Datenschutzbeauftragte in Kurzarbeit? Datenschutzbehörde NRW: geht nicht (komplett).

Im Zuge der Corona-Pandemie haben sehr viele Unternehmen auf Kurzarbeit umgestellt. Dies bedeutet, dass Arbeitnehmer ggfs. nicht mehr arbeiten müssen (je nachdem, welche Form der Kurzarbeit umgesetzt wird). Es können alle oder nur ein Teil der Arbeitnehmer des Betriebes betroffen sein.

Doch wie sieht es mit Funktionen im Unternehmen aus, die eine gesetzlich verpflichtend vorgegeben Rolle einnehmen? Wie der uns bekannte Datenschutzbeauftragte. Darf man Mitarbeiter, die intern als Datenschutzbeauftragte tätig sind, in Kurzarbeit „schicken“?

Meiner Meinung nach ist das sicherlich kein rein aus der datenschutzrechtlicher Sicht zu betrachtendes Thema, denn intern tätige Datenschutzbeauftragte befinden sich in einem Arbeitsverhältnis mit dem Arbeitgeber, welches durch die Kurzarbeit beeinflusst wird.

Die Datenschutzbehörde aus Nordrhein-Westfalen (LDI) hat sich nun auf ihrer Webseite zu der Frage geäußert, ob auch der Datenschutzbeauftragte von Kurzarbeit betroffen sein darf bzw. kann.

Nach Auffassung der LDI entstehen gerade in den jetzigen Zeiten neue datenschutzrechtliche Fragestellungen (z.B: Arbeiten aus dem Home-Office; Einsatz von Videokonferenzsystemen). Um so wichtiger sei es, dass auch das verantwortliche Unternehmen dem Datenschutzbeauftragten die Wahrnehmung der Kontroll- und Beratungsaufgaben ermöglicht. Die LDI verweist hierzu auf die entsprechende Pflicht in Art. 38 Abs. 2 DSGVO.

Die LDI geht davon aus, dass die Unterstützungspflicht des Verantwortlichen und des Auftragsverarbeiters den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben auch dann gilt,

wenn in einem Unternehmen Kurzarbeit eingeführt wurde. Meistens arbeitet ein Unternehmen in verringertem Umfang weiter. Und selbst wenn ein Unternehmen für bestimmte Zeit seine Tätigkeit einstellt, besteht es weiter, hat Beziehungen zu Beschäftigten, Kundinnen und Kunden und verarbeitet deren Daten. Deshalb werden Datenschutzbeauftragte weiter gebraucht und müssen ihre Aufgaben erfüllen können.

Die LDI gesteht zu, dass es durchaus möglich erscheint, dass der Arbeitsumfang eines zuvor in Vollzeit als Datenschutzbeauftragter tätigen Beschäftigten entsprechend reduziert wird.

Das Arbeitsfeld der oder des Datenschutzbeauftragten darf jedoch keinesfalls vollständig „brach liegen“. Vielmehr ist zu prüfen, unter welchen Voraussetzungen Datenschutzbeauftragte in der aktuellen Situation ihre Pflichten weiterhin wahrnehmen können.

Nach Ansicht der LDI dürfte also eine Kurzarbeit 0 durch einen Datenschutzbeauftragten nicht den gesetzlichen Anforderungen der DSGVO entsprechen. Es soll immer noch die Möglichkeit geben, regelmäßig Posteingänge sichten zu können, sowie telefonisch und/oder per E-Mail als Ansprechpartner für die Beschäftigten, Kundinnen und Kunden oder andere betroffene Personen erreichbar sein. Eine anteilige Kurzarbeit ist aber meines Erachtens nach Ansicht der Behörde zulässig.

Sicher kann man hierüber diskutieren. Die LDI begründet ihre Auffassung damit, dass auch in Unternehmen, die nicht mehr arbeiten, ja immer noch (quasi im Hintergrund) Daten vorgehalten und verarbeitet werden. Man könnte als weiteres Beispiel anführen, dass etwa weiterhin eine Webseite betrieben wird, über die Daten verarbeitet werden. Die Frage ist, ob diese Begründung ausreicht, die national geregelte (arbeitsrechtliche) Möglichkeit der Reduzierung der Arbeitszeit auf null auszuhebeln.

