Wie weit reicht das Auskunftsrecht der DSGVO? Landgericht Köln: Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung.

Über die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO herrscht in der Praxis weiterhin Unsicherheit. Dies insbesondere auch deshalb, weil der Wortlaut der entscheidenden Norm, Art. 15 Abs. 1 DSGVO, bestimmt, dass die betroffene Person „ein Recht auf Auskunft über diese personenbezogenen Daten“ hat. Mit „diesen personenbezogenen Daten“ referenziert das Gesetz auf den ersten Halbsatz des Art. 15 Abs. 1 DSGVO, in dem es heißt: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden“. Das Auskunftsrecht umfasst im Grunde also zunächst eine natürliche Person betreffende personenbezogene Daten. Das ist sehr weit. Jedoch sieht aber auch Art. 15 Abs. 4 DSGVO Ausnahmen von dem Recht auf Auskunft vor.

Sind von dem Recht auf Auskunft oder Erhalt einer Kopie (Art. 15 Abs. 3 DSGVO) also z.B. auch sämtliche E-Mails oder interne Vermerke umfasst, die personenbezogene Daten des Betroffenen enthalten? In einer jüngeren Entscheidung hatte sich auch das LG Köln mit der Frage zu befassen, wie weit der Auskunftsanspruch reicht (Teilurteil v. 18.03.201926 O 25/18).

Sachverhalt

In dem Fall klagte eine Person, die bei der Beklagten, einem Versicherungsunternehmen, zwei Lebensversicherungsverträge unterhält. Unter anderem ging es auch um einen geltend gemachten Auskunftsanspruch gegen die Versicherung (noch nach § 34 BDSG alter Fassung). Die Klägerin war bis zuletzt der Ansicht, dass ihr keine vollständige Datenauskunft erteilt wurde. Während des Prozesses hat das Unternehmen wiederholt entsprechende Auskünfte erteilt.

Entscheidung

Nach Ansicht des LG Köln steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen nach Art. 15 Abs. 1 DSGVO zu. Die Information müsse u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten.

Sodann geht das Gericht auf die entscheidende Frage ein, was den konkret „personenbezogene Daten“ sind, die vom Anspruch auf Auskunft erfasst werden. Hierzu verweist das Gericht auf die Definition in Art. 4 Nr. 1 DSGVO. Zudem erfordert der Auskunftsanspruch, dass diese Daten „verarbeitet“ werden. Eine „Verarbeitung von Daten“ stellt nach Art. 4 Nr. 2 DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar.

Hieraus folgert das Gericht:

Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw.

Das LG macht hier jedoch nicht halt. Nach Ansicht des LG Köln

stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar.

Diese Auslegung der DSGVO wird man meines Erachtens jedoch auch angreifen können. Das Gericht verweist wohl u.a. auf ErwG 63 DSGVO. In diesem heißt es zum Auskunftsrecht:

Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Anders als das LG andeutet, wird in ErwG 63 DSGVO gerade nicht Bezug auf Unterlagen an sich genommen, sondern vielmehr auf Daten in diesen Unterlagen: „Daten in ihren Patientenakten“ (Hervorhebung durch mich). ErwG 63 DSGVO referenziert beispielhaft auf Diagnosen, Untersuchungsergebnisse oder Befunde. Jedoch gerade nicht auf die Dokumente, in denen diese enthalten sind.

In seiner weiteren Begründung schränkt das LG dann sogleich diesen weiten Anwendungsbereich des Auskunftsrechts auch wieder ein.

Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann … . Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.

Meines Erachtens widerspricht sich das LG hier in seiner Begründung auch selbst. Zunächst geht es davon aus, dass Gutachten herauszugeben sind, geht jedoch danach davon aus, dass „rechtliche Bewertungen oder Analysen“ nicht umfasst sind. Interessant ist hier auch die Ansicht des LG, dass das Auskunftsrecht solche Dokumente nicht umfasst, „die dem Betroffenen bereits bekannt sind“. Diese Auffassung kann insbesondere im Rahmen von Auskunftsersuchen in Arbeitsverhältnissen relevant werden, wenn etwa ein Anspruch auf Herausgabe der E-Mails geltend gemacht würde. Denn man kann, mit Blick auf die Entscheidung des LG, dann sicher vertreten, dass diese Vorgänge bzw. Dokumente der betroffenen Person bereist bekannt sind.

Das Gericht begründet seine Entscheidung weiter:

Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DSGVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.

Hier macht das LG interessante Ausführungen dazu, was unter der „Kopie“ nach Art. 15 Abs. 3 DSGVO zu verstehen ist. Es geht hierbei gerade nicht um eine Kopie von Unterlagen und Dokumenten, die personenbezogene Daten enthalten, sondern um eine Kopie der personenbezogenen Daten selbst. Diese Kopie kann aber meines Erachtens auch in einer von den Dokumenten unabhängigen Form übergeben werden.

Vorliegend hatte das Unternehmen verschiedene Auskünfte und Informationen erteilt und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Da weiterer substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, nicht erfolgte, lehnte das LG hier den Antrag auf Auskunftserteilung ab.

Dies wird sicherlich nicht die letzte Entscheidung zum Recht auf Auskunft bzw. Erhalt einer Kopie nach Art. 15 DSGVO sein. Datenverarbeitende Stellen sollten sich einerseits bewusst sein, dass dieses Recht sehr umfassend personenbezogene Daten betrifft, andererseits aber auch nicht dazu dient, Belege von jeglichen Unterlagen und Dokumenten zu erhalten, die irgendwo den Namen einer Person aufführen.

OVG NRW: Dienst- und Lebensalter von Richtern unterfällt dem Datenschutzrecht

Im Rahmen der Prüfung eines Antrags auf Gewährung von Prozesskostenhilfe für einen Informationsanspruch nach § 4 Abs. 1 IFG NRW hat sich das OVG Nordrhein-Westfalen mit dem Begriff des „personenbezogenen Datums“ befasst (Beschl. v. 6.2.2019 – 15 E 1026/18).

