Landesarbeitsgericht: Betriebsrat muss eigene angemessene Schutzmaßnahmen vorsehen und nachweisen, wenn er vom Arbeitgeber Auskunft über sensible Daten verlangt

Das Landesarbeitsgericht Baden-Württemberg hat sich mit Beschluss vom 20.5.2022 (Az 12 TaBV 4/21) zu den datenschutzrechtlichen Voraussetzungen der Weitergabe besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) vom Arbeitgeber an den Betriebsrat geäußert. Im konkreten Fall ging es um ein Auskunftsbegehren des Betriebsrates nach § 80 Abs. 2 S. 1 BetrVG, in Bezug auf Anzahl und Namen von schwerbehinderten/gleichgestellten Menschen.

Rechtsgrundlage der Datenverarbeitung

Die Weitergabe der Daten an den Betriebsrat kann auf die Rechtsgrundlage des § 26 Abs. 3 BDSG (als Umsetzung von der Öffnungsklausel in Art. 9 Abs. 2 lit. b DSGVO) gestützt werden. Bei der Weitergabe solcher hier betroffener „sensibler“ Daten an den Betriebsrat, sind nach § 26 Abs. 3 S. 3 BDSG zudem die besonderen Anforderungen des § 22 Abs. 2 BDSG zu beachten. Es sind danach angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Aber: der Arbeitgeber habe rein faktisch die Beachtung des Gebots angemessener und spezifischer Schutzmaßnahmen nicht in der Hand.

Ihm sind hierauf bezogene Vorgaben an den Betriebsrat aufgrund dessen Unabhängigkeit als Strukturprinzip der Betriebsverfassung verwehrt“.

Hieraus folgert das LAG, dass es Aufgabe des Betriebsrates sei, bei der Geltendmachung eines auf sensitive Daten gerichteten Auskunftsbegehrens,

das Vorhalten von Maßnahmen darzulegen, welche die berechtigten Interessen der betroffenen Arbeitnehmer – vorliegend der ihre Schwerbehinderung mitteilenden Arbeitnehmer – wahren“.

Für die Praxis bedeutet dies, dass der Betriebsrat, bevor der Arbeitgeber die Daten weitergaben oder zB Zugriff gewähren kann, entsprechende Schutzmaßnahmen nachweisen muss. Der Nachweis dieser Schutzmaßnahmen ist nach Ansicht des LAG ein Teil der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung. Dies macht das LAG in seiner Begründung sehr deutlich:


Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit – was der Würdigung des Tatsachengerichts unterliegt – schließt den streitbefangenen Anspruch aus“.

Erforderliche Schutzmaßnahmen

Zunächst stellt des LAG klar, dass die in § 22 Abs. 2 BDSG genannten Maßnahmen allein eine beispielhafte Aufzählung bilden und nicht abschließend zu verstehen sind.

Ziel der Schutzmaßnahmen muss auf Seiten des Betriebsrates die Gewährleistung sein, dass er bei einer Verarbeitung sensitiver Daten das Vertraulichkeitsinteresse der Betroffenen strikt achtet und Vorkehrungen trifft, die bei wertender Betrachtung den in § 22 Abs. 2 S. 2 BDSG aufgelisteten Kriterien entsprechen.

Das LAG benennt in seiner Entscheidung einige Beispielmaßnahmen.

Hierzu können Maßnahmen zur Datensicherheit wie das zuverlässige Sicherstellen des Verschlusses der Daten, die Gewähr begrenzter Zugriffsmöglichkeiten oder deren Beschränkung auf einzelne Betriebsratsmitglieder sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe gehören.“

Im konkreten Fall erachtete das LAG die vorhandenen Maßnahmen als ausreichend. So existierte etwa für eine elektronische Übermittlung eine spezielle Empfängeradresse mit Passwortschutz. Hiermit, so das LAG, wird der Betriebsrat zugleich seiner Pflicht zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DSGVO gerecht.

Eine Anonymisierung bzw. Pseudonymisierung (vgl. § 22 Abs. 2 Nr. 6 BDSG) kann hier nicht verlangt werden. Denn der Auskunftsanspruch des Betriebsrates zielt ja gerade auf Namen von Personen. Ohne diese Namen könnte der Betriebsrat also seine Aufgaben nicht wahrnehmen.  

