Oberverwaltungsgericht NRW: Entlassung eines Beamten auf Probe wegen Datenschutzverstößen

Das Oberverwaltungsgericht NRW (Beschl. v. 19.09.2019, 6 B 539/19) hat die Beschwerde eines ehemaligen Polizeikommissars gegen die Ablehnung der Wiederherstellung der aufschiebenden Wirkung seiner Klage gegen seine Entlassung aus dem Beamtenverhältnis auf Probe wegen Zweifeln an seiner charakterlichen Eignung zurückgewiesen. Der Polizeikommissar habe Datenschutzverstöße begangen (hier: Datenbankabfragen ohne dienstlichen Bezug), dadurch in einer Vielzahl von Fällen in Rechte Dritter eingegriffen und hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert.

Sachverhalt

Der ehemalige Polizeikommissar hat, in seiner Zeit als Beamter auf Probe, in einer Vielzahl von Fällen nicht dienstlich veranlasste Datenabfragen über andere Personen durchgeführt. Bei insgesamt festgestellten 3.950 getätigten Datenabfragen wurden in 2.119 Fällen keine direkten Hinweise für einen dienstlichen Anlass angenommen. Das OVG geht in seiner Begründung sogar „nur“ von – wie der Betroffene selbst vorgetragen hat – insgesamt etwa 50 „privat motivierten“ Datenabfragen aus.

Es stehe fest, dass er in einer Vielzahl von Fällen nicht dienstlich veranlasste Abfragen mit Hilfe der ihm zur Verfügung stehenden Datensysteme durchgeführt habe, die unterschiedliche Personen betroffen hätten. Hierzu hätten etwa Familienangehörige (Vater, Mutter, Ehefrau, Schwager usw.), andere Personen aus seinem privaten Umfeld (bspw. Facebook-Freunde, sonstige Bekannte) sowie Kollegen gezählt.

Begründung

Das OVG verweist darauf, dass zu den Verhaltensgeboten von Beamten die sich aus § 34 Satz 3 BeamtStG ergebende Pflicht gehört, sein Verhalten innerhalb und außerhalb des Dienstes so auszurichten, dass es der Achtung und dem Vertrauen gerecht wird, die sein Beruf erfordern.

Hierzu gehört insbesondere die Pflicht, sich gesetzestreu zu verhalten und damit unter anderem den Datenschutz betreffende gesetzliche Vorgaben zu beachten“.

Durch die Durchführung nicht dienstlich veranlasste Datenabfragen über andere Personen in einer Vielzahl von Fällen habe für den Dienstherren ein berechtigter Anlass bestanden, die charakterliche Eignung des Antragstellers ernsthaft anzuzweifeln.

Nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG können Beamte auf Probe entlassen werden, wenn sie sich in der Probezeit nicht bewährt haben. Der Entlassungstatbestand steht im Zusammenhang mit § 10 Satz 1 BeamtStG, wonach die Ernennung zum Beamten auf Lebenszeit nur zulässig ist, wenn der Beamte sich in der Probezeit bewährt hat.

Nach Auffassung des Gerichts stellen selbst die etwa 50 (zugestandenen) „privat motivierten“ Datenabfragen eine hinreichende Tatsachengrundlage für die Annahme ernstlicher Zweifel an der charakterlichen Eignung des Antragstellers für das Amt des Polizeikommissars dar.

Das OVG verweist für seine Begründung auch auf § 41 DSG NRW (Datengeheimnis). Danach ist es denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Das OVG stellt fest, dass der ehemalige Polizeikommissar zumindest in 50 Fällen jeweils eine zweckwidrige Datenverarbeitung vorgenommen habe. Er habe damit in einer Vielzahl von Fällen in Rechte Dritter eingegriffen.

“Dass hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert ist, drängt sich auf”.

Hieran ändere auch der Umstand nichts, dass es nicht zur unbefugten Weitergabe der abgefragten Daten gekommen ist.

Die Europäisierung des Datenschutzrechts – ein alternativer Kommentar zu dem Planet49-Urteil des EuGH

Nach dem EuGH-Urteil in der Sache Planet49 (C?673/17), haben viele Kolleginnen und Kollegen lesenswerte Besprechungen der Entscheidung veröffentlicht. Z.B. Simon Assion, Stephan Hansen-Oest, Thomas Schwenke oder Nina Diercks.

In diesem Beitrag möchte ich mich mit ein paar „Randthemen“ des Urteils befassen, die jedoch meiner Ansicht nach nicht minder relevant sind. Es soll hier also nicht um die konkreten Anforderungen einer Einwilligung gehen, sondern um Aussagen des EuGH, die das Gericht daneben getroffen hat, die für die Praxis im Datenschutzrecht aber meines Erachtens über den Themenkomplex „Cookies und Einwilligung“ Relevanz haben.

Findet bei dem Einsatz von Cookies immer auch eine Verarbeitung personenbezogener Daten statt?

Der EuGH geht in seiner Prüfung, aufgrund der durch den BGH vorgegebenen und auch durch Planet49 bestätigten Sachverhaltsangaben davon aus, dass in dem zu beurteilenden Fall personenbezogene Daten verarbeitet wurden (Rz. 45 und 67). Dieser Personenbezug wird über eine Zuordnung von Registrierungsdaten der Nutzer (Name und Adresse im Teilnahmeformular) zu der Nummer des Cookies hergestellt (Rz. 45).

Für die Frage der Anwendbarkeit des Art. 5 Abs. 3 RL 2002/58 ist die Unterscheidung, ob personenbezogene Daten verarbeitet werden oder nicht, irrelevant (vgl. Rz. 70).

Aus der reinen „Datenschutz-Brille“ betrachtet, sind die Erwägungen des EuGH aber durchaus interessant. Denn insbesondere die Begründung in Rz. 45, warum in den Cookies auch personenbezogene Daten verarbeitet werden, lässt argumentativen Spielraum für Konstellationen, in denen durch Cookies keine personenbezogenen Daten verarbeitet bzw. den Cookies keine personenbezogenen Daten zugeordnet werden. Man stelle sich eine Situation vor, in der „nur“ ein Cookie gesetzt wird und in diesem Cookie statistische Daten gespeichert werden (z.B. Browserversion, Herkunftsland, Bildschirmauflösung o.ä.). Ob auch in diesem Fall per se ein Personenbezug vorliegen würde, hat der EuGH nicht entschieden (da er es auch nicht entscheiden musste). Oder anders ausgedrückt: nicht jeder Einsatz von Cookies ist gleichbedeutend mit der Verarbeitung personenbezogener Daten.

