EuGH zum Löschanspruch: Betroffener Person obliegt der Nachweis, dass Informationen unrichtig sind

In seiner Entscheidung C-460/20 (vom 8.12.2022) befasst sich der Gerichtshof der Europäischen Union (EuGH) mit der Beweislast in Fällen, in denen eine betroffene Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt.

Die Entscheidung des Gerichtshofs

Von hoher Relevanz für die Praxis sind die Argumente des EuGH zur Beweislast in Fällen von Art. 17 DSGVO. Konkret ging es hier um die Frage, wer im Rahmen der Ausnahmevorschrift des Art. 17 Abs. 3 lit. a DSGVO die Beweislast dafür trägt nachzuweisen, dass auf einer Webseite aufgelistete Inhalte unrichtige Behauptungen enthalten.

Beantragt eine betroffene Person die Löschung bestimmter Daten mit der Begründung, diese seien unrichtig, so obliegt nach dem EuGH „dieser Person der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist“ (Rz. 68).

Dem EuGH zufolge darf jedoch keine übermäßige Belastung auferlegt werden, die geeignet wäre, die praktische Wirkung des Rechts auf Löschung zu beeinträchtigen. Daher muss die Person den Nachweis der Unrichtigkeit erbringen, kann aber nicht verpflichtet werden, eine gerichtliche Entscheidung gegen den Betreiber der betreffenden Website vorzulegen.

Was die andere Seite betrifft, so kann von dem für die Verarbeitung Verantwortlichen nicht verlangt werden, dass er den Sachverhalt ermittelt und eine kontradiktorische Debatte mit dem Anbieter der Inhalte führt. Der EuGH geht davon aus, dass der Verantwortliche nicht verpflichtet ist, „bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist“ (Rz. 70).

Eine ähnliche Argumentation für Art. 16 DSGVO?

In einer Entscheidung aus März 2022 (BVerwG 6 C 7.20) hatte sich das Bundesverwaltungsgericht (BVerwG) ebenfalls mit einem ähnlichen Fall zu befassen, allerdings verlangte die betroffene Person eine Datenberichtigung nach Art. 16 DSGVO. Das BVerwG hat darauf hingewiesen, dass der Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 S. 1 DSGVO zunächst die objektive Wirklichkeit ist.

Was die Beweislast betrifft, so verwies das Gericht auf Art. 5 Abs. 2 DSGVO. Nach Auffassung des BVerwG enthält die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Bestimmung, wer die Beweislast für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums trägt. Die Vorschrift regelt auch die Beweislast, soweit die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.

Konkret bezogen auf einen Berichtigungsanspruch, bei dem die Richtigkeit eines Datums umstritten ist, ist damit auch die Frage verbunden, ob der für die Verarbeitung Verantwortliche mit der Verarbeitung des „alten“ oder aber des „neuen“ Datums seiner Pflicht zur Einhaltung des Grundsatzes der Datenrichtigkeit gerecht wird.

Das BVerwG führt aus, dass „die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht“. Der Verantwortlichen muss im Zweifel in Zukunft nachweisen, dass ein durch ihn verarbeitetes Datum richtig ist. Wenn ihm aber dieser Nachweis obliegt, so das BVerwG, kann von ihm nicht verlangt werden, „ein vom Antragsteller angegebenes Datum, dessen Richtigkeit sich nicht feststellen lässt, einzutragen und weiter zu verarbeiten“.

Fazit

Beide Entscheidungen enthalten relevante Klarstellungen hinsichtlich der Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit Anfragen von betroffenen Personen konfrontiert sind, die die Berichtigung oder Löschung von Daten beantragen, ohne etwa einen Beweis für die Unrichtigkeit der vorhandenen Daten vorzulegen, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen müssen, an den Gründen dieser Entscheidungen orientieren.

