Datenschutz Jahresrückblick 2023

1. Der Wegfall der AU-Bescheinigung

Ab dem 1. Januar 2023 entfiel für gesetzlich versicherte Beschäftigte die Pflicht zur Vorlage einer Arbeitsunfähigkeitsbescheinigung. Die Umsetzung erfolgte später im Jahr 2023. Die damit verbundene Problematik des Arztstempels, der dem Arbeitgeber Facharztinformationen offenbaren kann, dürfte durch § 109 SGB IV n.F. entschärft werden. Gemäß dieser Vorschrift erstellt die Krankenkasse nach Erhalt der Arbeitsunfähigkeitsdaten eine Abrufmeldung für den Arbeitgeber mit dem Namen des Beschäftigten, dem Beginn und dem Ende der Arbeitsunfähigkeit, dem Datum der ärztlichen Feststellung der AU und der Kennzeichnung als Erst- oder Folgemeldung.

Rechtsstreitigkeiten zur Lohnfortzahlung, wie sie häufig auftraten, wegen zu spät eingereichter Bescheinigungen, sollten so vermieden werden können.

Dennoch entfällt eine Informationspflicht für Beschäftigte nicht.

Für Unternehmen ist weiterhin zu beachten:

1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber ist Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 S. 1 BDSG, insbesondere relevant für Lohnabrechnung.
2. Es ist nach wir vor nach Art. 32 DSGVO sicherzustellen, dass die Sicherheit der Verarbeitung besonderen Kategorien an personenbezogen Daten durch technische und organisatorische Maßnahmen gewährleisten wird
3. die Betroffenenrechte der Art 12 ff. DSGVO in Bezug auf Informationspflichten der Aktualität und der Löschpflichten beachtet werden
4. eine Neubewertung der bisherigen Prozesse sowie Anpassung des Verarbeitungsverzeichnisses und der Risiko-Analyse vorgenommen wurde

 

2. Neuerung bei der Einwilligung

Im Datenschutzrecht besteht das grundsätzliche Verbot der Verarbeitung von personenbezogenen Daten. Dieses Verbot besteht jedoch dann nicht, wenn für die einzelne Datenverarbeitung eine Rechtsgrundlage vorliegt. Man spricht vom Grundsatz des Verbots mit Erlaubnisbestandteil. Kodifiziert wird dies in Art. 6 Abs. 1 DSGVO.

Dem Grundsatz entsprechend ist einer der bekanntesten Formen der Rechtsgrundlagen zur Datenverarbeitung die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Neben dieser bestehen auch noch andere Erlaubnistatbestände, niedergeschrieben in Buchstaben b bis f des Art. 6 Abs. 1 S. 1 DSGVO .

Für die Einwilligung bestehen keine besonderen formellen Voraussetzungen, d. h. diese kann sowohl in Schriftform als auch in Textform oder sonstiger Form abgegeben werden. Selbst eine mündliche oder konkludente Einwilligung ist möglich. Bei den letzteren Möglichkeiten können jedoch Probleme in der Beweisbarkeit bestehen, da grds.           die verarbeitende Person die Darlegungs- und Beweislast trägt.

Besonderheiten bestehen bei Einwilligungen für besondere Kategorien an personenbezogenen Daten, also sensible Daten bspw. medizinische Daten. Nach Art 9 Abs. 2 lit. a) DSGVO muss die Einwilligung ausdrücklich erfolgen.

In beiden Fällen hat eine Einwilligung allerdings freiwillig zu erfolgen.

Für die Einwilligung besteht das Recht des Widerrufs. Nach einem erfolgten Widerruf entfällt die Rechtsgrundlage für die weitere (zukünftige) Datenverarbeitung. Die frühere Datenverarbeitung bleibt rechtmäßig. Über die Möglichkeit des Widerrufs muss bereits bei der Einholung der Einwilligung hingewiesen werden. Eine fehlender Hinweis kann zur unfreiwilligen und damit rechtswidrigen Einwilligung führen.

