Verwaltungsgericht: Keine Ermächtigung für Datenschutzbehörde zur zwangsweisen (Ab-)Berufung eines Datenschutzbeauftragten?

Das Verwaltungsgericht Köln hat im Verfahren des einstweiligen Rechtsschutzes eine interessante Entscheidung getroffen (Az. 13 L 1707/21). Geklagt (und parallel im Wege des einstweiligen Rechtsschutzes die aufschiebende Wirkung betragt) hat eine Behörde gegen einen Bescheid des Bundesdatenschutzbeauftragten (BfDI). In diesem sollte die Behörde dazu verpflichtet werden, entweder einen Datenschutzbeauftragten (DSB) zu benennen oder den aktuellen abzuberufen; das wird aus der Begründung leicht nicht ganz klar.

Interessant ist die Begründung des Verwaltungsgerichts zu der Frage, ob denn die Datenschutzbehörde überhaupt eine Ermächtigungsgrundlage nach der DSGVO besitzt, um Verantwortliche oder Auftragsverarbeiter anzuweisen, einen DSB zu benennen oder einen bereits benannten abzuberufen (z.B. wegen mangelnder Qualifikation oder Interessenkonflikten).

Das Verwaltungsgericht führt zu dieser Frage aus:

Weiter maßgeblich zu berücksichtigen ist in diesem Zusammenhang, dass nach der im vorliegenden Eilverfahren allein möglichen und gebotenen summarischen Prüfung voraussichtlich die tatbestandlichen Voraussetzungen der vom Antragsgegner herangezogene Ermächtigungsgrundlage des Art. 58 Abs. 2 lit. d) DSGVO ohnehin nicht gegeben sind“.

In der Tat verlangt Abs. 2 lit. d) für die Anweisung durch den BfDI, dass „Verarbeitungsvorgänge“ vorliegen, die nach Ansicht der Aufsichtsbehörde auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen sind.

Die Tätigkeit des DSB und auch seine (Ab-)Berufung stellt jedoch nach Ansicht des Verwaltungsgerichts keinen solchen tatbestandlichen Verarbeitungsvorgang dar.

Das Verwaltungsgericht dazu: „Dass die (Ab-)Berufung eines behördlichen Datenschutzbeauftragten hierunter fallen könnte, ist nicht ersichtlich.“

Und es gibt in Art. 58 Abs. 2 DSGVO auch keine andere Ermächtigung, die speziell die Benennung des DSB adressieren würde. Man könnte nun spitzfindig überlegen, dass etwa die Benennung eines DSB schon eine Verarbeitung darstellt und diese Verarbeitung nur zulässig sein kann, wenn etwa der DSB auch qualifiziert und geeignet ist. Es würde dann um die personenbezogenen Daten dieses DSB gehen, etwa um zu dokumentieren, dass Herr / Frau XYZ zum DSB benannt wurde. Die Verarbeitung könnte dann die Aufsichtsbehörde eventuell angreifen oder eine solche Verarbeitung in Einklang mit der DSGVO verlangen. Jedoch dürfte dies ggfs. nicht ausreichen, da in Bezug auf die Daten des DSB wohl nur die Frage zu beantworten ist, ob diese Verarbeitung (Verwendung des Namens des DSB) zulässig war? Im Zweifel wird die Verarbeitung zulässig gewesen sein, um eine gesetzliche Pflicht (Art. 37 DSGVO) zu erfüllen. Eventuell mag man aber auch (ein wenig von hinten durch die Brust) den Schluss ziehen, dass wenn die Benennung (oder fehlende Benennung) nicht zulässig im Sinne des Art. 37 DSGVO war, dann dürfte auch die Verarbeitung der Daten des DSB unzulässig sein.

Mal sehen, wie die Sache im Hauptverfahren ausgeht.

Update vom 13.12.2021: der Bescheid erging nicht durch die LDI, sondern den BfDI.

Europäischer Datenschutzausschuss: was ist ein internationaler Datentransfer und in welchen Fällen sind die Pflichten des Kapitel V der DSGVO zu beachten?

Letzte Woche hat der EDSA seine Leitlinien 05/2021 über das Zusammenspiel zwischen Art. 3 DSGVO und den Bestimmungen über internationale Übermittlungen veröffentlicht (PDF). Diese Leitlinien wurden seit einiger Zeit mit Interesse erwartet, da die DSGVO keine eigene Definition für „internationale Übermittlungen“ vorsieht. Daneben enthalten die Leitlinien einige sehr praxisrelevante Feststellungen der europäischen Behörden, wann die zusätzlichen Anforderungen des Kapitel V zu beachten sind und wann nicht.

Art. 46 DSGVO? Immer die Erforderlichkeit zusätzlicher Schutzmaßnahmen prüfen

Zunächst stellt der EDSA (erneut) fest, dass bei der Inanspruchnahme eines der in Art. 46 DSGVO aufgeführten Übermittlungsinstrumente, wie etwa von EU Standarddatenschutzklauseln, stets geprüft werden muss, ob zusätzliche Schutzmaßnahmen umgesetzt werden müssen, um das Schutzniveau der übermittelten Daten auf den EU-Standard der wesentlichen Gleichwertigkeit zu bringen. Diese Ansicht ist nicht neu, für die Praxis jedoch wichtig.

Dies gilt nach Ansicht des EDSA übrigens auch in Situationen, in denen die Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt. Dies, um zu vermeiden, dass der durch die DSGVO gewährte Schutz durch andere Rechtsvorschriften, denen der Importeur unterliegt, untergraben wird. Bereits hier in der Einleitung wird also klar: der EDSA geht von einer internationalen Übermittlung im Sinne des Kapitel V aus, auch wenn der Importeur der Daten bereits selbst nach Art. 3 Abs. 2 DSGVO dem europäischen Recht unterliegt (hierzu aber später noch mehr).

Was ist eine „Übermittlung an ein Drittland oder eine internationale Organisation“?

Da die DSGVO keine rechtliche Definition des Begriffs „Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation“ (vgl. Art. 44 S. 1 DSGVO) enthält, muss dieser Begriff nach Auffassung des EDSA „unbedingt geklärt werden“.

Vor diesem Hintergrund macht der EDSA einen eigenen Vorschlag für eine solche Definition. Zu beachten ist hierbei freilich, dass diese Auslegung „nur“ die Ansicht der europäischen Behörden darstellt und etwa die EU Kommission eine andere Auffassung vertreten könnte. Dennoch sind die Vorgaben des EDSA für die Praxis von besonderer Relevanz.

Der EDSA hat drei kumulative Kriterien vorgeschlagen, die eine Verarbeitung als Übermittlung qualifizieren. Es müssen also alle drei Anforderungen gemeinsam erfüllt sein:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter unterliegt in Bezug auf die betreffende Verarbeitung den Bestimmungen der DSGVO.

2. Dieser Verantwortliche oder Auftragsverarbeiter („Exporteur“) macht durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter („Importeur“) zugänglich.

Auch im Fall der Weitergabe von Daten zwischen gemeinsam Verantwortlichen kann also eine Übermittlung in ein Drittland vorliegen. Keine Privilegierung der Weitergabe zwischen diesen gemeinsam Verantwortlichen.

3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation, ungeachtet dessen, ob dieser Importeur in Bezug auf die betreffende Verarbeitung gemäß Art. 3 der DSGVO unterliegt oder nicht.

Wichtig: hier wird direkt eine relevante Klarstellung des EDSA deutlich. Der Exporteur muss gerade nicht (!) in der EU oder dem EWR ansässig sein. Nur der Empfänger der Daten, der Importeur, muss zwingend in einem Drittland ansässig sein. Diese Ansicht ist eigentlich auch nicht mehr überraschend, jedoch sollte man sich in der Praxis stets in Erinnerung rufen, dass für eine Anwendung der Vorschriften in Kapitel V gerade nicht Voraussetzung ist, dass der Exporteur unbedingt in der EU ansässig sein muss.

Zudem muss beachtet werden, dass es für die Frage der Anwendbarkeit von Art. 3 DSGVO stets auf die jeweilige Verarbeitung ankommt. Man muss also auf die einzelne Verarbeitung schauen und kann nicht global und allgemein die Anwendung von Art. 3 DSGVO allein mit Blick auf die datenverarbeitende Organisation prüfen.

Keine Übermittlung, wenn Betroffener selbst Daten freigibt

Das zweite Kriterium setzt nach Ansicht des EDSA stets voraus, dass entweder ein (gemeinsam) Verantwortlicher oder ein Auftragsverarbeiter handelt und die Daten durch Übermittlung oder in anderer Weise zur Verfügung stellt.

Dieses zweite Kriterium kann daher nicht als erfüllt angesehen werden, wenn die Daten direkt und auf auf eigene Initiative der betroffenen Person an den Empfänger weitergegeben werden. In diesem Fall gibt es keinen Verantwortlichen oder Auftragsverarbeiter, der die Daten übermittelt oder zur Verfügung stellt („Exporteur“).

„Übermittlung an ein Drittland“ kann auch vorliegen, wenn der Empfänger der DSGVO unterliegt

Besonders relevant ist die Ansicht des EDSA, ob die Vorgaben des Kapitel V auch dann zu beachten sind, wenn der Importeur der Daten bereits unmittelbar nach Art. 3 Abs. 2 DSGVO dieser unterliegt (derzeit arbeitet die EU Kommission wohl an weiteren Standardvertragsklauseln für genau diese Konstellation). Man könnte ja argumentieren, dass es in diesem Fall eigentlich nicht erforderlich ist, zusätzliche Übermittlungsanforderungen nach Kapitel V vorzusehen.

Der EDSA hebt hervor, dass für Verantwortliche und Auftragsverarbeiter, die nicht in der EU ansässig sind, gemäß Art. 3 Abs. 2 DSGVO für eine bestimmte Verarbeitung der DSGVO unterliegen können und daher bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation die Bestimmungen von Kapitel V einhalten müssen, wenn sie personenbezogene Daten in ein Drittland übermitteln oder als Importeur diese Daten erhalten.

Spannend sind hier die Aussagen des EDSA zu zukünftigen Standardvertragsklauseln für diese Konstellation. Denn nach Ansicht des EDSA sind bei der Übermittlung personenbezogener Daten an einen Verantwortlichen in einem Drittland weniger Schutzmaßnahmen/Garantien erforderlich, wenn dieser für die betreffende Verarbeitung bereits der DSGVO unterliegt. Und im Grunde adressiert der EDSA dann direkt die EU Kommission:

Daher sollte bei der Entwicklung entsprechender Übermittlungsinstrumente (die derzeit nur theoretisch zur Verfügung stehen), d. h. Standardvertragsklauseln oder Ad-hoc-Vertragsklauseln, die Situation nach Art. 3 Abs. 2 berücksichtigt werden, um die Verpflichtungen der Datenschutz-Grundverordnung nicht zu duplizieren, sondern vielmehr die „fehlenden“ Elemente und Grundsätze anzusprechen, die notwendig sind, um die Lücken zu schließen…“.

Ein Beispiel: der reisende Mitarbeiter – es müssen verschiedene juristische Personen vorliegen

In den Leitlinien sind zudem einige Beispiele enthalten. In Beispiel 5 geht der EDSA davon aus, dass durch Drittländer reisende Mitarbeiter, die remote Zugriff auf die Systeme des Arbeitgebers in der EU nehmen, keine internationale Übermittlung auslösen.

Der Grund: Exporteur und Importeur der Daten müssen nach Ansicht des EDSA stets getrennte juristische Einheiten sein. Damit es sich um eine internationale Übermittlung handeln kann, muss es einen Verantwortlichen oder einen Auftragsverarbeiter geben, der die Daten offenlegt (der Exporteur), und einen anderen Verantwortlichen oder einen anderen Auftragsverarbeiter, der die Daten erhält oder Zugang zu ihnen erhält (der Importeur). Im Fall des reisenden Mitarbeiters werden die Verarbeitungen, einschließlich des Fernzugriffs, juristisch betrachtet von seinem Arbeitgeber durchgeführt, d. h. von einem für die Verarbeitung Verantwortlichen mit Sitz in der Union.

Absender und Empfänger der Daten müssen nach Auffassung der Aufsichtsbehörden nicht verschiedene für die Verarbeitung Verantwortliche/Auftragsverarbeiter sein. Sind sie dies nicht, sollte die Weitergabe von
personenbezogener Daten nicht als Übermittlung gemäß Kapitel V DSGVO betrachtet werden, „da die Daten
innerhalb desselben für die Verarbeitung Verantwortlichen/Auftragsverarbeiters verarbeitet werden
„.

Finnische Datenschutzbehörde: Protokoll-/Logdaten sind nicht vom Auskunftsanspruch nach Art. 15 DSGVO umfasst

Die finnische Datenschutzbehörde (DSB) veröffentlicht auf ihrer Webseite unter der Rubrik „FAQ“ in englischer Sprache viele interessante und praxisrelevante Antworten auf Fragen, rund um das Verständnis der DSGVO.

Eine schöne Frage und Antwort der Behörde habe ich zum Recht auf Auskunft gefunden.  

Frage: Kann ein Betroffener aufgrund des Auskunftsrechts Anspruch auf die Protokolldaten (Logdaten) haben?

Antwort der Behörde: Nach der gängigen Entscheidungspraxis der DSB stehen Benutzerprotokolldaten im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten einer betroffenen Person und betreffen nicht die betroffene Person selbst. Vielmehr können Benutzerprotokolldaten z.B. die Mitarbeiter betreffen, die die Daten der Person verarbeitet haben. Art. 15 DSGVO sieht das Recht der betroffenen Person auf Auskunft über die sie betreffenden Daten vor.

Hieraus schließt die DSB: Da sich die Protokolldaten auf die Zugriffsverwaltung und nicht auf die betroffene Person beziehen, über die sie gesammelt werden, hat diese Person nach Auffassung der Aufsichtsbehörde aufgrund dieses Auskunftsrechts keinen Anspruch auf die Protokolldaten.

Diese Ansicht der DSB dürfte für Unternehmen in der Praxis besonders interessant sein. In Deutschland kann sich dasselbe Ergebnis auf Grundlage von § 34 Abs. 1 Nr. 2 lit. b BDSG ergeben, wenn die dort benannten Voraussetzungen erfüllt sind. Hierzu zählt etwa, dass die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die finnische DSB scheint eher pauschal die Logdaten, welche beim Zugriff auf personenbezogene Daten entstehen, vom Umfang des Auskunftsanspruchs auszuschließen.

Schwedische Datenschutzbehörde: Ausübung von DSGVO-Betroffenenrechten per Tweet?

Die schwedische Datenschutzbehörde hat im Rahmen des Kohärenzverfahrens am 10.9.2021 eine Entscheidung (PDF) zu der durchaus praxisrelevanten Frage getroffen, ob Unternehmen Betroffenenanfragen bzw. die Ausübung von Betroffenenrechten der DSGVO per Tweets auf Twitter sicherstellen müssen.

Sachverhalt

Der Betroffene erwarb ein Produkt des Verantwortlichen. Im Nachgang erhielt der Betroffene drei werbliche SMS. Eine Abmeldung von dem SMS-Versand war wohl nur über den Versand einer SMS an eine ausländische Nummer möglich. Dies wollte der Betroffene jedoch nicht und wandte sich per Tweet an den Account des Unternehmens auf Twitter an den Verantwortlichen (wohl mit einer Bitte um Löschung seiner Daten). Er erhielt hierauf zunächst keine Antwort, jedoch eine weitere SMS. Daraufhin beschwerte er sich erneut per Tweet bei dem Unternehmen und forderte die Löschung seiner Daten. Auf den letzten Tweet antwortete das Unternehmen und bot ihm an, seine Daten aus der Datenbank zu löschen. Am Ende nahm das Unternehmen diese Löschung auch vor.

Entscheidung

Die interessante Frage war hier, ob die Tweets an den Account des Verantwortlichen auf Twitter als Ausübung eines Betroffenenrechts angesehen werden konnten (etwa mit der Folge des Laufs der Fristen nach Art. 12 Abs. 3 DSGVO).

Die schwedische, als federführende Aufsichtsbehörde, äußert sich in der veröffentlichten Entscheidung nicht ausdrücklich zu dieser Frage. Jedoch lässt die Begründung der Behörde erkennen, dass sie wohl nicht davon ausgeht, dass diese Anfragen per Tweet als Betroffenenanfragen im Sinne der DSGVO zu verstehen waren.

Die Aufsichtsbehörde stellt „fest, dass der Beschwerdeführer einen informellen Weg zur Kontaktaufnahme mit dem Unternehmen genutzt hat (durch einen Tweet auf Twitter).“ (inoffizielle Übersetzung)

Diese Einschätzung lässt eine gewisse Tendenz erkennen, die Tweets nicht als Ausübung eines Betroffenenrechts zu verstehen. Wobei man sicherlich anmerken muss, dass die DSGVO keinen „formellen“ Weg für Betroffenenanfragen vorsieht. Art. 12 Abs. 2 DSGVO verpflichtet den Verantwortliche dazu, dass er der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15 bis 22 DSGVO erleichtert.

Die Aufsichtsbehörde begründet weiter, dass es ist verständlich sei, dass der Beschwerdeführer keine Gebühr zahlen wollte, um gegen die Marketing-SMS Einspruch zu erheben.

aber gleichzeitig ist es auch verständlich, dass das Unternehmen nicht direkt über Twitter eine formelle Antwort gegeben hat“. (inoffizielle Übersetzung)

Die schwedische Behörde geht davon aus, dass es höchstwahrscheinlich andere Möglichkeiten gab, mit dem Unternehmen in Kontakt zu treten (z. B. per E-Mail), als per SMS. Auch diese Begründung spricht meines Erachtens eher dafür, dass die Aufsichtsbehörde von dem Betroffenen verlangt, einen förmlicheren Weg bei der Ausübung seiner Rechte zu gehen.

Letztlich schloss die Aufsichtsbehörde das Verfahren ohne eine aufsichtsbehördliche Maßnahme ab.

Bundesinnenministerium: DSGVO-Bußgelder müssen nach den Vorgaben des deutschen OWiG verhängt werden

Das Bundesministerium des Innern (BMI) hat das neue BDSG evaluiert und den entsprechenden Bericht nun veröffentlicht (abrufbar auf der Webseite, PDF). Für die Evaluation wurden u.a. öffentliche als auch private Stellen sowie Datenschutzaufsichtsbehörden befragt.

Von besonderer Praxisrelevanz ist das Ergebnis des Berichts zu der umstrittenen Anwendung der Vorgaben der §§ 30, 130 OWiG im Rahmen der Verhängung von Bußgeldern nach Art. 83 DSGVO.

Hintergrund

Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO, soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Nach § 41 Abs. 2 S. 1 BDSG gelten auch für Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 DSGVO die Vorschriften des OWiG.

Zu beachten ist, dass das OWiG keine unmittelbare bußgeldrechtliche Haftung von Unternehmen kennt. Bei einer Verhängung von Geldbußen müssen die Voraussetzungen des § 30 Abs. 1 OWiG erfüllt sein. Hierfür bedarf es einer Tat, die der juristischen Person zugerechnet werden kann. Der Täter dieser Tat muss zu dem in § 30 Abs. 1 Nr. 1 – 5 OWiG genannten Personenkreis stammen; erfasst sind sog. Leitungsperson.

Das bedeutet, dass Täter nach dem System des OWiG eine natürliche Person und gerade nicht das Unternehmen selbst sein kann.

In der Vergangenheit haben das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) einerseits und das LG Berlin (Beschl v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) andererseits unterschiedliche Auffassung dazu vertreten, ob dieser Verweis in § 41 BDSG auf die Vorgaben des deutschen OWiG europarechtskonform ist. Es wird darüber gestritten, ob nicht die DSGVO (insb. wegen des ErwG 150 DSGVO) eine unmittelbare Unternehmenshaftung (Verbandshaftung) vorschreibe und daher eine Anknüpfung an das Verhalten einer natürlichen Person (entsprechend § 30 OWiG) gegen die DSGVO verstoßen würde.

Einschätzung des BMI

Zunächst verweist das BMI in Bezug auf den Kontext der Schaffung von § 41 Abs. 1 BDSG darauf, dass sich der Gesetzgeber seinerzeit bewusst („und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden“) zu dieser Thematik dafür entschieden habe, die §§ 30, 130 OWiG nicht aus den nach § 41 Abs. 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.

Das BMI gibt also im Grunde den Hinweis, dass die Erklärung der Anwendbarkeit der §§ 30, 130 OWiG bewusst vom Gesetzgeber gewollt war, in Kenntnis der kritischen Stimmen.

Sodann begründet das BMI diese Entscheidung des Gesetzgebers. Diese basiere auf der Erwägung, dass Art. 83 Abs. 8 DSGVO es gerade den Mitgliedstaaten überlasse, die Einzelheiten des Bußgeldverfahrens zu regeln. Und dann führt das BMI aus (S. 62):


Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen.“

Das BMI geht von der Zulässigkeit des Verweises auf die §§ 30, 130 OWiG auch vor dem Hintergrund der Vorgaben des ErwG 150 DSGVO aus, da dieser (und auch Art. 83 DSGVO) gerade keine Regelungen zum Adressaten des Bußgeldes machen, sondern allein zur Berechnung bzw. zum finanziellen Rahmen.

Finnische Datenschutzbehörde: Gesprächsaufzeichnungen sind nach Art. 15 Abs. 3 DSGVO herauszugeben

Die finnische Datenschutzbehörde entschied (PDF) am 24. Juni 2021 in einem Kohärenzverfahren zu Fragen des Auskunftsanspruchs in Bezug auf Aufzeichnungen von Telefongesprächen. Die Datenschutzbehörde sieht den Verantwortlichen in der Pflicht, auch solche Aufzeichnungen im Rahmen des Art. 15 Abs. 3 DSGVO herauszugeben.

Sachverhalt

Der Fall basiert auf einer Beschwerde eines Betroffenen. Von ihm wurden durch das Unternehmen Telefongespräche wurden aufgezeichnet, die er mit dem Kundenservice des Unternehmens führt. Darauf enthalten waren sowohl die Stimme des Betroffenen, als auch anderer Person (wohl Mitarbeiter des Unternehmens). Der Betroffene verlangte Auskunft nach Art. 15 DSGVO. Das Unternehmen hab ihm (verspätet) jedoch nur Dokumente heraus und nicht die Aufzeichnungen der Telefongespräche.

Die Finnische Behörde prüfte Verstöße gegen Art. 12 Abs. 1 und 3 sowie Art. 15 Abs. 3 DSGVO. Das Verfahren endete in einer Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Verspätete Auskunftserteilung

Insgesamt geht die Behörde von einem Verstoß gegen Art. 12 Abs. 3 und gegen Art. 12 Abs. 1, Art 15 Abs. 3 DSGVO aus.

Ursprünglich wurde im November 2018 Auskunft geltend gemacht und teilweise im August 2020 erfüllt Dies jedoch nicht in Bezug auf Gesprächsaufzeichnungen. Die Behörde stellt diesbezüglich einen Verstoß gegen Art. 12 Abs. 3 DSGVO fest, da das Unternehmen die Auskunft nicht innerhalb der gesetzlichen Frist (maximal 3 Monate) erteilte.