Konkret ging es um einen geltend gemachten Informationsanspruch aus § 4 Abs. 1 IFG NRW hinsichtlich der Offenlegung des Dienst- und Lebensalters der Mitglieder des 10. Familiensenats eines Oberlandesgerichts (wohl Köln). Nach Ansicht des OVG liegt hier der Ausschlussgrund gemäß § 9 Abs. 1 IFG NRW vor.

Nach § 9 Abs. 1 IFG NRW ist der Antrag auf Informationszugang abzulehnen, soweit durch das Bekanntwerden der Information personenbezogene Daten offenbart werden, es sei denn, ein Ausnahmetatbestand nach den § 9 Abs. 1 lit. a) bis e) IFG NRW liegt vor.

Das OVH verweist darauf, dass der Begriff der personenbezogenen Daten in § 9 Abs. 1 Hs. 1 IFG NRW dem im Datenschutzrecht verwendeten Begriff in Art. 4 Nr. 1 DSGVO zu entnehmen ist. Danach sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Erfasst sind alle Informationen, die über die Bezugsperson etwas aussagen, unabhängig davon, welchen Lebensbereich sie betreffen. Der Terminus der personenbezogenen Daten ist damit außerordentlich weit zu verstehen.

Das OVG interpretiert den Begriff also sehr weit, was auf einer Linie mit der Rechtsprechung des EuGH oder auch den Ansichten der Datenschutzbehörden liegt. Danach stellt das OVG klar, dass der Schutz personenbezogener Daten nicht nur im privaten Bereich anwendbar ist.

Er gilt auch für Mitarbeiter von Behörden und Gerichten, die in Wahrnehmung öffentlich-rechtlicher Aufgaben und somit in ihrer Eigenschaft als Amtswalter tätig werden. Auch insoweit bleiben sie Träger von Grundrechten wie demjenigen auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.

Nach Auffassung des OVG stellen die begehrten Informationen, die Verhinderungszeiten ebenso wie im Handbuch der Justiz womöglich nicht veröffentlichte Dienst- und Lebensalter von Mitgliedern des 10. Familiensenats, personenbezogene Daten dar.

Das Dienst- und Lebensalter ist eine Information, die sich naturgemäß individuell auf eine bestimmte Person bezieht. Entsprechendes gilt für die streitbefangenen Verhinderungszeiten. Diese können … etwa auf Urlaub oder Krankheit beruhen und geben damit Aufschluss über persönliche Verhältnisse der betreffenden Person.

Die Aussagen des OVG beziehen sich hier zwar auf einen konkreten Sachverhalt, sind meines Erachtens aber durchaus auf andere Bereiche, zum Beispiel Mitarbeiterdaten, übertragbar. Auch dort können Informationen zu Verhinderungszeiten verarbeitet werden. Des Weiteren stellt das OVG klar, dass der Personenbezug nicht dadurch entfällt, dass die Frage nach den Verhinderungszeiten negativ beantworten werden würde, wenn keine Verhinderung vorgelegen hat. Denn auch diese Information würde sich auf ein identifiziertes oder identifizierbares Mitglied des 10. Familiensenats beziehen und über dieses etwas aussagen.

Behörde verweigert gerichtliche Aktenvorlage mit Verweis auf die DSGVO – und scheitert.

Der VGH Baden-Württemberg hat im Februar 2019 eine interessante Entscheidung, u.a. zur Frage der Anwendbarkeit der DSGVO im justiziellen Bereich, getroffen (Beschl. v. 15.02.2019 – 1 S 188/19). Erforderlich war der Beschluss, da sich eine Behörde weigerte, einem Verwaltungsgericht Akten zur Entscheidungsfindung vorzulegen. Der angebliche Grund: die DSGVO.

Nach ErwG 20 DSGVO gilt die DSGVO „unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden“. Auch Gerichte müssen sich daher natürlich an datenschutzrechtliche Vorgaben halten. Doch in seinem Beschluss macht der VGH nun deutlich, dass die Einhaltung der DSGVO nicht gleichzeitig im Konflikt mit der richterlichen Tätigkeit steht, wie dies von der Behörde im konkreten Fall wohl angeführt wurde.

Sachverhalt

Der VGH hat über eine Beschwerde gegen einen sog. Hängebeschluss im einstweiligen Rechtsschutz zentschieden. Kleiner Exkurs ins Verwaltungsrecht:

Ein Hängebeschluss ist eine Zwischenverfügung des Gerichts in einem Eilrechtsverfahren, um den Ist-Status für den Antragsteller zu sichern, bis das Gericht final entscheidet. Es handelt sich aber nicht um eine instanzabschließende Sachentscheidung. Ob ein solcher Hängebeschluss überhaupt angegriffen werden kann und wenn ja, mit welchem Rechtsmittel, ist umstritten. Das sieht man zB sehr schön daran, dass der hier entscheidende 1. Senat am VGH die Beschwerde gegen den Hängebeschluss zulässt, der 11. Senat des VGH dies aber jüngst noch abgelehnt hat (Beschl. v. 15.3.2018 – 11 S 2094/17). Ein solcher Hängebeschluss des VG Sigmaringen war hier der Beschwerdegegenstand.

Vorliegend hat Verwaltungsgericht der Behörde als Antragsgegnerin mit dem angefochtenen Beschluss im Wege eines Hängebeschlusses bis zu einer Entscheidung des Verwaltungsgerichts über den Eilantrag untersagt, Bauplätze in einem Baugebiet zu vergeben und notarielle Kaufverträge abzuschließen. Die Behörde

hatte sich trotz mehrfacher Aufforderungen des Verwaltungsgerichts, die vollständigen Akten im Original vorzulegen, wiederholt unter Verstoß gegen ihre Pflichten aus § 99 Abs. 1 S. 1 VwGO geweigert, Verwaltungsvorgänge zu dem Auswahlverfahren und zu den zugrundeliegenden Sitzungen des Gemeinderats vorzulegen. Durch dieses offensichtlich rechtswidrige Verhalten der Antragsgegnerin war das Verwaltungsgericht nicht in der Lage, die Erfolgsaussichten des Eilrechtsantrags zu prüfen.

