In einem aktuellen Urteil vom 15.03.2024 (Az. VI ZR 330/21) beschäftigte sich der BGH mit der Frage, was mit dem Begriff Kopie der personenbezogenen Daten gemeint ist.

Zum Sachverhalt

Die Beklagte war seit geraumer Zeit als Finanzberaterin für die Klägerin tätig. Sie beriet die Klägerin über Kapitalanlagen und Versicherungen. Im Jahr 2019 forderte die Klägerin die Beklagte auf, ihr Kopien gemäß Art. 15 Abs. 3 DS-GVO von sämtlichen bei ihr befindenden personenbezogenen Daten zu geben. Hierzu gehörten vor allem Telefonnotizen, Aktenvermerke, Protokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen.

Die Klage ging über mehrere Instanzen, die den Anspruch der Klägerin als gerechtfertigt ansahen. Der BGH jedoch war in diesem Fall allerdings zum Teil anderer Auffassung und stellte fest, dass zwischen gewissen Daten differenziert werden muss.

Im Einzelnen

Der BGH kam zu dem Ergebnis, dass der Anspruch der Klägerin bezüglich Schreiben und E-Mails begründet ist. Hierzu stellt der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 vorsieht. Auf dieser Grundlage hat die Klägerin ausschließlich Anspruch auf den Erhalt von Kopien der von ihr verfassten und bei der Beklagten vorhandenen Schreiben und E-Mails.

Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.

Unter diesen Aspekten stellt der BGH fest und bestätigt die Auffassung des Berufungsgerichts, dass Schreiben und E-Mails der betroffenen Person an den Verantwortlichen als personenbezogene Daten einzustufen sind.

Nach den obigen Ausführungen stellen Schreiben und E-Mails, die der Beklagten vorlagen, zwar personenbezogene Daten dar, weshalb die Klägerin im Ergebnis auch einen Anspruch auf den Erhalt einer Kopie hat. Dennoch handelt es sich entgegen der Auffassung des Berufungsgerichts bei Schreiben und E-Mails der Beklagten, Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und Zeichnungsunterlagen für Kapitalanlagen nicht zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin, auch wenn sie Informationen über die Klägerin enthalten.

Es ist denkbar, dass interne Vermerke wie Telefonnotizen oder Gesprächsprotokolle die Äußerungen der Klägerin in persönlichen Gesprächen festhalten sollen, Informationen zur Klägerin enthalten. Hiervon kann jedoch nicht in jedem Fall ausgegangen werden. Aus diesem Grund ergibt sich aus dem Erfordernis, eine vollständige Auskunft über personenbezogene Daten zu erteilen, kein Anspruch der Klägerin darauf, dass sämtliche von ihr geforderten Dokumente als Kopie überlassen werden müssen. Dies ist nur in bestimmten Ausnahmefällen möglich.

Fazit

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der vorliegende Beitrag befasst sich mit der Reichweite des Rechts auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Hintergrund ist ein Sachverhalt, mit dem sich das Oberlandesgericht Naumburg (Beschl. v. 11.1.2023, Az. Wx 5 14/22) befassen musste. In dem Fall ging es (kurz umrissen) um ein Unternehmen, dessen Gesellschafter die Löschung bzw. Schwärzung ihrer Unterschriften in einer von ihnen eingereichten Gesellschafterliste und auf einer Grundstücksurkunde beantragten.

Bereits am 10. Oktober 2022 wandten sich die Gesellschafter an das zuständige Registergericht und beantragten unter Berufung auf Art. 17 DS-GVO die Schwärzung ihrer Unterschriften in den jeweiligen Dokumenten. Der Antrag wurde kurz darauf vom Gericht abgewiesen, wogegen die Beteiligten Beschwerde einlegten. Diesmal stützten sie sich jedoch auf das Recht auf informationelle Selbstbestimmung. Das Registergericht legte die Beschwerde daraufhin dem Oberlandesgericht Naumburg zur Entscheidung vor.

Die Entscheidung im Einzelnen

Das Oberlandesgericht Naumburg stellte in seiner Entscheidung fest, dass Art. 17 Abs. 1 DS-GVO aufgrund der Ausnahmevorschrift des Art. 17 Abs. 3 lit. b) DS-GVO (Widerruf der Einwilligung, Fehlen einer Rechtsgrundlage) im Registerwesen keine Anwendung findet.

Das Gericht argumentiert, dass Art. 17 Abs. 1 DS-GVO anwendbar ist, wenn „die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“ und stellt klar, dass die Tätigkeit zur Erfüllung von Publizitätspflichten seitens des Hoheitsträgers zur Ausübung ihrer hoheitlichen Befugnisse gehört. Zudem stellt die Ausübung ebenjener Tätigkeit eine im öffentlichen Interesse liegende Aufgabe im Sinne des Art. 17 Abs. 3 lit. b) DS-GVO dar.

Das Gericht hat zudem auf vergangene Urteile verweisen, in denen bereits vor der DS-GVO klargestellt wurde, dass die Registerpublizität dem Persönlichkeitsschutz vorrangig ist (Europäischer Gerichtshof, Urt. v. 9.3.2017 – C-398/15). Zuletzt stellt das Oberlandesgericht fest, dass sich ein Löschungsanspruch auch aus dem Grundrecht auf informationelle Selbstbestimmung der Beteiligten nicht ableiten lässt, da Dokumente, die bereits im Registerordner eingestellt sind, zum Schutz der Registerwahrheit grundsätzlich nicht verändert werden können. Aus diesem Grund ist es nicht die Aufgabe des Registergerichts, nachträglich in freigegebene Dokumente einzugreifen.

Fazit

Das Urteil zeigt, dass die Reichweite des Rechts auf Vergessenwerden oder zumindest das Recht auf Löschung durchaus begrenzt ist. Art. 17 Abs. 3 lit. a) bis e) DS-GVO geben einen gewissen, wenn auch sehr abstrakten Aufschluss darüber. Es ist jedoch genau diese Abstraktion, die es vielen Betroffenen deutlich erschwert zu bestimmen, ob sie nun ein Recht auf Löschung ihrer Daten haben oder nicht. Auch die Gerichte tun sich zu Teilen bei derartigen Fragestellungen schwer.

Welche Gründe auch immer eine Person dazu führen, die Unterschrift aus der offiziellen Gesellschafterurkunde löschen zu lassen, insbesondere wenn die Gesellschaft noch existiert – für diesen Fall schafft das aktuelle Urteil Gewissheit und stellt klar, dass die Registerpublizität in diesem Fall sogar einen höheren Rang hat als der Schutz der Persönlichkeit.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Lange Zeit war aufgrund der abstrakten Formulierung des Art. 82 DS-GVO nicht ganz klar, was genau eigentlich unter den Schadensbegriff des Artikels fällt. Weiterhin war bislang unklar, ob der entstandene Schaden eine Mindestgrenze oder eine Bagatellgrenze überschreiten muss, um einen Schadenersatzanspruch des Betroffenen auszulösen. Der Europäische Gerichtshof (EuGH) hat nun mit zwei aktuellen Urteilen endlich Klarheit geschaffen und diese Fragen beantwortet.

Die Entscheidungen im einzelnen

Mit Urteil vom 14.12.2023 (Rs. C-340/21) befasste sich der EuGH unter anderem mit der Frage, ob die bloße Befürchtung des Datenmissbrauchs seitens des Betroffenen durch unbefugte Offenlegung unter den Begriff des immateriellen Schadens fällt. Der EuGH hat sich in seiner Entscheidung deutlich zugunsten der Betroffenen geäußert und urteilte, dass die Auslegung des Art. 82 Abs. 1 DS-GVO auf einer Weise, nach der die Befürchtung eines künftigen Missbrauchs personenbezogener Daten des Betroffenen keinen Schadenersatz rechtfertigt, nicht mit der Gewährleistung eines hohen Schutzniveaus bei der Datenverarbeitung vereinbar wäre.

Weiterhin stellte der EuGH fest, dass wenn eine betroffene Person aufgrund eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden können ein immaterieller Schaden vorliegt. Allerdings muss das zuständige nationale Gericht in derartigen Fällen insbesondere zunächst prüfen, ob die Befürchtungen überhaupt plausibel sind.

Mitunter stand die Frage offen, ob rein subjektive Schäden von Art. 82 Abs. 1 DS-GVO umfasst sind: Mit Urteil vom selben Tag (Rs. C-456/22) bejahte der EuGH die obenstehende Frage. Demnach umfasst Art. 82 Abs. 1 DS-GVO selbst rein subjektive Schäden von Betroffenen und eröffnet damit die Möglichkeit, Schadenersatz für subjektive Schäden des Betroffenen geltend zu machen.

In diesem Verfahren stellte das Gericht klar, dass Art. 82 Abs. 1 DS-GVO keine Mindesterheblichkeit für die Haftung verlangen darf. Neben den üblichen Voraussetzungen (Schaden, Verstoß gegen die DS-GVO, Kausalzusammenhang) dürfen somit keine zusätzlichen Voraussetzungen wie etwa Spürbarkeit des Nachteils oder objektive Beeinträchtigungen aufgestellt werden. Der EuGH spricht in diesem Zusammenhang von einer Bagatellgrenze und erklärt deutlich, dass Art. 82 Abs. 1 DS-GVO die Überschreitung einer solchen Grenze nicht voraussetzt, um einen Schaden ersatzfähig zu machen.

Die Urteile zeigen, dass Art. 82 Abs. 1 DS-GVO deutlich zugunsten der Betroffenen auszulegen ist, wodurch die Anforderungen für einen Schadenersatz recht niedrig gehalten sind. Voraussetzung dafür ist, dass Betroffene den Schaden auch nachweisen können. Diese Auslegung begründet der EuGH damit, dass so ein gleichmäßiges und hohes Schutzniveau natürlicher Personen bei der Verarbeitung ihrer Daten gewährleistet wird. Weiterhin argumentiert das Gericht mit der Harmonisierung der Betroffenenrechte: So würde nach Auffassung des EuGH eine Erheblichkeitsschwelle möglicherweise dazu führen, dass eben diese Erheblichkeitsschwelle von der individuellen Beurteilung des zuständigen Gerichts abhängen und somit zu unterschiedlich hohen Schwellen führen könnte. Dies würde der Harmonisierung des Datenschutzrechts, insbesondere der Betroffenenrechte im Wege stehen.

Fazit

Die oben genannten Erwägungen zeigen, wie weit der EuGH den Schadensbegriff formuliert. So wird bei Durchsicht der Urteile schnell klar, dass es nicht auf einen Mindestschaden oder eine Bagatellgrenze ankommt, ab der ein Schadenersatz begründbar ist, sondern viel mehr auf die Tatsache selbst, dass ein Schaden für Betroffene entstanden ist.

Ob dies nun für Betroffene wirklich hilfreich ist, bleibt fraglich, da es eindeutig in der Hand der Betroffenen liegt, den immateriellen oder subjektiven Schaden nachzuweisen. Das Gericht betont, dass ein bloßer Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadenersatz zu begründen. Und selbst wenn ein Schaden nachgewiesen werden kann, stehen Betroffene und das zuständige Gericht vor der Herausforderung, den entstandenen Schaden zu beziffern. Dies dürfte bei immateriellen und vor allem subjektiven Schäden eine Herausforderung sein. 

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Fall beschäftigte sich das Verwaltungsgericht (VG) Hannover (Urt. v. 10.10.2023, Az. 10 A 3472/20) mit einem besonderen Fall der Videoüberwachung – der Videoüberwachung in einem Wettbüro. Der folgende Beitrag soll den Sachverhalt sowie das Urteil umreißen und die wichtigen Aspekte für die Praxis darstellen.

Der Sachverhalt

Die Klägerin verfügt über ein Filialnetz für Wettannahmen der Pferdewett- und Sportvermittlung. In dem infrage stehenden Wettbüro halten sich Gäste in mehreren Abschnitten beziehungsweise Räumlichkeiten auf. Hierzu gehören das Wettbüro, der Gastronomiebereich und die sanitären Einrichtungen.  

