate informieren. 

Obwohl sich die derzeitige Corona-Pandemie auf viele arbeitsvertragliche Beziehungen niederschlägt, blieb eine Vielzahl an arbeitsrechtlichen Fragestellungen, wie z.B. die Einführung von Kurzarbeit oder Home-Office, die Möglichkeit „coronabedingt“ zu kündigen usw., von den Arbeitsgerichten unbeantwortet.

Selbst wenn einzelne Arbeitsgerichte über bestimmte Fragestellungen urteilten; die Schaffung einer Rechtsklarheit und gefestigten Rechtsprechung ist nicht in Sicht. Nichtsdestotrotz gehen wir auf einige gerichtliche Entscheidungen ein, um Sie über die derzeitige Entwicklung zu informieren: 

 

1. Einseitige Einführung von Kurzarbeit weiterhin ein großer Streitpunkt 

In unserem Artikel über Corona und Kündigung führten wir aus, dass die einseitige Einführung von Kurzarbeit vermutlich nicht zulässig ist; soweit ein Arbeitsvertrag keine entsprechende „Kurzarbeiterklausel enthält, dürfte es auf individualarbeitsvertraglicher Ebene auf den Abschluss einer Änderungs- oder Ergänzungsvereinbarung zwischen dem Arbeitgeber und dem Arbeitnehmer ankommen. Bei dieser Fragestellung scheinen sich die Geister zu scheiden. 

 

 1.1 Ansicht des Arbeitsgerichts Siegburg

Mit Urteil vom 11.11.2020 bestätigte das Arbeitsgericht Siegburg (Az.: 4 Ca 1240/20) diese Auffassung. Der klagende Arbeitnehmer war bei einem Unternehmen als Omnibusfahrer eingestellt. Der ursprünglich abgeschlossene Arbeitsvertrag enthielt keine Regelung über die Einführung von Kurzarbeit; eine gesonderte Vereinbarung über die Einführung von Kurzarbeit schlossen die Parteien nicht ab.

Im Frühjahr 2020 teilte der Arbeitgeber dem Arbeitnehmer mit, dass er Kurzarbeit einführen müsse, wovon auch der Arbeitnehmer betroffen sei. In den darauffolgenden Monaten kürzte der Arbeitgeber einseitig einen Teil des arbeitsvertraglich vereinbarten Gehaltes und bezeichnete die gekürzten Zahlungen in diesen Monaten als Kurzarbeitergeld. Der Arbeitnehmer klagte wiederum die arbeitsvertraglich vereinbarte Vergütung ein. 

Das Arbeitsgericht Siegburg sprach dem Arbeitnehmer die arbeitsvertraglich vereinbarte Vergütung (abzüglich der bereits erhaltenen Zahlungen, die der Arbeitgeber als „Kurzarbeitergeld“ bezeichnete) zu. Es führte aus, dass der Arbeitgeber Kurzarbeit nur dann anordnen darf, wenn diese Möglichkeit individualvertraglich, durch Betriebsvereinbarung oder tarifvertraglich zulässig ist. Soweit solch eine individualarbeitsvertragliche oder kollektiv-rechtliche (d.h. durch Tarifvertrag oder Betriebsvereinbarung) Grundlage fehlt, besteht nicht die arbeitgeberseitige Möglichkeit, Kurzarbeit anzuordnen; zugleich behält ein Arbeitnehmer gegen seinen Arbeitgeber den vollen Lohnanspruch. 

 

1.2 Ansicht des Arbeitsgerichts Stuttgart

Kurz zuvor entschied das Arbeitsgericht Stuttgart jedoch, dass ein Arbeitgeber faktisch einseitig mit dem Ausspruch einer fristlosen, betriebsbedingten Änderungskündigung Kurzarbeit einführen darf. In dem vorliegenden Fall beantragte der Arbeitgeber bei der Agentur für Arbeit Kurzarbeitergeld; die Agentur für Arbeit sah die Voraussetzungen der §§ 95 ff. SGB III als erfüllt an, weshalb sie (befristet) Kurzarbeitergeld gewährte.

Eine Arbeitnehmerin, deren ursprünglicher Arbeitsvertrag die Möglichkeit der Einführung von Kurzarbeit nicht vorsah, stimmte einem arbeitgeberseitigen Angebot bzw. einer Ergänzungsvereinbarung zu dem ursprünglichen Arbeitsvertrag, welche die Einführung von Kurzarbeit vorsah, nicht zu.

Hierauf sprach der Arbeitgeber eine fristlose, betriebsbedingte Änderungskündigung aus; er kündigte den ursprünglichen Arbeitsvertrag und bot der Arbeitnehmerin einen „neuen“ Arbeitsvertrag an, der – nebst der ursprünglich vereinbarten Arbeitsbedingungen – die Einführung von Kurzarbeit vorsah. Das Arbeitsgericht Stuttgart erklärte die Änderungskündigung für sozial gerechtfertigt und mithin für rechtswirksam.  