Entscheidung

Der VGH hat unmissverständlich klar gemacht, dass es nicht der Behörde obliegt, selbst zu entscheiden, welche Dokumente und Akten für das Verfahren eventuell relevant sein mögen.

Die Entscheidung darüber, welche Urkunden und Akten vorzulegen sind, steht im Rahmen des § 86 Abs. 1 VwGO im Ermessen des Gerichts; ihm allein und nicht der Behörde kommt nach § 86 Abs. 1 VwGO auch die Beurteilung zu, welche Urkunden und Akten für seine Entscheidung erheblich sein können.

Ursprünglich hatte die Behörde gegen das Aktenvorlageverlangen des Verwaltungsgerichts Bedenken aus dem „Datenschutzrecht“ vorgetragen. Der VGH befindet hierzu, dass solche Bedenken nicht bestehen.

Einem Herausgabeverlangen nach § 99 Abs. 1 S. 1 VwGO kann insbesondere nicht „die DSGVO“ (Schriftsatz vom 14.01.2019, S. 14) entgegengehalten werden.

Der VGH verweist darauf, dass die DSGVO grundsätzlich auch für die Tätigkeiten der Gerichte gelte. Sie steht aber einer Datenerhebung durch das Verwaltungsgericht in der Gestalt einer Verfügung zur Aktenvorlage nicht entgegen.

Danach befasst sich der VGH mit den verschiedenen in Betracht kommenden Rechtsgrundlagen. Hierzu verweist er allgemein zunächst auf die Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Nach Ansicht des VGH sind für die Tätigkeit der Gerichte sowohl der Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) als auch Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde) einschlägig.

Die Voraussetzungen beider Tatbestände sind erfüllt, wenn die Gerichte Daten bei den Beteiligten eines gerichtlichen Verfahrens zum Zweck der Rechtspflege erheben und die Daten zu diesem Zweck verwenden.

Der VGH verweist hierzu insbesondere auf die gesetzliche Pflicht der Verwaltungsgerichte, den Sachverhalt von Amts wegen zu ermitteln und dabei die Beteiligten heranzuziehen (§ 86 Abs. 1 S. 1 VwGO). Zudem widmet sich der VGH der Frage, ob auch die Behörde befugt ist, personenbezogene Daten an das Gericht zu übermitteln. Diese Datenübermittlung ist zur Erfüllung einer rechtlichen Verpflichtung, nämlich jener aus § 99 Abs. 1 S. 1 VwGO, erforderlich und kann daher auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Auch geht der VGH auf die Frage ein, ob § 99 VwGO als nationale Vorschrift mit den Vorgaben der DSGVO im Einklang steht. Hierbei befasst sich das Gericht jedoch nicht mit den Vorgaben des Art. 6 Abs. 2 und 3 DSGVO und den dort aufgestellten Anforderungen an Rechtsgrundlagen im nationalstaatlichen Recht. Vielmehr geht der VGH anscheinend davon aus, dass § 99 VwGO eine die Rechte der Betroffenen beschränkende Vorschrift im Sinne des Art. 23 DSGVO darstellt. Zumindest geht das Gericht nur hierauf ein.

Gemäß Art. 23 Abs. 1 Buchst. f DS-GVO können insbesondere zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt, unter anderem die Pflichten und Rechte gemäß den Art. 12 bis 22 DS-GVO beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt.

Und nach Ansicht des VGH enthalten solche Regelungen zum Schutz von Gerichtsverfahren und zur Datenverarbeitung durch die Gerichte insbesondere die nationalen Vorschriften über das Verfahrensrecht der Gerichte betreffend die Datenerhebung zum Zweck der Rechtsprechung.

Datenschutzbehörden zum Einsatz von Drohnen: in der Regel nicht datenschutzkonform möglich

Auf der Webseite der Datenschutzbehörde aus Baden-Württemberg ist ein Positionspapier der Datenschutzkonferenz (DSK) zur „Nutzung von Kameradrohnen durch nicht-öffentliche Stellen“ (Stand: 16.1.2019) abrufbar (pdf).

In dem Positionspapier befassen sich die deutschen Behörden recht knapp mit den datenschutzrechtlichen Anforderungen an den Einsatz von Drohnen durch Private. Das Ergebnis:

Insbesondere in urbanen Umgebungen ist das Betreiben von Drohnen mit Film- und Videotechnik im Einklang mit den geltenden Gesetzen in der Regel nicht möglich.

Das ist natürlich eine ziemlich vernichtende Feststellung, wenn man bedenkt, wie oft private Nutzer oder Unternehmen bereits heutzutage Drohnen einsetzen. Zudem denke man auch an wirtschaftlich begründete Einsatzszenarien, wie die Vermessung von Feldern oder anderen Flächen oder auch Luftaufnahmen mit wissenschaftlichem Hintergrund. Gerade Unternehmen mit einem Entwicklungsschwerpunkt, etwa in der Maschinenindustrie, im Automobilbereich, in der Luftfahrt oder auch im Agrarsektor setzen Drohnen ein, um neue Technologien zu entwickeln oder zu testen.

Die DSK kommt in dem Papier zu dem Schluss, dass ein datenschutzkonformer Einsatz „in der Regel“ nicht möglich sei. Leider wird in dem Papier kein Hinweis darauf gegeben, welche Maßnahmen aus Sicht der Behörden erforderlich wären, um einen datenschutzgerechten Einsatz von Drohnen zu ermöglichen.

Anwendbarkeit der DSGVO

Richtig verweisen die Behörden darauf, dass, wenn Drohnen mit Foto- oder Videotechnik zum Einsatz kommen und natürlich Personen aufgenommen werden, eine Verarbeitung personenbezogener Daten vorliegt und damit die Vorgaben der DSGVO zu beachten sind.

