Schlagwort: Transparenz
26. Juni 2023
Im Mai 2023 verabschiedete die Europäische Union die Richtlinie (EU) 2023/970 zur Verbesserung der Lohntransparenz. Diese Richtlinie tritt im Juni in Kraft und legt fest, dass die Mitgliedstaaten bis zum 7. Juni 2026 die Lohntransparenz-Richtlinie umsetzen müssen. Das Hauptziel dieser Richtlinie ist es, geschlechtsspezifische Diskriminierung bei der Gehaltszahlung aufzudecken und dagegen vorzugehen. Die Richtlinie strebt ausdrücklich danach, den Grundsatz des gleichen Entgelts für Männer und Frauen bei gleicher oder gleichwertiger Arbeit durch die Förderung von Entgelttransparenz und Durchsetzungsmechanismen zu stärken.
Der Anwendungsbereich der Richtlinie
Gemäß Artikel 2 Absatz 1 gilt sie für alle Arbeitgeber sowohl im öffentlichen als auch im privaten Sektor. Dies bedeutet, dass sie nicht nur für Privatunternehmen, sondern auch für Behörden, Gerichte und Kirchen gilt. Zusätzlich können auch andere Personengruppen, sofern sie bestimmte Kriterien erfüllen, unter den Geltungsbereich dieser Richtlinie fallen. Zu diesen Gruppen gehören beispielsweise Hausangestellte, Arbeitnehmer in geschützten Beschäftigungsverhältnissen, Auszubildende oder Praktikanten (siehe Erwägungsgrund 18).
Fragen zum bisherigen Gehalt nicht erlaubt
Die Richtlinie erfasst auch “Stellenbewerber” gemäß Erwägungsgrund 19 und Artikel 2 Absatz 3 und legt Arbeitgebern ausdrücklich Beschränkungen bei der Datenverarbeitung auf. Artikel 5 der Richtlinie, der sich mit “Entgelttransparenz vor der Beschäftigung” befasst, verbietet es Arbeitgebern, Informationen über das aktuelle Gehalt oder die bisherige Gehaltsentwicklung eines Stellenbewerbers einzuholen. Zusätzlich ergibt sich aus Erwägungsgrund 33, dass sie nicht proaktiv versuchen dürfen, Informationen aus anderen Quellen zu erhalten.
Dies hat Auswirkungen auf den Bewerbungsprozess. Während es bereits datenschutzrechtlich problematisch war, nach dem bisherigen Gehalt zu fragen, wird nun deutlich, dass der europäische Gesetzgeber davon ausgeht, dass es keine Rechtsgrundlage für eine entsprechende Frage oder einen Anruf beim früheren Arbeitgeber gibt. Da nationale arbeitsrechtliche Vorschriften die Datenschutz-Grundverordnung (DSGVO) nur konkretisieren dürfen, kann der nationale Gesetzgeber bei der Umsetzung davon nicht abweichen.
Das Auskunftsrecht der Beschäftigten
Gemäß Artikel 7 („Auskunftsrecht“) haben Beschäftigte das Recht, Informationen über ihr individuelles Gehalt sowie über die durchschnittlichen Gehälter zu verlangen und schriftlich zu erhalten. Diese Informationen müssen nach Geschlecht und für Gruppen von Arbeitnehmern, die die gleiche oder gleichwertige Arbeit wie die anfragende Person verrichten, aufgeschlüsselt werden. Diese Auskünfte können auch über die Arbeitnehmervertretungen angefordert werden.
Es ist wichtig zu beachten, dass es sich dabei um personenbezogene oder personenbeziehbare Daten handeln kann, die datenschutzrechtlich zu betrachten sind. Obwohl der Name nicht angegeben werden darf, besteht dennoch die Möglichkeit, dass bei einer relativ kleinen Vergleichsgruppe, die zusätzlich nach dem Merkmal “Geschlecht” gekennzeichnet ist, Rückschlüsse auf einzelne Personen und deren Gehalt gezogen werden können.
Datenübermittlung an die nationalen Behörden
Gemäß Artikel 9 der Richtlinie sind Arbeitgeber verpflichtet, auf Anfrage Informationen über das Geschlechtergefälle beim Entgelt an die Beschäftigten und an eine nationale Arbeitsaufsichtsbehörde bereitzustellen. Diese Informationen beziehen sich auf Daten zum geschlechtsspezifischen Entgeltgefälle sowie auf variable Bestandteile der Vergütung wie Boni. Die Berichterstattungsfrequenz hängt von der Anzahl der Beschäftigten ab. Zum Beispiel müssen Arbeitgeber mit 150 bis 249 Mitarbeitenden erstmals bis zum 7. Juni 2027 entsprechende Informationen vorlegen und anschließend alle drei Jahre (siehe Artikel 9 Absatz 3).
