Kategorie: Beschäftigtendatenschutz

EuGH: Urteil zu Gesundheitsdatenschutz

8. Januar 2024

Kurz vor Weihnachten hat der Europäische Gerichtshof (EuGH) in einem Urteil Stellung zum Gesundheitsdatenschutz bezogen. Zuvor hatte er bereits wegweisende Entscheidungen zum Schufa-Scoring und den Verschuldensanforderungen bei der Bußgelderteilung erlassen. Mit Urteil vom 21.12.2023 (C-667/21) hat der EuGH sich nun mit dem Gesundheitsdatenschutz im Arbeitsverhältnis auseinandergesetzt. (mehr …)

LAG: Bei verspäteter Auskunft kein Schadensersatz

14. Dezember 2023

Eine aktuelle Entscheidung des Landesarbeitsgerichts Düsseldorf (LAG) erregt Aufsehen. Das LAG hat am 28.11.2023 nämlich entschieden, dass im konkreten Fall kein Anspruch auf immateriellen Schadensersatz bei verspäteter Auskunft nach Art. 15 der Datenschutzgrundverordnung (DSGVO) bestand. Ob es sich hierbei um eine ordnungsgemäße Anwendung von europäischem Recht handelt, ist fraglich. (mehr …)

Digital-Gipfel 2023: KI-Regulierung

22. November 2023

Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.

Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa

Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.

Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.

Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.

Kritik an der Richtung der Bundesregierung

Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.

Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.

DGB fordert Mitbestimmung beim KI-Einsatz

Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.

Fazit

Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.

Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.

Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.

Verantwortlichkeit nach Art. 33 und 34 DSGVO: Klärung durch die österreichische Datenschutzbehörde

23. August 2023

Ein aktueller Bescheid der österreichischen Datenschutzbehörde wirft Licht auf eine interessante Fragestellung: Sind Verantwortliche, insbesondere Arbeitgeber, dazu verpflichtet, bei unberechtigter Datenverarbeitung durch Mitarbeiter sowohl die Meldung nach Art. 33 als auch die Benachrichtigung nach Art. 34 DSGVO durchzuführen?

Der Fall und die Fragestellung

Der Bescheid der österreichischen Datenschutzbehörde vom 1. Januar 2023 betraf einen Vorfall, bei dem Gesundheitsdaten einer betroffenen Person durch eine Mitarbeiterin des Verantwortlichen in einem Social-Media-Beitrag veröffentlicht wurden. Die Mitarbeiterin, die sich in einem Ausbildungsverhältnis zur Verantwortlichen befand, hatte unberechtigt auf elektronisch vorhandene Patientendaten zugegriffen und den Krankheitsverlauf der betroffenen Person auf einer Plattform veröffentlicht. Die Verantwortliche meldete den Vorfall vorsorglich nach Art. 33 DSGVO, da sie Zweifel an ihrer eigenen Verantwortlichkeit und somit an der Meldepflicht hatte.

Die zentrale Fragestellung des Falls war, ob der Verantwortliche, in diesem Fall der Arbeitgeber, den Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterliegt, wenn ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Der Verantwortliche argumentierte, dass er für den unberechtigten Zugriff der Mitarbeiterin nicht datenschutzrechtlich verantwortlich sei und daher keine Meldepflicht bestehe. Die Datenschutzbehörde hatte hier eine andere Auffassung.

Die Entscheidung der Datenschutzbehörde

Die Datenschutzbehörde entschied, dass der Verantwortliche sehr wohl der Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unberechtigte Datenverarbeitung durch einen Mitarbeiter stattfindet. Die Behörde unterschied zwischen den Verantwortlichkeiten auf zwei Ebenen:

  1. Arbeitgeber (Verantwortlicher): Verpflichtung zur Implementierung angemessener technischer und organisatorischer Maßnahmen, um unberechtigte Datenverarbeitungen zu verhindern.
  2. Mitarbeiterin (als eigene Verantwortliche): Unberechtigter Zugriff und Veröffentlichung von Patientendaten.

Die Behörde stellte klar, dass die Meldepflicht gemäß Art. 33 Abs. 1 DSGVO ausdrücklich an den jeweiligen Verantwortlichen gerichtet ist. Obwohl die Behörde anerkannte, dass in Einzelfällen eine eigenständige datenschutzrechtliche Verantwortlichkeit der Mitarbeiterin abgeleitet werden kann, war der Gegenstand des Verfahrens nicht die Verantwortlichkeit der Mitarbeiterin, sondern die Melde- und Benachrichtigungsverpflichtungen des Verantwortlichen.

Die Datenschutzbehörde stützte ihre Ansicht auch auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses (EDSA) zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”. Diese Leitlinien betonen, dass die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen, auch wenn ein Mitarbeiter seine Befugnisse in Bezug auf die Datenverarbeitung überschreitet.

Die Behörde verwies auch auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts, in der betont wurde, dass die dahinterstehende Organisation (Behörde) weiterhin für die Verarbeitungsweise durch ihre Mitarbeiter verantwortlich bleibt, auch bei sorgfaltswidriger Verwendung oder überschießender Akteneinsicht.

Fazit: Verantwortliche tragen Verantwortung

Der Bescheid der österreichischen Datenschutzbehörde verdeutlicht, dass Verantwortliche auch bei unberechtigter Datenverarbeitung durch Mitarbeiter gemäß Art. 33 und 34 DSGVO verpflichtet sind, sowohl eine Meldung als auch eine Benachrichtigung durchzuführen. Die klare Trennung zwischen den Verantwortlichkeiten von Arbeitgebern und Mitarbeitern sorgt für Klarheit in einer komplexen rechtlichen Landschaft. Dieser Bescheid unterstreicht die Bedeutung, dass Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und Datenschutzverletzungen zu minimieren. In Zeiten steigender Datenschutzanforderungen ist es unerlässlich, dass Verantwortliche ihre Pflichten ernst nehmen und für Transparenz und Sicherheit in der Datenverarbeitung sorgen.

EuGH entscheidet über Auskunftsanspruch

3. Juli 2023

Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.

Sachverhalt

Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.

Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.

Weiter Umfang des Art. 15 DSGVO

Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.

Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.

Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.

Einschränkungen

Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.

Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.

Fazit

Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.

EuGH: Vereinbarkeit von Datenschutzbeauftragterrolle und Betriebsratsvorsitz

9. Juni 2023

Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.

Der Fall

Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.

X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.

Die Vorlagefragen an den EuGH:

Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.

Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.

Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.

Entscheidung des EuGH

Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.

Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.

Fazit

Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.

Neue Regelungen zum Beschäftigtendatenschutz

25. April 2023

Zurzeit planen das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) neue Reglementierungen für den Beschäftigtendatenschutz. Dies geht aus einer Liste mit Vorschlägen für einen Gesetzesentwurf des Beschäftigtendatenschutzes hervor, über die verschiedene Nachrichtenportale (hier oder hier nachzulesen) berichtet haben.

Besserer Schutz vor Überwachung

Mit dem geplanten Gesetzesvorhaben beabsichtigten das BMI und BMAS einen besseren Schutz von Beschäftigten vor Überwachungsmaßnahmen des Arbeitgebers. Ein Ziel sei u.a. verdeckte Überwachungsmaßnahmen besser zu reglementieren. Derzeit kann beispielsweise die verdeckte Videoüberwachung nur ausnahmsweise, unter strengen Voraussetzungen eingesetzt werden. Möchte ein Arbeitgeber die verdeckte Videoüberwachung beispielsweise zur Aufklärung von Straftaten einsetzen, darf kein Mittel zur Verfügung stehen, dass die Persönlichkeitsrechte der Beschäftigten weniger intensiv tangiert. Zur Regulierung der verdeckten Überwachungsmaßnahmen, sehen BMI und BMAS nun konkrete Maßnahmen vor. Dabei solle die Überwachung nur möglich sein, wenn der eindeutige Verdacht einer Straftat vorliege und andere Abhilfemaßnahmen bereits ausgeschöpft worden seien.

Außerdem beabsichtigen die Ministerien neue Regelungen für die offene Videoüberwachung. Demnach solle die gesetzliche Neuregelung die Privatsphäre von Beschäftigten besser schützen. Eine offene Überwachung am Arbeitsplatz müsse strengen Grenzen unterfallen. Beschäftigte benötigten Räume, in denen keine Kameraüberwachung erlaubt sei. Auch die Zeiten, zu denen eine Überwachung erfolge solle eingeschränkt werden. Derzeit ist vor allem die Kameraüberwachung bestimmter Räume als unzulässig anzusehen. Dazu zählen Umkleiden, sowie Pausenräume und Toiletten.

Darüber hinaus planten das BMI und BMAS die Konkretisierung des Einwilligungserfordernis im Beschäftigtenverhältnis. Derzeit kann die Kameraüberwachung auf Grundlage einer Einwilligung nach § 26 Abs. 2 S. 1 BDSG erfolgen. Der Gesetzentwurf solle die Anforderungen der Freiwilligkeit, die Voraussetzung einer wirksamen Einwilligung sei, konkretisieren.

Zusätzlich plane das BMI und BMAS eine Regelung zu Fragestellung, die im Rahmen eines Bewerbungsgespräch zulässig seien. Im Hinblick auf Fragen, die ein Bewerber beantworten muss, kann es grundsätzlich zur Verarbeitung personenbezogener Daten besonderer Kategorie iSd Art. 9 DSGVO kommen.

Fazit

Es bleibt abzuwarten, welche konkreten Vorschläge der geplante Gesetzentwurf enthalten wird. Zurzeit bleibt es denkbar, dass der Gesetzesentwurf zugleich die Bedenken, die der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 30.03.2023 (Az. C-23/21)  aufbrachte, behandelt oder zumindest im Ansatz berührt (wir berichteten).

Aus für § 26 BDSG?

11. April 2023

Der Gerichtshof der Europäischen Union (EuGH) entschied (Rs. C-34/21) vor rund 2 Wochen, dass der § 23 Abs. 1 S. 1 HDSIG nicht die Anforderungen einer spezifischeren Vorschrift iSd Art. 88 DSGVO erfülle. Die Entscheidung über diese landesrechtliche Norm wirft für die Anwendung des gleichlautenden § 26 Abs. 1 S. 1 BDSG einige Fragen auf.

Hintergründe

Grundlage des Verfahrens vor dem EuGH war eine Klage des Hauptpersonalrates der Lehrerinnen und Lehrer beim Hessischen Kultusministerium beim Verwaltungsgericht Wiesbaden. Dabei war fraglich, ob im Rahmen des Unterrichtes per Videokonferenz eine Einwilligung der Lehrkräfte erforderlich sei. Zwecks Unterricht per Videokonferenz habe das Hessische Kultusministerium für die erfolgende Datenverarbeitung die Einwilligung aller betroffenen Schülerinnen und Schülern eingeholt. Für die betroffenen Lehrkräfte habe das Einwilligungserfordernis nicht gegolten. Stattdessen sei die Verarbeitung ihrer personenbezogenen Daten auf Grundlage des § 23 HDSIG erfolgt.

Was ist eine “Spezifischere Norm”?

Im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH stand nun in Frage, welche Voraussetzungen eine spezifischere Vorschrift iSd Art. 88 DSGVO erfüllen müsse.

Art. 88 DSGVO enthält eine sog. Öffnungsklausel. Die DSGVO erlaubt den Mitgliedstaaten der europäischen Union demnach eine nationale Vorschrift zu erlassen, die der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dient. § 23 HDSIG und § 26 BDSG sollen eine solche nationale, spezifische Regelung sein.