OVG Berlin-Brandenburg: Social Media Auftritt einer Behörde mit Kommentarfunktion ist nicht mitbestimmungspflichtig (Abweichung von BAG Ansicht)

Das OVG Berlin-Brandenburg hat am 4.8.2021 (Az. 62 PV 5.20) einen auch für die Privatwirtschaft relevanten Beschluss zu der Frage gefasst, ob Behördenauftritte auf Social Media Plattformen, wie Facebook oder Twitter, die eine Kommentarfunktion enthalten, als technischen Einrichtungen, die  zur Überwachung des Verhaltens oder der Leistung der Beschäftigten in der Dienststelle bestimmt sind, gelten. Das OVG lehnt diese Einordnung mit umfassender Begründung und ausdrücklich unter Abweichung von der Entscheidung des BAG vom 13.12.2016 (Az. 1 ABR 7/15) ab. Zwar urteilt das Gericht hier auf der Grundlage des § 80 Abs. 1 Nr. 21 BPersVG; diese Vorschrift stimmt im Wortlaut aber praktisch mit § 87 Abs. 1 Nr. 6 BetrVG (für die Mitbestimmung des Betriebsrates) überein.

Sachverhalt

In dem Verfahren ging es u.a. um die Facebook-Seite @DeutscheRentenversicherungBund und den Instagram-Kanal @drvbunt. Der Antragsteller (wohl der Personalrat) forderte den wegen des Facebook-Auftritts zur Einleitung eines Mitbestimmungsverfahrens gemäß § 75 Abs. 3 Nr. 17 BPersVG unter Hinweis auf den Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) auf.

Danach hat der Antragsteller einen Antrag beim Verwaltungsgericht Berlin anhängig gemacht, der darauf zielt festzustellen, dass der Antragsteller aus Anlass der Kommentarfunktion auf der bzw. dem vom Beteiligten betriebenen 1. Facebook-Seite, 2. lnstagram-Kanal „drvbunt“, 3. Twitter-Kanal @die_rente und 4. eine weitere Facebook-Seite jeweils nach § 75 Abs. 3 Nr. 17 BPersVG zu beteiligen ist.

Das Verwaltungsgericht hat dem Antrag stattgegeben (Az. VG 72 K 7.19 PVB) und sich in der Begründung dem Beschluss des BAG angeschlossen. Es meint, Nutzerkommentare könnten abhängig von ihrem Inhalt dazu geeignet sein, zur Überwachung von Leistung bzw. Verhalten der Beschäftigten beizutragen. Das reiche zur Mitbestimmungspflicht aus. Hiergegen wendet sich der Beteiligte mit seiner Beschwerde.

Entscheidung

Das OVG lehnt, anders als noch das VG, den Feststellungantrag des Antragstellers als unbegründet ab.

Nach Auffassung des OVG sind die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien

auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig“.

Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist nach Ansicht des OVG eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen.

Besonderes Augenmerk legt das OVG auf die „objektive Eignung zur Überwachung“. Dies unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter den Mitbestimmungstatbestand fallen.

Das OVG macht deutlich:

Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig.“

Das Mitbestimmungsrecht des Personalrats soll sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Daher, so das OVG, ist auch ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich.

Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen“.

Für den Mitbestimmungstatbestand ist spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolge. Das BVerwG habe die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten.

Entscheidend stellt das OVG auf eine selbständige Leistung der technischen Einrichtung ab. Diese kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reiche auch aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird.

Aber: „Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung“.

Die selbständige Leistung zur Überwachung ist nach Ansicht des OVG nicht schon darin zu sehen, dass Daten gespeichert werden. Nach diesen Maßstäben seien die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt.

Der Grund: Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor.

Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte“.

Das OVG lässt zudem eine Auswertungsmöglichkeit durch Dritte außer Betracht. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste seien für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich.

Das OVG macht deutlich, dass es mit seiner Begründung vom Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) abweicht. Das BAG hielt es für ausreichend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Zwar traf das BAG traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimme aber im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Zudem seien nach der Rechtsprechung des BVerwG beide Vorschriften im Wesentlichen gleich auszulegen.

Nach Ansicht des OVG wich angesichts dessen das BAG im Jahr 2016 von der vorhergehenden Rechtsprechung des BVerwG dadurch ab, „dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte“.

Das OVG verweist, als Grund für seine Abweichung, darauf, dass das BAG in seiner Entscheidung ein neuen Merkmal bzw. einen neuen Schutzgegenstand in die Auslegung des Mitbestimmungstatbestands einführt: die Prangerwirkung öffentlich zugänglicher Beschwerden / Kommentare über Beschäftigte.

Diese Aspekt, so das OVG, findet sich so in der Rechtsprechung des BVerwG noch nicht. Bislang war von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind.

Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern“.

Fazit

Das OVG ist ersichtlich um eine Eingrenzung des Mitbestimmungstatbestandes bemüht, der nach seiner Ansicht ansonsten das Potential hat, praktisch bei jeglicher Technologie anwendbar zu sein. Aufgrund der im Wesentlichen gleichen Auslegung des hier relevanten § 80 Abs. 1 Nr. 21 BPersVG mit § 87 Abs. 1 Nr. 6 BetrVG, dürfte die Begründung zudem für privatwirtschaftliche Unternehmen und eine mögliche Beteiligung des Betriebsrates relevant sein.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Bundesverwaltungsgericht entscheidet zu Öffnungsklauseln: Übermittlungsvorschrift im Bayerischen Datenschutzgesetz ist mit der DSGVO unvereinbar

Das Bundesverwaltungsgericht (BVerwG) hat mit Urteil vom 27. September 2018 (BVerwG 7 C 5.17) entschieden, dass der Übermittlungstatbestand des Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG gegen die Vorgaben der DSGVO verstößt. Daneben trifft das Gericht einige relevante Äußerungen zum Umsetzungsspielraum der Mitgliedstaaten bei der Ausfüllung der Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO sowie zum Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Sachverhalt

In dem Verfahren ging es um die Aufklärung der sog. „Verwandtenaffäre“ des Bayerischen Landtags. Ein Journalist bei einer Tageszeitung machte einen presserechtlichen Auskunftsanspruch gegenüber dem Landtagsamt des Freistaates Bayern geltend. Ursprünglich lehnte die Präsidentin des Bayerischen Landtags den Antrag des Klägers ab. Zuletzt wies auch der VGH Bayern die Klage ab. Unter anderem ging es bei der Ablehnung des Auskunftsanspruchs auch um die Daten von Dritten (der Ehefrau eines Landtagsabgeordneten) und der Frage, ob eine Herausgabe ihrer Daten als auch der personenbezogenen Daten des Landtagsabgeordneten selbst dem Anspruch entgegestünden. Hiergegen wendete sich der Journalist vor dem BVerwG.

Entscheidung

Nach Art. 4 des Bayerischen Pressegesetzes (BayPrG) hat die Presse gegenüber Behörden ein Recht auf Auskunft. Die Auskunft darf nur verweigert werden, soweit auf Grund beamtenrechtlicher oder sonstiger gesetzlicher Vorschriften eine Verschwiegenheitspflicht besteht.

Das BVerwG fußt seine Entscheidung darauf, dass die Auslegung und Anwendung von Art. 4 BayPrG durch den VGH Bayern nicht mit dem verfassungsrechtlichen Schutz der Presse aus Art. 5 Abs. 1 Satz 2 GG vereinbar ist.

Die in Art. 4 Abs. 2 Satz 2 BayPrG erwähnten Verschwiegenheitspflichten können sich aus Grundrechten Dritter (zB dem Recht auf informationelle Selbstbestimmung) ergeben. In diesem Fall muss eine Abwägung des verfassungsrechtlich geschützten Interesses der Presse mit dem Interesse der Betroffenen vorgenommen werden. Das BVerwG verweist hierzu auch auf den in Art. 5 Abs. 1 Satz 2 GG verbürgten verfassungsunmittelbaren presserechtlichen Auskunftsanspruch. Zudem muss sich der mit der Weitergabe personenbezogener Daten verbundene Eingriff in das Grundrecht auf informationelle Selbstbestimmung auf eine bereichsspezifische Ermächtigungsgrundlage stützen, die insbesondere den Anforderungen an die Normenklarheit genügt.

Der VGH Bayern prüfte die Weitergabe jedoch nur anhand der Offenbarungspflichten nach dem Gesetz über die Rechtsverhältnisse der Mitglieder des Bayerischen Landtags (Bayerisches Abgeordnetengesetz). Dies kritisiert das BVerwG mit der Begründung, dass die diesem Vorgehen zugrunde liegende Rechtsauffassung, dass damit die Offenlegung mandatsbezogener Informationen grundsätzlich abschließend geregelt werde, und der daraus folgende absolute Schutz der von diesen Vorschriften nicht erfassten Informationen, die Anforderungen des Art. 5 Abs. 1 Satz 2 GG verfehlt. Mit dieser einschränkenden Rechtsauffassung verschließe sich der VGH

„der Heranziehung weiterer Rechtsvorschriften, die den Anforderungen für einen Eingriff in das informationelle Selbstbestimmungsrecht genügen und deswegen Grundlage einer umfassenden Abwägung sein können“.

