OVG Hamburg: Kein Anspruch auf Berichtigung der Personalakte nach der DSGVO bei einer Namensänderung

Das OVG Hamburg hat sich in einem Beschluss vom 27.05.2019 (Az. 5 Bf 225/18.Z) unter anderem mit der Frage beschäftigt, wie weit der Berichtigungsanspruch des Art. 16 DSGVO reicht. Der konkrete Fall spielte im öffentlichen Bereich, kann jedoch hinsichtlich der Begründung auch für Unternehmen und deren Führung von Personalakten von Mitarbeitern relevant sein. Nach Ansicht des OVG ergibt sich aus Art. 16 DSGVO kein Anspruch, nach der offiziellen Änderung eines Vornamens, den Inhalt der Personalakte rückwirkend (auch für den Zeitraum vor der Namensänderung) der neuen Namensführung anzupassen.

Sachverhalt

Die Klägerin, eine Bundespolizistin, begehrt die vollständige Anpassung ihrer Personalakte an das weibliche Geschlecht. Die Klägerin wurde mit männlichem Geschlecht und männlichen Vornamen geboren. Im Oktober 2012 wurden die Vornamen der Klägerin gemäß § 1 des Gesetzes über die Änderung der Vornamen und die Feststellung der Geschlechtszugehörigkeit in besonderen Fällen (TSG) geändert und es wurde eine entsprechende Änderung des Personenstandes vorgenommen.

Danach wandte sich die Klägerin an die Beklagte und forderte diese auf, alle Schriftstücke in der über sie geführten Personalakte an ihre jetzigen Vornamen sowie an das weibliche Geschlecht anzupassen. Sie berief sich hierzu u.a. auf § 20 Abs. 1 BDSG a.F. Das Verwaltungsgericht hatte die Klage abgewiesen.

Entscheidung

Nach Ansicht des OVG ergibt sich der geltend gemacht Anspruch zur Änderung der Vornamen in alten Schriftstücken nicht aus dem datenschutzrechtlichen Berichtigungsanspruch (Art. 16 DSGVO) oder dem Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).

Nach Art. 16 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Nach Ansicht seien die alten Vornamen unrichtig, weswegen sie zu berichtigen seien. Bereits das Verwaltungsgericht hatte dies u.a. mit der Begründung abgelehnt, dass die Änderung der Vornamen keine allgemeine Ex-Tunc-Wirkung habe.

Zunächst stützt das OVG die Begründung des Verwaltungsgerichts. Die Änderung der Vornamen (in eine weibliche Form) wirkt nicht ex tunc, also in die Vergangenheit. Deswegen sind die alten Vornamen, die noch in der Personalakte vorhanden sind, auch nicht unrichtig geworden.

Sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.

Da das OVG davon ausgeht, dass die personenbezogenen Daten (hier: die Vornamen) weiterhin richtig sind, lehnt es folgerichtig einen Berichtigungsanspruch aus Art. 16 DSGVO ab. Denn dieser setzt voraus, dass „unrichtige“ personenbezogene Daten vorliegen. Interessant an der Begründung ist, dass das OVG hinsichtlich der Beurteilung der Richtigkeit von Daten nicht allein auf den aktuellen Zeitpunkt abstellt, sondern quasi die historische Entwicklung eines Datums mitberücksichtigt. Ein in der Vergangenheit richtiges Datum wird also nicht dadurch „unrichtig“, dass sich die (persönlichen oder sachlichen) Verhältnisses der betroffenen Person mit der Zeit geändert haben.

Das OVG stützt seine Begründung daneben aber auch auf den Datenschutzgrundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO.

Danach müssen personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein. Nach Ansicht des OVG kommt es im vorliegenden Fall auf den jeweiligen historischen Kontext an. Daher machen

nachträgliche Veränderungen der Wirklichkeit, wie die Änderung der Vornamen und der Geschlechtszugehörigkeit der Klägerin, die über sie gespeicherten personenbezogenen Daten nicht falsch.

Man kann das OVG also so verstehen, dass der Berichtigungsanspruch nicht dazu dienen soll, die richtig dokumentierte Vergangenheit zu ändern. Vorliegend hielt die Beklagte ihre Personalakten auf dem Stand, der zum jeweiligen Zeitpunkt richtig war, um ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentieren zu können. Zudem fügt das OVG noch hinzu, dass eine nachträgliche Anpassung, die aus den Akten nicht erkennbar wäre, umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen kann.

Fazit

Zum Recht auf Berichtigung gibt es bislang noch wenige Entscheidungen. Umso relevanter dürften die obergerichtlichen Aussagen aus Hamburg sein. Wie bereits erwähnt, kann die Argumentation des Gerichts, auf deren Grundlage der Anspruch nach Art. 16 DSGVO abgelehnt wird, durchaus auch in der Privatwirtschaft, etwa im Rahmen der Führung von Personalalten und sonstigen Mitarbeiterdatenverwaltung von Relevanz sein.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

OVG Lüneburg: Höchstpersönlicher Auskunftsanspruch nach der DSGVO geht nicht auf den Insolvenzverwalter über

Das Auskunftsrecht nach Art. 15 DSGVO ist in der datenschutzrechtlichen Praxis sicher eines der streitträchtigsten Betroffenenrechte. Dass es aber gar nicht immer direkt um die Ausübung des Rechts durch den Betroffenen gehen muss, zeigt ein neuer Beschluss (Beschl. v. 26.6.2019 – 11 LA 274/18) des Oberverwaltungsgerichts Lüneburg (OVG). Zudem geht das Gericht in seiner Entscheidung auf die interessante Frage ein, inwiefern das Recht auf Auskunft durch Dritte geltend gemacht werden kann und, insbesondere für das Insolvenzrecht relevant, ob Betroffenenrechte nach der DSGVO Teil der Insolvenzmasse sind.

Sachverhalt

Der Kläger, ein Insolvenzverwalter, bat am 21. Juli 2015 den Beklagten um Übersendung eines Auszugs aus dem Steuerkonto eines Insolvenzschuldners. Mit Schreiben vom 22. Juli 2015 führte der Beklagte aus, dass der Kläger die gewünschten Informationen bei seinem Mandanten einzuholen habe. Ein Insolvenzverwalter habe grundsätzlich keinen Anspruch auf die begehrten Informationen. Gegen dieses Ablehnungsschreiben legte der Kläger mit Schreiben vom 20. August 2015 Einspruch ein und wies zur Begründung auf das damals noch geltende Niedersächsische Datenschutzgesetz hin. Mit weiterem Schreiben vom 3. September 2015 beantragte der Kläger zusätzlich Akteneinsicht in das Steuerkonto des Insolvenzschuldners. Mit Schreiben vom 28. Oktober 2015 teilte der Beklagte dem Kläger mit, dass ein berechtigtes Interesse bzw. Gründe für die begehrte Erteilung von Steuerkontoauszügen nicht ersichtlich seien.

Hiergegen ging der Kläger zunächst vor dem VG Stade vor. Das VG wies seine Klage jedoch ab. Zur Begründung hat es sich u.a. auf eine – auszugsweise zitierte – Entscheidung des Oberverwaltungsgerichts Hamburg vom 8. Februar 2018 (Az 3 Bf 107/17) berufen und ausgeführt, dass diese Entscheidung auf die Rechtslage in Niedersachsen übertragbar sei. Der Kläger wandte sich nun gegen die Entscheidung des VG.

Entscheidung

Das OVG wies den Antrag des Klägers auf Zulassung der Berufung gegen das Urteil des VG zurück. Das Gericht geht davon aus, dass auf der Grundlage der nunmehr maßgeblichen Rechtslage (seit Anwendbarkeit der DSGVO) der Kläger gegen den Beklagten weder einen Anspruch darauf hat, dass ihm ein Auszug aus dem Steuerkonto des Steuerschuldners erstellt wird, noch, dass ihm Akteneinsicht in das Steuerkonto des Steuerschuldners gewährt wird.

Die vom Kläger geltend gemachten Ansprüche richten sich nunmehr vorrangig nach Art. 15 Abs. 1 DSGVO.

