Neuer Tschöpe: Dr. Detlef Grimm zum Beschäftigtendatenschutz und Whistleblowing

Der Mit-Autor des Arbeitsrecht Handbuch zeigt, wie Arbeitgeber das Auskunftsrecht gemäß Art. 15 DSGVO mit dem Schutz des Hinweisgebers in Einklang bringen können.

Im Mai steht mit dem neuen Tschöpe die bereits 11. Auflage des beliebten Arbeitsrecht Handbuch zur Verfügung. Rechtsanwalt Dr. Detlef Grimm hat den Abschnitt zum Beschäftigtendatenschutz grundlegend überarbeitet und stand uns freundlicherweise Rede und Antwort. Arbeitnehmer sind Betroffene im Sinne des Datenschutzes, und so ist auch der Beschäftigtendatenschutz DSGVO-konform zu gestalten, um ihre personenbezogenen Daten zu schützen. Im Interview geht Dr. Grimm insbesondere auf die Informationspflichten der Arbeitgeber, die Auskunftsrechte der Arbeitnehmer und den Umgang mit dem Thema Whistleblowing ein: Wie häufig hat der Arbeitgeber den Arbeitnehmern eine Datenschutzerklärung auszuhändigen? Muss das Unternehmen trotz Datenschutz Mitarbeiterdaten herausgeben, wenn diese Whistleblower sind und ein anderer Arbeitnehmer sein Auskunftsrecht wahrnimmt?

Das Tschöpe Arbeitsrecht Handbuch ist in den juris PartnerModulen Arbeitsrecht und Arbeitsrecht premium und im juris DAV Zusatzmodul enthalten. Neben unserem Interview finden Sie eine Leseprobe zum Abschnitt über die Individualansprüche der Beschäftigten gemäß Art. 15 ff. DSGVO zum Download.

juris: Mit der Datenschutz-Grundverordnung mussten und müssen sich alle Rechtsanwender beschäftigen, auch im Kontext des Arbeitsrechts. Welche Fragen zum Beschäftigtendatenschutz haben in Ihrer Beratungspraxis seit Geltung der DSGVO eine wichtige Rolle gespielt?

Grimm: Das Spektrum der Beratung war und ist breit. Ausgangspunkt ist immer die Erstellung korrekter Datenschutzerklärungen. Diese haben wir „Datenschutzinformation für Beschäftigte“ bzw. „Datenschutzinformation für Bewerber“ genannt. Fehler in der Datenschutzerklärung für Bewerber sind für jeden Prüfer durch einen Klick auf der Homepage sofort erkennbar. Daher müssen Datenverarbeitungsprozesse dort besonders genau abgebildet werden.

Hierbei findet man dann auch mal Überraschungen in Bezug auf die Übermittlung in nicht sichere Drittstaaten, die die Anbieter der Bewerberplattformen vornehmen oder sich das zumindest vorbehalten. Oftmals haben die Personalabteilungen erst im Rahmen unserer Beratung festgestellt, welche Daten von Beschäftigten und Bewerbern sie in welcher Art und Weise verarbeiten und wohin die Daten von Drittanbietern übermittelt werden können.

Ein weiterer wichtiger Aspekt war die Schaffung von Löschkonzepten für Beschäftigtendaten. Ein auch von anderen übernommenes Löschkonzept haben mein Kollege Dr. Kühne und ich in der Zeitschrift „Arbeitsrechts-Berater“ (ArbRB, 2018, Seite 144-149) unter dem Titel „Löschkonzept nach der DSGVO“ veröffentlicht.

Breiten Raum hat auch die Neugestaltung von datenschutzrechtlichen Einwilligungen für Beschäftigte eingenommen, was nicht wirklich verwundert.