Die Erwägungen des EuGH lassen sich meines Erachtens durchaus so verstehen, dass im Fall des Setzens eines Cookie auf dem Gerät eines Nutzers, dies noch nicht zwangsläufig bedeutet, dass damit auch personenbezogene Daten im Spiel sind und die DSGVO Anwendung findet.

Warum ist dies relevant? Meines Erachtens insbesondere mit Blick auf die vielen Folgepflichten, die sich aus der DSGVO ergeben würden. Man denke etwa an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO oder die Pflicht, Verarbeitungen in ein Verzeichnis der Verarbeitungstätigkeiten aufzunehmen oder auch die Betroffenenrechte. Ist die DSGVO nicht anwendbar, würde auch kein Auskunftsanspruch nach Art. 15 DSGVO bestehen. Dies ist am Ende natürlich nur folgerichtig, denn wenn keine personenbezogenen Daten verarbeitet werden, kann ein Unternehmen auch keine Person identifizieren und dieser Person Auskunft zu ihren Daten erteilen.

Zur Auslegung und Anwendung europäischen (Datenschutz)Rechts

Bevor der EuGH in seinem Urteil in die Prüfung der einzelnen Merkmale einer Einwilligung einsteigt, legt er den Rahmen und die Methoden dar, innerhalb dessen und wie die europäischen Vorgaben auszulegen sind. Die Ausführungen des EuGH in den Rz. 47 und 48 haben daher ganz generelle Bedeutung für die Anwendung der RL 2002/58 und auch der DSGVO. Gerade in der deutschen Literatur und Diskussion findet man häufig sehr national geprägte Interpretation des europäischen Rechts.

Der EuGH macht zunächst deutlich, dass „Begriffe einer Vorschrift des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen“. Das Gericht begründet dies mit den Anforderungen sowohl der einheitlichen Anwendung des Unionsrechts als auch des Gleichheitsgrundsatzes.

Dies bedeutet für die Datenschutzpraxis, dass Begriffe der DSGVO gerade nicht aus einem rein nationalen Blickwinkel betrachtet und ausgelegt werden dürfen. Diese müssen, nach dem EuGH, vielmehr in der gesamten Union eine autonome und einheitliche Auslegung erhalten.

Plastische Bespiele für solche Begriffe finden sich in der DSGVO an vielen Stellen. Hier ein paar Beispiele:

Art. 12 Abs. 1 DSGVO: „Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“. Was „schriftlich“ oder „elektronisch“ bedeutet, kann daher nicht allein mit Blick auf nationales Recht beantwortet werden. Ein Verweis, etwa auf Vorgaben des BGB, wäre mithin verfehlt.

Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, …“. Man ist sicherlich geneigt, den „Stand der Technik“ in Deutschland im Sinne der Interpretation dieses Begriffs z.B. durch die deutsche Rechtsprechung zu verstehen. Auch hier ist jedoch Vorsicht geboten. Der „Stand der Technik“ im Sinne der DSGVO muss nicht gleichbedeutend mit dem Verständnis des BVerfG (BVerfG, Beschl. v. 08.08.1978 – 2 BvL 8/77, Kalkar I) sein. Nach den Vorgaben des EuGH in dem aktuellen Urteil, wäre dieser nationale Blick in jedem Fall zu eng.

Art. 33 Abs. 2 DSGVO: „Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich“. Die Frage, was „unverzüglich“ bedeutet (vgl. auch Art. 34 Abs. 1 DSGVO), kann daher ebenfalls nicht allein aus Sicht des deutschen Zivilrechts und der zu diesem Begriff ergangenen Rechtsprechung beantwortet werden.

Zudem verweist der EuGH in Rz. 48 darauf, welche verschiedenen Auslegungsmethoden bei der Anwendung europäischen Rechts zu berücksichtigen sind.

Bei der Auslegung einer Vorschrift des Unionsrechts sind:

  • der Wortlaut,
  • die mit ihr verfolgten Ziele,
  • ihr Kontext und
  • das gesamte Unionsrecht zu berücksichtigen.

Daneben kann auch die Entstehungsgeschichte einer Vorschrift relevante Anhaltspunkte für ihre Auslegung liefern. Oder um es anders zu formulieren: die Vorschriften der DSGVO und ihr Verständnis sind aus mehreren Blickwinkeln zu betrachten.

Keine Entscheidung zur Zulässigkeit der Kopplung einer Einwilligung

Zuletzt sei noch darauf hingewiesen, dass der EuGH in seinem Urteil alle Tatbestandsmerkmale der datenschutzrechtlichen Einwilligung auslegt. Bis auf eines: die Freiwilligkeit.

Art. 4 Nr. 11 DSGVO definiert die Einwilligung u.a. als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“. Der EuGH musste hierzu auch nichts sagen, da der BGH ihn nicht danach gefragt hatte. In Rz. 64 des Urteils stellt der EuGH ausdrücklich heraus, dass er sich nicht mit der Frage befasst hat, ob es mit dem Erfordernis einer „freiwillig“ (Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO) erteilten Einwilligung vereinbar ist, „wenn ein Nutzer – wie es hier nach den Angaben in der Vorlageentscheidung zumindest für das erste Ankreuzkästchen der Fall zu sein scheint – nur dann an einem Gewinnspiel teilnehmen kann, wenn er in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken einwilligt“.

Die angesprochene Situation ist jene, die das sog. „Kopplungsverbot“ nach Art. 7 Abs. 4 DSGVO avisiert. Auf die entsprechende Vorschrift verweist der EuGH sogar. Ob oder wann es jedoch europarechtlich unter der DSGVO (un)zulässig ist, die Teilnahme an einem Gewinnspiel davon abhängig zu machen, dass man in die werbliche Nutzung seiner Daten einwilligt, hat der EuGH nicht entschieden. Die Antwort auf diese Frage (nicht nur speziell in Bezug auf Gewinnspiele), dürfte also zunächst weiter national umstritten bleiben.

Lohnbuchhaltung durch Steuerberater: Bundesrat möchte gesetzliche Klarheit zur Einordnung nach der DSGVO schaffen

Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.

Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?

Hier einige Positionen:

LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.

LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.

LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.

Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.

Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.

§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:

(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).

Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.

Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)

Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.

Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.

Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.

Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.

Seltsamer Beschluss der Datenschutzkonferenz zu „verhaltensbasierter Werbung“ (UPDATE)

Auf der Webseite der Datenschutzkonferenz (DSK) wurde mit Datum vom 25.9.2019 ein Beschluss zu „verhaltensbasierter Werbung“ veröffentlicht (PDF). Seltsam ist der Beschluss, da er sich materiell rechtlich überhaupt nicht mit verhaltensbasierter Werbung befasst und zudem auch formelle Defizite aufweist und den Leser mit Fragen zurücklässt.

