Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

OVG Hamburg: Kein Anspruch auf Berichtigung der Personalakte nach der DSGVO bei einer Namensänderung

Das OVG Hamburg hat sich in einem Beschluss vom 27.05.2019 (Az. 5 Bf 225/18.Z) unter anderem mit der Frage beschäftigt, wie weit der Berichtigungsanspruch des Art. 16 DSGVO reicht. Der konkrete Fall spielte im öffentlichen Bereich, kann jedoch hinsichtlich der Begründung auch für Unternehmen und deren Führung von Personalakten von Mitarbeitern relevant sein. Nach Ansicht des OVG ergibt sich aus Art. 16 DSGVO kein Anspruch, nach der offiziellen Änderung eines Vornamens, den Inhalt der Personalakte rückwirkend (auch für den Zeitraum vor der Namensänderung) der neuen Namensführung anzupassen.

Sachverhalt

Die Klägerin, eine Bundespolizistin, begehrt die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin wurde mit männlichem Geschlecht und männlichen Vornamen geboren. Im Oktober 2012 wurden die Vornamen der Klägerin gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (TSG) geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen.

Danach wandte sich die Klägerin an die Beklagte und forderte diese auf, alle Schriftstücke in der über sie geführten Personalakte an ihre jetzigen Vornamen sowie an das weibliche Geschlecht anzupassen. Sie berief sich hierzu u.a. auf § 20 Abs. 1 BDSG a.F. Das Verwaltungsgericht hatte die Klage abgewiesen.

Entscheidung

Nach Ansicht des OVG ergibt sich der geltend gemacht Anspruch zur Änderung der Vornamen in alten Schriftstücken nicht aus dem datenschutzrechtlichen Berichtigungsanspruch (Art. 16 DSGVO) oder dem Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).

Nach Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Nach Ansicht seien die alten Vornamen unrichtig, weswegen sie zu berichtigen seien. Bereits das Verwaltungsgericht hatte dies u.a. mit der Begründung abgelehnt, dass die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe.

Zunächst stützt das OVG die Begründung des Verwaltungsgerichts. Die Änderung der Vornamen (in eine weibliche Form) wirkt nicht ex tunc, also in die Vergangenheit. Deswegen sind die alten Vornamen, die noch in der Personalakte vorhanden sind, auch nicht unrichtig geworden.

Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.

Da das OVG davon ausgeht, dass die personenbezogenen Daten (hier: die Vornamen) weiterhin richtig sind, lehnt es folgerichtig einen Berichtigungsanspruch aus Art. 16 DSGVO ab. Denn dieser setzt voraus, dass „unrichtige“ personenbezogene Daten vorliegen. Interessant an der Begründung ist, dass das OVG hinsichtlich der Beurteilung der Richtigkeit von Daten nicht allein auf den aktuellen Zeitpunkt abstellt, sondern quasi die historische Entwicklung eines Datums mitberücksichtigt. Ein in der Vergangenheit richtiges Datum wird also nicht dadurch „unrichtig“, dass sich die (persönlichen oder sachlichen) Verhältnisses der betroffenen Person mit der Zeit geändert haben.

Das OVG stützt seine Begründung daneben aber auch auf den Datenschutzgrundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO.

Danach müssen personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein. Nach Ansicht des OVG kommt es im vorliegenden Fall auf den jeweiligen historischen Kontext an. Daher machen

nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch.

Man kann das OVG also so verstehen, dass der Berichtigungsanspruch nicht dazu dienen soll, die richtig dokumentierte Vergangenheit zu ändern. Vorliegend hielt die Beklagte ihre Personalakten auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können. Zudem fügt das OVG noch hinzu, dass eine nachträgliche Anpassung, die aus den Akten nicht erkennbar wäre, umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen kann.

Fazit

Zum Recht auf Berichtigung gibt es bislang noch wenige Entscheidungen. Umso relevanter dürften die obergerichtlichen Aussagen aus Hamburg sein. Wie bereits erwähnt, kann die Argumentation des Gerichts, auf deren Grundlage der Anspruch nach Art. 16 DSGVO abgelehnt wird, durchaus auch in der Privatwirtschaft, etwa im Rahmen der Führung von Personalalten und sonstigen Mitarbeiterdatenverwaltung von Relevanz sein.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

Bundesregierung: Schadensersatzhaftung wegen Sorgfaltspflichtverstoß nach DSGVO

Die Bundesregierung, konkret das Bundesgesundheitsministerium, hat eine schriftliche Frage des Abgeordneten Dr. Kessler im Bundestag beantwortet, die sich mit der Haftung für Verstöße gegen die DSGVO befasst.

Die Frage (BT Drs. 19/11401, pdf S. 87) bezieht sich auf die Haftung für Verstöße gegen die DSGVO im Gesundheitsbereich, konkret in ärztlichen, zahnärztlichen oder psychotherapeutischen Praxen.

Zunächst verweist die Bundesregierung auf Art. 82 DSGVO und auch § 83 BDSG. Der Verweis auf § 83 BDSG ist hier meines Erachtens falsch, da § 83 BDSG eine Umsetzung der Vorgaben der Richtlinie 2016/680 darstellt und diese auf die Tätigkeiten von Praxisinhabern keine Anwendung findet.

Weiter führt die Bundesregierung in ihrer Antwort aus, dass Verantwortlicher (iSd DSGVO) in einer ärztlichen, zahnärztlichen oder psychotherapeutischen Praxis grundsätzlich der oder die Inhaber dieser Praxis sind. Diese Ansicht dürfte nicht weiter überraschen.

Interessant ist meines Erachtens die nachfolgende Einschätzung. Die Bundesregierung verweist auf Art. 24 DSGVO wonach der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen hat, um sicherzustellen, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt.