Umstritten ist hingegen, ob eine Einwilligung in die Verarbeitung von personenbezogen Daten einem Zeitablauf unterfällt, demnach befristet ist. In der Rechtsprechung einzelner Gerichte deutet sich an, dass dem Zweck nach ein Zeitablauf für die Einwilligung nicht vorgesehen wurde.

 

3. Daten im Bewerbungsverfahren

Im Rahmen der Beschäftigung ist § 26 BDSG maßgeblich. Gem. § 26 Abs. 8 DSGVO wird klargestellt, dass Bewerberinnen und Bewerber unter den Begriff des Beschäftigten fallen. Anwendbarkeit erlangt das § 26 BDSG über die Öffnungsklausel des Art. 88 DSGVO, welche den Mitgliedsstaaten erlaubt spezifische Regelungen im Kontext des Beschäftigtenverhältnisses zu erlassen.

Maßgeblich für das Bewerbungsverfahren ist dabei § 26 Abs. 1 S. 1 BDSG:

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.“

Voraussetzung für die Datenverarbeitung ist die Erforderlichkeit. Daher sollten nur solche personenbezogenen Daten abgefragt werden, die für das Bewerbungsverfahren tatsächlich notwendig sind. Besondere Vorsicht ist bei (externen) Bewerbertools geboten, da deren Standardfunktionen oft über das für den Bewerbungsprozess notwendige Maß hinausgehen. Daher ist es ratsam, diese Tools so einzustellen oder anzupassen, dass nur die erforderlichen Datenverarbeitungen stattfinden, wodurch eine Einwilligung entbehrlich wird.

Bei derartigen Tools können auch personenbezogene Daten erhoben werden, die möglicherweise nicht mehr von der Erforderlichkeit gedeckt sind. Deshalb sollte hier besondere Vorsicht gewaltet werden. Hier muss auf andere Rechtsgrundlagen u. A. § 26 Abs. 2 BDSG zurückgegriffen werden. Dabei ist auf die speziellen Anforderungen des Abs. 2 zu achten.

Nach Absage im Bewerbungsverfahren erlischt regelmäßig der Zweck zur weiteren Speicherung, weshalb solche personenbezogenen Daten regelmäßig gem. Art 17 Abs. 1 lit a DSGVO unverzüglich zu löschen sind. Hier greift regelmäßig § 61b Abs. 1 ArbGG i.V.m. § 15 Abs. 4 AGG, wonach Bewerbungsunterlagen bis zu Sechs Monate zur Abwehr von Rechtsansprüchen aufbewahrt werden können.

Weiterhin sollte ein Berechtigungskonzept vorhanden sein, um den Zugriff auf bestimmte Personen, die mit dem Bewerbungsverfahren betraut sind zu beschränken.

Auch ist eine Verschlüsselte Kommunikation von herausragender Bedeutung. Es sollte eine Möglichkeit zur Ende-zu-Ende-Verschlüsselung bestehen.

Weiterhin bedarf es auch im Bewerbungsverfahren eines Datenschutzhinweises gemäß den Art. 13, 14 DSGVO. Diese haben die Art der personenbezogenen Daten, Quelle der Daten, Empfänger der Daten, Speicherdauer und die Rechte der Bewerber zu enthalten.

Auch im Rahmen des Bewerbungsverfahrens hat der Verantwortliche gemäß Art. 30 Abs. 1 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten zu führen, einschließlich der Prozesse des Bewerbermanagements. Dieses Verzeichnis erleichtert die Einhaltung der Betroffenenrechte und dient der Rechenschaftspflicht gegenüber den Aufsichtsbehörden. Gegebenenfalls ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich.