Im Rahmen unserer Schulungen für Mitarbeiter in Personalabteilungen haben wir festgestellt, dass den Personalabteilungen und den mit arbeitsrechtlichen Fragen beschäftigten Juristen der an sich schon früher geltende Begriff der datenschutzrechtlichen „Erforderlichkeit“ für die Beschäftigtendatenverarbeitung noch recht häufig detailliert vermittelt werden musste. Hier muss nach Inkrafttreten der DSGVO und des BDSG ein vertieftes Verständnis für eine strengere Erforderlichkeitsprüfung geweckt werden.

juris: Im neuen Tschöpe beschreiben Sie die von Arbeitgebern auszugebenden Datenschutzerklärungen an Arbeitnehmer als „Beipackzettel“ zum Arbeitsvertrag. Wie haben Arbeitgeber die Aufklärung über Risiken und Nebenwirkungen zu erfüllen? Ist es mit einer einmaligen Überreichung getan? Kann der Arbeitgeber auf die Informationen aus dem Verarbeitungsverzeichnis zurückgreifen?

Grimm: Als Folge des datenschutzrechtlichen Transparenzgrundsatzes verlangt die derzeit überwiegende Auffassung in der Literatur vollständige und detaillierte Angaben über die Datenverarbeitungsvorgänge, dass sich die betroffenen Arbeitnehmer ein Bild machen können, mit welchen Datenverwendungen zu rechnen ist. Nur eine Mindermeinung, die sich nach meiner Einschätzung nicht durchsetzen wird, hält formelhafte Wendungen für ausreichend.

Will der Arbeitgeber den sicheren Weg gehen, sollte er den Beipackzettel anhand seines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO formulieren und für jeden dort aufgeführten Verarbeitungsprozess von Beschäftigtendaten die Datenkategorien, Zwecke, Rechtsgrundlagen, Mitteilungspflichten bzw. Quellen, Empfänger und Löschfristen benennen. Zusätzlich müssen die Beschäftigten über ihre Rechte nach Art. 15 ff. DSGVO belehrt werden.

Im Rahmen unserer Beratung haben wir dieses Jahr festgestellt, wieviel sich teilweise bei den Datenschutzprozessen in den Unternehmen im Vergleich zum Vorjahr geändert hat. Datenschutzerklärungen mussten deshalb schon jetzt in Teilen neu formuliert werden. Insoweit bietet sich an, diese Neuerungen regelmäßig – etwa einmal jährlich per Mail - zu übersenden.

juris: Während die Informationspflichten gemäß Art. 13/14 DSGVO vom Arbeitgeber ausgehen müssen, stellt die DSGVO dem Arbeitnehmer als Betroffenem in den Art. 15 ff. DSGVO Individualansprüche zur Verfügung. Werden diese zu Recht von der Praxis gefürchtet?

Grimm: Schon nach dem alten Recht konnten Datenschutzverstöße Individualansprüche von Arbeitnehmern begründen, da jeder Datenschutzverstoß mit einem Eingriff in das allgemeine Arbeitnehmerpersönlichkeitsrecht verbunden war und damit eine Nebenpflichtverletzung des § 241 Abs. 2 BGB darstellte.

Nun ist für die Praxis bedeutsam, dass die Ansprüche der einzelnen Arbeitnehmer nach Art. 15 ff. DSGVO nicht nur durch die betroffenen Arbeitnehmer selbst im Klagewege, sondern zusätzlich auch durch aufsichtsbehördliche Sanktionen (insbesondere Bußgelder nach Art. 83 Abs. 5 lit. b) DSGVO) und Verwaltungsanordnungen (Art. 58 Abs. 2 lit. g) DSGVO) durchgesetzt werden können. Deshalb sollten Unternehmen nachvollziehbare betriebliche Regelungen und Zuständigkeiten schaffen, um Individualansprüche nach Art. 15 ff. DSGVO kurzfristig und ausreichend erfüllen zu können. Die Frist dafür beträgt einen Monat und kann um zwei Monate nach Art. 12 Abs. 3 Satz 2 DSGVO verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist.

Sind Arbeitnehmer mit den Reaktionen des Arbeitgebers nicht zufrieden, können sie jederzeit Beschwerde bei der Aufsichtsbehörde erheben, ohne ein Prozesskostenrisiko eingehen zu müssen (Art. 77 DSGVO). Insofern führen Individualansprüche der Beschäftigten zu ganz erheblichen Lästigkeitspotentialen und können im arbeitsrechtlichen Konfliktfall - etwa im Trennungsprozess - entsprechend genutzt werden.

juris: Das Landesarbeitsgericht Baden-Württemberg hat am 20.12.2018 (Az. 17 Sa 11/18) zur Reichweite des Auskunftsrechts nach Art. 15 DSGVO entschieden. Gehören die Inhalte eines Hinweisgebersystems zur Personalakte, oder geht die Ansicht der Richter zu weit?

