Kann der Auskunftsanspruch nach Art. 15 DSGVO verjähren? Amtsgericht sagt „nein“ – Ausschluss der Geltendmachung aber möglich

Das Amtsgericht Chemnitz entscheid in seinem Urteil vom 22.11.2024 (16 C 1063/24; aktuell abrufbar bei BeckOnline, GRUR-RS 2024, 33206), dass der Auskunftsanspruch nach Art. 15 DSGVO nicht verjähren kann.

Zum einen sehe das Europarecht eine Verjährung des Auskunftsanspruchs nicht vor.

Zum anderen könne der Anspruch aber auch seiner Natur nach nicht verjähren, da er keine Entstehungsvoraussetzungen kennt, sondern jederzeit voraussetzungslos geltend gemacht werden kann.

Dies gelte selbst in Fällen, in denen gar keine personenbezogenen Daten verarbeitet werden, denn in diesen besteht immerhin ein Anspruch auf Negativauskunft.

Verzicht bzw. Ausschluss aber möglich

Sowohl nach Ansichten von Gerichten als auch Aufsichtsbehörden ist jedoch ein Verzicht auf die Ausübung des Rechts bzw. eine entsprechende Vereinbarung möglich.

Das Landesarbeitsgericht (LAG) Hamburg hat etwa mit Urteil vom 11.06.2024 (Az. 3 SLA 2/24) hierzu eine praxisrelevante Entscheidung zum vertraglichen Ausschluss von Betroffenenrechten nach der DSGVO getroffen.

Sachverhalt
Grundlage für die Entscheidung war die Klage einer Arbeitnehmerin u.a. gegen folgende Regelung im Arbeitsvertrag:

„§13 Ausschlussfristen
Abs. 1: Alle beiderseitigen Ansprüche aus dem Arbeitsverhältnis und solche, die mit dem Arbeitsverhältnis in Verbindung stehen, verfallen, wenn sie nicht innerhalb von drei Monaten nach Fälligkeit gegenüber der anderen Vertragspartei schriftlich oder in Textform (§ 126 BGB) geltend gemacht werden.“

Abs. 3: Diese Ausschlussklausel gilt nicht für Ansprüche, die auf eine Haftung wegen vorsätzlichen Handelns beruhen. Des Weiteren gilt diese Ausschlussklausel nicht für Ansprüche auf Vergütung der Arbeitsleistung In Höhe des jeweiligen gesetzlichen Mindestlohns.“

Nach Ansicht der Arbeitnehmerin halte § 13 des Arbeitsvertrages der AGB-Kontrolle nicht stand. Zwar enthalte § 13 Abs. 3 ArbV eine Rückausnahme gewisser Ansprüche, auf die nicht verzichtet werden könne. Die Rückausnahme sei aber nicht ausreichend. Umfasst seien auch Auskunftsansprüche nach der DSGVO (z.B. Art. 12 DSGVO, Art. 15 DSGVO) und Schadensersatzansprüche (z.B. nach Art. 82 DSGVO). Es sei der Arbeitgeberin aber verwehrt, bereits im Vorwege eines Datenschutzverstoßes die Durchsetzung von Rechten aus der DSGVO zu erschweren.

Entscheidung des LAG
Nach Ansichtd es LAG ist die Geltendmachung von DSGVO-Ansprüchen grundsätzlich dispositiv.

  • Die Regelung in § 13 ArbV unterliegt der Inhaltskontrolle nach §§ 307 ff. BGB. Sie mag auch gegen § 309 Nr. 7 a) und b) BGB verstoßen.
  • Die Verstöße seien unter Berücksichtigung der im Arbeitsrecht geltenden Besonderheiten nach § 310 Abs. 4 Satz 2 BGB allerdings nicht so gewichtig, dass sie zur Unwirksamkeit der Verfallklausel führen.
  • Dass Ansprüche nach der DSGVO nicht ausdrücklich vom Verfall ausgenommen sind, führt nicht zur Unwirksamkeit der vertraglichen Ausschlussfristenregelung.
  • Die DSGVO und deren Erwägungsgründe treffen keine Aussage über die Disposivität der in der DSGVO niedergelegten Betroffenenrechte.
  • Nach dem Grundsatz der Verfahrensautonomie kommt den Mitgliedsstaaten und deren innerstaatlicher Rechtsordnung insoweit das Ausgestaltungsrecht zu. Die getroffenen Regelungen dürfen nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte innerstaatlicher Art regeln (Äquivalenzgrundsatz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Zudem waren hier auch der Äquivalenz- und Effektivitätsgrundsatz gewahrt.

  • Äquivalenzgrundsatz: Da vertragliche Ausschlussfristen nicht den Inhalt eines Anspruchs betreffen, sondern nur den Fortbestand eines bereits entstandenen Rechts regeln, wird die Entstehung des Anspruchs nicht von zusätzlichen Voraussetzungen abhängig gemacht und der Grundsatz der Äquivalenz gewahrt.
  • Effektivitätsgrundsatz: Die Festsetzung von angemessenen Ausschlussfristen ist als ein Anwendungsfall des Prinzips der Rechtssicherheit grundsätzlich mit dem Erfordernis der Effektivität vereinbar (st. Rspr. des EuGH). Derartige Fristen sind nicht geeignet, die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte praktisch unmöglich zu machen oder übermäßig zu erschweren, wenn (!) der Fristlauf nicht vor dem Zeitpunkt beginnt, zu dem der Arbeitnehmer von den anspruchsbegründenden Tatsachen Kenntnis erlangt.
  • Hier knüpft die vertragliche Regelung den Fristbeginn an die Fälligkeit des Anspruchs.
  • Fälligkeit tritt aber nicht ohne weiteres schon mit der Entstehung des Anspruchs ein.
  • Es muss dem Gläubiger tatsächlich möglich sein, seinen Anspruch geltend zu machen. Ein Anspruch ist deshalb regelmäßig erst dann im Sinne der Ausschlussfrist fällig, wenn er für den Arbeitnehmer aufgrund der Gesamtumstände erkennbar und durchsetzbar ist.
  • Die Ausschlussfrist beginnt daher nicht zu laufen, ohne dass der Klägerin die anspruchsbegründenden Tatsachen überhaupt bekannt sind.

Arbeitsgericht: Datenschutzverstöße des Betriebsrates können ein Grund für dessen Auflösung sein

Das Arbeitsgericht Elmshorn (ArbG) hat sich in seinem Beschluss vom 23.08.2023 (Az. 3 BV 31 e/23) unter anderem mit der Frage befasst, inwiefern Datenschutzverstöße eines Betriebsrates nach § 23 Abs. 1 BetrVG wegen grober Verletzung seiner gesetzlichen Pflichten zu dessen Auflösung führen können (die Beschwerde gegen den Beschluss ist beim Landesarbeitsgericht Schleswig-Holstein, Az. 5 TaBV 16/23 anhängig).