Gesetzgeber erlaubt Sitzungen des Betriebsrats per Videokonferenz – Darstellung der Voraussetzungen

Am 23.4.2020 hat der Bundestag die Beschlussempfehlung und den Bericht des Ausschusses für Arbeit und Soziales (BT Drs 19/18753, pdf) zu dem Entwurf für ein Gesetz zur Förderung der beruflichen Weiterbildung im Strukturwandel und zur Weiterentwicklung der Ausbildungsförderung (BT Drs. 19/17740) angenommen, mit dem auch ein neuer § 129 in das Betriebsverfassungsgesetz (BetrVG) aufgenommen wird.

Dadurch wird es dem Betriebsrat, dem Gesamt- und Konzernbetriebsrat sowie der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern-Jugend- und Auszubildendenvertretung sowie den Ausschüssen dieser Gremien ermöglicht, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen durchzuführen.

Die Regelung tritt rückwirkend zum 1. März 2020 in Kraft und gilt zeitlich beschränkt bis zum 31. Dezember 2020.

Nachfolgend möchte ich kurz die in der Norm aufgestellten Anforderungen und deren datenschutzrechtliche Implikationen belechten.

Der neue § 129 Abs. 1 BetrVG lautet:

§ 129

Sonderregelungen aus Anlass der Covid-19-Pandemie

(1) Die Teilnahme an Sitzungen des Betriebsrats, Gesamtbetriebsrats, Konzernbetriebsrats, der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern- Jugend- und Auszubildendenvertretung sowie die Beschlussfassung können mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Eine Aufzeichnung ist unzulässig. § 34 Absatz 1 Satz 3 gilt mit der Maßgabe, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen. Gleiches gilt für die von den in Satz 1 genannten Gremien gebildeten Ausschüsse.

 

Die Regelung trägt nach der Begründung der Situation um die Covid-19-Pandemie und den damit verbundenen Schwierigkeiten einer Präsenzsitzung Rechnung. Die neue Regelung soll Rechtssicherheit für diese Ausnahmesituation schaffen und ermögliche es dem

Betriebsrat für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie WebEx Meetings oder Skype durchzuführen.

Besonders interessant an dieser Begründung ist natürlich, dass der Ausschuss hier zwei ganz spezifische Anbieter bzw. deren Produkte in der Begründung des Gesetzesentwurfs nennt. Aus praktischer Sicht stellt sich Frage, ob hiermit gleichzeitig deren datenschutzrechtliche Konformität und Geeignetheit zur Erfüllung der aufgestellten Anforderungen (qua Gesetz) festgestellt wird? Ich persönlich vermute, dass die Mitglieder des Ausschusses eine solche Konformitätserklärung nicht intendiert hatten. Dies wird mE auch durch die beispielhafte Aufzählung der Dienste deutlich („wie“). Es wird also sicher auch andere Anbieter geben, die die Anforderungen des neuen § 129 BetrVG erfüllen.

Zudem werden die bei dem Einsatz solcher Anwendungen zu beachtenden Anforderungen auch nachfolgend in der Norm, also ganz allgemein und anbieterunabhängig, genannt.

Damit stellt sich die Frage, was diese Anforderungen sind.

Die Begründung führt hierzu aus:

Es soll sichergestellt sein, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Dies umfasst technische Maßnahmen wie zum Beispiel eine Verschlüsselung der Verbindung und organisatorische Maßnahmen wie die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung.

Auch aus dieser Begründung ergibt sich, dass die beispielhaft benannten Dienste diese Voraussetzung auch erfüllen müssen. Ob sie dies nach Ansicht des Ausschusses tun, ergibt sich aus der Begründung leider nicht.

Aus datenschutzrechtlicher Perspektive ist diese Anforderung des neuen § 129 BetrVG (in Zusammenschau mit der Begründung) wohl die relevanteste. Daher im Einzelnen:

Dritte

Ist hiermit der „Dritte“ im Sinne des Art. 4 Nr. 10 DSGVO gemeint? Ich meine, wohl nicht, denn in der ganzen Begründung wird kein einziges Mal auf die DSGVO verwiesen. Und damit auch nicht auf ihre Definitionen. Andererseits ist es damit aber natürlich nicht ausgeschlossen, dass man von dem Terminus „Dritte“ eventuell eingesetzte Auftragsverarbeiter iSd DSGVO gerade nicht umfasst sieht. Dies würde in der Konsequenz bedeuten, dass ein Anbieter von Videokonferenzsystemen, wenn er als Auftragsverarbeiter agiert, nicht als „Dritter“ anzusehen wäre. Wie gesagt, ist die Begründung und auch der Wortlaut der Norm hier aber nicht klar.