Bereits hinsichtlich des Anwendungsbereichs der DSGVO ist jedoch darauf hinzuweisen, dass tatsächlich auch „personenbezogene Daten“ verarbeitet werden müssen. Also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Aufnahmen der Drohne müssen also mindestens den Rückschluss auf eine natürliche Person ermöglichen. Kann dieser nicht erfolgen, z.B. weil Personen nicht erkennbar oder aufgrund äußerer Merkmale nicht identifizierbar sind, liegen auch keine personenbezogenen Daten vor und die DSGVO wäre nicht anwendbar. Dieser Hinweis wird leider in dem Positionspapier nicht erteilt.

Erlaubnistatbestand

Hinsichtlich der für die Verarbeitung erforderlichen Rechtsgrundlage erwähnt das Papier nur die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Aus Sicht der Behörden spielt bei dieser Abwägung der Einsatzzweck der Drohne eine entscheidende Rolle. Und auch hier tendiert die DSK leider per se zu einer sehr restriktiven Auslegung:

Die genannten Voraussetzungen sind in der Mehrzahl der Fälle wegen des regelmäßigen Überwiegens von Interessen Betroffener nicht erfüllt. Dies ist insbesondere dann der Fall, wenn die Aufnahmen für eine Veröffentlichung im Internet erstellt werden.

Warum regelmäßig die Interessen der Betroffenen überwiegen sollen, erwähnen die Behörden nicht. Aus der DSGVO ergibt sich dieses Überwiegen nicht. Es ist vielmehr eine einzelfall- oder zumindest fallspezifische Interessenabwägung durchzuführen, die in der Praxis von sehr vielen Faktoren beeinflusst sein kann. Ein grundsätzliches Überwiegen von schutzwürdigen Interessen anzunehmen, erscheint daher leider zu pauschal.

Informationspflichten

Zudem gehen die Behörden auch auf die Informationspflichten nach den Art. 12 ff. DSGVO ein. Auch hier wird seitens der DSK aber sehr pauschal angenommen, dass die gesetzlichen Vorgaben nicht eingehalten werden können:

Zudem können die für die Verarbeitung personenbezogener Daten erforderlichen Informationspflichten gem. Art. 12 ff. DS-GVO in der Regel nicht erfüllt werden.

Unverständlich an dieser Auffassung ist, dass mehrere Datenschutzbehörden in der Vergangenheit zur ähnlichen Thematik des Fotografierens von Menschen(ansammlungen) aus größerer Entfernung ausdrücklich die Meinung vertreten haben, dass es sich um eine heimliche Datenerhebung handele und damit die besonderen Ausnahmen von der Informationspflicht nach Art. 14 Abs. 5 DSGVO eingreifen würden. So etwa der LfDI Baden-Württemberg (Fotografieren und Datenschutz –Wir sind im Bild!) oder der Landesbeauftragte aus Hamburg (Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus). Warum die DSK nun in dem Positionspapier diese Möglichkeit einer Ausnahme nach Art. 14 DSGVO nicht einmal anspricht oder diskutiert, erschließt sich mir nicht. Für Unternehmen, die Drohnen einsetzen, würden diese Hinweise doch gerade einen möglichen Lösungsansatz zum datenschutzkonformen Einsatz von Drohnen bieten. Daneben ist zu beachten, dass Informationspflichten, je nach den Umständen, natürlich auch beim Drohneneinsatz erfüllt werden können. Es können etwa Schilder aufgestellt werden, Personen direkt angesprochen und auf ergänzende Informationen im Internet hingewiesen werden; es könnten auch Visitenkarten mit einem Link zur Datenschutzerklärung verteilt werden. Auch bei der Erfüllung gesetzlicher Informationspflichten kommt es stark auf die Umstände des Einzelfalls an.

Tracking und DSGVO – Datenschutzbehörden: Pseudonymisierung soll nicht zugunsten von Unternehmen berücksichtigt werden

Die deutsche Datenschutzkonferenz (DSK) hat letzte Woche ihre lang erwartet Orientierungshilfe (pdf) zum Tracking und vor allem zu dem Verhältnis von TMG und DSGVO veröffentlicht. Auf das letztgenannte Thema möchte ich hier nicht näher eingehen.

Hinweisen möchte ich vielmehr auf eine meines Erachtens unhaltbare Position der DSK im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO. Dieser Erlaubnistatbestand bildet aus Sicht der DSK die wohl meist einschlägige Rechtsgrundlage, wenn es um ein Tracking von Personen im Internet über Webseiten oder Nutzern in Apps geht.

Die DSK stellt die drei erforderlichen Prüfungsschritte der Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO dar.

  1. Stufe: Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten
  2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen
  3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

Im Rahmen der dritten Stufe weist die DSK richtigerweise darauf hin, dass die ermittelten, sich gegenüberstehenden Interessen zu gewichten sin. Hierfür kann keine allgemeingültige Regel aufgestellt werden. Soweit kein Problem.

Doch dann stellt die DSK recht apodiktisch fest:

Zu beachten ist, dass im Rahmen der Abwägung ohnehin bestehende Pflichten aus der DSGVO, z.B.  Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung, nicht zugunsten des Verantwortlichen berücksichtigt werden können. 

Diese pauschale Ablehnung einer positiven Berücksichtigung von Pseudonymisierungsmaßnahmen ist meines Erachtens kontraproduktiv für eine wirksame Umsetzung der DSGVO in der Praxis und vor allem rechtlich auch so nicht haltbar. Im Grunde gibt die DSK hier zu verstehen, dass Unternehmen personenbezogene Daten zwingend pseudonymisieren müssten, da dies so in der DSGVO vorgegeben sei und diese, datenschutzfreundliche Maßnahme, dem Unternehmen nicht zum Vorteil gereichen darf. Ich einer solchen Situation verstehe ich jede datenverarbeitende Stelle, die sich fragt, warum man überhaupt pseudonymisieren sollte? Denn der Vorgang der Pseudonymisierung kann, je nach vorliegenden Datenarten und dem Umfang, recht aufwendig sein. Hierzu muss man nur einmal einen Blick in die Legaldefinition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO werfen. Die Anforderungen sind recht hoch.

