Die Geltendmachung von Art. 15 DSGVO hat insbesondere im Bereich des Arbeitsverhältnisses Hochkonjunktur. Vor allem in Situationen, in denen es nicht (mehr) so funktioniert oder ein Kündigungsschutzprozess läuft.
In der Literatur und Rechtsprechung gibt es einige Diskussionen zu der Frage, wie in diesem Fall Art. 15 DSGVO auszulegen und anzuwenden ist.
Die französische Datenschutzbehörde (CNIL) hat nun auf ihrer Webseite (bisher nur auf Französisch) Empfehlungen ausgesprochen und ihre Ansicht dargelegt, wie mit Auskunftsansprüchen im Arbeitsverhältnis umzugehen ist („Das Recht der Arbeitnehmer auf Auskunft zu ihren Daten und beruflichen E-Mails“). Interessant an der Veröffentlichung ist, dass sich die CNIL speziell auch mit der Frage der Herausgabe von beruflichen E-Mails befasst.
Nachfolgend möchte ich einige Aussagen der CNIL darstellen (aus dem Französischen per deepl übersetzt).
Identitätsfeststellung
Der Verantwortliche muss sich über die Identität des Antragstellers vergewissern. Wenn begründete Zweifel an der Identität der Person bestehen, die ihr Recht ausüben möchte, kann der Verantwortliche Informationen anfordern, um die Identität der Person zu verifizieren. Jedoch, so die CNIL, dürfen keine Nachweise verlangt werden, die missbräuchlich, irrelevant und im Verhältnis zum Antrag unverhältnismäßig wären.
Beispiele:
Wenn ein Arbeitnehmer von seinem Arbeitgeber über seine geschäftliche E-Mail oder das Intranet des Unternehmens Auskunft zu den über ihn gespeicherten personenbezogenen Daten und deren Offenlegung verlangt, ist die Vorlage eines Personalausweises oder eines Reisepasses a priori nicht erforderlich, um die Identität des Antragstellers sicherzustellen.
Ein ehemaliger Arbeitnehmer könne seine Identität grundsätzlich z.B. durch die Nennung seiner früheren Mitarbeiter-ID nachweisen.
Das Recht auf Auskunft bezieht sich auf personenbezogene Daten und nicht auf Dokumente
Das Recht auf Auskunft bezieht sich nach Ansicht der CNIL nur auf personenbezogene Daten und nicht auf Dokumente: „Eine Person kann also nicht aufgrund des Rechts auf Auskunft die Herausgabe eines Dokuments verlangen“. Es steht dem Verantwortlichen jedoch frei, Dokumente statt nur Daten herauszugeben, wenn er der Meinung ist, dass dies praktischer ist.
Beispiel: Wenn eine betroffene Person ihr Recht auf Auskunft zu E-Mails ausüben möchte, muss der Arbeitgeber sowohl die Metadaten (Zeitstempel, Empfänger …) als auch den Inhalt der E-Mails zur Verfügung stellen. In dieser Situation scheint die Bereitstellung einer Kopie der E-Mails die einfachste Lösung für die Organisation zu sein, um dem Antrag nachzukommen, ist aber nicht zwingend erforderlich.
Wie antwortet man einem Arbeitnehmer, der Zugang zu dienstlichen E-Mails oder eine Kopie davon erhalten möchte?
Nach Ansicht der CNIL muss der Arbeitgeber im Fall eines Auskunftsersuchens auf Zugang zu dienstlichen E-Mails die Beeinträchtigung der Rechte Dritter durch diese Anfrage bewerten. Er muss also eine Auswahl treffen zwischen Nachrichten, die weitergegeben werden dürfen, und solchen, die nicht weitergegeben werden dürfen.
Die CNIL schlägt vor, dass Arbeitgeber zwischen zwei Situationen unterscheiden, je nachdem, ob der antragstellende Arbeitnehmer 1) der Absender oder der Empfänger der E-Mails ist/war oder 2) nur im Inhalt der E-Mails erwähnt wird. Die CNIL nimmt diese Trennung vor allem mit Blick auf die Ausnahme nach Art. 15 Abs. 4 DSGVO (Beeinträchtigung der Rechte anderer Personen) vor.
Zu 1)
Wenn der Arbeitnehmer bereits Kenntnis von den Informationen in den Nachrichten, auf die sich der Antrag bezieht, hatte oder davon ausgegangen werden kann, dass er davon Kenntnis hat, geht die CNIL davon aus, dass die Weitergabe der E-Mails die Rechte Dritter respektiert und nicht die Ausnahme nach Art. 15 Abs. 4 DSGVO greift.
In diesem Zusammenhang ist die Anonymisierung oder Pseudonymisierung von Daten Dritter zwar empfehlenswert, jedoch nach Ansicht der CNIL keine Vorbedingung für die Übermittlung von E-Mails.
