Was ist ein Intercompany Agreement?

Ein Intercompany Agreement ist ein Vertrag zwischen zwei oder mehr Unternehmen, die zu einem Konzern gehören. Der Vertrag regelt die datenschutzrechtlichen Beziehungen zwischen diesen Unternehmen und stellt sicher, dass sie gemäß den geltenden rechtlichen Vorschriften handeln. Sobald personenbezogene Daten zwischen Verantwortlichen ausgetauscht werden, bedarf es einer gesetzlichen oder vertraglichen Grundlage für diesen Datentransfer. Ein Intercompany Agreement wird normalerweise zwischen einer Muttergesellschaft und ihren Tochtergesellschaften geschlossen. Es kann auch zwischen Schwesterunternehmen innerhalb derselben Gruppe geschlossen werden. 

Innerhalb des Intercompany Agreements können verschiedene Arten von Datenschutzvereinbarungen abgebildet werden. So können beispielsweise Auftragsverarbeitungsverträge, Verträge zur gemeinsamen Verantwortlichkeit, Standarddatenschutzklauseln und/oder Binding Corporate Rules integriert werden.

Jeder Datenaustausch untereinander ist ein Verarbeitungsvorgang, der einer Rechtsgrundlage nach Art. 6 DSGVO bedarf oder als Auftragsverarbeitung ausgestaltet sein muss, sofern Elemente einer Auftragsverarbeitung enthalten sind. Wenn Auftragsverarbeitungsverträge in das ICA integriert werden, muss die Vereinbarung die Anforderungen des Art. 28 DSGVO erfüllen. Auch die gemeinsame Verantwortlichkeit mehrerer Unternehmen für eine Verarbeitung i.S.d. Art. 26 DSGVO kann unter den Bedingungen dieses Artikels in einem ICA geregelt werden. Hierbei sind zwei oder mehr Unternehmen Verantwortlicher i.S.d. Art. 4 Abs. 7 DSGVO; anders als bei der Auftragsverarbeitung, bei der der Auftraggeber der Verantwortliche für die Datenverarbeitung ist. Ein ICA kann also verschiedene Verantwortlichkeits-Konstellationen abbilden.

Wie wird ein Intercompany Agreement gestaltet?

Ein ICA wird, wie auch ein Auftragsverarbeitungsvertrag, zwischen den betroffenen Unternehmen i.S.d. Grundsatzes der Vertragsfreiheit vereinbart. Wie bereits erwähnt, müssen bei einigen Ausgestaltungen gewisse Informationen enthalten sein, um den Vorgaben in Art. 26 bzw. Art. 28 DSGVO zu entsprechen. Im Gegensatz zum Auftragsverarbeitungsvertrag sind die Rechte und Pflichten beim ICA allerdings wechselseitig und es gibt nicht die klare Rollenverteilung zwischen Auftraggeber und Auftragnehmer, da die Unternehmen kooperieren und gemeinsam ausgestalten, welches Unternehmen welche datenschutzrechtlichen Verantwortlichkeiten übernimmt.

In Konzernen wird häufig einer der Konzerngesellschaften als zentrale Dienstleistungsgesellschaft durch Organisationsregelungen oder interne Weisungen die Verarbeitung von Kunden- oder Beschäftigtendaten übertragen. Sofern eine solche Dienstleistungsgesellschaft in die Entscheidung über die Mittel und Zwecke der Verarbeitung miteinbezogen wird, ist von einer gemeinsamen Verantwortlichkeit auszugehen. Von einem konzerninternen Auftragsverarbeitungsverhältnis wird man jedoch ausgehen müssen, wenn eine konzerninterne Gesellschaft nur die technischen Mittel der Verarbeitungen bestimmt, jedoch auf die wesentlichen Mittel und auf den Zweck der fraglichen Verarbeitungstätigkeiten keinen Einfluss hat (weisungsgebunden).

Wie vereinbaren Unternehmen ein Intercompany Agreement?

Wichtig ist, dass jedes Intercompany Agreement individuell auf die Bedürfnisse und Gegebenheiten der beteiligten Unternehmen zugeschnitten sein muss. Der erste Schritt zur Vereinbarung eines Intercompany Agreements für den Datenschutz ist eine Analyse der aktuellen Situation. Zuerst identifizieren die beteiligten Unternehmen die vorhandenen Verarbeitungstätigkeiten. Dies kann beispielsweise die Bereitstellung von Dienstleistungen oder die Nutzung gemeinsamer Ressourcen betreffen.

Anschließend entwerfen Juristen oder spezialisierte Teams für Datenschutz den Intercompany Vertrag. Sie achten darauf, dass es den gesetzlichen Anforderungen entspricht und die Interessen aller beteiligten Parteien berücksichtigt. Die beteiligten Unternehmen aus dem Konzern verhandeln über die Bedingungen. Dies umfasst oft Diskussionen über Verantwortlichkeiten und Haftungsfragen. Auch unterschiedliche lokale Datenschutzgesetze verschiedener Länder können hierbei Einfluss auf die Diskussionen haben.

Unterzeichnung eines Intercompany Agreements in Konzernen

Größere Unternehmen verfügen in der Regel über ein Datenschutz-Management-System. Sofern ein digitales Datenschutz-Management eingeführt worden ist, erleichtert das die Steuerung und Verwaltung von Intercompany Verträgen erheblich. Im DSMS von Keyed stehen zum Beispiel für den Abschluss solcher Verträge der zentralen Dienstleistungsgesellschaft besondere Funktionen zur Verfügung. So gewährleisten Konzerne, dass jeweils die aktuelle Fassung vorhanden ist und alle beteiligten Unternehmen diesen Vertrag akzeptiert haben.

Unterschied zwischen Intercompany Agreement und Binding Corporate Rules?

Die Binding Corporate Rules (BCR) werden in Art. 47 DSGVO geregelt. Dort werden die Anforderungen und die erforderlichen Inhalte an die BCR definiert. Der Art. 47 Abs. 1 DSGVO schreibt vor, dass die Genehmigung der Binding Corporate Rules durch die zuständige Aufsichtsbehörde im sog. Kohärenzverfahren nach Art. 63 ff. DSGVO erfolgen soll. Zur Wirksamkeit bedarf es also einer Genehmigung durch die Aufsichtsbehörden, die nur erteilt wird, wenn die Anforderungen aus Art. 47 DSGVO erfüllt sind. 

Vom Charakter her ähneln sich ICA und BCR. Allerdings haben BCR strengere Wirksamkeitsvoraussetzungen und sind eher verbindliche Richtlinien als vertragliche Vereinbarungen. Wenn Sie mehr über BCR erfahren wollen, lesen Sie gerne unseren Blogbeitrag zu diesem Thema.

Was ist kirchlicher Datenschutz?

Kirchen und Religionsgemeinschaften dürfen gem. Art. 91 Abs. 1 DSGVO ein eigenes Datenschutzrecht erlassen. Die Vorgaben müssen im Einklang mit der DSGVO stehen, also umfassende Regeln zum Schutz von personenbezogenen Daten enthalten. Was genau das bedeutet und wie hoch die Anforderungen an die Datenschutzgesetze der Kirchen und Religionsgemeinschaften sind, wurde jedoch noch nicht eindeutig geklärt. Auch wann eine Religionsgemeinschaft ein eigenes Gesetz zum Datenschutz erlassen darf, ist noch unklar. Eigene Datenschutzgesetze haben neben der katholischen und der evangelischen Kirche auch die Alt-Katholiken, diverse evangelische und neuapostolische Freikirchen, die Zeugen Jehovas und einzelne jüdische Religionsgemeinschaften. 

Geltung findet der kirchliche Datenschutz nur für „innerkirchliche“ Belange, also Glaubensvermittlung, karitative Einrichtungen, wie Krankenhäuser, Pflegeeinrichtungen, kirchliche Kindergärten oder Schulen, jedoch nicht für Angelegenheiten, die keinen Bezug zu kirchlichen Institutionen haben (z.B. Vermietung von Räumlichkeiten). Hier gelten die europäische DSGVO und nationale Gesetze, wie das Bundesdatenschutzgesetz (BDSG). Anwendbar ist das kirchliche Datenschutzrecht auch, wenn die Person nicht der Kirche angehört. Sie muss nur die Leistungen der kirchlichen Einrichtung in Anspruch genommen haben.

Inhalte der kirchlichen Datenschutzgesetze

Die evangelische Kirche hat zum Beispiel das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD). Beide Regelungen, sowohl das KDG als auch das DSG-EKD, haben viele Ähnlichkeiten mit der Europäischen Datenschutz-Grundverordnung (DSGVO). Sie sind darauf ausgerichtet, die Privatsphäre der Einzelnen zu schützen, haben jedoch einige Besonderheiten und Anpassungen, die die spezifischen Bedürfnisse und Aufgaben der Kirchen berücksichtigen.

Obwohl sich die grundlegenden Prinzipien und Ziele der verschiedenen kirchlichen Datenschutzgesetze ähneln, können sie in spezifischen Bestimmungen und Anwendungen variieren. Einige der Hauptthemen, die in diesen Gesetzen geregelt werden, sind:

• • Grundsätze des Datenschutzes: Wie Daten zu verarbeiten sind, einschließlich Fragen der Rechtmäßigkeit, Transparenz und Zweckbindung.
  • Rechte der betroffenen Personen: Wie bereits erwähnt, einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
  • Pflichten der Auftragsverarbeiter und -verantwortlichen: Zu den Pflichten gehört, sicherzustellen, dass personenbezogene Daten geschützt sind mittels Maßnahmen, die getroffen werden müssen, um dies zu gewährleisten. Auftragsverarbeiter, welche für kirchliche Organisationen verarbeiten, werden i.d.R. eine Zusatzvereinbarung erhalten zum Auftragsverarbeitungsvertrag (AVV).
  • Bestellung von Datenschutzbeauftragten
  • Meldepflichten bei Datenschutzverletzungen
  • Aufsichtsbehörden im Datenschutz für Kirchen

Die spezifische Ausgestaltung und Regelung kann jedoch je nach Gesetz und Kirche variieren. Es ist daher ratsam, bei konkreten Fragestellungen den jeweiligen Text des entsprechenden Gesetzes zu konsultieren.

Eingeschränkte staatliche Kontrolle des kirchlichen Datenschutzes

Die Einhaltung erforderlicher Datenschutzstandard wird nicht von den staatlichen Aufsichtsbehörden kontrolliert, sondern durch eigene innerkirchliche Kontrollinstanzen. Zudem gibt es einen separaten Rechtsweg. Staatliche Gerichte lehnen detaillierte Beurteilungen von Klagen ab und prüfen lediglich eingeschränkt. Grundsätzlich muss erst der kirchliche Rechtsweg erschöpft werden, bevor ein staatliches Gericht angerufen werden kann.

Datenschutz in der Katholischen Kirche

Die Katholische Kirche in Deutschland ist eine der ältesten Institutionen des Landes und verfügt über eine umfangreiche Datenbank von Mitgliedern. Die Kirche erhebt persönliche Daten ihrer Gläubigen, um Mitgliedschaften zu verwalten, Spenden zu erfassen und Kirchensteuern einzuziehen. 

Für den Datenschutz in der Katholischen Kirche ist das Gesetz über den Kirchlichen Datenschutz – römisch-katholische Kirche (KDG) maßgeblich. Das KDG ist speziell auf die Belange der Kirche zugeschnitten und enthält daher Regelungen, die in der DSGVO und dem BDSG nicht vorkommen.

Während die Datenschutzgrundsätze, die allgemeinen Grundsätze des KDG und die Vorgaben zu technischen und organisatorischen Maßnahmen zur Datensicherheit fast identisch mit der DSGVO sind, gibt es an anderen Stellen Unterschiede.

