Category Archives: Verantwortlichkeit

„Ausblenden“ von Daten ist kein Löschen nach der DSGVO – Gericht: Stammdatensoftware der Bundesagentur für Arbeit nicht datenschutzkonform

Posted on by

Personenbezogene Daten müssen irgendwann gelöscht werden. Art. 17 Abs. 1 DSGVO sieht sowohl ein Recht auf Löschung als auch eine Pflicht vor, Daten zu löschen, wenn keine Ausnahmesituation nach Art. 17 Abs. 3 DSGVO vorliegt – etwa, weil die Daten noch zur Erfüllung einer rechtlichen Verpflichtung gespeichert werden müssen. Der EuGH hat zu dem korrespondieren Datenschutzgrundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO festgestellt, dass „dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind“ (Rs. C‑446/21, Rz. 56). 

In der Praxis stellt das Thema „Löschen von Daten“ Verantwortliche und Auftragsverarbeiter oft vor faktische Probleme. „Wir können gar nicht löschen“, ist zu hören. „Unsere Software sieht eine Löschung nicht vor“. 

Genau solch einen Fall hatte kürzlich das Sozialgericht Dresden zu entscheiden (Urt. v. 22.10.2025 – S 15 SF 304/24 DS). Das Pikante an dem Verfahren: in Rede stand dort das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA).

Sachverhalt

Die Klägerin des Verfahrens betreute verschiedene Personen ausländischer Herkunft bei der Beantragung von Leistungen bei dem beklagten Jobcenter. So erbat sie z.B. unter Vorlage einer Schweigepflichtentbindungserklärung von dem Beklagten Informationen zu einer Klientin. Der Beklagte führt seine Verwaltungsakten elektronisch und nutzt dazu verpflichtend das Stammdatenerfassungs- und -pflegesystem (STEP) der Bundesagentur für Arbeit (BA). Darin war die Klägerin aufgrund früherer eigener Antragsvorgänge mit ihrer Privatadresse gespeichert.

Nach einem Datenschutzvorfall beantragte die Klägerin die Löschung ihrer Privatadresse und persönlichen Daten aus der Verwaltungsakte der Klienten.

Der Beklagte argumentierte, dass Dokumente/Schriftstücke/Vorblätter, die die private Anschrift der Klägerin enthielten, in der elektronischen Akte der Klienten „ausgeblendet“ seien. Damit werde dem Löschanspruch nach Art. 17 DSGVO nachgekommen. Der Beklagte weigere sich nicht, das Löschen vorzunehmen, es sei einfach technisch nicht möglich. Um den datenschutzrechtlichen Bestimmungen trotz der rechtlichen Vorgaben nachkommen zu können, gebe es in der elektronischen Akte die Funktion des Ausblendens von Dokumenten. Dieses Verfahren werde im Vier-Augen-Prinzip durchgeführt. Ein Einblenden der Dokumente ist zwar grundsätzlich wieder möglich, benötige aber ebenso wieder zwei Personen. Eine Löschung von einmal zu den Akten verfügten Dokumenten sei aufgrund kassenrechtlicher Vorgaben des Bundesministeriums für Finanzen untersagt und das Löschen technisch nicht mehr möglich.

Entscheidung

Das Gericht geht in seiner Entscheidung davon aus, dass die personenbezogenen Daten der Klägerin (jedoch nur die private Adresse) gelöscht werden müssen und bisher nicht entsprechend der DSGVO gelöscht wurden. Bezüglich der privaten Adresse sei eine unrechtmäßige Verarbeitung von Daten erfolgt.

Zum Begriff des „Löschens“ stellt das Gericht zunächst fest, dass

ein Ausblenden der Daten mit der technischen Möglichkeit des Wiedereinblendens jedoch kein Löschen i.S. von Art. 17 DSGVO“ darstelle.

Die DSGVO selbst enthalte keine Definition des Begriffs „Löschen“. Der Vorgang des „Löschens“ werde in Art. 4 Nr. 2 DSGVO neben der „Vernichtung“ als eine Form der Verarbeitung genannt.

Unter „Vernichtung“ versteht das Gericht die körperliche Zerstörung des Datenträgers und eine endgültige Löschung der personenbezogenen Daten.

Löschen ist – ohne zwingende körperliche Zerstörung – der Entzug des Personenbezuges in den Daten mit dem Ziel der (faktischen) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen, so dass die personenbezogenen Daten nicht mehr Gegenstand der (produktiven) Datenverarbeitung sind und dies irreversibel sicherzustellen ist„.

Das Gericht geht davon aus, dass „Löschen“ verschiedene Formen haben kann, wie z.B. die vollständige Zerstörung des Datenträgers oder die Löschung von Verknüpfungen oder Codierungen, die zur Wahrnehmung der Information erforderlich sind, wie etwa das Löschen eines Eintrags in einer Pseudonymliste oder andere Formen des dauerhaften Nichtzugriffs wie z.B. das Schwärzen.

Was jedoch nicht genügt

„… sind dagegen Beschränkungen der Verarbeitung i.S. von Art. 18 DSGVO, weil ein dauerhafter Zugriffsausschluss darin nicht enthalten ist„.

Das Ausblenden mit dem vom Beklagten genutzten Programm führe hier gerade nicht zu einem endgültigen Zugriffsausschluss. Vielmehr ist es nach den derzeitigen technischen Begebenheiten nur nicht mehr möglich, die Daten zu sehen. Allerdings bestehe technisch auch nach Ausblendung der Daten die Möglichkeit, dass zwei Führungskräfte oder deren Stellvertreter die ausgeblendeten Daten wieder sichtbar machen können.

Die Möglichkeit des Wiedereinblendens widerspricht dem Löschungsprinzip der DSGVO.“

Das Jobcenter hatte vorgebracht, dass es die Daten ja eigentlich löschen wollen würde und sich nicht weigere, das Löschen vorzunehmen.

„… es sei einfach technisch nicht möglich„.

Dieses faktische Argument lässt das Gericht jedoch mit klaren Worten nicht gelten und verweist in seiner Begründung unter anderem auf die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung“).

Die technischen Programme haben die geltenden Gesetze und Betroffenenrechte umzusetzen (vgl. auch Art. 25 DSGVO) und nicht anders herum. Insofern ist es Aufgabe des Beklagten bzw. der Bundesagentur für Arbeit, sein Programm zur Nutzung seiner elektronischen Akte so umschreiben zu lassen, dass ein irreversibles Löschen technisch tatsächlich auch erfolgen kann„.

Einen ebenfalls geltend gemachten Schadenersatzanspruch nach Art. 82 DSGVO lehnt das Gericht meines Erachtens jedoch zurecht ab. Insbesondere ein Kontrollverlust liege nicht vor. Mit dem derzeitigen Ausblenden bestehe eine begründete Befürchtung der Betroffenen bzgl. dieses Kontrollverlustes nicht. Die Privatadresse sei bereits ausgeblendet und kann weder von dem Klienten noch von einem Mitarbeiter des Beklagten alleine wieder eingeblendet werden.

Fazit

Überträgt man diesen Fall und die Ansichten des Gerichts auf den privatwirtschaftlichen Bereich von Unternehmen, dürfte schnell klar werden, dass Verantwortliche bei dem Einsatz von Software, in der personenbezogene Daten verarbeitet werden, als Anforderungsmerkmal darauf achten sollten, dass Daten gelöscht werden können. Wie das Gericht aufzeigt, bedeute dies nicht zwingend eine elektronische / physische Zerstörung. Auch eine Anonymisierung kann den Personenbezug endgültig entfernen.