Das OVG begründet seine Entscheidung zunächst damit, dass die für die Geltendmachung eines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO erforderlichen Voraussetzungen in der Person des Insolvenzverwalters nicht vorliegen, weil er nicht „Betroffener“ ist. Nach Ansicht des OVG steht das Auskunftsrecht nur dem Betroffenen zu und beschränkt sich auf die zu seiner Person gespeicherten Daten. Demgegenüber ist es nicht darauf ausgerichtet, dass potenzielle „Dritte“ Informationen über die bei staatlichen Stellen vorhandenen Daten erlangen können.

Des Weiteren führt das OVG aus, dass das datenschutzrechtliche Auskunftsrecht des Betroffenen auch nicht durch die Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter übergeht. Zwar geht nach § 80 Abs. 1 InsO durch die Eröffnung des Insolvenzverfahrens das Recht des Schuldners, das zur Insolvenzmasse gehörende Vermögen zu verwalten und über es zu verfügen, auf den Insolvenzverwalter über. Zur Insolvenzmasse zählendes Vermögen i.S.v. § 80 Abs. 1, § 35 Abs. 1 InsO sind allerdings nur die einer Person zustehenden geldwerten Rechte. Das OVG verweist dann darauf, dass Gegenstände und Rechte, deren Pfandverwertung nicht zur Befriedigung des Geldanspruchs der Gläubiger führen kann, keinen Vermögenswert verkörpern, nicht der Zwangsvollstreckung unterliegen und nach § 36 Abs. 1 InsO nicht zur Insolvenzmasse gehören. Danach unterliegen insbesondere Güter des höchstpersönlichen Bereichs nicht der Zwangsvollstreckung

Davon ausgehend ist der datenschutzrechtliche Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ein höchstpersönliches Recht des Betroffenen.

Das OVG vertritt diese Auffassung auch in Kenntnis des Gegenarguments, dass dieser Auskunftsanspruch – insbesondere für den Insolvenzverwalter bzw. die von ihm zu bedienenden Gläubiger – mittelbar auch vermögensrelevante Auswirkungen haben kann.

Jedoch stehe aufgrund seines Schutzzwecks, seiner Grundrechtsbezogenheit und seiner fundamentalen Bedeutung zur Durchsetzung des Rechts auf informationelle Selbstbestimmung der Schutz ideeller Interessen und damit die Personenbezogenheit im Vordergrund.

Der Auskunftsanspruch gehört daher nach Ansicht des OVG somit nach § 36 Abs. 1 Satz 1 InsO nicht zur Insolvenzmasse und sei folglich auch vom Übergang des Verwaltungs- und Verfügungsrechts nach § 80 Abs. 1 InsO auf den Insolvenzverwalter nicht erfasst.

Der Kläger wandte gegen diese Ansicht eine Entscheidung des OVG  Nordrhein-Westfalen vom 24. November 2015 (Az 8 A 1032/14) ein, in der dies anerkannt hätte, dass der Insolvenzverwalter Betroffener i.S.v. § 30 Abs. 4 Nr. 3 AO sei, was im Sinne der Rechtseinheit und Rechtsklarheit auch für andere Gesetze gelten müsse. Das OVG bringt hiergegen vor, dass es in dieser Entscheidung des OVG Nordrhein-Westfalen zwar auch um einen Auskunftsanspruch eines Insolvenzverwalters gegenüber dem Finanzamt hinsichtlich der Steuerkontoauszüge eines Insolvenzschuldners ging. Anspruchsgrundlage war aber nicht – wie hier – Art. 15 Abs. 1 DSGVO, sondern § 4 Abs. 1 des Informationsfreiheitsgesetzes Nordrhein-Westfalen.

Diese landesrechtliche Vorschrift ist jedoch – wie viele vergleichbare Vorschriften in den Informationsfreiheitsgesetzen anderer Bundesländer – anders als Art. 15 Abs. 1 DS-GVO, § 19 BDSG 2003 und § 16 NDSG a.F. kein Betroffenenrecht, sondern gewährt „jeder natürlichen Person“ einen Auskunftsanspruch gegenüber den in § 2 IFG NRW genannten Stellen.

Das OVG führt zur Natur des Auskunftsanspruchs nach der DSGVO weiter aus:

Der auf Art. 15 Abs. 1 DS-GVO gestützte Auskunftsanspruch ist unabhängig vom Inhalt der begehrten Informationen stets höchstpersönlicher Natur.

Er könne daher auch nicht abhängig vom Inhalt der begehrten Daten in höchstpersönliche und nicht höchstpersönliche Teile untergliedert und entsprechend „zersplittert“ werden.

OLG Dresden: Kein Schadensersatz und Schmerzensgeld für Bagatellverstöße gegen die DSGVO

Entscheidungen zum Anspruch auf Schadensersatz und vor allem auf Schmerzensgeld (also Ersatz immaterieller Schäden) wegen Verstößen gegen die DSGVO sind noch sehr selten. Eine erste Entscheidung hierzu traf das AG Diez (Urteil vom 7.11.2018 – 8 C 130/18). Nun hat das Oberlandesgericht Dresden (OLG) in einem kürzlich erlassenen Beschluss (Beschluss vom 11.6.2019, Az.: 4 U 760/19, abrufbar hier in der Datenbank des OLG Sachsen und hier als PDF)  weitere und umfassendere Ausführung zur Auslegung und Anwendung des Art. 82 DSGVO gemacht.

Sachverhalt

Der Kläger nimmt die Beklagte (Betreiberin eines sozialen Netzwerkes im Internet) wegen einer am 31.3.2018 erfolgten Löschung eines Posts und der Sperrung seines Kontos durch Versetzung in den read-only Modus auf Feststellung der Rechtswidrigkeit, Freischaltung des Beitrags, Auskunftserteilung, materiellen und immateriellen Schadensersatz und Erstattung von außergerichtlichen Rechtsanwaltskosten in Anspruch.

Das Landgericht hat die Beklagte im Wege des Versäumnisurteils zur Wiederfreischaltung des Beitrags verurteilt und festgestellt, dass die Löschung/Sperrung rechtswidrig waren. Die übrigen Ansprüche hat es zurückgewiesen. Hiergegen wendet sich die Berufung, die insbesondere die Auffassung vertritt, der Beitrag sei als zulässige Meinungsäußerung verfassungsrechtlich so weitgehend geschützt, dass dessen Löschung und die zeitweilige Sperrung des Nutzerkontos weitgehende Auskunfts- und Schadensersatzansprüche auslösten.

Entscheidung

Nach Auffassung des OLG scheiden vorliegend die geltend gemachten Ansprüche nach Art. 82 Abs. 1 DSGVO aus.

Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.

Zum einen ist nach Ansicht des OLG bereits zweifelhaft, ob Art. 82 DSGVO auf die am 31.3.2018 erfolgte Löschung und die spätestens am 1.4.2018 beendete Sperrung Anwendung findet. Denn nach Art. 99 Abs. 2 DSGVO gilt die DSGVO erst ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten. Anders als ein Anspruch auf Unterlassung einer Sperrung oder Freischaltung eines Accounts knüpft der hier geltend gemachte Anspruch an einen in der Vergangenheit liegenden und vollständig abgeschlossenen Sachverhalt an, der vor dem Inkrafttreten der DSGVO liegt.

Zum anderen kann eine Entscheidung zu dieser Frage aber dahinstehen, weil nach Auffassung des OLG die Voraussetzungen für einen Anspruch nach Art. 82 DSGVO ohnehin nicht vorliegen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO.

Die Erhebung und Verarbeitung (hierzu zählt das OLG auch die Löschung des Posts und die Sperrung des Kontos) der Daten des Klägers beruhen nämlich auf der vom Kläger vorab erteilten Zustimmung zu den Nutzungsbedingungen der Beklagten. Hier verweist das OLG auf Art. 6 Abs. 1 lit a DSGVO. Diese sei gerade nicht daran geknüpft, dass auch die Beklagte ihren vertraglichen Verpflichtungen nachkommt und umfasst daher auch Zeiträume, in denen der Account gesperrt ist.

Diesbezüglich ist meines Erachtens kritisch anzumerken, ob eine Zustimmung zu den Nutzungsbedingungen (also den AGB) tatsächlich als datenschutzrechtliche Einwilligung in die Verarbeitung personenbezogener Daten angesehen werden. Denn man könnte überlegen, ob eine solche pauschale Einwilligung in einen kompletten Vertragstext wegen Unbestimmtheit nicht unwirksam ist. Nach ErwG 42 DSGVO sollte die betroffene Person, damit sie in Kenntnis der Sachlage einwilligen kann, mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte zudem nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

Ob diese Anforderungen vorliegend erfüllt waren, wird vom OLG leider nicht weiter thematisiert. Eventuell ist das OLG hier eigentlich der Ansicht, dass die Löschung des Posts und die Sperrung des Kontos auch auf der Grundlage der Nutzungsbedingungen und Community Standards (also des Vertrages mit dem Betroffenen) zulässig ist. Dann wäre Rechtsgrundlage wohl eher Art. 6 Abs. 1 lit. b DSGVO.

Zudem stellt das OLG fest, dass dem Kläger durch die Sperrung ein materieller oder immaterieller Schaden im Sinne des Art. 82 DSGVO nicht entstanden ist. Dann trifft das OLG eine relevante Aussage:

Die bloße Sperrung seiner Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar.

Diese Einschätzung kann sich etwa in Fällen von Datenschutzverletzungen (data breach) als praxisrelevant herausstellen. Nach Ansicht des OLG hat die behauptete Hemmung in der Persönlichkeitsentfaltung durch die dreitägige Sperrung allenfalls Bagatellcharakter.

Das OLG verweist dann auf Ansichten, dass eine wirksame Durchsetzung europäischen Datenschutzrechts einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht geltende Erheblichkeitsschwelle erfordere. Jedoch

rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Das OLG positioniert sich hier also so klar, was die Frage des Ersatzes von Schäden bei unzulässigen Datenverarbeitungen betrifft. Ähnlich wie schon vor einiger Zeit geht das Gericht davon aus, dass „Bagatellverstöße“ nicht per se einen solchen Schadensersatz begründen. Die praktisch relevante Frage ist dann natürlich, wann die Erheblichkeitsschwelle zu einem Verstoß überschritten wird, der keine Bagatelle mehr darstellt. Als grobes Bewertungskriterium führt das OLG hierzu aus:

Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Zudem bringt das OLG dann noch einen weiteren, durchaus interessanten, Gedanken an. Zwar gehöre die Kommerzialisierung von Nutzerdaten zum Geschäftsmodell der Beklagten.

Die Sperrung des klägerischen Accounts befördert jedoch diese Kommerzialisierung nicht, sondern behindert sie vielmehr, weil der Kläger in dieser Zeit keine Daten „produziert“, die die Beklagte verwerten könnte.

Zuletzt vertritt das OLG die Ansicht, dass gegen eine Ausdehnung des immateriellen Schadensersatzes auf Bagatellschäden auch das erhebliche Missbrauchsrisiko spricht,

das mit der Schaffung eines auf Rechtsfolgenseite nahezu voraussetzungslosen Schmerzensgeldanspruchs gerade im Bereich des Datenschutzrechts einherginge.

Bundesarbeitsgericht: Sichtung und Auswertung von Dateien auf einem Dienstrechner ist datenschutzrechtlich auch ohne konkreten Verdacht zulässig

Das Bundesarbeitsgericht hat sich wieder einmal mit der Frage der datenschutzrechtlichen Zulässigkeit einer Auswertung von Dienstgeräten und dort gespeicherten Dateien im Rahmen einer Kündigungsschutzklage befasst. Mit Urteil vom 31.01.2019 (2 AZR 426/18) entschied das BAG, dass die Einsichtnahme in auf einem Dienstrechner des Arbeitnehmers gespeicherte und nicht als „privat” gekennzeichnete Dateien nicht zwingend einen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraussetzt und die in diesem Zuge erfolgte Datenverarbeitung zulässig war.

Relevant dürfte an dieser Entscheidung vor allem sein, dass das BAG weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen auch ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts gegen den Arbeitnehmer nach § 32 BDSG aF als zulässig erachtet. Zudem stellt das BAG für diese Maßnahmen der Sichtung von Dateien und für die datenschutzrechtlich gebotene Verhältnismäßigkeitsprüfung konkrete Anforderungen auf.

Sachverhalt

Die beklagte Arbeitgeberin produziert Kraftfahrzeuge und der als schwerbehinderter Mensch anerkannte Kläger war seit 1996 bei ihr beschäftigt. Die Beklagte stellte ihm einen Pkw nebst Tankkarte auch zur privaten Nutzung zur Verfügung. Der Kraftstofftank des Wagens wies nach Angaben der Beklagten als Herstellerin ein Volumen von 93 Litern auf.

Im Jahr 2013 eröffneten Mitarbeiter der internen Revision dem Kläger, dass er verdächtigt werde, Inhalte eines Audit-Berichts unerlaubt an Dritte weitergegeben zu haben. Deshalb solle sein Dienst-Laptop untersucht werden. Der Kläger gab den Rechner heraus, nannte seine Passwörter und erklärte, kooperieren zu wollen. Kurze Zeit später wandte er sich noch einmal an die interne Revision und teilte mit, es befänden sich einige, von ihm näher bezeichnete private Daten auf dem PC.

Die Beklagte ließ eine Kopie der Festplatte des Rechners computerforensisch begutachten. In einem vom Kläger angelegten Ordner „DW“ befand sich die Datei „Tankbelege.xls“. Sie enthielt eine Aufstellung über die vom Kläger mit der Tankkarte durchgeführten Betankungen. Aus den dort erfassten Kraftstoffmengen, den Tankdaten und den von ihr anschließend recherchierten Betankungsorten ergab sich aus Sicht der Beklagten zumindest der dringende Verdacht, der Kläger habe auf ihre Kosten nicht nur sein Dienstfahrzeug betankt. Es erfolgten mehrere Formen von Kündigungen, die zum Teil für unwirksam erklärt wurden (u.a. mangels Zustimmung des Integrationsamts). Zuletzt stand jedoch eine Kündigung aus Dezember 2016 im Raum.

In dem hier entschiedenen Fall ging es am Ende noch um die Kündigungsschutzklage des Arbeitnehmers. Seiner Ansicht nach dürften die Ergebnisse der Untersuchung seines Dienstrechners nicht verwertet werden. Die Analyse sei „ins Blaue hinein“ erfolgt und er sei – insoweit unstreitig – nicht zu der Auswertung hinzugezogen worden. Die Beklagte habe den Betriebsrat nicht ordnungsgemäß angehört und die gesetzliche Kündigungsfrist von sieben Monaten zum Monatsende nicht gewahrt.

Entscheidung

Das BAG wies die Klage im Ergebnis als unbegründet ab.

Die datenschutzrechtliche Relevanz solcher Entscheidungen knüpft eigentlich immer an die Frage, ob Erkenntnisse aus einer Auswertung (=Datenverarbeitung) von Mitarbeiterdaten für die Kündigung genutzt werden durften.

Der Senat verweist hierzu auf die gefestigte Senatsrechtsprechung, wonach in einem Kündigungsrechtsstreit jedenfalls dann kein Verwertungsverbot zugunsten des Arbeitnehmers eingreift, wenn der Arbeitgeber die betreffende Erkenntnis oder das fragliche Beweismittel im Einklang mit den einschlägigen datenschutzrechtlichen Vorschriften erlangt und weiterverwandt hat

So liegt es im Streitfall. Die Einsichtnahme in die Datei „Tankbelege.xls“ sowie die weitere Verarbeitung und Nutzung der aus ihr gewonnenen Erkenntnisse durch die Beklagte waren nach § 32 Abs. 1 S. 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (im Folgenden BDSG aF) zulässig.

Sodann befasst sich der Senat mit den Tatbestandsmerkmalen des § 32 Abs. 1 S. 1 BDSG aF. Wie auch im neuen § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses u.a. dann verarbeitet werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist.

Hierzu der Senat:

Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung iSd. Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann.

Sofern nach dieser Vorgabe zulässig erhobene Daten den Verdacht einer solchen Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 S. 1 BDSG aF auch verarbeitet und genutzt werden.

Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen.

Zwar stützt das BAG seine Entscheidung natürlich noch auf § 32 BDSG aF. Jedoch weist der Senat auch darauf hin, dass seiner Auffassung nach ein anderes Ergebnis auch nicht bei Anwendung der Vorgaben des jetzt geltenden § 26 BDSG zu erwarten wäre.

Die Verwertung der von der Beklagten in zulässiger Weise ermittelten Inhalte der Datei „Tankbelege.xls“ im vorliegenden Rechtsstreit ist nach Maßgabe der DS-GVO und des BDSG in der seit dem 25. Mai 2018 geltenden Fassung ebenfalls rechtmäßig.

Nachdem der Senat allgemein die Vorgaben für die Erhebung und danach folgende Verwertung der Daten abgesteckt hat, macht er sich an die eigene inhaltliche Prüfung. Entscheidendes Merkmal ist hierbei die „Erforderlichkeit“ der Datenverarbeitung. Nach ständiger Rechtsprechung des BAG bedeutet „Erforderlichkeit“ im Kontext des § 32 BDSG aF (und damit auch im Rahmen des § 26 BDSG) „Verhältnismüßigkeit“.

Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen.

Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht.

Interessant ist hierbei, dass das BAG im Rahmen der erforderlichen Interessenabwägung ausdrücklich darauf Bezug nimmt, dass eine „berechtigte Privatheitserwartung“ des Betroffenen einen beachtlichen Faktor darstellt. Hierzu verweist der Senat auch auf Erwägungsgrund 47 DSGVO („vernünftige Erwartungen“).

Nach Ansicht des BAG kann diese Privatheitserwartung des Arbeitnehmers selbst dann zugunsten seines Nichtverarbeitungsinteresses den Ausschlag geben, wenn das Verarbeitungsinteresse des Arbeitgebers hoch ist.

So dürfen Arbeitnehmer grundsätzlich erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht „ins Blaue hinein“ oder wegen des Verdachts bloß geringfügiger Verstöße eine heimliche Überwachung und ggf. „Verdinglichung“ von ihnen gezeigter Verhaltensweisen erfolgt.

Meines Erachtens sind diese Feststellungen des Senats vor allem mit Blick auf die zukünftige Anwendung des § 26 BDSG von besonderer Relevanz. Denn der Senat äußert sich ganz bewusst zu dem Merkmal der Privatheitserwartung der Arbeitnehmer, welches mit der DSGVO auch im Rahmen des Erlaubnistatbestandes nach Art 6 Abs. 1 f) DSGVO (Interessenabwägung) eine entscheidende Rolle spielt.

Exkurs: dass es in der Literatur Streit darüber gibt, ob Mitarbeiterdaten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden können, ist mir bekannt. Die Auffassung, die einen Rückgriff neben § 26 BDSG ablehnt, ist meines Erachtens aber europarechtlich nicht haltbar. Sieht auch das BAG so, vgl. z. B. Urt. v. 23.8.2018 – 2 AZR 133/18)

Besonders relevant sind danach die Aussagen des Senats zur Einordnung der Privatheitsinteressen des Arbeitnehmers im konkreten Fall. Danach können weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts – zumal einer Straftat oder anderen schweren Pflichtverletzung – erlaubt sein. Das gilt vor allem für nach abstrakten Kriterien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen.

Diese Voraussetzungen können nach Ansicht des Senats auch erfüllt sein,

wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat, und er – der Arbeitgeber – dazu auf einem Dienstrechner gespeicherte Dateien einsieht, die nicht ausdrücklich als „privat“ gekennzeichnet oder doch offenkundig „privater“ Natur sind.

Voraussetzung ist jedoch Transparenz gegenüber dem Abreitnehmer. Die Maßnahme muss offen erfolgen und der Arbeitnehmer muss im Vorfeld darauf hingewiesen worden sein, welche legitimen Gründe eine Einsichtnahme in – vermeintlich -dienstliche Ordner und Dateien erfordern können, und dass er Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass ausschließen kann.

Der Arbeitnehmer muss dann billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er „private“ Daten in einen gesicherten Bereich verbringen.

Vorliegend geht der Senat davon aus, dass die Beklagte aus einem nicht willkürlichen Anlass ein legitimes Ziel verfolgt. Sie wollte letztlich prüfen, ob der Kläger vorsätzlich seine arbeitsvertraglichen Pflichten verletzt hat. Interessant ist auch die Ansicht zur Frage, ob nicht ein milderes Mittel vorhanden war. Hier könnte man etwa daran denken, eine Einsichtnahme in die Datei unter Heranziehung eines Mitglieds des Betriebsrats oder des Datenschutzbeauftragten als milderes Mittel zu bevorzugen. Dies lehnt der Senat jedoch ab.

Dadurch hätte nicht die Möglichkeit bestanden, die Datenerhebung ganz abzuwenden oder doch auf die Art und Weise ihrer Durchführung „abschwächenden“ Einfluss zu nehmen.

Zuletzt ist natürlich noch relevant, dass die Sichtung des Dienstrechners eigentlich ohne konkreten Anfangsverdacht erfolgte. Zudem wurde auch nicht festgestellt, ob die Arbeitgeberin im Vorfeld des Verlangens, den Dienstrechner herauszugeben, gegenüber dem Kläger die Gründe (allgemein) bezeichnet hatte, die eine Einsichtnahme in dienstliche Ordner und Dateien erfordern können und ob sie ihn auf die Möglichkeit aufmerksam gemacht hat, Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass auszuschließen.

Dennoch geht der Senat von der datenschutzrechtlichen Zulässigkeit der Verwendung der Daten aus der Excelliste aus.

stellte sich die von der Beklagten durchgeführte Maßnahme, was die hier allein interessierende Einsichtnahme in nicht ausdrücklich als „privat“ gekennzeichnete oder doch offenkundig als „privat“ zu erkennende Dateien anbelangt, nicht als so eingriffsintensiv dar, dass sich das Nichtverarbeitungsinteresse des Klägers in einer Abwägung gegen das Verarbeitungsinteresse der Beklagten durchsetzen könnte. Die Untersuchung wurde offen durchgeführt. Ihre mögliche Reichweite war klar. Der Kläger wusste, dass die gesamte Festplatte seines Dienst-Laptops einer computerforensischen Analyse unterzogen werden sollte.

Der Senat verdeutlich mit dem Urteil, dass interne Maßnahmen zur Kontrolle der Pflichteneinhaltung im Arbeitsverhältnis datenschutzrechtlich nicht unmöglich, ja vielmehr praktikabel umsetzbar sind. Wichtig ist stets, die Verhältnismäßigkeit der Maßnahme zu beachten. Ein ganz entscheidender Faktor hierbei ist, wie stest im Datenschutzrecht, die Transparenz gegenüber den Betroffenen.

Datenschutz im Automobilbereich: Datenschutzbehörde Baden-Württemberg zu den datenschutzrechtlichen Anforderungen der Produktbeobachtungspflicht durch Hersteller

Der Landesbeauftragte für den Datenschutz Baden-Württemberg berichtet in seinem aktuellen Tätigkeitsbericht (S. 94 ff., pdf) unter anderem über die Ergebnisse einer Prüfung der Einhaltung datenschutzrechtlicher Voraussetzungen durch Autowerkstätten.

In diesem Zusammenhang befasst sich der Landesdatenschutzbeauftragte auch mit den datenschutzrechtlichen Anforderungen, die bei der einem Hersteller obliegenden Pflicht zur Produktüberwachung/Produktbeobachtung von Fahrzeugen zu beachten sind.

Die Ansicht der Aufsichtsbehörde:

Die datenschutzrechtliche Grundlage für die Datenverarbeitung der erforderlichen Fahrzeugdaten für die Produktüberwachung/Produktbeobachtung und für eventuelle Rückrufaktionen ist Artikel 6 Absatz 1 Buchstabe c DS-GVO.