Daneben ist diese Ansicht meines Erachtens aber auch rechtlich nicht vertretbar. Die DSGVO kennt nämlich keine Pflicht zur Pseudonymisierung, ebenso wenig wie eine Pflicht zur Verschlüsselung. Beide Maßnahmen sind im hier relevanten Art. 32 Abs. 1 DSGVO (Sicherheit der personenbezogenen Daten) als Beispiele umzusetzenden Maßnahmen genannt. Art. 32 Abs. 1 lit. a) DSGVO gibt vor: „Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten“.

Die Formulierung „unter anderem Folgendes ein“ in der deutschen Version der DSGVO ist ein Übersetzungsfehler. Dies ergibt sich aus dem Vergleich mit der englischen Sprachversion. Dort wird die Aufzählung mit „including inter alia as appropriate“ eingeleitet. Anders als die deutsche Fassung, verweist der englische Text ausdrücklich auf die Erforderlichkeit bzw. Angemessenheit einer jeden Maßnahme. Die Übersetzung von „as appropriate“ wurde in der deutschen Sprachfassung schlicht vergessen. Zudem ist zu beachten, dass Art. 32 Abs. 1 DSGVO jegliche Sicherheitsmaßnahmen von verschiedensten Faktoren abhängig macht, wie etwa dem Stand der Technik und auch der Implementierungskosten.

Anders, als von der DSK dargestellt, handelt es sich bei der Maßnahme „Pseudonymisierung“ nicht um eine ohnehin bestehende Pflicht nach der DSGVO. Zwar verweist die DSK im Folgesatz darauf, dass durch „zusätzliche Schutzmaßmaßnahmen die Beeinträchtigungen durch die Verarbeitung derart reduziert werden“ können, dass die Interessenabwägung zugunsten des Verantwortlichen ausfallen kann. Es stellt sich hier aber die Frage, was diese zusätzlichen Schutzmaßnahmen sein sollen, wenn etwa Pseudonymisieurng aus Sicht der DSK bereits eine gesetzlich zwingend vorgegebene Maßnahme ist.

Insgesamt ist es aus meiner Sicht daher nicht begründbar, wenn die DSK mit der Aussage kommuniziert, dass von Unternehmen umgesetzte Schutzmaßnahmen in der Interessenabwägung keine Berücksichtugung finden könnten.

Niedersachsen schlägt Anpassungen der DSGVO und des BDSG im Bundesrat vor

Das Land Niedersachsen hat am 3.4.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19, pdf). Hintergrund des Antrages ist die Forderung, dass „über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden sollten“. Die niedersächsische Landesregierung sieht, sicherlich nicht unbegründet, in der Praxis das Problem, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Der Entwurf des Antrages beruht also auf der Erkenntnis, dass die Regelungen der DSGVO, die ohne Zweifel in großen Teilen im Sinne eines „one size fits all“-Ansatzes, gerade für kleinere Einheiten einigen Umseztungs- und Anpassungsbedarf mit sich bringen.

Zu der vollen Wahrheit, die in dem Entwurf nicht erwähnt wird, gehört aber auch die Tatsache, dass dieser hohe Umsetzungs- und Anpassungsaufwand für kleinere Einheiten schlicht darin begründet liegt, dass sie vor dem 25.5.2018 das schon damals geltende Datenschutzrecht nicht (voll) eingehalten haben. Es macht in der Praxis natürlich einen Unterschied, ob man als Unternehmen von null startet oder aber schon auf vorhandene Datenschutzdokumentation und -prozesse aufbauen kann.

Vorgeschlagene Änderungen

Wie vor einigen Monaten, auch im Rahmen der Diskussionen zum Entwurf des 2. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), schlägt Niedersachsen vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle, oberhalb von 10 Personen, wird nicht gemacht. Diese Forderung ist nicht neu. Jedoch sollte dem Gesetzgeber klar sein, dass viele kleinere Unternehmen denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Das ist natürlich ein Trugschluss. Sollte die Schwelle angehoben werden, besteht sicherlich die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht gelten.

Eventuell unterliegt auch die Landesregierung Niedersachsen selbst diesem Trugschluss. In einem weiteren Antrag wird formuliert: „Der Bundesrat fordert die Bundesregierung daher auf, zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG aufgenommen werden“. Die Landesregierung versteift sich hier auf ein Mini-Thema der DSGVO, die Benennung des Datenschutzbeauftragten. Jedoch bedeutet die fehlende Pflicht zur Benennung natürlich nicht, dass die übrigen Anforderungen der DGSVO nicht zu beachten wären (Bsp: Datenschutzinformationen erstellen, Verzeichnis der Verarbeitungstätigkeiten führen, Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO, Abschluss von Verträgen zur Auftragsverarbeitung).

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“. Im Grunde soll also eine Anpassung der DSGVO auf europäischer Ebene in diesem Punkt angestoßen werden. Warum die Frist zu kurz (also unangemessen) sein könnte, begründet die Landesregierung leider nicht.

Auch verlangt die Landesregierung, gesetzlich auszuschließen, dass Datenschutzverstöße durch Wettbewerber abgemahnt werden können. Auch dieses Thema ist nicht neu und wird schon länger diskutiert. „Daher sollte in diesem Zusammenhang eine ausdrückliche Ausschlussregelung getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung“.

Was ist eine „Verarbeitungstätigkeit“ im Sinne der DSGVO?

Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO ein Verzeichnis aller „Verarbeitungstätigkeiten“ zu führen. Möchte ein Unternehmen mit der Erstellung dieser wichtigen Übersicht beginnen, stellt sich unweigerlich die Frage, bis auf welche Detailtiefe diese „Verarbeitungstätigkeiten“ beschrieben werden müssen. Oder anders: was genau ist eine „Verarbeitungstätigkeit“?