Zwar existiere eine solche weitere Vorschrift weder allein im presserechtlichen Normbestand (1), noch in Gestalt einer eigenständigen Rechtsgrundlage in den datenschutzrechtlichen Bestimmungen (2). Die presserechtliche Anspruchsgrundlage ist jedoch nach Ansicht des BVerwG insoweit um datenschutzrechtliche Vorgaben zu ergänzen (3).

(1)

Das BVerwG erachtet Art. 4 Abs. 2 S. 2 BayPrG allein für unzureichend, da schutzwürdige Interessen der betroffenen Dritten nicht einmal erwähnt werden.

(2)

Auch eine eigenständige datenschutzrechtliche Rechtsgrundlage existiert nicht. Das BVerwG prüft diesbezüglich den in Betracht kommenden Erlaubnistatbestand nach Art. 5 Abs. 1 S. 1 Nr. 2 des Bayerischen Datenschutzgesetzes (BayDSG, in der Fassung vom 15.5.2018, also in Umsetzung der DSGVO).

Nach Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG ist eine Übermittlung personenbezogener Daten zulässig, wenn der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

Diese Vorschrift, die an den Vorgaben der DSGVO zu messen ist, ist nach Ansicht des BVerwG allerdings keine taugliche Rechtsgrundlage.

„Art. 5 Abs. 1 Satz 1 Nr. 2 BayDSG ist mit der Datenschutz-Grundverordnung nicht vereinbar“.

Zunächst stellt das BVerwG klar, dass die DSGVO gemäß Art. 288 Abs. 2 AEUV unmittelbar gilt und grundsätzlich weder auf eine Umsetzung angewiesen, noch dies überhaupt zulässig ist. Auch eine Normwiederholung im nationalen Recht ist dem Grunde nach ausgeschlossen. Nur im Rahmen ausdrücklicher Ermächtigungen können ihre Regelungen vom nationalen Gesetzgeber spezifiziert, präzisiert und konkretisiert werden.

Der bayerische Landesgesetzgeber benennt als Grundlage für Art. 5 BayDSG die Art. 6 Abs. 2 bis 4 DSGVO, „soweit dem nationalen Gesetzgeber darin Regelungsspielräume eingeräumt werden“. Der Landesgesetzgeber stützt sich also auf die Öffnungsklauseln der DSGVO. Genau diesen Regelungsspielraum sieht das BVerwG aber für Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG als nicht gegeben.

Zum einen kann Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG auf die Öffnungsklausel in Art. 6 Abs. 2 und 3 DSGVO schon deswegen nicht gestützt werden,

weil danach nur eine Konkretisierung der Regelungen von Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO erlaubt ist, während die landesrechtliche Bestimmung an Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO anknüpft“.

Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG enthält eine Interessenabwägung nach dem Vorbild des Art. 6 Abs. 1 lit. f) DSGVO. Art. 6 Abs. 1 lit. f) DSGVO gilt jedoch, nach Unterabs. 2, gerade nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Hierzu gehören nach Ansicht des BVerwG sowohl „eigennützige“ als auch „fremdnützige“ Aufgaben.

Erfasst sind

„die durch Gesetz übertragenen Aufgaben im Rahmen der Eingriffs- und Leistungsverwaltung. Damit fällt jegliche Datenverarbeitung in Erfüllung hoheitlicher Funktionen, wozu auch die Beantwortung von Presseanfragen zählt, unter den Ausschlusstatbestand und ist den Erlaubnistatbeständen nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DS-GVO zuzuordnen“.

Der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO ist nach dem BVerwG nur einschlägig, wenn die Behörde als Teilnehmer im Privatrechtsverkehr auftritt.

Zum anderen ermöglicht auch Art. 6 Abs. 4 DSGVO dem nationalen Gesetzgeber nicht,

„den Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO hinsichtlich seines persönlichen Geltungsbereichs zu erweitern“.