Keine Herausgabe der Gesprächsaufzeichnungen

Der Verantwortliche stellt die Aufzeichnungen von Telefongespräche mit dem Betroffenen im Rahmen der Auskunft nicht zur Verfügung. Zur Begründung führte das Unternehmen Art. 15 Abs. 4 DSGVO und die Rechte von anderen Personen an, die ebenfalls auf den Aufzeichnungen zu hören sind.

Die Aufsichtsbehörde stellt zunächst fest, dass die Stimme einer Person ein personenbezogenes Datum im Sinne der DSGVO ist. Daher geht die Behörde davon aus, dass sich das Recht auf Auskunft im Grundsatz auch auf aufgezeichnete Telefongespräche bezieht.

Interessant ist die Ansicht der Behörde zur Ausnahme vom Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO. Nach Art. 15 Abs. 4 DSGVO darf das Recht auf Erhalt einer Kopie gemäß Abs. 3 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das Unternehmen hatte hier Rechte anderer Personen, die ebenfalls auf den Aufzeichnungen zu hören sind, als einschränkende Ausnahme vorgebracht. Im konkreten Fall lies dies die Behörde jedoch nicht geltend. Denn nach Ansicht der Behörden sind keine Rechte anderer Personen beeinträchtigt, wenn diese anderen Personen die Telefonaufzeichnungen im Rahmen der Ausübung ihrer beruflichen Tätigkeit vornehmen.

Es ging hier also wohl um Mitarbeiter im Kundenservice des Verantwortlichen, die auf der Aufzeichnung des Telefongesprächs zu hören waren. Nach Auffassung der Datenschutzbehörde stelle dies aber keinen Fall dar, in dem die Rechte dieser Mitarbeiter beeinträchtigt würden, wenn die Aufzeichnungen der Telefongespräche an den Betroffenen herausgegeben werden. Die Aufsichtsbehörde scheint hierbei an den beruflichen Kontext der Aufzeichnung der Stimme der Mitarbeiter anzuknüpfen und darauf eine fehlende Beeinträchtigung abzuleiten.

Zudem begründet die Behörde ihre Ansicht, dass die Ausnahme nach Art. 15 Abs. 4 DSGVO nicht greift, damit, dass im Fall von aufgezeichneten Telefongesprächen immer auch personenbezogene Daten anderer Personen (der Gesprächsteilnehmer) vorhanden sind. Würde man hier die Ausnahme gelten lassen, würde quasi die Ausnahme zur Regel.

Vorliegend bot das Unternehmen dem Betroffenen an, dass er vor Ort die Aufzeichnung des Telefongesprächs anhören konnte. Die Aufsichtsbehörde lies diese Alternative mit Blick auf die Vorgaben nach Art. 12 Abs. 1 DSGVO und Art. 15 Abs. 3 DSGVO nicht ausreichen. Danach sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn der Betroffene den Antrag elektronisch stellt und nichts anderes angibt.

Die Aufsichtsbehörde gesteht dem Verantwortlichen zwar als Alternative zu, dass er dem Betroffenen ein Anhören der Aufzeichnung direkt vor Ort anbietet. Jedoch, so die Behörde, kann dies nicht die einzige Form der Zurverfügungstellung der Aufzeichnungen sein, wenn der Betroffene diese Form nicht wünscht.

Da die Aufzeichnungen mittlerweile gelöscht wurden, konnte die Behörde den Verantwortlichen nicht zur Herausgabe der Aufzeichnungen verpflichten. Es erging eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Datenschutzbehörde: „Woher haben Sie meine E-Mail-Adresse“? – Kein Antrag auf volle Auskunft nach Art. 15 DSGVO

Die dänische Datenschutzbehörde hat eine interessante Entscheidung zur Beantwortung von Auskunftsanfragen (oder eben keinen solchen Anfragen) nach Art. 15 DSGVO getroffen (Entscheidung vom 21.6.2021, PDF, Englisch)

Sachverhalt

Der Beschwerdeführer hatte einen Newsletter des betroffenen Unternehmens (Pixojet) erhalten. Am selben Tag bat er Pixojet, ihm mitzuteilen, woher Pixojet seine E-Mail-Adresse erhalten hatte. Pixojet teilte ihm mit, dass er sich für den Newsletter von Pixojet angemeldet habe und dass Pixojet sein Abonnement wieder löschen kann. Der Beschwerdeführer ging jedoch davon aus, dass er sich nie für den Newsletter angemeldet habe, und bat dann um Auskunft darüber, wann er den Newsletter abonniert habe und von welcher Quelle. 

Pixojet antwortete hierauf nicht direkt. Erst nach erneuter Nachfrage, woher Pixojet seine Informationen hatte antwortete ein Mitarbeiter des Kundendienstes, dass er sich nicht sicher ist, dass es aber nach einer manuellen Registrierung durch den Beschwerdeführer aussehe.

Der Beschwerdeführer ging weiter davon aus, dass er sich nie für den Newsletter angemeldet hatte. Er ging von einem Verstoß gegen die DSGVO aus. Sowohl, wie die Daten zu Pixojet gelangten /ggfs. über eine Drittquelle) als auch hinsichtlich der Antwort von Pixojet auf seinen Auskunftsantrag nach Art. 15 DSGVO.

Entscheidung

Die dänische Datenschutzbehörde verweist zunächst allgemein auf den Auskunftsanspruch nach Art. 15 DSGVO. Danach habe die betroffenen Personen in der Regel das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten ob personenbezogene Daten über die betroffene Person verarbeitet werden und gegebenenfalls, Auskunft über die personenbezogenen Daten und eine Reihe weiterer Informationen.

Nach Art. 15 Abs. 1 lit. g) DSGVO habe die betroffene Person das Recht, alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten zu erhalten, wenn diese nicht bei der betroffenen Person erhoben wurden. 