Gemäß § 1 Abs. 2 S. 1 KSchG ist eine betriebsbedingte Kündigung (im Wesentlichen) dann gerechtfertigt, soweit dringende betriebliche Erfordernisse vorliegen und die (Änderungs-)Kündigung verhältnismäßig ist. Da es sich zeitgleich um eine außerordentliche, d.h. fristlose Kündigung handelte, müssten zudem gemäß § 626 Abs. 1 BGB diese dringenden betrieblichen Erfordernisse so gewichtig sein, dass ein Festhalten an dem Arbeitsvertrag zu unveränderten Bedingungen, d.h. vorliegend ohne die Möglichkeit Kurzarbeit anzuordnen, für den Arbeitgeber schlichtweg unzumutbar ist. 

Das Arbeitsgericht Stuttgart entschied jedoch, dass an den wichtigen Grund im Sinne des §626 Abs. 1 BGB keine hohen Anforderungen zu setzen sind; es konstatierte, dass die Gewährung des Kurzarbeitergeldes durch die Agentur für Arbeit qua Gesetz einen erheblichen Arbeitsausfall im Sinne von § 96 SGB III voraussetze. Diese gesetzliche Wertung würde wiederum die dringenden betrieblichen Erfordernisse begründen, die eine (sogar fristlose) betriebsbedingte Änderungskündigung rechtfertigen würden.  

Letztendlich sei dieses Vorgehen auch verhältnismäßig, so das Arbeitsgericht Stuttgart. Es entschied, dass eine Änderungskündigung zur Einführung von Kurzarbeit dann verhältnismäßig ist, wenn (1) der Arbeitgeber eine gewisse Ankündigungsfrist einhält, wobei eine dreiwöchige Frist als angemessen erscheint, (2) für den betroffenen Arbeitnehmer die Voraussetzungen des Kurzarbeitergeldes nach §§ 95, 96 SGB III vorliegen, (3) die Einführungsmöglichkeit von Kurzarbeit zeitlich begrenzt ist und (4) alle anderen milderen Mittel – insbesondere ein arbeitgeberseitiger Versuch, Kurzarbeit durch einvernehmliche Regelung einzuführen – ausgeschöpft sind. 

Beide Entscheidungen widersprechen sich; während das Arbeitsgericht Siegburg die Einführung von Kurzarbeit von einer vertraglichen Abrede zwischen dem Arbeitgeber und dem Arbeitnehmer abhängig machte, führte das Arbeitsgericht Stuttgart aus, dass auch eine einseitige Einführung möglich ist.

1.3 Fazit

Die Urteile sind eine bildhafte Bestätigung des geläufigen Sprichwortes „Zwei Juristen, drei Meinungen!“ und verdeutlichen, dass die rechtliche Thematik über die Einführung von Kurzarbeit mitnichten abschließend entschieden ist. 

 

2. Home-Office – Ja oder nein? 

Die Tätigkeit im Home-Office ist eine – sowohl für den Arbeitgeber als auch für den Arbeitnehmer – willkommene Möglichkeit, die arbeitsvertragliche Beziehung trotz der corona-bedingten Einschränkungen nahezu unverändert fortzusetzen und zeitgleich die Gefahr einer weiteren exponentiellen Verbreitung des Virus oder der eigenen Ansteckung zu minimieren.

Für Arbeitnehmer mit Kindern eröffnet die Tätigkeit im Home-Office die Möglichkeit ihre Kinder – insb. im Falle einer Schließung der Schule oder Kindertagesstätte – zu betreuen; Arbeitgeber hingegen können oftmals Betriebskosten sparen. Auf den ersten Blick handelt es sich um eine sog. Win-Win Situation; doch auch hier muss darauf geachtet werden, ob und falls ja, unter welchen Voraussetzungen, arbeitgeberseitig Home-Office angeordnet werden darf. 

Der größte Teil der bestehenden Arbeitsverträge dürfte keine Regelung zu Home-Office haben; die Tätigkeit im Home-Office ist tatsächlich ein recht junges Institut, welches in den vergangenen Jahren im Zuge der Digitalisierung des Arbeitsrechts (sog. Arbeitsrecht 4.0) entstanden ist und bis vor ca. einem Jahr nicht weit verbreitet war.

Im Rahmen der corona-bedingten Einschränkungen und Lockdowns ergab sich für viele Betriebe die zwingende Notwendigkeit kurzfristig Home-Office anzuordnen, weil Arbeitnehmer einerseits die Betriebsstätte nicht aufsuchen durften, andererseits bestimmte Tätigkeiten verrichtet werden mussten, da andernfalls der Stillstand und u.U. auch die (vorübergehende) Einstellung des Betriebes drohte. Jedoch stellt sich (weiterhin) die Frage: Wie kann Home-Office eingeführt werden? 

Arbeitsvertragliche (Versetzungs-)Klauseln, deren Wirksamkeit oftmals an dem Verbraucherrecht nach §§ 305 ff. BGB scheitert, außenvorlassend, sieht § 106 GewO vor, dass der Arbeitgeber Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen kann. Die Frage, ob unter „(Arbeits-)Ort“ auch das Zuhause des Arbeitnehmers erfasst werden kann, beantwortete die Arbeitsgerichtsbarkeit grundsätzlich mit einem Nein.

So entschied u.a. das Landesarbeitsgericht Berlin-Brandenburg am 10.10.2018 (Az.: 17 Sa 562/18), dass die einseitige Weisung des Arbeitgebers einen Mitarbeiter ins Home-Office zu „schicken“ nicht von dem Direktionsrecht des § 106 GewO erfasst ist; soweit keine beidseitig vereinbarte Abrede über die Einführung von Home-Office besteht, kann die einseitige Anordnung durch den Arbeitgeber einen Eingriff in den Schutzbereich des Art. 13 GG (Grundrecht auf Unverletzlichkeit der Wohnung) des Arbeitnehmers bilden.