Hat er seine diesbezügliche Sorgfaltspflicht nicht erfüllt, haftet er nach Artikel 82 DSGVO und § 83 BDSG für einen daraus resultierenden Schaden.

Die Bundesregierung scheint hier aus Art. 24 DSGVO mithin eine allgemeine Sorgfaltspflicht des Verantwortlichen (nur für diesen gilt Art. 24 DSGVO) abzuleiten. Diese Sorgfaltspflicht bezieht die Bundesregierung ganz generell auf die Verarbeitung, die die Vorgaben der DSGVO einhalten muss. Dabei bleibt die Aussage der Bundesregierung zum Pflichtenumfang vage und weit. Das ist aber wenig verwunderlich, da Art. 24 Abs. 1 DSGVO selbst auch sehr offen formuliert ist. Für die Praxis interessant dürfte an der Aussage in jedem Fall sein, dass die Bundesregierung in Art. 24 DSGVO eine allgemeine Sorgfaltspflicht verortet, deren Nichteinhaltung zur Schadensersatzhaftung führen kann.

Zu beachten ist hierbei, dass Art. 24 DSGVO selbst eigentlich keine weiteren konkreten Pflichten vorgibt, sondern eher als General- bzw. Auffangnorm in der DSGVO zur Verantwortlichkeit des Verantwortlichen angesehen wird. Hinzuweisen ist auch noch darauf, dass Art. 24 DSGVO sich ausdrücklich auf die Verarbeitung bezieht, die gemäß der DSGVO erfolgen muss. Art. 24 DSGVO erstreckt sich mithin nicht auf nicht-verarbeitungsbezogene Pflichten, wie etwa die Benennung eines DSB.

OVG Lüneburg: Höchstpersönlicher Auskunftsanspruch nach der DSGVO geht nicht auf den Insolvenzverwalter über

Das Auskunftsrecht nach Art. 15 DSGVO ist in der datenschutzrechtlichen Praxis sicher eines der streitträchtigsten Betroffenenrechte. Dass es aber gar nicht immer direkt um die Ausübung des Rechts durch den Betroffenen gehen muss, zeigt ein neuer Beschluss (Beschl. v. 26.6.2019 – 11 LA 274/18) des Oberverwaltungsgerichts Lüneburg (OVG). Zudem geht das Gericht in seiner Entscheidung auf die interessante Frage ein, inwiefern das Recht auf Auskunft durch Dritte geltend gemacht werden kann und, insbesondere für das Insolvenzrecht relevant, ob Betroffenenrechte nach der DSGVO Teil der Insolvenzmasse sind.

Sachverhalt

Der Kläger, ein Insolvenzverwalter, bat am 21. Juli 2015 den Beklagten um Übersendung eines Auszugs aus dem Steuerkonto eines Insolvenzschuldners. Mit Schreiben vom 22. Juli 2015 führte der Beklagte aus, dass der Kläger die gewünschten Informationen bei seinem Mandanten einzuholen habe. Ein Insolvenzverwalter habe grundsätzlich keinen Anspruch auf die begehrten Informationen. Gegen dieses Ablehnungsschreiben legte der Kläger mit Schreiben vom 20. August 2015 Einspruch ein und wies zur Begründung auf das damals noch geltende Niedersächsische Datenschutzgesetz hin. Mit weiterem Schreiben vom 3. September 2015 beantragte der Kläger zusätzlich Akteneinsicht in das Steuerkonto des Insolvenzschuldners. Mit Schreiben vom 28. Oktober 2015 teilte der Beklagte dem Kläger mit, dass ein berechtigtes Interesse bzw. Gründe für die begehrte Erteilung von Steuerkontoauszügen nicht ersichtlich seien.

Hiergegen ging der Kläger zunächst vor dem VG Stade vor. Das VG wies seine Klage jedoch ab. Zur Begründung hat es sich u.a. auf eine – auszugsweise zitierte – Entscheidung des Oberverwaltungsgerichts Hamburg vom 8. Februar 2018 (Az 3 Bf 107/17) berufen und ausgeführt, dass diese Entscheidung auf die Rechtslage in Niedersachsen übertragbar sei. Der Kläger wandte sich nun gegen die Entscheidung des VG.

Entscheidung

Das OVG wies den Antrag des Klägers auf Zulassung der Berufung gegen das Urteil des VG zurück. Das Gericht geht davon aus, dass auf der Grundlage der nunmehr maßgeblichen Rechtslage (seit Anwendbarkeit der DSGVO) der Kläger gegen den Beklagten weder einen Anspruch darauf hat, dass ihm ein Auszug aus dem Steuerkonto des Steuerschuldners erstellt wird, noch, dass ihm Akteneinsicht in das Steuerkonto des Steuerschuldners gewährt wird.

Die vom Kläger geltend gemachten Ansprüche richten sich nunmehr vorrangig nach Art. 15 Abs. 1 DSGVO.

Das OVG begründet seine Entscheidung zunächst damit, dass die für die Geltendmachung eines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO erforderlichen Voraussetzungen in der Person des Insolvenzverwalters nicht vorliegen, weil er nicht „Betroffener“ ist. Nach Ansicht des OVG steht das Auskunftsrecht nur dem Betroffenen zu und beschränkt sich auf die zu seiner Person gespeicherten Daten. Demgegenüber ist es nicht darauf ausgerichtet, dass potenzielle „Dritte“ Informationen über die bei staatlichen Stellen vorhandenen Daten erlangen können.