Die Antwort auf diese Frage ist nicht nur für das Verzeichnis nach Art. 30 Abs. 1 DSGVO von Bedeutung. Auch andere Vorschriften verweisen auf Verarbeitungstätigkeiten, so etwa in Art. 28 Abs. 4 DSGVO: „um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen“.

Eine gesetzliche Definition des Begriffs findet sich in Art. 4 DSGVO nicht. Dort wird nur die „Verarbeitung“ definiert, als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Da die Verarbeitung als Begriff definiert wird, die DSGVO jedoch auch die Formulierung „Verarbeitungstätigkeit“ verwendet, wird man davon ausgehen können, dass es sich hierbei nicht um ein Synonym handelt. Ansonsten hätte der Gesetzgeber in Art. 30 Abs. 1 DSGVO auch einfach von „Verarbeitungen“ sprechen können.

LfDI Baden-Württemberg im aktuellen Tätigkeitsbericht

Der Landesbeauftragte aus Baden-Württemberg (LfDI BaWü) hat zu dieser wichtigen Frage in seinem neusten Tätigkeitsbericht (pdf)Stellung genommen (ab S. 11).

Als Verarbeitungstätigkeit wird im Allgemeinen ein spezieller, eigenständiger Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant hierbei ist, dass der LfDI die Verarbeitungstätigkeit durchaus mit einem Geschäftsprozess gleichsetzt und damit wohl von einem weit geringeren Detailierungsgrad, als bei einer Verarbeitung an sich (also etwa einer Erhebung oder einer Löschung von Daten), ausgeht. Denn ein Geschäftsprozess dürfte in der Praxis zumeist nicht nur eine Verarbeitung umfassen.

Relativierend wirkt dann jedoch der zweite Satz, dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Hier scheint der LfDI dann doch einen sehr engen Konnex zwischen einer Verarbeitung und einer Verarbeitungstätigkeit ziehen zu wollen.

Doch der LfDI gibt in seinem Tätigkeitsbericht noch weitere Kriterien für die Festlegung einer Verarbeitungstätigkeit vor.

Was konkret eine Verarbeitungstätigkeit ist, hängt vom jeweiligen Unternehmen ab. In einem kleinen Unternehmen mit wenigen Mitarbeitern kann z. B. die gesamte Personalverwaltung (inkl. Bewerbungsverfahren und Lohnabrechnung) als eine einzige Verarbeitungstätigkeit gesehen werden. Bei einem mittleren Unternehmen sollte eine stärkere Untergliederung stattfinden, z. B. in Personalgewinnung, Personaleinstellung, Verwaltung des aktuellen Personals, Beendigung der Arbeitsverhältnisse und ähnliche Verarbeitungstätigkeiten.

Der LfDI schlägt also vor, den Umfang einer Verarbeitungstätigkeit von der Größe des Unternehmens und damit wohl auch des Umfangs der innerhalb einer Verarbeitungstätigkeit vorgenommen Verarbeitungen abhängig zu machen. Die DSGVO knüpft den Begriff der Verarbeitungstätigkeit jedoch nicht an die Größe des Unternehmens.

Hinweise der DSK

Ganz ähnlich wie der LfDI verstehen den Begriff „Verarbeitungstätigkeit“ wohl auch die anderen deutschen Aufsichtsbehörden. In den Hinweisen (pdf)der DSK zum Verzeichnis von Verarbeitungstätigkeiten stellt die DSK fest:

Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt.

Interessant ist der Unterschied zur Umschreibung durch den LfDI. In den Hinweisen der DSK wird zugestanden, dass der Geschäftsprozess auf einem geeigneten Abstraktionsniveau beschrieben werden kann.

Auch aus diesen Hinweisen geht aber hervor, dass die DSK den Begriff „Verarbeitungstätigkeit“ in enger Verbindung mit dem Zweck der Verarbeitung sieht. So wird in Bezug auf die Informationen zum Zweck der Verarbeitung festgestellt: Je Beschreibung einer Verarbeitungstätigkeit ist der Verarbeitungszweck zu dokumentieren, z. B. Personalaktenführung/Stammdaten, Lohn-, Gehalts- und Bezügeabrechnung, Arbeitszeiterfassung. In diesen Beispielen wird deutlich, dass die DSK davon ausgeht, dass eine Verarbeitungstätigkeit nicht allein eine Verarbeitung, sondern mehrere Verarbeitungen umfassen darf.

Beispiel für ein Verzeichnis des BayLDA

Betrachtet man daneben die vom Bayerischen Landesamt für Datenschutzaufsicht veröffentlichen Beispiele von Verzeichnisses nach Art. 30 Abs. 1 DSGVO, lässt jedoch wieder der Schluss ziehen, dass eine „Verarbeitungstätigkeit“ nicht zwingend mit einer Verarbeitung gleichzusetzen ist. So nennt das BayLDA in seinem Verzeichnis für Vereine (pdf) eine Verarbeitungstätigkeit etwa „Mitgliederverwaltung“. Es dürfte klar sein, dass die Mitgliederverwaltung nicht nur eine einzelne Verarbeitung umfasst, sondern viele verschiedene.

Fazit

Insgesamt wird man festhalten können, dass weder in der DSGVO noch in den Hinweisen der Aufsichtsbehörden absolut klar wird, was eine „Verarbeitungstätigkeit“ darstellt. Mir erscheint, als gemeinsame Schnittmenge der Hinweise und Informationen der Behörden, als auch mit Blick auf die Handhabbarkeit der Vorgaben des Art. 30 DSGVO, eine Interpretation sinnvoll, nach der mit einer „Verarbeitungstätigkeit“ sowohl die „Verarbeitungen“ (Art. 4 Nr. 2 DSGVO) als auch zusätzliche Informationen zu diesen Verarbeitungen, wie Zwecke und Kategorien der Daten umfasst sind. Der Zweck der Durchführung einer Verarbeitungstätigkeit (z.B.: Bewerbermanagement) hängt aber auch unweigerlich mit dem Zweck der einzelnen Verarbeitungen zusammen, wie dies der LfDI BaWü betont.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Hessischer Datenschutzbeauftragter veröffentlicht FAQ zur DSGVO – Unter anderem: vorsorgliche Einwilligung ist möglich

Immer noch sind viele Fragen bei der Anwendung der DSGVO unbeantwortet und umstritten. Die hessische Datenschutzbehörde hat, aufgrund „einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI)“, Antworten zu den am häufigsten gestellten Fragen auf ihrer Webseite veröffentlicht.

Natürlich findet man dort als Suchender sicherlich nicht die Antwort auf jede Frage zur DSGVO. Dennoch sind die Antworten des HBDI, insbesondere für Unternehmen mit Hauptsitz in Hessen, sicherlich eine lesenswerte Ressource.

Interessant ist etwas die Aussage der Behörde zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich der HBDI der bereits vom BayLDA veröffentlichten Ansicht anzunähern und den Anwendungsbereich der Auftragsverarbeitung recht eng zu ziehen, nämlich nur auf solche Fälle, in denen tatsächlich ein Dritter mit der Verarbeitung von Daten beauftragt wird.

Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“

Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes nicht sicher ist.

„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“

Der HBDI scheint also davon auszugehen, dass eine Verarbeitung aus Sicht des Verantwortlichen auf zwei Erlaubnistatbestände, wovon einer die Einwilligung ist, gestützt werden kann, wenn man unsicher ist, ob die eigentlich avisierte Rechtsgrundlage wirklich eingreift. Der Kollege Tim Wybitul hat genau zu diesem Thema heute in einem Beitrag auf LinkedIn darauf hingewiesen, dass aus dem neues Kurzpapier (PDF) der DSK zur Einwilligung wohl eine andere Ansicht ableitbar ist. Eventuell vertritt der HBDI hier also eine nicht ganz so strenge Auffassung.

Bundeskartellamt erlasst Untersagungsverfügung gegen Facebook – Warum das Vorgehen der Behörde datenschutzrechtlich kritisch betrachtet werden muss

Ist der Umgang von Facebook Inc. u.a. mit personenbezogenen Daten ein Konditionsmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung? Dieser Frage ging das Bundeskartellamt in dem aktuell nun zunächst abgeschlossenen Verfahren nach. Am 7.2.2019 gab die Behörde bekannt, dass sie Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.

Erwägungsgründe des Bundeskartellamts

Das Bundeskartellamt stützt sich im Rahmen seiner Entscheidung u.a. auf folgende Untersuchungsergebnisse:

  • Die Datenverarbeitungskonditionen für die Nutzung von Facebook stellen eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung auf dem Markt für soziale Netzwerke für private Nutzer dar.
  • Die beabsichtigten Datenverarbeitungskonditionen verstoßen gegen die Wertungen des Datenschutzrechts, wie sie in der DSGVO zum Ausdruck kommen.

Nach Ansicht der Wettbewerbsbehörde liege ein Missbrauch im Sinne des § 19 Abs. 1 GWB (Konditionenmissbrauch) bereits dann vor, wenn als Ausfluss der Marktmacht die von einem Normadressaten verwendete Datenverarbeitungskonditionen gegen die Wertungen der DSGVO verstoßen. Oder auch, wenn die verwendeten allgemeinen Geschäftsbedingungen nach den gesetzlichen Wertungen der §§ 307 ff. BGB unzulässig sind.

Einen möglichen Konflikt zwischen den Anwendungsbereichen von Kartellrecht und Datenschutzrecht sieht das Bundeskartellamt hier überraschenderweise nicht.

Insbesondere sieht sich das Bundeskartellamt offensichtlich als zuständige Behörde an, die bei der Anwendung des § 19 Abs. 1 GWB auch auf Datenschutzwertungen Rückgriff nehmen und materiell-rechtliche Prüfungen vornehmen zu können. Sie sei an der Durchsetzung des Missbrauchsverbots von der Heranziehung datenschutzrechtlicher Wertungen nicht gehindert. Es würden lediglich die Wertungen des europäischen Datenschutzrechts als bedeutende Anhaltspunkte für die kartellrechtliche Beurteilung der Angemessenheit des Verhaltens eines marktbeherrschenden Unternehmens berücksichtigt. Die Datenverarbeitung sei ein unternehmerisches und in hohem Maße wettbewerbsrelevantes Verhalten. Die wirtschaftliche Nutzung von Kunden- und Nutzerdaten sowie Daten Dritter sei zudem ein wettbewerblich bedeutender Faktor.

Grundsätzlich fehle es zudem an der Rechtfertigung zur Datenverarbeitung (wohl nach Art. 6 oder Art. 9 DSGVO). Weder entspreche die derzeitige Einwilligung den Anforderungen nach Art. 6 Abs. 1 Satz 1 lit. a und Art. 9 Abs. 2 lit. b DSGVO, noch sei die Datenverarbeitung im Rahmen des Datenaustausch für die Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO erforderlich. Ein überwiegendes Interesse von Facebook oder den Drittanbietern im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO sei ebenfalls nicht gegeben.

Mehr Informationen findet sich in dem veröffentlichten Hintergrundpapier (pdf).