Zudem nennt das LAG allgemein noch weitere möglich Maßnahmen, die der Betriebsrat ergreifen könnte: freiwillige Benennung eines Datenschutz-Sonderbeauftragten für das Gremium, eine verpflichtende Grundschulung im Datenschutz für sämtliche Betriebsratsmitglieder zu organisieren, ein eigenes Datenschutzkonzept zu entwickeln, die Rechte der betroffenen Beschäftigten sicherzustellen.

Diese Liste mit Maßnahmen kann in der Praxis als eine gute Grundlage für eigene Prüfung der Zulässigkeit einer Datenweitergabe an den Betriebsrat verwendet werden.

Datenschutzbeauftragter des Arbeitgebers darf auch den Betriebsrat überwachen

Zudem beantwortet das LAG noch eine, in der Praxis immer mal wieder diskutierte, Frage. Benötigt der Betriebsrat einen eigenen Datenschutzbeauftragten oder darf bzw. muss der Datenschutzbeauftragte des Arbeitgebers auch den Betriebsrat kontrollieren?

Nach Auffassung des LAG richtet sich die (u.a. auch in § 22 Abs. 2 Nr. 4 BDSG) vorgesehene Bestellung eines Datenschutzbeauftragten nicht an den Betriebsrat, sondern an den Arbeitgeber. Und weiter:

„Die Verarbeitung personenbezogener Daten durch den Betriebsrat unterliegt unter Geltung der DSGVO dabei ohnehin der Überwachung durch den betrieblichen Datenschutzbeauftragten“

Dies, so das LAG, werde zwar in der neuen Vorschrift des § 79a BetrVG nicht ausdrücklich geregelt, aber sowohl von § 79a S. 4 BetrVG als auch im Regierungsentwurf vorausgesetzt, BT-Drs. 19/2899, S. 22.

Verwaltungsgericht Bremen: Keine Auskunft über Betroffenenrechte, wenn der Betroffene diese kennt und selbst erwähnt?

Das Verwaltungsgericht (VG) Bremen hat sich in einem Urteil vom 22.06.2022 (Az. 4 K 1/21; derzeit leider bei BeckOnline kostenpflichtig abrufbar, BeckRS 2022, 16412) mit Fragen rund um das Auskunftsrecht nach Art. 15 DSGVO befasst. Das VG lehnt zum Teil eine Pflicht des Verantwortlichen ab, Informationen nach Art. 15 Abs. 1 lit. a) – h) DSGVO zu erteilen. Der Fall selbst erscheint mir einigermaßen „speziell“.

Sachverhalt

Die Kläger machen gegenüber der Beklagten (einer öffentlichen Stelle) Auskunftsansprüche nach der DSGVO geltend. Mit Schreiben vom 16.06.2020, adressiert an die Beklagte – Amt für Kinder, Jugend und Familie -, beantragte die Klägerin zu 1. für sich und die Kläger zu 2. und 3. bei der Beklagten unter Hinweis auf Art. 15 Abs. 1 lit. a) bis h) DSGVO die Erteilung von Auskünften über die über sie selbst und ihre beiden Söhne erhobenen und verarbeiteten personenbezogenen Daten.

Die Beklagte teilte ihr daraufhin mit, dass es keine zentrale Stelle gäbe, die sämtliche personenbezogenen Daten von Betroffenen erfassen und zusammenführen würde, weswegen sie sich hinsichtlich des geltend gemachten Anspruchs an die jeweilige Stelle in Bremerhaven wenden müsste. Am 03.01.2021 wurde Klage und zugleich ein Antrag auf Gewährung vorläufigen Rechtsschutzes eingereicht und zur Begründung vorgetragen, die Beklagte habe nicht auf ihr Auskunftsbegehren vom 16.06.2020 reagiert. Auch die nachträglich vorgelegten Unterlagen seien unvollständig.

Mit Schreiben vom 03.03.2022 hat die Beklagte der Klägerin zu 1. u.a. eine ExcelTabelle zu den verarbeiteten personenbezogenen Daten übermittelt. Mit Schreiben vom 11.05.2022 hat die Beklagte u.a. auch noch einen Auszug aus der LogoData-Software zu den verarbeiteten personenbezogenen Daten übermittelt. Die Schreiben bzw. Tabellen und Übersichten enthielten jedoch keine Hinweise auf Betroffenenrechte oder Beschwerderechte. Ferner enthielten sie auch keine Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Die Kläger gingen weiter davon aus, dass ihr Anspruch aus Art. 15 DSGVO nicht erfüllt sei.