Grimm: Whistleblowing-Systeme sollten in jedem Fall so ausgestaltet sein, dass der vom Hinweis betroffene Arbeitnehmer vor Verleumdung geschützt wird, sonst ist aus meiner Sicht die Datenerhebung unverhältnismäßig und nicht erforderlich gem. § 26 Abs. 1 Satz 1 BDSG.

Im Ausgangspunkt ist der Anspruch des Betroffenen auf Auskunft über den Hinweisgeber daher zu bejahen, um sich vor Verleumdungen zu erwehren. Das LAG Baden-Württemberg geht m.E. in seiner konkreten Geltung auch nicht zu weit. In Rn. 163 bejaht es ausdrücklich den Schutz der Hinweisgeber, wenn diesen Anonymität zugesichert worden ist. Dann sind diese Teile nicht zur Personalakte und einer nach Art. 15 DSGVO informationspflichtigen Akte zu nehmen oder durch Schwärzung oder sonstige technische Vorkehrungen so unkenntlich zu machen, „als dass weder die Personen des Hinweisgebers erkennbar ist, noch dass Rückschlüsse auf die Personen möglich sind.“ Berechtigte Interessen der Hinweisgeber lässt das LAG Baden-Württemberg ausdrücklich zu. Das wird manchmal in der Berichterstattung übersehen.

Im konkreten Fall hatte der Arbeitgeber diese Geheimhaltungsinteressen aber nur pauschal vorgetragen, so dass das Urteil auch nicht in der Allgemeinheit, wie es mancherorts zitiert wird, zu verstehen ist. Gegen das Urteil wurde zudem Revision eingelegt (Az. 5 AZR 66/19), das Bundesarbeitsgericht wird und also weiter aufklären.

juris: Konkret ging es natürlich auch um die Möglichkeit zur Identifizierung des Whistleblowers. Was können Arbeitgeber tun, um die Hinweisgeber ausreichend zu schützen?

Grimm: Grundsätzlich ist es ein zulässiges Auskunftsziel, die Identität eines Whistleblowers zu erfahren. Sinnvoll und von der Datenschutzkonferenz (DSK) in der Orientierungshilfe (Stand 14.11.2018) empfohlen ist, über diese Möglichkeit den Whistleblower bei der ersten Kontaktaufnahme mit der Whistleblower-Hotline zu informieren. Das führt allerdings manchmal zu dem – nicht gewünschten – Ergebnis, dass der Whistleblower entweder anonym bleibt, was manche als kritisch ansehen, oder von der Meldung Abstand nimmt.

Andererseits kann auch nach der Auffassung des LAG Baden-Württemberg in seinem Urteil vom 20.12.2018 der Arbeitgeber Geheimhaltungsinteressen vortragen (siehe oben zu den Ausführungen in Rn. 163 des Urteils). Dazu gehört auch, dass eine Geheimhaltung dem Hinweisgeber zugesichert worden war.

Dann ist in Bezug auf den Schutz des Informanten eine konkret auf den Einzelfall bezogene Güterabwägung zwischen dem arbeitgeberseitigen Geheimhaltungsinteresse und dem Auskunftsinteresse andererseits vorzunehmen. Dazu genügt es aber nicht – wie in dem vom LAG Baden-Württemberg entschiedenen Fall –, wenn sich der Arbeitgeber lediglich pauschal und ohne weitere Substantiierung auf das Bestehen eines Geheimhaltungsinteresses beruft.

