Arbeitnehmerdatenschutz bei nichtöffentlichen. der Erhebung von Krankheitsdaten durch den Arbeitgeber

Transkript

1 Arbeitnehmerdatenschutz bei nichtöffentlichen Stellen unter dem Aspekt der Erhebung von Krankheitsdaten durch den Arbeitgeber Diplomarbeit eingereicht am Fachbereich Allgemeine Innere Verwaltung der Fachhochschule für öffentliche Verwaltung und Rechtspflege in Bayern von Carmen Adacker Matrikelnummer Jahrgang 2007/2010

2 Inhalt Inhalt... I Abkürzungsverzeichnis... II 1 Einleitung Problemstellung der Praxis Grundlagen des Arbeitnehmerdatenschutzes Verfassungsrechtliche Grundlagen Individual- und kollektivrechtliche Regelungen Europarechtliche und internationale Aspekte Rechtslage bei der Erhebung von Krankheitsdaten durch den Arbeitgeber Anwendbarkeit des BDSG Verbot mit Erlaubnisvorbehalt Zulässigkeit durch andere Rechtsvorschriften Zulässigkeit nach Vorschriften des BDSG Allgemeine Regelungen Sonderregelungen für sensible Daten Exkurs ins Entgeltfortzahlungsrecht Erlaubnisregelungen in 32 BDSG Zulässigkeit durch Einwilligung Rechte der Arbeitnehmer gegen den Arbeitgeber Datentransparenz Datenkorrektur Schadensersatz Betriebliche Datenschutzkontrolle Betrieblicher Datenschutzbeauftragter Betriebsrat Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich Funktion der Datenschutzaufsichtsbehörden Handlungsmöglichkeiten im Überblick Schlussbetrachtung Zusammenfassung (Abstract) der Diplomarbeit Quellenverzeichnis Anlagenverzeichnis Erklärung I

3 Abkürzungsverzeichnis a. A. andere Ansicht a. a. O. am angegebenen Ort ABl. Abs. Alt. Art. BAG Amtsblatt der Europäischen Union Absatz Alternative Artikel Bundesarbeitsgericht BayDSG Bayerisches Datenschutzgesetz vom 23. Juli 1993 (GVBl. S. 498), zuletzt geändert durch Gesetz vom 27. Juli 2009 (GVBl. S. 400) BayVwVfG BDSG BDSG 1990 BDSG 2001 BetrVG BfDI BGB BGBl. BT-Drucks. Buchst. BVerfGE Bayerisches Verwaltungsverfahrensgesetz vom 23. Dezember 1976 (GVBl. S. 544), zuletzt geändert durch Gesetz vom 27. Juli 2009 (GVBl. S. 376) Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) Bundesdatenschutzgesetz vom 20. Dezember 1990 (BGBl. I S. 2954), zuletzt geändert durch Art. 2 Abs. 5 des Gesetzes vom 17. Dezember 1997 (BGBl. I S. 3108) Bundesdatenschutzgesetz vom 20. Dezember1990 (BGBl. I S. 2954), maßgeblich geändert durch Art. 1 des Gesetzes vom 18. Mai 2001 (BGBl. I S. 904), in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Art. 5 des Gesetzes vom 29. Juli 2009 (BGBl. I S. 2355) Betriebsverfassungsgesetz in der Fassung der Bekanntmachung vom 25. September 2001 (BGBl. I S. 2518), zuletzt geändert durch Art. 9 des Gesetzes vom 29. Juli 2009 (BGBl. I S. 2424) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Bürgerliches Gesetzbuch in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S. 42), zuletzt geändert durch Gesetz vom 28. September 2009 (BGBl. I S. 3161) Bundesgesetzblatt (Teil I, Teil II) Bundestagsdrucksache Buchstabe Entscheidungen des Bundesverfassungsgerichts (zitiert nach Band und Seite) II

4 bzw. beziehungsweise d. h. das heißt Datenschutzrichtlinie Diss. DSB Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom , S. 31) Dissertation Datenschutzberater, Zeitschrift (zitiert nach Heft, Jahr und Seite) DSchV Datenschutzverordnung vom 1. März 1994 (GVBl. S. 153), zuletzt geändert durch Verordnung vom 10. Februar 2009 (GVBl. S. 22) DuD EMRK Datenschutz und Datensicherheit, Zeitschrift (zitiert nach Jahr und Seite) Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten in der Fassung der Bekanntmachung vom 17. Mai 2002 (BGBl. II S. 1054), in Kraft getreten am 1. Februar 2005 gemäß Bekanntmachung des Auswärtigen Amtes vom 23. November 2004 (BGBl. II S. 1722) EntgFZG Entgeltfortzahlungsgesetz vom 26. Mai 1994 (BGBl. I S. 1014), zuletzt geändert durch Gesetz vom 23. Dezember 2003 (BGBl. I S. 2848) EU Europäische Union f. folgende (Seite/Nummer) ff. fortfolgende (Seiten/Nummern) GG Grundgesetz für die Bundesrepublik Deutschland vom 23. Mai 1949 (BGBl. S. 1), zuletzt geändert durch Gesetz vom 29. Juli 2009 (BGBl. I S. 2248) ggf. GmbH GmbHG GVBl. Hrsg. gegebenenfalls Gesellschaft mit beschränkter Haftung Gesetz betreffend die Gesellschaften mit beschränkter Haftung in der bereinigten Fassung des Abdrucks im BGBl. III Ordnungsnummer , zuletzt geändert durch Gesetz vom 31. Juli 2009 (BGBl. I S. 2509) Bayerisches Gesetz- und Verordnungsblatt Herausgeber i. V. m. in Verbindung mit JZ Landesamt NJW Juristen-Zeitung (zitiert nach Jahr und Seite) Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken Neue Juristische Wochenschrift (zitiert nach Jahr und Seite) III

5 Nr. NZA Nummer o. ä. oder ähliches OWiG Rdnr. Rdnrn. RDV S. Seite SGB IX sog. SPD StPO Neue Zeitschrift für Arbeitsrecht (zitiert nach Jahr und Seite) Gesetz über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), zuletzt geändert durch Gesetz vom 29. Juli 2009 (BGBl. I S. 2258) Randnummer Randnummern Recht der Datenverarbeitung, Zeitschrift für Praxis und Wissenschaft (zitiert nach Jahr und Seite) Sozialgesetzbuch (SGB), Neuntes Buch Rehabilitation und Teilhabe behinderter Menschen vom 19. Juni 2001 (BGBl. I S. 1046), zuletzt geändert durch Gesetz vom 30 Juli 2009 (BGBl. I S. 2495) sogenannt u. a. und andere vgl. Sozialdemokratische Partei Deutschlands Strafprozessordnung in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074), zuletzt geändert durch Gesetz vom 29. Juli 2009 (BGBl. I S. 2280) vergleiche z. B. zum Beispiel Ziff. ZuVOWiG Ziffer Verordnung über Zuständigkeiten im Ordnungswidrigkeitenrecht vom 21. Oktober 1987 (GVBl. S. 727), zuletzt geändert durch Verordnung vom 7. August 2007 (GVBl. S. 575) IV