Diese Entscheidung stammte aus dem Jahr 2018 und lässt die weitreichenden Auswirkungen und Folgen der Corona-Pandemie und den hiermit verbundenen Einschränkungen unberücksichtigt; unter Berücksichtigung der derzeitigen Situation könnte gegebenenfalls die einseitige Anordnung (zumindest ausnahmsweise) gerechtfertigt sein; nichtsdestotrotz ist aus Gründen der Rechtssicherheit der Abschluss einer Vereinbarung dringend anzuraten. 

 

3. Home-Office – Wie? 

Selbst wenn die Möglichkeit der Einführung von Home-Office bestehen sollte, muss der Arbeitgeber stets darauf achten, dass er die Rahmenbedingungen für die Tätigkeit im Home-Office schafft, weshalb der Abschluss einer individualarbeitsvertraglichen oder im Falle, dass ein Betriebsrat besteht, einer kollektiven Vereinbarung zwingend geboten ist. 

Bei der Einführung bzw. Umsetzung von Home-Office dürfen Aspekte wie der Datenschutz, Arbeitszeiterfassung, Bereitstellung von Arbeitsmitteln, Regelungen zu den Kosten, Zutrittsrecht des Arbeitgebers usw., nicht vernachlässigt werden. Infolge des Umstandes, dass für die Tätigkeit im Home-Office keine gesetzliche Regelung besteht, zugleich die gesetzlichen Bestimmungen des Arbeitsrechts unverändert fortgelten, sind die Arbeitsvertragsparteien, und insb. der Arbeitgeber, angehalten, die Verhaltensregeln für die Tätigkeit im Home-Office zu definieren. 

Sollten Sie – sowohl als Arbeitgeber als auch als Arbeitnehmer – von den arbeitsrechtlichen Folgen des Corona-Virus betroffen sein, können Sie sich gerne mit uns in Verbindung setzen. Wir können Sie – unter Berücksichtigung der individuellen Umstände und der Natur des Arbeitsverhältnisses – beraten und insbesondere eine einvernehmliche Lösung mit Ihrem Arbeitnehmer bzw. Arbeitgeber anstreben. 

 

 

 

 
 
 
 

Nach der jüngsten Umfrage des Bundesverbandes für Informationswirtschaft, Telekommunikation und neue Medien, bitkom e.V., gaben 67 Prozent der in Deutschland ansässigen Unternehmen an, die datenschutzrechtliche Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) sowie des Bundesdatenschutzgesetzes (BDSG) in großen Teilen umgesetzt zu haben. Erst 25 Prozent der Unternehmen gaben an, ein vollständiges Datenschutzmanagement umgesetzt zu haben. Unter den befragten Unternehmen bestand Einigkeit (97 Prozent) darüber, dass die Umsetzung der DS-GVO mit einem hohen Aufwand verbunden sei (Quelle: Pressemitteilung des bitkom e.V. – abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-der-Unternehmen-haben-DS-GVO-groesstenteils-umgesetzt). 

Während ein Großteil der Unternehmen primär darauf bedacht ist, das äußere Auftreten (wie z.B. Homepage, Datenschutzbelehrungen für Vertragspartner und Kunden usw.) datenschutz- und insb. abmahnsicher zu gestalten, werden innerbetriebliche Strukturen oftmals vernachlässigt; dies betrifft insb. den Beschäftigtendatenschutz. Die Missachtung des Beschäftigtendatenschutzes kann jedoch fatale Folgen für ein Unternehmen haben. 

 

(Rekord-)Bußgeld gegen H&M(!) 

Die Nachricht war – wenn auch absehbar – schockierend: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte gegen das namhafte Textilmodegeschäft ein (auf dem ersten Blick) schwindelerregendes Bußgeld in Höhe von 35,3 Millionen Euro (Quelle: https://www.handelsblatt.com/unternehmen/handel-konsumgueter/modehaendler-mitarbeiter-ausgespaeht-datenschutzbeauftragter-verhaengt-rekord-bussgeld-gegen-hundm/26234570.html?ticket=ST-1252876-G9KjeScjGC7pBIa7uQNz-ap1). 

Diesem Bußgeld lag ein – zurecht angenommener – gravierender Verstoß des Beschäftigtendatenschutzes zugrunde: 

Im Laufe des vergangenen Jahres stellten – aufgrund eines technischen Fehlers, der zur versehentlichen internen Offenlegung führte – Mitarbeiter des H&M Standortes Nürnberg fest, dass die Leitung von H&M in großem Umfang u.a. anderem auch die privaten Lebensumstände ihrer Beschäftigten erfasste. 