Sachverhalt

Über ein Viertel der Belegschaft sowie die Arbeitgeberin beantragten gem. § 23 Abs. 1 BetrVG die Auflösung des Betriebsrates. Es lägen grobe Verletzungen gesetzlicher Pflichten durch den Betriebsrat und einzelne Mitglieder vor. (Ich beschränke mich hier auf datenschutzrechtlich relevante Themen; daneben wurden auch noch andere Verstöße geltend gemacht)

Der Betriebsrat druckte jeweils einzeln pro Mitarbeiter per E-Mail verschickte Dienstpläne aus, sichtet, kontrolliert und bearbeitet diese. Sie werden jeweils in einem DIN A 4-Ordner für jeden einzelnen Mitarbeiter abgeheftet. Daneben werden alle Urlaubsanträge von allen Mitarbeitern durch die Arbeitgeberin per E-Mail an den Betriebsrat geschickt, welche dieser ebenfalls ausdruckt, sichtet und einsortiert. Zudem habe der Betriebsratsvorsitzende in einer Betriebsversammlung Gesundheitsdaten zweier Mitarbeiter veröffentlicht.

Die Antragsteller sind der Ansicht, der Betriebsrat verstoße mit einer umfassenden Speicherung von Personendaten im Rahmen der Dienstplannachkontrollen gegen den Datenschutz. Zudem stelle die Bekanntgabe von Gesundheitsdaten auf der Betriebsversammlung einen erheblichen Datenschutzverstoß dar.

Entscheidung

Das ArbG ging von mehreren Pflichtverletzungen aus und beschloss die Auflösung des Betriebsrates. 

Prüfungsmaßstab des Gerichts waren die Anforderungen des § 23 Abs. 1 BetrVG. Ein zur Auflösung des Betriebsrats führender grober Verstoß gegen gesetzliche Pflichten liegt dann vor, wenn die Pflichtverletzung objektiv erheblich und offensichtlich schwerwiegend ist. Dies kann nur unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere den betrieblichen Gegebenheiten und des Anlasses der Pflichtverletzung beurteilt werden.

Unter anderem begründete das ArbG seine Entscheidung auch mit datenschutzrechtlichen Verstößen.

Mit der Mitteilung von Gesundheitsdaten von Arbeitnehmern wie auch der massenhaften Lagerung von Mitarbeiterdaten verstößt der Betriebsrat massiv gegen Geheimhaltungspflichten und die Verpflichtung zum Datenschutz.“

Nach Ansicht des ArbG ist der Betriebsrat zur Geheimhaltung von persönlichen Daten verpflichtet.

Zudem stelle die Verletzung von Datenschutzverpflichtungen zugleich eine Verletzung von Pflichten aus § 23 Abs. 1 BetrVG dar.

Mit der Mitteilung von Gesundheitsdaten von zwei Mitarbeitern auf einer Betriebsversammlung verletze der Betriebsrat das allgemeine Persönlichkeitsrecht dieser Mitarbeiter.

Der Betriebsrat verteidigte sich damit, dass auf der Betriebsversammlung keine Gesundheitsdaten bekannt gemacht worden seien. Denn die Erkrankungen seien bereits betriebsöffentlich bekannt gewesen und die Äußerungen seien zudem jedenfalls nicht protokolliert worden.

Diese Argumente ließ das ArbG nicht gelten. Auch wenn die Vorfälle bereits anderweitig im Betrieb „die Runde gemacht“ haben sollten bzw. sich als Arbeitsunfälle ereigneten, stehe dem Betriebsratsvorsitzende eine Äußerung über den Gesundheitszustand einzelner Arbeitnehmer in der Betriebsversammlung nicht zu.

Zudem bemängelte das ArbG, dass der Betriebsrat mit dem Ausdruck und der Ablage von allen Dienstplänen, Krankheitsmitteilungen und Urlaubsanträgen quasi eine doppelte Personalakte führe. Er lege Unterlagen doppelt an, deren Zweck der Speicherung mehr als zweifelhaft sei.

Auch der Betriebsrat ist grundsätzlich zur sog. Datensparsamkeit angehalten“.

Ein permanenter Lesezugriff örtlicher Betriebsräte auf die elektronischen Personalakten der Arbeitnehmer zu Kontrollzwecken im Rahmen einer Gesamtbetriebsvereinbarung zur Regelung eines elektronischen Ablagesystems für Personalakten wäre unwirksam, da hiermit unverhältnismäßig in das allgemeine Persönlichkeitsrecht der Arbeitnehmer eingegriffen wird.

Eine solche lege der Betriebsrat aber gerade an, wenn er für jeden Mitarbeiter einen Aktenordner führt, aus dem sich die Arbeits- und Abwesenheitszeiten inkl. Urlaub ergeben.

Der Betriebsrat könne gegebenenfalls bei der Arbeitgeberin Einsicht verlangen.

Es ist gerade nicht erforderlich, dass es zu einer Art doppelten Buchführung durch den Betriebsrat kommt. Dies verstößt gegen die erforderliche Sparsamkeit im Umgang mit personenbezogenen Daten.“

750 EUR DSGVO-Schadenersatz wegen Auskunft „erst“ nach 19 Tagen? Ich meine: nein. 

Derzeit wird in der Datenschutzszene ein Urteil des Arbeitsgerichts (ArbG) Duisburg vom 03.11.2023 (Az. 5 Ca 877/23) diskutiert. Das ArbG sprach dem Kläger 750 EUR Schmerzensgeld zu, weil ein Unternehmen eine (Negativ)Auskunft nach Art. 15 DGSVO „erst“ nach 19 Kalendertagen erteilt hatte. Der Kläger war ein früherer Bewerber. Nach Ansicht des ArbG stellt diese Verzögerung der Auskunft einen Verstoß gegen Art. 12 Abs. 3 DSGVO. 

Nach Sichtung des Urteils und der Gründe würde ich als Verantwortlicher jedoch nicht in Panik verfallen. Unter datenschutzrechtlichen Gesichtspunkten ist, meines Erachtens, die Begründung des ArbG an mehreren Stellen angreifbar und ebenso ein anderes Ergebnis vertretbar. 

Der rein nationale Blick auf das Merkmal „unverzüglich“

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß Art. 15 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

Nach Ansicht des ArbG sei unter „unverzüglich“, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen. Zwar gesteht das Gericht ein, dass „unverzüglich“ nicht „sofort“ bedeutet. Jedoch geht es, unter Verweis auf eine Entscheidung des Bundesarbeitsgerichts, davon aus, dass nach einer Zeitspanne von mehr als einer Woche, ohne das Vorliegen besonderer Umstände, grundsätzlich keine Unverzüglichkeit mehr gegeben sei. 

Vorliegend gab das Unternehmen an, dass aufgrund von Wochenenden, Feiertagen und Brückentagen in dem betreffenden Zeitraum (Pfingsten), die Auskunft innerhalb von 9 Arbeitstagen erteilt wurde. Für das ArbG waren diese 9 Arbeitstage jedoch zu lang. 

Das ArbG legt hier also eine unmittelbar anwendbare EU-Verordnung und deren Vorgaben rein aus dem nationalen Rechtsverständnis aus. Dies verstößt gegen die Rechtsprechung des EuGH, konkret auch zur DSGVO. Der EuGH geht davon aus, dass (nach ständiger Rechtsprechung) die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (C-300/21, Rz. 29). 

Art. 12 Abs. 3 DSGVO verweist hinsichtlich des Begriffs „unverzüglich“ nicht auf das Recht der Mitgliedstaaten. Nach dem EuGH ist die Auslegung daher insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln (C-300/21, Rz. 29).

