Kontrollbesuche der BfDI zum Betrieblichen Eingliederungsmanagement (BEM)

BEM-Verfahren und BfDI

Im Rahmen ihrer Zuständigkeit kann die BfDI Beratungs- und Kontrollbesuche bei den unter ihrer Aufsicht stehenden Verantwortlichen durchführen.

Auch die Verarbeitungen personenbezogener Daten der Beschäftigten im Rahmen des betrieblichen Eingliederungsmanagements (BEM) nach § 167 Abs. 2 SGB IX war bereits Gegenstand von Beratungs- und Kontrollbesuchen der BfDI. Die Ergebnisse der Kontrollen sind über auf der Webseite der BfDI abrufbar und können von den Verantwortlichen genutzt werden, um das eigene BEM-Verfahren daraufhin abzugleichen, ob es den aufsichtsbehördlichen Ansprüchen genügen würde.

Für einen Abgleich kann zum einen der Kontrollbericht zu einen Beratungs- und Kontrollbesuch bei dem Eisenbahn-Bundesamt (EBA) in Bonn vom 19. bis 21. Februar 2024 herangezogen werden. Zum anderen enthält auch der Bericht zum Beratungs- und Kontrollbesuch bei der Bundesanstalt für Landwirtschaft und Ernährung (BLE) vom 08. bis 10. August 2023 wertvolle Hinweise zum Thema BEM.

Exemplarisch sollen an dieser Stelle einige Aspekte herausgegriffen werden, die im Rahmen des Kontrollbesuchs von der BfDI angesprochen wurden.

1. Gegenstand des Kontrolbesuchs:
Gegenstand des Beratungs- und Kontrollbesuchs gemäß Art. 55 Abs. 1, 57 Abs. 1 lit. a) und
58 Abs. 1 lit. b) Datenschutz-Grundverordnung (DS-GVO) i. V. m. § 16 Abs. 1 Bundesdatenschutzgesetz (BDSG) waren Verarbeitungen personenbezogener Daten der Beschäftigten im Rahmen des betrieblichen Eingliederungsmanagements (BEM) nach § 167 Abs. 2 SGB IX.

Diesbezüglich wurde geprüft, ob
a) den Vorgaben von § 167 Abs. 2 SGB IX entsprochen worden ist,
b) die Datenverarbeitungen auf der Grundlage einer wirksamen, ordnungsgemäß dokumentierten Einwilligung der betroffenen Person erfolgten und
c) die einschlägigen Aufbewahrungsfristen nach den aktuellen Personalaktenrichtlinien
des Bundesministeriums des Innern und für Heimat (BMI) und § 113 Abs. 2 Bundesbeamtengesetz (BBG) eingehalten wurden.

2. Ergebnisse der Kontrolle

Im Angebotsschreiben zum BEM und seine Anlagen soll,

  • deutlich gemacht werden, dass die dort genannten Unterstützungsmaßnahmen
    nur Beispiele und daher nicht abschließend sind,
  • deutlich gemacht werden, dass die betroffene Person zu keiner Zeit Gründe einer Arbeitsunfähigkeit angeben muss,
  • die betroffene Person über den Kreis der gemäß § 167 Abs. 2 SGB IX vorgesehenen möglichen Gesprächsteilnehmer im Detail über alle Möglichkeiten und Alternativen informiert wird,
  • klar kommuniziert werden, dass die Grundlage für alle Datenverarbeitungen im eigentlichen BEM-Verfahren eine datenschutzrechtliche Einwilligung der betroffenen Person im Sinne der Art. 6 Abs. 1 lit. a), Art. 7 DSGVO ist. Es wird empfohlen, die schriftliche Einwilligung unter Verwendung einer standardisierten Einwilligungserklärung einzuholen,
  • deutlich gemacht werden, dass die Einwilligung jederzeit widerrufen werden kann – mit der Konsequenz, dass das BEM-Verfahren damit beendet wird und die bis dahin im Rahmen des BEM erhobenen Daten unverzüglich gelöscht werden,
  • im Einladungsschreiben oder in den Anlagen darüber informiert werden muss, welche Informationen der Personalrat und die Schwerbehindertenvertretung zu welchem Zeitpunkt im Rahmen ihrer Überwachungsaufgabe – auch ohne Zustimmung der betroffenen Person – erhalten.

3. Sonstige Feststellungen

Darüber hinaus wird festgestellt, dass

  • sowohl die Information der oder des Vorgesetzten, dass die betroffene Person im relevanten Zeitraum länger als sechs Wochen arbeitsunfähig gewesen war und ihr deshalb ein BEM angeboten wird, als auch ihre oder seine Befragung nach relevanten Hinweisen ist datenschutzrechtlich unzulässig und künftig zu unterlassen ist,
  • die Übermittlung einer Auflistung mit den Namen der Personen, denen gemäß § 167 Abs. 2 SGB IX ein BEM angeboten wird, an die Gleichstellungsbeauftragte ist mangels Rechtsgrundlage unzulässig und künftig zu unterlassen ist,
  • der Schlüssel zu dem Stahlschrank, in dem die Sachakten zum BEM verwahrt werden, zugriffssicher in einem fest verankerten Schlüsseltresor, der z.B. mittels PIN Code geöffnet werden kann, verwahrt werden soll,
  • die an die Privatadresse der Beschäftigten gesandte Briefpost direkt in der Poststelle des EBA abgegeben werden sollte,
  • von einem Angebot zum BEM abzusehen ist, da bei Beschäftigten im Mutterschutz oder in Elternzeit sowie bei Betroffenen „mit absehbar folgenlos ausheilenden Erkrankungen“ nicht den gesetzlichen Vorgaben des § 167 Abs. 2 SGB IX entspricht,
  • die Richtlinien zur Personalaktenführung des Bundes vom BMI vollständig und in allen Details konsequent angewandt werden sollen,
  • sicherzustellen ist, dass künftig immer dokumentiert wird, ob und wann ein BEM-Verfahren als abgeschlossen gilt und damit die Aufbewahrungsfristen zu laufen beginnen,
  • ein Tätigwerden in Zugleichfunktion als BEM-Beauftragte und als Personalsacharbeiterin zur Vermeidung von Interessenkonflikten künftig konsequent zu vermeiden ist.

    (Foto: Zerbor – stock.adobe.com)

Letztes Update:01.11.24

  • Mindesstandard zur Protokollierung von Cyberangriffen

    Aktualisierung: Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren
  • MItarbeiterexzess durch unzulässige Datenbankabfrage

    Klassiker: Mitarbeiterexzess durch unzulässige Datenbankabrufe

    Regel: Unternehmen haften für Datenschutzverstöße ihrer BeschäftigtenNach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

    Mehr erfahren
  • Beschäftigtendaten: Bußgeld wegen unzulässiger Datensammlung in der Probezeit

    HintergrundEin Unternehmen wurde von der Berliner Beauftragten für Datenschutz und ­Informationsfreiheit (BlnBDI) mit einem Bußgeld von 215.000 Euro belegt, weil es sensible personenbezogene Daten seiner Beschäftigten während der Probezeit unrechtmäßig verarbeitet hatte. Die Daten wurden ohne Kenntnis der Betroffenen erfasst und für Kündigungsentscheidungen genutzt (S. 25, Jahresbericht 2023). Details des FallsEine Vorgesetzte erstellte auf Anweisung

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner