Oberverwaltungsgericht NRW: Entlassung eines Beamten auf Probe wegen Datenschutzverstößen

Das Oberverwaltungsgericht NRW (Beschl. v. 19.09.2019, 6 B 539/19) hat die Beschwerde eines ehemaligen Polizeikommissars gegen die Ablehnung der Wiederherstellung der aufschiebenden Wirkung seiner Klage gegen seine Entlassung aus dem Beamtenverhältnis auf Probe wegen Zweifeln an seiner charakterlichen Eignung zurückgewiesen. Der Polizeikommissar habe Datenschutzverstöße begangen (hier: Datenbankabfragen ohne dienstlichen Bezug), dadurch in einer Vielzahl von Fällen in Rechte Dritter eingegriffen und hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert.

Sachverhalt

Der ehemalige Polizeikommissar hat, in seiner Zeit als Beamter auf Probe, in einer Vielzahl von Fällen nicht dienstlich veranlasste Datenabfragen über andere Personen durchgeführt. Bei insgesamt festgestellten 3.950 getätigten Datenabfragen wurden in 2.119 Fällen keine direkten Hinweise für einen dienstlichen Anlass angenommen. Das OVG geht in seiner Begründung sogar „nur“ von – wie der Betroffene selbst vorgetragen hat – insgesamt etwa 50 „privat motivierten“ Datenabfragen aus.

Es stehe fest, dass er in einer Vielzahl von Fällen nicht dienstlich veranlasste Abfragen mit Hilfe der ihm zur Verfügung stehenden Datensysteme durchgeführt habe, die unterschiedliche Personen betroffen hätten. Hierzu hätten etwa Familienangehörige (Vater, Mutter, Ehefrau, Schwager usw.), andere Personen aus seinem privaten Umfeld (bspw. Facebook-Freunde, sonstige Bekannte) sowie Kollegen gezählt.

Begründung

Das OVG verweist darauf, dass zu den Verhaltensgeboten von Beamten die sich aus § 34 Satz 3 BeamtStG ergebende Pflicht gehört, sein Verhalten innerhalb und außerhalb des Dienstes so auszurichten, dass es der Achtung und dem Vertrauen gerecht wird, die sein Beruf erfordern.

Hierzu gehört insbesondere die Pflicht, sich gesetzestreu zu verhalten und damit unter anderem den Datenschutz betreffende gesetzliche Vorgaben zu beachten“.

Durch die Durchführung nicht dienstlich veranlasste Datenabfragen über andere Personen in einer Vielzahl von Fällen habe für den Dienstherren ein berechtigter Anlass bestanden, die charakterliche Eignung des Antragstellers ernsthaft anzuzweifeln.

Nach § 23 Abs. 3 Satz 1 Nr. 2 BeamtStG können Beamte auf Probe entlassen werden, wenn sie sich in der Probezeit nicht bewährt haben. Der Entlassungstatbestand steht im Zusammenhang mit § 10 Satz 1 BeamtStG, wonach die Ernennung zum Beamten auf Lebenszeit nur zulässig ist, wenn der Beamte sich in der Probezeit bewährt hat.

Nach Auffassung des Gerichts stellen selbst die etwa 50 (zugestandenen) „privat motivierten“ Datenabfragen eine hinreichende Tatsachengrundlage für die Annahme ernstlicher Zweifel an der charakterlichen Eignung des Antragstellers für das Amt des Polizeikommissars dar.

Das OVG verweist für seine Begründung auch auf § 41 DSG NRW (Datengeheimnis). Danach ist es denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Das OVG stellt fest, dass der ehemalige Polizeikommissar zumindest in 50 Fällen jeweils eine zweckwidrige Datenverarbeitung vorgenommen habe. Er habe damit in einer Vielzahl von Fällen in Rechte Dritter eingegriffen.

“Dass hierdurch das Vertrauen des Antragsgegners in die persönliche Integrität und Zuverlässigkeit des Antragstellers nachhaltig erschüttert ist, drängt sich auf”.

Hieran ändere auch der Umstand nichts, dass es nicht zur unbefugten Weitergabe der abgefragten Daten gekommen ist.

Lohnbuchhaltung durch Steuerberater: Bundesrat möchte gesetzliche Klarheit zur Einordnung nach der DSGVO schaffen

Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.

Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?

Hier einige Positionen:

LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.

LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.

LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.

Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.

Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.

§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:

(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).

Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.

Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)

Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.

Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.

Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.

Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.

Verwendung von Meldungen zu Datenschutzverletzungen für Bußgeldverfahren? Ein Stimmungsbild.

Art. 33 Abs. 1 DSVGO schreibt vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden muss (es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht).

Art. 33 Abs. 3 DSVGO gibt einen Katalog an Informationen vor, die Inhalt der Meldung an die Aufsichtsbehörde sein müssen. U.a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Der Verantwortliche muss in der Meldung nach Art. 33 DSGVO mithin darlegen, wie es zu der Datenschutzverletzung kam.

Doch die Aufsichtsbehörden sind nicht nur für die Entgegennahme der Meldungen zuständig. Gleichzeitig besteht für sie nach Art. 58 Abs. 2 lit. i DSGVO die Befugnis, eine Geldbuße nach Art. 83 DSVGO zu verhängen. Im Falle von Datenschutzverletzungen, die sich (nach der Legaldefinition in Art. 4 Nr. 12 DSVGO) auf die Vernichtung, den Verlust, die Veränderung, oder die unbefugte Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten bezieht, steht zumeist ein Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung im Raum).

Nun stellt sich für Verantwortliche oft die Frage: kann ich bedenkenlos die Meldung absetzen, ohne befürchten zu müssen, dass die übermittelten Informationen im Rahmen eines Bußgeldes gegen mich verwendet werden? Muss ich mich also selbst belasten?

Der deutsche Gesetzgeber hat diese Situation im Rahmen der Anpassung des DSGVO erkannt und eine klare Regelung in § 43 Abs. 4 BDSG getroffen: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden“. (Hervorhebung durch mich).

Eigentlich dürften also deutsche Aufsichtsbehörden die Informationen aus der Meldung nicht für die Einleitung eines Bußgeldverfahrens nutzen, ohne, dass die Zustimmung des meldenden Verantwortlichen vorliegt.

Doch wie interpretieren die (deutschen) Aufsichtsbehörden diese Vorschrift? Nachfolgend habe ich in einer Tabelle die Ansichten oder zumindest entsprechende Andeutungen verschiedener Datenschutzbehörden zusammengetragen.

Aufsichtsbehörde

Aussage

Quelle

Art. 29 Gruppe „… hat die Aufsichtsbehörde auch die Möglichkeit, Sanktionen wegen der versäumten Meldung oder Benachrichtigung (Artikel 33 und 34) einerseits sowie wegen fehlender (angemessener) Sicherheitsmaßnahmen (Artikel 32) andererseits zu verhängen, da es sich um zwei separate Verstöße handelt“. Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU)2016/679, WP 250 rev.01, S. 11
BlnBDI „Dagegen dürfen die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren.“ Jahresbericht 2018, S. 24
HessBDI § 43 Abs. 4 BDSG schränkt die Konsequenzen einer Meldung nach Art. 33 DS-GVO für ein Bußgeldverfahren ein.“ 47. Tätigkeitsbericht, S. 178
LfDI BaWü „Gemeldete Datenschutzverletzungen    können demnach grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden.“ 33. Tätigkeitsbericht 2016/2017, S. 17
HmbBfDI „Eine Sanktionierung kam gemäß § 43 Abs. 4 BDSG aufgrund der ordnungsgemäßen Meldung nicht in Betracht.“ 27. Tätigkeitsbericht Datenschutz 2018, S. 52
TLfDI „Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu   einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“ Pressemitteilung, Datenpanne –Bußgeld bei Meldung? Erfurt, 23.08.2019
BayLDA „Was macht BayLDA mit den Meldungen? Z.Zt. keine Geldbuße bei mitgeteilten Verstößen geplant“ Vortragsfolien von Thomas Kranig, Die DS-GVO in der Praxis – Erfahrungsbericht nach knapp einem Jahr, S. 34
LfD Sachsen-Anhalt Information auf der Webseite zur Meldung einer Datenschutzverletzung:„Die Verarbeitung dient ausschließlich den Zwecken der Überprüfung der Einhaltung der Artikel 33 und 34 DS-?GVO“. Online-Formular, Meldung einer Datenschutzverletzung,

Man sieht, dass unter den deutschen Behörden uneinheitliche Auffassungen zu bestehen scheinen, ob Informationen aus einer Meldung für ein Bußgeldverfahren genutzt werden können.

Über weitere Hinweise freue ich mich und nehme sie gerne auf.

Niedersachsen schlägt Anpassungen der DSGVO und des BDSG im Bundesrat vor

Das Land Niedersachsen hat am 3.4.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19, pdf). Hintergrund des Antrages ist die Forderung, dass „über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden sollten“. Die niedersächsische Landesregierung sieht, sicherlich nicht unbegründet, in der Praxis das Problem, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Der Entwurf des Antrages beruht also auf der Erkenntnis, dass die Regelungen der DSGVO, die ohne Zweifel in großen Teilen im Sinne eines „one size fits all“-Ansatzes, gerade für kleinere Einheiten einigen Umseztungs- und Anpassungsbedarf mit sich bringen.

Zu der vollen Wahrheit, die in dem Entwurf nicht erwähnt wird, gehört aber auch die Tatsache, dass dieser hohe Umsetzungs- und Anpassungsaufwand für kleinere Einheiten schlicht darin begründet liegt, dass sie vor dem 25.5.2018 das schon damals geltende Datenschutzrecht nicht (voll) eingehalten haben. Es macht in der Praxis natürlich einen Unterschied, ob man als Unternehmen von null startet oder aber schon auf vorhandene Datenschutzdokumentation und -prozesse aufbauen kann.

Vorgeschlagene Änderungen

Wie vor einigen Monaten, auch im Rahmen der Diskussionen zum Entwurf des 2. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), schlägt Niedersachsen vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle, oberhalb von 10 Personen, wird nicht gemacht. Diese Forderung ist nicht neu. Jedoch sollte dem Gesetzgeber klar sein, dass viele kleinere Unternehmen denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Das ist natürlich ein Trugschluss. Sollte die Schwelle angehoben werden, besteht sicherlich die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht gelten.

Eventuell unterliegt auch die Landesregierung Niedersachsen selbst diesem Trugschluss. In einem weiteren Antrag wird formuliert: „Der Bundesrat fordert die Bundesregierung daher auf, zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG aufgenommen werden“. Die Landesregierung versteift sich hier auf ein Mini-Thema der DSGVO, die Benennung des Datenschutzbeauftragten. Jedoch bedeutet die fehlende Pflicht zur Benennung natürlich nicht, dass die übrigen Anforderungen der DGSVO nicht zu beachten wären (Bsp: Datenschutzinformationen erstellen, Verzeichnis der Verarbeitungstätigkeiten führen, Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO, Abschluss von Verträgen zur Auftragsverarbeitung).

Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“. Im Grunde soll also eine Anpassung der DSGVO auf europäischer Ebene in diesem Punkt angestoßen werden. Warum die Frist zu kurz (also unangemessen) sein könnte, begründet die Landesregierung leider nicht.

Auch verlangt die Landesregierung, gesetzlich auszuschließen, dass Datenschutzverstöße durch Wettbewerber abgemahnt werden können. Auch dieses Thema ist nicht neu und wird schon länger diskutiert. „Daher sollte in diesem Zusammenhang eine ausdrückliche Ausschlussregelung getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung“.

Aktueller Stand der ePrivacy Verordnung – Orientierungsaussprache der Minister am 4.12.2018

In einem aktuellen Dokument aus dem Rat der Europäischen Union vom 23.11.2018 geht hervor, wie sich derzeit die Verhandlungen zum Entwurf der ePrivacy Verordnung darstellen und welche Themen zwischen den Mitgliedstaaten noch Diskussionspunkte darstellen (Ratsdokument 14491/18, pdf).

Am 4.12.2018 soll zur ePrivacy Verordnung (ePrivacyVO) eine Orientierungsaussprache im Rat stattfinden. Das oben angegebene Dokument soll dabei als Grundlage dienen.

Zu dem aktuellen Stand der Beratungen informiert die Ratspräsidentschaft auf der Grundlage besonders wichtiger Themengebiete bzw. Artikel der ePrivacyVO.

Hinsichtlich der erlaubten Verarbeitung elektronischer Kommunikationsdaten (Art. 6) wird darauf hingewiesen, dass der Vorsitz die Möglichkeit einer weitergehenden konformen Verarbeitung elektronischer Kommunikationsmetadaten eingeführt hat und zudem als neuen Grund für die Verarbeitung elektronischer Kommunikationsdaten den Schutz von Endeinrichtungen aufgenommen hat. Es bestünden jedoch weiterhin Bedenken bezüglich ausreichender Anreize für Innovation und bezüglich der Notwendigkeit einer engeren Angleichung an die DSGVO.

Mit Blick auf Art. 8 (Schutz von in Endeinrichtungen gespeicherten Informationen; also die Regelung zu Cookies) verweist der Ratsvorsitz darauf, dass bislang überwiegend über die Frage des von Bedingungen abhängigen Zugangs zu Website-Inhalten diskutiert wurde und darüber, dass Geschäftsmodelle nicht beeinträchtigt werden dürfen, wie z. B. durch Werbung finanzierte Online-Dienste, insbesondere Medien-Websites, wobei die entsprechenden Bedingungen gemäß der DSGVO zu achten sind. Zwar wurden in der Vergangenheit mehrere Vorschläge zur Anpassung des Art. 8 und der korrespondierenden Erwägungsgründe unterbreitet, jedoch, so der Ratsvorsitz, scheint es, dass einige Mitgliedstaaten noch weitere Arbeiten an diesem Teil des Textes für erforderlich halten. Auch hinsichtlich Art. 8 ist also die Meinungsfindung im Rat noch nicht abgeschlossen und es wird noch über konkrete inhaltliche Fragen diskutiert.

Nach Informationen des Ratsvorsitzes haben die Bestimmungen über Voreinstellungen zur Privatsphäre (in Art. 10) während der gesamten Beratungen erhebliche Bedenken verursacht, unter anderem aus Gründen einer möglichen Belastung für Browser und Apps und auch des Wettbewerbsaspekts. Daher ergaben sich Zweifel am Mehrwert dieser Bestimmung. Unter Berücksichtigung dieser Elemente hat der Vorsitz beschlossen, Art. 10 zu streichen. Jedoch wurde auch diese Streichung unter den Mitgliedstaaten unterschiedlich aufgenommen.

In einer Anlage II zu dem Dokument formuliert der Ratsvorsitz Fragen für die Orientierungsaussprache auf der Tagung des Rates am 4. Dezember 2018. So sollen die Minister darüber beraten, ob die jüngsten Arbeiten im Rat den Text der ePrivacyVO in eine gute Richtung bewegt haben? Zudem schlägt der Ratsvorsitz vor, dass die Minister beraten sollen, welches diesbezüglich die wichtigsten offenen Fragen sind, die noch behandelt werden müssen, bevor die Verhandlungen mit dem Europäischen Parlament beginnen können?

Im Ergebnis möchte der Ratsvorsitz hier also eine Orientierungsdebatte auf einer politisch höheren Ebene (als auf Ratsarbeitsgruppe) anstrengen. Es soll auf Ministerebene (hier weitere Informationen und die Agenda) eine grobe Richtung für die weiteren Arbeiten und möglichen Trilogverhandlungen zur ePrivacyVO vorgegeben werden. Ob es noch vor den Neuwahlen des Europäischen Parlaments im nächsten Jahr tatsächlich zu Trilogverhandlungen kommt, könnte von den Ergebnissen dieser nun anstehenden Orientierungsaussprache abhängen.

Notifizierungspflicht nach der DSGVO: welche nationalen Vorschriften hat Deutschland an die Europäische Kommission gemeldet?

Bekanntlich hat die DSGVO zwar das Ziel einer Harmonisierung des europäischen Datenschutzrechts. In Gänze erreicht wurde dies jedoch nicht. Die DSGVO enthält an vielen Stellen Öffnungs- oder Spezifizierungsmöglichkeiten für die Mitgliedstaaten, über die es den Ländern zum Teil gestattet ist, weiterhin nationale Datenschutzgesetze zu erlassen. Zum Teil sind die Mitgliedstaaten auch zu nationalen Regelungen verpflichtet.

Wenn Mitgliedstaaten entsprechende Regelungen erlassen, sind sie nach der DSGVO dazu verpflichtet, diese nationalen Vorgaben der EU Kommission mitzuteilen (zu notifizieren). Beispiele für diese Pflichten:
Art. 49 Abs. 5 DSGVO: „Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.“

Art. 51 Abs. 4 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.“

Art. 84 Abs. 2 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“

Art. 88 Abs. 3 DSGVO: „Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.“

Auf eine schriftliche Anfrage im Bundestag hat der Parlamentarische Staatssekretär des BMI, Dr. Günter Krings, am 8. Oktober 2018 nun geantwortet (PDF, S. 24), dass mit Nachricht vom 28. September 2018 das Bundesministerium des Innern, für Bau und Heimat das Auswärtige Amt um Abgabe der Notifizierungsmeldung gebeten hat. Welche Rechtsvorschriften die Bundesregierung der Europäischen Kommission auf Basis der DSGVO melden will, ist einer der Drucksache als Anhang beigefügten Übersicht zu entnehmen.

Da diese Übersicht mit der gesamten Drucksache in einem Dokument enthalten war und zudem noch quer eingefügt wurde, habe ich die Übersicht der gemeldeten Rechtsvorschriften aus der Drucksache herausgezogen und als einzelnes PDF erstellt: Übersicht der notifizierten Vorschriften (PDF). Das Dokument enthält sowohl Vorschriften auf Bundes- als auch Landesebene.

Interessant ist natürlich auch, welche Vorschriften nicht notifiziert wurden: §§ 22, 23 KUG.

Wie ein schlechter Scherz: EU Gesetzgeber passt die DSGVO an – Einen Monat vor Anwendbarkeit

Es ist eigentlich kaum zu glauben, mit was der europäische Gesetzgeber, einen Monat vor Anwendbarkeit der DSGVO, nun um die Ecke kommt.

In einem 386 Seiten starken Dokument (Ratsdokument vom 19.4.2018, pdf, ab S. 47 beginnt die deutsche Fassung) nimmt er umfassende Anpassungen an allen Sprachfassungen der DSGVO vor.

Eigentlich soll es bei diesen Anpassungen nur um offensichtliche Fehler innerhalb der DSGVO gehen. Also etwa um Rechtschreibfehler oder auch um Verweisfehler auf Absätze, die nicht existieren.

Ich halte selbst solche Änderungen eines in Kraft getretenen Gesetzestextes für kritisch. Zumindest muss man hier wirklich mit der gebotenen Umsicht und Sorgfalt agieren. Denn wir Juristen wissen, dass es bei der Auslegung und Anwendung von Gesetzen gerade auf einzelne Wörter und ihre Bedeutung ankommen kann. Nun mag man nachträgliche Änderungen von Gesetzen noch gutheißen, wenn es tatsächlich um Rechtschreibfehler und auch offensichtliche Fehler in einer Sprachfassung geht, die in anderen Sprachfassungen nicht vorhanden sind. Es geht ja um die Schaffung von Rechtssicherheit für die Anwender.

Das ist bei diesen Vorschlägen zur Anpassung der DSGVO aber nicht immer der Fall. Betrachtet man die Änderungen etwas genauer, wird schnell klar, dass einige Änderungen sich tatsächlich auch auf den Sinn und den Aussagegehalt einer Vorschrift erstrecken.

Das bedeutet, dass eine Regelung, mit der Unternehmen seit Inkrafttreten im Mai 2016 arbeiten und auf die sie ihre Datenverarbeitungsprozesse anpassen, nun im schlimmsten Fall einen anderen Sinn und eine andere Regelungsvorgabe enthält. Als Berater zur Umsetzung der DSVGO fehlt mir da tatsächlich das Verständnis und lässt mich doch etwas sprachlos zurück.

Ich möchte diese Kritik an einigen Beispielen verdeutlichen:

ErwG 71 befasst sich mit den Vorgaben für das Profiling (Art. 22 DSGVO). Es geht dort u.a. auch darum, welche Maßnahmen der Verantwortliche zum Schutz der Betroffenen treffen muss.

… und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben“.

Die Berichtigung wird nun „oder zu Maßnahmen kommt“ durch „oder zu einer Verarbeitung kommt“ ersetzen. Meines Erachtens wird durch Einfügung des Begriffs „Verarbeitung“ durchaus der Sinn der Vorschrift geändert. Denn „Maßnahmen“ würde ich persönlich weiter verstehen als eine „Verarbeitung“; diese bezieht sich allein auf den Umgang mit personenbezogenen Daten, wohingegen „Maßnahmen“ umfassender zu verstehen ist.

Ein weiteres Beispiel:

In ErwG 145 geht es um die Klagemöglichkeit Betroffener gegen Verantwortliche und Auftragsverarbeiter. Derzeit wird hier noch, zum Ort, an dem Klage eingereicht werden kann, vorgegeben: „des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat“. In der offiziellen Berichtigung wird nun „Aufenthaltsort“ durch „in dem die betroffene Person wohnt“ ersetzt. Auch dies ist meines Erachtens nach nicht nur eine marginale sprachliche Anpassung. Denn den „Aufenthaltsort“ wird man weiter verstehen können als den reinen „Wohnort“. Der Knaller ist aber, dass der entsprechende Artikel, Art. 79 Abs. 2, nicht angepasst wird. Dort heißt es „in dem die betroffene Person ihren Aufenthaltsort hat“. Also ändert der Gesetzgeber nun den ErwG 145 abweichend zu der Vorgabe in dem entsprechenden Artikel.

Und ein letztes Beispiel:

Art. 25 Abs. 2 S. 1 heißt momentan: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Die offizielle Berichtigung löscht nun das Wort „grundsätzlich“. In Zukunft heißt es also: „…die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung…“. Als Juristen wissen wir, dass das Wort „grundsätzlich“ eine durchaus relevante Bedeutung hat, nämlich dass es noch Ausnahmen gibt bzw. die jeweilige Regelung nicht unbedingt abschließend ist. Diese Interpretation des Art. 25 Abs. 2 S. 1 wird nun aber gänzlich unmöglich, denn „grundsätzlich“ wird gelöscht. Die Vorgabe ist mithin als abschließend und zwingend anzusehen. Auch dies stellt, finde ich, nicht allein nur eine sprachliche Anpassung des Textes dar, sondern verändert den Inhalt der gesetzlichen Regelung.

Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen.

Nun mag man argumentieren, dass ja die einzelnen Sprachfassungen ohne Bedeutung seien und die englische Fassung stets die entscheidende war und dort entsprechende Fehler auch nicht enthalten sind. Das sin der englischen Fassung manche der oben genannten Anpassungen nicht vorgenommen werden, mag zutreffen. Jedoch ist es ständige Rechtsprechung des EuGH, dass grundsätzlich allen Sprachfassungen einer Gemeinschaftsvorschrift der gleiche Wert beizumessen ist (z.B. C-152/01). Die englische Fassung ist also per se nicht richtiger oder besser als die deutsche.

Ich für meinen Teil finde es leider abstrus, dass nun, so kurz vor Anwendbarkeit der DSGVO, tatsächlich auch noch inhaltliche Änderungen an der DSGVO vorgenommen werden.

Flickenteppich bei Landesdatenschutzgesetzen – Rechtunsicherheit ist vorprogrammiert

Derzeit überarbeiten auch die Bundesländer ihre Landesdatenschutzgesetze, um diese den Vorgaben der DSGVO und auch der Datenschutzrichtlinie im Bereich Strafverfolgung und –vollstreckung (JIRL) anzupassen. Also jene Vorgaben, die schwerpunktmäßig den Umgang mit personenbezogenen Daten durch Landesbehörden regeln.

Wer gehofft hat, dass Landesbehörden in Zukunft einheitlichen Regelungen beim Umgang mit personenbezogenen Daten folgen werden, dem wird nach Sichtung der verschiedenen Entwürfe schnell klar, dass dies nicht der Fall ist. Sollten die Gesetzesentwürfe in ihrer jetzigen Form verabschiedet werden, dürfte die Folge vor allem eine große Rechtsunsicherheit bei der betroffenen Behörden, aber vor allem auch Bürgern und Unternehmen sein, die als Dienstleister und Geschäftspartner der Landesbehörden agieren. Nachfolgend nur ein paar Beispiele für dieses teils stark abweichende Regelungsgeflecht.

Wartung von Systemen als Auftragsverarbeitung?

Sowohl das neue BDSG als auch der Gesetzentwurf in Brandenburg sehen keine gesetzliche Fiktion der Auftragsverarbeitung für die Durchführung von Wartungsarbeiten an Systemen (wie derzeit noch in § 11 Abs. 5 BDSG geregelt) vor. Im Entwurf aus Hessen soll diese Fiktion in § 3 Abs. 2 HDSIG-E jedoch vorgeschrieben werden. Es stellt sich jedoch die Frage, ob eine solche Regelung im Anwendungsbereich der DSGVO überhaupt europarechtskonform möglich ist. Denn Art. 4 Nr. 8 DSGVO definiert, wer „Auftragsverarbeiter“ ist. Dort findet sich keine Fiktion für Wartungsarbeiten. Im Entwurf in NRW wird die Fiktion (§ 52) nur auf den Anwendungsbereich der JIRL beschränkt (§§ 35 ff.).

Dienstleister für hessische Behörden müssten also, wenn sie Wartungen an Systemen durchführen, einen Vertrag zur Auftragsverarbeitung abschließen. Für dieselbe Tätigkeit für Behörden in Brandenburg wäre dies nicht nötig. In NRW müsste vorher geprüft werden, ob die Tätigkeit der Behörden in den Anwendungsbereich der JIRL (also die §§ 35 ff. des Entwurfs des LDSG NRW) fällt.

Videoüberwachung

Auch die Erlaubnisnorm zur Vornahme der Videoüberwachung ist in den verschiedenen Gesetzen ganz unterschiedlich ausgestaltet. In Brandenburg (§ 27) geht es um die „Erhebung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) und deren weitere Verarbeitung“, in Hessen (§ 4) um die „Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung)“, in Sachsen (§ 13) um die „Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung), einschließlich der Speicherung und Verwendung der erhobenen Daten“. Nun mag man argumentieren, dass das im Ergebnis ja egal sei. Dies würde ich jedoch nicht so sehen, da es in der Praxis durchaus relevant sein kann, wann die Vorgaben zur Videoüberwachung einzuhalten sind und wann nicht. Geht es um eine „Beobachtung“, eine „Verarbeitung“ oder eine „Erhebung“?

Anonymisierung

Die DSGVO kennt den Begriff der „anonymen Informationen“ und erwähnt diesen in ErwG 26 DSGVO. Eine gesetzliche Begriffsbestimmung in Art. 4 DSGVO existiert aber nicht. Das neue BDSG enthält keine Definition der „Anonymisierung“ oder „anonymen Informationen“. In Hessen soll in § 2 Abs. 4 der Begriff „anonyme Informationen“ gesetzlich festgelegt werden. Der Entwurf orientiert sich hierbei an ErwG 26. In Brandenburg wird in § 3 gleich eine ganz eigene Begriffsbestimmung für „Anonymisierung“ festgelegt, die sich so nicht aus der DSGVO ergibt. Auch im Entwurf aus NRW wird die „Anonymisierung“ gesetzlich definiert. Es stellt sich jedoch dir Frage, ob Landesgesetzgeber diesen Begriff legal definieren dürfen, wenn die DSGVO (und damit der europäische Gesetzgeber) den Begriff der „anonymen Informationen“ kennt, jedoch ganz klar keine Legaldefinition in Art. 4 DSGVO aufgenommen hat. Bleiben die Definitionen bestehen, würde dies bedeuten, dass in den einzelnen Bundesländern jeweils unterschiedliche Vorgaben dazu existieren, wann eine „Anonymisierung“ gegeben ist und wann nicht.

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.