Entscheidung

Das VG ging zunächst davon aus, dass der Anspruch nach Art. 15 DSGVO mit der Übersendung der Excel-Tabellen und eines Auszugs aus der verwendeten Software zum Teil erfüllt war.

Erfüllung mit Screenshots und Kopien aus Systemen

Die Aussagen zu der übersendeten Excel-Tabelle (ich vermute, als Screenshot / Ausdruck und Kopie) sind durchaus interessant. Die Excel-Tabelle war so aufgebaut, dass dort sämtliche bei der Beklagten vorhandene personenbezogene Daten i.S.v. Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO zu den Klägern eingetragen werden konnten, was auch geschehen ist.

Aus den LogoData-Softwareauszügen, welche per Schreiben (also wohl auch eine Kopie eines Screenshots bzw. ein Ausdruck) übermittelt wurden, wurde ersichtlich, dass, und darüber hinaus auch konkret welche Daten nach Art. 15 Abs. 1 lit. a) bis d) und g) DSGVO beim Sozialen Dienst der Beklagten zum Zwecke der Bearbeitung des Unterhaltsvorschusses und der wirtschaftlichen Jugendhilfe verarbeitet wurden.

Keine Auskunft über bekannte Betroffenenrechte?

Sehr interessant finde ich die Begründung des VG zu der Frage, ob die beklagte Behörde nicht auch die Informationen nach Art. 15 Abs. 1 lit. e) und h) DSGVO erteilen musste. Es war klar, dass sämtliche der Klägerin übermittelten Unterlagen keine Informationen zu den nach Art. 15 Abs. 1 lit. e) und h) DSGVO zu übermittelnden Angaben enthielten.

Das VG fand hier aber einen Begründungsansatz, warum diese Informationen nicht erforderlich waren.

Für den Hinweis auf das Bestehen eines Rechts auf Berichtigung oder Löschung der die Kläger betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung (Art. 15 Abs. 1 lit. e) DSGVO) bestand nach Auffassung des VG kein Bedürfnis,

nachdem die Kläger bereits in den Schriftsatz vom 04.01.2021, mit dem sie die Klage eingereicht hatten, Art. 15 Abs. 1 DSGVO vollständig zitiert hatten. Die Kläger können sich im vorliegenden Fall gerade nicht darauf berufen, sie hätten keine Kenntnis von ihren Betroffenenrechten gehabt und die Beklagte müsste nun dazu verpflichtet werden, sie hierauf hinzuweisen.“

(gemeint ist wohl die Klage vom 03.01). Das VG argumentiert hier nicht europarechtlich aus der DSGVO heraus, sondern basierend auf dem deutschen Verwaltungsprozessrecht. Diesen Ansatz finde ich durchaus nachvollziehbar.

Denn auf diese Weise könnten die Kläger keine Verbesserung ihrer Rechtsposition erreichen. Eine Klage, bei der nicht einmal die Möglichkeit einer Verbesserung der eigenen Rechtsposition besteht, ist als rechtsmissbräuchlich zu bewerten und daher unzulässig“.

Es dürfte sich aber eine Gegenposition ebenso vertreten lassen. Im Grunde geht die DSGVO als unmittelbar anwendbares Recht dem nationalen Recht vor. Art. 15 Abs. 1 DSGVO sieht keine Ausnahme der Auskunftspflichten vor, wenn die betroffene Person diese Rechte bereits kennt bzw. selbst zitiert. Am Ende wird man diskutieren müssen, ob das deutsche Prozessrecht von der DSGVO unbeeinflusst gilt und auch Auswirkungen auf materiell-rechtliche Anforderungen der DSGVO haben kann.   

Keine Auskunft, wenn nicht relevant?

Auch die Informationserteilung nach Art. 15 Abs. 1 lit. h) DSGVO lehnt das VG ab.

Diesbezüglich jedoch mit einer anderen Begründung. Für diese Information bestand nach Auffassung des Gerichts kein Bedürfnis,

weil im vorliegenden Fall keinerlei Anhaltspunkte dafür bestanden, dass die personenbezogenen Daten der Kläger zum Zwecke der automatisierten Entscheidungsfindung einschließlich Profiling verarbeitet worden sein könnten.“

Findet eine automatisierten Entscheidungsfindung nicht statt, muss also nach Ansicht des VG darüber auch nicht negativ informiert werden. Diese Begründung halte ich durchaus für gangbar, zumal lit. h) ausdrücklich vorsieht, dass der Verantwortliche über „das Bestehen“ einer automatisierten Entscheidungsfindung einschließlich Profiling informieren soll. Findet dies aber nicht statt, dann liegt auch kein „Bestehen“ vor.

Finnische Datenschutzbehörde: Regelmäßige Prüfung der Kontaktkanäle für Datenschutzanfragen erforderlich

Am 9.5.2022 hat die finnische Datenschutzbehörde gegen ein Unternehmen (einen finnischen Verlag) ein Bußgeld in Höhe von 85.000 EUR wegen mehrerer Verstöße gegen die DSGVO verhängt (Englisch). Die Entscheidung betrifft einige praxisrelevante Fragestellung der Umsetzung von Betroffenenrechten.

Einleitend informiert die Behörde darüber, dass sie insgesamt elf Beschwerden zu dem Unternehmen erhalten hatte. Unter anderem hatten die Betroffenen keine Antwort auf ihre Anträge oder Anfragen zu Datenschutzrechten erhalten.

Kontaktkanäle für betroffene Personen müssen regelmäßig getestet werden

Einige Datenschutzanfragen von Betroffenen wurden aufgrund eines technischen Problems bei der E-Mail-Weiterleitung nicht umgesetzt, als das Unternehmen seinen Dienstleister wechselte.

Dies führte dazu, dass E-Mails, die in dem für Datenschutzfragen reservierten E-Mail-Posteingang eingingen, nicht an die Mitarbeiter des Kundendienstes weitergeleitet wurden. Das Problem wurde erst durch das Auskunftsersuchen der Datenschutzbehörde entdeckt. Zu diesem Zeitpunkt hatte die Unterbrechung der E-Mail-Weiterleitung bereits sieben Monate gedauert.

Nach Ansicht der Aufsichtsbehörde wäre das Unternehmen verpflichtet gewesen, sich um die Prüfung des E-Mail-Postfachs zu kümmern, da dies der wichtigste elektronische Kontaktkanal der betroffenen Personen in Datenschutzangelegenheiten war.

Aus der offiziellen Pressemitteilung wird leider nicht klar, welche Norm der DSGVO die Behörde hierdurch als verletzt ansieht. Auf der Webseite des EDSA wird u.a. ein Verstoß gegen Art. 12 DSGVO angegeben. Dies scheint mir hier auch die passende gesetzliche Grundlage zu sein. Nach Art. 12 Abs. 2 S. 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtern. Wenn aber Anfragen von Betroffenen gar nicht bearbeitet werden (und sei es auch nur aufgrund eines technischen Fehlers), dürfte dies gerade keine Erleichterung, sondern eine Erschwerung darstellen. Praktisch bedeutet dies, dass Unternehmen in regelmäßigen Abständen ihre DSGVO-Kanäle für Betroffene von extern testen sollten.

Unnötige Informationen dürfen nicht zur Identifizierung angefordert werden

Daneben konnten Betroffene mit einem ausdruckbaren Formular auch Anfragen zu ihren eigenen Daten stellen. Hierbei ging es wohl um Auskunftsanfragen nach Art. 15 DSGVO. Das Formular verlangte zur Identifikation jedoch die Unterschrift der betroffenen Person.

Nach Ansicht der Aufsichtsbehörde verarbeitete das Unternehmen aber auf diese Weise eine übermäßige Menge an Informationen zur Identifizierung. Insbesondere konnte das Unternehmen nicht darlegen, dass es die Unterschrift etwa mit bei sich vorhandenen Unterschriften der Betroffenen abglich. Denn es wurden ansonsten keine Unterschriften der Betroffenen erhoben.

Auch dieses Vorgehen dürfte nach Ansicht der Behörde einen Verstoß gegen Art. 12 Abs. 1 DSGVO darstellen. Zudem wird in der Mitteilung auf der Webseite des EDSA auch ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO erwähnt, also gegen den Grundsatz der Datenminimierung. Die (nicht erforderliche) Erhebung es Datums „Unterschrift“ dürfte auch gegen diese Norm verstoßen haben.

Bayerischer Landesbeauftragter: Datenlöschung kann grundsätzlich von Verjährungs- oder Klagefristen abhängig gemacht werden

Der Bayerische Landesbeauftragte (BayLfD) hat im Juli eine schöne Orientierungshilfe zu dem Recht auf Löschung nach der DSGVO veröffentlicht (PDF). Hierbei geht die Behörde auch auf die praxisrelevante Frage ein, ob und wenn ja, wann personenbezogene Daten zu löschen sind, wenn diese Daten gegebenenfalls noch im Rahmen von rechtlichen Auseinandersetzungen und zur Verteilung gegen Ansprüche erforderlich sind.

Nach Art. 17 Abs. 1 lit. a) DSGVO sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach dem BayLfD sind die Daten für den Verarbeitungszweck unter anderem nicht mehr notwendig, wenn dieser Zweck schon erreicht wurde, indem die ursprünglich angedachte Maßnahme durchgeführt wurde, und dazu nur die temporäre Datennutzung erforderlich war. Ebenso ist es aber auch möglich, dass die Zwecke nicht erreicht wurden und auch nicht mehr erreichbar sind.

Nach Art. 17 Abs. 3 lit. e) DSGVO gilt Absatz 1 jedoch nicht (es besteht also keine Löschpflicht), soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Zweck dieser Vorschrift ist es laut dem BayLfD u.a., einem Beweismittelverlust durch Löschung entgegenwirken. Zudem gelte die Ausnahme sowohl für gerichtliche wie außergerichtliche Verfahren. Diese Klarstellung ist sehr praxisrelevant, da natürlich nicht jede Streitigkeit zu Verträgen oder etwa Ansprüchen von Kunden direkt gerichtlich ausgefochten wird.

Wann darf man sich auf die Ausnahme berufen?

Eine strenge Ansicht vertritt der BayLfD jedoch bei der Frage, wann davon auszugehen ist, dass die Daten für die Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind. Nach Ansicht der Behörde wäre es nicht mehr erforderlich,

wenn Daten nur zu dem Zweck dauerhaft gesammelt würden, weil diese theoretisch irgendwann Gegenstand eines Rechtsstreits sein könnten. Vielmehr muss die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereits stattfinden oder mit einer hinreichend hohen Wahrscheinlichkeit bevorstehen“.

Diese Ansicht vertreten auch andere deutsche Aufsichtsbehörden. Meines Erachtens benachteiligt eine solche Auffassung aber datenverarbeitende Stellen unangemessen, bei denen es bisher nie zu Problemen kam. Ein Beispiel: der Schönheitschirurg, der sich bisher nie Klagen von Patienten ausgesetzt sah, dürfte Behandlungsdokumentation nicht mit dem Argument speichern, dass eine solche Klage in Zukunft aber theoretisch möglich ist. Andererseits dürfte der Arzt, bei dem es regelmäßig zu Klagen von Patienten wegen schlechter Behandlung kommt, die personenbezogenen Daten speichern, um sich verteidigen zu können. Denn bei ihm bestünde eine „hinreichende Wahrscheinlichkeit“. Dieses Ergebnis ist aus meiner Sicht unangemessen und so auch nicht aus Art. 17 Abs. 3 lit. e) DSGVO ableitbar.

Orientierung an Verjährungs- und Klagefristen

Begrüßenswert ist die Auffassung des LfD, dass sich die zeitliche Dimension der Erforderlichkeit im Grundsatz klar bemessen lässt,

wenn die Möglichkeit der Rechtsdurchsetzung an Fristen (etwa Verjährungs- oder Klagefristen) gebunden ist.“

Die Behörde hält es also für zulässig, wenn sich Verantwortliche bei der Frage der Löschung an laufenden Verjährungsfristen und Klagefristen von Ansprüchen orientieren. Ich würde hier auch entsprechende Fristen zur Verfolgungsverjährung, etwa aus dem OwiG zählen (§ 31 OwiG). Jedoch schränkt der LfD seine Ansicht dahingehend ein, dass insbesondere bei langen Verjährungsfristen eine Abwägung zwischen den Interessen der betroffenen Person auf Löschung der Daten einerseits und der Wahrscheinlichkeit der Geltendmachung von Ansprüchen andererseits vorzunehmen sei. Diesbezüglich stellt sich meines Erachtens erneut das oben angesprochene Problem, dass bei einer solchen Auslegung datenverarbeitende Stellen begünstigt wären (Daten also speichern dürften), wenn sie in der Vergangenheit mit Ansprüchen und Klagen konfrontiert waren; Unternehmen, bei denen es jedoch bislang nie solche Streitigkeiten gab, müssten aber wohl vor Ablauf einer „langen“ Verjährungsfrist löschen. Unklar ist hier, was der LfD unter einer „langen“ Frist versteht.