Nach Auffassung der Aufsichtsbehörde liegt hier die Erfüllung einer rechtlichen „Verpflichtung des Automobilherstellers aus dem Produkthaftungsgesetz“ vor.

Das deutsche Produkthaftungsgesetz basiert auf den Regelungen der Richtlinie 85/374/EWG. Im Produkthaftungsgesetz findet sich jedoch keine ausdrückliche Regelung oder Pflicht zur Beobachtung des Produktes im Markt. Die Produkthaftung ist verschuldensunabhängig ausgestaltet.

Die Produktbeobachtungspflicht wird in Deutschland durch die Rechtsprechung schon seit langem als eine Verkehrssicherungspflicht des Herstellers anerkannt, die jedoch nicht an das Produkthaftungsgesetz anknüpft, sondern Teil der sog. Produzentenhaftung ist. Diese deliktsrechtliche Haftung gründet sich auf dem Prinzip, dass derjenige, der eine Gefahrenquelle eröffnet oder beherrscht, für diese verantwortlich ist. Auch nach Inverkehrgabe des Produkts ist der Hersteller verpflichtet, die Bewährung seines Produkts in der Praxis zu verfolgen.

Die Datenschutzbehörde scheint diese, aus den allgemeinen Haftungsregeln des Zivilrechts entwickelte, Pflicht als Anknüpfungspunkt für die Zulässigkeit der für die Beobachtung des Produkts erforderliche Datenverarbeitung anzusehen.

Meiner Ansicht nach ist die Auffassung im Ergebnis richtig. Auch wenn die Rechtsgrundlage der Datenverarbeitung möglicherweise eher die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ist (oder zusätzlich als Rechtsgrundlage herangezogen werden kann). Hersteller sind zivilrechtlich dazu verpflichtet, ihre Produkte im Markt zu beobachten. Hierfür müssen und dürfen sie auch Daten verarbeiten. Mit meinem Kollegen und Partner Philipp Reusch habe ich genau zu diesem Thema „Internet der Dinge: Datenschutzrechtliche Anforderungen bei der Produktbeobachtung“ vor 2 Jahren einen Fachbeitrag in der Zeitschrift BetriebsBerater (15/16, 2017, 841) veröffentlicht.

Daneben müssen Hersteller natürlich beachten, dass auch die übrigen Pflichten der DSGVO zu beachten sind, wenn personenbezogene Daten verarbeitet werden. Insbesondere gehören hierzu die Informationspflichten nach Art. 13 bzw. 14 DSGVO.

 

Wie weit reicht das Auskunftsrecht der DSGVO? Landgericht Köln: Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung.

Über die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO herrscht in der Praxis weiterhin Unsicherheit. Dies insbesondere auch deshalb, weil der Wortlaut der entscheidenden Norm, Art. 15 Abs. 1 DSGVO, bestimmt, dass die betroffene Person „ein Recht auf Auskunft über diese personenbezogenen Daten“ hat. Mit „diesen personenbezogenen Daten“ referenziert das Gesetz auf den ersten Halbsatz des Art. 15 Abs. 1 DSGVO, in dem es heißt: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden“. Das Auskunftsrecht umfasst im Grunde also zunächst eine natürliche Person betreffende personenbezogene Daten. Das ist sehr weit. Jedoch sieht aber auch Art. 15 Abs. 4 DSGVO Ausnahmen von dem Recht auf Auskunft vor.

Sind von dem Recht auf Auskunft oder Erhalt einer Kopie (Art. 15 Abs. 3 DSGVO) also z.B. auch sämtliche E-Mails oder interne Vermerke umfasst, die personenbezogene Daten des Betroffenen enthalten? In einer jüngeren Entscheidung hatte sich auch das LG Köln mit der Frage zu befassen, wie weit der Auskunftsanspruch reicht (Teilurteil v. 18.03.201926 O 25/18).

Sachverhalt

In dem Fall klagte eine Person, die bei der Beklagten, einem Versicherungsunternehmen, zwei Lebensversicherungsverträge unterhält. Unter anderem ging es auch um einen geltend gemachten Auskunftsanspruch gegen die Versicherung (noch nach § 34 BDSG alter Fassung). Die Klägerin war bis zuletzt der Ansicht, dass ihr keine vollständige Datenauskunft erteilt wurde. Während des Prozesses hat das Unternehmen wiederholt entsprechende Auskünfte erteilt.

Entscheidung

Nach Ansicht des LG Köln steht der betroffenen Person ein umfassender Anspruch auf Auskunft über verarbeitete sie betreffende personenbezogene Daten sowie weitere Informationen nach Art. 15 Abs. 1 DSGVO zu. Die Information müsse u.a. auch die Verarbeitungszwecke (Ziffer a)), die Empfänger von Daten (Ziffer b)) und die geplante Dauer der Speicherung (Ziffer c)) enthalten.

Sodann geht das Gericht auf die entscheidende Frage ein, was den konkret „personenbezogene Daten“ sind, die vom Anspruch auf Auskunft erfasst werden. Hierzu verweist das Gericht auf die Definition in Art. 4 Nr. 1 DSGVO. Zudem erfordert der Auskunftsanspruch, dass diese Daten „verarbeitet“ werden. Eine „Verarbeitung von Daten“ stellt nach Art. 4 Nr. 2 DSGVO jeder Vorgang im Zusammenhang mit personenbezogenen Daten dar.

Hieraus folgert das Gericht:

Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw.

Das LG macht hier jedoch nicht halt. Nach Ansicht des LG Köln

stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar.

Diese Auslegung der DSGVO wird man meines Erachtens jedoch auch angreifen können. Das Gericht verweist wohl u.a. auf ErwG 63 DSGVO. In diesem heißt es zum Auskunftsrecht:

Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.

Anders als das LG andeutet, wird in ErwG 63 DSGVO gerade nicht Bezug auf Unterlagen an sich genommen, sondern vielmehr auf Daten in diesen Unterlagen: „Daten in ihren Patientenakten“ (Hervorhebung durch mich). ErwG 63 DSGVO referenziert beispielhaft auf Diagnosen, Untersuchungsergebnisse oder Befunde. Jedoch gerade nicht auf die Dokumente, in denen diese enthalten sind.

In seiner weiteren Begründung schränkt das LG dann sogleich diesen weiten Anwendungsbereich des Auskunftsrechts auch wieder ein.

Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann … . Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.

Meines Erachtens widerspricht sich das LG hier in seiner Begründung auch selbst. Zunächst geht es davon aus, dass Gutachten herauszugeben sind, geht jedoch danach davon aus, dass „rechtliche Bewertungen oder Analysen“ nicht umfasst sind. Interessant ist hier auch die Ansicht des LG, dass das Auskunftsrecht solche Dokumente nicht umfasst, „die dem Betroffenen bereits bekannt sind“. Diese Auffassung kann insbesondere im Rahmen von Auskunftsersuchen in Arbeitsverhältnissen relevant werden, wenn etwa ein Anspruch auf Herausgabe der E-Mails geltend gemacht würde. Denn man kann, mit Blick auf die Entscheidung des LG, dann sicher vertreten, dass diese Vorgänge bzw. Dokumente der betroffenen Person bereist bekannt sind.

Das Gericht begründet seine Entscheidung weiter:

Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DSGVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.

Hier macht das LG interessante Ausführungen dazu, was unter der „Kopie“ nach Art. 15 Abs. 3 DSGVO zu verstehen ist. Es geht hierbei gerade nicht um eine Kopie von Unterlagen und Dokumenten, die personenbezogene Daten enthalten, sondern um eine Kopie der personenbezogenen Daten selbst. Diese Kopie kann aber meines Erachtens auch in einer von den Dokumenten unabhängigen Form übergeben werden.

Vorliegend hatte das Unternehmen verschiedene Auskünfte und Informationen erteilt und angegeben, dass weitere personenbezogene Daten über die Klägerin nicht gespeichert seien bzw. verarbeitet wurden. Da weiterer substantiierter Vortrag der Klägerin, welche Informationen seitens der Beklagten darüber hinaus noch verarbeitet worden seien könnten, nicht erfolgte, lehnte das LG hier den Antrag auf Auskunftserteilung ab.