Des Weiteren führt das OVG aus, dass das datenschutzrechtliche Auskunftsrecht des Betroffenen auch nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter übergeht. Zwar geht nach § 80 Abs. 1 InsO durch die Eröffnung des Insolvenzverfahrens das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über. Zur Insolvenzmasse zählendes Vermögen i.S.v. § 80 Abs. 1, § 35 Abs. 1 InsO sind allerdings nur die einer Person zustehenden geldwerten Rechte. Das OVG verweist dann darauf, dass Gegenstände und Rechte, deren Pfandverwertung nicht zur Befriedigung des Geldanspruchs der Gläubiger führen kann, keinen Vermögenswert verkörpern, nicht der Zwangsvollstreckung unterliegen und nach § 36 Abs. 1 InsO nicht zur Insolvenzmasse gehören. Danach unterliegen insbesondere Güter des höchstpersönlichen Bereichs nicht der Zwangsvollstreckung

Davon ausgehend ist der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ein höchstpersönliches Recht des Betroffenen.

Das OVG vertritt diese Auffassung auch in Kenntnis des Gegenarguments, dass dieser Auskunftsanspruch – insbesondere für den Insolvenzverwalter bzw. die von ihm zu bedienenden Gläubiger – mittelbar auch vermögensrelevante Auswirkungen haben kann.

Jedoch stehe aufgrund seines Schutzzwecks, seiner Grundrechtsbezogenheit und seiner fundamentalen Bedeutung zur Durchsetzung des Rechts auf informationelle Selbstbestimmung der Schutz ideeller Interessen und damit die Personenbezogenheit im Vordergrund.

Der Auskunftsanspruch gehört daher nach Ansicht des OVG somit nach § 36 Abs. 1 Satz 1 InsO nicht zur Insolvenzmasse und sei folglich auch vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter nicht erfasst.

Der Kläger wandte gegen diese Ansicht eine Entscheidung des OVG  Nordrhein-Westfalen vom 24. November 2015 (Az 8 A 1032/14) ein, in der dies anerkannt hätte, dass der Insolvenzverwalter Betroffener i.S.v. § 30 Abs. 4 Nr. 3 AO sei, was im Sinne der Rechtseinheit und Rechtsklarheit auch für andere Gesetze gelten müsse. Das OVG bringt hiergegen vor, dass es in dieser Entscheidung des OVG Nordrhein-Westfalen zwar auch um einen Auskunftsanspruch eines Insolvenzverwalters gegenüber dem Finanzamt hinsichtlich der Steuerkontoauszüge eines Insolvenzschuldners ging. Anspruchsgrundlage war aber nicht – wie hier – Art. 15 Abs. 1 DSGVO, sondern § 4 Abs. 1 des Informationsfreiheitsgesetzes Nordrhein-Westfalen.

Diese landesrechtliche Vorschrift ist jedoch – wie viele vergleichbare Vorschriften in den Informationsfreiheitsgesetzen anderer Bundesländer – anders als Art. 15 Abs. 1 DS-GVO, § 19 BDSG 2003 und § 16 NDSG a.F. kein Betroffenenrecht, sondern gewährt „jeder natürlichen Person“ einen Auskunftsanspruch gegenüber den in § 2 IFG NRW genannten Stellen.

Das OVG führt zur Natur des Auskunftsanspruchs nach der DSGVO weiter aus:

Der auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist unabhängig vom Inhalt der begehrten Informationen stets höchstpersönlicher Natur.

Er könne daher auch nicht abhängig vom Inhalt der begehrten Daten in höchstpersönliche und nicht höchstpersönliche Teile untergliedert und entsprechend „zersplittert“ werden.

OLG Dresden: Kein Schadensersatz und Schmerzensgeld für Bagatellverstöße gegen die DSGVO

Entscheidungen zum Anspruch auf Schadensersatz und vor allem auf Schmerzensgeld (also Ersatz immaterieller Schäden) wegen Verstößen gegen die DSGVO sind noch sehr selten. Eine erste Entscheidung hierzu traf das AG Diez (Urteil vom 7.11.2018 – 8 C 130/18). Nun hat das Oberlandesgericht Dresden (OLG) in einem kürzlich erlassenen Beschluss (Beschluss vom 11.6.2019, Az.: 4 U 760/19, abrufbar hier in der Datenbank des OLG Sachsen und hier als PDF)  weitere und umfassendere Ausführung zur Auslegung und Anwendung des Art. 82 DSGVO gemacht.

Sachverhalt

Der Kläger nimmt die Beklagte (Betreiberin eines sozialen Netzwerkes im Internet) wegen einer am 31.3.2018 erfolgten Löschung eines Posts und der Sperrung seines Kontos durch Versetzung in den read-only Modus auf Feststellung der Rechtswidrigkeit, Freischaltung des Beitrags, Auskunftserteilung, materiellen und immateriellen Schadensersatz und Erstattung von außergerichtlichen Rechtsanwaltskosten in Anspruch.

Das Landgericht hat die Beklagte im Wege des Versäumnisurteils zur Wiederfreischaltung des Beitrags verurteilt und festgestellt, dass die Löschung/Sperrung rechtswidrig waren. Die übrigen Ansprüche hat es zurückgewiesen. Hiergegen wendet sich die Berufung, die insbesondere die Auffassung vertritt, der Beitrag sei als zulässige Meinungsäußerung verfassungsrechtlich so weitgehend geschützt, dass dessen Löschung und die zeitweilige Sperrung des Nutzerkontos weitgehende Auskunfts- und Schadensersatzansprüche auslösten.

Entscheidung

Nach Auffassung des OLG scheiden vorliegend die geltend gemachten Ansprüche nach Art. 82 Abs. 1 DSGVO aus.

Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.

