BEM – das betriebliche Eingliederungsmanagement

Der Gesetzgeber verpflichtet in § 167 Abs. 2 S. 1 SGB IX die Arbeitgeber allgemein, die Beschäftigungsfähigkeit und Beschäftigungsmöglichkeit von Arbeitnehmern, die längerfristig krank sind (ununterbrochen oder wiederholt arbeitsunfähig länger als sechs Wochen innerhalb eines Jahres, auch mit unterschiedlichen Erkrankungen), mit Hilfe des betrieblichen Eingliederungsmanagements zu erhalten.

Dies soll dadurch erfolgen, dass die Arbeitgeber zusammen mit der zuständigen Interessen- oder Schwerbehindertenvertretung mit Zustimmung und Beteiligung der betroffenen Person die Möglichkeiten erörtern, wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann. Dieses Vorgehen wird im Gesetz legaldefiniert als das betriebliche Eingliederungsmanagement (BEM).

Diese allgemeine gesetzliche Verpflichtung beinhaltet jedoch keine – nicht einmal schemenhaft skizzierte – Vorgaben, wie das betriebliche Eingliederungsmanagement zu gestalten wäre. Es gibt demnach kein Schema F, an dem sich die Arbeitgeber orientieren könnten. Die konkrete Ausgestaltung hinsichtlich der erforderlichen Prozessschritte ist stets abhängig von der in dem jeweiligen Betrieb gegebenen Situation. Je nach Betriebsgröße und Fallkomplexität ist das Vorgehen entsprechend anzupassen. Denn Vorgehensweisen, die für einen großen Konzern mit mehreren Unternehmen und sehr vielen Beschäftigten angemessen sind, können auf einen kleinen Handwerksbetrieb mit seinen flachen Hierarchien und überschaubaren Strukturen nicht übertragen werden. Zudem darf natürlich auch die wirtschaftliche Komponente nicht außer Acht gelassen werden. Für ein Unternehmen, welches dieses Verfahren nur gelegentlich durchzuführen hat und das kein eigenes Knowhow in diesem Bereich besitzt oder auch nicht über personelle Kapazitäten verfügt, kann es günstiger sein, die Durchführung des BEM an einen externen Dienstleister auszulagern.  Ein einheitliches BEM-Konzept für alle Unternehmen kann es also nicht geben.

Allerdings gibt es unabhängig davon, wie die individuellen BEM-Konzepte im konkreten Einzelfall gestaltet werden, einige grundsätzliche Aspekte, insbesondere in datenschutzrechtlicher Hinsicht, die zu beachten sind. Diese gelten sowohl für einen Konzern als auch für einen kleinen 3-Personen-Betrieb gleichermaßen. Im Folgenden gehen wir auf die grundsätzlichen Fragen ein, die es in diesem Zusammenhang zu klären gibt.

Was ist/sind die richtige/n Rechtsgrundlage/n beim BEM?

Zu einem der wichtigsten Grundsätze, die im Rahmen eines BEM-Verfahrens zu beachten wären, gehört die freiwillige Teilnahme eines Beschäftigten an diesem Verfahren, denn das Gesetz spricht in § 167 Abs. 2 S. 1 SGB IX davon, dass das Verfahren „mit Zustimmung und Beteiligung der betroffenen Person“ erfolgen muss.

Daraus folgern der wohl überwiegende Teil der Literatur und soweit für uns ersichtlich auch alle Aufsichtsbehörden für den Datenschutz, die sich zum Thema BEM geäußert haben, dass mit der gesetzlich geforderten Zustimmung der betroffenen Person eine Einwilligung im datenschutzrechtlichen Sinne gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG gemeint ist.

(Hierzu vgl. insb. Däubler, Gläserne Belegschaften, 7. Aufl., Rn. 399a ff.; Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl., Rn. 1970; Hinweise der Landesbeauftragten für den Datenschutz Niedersachen zum BEM, S. 1 f; Hinweise des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg)

Diese Auffassung bedeutet in der Konsequenz, dass ein BEM-Verfahren, bei dem die personenbezogenen Daten einer betroffenen Person ohne ihre informierte Einwilligungserklärung gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG verarbeitet werden, rechtswidrig wäre, da eine Rechtsgrundlage gem. Art. 6 Abs. 1 lit. a DSGVO nicht vorläge. Der Arbeitgeber würde damit seiner Pflicht aus § 167 SGB IX nicht nachkommen und hätte auch ein datenschutzrechtliches Problem, da er die Datenverarbeitung ohne eine Rechtsgrundlage durchgeführt hätte. Die Aufsichtsbehörden könnten diesen Datenschutzverstoß mit einem Bußgeld ahnden.