6 1 Einleitung Seitdem Ende März 2008 die Medien berichtet hatten, dass Mitarbeiter des Discounters Lidl systematisch überwacht würden, 1 ist der Arbeitnehmerdatenschutz ins Blickfeld der Öffentlichkeit gerückt. Auch im Bayerischen Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken sind im Jahr 2009 drei Fälle aus dem Bereich des Arbeitnehmerdatenschutzes, speziell zur Erhebung von Krankheitsdaten, bekannt geworden. Parallel dazu wurde das BDSG im Jahr 2009 durch drei Novellen umfassend geändert, von denen die Novelle II weitestgehend am in Kraft getreten ist. 2 Mit dem so neu ins BDSG aufgenommenen 32 BDSG besteht nun eine erste Spezialregelung für den Arbeitnehmerdatenschutz. Zur künftigen Verbesserung der rechtlichen Situation kündigte die Bundesjustizministerin Sabine Leutheusser- Schnarrenberger im November 2009 an, tätig werden zu wollen. 3 Bislang liegt dagegen nur der Entwurf eines Gesetzes zum Datenschutz im Beschäftigungsverhältnis der SPD-Fraktion im Bundestag vor. 4 Angesichts der tatsächlichen und rechtlichen Entwicklung setzt sich diese Arbeit das Ziel, einen Überblick zum Arbeitnehmerdatenschutz bei nicht-öffentlichen Stellen zu bieten, insbesondere über die Rechtslage bei der Erhebung von Krankheitsdaten durch den Arbeitgeber. Diese Eingrenzung ist im Hinblick auf den begrenzten Rahmen dieser Arbeit nötig wegen der umfassenden Problematik des Arbeitnehmerdatenschutzes, bei der es letztlich immer um eine Form von Kontrolle der Arbeitnehmer durch den Arbeitgeber geht. Anhand eines konkreten Beispielfalles will diese Arbeit die Gefährdung des Persönlichkeitsrechts von Arbeitnehmern im Zusammenhang mit der Erhebung von Krankheitsdaten aufzeigen. Dazu erfolgt aufbauend auf den Grundlagen des Arbeitnehmerdatenschutzes die rechtliche Bewertung unter systematischer Aufarbei- 1 Pressemitteilung des Innenministeriums Baden-Württemberg vom , RDV 2008, BDSG-Novelle I: Gesetz vom (BGBl. I S. 2254); BDSG-Novelle II: Gesetz vom (BGBl. I S. 2814); BDSG-Novelle III: Gesetz vom (BGBl. I S. 2355) 3 Bundesjustizministerin will Arbeitnehmerdatenschutz stärken, in: heise online, , URL: Krempl, in: heise online, , URL: Entwurf-zu-Arbeitnehmer-Datenschutz-vor html, ; BT-Drucks. 17/69, URL:

7 tung der Rechtslage. Der Schwerpunkt liegt dabei auf der praxisbezogenen Rechtsanwendung. Anschließend werden fallbezogen die Rechte der Betroffenen und die Vorgaben zur betrieblichen Datenschutzkontrolle sowie Funktion und Handlungsmöglichkeiten der Datenschutzaufsichtsbehörden im nicht-öffentlichen Bereich dargestellt. 2 Problemstellung der Praxis Ausgangpunkt für diese Arbeit ist die Erhebung von Krankheitsdaten anhand eines beim Bayerischen Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken aktuellen Falles. Da der Fall bislang noch nicht an die Öffentlichkeit gedrungen ist, wird er pseudonymisiert als Fall der Firma X behandelt. Nachfolgend wird der wesentliche Sachverhalt kurz dargestellt, eine ausführliche Zusammenfassung des Sachverhalts befindet sich in der Anlage 2. Auslöser für das Tätigwerden des Landesamtes war eine anonyme Beschwerde, wonach bei der Firma X im Werk W akribisch genau alle Krankendaten der Mitarbeiter abgefragt, registriert und ausgewertet würden. Der Beschwerde waren komplett ausgefüllte Originalkrankenkarten eines Mitarbeiters 5 für die Jahre 1995 bis 2004 und 2006 nach dem Muster der Anlage 1 beigefügt. In der Spalte Bemerkung war teilweise der ausstellende Arzt aufgeführt. Das Landesamt hat daraufhin eine datenschutzrechtliche Überprüfung der Firma X GmbH vorgenommen. Nach dem derzeitigen Stand der Ermittlungen wurden im Werk W in der Zeit von 1995 bis Ende 2008 tatsächlich für die dort beschäftigten Arbeitnehmer solche Krankenkarteikarten geführt. Zu den Zwecken der Datenerfassung zählten nach Angabe der Firma X die Senkung der Fehlzeiten, insbesondere der Kurzerkrankungen, die bessere Betreuung und Wiedereingliederung der Krankheitsfälle sowie die Ermittlung von Verbesserung am Arbeitsplatz zur Verhinderung von Erkrankungen. Die Erhebung der Krankheitsdaten wurde zum Ende des Jahres 2008 eingestellt und sämtliche Krankenkarteikarten vollständig vernichtet. Allerdings sind die konkreten Umstände bei der Einführung der Datenerhebung nicht mehr nachvollziehbar. Dies gilt vor allem für die von der Firma X behauptete umfassende Aufklärung der Arbeitnehmer und die Beteiligung des Betriebsrates. 5 Daher und wegen der Lesbarkeit wird im Folgenden nur die männliche Bezeichnung geschlechtsspezifischer Begriffe verwendet. Eine inhaltliche Wertung ist damit nicht verbunden. 2

8 Die Bearbeitung des Falles durch das Landesamt ist noch nicht abgeschlossen. Eine mögliche Ahndung der festgestellten Verstöße steht noch aus. 3 Grundlagen des Arbeitnehmerdatenschutzes Für das Personalwesen ist Datenschutz keine neue Problemstellung. Die Regelungen des Personaldatenschutzes nahmen ihren Ausgangspunkt im öffentlichen Dienst. Dort fanden sie eine erste Ausgestaltung durch das preußische Personalaktenwesen im 18. Jahrhundert. Seit Beginn des 20. Jahrhunderts legten auch private Arbeitgeber Sammlungen an, die mitarbeiterbeschreibende Personaldaten enthielten. 6 Diese Daten bedürfen zum Schutz der Persönlichkeitsrechte der Arbeitnehmer eines angemessenen Schutzes. 7 Im Folgenden wird daher als Einstieg in die Materie ein Überblick über die für die betriebliche Datenverarbeitung in der Privatwirtschaft einschlägigen Grundlagen des Datenschutzes gegeben. 3.1 Verfassungsrechtliche Grundlagen Das Bundesverfassungsgericht hat in seinem datenschutzrechtlich wegweisenden Urteil vom zum Volkszählungsgesetz aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG das Grundrecht auf informationelle Selbstbestimmung abgeleitet. 8 Dessen Anwendung und Wirkung auf das private Arbeitsverhältnis ist zwar im Ergebnis unumstritten, 9 bedarf aber mit Blick auf die Praxis einer Erläuterung. Gemäß der Geltungsanordnung des Art. 1 Abs. 3 GG entfalten sich die Grundrechte unmittelbar im Verhältnis des Bürgers zur staatlichen Gewalt. Außerdem finden die Grundrechte auf den Privatrechtsverkehr im Wege unmittelbarer Drittwirkung zweifelsfrei dort Anwendung, wo dies das GG selbst klarstellt (so bei Art. 9 Abs. 3 Satz 2 GG). 10 Eine generelle unmittelbare Drittwirkung der Grundrechte für alle Rechtssubjekte des Privatrechts ist abzulehnen, da die vom GG und den Grundrechten selbst gewollte Privatautonomie sonst einschneidend beschnitten und die grundrechtlichen Freiheiten zu einer umfassenden Pflichtenordnung 6 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnrn und 70 7 Büllesbach, in: Handbuch Datenschutzrecht, Rdnr. 1 8 BVerfGE 65, 1, 41 ff. 9 vgl. dazu ausführlich: Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 82 ff.; Büllesbach, in: Handbuch Datenschutzrecht, Rdnr. 4; vgl. auch: Mester, Arbeitnehmerdatenschutz, S. 9; Gola/Klug, Grundzüge des Datenschutzrechts, S. 143; Bergmann/Möhrle/Herb, Datenschutzrecht, Teil I, Ziff ; Weichert, RDV 2007, Herdegen, in: Maunz/Dürig, Grundgesetz, Art. 1 Abs. 3, Rdnr. 59 3