Zum einen ist nach Ansicht des OLG bereits zweifelhaft, ob Art. 82 DSGVO auf die am 31.3.2018 erfolgte Löschung und die spätestens am 1.4.2018 beendete Sperrung Anwendung findet. Denn nach Art. 99 Abs. 2 DSGVO gilt die DSGVO erst ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten. Anders als ein Anspruch auf Unterlassung einer Sperrung oder Freischaltung eines Accounts knüpft der hier geltend gemachte Anspruch an einen in der Vergangenheit liegenden und vollständig abgeschlossenen Sachverhalt an, der vor dem Inkrafttreten der DSGVO liegt.

Zum anderen kann eine Entscheidung zu dieser Frage aber dahinstehen, weil nach Auffassung des OLG die Voraussetzungen für einen Anspruch nach Art. 82 DSGVO ohnehin nicht vorliegen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO.

Die Erhebung und Verarbeitung (hierzu zählt das OLG auch die Löschung des Posts und die Sperrung des Kontos) der Daten des Klägers beruhen nämlich auf der vom Kläger vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten. Hier verweist das OLG auf Art. 6 Abs. 1 lit a DSGVO. Diese sei gerade nicht daran geknüpft, dass auch die Beklagte ihren vertraglichen Verpflichtungen nachkommt und umfasst daher auch Zeiträume, in denen der Account gesperrt ist.

Diesbezüglich ist meines Erachtens kritisch anzumerken, ob eine Zustimmung zu den Nutzungsbedingungen (also den AGB) tatsächlich als datenschutzrechtliche Einwilligung in die Verarbeitung personenbezogener Daten angesehen werden. Denn man könnte überlegen, ob eine solche pauschale Einwilligung in einen kompletten Vertragstext wegen Unbestimmtheit nicht unwirksam ist. Nach ErwG 42 DSGVO sollte die betroffene Person, damit sie in Kenntnis der Sachlage einwilligen kann, mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte zudem nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

Ob diese Anforderungen vorliegend erfüllt waren, wird vom OLG leider nicht weiter thematisiert. Eventuell ist das OLG hier eigentlich der Ansicht, dass die Löschung des Posts und die Sperrung des Kontos auch auf der Grundlage der Nutzungsbedingungen und Community Standards (also des Vertrages mit dem Betroffenen) zulässig ist. Dann wäre Rechtsgrundlage wohl eher Art. 6 Abs. 1 lit. b DSGVO.

Zudem stellt das OLG fest, dass dem Kläger durch die Sperrung ein materieller oder immaterieller Schaden im Sinne des Art. 82 DSGVO nicht entstanden ist. Dann trifft das OLG eine relevante Aussage:

Die bloße Sperrung seiner Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar.

Diese Einschätzung kann sich etwa in Fällen von Datenschutzverletzungen (data breach) als praxisrelevant herausstellen. Nach Ansicht des OLG hat die behauptete Hemmung in der Persönlichkeitsentfaltung durch die dreitägige Sperrung allenfalls Bagatellcharakter.

Das OLG verweist dann auf Ansichten, dass eine wirksame Durchsetzung europäischen Datenschutzrechts einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht geltende Erheblichkeitsschwelle erfordere. Jedoch

rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Das OLG positioniert sich hier also so klar, was die Frage des Ersatzes von Schäden bei unzulässigen Datenverarbeitungen betrifft. Ähnlich wie schon vor einiger Zeit geht das Gericht davon aus, dass „Bagatellverstöße“ nicht per se einen solchen Schadensersatz begründen. Die praktisch relevante Frage ist dann natürlich, wann die Erheblichkeitsschwelle zu einem Verstoß überschritten wird, der keine Bagatelle mehr darstellt. Als grobes Bewertungskriterium führt das OLG hierzu aus:

Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Zudem bringt das OLG dann noch einen weiteren, durchaus interessanten, Gedanken an. Zwar gehöre die Kommerzialisierung von Nutzerdaten zum Geschäftsmodell der Beklagten.

Die Sperrung des klägerischen Accounts befördert jedoch diese Kommerzialisierung nicht, sondern behindert sie vielmehr, weil der Kläger in dieser Zeit keine Daten „produziert“, die die Beklagte verwerten könnte.

Zuletzt vertritt das OLG die Ansicht, dass gegen eine Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden auch das erhebliche Missbrauchsrisiko spricht,

das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge.

Deutsche Aufsichtsbehörden veröffentlichen Leitlinien zur Datenübertragung im Rahmen von Asset Deals

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich per Beschluss (pdf) mit Stand vom 24.5.2019 auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Asset Deal zu berücksichtigen sind.

Zu erwähnen ist, dass die Aufsichtsbehörden aus Berlin und Sachsen den Beschluss abgelehnt haben.

Die Frage um die datenschutzrechtliche Zulässigkeit der Übertragung von Kundendaten im Rahmen eines Asset Deal ist nicht neu. Bisher gab es aber noch keine veröffentlichte Position aller deutschen Behörden. Nun liegt ein solcher Mehrheitsbeschluss vor.

Nachfolgend möchte ich nur kurz auf ein paar Punkte des Beschlusses eingehen.

Kundendaten bei laufenden Verträgen

Die DSK stellt hierzu fest:

Hier bedarf der Vertragsübergang zivilrechtlich einer Genehmigung der Kundin oder des Kunden (§ 415 BGB / Schuldübernahme). In dieser zivilrechtlichen Genehmigung wird als Minus auch die datenschutzrechtliche Zustimmung zum Übergang der erforderlichen Daten gesehen. Damit sind die Gegeninteressen der Kundin oder des Kunden gewahrt.

Beim ersten Lesen könnte man meinen, die Behörden verlangen eine datenschutzrechtliche Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO. Dies ist jedoch meines Erachtens nicht der Fall.