Kritik an dem Vorgehen des Bundeskartellamts

Zuständigkeit nach Art. 51 Abs. 1, Art. 55 DSGVO

Besonders überraschend ist hier die selbstverständliche Haltung der Wettbewerbsbehörde zur doch fragwürdigen Zuständigkeit bei angeblich vorliegenden Verstößen gegen die DSGVO. Die Zulässigkeit zur datenschutzrechtlichen Ahndung von Verstößen als Befugnis nach Art. 58 DSGVO (insbesondere die Verhängung von Bußgeldern nach Art. 58 Abs. 2 lit. i) iVm Art. 83 ff. DSGVO) ist für die nach Art. 51 Abs. 1 DSGVO von den Mitgliedstaaten bestimmten und zuständigen Behörden vorgesehen. Das Bundeskartellamt ist jedoch keine weitere Instanz, die zur Einhaltung datenschutzrechtlicher Bestimmungen befähigt ist. Das Bundeskartellamt wurde von Deutschland auch nicht errichtet oder mit Befugnissen auf der Grundlage der DSGVO ausgestattet, um Verstöße gegen das Datenschutzrecht mit hoheitlichen Sanktionen zu ahnden. Unter Beachtung des Vorrangs des EU-weiten und einheitlichen Datenschutzrechts können meines Erachtens nicht einfach durch nationale Regelungen aus anderen Rechtsgebieten die Tatbestände für Sanktionen (wie Untersagungen) oder gar Bußgelder ausgeweitet und auch auf andere, nicht auf der Grundlage der DSGVO zuständige Behörden übertragen werden, wie es hier die Wettbewerbsbehörde durch § 19 Abs. 1 GWB versucht. Es gehört zu den grundlegenden Aufgaben der Datenschutzbehörde, DSGVO-relevante Untersuchungen durchzuführen (Art. 58 DSGVO) und gegebenenfalls durch Bußgelder oder Sanktionen zu ahnden (Art. 83 ff.). Im Grunde würde aus dem Vorgehen des Bundeskartellamts eine parallele Datenschutzaufsicht folgen. Dann müsste sich das Bundeskartellamt aber auch die Frage gefallen lassen, ob es alle Anforderungen an eine Aufsichtsbehörde nach der DSGVO erfüllt.

Das Bundeskartellamt kann sich vorliegend auch nicht auf die Argumentation zurückziehen, dass ja materielles Datenschutzrecht nicht geprüft werde, sondern nur Wertungen aus der DSGVO übernommen würden. Die Informationen im Hintergrundpapier zeigen deutlich, dass die Wettbewerbsbehörde klar eine detailreiche materiellrechtliche Prüfung der Vorgaben der DSGVO vornimmt.

Eine Parallelität von mehreren Datenschutzaufsichten für einen Verantwortlichen (was die Folge der Sichtweise des Bundeskartellamts wäre) ist in der DSGVO gerade nicht vorgesehen und sogar explizit nicht gewollt (dazu sogleich).

Zusammenarbeit und Kohärenzverfahren nach Art. 60 ff. DSGVO

Sind mehrere Datenschutz(!)behörden zuständig, sieht die DSGVO nun das sog. Kohärenzverfahren vor. Datenschutzbehörden (ob in Deutschland oder auch EU-Ebene) müssen sich im Zweifel untereinander abstimmen. Am Ende soll es für Unternehmen eine verbindliche, zwischen mehreren zuständigen Behörden abgestimmte, Entscheidung geben. Das Bundeskartellamt verweist zwar auf die Zusammenarbeit mit  Datenschutzbehörden, doch umgeht sie dabei die nach der DSGVO vorgeschriebene Zusammenarbeit der Behörden untereinander. Die federführende Behörde ist hinsichtlich Facebook nun einmal die irische Datenschutzbehörde, die hier wohl völlig übergangen wurde. Der Austausch mit der federführenden Aufsichtsbehörde soll insbesondere bei der Beurteilung von Verarbeitungsvorgängen, die Personen in mehreren Mitgliedstaaten betreffen, stattfinden. Nur so kann eine einheitliche Anwendung dieser Verordnung in der gesamten Union sichergestellt werden (ErwG 123 DSGVO). Im Grunde wird durch das Vorgehen des Bundeskartellamts das Kohärenzverfahren nach der DSGVO und, in Streitfällen zwischen Aufsichtsbehörden, die Entscheidungsbefugnis des Europäischen Datenschutzausschusses schlicht übergangen. Würde sich dieses Vorgehen durchsetzen, würde am Ende gerade nicht mehr ein einheitliches Vorgehen der fachlich zuständigen Behörden stehen.

Kartell- und Datenschutzrecht

Die anzuzweifelnde Zuständigkeit des Bundeskartellamts versucht es durch die Vereinbarkeit der Prüfung von Datenschutzrecht innerhalb des Kartellrechts zu widerlegen. Die Behörde geht davon aus, dass die Datenverarbeitung durch Unternehmen grundsätzlich ein wettbewerbsrelevantes Verhalten darstelle und folglich den wettbewerbsrechtlichen Vorschriften unterliege. Doch für eine Trennung von Kartell- und Datenschutzrecht haben sich bereits die Europäische Kommission und auch der EuGH ausgesprochen, die in Anbetracht der europarechtlichen Auslegung der DSGVO auch eingehalten werden sollte:

„Etwaige Fragen im Zusammenhang mit der Sensibilität personenbezogener Daten, sind als solche nicht wettbewerbsrechtlicher Natur sind, [sind] nach den einschlägigen Bestimmungen zum Schutz solcher Daten zu beantworten.“ (EuGH, Urteil vom 23.11.2006 – C238/05

Noch strikter trennt die Europäische Kommission, indem sie auf die jeweiligen geschützten Rechtsgüter der legislativen Vorgaben abstellt:

„COM said that both competition law and data protection concern economic values, whereas data protection protects values of the data subject.“ (Ratsdokument 17831/13, S. 226, Fn. 567). Das Kartellrecht verfolgt gerade nicht dieselben Ziele wie das Datenschutzrecht.

„For the purposes of this decision, the Commission notes that any privacy-related concerns flowing from the use of data within the control of the Parties do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules.“ (Entscheidung der Kommission vom 23/02/2016 zur Vereinbarkeit eines Zusammenschlusses mit dem Gemeinsamen Markt (Fall COMP/M.7813 – SANOFI / GOOGLE / DMI JV) gemäß der Verordnung (EG) Nr. 139/2004 des Rates; S. 11 Rn. 70)

Fazit

Das hochinteressante Verfahren, das einige diskussionswürdige Fragen aufwirft, wird sicherlich seinen Weg in den Instanzenzug der Gerichte finden. Eventuell muss am Ende der EuGH noch einmal zu der Frage entscheiden, wie sich das Kartell- und Datenschutzrecht zueinander und insbesondere die Zuständigkeit der Behörden verhalten.