Meiner Erfahrung nach ist jedoch extrem wichtig, dass Verantwortliche bereits bei der Entwicklung und noch mehr im (IT)Einkaufsprozess darauf achten, dass anzuschaffende Software die Grundprinzipien der DSGVO umsetzen kann. Es lohnen sich hierbei durchaus auch einmal konkrete Nachfragen an den Hersteller (und ja, mir ist bewusst, dass dies nicht in jeder Situation möglich ist).

Wichtig zu beachten ist zudem, dass die Softwarehersteller selbst oft gar nicht in den Anwendungsbereich der DSGVO fallen, da sie nicht zwingend als Verantwortliche agieren, wenn ihr Produkt durch Kunden genutzt und mit Daten gefüllt wird. Der „Verantwortliche“ nach der DSGVO ist in diesem Fall zumeist der Kunde, der die Software für die Datenverarbeitung verwendet.

 

Externe „Spam-Mail“ zu einer Sicherheitslücke: Österreichische Datenschutzbehörde verhängt Bußgeld gegen Unternehmen wegen unterlassener Meldung einer Datenpanne

Posted on by

Am 4. September 2025 erließ die österreichische Datenschutzbehörde (DSB) eine Entscheidung in einem Fall, in dem ein Unternehmen es versäumt hatte, die DSB gemäß Art. 33 DSGVO über eine Datenschutzverletzung zu informieren.

Sachverhalt

Eine unbekannte Person entdeckte eine Sicherheitslücke auf der Subdomain der Website des Unternehmens, die es aufgrund fehlender technischer Sicherheitsvorkehrungen ermöglichte, personenbezogene Daten (u. a. Namen, E-Mail-Adressen, Telefonnummern, Geschlecht) zu extrahieren. Die Person informierte das Unternehmen per E-Mail, doch die Nachricht wurde von einer Mitarbeiterin fälschlicherweise als Spam behandelt und erreichte weder die Geschäftsleitung noch die IT-Abteilung. Nachdem keine Antwort erfolgt, schickte eine andere Person (Vertreter eines Vereins) eine zweite E-Mail, diesmal mit der österreichischen DSB in „CC“.

Das Unternehmen handelte daraufhin schnell, um die Sicherheitslücke zu schließen, und die Person, die die Sicherheitslücke gemeldet hatte, bestätigte die Löschung aller Dateien, auf die sie zugegriffen hatte. Die IT-Abteilung des Unternehmens dokumentierte den Vorfall, aber das Unternehmen meldete keine Datenschutzverletzung an die DSB.

Entscheidung der Datenschutzbehörde

Die DSB leitete eine Untersuchung ein und fragte das Unternehmen, warum sie nicht gemäß Art. 33 DSGVO über die Verletzung informiert worden sei. Das Unternehmen argumentierte, dass keine weitere Benachrichtigung erforderlich sei, da die Datenschutzbehörde bereits in der zweiten E-Mail in „CC“ gesetzt wurde.

Die DSB widersprach dieser Ansicht und stellte klar, dass eine externe E-Mail über ein potenzielles Sicherheitsproblem keine gültige Benachrichtigung gemäß Art. 33 DSGVO darstellt. Art. 33 DSGVO enthalte keine Ausnahme für einen solchen Fall, dass Dritte die Aufsichtsbehörde über eine Datenschutzverletzung informieren.

Wenn eine dritte Person die DSB über einen Vorfall informiert, handelt es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden.“

Zudem ging es noch um die Frage, wann der Verantwortliche Kenntnis von der Datenschutzverletzung erlangte – mit der ersten „Spam-Mail“ oder aber erst mit der zweiten Mail?

Die DSB geht davon aus, dass der Verantwortliche bereits durch den ersten Hinweis, welcher von einer Mitarbeiterin als „Spam-Nachricht“ eingestuft wurde, Kenntnis erlangte. Die unterlassene interne Weiterleitung der Nachricht, muss sich der Verantwortliche zurechnen lassen.

Die Beschuldigte übersieht hierbei, dass das Verhalten ihrer Arbeitnehmerin ihr unmittelbar zugerechnet wird. Für die Strafbarkeit nach Art. 83 DSGVO ist im Falle einer juristischen Person nämlich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans erforderlich“.

Fazit

Natürlich werden in der Praxis nicht alle Hinweise auf eine mögliche Sicherheitsverletzung wirklich echt sein. Jedoch sollten Verantwortliche darauf achten, interne Vorgaben und Prozesse vorzuhalten, dass die Einschätzung darüber, ob eine solche Nachricht „echt“ ist, durch fachliche geschulte Mitarbeiter, etwa in der IT-Abteilung, bei Compliance oder im Datenschutz, erfolgt.

Bundesverwaltungsgericht Österreich: Falsche Einschätzung des Datenschtzbeauftragten wird dem Verantwortlichen im Bußgeldverfahren zugerechnet

Posted on by

Das Bundesverwaltungsgericht Österreich musste sich in seiner Entscheidung vom 27. Dezember 2024 (Aktenzeichen W258 2227269-1/39E) mit der Rechtmäßigkeit des Verkaufs personenbezogener Daten, darunter auch Angaben zu politischen Affinitäten der betroffenen Personen befassen. Eine wichtige Frage war hier, ob bestimmte Informationen „personenbezogene Daten“ darstellen.


Sachverhalt
Im Jahr 2019 leitete die österreichische Aufsichtsbehörde eine Untersuchung ein, nachdem Medienberichte behauptet hatten, ein Unternehmen habe personenbezogene Daten, einschließlich Angaben zu „politischen Affinitäten“, verkauft. Daraufhin wurde ein Verwaltungsstrafverfahren wegen des Verdachts der unrechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten ohne Einwilligung, weiterer rechtswidriger Verarbeitungen, Versäumnissen bei der Datenschutz-Folgenabschätzung, sowie unzureichender Transparenz eingeleitet. Nachdem gegen das Unternehmen eine Geldbuße verhängt wurde, legte es Rechtsmittel gegen den Bescheid beim Bundesverwaltungsgericht ein, welches die Entscheidung zunächst aufhob. Diese Aufhebung kassierte allerdings der österreichische Verwaltungsgerichtshof unter Verweis auf das EuGH-Urteil in der Rechtssache C-807/21. Damit landete der Fall wieder beim Bundesverwaltungsgericht.


Entscheidung
Das Urteil ist insbesondere in Bezug auf die Haftung des Verantwortlichen für Fehleinschätzungen des eigenen Datenschutzpersonals und des Datenschutzbeauftragten bemerkenswert.

Im Rahmen der subjektiven Voraussetzungen zur Verhängig einer Geldbuße gemäß Art. 83 DSGVO ist es erforderlich, dass der Verantwortliche einen in Art. 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat. Das BVwG geht hier von einem fahrlässigen Verhalten aus, welches u.a. aus den Fehleinschätzungen der Datenschutzmanagerin und der Datenschutzbeauftragten abgeleitet wird.

Kein Ausschluss der Zurechnung durch das existierende Kontrollsystem

Zwar geht das BVwG davon aus, dass sich das Unternehmen auf organisatorischer Seite mit beachtlichen Ressourcen-Aufwand auf die Anwendbarkeit der DSGVO vorbereitet hat.

So wurde intern die datenschutzrechtliche Bewertung wie folgt gegliedert:

  • Erstbeurteilung einer Datenverwendung in dem jeweiligen Fachbereich einerseits.
  • Verpflichtenden Einbindung der Datenschutzbeauftragten andererseits.

Dieses System scheint nach Auffassung des BVwG auf den ersten Blick zweckmäßig zu sein, zumal die Fachbereiche den besten Einblick in die von Ihnen vorgenommenen Datenverwendung haben und die Datenschutzbeauftragte eine rechtlich unabhängige Kontrolle ermöglichen sollte.

„Im konkreten Fall gestaltet sich diese Aufteilung allerdings als problematisch, weil die Erstbeurteilung damit Personen auferlegt worden ist, die – wenngleich datenschutzrechtlich ausgebildeten – juristischen Laien sein konnten/bzw waren und – als aus dem Fachbereich kommend – ein starkes Interesse an der Durchführung der geplanten „eigenen“ Datenverarbeitungen haben können.“

Hieraus folgte nach Ansicht des Gerichts „die beachtliche Gefahr grundlegender juristischer Fehlinterpretationen aufgrund fehlender allgemeiner juristischer Kenntnisse„.

Das BVwG geht daher hinsichtlich des Kontrollsystemens davon aus, dass dies nicht ausreichend war.

„entgegen ihrer Meinung lag damit auch kein wirksames Überwachungs- und Kontrollsystem vor, dass eine verschuldensbegründende Zurechnung an die Beschwerdeführerin ausschließen könnte“

Fehlerhafte Einschätzungen der Mitarbeiter

Hinsichtlich der Datenverarbeitungen sind die Datenschutzmanagerin und die Datenschutzbeauftragte davon ausgegangen, dass es sich bei statistischen Werten nicht um personenbezogene Daten handelt, und zwar auch dann, wenn sie konkreten Personen zugeschrieben werden.

Nach Auffassung des BVwG war diese Rechtsansicht

„insbesondere vor dem Hintergrund der bereits vor Anwendbarkeit der DSGVO zur in diesen Aspekten vergleichbaren Datenschutz-Richtlinie (95/46/EG) und dem DSG 2000 vorliegenden Judikatur der Datenschutzkommission, der Datenschutzbehörde (…) und des EuGH (EuGH 22.06.2017, C-434/16, Nowak) unvertretbar“

Das Gericht geht in seiner Begründung danach u.a. darauf ein, welches Verhalten den beteiligten Personen vorzuwerfen ist.

„Der Datenschutzmanagerin ist vorzuwerfen, dass sie bei ihrer Meinungsbildung auffallend sorglos war, zumal sie eine einschlägige datenschutzrechtliche Entscheidung denkunmöglich interpretiert…“

„Die weiteren von der Datenschutzmanagerin ergriffen Recherchetätigkeiten waren ungeeignet ihren Fehler aufzudecken,…“

„Der Datenschutzbeauftragten ist vorzuwerfen, dass sie sich – in offenbarer Unkenntnis der bestehenden Rechtsprechung sowie trotz einer neuen Rechtslage – auf ihre bestehende (irrige) Meinung verlassen hat, dass es sich bei statistischen Daten auch dann um keine personenbezogenen Daten handelt, wenn sie konkreten Personen zugeschrieben werden, und keine eigenen relevanten Recherchen durchgeführt hat.“

Die führte im Ergebnis dazu, dass das Unternehmen die „ XXXX -Affinitäten“ nicht weiter dahingehend überprüft hat, ob es sich tatschlich um eine besondere Kategorie von Daten nach Art. 9 Abs. 1 DSGVO handelt und ob und unter welchen Voraussetzungen ihre Verarbeitung zulässig sein könnte.

Hieraus folgert das BVwG:

„Dieses fahrlässige Verhalten muss sich die Beschwerdeführerin zurechnen lassen; eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin, ist hierfür nicht erforderlich (EuGH 05.12.2023, C-807/21, Deutsche Wohnen SE, Rz 77).“

Bedeutung für die Praxis
Die Entscheidung zeigt, dass Verantwortliche auch für fehlerhafte Einschätzungen bzw. Handlungen ihrer Datenschutzbeauftragten haften müssen. Bereits in der Entscheidung C-807/21 (Deutsche Wohnen) hat der EuGH klargestellt, dass Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans des Verantwortlichen voraussetzt. Diese Position wurde vom Kammergericht Berlin in seiner Entscheidung vom 22. Januar 2024 bestätigt. Die vorliegende Entscheidung folgt dem Ansatz, dass die Unternehmen auch für solche Verstöße haften, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person gehandelt hatte.

Das BVwG geht sogar noch einen Schritt weiter: Trotz der (zumindest teilweise) unabhängigen Stellung der Datenschutzbeauftragten haften die Unternehmen auch für deren Verstöße, zumindest solange diese Verstöße in den Bereich ihrer gesetzlichen Pflichten gem. Art. 39 DSGVO fallen.

Geht es um Rechtsansichten (wie hier, bei der Auslegung und Anwendung der DSGVO), sollten Verantwortliche und Auftragsverarbeiter daher darauf achten, internes Personal entsprechend zu qualifizieren oder extern spezialisierten Fachrat einzuholen.

Zudem sind die Ansichten des BVwG zu dem Compliance/Konrollsystem sehr praxisrelevant.

Landesarbeitsgericht: Ausschluss eines Betriebsratsmitglieds aus dem Betriebsrat wegen eines groben Verstoßes gegen datenschutzrechtliche Pflichten

Posted on by

Welche Folgen kann ein gesetzwidriger Umgang mit Beschäftigtendaten für Betriebsratsmitglieder haben? In gravierenden Fällen kann der Arbeitgeber den Ausschluss des Mitglieds aus dem Betriebsrat verlangen (§ 23 Abs. 1 BetrVG). Einen solchen Fall hatte das Landesarbeitsgericht Hessen (LAG) hat mit Beschluss vom 10.3.2025 (Az. 16 TaBV 109/24) zu entscheiden. Das LAG bestätigte eine Entscheidung des Arbeitsgerichts Wiesbaden, wonach ein Betriebsratsmitglied wegen grober Verstöße gegen datenschutzrechtliche Pflichten aus dem Betriebsrat auszuschließen ist. 

Sachverhalt

Im September 2023 stellte der Arbeitgeber fest, dass im dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisiert an dessen (private) GMX-Adresse weitergeleitet werden. Der Arbeitgeber sah hierin einen Datenschutzverstoß und erteilte dem Betriebsratsvorsitzenden eine Abmahnung. 

Danach stellte der Arbeitgeber erneut fest, dass der Betriebsratsvorsitzende unter anderem Termine an eine neue private E-Mail-Adresse weitergeleitet hat. Zudem wurde ermittelt, dass eine E-Mail mit einer vollständigen Personalliste von der privaten E-Mail-Adresse des Betriebsratsvorsitzenden an seinen dienstlichen E-Mail Account sowie an die E-Mail-Adresse des Betriebsrats versandt wurde. Diese E-Mail enthielt eine Excel-Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern.

Damit dies möglich war, musste der Betriebsratsvorsitzende diese Personalliste vorher von seinem dienstlichen E-Mail Account als Mitarbeiter oder von dem des Betriebsrats an seine private E-Mail-Adresse verschickt haben. Diese E-Mail hat der Betriebsratsvorsitzende (auch aus dem -elektronischen- Papierkorb) gelöscht.

Danach beantragte der Arbeitgeber beim Arbeitsgericht den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat.

Der Betriebsratsvorsitzende und der Betriebsrat haben behauptet, der Betriebsratsvorsitzende habe die E-Mail vom 07.11.2023 nur deshalb an seinen privaten E-Mail-Account geschickt, um eine zeitnahe Bearbeitung der Excel-Tabelle zu Hause auf seinem größeren Bildschirm zu ermöglichen. Nach erfolgter Bearbeitung habe er die Daten vollständig auf seinen privaten Speichermedien gelöscht. Er habe seinen Betriebsratskollegen eine Gegenüberstellung der aktuellen Betriebsvereinbarung „Vergütungsordnung“ und dem Entwurf des Betriebsrats sowie der Konzern- Rahmenvereinbarung für die Betriebsratssitzung zur Verfügung stellen wollen.

Das Arbeitsgericht gab dem Antrag des Arbeitgeber statt, wogegen der Betriebsrat und der Vorsitzende Beschwerde einlegten.

Entscheidung

Das LAG lehnt die Beschwerden des Betriebsratsvorsitzenden und des Betriebsrats als unbegründet ab. 

Datenschutzrechtliche Pflichten des Betriebsrates

Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten.

Das LAG geht daher davon aus, dass der Betriebsrat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten hat.

Im konkreten Fall lag durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail-Account mindestens eine Erhebung der Daten im Sinne von Art. 4 Nr. 2 DSGVO vor. 

Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.“

§ 26 Abs. 1 BDSG unionsrechtswidrig?

Das LAG befasst sich zunächst kurz mit der Frage, ob § 26 Abs. 1 BDSG, nach dem Urteil des EuGH vom 30.3.2023 zu § 23 HDSIG, noch angewendet werden darf – oder als unionrechtswidrig anzusehen und damit nicht anwendbar ist.  

Im Ergebnis lässt das LAG die Frage offen und prüft die Rechtsmäßigkeit der Datenverarbeitung durch den Betriebsratsvorsitzenden sowohl nach § 26 Abs. 1 BDSG als auch nach den direkt anwendbaren Vorgaben der Art. 5 und 6 DGSVO. 

Jedoch zeigt das LAG klare Tendenzen dafür, dass § 26 Abs. 1 BDSG wohl nicht mehr angewendet werden kann:

Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.“

Keine Erforderlichkeit der Verarbeitung

Im Falle einer Anwendung von § 26 Abs. 1 S. 1 BDSG geht das LAG von dem Fehlen der Erforderlichkeit der Weiterleitung der Daten an die private E-Mail-Adresse aus. 

Es wäre des Betriebsratsvorsitzenden möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten.

Die Weiterleitung auf private Systeme, sieht das LAG hier daher keine Veranlassung.

Verstöße gegen Art. 5 und 6 DSGVO

Zunächst geht das LAG von einem Verstoß gegen Art. 5 Abs. 1 a) DSGVO aus. Die Verarbeitung muss auf „rechtmäßige Weise“ erfolgen. Dies bedeutet u.a., dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruhen muss.

Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail-Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür.“

Zudem erfolgte die Verarbeitung der Daten nicht in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. 

„Auch eine derartige Information der Beschäftigten ist nicht erfolgt.“ 

Die Betroffenen hatten keine Kenntnis von der Weiterleitung ihrer Daten. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail-Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.

Zudem geht das LAG bei der Weiterleitung der personenbezogenen (Entgelt-) Daten sämtlicher Beschäftigter an die private E-Mail-Adresse von einem Verstoß gegen Art. 5 Abs. 1 c) DSGVO (Grundsatz der Datenminimierung) aus. Dieser Grundsatz wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, 

weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und -wie ausgeführt- keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.“

Zuletzt prüft das LAG, ob eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Weiterleitung vorlag. 

Weder lag eine Einwilligung der Beschäftigten vor, noch bestand eine rechtliche Verpflichtung, die Daten an die private E-Mail-Adresse zu senden. 

Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.“

Auch eine Rechtfertigung auf der Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO lehnt das LAG ab. 

Grober Verstoß im Sinne des § 23 BetrVG

Zuletzt teilt das LAG auch die Ansicht des Arbeitsgerichts, dass die Pflichtverletzung im vorliegenden Fall auch „grob“ im Sinne von § 23 Abs. 1 BetrVG war. 

Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte.“ 

Das LAG stellt hierbei auf die Art und damit die Sensibilität der Daten ab. Mit dem Umgang solcher Daten müsse allergrößte Sensibilität verbunden sein. 

Zum wertet das LAG negativ, dass dem Betriebsratsvorsitzenden bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail-Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. 

Zuletzt verweist das LAG auch auf das persönliche Fehlverhalten des Betriebsratsvorsitzenden. Dieser zeigte sich als unbelehrbar.

Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen.“ 

Datenschutzrechtliche Folgen der „Mitnahme“ von Kundendaten zum Konkurrenten und deren Verwendung durch Unternehmen

Posted on by

In ihrem neuen Tätigkeitsbericht 2024 berichtet die Sächsische Datenschutzbehörde über ein aufsichtsbehördliches Verfahren gegen ein Unternehmen A aus dem Pflegebereich, welches Kundendaten eines konkurrierenden Unternehmens B von einer neuen Mitarbeiterin erhalten hatte. Diese Mitarbeiterin hatte die Kunden zuvor bei Unternehmen B betreut und war zu Unternehmen A gewechselt – samt der Kundendaten.

Datenschutzrechtliche Folgen für die Mitarbeiterin

Die Aufsichtsbehörde prüfte u.a., ob sie gegen die Mitarbeiterin vorgehen müsste. Dies scheiterte jedoch daran, dass das Verhalten der ehemaligen Mitarbeiterin in Ermangelung eines Wohnsitzes im Freistaat Sachsen nicht im Zuständigkeitsbereich der Aufsichtsbehörde erfolgt ist.

Wie etwa die jüngste Entscheidung des OLG Stuttgart zum Bußgeld gegen Mitarbeiter zeigt (Blogbeitrag hier), besteht für Mitarbeiter, die etwa entgegen vertraglicher Regelungen Kundendaten „mitnehmen“, auf jeden Fall ein rechtliches Risiko, selbst als Verantwortlicher eingestuft und Ziel aufsichtsbehördlicher Maßnahmen, inkl. eines Bußgeldes, zu werden.

Datenschutzrechtliche Folgen für das Unternehmen A

Die sächsische Behörde konzentrierte sich dann auf die Ermittlung gegenüber dem Unternehmen A, welches im Rahmen seiner Anhörung eingeräumt hatte, dass es die Kundendaten in sein Datensystem übernommen und sämtliche Kunden angeschrieben hatte. Von den angeschriebenen Kunden entschieden sich rund 38 % für einen Wechsel zu dem sächsischen Unternehmen.

Für die Speicherung und Verwendung der Kontaktdaten sah die Aufsichtsbehörde hier jedoch keinen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO einschlägig und bewertete die Datenverarbeitung damit als rechtswidrig.

  • Eine Einwilligung der Kunden, von dem neuen Unternehmen angeschrieben zu werden, lag nicht vor.
  • Die Speicherung und Nutzung der Kontaktdaten konnte auch nicht auf Art. 6 Abs. 1 b) DSGVO gestützt werden, da die Kontaktaufnahme mit dem Ziel des Abschlusses eines neuen Vertrages nicht von den Kunden selbst, sondern von dem sächsischen Unternehmen ausgegangen war.
  • Zudem konnte das Unternehmen kein eigenes und ein gegenüber den angeschriebenen Kunden vorrangig zu berücksichtigendes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO nachweisen.

Zudem geht die Aufsichtsbehörde von einem Verstoß gegen den Datenschutzgrundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO aus. Da die Kundendaten allein für die Betreuung der Kunden durch das konkurrierende Unternehmen B nach dem alten bestehenden Pflegevertrag gedacht waren,

stellt die Übernahme und die Nutzung der Daten zur Kontaktaufnahme durch das sächsische Unternehmen eine nicht mit diesem Zweck zu vereinbarende Nutzung und damit einen Verstoß gegen Art. 5 Abs. 1 Buchst. b DSGVO dar.“

Spannend ist aus meiner Sicht die von der Aufsichtsbehörde festgesetzte Maßnahme in diesem Verfahren. Oder aus Sicht des Unternehmens: was mich in einem solchen Fall erwartet.

Und diesbezüglich ist das sächsische Unternehmen aus meiner Sicht sehr glimpflich davongekommen.

Die Behörde verlangte von dem sächsischen Unternehmen, zumindest die Daten von den

Kunden vollständig zu löschen, mit denen kein neues Vertragsverhältnis begründet werden konnte.“

Bedeutet: im Ergebnis musste das Unternehmen 62 % der erhaltenen Daten löschen.

Das Verfahren wurde mit einer Verwarnung abgeschlossen. Weitere Folgen gab es jedoch nicht. Also auch kein Bußgeld.

Folgen für die Praxis

Aus Sicht von Unternehmen ist das Vorgehen der Aufsichtsbehörde für mich als sehr wohlwollend einzustufen. Das Unternehmen A darf ja im Ergebnis unzulässig erlangte und verwendete Daten nutzen und damit nun Umsatz generieren. Rein datenschutzrechtlich betrachtet, bietet der Sachverhalt schon auch andere, strengere Ansätze.

  • Die vorgelagerte unzulässige Speicherung und Verwendung von Kontaktdaten, immerhin von 100 % der Daten, könnte sanktioniert werden.
  • Die nachgelagerte weitere Speicherung von 62 % der Kundendaten könnte sanktioniert werden. Diese Daten scheinen ja noch vorhanden gewesen zu sein, obwohl Kunden entweder nicht reagiert oder evtl. sogar ablehnend reagiert haben.
  • Da die Kontaktdaten in der Absicht verwendet werden, um sich zu bereichern, könnte ein Straftatbestand nach § 42 BDSG erfüllt sein.

Spannend ist für mich in diesem Fall auch die (wohl) eingenommene Position der Aufsichtsbehörde, dass sich vorgelagerte datenschutzrechtlich Verstöße nicht auf eine nachgelagerte Datenverwendung auswirken. Zumindest wenn danach auf Grundlage von Art. 6 Abs. 1 b) DSGVO Daten verarbeitet werden.

Um einen Extremfall zu bilden: wenn ich ein neues, „aggressives“ Start up bin und in einen Markt möchte, versuche ich so schnell es geht an Kundendaten der Konkurrenz zu gelangen, kontaktiere die Kunden und versuche, so viele Verträge wie möglich zu schließen. Die „nicht aktivierten“ Leads werden gelöscht. Risiko für das Unternehmen nach dem oben geschilderten Fall: eine Verwarnung.

Im Ergebnis also eine aus Sicht von Unternehmen sehr pragmatische Herangehensweise der Aufsichtsbehörde. Ob jedoch alle Aufsichtsbehörden in Deutschland so vorgehen würden, möchte ich zumindest bezweifeln. So etwa der Hinweis der Aufsichtsbehörde aus Thüringen, die in einem ähnlichen Fall sogar entsprechend § 43 Abs. 2 BDSG alt (jetzt  § 42 Abs. 2 BDSG) einen Strafantrag gestellt hat, da die Daten mit Bereicherungsabsicht verwendet wurden.

Daher sollten Unternehmen in jedem Fall immer eine Risikobetrachtung vornehmen, wenn Daten der Konkurrenz für eigene Zwecke genutzt werden sollen.

Speicherung von Daten zur Verteidigung gegen zukünftige Klagen? Strenge Ansicht des OLG Karlsruhe

Posted on by

In der Praxis stellt sich für Verantwortliche oft die Frage, wie lange personenbezogene Daten aufbewahrt werden dürfen, wenn etwa eine Kundenbeziehung endet oder ein Mitarbeiter das Unternehmen verlässt. Im Zweifel orientiert man sich hierbei etwa an den Verjährungsfristen (z.B. § 195 BGB) für Ansprüche, die durch Betroffene noch geltend gemacht werden könnten. Solange eine Klage möglich bleibt, möchte man schließlich nicht Dokumente und Informationen vorzeitig löschen, die im Falle eines Rechtsstreits als Beweismittel zur Verteidigung dienen können.

Nach Art. 17 Abs. 3 e) DSGVO gilt die Löschpflicht nicht, soweit die Verarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Das OLG Karlsruhe (Urt. v. 15.01.25, Az. 14 U 150/23) hat in einem solchen Fall nun eine sehr strenge Ansicht zur Möglichkeit der weiteren Aufbewahrung von Daten und Dokumenten vertreten.

Sachverhalt

Im konkreten Fall stritten die Parteien um Ansprüche wegen einer vorübergehenden Deaktivierung des Accounts der Klägerin. Unbekannte Dritte verbreiteten unter unberechtigter Nutzung des Kontos der Klägerin kinderpornografische Darstellungen. Das Konto wurde von der Beklagten vorübergehend deaktiviert. Nach gewisser Zeit und Aufforderungen durch den Anwalt der Klägerin wurde das Konto reaktiviert. Die Information zur Sperrung des Kontos und die Löschung der Beiträge, die durch Dritte erstellt wurden, waren weiterhin im Datensatz der Beklagten vermerkt. Die Klägerin verlangte nun, die bei der Beklagten gespeicherte Daten der Klägerin dahingehend zu berichtigen, dass alle Lösch- und/oder Sperrvermerke, die Grund für die Kontodeaktivierung gewesen sind, aus dem Nutzerdatensatz gelöscht werden.

Entscheidung

Das OLG geht davon aus, dass ein Löschanspruch der Klägerin besteht.

Auf die Ausnahmeregelung zur Löschpflicht nach Art. 17 Abs. 3 e) DSGVO könne sich die Beklagte nicht berufen, wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist.

Die vorhandenen Daten sind nach Ansicht des OLG für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig, Art. 17 Abs. 1 a) DSGVO. Zudem könne sich die Beklagte auch nicht darauf berufen,

dass die fortgesetzte Verarbeitung der Daten in Form der Speicherung nunmehr für einen anderen Zweck notwendig sei, namentlich mit Blick auf Art. 17 Abs. 3 lit. e DSGVO“.

Das OLG geht diesbzgl. kurz auf den Zweck der Ausnahmeregelung und die dazu vertretenen Ansichten ein.

Die Vorschrift diene dazu, dass die Rechtsdurchsetzung, aber auch die Rechtsverteidigung nicht dadurch eingeschränkt wird, in dem die andere Seite durch Geltendmachung von Löschungsansprüchen eben gerade diese Rechtsdurchsetzung oder Rechtsverteidigung behindert. Der (Prozess-)Gegner soll nicht über Löschungsansprüche Beweismittel oder anspruchsbegründende Tatsachen vernichten können.

Wie wahrscheinlich eine rechtliche Auseinandersetzung sein muss, um diesen Ausnahmetatbestand zu rechtfertigen, ist umstritten“.

Gerade dieser letzte Aspekt, wird in der Literatur und auch unter den Aufsichtsbehörden in verschiedener Weise diskutiert. Im Grunde geht es um die Frage: Wie sicher muss ich sein, dass ich verklagt werde, um deswegen noch personenbezogene Daten speichern zu dürfen?

Und das OLG vertritt hierzu eine, aus meiner Sicht durchaus diskutable, strenge Auffassung.

Zunächst geht das OLG davon aus, dass unabhängig von den Anforderungen, die insoweit im Einzelnen gestellt werden, Einigkeit darüber bestehe,

dass die lediglich abstrakte Möglichkeit eventueller zukünftiger Klagen eine Berufung auf Art. 17 Abs. 3 lit. e DSGVO nicht rechtfertigen kann“.

Natürlich stellt sich dann die Frage, wann eine solche Möglichkeit nur „abstrakt“ besteht? Im vorliegenden Fall begründet das OLG grob in zwei Schritten, warum die Speicherung nicht mehr zur Verteidigung gegen Ansprüche erforderlich sei.

Erstens

Der Vorgang sei zwischenzeitlich in den anwaltlichen und den Gerichtsakten dokumentiert, da der Vorgang unter einer Mehrzahl an Aspekten Gegenstand des vorliegenden Rechtsstreits ist. Das OLG geht davon aus, dass die Position der Beklagten im laufenden Rechtsstreit nicht beeinträchtigt ist, wenn diese Informationen aus dem Datensatz der Klägerin gelöscht werden.

Das Gericht stellt also darauf ab, dass die ggfs. in Zukunft noch relevanten Daten bei anderen Stellen, Anwälte und Gerichte, vorhanden sind. Daher benötige die Verantwortliche sie nicht mehr.

Die Begründung lässt aus meiner Sicht außer Acht, dass die anderen Stellen eigene Verantwortliche nach der DSGVO sind und nicht festgestellt wird, unter welchen Voraussetzungen die Beklagte in Zukunft an diese Daten gelangen könnte. Wenn sie sie doch noch benötigt. Dürften etwa die Dritten diese Daten wieder zur Verfügung stellen? Unter welchen Voraussetzungen? Hierzu sagt das OLG nichts.

Zweitens

Da die Klägerin im vorliegenden Verfahren potentielle Ansprüche umfänglich verfolgt hat, liege die Befürchtung einer weiteren Klage wegen des zugrundeliegenden Vorfalls fern.

Dieser Ansicht mag man zustimmen, wenn die Klägerin wirklich alle potentiellen Ansprüche bereits geltend gemacht hat. So lag der Fall hier aber gerade nicht, was sogar das OLG zugesteht.

Zwar könnte sie noch auf Schmerzensgeld oder materiellen Schadensersatz klagen, da sie entsprechende Ansprüche bislang nicht anhängig gemacht hat. Hierbei handelt es sich indes aus mehreren Gründen um ein gänzlich unwahrscheinliches Szenario.“

Das OLG sieht also die Möglichkeit, dass die Verantwortliche noch auf Schadenersatz in Anspruch genommen werden kann. Dann nimmt das Gericht jedoch eine Einschätzung vor, wie wahrscheinlich dies erscheint.

Dagegen spricht, dass die Klägerin dies bislang gerade nicht getan hat.“

Als ich dieses Argument gelesen habe, musste ich schon kurz schmunzeln. Nur weil eine Person bisher eine Klage nicht eingereicht hat, bedeutet das meines Erachtens noch lange nicht, dass sie dies nicht doch in Zukunft unternimmt.

Hinzu kommt, dass eine derartige Klage nach der höchstrichterlichen und obergerichtlichen Rechtsprechung in einer Konstellation wie der vorliegenden keinerlei Aussicht auf Erfolg hätte, was auch der Grund dafür sein dürfte, dass die von einem unter anderem auf Fallgestaltungen wie den vorliegenden spezialisierten Rechtsanwalt vertretene Klägerin bislang keine Schadensersatzansprüche geltend gemacht hat.“

Viele, die in der Praxis mit Klagen auf Basis der DSGVO befasst sind, dürften mir zustimmen, dass diese Klagen sehr oft gerade nicht nur geltend gemacht werden, wenn gute Erfolgsaussichten bestehen, Dazu müsste man nur einen Blick in die Rechtsprechung des letzten Jahres zu Art. 82 DSGVO werfen. Das Argument des OLG ist im Grunde: man soll davon ausgehen, dass nur dann geklagte wird, wenn gute Erfolgsaussichten bestehen. Meine persönliche Erfahrung im Datenschutzrecht hierzu, sieht tatsächlich anders aus.

Zudem lässt das OLG eine rein „theoretische Gefahr“ einer Klage nicht ausreichen.

Eine derartige, theoretische Gefahr als ausreichend anzusehen und hierauf die Anwendung einer datenschutzrechtlichen Ausnahmeregelung zu stützen, wäre nach Auffassung des Senats mit den Wertungen der DSGVO nicht vereinbar“.

Folgt man dieser Ansicht, dürften Verantwortliche wohl nur Daten zur zukünftigen Verteidigung speichern, wenn man als Verantwortlicher schon einmal wegen genau dieses Streitgegenstands schon verklagt wurde oder zB der Betroffene die Klage ankündigt.

Wenn man aber bisher ohne Streitigkeiten mit Kunden oder Mitarbeitern gelebt hat, würde man hier benachteiligt und dürfte keine Daten speichern.

Fazit

Möchte man als Verantwortlicher Daten zur zukünftigen Verteidigung speichern, sollte man intern mindestens einige Argumente vorhalten, warum dies geschieht. Allein der Verweis auf eine mögliche Inanspruchnahme und die laufenden Verjährungsfristen würde, mit Ansicht des OLG, nicht ausreichen.

Arbeitsgericht: kein DSGVO-Schadenersatzanspruch gegenüber Betriebsratsmitglied, wenn dieses in Wahrnehmung des Betriebsratsamtes handelt   

Posted on by

Das Arbeitsgericht (ArbG) Bonn hat sich in seinem Urteil vom 20.11.2024 (5 Ca 663/24) u.a. mit der Frage befasst, ob ein (ehemaliger) Mitarbeiter von einem Betriebsratsmitglied Schadenersatz nach Art. 82 DSGVO verlangen kann, wenn das Mitglied personenbezogene Daten entgegen der DSGVO verarbeitet.

Sachverhalt

Beide Parteien des Verfahrens waren Arbeitnehmer des Unternehmens. Der Kläger war Verkaufsleiter. Der Beklagte war u. a. Betriebsratsvorsitzender. Der Kläger unterhielt eine von ihm als „On/Off-Beziehung“ bezeichnete Verbindung zu einer Mitarbeiterin, deren Vorgesetzter er war. Im Rahmen der Beziehung kam es zu Auseinandersetzungen. Der Kläger und die Mitarbeiterin tauschten diverse WhatsApp-Nachrichten aus. Die Mitarbeiterin übermittelte dem Beklagten Auszüge aus dem Chatverkehr, die der Beklagte an die Personalabteilung weitergab.

Der Kläger behauptet, dass der Beklagte den intime, dem höchstpersönlichen Lebensbereich zugehörige Inhalte beinhaltenden WhatsApp-Chatverlauf und eine Strafanzeige ohne Rücksprache mit dem Kläger umgehend nach Erhalt und ohne Befassung des Betriebsrats, des Personalausschusses, des Betriebsausschusses oder von Betriebsratsmitgliedern an die Personalabteilung weitergeleitet habe. Das habe letztlich zu seiner Freistellung und dem Abschluss eines Aufhebungsvertrags geführt.

Der Beklagte habe nicht in seiner Eigenschaft als Betriebsratsmitglied gehandelt, weshalb er sich auf § 79a BetrVG nicht berufen könne. Es habe kein datenschutzrechtlicher Erlaubnistatbestand gemäß Art. 6 DSGVO für die Weitergabe bestanden. Die Datenweitergabe sei nicht erforderlich gewesen.

Entscheidung

Das ArbG wies die Klage auf Schadenersatz nach Art. 82 DSGVO als unbegründet ab und begründet dies mit zwei Argumenten: 1) da die Datenweitergabe datenschutzrechtlich zulässig erfolgte, also schon kein Verstoß gegen die DGSVO vorlag; 2) der Betriebsratsvorsitzende nicht „Verantwortlicher“ im Sinne der DSGVO ist – Anspruchsgegner wäre der Arbeitgeber.

Nach Ansicht des Gerichts habe der Kläger nicht dargelegt, dass der Beklagte durch die Weitergabe von privater Korrespondenz zwischen ihm und der Mitarbeiterin an die Personalabteilung rechtswidrig sein allgemeines Persönlichkeitsrecht verletzt hätte und sich daraus ein Schadensersatzanspruch ergeben hätte.

Der Beklagte handelte rechtlich zulässig im Anwendungsbereich von § 84 Abs. 1 Satz 2 BetrVG zur Unterstützung der Mitarbeiterin.

Die Datenweitergabe durch den Betriebsratsvorsitzenden stufte das Gericht als eine rechtlich zulässige Verarbeitung ein.

Rechtsgrundlage ist nach Ansicht des ArbG hier u.a. Art. 6 Abs. 1 b) DSGVO bzw. § 26 Abs. 1 Satz 1 BDSG,

um dem Arbeitgeber eine möglichst aussagekräftige Basis zur Prüfung der Beschwerde gemäß § 13 Abs. 1 AGG, § 84 Abs. 1 BetrVG zu verschaffen“.

In den Anwendungsbereich von Art. 6 Abs. 1 b) DSGVO falle auch die Datenweitergabe zur Abwicklung und Beendigung eines Vertrags, hier in Form des Arbeitsvertrags des Klägers und der Mitarbeiterin zur Prüfung etwaiger Abhilfemaßnahmen insbesondere nach dem AGG durch den Arbeitgeber.

Zudem geht das Gericht davon aus, dass der Beklagte bei der Weiterleitung an die Personalabteilung in seiner Funktion als Betriebsratsmitglied gemäß § 84 Abs. 1 Satz 2 BetrVG gehandelt habe,

womit er gemäß § 79a Satz 2 BetrVG ohnehin nicht persönlich gegenüber dem Kläger für die Einhaltung des Datenschutzrechts gehaftet hätte“.

Nach § 79a Satz 2 BetrVG ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Das ArbG geht davon aus, dass diese Vorschrift auch einzelne Betriebsratsmitglieder datenschutzrechtlich privilegiere, soweit sie in Wahrnehmung des Betriebsratsamtes handeln.

Der Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO richtete sich, wenn er dem Grunde nach überhaupt bestanden hätte,

gegen den Verantwortlichen oder den Auftragsverarbeiter, nach der gesetzlichen Zuweisung des § 79a BetrVG also gegen den Arbeitgeber“.

Fazit

Schadenersatzansprüche können nach Art. 82 DSGVO nur gegen den Verantwortlichen oder Auftragsverarbeiter geltend gemacht werden. Einzelner Mitarbeiter oder wie hier, Betriebsratsmitglieder, sind datenschutzrechtlich aber nicht „Verantwortliche“ – zumindest solange sie Daten im Rahmen der ihnen übertragenen Aufgaben und Tätigkeiten verarbeiten.

Gleichzeitig kann man aus der Entscheidung ableiten: setzen sich Mitarbeiter oder Betriebsratsmitglieder über ihren Aufgabenbereich hinweg und agieren eigenständig, indem sie etwa selbst Zwecke der Verarbeitung bestimmen, können sie zu datenschutzrechtlich Verantwortlichen werden – und damit auch Anspruchsgegner von Schadenersatzansprüchen.

VG Wiesbaden: Inkassounternehmen sind in der Regel keine Auftragsverarbeiter

Posted on by

Das Verwaltungsgericht (VG) Wiesbaden hat ich in seinem Beschluss vom 13.05.2024 (Az. 6 K 1306/22.WI; derzeit leider nur kostenpflichtig zugänglich, zB via BeckRS 2024, 11305) mit der Frage auseinandergesetzt, welche datenschutzrechtliche Rolle Inkassodienstleiter nach der DSGVO einnehmen, wenn sie personenbezogene Daten verarbeiten: Auftragsverarbeiter oder Verantwortliche?

Das VG verweist zunächst auf Ansichten in der Rechtsprechung und Literatur, wonach überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung weitgehend selbst bestimmen und nur ausnahmsweise, beispielsweise bei der teilweisen weisungsgebundenen Übertragung des Forderungsmanagements auch Auftragsverarbeitungen i. S. d. Art. 28 DSGVO denkbar seien.

Als Argumente gegen eine Einordnung als Auftragsverarbeiter führt das VG dann folgende Aspekte an:

  • Auch bei der (teilweise) weisungsgebundenen Überragung des Forderungsmanagements ist diese durch eine weitgehend selbstständige Aufgabenwahrnehmung des Inkassounternehmens geprägt, die deren Einordnung als Verantwortliche nahelegen.
  • Aus der sog. teilweisen weisungsabhängigen „Einziehungsermächtigung“, bei der der Auftraggeber rechtlicher Eigentümer der Forderung bleibt, folgt nach Ansicht des VG auch keine andere Bewertung. Denn das Rechtsdienstleistungsgesetz (RDG) unterscheide nicht zwischen der Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen. Die rechtliche Inhaberschaft einer Forderung bleibe auf die Zulässigkeit der Rechtsdienstleistung ohne Einfluss, wie auch die Ausführung der Inkassotätigkeit vom Status der Forderung nicht abhängt.
  • Gegen eine Einordnung als Auftragsverarbeiter spreche auch der nur graduelle Unterschied zu Rechtsanwälten im erforderlichen Knowhow und Professionalisierungsgrad.
  • Zudem die häufig völlige Freiheit bei der Wahl der Mittel zur Umsetzung, die sehr weitgehende Freiheit bei der Bestimmung des Zwecks bzw. die erheblichen Eigeninteressen an dieser Dienstleistung.
  • Bei einem externem Inkassomanagement stehe der Einordnung einer Auftragsverarbeitung auch regelmäßig entgegen, dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte.
  • Zudem verweist das Gericht auf die Entscheidung des VG Mainz aus 2020, wonach eine Auftragsverarbeitung bei der Übermittlung von Daten im Rahmen einer Forderungsabtretung eines Tierarztes an ein Inkassobüro mangels Weisungsgebundenheit aus scheide (Az. 1 K 467/19.MZ).
  • Gegen eine Einordnung als Verantwortlicher spreche auch nicht, dass die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei.  Das Inkassounternehmen bestimme faktisch die Zwecke und Mittel der Datenverarbeitung derart autonom, dass es datenschutzrechtlich als der für die Datenverarbeitung personenbezogener Daten Verantwortliche erscheine.

Im Ergebnis geht des VG daher davon aus: „In aller Regel ist daher auch das Inkassounternehmen im Mandatsverhältnis für die Verarbeitung personenbezogener Daten Verantwortlicher und nicht Auftragsverarbeiter“.

Bayerische Datenschutzbehörden: keine eigene Verantwortlichkeit des Mitarbeiters beim Missbrauch von beruflichen Daten für private Zwecke (Exzess)?

Posted on by

Der BayLfD hat jüngst eine aus meiner Sicht wirklich gelungene und hilfreiche Orientierungshilfe zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO veröffentlicht. In der Orientierungshilfe befasst sich die Behörde auch mit der Frage der Verantwortlichkeit in Situationen des sog. Mitarbeiterexzesses – Fälle, „bei denen Beschäftigte von Verantwortlichen Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“.

Die „bayerische Auffassung“ – Arbeitgeber / Dienstherr bleibt Verantwortlicher

In diesem Zug war ich durchaus überrascht, von der sog. „bayerischen Auffassung“ zu lesen (ab S. 42 ff.). Diese Ansicht wird vom BayLfD wie folgt zusammengefasst:

Die beiden bayerischen Aufsichtsbehörden – der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht – vertreten übereinstimmend die Auffassung, dass ein Beschäftigter nicht zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO wird, wenn er Daten, die ihm für dienstliche Zwecke zur Verfügung stehen, mittels dienstlicher Abfragesysteme für private Zwecke abruft“.

Nach Auffassung des BayLfD und wohl auch des BayLDA stellt diese zweckwidrige Verwendung von Daten aus dem beruflichen Kontext noch keine Handlung dar, die den Beschäftigten zu einem eigenen datenschutzrechtlichen Verantwortlichen machen würde.

Die Konsequenzen dieser Auffassung sind praxisrelevant:

  • „Die öffentliche Stelle bleibt damit im Fall des bloß zweckwidrigen Datenabrufs Einzelverantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, auch für den Datenschutzverstoß durch ihren Beschäftigten“
  • „Der rechtswidrige Abruf dienstlich zugänglicher Daten zu rein privaten Zwecken stellt einen Datenschutzverstoß dar, aufgrund dessen gegen den Verantwortlichen gemäß Art. 83 DSGVO grundsätzlich eine Geldbuße verhängt werden kann“

Gründe für die Ansicht des BayLfD und BayLDA

Der BayLfD begründet seine Auffassung unter anderem damit, dass Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO nur ist, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ausschlaggebend sei dabei die Entscheidung über die grundsätzlichen Zwecke und Mittel der Abfragesysteme.

Über diese entscheidet ein Beschäftigter jedoch auch dann nicht, wenn er dienstliche Daten für private Zwecke missbraucht“.

Er verwende vielmehr lediglich die ihm zur Verfügung gestellten Abfragesysteme und diese für außerdienstliche, private Zwecke. Der BayLfD verweist in den Fußnoten auch auf die Ansicht des BayLDA in drei Tätigkeitsberichten.

So geht das BayLDA im Tätigkeitsbericht 2020 (ab S. 78 f.) unter anderem davon aus, dass ein Mitarbeitender beim bloßen Datenabruf aus Datenbanken des Unternehmens, bei dem er beschäftigt ist bzw. der bloßen Einsichtnahme in personenbezogene Daten in entsprechende Unterlagen zu privaten Zwecken, nicht zum eigenständigen Verantwortlichen wird, da die beiden dort genannten Kriterien – Zweck- und Mittelbestimmung – nach dem Wortlaut („und“) kumulativ vorliegen müssen. Der Mitarbeitende bestimme nicht über den Mitteleinsatz.

Als zweites Argument verweist der BayLfD auf die vorhandene Vorgabe in Art. 28 Abs. 10 DSGVO für Auftragsverarbeiter. Für den Fall, dass ein Auftragsverarbeiter in rechtswidriger Weise seine Befugnisse überschreitet, wird er insoweit eigener Verantwortlicher. Eine solche Regelung fehle aber in Art. 29 DSGVO in Bezug auf Beschäftigte.

Etwas anderes soll nur dann gelten, wenn der Beschäftigte die abgerufenen Daten mittels arbeitgeberfremder Ressourcen weiterverarbeitet. Also etwa über seinen privaten Laptop oder sein Smartphone. Ab diesem Zeitpunkt greife Art. 4 Nr. 7 DSGVO für den Beschäftigten.

Andere Ansichten

Nun gesteht der BayLfD in seiner Orientierungshilfe aber auch ein, dass diese bayerische Ansicht nicht der einzige derzeit vorgeschlagene Weg ist und von einigen anderen Aufsichtsbehörden nicht geteilt wird. So sehen etwa die Landesdatenschutzbeauftragten in Baden-Württemberg und Nordrhein-Westfalen den Beschäftigten, der dienstliche Daten für private Zwecke verwendet, als Verantwortlichen an.

Zudem verweist der BayLfD auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts (Erkenntnis vom 21. Dezember 2021, W258 2238615-1/16E) und auch die andere Auffassung des Europäischen Datenschutzausschusses (Leitlinien 07/2020), der allein an die Zwecke der Verarbeitung knüpft und hieraus bereits die eigene Verantwortlichkeit des Mitarbeiters ableitet.

Der BayLfD geht in Fn. 140 davon aus, dass die Entscheidung des österreichischen Bundesverwaltungsgerichts – soweit ersichtlich – die erste Entscheidung eines Gerichts im deutschsprachigen Raum zu dieser Frage sei. Ergänzen lässt sich insoweit noch eine ältere Entscheidung des Verwaltungsgerichts (VG) Mainz (Urteil vom 17.12.2020 – 1 K 778/19.MZ), das ebenfalls nicht die Ansichten von BayLfD und BayLDA vertritt.

Nach dem VG ist von einem den Zurechnungszusammenhang unterbrechenden „Exzess“ jedenfalls dann auszugehen, wenn Beschäftigte Daten unbefugt für eigene Zwecke verarbeiten – wie z.B. bei der Einsichtnahme in behördliche Datenbanken für private Zwecke oder Entwendung von Kundendaten. Das VG lässt also, entgegen der bayerischen Auflassung, die eigene Zweckbestimmung durch den Mitarbeiter durchaus für eine eigene Verantwortlichkeit ausreichen. Der jeweilige Beschäftigte schwinge sich dann insoweit selbst zum Verantwortlichen auf, indem er anfängt, selbst darüber zu entscheiden, wie und warum mit Daten umgegangen wird.

Einschätzung

Ich war von der Ansicht beim ersten Lesen der Orientierungshilfe tatsächlich überrascht, da ich bisher auch immer die eigenständige Zweckänderung durch den Mitarbeiter als ausreichend für die Einstufung als Verantwortlicher gesehen habe.

Die Argumentation der Behörden, dass der Mitarbeiter deshalb nicht verantwortlich ist, da er ja nicht über die Mittel der Verarbeitung entscheide, ist aus meiner Sicht zudem diskutabel. Denn wenn der Mitarbeiter etwa eine CRM-Software verwendet, um dort für private Zwecke nach Kundendaten zu suchen, bestimmt er meines Erachtens natürlich auch in diesem Moment über den Einsatz des Mittels „CRM-Software“ – eben allein für seine privaten Zwecke. Zudem könnte man hierfür ergänzend die Ansicht des Generalanwalts in der Rs. C-579/21 anführen (hierzu mein Blogbeitrag), in der er davon ausgeht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Fazit

Überspitzt formuliert kann man konstatieren: solange Mitarbeiter in Bayern (im privaten oder öffentlichen Bereich) allein über Systeme ihres Arbeitgebers missbräuchlich mit Daten umgehen, droht ihnen von Seiten der Datenschutzaufsicht kein Ungemach. Der Arbeitgeber müsste befürchten, wegen eines Verstoßes gegen Art. 32 DSGVO geprüft oder ggfs. sanktioniert zu werden.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Posted on by

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.