Die Datenschutzbehörde hat die Beschwerde so verstanden, dass die betroffene Person hier der Meinung ist, Pixojet habe ihm keine Auskunft entsprechend den Vorgaben des Art. 15 DSGVO gewährt. 

Dies sieht die Aufsichtsbehörde jedoch nicht so und geht davon aus, dass kein Verstoß vorliegt. Grund: die Fragen des betroffenen stellten schon keinen Auskunftsantrag nach Art. 15 DSGVO dar.

Die dänische Datenschutzbehörde sieht laut ihrer Begründung keinen Anhaltspunkt, die Einschätzung des Unternehmens, dass die Anfragen des Beschwerdeführers nicht als Antrag auf uneingeschränkte Auskunft gemäß Art. 15 DSGVO zu verstehen sind, zu beanstanden. 

Die Behörde geht also davon aus, dass die oben dargestellten Fragen des Betroffenen keine Ausübung des vollständigen Auskunftsanspruchs nach Art. 15 DSGVO darstellen. Damit treffen das Unternehmen natürlich auch nicht alle Pflichten des Art. 15 DSGVO.

Aus der Begründung (inoffiziell übersetzt): „Die dänische Datenschutzbehörde hat dabei den Schwerpunkt auf den Wortlaut der Anfragen des Beschwerdeführers gelegt, der angibt, dass er konkret wissen möchte, wo Pixojet seine E-Mail-Adresse hatte.

Die Behörde geht also wohl nur von einer sehr begrenzten Ausübung des Auskunftsanspruchs aus; konkret in Bezug auf die Herkunft der Daten. Die dänische Datenschutzbehörde stellt dann fest, dass Pixojet den Beschwerdeführer darüber informiert hat, dass die Informationen über ihn wahrscheinlich aus einem manuellen Eintrag in den Newsletter von Pixojet auf der Website des Unternehmens stammen. Dies war aus Sicht der Behörde ausreichend, da das Unternehmen über keine weiteren Informationen verfügte.

Fazit

Die Entscheidung ist unter zwei Gesichtspunkten praxisrelevant.

Zum einen löst eine konkrete Nachfrage von Betroffenen nicht direkt die volle Verpflichtungskaskade des Art. 15 DSGVO aus. Fraglich ist freilich, ab wann dann von einer vollumfänglichen Ausübung auszugehen ist., Wohl ziemlich sicher, wenn eine Person deutlich macht, dass sie umfassend Auskunft nach Art. 15 DSGVO begehrt.

Zum anderen ist die Auskunftspflicht des Art. 15 Abs. 1 lit. g) DSGVO erfüllt, wenn das Unternehmen seinem Kenntnisstand entsprechend informiert, woher die Daten stammen. Eine weiter Aufklärungs- oder Nachforschungspflicht ist hiervon nicht umfasst.

OLG München: Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO ist weit auszulegen

Das OLG München hat mit Urteil vom 4.10.2021 (Az 3 U 2906/20) eine praxisrelevante Entscheidung zur Geltendmachung und zum Umfang des Anspruchs auf Herausgabe von Kopien personenbezogener Daten nach Art. 15 Abs. 3 DSGVO gefällt. Das OLG legt den Begriff „personenbezogene Daten“ weit aus und sieht in Art. 15 Abs. 3 DSGVO einen eigenständigen Anspruch, neben jenem auf Auskunft nach Art. 15 Abs. 1 DSGVO.

Sachverhalt

In der Vorinstanz verurteilte das Landgericht München I die Beklagten dazu, der Klägerin Kopien aller personenbezogenen Daten – insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen – auszuhändigen. Vorgerichtlich forderte die Klägerin die Beklagten nach Art. 15 Abs. 3 DSGVO zur Überlassung von Kopien aller bei den Beklagten vorhandenen personenbezogenen Daten der Klägerin auf. Die Beklagten übersandten eine Auskunft der einzelnen bei ihnen gespeicherten Daten der Klägerin, Kopien wurden jedoch nicht überlassen.

Die Beklagten legten gegen dieses Urteil Berufung ein. Die Beklagten gehen u.a. davon aus, dass die Klageerweiterung bezüglich des Anspruchs aus Art. 15 Abs. 3 DSGVO bereits unzulässig war. Auch sei der Antrag in der gestellten Form zu unbestimmt.

Entscheidung

Das OLG wies die Berufung als unbegründet zurück.

Interessant ist zunächst die Ansicht des OLG zur Bestimmtheit des Klageantrags. Wie erinnern und an die Entscheidung des BAG (2 AZR 342/20).

Vorliegend hat das OLG keine Bedenken hinsichtlich der Bestimmtheit des Klageantrages. Dieser lautete wie folgt:
Die Beklagten werden verurteilt, der Klägerin Kopien der von den Beklagten verarbeiteten personenbezogenen Daten der Klägerin betreffend die Datenkategorien Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen im Zeitraum vom 01.01.1997 bis ein 31.03.2018 zu überlassen.“

Das OLG begründet, dass für die Klägerin als Gläubigerin eines Anspruchs aus Art. 15 Abs. 3 DSGVO im Regelfall nicht ersichtlich sein wird, welche Unterlagen sich bei dem Auskunftsverpflichteten befinden.

Damit ist jedoch eine Konkretisierung der einzelnen herauszugebenden Schriftstücke nicht möglich“.

Nach Ansicht des OLG begegnet der Antrag (der noch minimal klargestellt wurde) im Hinblick auf die Bestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO keinen Bedenken.

Sodann geht das OLG davon aus, dass das Landgericht die Beklagten zu Recht zur Herausgabe von Kopien der bei ihnen gespeicherten persönlichen Daten verurteilte.

Das OLG geht von einem weiten Verständnis des Begriffs „personenbezogene Daten“ aus.

Bei den aus dem Tenor der erstinstanzlichen Entscheidung ersichtlichen Informationen handelt es sich um personenbezogene Daten“.

In dieser Entscheidung wurden personenbezogenen Daten „insbesondere in Form von Telefonnotizen, Aktenvermerken, Protokollen, E-Mails, Briefen und Zeichnungsunterlagen für Kapitalanlagen“ aufgezählt. Diese Dokumente sieht das OLG insgesamt als personenbezogene Daten an.

Das OLG begründet seine Ansicht u.a. damit, dass sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen lasse. Schreiben und E-Mails der Klägerin an die Beklagten seien

grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen“.

Dies ist meines Erachtens eine relevante Ansicht des OLG. Nicht allein die in einem Dokument enthaltenen Daten sind personenbezogen, sondern das sie umschließende Dokument. Die Daten „infizieren“ quasi das Dokument mit dem Personenbezug.

Zuletzt geht das OLG noch auf den in der Literatur und Rechtsprechung geführten Streit ein, ob aus Art. 15 Abs. 3 D-GVO ein eigenständiger Anspruch auf Herausgabe von Kopien folge.

Zum Teil werde ein entsprechender Anspruch auf Herausgabe von Kopien verneint. Nach anderer Auffassung enthält Art. 15 Abs. 3 S. 1 DSGVO einen eigenständigen Herausgabeanspruch.

Das OLG positioniert sich wie folgt:

Der Senat folgt der Ansicht, wonach der Auskunftsberechtigte neben dem Anspruch auf Auskunft gemäß Art. 15 Abs. 1 DS-GVO auch ein eigenständiger Anspruch auf Überlassung von Kopien gemäß Art. 15 Abs. 3 DS-GVO zusteht. Es handelt sich bei Abs. 1 und Abs. 3 des Art. 15 DS-GVO um zwei unterschiedliche Ansprüche,…

Zudem erläutert das OLG, dass der Gegenstand dieses Anspruchs sich nicht lediglich auf eine abstrakte Aufzählung der vorhandenen Informationen richte, da dieser bereits in dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO enthalten ist.

Vielmehr hat der Gläubiger einen Anspruch auf Überlassung der Informationen in der Form, wie sie dem Verantwortlichen vorliegen

Das OLG scheint also die Ansicht zu vertreten, dass tatsächlich eine eins zu eins Kopie der Dokumente herauszugeben ist. Wie oben beschrieben, wird dies in Literatur und Rechtsprechung kontrovers diskutiert. Anders sah dies etwa das LAG Baden-Württemberg (Urt. v. 17.3.2021, Az 21 Sa 43/20):

besteht aus Sicht der erkennenden Kammer kein Anspruch der von der Datenverarbeitung betroffenen Person gegen den Verantwortlichen auf den Abdruck/Ausdruck/die elektronische Datei in der Form, in der die entsprechenden Daten der betroffenen Person beim Verantwortlichen verarbeitet worden sind.“

Nach Ansicht des OLG sei aber ein notwendiger Schutz des Schuldners durch die Möglichkeit der Schwärzung nach Art. 15 Abs. 4 DSGVO gewährleistet. Leider geht das OLG dann aber nicht weiter darauf ein, was und wie konkret der Verantwortliche vortragen muss, um sich auf diese Aufnahme berufen zu können. Zum Teil werden in der Rechtsprechung hier ja hohe Anforderungen an die Darlegung und Begründung gestellt.

Kunde trägt falsche E-Mail-Adresse beim Online-Shopping ein – Datenschutzverstoß des Unternehmens?

Im Rahmen des One Stop Shop Verfahrens hat die norwegische Datenschutzbehörde zu einem sehr praxisrelevanten entschieden (pdf, Englisch).

Sachverhalt

Oft kommt es vor, dass Kunden eines Online-Shops aus Versehen eine falsche E-Mail-Adresse im Rahmen des Kaufprozesses eintragen. Oft reicht ja bereits ein falscher Buchstabe oder eine falsche Top Level Domain (.de statt eigentlich .net). Die Folge: Kaufbestätigung, Rechnung etc. gehen an die falsche Adresse und damit die falsche Person (wenn diese E-Mail-Adresse vergeben ist). Genau einen solchen Fall hatte die Datenschutzbehörde zu entscheiden. Der Beschwerdeführer hatte im Bestellprozess seine eigene E-Mail-Adresse falsch eingetragen. Eine andere Person erhielt deshalb die kaufrelevanten Unterlagen. Der Beschwerdeführer ging von einem Verstoß gegen die DSGVO aus, da seiner Ansicht nach das Unternehmen Daten aus zwei Kundenkonten vermischt wurden.

Entscheidung

Die Datenschutzbehörde sah allein durch den Fehlversand von Dokumenten (sicher auch mit personenbezogenen Daten des Beschwerdeführers) an eine andere Person keinen Verstoß gegen die DSGVO.

Das von der Behörde angeschriebene Unternehmen teilte mit, dass es davon ausgeht, dass der Beschwerdeführer versehentlich die falsche E-Mail-Adresse eingegeben hat, als er einen Kauf tätigte. Infolgedessen begann der falsche Kunde, E-Mails zu den Bestellungen des Beschwerdeführers zu erhalten.

Die norwegische Datenschutzbehörde ist der Ansicht, „dass der Fehler für die Registrierung der falschen E-Mail-Adresse beim Beschwerdeführer liegt“. Daher kam die Behörde zu dem Schluss, dass das Unternehmen über angemessene Verfahren und Maßnahmen verfügt um sicherzustellen, dass personenbezogene Daten korrekt aufgenommen werden.

Spannend wäre hier natürlich noch die Frage gewesen, ob auch bei einer normalen Onlinebestellung eine Art Double Opt in Verfahren umzusetzen wäre. Meines Erachtens ist dies nicht zwingend allein wegen Art. 32 DSGVO oder Art. 25 DSGVO erforderlich. Diskutieren mag man diese Option aber sicher.

Aber Achtung: einen DSGVO-Verstoß des Unternehmens gab es dann doch. Der Beschwerdeführer kontaktierte das Unternehmen und forderte eine Berichtigung seiner Daten. Das Unternehmen reagierte auf diese Betroffenenanfrage nach Art. 16 DSGVO (Berichtigung) jedoch zu langsam. Im konkreten Fall dauerte es mehr als 6 Monate, die E-Mail-Adresse zu korrigieren. Die norwegische Datenschutzbehörde ist der Ansicht, dass dies einen Verstoß gegen Art. 12 Abs. 3 DSGVO darstellt. Danach muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats reagieren. Das Unternehmen gelobte diesbezüglich Besserung und die Schaffung eines verbesserten Prozesses zur Berichtigung von Daten.

OVG Berlin-Brandenburg: Social Media Auftritt einer Behörde mit Kommentarfunktion ist nicht mitbestimmungspflichtig (Abweichung von BAG Ansicht)

Das OVG Berlin-Brandenburg hat am 4.8.2021 (Az. 62 PV 5.20) einen auch für die Privatwirtschaft relevanten Beschluss zu der Frage gefasst, ob Behördenauftritte auf Social Media Plattformen, wie Facebook oder Twitter, die eine Kommentarfunktion enthalten, als technischen Einrichtungen, die  zur Überwachung des Verhaltens oder der Leistung der Beschäftigten in der Dienststelle bestimmt sind, gelten. Das OVG lehnt diese Einordnung mit umfassender Begründung und ausdrücklich unter Abweichung von der Entscheidung des BAG vom 13.12.2016 (Az. 1 ABR 7/15) ab. Zwar urteilt das Gericht hier auf der Grundlage des § 80 Abs. 1 Nr. 21 BPersVG; diese Vorschrift stimmt im Wortlaut aber praktisch mit § 87 Abs. 1 Nr. 6 BetrVG (für die Mitbestimmung des Betriebsrates) überein.

Sachverhalt

In dem Verfahren ging es u.a. um die Facebook-Seite @DeutscheRentenversicherungBund und den Instagram-Kanal @drvbunt. Der Antragsteller (wohl der Personalrat) forderte den wegen des Facebook-Auftritts zur Einleitung eines Mitbestimmungsverfahrens gemäß § 75 Abs. 3 Nr. 17 BPersVG unter Hinweis auf den Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) auf.

Danach hat der Antragsteller einen Antrag beim Verwaltungsgericht Berlin anhängig gemacht, der darauf zielt festzustellen, dass der Antragsteller aus Anlass der Kommentarfunktion auf der bzw. dem vom Beteiligten betriebenen 1. Facebook-Seite, 2. lnstagram-Kanal „drvbunt“, 3. Twitter-Kanal @die_rente und 4. eine weitere Facebook-Seite jeweils nach § 75 Abs. 3 Nr. 17 BPersVG zu beteiligen ist.

Das Verwaltungsgericht hat dem Antrag stattgegeben (Az. VG 72 K 7.19 PVB) und sich in der Begründung dem Beschluss des BAG angeschlossen. Es meint, Nutzerkommentare könnten abhängig von ihrem Inhalt dazu geeignet sein, zur Überwachung von Leistung bzw. Verhalten der Beschäftigten beizutragen. Das reiche zur Mitbestimmungspflicht aus. Hiergegen wendet sich der Beteiligte mit seiner Beschwerde.

Entscheidung

Das OVG lehnt, anders als noch das VG, den Feststellungantrag des Antragstellers als unbegründet ab.

Nach Auffassung des OVG sind die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien

auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig“.

Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist nach Ansicht des OVG eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen.

Besonderes Augenmerk legt das OVG auf die „objektive Eignung zur Überwachung“. Dies unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter den Mitbestimmungstatbestand fallen.

Das OVG macht deutlich:

Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig.“

Das Mitbestimmungsrecht des Personalrats soll sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Daher, so das OVG, ist auch ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich.

Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen“.

Für den Mitbestimmungstatbestand ist spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolge. Das BVerwG habe die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten.

Entscheidend stellt das OVG auf eine selbständige Leistung der technischen Einrichtung ab. Diese kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reiche auch aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird.

Aber: „Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung“.

Die selbständige Leistung zur Überwachung ist nach Ansicht des OVG nicht schon darin zu sehen, dass Daten gespeichert werden. Nach diesen Maßstäben seien die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt.

Der Grund: Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor.

Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte“.

Das OVG lässt zudem eine Auswertungsmöglichkeit durch Dritte außer Betracht. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste seien für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich.

Das OVG macht deutlich, dass es mit seiner Begründung vom Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) abweicht. Das BAG hielt es für ausreichend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Zwar traf das BAG traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimme aber im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Zudem seien nach der Rechtsprechung des BVerwG beide Vorschriften im Wesentlichen gleich auszulegen.

Nach Ansicht des OVG wich angesichts dessen das BAG im Jahr 2016 von der vorhergehenden Rechtsprechung des BVerwG dadurch ab, „dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte“.

Das OVG verweist, als Grund für seine Abweichung, darauf, dass das BAG in seiner Entscheidung ein neuen Merkmal bzw. einen neuen Schutzgegenstand in die Auslegung des Mitbestimmungstatbestands einführt: die Prangerwirkung öffentlich zugänglicher Beschwerden / Kommentare über Beschäftigte.

Diese Aspekt, so das OVG, findet sich so in der Rechtsprechung des BVerwG noch nicht. Bislang war von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind.

Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern“.

Fazit

Das OVG ist ersichtlich um eine Eingrenzung des Mitbestimmungstatbestandes bemüht, der nach seiner Ansicht ansonsten das Potential hat, praktisch bei jeglicher Technologie anwendbar zu sein. Aufgrund der im Wesentlichen gleichen Auslegung des hier relevanten § 80 Abs. 1 Nr. 21 BPersVG mit § 87 Abs. 1 Nr. 6 BetrVG, dürfte die Begründung zudem für privatwirtschaftliche Unternehmen und eine mögliche Beteiligung des Betriebsrates relevant sein.