Abschließend soll auf das Urteil des EuGH zu Beschäftigtendaten eingegangen werden. Dieses setzte sich mit einer dem § 26 Abs. 1 S. 1 BDSG nahezu identischen Vorschrift des Hessischen Datenschutzgesetzes (HDSIG) als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten auseinander. Nach Auffassung des EuGH handelt es sich sinngemäß bei § 26 Abs. 1 S. 1 BDSG nicht um eine spezifischere Norm zur Verarbeitung von Daten im Beschäftigtenverhältnis im Sinne von Art. 88 Abs. 1 DSGVO. Demnach dürfte die Anwendung des § 26 BDSG als zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in naher Zukunft der Vergangenheit angehören.

 

4. Arbeitszeiterfassung

Eine fortlaufende Überwachung des Arbeitnehmers ist gemäß der Rechtsprechung des Bundesarbeitsgerichts unzulässig (Bundesarbeitsgericht, Beschluss vom 26.8.2008, 1 ABR 16/07).

Bei personenbezogenen Daten denken viele zunächst an offensichtliche Informationen wie den Namen oder die E-Mail-Adresse. Gemäß Art. 4 Nr. 1 DSGVO umfassen jedoch “personenbezogene Daten” alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Daher fallen mehr Daten unter diese Kategorie als oft angenommen. Aufgrund der Verknüpfung zwischen Arbeitszeit (Information) und Arbeitnehmer (identifizierte Person) gilt die Arbeitszeit als personenbezogenes Datum, wie bereits der EuGH in einem Urteil von 2013 feststellte:

„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.

Der Datenschutzbeauftragte von Rheinland-Pfalz ist der Ansicht, dass eine Kenntnis der Zeiterfassungsdaten durch Vorgesetzte im erforderlichen Umfang möglich ist. Dabei sollte der Grundsatz der Datenminimierung gewahrt bleiben. Eine vertretbare Vorgehensweise ist beispielsweise die Bereitstellung einer Monatsübersicht mit Ist/Soll-Stunden sowie anlassbezogene Unterrichtung bei Auffälligkeiten oder stichprobenartige Kontrollen. Die Einsichtnahme in Einzelbuchen über eine Software müsste hingegen in einer Dienstvereinbarung ausdrücklich festgelegt werden.

Einige Instanzen, wie das ArbG Emden (Urteil vom 20.2.2020 – Az. 2 Ca94/19), betrachten EU-Recht bereits als unmittelbar wirksam im Zusammenhang mit den Dokumentationspflichten des ArbZG. Update: Das Bundesarbeitsgericht (BAG) teilt in seinem Beschluss vom 13.09.2022 (Az.: ABR 22/21) diese Auffassung und interpretiert § 3 Abs. 2 Nr. 1 ArbSchG unionrechtskonform. Das bedeutet, dass alle Arbeitgeber gemäß einer erforderlichen Maßnahme zum Gesundheitsschutz ein System zur Arbeitszeiterfassung einführen müssen. Der Gesetzgeber hat hierzu bisher keine rechtliche Klärung im ArbeitsZG geschaffen, es existiert lediglich ein Referentenentwurf des BMAS.

In Bezug auf die Speicherdauer von Arbeitszeiten muss der Grundsatz der Speicherbegrenzung eingehalten werden. Die Arbeitszeitdaten dürfen nur so lange aufbewahrt werden, wie dies tatsächlich erforderlich ist. Hierbei sind bestimmte Aufbewahrungspflichten zu berücksichtigen. Nach § 16 Abs. 2 ArbZG muss der Arbeitgeber die Dokumentation der Überstunden mindestens 2 Jahre aufbewahren. Steuerrechtliche Aufbewahrungspflichten können im Rahmen der Abgabenordnung anwendbar sein, weshalb steuerrelevante Daten der Arbeitszeiterfassung für 10 Jahre aufbewahrt werden müssen. Andere Abwesenheitszeiten sollten bis zu 2 Jahre aufbewahrt werden.