Aus Sicht des Gerichtshof sei bei der Umsetzung der Öffnungsklausel in nationales Recht Art. 88 Abs. 2 DSGVO zu beachten. Demnach setzte die DSGVO der nationalen Norm eine Grenze. Sie müsse geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Außerdem sei es erforderlich, dass der Regelungsgehalt der nationalen Norm auf „(…) den Schutz der Rechte und Freiheiten von Beschäftigten bei der Verarbeitung ihrer personenbezogene Daten im Beschäftigtenkontext abziele (…)“ (EuGH, Urteil vom 30.03.2023, C-23/21, Rn. 65).

Zusätzlich könne die spezifischere Norm nicht lediglich die Vorgaben der DSGVO wiederholen. Sie müsse eine Regelung aufstellen, die eine Konkretisierung im vorgesehenen Bereich darstelle.

Anwendbarkeit des § 23 HDSIG

Darüber hinaus war es fraglich, welcher Folge eintrete, wenn eine nationale Norm die Anforderungen der DSGVO nicht erfülle. Aus Sicht des Gerichtshof sei dies insbesondere im Hinblick auf § 23 HDSIG fraglich. Dieser setzte voraus, dass ein Verantwortlicher personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses verarbeite. Dies entspräche der Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO.

Demnach sei eine Norm, die die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht erfülle nicht anzuwenden. Alternativ könne die nationale Norm lediglich eine Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO darstellen. Ob dies der Fall ist, prüfte der EuGH nicht.

Fazit

Nach der Entscheidung des EuGH muss nun das VG Wiesbaden die Vorgaben des EuGH umsetzen. Für die Entscheidung ist § 26 Abs. 1 S. 1 BDSG grundsätzlich nicht relevant. Ob die Rechtsmäßigkeit dieser Norm künftig aber tangiert wird, bleibt abzuwarten.

Verspätete Auskunft rechtfertigt Anspruch auf Schadensersatz

24. März 2023

Das Arbeitsgericht Oldenburg hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter immateriellen Schadensersatz in Höhe von 10.000 Euro zu zahlen, weil es einem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO nicht nachgekommen sei (Urteil vom 09.02.2023, Az. 3 Ca 150/21). Der Fall zeigt, dass die Datenschutz-Grundverordnung (DSGVO) auch im Bereich der Arbeitsverhältnisse ein wichtiger Faktor ist.

Sachverhalt

In einem Arbeitsrechtsstreit forderte ein ehemaliger Geschäftsführer und Vertriebsleiter einer Firma für Feuerwerkskörper von seiner ehemaligen Arbeitgeberin Auskunft über seine personenbezogenen Daten. Die Arbeitgeberin verweigerte jedoch die Auskunftserteilung und legte erst im Prozess einzelne Unterlagen vor. Der Kläger machte neben dem Auskunftsersuchen auch einen Anspruch auf immateriellen Schadensersatz geltend.

Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO

Bis heute ist die Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO umstritten. Dabei stellt sich immer wieder die Frage, wie präzise die erteilten Auskünfte sein müssen.

Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Unternehmen oder einer Organisation Auskunft darüber zu erhalten, ob personenbezogene Daten von ihnen verarbeitet werden und wenn ja, welche Daten dies sind. Der Auskunftsanspruch gemäß Art. 15 DSGVO ist ein wichtiges Instrument, das es den Betroffenen ermöglicht, mehr Kontrolle über ihre personenbezogenen Daten zu erlangen und sicherzustellen, dass diese ordnungsgemäß verarbeitet werden. Die Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO ist weitreichend und umfasst sowohl die Daten, die von dem Unternehmen oder der Organisation verarbeitet werden, als auch eine Reihe von anderen Informationen. Insbesondere hat die betroffene Person das Recht, Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, sowie die voraussichtliche Dauer, für die die personenbezogenen Daten gespeichert werden, zu erhalten.