• Ein wichtiger Unterschied sowohl für das Datenschutzgesetz der Katholischen als auch der Evangelischen Kirche ist die in § 6 Abs. 1 lit. a) KDG bzw. § 6 Nr. 4 EKD-DSG festgeschriebene Rechtsgrundlage zur Datenverarbeitung aus kirchlichem Interesse.
• Die Einwilligung muss nach dem KDG grundsätzlich immer in der Schriftform erfolgen. Eine Befreiung ist nur in Ausnahmen möglich. Zudem können die Kirchen personenbezogene Daten für religiöse Zwecke verarbeiten, ohne dass die Zustimmung der betroffenen Personen erforderlich ist. 
• Auch bei den Betroffenenrechten gibt es einige Ausnahmen für kirchliche Stellen. Beispielsweise muss der Informationspflicht gem. § 15 KDG nicht nachgekommen werden, wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird. 
• Das Recht auf Widerspruch gegenüber einer Stelle i.S.d. § 3 I lit. a) KDG besteht nicht, soweit an der Verarbeitung ein zwingendes kirchliches Interesse besteht, das die Interessen der betroffenen Person überwiegt.
• Die Kirche hat Datenschutzbeauftragte ernannt, die die Einhaltung der Datenschutzbestimmungen überwachen sollen. Im Gegensatz zur DSGVO ist die Ernennung eines Datenschutzbeauftragten für alle kirchlichen Stellen Pflicht. Dies ist ein wichtiger Schritt, um sicherzustellen, dass Daten sicher und rechtmäßig verarbeitet werden.
• Unterschiede gibt es auch bei den Bußgeldern. Die maximale Höhe beschränkt sich gemäß dem KDG auf 500.000 EUR, kirchliche Stellen sind von einer Geldbuße vollständig ausgenommen.

In den letzten Jahren hat sich die Katholische Kirche bemüht, den Datenschutz zu verbessern, insbesondere nach dem Bekanntwerden von Missbrauchsfällen, perfekt ist dieser jedoch noch nicht.

Datenschutz in der Evangelischen Kirche

Der Datenschutz in der Evangelischen Kirche wird im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-DSG) geregelt. Das EKD-DSG ähnelt in vielerlei Hinsicht dem Datenschutzgesetz der Katholischen Kirche. Auch sie erhebt Daten zur Mitgliederverwaltung und zur Kirchenfinanzierung. Die Evangelische Kirche hat ebenfalls Schritte unternommen, um den Datenschutz zu verbessern. Wie die Katholische Kirche informiert auch die Evangelische Kirche ihre Mitglieder über den Umgang mit Daten und Datenschutzbestimmungen.

• Gesonderte Regelungen enthält das EKD-DSG zur institutionellen Aufarbeitung sexualisierter Gewalt (§ 50a), sowie für die Verarbeitung von personenbezogenen Daten durch die Medien (§ 51), bei Videoüberwachung von öffentlich zugänglichen Räumen (§ 52) und für Gottesdienste und kirchliche Veranstaltungen (§ 53).
• Bei den Betroffenenrechten unterscheidet sich das EKD-DSG zunächst von der DSGVO, dass besonders komplexe Betroffenenanfragen mit einer dreimonatigen Bearbeitungszeit beantwortet werden können und nicht mit einer einmonatigen.
• Ein Recht auf Löschung der Daten (§ 21 DSG-EKD) besteht insbesondere, wenn personenbezogene Daten bei elektronischen Angeboten, die bei Minderjährigen direkt gemacht worden sind, erhoben wurden.
• Die technischen und organisatorischen Maßnahmen sind ähnlich wie die der DSGVO, allerdings ist im EKD-DSG Näheres zur IT-Sicherheit geregelt. Die IT-Sicherheitsverordnung der evangelischen Kirchen (ITSVO-EKD) stellt hohe Anforderungen auf. Jede kirchliche Stelle muss ein IT-Sicherheitskonzept erstellen, dafür gibt es Muster und Hilfestellungen des Kirchenamtes der EKD.
• Ein Verzeichnis der Verarbeitungstätigkeiten muss nur von Stellen mit mehr als 250 Mitarbeitenden erstellt werden. Gibt es weniger Beschäftigte, muss lediglich bei der Verarbeitung von besonderen personenbezogenen Daten ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden.
• Ein Datenschutzbeauftragter muss gem. §§ 36 ff. EKD-DSG bereits benannt werden, wenn zehn Personen mit der Verarbeitung der personenbezogenen Daten betraut sind oder die Kerntätigkeit der verantwortlichen Stelle umfangreiche personenbezogene Daten verarbeitet.
• Die Bußgelder sind wie bei der katholischen Kirche auf 500.000 EUR gedeckelt. Bußgelder werden jedoch ohnehin nur fällig, wenn die angesprochene kirchliche Stelle am Wettbewerb teilnimmt.

Fazit

Der Datenschutz ist im Detail bei Kirchen in Deutschland abweichend zu den Regelungen der DSGVO. Daher sollten Unternehmen, welche für Kirchen Leistungen erbringen, sich intensiv mit diesen Gesetzen befassen. Insgesamt ist der Datenschutz in der Katholischen und Evangelischen Kirche in Deutschland in den letzten Jahren verbessert worden, aber es gibt immer noch Raum für Verbesserungen. Die Kirchen sollten weiterhin daran arbeiten, transparenter in Bezug auf ihre Datenschutzpraktiken zu sein und sicherstellen, dass die erhobenen Daten nur für legitime kirchliche Zwecke verwendet werden. Datenschutz ist nicht nur eine rechtliche Verpflichtung, sondern auch eine ethische Verantwortung gegenüber den Gläubigen.

Schon in der Weimarer Reichsverfassung war die Sonderstellung der Kirchen verankert. Vor dem EuGH ist bislang noch kein kirchen-datenschutzrechtlicher Fall gelandet. Daher bleibt unklar, ob diese Sonderstellung mit der beträchtlichen Selbstverwaltung und den eigenen Aufsichtsbehörden vor dem Gericht Bestand haben.