Inhalt der Sitzung

Diese Dritten dürfen spezifisch den Inhalt der Sitzung nicht zur Kenntnis nehmen. Damit ist aber nicht ausgeschlossen, dass Dritte angrenzende Informationen zu der Sitzung, insbesondere Angaben zum Datum, zur Uhrzeit oder auch zu den Teilnehmern erhalten dürfen. Man könnte hiervon etwa (Tool)Anbieter umfasst sehen, wenn dort Daten zur Planung einer Videokonferenz erfasst und verarbeitet werden. Diese Informationen dürften, auch vom Schutzzweck der Norm her, daher nicht zum „Inhalt“ der Sitzung zählen. Denn es dürfte darum gehen, dass Dritte (im Sinne Unbefugter) nicht Kenntnis von den Themen und Beschlüssen der Sitzung nehmen. Dies würde auch mit der Verschwiegenheitspflicht der Mitglieder korrespondieren (vgl. etwa § 79Abs. 1 BetrVG).

Keine Kenntnis nehmen können

Es soll sichergestellt sein, dass die Dritten keine Kenntnis nehmen „können“. Ausreichend ist nach dem Wortlaut daher nicht, dass sie keine Kenntnis nehmen „dürfen“, etwa durch vertragliche Regelungen. Der Gesetzgeber scheint hier tatsächlich stark auf die technisch-organisatorisch Ebene zu schielen. Es soll also durch entsprechend umzusetzende Maßnahmen die Gewähr dafür geboten werden, dass die Kenntnisnahme nicht möglich ist. Interessant ist auch, dass der Gesetzgeber kein Verhältnismäßigkeitskriterium bei der Maßnahmenumsetzung einzieht. Etwa: nach dem „Stand der Technik“ oder der Kosten der Umsetzung.

Technische Maßnahmen, wie z.B. eine Verschlüsselung

Die Begründung zu § 129 Abs. 1 BetrVG trennt, wie etwa auch die DSGVO, zwischen technischen und organisatorischen Maßnahmen. Meines Erachtens kann man sicher daher, bei der konkreten Umsetzung, durchaus an bekannten Kriterien und Praxisbeispielen aus Art. 32 DSGVO orientieren.

Das Gesetz nennt ausdrücklich die Verschlüsselung. Jedoch nur beispielhaft, als eine mögliche Maßnahme („wie zum Beispiel“). Daher ist der Einsatz eines Anbieters, der nicht verschlüsselt oder nur zum Teil verschlüsselt, nicht ausgeschlossen. Es müssen dann eben alternativ adäquate Maßnahmen gefunden werden.

Interessant ist auch, dass die Begründung nicht näher erläutert, welche Art von Verschlüsselung gemeint ist. Es ist also nicht vorgegeben, ob etwa eine Transportverschlüsselung mindestens umzusetzen wäre. Jedoch gilt es hierbei zu beachten, dass bei einer Verarbeitung von personenbezogenen Daten daneben natürlich die Vorgaben der DSGVO zu beachten sind. Eine Transportverschlüsselung der Daten darf man nach Art. 32 DSGVO wohl als den Stand der Technik erwarten.

Organisatorische Maßnahmen

Daneben erwähnt die Gesetzesbegründung auch organisatorische Maßnahmen. Hierfür wird als Beispiel die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung genannt. Als weiteres Beispiel wird die Abgabe der Zusicherung aller Teilnehmer erwähnt, dass nur teilnahmeberechtigte Personen in dem von ihnen genutzten Raum anwesend sind.

Nach der Begründung sollen sowohl technische als auch organisatorische Maßnahmen umgesetzt werden („Dies umfasst technische Maßnahmen … und organisatorische Maßnahmen …“). Die Aufzählung erfolgt nicht alternativ („oder“). Daher darf man davon ausgehen, dass auf beiden Ebenen entsprechende Maßnahmen umzusetzen sind, um die Anforderung des § 129 Abs. 1 BetrVG zu erfüllen.

Keine Aufzeichnung

Zuletzt ist, im Geiste des Privacy by Default, zu beachten, dass nach § 129 Abs. 1 BetrVG eine Aufzeichnung der Sitzung unzulässig ist. Dies soll nach der Begründung Persönlichkeitsschutz der Teilnehmer und der Wahrung der Nichtöffentlichkeit der Betriebsratssitzung dienen.