Leitende Angestellten und Vorgesetzten der betroffenen Mitarbeiter führten nach urlaubs- oder krankheitsbedingten Abwesenheiten sog. „Welcome Back Talks durch; die hierbei gewonnenen Informationen, wie z.B. konkrete Urlaubsereignisse oder Krankheitssymptome und Diagnosen usw., wurden schriftlich dokumentiert und dauerhaft gespeichert. Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zeichneten Vorgesetzte darüber hinausgehend auch Details aus dem Privatleben, bspw. Familienproblemen oder religiösen Bekenntnissen u.Ä., aufAnschließend und anhand dieser Informationen erstellten die Führungskräfte und leitende Angestellte von H&M Mitarbeiterprofile, auf Grundlage derer personelle Einzelmaßnahmen, wie z.B. Kündigungen, Beförderungen oder Versetzungen usw., getroffen wurden. 

Trotz glaubhafter Bemühungen des Textilmodegeschäftes, diesen Verstoß wiedergutzumachen, u.a. in Form eines umfangreichen Bekenntnisses zur Unternehmensverantwortung nach diesem Datenschutzverstoß, einer Entschädigung der betroffenen Mitarbeiter sowie der Zusicherung und tatsächlichen Umsetzung des Datenschutzes an dem Standort Nürnberg, konnte die Verhängung des zuvor genannten (Rekord-)Bußgeldes nicht abgewendet werden. 

 

Der (Beschäftigten-)Datenschutz und dessen (Rechts-)Folgen 

Die Entscheidung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mag auf den ersten Blick für Arbeitgeber überraschend sein: 

Bei den zuvor genannten Daten handelt es sich um solche, die regelmäßig erfasst werden und deren Verarbeitung nicht per se rechtswidrig ist. Gemäß § 26 BDSG darf ein Arbeitgeber auch sensible Daten, wie z.B. Gesundheitsdaten, verarbeiten, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. So dient die Erfassung von urlaubs- und krankheitsbedingten Abwesenheiten eines Mitarbeiters, zunächst zur ordnungsgemäßen Abrechnung des Arbeitsverhältnisses (z.B. Entgeltfortzahlung, Urlaubsentgelt usw.) oder der Personal- und Dienstplanung. Gesundheitsdaten dürfen und (sogar) müssen erfasst werden, soweit der Arbeitgeber verpflichtet ist ein betriebliches Eingliederungsmanagement durchzuführen um einem Arbeitnehmer einen leidensgerechten Arbeitsplatz zur Verfügung stellen zu können. Letztendlich sind Leistungsbeurteilungen und Mitarbeitergespräche nicht per se rechtswidrig, da personelle Einzelmaßnahmen wie z.B. Abmahnungen, jedoch auch Beförderungen gestützt werden. 

 

Was ist (denn nun) erlaubt / verboten? 

Wie bereits dargelegt, darf gemäß § 26 BDSG ein Arbeitgeber personenbezogene Daten seiner Mitarbeiter verarbeiten, d.h. erheben, speichern, weitergeben usw., soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.  

Vordergründig ist stets die Zweckbindung: Dies bedeutet, dass die Daten ausschließlich zwecks der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen; eine zweckentfremdete Datenverarbeitung ist per se rechtswidrig. 

In der zweiten Stufe muss die Datenverarbeitung zusätzlich zur Erreichung der zuvor genannte Zweck erforderlich sein. Dies geht zwingend mit einer umfangreichen Interessensabwägung einher: Einerseits sind die berechtigten Interessen eines Arbeitgebers, der eine Vielzahl an arbeitnehmerschützende Vorschriften, bspw. das Arbeitszeitgesetz, Bundesurlaubsgesetz, Entgeltfortzahlungsgesetz usw., wahren muss, zu berücksichtigen; dem gegenüber steht das berechtigte und verfassungsrechtlich verankerte Recht der Arbeitnehmer auf Privatsphäre. Im Rahmen dieser Interessensabwägung muss auch zwingend geprüft werden, wie lange die Daten, selbst wenn deren Erfassung prinzipiell rechtmäßig war, gespeichert werden dürfen. Die Grenze der Erforderlichkeit ist – wie der Fall H&M verdeutlicht – überschritten, wenn auf Grundlage der erfassten Daten – faktisch unter Missachtung der Privatsphäre – eine umfangreiche sowie unverhältnismäßige (und mithin widerrechtliche) Leistungs- und Verhaltenskontrolle der Mitarbeiter erfolgen kann. Denn gerade dies ermöglicht es, (in widerrechtlicher Art und Weise) Leistungs- und Verhaltensprofile über die Mitarbeiter zu erstellen. 

Dementsprechend ist die anzuwendende Faustformel (denkbar) einfach: Ein Arbeitgeber darf nicht zu viele Datennicht zu lange speichern. 

 

Die konkreten Rechtsfolgen – Ein Überblick der derzeitigen Rechtsprechung 

Wie bereits aus der aktuellen Presse und diesem Artikel zu entnehmen ist, ist ein Datenschutzverstoß bußgeldbewehrt. Gemäß Art. 83 DS-GVO kann ein Bußgeld im Falle eines schwerwiegenden Verstoßes bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Doch hiermit ist es nicht getan: 

Gemäß Art. 82 DS-GVO haben die (von einem Datenschutzverstoß) betroffenen Personen auch einen Individualanspruch auf Schadensersatz bzw. Entschädigung. Hierbei gilt es zu berücksichtigen, dass nicht nur der konkret entstandene Schaden ersetzt wird; die DS-GVO sieht vor, dass ein Schadensersatz- bzw. Entschädigungsanspruch, unter Berücksichtigung des Umfangs des Datenschutzverstoßes, so hoch anzusetzen ist, dass dieser abschreckend auf den Arbeitgeber einwirkt, damit er eine künftige Datenschutzkonformität gewährleistet. 