In Ausnahmefällen kann der Zugang zu oder die Weitergabe von E-Mails, die dem Antragsteller schon bekannt sind, jedoch ein Risiko für die Rechte Dritter darstellen, z. B. aufgrund der Art der Daten, die weitergegeben werden könnten. Dann muss der Arbeitgeber zunächst versuchen, Daten, die Dritte betreffen oder ein Geheimnis verletzen, zu löschen, zu anonymisieren oder zu pseudonymisieren, um dem Antrag stattgeben zu können. Wenn sich diese Maßnahmen als unzureichend erweisen, darf der Arbeitgeber den Antrag auf Auskunft verweigern, wobei er seine Entscheidung gegenüber der betroffenen Person begründen und rechtfertigen muss.
Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Herausgabe von E-Mails mit Informationen, die die nationale Sicherheit oder ein Betriebsgeheimnis verletzen würden, stattzugeben. Diese Argumente können vom Arbeitgeber aber nicht ohne eine Begründung gegenüber dem Antragsteller geltend gemacht werden.
Zu 2)
Wenn ein Arbeitnehmer die Herausgabe von Informationen aus E-Mails, in denen er erwähnt wird, erhalten möchte, muss der Arbeitgeber nach Ansicht der CNIL ein Gleichgewicht zwischen der Befriedigung des Auskunftsrechts des Arbeitnehmers und der Achtung der Rechte und Freiheiten anderer Arbeitnehmer, insbesondere mit Blick auf das Fernmeldegeheimnis, finden.
Die CNIL empfiehlt, in zwei Schritten vorgehen:
Schritt 1: Zunächst vergewissert sich der Arbeitgeber, dass die Mittel, die zur Identifizierung der angeforderten E-Mails eingesetzt werden müssen, nicht zu einem unverhältnismäßigen Eingriff in die Rechte aller Arbeitnehmer der Organisation führen.
Wenn die Identifizierung der E-Mails, auf die sich der Antrag bezieht, den Einsatz besonders einschneidender Mittel voraussetzt, wie z. B. das Scannen sämtlicher E-Mail-Nachrichten der Beschäftigten der Organisation, muss der Antragsteller aufgefordert werden, seinen Antrag zu präzisieren. Wenn er sich dagegen wehrt, kann sich der Arbeitgeber in einer solchen Situation auf die Achtung der Rechte Dritter berufen, um ihm eine positive Antwort zu verweigern.
Wenn die Angaben des Antragstellers es ermöglichen, die angeforderten E-Mails zu identifizieren, ohne das Fernmeldegeheimnis der Arbeitnehmer unverhältnismäßig zu verletzen, muss der für die Verarbeitung Verantwortliche den zweiten Schritt durchführen.
Schritt 2:
Der Verantwortliche untersucht den Inhalt der angeforderten E-Mails und beurteilt das Ausmaß der Beeinträchtigung der Rechte Dritter durch ihre Übermittlung, insbesondere im Hinblick auf das Fernmeldegeheimnis und das Privatleben des Absenders und der Empfänger. Dieser Schritt setzt eine Einzelfallanalyse voraus, da das Ergebnis von der Art der in den E-Mails enthaltenen Informationen abhängt.
Beispiel: Ein Arbeitgeber kann sich weigern, einem Antrag auf Übermittlung von E-Mails stattzugeben, die sich auf eine Disziplinaruntersuchung beziehen und deren Inhalt, selbst wenn er geschwärzt ist, dem Antragsteller die Identifizierung von Personen ermöglichen könnte, von denen er keine Kenntnis haben sollte.
Fazit
Die Empfehlungen der CNIL stellen eine gute Unterstützung und Argumentationshilfe für die Praxis dar. Zwar dürften die Vorgaben der CNIL in der Praxis zu einem gewissen Aufwand auf Seiten der Arbeitgeber führen. Andererseits ist zu beachten, dass man sich im Bereich einer Ausnahme von einem Betroffenenrecht befindet und daher ein gewisser Begründungsaufwand unausweichlich ist. Andere Möglichkeit: man schließt berufliche E-Mails per se vom Anwendungsbereich des Art. 15 DSGVO aus. Auch das ist aber natürlich sehr umstritten.
Lieber Carlo,
vielen Dank!
Es fällt mir sehr schwer in den Äußerungen der CNIL eine „gute Unterstützung“ zu erkennen. Die andauernde Tendenz in Art 15 einen Copy-my-(Business)Life-Anspruch zu sehen ist erschreckend und mE völlig fehlgeleitet. Wie EW63 sagt geht es in Art. 15 darum „Bewusstsein“ über Verarbeitungen zu schaffen und die Rechtmäßigkeit prüfen zu können. Da schießen (anonymisierte) Kopien von Geschäfts-E-Mails (und Chats und Meeting-Protokollen und …) weit über das Ziel hinaus.
Ich sehe uns in der Pflicht, das in unseren Kommentaren und Fachaufsätzen wieder auf ein sinnvolles Maß einzugrenzen. Es schadet mE dem Datenschutz, wenn er in der Praxis zu einem reinen „Jetzt-ärgere-ich-Dich-noch-mal-richtig“-Instrument verkommt. Gerade Art 15 ist aktuell auf dem besten Weg nur noch als Schadenersatzanspruch-Generator genutzt zu werden.