In diesem Fall ist der Begriff „unverzüglich“ für die Anwendung der DSGVO als autonomer Begriff des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen (so zum Begriff „Schaden“ in Art. 82 Abs. 1 DSGVO, C-300/21, Rz. 30).

Genau diese Auslegung nimmt das ArbG hier aber nicht. 

Zusatz: man könnte, völlig unabhängig von diesen europarechtlichen Erwägungen, auch noch entgegenhalten, dass bereits ein Landesarbeitsgericht eine andere Auffassung zu dem Begriff „unverzüglich“ vertreten hat; dies auch zeitlich vor dem Urteil des ArbG. Mit Blick auf die Monatsfrist des Art. 12 Abs. 3 DSGVO hat das LAG Baden-Württemberg entschieden, dass der Verantwortliche „vor Ablauf dieser Frist“ die Ansprüche nicht erfüllen braucht (hierzu mein Blogbeitrag).

Im Ergebnis bin ich sogar bei dem ArbG, dass hier keine starren Fristen gelten können; außer eben jene Monatsfrist. Dann jedoch, unter Verweis auf die Rechtsprechung des BAG, davon auszugehen, dass die Erteilung einer Negativauskunft nach 9 Arbeitstagen einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt, halte ich mit Blick auf die Rechtsprechung des EuGH für nicht richtig. 

Der angenommene Schaden – Kontrollverlust ohne Daten?

Selbst wenn man einen Verstoß gegen Art. 12 Abs. 3 DSGVO annehmen würde, sind meines Erachtens die Ausführungen des ArbG zum materiellen Schaden (750 EUR) angreifbar. Nach Ansicht des Gerichts hat er Kläger „durch die verspätete Auskunft einen Kontrollverlust hinsichtlich seiner Daten erlitten“. 

Einige werden sich fragen: aber, der Verantwortliche hatte doch gar keine Daten? Genau. Die wurden (wohl) mittlerweile gelöscht.

Nach Ansicht des ArbG „war der Kläger im Ungewissen und ihm die weitere Prüfung verwehrt, ob und ggf. wie die Beklagte seine personenbezogenen Daten verarbeitet“. Dies sei der Schaden. 

Eine solche Auslegung kollidiert aber meines Erachtens mit der aktuellen Rechtsprechung des EuGH und auch Schlussanträgen von Generalanwälten. 

Generalanwalt Collins geht etwa hinsichtlich des Schadens nach Art. 82 DSGVO davon aus, dass, auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, es eindeutiger und präziser Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus (C‑182/22 und C‑189/22, Rz. 24).

Generalanwalt Pitruzzella geht davon aus, dass sich empirisch feststellen lasse, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte aber leicht mit einer Entschädigung ohne Schaden verwechselt werden, was aber nicht vom Tatbestand von Art. 82 DSGVO erfasst zu sein scheint (C‑340/21, Rz. 81).

Nach Ansicht des EuGH geht aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (C-300/21, Rz. 32). Zudem ist eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rz. 50).

Vorliegend hatte der Kläger nur begründet, dass ein immaterieller Nachteil vorliege, wenn eine betroffene Person einen Kontrollverlust hinsichtlich eigener Daten erleide oder eine Einschränkung in ihren Rechten erfahre. Er habe auch ein emotionales Ungemach erfahren. Der Kläger trug hier aber gerade keine vom EuGH und auch den Generalanwälten geforderten konkreten Beweise für den Schaden an sich vor. Im Gegenteil spricht etwa die Auslegung von Generalanwalt Collins gegen die Anerkennung von „Ungemach“ als Schaden. 

Zuletzt muss man sich hier auch die konkrete Situation vor Augen halten: der Kläger hatte sich vor Jahren bei dem Verantwortlichen beworben – also selbst Daten übersendet. Wenn der Kläger aber nun einen, wohl gemerkt, hypothetischen Kontrollverlust als Schaden ersetzt verlangt, dann muss meines Erachtens auch berücksichtigt werden, dass die Daten ja erst durch den Kläger selbst in den Verantwortungsbereich des Unternehmens gelangten. 

Um es noch drastischer zu sagen: auf Basis der Argumentation des ArbG sende ich einfach wild meine Daten an verschiedene Unternehmen und mache danach Auskunftsanträge geltend. Wenn ein Unternehmen hierauf nicht, sagen wir innerhalb von 14 Tagen (kennen wir ja aus Deutschland als Richtschnur für die „Unverzüglichkeit“) antwortet, mache ich Schadenersatz nach Art. 82 DSGVO geltend, da ja in diesen 14 Tagen nicht klar war, ob ich nicht die Kontrolle über die Daten habe oder nicht. P.S.: die Kontrolle habe ich vorher selbst abgegeben. 

Landesarbeitsgericht: Frist zur Beantwortung von Auskunftsersuchen beträgt einen Monat – auch wenn der Betroffene (oder sein Anwalt) eine kürzere Frist setzen

In der Praxis werden Auskunftsansprüche nach Art. 15 DSGVO oft mit einer Fristsetzung durch Betroffene verbunden. So wird etwa gefordert, die Auskunft innerhalb von ein oder zwei Wochen zur Verfügung zu stellen.

Das Landesarbeitsgericht (LAG) Baden-Württemberg (Urteil vom 28.7.2023, 9 Sa 73/21) hatte sich in einer Entscheidung mit der Frage zu befassen, ob Betroffene einen Anspruch auf Erfüllung des Auskunftsrechts innerhalb der von ihnen (oder ihrem Rechtsanwalt) gesetzten Frist haben. Auch wenn diese von den gesetzlichen Vorgaben abweicht.

Sachverhalt

Der Kläger des Verfahrens stand bei der Beklagten in einem Ausbildungsverhältnis. Ihm wurde eine Abmahnung erteilt. Mit E-Mail vom 25.03.2020 wandte sich der Prozessbevollmächtigte des Klägers an die Beklagten und verlangte u.a. bis zum 03.04.2020 Auskunft über die personenbezogenen Daten des Klägers gem. Art. 15 DSGVO sowie Übermittlung der Personalakte des Klägers.

Entscheidung

Nach Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

Das LAG musste prüfen, wie sich die kurze Fristsetzung (9 Tage) zu der gesetzlichen Vorgabe des Art. 12 Abs. 3 DSGVO verhält.

Das Gericht geht davon aus, dass die Setzung einer kürzeren Frist, als jener in Art. 12 Abs. 3 DSGVO, irrelevant ist.

Nach Ansicht des LAG sind die Fristen für die Auskunftserteilung gesetzlich geregelt.

„Setzt der Auskunftsberechtigte eine zu kurze Frist, kann das nichts daran ändern, dass die Frist nach Art. 12 Abs. 3 DSGVO gilt.“

Verantwortliche haben also grundsätzlich die gesetzlich vorgesehene Zeit, um die Auskunft zu erteilen. Natürlich darf in der Praxis aber nicht unbeachtet bleiben, dass due Auskunft grundsätzlich „unverzüglich“ zu erteilen ist. Die Auskunft kann also auch vor Ablauf der Monatsfrist erteilt werden, wenn dies möglich ist.

Das Gericht führt weiter aus:

„Vor Ablauf dieser Frist braucht der Verantwortliche, hier die Beklagten zu eins und zu zwei die Ansprüche nicht erfüllen.“

Verantwortliche müssen nach Ansicht des LAG also auf eine zu kurze Fristsetzung nicht reagieren, sondern sind an die gesetzlichen Vorgaben gebunden.

Zudem geht das LAG aber auch davon aus, dass eine zu kurz gesetzte Frist den Auskunftsanspruch nicht gegenstandlos macht. Dieser ist weiterhin zu erfüllen – nur eben innerhalb der gesetzlichen Frist.

Folgt man den Erwägungen des LAG, sollten sich Verantwortliche in der Praxis also bei Fristsetzungen durch Betroffene oder ihre Vertreter nicht unter Druck setzen. Es gelten die gesetzlichen Vorgaben. So hatte etwa in der Vergangenheit auch das BayLDA in seinem Tätigkeitsbericht 2019 (S. 26) festgestellt:

„„Unverzüglich“ bedeutet nicht, dass eine Reaktion auf die Anfrage sofort zu erfolgen hat, sondern dass die Anfrage „ohne schuldhaftes Zögern“ zu bearbeiten ist.“

Sollte etwa innerhalb der Monatsfrist eine Beschwerde bei der Aufsichtsbehörde eingereicht werden, geht das BayLDA davon aus, dass es nicht tätig werden kann – da die Monatsfrist noch nicht abgelaufen ist.

LAG Hessen: Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO ist nicht vermögensrechtlicher Natur – Kopieanspruch nach Abs. 3 aber schon

Das LAG Hessen hatte sich in einer Entscheidung (Beschl. v. 11.11.2022, Az. 12 Ta 417/22) zum Gebührenstreitwert eines arbeitsgerichtlichen Verfahrens auch mit der Frage zu befassen, ob der Auskunftsanspruch nach Art. 15 DSGVO vermögensrechtlicher Natur ist – ob er also (auch) wirtschaftlichen Zwecken dient. 

Die Entscheidung des LAG ist unter zwei Aspekten für die Praxis relevant: zum einen für eine mögliche Heranziehung der Begründung im Zuge von klar unbegründeten (bzw. missbräuchlichen) Ansprüchen, wenn diese wegen wirtschaftlicher Motive geltend gemacht werden. Zum anderen für gerichtliche Auseinandersetzungen zu Art. 15 DSGVO und die Frage, welcher Streitwert für solche Ansprüche anzusetzen ist.

Zwei Ansprüche oder einer?

Das LAG trennt Art. 15 DSGVO (meines Erachtens diskutabel) in zwei verschiedene Ansprüche auf. 

Der Antrag auf Auskunft nach Art. 15 Abs. 1 DSGVO sei nicht vermögensrechtlicher Natur. Also wenn man so will, der „normale“ Auskunftsanspruch. Dieser Anspruch diene keinen wirtschaftlichen Interessen des Betroffenen. Das LAG hält (im Grundsatz) einen Gegenstandswert von 500 EUR für angemessen. Jedoch verdoppelt das LAG hier diesen Wert auf 1.000 EUR, da der Auskunftsanspruch auch Informationen über den Gesundheitszustand des Mitarbeiters betreffen könnte, die für den Streit relevant seien. 

Der weitere Antrag auf Erhalt einer Kopie der personenbezogenen Daten, Art. 15 Abs. 3 DSGVO, sei dann aber nach Ansicht des LAG doch als vermögensrechtliche Streitigkeit zu bewerten. Denn die „Zurverfügungstellung der Daten“ sei nicht anders zu bewerten, als ein Herausgabeverlangen bezüglich Arbeitspapieren. 

Andere Ansicht vertretbar

Meines Erachtens ist die Ansicht des LAG zumindest diskutabel und eine andere Auffassung gut vertretbar. Zum einen lässt sich bereits fragen, warum Abs. 1 und Abs. 3 des Art. 15 DSGVO zwei getrennt voneinander existierende Ansprüche sein sollen. Abs. 3 erfasst keine weiteren oder andere Daten und Informationen als jene des Abs. 1. Denn Abs. 3 bezieht sich auch „nur“ auf die personenbezogenen Daten (wie in Abs. 1 bereits genannt). Daher geht etwa auch der EDSA in seinen Leitlinien 01/2022 davon aus, dass Betroffene kein Recht auf Erhalt von Dokumentenkopien haben, in denen personenbezogene Daten enthalten sind (“This, however, does not mean that the data subject always has the right to obtain a copy of the documents containing the personal data, but an unaltered copy of the personal data being processed in these documents”). Zudem würde ich der Ansicht des LAG, dass Abs. 3 ein Anspruch auf Herausgabe von Arbeitspapieren darstellt, nicht folgen. Abs. 3 ist meines Erachtens kein Anspruch auf Dokumenten- oder Kopienherausgabe von Unterlagen, sondern eine besondere Form des Auskunftsanspruchs. Hierfür kann man etwa anführen, dass in der DSGVO an anderer Stelle durchaus auf Dokumente oder Unterlagen an sich abgestellt wird (etwa in Art. 70 Abs. 1 s) „alle erforderlichen Unterlagen, darunter den Schriftwechsel…“ oder ErwG 63 „Daten in ihren Patientenakten“ (man beachte hier auch das „in“)), aber nicht in Art. 15 Abs. 3 DSGVO. Auch der EDSA geht in seinen Leitlinien davon aus, dass Abs. 3 kein zusätzliches, eigenes Recht darstellt („The obligation to provide a copy is not to be understood as an additional right of the data subject, but as modality of providing access to the data“).

Zum anderen kann man sicherlich auch eine andere Auffassung zu der Frage vertreten, ob Abs. 3 vermögensrechtlicher Natur ist. Hiergegen spricht meines Erachtens allein schon ErwG 63 DSGVO, der vorgibt, dass der Zweck des Recht ist, „um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“.

Landesarbeitsgericht: Betriebsrat muss eigene angemessene Schutzmaßnahmen vorsehen und nachweisen, wenn er vom Arbeitgeber Auskunft über sensible Daten verlangt

Das Landesarbeitsgericht Baden-Württemberg hat sich mit Beschluss vom 20.5.2022 (Az 12 TaBV 4/21) zu den datenschutzrechtlichen Voraussetzungen der Weitergabe besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) vom Arbeitgeber an den Betriebsrat geäußert. Im konkreten Fall ging es um ein Auskunftsbegehren des Betriebsrates nach § 80 Abs. 2 S. 1 BetrVG, in Bezug auf Anzahl und Namen von schwerbehinderten/gleichgestellten Menschen.

Rechtsgrundlage der Datenverarbeitung

Die Weitergabe der Daten an den Betriebsrat kann auf die Rechtsgrundlage des § 26 Abs. 3 BDSG (als Umsetzung von der Öffnungsklausel in Art. 9 Abs. 2 lit. b DSGVO) gestützt werden. Bei der Weitergabe solcher hier betroffener „sensibler“ Daten an den Betriebsrat, sind nach § 26 Abs. 3 S. 3 BDSG zudem die besonderen Anforderungen des § 22 Abs. 2 BDSG zu beachten. Es sind danach angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Aber: der Arbeitgeber habe rein faktisch die Beachtung des Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand.

Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt“.

Hieraus folgert das LAG, dass es Aufgabe des Betriebsrates sei, bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens,

das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwerbehinderung mitteilenden Arbeitnehmer – wahren“.

Für die Praxis bedeutet dies, dass der Betriebsrat, bevor der Arbeitgeber die Daten weitergaben oder zB Zugriff gewähren kann, entsprechende Schutzmaßnahmen nachweisen muss. Der Nachweis dieser Schutzmaßnahmen ist nach Ansicht des LAG ein Teil der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung. Dies macht das LAG in seiner Begründung sehr deutlich:


Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit – was der Würdigung des Tatsachengerichts unterliegt – schließt den streitbefangenen Anspruch aus“.

Erforderliche Schutzmaßnahmen

Zunächst stellt des LAG klar, dass die in § 22 Abs. 2 BDSG genannten Maßnahmen allein eine beispielhafte Aufzählung bilden und nicht abschließend zu verstehen sind.

Ziel der Schutzmaßnahmen muss auf Seiten des Betriebsrates die Gewährleistung sein, dass er bei einer Verarbeitung sensitiver Daten das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 S. 2 BDSG aufgelisteten Kriterien entsprechen.

Das LAG benennt in seiner Entscheidung einige Beispielmaßnahmen.

Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören.“

Im konkreten Fall erachtete das LAG die vorhandenen Maßnahmen als ausreichend. So existierte etwa für eine elektronische Übermittlung eine spezielle Empfängeradresse mit Passwortschutz. Hiermit, so das LAG, wird der Betriebsrat zugleich seiner Pflicht zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO gerecht.

Eine Anonymisierung bzw. Pseudonymisierung (vgl. § 22 Abs. 2 Nr. 6 BDSG) kann hier nicht verlangt werden. Denn der Auskunftsanspruch des Betriebsrates zielt ja gerade auf Namen von Personen. Ohne diese Namen könnte der Betriebsrat also seine Aufgaben nicht wahrnehmen.  

Zudem nennt das LAG allgemein noch weitere möglich Maßnahmen, die der Betriebsrat ergreifen könnte: freiwillige Benennung eines Datenschutz-Sonderbeauftragten für das Gremium, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen.

Diese Liste mit Maßnahmen kann in der Praxis als eine gute Grundlage für eigene Prüfung der Zulässigkeit einer Datenweitergabe an den Betriebsrat verwendet werden.

Datenschutzbeauftragter des Arbeitgebers darf auch den Betriebsrat überwachen

Zudem beantwortet das LAG noch eine, in der Praxis immer mal wieder diskutierte, Frage. Benötigt der Betriebsrat einen eigenen Datenschutzbeauftragten oder darf bzw. muss der Datenschutzbeauftragte des Arbeitgebers auch den Betriebsrat kontrollieren?

Nach Auffassung des LAG richtet sich die (u.a. auch in § 22 Abs. 2 Nr. 4 BDSG) vorgesehene Bestellung eines Datenschutzbeauftragten nicht an den Betriebsrat, sondern an den Arbeitgeber. Und weiter:

„Die Verarbeitung personenbezogener Daten durch den Betriebsrat unterliegt unter Geltung der DSGVO dabei ohnehin der Überwachung durch den betrieblichen Datenschutzbeauftragten“

Dies, so das LAG, werde zwar in der neuen Vorschrift des § 79a BetrVG nicht ausdrücklich geregelt, aber sowohl von § 79a S. 4 BetrVG als auch im Regierungsentwurf vorausgesetzt, BT-Drs. 19/2899, S. 22.

Landesarbeitsgericht Baden-Württemberg: umfassendes Urteil zur Reichweite und den Ausnahmen des Auskunftsanspruchs nach Art. 15 DSGVO

Das LAG Baden-Württemberg hat ein wirklich lesenswertes Urteil (17.3.2021, 21 Sa 43/20) rund um verschiedenste (immer noch umstrittene Fragen) des Auskunftsanspruchs nach Art. 15 DSGVO gefällt. Hier kam zudem die besondere Situation im Arbeitsverhältnis hinzu.

Nachfolgend möchte ich einige Kernaussagen des Gerichts darstellen.

Sachverhalt

Arbeitnehmer und Arbeitgeber streiten darüber, ob und in welchem Umfang der Arbeitgeber (noch) verpflichtet ist, dem Kläger bestimmte Informationen gem. Art. 15 Abs. 1 2. Halbs. 2. Alt. DSGVO über bei dem Arbeitgeber verarbeitete verhaltens- und leistungsbezogene Daten des Klägers zu erteilen und darüber hinaus über die Verpflichtung des Arbeitgebers, dem Kläger gem. Art. 15 Abs. 3 Satz 1 DSGVO Kopien der leistungs- und verhaltensbezogenen Daten des Klägers, die Gegenstand der Verarbeitung waren, zur Verfügung zu stellen. Interessant ist, dass es in diesem Fall erneut auch um Daten aus einem internen Hinweisgebersystem (BPO) handelt.

Entscheidung

Bestimmtheit des Klageantrags

Wir erinnern uns an das Urteil des BAG aus April, in dem das BAG wegen Unbestimmtheit des Klageantrags eine Klage gestützt auf Art. 15 Abs. 3 DSGVO zurückwies (Urt. v. 27.4.2021, 2 AZR 342/20; hierzu sind nun übrigens auch die Gründe erschienen).

Das LAG sieht die Anforderungen nicht so streng. Es geht davon aus, dass der Kläger mit seinen geltend gemachten Informationsansprüchen gemäß Art. 15 Abs. 1 2. HS DSGVO Auskunft über alle Daten geltend machen kann, die seine Person betreffen und die von der Beklagten im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet werden oder worden sind.

Das LAG begründet dies damit, dass sich aus Art. 4 Nr. 2 DSGVO hinreichend deutlich ergibt, was „verarbeiten“ ist, ohne dass der Kläger dies näher bestimmen müsste.

Zudem, so das LAG, sei die vom Kläger gemachte Einschränkung dahingehend, dass er von der Beklagten – nur – Information über die seine Person betreffenden Daten geltend macht, die sein Verhalten und seine (Arbeits)Leistung betreffen haben will, hinreichend bestimmt.

Keine Pflicht zur Konkretisierung der Daten

Spannend und praktisch relevant ist die Ansicht des LAG, dass Betroffene nicht weiter spezifizieren müssen, welche Daten sie beauskunftet haben möchtet.

„Eine weitergehende konkretere Benennung der von ihm verlangten Daten ist dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten will, nicht zumutbar“

Das LAG begründet dies damit, dass der Betroffene als Kläger gerade nicht weiß oder nicht mehr ohne Weiteres wissen kann, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet hat. Würde man ihm insoweit eine weitere Konkretisierung abverlangen,

würde sich sein in Art. 15 Abs. 1 DSGVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde“.

Damit, so das LAG, könnte effektiver Rechtsschutz aber gerade nicht erreicht werden.

Dasselbe gilt nach Ansicht des LAG für den geltend gemachten Anspruch nach Art. 15 Abs. 3 Satz 1 DSGVO. Auch hier sei es dem Arbeitnehmer nicht möglich, genauere Angaben dazu zu machen, von welchen personenbezogenen Daten er eine Kopie zur Verfügung gestellt haben will.