Beschluss

Der Beschluss bezieht sich auf eine Beschwerde des Netzwerk Datenschutzexpertise (Netzwerk). Gemeint ist wohl diese Beschwerde (PDF). Dort wird auf mögliche Verstöße gegen das Datenschutzrecht durch Google und „andere Internet-Unternehmen der Branche“ hingewiesen. Die Beschwerde des Netzwerks ist von vier Personen unterzeichnet und datiert auf den 4.6.2019. Laut dem Beschluss der DSK wird in der Beschwerde die Datenverarbeitung durch Google sowie weitere Anbieter, die Mitglieder des IAB Europe sind, gerügt. Die DSK bezieht sich ausdrücklich nur auf diese Beschwerde, die bei mehreren deutschen Datenschutzbehörden eingelegt wurde.

Die DSK folgert aus der Beschwerde, dass diese sich allein gegen Google richtet, da weitere „Anbieter bzw. Akteure“ nicht ausdrücklich genannt werden.

Die DSK hat daraufhin den oben verlinkten Beschluss gefasst. Kurzer Exkurs zu dem Verständnis der DSK, was ein Beschluss ist. „Beschlüsse sind Positionen, die die Auslegung datenschutzrechtlicher Regelungen bzw. entsprechende Empfehlungen betreffen.“ (siehe: Geschäftsordnung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz), PDF). Zur besseren Verständlichkeit meiner nachfolgenden Kritik, hier der Inhalt des Beschlusses:

Die Beschwerde erfüllt die Anforderungen gem. Art. 77 DSGVO, da sie

1. von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner);

2. sich gegen einen konkreten Verantwortlichen richtet (Google) und

3. die betroffenen Personen beschwerdebefugt sind, da sie umfassend erläutern, dass die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt und sie dadurch in ihren Rechten verletzt werden.

II. Beschwerdegegner ist zunächst nur Google. Soweit sich die Beschwerde gegen dieses Unternehmen richtet, ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten.

IV. Das IAB Europe ist kein Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, da es sich beim IAB Europe lediglich um einen Interessenverband von Unternehmen aus dem Bereich Programmatic Advertising handelt.

V. Sofern eine Aufsichtsbehörde der Auffassung ist, die Beschwerde sei dahingehend auszulegen, dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet, so ist mit der Beschwerde entsprechend Ziff. III. zu verfahren.

Kritik

Es stellt sich natürlich zunächst die Frage, was die DSK mit diesem Beschluss bezweckt. Dies wird zumindest für mich, auch nach mehrmaligen Lesen, nicht ganz deutlich.

Kritisieren lässt sich zunächst, dass der Beschluss, anders als in der Überschrift suggeriert, inhaltlich nichts mit einer materiell-rechtlichen Position der Behörden zur verhaltensbasierten Werbung zu tun hat. Vielmehr scheint es hier um die Festlegung einer nationalen Zuständigkeit für eine (oder mehrere?) Beschwerde(n) sowie die Feststellung des Vorliegens der Voraussetzungen für eine (oder mehrere?) Beschwerde(n) zu gehen.

Da stellt sich freilich die Frage, was diese Beschwerde so besonders macht, dass die DSK sich zu einem Beschluss gezwungen sah? Denn andere Beschwerden, die bei den Behörden eingehen, werden nicht per Beschluss der DSK veredelt. Zu dem Hintergrund des Beschlusses, finden sich keine Angaben.

Zudem ist zu fragen, was Ziel des Beschlusses ist? Eine bindende Wirkung für alle Aufsichtsbehörden? Diesen Anschein erweckt Ziff. II: „ist sie zunächst an den Hamburgischen Beauftragten weiterzuleiten“. Gibt die DSK nun alles Aufsichtsbehörden bindend vor, wie diese mit Beschwerden umzugehen haben und welche Behörde national zuständig ist? Meine Vermutung ist, dass der Beschluss eine Manifestierung der Vorgabe des § 19 Abs. 2 S. 1 BDSG darstellt. Danach gibt die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, die Beschwerde an die federführende Aufsichtsbehörde nach § 19 Abs. 1 BDSG, in Ermangelung einer solchen an die Aufsichtsbehörde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Da diese Abgabe aber ohnehin gesetzlich zwingend („gibt die Beschwerde…ab“) vorgegeben ist, stellt sich die Frage nach dem Sinn des Beschlusses.

In Ziff. II wird per Beschluss vorgegeben, dass „Google“ der Beschwerdegegner sei. Welche Einheit ist hier jedoch mit „Google“ gemeint? Die Google LLC, die Google Ireland Limited oder z.B. Google Germany GmbH? Dies wird in dem Beschluss nicht deutlich und lässt den Leser ratlos zurück. Auch aus der oben verlinkten Beschwerde wird dies nicht klar. Konkretisiert die DSK evtl. eine zu allgemein abgefasste Beschwerde per Beschluss? (dem würde sich die Frage anschließen, ob sie dies darf). Man kann, aufgrund der Erwähnung der Behörde aus Hamburg, schlussfolgern, dass wohl die Google Germany GmbH mit Sitz in Hamburg gemeint ist. Warum wird dies dann aber nicht in dem Beschluss deutlich gemacht?

Der Beschluss verhält sich zudem nicht zu der (ggfs. vorliegenden federführenden) Zuständigkeit der Behörde aus Irland. In der in dem Beschluss angesprochenen Beschwerde wird ausdrücklich darauf hingewiesen, dass eine entsprechende Beschwerde bei der irischen Datenschutzbeauftragten erhoben wurde und, angesichts „der europaweiten Dimension der in dieser Beschwerde aufgeworfenen Fragen und Unternehmen“ es sinnvoll erscheint, dass die Aufsichtsbehörden dieses Thema gemeinsam prüfen (S. 15).