In der Praxis ist jedoch in der letzten Zeit insbesondere seitens der externen BEM-Dienstleister verstärkt die Tendenz zu beobachten, die gesetzliche Forderung nach einer Zustimmung der jeweils betroffenen Mitarbeiter nicht im Sinne einer datenschutzrechtlichen Einwilligung zu verstehen, sondern diese lediglich als einen Willensakt oder eine konkludente Erklärung zu sehen. Diese sei nach Auffassung dieser Dienstleister, von etwaigen datenschutzrechtlichen Einwilligungserfordernissen losgelöst. Die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten im Rahmen des BEM wird durch die Vertreter dieser Auffassung in der gesetzlichen Pflicht zur Durchführung eines BEM-Verfahrens beim Vorliegen der gesetzlichen Voraussetzungen gesehen. Demnach wäre als Rechtsgrundlage für die Durchführung eines BEM-Verfahrens (inkl. der Datenübermittlung an einen BEM-Dienstleister) ausschließlich der Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 167 Abs. 2 S. 1 SGB IX heranzuziehen. Das Zustimmungserfordernis wird lediglich zum Anlass genommen, die betroffenen Personen in den Informationen gem. Art. 13 DSGVO darauf hinzuweisen, dass das BEM-Verfahren freiwillig wäre.

Nach unserer Auffassung sprechen die besseren Argumente jedoch für die Auffassung der Literatur und der Aufsichtsbehörden, denn die davon abweichende Meinung verkennt, dass es sich bei einem BEM-Verfahren – trotz rechtlicher Verpflichtung – regelmäßig nicht um eine einaktige Veranstaltung, sondern um mehraktige Prozesse mit zum Teil sehr vielen Beteiligten sowohl intern als auch extern handelt. Diese bedürfen in ihrer jeweiligen Prozessphase stets der Zustimmung der betroffenen Person. Das Bundesarbeitsgericht fordert selbst für die Beteiligung des Betriebsrats im Rahmen des BEM ein Einverständnis der betroffenen Person (vgl. BAG, Beschluss vom 22.03.2016, 1 ABR 14/14). Das Einverständniserfordernis muss dann unseres Erachtens erst recht für einen externen BEM-Dienstleister gelten, so dass die rechtliche Verpflichtung zur Durchführung des BEM und zur Datenübermittlung an den BEM-Dienstleister allein keinesfalls als Rechtsgrundlage ausreicht.

Es kann also festgehalten werden, dass, da eine betroffene Person in jedem Stadium eines BEM-Verfahrens „Herr des Verfahrens“ bleiben soll, eine Einwilligungserklärung in jede Phase der Datenverarbeitung als Rechtsgrund für die Datenverarbeitung benötigt wird. Die Rechtsgrundlage dürfte also regelmäßig der Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) gegebenenfalls i.V.m. Art. 9 Abs. 2 lit. a DSGVO im Fall der Verarbeitung von Gesundheitsdaten sein.

Was ist darüber hinaus zu beachten?

Unabhängig davon, welche Rechtsgrundlage nun herangezogen wird, sind Beschäftigte, deren Daten im Rahmen eines BEM-Verfahrens verarbeitet werden, über die stattfindende Datenverarbeitung ausführlich zu informieren. Hierbei gelten die datenschutzrechtlichen Grundsätze und insbesondere der Transparenzgrundsatz ohne Einschränkungen.

Zu beachten ist dabei insbesondere, dass soweit ein BEM-Verfahren durch einen externen BEM-Beauftragten durchgeführt wird, vor allem sichergestellt sein muss, dass dieser die Transparenzpflichten erfüllt.

Da ein externer BEM-Beauftragter seine Tätigkeit regelmäßig selbstbestimmt durchführt und nicht nach Weisungen seines Auftraggebers handelt, wird es sich hierbei regelmäßig nicht um eine Auftragsverarbeitung gemäß Art. 28 DSGVO handeln.

Die Voraussetzungen für eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO dürften bei einem externen BEM-Beauftragten ebenso regelmäßig auch nicht vorliegen, da durch die im Dienstvertrag beschriebene Art der Auftragsdurchführung die Parteien die Zwecke und Mittel nicht gemeinsam festlegen werden. Die Durchführung des BEM liegt in der Hand des externen BEM-Beauftragten und der Auftraggeber erhält als Rückmeldung lediglich das Ergebnis dessen Arbeit (Überwindung der Arbeitsunfähigkeit eigener Beschäftigter und Vorbeugung erneuter Arbeitsunfähigkeit zwecks Erhaltung des jeweiligen Arbeitsplatzes). Es handelt sich also nach unserer Auffassung um ein Rechtsverhältnis, bei dem sowohl Auftraggeber als auch Auftragnehmer jeweils eigene Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO sind. Ein solches Vertragsverhältnis wird auch „Controller to Controller“ genannt.

Die DS-GVO definiert zwar – anders als für die Auftragsverarbeitung – keine expliziten Vorgaben, welche datenschutzrechtlichen Vereinbarungen in einem solchen Auftragsverhältnis zu vereinbaren sind. Dennoch liegt es auf der Hand, dass den Auftraggeber eine Sorgfaltspflicht bei der Auswahl des externen BEM-Beauftragten trifft. Gerade deshalb wird auch in der Literatur in einer Controller to Controller-Situation gefordert, die „normale“ Datenübermittlung zwischen den Verantwortlichen, auch wenn sie nicht gemeinsam verantwortlich i.S.d. Art. 26 DSGVO sind, nicht ohne eine vertragliche Vereinbarung durchzuführen (hierzu vgl.: Specht/Mantz/Spittka, Handbuch Europäisches und deutsches Datenschutzrecht, München 2019, § 12 Rn. 68 mit weiteren Nachweisen).

Wir empfehlen daher in diesem Zusammenhang folgende Regelungen in den Dienstvertrag mit dem externen BEM-Beauftragten aufzunehmen:

  1. Verpflichtung des Dienstleisters, die datenschutzrechtlichen Pflichten (insb. die Informationspflicht, Gewährleistung der Betroffenenrechte wie Auskunftsrecht, Löschungs- und Berichtigungsrecht, Recht auf Datenübertragbarkeit, etc.) selbständig zu erfüllen, diese jedoch bzgl. der Angaben hinsichtlich der Rechtsgrundlagen mit dem Auftraggeber abzustimmen, damit die Informationen für den betroffenen Beschäftigten transparent und nicht widersprüchlich sind.
  2. Verpflichtung des Dienstleisters, die bei der Verarbeitung der personenbezogenen Daten beteiligten Beschäftigten auf die Vertraulichkeit und das Sozialgeheimnis zu verpflichten. Eine Verpflichtung auf die Vertraulichkeit ist zwar in der DS-GVO nur für den Fall der Auftragsverarbeitung explizit vorgeschrieben. Nach herrschender Meinung ergibt sich diese Pflicht jedoch mittelbar aus der DS-GVO im Rahmen der festgelegten Rechenschafts- und Nachweispflichten. Da im Rahmen eines BEM-Verfahrens sehr sensible Daten verarbeitet werden, hat das verpflichtete Unternehmen als Verantwortlicher sicherzustellen, dass die Daten bei dem beauftragten Dienstleister sicher verarbeitet werden. Dies kann letztlich nur sichergestellt werden, wenn dessen Beschäftigte geschult und hinsichtlich datenschutzrechtlicher Themen sensibilisiert sind. Ohne eine Verpflichtung auf die Vertraulichkeit ist dies schwerlich möglich.
  3. Regelungen (zumindest grobe) hinsichtlich der technischen und der organisatorischen Maßnahmen, die bei der Verarbeitung der personenbezogenen Daten der Beschäftigten getroffen werden. Dies betrifft insbesondere den Speicherort und den gewählten Übertragungsweg für Datenübermittlungen. Hier sollten Mindeststandards vereinbart werden.
  4. Regelungen bezüglich des Einsatzes von Unterauftragnehmern (oder weiteren Datenempfängern) des Dienstleisters. Insbesondere sollte geregelt werden, ob und unter welchen Voraussetzungen eine Beauftragung von Unterauftragnehmer im Nicht-EU-Ausland möglich wäre.

Fazit

Die Frage nach der einschlägigen Rechtsgrundlage zur Durchführung des BEM ist keine rein akademische Frage, sondern eine Frage von höchster Praxisrelevanz. Um Risiken nicht nur hinsichtlich arbeits- und sozialrechtlicher, sondern auch datenschutzrechtlicher Konsequenzen zu vermeiden, wird den Verantwortlichen, die ein BEM-Verfahren durchführen (müssen), empfohlen, eine Einwilligung gem. Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG von der jeweils betroffenen Person einzuholen. Diese sollte sich neben der reinen Zustimmung für die Teilnahme am BEM auch auf die Einwilligung für den Einsatz eines BEM-Dienstleisters beziehen.

Zudem ist es wichtig, um den Schutz personenbezogener Daten der Beschäftigte im Rahmen des BEM-Verfahrens sicherzustellen, eine datenschutzrechtliche Vereinbarung mit BEM-Dienstleistern abzuschließen, soweit ein solcher beauftragt wird. In dieser Vereinbarung sind alle Rechte und Pflichten der Vertragsparteien festzulegen, um den Schutz der Beschäftigtendaten sicherzustellen.

Sie benötigen Unterstützung bei der Planung und Durchführung des BEM-Verfahrens? Sprechen Sie uns an, wir helfen Ihnen gerne!