Monthly Archives: August 2019

Bundesarbeitsgericht zur Rolle des Betriebsrates unter der DSGVO – so oder so: das Datenschutzrecht ist zu beachten.

Posted on by

Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).

Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.

Sachverhalt

Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.

Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.

Entscheidung

Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.

Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.

Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.

In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.

In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.

Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,

also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.

Betriebsrat ist auf jeden Fall „Empfänger“

Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.

Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.

Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.

Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.

Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.

Für den Betriebsrat gilt die DSGVO

Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.

Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).

Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.

Dies ist hier nicht der Fall.

Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.

Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.

Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht

gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.

Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.

Erlaubnistatbestand?

Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.

In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.

Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).

§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO

Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).

Handelsvertreter und die DSGVO – OLG München entscheidet über Auskunftsanspruch gegen den Prinzipal

Posted on by

Nach § 87 Abs. 1 HGB hat der Handelsvertreter Anspruch auf Provision für alle während des Vertragsverhältnisses abgeschlossenen Geschäfte, die auf seine Tätigkeit zurückzuführen sind oder mit Dritten abgeschlossen werden. Der Unternehmer hat zudem über die Provision, auf die der Handelsvertreter Anspruch hat, monatlich abzurechnen (§ 87c Abs. 1 HGB).  Damit der Handelsvertreter die Provisionsberechnung nachvollziehen kann, gesteht ihm das Gesetz einen Anspruch auf Erteilung des sog. Buchauszugs zu. § 87c Abs. 2 HGB: Der Handelsvertreter kann bei der Abrechnung einen Buchauszug über alle Geschäfte verlangen, für die ihm nach § 87 Provision gebührt.

Es stellt sich freilich die Frage, welche Arten von Daten in dem Buchauszug enthalten sein müssen bzw. aus datenschutzrechtlichen Gesichtspunkten enthalten sein dürfen, damit der Handelsvertreter seinen Anspruch noch sinnvoll nutzen kann. Wenig verwundern dürfte, dass Buchauszüge auch personenbezogene Daten (Namen, Adressen, Kontaktdaten) von Kunden enthalten können. Hierzu sei nur kurz anzumerken, dass die DSGVO auch im B2B-Bereich Anwendung findet. Also auch dann, wenn etwa Kontaktdaten von Personen in Unternehmen im Auszug enthalten wären. Oft wird der Auszug aber ohnehin Daten von Endkunden enthalten, z. B. im Versicherungsbereich.

Genau um solche Verträge ging es in einem Urteil OLG München (Endurteil v. 31.07.20197 U 4012/17). Das Gericht musste klären, ob einem solchen Anspruch auf Buchauszug evtl. die DSGVO entgegensteht, da personenbezogene Daten an den Handelsvertreter weitergegeben werden.

Sachverhalt

Die Parteien stritten um einen Anspruch des Klägers gegen die Beklagte auf Erteilung eines Buchauszugs. Die Beklagte vermittelt Versicherungsverträge, Finanzierungen und Anlagen. Der Kläger war für die Beklage als selbständiger (Unter-)Handels- und (Unter-)Versicherungsvertreter tätig.

Das Handels- und Versicherungsvertreterverhältnis des Klägers endete unter streitigen Umständen zu einem streitigen Zeitpunkt. Das Landgericht München I (Az. 14 HK O 10300/15) hat über den Buchauszugsanspruch des Klägers entschieden und der Klage insoweit vollumfänglich stattgegeben.

Die Beklagte führt u.a. aus, dass die Datenschutz–Grundverordnung einer Buchauszugserteilung entgegenstehe. Dieser Ansicht folgte des OLG nicht.

Entscheidung

Zunächst befasst sich das OLG natürlich schwerpunktmäßig mit dem Handelsvertreterrecht nach dem HGB. Nach Ansicht des OLG hat der Kläger als selbständiger Unterversicherungs- und Unterhandelsvertreter iSd. § 84 Abs. 3 HGB dem Grunde nach einen Anspruch gegen die Beklagte aus §§ 92 Abs. 2, 87c Abs. 2 HGB auf Erteilung eines Buchauszuges.

Danach wendet sich das OLG in seiner Begründung dem Datenschutzrecht zu.

Die Beklagte kann dem Buchauszugsanspruch des Klägers auch nicht entgegenhalten, die Datenschutzgrundverordnung verbiete eine Buchauszugserteilung ohne die Darlegung der Erforderlichkeit der Mitteilung jedes einzelnen Datums durch den Kläger.

Dazu stellt das OLG fest, dass die DSGVO zwar auf alle im Laufe des Berufungsverfahrens erteilten Buchauszüge und auch auf alle nach § 87c Abs. 2 HGB zukünftig noch vorzunehmenden Datenverarbeitungen anwendbar ist. Jedoch ist die mit der Erteilung eines Buchauszuges verbundene Datenübermittlung nach Art. 6 Abs. 1 S. 1 DSGVO erlaubt. Das OLG geht also davon aus, dass die Weitergabe der Daten auf der Grundlage der DSVGO gerechtfertigt werden kann. Hierzu prüft das OLG das Vorliegen der verschiedenen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO.

Art. 6 Abs. 1 lit. b DSGVO

Die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. b DSGVO sind nicht erfüllt, da die Übermittlung des Buchauszugs nicht zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist.

Von der Datenverarbeitung betroffene Person im Sinne dieser Vorschrift ist nämlich jeder Kunde des Versicherungs- bzw. Finanzdienstleistungsvertrages, den der Kläger vermittelt hat, da sich die im Rahmen des Buchauszugs zu übermittelnden Daten auf die Kunden beziehen. Die Kunden sind aber nicht Partei des Vertretervertrages zwischen dem Kläger und der Beklagten, zu dessen Erfüllung die Erteilung des Buchauszugs nach § 87 c Abs. 2 HGB erfolgt.

Zurecht lehnt das OLG hier den Vertretervertrag als Grundlage der Datenübermittlung ab. Die betroffenen Personen, also die Kunden, sind nicht Partei dieses Vertrages. Dies ist jedoch zwingend Voraussetzung des Erlaubnistatbestandes.

Zudem ergänzt das OLG, dass die Erteilung des Buchauszugs nicht zur Erfüllung der von den Kunden abgeschlossenen Versicherungs- bzw. Finanzdienstleistungsverträgen erforderlich ist.

Art. 6 Abs. 1 lit. c DSGVO

Das OLG lehnt auch die Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. c DSGVO ab. Die Frage, ob es sich bei der Verpflichtung des Prinzipals zur Buchauszugserteilung nach § 87c Abs. 2 HGB um eine „rechtliche Verpflichtung“ iSd Art. 6 Abs. 1 S. 1 lit c. DSGVO handelt, lässt das Gericht ausdrücklich offen.

Denn es fehle jedenfalls an einem „öffentlichen Interesse“, das gemäß Art. 6 Abs. 3 S. 4 DSGVO mit der Buchauszugserteilung verfolgt werden müsste. Nach Ansicht des OLG erfolgt die Buchauszugserteilung aber ausschließlich zur Realisierung des Vergütungsinteresses des Versicherungs- bzw. Handelsvertreters.

Art. 6 Abs. 1 lit. f DSGVO

Die Erteilung des Buchauszugs ist jedoch durch den Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f DSGVO gedeckt, der die Übermittlung u.a. dann gestattet, wenn sie zur Wahrung der berechtigten Interessen eines Dritten erforderlich ist, sofern nicht die dagegen stehenden Interessen oder Grundrechte der betroffenen Person überwiegen.

Das Vergütungsinteresse des Versicherungs- bzw. Handelsvertreters qualifiziert das OLG als ein berechtigtes Interesse eines Dritten iSd. Art. 6 Abs. 1 S. 1 lit. f DSGVO,

da es aus einer von der Rechtsordnung erlaubten unternehmerischen Tätigkeit des Vertreters folgt und die unternehmerische Freiheit, die notwendigerweise das Recht zur Gewinnerzielung umfasst, ausdrücklich durch Art. 16 EUGRCh anerkannt und geschützt ist.

Das Gericht referenziert hier ausdrücklich auf die Grundrechte und Grundfreiheiten in der Charta der Europäischen Union. Dieser europarechtlich beeinflussten Begründung bleibt sich das OLG auch im Weiteren treu.