[table id=2 /]

[table id=3 /]

[table id=4 /]

[table id=5 /]

[table id=6 /]

[table id=7 /]

[table id=8 /]

[table id=9 /]

[table id=10 /]

[table id=11 /]

[table id=12 /]

[table id=13 /]

[table id=14 /]

[table id=15 /]

Was ist betriebliches Eingliederungsmanagement?

Das betriebliche Eingliederungsmanagement – kurz BEM – verfolgt den Zweck, den Ursachen von Arbeitsunfähigkeitszeiten der Beschäftigten eines Unternehmens nachzugehen, um künftige Arbeitsunfähigkeiten zu vermeiden oder das Vorkommen ebensolcher zu verringern. Grundsätzlich muss das BEM durch den Arbeitgeber im Zuge der Schaffung rechtlicher Voraussetzung sowie der Integration im Arbeitsalltag angestoßen werden. Seit 01.05.2004 stellt sich dies als Pflicht für Arbeitgeber dar. Der Grund dahinter ist, dass Arbeitnehmer, die länger als 6 Wochen in einem Jahr oder wiederholt arbeitsunfähig sind, eine Wiedereingliederung in den Betrieb erfahren sollen und so langsam wieder in den Berufsalltag zurückkehren können. Gesetzliche Verankerung findet dieser Vorgang in § 167 SGB IX und dient somit auch der langfristigen Erhaltung des Arbeitsplatzes. Zusammenfassend kann das BEM als „Leistungen/Maßnahmen zur Rehabilitation zur Wiederherstellung der Erwerbsfähigkeit” definiert werden. Darüber hinaus wird durch das betriebliche Eingliederungsmanagement dem Umstand Sorge getragen, krankheitsbedingte Kündigungen zu vermeiden. Grundsätzlich steht das BEM allen Beschäftigten eines Unternehmens zu. Einzige Ausnahme bilden Arbeitnehmer in der Probezeit: Hier ist der Arbeitgeber gesetzlich nicht verpflichtet, das BEM vorzuschlagen. Des Weiteren sind die Beschäftigten auch dazu berechtigt, das betriebliche Eingliederungsmanagement abzulehnen. 

Unterschied Wiedereingliederung und BEM

Existiert ein Unterschied zwischen der Wiedereingliederung in einen Betrieb und dem betrieblichen Eingliederungsmanagement? Diese beiden Begrifflichkeiten werden sehr oft gleichgesetzt, dabei bestehen hier einige Differenzen. Die berufliche stufenweise Wiedereingliederung – oder auch Hamburgermodell genannt, kurz StW – dient der schrittweisen Heranführung in den alten Beruf und ist grundsätzlich optional. Während der gesamten Laufzeit der Maßnahme muss der Beschäftigte dabei als arbeitsunfähig gelten. Ziel der Wiedereingliederung ist dabei die erneute Integration in den Arbeitsalltag. Das BEM hingegen ist ein ergebnisoffener Prozess und muss zwingend nach krankheitsbedingtem Ausfall von 6 Wochen durchgeführt bzw. angeboten werden. Zurückzuführen ist dies auf die gesetzliche Pflicht des Arbeitgebers aus dem Sozialgesetzbuch. Der Arbeitnehmer ist berechtigt, die Teilnahme am BEM zu verweigern.

Besteht eine Pflicht zum BEM?

Wann genau besteht nun die Pflicht zum BEM? Grundsätzlich ist dies unabhängig von der Form der Erkrankung oder Behinderung und besteht gemäß § 1 Abs.1 KSchG immer dann, wenn ein Arbeitnehmer innerhalb von 12 Monaten länger als 6 Wochen krank oder sobald der Beschäftigte ununterbrochen oder wiederholt arbeitsunfähig ist.  Wann ein Mensch als „behindert” einzustufen ist, regelt dabei  § 2 Abs.1 SGB IX, welcher darüber hinaus auch den Umgang mit Rehabilitation und Teilhabe von Menschen mit Behinderungen gesetzlich bestimmt. Wer laut des Gesetzes als “schwerbehinderter Mensch” definiert wird, regelt § 2 Abs. 2 SGB IX. Schwerbehinderten Menschen gleichgestellt werden sollen gem. § 2 Abs. 3 SGB IX Menschen mit Behinderung bei einem Grad der Behinderung von weniger als 50 %, aber mindestens 30 %, bei denen die übrigen Voraussetzungen des Abs. 2 vorliegen, wenn sie infolge ihrer Behinderung ohne die Gleichstellung einen geeigneten Arbeitsplatz im Sinne des § 156 nicht erlangen oder nicht behalten können (gleichgestellte behinderte Menschen). Für die Pflicht des Arbeitgebers spielt hierbei keine Rolle, ob betriebliche oder mit den Arbeitsaufgaben zusammenhängende Krankheitsursachen vorliegen. Darüber hinaus besteht in allen Betrieben eine Pflicht zur Durchführung des BEM, unabhängig von ihrer Größe, solange die Voraussetzungen des § 167 Abs. 2 S. 1 SGB IX erfüllt sind. Allerdings ist an dieser Stelle zu vermerken, dass die Unterlassung des BEM in Kleinbetrieben regelmäßig nicht zu Nachteilen für den Arbeitgeber führt und hier keine rechtlichen Folgen entstehen.

Betriebsvereinbarung für BEM

167 Abs. 2 SGB IX stellt sich als eine der zentralen Normen des betrieblichen Eingliederungsmanagements dar. Aufgrund dieser gesetzlichen Basis kann das BEM auch anhand einer Betriebsvereinbarung im Unternehmen eingeführt und somit schriftlich fixiert werden. Als Inhalt der Betriebsvereinbarung sowie Regelungsbereiche stellen sich dabei eine Präambel, die Ziele und der Geltungsbereich sowie die Grundsätze und die Zusammensetzung des BEM-Teams dar. Auch die Ansprechpersonen und – falls notwendig – das persönliche Integrationsteam werden benannt, ebenso wie eine Darstellung der Maßnahmen und Verfahren Beachtung findet. Darüber hinaus werden auch datenschutzrechtliche Themen, wie Vorgaben und die damit einhergehenden Dokumentationen abgebildet und erläutert, ebenso wie die Geltungsdauer definiert wird.