Der Beschluss bezieht sich mehrmals auf „die Beschwerde“. Es scheint also um eine einzelne Beschwerde zu gehen. Art. 77 Abs. 1 DSGVO, dessen Voraussetzungen nach dem Beschluss hier vorliegen, bezieht sich ausdrücklich auf eine Beschwerde einer betroffenen Person. Laut dem Text der Beschwerde erhalten die Datenschutzbehörden „individuelle Beschwerden von Frau Elisabeth Niekrenz, Herrn Thilo Weichert, Herrn Frank Spaeing und Herrn Friedemann Ebelt“ (S. 15). Nach Ziff. I 1. des Beschlusses erfüllt die einzelne Beschwerde des Netzwerkes die Anforderungen des Art. 77 DSGVO, da sie „von natürlichen Personen als betroffenen Personen eingelegt wurden (die 4 Unterzeichner)“. Hier scheint der Beschluss die eine, referenzierte Beschwerde des Netzwerkes und die wohl vorliegenden Einzelbeschwerden zu vermengen. Geht die DSK folglich davon aus, dass eine Beschwerde nach Art. 77 DSGVO auch zulässig ist, wenn mehrere natürliche Personen in einem Schreiben eine Beschwerde einreichen?

Nach Ziff. I 2. des Beschlusses richtet sich die Beschwerde gegen einen „konkreten Verantwortlichen“, Google. Auch dies muss verwundern, da aus dem Beschluss nicht deutlich wird, welche juristische Person mit „Google“ gemeint ist (siehe oben). Auch in der Beschwerde des Netzwerkes wird nur „Google“ genannt, nicht jedoch die LLC oder etwa die deutsche GmbH. Es stellt sich daher die Frage, wen die DSK hier (per Beschluss) als Verantwortlichen betrachtet und gleichzeitig als solchen festlegt?

In Ziff. V wird darauf hingewiesen, dass eine Aufsichtsbehörde, die der Auffassung ist, dass die Beschwerde dahingehend auszulegen sei, „dass sich die Beschwerde gegen die jeweiligen Mitgliedsunternehmen des IAB Europe richtet“, mit dieser Beschwerde entsprechend Ziff. III zu verfahren habe. Ziff. III fehlt jedoch in dem Beschluss der DSK. Es stellt sich daher die Frage, wie Aufsichtsbehörden in diesem Fall nach Ansicht der DSK zu verfahren haben? Fehlt Ziff. III bewusst oder handelt es sich um einen formellen Fehler?

Zuletzt noch ein ganz persönlicher Kritikpunkt, der mich bereits in mehrere Verwaltungsverfahren stutzten lässt: die DSK stellt per Beschluss in Ziff. I 3. fest, dass die Anforderungen von Art. 77 DSGVO erfüllt seien (weitere Fragen: kann die DSK das Vorliegen von Tatbestandsvoraussetzungen der DSGVO in einem konkreten Verwaltungsverfahren feststellen? Geht die DSK hier davon aus, dass sie über eine entsprechende Rechtsnatur verfügt, um materiell-rechtliche Vorgaben zu prüfen und aufgrund dieser Prüfung den Aufsichtsbehörden Vorgaben zu machen?), da die Beschwerdeführer erläutern, dass „die Datenverarbeitung bei der personalisierten Online-Werbung gegen die DS-GVO verstößt“. Für Art. 77 Abs. 1 DSGVO ist jedoch ausreichend, dass die betroffene Person der Ansicht ist, dass die Verarbeitung gegen die DSGVO verstößt. Die DSK scheint hier im Beschluss diese Position einfach als gegeben hinzunehmen. Sie hätte ja durchaus auch schreiben können, „erläutern, dass die…ihrer Ansicht nach gegen die DSGVO verstößt“. Dieser Verweis auf die Ansicht der Beschwerdeführer fehlt in dem Beschluss jedoch gänzlich, ohne dass eventuell bisher die Stellungnahme des Verantwortlichen begutachtet wurde.

Wie bereits einleitend angemerkt, fällt zuletzt auf, dass der Beschluss materiell-rechtlich keine Aussagen zur verhaltensorientierten Werbung trifft. Es scheint sich vielmehr um einen Beschluss zu einer (oder mehreren?) Beschwerde(n) und deren Zulässigkeit und der Zuständigkeit der Bearbeitung zu handeln. Möglicherweise gab es auch Streit unter den deutschen Behörden hinsichtlich des weiteren Vorgehens. Eine Unterrichtung nach Art. 77 Abs. 2 DSGVO scheint der Beschluss aus meiner Sicht nicht zu sein. Denn diese Unterrichtung muss nur gegenüber dem Beschwerdeführer, nicht jedoch der Allgemeinheit erfolgen. Zudem, und viel wichtiger, ist die DSK keine „Aufsichtsbehörde“ im Sinne des Art. 77 Abs. 2 DSGVO. Nur diese muss aber den Beschwerdeführer unterrichten.

Update vom 4.10.2019

Nach meinem Blogbeitrag zu dem oben besprochenen und verlinkten Beschluss der DSK, hat man in den Datenschutzbehörden die geäußerte Kritik wohl zur Kenntnis genommen. Nun wurde der Beschluss erneut auf der Webseite der DSK veröffentlicht (pdf). Wenn man hofft, dass darauf hingewiesen wird, dass dieser Beschluss eine zweite oder zumindest angepasste Version des ursprünglich veröffentlichten Beschlusses darstellt, wird man jedoch enttäuscht. Der Beschluss enthält weiterhin keine Angabe dazu, wann er gefasst wurde. Auf der Webseite ist weiterhin der 25.09.2019 als Veröffentlichungsdatum angegeben. Der Dateiname verweist auf den 26.9.

Ich habe den ursprünglich veröffentlichten Beschluss natürlich heruntergeladen und dieser steht hier zum Abruf bereit (pdf).

Tatsächlich bin ich etwas irritiert und ja, auch verärgert, dass die Aufsichtsbehörden in dieser intransparenten Weise agieren. Wenn die erste Version des Beschlusses Fehler enthielt, kann man dies ja unproblematisch auf der Webseite deutlich machen. Fehler (dürfen) passieren. Eventuell war die erste Version ja auch so inhaltlich nicht abgestimmt. Jedoch wird hier ein Beschluss öffentlich gemacht und dann im Nachhinein, ohne Information des Empfängerkreises, nachträglich angepasst. Wie soll dieses Vorgehen bei uns als interessierten Lesern und sicherlich auch beabsichtigten Empfängerkreis verstanden werden? Sollen wir besser wöchentlich prüfen, ob nicht Beschlüsse oder andere Entscheidungen der DSK nachträglich angepasst wurden? Oder sollen wir entsprechende Veröffentlichungen der DSK, wie man so schön sagt, „nicht so ernst nehmen“?

Die Anpassungen betreffen die Bezifferung im Beschluss selbst und einen Verweis in Ziff. IV (nun auf Ziff. II).

Im konkreten Fall mag der Beschluss keine bahnbrechende Relevanz haben. Was jedoch, zumindest für mich, zurückbleibt, ist ein Unverständnis über ein solches intransparentes Handeln der DSK gegenüber der Öffentlichkeit.