 

5. ChatGPT

Auch bei ChatGPT gibt es bei der Eingabe eines Befehls (sog. Prompt) einige Dinge zu beachten. Bereits Verbraucher sollten bei der Eingabe beachten, keine personenbezogene Daten in die Maschine einzugeben.

Problematischer wird dies allerding im unternehmerischen Kontext. Hier ist der Grundsatz der Vertraulichkeit und Integrität gemäß Art. 5 Abs. 1 lit. f) DSGVO zu beachten. Es empfiehlt sich, klare Unternehmensrichtlinien für den Einsatz und Umgang mit ChatGPT zu etablieren. Diese Richtlinien sollten Anweisungen und Handlungsempfehlungen enthalten, um sicherzustellen, dass bei Anfragen angemessen vorgegangen wird. Ebenso sind Verhaltensvorgaben sinnvoll, die beschreiben, wie im Falle eines Compliance-Verstoßes zu handeln ist. Da ältere Chats in ChatGPT gespeichert werden, sollten nur autorisierte Personen Zugriff darauf haben. Hierbei ist die Entwicklung eines Löschkonzepts von wesentlicher Bedeutung.

Da OpenAI ausschließlich seinen eigenen Auftragsverarbeitungsvertrag (AVV) anbietet, besteht Unklarheit hinsichtlich der Unterauftragsverarbeitung. Das API-nutzende Unternehmen könnte möglicherweise als Auftragsverarbeiter für seine Kund:innen agieren, was OpenAI in die Rolle des Unterauftragsverarbeiters versetzen würde. Diese Aspekte müssen transparent im Verhältnis zwischen Unternehmen und Kund:in im AVV geklärt sein.

Da OpenAI ein US-amerikanisches Unternehmen ist, liegt die Vermutung nahe, dass einige Server in den USA betrieben werden. Schon aus Dokumentationsgründen sollte daher ein Transfer Impact Assessment durchgeführt werden

Zuletzt sei auf die Positiv-Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit hingewiesen. Das verantwortliche Unternehmen ist gemäß dieser Liste verpflichtet, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Grund hierfür ist, dass ChatGPT höchstwahrscheinlich als KI gilt, die zur Verarbeitung von personenbezogenen Daten verwendet wird, um die Interaktion mit den Betroffenen zu steuern oder persönliche Aspekte der betroffenen Person zu bewerten.

Für Unternehmen, die trotz aller rechtlichen Hürden ChatGPT verwenden möchten, ist es daher unerlässlich, sich der Risiken bewusst zu sein und zumindest datenschutzrechtlich alles zu unternehmen, was im eigenen Machtbereich liegt.

 

6. Geltendmachung von Schadensersatzansprüchen bei Schufa-Fehleintrag

Ein Kläger hatte wegen eines seiner Meinung nach zu niedrigen Schadensersatzanspruchs das OLG Dresden angerufen. Das OLG Dresden bestätigte jedoch das vom Kläger angefochtene Urteil des LG Leipzig. Für den Kläger, der einen höheren Schadensersatzanspruch erhofft hatte, war dies sicherlich keine erfreuliche Entwicklung. Der Schadensersatz für den Schufa-Fehleintrag blieb bei 1.500 EUR, was weit unter den Erwartungen des Klägers lag. Hintergrund der Klage waren die behaupteten Nachteile, die der Kläger aufgrund des fehlerhaften Schufa-Eintrags geltend machen wollte. Da eine Einstufung als personenbezogenes Datum in diesem Zusammenhang möglich ist, besteht die Möglichkeit, bei rechtswidriger Datenverarbeitung Schadensersatz gemäß Art. 82 Abs. 1 DSGVO zu fordern. Der Beschluss des OLG Dresden bestätigte jedoch, dass pauschale Verweise auf empfundene Beeinträchtigungen im Kontext von Nachteilen durch eine Schufa-Auskunft keinen ausreichend substantiierten Vortrag darstellen.