Denn zusätzlich führt das Gericht an, dass die europäische Rechtsordnung in Art. 12 Abs. 2 der Richtlinie des Rates vom 18.12.1986 zur Koordinierung der Rechtsvorschriften der Mitgliedstaaten betreffend die selbständigen Handelsvertreter (86/653/EWG) dem Warenhandelsvertreter (Art. 1 Abs. 2) auch ausdrücklich einen Anspruch gegen den Unternehmer auf Erteilung eines Auszugs aus den Büchern des Unternehmers zur Nachprüfung seines Provisionsanspruchs zugestehe. Hieraus leitet das OLG ab,

dass das Interesse des Handelsvertreters an der Erteilung eines Buchauszugs ein europarechtlich geschütztes und damit berechtigtes iSd. Art. 6 Abs. 1 S. 1 lit. f DSGVO ist.

Zwar beziehe sich die Handelsvertreterrichtlinie gemäß ihrem Art. 1 Abs. 2 nur auf Warenhandelsvertreter. Dies ändere jedoch nichts daran, dass aufgrund der gleichlaufenden Interessenlage der Beteiligten

das Interesse eines sonstigen Handelsvertreters und/oder eines Versicherungsvertreters an der Erteilung eines Buchauszuges nicht weniger schützenswert ist.

Interessant an der Begründung des OLG ist sicherlich der stark europarechtliche geprägte Fokus. Man mag die Frage stellen, ob der Fall (bzw. hier konkret die Interessenabwägung) anders einzuordnen wäre, wenn „nur“ national manifestierte Interessen in die Waagschale zu werfen wären. Man wird jedoch davon ausgehen können, dass auch national verankerte Interessen Berücksichtigung finden können, so sie denn „berechtigt“ sind. Also nicht gegen Gesetze verstoßen. Die DSGVO selbst schränkt in Art. 6 Abs. 1 lit. f DSGVO die Interessen nicht auf solche ein, die allein auf EU-Ebene zu finden wären.

Die Weitergabe der Daten in Buchauszügen ist nach Ansicht des OLG auch erforderlich zur Erreichung des Zwecks.

Die Erteilung des Buchauszugs nach § 87 c Abs. 2 HGB ist zur Verwirklichung des Provisionsanspruchs des Versicherungs- bzw. Handelsvertreters und damit zur Realisierung dessen Vergütungsinteresses auch erforderlich“.

Denn erst durch die Erteilung des Buchauszugs werde der Vertreter in die Lage versetzt, zu überprüfen, ob die ihm vom Prinzipal erteilten Abrechnungen richtig und vollständig sind oder ob ihm noch ein darüber hinaus gehender Provisionsanspruch nach § 87 a HGB zusteht.

Zuletzt lehnt das OLG im konkreten Fall auch ein Überwiegen von gegenläufigen Interessen der Kunden des Prinzipals im Rahmen der Interessenabwägung ab.

Dabei stellt das Gericht zunächst auf die in der DSGVO enthaltenen Aufzählungen von berechtigten Interessen ab, insbesondere ErwG 47 DSGVO. Wichtige Kriterien sind danach eine eventuell bestehende (ggf. vertragliche) Beziehung zwischen dem Verantwortlichen und der betroffenen Person sowie auf die Erwartbarkeit der Datenverarbeitung für die betroffene Person.

In der streitgegenständlichen Konstellation kommt zwischen dem Kunden als betroffener Person und dem Verantwortlichen eine Beziehung allein aufgrund der Vermittlungstätigkeit des Vertreters zustande. Für den Kunden ist damit absehbar, dass seine Daten vom Verantwortlichen verarbeitet und insbesondere an den Vertreter übermittelt werden.

Nach Ansicht des OLG muss auch dem „geschäftsunerfahrenen Kunden“ nach der allgemeinen Lebenserfahrung klar sein, dass, wenn der Geschäftsabschluss mit dem Prinzipal über einen (Unter-)Versicherungs- bzw. Handelsvertreter erfolgt, letzterer Provision vom Prinzipal erhält und deren Abrechnung einen Datenaustausch zwischen dem Vertreter und Prinzipal voraussetzt. Diese Erwartbarkeit einer Datenübermittlung für den Kunden spricht nach Ansicht des OLG bereits für ein Überwiegen der Interessen des Vertreters.