Verwendung von Meldungen zu Datenschutzverletzungen für Bußgeldverfahren? Ein Stimmungsbild.

Art. 33 Abs. 1 DSVGO schreibt vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss (es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht).

Art. 33 Abs. 3 DSVGO gibt einen Katalog an Informationen vor, die Inhalt der Meldung an die Aufsichtsbehörde sein müssen. U.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Der Verantwortliche muss in der Meldung nach Art. 33 DSGVO mithin darlegen, wie es zu der Datenschutzverletzung kam.

Doch die Aufsichtsbehörden sind nicht nur für die Entgegennahme der Meldungen zuständig. Gleichzeitig besteht für sie nach Art. 58 Abs. 2 lit. i DSGVO die Befugnis, eine Geldbuße nach Art. 83 DSVGO zu verhängen. Im Falle von Datenschutzverletzungen, die sich (nach der Legaldefinition in Art. 4 Nr. 12 DSVGO) auf die Vernichtung, den Verlust, die Veränderung, oder die unbefugte Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten bezieht, steht zumeist ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung im Raum).

Nun stellt sich für Verantwortliche oft die Frage: kann ich bedenkenlos die Meldung absetzen, ohne befürchten zu müssen, dass die übermittelten Informationen im Rahmen eines Bußgeldes gegen mich verwendet werden? Muss ich mich also selbst belasten?

Der deutsche Gesetzgeber hat diese Situation im Rahmen der Anpassung des DSGVO erkannt und eine klare Regelung in § 43 Abs. 4 BDSG getroffen: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden“. (Hervorhebung durch mich).

Eigentlich dürften also deutsche Aufsichtsbehörden die Informationen aus der Meldung nicht für die Einleitung eines Bußgeldverfahrens nutzen, ohne, dass die Zustimmung des meldenden Verantwortlichen vorliegt.

Doch wie interpretieren die (deutschen) Aufsichtsbehörden diese Vorschrift? Nachfolgend habe ich in einer Tabelle die Ansichten oder zumindest entsprechende Andeutungen verschiedener Datenschutzbehörden zusammengetragen.

Aufsichtsbehörde

Aussage

Quelle

Art. 29 Gruppe „… hat die Aufsichtsbehörde auch die Möglichkeit, Sanktionen wegen der versäumten Meldung oder Benachrichtigung (Artikel 33 und 34) einerseits sowie wegen fehlender (angemessener) Sicherheitsmaßnahmen (Artikel 32) andererseits zu verhängen, da es sich um zwei separate Verstöße handelt“. Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU)2016/679, WP 250 rev.01, S. 11
BlnBDI „Dagegen dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren.“ Jahresbericht 2018, S. 24
HessBDI § 43 Abs. 4 BDSG schränkt die Konsequenzen einer Meldung nach Art. 33 DS-GVO für ein Bußgeldverfahren ein.“ 47. Tätigkeitsbericht, S. 178
LfDI BaWü „Gemeldete Datenschutzverletzungen    können demnach grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden.“ 33. Tätigkeitsbericht 2016/2017, S. 17
HmbBfDI „Eine Sanktionierung kam gemäß § 43 Abs. 4 BDSG aufgrund der ordnungsgemäßen Meldung nicht in Betracht.“ 27. Tätigkeitsbericht Datenschutz 2018, S. 52
TLfDI „Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu   einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“ Pressemitteilung, Datenpanne –Bußgeld bei Meldung? Erfurt, 23.08.2019
BayLDA „Was macht BayLDA mit den Meldungen? Z.Zt. keine Geldbuße bei mitgeteilten Verstößen geplant“ Vortragsfolien von Thomas Kranig, Die DS-GVO in der Praxis – Erfahrungsbericht nach knapp einem Jahr, S. 34
LfD Sachsen-Anhalt Information auf der Webseite zur Meldung einer Datenschutzverletzung:„Die Verarbeitung dient ausschließlich den Zwecken der Überprüfung der Einhaltung der Artikel 33 und 34 DS-?GVO“. Online-Formular, Meldung einer Datenschutzverletzung,

Man sieht, dass unter den deutschen Behörden uneinheitliche Auffassungen zu bestehen scheinen, ob Informationen aus einer Meldung für ein Bußgeldverfahren genutzt werden können.

Über weitere Hinweise freue ich mich und nehme sie gerne auf.

Bayerisches Landesamt für Datenschutzaufsicht zu Facebook Custom Audience: Einwilligung nicht zwingend erforderlich?

Das Bayerische Landesamt für Datenschutzaufsicht hat am 30.08.2019 eine Pressemitteilung (pdf) zur aktuellen Prüfung der Website des Blutspendedienstes des Bayerischen Roten Kreuzes. Anlass der Prüfung war der Einsatz von Tracking-Tools auf der Website des Blutspendedientes.

Dass diese Prüfung stattfindet, wurde bereits letzte Woche bekannt. Daher ist die Mitteilung meines Erachtens auch nicht überraschend.

Interessant sind jedoch meines Erachtens zwei Aussagen des BayLDA bzw. seines Präsidenten zum Einsatz von Tracking-Tools und den datenschutzrechtlichen Anforderungen.

Zum einen wird in der der Pressemitteilung zu den datenschutzrechtlichen Pflichten von Webseiten-Betreibern ausgeführt:

Der Website-Betreiber muss auch sicherstellen, dass er die Tracking-Tools rechtmäßig einbindet, d. h. dass eine Rechtsgrundlage die Einbindung erlaubt oder der Nutzer vorab seine Einwilligung erklärt hat.

Interessant hierbei ist, dass das BayLDA ausdrücklich alternativ neben der Einwilligung auch andere Rechtsgrundlagen (also etwa eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO) als möglichen Erlaubnistatbestand für eine Datenverarbeitung anspricht. Die Behörde geht anscheinend nicht davon aus, dass werbliche Tracking-Tools (wie in dieser Prüfung wohl Facebook Custom Audience) nur mit Einwilligung der Besucher genutzt werden können.

Diese Aussage bedeutet wohl nicht, dass der Einsatz werblicher Tracking-Tools per se auch auf der Grundlage einer Interessenabwägung zulässig wäre. Jedoch lassen die Ausführungen des BayLDA erkennen, dass man sich nicht vorab allein auf die Einwilligung der Betroffenen als einzig mögliche Rechtsgrundlage festlegen möchte. Zudem ist noch zu bemerken, dass das BayLDA ganz allgemein auf „eine Rechtsgrundlage“ verweist, also auch nicht allein nur auf die Interessenabwägung.