Die Geschäftsführung ließ in der betroffenen Filiale insgesamt elf Videokameras aufstellen, welche die drei für Gäste zugänglichen Räume umfassend überwachten. Die Betreiberin des Wettbüros begründete die Überwachung mit dem berechtigten Interesse der Vorbeugung von Straftaten, welche in Vergangenheit häufiger und in verschiedenen Variationen stattfand. Hierzu gehörten insbesondere milieubedingte Kriminalität wie Handel und Konsum von Drogen, damit verbundene, teils aggressive Handlungen und Betrug. Weiterhin dienen die Kameras der Stärkung des Sicherheitsgefühls der Beschäftigten und dem Schutz des Eigentums vor Vandalismus und Diebstahl.

Grund der Klage seitens des Betreibers waren Streitigkeiten mit der der Niedersächsischen Datenschutzbehörde bezüglich der Aufstellung einiger Kameras in den Räumlichkeiten.  Die beklagte Datenschutzbehörde gab an, dass die Überwachung der Arbeits- und Sitzplätze in den Räumlichkeiten nicht erforderlich sei, um die vom Kläger verfolgten Zwecke der Videoüberwachung umzusetzen. Die Überwachung beeinträchtige zudem die Persönlichkeitsrechte der sich länger in den Sitzbereichen aufhaltenden Personen.

Zum Urteil

Das VG Hannover wies die Klage ab und gab der Datenschutzbehörde recht. Das Gericht befand die Anweisung als materiell rechtmäßig, da einige der Kameras mit ihrer derzeitigen Aufstellung nicht den datenschutzrechtlichen Anforderungen entsprachen. Weiterhin waren die in Frage stehenden Kameras nach Auffassung des Gerichts zur Wahrnehmung der Interessen der Klägerin nicht notwendig. Dem Gericht war kein Zusammenhang zwischen der in Vergangenheit begangenen Straftaten und dem Aufenthalt der Gäste in den Sitzbereichen erkennbar, da die jeweiligen Straftaten nicht in dem betroffenen Bereich stattgefunden haben.

Für das Gericht war außerdem nicht erkennbar, dass die Videoüberwachung im Sitzbereich dazu geeignet ist, die zuvor genannten Straftaten zu verhindern oder aufzuklären.

Das VG Hannover war der Auffassung, dass der Betreiber zu wesentlich milderen Mitteln hätte greifen können. So teilte das Gericht die Auffassung des Klägers nicht, dass die Präsenz von Wachpersonal von den Gästen als gravierenderer Eingriff wahrgenommen würde, weshalb der Einsatz von Kameras bereits das mildere Mittel gewesen sei. Der Einsatz von Wachpersonal würde entgegen der Argumentation der Klägerin nicht zu einer permanenten Beobachtung führen, sofern diese nur gelegentliche Rundgänge unternehmen. Gelegentliche Rundgänge würden zudem die gleiche abschreckende Wirkung entfalten wie eine permanente Beobachtung durch Kameras. Weiterhin könnte sich das Personal vor aggressiv auftretenden Gästen schützen, indem sie die Polizei rufen, anstatt sie selbst des Hauses zu verweisen.

Fazit

Aus dem Urteil wird schnell ersichtlich, dass die Videoüberwachung im Betrieb datenschutzrechtlich nach wie vor erhebliche Hürden in der Rechtfertigung erfahren kann. In der Praxis greifen Verantwortliche oftmals auf Videokameras zurück, welche die Videoüberwachung mit der Aufdeckung von Vandalismus oder ähnlichen Delikten rechtfertigen, obwohl teilweise bislang keine derartigen Fälle aufgetreten sind. Das Urteil zeigt, dass selbst bei in der Vergangenheit aufgetretenen Straftaten das Persönlichkeitsrecht der Betroffenen noch immer über den Interessen des Betreibers stehen kann. Die Videoüberwachung ist jedoch keinesfalls unmöglich. Letztendlich kommt es auch in Wettbüros mit hohem Aufkommen (potenzieller) krimineller und gewalttätiger Handlungen auf eine datenschutzkonforme Einrichtung der Videokameras an.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit dem Urteil vom Urteil vom 22. Juni 2023 in der Rs. C‑579/21 befasste sich der Europäische Gerichtshof (EuGH) mit der Reichweite von datenschutzrechtlichen Auskunftsansprüchen. Genauer ging es um die Frage, ob Betroffene das Recht haben, im Rahmen ihres Auskunftsanspruchs Kenntnis über die Identität der Beschäftigten zu erhalten, die auf die personenbezogenen Daten zugegriffen haben. Hintergrund war eine Klage eines ehemaligen Beschäftigten und zugleich Kunde einer finnischen Bank. Der Kläger fand heraus, dass auch nach seinem Ausscheiden Beschäftigte auf personenbezogene Daten von ihm zugegriffen haben. Daraufhin verlangt der Kläger detaillierte Auskunft nach Art 15 Abs. 1 DS-GVO und verlangte zudem die Nennung der Beschäftigten, welche auf seine Daten zugegriffen haben.

Zur Anwendbarkeit der DS-GVO

Da es sich in dem vorliegenden Sachverhalt um einen recht alten Fall handelt, in dem personenbezogene Daten betroffen sind, welche Jahre vor Inkrafttreten der DS-GVO erhoben wurden, befasste sich das Gericht zunächst mit der Frage, ob Betroffenenrechte auch bei Datenverarbeitungen geltend gemacht werden können, die vor Inkrafttreten der DS-GVO geschehen sind. Das Gericht kam (kurz gesagt) zu dem Ergebnis, dass Auskunftsansprüche auch personenbezogene Daten umfassen, die noch vor Inkrafttreten der DS-GVO erhoben wurden.

Darf ich wissen, wer Zugriff auf meine Daten hatte?

Gemäß Art. 15 Abs. 1 DS-GVO haben Betroffene das Recht, von dem Verantwortlichen informiert zu werden, ob sie personenbezogene Daten von dem Betroffenen verarbeiten. Wenn dem so ist, dürfen Betroffene Auskunft über die verarbeiteten personenbezogenen Daten verlangen. Das Auskunftsrecht erstreckt sich dabei unter anderem auf Informationen zu den Verarbeitungszwecken sowie zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden oder noch offengelegt werden.

Allerdings liegt der Schwerpunkt in dem Sachverhalt nicht darin, dem Betroffenen eine vollständige Auskunft nach Art. 15 DS-GVO auszustellen, sondern beruht auf der Tatsache, dass der Betroffene von dem Unternehmen verlangt hat, ihm die Identitäten der Personen, die Zugriff auf seine Daten hatten, mitzuteilen. In diesem Kontext rückt die Frage nach der Definition des Empfängers der personenbezogenen Daten in den Vordergrund. Insbesondere bedurfte es einer näheren Klärung, ob Beschäftigte der verantwortlichen Stelle als Empfänger im Sinne des Art. 4 Nr. 9 DS-GVO zu klassifizieren sind und somit im Rahmen der Auskunftserteilung konkret genannt werden müssen.

Zur Beantwortung der Frage verweist das Gericht auf die Legaldefinition des Empfängers gemäß Art. 4 Nr. 9 DS-GVO. Demnach handelt es sich bei einem Empfänger um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“ Das Gericht verneinte nach eingehender Prüfung hierauf basierend, dass Beschäftigte des Verantwortlichen Empfänger darstellten – zumindest soweit diese personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeiten (vgl. Art. 29 DS-GVO).

Das Gericht kam somit zu dem Ergebnis, dass vom Auskunftsrecht lediglich nähere Informationen zur Verarbeitung der personenbezogenen Daten, wie zum Beispiel Zeitpunkt und Zweck jeweiliger Abfragen umfasst sind. Informationen über die Identität der Beschäftigten des Verantwortlichen, die personenbezogene Daten ausschließlich nach dessen Weisung verarbeiten, können dagegen im Wege eines geltendgemachten Auskunftsanspruchs nur unter bestimmten Voraussetzungen – keinesfall standardmäßig – offengelegt werden. Dies bedarf einer Prüfung im Einzelfall.

Tipp für die Praxis

Derartige Fallkonstellationen sind in der Praxis nicht selten. Sobald Betroffene herausfinden, dass eine Person womöglich unzulässigerweise auf die eigenen personenbezogenen Daten zugegriffen hat, liegt die Geltendmachung des Rechts auf Auskunft oftmals nahe. Aus diesem Grund sollten Verantwortliche stets die Reichweite von datenschutzrechtlichen Auskunftsansprüchen kennen, um so womöglich auch die Identität beschäftigter Personen zu schützen. Unternehmen sind gut beraten, bei der Beurteilung und Beantwortung von Betroffenenanfragen den Datenschutzbeauftragten zu konsultieren.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesministerium des Innern und für Heimat (BMI) und das Bundesministerium für Arbeit und Soziales (BMAS) veröffentlichten im April ein Eckpunktepapier mit Vorschlägen zur Überarbeitung des derzeit geltenden Beschäftigtendatenschutzes. Anlass dafür ist unter anderem die stetig zunehmende Digitalisierung, die natürlich am Arbeitsplatz nicht endet. Neue Technologien und Softwares führen zur stetig anwachsenden Verarbeitung personenbezogener Daten von Beschäftigten. Diese Änderungen stellen Unternehmen regelmäßig vor immer größeren datenschutzrechtlichen Unsicherheiten.

Weiterer Anlass für ein neues Beschäftigtendatenschutzgesetz ist die Feststellung der Europarechtswidrigkeit des § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) durch den Europäischen Gerichtshof in seinem Urteil vom 30. März 2023 (C-34/21). Durch den nahezu identischen Wortlaut der zentralen Norm des § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG besteht Grund zur Annahme, dass diese ebenso europarechtswidrig ist. Für mehr Informationen zu diesem Thema verweisen wir auf unseren Beitrag vom 15. Mai 2023. Der folgende Beitrag soll kurz den Inhalt des angesprochenen Eckpunktepapiers vorstellen.

Inhalte des Eckpunktepapiers

Erweiterung des Beschäftigtenbegriffs: Das Eckpunktepapier enthält den Vorschlag, dass auch soloselbständige Plattformtätige in den Anwendungsbereich des Beschäftigtendatenschutzgesetz aufgenommen werden. Gemäß des Eckpunktepapiers sind diese Personen aufgrund der besonderen Strukturen und Geschäftsmodelle in der Plattformökonomie auch hinsichtlich der Verarbeitung ihrer personenbezogenen Daten den Arbeitnehmer:innen in ähnlicher Weise schutzbedürftig.

Überwachung von Beschäftigten: Die dauerhafte Überwachung von Arbeitnehmer:innen soll demnach ausschließlich in Ausnahmefällen erfolgen. Auf keinen Fall dürfen die Materialien zur Bewertung und Ermittlung der Leistung der Beschäftigten genutzt werden. Ähnlich verhält es sich auch bei der verdeckten Überwachung. Eine verdeckte Überwachung wäre demnach nur als ultima ratio zulässig, wenn es keine weniger in die Grundrechte der Beschäftigten eingreifende Alternative besteht, eine Straftat im Betrieb aufzudecken. Weiterhin soll es für eine offene Überwachung klare Bedingungen geben.

Einsatz von künstlicher Intelligenz: Das Eckpunktepapier thematisiert auch den Einsatz von künstlicher Intelligenz (KI). Von besonderer Relevanz könnte hierbei der Einsatz von KI im Bewerbungsverfahren sein. KI kann allerdings auch für viele andere Aufgaben eingesetzt werden, wie zum Beispiel die Erstellung von Leistungsprofilen oder gar Zukunftsprognosen von Beschäftigten. Hier soll Transparenz geschaffen werden.

Fragerecht: Laut des Eckpunktepapiers sollen Informationen zur Qualifikation direkt von Bewerber:innen erfragt werden. Das Fragerecht der Arbeitgeber soll zudem ausdrücklich geregelt sein. Hierzu ergeben sich jedoch keine Neuerungen, da auf die Rechtsprechung zum Fragerecht in Bewerbungsverfahren verwiesen wird.