Zum einen verwenden die Behörden hier ausdrücklich den Begriff „Zustimmung“ und nicht „Einwilligung“. Auch die DSGVO kennt im Übrigen den Unterschied zwischen „Zustimmung“ und der „Einwilligung“, wie man an den Regelungen in Art. 8 Abs. 1 und 2 DSGVO sehen kann. In dem Beschluss wird daher meines Erachtens bewusst von einer „Zustimmung“ gesprochen und nicht von einer Einwilligung.

Zum anderen sprechen die Behörden davon, dass in diesem Fall die „Gegeninteressen“ der Kunden gewahrt sind. Eine Berücksichtigung der Interessen ist aber im Rahmen einer Einwilligung nach Art. 4 Nr. 11 DSGVO nicht erforderlich. Diese wird wirksam erteilt oder eben nicht. Zuletzt bezieht sich der gesamte Beschluss laut seiner Überschrift auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO.

Ich halte es daher für gut vertretbar, die Aussage der Behörden so zu verstehen, dass Kundendaten innerhalb laufender Verträge datenschutzrechtlich ohne eine zusätzliche Einwilligung nach der DSGVO übertragen werden können. Leider geht der Beschluss nicht darauf ein, ob evtl. auch Art. 6 Abs. 1 lit. b) DSGVO als Erlaubnistatbestand in Betracht kommt, hierbei vor allem in der Variante der Vertragsdurchführung.

Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzter Vertragsbeziehung jünger als 3 Jahre

Wenn es um die Übertragung von Daten zu Bestandskunden geht, zieht die DSK eine, meiner Ansicht nach, gut vertretbare Grenze bei der regelmäßigen Verjährung nach § 195 BGB von 3 Jahren.

Daten von Kunden, die innerhalb dieses Zeitfensters fallen, werden nach Ansicht der Behörden nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO

im Wege der Widerspruchslösung (Opt-out-Modell) mit einer ausreichend bemessenen Widerspruchsfrist (z. B. 6 Wochen) übermittelt. Diese Vorgehensweise ist für die Unternehmen aufwandsschonend und berücksichtigt durch die großzügige Widerspruchsfrist auch die Interessen der Kundinnen und Kunden.

Interessant hieran ist die relativ lang bemessene Frist zum Widerspruch. Nach Ansicht der Behörden immerhin mehr als einen Monat. Natürlich wird deutlich, dass die DSK die 6 Wochen „nur“ als Beispiel nennt. Jedoch sollte man in der Praxis daran denken, eine „ausreichend bemessene“ Frist zu gewähren. Lediglich ein paar Tage dürften etwa zu kurz sein.

Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO

Sollen bei einem Asset Deal Gesundheitsdaten übertragen wurden, geht die DSK offensichtlich von einem harten Einwilligungserfordernis aus.

Solche Daten können nur im Wege der informierten Einwilligung nach Art. 9 Abs. 2 lit. a), Art. 7 DS-GVO übergeleitet werden.

Leider geht die DSK hier nicht auf weitere Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO ein, wie etwa lit. f) „Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ oder auch auf Art. 9 Abs. 2 lit. b) DSGVO, wenn es um Beschäftigtendaten geht. Dies dürfte aber damit zusammenhängen, dass sich der Beschluss auf „Kundendaten“ bezieht.

Deutsche Datenschutzbehörden: Prüfung von Apps mit Facebook-SDK geplant

Am 3. und 4. April 2019 haben die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ihrer 97. Konferenz u.a. auch über eine geplante Prüfung von Apps und durch diese vorgenommene Verarbeitung personenbezogener Daten diskutiert.

Aus dem veröffentlichten Protokoll (pdf) ergibt sich, dass die Konferenz beschlossen hat, den internen Arbeitskreis Medien unter Beteiligung des Arbeitskreises Technik zu bitten, Prüfszenarien für eine entsprechende Kontrolle von Apps zu entwickeln (siehe TOP 27).

Hierbei geht es den Aufsichtsbehörden aber nicht um eine allgemeine Prüfung von Apps, sondern ganz speziell um solche Apps, die das Software-Development Kit (SDK) von Facebook nutzen.

Nach Aussage der Datenschutzbehörde aus Hamburg würden

über das in vielen Apps verwendete Software-Development Kit von Facebook zahlreiche und häufig sensible Nutzerdaten an Facebook übermittelt.

Es scheint, dass die Behörde aus dem Norden in dieser Thematik schon ein wenig Erfahrung sammeln konnte. Zumindest wird in dem Protokoll weiter beschrieben, dass sich nach Ansicht der Hamburger Behörde in einer Vielzahl solcher Apps kein Hinweis auf die Übermittlung personenbezogener Daten an Facebook finde. Hiermit dürfte wohl ein möglicher verstoß gegen die Transparenzvorgaben der Art. 12-14 DSGVO im Raum stehen.

Hamburg gehe schätzungsweise davon aus, dass bei etwa 30 % der betroffenen Apps kein hinreichender datenschutzrechtlicher Hinweis erfolgt und regt an, dies im Rahmen einer koordinierten Prüfung zu untersuchen.

Dieser Anregung der Aufsichtsbehörde steht ein großer Teil der anderen Bundes- und Landesbehörden positiv gegenüber. Laut dem Protokoll erklären sich die Datenschutzbehörden aus Hamburg, Saarland, Niedersachsen, Mecklenburg-Vorpommern, BfDI, LDA Bayern, Berlin, Hessen und ggf. Rheinland-Pfalz bereit,

sich an der Entwicklung gemeinsamer Prüfstrategien und Kontrollen zu beteiligen.