Zudem wird Herr Kranig, der Präsident des BayLDA wie folgt zitiert:

Was vielen nicht klar ist: nicht der Website-Betreiber, der ein Tracking-Tool auf der Website einbindet, übermittelt Daten an den Anbieter des Tracking-Tools, sondern der Anbieter selbst erhebt die Daten direkt vom Nutzer. Nichtsdestotrotz wird dies erst durch die Einbindung auf der Website ermöglicht.

Diese Aussage ist insbesondere vor dem Hintergrund des aktuellen EuGH-Urteils in Sachen Like-Button (FashionID, Urt. v. 29. Juli 2019, C-40/17) interessant. Dort hatte der EuGH ausgeführt, dass „der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden“ kann. Das BayLDA geht also wohl davon aus, dass der Webseiten-Betreiber selbst nicht die Übermittlung durchführt. Jedoch wird für die Verantwortlichkeit des Betreibers, anders als im Urteil des EuGH, auch gar nicht auf die Übermittlung (hier stellt sich die Frage, von wem? Dem Besucher selbst? Seinem Browser / dem Browser-Hersteller?) abgestellt, sondern allein auf die Ermöglichung der Erhebung von Daten der Besucher durch den Anbieter des Tools.

Zum Schluss fügt Herr Kranig einen, meines Erachtens zutreffenden und bei vielen Unternehmen immer noch nicht ausreichend gewürdigten Hinweis an:

Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch.

Bundesarbeitsgericht zur Rolle des Betriebsrates unter der DSGVO – so oder so: das Datenschutzrecht ist zu beachten.

Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).

Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.

Sachverhalt

Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.

Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.

Entscheidung

Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.

Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.

Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.

In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.

In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.

Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,

also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.

Betriebsrat ist auf jeden Fall „Empfänger“

Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.

Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.

Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.

Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.

Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.

Für den Betriebsrat gilt die DSGVO

Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.

Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).

Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.

Dies ist hier nicht der Fall.

Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.

Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.

Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht

gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.

Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.

Erlaubnistatbestand?

Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.

In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.

Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).

§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO

Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).

Handelsvertreter und die DSGVO – OLG München entscheidet über Auskunftsanspruch gegen den Prinzipal

Nach § 87 Abs. 1 HGB hat der Handelsvertreter Anspruch auf Provision für alle während des Vertragsverhältnisses abgeschlossenen Geschäfte, die auf seine Tätigkeit zurückzuführen sind oder mit Dritten abgeschlossen werden. Der Unternehmer hat zudem über die Provision, auf die der Handelsvertreter Anspruch hat, monatlich abzurechnen (§ 87c Abs. 1 HGB).  Damit der Handelsvertreter die Provisionsberechnung nachvollziehen kann, gesteht ihm das Gesetz einen Anspruch auf Erteilung des sog. Buchauszugs zu. § 87c Abs. 2 HGB: Der Handelsvertreter kann bei der Abrechnung einen Buchauszug über alle Geschäfte verlangen, für die ihm nach § 87 Provision gebührt.

Es stellt sich freilich die Frage, welche Arten von Daten in dem Buchauszug enthalten sein müssen bzw. aus datenschutzrechtlichen Gesichtspunkten enthalten sein dürfen, damit der Handelsvertreter seinen Anspruch noch sinnvoll nutzen kann. Wenig verwundern dürfte, dass Buchauszüge auch personenbezogene Daten (Namen, Adressen, Kontaktdaten) von Kunden enthalten können. Hierzu sei nur kurz anzumerken, dass die DSGVO auch im B2B-Bereich Anwendung findet. Also auch dann, wenn etwa Kontaktdaten von Personen in Unternehmen im Auszug enthalten wären. Oft wird der Auszug aber ohnehin Daten von Endkunden enthalten, z. B. im Versicherungsbereich.

Genau um solche Verträge ging es in einem Urteil OLG München (Endurteil v. 31.07.20197 U 4012/17). Das Gericht musste klären, ob einem solchen Anspruch auf Buchauszug evtl. die DSGVO entgegensteht, da personenbezogene Daten an den Handelsvertreter weitergegeben werden.

Sachverhalt

Die Parteien stritten um einen Anspruch des Klägers gegen die Beklagte auf Erteilung eines Buchauszugs. Die Beklagte vermittelt Versicherungsverträge, Finanzierungen und Anlagen. Der Kläger war für die Beklage als selbständiger (Unter-)Handels- und (Unter-)Versicherungsvertreter tätig.

Das Handels- und Versicherungsvertreterverhältnis des Klägers endete unter streitigen Umständen zu einem streitigen Zeitpunkt. Das Landgericht München I (Az. 14 HK O 10300/15) hat über den Buchauszugsanspruch des Klägers entschieden und der Klage insoweit vollumfänglich stattgegeben.

Die Beklagte führt u.a. aus, dass die Datenschutz–Grundverordnung einer Buchauszugserteilung entgegenstehe. Dieser Ansicht folgte des OLG nicht.

Entscheidung

Zunächst befasst sich das OLG natürlich schwerpunktmäßig mit dem Handelsvertreterrecht nach dem HGB. Nach Ansicht des OLG hat der Kläger als selbständiger Unterversicherungs- und Unterhandelsvertreter iSd. § 84 Abs. 3 HGB dem Grunde nach einen Anspruch gegen die Beklagte aus §§ 92 Abs. 2, 87c Abs. 2 HGB auf Erteilung eines Buchauszuges.

Danach wendet sich das OLG in seiner Begründung dem Datenschutzrecht zu.

Die Beklagte kann dem Buchauszugsanspruch des Klägers auch nicht entgegenhalten, die Datenschutzgrundverordnung verbiete eine Buchauszugserteilung ohne die Darlegung der Erforderlichkeit der Mitteilung jedes einzelnen Datums durch den Kläger.

Dazu stellt das OLG fest, dass die DSGVO zwar auf alle im Laufe des Berufungsverfahrens erteilten Buchauszüge und auch auf alle nach § 87c Abs. 2 HGB zukünftig noch vorzunehmenden Datenverarbeitungen anwendbar ist. Jedoch ist die mit der Erteilung eines Buchauszuges verbundene Datenübermittlung nach Art. 6 Abs. 1 S. 1 DSGVO erlaubt. Das OLG geht also davon aus, dass die Weitergabe der Daten auf der Grundlage der DSVGO gerechtfertigt werden kann. Hierzu prüft das OLG das Vorliegen der verschiedenen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO.