Hierbei entschieden Arbeitsgerichte, dass die Missachtung des Auskunftsverlangens eines Arbeitnehmers gemäß Art. 15 DS-GVO – ungeachtet dessen, ob seine Daten rechtmäßig verarbeitet wurden – einen Schadensersatzanspruch in Höhe von bis zu 5.000,00 Euro begründen kann. Im Hinblick darauf, dass die landesarbeitsgerichtliche Rechtsprechung annimmt, dass ein Arbeitgeber gemäß Art. 15 Abs. 1 und Abs. 3 DS-GVO verpflichtet ist, einem Arbeitnehmer Auskunft über sämtliche Verarbeitungsvorgänge, die seine personenbezogene Daten betreffen, zu erteilen und darüber hinaus eine Kopie aller Dokumente und personenbezogener Daten, die er erfasst hat, zur Verfügung zu stellen, sind Arbeitgeber, die kein adäquates Datenschutzsystem eingeführt haben, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einem hohen Haftungsrisiko ausgesetzt. 

Letztendlich hat auch das Bundesarbeitsgericht (BAG) – auf Grundlage der alten Fassung des BDSG und noch vor Inkrafttreten der DS-GVO – ausdrücklich festgehalten, dass (eklatant) datenschutzwidrig erlangte Daten im Rahmen von personellen Einzelmaßnahmen, z.B. Kündigungen oder Abmahnungen, einem Beweisvertretungsverbot unterliegen können, weshalb die erlangten Informationen im Rahmen eines gerichtlichen Verfahrens nicht berücksichtigt werden können. In den Fällen, in denen im Betrieb des Arbeitgebers ein Betriebsrat besteht, entspricht es der (seit über zwanzig Jahren) gefestigten Rechtsprechung des BAG, dass hinsichtlich der Daten, die der Arbeitgeber mithilfe technischer Einrichtungen (Hard- und Software) erfasst hat, ohne vor deren Einführung den Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt zu haben, zunächst ebenfalls einem Beweisverwertungsverbot unterliegen könnenferner steht dem Betriebsrat gemäß § 23 Abs. 3 BetrVG gegen dem Arbeitgeber ein Unterlassungsanspruch zu, falls dieser – ohne das Mitbestimmungsrecht des Betriebsrates zu wahren –die technische Einrichtung „einseitig“ einführt. 

 

Der Ausblick 

Nachdem die Aufsichtsbehörden unmittelbar nach der Einführung der DS-GVO den Unternehmen eine Schon- und Umsetzungsfrist eingeräumt hatten, scheint diese Kulanzzeit nach Ablauf von nunmehr über zwei Jahren seit Inkrafttreten der DS-GVO vorbei zu sein. Es dürfte für Unternehmer nunmehr dringend an der Zeit sein, ein vollständiges Datenschutzmanagement, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einzuführen. Wie bereits einleitend dargelegt, kann gerade einmal jedes vierte Unternehmen von sich behaupten, ein entsprechend der DS-GVO und BDSG adäquates Datenschutzsystem eingeführt zu haben.  

Nachdem der Europäische Gerichtshof (EuGH) letztes Jahr urteilte, dass Arbeitgeber zur Wahrung des Arbeitszeitgesetzes (ArbZG) verpflichtet sind, ein objektives Zeiterfassungssystem einzuführen (hierzu unser Artikel vom 15.09.2019), ergeben sich bei der (künftigen) Umsetzung dieses Urteiles erhebliche Probleme, die das Spannungsverhältnis Arbeitnehmer- und Datenschutz betreffen: Arbeitgeber werden angehalten sein, die tägliche Arbeitszeit ihrer Mitarbeiter einerseits – zwecks der Einhaltung des Arbeitszeitgesetzes – zu erfassen, andererseits dürfen diese Daten allenfalls nur bedingt zur Leistungsbeurteilung herangezogen werden; auch hier gilt – ähnlich wie im Fall von H&M – ein Übermaßverbot, welches stets mithilfe geeigneter datenschutzrechtlicher Maßnahmen zu wahren ist. 

 

Haben Sie Fragen auf den Gebieten des Arbeitsrechts und Datenschutzes und sind auf der Suche nach einer professionellen Rechtsberatung vom Fachanwalt? 

Wir sind eine auf Arbeits- und Datenschutzrecht spezialisierte Kanzlei. Unsere Expertise erstreckt sich sowohl auf die Beratung von Unternehmern und die Unterstützung bei der Einführung eines – auf das Unternehmen zugeschnittenen – Datenschutzmanagements, als auch auf die Beratung und Vertretung von Arbeitnehmern und Betriebsräten bei der Durchsetzung ihrer kollektiv- und individualrechtlichen Ansprüche und Rechte.  

 
 
 
 
 
 
 

Corona-Virus – Droht eine neue Kündigungswelle?

Der Corona-Virus und die damit insb. für Unternehmer verbundene, teils verheerenden wirtschaftlichen Auswirkungen können den Fortbestand von Arbeitsverhältnissen und deren Abwicklung nachhaltig beeinträchtigen. Sowohl für Arbeitgeber, als auch für Arbeitnehmer stellt sich u.a. die Frage, ob bzw. unter welchen Voraussetzungen eine „coronabedingte“ Kündigung möglich ist.

Das Wichtigste auf einen Blick:

  • Der Begriff „coronabedingte“ Kündigung hat keine rechtliche Bedeutung
  • Ob ein Arbeitgeber den Ausspruch einer krankheitsbedingten Kündigung auf die Erkrankung eines Mitarbeiters an dem Corona-Virus stützen kann, ist unwahrscheinlich.
  • Der wohl wichtigste Kündigungsgrund dürfte im Fall Corona Virus die betriebsbedingte Kündigung darstellen.
  • Sie benötigen professionelle Hilfe vom Fachanwalt?
    Unter Tel. +49 6151 – 99 55 0 stehen wir Ihnen zur Verfügung


Vorweg gilt es festzuhalten, dass der Begriff „coronabedingte“ Kündigung keine rechtliche Bedeutung hat. Insbesondere und soweit das Kündigungsschutzgesetz (KSchG) Anwendung findet, gelten die gesetzlichen Bestimmungen unverändert fort. Gemäß § 1 Abs. 1 und 2 KSchG muss eine Kündigung sozial gerechtfertigt sein. Dies ist der Fall, solange ein Kündigungsgrund vorliegt. Entsprechend des § 1 Abs. 2 S. 1 KSchG ist eine Kündigung u.a. gerechtfertigt […], wenn Gründe gegeben sind, die in der Person oder im Verhalten des Arbeitnehmers liegen oder dringende betriebliche Erfordernisse dies erfordern.

Dementsprechend erfordert der Ausspruch einer Kündigung einen (a) personenbedingten, (b) verhaltensbedingten oder (c) betriebsbedingten Kündigungsgrund.

1. Die personenbedingte Kündigung

Eine arbeitgeberseitige Kündigung kann zunächst auf einen Grund, der in der Person des Arbeitnehmers liegt, gestützt werden. Der wohl häufigste – und auch im Hinblick auf den Corona-Virus naheliegende  – Unterfall der personenbedingten Kündigung, ist der Ausspruch einer krankheitsbedingten Kündigung.

Ob ein Arbeitgeber den Ausspruch einer krankheitsbedingten Kündigung auf die Erkrankung eines Mitarbeiters an dem Corona-Virus stützen kann, ist unwahrscheinlich.

Eine krankheitsbedingte Kündigung ist dreistufig aufgebaut und setzt die nachfolgende Voraussetzungen:

  1. Negative Gesundheitsprognose des erkrankten Mitarbeiters,
  2. Erhebliche Beeinträchtigung betrieblicher Interessen,
  3. Verhältnismäßigkeit der Kündigung.

Vorliegend dürfte eine krankheitsbedingte Kündigung bereits an der ersten Stufe, der negativen Gesundheitsprognose aufgrund einer coronabedingten Erkrankung eines Mitarbeiters scheitern.

Im Falle eines gerichtlichen Verfahrens muss der Arbeitgeber darlegen und beweisen können, dass der erkrankte Mitarbeiter infolge seiner Erkrankung längerfristig ausfallen wird. Die arbeitsgerichtliche Rechtsprechung hat über die Jahre hinweg eine Beweiserleichterung für die Arbeitgeber geschaffen, da diese u.a. aus datenschutzrechtlichen Gründen, keine bzw. allenfalls unter sehr hohen Voraussetzungen Gesundheitsdaten über ihre Mitarbeiter verarbeiten dürfen. Die bloße Erkrankung an dem Corona-Virus genügt in der Regel nicht um einen permanenten Ausfall des erkrankten Mitarbeiters zu vermuten, weshalb eine krankheitsbedingte Kündigung voraussichtlich unwirksam wäre.

Des Weitere dürften auch die weiteren Voraussetzungen nicht erfüllt sein:

Sollte ein Mitarbeiter infolge des Corona-Virus arbeitsunfähig erkrankt sein, so geht dies mit der (behördlichen) Anordnung einer Quarantäne gemäß § 30 IfSG oder eines Beschäftigungsverbotes gemäß § 31 IfSG einher. In diesem Fall steht dem Arbeitnehmer gemäß § 56 IfSG ein Entschädigungsanspruch gegen die Behörde zu. Der Arbeitgeber ist zunächst vorleistungspflichtig, kann jedoch anschließend eine Erstattung des gezahlten Gehaltes von der Behörde fordern, sodass er weitgehend schadlos bleibt. Daher dürfte es an einer Beeinträchtigung des Unternehmens mangeln. Letztendlich dürfte der Ausspruch der Kündigung auch unverhältnismäßig sein, da der Arbeitgeber verpflichtet ist mildere Maßnahmen als den Ausspruch einer Kündigung einzuleiten; insoweit gilt auch hier, dass der Ausspruch einer Kündigung die Ultima Ratio ist.

Sowohl als Arbeitgeber und als Arbeitnehmer sollten Sie berücksichtigen, dass vor dem Ausspruch einer krankheitsbedingten Kündigung ein betriebliches Eingliederungsmanagement (bEM) gemäß § 167 Abs. 2 SGB IX durchgeführt werden muss. Der Arbeitgeber ist zur Durchführung verpflichtet; dem Arbeitnehmer steht zugleich auch ein Rechtsanspruch auf die Durchführung des bEM zu.

Sollte ein bEM durchgeführt werden, ist es wichtig, die datenschutzrechtlichen Aspekte zu berücksichtigen. Im Rahmen eines bEM werden sensible Gesundheitsdaten (Art. 9 Abs. 1 DS-GVO i.V.m. § 26 Abs. 3 BDSG) des Mitarbeiters verarbeitet. Dies darf u.a. nur auf Grundlage einer wirksam erteilten Einwilligung des Mitarbeiters erfolgen. Es gilt zu beachten, dass der Ausspruch einer krankheitsbedingten Kündigung u.a. auch von der (datenschutzrechtlich) wirksamen Durchführung eines bEM abhängig sein kann.

2. Die verhaltensbedingte Kündigung

Eine verhaltensbedingte Kündigung setzt ein Fehlverhalten bzw. einen Pflichtverstoß des Arbeitnehmers voraus.

Im Hinblick auf den Corona-Virus stellt sich insb. die Frage, ob bzw. unter welchen Voraussetzungen ein Arbeitnehmer die Erbringung seiner Arbeitsleistung gemäß § 275 Abs. 3 BGB verweigern darf. Gemäß § 275 Abs. 3 BGB kann ein Arbeitnehmer die Erbringung seiner Arbeitsleistung verweigern, soweit ihm dies unzumutbar wäre. Hiernach gilt es zu differenzieren:

Sollten in dem Betrieb eines Arbeitgebers tatsächliche Anhaltpunkte einer erhöhten Infektionsgefahr bestehen, so wird es dem Arbeitnehmer in der Regel nicht zuzumuten sein, die Betriebsstätte aufzusuchen. Diesbezüglich gilt es auch zu berücksichtigen, dass der Arbeitgeber gemäß §§ 618, 241 Abs. 2 BGB verpflichtet ist, hinreichende Schutzmaßnahmen zu treffen, um das Risiko einer gesundheitlichen Schädigung seiner Mitarbeiter zu minimieren. Insoweit besteht die Verpflichtung, soweit dies möglich ist, entweder Home-Office für die Mitarbeiter zu ermöglichen, oder erforderlichenfalls Teile der Belegschaft freizustellen.

Sollte jedoch lediglich die abstrakte Befürchtung bestehen, man könnte sich auf dem Weg zur Arbeit oder bei der Arbeit anstecken, besteht kein Zurückbehaltungsrecht. Diese abstrakte Befürchtung ist einerseits vom allgemeinen Lebensrisiko, andererseits vom Wegerisiko erfasst, welches der Arbeitnehmer trägt. Erscheint ein Arbeitnehmer aufgrund einer abstrakten Befürchtung nicht zur Arbeit kann der Ausspruch einer Abmahnung und im Falle der wiederholten Pflichtverletzung der Ausspruch einer verhaltensbedingten Kündigung gerechtfertigt sein. Hinsichtlich des Wegerisikos und unter Berücksichtigung, dass der öffentliche Bus- und Bahnverkehr partiell stillgelegt wurde, gilt es, wie bereits dargelegt, zu berücksichtigten, dass der Arbeitnehmer das alleinige Risiko trägt pünktlich zu erscheinen.

Vor dem Ausspruch einer Kündigung wäre es im beidseitigen Interesse eine einvernehmliche Lösung (bspw. flexible Arbeitszeit, Home-Office, Abgeltung von Überstunden usw.) zu finden. Maßgebend ist hierfür oftmals die Natur des Arbeitsverhältnisses.

3. Die betriebsbedingte Kündigung

Der wohl wichtigste Kündigungsgrund dürfte im Fall Corona Virus die betriebsbedingte Kündigung darstellen. Infolge der Infektionsgefahr kam es sowohl zur Beeinträchtigung der Lieferketten, Rückgang von Kundenaufträgen und Anfragen, als auch zu Beeinträchtigungen durch behördliche Anordnungen, die die vorübergehende Schließung bestimmter Betriebsstätten vorsahen.

Zweifelsfrei ist dies eine enorme Belastung für Unternehmer, die das wirtschaftliche Risiko der Verwertung der Arbeitsleistung ihrer Arbeitnehmer tragen; einerseits kann kein bzw. deutlich geringerer Umsatz generiert werden, andererseits ist der Arbeitgeber – auch wenn er die Arbeitsleistung seiner Mitarbeiter nicht verwerten kann – gemäß § 615 S. 3 BGB zur Fortzahlung der arbeitsvertraglich vereinbarten Vergütung verpflichtet.

Um diese Belastung (u.a. in Form der Gehaltszahlungen) zu minimieren, besteht oftmals die Erwägung, Teile der Belegschaft betriebsbedingt zu kündigen. Ob diese Kündigung wiederum gerechtfertigt wäre, ist umstritten.