9 verkommen würden. 11 Stattdessen sind die Grundrechte, wie das Bundesverfassungsgericht im sog. Lüth-Urteil vom feststellte, in erster Linie Abwehrrechte des Bürgers gegen den Staat. Sie verkörpern daneben aber auch eine objektive Wertordnung, die als verfassungsrechtliche Grundentscheidung für alle Bereiche des Rechts gilt. Damit beeinflussen sie auch das bürgerliche Recht. Der Rechtsprechung bieten sich zur Verwirklichung dieses Einflusses insbesondere die Generalklauseln (z. B. 242 BGB, 75 Abs. 1 BetrVG) als Einbruchstellen der Grundrechte in das bürgerliche Recht. 13 Das Bundesverfassungsgericht hat mit diesem Urteil die Lehre von der unmittelbaren Drittwirkung zu Gunsten der Lehre von der mittelbaren Drittwirkung verworfen. 14 Folgerichtig kommt auch dem Recht auf informationelle Selbstbestimmung unmittelbar nur die Abwehrfunktion zum Schutz des Bürgers vor dem Staat zu; die unmittelbare Anwendung des Grundrechts auf das private Arbeitsverhältnis scheidet aus. Das Bundesverfassungsgericht hat sich speziell zur Frage der Drittwirkung des informationellen Selbstbestimmungsrechts bislang einzig mit Kammerbeschluss vom geäußert und auf die gerichtliche Aufgabe abgestellt, den grundrechtlichen Schutz durch Auslegung und Anwendung des einfachen Rechts zu gewähren und im Einzelfall zu konkretisieren 15. Dagegen hatte sich das Bundesarbeitsgericht bereits 1986 nach sinngemäßer Interpretation für eine mittelbare Wirkung des Rechts auf informationelle Selbstbestimmung im privatrechtlichen Arbeitsverhältnis ausgesprochen. 16 Das Gericht sieht es in erster Linie als Aufgabe des Gesetzgebers, die privatrechtlichen Beziehungen für alle Beteiligten grundrechtsmäßig ausgewogen zu gestalten. Dabei kann generell die Geltung der Grundrechte, soweit sie Elemente der vorgenannten objektiven Ordnung enthalten, nicht von einer ihr entsprechenden Gestaltung der Privatrechtsordnung durch den einfachen Gesetzgeber abhängen. Dies hat für das Arbeitsrecht praktische Bedeutung, da wegen der zersplitterten Rechtslage wesentliche Grundsätze nicht durch Gesetz, sondern nur durch die Rechtsprechung gesichert sind vgl. Dreier, in: Dreier, Grundgesetz, Vorbemerkung, Rdnr BVerfGE 7, BVerfGE 7, 198, 205 f. 14 Richardi, in: Richardi u. a., Münchener Handbuch zum Arbeitsrecht, 12, Rdnr JZ 2007, 576; vgl. dazu ausführlich: Däubler, Gläserne Belegschaften, Rdnr. 90a ff. 16 vgl. Urteil des BAG vom mit Anmerkung, RDV 1987, 129, 131, Richardi, in: Richardi u. a., Münchener Handbuch zum Arbeitsrecht, 12, Rdnrn. 11 und 12 4

10 Der Persönlichkeitsschutz im Arbeitsrecht ergibt sich deshalb primär aus privatrechtlichen Grundsätzen und sekundär aus der mittelbaren Wirkung der Grundrechte als objektive Wertordnung. Eine besondere arbeitsrechtliche Bedeutung erhält er durch 75 Abs. 2 Satz 1 BetrVG, der die Verpflichtung von Arbeitgeber und Betriebsrat regelt, die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Dies bedeutet auch, dass das Grundrecht auf informationelle Selbstbestimmung unter Berücksichtigung des vom Bundesverfassungsgericht entwickelten Schutzbedarfs in die Interpretation des 75 Abs. 2 BetrVG und der mit dieser Bestimmung in Zusammenhang stehenden Vorschriften einzugehen hat. Es erhält so neben dem individualrechtlichen auch einen kollektivrechtlichen Aspekt Abs. 2 BetrVG kann insofern durchaus als Transformator für die Übertragung des Grundrechtsschutzes in das einzelne private Rechtsverhältnis gesehen werden Individual- und kollektivrechtliche Regelungen Seit jeher wird der Arbeitnehmerdatenschutz durch Regelungen auf diesen beiden Ebenen gestaltet. Dabei geht es im Individualrecht um die datenschutzrechtlichen Beziehungen zwischen Arbeitgeber und Arbeitnehmer; d. h. um die Festlegung der Befugnisse des Arbeitgebers, Informationen über die Beschäftigten zu erheben, zu speichern sowie auszuwerten und die hierbei zu beachtenden in 6 Abs. 1 BDSG ausdrücklich als unabdingbar bezeichneten Rechte der Beschäftigten als Betroffene auf Auskunft und Korrektur 20. Diesbezügliche Regelungen finden sich im BDSG und in bereichsspezifischen Regelungen, d. h. im Arbeitsrecht. 21 Beim Kollektivrecht geht es darum, den Mitarbeitervertretungen Kontroll- und Einflussmöglichkeiten einzuräumen, die dazu beitragen sollen, dass der Arbeitgeber seinem Auftrag, die freie Entfaltung der Persönlichkeitsrechte der Beschäftigten zu fördern ( 75 Abs. 2 BetrVG), in vollem Umfang nachkommt 22. Individuelles und kollektives Datenschutzrecht sind miteinander verzahnt, denn die Beachtung der entsprechenden Beteiligungsrechte von Betriebs- und Personalrat ist Wirksamkeits- und Rechtmäßigkeitsvoraussetzung. Der Verstoß gegen das Kol- 18 Simitis, NJW 1985, 401, 404; vgl. auch Wächter, Datenschutz im Unternehmen, Rdnr. 240 ff. 19 vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr Gola/Klug, Grundzüge des Datenschutzrechts, S. 139 f. 21 vgl. Gola/Klug, Grundzüge des Datenschutzrechts, S Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 72 5

11 lektivrecht wirkt als Verarbeitungs- bzw. Erhebungssperre und löst die Korrekturrechte der Betroffenen aus. 23 Umgekehrt werden unzulässige Eingriffe des Arbeitgebers in das Persönlichkeitsrecht der Arbeitnehmer nicht durch eine Beteiligung des Betriebsrates zulässig Europarechtliche und internationale Aspekte Dem BDSG in seiner aktuellen Fassung liegt in wesentlichen Teilen die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) zu Grunde. Bei der Verarbeitung von Arbeitnehmerdaten sind insbesondere die Vorgaben in Art. 8 Abs. 1 Datenschutzrichtlinie für die Verarbeitung besonders schützenswerter Daten, zu denen auch die Gesundheitsdaten zählen, bedeutsam. 25 Mit Art. 8 Abs. 1 EMRK wurde auf internationaler Ebene der Anspruch eines jeden Menschen auf Achtung seines Privatlebens, seines Familienlebens, seiner Wohnung und seines Briefverkehrs gewährleistet. Die EMRK hat in Deutschland den Rang eines einfachen Gesetzes, findet aber Einfluss bei der Auslegung der Grundrechte. 26 Weitergehende Datenschutzrechte finden sich in der Grundrechtecharta der EU 27, die am 7. Dezember 2000 in Nizza proklamiert und mit dem Inkrafttreten des Vertrages von Lissabon am 1. Dezember 2009 nach Abschluss des Ratifizierungsprozesses verbindlich wurde. 28 Art. 8 der Grundrechtecharta garantiert ausdrücklich das Grundrecht auf Datenschutz. 29 Daneben bringt der Vertrag von Lissabon Neuerungen, die zum ersten Mal eine Harmonisierung des Datenschutzes und eine umfassende EU-weite Geltung des Grundrechts auf Datenschutz erwarten lassen, wenn auch durch das in den Mitgliedsstaaten bestehende unterschiedliche Datenschutzverständnis wohl nicht auf höchstem Niveau Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr Fitting u. a., Betriebsverfassungsgesetz, 75, Rdnr Büllesbach, in: Handbuch Datenschutzrecht, Rdnr Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 101 f. 27 ABl. C 364 vom , S 1 28 Vertrag von Lissabon (ABl. C 306 vom , S. 1); Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 110 ff.; Däubler, Gläserne Belegschaften, Rdnrn. 63 und 63a; Europa Vertrag von Lissabon, URL: (abgerufen: ) 29 Simitis, in: Simitis, Bundesdatenschutzgesetz, Einleitung, Rdnr vgl. Pätzel, Datenschutz Praxis, Ausgabe 10, 2009, 14, 15 6

12 4 Rechtslage bei der Erhebung von Krankheitsdaten durch den Arbeitgeber Im Folgenden werden die für die Erhebung von Krankheitsdaten durch den Arbeitgeber im nicht-öffentlichen Bereich einschlägigen Regelungen systematisch aufgearbeitet. Die konkrete materielle Rechtsanwendung wird am Fall der Firma X dargestellt. 4.1 Anwendbarkeit des BDSG Das BDSG ist anwendbar 31, wenn es um personenbezogene Daten geht (vgl. 1 Abs. 1 BDSG). Personenbezogene Daten sind gemäß 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Im Fall der Firma X sind diese Voraussetzungen erfüllt. Das Datum Krankheit bzw. in der vorliegend abgefragten Form das Datum Art der Erkrankung ist eine Einzelangabe über ein persönliches Verhältnis einer namentlich bestimmten Person, nämlich deren Gesundheitszustand. 32 Bei den jeweils als krank erfassten Mitarbeitern der Firma X handelt es sich um natürliche Personen; die Mitarbeiter sind damit auch Betroffene. Nach 1 Abs. 2 BDSG richtet sich das BDSG unter anderem an nicht-öffentliche Stellen. Nicht-öffentliche Stellen sind grundsätzlich alle natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts ( 2 Abs. 4 Satz 1 Halbsatz 1 BDSG). Auf die Rechtsform juristischer Personen kommt es dabei nicht an. 33 Die Firma X ist Normadressat des BDSG, denn sie ist eine nicht-öffentliche Stelle im Sinne von 1 Abs. 2 Nr. 3 BDSG. Sie ist als GmbH eine juristische Person des Privatrechts ( 13 Abs. 1 GmbHG) und wird nur privatwirtschaftlich tätig. Sie ist also außerhalb der öffentlichen Stellen bzw. der öffentlichen Verwaltung angesiedelt ( 2 Abs. 4 Satz 1 Halbsatz 2, Satz 2 BDSG). Im sog. nicht-öffentlichen Bereich ( 27 ff. BDSG) knüpft der Geltungsbereich des BDSG zusätzlich an den Datenumgang für nicht ausschließlich persönliche oder familiäre Tätigkeiten sowie an den Einsatz von Datenverarbeitungsanlagen 31 vgl. Schema in: Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 1, Rdnr Gola/Schomerus, BDSG, 3, Rdnr Weichert, in: Däubler u. a., Bundesdatenschutzgesetz, 2, Rdnr. 16 7

13 bzw. nicht automatisierten Dateien an ( 1 Abs. 2 Nr. 3 und 27 Abs. 1 Satz 1 BDSG). 34 Der Datenumgang durch die Firma X erfolgte eindeutig für Firmenzwecke und gerade nicht ausschließlich für persönliche oder familiäre Tätigkeiten. Anhaltspunkte für eine automatisierte Datenverarbeitung ( 3 Abs. 2 Satz 1 BDSG) sind zwar nicht gegeben, aber es liegt eine nicht automatisierte Datei vor. Eine solche ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann ( 3 Abs. 2 Satz 2 BDSG). Vorliegend wurden mehrere Merkmale 35, insbesondere Name, Geburtsdatum und Krankheitsdaten, in gleichartige Formblätter (vgl. Anlage 1) eingetragen, so dass daraus z. B. für das Jahr 2006 die Krankheitstage der Mitarbeiter zusammengestellt werden konnten. Eine derartige Sammlung von Karteikarten erfüllt den Dateibegriff. 36 Das von der Firma X vorgenommene Abfragen, Registrieren und Auswerten der Krankheitsdaten erfüllt die Tatbestände des Erhebens, Verarbeitens (in Form des Speicherns) und des Nutzens. Durch das Abfragen wurden aktiv und gezielt Daten über den jeweils Betroffenen beschafft ( 3 Abs. 3 BDSG) und dann handschriftlich auf der entsprechenden Karteikarte zur weiteren Auswertung erfasst ( 3 Abs. 4 Satz 1, Satz 2 Nr. 1 BDSG) 37. Indem der Vorgang der Datenerhebung zwecks weiterer Verwendung erfolgte, fällt er überhaupt erst unter das BDSG ( 1 Abs. 2 Nr. 3 BDSG). 38 Das Löschen der Daten ( 3 Abs. 4 Satz 2 Nr. 5 BDSG) durch die Vernichtung der Karteikarten 39 wird im Hinblick auf die Zulässigkeitsvoraussetzungen und Rechtsfolgen unzulässigen Datenumgangs vernachlässigt. Allein bereits die zielgerichtete Kenntnisnahme der Daten durch Mitarbeiter der Firma X als verantwortliche Stelle ( 3 Abs. 7 BDSG) fällt unter den Begriff des Nutzens ( 3 Abs. 5 BDSG), ohne dass es darauf ankommt, zu welchem Zweck dies geschieht. 40 Dass der Datenumgang nur im Werk W erfolgte ist irrelevant, denn 34 vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 201; Däubler, Gläserne Belegschaften, Rdnrn Dammann, in: Simitis, Bundesdatenschutzgesetz, 3, Rdnr Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 3, Rdnr. 52; Dammann, in: Simitis, Bundesdatenschutzgesetz, 3, Rdnr. 99; Schierbaum, Computer und Arbeit, Heft 5, 2009, 15, Dammann, in: Simitis, Bundesdatenschutzgesetz, 3, Rdnrn. 115 und Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr vgl. Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 3, Rdnr Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 3, Rdnr. 124; Dammann, in: Simitis, Bundesdatenschutzgesetz, 3, Rdnr