Art. 6 Abs. 4 DSGVO ist keine neben Art. 6 Abs. 2 und 3 DSGVO stehende übergreifende Öffnungsklausel. Nach Auffassung des BVerwG bezieht er sich vielmehr allein auf die Zweckänderungsbefugnis im Rahmen der nach Art. 6 Abs. 1 DSGVO nach Maßgabe von Art. 6 Abs. 2 und 3 DSGVO zulässigen Datenverarbeitung.

(3)

Zwar existiere somit für die Datenweitergabe an eine private Stelle keine eigenständige Rechtsgrundlage im Rahmen eines presserechtlichen Auskunftsanspruchs.

Jedoch, so das BVerwG, kann Art. 6 Abs. 1 lit. f) DSGVO

„zur inhaltlichen Ausfüllung und Konkretisierung dieses Anspruchs herangezogen werden, der dann den Anforderungen des Gesetzesvorbehalts für einen Eingriff in das Recht auf informationelle Selbstbestimmung genügt“.

Zwar sei Art. 6 Abs. 1 lit. f) DSGVO auf behördliche Tätigkeiten nicht anwendbar, weil die Übermittlung von personenbezogenen Daten in den privaten Bereich einer ausdrücklichen gesetzlichen Entscheidung bedarf. Jedoch, so das BVerwG, können die materiellen Anforderungen zur gebotenen inhaltlichen Ausformung der Datenverarbeitung, wie sie in Art. 6 Abs. 1 lit. f) DSGVO vorgegeben sind, bei der Anwendung und Auslegung des presserechtlichen Auskunftsanspruchs berücksichtigt werden, wenn der Gesetzgeber, wie hier, gesetzlich zumindest im Grunde vorgesehen hat, dass entsprechende Drittinteressen vor einer Weitergabe zu berücksichtigen sind bzw. ganz allgemein eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist. Nach Ansicht des BVerwG ist dies hier der Fall. Das BVerwG begründet diese Folgerung nicht näher, scheint aber davon ausgehen, dass in Art. 4 Abs. 2 S. 2 BayPrG dem Grunde nach eine gesetzliche Erlaubnis für die Weitergabe vorgesehen ist, die jedoch inhaltlich um die materiellen datenschutzrechtlichen Vorgaben des Art. 6 Abs. 1 lit. f) DSGVO zu ergänzen ist. Art. 6 Abs. 1 lit. f) DSGVO muss folglich in die Anforderungen des Art. 4 Abs. 2 Satz 2 BayPrG hineingelesen werden.

Interessenabwägung

Danach befasst sich das BVerwG mit der Interessenabwägung. Diese fällt zugunsten des Auskunftsanspruchs des Journalisten aus.

Allgemein relevant für die Anwendung des Art. 6 Abs. 1 lit. f) DSGVO ist zudem noch der Hinweis des BVerwG, dass das Tatbestandsmerkmal der „Erforderlichkeit“ im Sinne einer Verhältnismäßigkeitsprüfung zu verstehen ist.

„Im Übrigen findet der Verhältnismäßigkeitsgrundsatz in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DS-GVO seinen Niederschlag in der Regelung, dass die Datenübermittlung erforderlich sein muss“.

Fazit

Besonders relevant an dieser Entscheidung ist meines Erachtens die Feststellung des BVerwG zu der Unvereinbarkeit einer nationalen Regelung mit der DSGVO, wenn diese Regelung einen Erlaubnistatbestand für die Datenverarbeitung durch öffentliche Stellen im Rahmen der Ausübung ihrer Aufgaben darstellen soll, dabei aber auf den Erlaubnistatbestand der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO rekurriert. Eine solche Vorschrift kann nicht auf die Öffnungsklauseln der Art. 6 Abs. 2 und 3 DSGVO gestützt werden. Art. 5 Abs. 1 S. 1 Nr. 2 BayDSG dürfte hier exemplarisch für viele weitere Erlaubnistatbestände sowohl im BDSG als auch Landesdatenschutzgesetzen stehen. Ausdrücklich verweist das BVerwG etwa in seiner Begründung auf § 25 Abs 2 Nr. 2 BDSG, der damit wohl auch als europarechtswidrig anzusehen wäre. Zuletzt ist aber darauf hinzuweisen, dass eine Europarechtswidrigkeit von nationalen Vorschriften verbindlich nur durch den EuGH festgestellt werden kann.