Neben der Arbeitsaufsichtsbehörde müssen geschlechtsspezifische Entgeltfälle nach Arbeitnehmergruppen, Grundlohn und variablen Bestandteilen auch an eine noch zu schaffende Überwachungsstelle gemäß Artikel 29 der Richtlinie übermittelt werden. Diese Überwachungsstelle soll die Informationen unverzüglich und in einer einfach zugänglichen und benutzerfreundlichen Form veröffentlichen (siehe Artikel 29 Absatz 3c). Wenn in diesen Informationen auch personenbezogene Daten enthalten sind, bildet dieser Artikel die Rechtsgrundlage für die Übermittlung an die Behörden.
Arbeitnehmervertretungen
Zusätzlich sieht Artikel 10 („Gemeinsame Entgeltbewertung“) vor, dass der Arbeitgeber in Zusammenarbeit mit Arbeitnehmervertretungen wie Betriebs- oder Personalräten eine Bewertung des Entgelts durchführt, wenn konkrete Hinweise auf geschlechterdiskriminierende Bezahlung vorliegen, und entsprechende Gegenmaßnahmen ergreift. Dies bedeutet, dass der Arbeitgeber das Recht und die Pflicht hat, den Arbeitnehmervertretungen relevante Daten zur Verfügung zu stellen.
Beschränktes Auskunftsrecht möglich
Gemäß Artikel 12 („Datenschutz“) der Richtlinie gibt es eine Einschränkung des Auskunftsrechts aufgrund der DSGVO. Gemäß Artikel 12 dürfen die personenbezogenen Daten, einschließlich Pseudonymen, die in den Datensätzen enthalten sind, nicht für andere Zwecke verwendet werden.
Eine wichtige Einschränkung für den Anspruch eines einzelnen Arbeitnehmers gemäß Artikel 7 ergibt sich aus Artikel 12. In der nationalen Umsetzung können die Mitgliedstaaten beschließen, dass “nur die Arbeitnehmervertreter, die Arbeitsaufsichtsbehörde oder die Gleichbehandlungsstelle Zugang zu den betreffenden Informationen haben”, falls die Offenlegung von Informationen zur direkten oder indirekten Offenlegung des Gehalts eines identifizierbaren Arbeitnehmers führen würde. Wenn dies entsprechend in Deutschland umgesetzt wird, kann die entsprechende Auskunft gegenüber dem einzelnen Beschäftigten verweigert werden. Nur Arbeitnehmervertretungen hätten Zugang zu den Daten, um gemeinsam mit dem Arbeitgeber gemäß Artikel 10 eine Bewertung des Entgelts vorzunehmen.
3. November 2022
Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).
Unzureichende Informationen
Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.
Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.
Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.
Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.
Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.
Unzureichende Sicherheitsmaßnahmen
Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.
Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.
Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.
Fazit
Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.
21. Januar 2019
Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) betreffen.
Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.
Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.
Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht (§ 3 IFG) und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.
1. Februar 2018
Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) legt größten Wert auf die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten. So sollen zum Zeitpunkt der Erhebung verpflichtend eine Reihe an Angaben gemacht werden, welche die betroffenen Personen über die Datenverarbeitung und deren Zwecke in Kenntnis setzen.
Art. 13 DSGVO verlangt dabei mindestens die folgenden (sage und schreibe) 12 Aussagen:
- Name und Kontaktdaten des Datenverarbeiters
- Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters
- Zweck(e) der Verarbeitung
- Die “berechtigten Interessen” im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird
- Die Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle)
- Die Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln, sofern diese besteht
- Die Dauer der Speicherung, im Umkehrschluss auch den regelmäßigen Löschzeitpunkt
- Eine Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.)
- Die Widerruflichkeit einer Einwilligung, sofern die Verarbeitung auf einer solchen basiert
- Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Ggf. bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten
- Ggf. Informationen zum Bestehen einer “automatisierten Einzelentscheidung” im Kontext der jew. Verarbeitung
Angesichts der Fülle an bereitzustellenden Informationen stellt sich die Frage, wie dies im Anwendungsfall der Videoüberwachung umgesetzt werden kann. Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind.
Kürzlich hat sich die sogenannte “Datenschutzkonferenz”, ein Gremium der 16 Landesdatenschutz-Aufsichtsbehörden und des Pendants auf Bundesebene, in Form eines Informationspapiers (“Videoüberwachung nach der Datenschutz-Grundverordnung”) zu dieser Thematik geäußert. Auf dieser Grundlage kann im Kontext des Sonderfalls Videoüberwachung künftig von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:
- Kenntlichungmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
- Identität des Überwachenden
- Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
- Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
- Die “berechtigten Interessen” im Sinne der DSGVO, sofern einschlägig
- Dauer der Speicherung (Löschzeitpunkt)
- Hinweis auf den Zugang zu den weiteren Pflichtinformationen
Folglich ist es möglich, auf Teile der verlangten Pflichtinformationen an Ort und Stelle zu verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) zu verweisen.
Spätestens seit der Stellungnahme der Aufsichtsbehörden aber ist klar, dass es für die Datenerhebung mithilfe von Videokameras keine Ausnahme hinsichtlich der umfangreichen Informationspflichten geben wird.