App-Betreiber bzw. durchaus auch Entwickler von Apps sollten daher in näherer Zukunft damit rechnen, dass Datenschutzbehörden etwa einen Fragenkatalog zur Einbindung des Facebook-SDK versenden könnten. Insbesondere sollte natürlich unabhängig von einer solchen Prüfaktion jeder App-Betreiber für eine DSGVO-konforme Datenschutzerklärung sorgen, um den Anforderungen der Art. 12-14 DSGVO zu genügen. Nach Art. 13 Abs. 1 lit. e) DSGVO gehören zu den verpflichtend zu erteilenden Informationen für App-Nutzer auch Angaben über „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Diese Vorgabe dürfte aus Sicht der Aufsichtsbehörden im vorliegenden Fall insbesondere relevant sein.

Hinzuweisen ist aus Beratersicht aber auch darauf, dass Art. 13 Abs. 1 lit. e) DSGVO alternativ entweder die konkrete Angabe von Empfängern (das wäre dann z.B. Facebook) oder auch die Nennung der der Kategorien von Empfängern von personenbezogenen Daten gestattet. Es ist also nicht zwingend vorgesehen, dass stets ein konkretes Unternehmen als Empfänger benannt werden muss. Jedoch sollte man auch wissen, dass durchaus darüber diskutiert wird, wie diese Vorschrift praktisch anzuwenden ist. Zum Teil wird behördlicherseits auch vertreten, dass, im Sinne eines Stufenverhältnisses, per se immer die konkreten Empfänger anzugeben sind und nur, wenn dies nicht möglich ist, die Kategorien genannt werden könnten.

Bundesarbeitsgericht: Sichtung und Auswertung von Dateien auf einem Dienstrechner ist datenschutzrechtlich auch ohne konkreten Verdacht zulässig

Das Bundesarbeitsgericht hat sich wieder einmal mit der Frage der datenschutzrechtlichen Zulässigkeit einer Auswertung von Dienstgeräten und dort gespeicherten Dateien im Rahmen einer Kündigungsschutzklage befasst. Mit Urteil vom 31.01.2019 (2 AZR 426/18) entschied das BAG, dass die Einsichtnahme in auf einem Dienstrechner des Arbeitnehmers gespeicherte und nicht als „privat“ gekennzeichnete Dateien nicht zwingend einen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraussetzt und die in diesem Zuge erfolgte Datenverarbeitung zulässig war.

Relevant dürfte an dieser Entscheidung vor allem sein, dass das BAG weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen auch ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts gegen den Arbeitnehmer nach § 32 BDSG aF als zulässig erachtet. Zudem stellt das BAG für diese Maßnahmen der Sichtung von Dateien und für die datenschutzrechtlich gebotene Verhältnismäßigkeitsprüfung konkrete Anforderungen auf.

Sachverhalt

Die beklagte Arbeitgeberin produziert Kraftfahrzeuge und der als schwerbehinderter Mensch anerkannte Kläger war seit 1996 bei ihr beschäftigt. Die Beklagte stellte ihm einen Pkw nebst Tankkarte auch zur privaten Nutzung zur Verfügung. Der Kraftstofftank des Wagens wies nach Angaben der Beklagten als Herstellerin ein Volumen von 93 Litern auf.

Im Jahr 2013 eröffneten Mitarbeiter der internen Revision dem Kläger, dass er verdächtigt werde, Inhalte eines Audit-Berichts unerlaubt an Dritte weitergegeben zu haben. Deshalb solle sein Dienst-Laptop untersucht werden. Der Kläger gab den Rechner heraus, nannte seine Passwörter und erklärte, kooperieren zu wollen. Kurze Zeit später wandte er sich noch einmal an die interne Revision und teilte mit, es befänden sich einige, von ihm näher bezeichnete private Daten auf dem PC.

Die Beklagte ließ eine Kopie der Festplatte des Rechners computerforensisch begutachten. In einem vom Kläger angelegten Ordner „DW“ befand sich die Datei „Tankbelege.xls“. Sie enthielt eine Aufstellung über die vom Kläger mit der Tankkarte durchgeführten Betankungen. Aus den dort erfassten Kraftstoffmengen, den Tankdaten und den von ihr anschließend recherchierten Betankungsorten ergab sich aus Sicht der Beklagten zumindest der dringende Verdacht, der Kläger habe auf ihre Kosten nicht nur sein Dienstfahrzeug betankt. Es erfolgten mehrere Formen von Kündigungen, die zum Teil für unwirksam erklärt wurden (u.a. mangels Zustimmung des Integrationsamts). Zuletzt stand jedoch eine Kündigung aus Dezember 2016 im Raum.

In dem hier entschiedenen Fall ging es am Ende noch um die Kündigungsschutzklage des Arbeitnehmers. Seiner Ansicht nach dürften die Ergebnisse der Untersuchung seines Dienstrechners nicht verwertet werden. Die Analyse sei „ins Blaue hinein“ erfolgt und er sei – insoweit unstreitig – nicht zu der Auswertung hinzugezogen worden. Die Beklagte habe den Betriebsrat nicht ordnungsgemäß angehört und die gesetzliche Kündigungsfrist von sieben Monaten zum Monatsende nicht gewahrt.

Entscheidung

Das BAG wies die Klage im Ergebnis als unbegründet ab.

Die datenschutzrechtliche Relevanz solcher Entscheidungen knüpft eigentlich immer an die Frage, ob Erkenntnisse aus einer Auswertung (=Datenverarbeitung) von Mitarbeiterdaten für die Kündigung genutzt werden durften.

Der Senat verweist hierzu auf die gefestigte Senatsrechtsprechung, wonach in einem Kündigungsrechtsstreit jedenfalls dann kein Verwertungsverbot zugunsten des Arbeitnehmers eingreift, wenn der Arbeitgeber die betreffende Erkenntnis oder das fragliche Beweismittel im Einklang mit den einschlägigen datenschutzrechtlichen Vorschriften erlangt und weiterverwandt hat

So liegt es im Streitfall. Die Einsichtnahme in die Datei „Tankbelege.xls“ sowie die weitere Verarbeitung und Nutzung der aus ihr gewonnenen Erkenntnisse durch die Beklagte waren nach § 32 Abs. 1 S. 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (im Folgenden BDSG aF) zulässig.

Sodann befasst sich der Senat mit den Tatbestandsmerkmalen des § 32 Abs. 1 S. 1 BDSG aF. Wie auch im neuen § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses u.a. dann verarbeitet werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist.

Hierzu der Senat:

Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung iSd. Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann.

Sofern nach dieser Vorgabe zulässig erhobene Daten den Verdacht einer solchen Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 S. 1 BDSG aF auch verarbeitet und genutzt werden.

Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen.

Zwar stützt das BAG seine Entscheidung natürlich noch auf § 32 BDSG aF. Jedoch weist der Senat auch darauf hin, dass seiner Auffassung nach ein anderes Ergebnis auch nicht bei Anwendung der Vorgaben des jetzt geltenden § 26 BDSG zu erwarten wäre.

Die Verwertung der von der Beklagten in zulässiger Weise ermittelten Inhalte der Datei „Tankbelege.xls“ im vorliegenden Rechtsstreit ist nach Maßgabe der DS-GVO und des BDSG in der seit dem 25. Mai 2018 geltenden Fassung ebenfalls rechtmäßig.

Nachdem der Senat allgemein die Vorgaben für die Erhebung und danach folgende Verwertung der Daten abgesteckt hat, macht er sich an die eigene inhaltliche Prüfung. Entscheidendes Merkmal ist hierbei die „Erforderlichkeit“ der Datenverarbeitung. Nach ständiger Rechtsprechung des BAG bedeutet „Erforderlichkeit“ im Kontext des § 32 BDSG aF (und damit auch im Rahmen des § 26 BDSG) „Verhältnismüßigkeit“.

Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen.

Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht.

Interessant ist hierbei, dass das BAG im Rahmen der erforderlichen Interessenabwägung ausdrücklich darauf Bezug nimmt, dass eine „berechtigte Privatheitserwartung“ des Betroffenen einen beachtlichen Faktor darstellt. Hierzu verweist der Senat auch auf Erwägungsgrund 47 DSGVO („vernünftige Erwartungen“).

Nach Ansicht des BAG kann diese Privatheitserwartung des Arbeitnehmers selbst dann zugunsten seines Nichtverarbeitungsinteresses den Ausschlag geben, wenn das Verarbeitungsinteresse des Arbeitgebers hoch ist.

So dürfen Arbeitnehmer grundsätzlich erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht „ins Blaue hinein“ oder wegen des Verdachts bloß geringfügiger Verstöße eine heimliche Überwachung und ggf. „Verdinglichung“ von ihnen gezeigter Verhaltensweisen erfolgt.

Meines Erachtens sind diese Feststellungen des Senats vor allem mit Blick auf die zukünftige Anwendung des § 26 BDSG von besonderer Relevanz. Denn der Senat äußert sich ganz bewusst zu dem Merkmal der Privatheitserwartung der Arbeitnehmer, welches mit der DSGVO auch im Rahmen des Erlaubnistatbestandes nach Art 6 Abs. 1 f) DSGVO (Interessenabwägung) eine entscheidende Rolle spielt.

Exkurs: dass es in der Literatur Streit darüber gibt, ob Mitarbeiterdaten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden können, ist mir bekannt. Die Auffassung, die einen Rückgriff neben § 26 BDSG ablehnt, ist meines Erachtens aber europarechtlich nicht haltbar. Sieht auch das BAG so, vgl. z. B. Urt. v. 23.8.2018 – 2 AZR 133/18)

Besonders relevant sind danach die Aussagen des Senats zur Einordnung der Privatheitsinteressen des Arbeitnehmers im konkreten Fall. Danach können weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts – zumal einer Straftat oder anderen schweren Pflichtverletzung – erlaubt sein. Das gilt vor allem für nach abstrakten Kriterien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen.

Diese Voraussetzungen können nach Ansicht des Senats auch erfüllt sein,

wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat, und er – der Arbeitgeber – dazu auf einem Dienstrechner gespeicherte Dateien einsieht, die nicht ausdrücklich als „privat“ gekennzeichnet oder doch offenkundig „privater“ Natur sind.

Voraussetzung ist jedoch Transparenz gegenüber dem Abreitnehmer. Die Maßnahme muss offen erfolgen und der Arbeitnehmer muss im Vorfeld darauf hingewiesen worden sein, welche legitimen Gründe eine Einsichtnahme in – vermeintlich -dienstliche Ordner und Dateien erfordern können, und dass er Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass ausschließen kann.

Der Arbeitnehmer muss dann billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er „private“ Daten in einen gesicherten Bereich verbringen.

Vorliegend geht der Senat davon aus, dass die Beklagte aus einem nicht willkürlichen Anlass ein legitimes Ziel verfolgt. Sie wollte letztlich prüfen, ob der Kläger vorsätzlich seine arbeitsvertraglichen Pflichten verletzt hat. Interessant ist auch die Ansicht zur Frage, ob nicht ein milderes Mittel vorhanden war. Hier könnte man etwa daran denken, eine Einsichtnahme in die Datei unter Heranziehung eines Mitglieds des Betriebsrats oder des Datenschutzbeauftragten als milderes Mittel zu bevorzugen. Dies lehnt der Senat jedoch ab.

Dadurch hätte nicht die Möglichkeit bestanden, die Datenerhebung ganz abzuwenden oder doch auf die Art und Weise ihrer Durchführung „abschwächenden“ Einfluss zu nehmen.

Zuletzt ist natürlich noch relevant, dass die Sichtung des Dienstrechners eigentlich ohne konkreten Anfangsverdacht erfolgte. Zudem wurde auch nicht festgestellt, ob die Arbeitgeberin im Vorfeld des Verlangens, den Dienstrechner herauszugeben, gegenüber dem Kläger die Gründe (allgemein) bezeichnet hatte, die eine Einsichtnahme in dienstliche Ordner und Dateien erfordern können und ob sie ihn auf die Möglichkeit aufmerksam gemacht hat, Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass auszuschließen.

Dennoch geht der Senat von der datenschutzrechtlichen Zulässigkeit der Verwendung der Daten aus der Excelliste aus.

stellte sich die von der Beklagten durchgeführte Maßnahme, was die hier allein interessierende Einsichtnahme in nicht ausdrücklich als „privat“ gekennzeichnete oder doch offenkundig als „privat“ zu erkennende Dateien anbelangt, nicht als so eingriffsintensiv dar, dass sich das Nichtverarbeitungsinteresse des Klägers in einer Abwägung gegen das Verarbeitungsinteresse der Beklagten durchsetzen könnte. Die Untersuchung wurde offen durchgeführt. Ihre mögliche Reichweite war klar. Der Kläger wusste, dass die gesamte Festplatte seines Dienst-Laptops einer computerforensischen Analyse unterzogen werden sollte.

Der Senat verdeutlich mit dem Urteil, dass interne Maßnahmen zur Kontrolle der Pflichteneinhaltung im Arbeitsverhältnis datenschutzrechtlich nicht unmöglich, ja vielmehr praktikabel umsetzbar sind. Wichtig ist stets, die Verhältnismäßigkeit der Maßnahme zu beachten. Ein ganz entscheidender Faktor hierbei ist, wie stest im Datenschutzrecht, die Transparenz gegenüber den Betroffenen.

Datenschutz im Automobilbereich: Datenschutzbehörde Baden-Württemberg zu den datenschutzrechtlichen Anforderungen der Produktbeobachtungspflicht durch Hersteller

Der Landesbeauftragte für den Datenschutz Baden-Württemberg berichtet in seinem aktuellen Tätigkeitsbericht (S. 94 ff., pdf) unter anderem über die Ergebnisse einer Prüfung der Einhaltung datenschutzrechtlicher Voraussetzungen durch Autowerkstätten.

In diesem Zusammenhang befasst sich der Landesdatenschutzbeauftragte auch mit den datenschutzrechtlichen Anforderungen, die bei der einem Hersteller obliegenden Pflicht zur Produktüberwachung/Produktbeobachtung von Fahrzeugen zu beachten sind.

Die Ansicht der Aufsichtsbehörde:

Die datenschutzrechtliche Grundlage für die Datenverarbeitung der erforderlichen Fahrzeugdaten für die Produktüberwachung/Produktbeobachtung und für eventuelle Rückrufaktionen ist Artikel 6 Absatz 1 Buchstabe c DS-GVO.

Nach Auffassung der Aufsichtsbehörde liegt hier die Erfüllung einer rechtlichen „Verpflichtung des Automobilherstellers aus dem Produkthaftungsgesetz“ vor.

Das deutsche Produkthaftungsgesetz basiert auf den Regelungen der Richtlinie 85/374/EWG. Im Produkthaftungsgesetz findet sich jedoch keine ausdrückliche Regelung oder Pflicht zur Beobachtung des Produktes im Markt. Die Produkthaftung ist verschuldensunabhängig ausgestaltet.

Die Produktbeobachtungspflicht wird in Deutschland durch die Rechtsprechung schon seit langem als eine Verkehrssicherungspflicht des Herstellers anerkannt, die jedoch nicht an das Produkthaftungsgesetz anknüpft, sondern Teil der sog. Produzentenhaftung ist. Diese deliktsrechtliche Haftung gründet sich auf dem Prinzip, dass derjenige, der eine Gefahrenquelle eröffnet oder beherrscht, für diese verantwortlich ist. Auch nach Inverkehrgabe des Produkts ist der Hersteller verpflichtet, die Bewährung seines Produkts in der Praxis zu verfolgen.

Die Datenschutzbehörde scheint diese, aus den allgemeinen Haftungsregeln des Zivilrechts entwickelte, Pflicht als Anknüpfungspunkt für die Zulässigkeit der für die Beobachtung des Produkts erforderliche Datenverarbeitung anzusehen.

Meiner Ansicht nach ist die Auffassung im Ergebnis richtig. Auch wenn die Rechtsgrundlage der Datenverarbeitung möglicherweise eher die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist (oder zusätzlich als Rechtsgrundlage herangezogen werden kann). Hersteller sind zivilrechtlich dazu verpflichtet, ihre Produkte im Markt zu beobachten. Hierfür müssen und dürfen sie auch Daten verarbeiten. Mit meinem Kollegen und Partner Philipp Reusch habe ich genau zu diesem Thema „Internet der Dinge: Datenschutzrechtliche Anforderungen bei der Produktbeobachtung“ vor 2 Jahren einen Fachbeitrag in der Zeitschrift BetriebsBerater (15/16, 2017, 841) veröffentlicht.

Daneben müssen Hersteller natürlich beachten, dass auch die übrigen Pflichten der DSGVO zu beachten sind, wenn personenbezogene Daten verarbeitet werden. Insbesondere gehören hierzu die Informationspflichten nach Art. 13 bzw. 14 DSGVO.