Diese Kollektivvereinbarungen, zu denen auch die beschriebene Betriebsvereinbarung zählt, wirken unmittelbar für alle Beschäftigten eines Betriebs. Theoretisch handelt es sich bei einer Betriebsvereinbarung zum BEM um die Zusammenfassung des gesamten Prozesses. Sie wird grundsätzlich zwischen dem Geschäftsführer und der Mitarbeitervertretung bzw. dem Betriebsrat geschlossen. Aus datenschutzrechtlicher Sicht müssen auch beim Abschluss einer Betriebsvereinbarung die Grundsätze für die Verarbeitung gem. Art. 5 DSGVO beachtet und eingehalten werden.

BEM und Datenschutz

Auch im Hinblick auf das betriebliche Eingliederungsmanagement stellt sich der Datenschutz als eines der zentralen Themen dar. Im Zuge dessen sollten die Arbeitnehmer unbedingt auf die Datenerhebung sowie die Verarbeitungen hingewiesen und darüber informiert werden – zur Erfüllung der Informationspflichten des Verantwortlichen. Rechtsgrundlage der Verarbeitungen bildet neben § 26 Abs. 1 BDSG auch der Art. 6 Abs. 1 der Datenschutz-Grundverordnung (DSGVO), wie z.B. die schriftliche Einwilligung der betroffenen Person, welche in Art. 6 Abs. 1 lit. a) DSGVO verankert ist und eine Verarbeitung legitimiert. Darüber hinaus können die Verarbeitungen auch, wie bereits dargestellt, auf Grundlage von Betriebsvereinbarungen zwischen der Geschäftsführung und der Mitarbeitervertretung stattfinden. Wie grundsätzlich überall im Datenschutzrecht ist auch hier eine Verarbeitung von personenbezogenen Daten nur zur Erfüllung der angestrebten Zwecke und Ziele zugelassen. Schon vor der eigentlichen Einleitung des BEM sollten alle datenschutzrechtlichen Anforderungen erfüllt sein, da hier eine große Anzahl an personenbezogenen Daten erhoben und verarbeitet wird. Datenschutz ist besonders wichtig, nicht zuletzt, um Vertrauen aufzubauen und den Beschäftigten das Gefühl zu vermitteln, sich auch im Krankheitsfall oder anderen ungünstigen Situationen auf den Arbeitgeber verlassen zu können. 

Unumgänglich stellt sich somit die Einführung von Maßnahmen dar, um dem Datenschutz gerecht zu werden, insbesondere aufgrund der Verarbeitung von Gesundheitsdaten, welche zu den besonderen Kategorien personenbezogener Daten zählen. Zur Schaffung von Rechtssicherheit für die Beschäftigten sollte folglich ein Datenschutzkonzept entworfen und umgesetzt werden, wobei elementar wichtig ist, die Erhebung der Daten genauestens auf die Ziele des BEM abzustimmen. Am besten sollte im Zuge dessen ein mehrstufiges Verfahren zur Freigabe von Daten eingeführt werden. 

Einwilligung für BEM

Die ausdrückliche und schriftliche Einwilligung der Beschäftigten stellt grundsätzlich eine Legitimation zur Datenverarbeitung dar. Gesetzlich bestimmt ist die Verarbeitung aufgrund der Erfüllung der Voraussetzungen einer Einwilligungserklärung der Beschäftigten in § 26 Abs. 2 BDSG i.V.m. Art. 7 DSGVO. Darüber hinaus enthält Art. 9 Abs. 2 DSGVO weitere Rechtsgrundlagen, aufgrund derer eine Verarbeitung von besonderen Kategorien personenbezogener Daten erlaubt ist, zu welchen auch die – durch das BEM verarbeiteten – Gesundheitsdaten der Beschäftigten zählen. Auch im Hinblick auf das BEM und in Anlehnung an den Gesetzeswortlaut des § 167 Abs. 2 S. 1 SGB IX: „mit Zustimmung und Beteiligung der betroffenen Person“, ist die Einholung einer Einwilligung notwendig.  Von besonderer Wichtigkeit ist hierbei das Merkmal der Freiwilligkeit, um die Wirksamkeit der Erteilung gewährleisten zu können. Ebenso müssen dabei der Umfang, sowie der Zweck der Datenerhebung klar an den Einwilligenden kommuniziert und dem Zweckbindungsgrundsatz Genüge getan werden. Dieser bestimmt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. 

BEM-Akte Datenschutz

Des Weiteren muss im Zuge des betrieblichen Eingliederungsmanagements eine BEM-Akte durch den Fallmanager angelegt und zeitlich befristet geführt werden, welche jedoch räumlich und physisch von der Personalakte zu trennen ist. Da es sich bei den Angaben, welche hierin enthalten sind, auch um besondere Kategorien personenbezogener Daten  – Gesundheitsdaten – gem. Art. 9 DSGVO handelt – ist ein sehr sensibler Umgang gefragt und nur ein vordefinierter und limitierter Personenkreis sollte darauf Zugriff haben. Zudem dürfen der Personalabteilung nur die folgenden Informationen schriftlich mitgeteilt und in der Personalakte gespeichert werden: 

• Einleitung des BEM
• Abschluss des BEM
• Nichtzustandekommen des BEM
• Abbruch oder Unterbrechung des BEM Verfahren

Die Aufbewahrungsfrist einer BEM-Akte ist umstritten, hier wird einerseits die Meinung vertreten, dass die Akte unverzüglich nach Beendigung des BEM vernichtet werden sollte. Nach einer anderen Meinung muss eine Aufbewahrungsfrist von 3 Jahren eingehalten werden.