Sensible Daten: Durch die Bildung typischer Fallgruppen bei der Verarbeitung besonders sensibler Daten wie beispielsweise Gesundheitsdaten, soll aufgezeigt werden, wann bzw. in welchen Ausnahmefällen der Arbeitgeber sensible Daten der Beschäftigten verarbeiten darf.

Interessenabwägung: Der Gesetzgeber soll konkrete Kriterien für eine Interessenabwägung einführen, für Datenverarbeitungen, die eine solche Abwägung erfordern.

Einwilligung: Einwilligungen von Beschäftigten sind häufig ein komplexes Thema in Unternehmen. Einwilligungen im Beschäftigtenverhältnis sollen eindeutig freiwillig erfolgen. Ebendiese Freiwilligkeit ist in der Praxis problematisch, da sie aufgrund des Abhängigkeitsverhältnisses häufig angezweifelt wird. Laut des Eckpunktepapiers soll der Gesetzgeber konkrete Anwendungsfälle auflisten, um die Umsetzung wirksamer Einwilligungen von Beschäftigten zu erleichtern.

Konzerninterne Datenübermittlung: Konkrete Regelungen sollen in Zukunft Rechtssicherheit bei der Übermittlung personenbezogener Daten von Beschäftigten innerhalb eines Konzerns bringen. Die Übermittlung der Daten soll dadurch deutlich vereinfacht werden, ohne jedoch den Schutz der betroffenen Personen zu schmälern.

Betroffenenrechte: Im Eckpunktepapier werden auch die Betroffenenrechte angesprochen. Auch wenn diese bereits in der DS-GVO geregelt sind, bedürfen die Betroffenenrechte im Beschäftigungsverhältnis einer Konkretisierung. Was damit jedoch genau gemeint ist, wird aus dem Papier nicht ersichtlich. Weiterhin soll in Fällen von unzulässiger Datenerhebungen die Notwendigkeit prozessualer Verwertungsverbote geprüft werden.

BYOD-Regelungen: Als Reaktion auf den zunehmenden Trend, private Endgeräte betrieblich zu nutzen, soll mehr Rechtssicherheit bei der Verwendung privater Endgeräte geschaffen werden.

Prüfung des Betriebsverfassungsrechts: Die Ministerien wollen im letzten Schritt die Modernisierungsbedürftigkeit des Betriebsverfassungsrechts zu prüfen. Hierzu gehört auch die Prüfung, ob Kollektivvereinbarungen als Regelungen für die Verarbeitung von Beschäftigtendaten Klarstellungen bedürfen.

Fazit

Dass die Ministerien nun Vorschläge zur Gestaltung des Beschäftigtendatenschutzes gemacht haben, ist zunächst positiv hervorzuheben. Insbesondere im Beschäftigtendatenschutz bestehen derzeit viele Punkte, die sowohl in der Rechtsprechung als auch in der Literatur umstritten sind. Die Ministerien haben diese bei der Erstellung des Papiers eindeutig berücksichtigt und sich zum Ziel genommen, gerade für die problematischen Themen eine praxisorientierte Lösung herauszuarbeiten und rechtliche Unsicherheiten zu klären.

Allerdings bemüht sich die Bundesregierung nun seit mehreren Jahrzenten zur Schaffung eines konkreten Beschäftigtendatenschutzgesetzes. Nach zahlreichen Bemühungen in der Vergangenheit sind bislang kaum Fortschritte zu verzeichnen. Aus diesem Grund sollte auch jetzt nicht allzu viel Hoffnung auf einen neuen Beschäftigtendatenschutz gesetzt werden. Die Roadmap der Datenstrategie der Bundesregierung nennt nun allerdings das 4. Quartal 2023 als zeitliches Ziel für das Beschäftigtendatenschutzgesetz.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesverfassungsgericht befasste sich kürzlich mit den beiden größtenteils identischen Regelungen des § 25a Abs. 1 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Hamburger Gesetz über die Datenverarbeitung der Polizei (HmbPolDVG). Beide Gesetze eröffnen eine spezielle Rechtsgrundlage, bisher nicht miteinander verbundene, automatisierte Dateien und Datenquellen aus Analyseplattformen miteinander zu vernetzen, wodurch die Datenbestände via Suchfunktion erschlossen werden können. Hierdurch ist es der Polizei erlaubt, personenbezogene Daten per Datenanalyse bzw. Auswertung zur Vorbeugung von schweren Straftaten i.S.d § 100a Abs. 2 StPO (Alt. 1) und zur Abwehr von Gefahren bestimmter Rechtsgüter (Alt. 2) zu verarbeiten. Gemäß Abs. 2 kann die Polizei im Rahmen der Verarbeitung nach Abs. 1 insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppen, Institutionen, Organisationen, Objekten und Sachen herstellen. Weiterhin können u. a. Erkenntnisse zu bekannten Sachverhalten zugeordnet und gespeicherte Daten statistisch ausgewertet werden. Die hessische Polizei nutzt auf Grundlage des § 25a HSOG die Analyseplattform „hessenDATA“ jährlich in Tausenden Fällen. Das Hamburger Äquivalent findet derzeit keine Anwendung.

Das Urteil

Das Gericht kam in seinem Urteil zu dem Ergebnis, dass das informationelle Selbstbestimmungsrecht aller greift, sobald gespeicherte Daten mittels einer automatisierten Anwendung zur Analyse oder Auswertung der Daten verarbeitet werden. Das Gericht sah hier einen Eingriff in die Grundrechte, nicht allein in der Verwendung von Daten, die früher getrennt waren, sondern auch im Aufbau von neuem grundrechtsrelevantem Wissen, erlangt durch die automatisierte Auswertung oder Analyse der Daten.

Automatisierte Datenanalysen oder Auswertungen müssen verfassungsrechtlich gerechtfertigt sein, was nicht problematisch ist, solange der Grundsatz der Verhältnismäßigkeit berücksichtigt wird. Das Gericht merkte an, dass es nicht ungewöhnlich ist, dass die Polizei bereits gewonnene Erkenntnisse für Ihre Ermittlungen nutzt und sie für ihre Ermittlungen mit weiteren Informationen verknüpft. Die automatisierte Analyse oder Auswertung eröffnet jedoch eine andere Dimension der polizeilichen Ermittlung, da hierdurch die Verarbeitung großer und komplexer Datenbestände ermöglicht wird, wodurch wieder weitere Erkenntnisse gewonnen werden können, was wiederrum die Extraktion von Informationen aus den vorhandenen Daten intensiviert. Es klingt wie ein Teufelskreis der Informationsgewinnung, da die Beschaffung von weiteren Informationen oder Erkenntnissen die Beschaffung weiterer Informationen erleichtert. Selbst das Bundesverfassungsgericht verglich diese Praxis mit dem sog. „Profiling“ und sagte, dass es diesem nahekommt.

In diesem Zuge legte das Bundesverfassungsgericht die Maßstäbe für einen derartigen Eingriff fest und bemängelte u. a., dass die in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG geregelten Befugnisse die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zulassen. Die Regelungen ermöglichen es der Polizei „mit einem Klick“ umfassende Profile von Personen, Gruppen und Milieus zu erstellen. Hiervon sind sogar Personen bedroht, die zwar mit dem jeweiligen Fall nichts zu tun haben, aber irgendwie Daten hinterlassen haben, die das System mit dem konkreten Fall in Verbindung setzt. Dadurch könnten sogar potenziell unschuldige Personen ins Fadenkreuz der Polizei geraten und entsprechenden polizeilichen Maßnahmen unterzogen werden.

Weiterhin regeln die Vorschriften nicht, welche Arten von Daten und Datenbestände für die Analyse der Daten verwendet werden dürfen und lassen zudem, wie oben erwähnt, die Einbeziehung von Daten von Personen zu, die mit dem jeweiligen Sachverhalt nichts zu tun haben. 

Da die Gesetze keine Eingrenzungen zur Methode der automatisierten Datenanalyse und Auswertung enthalten, ermöglichen sie der Polizei das sog. „Data-Mining“ und sogar den Einsatz von lernfähigen KI-Systemen. Bedenklich ist, dass auch offene Suchanfragen zulässig sind. Die automatisierte Datenauswertung darf ferner für das alleinige Aufdecken von statistischen Auffälligkeiten genutzt werden, woraus dann insbesondere durch die Verknüpfung mit weiteren Daten Schlüsse gezogen werden können. Hieraus könnten in einem nächsten Schritt Prognosen erstellt werden, die in ihrer Entstehungsweise große Ähnlichkeiten zu dem in den USA teilweise eingesetzten „predictive policing“ aufweisen.

Auswirkungen des Urteils

Im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“ wurde dem Unternehmen Palantir für ein neuartiges verfahrensübergreifendes Recherche- und Analysesystem (VeRa), federführend durch das bayrische Landeskriminalamt der Zuschlag erteilt. Die hamburger Polizei bekundete bereits ihr Interesse an dieser Software. Das Urteil führt dazu, dass die Rechtsgrundlage für den Einsatz eines derartigen Verfahrens fürs Erste fehlt, weshalb sie in naher Zukunft wohl nicht zum Einsatz kommen wird.

Das ist jedoch für Kriminelle kein Grund zum Aufatmen. Es besteht Anlass zur Sorge, dass die Gesetzgeber der beiden Länder die Vorschriften auf einer Weise ändern werden, dass sie mit dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Mit der Folge, dass die Polizei eine Software wie VeRa in absehbarer Zukunft doch nutzen könnte.

Falls Sie in naher oder ferner Zukunft vor haben, kriminelle Aktivitäten durchzuführen, so tun Sie dies am besten in einem der zahlreichen weiteren Bundesländer Deutschlands, solange dies möglich ist. Sollte sich die Technologie bewähren (im Gegensatz zu Ihnen) wird sie sicher auch in weiteren Bundesländern eingesetzt werden. In diesem Fall bleibt nur das Ausland als Alternative.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundeskartellamt ist nach der Entscheidung des Europäischen Gerichtshofs (EuGH, Urt. v. 4. Juli 2023, C-252/21) berechtigt, in kartellrechtlichen Entscheidungen auch datenschutzrechtliche Bestimmungen zu berücksichtigen. Hintergrund des Verfahrens ist der Beschluss des Bundeskartellamtes aus 2019, welche es dem Unternehmen Facebook (jetzt: Meta) untersagte, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Facebook legte gegen diesen Beschluss Beschwerde beim Oberlandesgericht Düsseldorf ein, welcher dem EuGH unter anderem die Frage stellte, ob das Bundeskartellamt in ihren Verfahren auch datenschutzrechtliche Regelungen berücksichtigen darf.

Zur Entscheidung

Das Bundeskartellamt erließ im Jahr 2019 einen Beschluss gegen Facebook, welcher es dem Unternehmen verbietet, in den allgemeinen Nutzungsbedingungen die Nutzung von Facebook von der Verarbeitung ihrer Off-Facebook-Daten abhängig zu machen und diese Daten ohne Einwilligung, basierend auf den damals geltenden Allgemeinen Geschäftsbedingungen (AGB) zu verarbeiten. Weiterhin hat das Bundeskartellamt Facebook verpflichtet, die AGB anzupassen und eindeutig klarzustellen, dass die Datenverarbeitung auf Grundlage einer Einwilligung des betroffenen Nutzers verarbeitet werden.

Das Bundeskartellamt sah in der Praxis eine missbräuchliche Ausnutzung der marktherrschenden Stellung auf dem Markt der sozialen Netzwerke i. S. d. § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Insbesondere sei diese Praktik im Zuge ihrer Machtstellung missbräuchlich, weil die vorgesehene Verarbeitung der Off-Facebook-Daten nicht mit den Werten der DS-GVO vereinbar ist und nicht per Art. 6 Abs. 1 und Art. 9 Abs. 2 DS-GVO gerechtfertigt werden kann.

Wie zu erwarten, legten Meta Platforms, Meta Platforms Ireland und Facebook Deutschland Beschwerde beim Oberlandesgericht Düsseldorf gegen den Beschluss ein. Das OLG Düsseldorf bezweifelte zunächst die Befugnis von Wettbewerbsbehörden, die Datenschutzkonformität der Verarbeitung personenbezogener Daten von Unternehmen zu prüfen, weshalb es unter anderem diese Frage dem EuGH vorlegte.

Zunächst wies der EuGH auf die Aufgabe der Aufsichtsbehörden hin, die Anwendung der DS-GVO zu überwachen und durchzusetzen. Weiterhin erwähnte der EuGH, dass die Aufsichtsbehörden zur Erfüllung ihrer Aufgaben miteinander kommunizieren und sich gegenseitig helfen sollen. Das Urteil stellt allerdings auch klar, dass die in der DS-GVO enthaltenen Vorschriften sich an die Datenschutz-betreffenden Aufsichtsbehörden richten und nicht an die Wettbewerbsbehörden. Der EuGH betonte, dass weder die DS-GVO noch ein anderes Gesetz oder Instrument des Unionsrechts existieren, die die Zusammenarbeit zwischen den entsprechenden Aufsichtsbehörden und Wettbewerbsbehörden vorschreiben. Im gleichen Zuge heißt es aber auch, dass in der DS-GVO keine Regelung existiert, nach der es Wettbewerbsbehörden verboten ist, rechtswidrige Datenverarbeitungen festzustellen, die von Unternehmen in marktbeherrschender Stellung vorgenommen werden und potenzielle Marktmachtmissbräuche darstellen.

Wettbewerbsbehörden sind für den Erlass von Entscheidungen zuständig, mit denen Marktmachtmissbrauch seitens marktbeherrschender Unternehmen festgestellt wird. Der Wettbewerb innerhalb des europäischen Binnenmarktes ist vor Verfälschungen zu schützen. Aus diesem Grund müssen Wettbewerbsbehörden beim Erlass derartiger Entscheidungen beurteilen können, ob und in welchem Grad das jeweilige Unternehmen den Wettbewerb behindert. Zur Feststellung eines Marktmachtmissbrauchs, so der EuGH, kann es somit für die Kartellbehörden notwendig sein zu prüfen, ob das in Frage stehende Verhalten des Unternehmens gegen die DS-GVO verstößt.

Der EuGH erkennt, dass es zu gewissen Komplikationen kommen kann, wenn sich verschiedene Stellen mit gleichen Angelegenheiten befassen. Aus diesem Grund werden Wettbewerbsbehörden verpflichtet, mit den Aufsichtsbehörden zusammenzuarbeiten, sobald ein Verfahren datenschutzrechtliche Regelungen berührt.

Fazit

Mit dieser Entscheidung bestätigt der EuGH nun unmissverständlich, was eigentlich schon seit Langem klar ist: (Personenbezogene) Daten können in manchen Branchen dazu führen, dass einzelne Unternehmen große wettbewerbliche Vorteile aufbauen und diese Stellung missbräuchlich ausnutzen können. Andreas Mundt, der Präsident des Bundeskartellamtes, ist ebenfalls der Auffassung und begrüßt die Entscheidung mit folgendem Kommentar: „Das Urteil ist ein hervorragendes Signal für die Kartellrechtsdurchsetzung in der digitalen Wirtschaft. Daten sind dort ein entscheidender Faktor für die Begründung von Marktmacht. Die Nutzung der sehr persönlichen Daten der Verbraucherinnen und Verbraucher durch die großen Internetkonzerne kann auch kartellrechtlich missbräuchlich sein. Datenschutzregeln sind auch von den Wettbewerbsbehörden bei der Anwendung des Kartellrechts zu berücksichtigen. Das Urteil wird weitreichende Auswirkungen auf die Geschäftsmodelle der Datenwirtschaft haben. Bei der Rechtsdurchsetzung ist es wichtig, dass wir weiterhin eng mit den Datenschutzbehörden zusammenarbeiten.“

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mit dem Urteil vom 04.05.2023 (Rs. C‑487/21) beschäftigte sich der Europäische Gerichtshof (EuGH) mit der Frage nach den genauen Anforderungen an eine Kopie im Rahmen des Auskunftsanspruchs gemäß Art. 15 Abs. 3 DS-GVO. Lange Zeit haben Datenschützende darüber diskutiert, was genau unter dem Begriff „Kopie“ gemeint ist und was die genauen Anforderungen an eine Kopie der personenbezogenen Daten sind. Es bestanden rechtliche Unsicherheiten, ob Betroffenen eine exakte Kopie der verarbeiteten personenbezogenen Daten bereitzustellen ist – was häufig mit enormem Aufwand einhergeht – oder ob es ausreicht, Betroffenen die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einer aggregierten Form darzulegen.

Das Verfahren

Zunächst befasste sich das österreichische Bundesverwaltungsgericht mit dieser Frage und legte sie dem EuGH zur Prüfung vor. Im Detail ging es um die umstrittene Frage, ob der Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO streng nach dem Wortlaut des Art. 15 Abs. 3 DS-GVO, eine Kopie der personenbezogenen Daten die, Gegenstand der Verarbeitung sind, dem Betroffenen zur Verfügung stellen muss. 

Der EuGH wies zunächst darauf hin, dass Bestimmungen des Unionsrechts nicht nur anhand ihres Wortlauts entsprechend ihres Sinns nach dem gewöhnlichen Sprachgebrauch ausgelegt werden, sondern auch nach ihrem Kontext und den Zielen, die die jeweilige Regelung verfolgt. Der EuGH stellt in diesem Kontext klar, dass auch wenn die DS-GVO keine Definition des Wortes „Kopie“ vorgibt, der gewöhnliche Sinn des Begriffs zu berücksichtigen ist, welcher eine originalgetreue Reproduktion meint. Aus diesem Grund entspräche eine rein allgemeine Beschreibung der Daten, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition.

Gleichzeitig entschied der EuGH, dass der Begriff der Kopie weit auszulegen ist und folgerte aus der wörtlichen Auslegung, „[…] dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.“ Die Kopie müsste weiterhin sämtliche personenbezogene Daten enthalten, die Verarbeitungsgegenstand sind. Demnach müssen sämtliche personenbezogene Daten angegeben werden, auch die, die sich nicht explizit auf ein Dokument beziehen.

Ergebnis des Urteils

Art. 15 Abs. 3 Satz 1 DS-GVO ist laut Urteil des EuGH dahin auszulegen, dass Betroffene eine Kopie der personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind und somit nicht nur auf ein Dokument verweist. Das bedeutet, dass betroffene Personen das Recht haben, eine originalgetreue und verständliche Reproduktion aller ihrer Daten zu erhalten. In manchen Fällen muss der Verantwortliche sogar den Kontext der Datenverarbeitung erklären, wenn beispielsweise personenbezogene Daten aus anderen Daten generiert werden, oder wenn sie auf freien Feldern beruhen, also einer fehlenden Angabe aus der Informationen über Betroffene hergenommen werden können, „[…] damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.“

Leider kann hier der einfachere Weg, betroffenen Personen lediglich aggregierte Informationen bereitzustellen, nicht gegangen werden. Das Urteil hat nun klargestellt, dass die Geltendmachung eines Auskunftsanspruchs, bzw. dessen Umsetzung auch in Zukunft einen großen Aufwand bedeuten wird. Aus diesem Grund empfehlen wir, Datenbanken und andere Sammlungen von personenbezogenen Daten auf einer Weise zu organisieren, dass sämtliche Informationen schnell entsprechend in einem gängigen Format zusammengeführt werden können. Die ist durch den Einsatz entsprechender technische rund organisatorischer Maßnahmen, wie etwa durch den Einsatz spezieller Datenbanksysteme und dem Verzicht auf jegliche Parallelakten auch grundsätzlich möglich.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Europäische Gerichtshof (EuGH) wurde kürzlich mit der Frage konfrontiert, ob die Vorschriften des hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) mit den Regelungen der DS-GVO vereinbar sind. Anlass für die Prüfung dieser Frage durch den EuGH war ein Rechtsstreit zwischen dem Hauptpersonalrat der Lehrer und dem hessischen Kultusministerium. Im Genaueren ging es um das Thema Unterricht per Videokonferenz im Zuge der Notwendigkeit durch die Corona-Pandemie. Der Rechtsstreit sollte die Frage klären, ob das Halten des Unterrichts per Livestream einwilligungsbedürftig seitens des Lehrpersonals ist.

Ausgangssituation

Das Verwaltungsgericht Wiesbaden legte den Fall dem EuGH aufgrund der Regelungen des HDSIG zu Prüfung vor. Das Verwaltungsgericht stellte dem EuGH die grundlegende Frage, ob die Regelungen des § 23 Abs. 1 S. 1 HDSIG mit den Anforderungen des Art. 88 Abs. 2 DS-GVO vereinbar sind, nachdem das Gericht ebendies bezweifelte. Der EuGH musste sich nun mit der Frage befassen, ob die oben genannte Vorschrift zur Umsetzung der Eröffnungsklausel anwendbar ist, wenn diese die strengen Voraussetzungen des Art. 88 Abs. 2 DS-GVO nicht erfüllt.

Konsequenzen des Urteils auf den nationalen Beschäftigtendatenschutz

Das Urteil des EuGH vom 30. März 23 (Az.: C-34/21) und die möglicherweise damit einhergehenden Konsequenzen zu der anfangs fast schon harmlos klingenden Ausgangssituation, sorgte zum Teil für eine große Überraschung. Denn laut Urteil des EuGH wird eine nationale Regelung eben nicht von der Öffnungsklausel in Art. 88 Abs. 1 DS-GVO umfasst, sofern die jeweilige nationale Regelung die Voraussetzungen des Art. 88 Abs. 2 DS-GVO nicht erfüllt.

In dem vorliegenden Fall hat der EuGH es letztendlich dem Verwaltungsgericht überlassen zu entscheiden, ob die Regelungen des § 23 Abs. 1 S. 1 HDSIG mit denen der DS-GVO vereinbar sind, positionierte sich jedoch unmissverständlich auf die Seite des Verwaltungsgerichts und deutete an, dass er die Vorschriften eher nicht mit denen des Art. 88 DS-GVO als vereinbar sieht.

Zunächst betrifft die EuGH-Entscheidung lediglich diese eine Regelung des hessischen Datenschutzrechts. Der Grund, weshalb das Urteil solch hohe Wellen schlägt, ist die nahezu Deckungsgleichheit des § 23 HDSIG mit § 26 BDSG. Die Ausführungen des EuGH könnten deshalb auch auf § 26 Abs. 1 S. 1 BDSG angewandt werden, welche bislang als die zentrale Rechtsgrundlage für die Datenverarbeitung im Beschäftigtenkontext gesehen wird. Hieraus wird auch die mögliche Reichweite des Urteils klar: Aufgrund der Tatsache, dass die Regelungen beider Gesetze nahezu identisch sind, macht sich vermehrt Zweifel über die zukünftige Anwendbarkeit des § 26 BDSG breit.

Handlungsbedarf für Arbeitgeber?

Falls Sie sich jetzt Sorgen machen, dass Sie nun personenbezogene Daten Ihrer Beschäftigten nicht mehr verarbeiten dürfen, können wir Entwarnung geben. § 26 BDSG ist nicht die einzige Rechtsgrundlage, welche für die Verarbeitung von Beschäftigtendaten herangezogen werden kann. Alternativen wären hier Art. 6 Abs. 1 lit. b) und f) zu erwähnen. Und da der EuGH den Ball zum Verwaltungsgericht zurückgeworfen hat, ist derzeit noch nichts entschieden. Wir raten Ihnen daher, sich bereit zu halten, Ihre Datenschutzinformationen und Verfahrensverzeichnisse entsprechend anzupassen. Ihr Datenschutzbeauftragter wird Ihnen hierbei sicher gern behilflich sein. Wir jedenfalls sind es.

Die Einführung eines Beschäftigtendatenschutzgesetzes wird in Deutschland schon seit Längerem diskutiert. Das Urteil des EuGH dürfte der Diskussion wieder frischen und vor allem einen kräftigen Wind in die Segel pusten.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.