Rein praktisch ist also bei dem Einsatz eines entsprechenden Anbieters darauf zu achten, dass die Videokonferenz nicht aufgezeichnet wird (bzw. werden kann). Gelichzeitig ist aber mE nicht ausgeschlossen, einen Dienst zu nutzen, der per se die Aufzeichnung ermöglicht. Es muss aber sichergestellt sind, dass eine solche nicht erfolgt.

Daneben: DSGVO

Natürlich müssen neben den speziellen neuen Anforderungen in § 129 BetrVG auch weiterhin die Vorgaben des Datenschutzrecht beachtet werden. Denn im Rahmen der Sitzungen werden personenbezogene Daten der Teilnehmer verarbeitet. Zu beachten ist hierbei insbesondere:

  • Informationen der Betroffenen zur Datenverarbeitung (Art. 12, 13 DSGVO)
  • Aufnahme des Tools als Verfahren in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Abschluss erforderlicher Verträge mit dem Anbieter (Art. 28 DSGVO)
  • Bei einer Übermittlung in Länder außerhalb der EU: Erfüllen der Vorgaben der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln).

Zudem bietet diese Neuerung auch wieder Potential für eine Diskussion darüber, wer im Rahmen der Durchführung von Videokonferenzen bei Betriebsratssitzungen eigentlich der datenschutzrechtlich Verantwortliche ist: der Arbeitgeber oder der Betriebsrat? (siehe etwa hier).

Fazit

Die in § 129 Abs. 1 BetrVG neu geschaffenen Anforderungen zum Einsatz von Anwendungen für Video- und Telefonkonferenz dürften aus datenschutzrechtlicher Brille betrachtet nicht wirklich überraschen. In der Norm selbst sind die erforderlichen Maßnahmen jedoch nur vage geregelt. Praktisch empfiehlt es sich, die Erfüllung der Anforderungen intern sowohl über entsprechende Vorgaben bzw. Leitlinien sicherzustellen, in denen der korrekte und DSGVO- als auch BetrVG-konforme Umgang mit der jeweiligen Software erläutert und vorgegeben wird. Auf technischer Ebene ist für eine Validierung der Sicherheit der Verbindung zu sorgen.

Gesetzentwurf des Gesundheitsministeriums: Festlegung der federführenden Datenschutzbehörde für Forschungsvorhaben bei mehreren Verantwortlichen

Das Bundeskabinett hat heute eine Formulierungshilfe des Bundesministeriums für Gesundheit zu einem „Entwurf eines Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ (pdf) beschlossen. Medial wurde vor allem über die vorgeschlagenen Anpassungen des Infektionsschutzgesetzes berichtet.

Jedoch wird daneben in Artikel 4 des Entwurfs auch vorgeschlagen, im SGB V einen neuen § 287a SGB V einzufügen. Dieser Vorschlag ist aus datenschutzrechtlicher Sicht sehr interessant, da er nicht nur Auswirkungen im Gesundheitsbereich oder in der jetzigen Zeit haben könnte.

Der Vorschlag lautet:

§ 287a

Federführende Datenschutzaufsicht in der Versorgungs- und Gesundheitsforschung

Bei länderübergreifen Vorhaben der Versorgungs- und Gesundheitsforschung, an denen nicht-öffentliche Stellen oder öffentliche Stellen des Bundes oder der Länder aus zwei oder mehr Ländern als Verantwortliche beteiligt sind, findet § 27 des Bundesdatenschutzgesetzes Anwendung. Die beteiligten Verantwortlichen benennen einen Hauptverantwortlichen und melden diesen der für die Hauptniederlassung des Hauptverantwortlichen zuständigen Aufsichtsbehörde. Artikel 56 und Artikel 60 der Verordnung (EU) 2016/679 sind entsprechend anzuwenden.

(Hervorhebungen durch mich)

Zweck der Regelung

Was das BMG mit der Regelung bezweckt, wird schon aus der Überschrift deutlich. Es soll eine federführende Datenschutzbehörde für Datenverarbeitungen im Rahmen der Gesundheitsforschung geben, auch wenn mehrere Verantwortliche beteiligt sind.

Warum nach Ansicht des BMG eine solche Regelung erforderlich ist, ergibt sich aus der weiteren Gesetzesbegründung und liest sich durchaus wie eine implizite Kritik an der föderalen Struktur der Datenschutzaufsicht in Deutschland, die oft untereinander abweichende Ansichten der Datenschutzbehörden bedingt.