14 nach der juristischen Betrachtungsweise des BDSG ist die verantwortliche Stelle immer die Firma einschließlich ihrer Niederlassungen und Zweigstellen. 41 Als Auffanggesetz ist das BDSG unter Beachtung des Grundsatzes der Subsidiarität aus 1 Abs. 3 BDSG auf den Fall der Firma X anwendbar; es sind vorliegend insbesondere keine anderen Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden ( 1 Abs. 3 Satz 1 BDSG). In Betracht kommen nach dem Wortlaut neben den formellen Gesetzen sämtliche materiellen Rechtsnormen des Bundes. Tarifverträge und Betriebsvereinbarungen fallen deswegen nicht darunter, auch wenn die zwingende Wirkung ihres normativen Teils durch bundesrechtliche Regelungen angeordnet wurde. Die Subsidiaritätswirkung des BDSG tritt außerdem nur bei Tatbestandskongruenz ein, d. h. die Bundesnorm muss genau den Sachverhalt regeln, der auch Gegenstand der Regelung des BDSG ist. 42 Die Zulässigkeit der Erhebung von Krankheitsdaten richtet sich hier daher nach 4 Abs. 1 BDSG. 4.2 Verbot mit Erlaubnisvorbehalt Gemäß 4 Abs. 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Bei den aufgezählten Zulässigkeitsvoraussetzungen ist zwar das BDSG ( dieses Gesetz ) an erster Stelle genannt. Nach seinem Charakter als Auffanggesetz wird aber zunächst die andere Rechtsvorschrift relevant. Im Hinblick auf die vom BDSG zu schützende informationelle Selbstbestimmung hätte rechtssystematisch die Einwilligung an erster Stelle der Zulässigkeitsvoraussetzungen genannt werden müssen. In der Praxis hat die Einwilligung jedoch nur nachrangige Bedeutung, zumal sich die Frage nach der notwendigen Freiwilligkeit der Erklärung (vgl. 4a Abs. 1 Satz 1 BDSG) gerade im Arbeitsverhältnis regelrecht aufdrängt. 43 Der Hinweis auf andere Rechtsvorschriften kann nur noch für Zulässigkeitsregelungen gelten, die nicht bereits unter 1 Abs. 3 Satz 1 BDSG fallen. Er erfasst also insbesondere Vorschriften eines Landes, Satzungsrecht oder normative Teile von Tarifverträgen und Betriebs-/Dienstvereinbarungen. Wie schon 41 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S Gola/Schomerus, BDSG, 1, Rdnrn. 23 und Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr

15 1 Abs. 3 Satz 1 BDSG verlangt 4 Abs. 1 BDSG eine Norm, die die Verarbeitung personenbezogener Daten eindeutig, also unter Nennung zumindest der Art der Daten und des Zwecks der Verarbeitung für zulässig erklärt Zulässigkeit durch andere Rechtsvorschriften Für die Erhebung von Krankheitsdaten durch den Arbeitgeber ist mit 84 Abs. 2 SGB IX eine einschlägige spezialgesetzliche Regelung ersichtlich. Seit 2004 sieht 84 Abs. 2 Satz 1 SGB IX 45 die Durchführung eines betrieblichen Eingliederungsmanagements für alle Beschäftigten vor, die im Laufe eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig waren. Das Verfahren dient der Klärung von Möglichkeiten, wie die Arbeitsunfähigkeit möglichst überwunden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann. Es wird zwischen Arbeitgeber, der zuständigen Interessenvertretung und ggf. der Schwerbehindertenvertretung mit Zustimmung und Beteiligung der betroffenen Person durchgeführt. Da die jeweils betroffene Person häufig dennoch befürchten muss, dass die im Eingliederungsmanagement erhobenen Daten die Vorbereitung einer krankheitsbedingten Kündigung erleichtern könnten, macht die Vorschrift das Verfahren ausdrücklich von der Zustimmung des Betroffenen abhängig. Nach 84 Abs. 2 Satz 3 SGB IX ist die betroffene Person zuvor auf die Ziele des betrieblichen Eingliederungsmanagements sowie auf Art und Umfang der hierfür erhobenen und verwendeten Daten hinzuweisen. Weil es dabei auch um (später noch genauer zu betrachtende) sensible Daten im Sinne des 3 Abs. 9 BDSG geht, ist es zwingend erforderlich, dass sich die Einwilligung gemäß 4a Abs. 3 BDSG auch auf sie bezieht. Im Endeffekt läuft es also auf eine zweckgebundene Einwilligung zur Datenerhebung und verarbeitung hinaus. Ungeachtet dessen ist dem ganzen Verfahren ein Einwilligungserfordernis der betroffenen Person vorausgestellt. 46 Jede sonstige Beurteilung eines zulässigen Umgangs mit Krankheitsdaten kann nur anhand der für die jeweilige verantwortliche Stelle geltenden anderen Rechtsvorschriften erfolgen. 44 Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnrn. 238 f., vgl. Gola/Schomerus, BDSG 4, Rdn. 7 f.; Walz, in: Simitis, Bundesdatenschutzgesetz, 4, Rdnrn. 9 und Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 28, Rdnr. 82b 46 vgl. Däubler, Gläserne Belegschaften, Rdnrn. 399b und 399c; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr

16 Von der Firma X wurde die Möglichkeit, ab 2004 legal Angaben über den Gesundheitszustand der Arbeitnehmer für die Durchführung eines betrieblichen Eingliederungsmanagements zu erheben, nicht geltend gemacht. Die Betreuung und Wiedereingliederung der Krankheitsfälle wurde zwar als Erhebungszweck benannt. Die Umstände der Datenerhebung seit dem Jahr 1995 deuten aber darauf hin, dass die erforderliche Einwilligung der jeweils Betroffenen fehlte. Ebenso wird eine Regelung in einem Tarifvertrag oder in einer Betriebsvereinbarung von der Firma X nicht beansprucht. Die Aussage, der Betriebsrat sei an der Einführung der Datenerfassung von Anfang an beteiligt gewesen, lässt allenfalls darauf schließen, dass vielleicht eine sog. Regelungsabrede getroffen wurde. Eine solche kommt in konkreten Einzelfällen durch übereinstimmende Willenserklärungen von Arbeitgeber und Betriebsrat zustande und wirkt nur zwischen den Parteien. Sie bestimmt im Gegensatz zur Betriebsvereinbarung nicht unmittelbar und zwingend die Arbeitsverhältnisse und kann daher die Verarbeitung von Mitarbeiterdaten nicht regeln. 47 Es kann also dahingestellt bleiben, ob eine derartige Abrede bzw. Vereinbarung nach 75 Abs. 2 BetrVG überhaupt zulässig wäre Zulässigkeit nach Vorschriften des BDSG Die einzelnen Zulässigkeitstatbestände des BDSG werden im Hinblick auf den im Fall der Firma X maßgebenden Rechtsstand ab dem Jahr 1995 dargestellt Allgemeine Regelungen Im Jahr 1995 standen im Anwendungsbereich des BDSG 1990 nur allgemeine Datenschutzregelungen zur Verfügung. Die Zulässigkeit der Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke im nicht-öffentlichen Bereich ergab sich aus 28 BDSG Für die Datenerhebung forderte 28 Abs. 1 Satz 2 BDSG 1990 lediglich, dass die Daten nach Treu und Glauben und auf rechtmäßige Weise erhoben werden müssen. Dies stellte keine besonderen datenschutzrechtlichen Zulässigkeitsgrenzen auf, sondern übernahm die privatrechtlichen Wertungen, auch des Arbeitsrechts. 49 Das Speichern, Verändern oder Übermitteln 47 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 246; Fitting u. a., Betriebsverfassungsgesetz, 83, Rdnr Franzen, RDV 2003, 1; Fitting u. a., Betriebsverfassungsgesetz, 83, Rdnr. 17; vgl. auch Wohlgemuth/Gerloff, Datenschutzrecht, S

17 personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke war nach 28 Abs. 1 Nrn. 1 3 BDSG 1990 unter ähnlichen Voraussetzungen wie in der aktuell gültigen Fassung der Vorschrift zulässig. Erst mit der BDSG-Novelle aus dem Jahr 2001 wurde die Datenschutzrichtlinie in deutsches Recht umgesetzt. 28 BDSG erhielt damit im Wesentlichen seine aktuelle Fassung. 50 Insbesondere wurde das Erheben von Daten gleichrangig neben den anderen Phasen des Datenumgangs in 28 Abs. 1 Satz 1 BDSG 2001 aufgenommen und die bisherige Regelung des 28 Abs. 1 Satz 1 Nr. 1 BDSG 1990, wonach die Datenverwendung im Rahmen der Zweckbestimmung eines Vertragsverhältnisses ( ) zulässig war, dahingehend umformuliert, dass sie zulässig ist, wenn es der Zweckbestimmung eines Vertragsverhältnisses ( ) dient ( 28 Abs. 1 Satz 1 Nr. 1 BDSG 2001). Mit dem Herausstellen der dienenden Funktion für die Zweckbestimmung war allerdings keine Änderung der materiellen Rechtslage verbunden, 51 so dass sich die detaillierte Darstellung der Rechtslage des BDSG 1990 erübrigt. Die Kontinuität der materiellen Rechtslage zeigt sich deutlich durch die Neufassung des 28 Abs. 1 Satz 1 Nr. 1 BDSG. 52 Neben der begrifflichen Anpassung an die Schuldrechtsnovelle des Jahres 2002 enthält die Vorschrift nunmehr direkt den Grundsatz der Erforderlichkeit. Aus dem Fundus der allgemeinen Regelungen richtet sich die Zulässigkeit der Datenerhebung im Arbeitsverhältnis regelmäßig 53 nach 28 Abs. 1 Satz 1 Nr. 1 Alt. 1 BDSG. Die Erhebung von Arbeitnehmerdaten dient im produzierenden Gewerbe grundsätzlich der Erfüllung eigener Geschäftszwecke, da sie nur Mittel zum Zweck aber nicht selbst das geschäftliche Interesse ist. 54 Im bestehenden Arbeitsverhältnis ist der Arbeitsvertrag das einschlägige Vertragsverhältnis bzw. rechtsgeschäftliche Schuldverhältnis, zu dessen konkreter Zweckbestimmung die Datenerhebung dienen musste bzw. erforderlich sein muss. Mangels gesetzlicher Aussage dazu, was genau der Zweckbestimmung eines Vertragsverhältnisses 50 vgl. dazu: Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 28, Rdnr vgl. Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 28, Rdnr. 18; Wohlgemuth, Datenschutz für Arbeitnehmer, Rdnr. 237 ff. 52 Gola/Jaspers, RDV 2009, 212; kritisch: Thüsing, NZA 2009, 865, 866 f.; vgl. BT-Drucks. 16/ 12011, URL: , S. 41; BT- Drucks. 16/13657, URL: , S vgl. Wedde, in: Däubler u. a., Bundesdatenschutzgesetz, 28, Rdnr. 24; Bergmann/Möhrle/ Herb, Datenschutzrecht, BDSG, 28, Rdnr. 22, dort auch Nachweise zu Ausnahmefällen 54 dazu und im Folgenden: Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 28, Rdnrn. 16 ff. 12

18 dient, wurde bereits bisher für die Auslegung dieser Begriffe zu Recht der Maßstab der Erforderlichkeit für die Abwicklung des Vertrages angelegt. 55 Damit kommt die Verwendung aller und zugleich nur der für den Abschluss und die Erfüllung des Arbeitsvertrages benötigten Angaben in Betracht. 56 Bei der Zweckbestimmung eines Arbeitsverhältnisses sind außerdem die anerkannten arbeitsrechtlichen Grundsätze zum Persönlichkeitsschutz der Arbeitnehmer zu beachten. Demnach ist der Datenumgang durch den Arbeitgeber zulässig, wenn er auf die Daten nicht verzichten kann; d. h. eine Datensammlung über Arbeitnehmer ist zwingend auf das zur Erreichung des angegebenen Zwecks erforderliche Minimum zu beschränken. Neben den Stammdaten darf der Arbeitgeber vor allem Daten über Qualifikation und Einsatzfähigkeit des Arbeitnehmers sowie dessen Fehlzeiten verwenden. 57 Dies liegt auch daran, dass die Möglichkeiten für Eingriffe in das Recht auf informationelle Selbstbestimmung des Arbeitnehmers und ihre Schranken zu beachten sind. 58 Das Volkszählungsurteil fordert für einen berechtigten Eingriff ein überwiegendes Allgemeininteresse 59. In dieser Forderung liegt eine Höherbewertung gegenüber anderen Grundrechten, in die schon zum Schutz gleichwertiger Rechtsgüter eingegriffen werden darf. Das Bundesarbeitsgericht begnügt sich aber bislang bei seiner Rechtsprechung hauptsächlich mit einem überwiegenden Arbeitgeberinteresse 60. So prüfte es eine mögliche Beeinträchtigung des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung durch Datenerhebung des Arbeitgebers im Rahmen einer Güter- und Interessenabwägung unter Beachtung des Verhältnismäßigkeitsgrundsatzes. 61 Bereits mit Urteil vom anlässlich der Verwendung eines Personalfragebogens bei der Bewerbung hatte das Bundesarbeitsgericht entschieden, dass die Speicherung unzulässig erhobener Daten verboten ist. Der Schutz des Persön- 55 Wohlgemuth, Datenschutz für Arbeitnehmer, Rdnr. 239; Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 549; Bergmann/Möhrle/ Herb, Datenschutzrecht, BDSG, 28, Rdnrn. 18 und 24; Gola/Schomerus, BDSG, 28, Rdnr. 13; Kramer, DSB, Heft 7+8, 2009, 11, vgl. Simitis, in: Simitis, Bundesdatenschutzgesetz, 28, Rdnr Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S vgl. dazu und im Folgenden ausführlich: Däubler, Gläserne Belegschaften, Rdnr. 109 ff. 59 vgl. Leitsatz 2, BVerfGE 65, 1 60 Däubler, Gläserne Belegschaften, Rdnr Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 91; vgl. auch Gola/Klug, Grundzüge des Datenschutzrechts, S. 46, 143 ff.; vgl. Urteil des BAG vom , NJW 2007,