Achtung: das Urteil des LAG erging vor dem Urteil des BAG zur Bestimmtheit des Klageantrags.

Verhältnis von Art. 15 Abs. 3 zu Abs. 1 DSGVO

Das LAG vertritt die Ansicht, dass ein Arbeitgeber, der Daten seines Arbeitnehmers im Sinne des Art. 4 DSGVO verarbeitet, diesem eine „Kopie“ der in Art. 15 Abs. 1 DSGVO geregelten Angaben zur Verfügung stellen muss.

Aus Sicht der erkennenden Kammer geht der Anspruch auf Erteilung einer Kopie im Sinne des Art. 15 Abs. 3 Satz 1 DSGVO aufgrund des Gesetzeswortlauts deshalb nicht über die Auskünfte hinaus, über die der Arbeitgeber dem Arbeitnehmer gemäß Art. 15 Abs. 1 2. HS DSGVO (vor dem „und“) Auskunft zu erteilen hat

Dies ist eine wichtige Aussage des Gerichts. Denn in der Praxis stellt sich oft die Frage, wie denn eine Kopie der Daten auszusehen hat. Was also Inhalt sein muss? Das LAG vertritt die Ansicht, dass Abs. 3 nicht über den Umfang des Abs. 1 hinausgeht.

Erfüllung des Anspruchs auf Kopie nach Art. 15 Abs. 3 DSGVO

Sehr interessant finde ich die Aussagen des LAG dazu, wie der Anspruch auf Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO zu erfüllen ist.

Da der Normzweck in der Transparenz und der Rechtmäßigkeitskontrolle der Verarbeitung der Daten durch die betroffene Person liege und gleichzeitig eine Vielzahl von Daten eines Arbeitnehmers beim Arbeitgeber verarbeitet sein können, über die dieser Auskunft zu erteilen hat, geht das LAG davon aus,

dass der Auskunftsersuchende gemäß Art. 15 Abs. 3 Satz 1 DSGVO die verarbeiteten Daten in einem einheitlichen Dokument erhalten soll.“

Das LAG geht weiter davon aus, dass dieses Dokument nicht notwendig aus nur einer einzigen Kopie, sondern auch aus einer Mehrzahl oder gar Vielzahl von Kopien bestehen kann.

Und, eine wichtige Ergänzung des LAG:

Dies bedeutet hingegen nicht, dass Ablichtungen/Ausdrucke der papierenen oder elektronischen Dokumente, in denen sich die personenbezogenen Daten des Arbeitnehmers befinden, zur Verfügung zu stellen sind“.

Entscheidend für den Auskunftsanspruch, so das LAG, sei lediglich, dass der Arbeitgeber die von ihm verarbeiteten Daten des Arbeitnehmers diesem zusammengefasst zur Verfügung stellt. Ob er von den Dokumenten, in denen die Daten enthalten sind, tatsächlich Kopien oder Ausdrucke im technischen Sinne auf einem Kopierer oder mittels Drucker fertigt und daraufhin Passagen, die Rechte Dritter beeinträchtigen oder die keine personenbezogenen Daten des Arbeitnehmers beinhalten, möglicherweise schwärzt oder ob er personenbezogene Daten des Arbeitnehmers, die in Dokumenten enthalten sind, bündelt und dem Arbeitnehmer die vom Arbeitgeber gebündelten Daten und nicht auch die (gegebenenfalls geschwärzten) Dokumente zur Verfügung stellt, obliege der Entscheidung des Arbeitgebers.

Das sind meines Erachtens ganz wichtige Ansichten für die praktische Erfüllung des Art. 15 Abs. 3 DSGVO. Das LAG geht nicht davon aus, dass 1zu1 Kopien von Dokumenten mit personenbezogenen Daten herauszugeben sind. Man kann die Daten auch in ein gesondertes Auskunftsdokument ziehen.

Ausnahme entsprechen Art. 14 Abs. 5b DSGVO (unverhältnismäßiger Aufwand)?

In dem Urteil befasst sich das LAG auch mit der Frage, ob die Ausnahmeregelungen für Informationspflichten in Art. 13 und 14 DSGVO direkt oder analog anwendbar sind. Das Gericht lehnt dies jedoch ab.

Art. 14 Abs. 5 b DSGVO sei bei Ansprüchen nach Art. 15 Abs. 1 2. HS und Abs. 3 Satz 1 DSGVO nicht, auch nicht analog, anwendbar. Danach kann die Erteilung von Informationen unterbleiben, wenn diese sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Der Unterschied zwischen Art. 13/14 DSGVO und Art. 15 DSGVO sei, dass Art. 13/14 „nur“ Informationspflichten regele. Bei Art. 15 DSGVO handele es sich aber um das Auskunftsrecht der von der Datenerhebung betroffenen Person.

Im Hinblick darauf, dass die betroffene Person die Rechtmäßigkeit der Datenverarbeitung und die Richtigkeit der von ihr verarbeiteten Daten prüfen können soll, geht Art. 15 DSGVO insoweit über die Informationspflicht des Verantwortlichen im Sinne der Art. 4 Nr. 7, 13 und 14 DSGVO hinaus“.

Nach Ansicht des LAG regelt Art. 15 DSGVO hingegen ganz bewusst nicht, wie in den Art. 13 Abs. 4 und 14 Abs. 5 DSGVO vorgesehen, die dort enthaltenen Ausnahmen, sondern enthält als Ausnahme ausschließlich, dass das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Person nicht beeinträchtigen darf. Diese andersgeartete Ausnahme (als jene in Art. 13 Abs. 4 und 14 Abs. 5 DSGVO) ist aus Sicht des LAG der Überprüfbarkeit der Verarbeitung über die personenbezogenen Daten der betroffenen Person durch diese geschuldet.

Wenn nämlich der Verantwortliche eine Vielzahl von personenbezogenen Daten der betroffenen Person verarbeitet, würde dies bei einer analogen Anwendung, insbesondere der Vorschrift des Art. 14 Abs. 5 b DSGVO, dazu führen, dass gerade eine umfassende personenbezogene Datenverarbeitung zur Folge hätte, dass der Verantwortliche weder aktiv eine Auskunft, noch eine Auskunft in Folge der Initiative der von der Datenverarbeitung betroffenen Person schulden würde (da er sich dann zb auf die Ausnahme „unverhältnismäßiger Aufwand“ berufen könnte).

Dies liefe aber nach Ansicht des LAG Sinn und Zweck des Art. 15 DSGVO und des Datenschutzes an sich zuwider, wenn gerade der Verantwortliche, der besonders viele personenbezogene Daten einer betroffenen Person verarbeitet, eine Überprüfung seiner Datenverarbeitung durch die betroffene Person vermeiden könnte.

Fazit

Das Urteil enthält noch einige weitere wichtige Passagen, etwa zur Pflicht des Verantwortlichen, für jedes Datum einzeln nachweisen zu können, warum dessen Beauskunftung Rechte Dritter beeinträchtigen würde. Das LAG hierzu: „Danach kann die Beklagte nicht mit dem bloß abstrakten Hinweis auf ihr Hinweisgebersystem den Informationsanspruch gänzlich verweigern“.

LAG Nürnberg: Nationaler Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte ist mit DSGVO vereinbar

Mit Urteil vom 19.2.2020 (Az. 2 Sa 274/19, pdf) hat das Landesarbeitsgericht Nürnberg den im BDSG geregelten besonderen Kündigungs- und Abberufungsschutz für Datenschutzbeauftragte als europarechtskonform angesehen. Die Regelungen verstoßen nach Ansicht des LAG nicht gegen die Vorgaben der DSGVO.

Sachverhalt

Die Klägerin wurde mit Schreiben vom 15.1.2018 von der Beklagten zur betrieblichen Datenschutzbeauftragten bestellt. Mit weiteren späteren Schreiben wurde die Klägerin zur betrieblichen Datenschutzbeauftragten von Tochterunternehmen bestellt

Mit Schreiben vom 13.7.2018 wurde das Arbeitsverhältnis der Klägerin durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.

Die Klägerin begehrt gegenüber der Beklagten u.a. die Feststellung der Unwirksamkeit einer Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses und die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.

Das Arbeitsgericht hatte festgestellt, dass das Arbeitsverhältnis der Klägerin zur Beklagten nicht durch die Kündigung vom 13.7.2018 mit Ablauf des 15.8.2018 beendet wurde, und dass die Rechtsstellung der Klägerin als Beauftragte für den Datenschutz der Beklagten nicht durch den Widerruf der Beklagten vom 13.7.2018 beendet wurde. Hiergegen wendeten sich die Beklagten mit einer Berufung.

Urteil

Besonderer Kündigungs- und Abberufungsschutz

Nach Ansicht des LAG genoss die Klägerin zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 S. 2 BDSG.

Nach § 6 Abs. 4 S. 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Nach S. 2 ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.

Nach Ansicht des LAG gilt dieser Sonderkündigungsschutz auch bereits in der Probezeit.

Nationale Regelung zum Kündigungsschutz verstößt nicht gegen DSGVO

Fraglich war sodann, ob der nationale Gesetzgeber überhaupt befugt ist, entsprechende Regelungen im BDSG zur Stellung und Abberufung bzw. Kündigung des Datenschutzbeauftragten zu treffen.

Nach Ansicht des LAG verstößt der besondere Kündigungsschutz auf nationaler Ebene nicht gegen Art. 38 Abs. 3 S. 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.

Zwar existiere eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, in der DSGVO nicht.

Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.

Das LAG betrachtet für seine Begründung zunächst die Kompetenzgrundlagen des europäischen Gesetzgebers. Die DSGVO regele den Datenschutz als Querschnittsmaterie mit Art. 16 Abs. 2 AEUV als Kompetenzgrundlage. Das LAG weist dann darauf hin, dass die Kompetenznorm für spezifisch arbeitsrechtliche Regelungen hingegen in Art. 153 AEUV und hier insbesondere für Arbeitsbedingungen in Abs. 1 lit. b und für den Schutz der Arbeitnehmer bei Beendigung des Arbeitsvertrags in Abs. 1 lit. d. zu finden sei.

Im Bereich der arbeitsrechtlichen Regelungen handelt die EU nach Art. 153 Abs. 2 AEUV in diesem Bereich jedoch durch Richtlinien, nicht durch Verordnung. Dies spricht aus Sicht des LAG dafür, dass die DSGVO keine genuinen abschließenden arbeitsrechtlichen Regelungen trifft,

jedenfalls nicht für das Arbeitsverhältnis, das der Tätigkeit als Datenschutzbeauftragtem zu Grunde liegt.

Zudem argumentiert das LAG mit der DSGVO selbst. Für seine Sicht spreche auch der Wortlaut des Art. 38 Abs. 3 S. 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Das LAG geht daher davon aus, dass er deshalb auch nicht gekündigt werden darf.

Jedoch, so das LAG, enthält Art. 38 Abs. 3 S. 2 DSGVO keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und

verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als Datenschutzbeauftragten zu gewährleisten.

Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang

Nationale Regelung zur Abberufung des Datenschutzbeauftragten ist DSGVO-konform

Neben der Frage der Zulässigkeit der Kündigung, musste sich das LAG auch mit der Abberufung als Datenschutzbeauftragte befassen.

Nach Ansicht des LAG bedurfte die Beklagte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Auch diese, in §§ 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG enthaltene nationale Regelung, verstoße nicht gegen Art. 38 Abs. 3 S. 2 DSGVO.

Zunächst stellt das LAG fest, dass auch die Modalitäten der Abberufung des Datenschutzbeauftragten in der DSGVO nicht abschließend geregelt sind. Nach Art. 38 Abs. 3 S. 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden.

Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann.

Unter Verweis auf die Rechtsprechung des BAG (Urt. v. 23.3.2011, Az. 10 AZR 652/09; mit Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten) legt das LAG dar, dass auch die Abberufung als interner Datenschutzbeauftragter damit im Umkehrschluss ebenfalls auf eine Änderung der arbeitsvertraglichen Pflichten ziele. Damit handele es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 S. 1 BDSG im Kern um eine arbeitsrechtliche Regelung.

Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.

Denn wie der Kündigungsschutz diene auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann. Das LAG geht zudem davon aus, dass es sich auch

bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.

Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag hier nach Ansicht des LAG gerade nicht vor.

Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.

Fazit

Das LAG legt, meines Erachtens durchaus überzeugend, dar, warum im nationalen Recht die spezifische Ausgestaltung des Beschäftigungsverhältnisses des Datenschutzbeauftragten noch näher ausgestaltet werden kann. Hinsichtlich der Kündigung des zugrundeliegenden Arbeitsverhältnisses, dürfte dies auch recht klar sein. Allenfalls bei dem Thema der Abberufung könnte man ggfs. überlegen, ob der vom LAG eröffnete Konnex zur Kündigung (da auch durch die Abberufung nach der Respr. des BAG das Arbeitsverhältnis geändert wird) so eindeutig ist.

Da insbesondere die Frage, ob § 6 Abs. 4 S. 1 iVm § 38 Abs. 2 BDSG mit Art. 38 Abs. 3 S. 2 DSGVO vereinbar ist, höchstrichterlich noch nicht geklärt ist, hat das LAG die Revision zugelassen.

Die Revision wurde beim BAG am 16.04.2020 unter dem Az 2 AZR 225/20 eingelegt.

LAG Sachsen: Abberufung eines Datenschutzbeauftragten allein wegen Anwendbarkeit der DSGVO?

In einem Urteil vom 08.10.2019 (Az. 7 Sa 128/19; aktuell leider noch nicht frei zugänglich) hat das Sächsische Landesarbeitsgericht (LAG) die Auflösung der Rechtsstellung eines betrieblichen Datenschutzbeauftragten einer öffentlichen Stelle, wegen eines Interessenkonflikts nach Art. 38 Abs. 6 DSGVO, für zulässig erklärt. Die Beschwerde wurde beim Bundesarbeitsgericht unter dem Az. 10 AZR 621/19 eingelegt. Das Gericht hat über die Revision des Klägers gegen die frühere Entscheidung des ArbG Dresden (03.04.2019 – 3 Ca 1978/18) entschieden.

