Die unrechtmäßige Verarbeitung von Gesundheitsdaten stellt nicht nur einen Datenschutzverstoß dar, sondern kann auch zu arbeitsrechtlichen Konsequenzen führen. Das Landesarbeitsgericht (LAG) Baden-Württemberg entschied, dass die fristlose Kündigung eines freigestellten Betriebsratsmitglieds der Robert Bosch GmbH wegen der unbefugten Offenlegung von Gesundheitsdaten anderer Mitarbeiter berechtigt ist (Urteil vom 25. März 2022, Az.: 7 Sa 63/21). Mit diesem Urteil bestätigte das Landesarbeitsgericht die entsprechende Entscheidung des Arbeitsgerichts Stuttgart.
Hintergrund des Verfahrens
Dem Kläger wurde nach jahrelanger Beschäftigung bei der Robert Bosch GmbH im Jahr 2019 fristlos gekündigt, wogegen sich dieser mit einer Kündigungsschutzklage wehrte. Der Arbeitgeber begründete die Kündigung damit, dass der Kläger einen datenschutzrechtlichen Verstoß begangen hatte.
Der Mitarbeiter hatte zuvor Prozessakten aus einem früheren Kündigungsschutzverfahren veröffentlicht. In den Prozessakten waren unter anderem auch sensible Daten, etwa Gesundheitsdaten von anderen Mitarbeitern, enthalten. Die Prozessakten waren vorübergehend in einem Clouddienst veröffentlicht, auf welchen mehrere Mitarbeiter und der Betriebsrat des Unternehmens Zugriff hatten.
Der Kläger war der Auffassung, dass die Kündigung unwirksam ist, schon allein aus dem Grund, dass keine Vorschrift existiere, die das Veröffentlichen von Prozessakten verbieten würde. Außerdem handelte es sich um eine öffentliche Gerichtsverhandlung.
Das Arbeitsgericht Stuttgart hatte die Kündigungsschutzklage zurückgewiesen. Das Landesarbeitsgericht wies die Berufung in zweiter Instanz ebenfalls zurück. Die außerordentliche Kündigung sei gerechtfertigt gewesen, da das freigestellte Betriebsratsmitglied rechtswidrig und schuldhaft Persönlichkeitsrechte der betroffenen Kollegen verletzt habe.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Datenschutzrechtliche Einschätzung des Urteils
Alle Mitarbeiter, die in Kontakt mit personenbezogenen Daten kommen, sind verpflichtet, die datenschutzrechtlichen Vorschriften einzuhalten. Bei einem Verstoß gegen eben solche Vorschriften kann unter gewissen Umständen außerordentlich und auch fristlos gekündigt werden. Diese Auffassung hat sich bereits in den vergangenen Jahren durch die Rechtsprechung abgezeichnet (z.B. Urteil des LAG Berlin-Brandenburg vom 1. September 2016, Az.: 10 SA 192/16) und wird nun durch das jüngste Urteil bestätigt.
Das Urteil lässt zudem viele weitere Fragen aufkommen, z.B. inwieweit die Prozessunterlagen den datenschutzrechtlichen Bestimmungen unterliegen. Der Grundsatz der Öffentlichkeit von Gerichtsverfahren ist eine Prozessmaxime. Diese gilt jedoch nicht uneingeschränkt und lässt in der Konsequenz auch keine Nichtbeachtung des Datenschutzes zu.
Gem. § 299 ZPO können die Parteien die Prozessakten einsehen und sich durch die Geschäftsstelle Ausfertigungen, Auszüge und Abschriften erteilen lassen. Bei dritten Personen, die nicht am Verfahren beteiligt sind, kann der Vorstand des Gerichts nur mit einer Einwilligung der Parteien eine Einsicht in die Akten gestatten. Eine Ausnahme besteht lediglich, wenn ein rechtliches Interesse glaubhaft gemacht wird.
Das bedeutet, dass die Prozessakten nicht jedem frei zur Verfügung gestellt werden können, auch nicht bei einem öffentlichen Prozess. Sofern hierfür keine Rechtsgrundlage für die Datenverarbeitung besteht, würde dies nämlich ein Datenschutzverstoß in Form einer Offenlegung von personenbezogenen Daten begründen.
Eine Offenlegung liegt meist dann vor, wenn einem außenstehenden Dritten die Möglichkeit zur Kenntnisnahme eröffnet wird. Auch ein Mitarbeiter innerhalb eines Unternehmens kann eine unbefugte Person sein, wenn ihm zuvor kein Zugriffsrecht auf bestimmte Dokumente eingeräumt wurde.
Deshalb muss vor der Offenlegung personenbezogener Daten sorgfältig geprüft werden, ob diese auch rechtmäßig ist. Unachtsamer oder fahrlässiger Umgang mit personenbezogenen Daten kann zu rechtlichen Sanktionen führen.
Vor allem im Fall von Gesundheitsdaten ist besondere Vorsicht geboten, da diese als besonders sensibel gelten und strengeren Vorschriften unterliegen. Der Verantwortliche muss hier die erforderlichen Sicherheitsmaßnahmen ergreifen, um sicherzustellen, dass Gesundheitsdaten geschützt sind und nicht unbefugt weitergegeben werden.
Bei der Einführung technischer und organisatorischer Maßnahmen sollte der Verantwortliche auch daran denken, Mitarbeiter über die Möglichkeit des Anonymisierens bzw. Pseudonymisierens personenbezogener Daten in Dokumenten hinzuweisen. Dabei muss auch darauf geachtet werden, dass dies auf die richtige Art und Weise geschieht. Es reicht nicht aus, wenn die Daten lediglich geschwärzt werden: das Potenzial für eine nichtkonforme Vorgehensweise ist hier besonders groß.
Wird beispielsweise lediglich ein schwarzer Balken über einen Text in einem Dokument gelegt, reicht in der Regel eine Markierung des Textes aus, um den Text unter dem Balken wieder sichtbar zu machen. Ebenfalls ist es nicht ausreichend, wenn bloß die Schriftfarbe im Farbton der Hintergrundfarbe des Dokuments angepasst wird.
Eine datenschutzkonforme Lösung wäre, die personenbezogene Daten im Dokument durch „XX“ zu ersetzen. Empfehlenswert ist auch eine Vorgehensweise, die das Dokument von seinen Metadaten befreit und es dadurch nicht mehr nachverfolgbar macht.
Fazit
In der Regel haftet der Arbeitgeber für Datenschutzverstöße im Unternehmen. Dies ist jedoch nicht der Fall, wenn Mitarbeiter die Datenpanne vorsätzlich oder grob fahrlässig begangen haben; z.B., weil Anweisungen und unternehmerische Richtlinien missachtet worden sind.
Mitarbeiter sollten somit im Hinterkopf behalten, dass eigene Datenschutzverstöße unter Umständen haftungsrechtliche und weitere arbeitsrechtliche Konsequenzen nach sich ziehen können. Die Missachtung von DSGVO-Vorgaben sollte daher weder von Arbeitgebern noch von Arbeitnehmern als Kavaliersdelikt betrachtet werden.