Darüber hinaus hat die betroffene Person das Recht, eine Kopie der personenbezogenen Daten, die verarbeitet werden, zu erhalten. Diese Kopie muss in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Wenn die betroffene Person dies wünscht, kann sie auch verlangen, dass die personenbezogenen Daten direkt an einen anderen Verantwortlichen übermittelt werden.

Es ist wichtig zu beachten, dass das Recht auf Auskunft nicht uneingeschränkt ist. In bestimmten Situationen kann es gerechtfertigt sein, den Auskunftsanspruch gemäß Art. 15 DSGVO einzuschränken oder auszusetzen. Beispielsweise kann dies der Fall sein, wenn die Verarbeitung personenbezogener Daten die öffentliche Sicherheit gefährdet oder das Recht auf Meinungsfreiheit und Informationsfreiheit anderer Personen beeinträchtigt.

Die Beklagte hat das Auskunftsersuchen des Klägers zurückgewiesen, da sie der Meinung war, dass der Anspruch nicht bestehe. Das Arbeitsgericht Oldenburg entschied jedoch, dass die Beklagte verpflichtet gewesen sei, das Auskunftsbegehren zu erfüllen. Der Kläger hätte das Recht auf Auskunft über sämtliche seiner bei der Beklagten verarbeiteten personenbezogenen Daten sowie zu den sich aus Artikel 15 Abs. 1 Hs. 2, Abs. 2 DSGVO ergebenden Informationen. Das Gericht ging jedoch nicht auf die Frage ein, ob der Verantwortliche auch Auskunft über Informationen erteilen müsse, die dem Betroffenen bereits bekannt sind.

Art. 82 Abs. 1 DSGVO mit präventivem Charakter

Artikel 82 DSGVO regelt das Recht auf Schadensersatz bei Verstößen gegen die DSGVO. Dieser Artikel stellt sicher, dass Betroffene bei Verletzung ihrer Datenschutzrechte einen Anspruch auf finanziellen Ausgleich haben.

Wenn ein Verantwortlicher oder ein Auftragsverarbeiter gegen die DSGVO verstößt, kann dies zu einem Schaden für den Betroffenen führen. In diesem Fall kann der Betroffene gemäß Artikel 82 DSGVO eine angemessene Entschädigung verlangen, die den erlittenen materiellen oder immateriellen Schaden ausgleicht. Dabei müssen die Umstände des Einzelfalls berücksichtigt werden, einschließlich der Art, Schwere und Dauer des Verstoßes sowie des Umfangs des erlittenen Schadens.

Das Arbeitsgericht stellte fest, dass die Beklagte gegen ihre Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO verstoßen habe, indem sie das Auskunftsbegehren des Klägers nicht innerhalb eines Monats erfüllte. Die Nichterfüllung der DSGVO-Verpflichtungen führe bereits zu einem auszugleichenden immateriellen Schaden, weshalb der Kläger nicht weiter spezifizieren müsse, welcher Schaden ihm entstanden sei. Der präventive Charakter des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO solle dazu beitragen, die Einhaltung der Datenschutzbestimmungen sicherzustellen.

„Das Bundesarbeitsgericht hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung vom 05.05.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Klägerin unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme (BAG, Urt. v. 05.05.2022 – 2 AZR 363/21 Rn. 23).“

So hielt das ArbG in diesem Fall einen Schadensersatz von 10.000 Euro für gerechtfertigt. Anders als das Bundesarbeitsgericht (BAG), das im dortigen Fall einen Schadensersatz von 1.000 Euro für ausreichend hielt, sah das ArbG hier aufgrund des höheren Auskunftsinteresses des Klägers und des langen Zeitraums der Nichterfüllung der Auskunftspflicht einen höheren Schadensersatz als gerechtfertigt an.

Fazit

Unternehmen sollten sicherstellen, dass sie über angemessene Mechanismen verfügen, um Anfragen von Mitarbeitern nach Art. 15 DSGVO zu erfüllen, und sicherstellen, dass sie innerhalb der gesetzlich vorgeschriebenen Frist antworten.