Art. 6 Abs. 1 lit. b DSGVO

Die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. b DSGVO sind nicht erfüllt, da die Übermittlung des Buchauszugs nicht zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist.

Von der Datenverarbeitung betroffene Person im Sinne dieser Vorschrift ist nämlich jeder Kunde des Versicherungs- bzw. Finanzdienstleistungsvertrages, den der Kläger vermittelt hat, da sich die im Rahmen des Buchauszugs zu übermittelnden Daten auf die Kunden beziehen. Die Kunden sind aber nicht Partei des Vertretervertrages zwischen dem Kläger und der Beklagten, zu dessen Erfüllung die Erteilung des Buchauszugs nach § 87 c Abs. 2 HGB erfolgt.

Zurecht lehnt das OLG hier den Vertretervertrag als Grundlage der Datenübermittlung ab. Die betroffenen Personen, also die Kunden, sind nicht Partei dieses Vertrages. Dies ist jedoch zwingend Voraussetzung des Erlaubnistatbestandes.

Zudem ergänzt das OLG, dass die Erteilung des Buchauszugs nicht zur Erfüllung der von den Kunden abgeschlossenen Versicherungs- bzw. Finanzdienstleistungsverträgen erforderlich ist.

Art. 6 Abs. 1 lit. c DSGVO

Das OLG lehnt auch die Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. c DSGVO ab. Die Frage, ob es sich bei der Verpflichtung des Prinzipals zur Buchauszugserteilung nach § 87c Abs. 2 HGB um eine „rechtliche Verpflichtung“ iSd Art. 6 Abs. 1 S. 1 lit c. DSGVO handelt, lässt das Gericht ausdrücklich offen.

Denn es fehle jedenfalls an einem „öffentlichen Interesse“, das gemäß Art. 6 Abs. 3 S. 4 DSGVO mit der Buchauszugserteilung verfolgt werden müsste. Nach Ansicht des OLG erfolgt die Buchauszugserteilung aber ausschließlich zur Realisierung des Vergütungsinteresses des Versicherungs- bzw. Handelsvertreters.

Art. 6 Abs. 1 lit. f DSGVO

Die Erteilung des Buchauszugs ist jedoch durch den Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f DSGVO gedeckt, der die Übermittlung u.a. dann gestattet, wenn sie zur Wahrung der berechtigten Interessen eines Dritten erforderlich ist, sofern nicht die dagegen stehenden Interessen oder Grundrechte der betroffenen Person überwiegen.

Das Vergütungsinteresse des Versicherungs- bzw. Handelsvertreters qualifiziert das OLG als ein berechtigtes Interesse eines Dritten iSd. Art. 6 Abs. 1 S. 1 lit. f DSGVO,

da es aus einer von der Rechtsordnung erlaubten unternehmerischen Tätigkeit des Vertreters folgt und die unternehmerische Freiheit, die notwendigerweise das Recht zur Gewinnerzielung umfasst, ausdrücklich durch Art. 16 EUGRCh anerkannt und geschützt ist.

Das Gericht referenziert hier ausdrücklich auf die Grundrechte und Grundfreiheiten in der Charta der Europäischen Union. Dieser europarechtlich beeinflussten Begründung bleibt sich das OLG auch im Weiteren treu.

Denn zusätzlich führt das Gericht an, dass die europäische Rechtsordnung in Art. 12 Abs. 2 der Richtlinie des Rates vom 18.12.1986 zur Koordinierung der Rechtsvorschriften der Mitgliedstaaten betreffend die selbständigen Handelsvertreter (86/653/EWG) dem Warenhandelsvertreter (Art. 1 Abs. 2) auch ausdrücklich einen Anspruch gegen den Unternehmer auf Erteilung eines Auszugs aus den Büchern des Unternehmers zur Nachprüfung seines Provisionsanspruchs zugestehe. Hieraus leitet das OLG ab,

dass das Interesse des Handelsvertreters an der Erteilung eines Buchauszugs ein europarechtlich geschütztes und damit berechtigtes iSd. Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.

Zwar beziehe sich die Handelsvertreterrichtlinie gemäß ihrem Art. 1 Abs. 2 nur auf Warenhandelsvertreter. Dies ändere jedoch nichts daran, dass aufgrund der gleichlaufenden Interessenlage der Beteiligten

das Interesse eines sonstigen Handelsvertreters und/oder eines Versicherungsvertreters an der Erteilung eines Buchauszuges nicht weniger schützenswert ist.

Interessant an der Begründung des OLG ist sicherlich der stark europarechtliche geprägte Fokus. Man mag die Frage stellen, ob der Fall (bzw. hier konkret die Interessenabwägung) anders einzuordnen wäre, wenn „nur“ national manifestierte Interessen in die Waagschale zu werfen wären. Man wird jedoch davon ausgehen können, dass auch national verankerte Interessen Berücksichtigung finden können, so sie denn „berechtigt“ sind. Also nicht gegen Gesetze verstoßen. Die DSGVO selbst schränkt in Art. 6 Abs. 1 lit. f DSGVO die Interessen nicht auf solche ein, die allein auf EU-Ebene zu finden wären.

Die Weitergabe der Daten in Buchauszügen ist nach Ansicht des OLG auch erforderlich zur Erreichung des Zwecks.

Die Erteilung des Buchauszugs nach § 87 c Abs. 2 HGB ist zur Verwirklichung des Provisionsanspruchs des Versicherungs- bzw. Handelsvertreters und damit zur Realisierung dessen Vergütungsinteresses auch erforderlich“.

Denn erst durch die Erteilung des Buchauszugs werde der Vertreter in die Lage versetzt, zu überprüfen, ob die ihm vom Prinzipal erteilten Abrechnungen richtig und vollständig sind oder ob ihm noch ein darüber hinaus gehender Provisionsanspruch nach § 87 a HGB zusteht.

Zuletzt lehnt das OLG im konkreten Fall auch ein Überwiegen von gegenläufigen Interessen der Kunden des Prinzipals im Rahmen der Interessenabwägung ab.

Dabei stellt das Gericht zunächst auf die in der DSGVO enthaltenen Aufzählungen von berechtigten Interessen ab, insbesondere ErwG 47 DSGVO. Wichtige Kriterien sind danach eine eventuell bestehende (ggf. vertragliche) Beziehung zwischen dem Verantwortlichen und der betroffenen Person sowie auf die Erwartbarkeit der Datenverarbeitung für die betroffene Person.

In der streitgegenständlichen Konstellation kommt zwischen dem Kunden als betroffener Person und dem Verantwortlichen eine Beziehung allein aufgrund der Vermittlungstätigkeit des Vertreters zustande. Für den Kunden ist damit absehbar, dass seine Daten vom Verantwortlichen verarbeitet und insbesondere an den Vertreter übermittelt werden.