Sachverhalt

Der Kläger ist seit dem 01.01.2002 auf der Grundlage eines schriftlichen Dienstvertrages bei der Beklagten als Mitarbeiterin beschäftigt. Bei der Beklagten handelt es sich um eine öffentliche Stelle des Landes, die – als Dienstleister für Kommunen – personenbezogene Daten verarbeitet. In seiner Tätigkeit obliegt dem Kläger für die Beklagte, die Kommunen des Freistaates Sachsen mit der Bereitstellung und Wartung sowie Beratung über Datenverarbeitungsprogramme betreut, eine Tätigkeit als Anwendungsberater. Mit Schreiben vom 27.02.2004 wurde der Kläger auf der Grundlage von § 11 Sächsisches Datenschutzgesetz (aF) zum Datenschutzbeauftragten bei der Beklagten bestellt.

Aufgrund von Handlungsempfehlungen des Sächsischen Landesdatenschutzbeauftragten anlässlich des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) entschloss sich die Beklagte, den Kläger mit Schreiben vom 15.08.2018 von der Funktion als Datenschutzbeauftragten zum 31.08.2018 abzubestellen. Mit der vor dem ArbG Dresden zuvor erhobenen Klage hat der Kläger die Feststellung des Fortbestandes seiner Rechtsstellung als behördlicher Datenschutzbeauftragter über den 31.08.2018 hinaus gerichtlich geltend gemacht.

Nach Ansicht des Klägers bestand kein Interessenkonflikt. Beide Tätigkeiten wurden seit 15 Jahren unverändert nebeneinander ausgeübt. Es gäbe daher keinen triftigen Grund für die Abberufung. Die Rechtsstellung des Klägers sei darüber hinaus nicht durch die in Kraft getretene DSGVO beendet worden und daher verstoße die Abbestellung gegen Art. 38 Abs. 3 S. 2 DSGVO.

Die Beklagte trägt hingegen vor, dass mit Anwendbarkeit der DSGVO die im Jahre 2004 erfolgte Bestellung zum Datenschutzbeauftragten von Rechts wegen geendet habe. Die Fortführung des Amtes sei dem Kläger aber auch wegen eines Interessenkonflikts mit seiner beruflichen Tätigkeit unmöglich gewesen. Der Interessenkonflikt zwischen den fachlichen Tätigkeiten und seiner Funktion als Datenschutzbeauftragter liege im Wesentlichen darin, dass der Kläger Finanzdaten von Bürgern zu verarbeiten habe sowie in seinen fachlichen Aufgaben und Pflichten als Anwendungsbetreuer und als Auftragsverarbeiter tätig werde. Maßgeblich sei der Interessenkonflikt im Einsatz des Klägers als Kundenbetreuer und dem Umfang der von ihm geschuldeten Tätigkeit bei der Datenverarbeitung selbst. Der Kläger müsse die Einhaltung der Vorschriften während seiner Arbeit sicherstellen und kontrolliere sich praktisch selbst.

Entscheidung

Im Ergebnis wies das Gericht die Berufung des Klägers gegen das erstinstanzliche Urteil ab.

Das Gericht teilte jedoch nicht die Auffassung der Beklagten, dass die Tätigkeit des Datenschutzbeauftragten allein aufgrund der Anwendbarkeit (Anm: das LAG nennt zwar das „Inkrafttreten“, meint aber offensichtlich die Anwendbarkeit, da auf den 25.5.18 verwiesen wird) der DSGVO beendet werden sollte. So finde die Auflösung der Rechtsstellung des Datenschutzbeauftragten keine gesetzliche Grundlage in der DSGVO oder nicht allein in deren Anwendbarkeit. Diese mag die Rechtsstellung des Datenschutzbeauftragten anders regeln als im zuvor allein anwendbaren Recht. Eine Regelung, wonach das Amt des Datenschutzbeauftragten – allein wegen der Anwendbarkeit der DSGVO am 25.05.2018 – von Gesetzes wegen endet, enthalte sie aber nicht.

Nach § 11 Abs. 2 SächsLDSG (aktuelle Fassung) dürfe zum Datenschutzbeauftragten (einer öffentlichen Stelle) nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit seinen sonstigen beruflichen Aufgaben ausgesetzt wird. Er ist bei der Erfüllung seiner Aufgaben dem Leiter der öffentlichen Stelle unmittelbar zu unterstellen und weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Diese nach dem SächsLDSG im Verhältnis zu § 6 Abs. 4 S. 1 BDSG geringeren Schutz-Anforderungen entsprechen Art. 38 Abs. 3 DSGVO, wonach der Verantwortliche und der Auftragsverarbeiter sicherstellen muss, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Die DSGVO und auch das SächsLDSG kennen keinen besonderen Kündigungs- bzw. Abberufungsschutz, wie er im BDSG geregelt ist.

(Gemäß § 6 Abs. 4 BDSG ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, es liegen Tatsachen vor, die die öffentliche Stelle zur Kündigung des Arbeitsverhältnisses aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen).

Insbesondere darf der Datenschutzbeauftragte nach Auffassung des Gerichts nicht deshalb von seiner Funktion entbunden werden oder sonstige Nachteile erleiden, weil er sich in bestimmter Weise und mit einem Ergebnis seiner datenschutzrechtlichen Prüfung positioniert hat, die der Geschäftsleitung, dem Betriebs- oder Personalrat oder anderen Stellen im Unternehmen oder der Behörde nicht genehm sind. Eine solche Benachteiligung des Klägers wegen der von ihm ausgeübten Tätigkeit als Datenschutzbeauftragter sei im Streitfall aber nicht feststellbar und wird vom Kläger im Ergebnis auch nicht behauptet. Vielmehr macht der Beklagte geltend, dass nach der Anwendbarkeit der DSGVO der behauptete Interessenkonflikt zwischen der beruflichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter neu beurteilt worden sei.

Die Zuverlässigkeit eines Datenschutzbeauftragten könne infrage gestellt werden, wenn die Gefahr von Interessenkonflikten bestehe. So könne ein Eingriff in die Interessensphären die vom Gesetz geforderte Zuverlässigkeit beeinträchtigen. Nach Ansicht des Gerichts ist unter Berücksichtigung von Art. 38 Abs. 6 DSGVO, wonach der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann und der Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, die Abbestellung jedenfalls nachzuvollziehen. Die Tatsache, dass der Kläger möglicherweise seit mehr als 15 Jahren denselben Interessenkonflikt zwischen seiner dienstlichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragter hat, verpflichte den Beklagten hingegen nicht, den Interessenkonflikt aufrechtzuerhalten. Der Kläger sei auch nicht wegen der Ausübung seiner Tätigkeit als Datenschutzbeauftragter in der Vergangenheit oder wegen einzelner Handlungen im Zusammenhang mit dieser von seiner Funktion abbestellt worden, sondern weil die Beklagte einen Interessenkonflikt in der von ihm auszuübenden Tätigkeit des Anwendungsberaters bei der Datenverarbeitung für öffentliche Stellen, die personenbezogene Daten verarbeiten, sehe.

Schlussendlich kenne weder das Sächsische Datenschutzgesetz noch die DSGVO einen besonderen Abbestellungs- oder Abberufungsschutz. Es muss lediglich sichergestellt sein, dass der Kläger nicht wegen der von ihm ausgeübten Tätigkeit benachteiligt und insbesondere nicht deswegen abberufen oder abbestellt wird, so das Gericht.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.