BEM-Nachteile für Arbeitnehmer

Durch das betriebliche Eingliederungsmanagement erhält der Arbeitgeber Kenntnis über eine schwere Krankheit und den Grund des Fehlens des Arbeitnehmers. Grundsätzlich erfährt der Arbeitgeber im Krankheitsfall nicht genau, worum es sich handelt, er erhält lediglich die Information, dass der Arbeitnehmer krank ist und wie lange der Zustand anhält. Sobald ein BEM vorgenommen wird, wird die genaue Mitteilung der Krankheit notwendig, um Maßnahmen zu ergreifen. Allerdings ist die Untersuchung durch den Betriebsrat freiwillig und stellt sich nicht als Pflicht des Arbeitnehmers dar.

BEM Maßnahmen

Zu den Maßnahmen des betrieblichen Eingliederungsmanagements gehören vor allem die Anpassung des Arbeitsplatzes durch Umgestaltung sowie die Veränderung der Arbeitsorganisation und der Arbeitszeiten. Auch Fortbildungen zählen zu den nötigen Maßnahmen, ebenso wie eine organisatorische und technische Anpassung. Insbesondere sollte darauf geachtet werden, dass die eingeleiteten und umgesetzten Maßnahmen dem Anforderungsprofil des jeweiligen Beschäftigten entspringen und hiermit korrelieren.

Dabei kann auch auf die Unterstützung durch externe Partner und Dienstleister zurückgegriffen werden. Wichtig in Bezug auf die Maßnahmen ist deren zeitnahe Umsetzung. Auch die Anpassung der Arbeitszeiten gehört zu den Maßnahmen der stufenweisen Wiedereingliederung, ebenso wie die Unterstützung und Beratung von Betroffenen, sowie gegebenenfalls die Vornahme weiterer Anpassungen, wie z.B. eines Wechsels des Arbeitsplatzes. Ein letzter Schritt sollten dann die Überprüfungen der Maßnahmen auf ihre Wirksamkeit sein.

FAQ

Was sind Clouddienste?

Was genau versteht man unter Clouddiensten? Wenn eine Cloud verwendet wird, bedeutet dies, dass Daten von einem Gerät ins Internet und auf den Server eines Cloud-Anbieters hochgeladen werden. Dieser stellt somit einen externen Speicherplatz für Daten (z.B. Dokumente, Fotos oder Filme) zur Verfügung. Sowohl Privatleute als auch Unternehmen profitieren und nutzen diese Möglichkeit immer häufiger. Mittlerweile gibt es eine nahezu unüberschaubare Anzahl von Anbietern, insbesondere für den privaten Bereich. Hierzu gehören neben der bereits erwähnten Dropbox auch Google sowie Amazon Drive. Unternehmen greifen hingegen bei der Nutzung häufig auf Amazon Web Services (AWS) sowie die Google Cloud Plattform (GCP), IBM Cloud oder Mircosoft Azure zurück. Dabei gilt es, zwischen den verschiedenen Arten zu unterscheiden, welche sich in Infrastructure-as-a-Service (IaaS), Plattform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) gliedern lassen. Als klarere Vorteile der Nutzung einer Cloud stellen sich dabei vornehmlich die Kostenersparnis der Dienste sowie die Möglichkeit, von verschiedensten Geräten auf die gespeicherten Daten zugreifen zu können, dar.

Ist Dropbox datenschutzkonform?

Hinsichtlich der Frage, wie datenschutzkonform der Einsatz von Dropbox ist, gilt es festzustellen, dass die kostenpflichtige Version von Dropbox – Dropbox Business – viele Zertifikate vorweisen kann und somit ein gewisses Maß an Sicherheit gewährleistet wird.  

Dropbox befindet sich zudem auf dem neusten Stand bei Verschlüsselungen und den eingesetzten Techniken, womit der Nutzer einziger Inhaber der Rechte der Daten bleibt. Darüber hinaus wird hier die sogenannte Zweifaktor-Authentifizierung genutzt, durch welche ein Missbrauch der Daten minimiert wird und zusätzliche Sicherheitsmaßnahmen den Schutz (personenbezogener) Daten gewährleisten. Weiterhin hat Dropbox ein Whitepaper zum Thema Datenschutz veröffentlicht, wodurch eine Aufklärung der Nutzer hinsichtlich der Informationssicherheit und des Datenschutzes stattfinden soll. Sofern in die AGB von Dropbox eingewilligt wird, werden allerdings eingeschränkte Rechte an Dropbox übertragen. Auch ist es möglich, dass Dropbox die Verschlüsselung, sobald die Polizei dies im Rahmen von Ermittlung verlangt, entschlüsselt und Daten der Nutzer weitergibt. Des Weiteren ist die Lage des Rechenzentrums in den USA als Risiko zu werten, da dadurch die Möglichkeit gegeben wird, auch Daten von EU-Bürgern einsehen zu können. Die Durchführung jährlicher Kontrollen der Sicherheitsvorkehrungen führt allerdings dazu, dass ein angemessenes Sicherheitsniveau gewährleistet wird. 

Als Fazit lässt sich festhalten, dass Dropbox DSGVO-konform genutzt werden kann, sofern Standardvertragsklausel abgeschlossen werden, eine DSFA durchgeführt und eine gesonderte Verschlüsselung genutzt wird. Optimalerweise erfolgt damit die Speicherung von der Verschlüsselung getrennt und eine Zero Knowledge Verschlüsselung ist vorhanden. 

Alternative Cloudanbieter

Welche Alternativen bieten sich für User an? Festzustellen ist, dass erhobene Daten sehr oft für Werbezwecken verwendet werden. So kann pauschal angenommen werden, dass der Nutzer bei kostenlosen Cloud-Services meist mit seinen Daten zahlt. Als Alternative zu Dropbox lässt sich der Dienst Teamdrive aus Deutschland nennen. Durch den Sitz in der EU findet so keine Übertragung von Daten an Drittländer statt und eben diese Problematik kann umgangen werden. Weiterhin besitzt beispielsweise der Anbieter Open Telekom ein TCDP-Zertifikat, an welchem es bei Dropbox mangelt. Beide Dienste stellen sich somit als angemessene Alternativen dar. Bei anderen großen alternativen Anbietern wie OneDrive und Google Drive sind ähnliche Sicherheitsvorkehrungen wie bei Dropbox zu verzeichnen, ebenso wie der US-Sitz der Muttergesellschaften.

Welche Daten sind in der Cloud nicht geschützt?

Allerdings gilt es, für einen Gesamtüberblick auch deutlich herauszustellen, dass sämtliche Anbieter im Zuge der Nutzung von Clouds Zugriff auf die Schlüssel und somit auch auf die Daten der Nutzer haben. Dies ist der Notwendigkeit geschuldet, dass ein Zugriff möglich sein muss, sobald Behörden ebendiesen einfordern. Aus diesem Umstand ergibt sich die Konsequenz, dass Anbieter auch gegen den Willen der Nutzer Daten herausgeben müssen, sobald dies gesetzlich bestimmt und begründet ist. Als Lösung bzw. zur Milderung der Problematik stellt sich die Trennung von Verschlüsselung und Speicher dar.

“Automatisierung” Definition

Automatisierung im Kontext des Datenschutzes, ist die Verarbeitung von personenbezogenen Daten mittels z.B. Computer, Tablets, Smartphones und Server. Nicht automatisierte Verarbeitungen, also schriftliche Aufzeichnungen, werden zu automatisierten Verarbeitungen, wenn diese in einem Dateisystem gespeichert werden. Der § 46 Nr. 4 BDSG-neu formuliert eine Legaldefinition für “Profiling”. Demnach ist Profiling jede automatisierte Verarbeitung, die personenbezogene Daten zum Zwecke der Verhaltensanalyse und für die Vorhersage von Verhalten verarbeitet. § 35 NDSG legt speziell für das Land Niedersachsen Anforderungen für die automatisierte Datenverarbeitung fest. Wenn personenbezogene Daten automatisiert verarbeitet werden und im Zuge dessen umfassend und systematisch bewertet und dadurch als Grundlage für eine Entscheidung dienen, muss nach Art. 35 Abs. 3 lit. a) eine Datenschutzfolgenabschätzung durchgeführt werden. 

Allgemeine Grundsätze für die Datenverarbeitung von personenbezogenen Daten

Bei der Verarbeitung von Daten müssen die allgemeinen Grundsätze des Datenschutzes beachtet werden. Für die Verarbeitung von personenbezogenen Daten gibt es spezielle Grundsätze, die in Art. 5 Abs. 1 lit. a) DSGVO geregelt sind. So dürfen die Daten nur für einen angemessenen Zweck verarbeitet werden, Art. 5 Abs.1 lit. b), c) DSGVO. Außerdem müssen die Daten gemäß Art. 5 Abs. 1 lit. d) DSGVO sachlich korrekt und aktuell sein. Ebenso muss gemäß Art. 5 Abs. 1 lit. e) DSGVO die Dauer der Verarbeitung festgelegt werden. Zudem muss gemäß Art. 5 Abs. 1 lit. f) DSGVO ein angemessenes Sicherheitsniveau bestehen und die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO muss stets eingehalten werden.

Anforderungen an die Sicherheit der Datenverarbeitung bei automatisierter Verarbeitung

64 BDSG-neu legt Anforderungen an die Sicherheit von Datenverarbeitung fest. Gemäß § 64 Abs. 3 BDSG-neu ist eine Risikobewertung vorzunehmen. Hierbei müssen drohende Risiken identifiziert, die Eintrittswahrscheinlichkeit bestimmt und die Schwere des potenziellen Schadens abgewogen werden. Ist diese Bewertung erfolgt, müssen anschließend Maßnahmen getroffen werden, die ein angemessenes Sicherheitsniveau gewährleisten.   

Maßnahmen zur sicheren Verarbeitung von Daten

Um die Verarbeitung von Daten sicherzustellen, müssen einige Vorkehrungen getroffen werden. So tragen die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) und das Festlegen von technische organisatorischen Mitteln (TOM) zur Sicherheit der Verarbeitung bei. Handelt es sich um eine kritische Verarbeitung von Daten oder werden besondere Arten von personenbezogenen Daten verarbeitet, ist die Durchführung einer Datenschutzfolgenabschätzung nötig. Außerdem sollten stets die Betroffenenrechte beachtet und die Informationspflichten eingehalten werden.

Kurze Einleitung:

Gerade in der Gesundheitsbranche spielt der Datenschutz eine zentrale Rolle, da es sich bei Gesundheitsdaten um besonders sensible Daten handelt, welche umfassend geschützt werden müssen. Mit der Entwicklung von eHealth, worunter gesundheitsbezogene Dienstleistungen mit mobilen Geräten (mHealth) zu verstehen sind, gewinnt die Verarbeitung von Gesundheitsdaten an Bedeutung. Entwickler digitaler Produkte und Apps sollten diese Datenschutzanforderungen frühzeitig berücksichtigen, damit Produkte später nicht zeitaufwendig angepasst werden müssen und hohe Kosten so vermieden werden können.

Inhalt:

• “Gesundheitsdaten” Definition
• Anforderungen an den Umgang mit Gesundheitsdaten
• Was ist mHealth?
• Orientierungshilfe zum Gesundheits­datenschutz
• Anforderungen für Apps
• Fazit

Anforderungen an den Umgang mit Gesundheitsdaten

Wie das Bundesdatenschutzgesetz (neu) erlaubt auch die DSGVO die Verarbeitung personenbezogener Daten, die in bestimmte Kategorien fallen, einschließlich Gesundheitsdaten, nur mit der gültigen Einwilligungen der betroffenen Person oder auf der Grundlage einer der Ausnahmen von einer allgemeinen Regel, welche in Art. 9 Abs. 2 der Datenschutz-Grundverordnung Verankerung finden.  Besonders sensible Daten dürfen daher nur unter strengen Einschränkungen verarbeitet werden. Hierbei gilt es somit, Datenschutzvorfälle dringlichst zu vermeiden. 

Im Detail verlangt die DSGVO ein angemessenes Schutzniveau gem. Art. 32 DSGVO für die personenbezogenen Daten, welche von einer Verarbeitung umfasst sind. Handelt es sich bei diesen personenbezogenen Daten um Gesundheitsdaten, so steigen die Anforderungen an die Maßnahmen, welche zu einem angemessenem Schutzniveau für diese Art der Daten führen. Üblicherweise werden bei Verarbeitungen von Gesundheitsdaten einige technische Maßnahmen aus dem Bereich der Verschlüsselung eingesetzt. So werden oftmals in Anwendungen keine Daten in Klartext gespeichert, sondern nur “gehasht” – also pseudonymisiert.

Was ist mHealth?

Mobile Gesundheits-Apps oder mHealth-Apps können definiert werden als Apps, welche persönliche Daten über die körperliche oder geistige Gesundheit einer Person erfassen, einschließlich der Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand liefern sowie Empfehlungen für eine gesunde Ernährung und Lebensweise. mHealth umfasst weiterhin Technologien, die Vitalparameter wie Herzfrequenz, Blutzuckerspiegel, Blutdruck, Körpertemperatur und Gehirnaktivität messen, dazu physiologische Daten, Daten über den Lebensstil, tägliche Aktivitäten und Umweltdaten.

Orientierungshilfe zum Gesundheits­datenschutz 

Die Anforderungen an den Datenschutz für Entwickler und Anbieter von digitalen Gesundheitsprodukten stellen eine große Herausforderung dar. Die Orientierungshilfe zum Gesundheits­datenschutz soll daher Entwicklern und Anbietern von digitalen Gesundheitsprodukten wie mobilen Apps als Einstieg und Unterstützung dienen. Sie stellt sowohl die allgemeinen Datenschutzanforderungen als auch die Bestimmungen für spezielle Bereiche, wie z.B. App-Entwickler, dar. 

Darüber hinaus haben die deutschen Datenschutzbehörden eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter herausgegeben, welche sich speziell an mobile Apps richtet, die sensible Daten verarbeiten. Dabei fordern die Behörden, insbesondere Sandboxing und andere Verschlüsselungsmöglichkeiten bei der Verarbeitung von Patienten- und Gesundheitsdaten.

Anforderungen für Apps

Apps gelten als ein wichtiger und elementarer Bestandteil von mHealth. Grundsätzlich gelten für Gesundheits-Apps die gleichen datenschutzrechtlichen Anforderungen wie auch für jede andere Verarbeitung von Gesundheitsdaten. Darüber hinaus sollten Unternehmen, die Apps im Bereich eHealth (oder mHealth) entwickeln oder anbieten wollen, einige datenschutzrechtliche Besonderheiten beachten. Die Verarbeitung von Daten im Rahmen von Gesundheits-Apps muss die folgenden Anforderungen erfüllen: 

• Sie muss stets auf einer geeigneten Rechtsgrundlage beruhen (Art. 6 und 9 DSGVO);
• Sofern es sich um eine Einwilligung handelt, so muss diese vor Beginn der jeweiligen Datenverarbeitung eingeholt werden, in diesem Zusammenhang vorzugsweise vor dem Download der App; 
• Bei mehreren Nutzern des Mobilgeräts kann die Einwilligung in die Datenverarbeitung durch die Integration einer technischen Lösung eingeholt werden. So wird ermöglicht, die Zustimmung mehrerer Nutzer zu erhalten. 
• Für die Verarbeitung der Daten von Minderjährigen ist die Zustimmung des Trägers der elterlichen Verantwortung erforderlich.
• Besondere Vorsicht ist geboten, sobald eine App auf Standortdaten zugreift (Weitere Informationen in der „Orientierungshilfe des Düsseldorfer Kreises“); 
• Soll das Nutzerverhalten in der App gemessen n bzw. getrackt werden, so gelten die allgemeinen Rechtmäßigkeitsvoraussetzungen. 
• Datenschutz by design/Datenschutz by default  sollte vornehmlich bei der Programmierung von Apps berücksichtigt werden. 
• Handelt es sich um eine digitale Gesundheitsanwendung (DiGA), so sind die speziellen Anforderungen des DiGAV bzw. des BfArM zu beachten.

Werbeanzeigen auf mHealth

Grundsätzlich können Sie auch Werbung auf der mHealth-App unter folgenden Bedingungen verwenden:

• Die Darstellung von Werbung muss vom Nutzer eindeutig genehmigt werden, bevor die App installiert wird.
• Sofern die App kontextbezogene Werbung verwendet, die dem Nutzer der App angezeigt wird, ohne dass personenbezogene Daten mit Dritten (z. B. einem Werbenetzwerk) geteilt werden und ohne dass Gesundheitsdaten des Nutzers verarbeitet werden, muss dem Nutzer die Möglichkeit gegeben werden, die kontextbezogene Werbung abzulehnen, bevor eine Datenverarbeitung stattfindet.
• Wird die Werbung von Dritten bereitgestellt oder werden die Gesundheitsdaten zur Ausrichtung der Werbung verarbeitet, sollten Sie vor der Installation eine ausdrückliche und gesonderte Zustimmung einholen.

Darüber hinaus sollten gegebenenfalls die nationalen Gesetze und die EU-Vorschriften für das Online-Marketing berücksichtigt werden, um Verstöße gegen den Datenschutz zu vermeiden.

Fazit

Der Bereich der mHealth-Apps entwickelt sich mit der zunehmenden Nutzung solcher Apps rasant. Daher wird es auch in dieser Branche in naher Zukunft drastische rechtliche Änderungen geben. Daher ist es wichtig, auf die Einhaltung der allgemeinen Datenschutzverordnung und der entsprechenden nationalen Gesetze vorbereitet zu sein und die unterstützenden Leitlinien und Verfahren zu berücksichtigen. Dies wird dazu beitragen, hohe Bußgelder zu vermeiden, wie z. B.  Bußgelder für die Leaks von Gesundheitsdaten.