Dies wird sicherlich nicht die letzte Entscheidung zum Recht auf Auskunft bzw. Erhalt einer Kopie nach Art. 15 DSGVO sein. Datenverarbeitende Stellen sollten sich einerseits bewusst sein, dass dieses Recht sehr umfassend personenbezogene Daten betrifft, andererseits aber auch nicht dazu dient, Belege von jeglichen Unterlagen und Dokumenten zu erhalten, die irgendwo den Namen einer Person aufführen.

OVG NRW: Dienst- und Lebensalter von Richtern unterfällt dem Datenschutzrecht

Im Rahmen der Prüfung eines Antrags auf Gewährung von Prozesskostenhilfe für einen Informationsanspruch nach § 4 Abs. 1 IFG NRW hat sich das OVG Nordrhein-Westfalen mit dem Begriff des „personenbezogenen Datums“ befasst (Beschl. v. 6.2.2019 – 15 E 1026/18).

Konkret ging es um einen geltend gemachten Informationsanspruch aus § 4 Abs. 1 IFG NRW hinsichtlich der Offenlegung des Dienst- und Lebensalters der Mitglieder des 10. Familiensenats eines Oberlandesgerichts (wohl Köln). Nach Ansicht des OVG liegt hier der Ausschlussgrund gemäß § 9 Abs. 1 IFG NRW vor.

Nach § 9 Abs. 1 IFG NRW ist der Antrag auf Informationszugang abzulehnen, soweit durch das Bekanntwerden der Information personenbezogene Daten offenbart werden, es sei denn, ein Ausnahmetatbestand nach den § 9 Abs. 1 lit. a) bis e) IFG NRW liegt vor.

Das OVH verweist darauf, dass der Begriff der personenbezogenen Daten in § 9 Abs. 1 Hs. 1 IFG NRW dem im Datenschutzrecht verwendeten Begriff in Art. 4 Nr. 1 DSGVO zu entnehmen ist. Danach sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Erfasst sind alle Informationen, die über die Bezugsperson etwas aussagen, unabhängig davon, welchen Lebensbereich sie betreffen. Der Terminus der personenbezogenen Daten ist damit außerordentlich weit zu verstehen.

Das OVG interpretiert den Begriff also sehr weit, was auf einer Linie mit der Rechtsprechung des EuGH oder auch den Ansichten der Datenschutzbehörden liegt. Danach stellt das OVG klar, dass der Schutz personenbezogener Daten nicht nur im privaten Bereich anwendbar ist.

Er gilt auch für Mitarbeiter von Behörden und Gerichten, die in Wahrnehmung öffentlich-rechtlicher Aufgaben und somit in ihrer Eigenschaft als Amtswalter tätig werden. Auch insoweit bleiben sie Träger von Grundrechten wie demjenigen auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.

Nach Auffassung des OVG stellen die begehrten Informationen, die Verhinderungszeiten ebenso wie im Handbuch der Justiz womöglich nicht veröffentlichte Dienst- und Lebensalter von Mitgliedern des 10. Familiensenats, personenbezogene Daten dar.

Das Dienst- und Lebensalter ist eine Information, die sich naturgemäß individuell auf eine bestimmte Person bezieht. Entsprechendes gilt für die streitbefangenen Verhinderungszeiten. Diese können … etwa auf Urlaub oder Krankheit beruhen und geben damit Aufschluss über persönliche Verhältnisse der betreffenden Person.

Die Aussagen des OVG beziehen sich hier zwar auf einen konkreten Sachverhalt, sind meines Erachtens aber durchaus auf andere Bereiche, zum Beispiel Mitarbeiterdaten, übertragbar. Auch dort können Informationen zu Verhinderungszeiten verarbeitet werden. Des Weiteren stellt das OVG klar, dass der Personenbezug nicht dadurch entfällt, dass die Frage nach den Verhinderungszeiten negativ beantworten werden würde, wenn keine Verhinderung vorgelegen hat. Denn auch diese Information würde sich auf ein identifiziertes oder identifizierbares Mitglied des 10. Familiensenats beziehen und über dieses etwas aussagen.

Behörde verweigert gerichtliche Aktenvorlage mit Verweis auf die DSGVO – und scheitert.

Der VGH Baden-Württemberg hat im Februar 2019 eine interessante Entscheidung, u.a. zur Frage der Anwendbarkeit der DSGVO im justiziellen Bereich, getroffen (Beschl. v. 15.02.2019 – 1 S 188/19). Erforderlich war der Beschluss, da sich eine Behörde weigerte, einem Verwaltungsgericht Akten zur Entscheidungsfindung vorzulegen. Der angebliche Grund: die DSGVO.

Nach ErwG 20 DSGVO gilt die DSGVO „unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden“. Auch Gerichte müssen sich daher natürlich an datenschutzrechtliche Vorgaben halten. Doch in seinem Beschluss macht der VGH nun deutlich, dass die Einhaltung der DSGVO nicht gleichzeitig im Konflikt mit der richterlichen Tätigkeit steht, wie dies von der Behörde im konkreten Fall wohl angeführt wurde.

Sachverhalt

Der VGH hat über eine Beschwerde gegen einen sog. Hängebeschluss im einstweiligen Rechtsschutz zentschieden. Kleiner Exkurs ins Verwaltungsrecht:

Ein Hängebeschluss ist eine Zwischenverfügung des Gerichts in einem Eilrechtsverfahren, um den Ist-Status für den Antragsteller zu sichern, bis das Gericht final entscheidet. Es handelt sich aber nicht um eine instanzabschließende Sachentscheidung. Ob ein solcher Hängebeschluss überhaupt angegriffen werden kann und wenn ja, mit welchem Rechtsmittel, ist umstritten. Das sieht man zB sehr schön daran, dass der hier entscheidende 1. Senat am VGH die Beschwerde gegen den Hängebeschluss zulässt, der 11. Senat des VGH dies aber jüngst noch abgelehnt hat (Beschl. v. 15.3.2018 – 11 S 2094/17). Ein solcher Hängebeschluss des VG Sigmaringen war hier der Beschwerdegegenstand.

Vorliegend hat Verwaltungsgericht der Behörde als Antragsgegnerin mit dem angefochtenen Beschluss im Wege eines Hängebeschlusses bis zu einer Entscheidung des Verwaltungsgerichts über den Eilantrag untersagt, Bauplätze in einem Baugebiet zu vergeben und notarielle Kaufverträge abzuschließen. Die Behörde

hatte sich trotz mehrfacher Aufforderungen des Verwaltungsgerichts, die vollständigen Akten im Original vorzulegen, wiederholt unter Verstoß gegen ihre Pflichten aus § 99 Abs. 1 S. 1 VwGO geweigert, Verwaltungsvorgänge zu dem Auswahlverfahren und zu den zugrundeliegenden Sitzungen des Gemeinderats vorzulegen. Durch dieses offensichtlich rechtswidrige Verhalten der Antragsgegnerin war das Verwaltungsgericht nicht in der Lage, die Erfolgsaussichten des Eilrechtsantrags zu prüfen.

Entscheidung

Der VGH hat unmissverständlich klar gemacht, dass es nicht der Behörde obliegt, selbst zu entscheiden, welche Dokumente und Akten für das Verfahren eventuell relevant sein mögen.

Die Entscheidung darüber, welche Urkunden und Akten vorzulegen sind, steht im Rahmen des § 86 Abs. 1 VwGO im Ermessen des Gerichts; ihm allein und nicht der Behörde kommt nach § 86 Abs. 1 VwGO auch die Beurteilung zu, welche Urkunden und Akten für seine Entscheidung erheblich sein können.

Ursprünglich hatte die Behörde gegen das Aktenvorlageverlangen des Verwaltungsgerichts Bedenken aus dem „Datenschutzrecht“ vorgetragen. Der VGH befindet hierzu, dass solche Bedenken nicht bestehen.

Einem Herausgabeverlangen nach § 99 Abs. 1 S. 1 VwGO kann insbesondere nicht „die DSGVO“ (Schriftsatz vom 14.01.2019, S. 14) entgegengehalten werden.

Der VGH verweist darauf, dass die DSGVO grundsätzlich auch für die Tätigkeiten der Gerichte gelte. Sie steht aber einer Datenerhebung durch das Verwaltungsgericht in der Gestalt einer Verfügung zur Aktenvorlage nicht entgegen.

Danach befasst sich der VGH mit den verschiedenen in Betracht kommenden Rechtsgrundlagen. Hierzu verweist er allgemein zunächst auf die Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Nach Ansicht des VGH sind für die Tätigkeit der Gerichte sowohl der Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt) als auch Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde) einschlägig.

Die Voraussetzungen beider Tatbestände sind erfüllt, wenn die Gerichte Daten bei den Beteiligten eines gerichtlichen Verfahrens zum Zweck der Rechtspflege erheben und die Daten zu diesem Zweck verwenden.

Der VGH verweist hierzu insbesondere auf die gesetzliche Pflicht der Verwaltungsgerichte, den Sachverhalt von Amts wegen zu ermitteln und dabei die Beteiligten heranzuziehen (§ 86 Abs. 1 S. 1 VwGO). Zudem widmet sich der VGH der Frage, ob auch die Behörde befugt ist, personenbezogene Daten an das Gericht zu übermitteln. Diese Datenübermittlung ist zur Erfüllung einer rechtlichen Verpflichtung, nämlich jener aus § 99 Abs. 1 S. 1 VwGO, erforderlich und kann daher auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. c DSGVO gestützt werden.

Auch geht der VGH auf die Frage ein, ob § 99 VwGO als nationale Vorschrift mit den Vorgaben der DSGVO im Einklang steht. Hierbei befasst sich das Gericht jedoch nicht mit den Vorgaben des Art. 6 Abs. 2 und 3 DSGVO und den dort aufgestellten Anforderungen an Rechtsgrundlagen im nationalstaatlichen Recht. Vielmehr geht der VGH anscheinend davon aus, dass § 99 VwGO eine die Rechte der Betroffenen beschränkende Vorschrift im Sinne des Art. 23 DSGVO darstellt. Zumindest geht das Gericht nur hierauf ein.

Gemäß Art. 23 Abs. 1 Buchst. f DS-GVO können insbesondere zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt, unter anderem die Pflichten und Rechte gemäß den Art. 12 bis 22 DS-GVO beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt.

Und nach Ansicht des VGH enthalten solche Regelungen zum Schutz von Gerichtsverfahren und zur Datenverarbeitung durch die Gerichte insbesondere die nationalen Vorschriften über das Verfahrensrecht der Gerichte betreffend die Datenerhebung zum Zweck der Rechtsprechung.

Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?

Eine zurzeit heiß diskutierte Frage ist, welche Rolle der Betriebsrat im Sinne des Datenschutzes im Unternehmen überhaupt einnimmt“. Mit dieser Feststellung leitet der Landesbeauftragte aus Baden-Württemberg (LfDI) in seinem aktuellen Tätigkeitsbericht (pdf, ab S. 37) das Kapitel „Betriebsrat – eigener Verantwortlicher im Sinne der DS-GVO? Ja!“ ein und liefert in der Überschrift direkt auch seine Antwort auf diese praxisrelevante Frage. Die Begründung des LfDI: Entscheidet der Betriebsrat selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, ist er als eigener Verantwortlicher anzusehen.

Warum ist die Frage praxisrelevant? Sollte der Betriebsrat (bzw. eine Interessenvertretung der Arbeitnehmer) als eigener Verantwortlicher im Sinne der DSGVO angesehen werden, würden sich hieraus viele Umsetzungsaufgaben innerhalb eines Unternehmens ergeben. Angefangen mit der Pflicht des Betriebsrates, ein eigenes Verzeichnis der Verarbeitungstätitgkeiten (Art. 30 DSGVO) zu führen, selbst die Informationspflichten (Art. 13 / 14 DSGVO) zu erfüllen, eventuell einen eigenen Datenschutzbeauftragten (Art. 37 DSGVO) zu benennen und natürlich etwa auch eine eigene Rechtsgrundlage für Datenverarbeitungen (Art. 6 Abs. 1 DSGVO) zu finden. Viele weitere Themen wären relevant, so etwa, ob nicht das Unternehmen und der Betriebsrat für bestimmte Verarbeitungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO) anzusehen sind.

Orientiert man sich an der bisherigen Respr. des Bundesarbeitsgerichts (BAG) zum alten Datenschutzrecht, würde man davon ausgehen, dass der Betriebsrat Teil des Verantwortlichen ist (BAG, Beschl. v. 14.1.2014 – 1 ABR 54/12). Im Zuge der Anwendbarkeit der DSGVO, ist diese Einordnung jedoch auf den juristischen Prüfstand gestellt worden.

Ein Urteil des BAG oder auch des Bundesverwaltungsgerichts oder gar des Europäischen Gerichtshofs zu dieser Frage steht noch aus. Jedoch haben sich in Deutschland bereits einige Gerichte mit der Thematik auseinandergesetzt. Das Ergebnis: es ist umstritten.

Nachfolgend möchte ich einen kleinen Überblick zu den Entscheidungen geben. Interessant daran ist, dass es fast immer um das Verlangen des Betriebsrates bzw. der Personalvertretung geht, Einsicht in nicht anonymisierte Entgelt- oder Gehaltslisten zu erhalten. Entscheidende betriebsverfassungsrechtliche Norm ist dann auch zumeist § 80 Abs. 2 BetrVG. Dabei kommen die Gerichte am Ende oft zu demselben Ergebnis. Auf dem Weg dorthin sind die Argumente, ob der Betriebsrat eigener Verantwortlicher ist, jedoch verschieden.

LAG Niedersachsen, Beschl. v. 22.10.2018 – 12 TaBV 23/18

Das LAG Niedersachsen geht davon aus, dass dem Anspruch des Betriebsrats auf einen Blick in die Bruttoentgeltlisten datenschutzrechtliche Belange nicht entgegenstehen. Das LAG verweist auf § 26 Abs. 6 BDSG, in dem ausdrücklich klargestellt ist, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Solange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt – was oben bereits bejaht wurde – handelt es sich bei ihm nicht um einen „Dritten“ iSv Art. 4 Nummer 10 EU-DSGVO. Eine Rechtmäßigkeit der Datenverarbeitung ist hier nach Art. 6 I c) Euro-DSGVO gegeben, da die Einsichtnahme in die Bruttolohn- und gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat dient.

Schön finde ich ja den Hinweis auf die „Euro-DSGVO“. Um aber beim Thema zu bleiben: das LAG sieht den Betriebsrat nicht als „Dritten“ an; zumindest, solange er sich im Rahmen der Wahrnehmung gesetzlicher Aufgaben bewegt.

LAG Sachsen-Anhalt, Beschl. v. 18.12.2018 – 4 TaBV 19/17

Auch das LAG Sachsen-Anhalt geht davon aus, dass dem durch den Betriebsrat verfolgten Anspruch des Betriebsausschusses zur Einsichtnahme gemäß § 80 Abs. 2 S. 2 2. Halbsatz BetrVG datenschutzrechtliche Belange nicht entgegenstehen.

Nach Auffassung der erkennenden Kammer ist im Übrigen auch der Betriebsrat Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO („oder andere Stelle“), da er über die Zwecke der von ihm bzw. seinem Betriebsausschuss wahrgenommenen Einsicht in die Bruttoentgeltlisten selbst entscheidet.

Das LAG Sachsen-Anhalt vertritt mithin die Ansicht, dass der Betriebsrat als eigener Verantwortlicher innerhalb des Unternehmens anzusehen ist.

LAG Hessen, Beschluss vom 10.12.2018 – 16 TaBV 130/18

Im Verfahren vor dem LAG Hessen ging es, etwas abweichend, um die Auskunft darüber, an welche Arbeitnehmer mit Ausnahme leitender Angestellter Sonderzahlungen geleistet wurden. Das LAG begründet seine Entscheidung aber auch hier mit Art. 80 Abs. 2 BetrVG.