Die Heterogenität der Landesdatenschutz- und Krankenhausgesetze und die Zuständigkeit verschiedener Landesdatenschutzbehörden erschweren und verlangsamen in Folge derzeit länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung.

(S. 15)

Daher sieht der Entwurf für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung an denen öffentliche und nichtöffentliche Stellen des Bundes und der Länder beteiligt sind, Regelungen vor, die eine Klarstellung der Zuständigkeiten der datenschutzrechtlichen Aufsichtsbehörden bei Vorhaben der Versorgungs- und Gesundheitsforschung im Sinne eines „One-Stop-Shop“ ermöglichen sollen. Dadurch soll die die länderübergreifende Versorgungs- und Gesundheitsforschung unter Wahrung des Datenschutzes beschleunigt und eine einheitliche Rechtsauslegung zum Wohle aller Betroffenen gewährleistet werden.

Inhalt der Regelung selbst

Zunächst geht es dem BMG in dem vorgeschlagenen § 287a SGB V um länderübergreifende Forschungsvorhaben, an denen mehrere datenschutzrechtlich Verantwortlichen (ob als öffentliche oder nicht-öffentliche) Stellen beteiligt sind. Die Stellen müssen aber als „Verantwortliche“ beteiligt sein.

Nicht klar ist, ob hiervon auch eine gemeinsame Verantwortlichkeit umfasst wäre. Zudem geht weder die Vorschrift selbst noch die Begründung darauf ein.

Sind mehrere Verantwortliche beteiligt, so sieht § 287a SGB V die Pflicht vor („benennen“), dass die Beteiligten untereinander einen Hauptverantwortlichen wählen und diesen bei der Datenschutzbehörde seiner Hauptniederlassung als Hauptverantwortlichen des Forschungsvorhabens melden. Der Vorschlag ist hier meines Erachtens nicht besonders präzise, da etwa nicht konkretisiert wird, für das der Hauptverantwortliche als solcher benannt werden soll: allein für das Vorhaben oder die damit zusammenhängende Datenverarbeitung? Die Datenschutzbehörde dürfte sich nur für Letztere interessieren.

Begründung der Regelung

Nach der Gesetzesbegründung werden für länderübergreifende Vorhaben der Versorgungs- und Gesundheitsforschung an denen öffentliche und nichtöffentliche Stellen des Bundes und der Länder beteiligt sind, Regelungen vorgesehen, die eine Klarstellung der Zuständigkeiten der datenschutzrechtlichen Aufsichtsbehörden bei Vorhaben der Versorgungs- und Gesundheitsforschung im Sinne eines „One-Stop-Shop“ ermöglichen (S. 16).

§ 287a SGB V sehe die verfahrensrechtliche Koordinierung der Zuständigkeiten verschiedener datenschutzrechtlicher Landesbehörden vor (S. 30). Hierdurch möchte das BMG den der DSGVO vorgesehene One-Stop-Shop zur Zuständigkeit der Datenschutzaufsichtsbehörden auf die länderübergreifende Versorgungs- und Gesundheitsforschung anwenden.

Der wichtige Unterschied zu den Regeln des Art. 56 und 60 DSGVO ist natürlich, dass es vorliegend um mehrere Verantwortliche (sicher getrennte, evtl. auch gemeinsam Verantwortliche?) geht. Art. 56 und 60 DSGVO beziehen sich jedoch zumindest ausdrücklich nur auf die Zuständigkeit der federführenden Behörde eines Verantwortlichen mit mehreren Niederlassungen (das sieht auch der EDSA in WP 244).

Laut Begründung sind bei länderübergreifenden Forschungsvorhaben  für die beteiligten verantwortlichen Stellen regelmäßig unterschiedliche Landesaufsichtsbehörden für den Datenschutz zuständig.

Es bedarf daher einer Regelung für eine federführende Aufsichtsbehörde. Hierzu finden sich Vorbilder in der Datenschutz-Grundverordnung selbst (Artikel 56, 60 der Verordnung (EU) 2016/679),…

(S. 31)

Der Entwurf referenziert auf die Regelungen der DSGVO wohl bewusst nur als Beispiel, da, wie beschrieben, gerade nicht ausdrücklich die Festlegung einer federführenden Aufsichtsbehörde bei mehreren Verantwortlichen geregelt wird.

Das BMG begründet die Regelung weiter, dass den Verantwortlichen in der Neuregelung auferlegt (!) wird, eine hauptverantwortliche Stelle zu benennen,

die dann der für sie zuständigen Aufsichtsbehörde die Verantwortung für das länderübergreifende Forschungsvorhaben in der Versorgungs- und Gesundheitsforschung anzuzeigen hat. Maßgeblich ist der in Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 definierte Begriff der „Hauptniederlassung““ (S. 31)

Anmerkung

Meines Erachtens hat der Vorschlag durchaus potential für Diskussionen. Besonders interessant (gerade aus Sicht der Wirtschaft) ist, dass das BMG ganz offensichtlich davon ausgeht, dass mehrere datenschutzrechtlich (ob nun getrennt oder gemeinsam) Verantwortliche einen Verantwortlichen als „Hauptverantwortlichen“ bestimmen können und dann über diese Festlegung auch die Hauptniederlassung und hieran anknüpfend dann die federführende Datenschutzbehörde festlegen können.

Erinnert Sie dieses Thema an ein aktuell immer noch offenes Verfahren? Ja, die Verfahren der Berliner Datenschutzbehörde zum Betrieb von Facebook Fanpages. Dort geht es mitentscheidend um die Frage, ob gemeinsam Verantwortliche einen Verantwortlichen (und damit seine Hauptniederlassung) als umsetzungsbefugt für Entscheidungen zur Datenverarbeitung bestimmen können. Der nun vorliegende Entwurf des BMG spricht meines Erachtens ganz klar für eine solche Möglichkeit.

Daneben ist an der Regelung natürlich noch interessant, dass hier der Gesetzgeber kurzerhand die Datenschutzaufsicht bei Forschungsvorhaben durch die Verantwortlichen zentralisieren lassen möchte, um „eine koordinierte und einheitliche Anwendung der datenschutzrechtlichen Vorschriften ermöglichen und so Verzögerungen und Aufwände bei der Konzeption und Durchführung länderübergreifender Forschungsvorhaben“ (S. 30) verhindern.

Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung

In mehreren europäischen Ländern wurden aufgrund des sich verbreitenden Corona-Virus bereits Ausgangssperren verhängt. In Bayern wurde der Katastrophenfall ausgerufen. Bürger sind zudem angehalten, im Home-Office zu arbeiten. Für viele Unternehmen bedeutet dies, dass interne (Verwaltungs)Prozesse nicht mehr uneingeschränkt oder, bei einer Schließung des Unternehmens, sogar gar nicht mehr funktionieren.

Die Folge im Datenschutzrecht ist, dass Betroffenenanfragen nach der DSGVO, etwa auf Auskunft nach Art. 15 DSGVO, entweder nur stark verzögert oder in nächster Zeit gar nicht adäquat bearbeitet werden können. So kann es sein, dass aufgrund von Home-Office nicht alle internen Dokumente auf personenbezogene Daten geprüft werden können. Eventuell ist Unternehmen auch generell die Erfüllung von Pflichten nach der DSGVO aufgrund der aktuellen Umstände nicht (mehr) vollumfänglich möglich.

Aus Sicht der Praxis stellt sich für datenverarbeitende Stellen die Frage, wie sie mit dieser Situation umgehen können. Gestattet es die DSGVO etwa, dass vorgegebene Fristen nach Art. 12 Abs. 3 DSGVO (max. 3 Monate zur Beantwortung von Betroffenenanfragen) noch weiter verlängert oder nicht beachtet werden müssen? Kann sich ein Unternehmen im Fall eines Verstoßes gegen die DSGVO, der auf der aktuellen Ausnahmesituation beruht, irgendwie entlasten oder besteht die Gefahr, dass Verwaltungsverfahren oder Bußgelder durch Behörden verhängt (Art. 83 DSGVO) oder Schadensersatzansprüche von Betroffenen geltende gemacht (Art. 82 DSGVO) werden?

Aktuelle Ansichten von Datenschutzbehörden

Die englische Behörde, ICO, wird nach eigenen Angaben bei Verzögerungen der Erfüllung von datenschutzrechtlichen Pflichten die derzeitigen Umstände berücksichtigen (ICO, Data protection and coronavirus: what you need to know). Insoweit nimmt die Behörde an, dass die gesetzlichen Fristen nicht verlängert werden können, aber Verzögerungen in der Bearbeitung der Betroffenenrechte aufgrund des Corona-Virus jedoch nicht geahndet würden.

Der EDSA äußert sich zur (Nicht-)Geltung der Fristen nicht. Allerdings ist der EDSA der Ansicht, dass die besonderen Umstände nichts an den bestehenden Pflichten der Verantwortlichen ändern würden (EDSA, Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, pdf).

Nach Ansicht der irischen Datenschutzbehörde DPC ist eine Änderung der Fristenregelungen der DSGVO nicht möglich. Jedoch spricht die DPC einige praktische Empfehlungen aus (DPC, Data Protection and COVID-19). Die DPC verweist darauf, dass unter Darlegung der entsprechenden Gründe die Frist zur Bearbeitung des Betroffenenrechts um bis zu zwei Monate verlängert werden. Die Pflicht zur Information über die Fristverlängerung obliegt dabei nach Art. 12 Abs. 3 S. 3 DSGVO dem Verantwortlichen. Zudem ist auch ein gestuftes Vorgehen bei der Beantwortung von Betroffenenanfragen denkbar. So könnte der Verantwortliche elektronisch verfügbare Dokumente, auf die die Mitarbeiter auch im Home-Office zugreifen können, zuerst bearbeiten.

Ausnahmen nach der Fristen-Verordnung?

Die für die Berechnung europarechtlich vorgegebener Fristen (also auch jener nach Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) unmittelbar anwendbare Fristen-Verordnung (Verordnung (EWG, Euratom) Nr. 1182/71) sieht keine Ausnahme von bestehenden Fristen im Ausnahmefall vor.

Ausnahmen in der DSGVO?

Art. 12 DSGVO sieht keine Ausnahmen von den dort geregelten Fristen vor. Hinsichtlich der allgemeinen Pflichten nach der DSGVO finden sich in einzelnen Artikel zum Teil Ausnahmevorschriften. So etwa in Art. 14 Abs. 5 lit. b DSGVO, für den Fall, dass die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Jedoch gilt diese Ausnahme nur für die Vorgaben des Art. 14 DSGVO. Im Rahmen der Löschpflicht wird etwa in Art. 17 Abs. 3 lit. c DSGVO als Ausnahme auf Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO verwiesen. Auch hierbei handelt es sich aber nur um eine spezielle Ausnahme zu Art. 17 DSGVO.

Höhere Gewalt: keine Haftung der Unternehmen

In der aktuellen Situation ist meines Erachtens über eine, in der DSGVO zwar nicht ausdrücklich benannte, dem Sinn und Zweck nach jedoch angelegte, allgemeine Ausnahme bzw. Privilegierung nachzudenken: das Vorliegen „höherer Gewalt“.

Wichtig ist hierbei, die europarechtlichen Vorgaben zu dieser Ausnahme heranzuziehen, da die DSGVO als europäisches Recht auf europarechtsautonom anzuwenden ist.

Nach ständiger Rechtsprechung des EuGH sind unter „höherer Gewalt“ ungewöhnliche und unvorhersehbare Ereignisse zu verstehen, auf die derjenige, der sich auf höhere Gewalt beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können (vgl. etwa EuGH, Urt. v. 18.3.2010, Rs. C?218/09). Zu beachten ist, dass es ebenfalls ständiger Rechtsprechung entspricht, dass die Bedeutung des Begriffs der höheren Gewalt, da er auf den verschiedenen Anwendungsgebieten des Unionsrechts nicht den gleichen Inhalt hat, anhand des rechtlichen Rahmens zu bestimmen ist, innerhalb dessen er seine Wirkungen entfalten soll (EuGH, Urt. v. 25.1.2017, Rs. C?640/15). Maßgebend für seine Anwendung ist insofern die Zweckbestimmung der jeweiligen Verordnung (vgl. EuGH, Urt. v. 17.10.2002). Die Besonderheit des jeweiligen Rechtsgebiets beeinflusst vor allem die Auslegung des Begriffs im Einzelfall (vgl. EuGH, Urt. v. 22.1.1986).

Es ist daher zu prüfen, ob auch die DSGVO eine solche Ausnahme vorsieht, auf die sich eventuell datenverarbeitende Stellen in den aktuellen Zeiten berufen können. Bezogen auf die DSGVO fällt zunächst auf, dass diese den Begriff „höhere Gewalt“ nicht kennt. Zumindest nicht in der finalen Fassung. Betrachtet man den ersten Entwurf der EU Kommission und auch die Vorschläge des EU Parlaments im Gesetzgebungsverfahren, wird deutlich, dass der Umstand höherer Gewalt sehrwohl eine Rolle spielte: konkret im Rahmen der Haftung von Unternehmen auf Schadensersatz gegenüber Betroffenen.

ErwG 146 DSGVO lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.“ (Hervorhebung durch mich)

In den früheren Fassungen der DSGVO war dieser Erwägungsgrund aber noch mit konkretem Verweis auf „höhere Gewalt“ formuliert. ErwG 118 (Ratsdokument 9398/15, 1.6.2015, pdf):

„Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden sollten, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.“ (Hervorhebungen durch mich)

Die beispielhafte Aufzählung von Umständen („insbesondere“), wann keine Haftung vorliegen soll, wurde auf Vorschlag des Rates gestrichen und durch eine generelle und umfassende Formulierung („in keiner Weise…verantwortlich ist“) ersetzt.

Zwar fehlt der konkrete Begriff „höhere Gewalt“. Jedoch meiner Meinung nach nicht, weil eine Berufung hierauf nicht mehr möglich sein soll, sondern vielmehr, weil der Gesetzgeber die Möglichkeit der (Ent)Nichthaftung allgemeiner umschreiben wollte, ohne spezielle Beispiele zu nennen.

Daher halte ich es auf jeden Fall für vertretbar, dass Unternehmen sich im Rahmen von Verstößen gegen die DSGVO, die ihren nachweisbaren Grund in den aktuellen Umständen des Corona-Virus und damit einhergehenden staatlichen Maßnahmen haben, auf den Umstand „höhere Gewalt“ berufen können. In diesem Fall haften Unternehmen dann Betroffenen nicht auf Schadensersatz.

Ich würde zudem auch vertreten, dass dieser, in der DSGVO klar angelegte Gedanke der Enthaftung in Ausnahmesituationen, nicht nur in Bezug auf Schadensersatzansprüche nach Art. 82 DSGVO greift, sondern auch hinsichtlich der Einhaltung von Fristen (zB Art. 12 Abs. 3 DSGVO oder Art. 33 Abs. 1 DSGVO) oder gegebenenfalls sogar anderen Pflichten. Denn, wenn schon keine Haftung angenommen wird, wenn ein Schaden eingetreten ist, dann muss es erst recht möglich sein, mit dieser Ausnahme einer Verlängerung gesetzlicher Fristen zu begründen. Es geht Unternehmen ja aktuell nicht darum, dass man Pflichten gar nicht mehr erfüllen möchte. Man kann es derzeit nur nicht in den regulatorisch vorgegebenen Parametern. Dies ist meine (in einer etwas längeren Nachsitzung entstandene) Meinung zur Auslegung und Anwendung der DSGVO in aktuellen Zeiten ist. Das bedeutet aber auch, wie oben schon angemerkt, dass andere Rechtsauffassungen (gerade auch von Aufsichtsbehörden) möglich sind.

Für die hier gefundene Lösung spricht meines Erachtens auch das Verständnis des Bundesverwaltungsgerichts zu diesem Begriff: „Der Begriff der höheren Gewalt ist ein allgemeiner Begriff des Gemeinschaftsrechts, dessen Funktion es ist, Härten aus der Anwendung von Präklusions- und Sanktionsvorschriften in besonders gelagerten Fällen zu vermeiden und damit dem Gebot der Verhältnismäßigkeit im Einzelfall zu entsprechen“ (BVerwG, Urt. v. 29.4.2004 – BVerwG 3 C 27.03; Hervorhebung durch mich)

Zuletzt sei im Hinblick auf mögliche Bußgelder wegen Verstößen gegen die DSGVO darauf verwiesen, dass nach Art. 82 Abs. 2 lit. k DSGVO von den Aufsichtsbehörden zwingend „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ beachtet werden müssen. Hierzu zählt meines Erachtens auch ein Fall „höherer Gewalt“.

Wichtig ist jedoch, dass die Anforderungen des EuGH an die Anwendbarkeit der Ausnahme „höhere Gewalt“ beachtet werden und, dass Unternehmen nachweisbar dokumentieren, warum diese Voraussetzungen vorliegen. Es muss also ein ungewöhnliches und unvorhersehbares Ereignisse vorliegen, auf das derjenige, der sich darauf beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können.