Eine betriebsbedingte Kündigung setzt u.a. (die Durchführung einer ordnungsgemäßen Sozialauswahl gemäß § 1 Abs. 3 KSchG außenvorlassend) das Folgende voraus:

  1. Dringende betriebliche Erfordernisse,
  2. Verhältnismäßigkeit der Kündigung.

Vorliegend könnten der coronabedingte Auftragsrückgang, die Störung von Lieferketten usw. grundsätzlich betriebliche Erfordernisse im Sinne des § 1 Abs. 2 KSchG darstellen. Diese müssten wiederum dazu führen, dass ein bzw. mehrere Arbeitsplätze (bspw. infolge einer endgültigen Betriebsschließung) permanent wegfallen. Dies mag derzeit rein prognostisch und u.U. spekulativ sein, jedoch ist zur Zeit davon auszugehen, dass kurz- bzw. mittelfristig die Infektionsgefahr und die damit verbundenen Folgen für Unternehmen sukzessiv überwunden werden. Insoweit ist davon auszugehen, dass solvente Unternehmen die derzeitige Beeinträchtigungen überwinden werden können.

Letztendlich stellt sich auch hier die Frage, ob der Ausspruch einer betriebsbedingten Kündigung gerechtfertigt (verhältnismäßig) wäre. Wie bereits zuvor dargelegt, gilt im Falle des Ausspruches einer Kündigung (jedweder Art) der Ultima Ratio Grundsatz, d.h. die Kündigung eines Arbeitsverhältnisses ist das letzte Mittel, auf das ein Arbeitgeber zurückgreifen darf.

Im Hinblick auf die Zusicherungen der Bundesregierung, Maßnahmen zu treffen um die Unternehmer zu entlasten (z.B. in Form von Darlehen, Stundungen von Steuern oder Reformierung des Kurzarbeitergeldes) ist anzunehmen, dass die Folgen der Infektionsgefahr abgefedert werden können.

Exkurs zum Kurzarbeitergeld:

Die Bundesagentur für Arbeit hat darauf hingewiesen, dass ein aufgrund oder infolge des Corona-Virus und / oder der damit verbundenen Sicherheitsmaßnahmen eingetretener Arbeitsausfall im Regelfall auf einem „unabwendbaren Ereignis“ oder auf „wirtschaftlichen Gründen“ im Sinne des § 96 Abs. 1 Nr. 1 SGB III beruht und daher Kurzarbeitergeld bei vorübergehendem Arbeitsausfall zu gewähren ist. Die Gewährung erfolgt nur auf Antrag des Arbeitgebers hin.

Arbeitsrechtlich setzt die Kurzarbeit voraus, dass entweder eine entsprechende Kurzarbeitsklausel im Arbeitsvertrag enthalten ist, Kurzarbeit durch Tarifvertrag ermöglicht wird oder über Kurzarbeit eine Betriebsvereinbarung mit dem Betriebsrat nach § 87 Abs. 1 Nr. 3 BetrVG abgeschlossen wird. Soweit ein Arbeitgeber nicht tarifgebunden ist oder in seinem Betrieb kein Betriebsrat besteht, hat er die Möglichkeit individualarbeitsvertraglich (d.h. in Form einer Ergänzungs- oder Änderungsvereinbarung) die (vorübergehende) Einführung von Kurzarbeit einzuführen; dies setzt jedoch ein beidseitiges Einvernehmen der Arbeitsvertragsparteien voraus. Widerspricht der Arbeitnehmer der Unterzeichnung solch einer Vereinbarung kommt ggf. der Ausspruch einer Änderungskündigung in Betracht.

Sollten Sie – sowohl als Arbeitgeber, als auch als Arbeitnehmer – von den arbeitsrechtlichen Folgen des Corona-Virus betroffen sein, können Sie sich gerne mit uns in Verbindung setzen. Wir können Sie – unter Berücksichtigung der individuellen Umstände und der Natur des Arbeitsverhältnisses – beraten und insbesondere eine einvernehmliche Lösung mit Ihrem Arbeitnehmer bzw. Arbeitgeber anstreben.



Weitere arbeitsrechtliche Fragen im Spannungsfeld Corona

In unserem Artikel „Corona und Arbeitsrecht“ behandeln wir übrigens weitere wichtige Fragen, die aktuell im Arbeitsrecht auftreten. Hier gehts zum Artikel.

 
 
 
 
 
 
 
 
 
 

Beratung in Zeiten von Corona

Die Coronakrise stellt für Arbeitgeber und Arbeitnehmer gleichermaßen eine Herausforderung dar.
Deshalb steht Ihnen unser Team aus Fachanwälten in dieser schwierigen Zeit voll zur Verfügung.

  • Volle Einsatzbereitschaft der Anwälte und Mitarbeiter
  • Erreichbarkeitsservice ausserhalb der Kernzeiten
  • Höchste Priorität Ihres Anliegens
  • Auf Wunsch kurzfristiger persönlicher Termin in einem unserer Büros
  • Alternativ sichere Abwicklung über Telefon und E-Mail

Melden Sie sich einfach unter Tel. +49 6151 – 99 55 0 oder senden Sie uns eine Nachricht über das unten befindliche Kontaktformular.
Wir nehmen uns Ihrer Sache umgehend an und beraten Sie zielgerichtet.


Als Fachanwälte für Arbeitsrecht in Darmstadt,
Mannheim, Worms und Gera sind wir für Sie da

Ihre Angabe


Ihre Wünsche



Ihr Anliegen

Ich bin damit einverstanden, dass meine Daten verarbeitet und verwendet werden, um meine Anfrage zu bearbeiten. Die Daten werden nicht an Dritte weitergegeben. Hier geht's zum Datenschutz.
Call Now ButtonKontakt aufnehmen