Nach Ansicht des LAG bestehen im Übrigen datenschutzrechtliche Bedenken auch deshalb nicht,

weil der Betriebsrat selbst Teil der verantwortlichen Stelle im Sinne von Art. 4 Nr. 7 Datenschutz-Grundverordnung ist.

Das LAG Hessen schlägt sich hier auf die Seite jener, die den Betriebsrat nicht selbst als Verantwortlichen ansehen. Weiter begründet das LAG Hessen:

Die Zurverfügungstellung der im Antrag genannten Informationen an den Betriebsrat stellt daher keine Weitergabe des Arbeitgebers an Dritte dar.

Umfassender als die anderen Gerichte befasst sich das LAG Hessen aber mit der Frage, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden kann. Das LAG geht davon aus, dass, soweit der Betriebsrat im Rahmen seiner ihm gesetzlich zugewiesenen Aufgaben handele,

die Verarbeitung dieser Daten nach Art. 6 Absatz 1c Datenschutzgrundverordnung rechtmäßig ist.

Zudem stellt das LAG fest, dass der Betriebsrat an das Datenschutzrecht gebunden ist. Aus dieser Formulierung könnte man nun doch eine andere Ansicht ableiten. Jedoch macht das LAG in seiner weiteren Begründung deutlich, dass es den Betriebsrat als Teil des Verantwortlichen (Arbeitgeber) ansieht. Nach dem LAG gestatte das Datenschutzrecht – wie sich aus Art. 6 Abs. 1 lit. c DSGVO ergebe – die Verarbeitung von Daten durch den Betriebsrat,

wenn der Arbeitgeber insoweit einer rechtlichen Verpflichtung, z.B. aus § 80 Absatz 2 BetrVG, unterliegt. Dies ist hier der Fall“. Das LAG rechnet folglich die Verarbeitung durch den Betriebsrat dem Arbeitgeber zu, der sich wiederum hierfür auf Art. 6 Abs. 1 lit. c) DSGVO berufen kann.

Zwischenergebnis in der Rechtsprechung: 2:1 für die Ansicht, dass der Betriebsrat Teil des Verantwortlichen ist.

LAG Düsseldorf, Beschl. v. 23.10.2018 – 8 TaBV 42/18

In dem Fall des LAG Düsseldorf ging um Ansprüche auf Vorlage von Gehaltslisten in elektronischer bzw. gedruckter Form. Die Parteien stritten darüber, ob der Betriebsrat neben der Einsichtnahme auch eine Überlassung der Entgeltlisten verlangen kann. Nach Auffassung des LAG kann der Betriebsrat weder die Übergabe der Entgeltlisten in elektronischer oder gedruckter Form, noch die Überlassung eines PC, auf dem die Listen gespeichert sind, noch die Gestellung zusätzlichen Büropersonals zwecks Schaffung einer „Abschreibemöglichkeit“ der Listen verlangen. Konkret ging es hier, etwas abweichend, um einen möglichen Anspruch aus dem EntgTranspG. Nach Ansicht des LAG räumt das EntgTranspG dem Betriebsrat seinem Wortlaut nach an keiner Stelle einen Überlassungsanspruch ein, vielmehr spreche 13 Abs. 2 S. 1 EntgTranspG von „hat das Recht einzusehen“.

Da das LAG hier diesen Anspruch ablehnte, musste es (leider) zu der datenschutzrechtlichen Frage keine Stellung mehr nehmen.

Ob die Überlassung von Entgeltlisten an Betriebsrat und Betriebsausschuss weiterhin auch aus datenschutzrechtlichen Gründen unzulässig ist, bedarf in Anbetracht des vorstehenden, klaren Auslegungsergebnisses keiner Erörterung.

BVerwG, Beschl. v. 19.12.2018 – 5 P 6.17

Bisher soweit ersichtlich noch kaum beachtet, hatte auch das Bundesverwaltungsrecht (BVerwG) die Möglichkeit, sich zu der Frage zu äußern, wie eine Personalvertretung datenschutzrechtlich einzuordnen ist. Die Entscheidung betraf jedoch, anders als die obigen Entscheidungen, den öffentlichen Bereich. Das BVerwG geht davon aus, dass der Bezirkspersonalrat im konkreten Fall einen Informationsanspruch hat, weil sein Informationsbegehren einen Aufgabenbezug aufweist und die beanspruchten Informationen nach Art und Umfang zur Aufgabenwahrnehmung erforderlich sind. Entscheidende Norman waren hier jene aus dem Landespersonalvertretungsgesetz Rheinland-Pfalz.

Das Verwaltungsgericht ist im Ergebnis auch zutreffend davon ausgegangen, dass Regelungen des Datenschutzrechts der streitgegenständlichen Informationsübermittlung nicht entgegenstehen.

Das BVerwG geht in seiner Begründung zum Datenschutzrecht zunächst auf die Rechtlage vor Anwendbarkeit der DSGVO ein. Bislang wurde als geklärt angesehen, dass die Datenübermittlung der Dienststelle an den Personalrat nicht den Bestimmungen der Datenschutzgesetze unterliegt, sondern die einschlägigen personalvertretungsgesetzlichen Anspruchsnormen die insoweit maßgeblichen bereichsspezifischen Rechtsgrundlagen im Sinne des Datenschutzrechts bilden. Zudem stünden die Persönlichkeitsrechte der Betroffenen der Einsichtnahme des Personalrats in Unterlagen, die personenbezogene Daten der Beschäftigten enthalten, nicht entgegen, wenn die Einsichtnahme unter Beachtung des Verhältnismäßigkeitsgrundsatzes auf den zur Aufgabenerfüllung erforderlichen Umfang begrenzt ist.

Das BVerwG befasst sich sodann mit der Frage, ob diese Rechtslage mit dem Inkrafttreten der DSGVO, die als Verordnung in den Mitgliedstaaten unmittelbare Anwendung findet und keiner nationalen Umsetzung bedarf, eine Änderung erfahren hat. Das Gericht verweist hierfür auf Ansichten der Literatur, dass nunmehr mangels hinreichend spezifischer und damit vorrangiger Regelungen der Personalvertretungsgesetze die datenschutzrechtlichen Regelungen über die Verarbeitung bzw. Weitergabe von personenbezogenen Daten in Dienst- und Beschäftigungsverhältnissen anzuwenden seien, wenn die Dienststellenleitung personenbezogene Daten an die Personalvertretung übermittelt und diese dort genutzt werden.

Es geht mithin um die Frage, ob nicht, neben den personalvertretungsrechtlichen Vorschriften, auch datenschutzrechtliche Regelungen zu beachten sind. Dies hätte dann eventuell auch die Frage nach der Einordnung des Personalrates umfasst.

Jedoch lässt das BVerwG eine abschließende Entscheidung in dieser Sache ausdrücklich offen.

Denn jedenfalls führt die geforderte Prüfung im vorliegenden Fall nicht zu einem anderen Ergebnis als es bei der Prüfung der personalvertretungsrechtlichen Erforderlichkeitsprüfung erzielt worden ist.

Ausblick

Die Frage, wie die Personalvertretung innerhalb eines Unternehmens oder einer öffentlichen Stelle datenschutzrechtlich einzuordnen ist, ist daher weiterhin nicht abschließend entschieden. Wie oben erwähnt, kann man hinsichtlich der Respr. verschiedener LAG von einer leichten Tendenz zur alten Rechtslage (Teil des Verantwortlichen) ausgehen.

Bis eine finale Entscheidung in Deutschland oder gar durch den EuGH vorliegt, wird es sicher noch ein wenig dauern. Unabhängig von der Stellung der Personal- oder Interessenvertretung muss aber für die Praxis beachtet werden, dass etwa ein Betriebsrat, auch wenn er Teil des Verantwortlichen ist, natürlich die Vorgaben der DSGVO, dann im Gewand des Verantwortlichen, einhalten muss. Hierzu zählen vor allem auch die Datenschutzgrundsätze in Art. 5 Abs. 1 DSGVO und weitere Normen, wie etwa angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO.