Kategorie: Beschäftigtendatenschutz
28. Februar 2021
Nach einer großangelegten Umfrage durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse bei Thüringer Unternehmen sowie einer anschließenden Frageaktion der Kammern, ist in Kooperation mit den IHKs und HWKs ein umfangreicher FAQ– Katalog für Unternehmen fertiggestellt worden.
Die FAQs enthalten Antworten auf viele Fragestellungen, die dem TLfDI nach Auswertung der Unternehmensumfrage relevant erschienen. Darüber hinaus wurden auch Problemstellungen berücksichtigt, die von den Kammern an den TLfDI herangetragen wurden. Die FAQs sollen nun der Information und Unterstützung der Unternehmen bei Fragen zum Datenschutz dienen.
Inhaltlich werden viele Themen des Datenschutzes abgedeckt. So bietet der Katalog beispielsweise Antworten bei der Benennung des betrieblichen Datenschutzbeauftragten (bDSB), bei den rechtlichen Grundlagen für die Datenverarbeitung, den Beschäftigtendatenschutz, Werbung, technische und organisatorische Anforderungen, Auftragsverarbeitung und vieles mehr.
12. Januar 2021
Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.
Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente
Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.
Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.
Besondere Schwere des Grundrechtseingriffs betont
Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.
notebooksbilliger.de kündigt Einspruch an
Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.
11. Januar 2021
Die Überwachung von Angestellten ist für manche Arbeitgeber nicht nur per Videoüberwachung eine Option (wir berichteten), sondern auch direkt am Arbeitsrechner. Aufgrund der Zunahme der Home-Office-Tätigkeit weltweit, haben sich manche Arbeitgeber, getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“, auch intensiver mit dem Thema auseinandergesetzt, als zuvor.
Dabei ist aber zu beachten, dass – genau wie bei einer Videoüberwachung – eine anlasslose Überwachung ohne konkrete Verdachtsmomente rechtlich nicht zulässig ist. Der Vorgesetzte darf solche Kontrollen nur einführen, wenn er einen konkreten Verdacht auf ein pflichtwidriges oder strafbares Handeln zu seinen Lasten hegt.
Eine Überwachung am Arbeitsplatz ist technisch unkompliziert über Logfiles möglich, wenn der Angestellte einen Laptop vom Arbeitgeber erhält oder die gesamte Arbeitsumgebung auf einem Terminalserver des Arbeitgebers liegt.
Daneben gibt es die Option, dass auch eine Überwachung der Arbeitsweise und -Intensität der Angestellten direkt durch das genutzte Programm möglich ist. Beispielsweise bieten die Microsoft Office-Programme die Möglichkeit an, eine Produktivitätsbewertung vorzunehmen. Damit ist es möglich Daten darüber zu sammeln, wie viele Dateien der Angestellte aufruft, mit Kollegen teilt oder als Anhang verschickt. Gesammelt werden Kennzahlen wie: Kommunikation, Besprechungen, Zusammenarbeit an Inhalten, Teamarbeit, Mobilität, Endpunktanalyse, Netzwerkverbindungen und Microsoft 365 Apps-Integrität.
Microsoft weist darauf hin, dass die Informationen nur zur Weiterentwicklung der digitalen Transformationen mit Microsoft 365 vorgesehen sind. Allerdings können besonders neugierige Arbeitgeber anhand dieser Daten eine Produktivitätsbewertung auslesen und mit anderen Mitarbeitern vergleichen.
Diese Produktivitätsbewertung ist standardmäßig deaktiviert. Arbeitgeber sollten sich auch gut überlegen, ob sie diese Option aktivieren möchten. Denn wenn Angestellte mitbekommen, dass sie untereinander verglichen werden, führt das zu einer größeren Stressbelastung und kann letztlich die Produktivität verringern.
Eine solche systematische personenbezogene Überwachung darf außerdem rechtlich nicht ohne Einwilligung des Mitarbeiters erfolgen. Eine Ausnahme stellt der oben erwähnte konkrete Verdachtsmoment dar.
Arbeitgeber sollten also entweder ganz auf eine Überwachung verzichten oder die Ergebnisse anonymisiert bzw. in übergeordneten systematisch angelegten Zahlengruppen anzeigen lassen. So sind keine Rückschlüsse auf den einzelnen Mitarbeiter möglich, aber es ist trotzdem ersichtlich, bei welchen Punkten Verbesserungsbedarf besteht.
8. Oktober 2020
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.
Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, “Welcome Back Talks” durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.
Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.
H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um “ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.” Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.
Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.
Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.
30. Juni 2020
Gegen einen Anspruch auf Datenkopie des Art. 15 Abs. 3 DSGVO eines Arbeitnehmers kann sich der Arbeitgeber wehren, wenn der dafür erforderliche Aufwand in groben Missverhältnis zum Leistungsinteresse steht. Das hat jedenfalls das AG Düsseldorf entschieden (noch nicht rechtskräftig).
Das Gericht gestand dem Arbeitnehmer einen Auskunftsanspruch im Grundsatz zu. Dazu führt es aus, dass die Auskunft vollständig und so konkret und detailliert sein muss, dass sich der Betroffene ein Bild davon machen kann welche Datenverarbeitungen zu welchen Zwecken erfolgen.
Der Arbeitgeber hat in der erteilten Auskunft pauschal erklärt, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. b, c und f DSGVO erfolge. Diese Auskunft stelle keine konkrete und detaillierte Zwecksetzungen dar, so das Gericht. Verstärkt werde dies dadurch, dass der Arbeitgeber auf einen Anhang verwiesen hatte. Die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO.
Besonders interessant sind die Ausführungen zum weiteren Klagebegehren des Arbeitnehmers – der Herausgabe einer Datenkopie. Das AG Düsseldorf folgert aus dem Grundsatz von Treu und Glauben nach Art. 8 Abs. 2 S. 1 GRCh und Art. 5 Abs. 1 lit. a DSGVO, der für die gesamte Datenverarbeitung gelte, dass dem Verantwortlichen per se kein unverhältnismäßiger Aufwand abverlangt werden könne. Der Aufwand, nach personenbezogenen Daten des Klägers in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten der Beklagten nebst aller Vorgesetzten und Kollegen des Klägers zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse des Arbeitnehmers.
Immer öfter beschäftigen sich Gerichte mit der Frage, wie weit der Auskunftsanspruch des Art. 15 DSGVO geht. Wir berichteten bereits über ein Urteil des LG Heidelberg. Hier wies das Gericht ein Auskunftsbegehren mit der Begründung ab, dass die Wiederherstellung und Aufbereitung der Daten aus einem Backup in dem konkreten Fall einen unverhältnismäßigen Aufwand darstellten. Es bleibt abzuwarten, ob zukünftige Rechtsprechung auf dieser Linie bleibt.
5. Juni 2020
Die Berliner Beauftrage für Datenschutz und Informationsfreiheit, Maja Smoltczyk, prüft ob der Online-Modehändler gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Dies bestätigte die Aufsichtsbehörde gegenüber Golem.de und verifizierte damit einen Bericht von Business Insider.
Anlass ist der Einsatz der Softwaresysteme “Zalos” und “Zafeto” von Zalando, welche über sogenannte MDs (Mobile Datenspeicher) die Arbeitsabläufe der Mitarbeiter in den Logistikzentren steuern. Die Geräte teilen den Mitarbeiter die Aufträge zu, einen bestimmten Artikel aus dem Lager zu entnehmen. Dabei werden über das System die Standzeiten ebenso erfasst wie die Menge und Schnelligkeit der erledigten Aufträge (Picks). Die Ergebnisse werden den Mitarbeitern dann in wiederkehrenden Feedbackgesprächen präsentiert. Das Unternehmen nutzt die Systeme nach eigenen Angaben um ihre Arbeitsabläufe zu optimieren.
“sehr überwachungsintensiv”
Die Software erscheine auf den ersten Blick “sehr überwachungsintensiv”, sagte eine Sprecherin der Behörde gegenüber Business Insider. „Es wirkt so, als sei die Kontrolle sehr engmaschig, die Zalando über die beiden Systeme Zalos und Zafeto über seine Mitarbeiter hat. Jetzt wird geprüft, ob das mit der Datenschutzgrundverordnung vereinbar ist.“
Die Berliner Datenschutzbeauftragte prüft außerdem das von Zalando eingesetzte Feedback-Tool „Zonar“, über das die „Süddeutsche Zeitung“ berichtet hat.
13. Mai 2020
Im Urteil vom 5. Dezember 2019 (Az.: 2 AZR 223/19) hat sich das Bundesarbeitsgericht mit dem besonderen Kündigungsschutz für Datenschutzbeauftragte befasst.
Grundsätzlich gilt für interne Datenschutzbeauftragte ein besonderer Kündigungsschutz gemäß § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 1 BDSG. Besonderen Kündigungsschutz genießen zum Beispiel auch Arbeitnehmer in Elternzeit oder Betriebsratsmitglieder. Diese Personengruppen können entweder nicht oder nur aus besonders wichtigem Grund gemäß § 626 BGB gekündigt werden.
Ein wichtiger Grund kann zum Beispiel in der Unzumutbarkeit des Fortführens des Arbeitsverhältnisses liegen. Durch die besondere Stellung des Datenschutzbeauftragten soll ein effektiver und ungestörter Datenschutz gewährleistet werden.
Im zugrundliegenden Urteil ist die Gesamtanzahl
der Beschäftigten des Unternehmens unter den zum damaligen Zeitpunkt
maßgeblichen Schwellenwert von zehn Mitarbeiter gesunken. Das Unternehmen
wollte daraufhin seinen internen Datenschutzbeauftragten kündigen.
Das Bundesarbeitsgericht hat diese Kündigung als wirksam eingestuft. Als Begründung führte das Gericht an, dass maßgeblich für die Pflicht zur Benennung eines Datenschutzbeauftragten die Anzahl der Beschäftigten ist. Diese Pflicht entfällt nach aktueller Rechtslage, wenn die Gesamtanzahl der Beschäftigten unter 20 sinkt.
Dem Urteil kommt momentan besondere Relevanz zu teil, da am 26. November 2019 das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft getreten ist. Dadurch stieg der Schwellenwert für die zwingende Benennung eines Datenschutzbeauftragen gemäß § 38 Abs. 1 Satz 1 BDSG von zehn auf 20 Mitarbeiter.
Damit gelten Datenschutzbeauftragte in Unternehmen ab zehn Mitarbeitern, aber unter 20 Mitarbeitern, als freiwillige Datenschutzbeauftragte, da für deren Bestellung keine gesetzliche Pflicht mehr vorliegt. Für diese Datenschutzbeauftragten entfällt der besondere Kündigungsschutz, der normalerweise erst nach Abberufung beginnt, ab dem 27. November 2020 automatisch. Ab diesem Datum an gelten Datenschutzbeauftragte in so einem Unternehmen als „normale“ Mitarbeiter, die den entsprechenden gesetzlichen Bestimmungen unterliegen.
Wenn Sie keine Mitarbeiter haben, die Sie zum internen Datenschutzbeauftragten ernennen können oder wollen, können Sie sich hier über externe Datenschutzbeauftragte informieren.
24. April 2020
Der aktuelle, durch die Infektionen einer Vielzahl von Menschen mit dem neuartigen Virus SARS Covid-19 verursachte, Ausnahmezustand hat die Digitalisierung der Arbeitswelt bei erster, unbefangener Betrachtung erheblich beschleunigt. Eine Vielzahl von Arbeitnehmern arbeitet im Home-Office, Meetings finden virtuell statt und die Kundenkontakte werden gänzlich online abgewickelt. Nachdem die hektischste Phase scheinbar abgeklungen ist, implementieren einige Unternehmen Regelungen und Handlungsanweisungen für die digitale Arbeit, die auch über die Zeit der Ausgangs- oder Kontaktbeschränkungen hinaus gelten sollen.
Die Möglichkeit einer Implementierung derartiger Regelungen mittels arbeitgeberseitigem Weisungsrecht außer Acht gelassen, soll das Instrument der datenschutzrechtlichen Betriebsvereinbarung über die Zeit der aktuellen Corona-Pandemie hinaus, als proaktives Instrument zur Gestaltung des Digitalisierungsprozesses genutzt werden.
Gegenwärtige Friktionen werden aufgelöst
Zunächst sind Betriebsvereinbarungen eine praxistaugliche Rechtsgrundlage. Deutschland hat von der in Art. 88 DSGVO normierten – fakultativen – Öffnungsklausel in Form von § 26 Abs. 1 S. 1 BDSG Gebrauch gemacht. Betriebsvereinbarungen können überdies Grundlage von Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses sein (§ 26 Abs. 4 BDSG).
Darüber hinaus bedarf es im Falle des Abschlusses einer Betriebsvereinbarung keiner Einwilligung des Arbeitnehmers. Diese ist – trotz § 26 Abs. 2 BDSG – im Einzelfall problematisch, da aufgrund des bestehenden Über- und Unterordnungsverhältnisses per se die Gefahr einer “unfreiwilligen” Einwilligung besteht.
Die Beteiligungsrechte in datenschutzrechtlichen Konstellationen können zeitgleich erfüllt werden
Überdies kann der Arbeitgeber zugleich ohnehin obligatorische Beteiligungsrechte der Arbeitnehmer erfüllen. So steht es dem Arbeitgeber auch im Rahmen der Corona – Pandemie nicht frei, die Home-Office Verfügbarkeit der Arbeitnehmer mit eilig eingeführten Tools zu realisieren.
Insbesondere normiert § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Vorrichtungen, die dazu objektiv und unmittelbar geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies gilt ohne Rücksicht darauf, ob der Arbeitgeber dieses Ziel verfolgt und die durch die Überwachung gewonnenen Daten auch auswertet. Hierzu gehören insbesondere die auch gängigen elektronischen Datenverarbeitungssysteme (EDV) und IT-Anwendungen.
Inhalt von Betriebsvereinbarungen in der Praxis
Inhaltlich müssen die Betriebsvertragsparteien insbesondere auch die Grundsätze des Art. 5 Abs. 1 lit. a) – f) DSGVO beachten (§ 26 Abs. 5 BDSG). Mithin sollten die Parteien das Niveau der Grundsätze der Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sowie Integrität und Vertraulichkeit einhalten.
Ferner empfiehlt es sich, die Rechte der betroffenen Personen gemäß Art. 12 ff. DSGVO in die Betriebsvereinbarung einzubeziehen. Schließlich sollte in Betriebsvereinbarungen ausdrücklich festgelegt werden, ob sie als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verwendet wird.
Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.
Präzisierung des Anspruchs
auf Auskunft bei umfangreicher Verarbeitung
In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.
Den umfassenden Hauptantrag der betroffenen Person wies das
Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu
dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent
in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:
Zweifel an
Erstreckung des Anspruchs auf Backup-Daten
Es könne bereits bezweifelt werden, dass der Verantwortliche
die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet.
Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an
einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der
Verantwortliche ein Zugriffsrecht hat.
Unverhältnismäßiger
Aufwand gemessen am Informationsinteresse
Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung
der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand
darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung
der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen
werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails
umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied
den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter
Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene
Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen
unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen
Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten
Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend
gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das
verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.
Bewertung
Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.
Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.
Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.
27. Januar 2020
Der Modehändler H&M steht wegen massiven Datenschutzverstößen in der Kritik. Die FAZ berichtete am Samstag, dass H&M im großen Stil private Daten seiner Mitarbeiter gesammelt und gespeichert hat. Die FAZ zitiert den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mit den Worten, dass die Daten “detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer” enthalten. Dabei geht es auch um Krankheiten und Familienstreitigkeiten.
Die Datenschutzbehörde in Hamburg (dort hat die Deutschlandzentrale von H&M ihren Sitz) ein Bußgeldverfahren eingeleitet, so die FAZ, nachdem sich der Verdacht der Spionage erhärtete. Der Datenschutzbeauftragte Johannes Caspar teilte mit, dass “das qualitative und quantitative Ausmaß der für die gesamte Leitungsebene des Unternehmens zugänglichen Mitarbeiterdaten eine umfassende Ausforschung der Mitarbeiterinnen und Mitarbeiter zeigt, die in den letzten Jahren ohne vergleichbares Beispiel ist”.
Der Umfang der Datenspeicherung war zufällig aufgeflogen, als Mitarbeiter des Kundencenters beim Durchstöbern interner Dateien im IT-System auf offen zugängliche Ordner mit brisantem Material stießen.
H&M äußerte sich zum Vorfall und teilte mit, dass der Vorfall ernst genommen werde und er aufrichtig bedauert wird. Der Vorfall befände sich in juristischer Prüfung.
Was für ein Bußgeld die Hamburger Datenschützer ins Auge fassen, bleibt abzuwarten.