Zudem verweist das Gericht auch hier erneut auf europarechtliche Vorgaben zum Handelsvertreterrecht. Auch im Rahmen der Interessenabwägung sei die in Art. 12 Abs. 2 der Handelsvertreterrichtlinie enthaltene

grundsätzliche Entscheidung des europäischen Gesetzgebers zu berücksichtigen, dem (Waren-)Handelsvertreter nicht nur einen allgemeinen Auskunftsanspruch, sondern ausdrücklich einen Anspruch auf einen Buchauszug einzuräumen.

Fazit

Das OLG gestattet die Weitergabe personenbezogener Daten an den Handelsvertreter, damit dieser seine Provisionszahlungen prüfen kann. Die DSGVO steht dem, zumindest, was den Erlaubnistatbestand betrifft, nicht entgegen. Zu beachten sind jedoch noch zwei Punkte.

Zum einen bestehen für den Handelsvertreter, der als eigener Verantwortlicher agiert, natürlich daneben sämtliche weitere datenschutzrechtliche Pflichten der DSVGO, wie etwa Informationspflichten nach den Art. 12 ff. DSGVO.

Zum anderen befasst sich das OLG hier nicht mit der Frage, wie die Weitergabe von besonderen Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) zu beurteilen wäre. Für den Umgang mit solchen Daten, etwa Informationen zum Gesundheitszustand, gelten erhöhe Anforderungen und es muss ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSVGO vorliegen. In Betracht kommt im Rahmen des Provisionsanspruch wohl vor allem Art. 9 Abs. 2 lit. f DSGVO, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Datenschutzbehörde Bremen befragt Unternehmen zur Nutzung von Microsoft Office 365

Posted on by

Die LfDI Bremen hat auf ihrer Webseite Informationen zu einer aktuellen Umfrage bei den 30 größten Unternehmen der Hansestadt zum Einsatz von Microsoft Office 365 veröffentlicht. Hierfür werden Fragebögen an Unternehmen in Bremen gesendet.

Die Aufsichtsbehörde begründet die Aktion damit, dass es zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 gegeben habe und daher der Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer betrachtet werden soll.

Die angeschriebenen Unternehmen wurden laut Angaben der LfDI aufgefordert, den Fragebogen bis zum 30. September 2019 zu beantworten.

Der von der LfDI genutzte Fragebogen findet sich hier (pdf).

Die Frage sind noch recht allgemein gehalten. Die LfDI wird sich in einem ersten Schritt wohl zunächst einen Überblick über den Einsatz der Software und auch die interne Dokumentation der Unternehmen zu dem Einsatz verschaffen wollen.

U.a. wird auch danach gefragt, ob vor dem Einsatz der Software eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt wurde. Sollte die Antwort „nein“ lauten, soll das Unternehmen begründen, warum die DSFA nicht stattfand. Hierbei scheint die LfDI eventuell Berichte aus den Niederlanden im Kopf zu haben. Dort wurde für das Justizministerium durch eine Beratungsgesellschaft eine DSFA durchgeführt und die Ergebnisse veröffentlicht.

Daneben fragt die LfDI etwa auch nach der Rechtsgrundlage der Datenübermittlung in Drittstaaten (konkret die USA).

Das jeweilige Anschreiben an die Unternehmen ist nicht veröffentlicht. Da laut den Informationen auf der Webseite die Unternehmen aber „aufgefordert“ werden, bis zu einer bestimmten Frist Informationen bereitzustellen, kann es sich hier auch um einen Verwaltungsakt handeln. Dafür kann etwa sprechen, wenn in dem Anschreiben auf § 40 Abs. 4 BDSG verwiesen wird, wonach der Aufsicht unterliegenden Stellen verpflichtet sind, einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen.

Erst kürzlich entschied das Verwaltungsgericht Mainz (Urteil vom 09.05.2019 – 1 K 760/18.MZ) in einem Verfahren, in dem die Datenschutzbehörde von dem Betreiber eines Tanzlokals Auskunft in Form eines Fragenkataloges, der insgesamt 16 Fragen umfasste, insbesondere hinsichtlich des Umfangs der eingesetzten Videoüberwachungstechnik, begehrte. Das Verwaltungsgericht sah den diesbezüglich erlassenen Verwaltungsakt der Behörde als rechtmäßig an. Das Verwaltungsgericht verwies hierzu u.a. auf die Untersuchungsbefugnisse der Behörden nach Art. 58 DSGVO und die Aufgabe nach Art. 57 Abs. 1 lit. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen. Auf Art. 57 Abs. 1 lit. a DSGVO verweist auch hier die LfDI Bremen in den Erläuterungen.

Sollte es sich hier um einen Verwaltungsakt handeln, bestehen für die Unternehmen natürlich auch die gesetzlich vorgeschriebenen Rechtschutzmöglichkeiten.

OVG Hamburg: Kein Anspruch auf Berichtigung der Personalakte nach der DSGVO bei einer Namensänderung

Posted on by

Das OVG Hamburg hat sich in einem Beschluss vom 27.05.2019 (Az. 5 Bf 225/18.Z) unter anderem mit der Frage beschäftigt, wie weit der Berichtigungsanspruch des Art. 16 DSGVO reicht. Der konkrete Fall spielte im öffentlichen Bereich, kann jedoch hinsichtlich der Begründung auch für Unternehmen und deren Führung von Personalakten von Mitarbeitern relevant sein. Nach Ansicht des OVG ergibt sich aus Art. 16 DSGVO kein Anspruch, nach der offiziellen Änderung eines Vornamens, den Inhalt der Personalakte rückwirkend (auch für den Zeitraum vor der Namensänderung) der neuen Namensführung anzupassen.

Sachverhalt

Die Klägerin, eine Bundespolizistin, begehrt die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin wurde mit männlichem Geschlecht und männlichen Vornamen geboren. Im Oktober 2012 wurden die Vornamen der Klägerin gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (TSG) geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen.

Danach wandte sich die Klägerin an die Beklagte und forderte diese auf, alle Schriftstücke in der über sie geführten Personalakte an ihre jetzigen Vornamen sowie an das weibliche Geschlecht anzupassen. Sie berief sich hierzu u.a. auf § 20 Abs. 1 BDSG a.F. Das Verwaltungsgericht hatte die Klage abgewiesen.

Entscheidung

Nach Ansicht des OVG ergibt sich der geltend gemacht Anspruch zur Änderung der Vornamen in alten Schriftstücken nicht aus dem datenschutzrechtlichen Berichtigungsanspruch (Art. 16 DSGVO) oder dem Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).

Nach Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Nach Ansicht seien die alten Vornamen unrichtig, weswegen sie zu berichtigen seien. Bereits das Verwaltungsgericht hatte dies u.a. mit der Begründung abgelehnt, dass die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe.

Zunächst stützt das OVG die Begründung des Verwaltungsgerichts. Die Änderung der Vornamen (in eine weibliche Form) wirkt nicht ex tunc, also in die Vergangenheit. Deswegen sind die alten Vornamen, die noch in der Personalakte vorhanden sind, auch nicht unrichtig geworden.

Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.

Da das OVG davon ausgeht, dass die personenbezogenen Daten (hier: die Vornamen) weiterhin richtig sind, lehnt es folgerichtig einen Berichtigungsanspruch aus Art. 16 DSGVO ab. Denn dieser setzt voraus, dass „unrichtige“ personenbezogene Daten vorliegen. Interessant an der Begründung ist, dass das OVG hinsichtlich der Beurteilung der Richtigkeit von Daten nicht allein auf den aktuellen Zeitpunkt abstellt, sondern quasi die historische Entwicklung eines Datums mitberücksichtigt. Ein in der Vergangenheit richtiges Datum wird also nicht dadurch „unrichtig“, dass sich die (persönlichen oder sachlichen) Verhältnisses der betroffenen Person mit der Zeit geändert haben.

Das OVG stützt seine Begründung daneben aber auch auf den Datenschutzgrundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO.

Danach müssen personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein. Nach Ansicht des OVG kommt es im vorliegenden Fall auf den jeweiligen historischen Kontext an. Daher machen

nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch.

Man kann das OVG also so verstehen, dass der Berichtigungsanspruch nicht dazu dienen soll, die richtig dokumentierte Vergangenheit zu ändern. Vorliegend hielt die Beklagte ihre Personalakten auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können. Zudem fügt das OVG noch hinzu, dass eine nachträgliche Anpassung, die aus den Akten nicht erkennbar wäre, umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen kann.

Fazit

Zum Recht auf Berichtigung gibt es bislang noch wenige Entscheidungen. Umso relevanter dürften die obergerichtlichen Aussagen aus Hamburg sein. Wie bereits erwähnt, kann die Argumentation des Gerichts, auf deren Grundlage der Anspruch nach Art. 16 DSGVO abgelehnt wird, durchaus auch in der Privatwirtschaft, etwa im Rahmen der Führung von Personalalten und sonstigen Mitarbeiterdatenverwaltung von Relevanz sein.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Posted on by

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

Bundesregierung: Schadensersatzhaftung wegen Sorgfaltspflichtverstoß nach DSGVO

Posted on by

Die Bundesregierung, konkret das Bundesgesundheitsministerium, hat eine schriftliche Frage des Abgeordneten Dr. Kessler im Bundestag beantwortet, die sich mit der Haftung für Verstöße gegen die DSGVO befasst.

Die Frage (BT Drs. 19/11401, pdf S. 87) bezieht sich auf die Haftung für Verstöße gegen die DSGVO im Gesundheitsbereich, konkret in ärztlichen, zahnärztlichen oder psychotherapeutischen Praxen.

Zunächst verweist die Bundesregierung auf Art. 82 DSGVO und auch § 83 BDSG. Der Verweis auf § 83 BDSG ist hier meines Erachtens falsch, da § 83 BDSG eine Umsetzung der Vorgaben der Richtlinie 2016/680 darstellt und diese auf die Tätigkeiten von Praxisinhabern keine Anwendung findet.

Weiter führt die Bundesregierung in ihrer Antwort aus, dass Verantwortlicher (iSd DSGVO) in einer ärztlichen, zahnärztlichen oder psychotherapeutischen Praxis grundsätzlich der oder die Inhaber dieser Praxis sind. Diese Ansicht dürfte nicht weiter überraschen.

Interessant ist meines Erachtens die nachfolgende Einschätzung. Die Bundesregierung verweist auf Art. 24 DSGVO wonach der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen hat, um sicherzustellen, dass die Verarbeitung gemäß den Vorgaben der DSGVO erfolgt.

Hat er seine diesbezügliche Sorgfaltspflicht nicht erfüllt, haftet er nach Artikel 82 DSGVO und § 83 BDSG für einen daraus resultierenden Schaden.

Die Bundesregierung scheint hier aus Art. 24 DSGVO mithin eine allgemeine Sorgfaltspflicht des Verantwortlichen (nur für diesen gilt Art. 24 DSGVO) abzuleiten. Diese Sorgfaltspflicht bezieht die Bundesregierung ganz generell auf die Verarbeitung, die die Vorgaben der DSGVO einhalten muss. Dabei bleibt die Aussage der Bundesregierung zum Pflichtenumfang vage und weit. Das ist aber wenig verwunderlich, da Art. 24 Abs. 1 DSGVO selbst auch sehr offen formuliert ist. Für die Praxis interessant dürfte an der Aussage in jedem Fall sein, dass die Bundesregierung in Art. 24 DSGVO eine allgemeine Sorgfaltspflicht verortet, deren Nichteinhaltung zur Schadensersatzhaftung führen kann.

Zu beachten ist hierbei, dass Art. 24 DSGVO selbst eigentlich keine weiteren konkreten Pflichten vorgibt, sondern eher als General- bzw. Auffangnorm in der DSGVO zur Verantwortlichkeit des Verantwortlichen angesehen wird. Hinzuweisen ist auch noch darauf, dass Art. 24 DSGVO sich ausdrücklich auf die Verarbeitung bezieht, die gemäß der DSGVO erfolgen muss. Art. 24 DSGVO erstreckt sich mithin nicht auf nicht-verarbeitungsbezogene Pflichten, wie etwa die Benennung eines DSB.