Nach Ansicht des OLG muss auch dem „geschäftsunerfahrenen Kunden“ nach der allgemeinen Lebenserfahrung klar sein, dass, wenn der Geschäftsabschluss mit dem Prinzipal über einen (Unter-)Versicherungs- bzw. Handelsvertreter erfolgt, letzterer Provision vom Prinzipal erhält und deren Abrechnung einen Datenaustausch zwischen dem Vertreter und Prinzipal voraussetzt. Diese Erwartbarkeit einer Datenübermittlung für den Kunden spricht nach Ansicht des OLG bereits für ein Überwiegen der Interessen des Vertreters.

Zudem verweist das Gericht auch hier erneut auf europarechtliche Vorgaben zum Handelsvertreterrecht. Auch im Rahmen der Interessenabwägung sei die in Art. 12 Abs. 2 der Handelsvertreterrichtlinie enthaltene

grundsätzliche Entscheidung des europäischen Gesetzgebers zu berücksichtigen, dem (Waren-)Handelsvertreter nicht nur einen allgemeinen Auskunftsanspruch, sondern ausdrücklich einen Anspruch auf einen Buchauszug einzuräumen.

Fazit

Das OLG gestattet die Weitergabe personenbezogener Daten an den Handelsvertreter, damit dieser seine Provisionszahlungen prüfen kann. Die DSGVO steht dem, zumindest, was den Erlaubnistatbestand betrifft, nicht entgegen. Zu beachten sind jedoch noch zwei Punkte.

Zum einen bestehen für den Handelsvertreter, der als eigener Verantwortlicher agiert, natürlich daneben sämtliche weitere datenschutzrechtliche Pflichten der DSVGO, wie etwa Informationspflichten nach den Art. 12 ff. DSGVO.

Zum anderen befasst sich das OLG hier nicht mit der Frage, wie die Weitergabe von besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) zu beurteilen wäre. Für den Umgang mit solchen Daten, etwa Informationen zum Gesundheitszustand, gelten erhöhe Anforderungen und es muss ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSVGO vorliegen. In Betracht kommt im Rahmen des Provisionsanspruch wohl vor allem Art. 9 Abs. 2 lit. f DSGVO, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

OVG Hamburg: Kein Anspruch auf Berichtigung der Personalakte nach der DSGVO bei einer Namensänderung

Das OVG Hamburg hat sich in einem Beschluss vom 27.05.2019 (Az. 5 Bf 225/18.Z) unter anderem mit der Frage beschäftigt, wie weit der Berichtigungsanspruch des Art. 16 DSGVO reicht. Der konkrete Fall spielte im öffentlichen Bereich, kann jedoch hinsichtlich der Begründung auch für Unternehmen und deren Führung von Personalakten von Mitarbeitern relevant sein. Nach Ansicht des OVG ergibt sich aus Art. 16 DSGVO kein Anspruch, nach der offiziellen Änderung eines Vornamens, den Inhalt der Personalakte rückwirkend (auch für den Zeitraum vor der Namensänderung) der neuen Namensführung anzupassen.

Sachverhalt

Die Klägerin, eine Bundespolizistin, begehrt die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin wurde mit männlichem Geschlecht und männlichen Vornamen geboren. Im Oktober 2012 wurden die Vornamen der Klägerin gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (TSG) geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen.

Danach wandte sich die Klägerin an die Beklagte und forderte diese auf, alle Schriftstücke in der über sie geführten Personalakte an ihre jetzigen Vornamen sowie an das weibliche Geschlecht anzupassen. Sie berief sich hierzu u.a. auf § 20 Abs. 1 BDSG a.F. Das Verwaltungsgericht hatte die Klage abgewiesen.

Entscheidung

Nach Ansicht des OVG ergibt sich der geltend gemacht Anspruch zur Änderung der Vornamen in alten Schriftstücken nicht aus dem datenschutzrechtlichen Berichtigungsanspruch (Art. 16 DSGVO) oder dem Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).

Nach Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Nach Ansicht seien die alten Vornamen unrichtig, weswegen sie zu berichtigen seien. Bereits das Verwaltungsgericht hatte dies u.a. mit der Begründung abgelehnt, dass die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe.

Zunächst stützt das OVG die Begründung des Verwaltungsgerichts. Die Änderung der Vornamen (in eine weibliche Form) wirkt nicht ex tunc, also in die Vergangenheit. Deswegen sind die alten Vornamen, die noch in der Personalakte vorhanden sind, auch nicht unrichtig geworden.

Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.

Da das OVG davon ausgeht, dass die personenbezogenen Daten (hier: die Vornamen) weiterhin richtig sind, lehnt es folgerichtig einen Berichtigungsanspruch aus Art. 16 DSGVO ab. Denn dieser setzt voraus, dass „unrichtige“ personenbezogene Daten vorliegen. Interessant an der Begründung ist, dass das OVG hinsichtlich der Beurteilung der Richtigkeit von Daten nicht allein auf den aktuellen Zeitpunkt abstellt, sondern quasi die historische Entwicklung eines Datums mitberücksichtigt. Ein in der Vergangenheit richtiges Datum wird also nicht dadurch „unrichtig“, dass sich die (persönlichen oder sachlichen) Verhältnisses der betroffenen Person mit der Zeit geändert haben.

Das OVG stützt seine Begründung daneben aber auch auf den Datenschutzgrundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO.

Danach müssen personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein. Nach Ansicht des OVG kommt es im vorliegenden Fall auf den jeweiligen historischen Kontext an. Daher machen

nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch.

Man kann das OVG also so verstehen, dass der Berichtigungsanspruch nicht dazu dienen soll, die richtig dokumentierte Vergangenheit zu ändern. Vorliegend hielt die Beklagte ihre Personalakten auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können. Zudem fügt das OVG noch hinzu, dass eine nachträgliche Anpassung, die aus den Akten nicht erkennbar wäre, umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen kann.

Fazit

Zum Recht auf Berichtigung gibt es bislang noch wenige Entscheidungen. Umso relevanter dürften die obergerichtlichen Aussagen aus Hamburg sein. Wie bereits erwähnt, kann die Argumentation des Gerichts, auf deren Grundlage der Anspruch nach Art. 16 DSGVO abgelehnt wird, durchaus auch in der Privatwirtschaft, etwa im Rahmen der Führung von Personalalten und sonstigen Mitarbeiterdatenverwaltung von Relevanz sein.