19 lichkeitsrechts des Arbeitnehmers lässt nur solche Fragen des Arbeitgebers zu, an denen der Arbeitgeber zur Beurteilung der Eignung und Befähigung des Arbeitnehmers ein objektiv gerechtfertigtes Interesse hat. 62 Ein solches Arbeitgeberinteresse findet seine verfassungsrechtliche Verankerung in der Berufsausübungsfreiheit (Art. 12 Abs. 1 GG) des Arbeitgebers. 63 Wegen der grundsätzlichen Gleichwertigkeit der Interessen bildet auch auf grundrechtlicher Ebene der Grundsatz der Verhältnismäßigkeit die Grundlage für die Abwägung. 64 Die kollidierenden Rechte und Interessen müssen sorgfältig objektiv und unter Berücksichtigung der existenziellen Bindung des Arbeitnehmers an seinen Arbeitsplatz geprüft werden. Auf jeden Fall muss ein unantastbarer Kernbereich privater Lebensgestaltung des Arbeitnehmers gewahrt bleiben. 65 Durch die Forderung nach einem überwiegenden Allgemeininteresse für einen Eingriff in das Recht auf informationelle Selbstbestimmung ist zudem in Folge des Verhältnismäßigkeitsgrundsatzes der Erhebungs- und Verwendungszweck der Daten zwingend konkret und eng zu bestimmen ( 28 Abs. 1 Satz 2 BDSG). 66 Für die von der Firma X ab 1995 vorgenommene Erhebung von Krankheitsdaten war 28 Abs. 1 BDSG 1990 bis zum Inkrafttreten des BDSG 2001 maßgebend. Auf die konkrete Rechtsanwendung wird wegen der Probleme der Nachweisbarkeit und Verjährung verzichtet. Bereits damals war aber nach den obigen Ausführungen regelmäßig eine generalisierte sowie durch Vordrucke formalisierte Abfrage und Registrierung der Krankheitsdiagnosen durch den Arbeitgeber unzulässig. Die geforderte individuelle Interessenabwägung kommt unter Berücksichtigung der Sensibilität von Krankheitsdaten 67 zum Überwiegen des Schutzanspruches der Arbeitnehmer aus dem Recht auf informationelle Selbstbestimmung Sonderregelungen für sensible Daten Mit dem BDSG 2001 wurden in Umsetzung der Datenschutzrichtlinie die Sonderregelungen über sensible Daten und deren Definition in 28 Abs. 6-9 bzw. 3 Abs. 9 BDSG völlig neu geschaffen. Diese sind für die Erhebung von Krankheits- 62 Urteil des BAG vom , RDV 1987, 129, Däubler, Gläserne Belegschaften, Rdnr. 115; Mester, Arbeitnehmerdatenschutz, S Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, S. 148 f. 65 Reichold, in: Richardi u. a., Münchener Handbuch zum Arbeitsrecht, 86, Rdnr. 5; vgl. auch Urteil des BAG vom , NZA 1996, 637, 638; Thüsing, NZA 2009, 865, Däubler, Gläserne Belegschaften, Rdnr. 124 ff; Mester, Arbeitnehmerdatenschutz, S. 13 f. 67 vgl. Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 3, Rdnr

20 daten gegenüber den allgemeinen Regelungen vorrangig. In die Definition der sog. sensiblen Daten in 3 Abs. 9 BDSG wurden die in Art. 8 Abs. 1 Datenschutzrichtlinie genannten Kategorien wörtlich übernommen. Es handelt sich dabei um besondere Arten personenbezogener Daten, zu denen unter anderem auch Angaben über die Gesundheit zählen. Zu den Angaben über die Gesundheit gehören alle Angaben, die die körperlichen und geistigen Zustände und Bewertungen eines Menschen betreffen. Diese weite, europarechtskonforme Auslegung erfasst neben gegenwärtigen auch vergangene Krankheiten. 68 Gegenüber der nun geltenden Kategorisierung der sensiblen Daten hatte das deutsche Datenschutzrecht bis zum BDSG 2001 in Folge des Volkszählungsurteils das Verständnis entwickelt, dass die Sensitivität eines Datums sich nur in Bezug auf den jeweiligen Verwendungszweck feststellen lässt 69. Genau diese Verknüpfung von Daten und deren Verwendungszweck wird durch die Sonderregelungen nicht aufgegeben, denn das BDSG enthält kein absolutes Verarbeitungsverbot für sensible Daten. Vielmehr enthält es gerade Sonderregelungen, die den Zugriff und die Verwendung bestimmter, ausdrücklich genannter Daten im Zusammenhang mit ihrer Verwendung erschweren sollen. 70 Von den Sonderregelungen ist für die Erhebung von Krankheitsdaten durch den Arbeitgeber 28 Abs. 6 Nr. 3 BDSG einschlägig. Danach ist das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG) für eigene Geschäftszwecke zulässig, soweit der Betroffene nicht nach 4a Abs. 3 BDSG eingewilligt hat, wenn der Datenumgang zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist. Ferner darf kein Grund zur Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen am Ausschluss des Datenumgangs überwiegt. Unter Zurückstellung der Möglichkeit einer Einwilligung durch den Betroffenen besteht der Tatbestand also aus einer an der Geltendmachung etc. `rechtlicher Ansprüche orientierten Anwendung des Verhältnismäßigkeitsgrundsatzes und einer Abwägung der gegeneinanderstehenden Interessen Schierbaum, Computer und Arbeit, Heft 5, 2009, 15, 16; Bergmann/Möhrle/Herb, Datenschutzrecht, BDSG, 3, Rdnr BVerfGE 65, 1, 45; vgl. auch: Gola, RDV 2001, 125, 126; Simitis, in: Simitis, Bundesdatenschutzgesetz, 3, Rdnr. 250 ff. 70 Simitis, in: Simitis, Bundesdatenschutzgesetz, 3, Rdnr Franzen, RDV 2003, 1, 2 f.; vgl. auch Weichert, RDV 2007, 189,

21 Im Bewerbungsverfahren hat die arbeitsgerichtliche Rechtsprechung im Bereich der Gesundheitsdaten Fragen als zulässig angesehen, die sich auf Erkrankungen richten, die den Arbeitnehmer an der üblichen Wahrnehmung seiner arbeitsvertraglichen Pflichten hindern. 72 Die entsprechende Information wurde und wird zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche des Arbeitgebers als erforderlich angesehen. Soweit solche Datenerhebungen in einem laufenden Arbeitsverhältnis erfolgen, benötigt der Arbeitgeber die Informationen, um z. B. im Einzelfall seinen Anspruch auf ordnungsgemäße Erfüllung der Arbeitspflicht des jeweiligen Arbeitnehmers ( 611 BGB) geltend machen bzw. verteidigen zu können. Dazu zählt ggf. die Feststellung von Entgeltfortzahlungsansprüchen oder auch die krankheitsbedingte Kündigung. 73 Über den Grundsatz der Erforderlichkeit fordert 28 Abs. 6 Nr. 3 BDSG also unverändert zur vorherigen Rechtslage, dass der Bezug der jeweiligen Informationen zum konkreten Arbeitsplatz und der Arbeitsleistung des betroffenen Arbeitnehmers bestehen bleibt. Bei der durchzuführenden Interessenabwägung muss positiv festgestellt werden, dass gerade kein Grund zur Annahme eines überwiegenden schutzwürdigen Interesses des Betroffenen besteht. Dies bedeutet, dass ein schutzwürdiges Interesse des Betroffenen vorhanden sein und dem Interesse des Arbeitgebers überwiegen muss. 74 Für die von der Firma X vorgenommene Erhebung der Art der Erkrankung ist ab dem Inkrafttreten des BDSG 2001 bis zum Ende der Erhebung in 2008 der Zulässigkeitstatbestand aus 28 Abs. 6 Nr. 3 BDSG anzuwenden. Bei dem erhobenen Datum handelt es sich um eine Angabe zur Gesundheit, also um ein sensibles Datum. Am bisher festgestellten Ergebnis der Rechtswidrigkeit der Erhebung ändert sich jedoch trotz neuer Dogmatik nichts. Die Datenerhebung ist zur Senkung der Fehlzeiten, insbesondere der Kurzerkrankungen, objektiv nicht erforderlich. Allein schon die zulässige generelle Erfassung der Fehlzeiten im Betrieb genügt, um das Informationsbedürfnis des Arbeitgebers im Hinblick auf eine mögliche Störung des Austauschverhältnisses Arbeit gegen Entgelt zu stillen. Dass dabei ein gewisser Überwachungsdruck auf die Arbeitnehmer entsteht, der letztlich doch dem Zweck der Senkung von Fehlzeiten dient, mag sein. Schließ- 72 Gola, RDV 2000, 202, 204; Franzen, RDV 2003, 1; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr. 514 ff. 73 Schaffland/Wiltfang, Bundesdatenschutzgesetz, 28, Rdnr. 103; Gola/Wronka, Handbuch Arbeitnehmerdatenschutz, Rdnr. 433; Däubler, Gläserne Belegschaften, Rdnr Franzen, RDV 2003, 1, 4; Simitis, in: Simitis, Bundesdatenschutzgesetz, 28, Rdnrn. 326,