Wünschenswert wäre, wenn das Deutsche Umsetzungsgesetz zu der bereits vom Europäischen Parlament am 16.04.2019 angenommenen Whistleblower-Richtlinie zu dieser Problemstellung Regelungen enthalten würde. Andererseits enthält der Richtlinienentwurf nicht mehr die Vorgabe, dass Hinweise zunächst unternehmensintern erfolgen können. Möglicherweise werden sich Hinweisgeber damit direkt an Behörden wenden, was die datenschutzrechtliche Problematik in Bezug auf unternehmensinterne Whistleblowing-Systeme entschärft.

Auch bei Schwärzungen entsprechend den Vorgaben des LAG Baden-Württemberg muss der Arbeitgeber übrigens so vorgehen, dass man nicht mittelbar aus den geschwärzten Passagen auf die Person des Hinweisgebers schließen kann. Müsste der Arbeitgeber sehr detailliert zum Schwärzungsgrund darlegen, könnte auch daraus wieder mittelbar auf die Person geschlossen werden. Hier wäre erwägenswert, dass in das Deutsche Umsetzungsgesetz zur Whistleblowing-Richtlinie insoweit ein „in-camera-Verfahren“ eingeführt wird.

juris: Besuchen Sie die Kölner Tage Arbeitsrecht (vom 16./17.05.2019)? Haben Sie als Kölner einen Tipp für die gastronomische Begleitung der Veranstaltung?

Grimm: Wer sehr gepflegt Speisen und Trinken möchte, dem sei unmittelbar neben dem Tagungshotel das Weinlokal „Heinz Hermann“ in der Johannisstraße 64 empfohlen. Diejenigen, die es lieber zünftig mögen, sollten sich das „Max Stark“ (Unter Kahlenhausen 47) mit leckerem Päffgen Kölsch und vorzüglichen kölschen Speisen nicht entgehen lassen. Ich selbst bin leider an der Teilnahme verhindert.

juris: Herr Dr. Grimm, vielen Dank für das Gespräch!

Dr. Detlef Grimm

Portraitfoto Dr. Grimm, Mit-Autor des Tschöpe Arbeitsrecht Handbuch: Im Interview zum Beschäftigtendatenschutz
  • Partner der Kölner Rechtsanwaltskanzlei Loschelder und Fachanwalt für Arbeitsrecht
  • Beratung zum individuellen und kollektiven Arbeitsrecht, mit einem Schwerpunkt bei Vorstands- und Geschäftsführerverträgen
  • Dr. Grimm ist ständiger Mitarbeiter der Zeitschrift „Arbeitsrecht-Berater“ und Mit-Autor des Tschöpe. Das bekannte Arbeitsrecht Handbuch erscheint im Mai 2019 in der 11. Auflage. Sowohl der „Arbeitsrecht-Berater“ als auch der Tschöpe sind Teil mehrerer juris Produkte.

juris unterstützt Sie im Bereich des Arbeits- und Datenschutzrechts sowie in allen weiteren Rechts- und Themengebieten.

Testen Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:

Abbildung: juris PartnerModul Arbeitsrecht
juris PartnerModul Arbeitsrecht

Lösungsmöglichkeiten für alle arbeitsrechtlichen Fragestellungen ausgerichtet am Bedarf des anwaltlichen Praktikers.

Weitere Produktinformationen
Abbildung: juris PartnerModul Arbeitsrecht premium
juris PartnerModul Arbeitsrecht premium

Von der krankheitsbedingten Entlassung über Kranken-/Mutter-schaftsgeld bis zur betrieblichen Altersversorgung und Schwerbehindertenrecht.

Weitere Produktinformationen
Abbildung: juris PartnerModul Datenschutz
juris PartnerModul Datenschutz

Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.

Weitere Produktinformationen
Abbildung: juris DAV Zusatzmodul
juris DAV Zusatzmodul

Exklusiv für DAV-Mitglieder: Recherchieren Sie in über 30 Top-Titeln der jurisAllianz Partnerverlage.

Weitere Produktinformationen

Nicht das Passende für Sie dabei?
Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33

Cookies erleichtern uns die Bereitstellung und Verbesserung unserer Dienste. Mit der Nutzung unserer Webseiten erklären Sie sich einverstanden, dass wir Cookies verwenden. Der Nutzung können Sie in unserer Datenschutzrichtlinie widersprechen.

Einverstanden
X