Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten zu beachten? Art. 5 Abs. 1 der Datenschutz- Grundverordnung (DSGVO) sieht allgemeine Grundsätze vor, das sind die Wichtigsten:
Rechtmäßigkeit der Verarbeitung
Die Verarbeitung von personenbezogenen Daten ist dann rechtmäßig, wenn eine entsprechende Rechtsgrundlage vorliegt. Beim BEM wird Art. 6 DSGVO bedeutsam, da die Verarbeitung von Gesundheitsdaten, wie sie im BEM zwangsläufig möglich sind, nur mit Einwilligung des Betroffenen erlaubt ist. Der Mitarbeiter muss in die Erklärung schriftlich einwilligen und eigenhändig oder mit einer qualifizierten elektronischen Signatur unterschreiben. Eine Einwilligung ist grundsätzlich VOR dem Beginn des BEM erforderlich. Wenn der Arbeitnehmer die Einwilligung widerruft, dürfen von da an keine Daten mehr verarbeitet werden. Bereits erhobene Daten müssen gelöscht werden. Auch auf das Widerrufsrecht gem. Art. 21 DSGVO muss in der Einwilligung hingewiesen werden. Mitarbeiter haben außerdem einen Anspruch darauf, dass ihre Daten gelöscht werden, wenn deren Speicherung nicht mehr zulässig ist.
SBV-Tipp: Achten Sie als SBV darauf, dass der Betroffene eine Kopie seiner Einwilligungserklärung ausgehändigt bekommt.
Wichtig: Das Bundesarbeitsgericht hat am 15.12.22 (Az.: 2 AZR 162/22) entschieden, dass die (schriftliche) Zustimmung des Arbeitnehmers in die Verarbeitung seiner personenbezogenen Daten im Rahmen des BEM nicht zur Voraussetzung für dessen Durchführung gemacht werden darf. Der Arbeitgeber ist bei einer fehlenden datenschutzrechtlichen Einwilligung nicht von seiner Pflicht entbunden, auch ohne die Einwilligung in das BEM-Verfahren einzusteigen.
SBV-Tipp: In einem derartigen Fall sollten Sie als SBV darauf drängen, dass umgehend die fehlende Einwilligungserklärung vorbereitet und ggf. nach Absprache mit dem Betroffenen das Erstgespräch zeitlich entsprechend „nach hinten verschoben“ wird.
Zweckbindung
Die Zwecke der Datenverarbeitung (Art. 5 Abs. 1 lit. b) DSGVO) müssen bereits bei der Erhebung personenbezogener Daten eindeutig festgelegt werden und legitim sein.
Nach einem Urteil des LAG Hamm vom 10.01.20 (Az.: 13 TaBV 60/19) muss der Arbeitgeber neben dem Betriebsrat auch die SBV informieren, für welche Beschäftigten ein BEM in Frage kommt. Die SBV hat dabei nur Anspruch auf regelmäßige Listen der schwerbehinderten und gleichgestellten Arbeitnehmer.
Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
Eine detaillierte Auflistung bspw. aller Fehlzeiten nach Dauer, Lage und Verteilung zur Identifizierung der BEM-Berechtigten ist nicht erforderlich und verstößt gegen den Grundsatz der Datenminimierung.
Sobald die Speicherung für den Verarbeitungszweck nicht mehr erforderlich ist, müssen personenbezogenen Daten gelöscht werden.
Speicherbegrenzung
Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht (Art. 17 Abs. 1 lit. a) DSGVO) oder die Identifizierung der betroffenen Person aufgehoben werden.
Wichtig: Für BEM-Daten gibt es auch nach der DSGVO keine festgelegte Löschfrist.
Die Aufbewahrungsfrist im Sinne der DSGVO entfällt allerdings ab dem Zeitpunkt, an dem der Zweck der Datenspeicherung endet. Ist ein BEM-Verfahren beendet, entfällt auch der Zweck für die BEM-Akte.
In der Praxis hat sich die folgende Handhabung bewährt:
Die BEM-Akte wird nach Durchführung des BEM ab ihrer Beendigung für drei Jahre aufbewahrt.
Das BEM-Verfahren wurde angeboten aber abgelehnt bzw. die Einwilligung widerrufen: Die BEM-Akte ist umgehend zu löschen. In der Personalakte werden lediglich die notwendigen Nachweise über das ordnungsgemäße Anbieten des BEM-Verfahrens gespeichert.
Löschkonzept im BEM
Zur Sicherstellung der DSGVO-konformen Löschung muss ein Unternehmen ein Löschkonzept entwickeln. Hierzu ein Praxisbeispiel:
►Schritt 1: Datenbestand in Datenarten aufteilen
Der Datenbestand ist in jeweils einzelne Datenarten zu untergliedern. Eine Datenart umfasst diejenigen personenbezogenen Daten, die einem einheitlichen rechtlichen oder fachlichen Zweck dienen (z.B. Akten zum BEM)
►Schritt 2: Löschregeln festlegen
Für jede Datenart ist im Unternehmen genau eine Löschregel festzulegen. Eine Löschregel besteht aus einer Regellöschfrist und einem Startzeitpunkt.
Beispiel für Löschfrist bei BEM-Daten: Regellöschfrist drei Jahre, Startzeitpunkt: Beendigung des BEM-Verfahrens.
Hier ist zunächst festzulegen, wann das BEM beendet ist. So hat das BAG am 18.11.21 (Az.: 2 AZR 138/21) entschieden, dass der Arbeitgeber das BEM nicht einseitig beenden kann.
Ein BEM ist laut BAG unter folgenden Umständen abgeschlossen:
Arbeitgeber und Arbeitnehmer sind sich einig, dass der Suchprozess durchgeführt ist oder nicht weiter durchgeführt werden soll;
Der Arbeitnehmer erteilt keine Zustimmung für die weitere Durchführung oder widerruft diese;
Der Arbeitgeber dagegen kann das BEM nicht einseitig beenden. Auch wenn er keine Ansätze für Maßnahmen mehr sieht, ist das Verfahren erst abgeschlossen, wenn auch alle anderen beteiligten Stellen, etwa Arbeitnehmer, Interessenvertreter oder Inklusionsamt keine ernsthaft weiter zu verfolgenden Ansätze aufzeigen. Dazu muss der Arbeitgeber ihnen Gelegenheit zur Stellungnahme binnen einer bestimmten Frist geben.
Die Beendigung ist in allen Fällen schriftlich im Maßnahmenplan und / oder in der Personalakte festzuhalten.
►Schritt 3: Löschregeln festlegen
Im Anschluss muss festgelegt werden, wie die Umsetzung der Löschregeln erfolgt, also wie die Löschung konkret umgesetzt (Umsetzungsvorhaben) werden soll.
So kann die Löschung bspw. manuell erfolgen (z.B. in Form von Arbeitsanweisungen zum händischen Löschen von Dateien oder zur Vernichtung der BEM-Akten etc.).
Bei der Festlegung der Umsetzungsvorgaben ist zu berücksichtigen,
wie der Startzeitpunkt präzise ermittelt werden kann. Hier ist auf jeden einzelnen BEM-Fall abzustellen. (bspw. Beendigung durch erfolgreiche Maßnahmenumsetzung, Ausscheiden aus dem Unternehmen, Abbruch des Verfahrens durch den BEM-Berechtigten usw.)
mit welchem Mechanismus gelöscht werden soll (z.B. händisch, automatisch etc.)
ob und wie die Löschung dokumentiert wird.
►Schritt 4: Ausnahmen definieren
In dem Löschkonzept sind Sonderfälle und deren Umsetzung zu berücksichtigen, so zum Beispiel
IT-Störungen, die eine vorrübergehende Aussetzung der Löschung erforderlich machen.
Ein Betroffener macht im Einzelfall ein Löschbegehren in Bezug auf einen einzelnen ihn betreffenden Datensatz geltend usw.
Fazit:
Vertrauen ist eine Währung, mit der auch im BEM gezahlt wird! Sie als Schwerbehindertenvertretung sollten daher ihre Überwachungsrechte wahrnehmen. Achten Sie darauf, dass die allgemeinen Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO eingehalten und bei Abschluss des BEM nach einem präzise ausformulierten Löschkonzept mit dem Leitsatz „So viele Daten wie nötig, so wenig wie möglich!“ vorgegangen wird.