22 lich ist die Erfassung der krankheitsbedingten Fehltage der erste Schritt für die Wirksamkeit einer krankheitsbedingten Kündigung wegen häufiger Kurzerkrankungen. 75 Eine zusätzliche generelle Erhebung der Art der Erkrankung ist dazu aber nicht nötig. Die Krankheitsursachen spielen erst eine Rolle, wenn es konkret darum geht, ob jeweils eine begründete negative Fehlzeitenprognose besteht, die erheblich betriebliche Interessen beeinträchtigt und nach einer umfassenden gegenseitigen Interessenabwägung zur Wirksamkeit der Kündigung führt. Erst dann unterliegt das schutzwürdige Interesse des Betroffenen dem des Arbeitgebers, die Krankheitsdaten zu Lasten des Betroffenen zu erheben und zu verwenden. Ein Rückgriff auf andere Zulässigkeitsregelungen ist im Fall der Firma X nicht möglich. 28 Abs. 6 Nr. 2 BDSG, wonach das Erheben, Verarbeiten und Nutzen sensibler Daten zulässig ist, wenn sie der Betroffene offenkundig öffentlich gemacht hat, greift nicht bei Krankheitsdaten. Ein bloßes Bekanntmachen, z. B. durch Erzählen gegenüber dem Vorgesetzten, erfüllt nicht die geforderten Voraussetzungen. 76 Auch 28 Abs. 7 BDSG greift nicht. Die Firma X gibt zwar an, dass die Krankheitsdaten zur Verhinderung von Erkrankung erhoben wurden. Die Vorschrift behält aber die Datenerhebung insbesondere für Zwecke der Gesundheitsvorsorge und anderer medizinischer Zwecke den Ärzten und ihrem Personal vor. 77 Durch das unzulässige Erheben der Krankheitsdaten bleibt auch die weitere Verarbeitung und Nutzung der Daten unzulässig, 78 wobei der Firma X nicht (mehr) beweisbar ist, ob und in welchem Umfang neben der Speicherung auch tatsächlich eine Auswertung erfolgte Exkurs ins Entgeltfortzahlungsrecht Bei der Datenerhebung nach 28 Abs. 6 Nr. 3 BDSG zur Geltendmachung von Entgeltfortzahlungsansprüchen kann es sich mit Rücksicht auf die Vorgaben der Datenschutzrichtlinie um Ansprüche des Arbeitgebers oder Arbeitnehmers handeln, da des einen Pflicht des anderen Recht ist. 79 Gemäß 3 Abs. 1 Satz 1 75 vgl. dazu ausführlich: Helml, in: Arbeits-Handbuch Personal, S. 1155; Berkowsky, in: Richardi u. a., Münchener Handbuch zum Arbeitsrecht, 115, Rdnr. 18; vgl. Franzen, RDV 2003, 1, 6 76 Franzen, RDV 2003, 1,2; Schierbaum, Computer und Arbeit, Heft 5, 2009, 15, 18; Simitis, in: Simitis, Bundesdatenschutzgesetz, 28, Rdnr Däubler, Gläserne Belegschaften, Rdnr vgl. Urteil des BAG vom , RDV 1987, 129, 130; Weichert, RDV 2007, 189, vgl. Gola, RDV 2001, 125,

23 EntgFZG hat ein Arbeitnehmer, der durch Arbeitsunfähigkeit infolge Krankheit unverschuldet an seiner Arbeitsleistung verhindert wird, Anspruch auf Entgeltfortzahlung durch den Arbeitgeber. Wichtig sind dabei die Anzeige- und Nachweispflichten nach 5 EntgFZG. 80 Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber die Arbeitsunfähigkeit und deren voraussichtliche Dauer unverzüglich (vgl. 121 BGB) mitzuteilen ( 5 Abs. 1 Satz 1 EntgFZG). Diese Mitteilung ist bei einer länger als drei Kalendertage dauernden Arbeitsunfähigkeit durch Vorlage einer ärztlichen Bescheinigung über das Bestehen der Arbeitsunfähigkeit und deren voraussichtlicher Dauer den Gelben Schein - zu ergänzen ( 5 Abs. 1 Satz 2 EntgFZG). Bei mehr als dreitägiger Arbeitsunfähigkeit ist diese Bescheinigung spätestens am darauffolgenden Arbeitstag vorzulegen. Der Arbeitgeber ist berechtigt, die Bescheinigung ohne Voraussetzungen früher zu verlangen ( 5 Abs. 1 Satz 3 EntgFZG). 81 Die Arbeitsunfähigkeitsbescheinigung muss zumindest den Namen des Arbeitnehmers und die Dauer der Arbeitsunfähigkeit enthalten und sie muss vom behandelnden Arzt, ausgestellt werden. 82 Weder in der Mitteilung noch in der Bescheinigung ist die Art der Erkrankung anzugeben. Die Bescheinigung darf keine Angaben über Art und Ursache außer bei Arbeitsunfällen der Erkrankung machen. 83 Da aus der Bescheinigung der behandelnde Arzt erkennbar ist, lassen sich ggf. Rückschlüsse auf die Art der Erkrankung ziehen. Der betriebsinterne Umgang mit den Bescheinigungen sollte daher nur durch die Betriebsleitung bzw. personalaktenführende Stelle erfolgen, die dann den Vorgesetzten des Erkrankten von der voraussichtlichen Dauer der Abwesenheit informieren. 84 Dem kann nicht entgegengehalten werden, dass es im Risikobereich des Arbeitnehmers als Patienten liegt, sich den behandelnden und die Bescheinigung ausstellenden Arzt selbst frei zu wählen. 85 Soweit ersichtlich war von der Firma X eine Vorlage der Arbeitsunfähigkeitsbescheinigung schon ab dem ersten Krankheitstag gefordert. Diese musste an die Büromitarbeiterin im Werk W, die nicht zur personalaktenführenden Stelle ge- 80 vgl. dazu ausführlich: Linck, in: Schaub u. a., Arbeitsrechts-Handbuch, 98, Rdnr. 113 ff. 81 vgl. Urteil des BAG vom , NZA 1998, Linck, in: Schaub u. a., Arbeitsrechts-Handbuch, 98, Rdnr Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rdnr vgl. Weichert, RDV 2007, 189,