Es lässt sich mit Sicherheit sehr gut vertreten, dass im Datenschutz zunehmend eine Verrechtlichung stattfindet. Immer neue gesetzliche Anforderungen treten in Kraft und die Rechtsprechung beschäftigt sich mit allerlei Rechtsfragen. Insbesondere der Europäische Gerichtshof (EuGH) war in den letzten Wochen und Monaten fleißig und hat sich mit einer Reihe umstrittener Punkte auseinandergesetzt. Der heutige Beitrag soll einen Überblick über zwei dieser Urteile aus den letzten Wochen verschaffen.

Und täglich grüßt das Murmeltier – Max Schrems vs. Meta

Am 4. Oktober 2024 stand – mal wieder könnte man meinen – eine Entscheidung zwischen dem Datenschutzaktivisten Max Schrems und Meta Platforms, Inc. an. Im Kern behandelt die Rechtssache C-446/21 den Aspekt, dass nicht sämtliche personenbezogene Daten zeitlich unbegrenzt und ohne Unterscheidung nach Ihrer Art verwendet werden dürfen. Konkret hatte Facebook personenbezogene Daten, die sie ursprünglich für Zwecke der zielgerichteten Werbung erhoben hatten, in einem Werbeprofil verwendet. Es handelte sich hierbei um Aussagen einer Person über die eigene sexuelle Orientierung, mithin also um ein besonders schützenswertes Datum Im Sinne des Art. 9 DS-GVO.

Der EuGH urteilte wie folgt: „Als Zweites ist zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wie der Verarbeitung, um die es im Ausgangsverfahren geht, darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken.“ „Die Folgen für die Interessen und das Privatleben der betroffenen Person sind nämlich umso schwerer und die Anforderungen an die Rechtmäßigkeit der Speicherung der betreffenden Daten sind umso höher, je länger diese gespeichert werden“

Und weiter: „Des Weiteren ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e DSGVO die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.  Somit ist diesem Artikel eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, […] nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist.“

Deshalb: „Daraus ergibt sich, wie der Gerichtshof bereits entschieden hat, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind.“ Es lässt sich demnach festhalten, dass der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DS-GVO einer zeitlich unbegrenzten und nicht nach der Art der Daten unterscheidenden (Weiter-)Verarbeitung entgegensteht. Kritik am Urteil gibt es bereits.

Wenn sich zwei streiten – der Fall „Lindenapotheke“

In der Rechtssache C-21/23 – ebenfalls vom 4. Oktober 2024 – geht der EuGH nicht nur einer, sondern gleich zwei spannenden Fragen des Datenschutzrechts nach.

Zum einen setzt sich der Gerichtshof mit der Bestimmung des Begriffes der Gesundheitsdaten im Sinne des Art. 4 Nr. 15, Art. 9 DS-GVO auseinander. Im Ergebnis bestätigt der EuGH seine Ansicht aus vorangegangenen Urteilen und kommt zu einer weiten Auslegung des Begriffs. Zunächst einmal sind Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO „[…]  personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Der EuGH kommt zu dem Schluss, dass Kundendaten im Zusammenhang mit apothekenpflichtigen Arzneimitteln, die über eine Onlineplattform vertrieben werden und die Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen, Gesundheitsdaten im Sinne dieser Bestimmung darstellen. Dies gelte auch dann, wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. Dies wird damit begründet, dass aus den Daten zum Erwerb von Arzneimitteln Rückschlüsse auf den Gesundheitszustand einer identifizierten oder identifizierbaren Person gezogen werden können. Ziel der DS-GVO sei es ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten. Aus diesem Grunde sei auch eine weite Auslegung des Begriffs der Gesundheitsdaten geboten.

Außerdem beschäftigt sich der Gerichtshof mit dem Verhältnis von Datenschutz- und Wettbewerbsrecht. Eine seit 2018 in der datenschutzrechtlichen Welt mal mehr, mal weniger diskutierte Frage betraf im Kern die Überlegung, ob die Regelung der DS-GVO – insbesondere die Regelungen des Kapitels VIII – das nationale Wettbewerbsrecht sperren. In der Rechtssache lag ursprünglich ein Streit zwischen zwei Wettbewerben, konkret zwei Apothekern, zu Grunde. Der EuGH kommt zu dem Ergebnis, dass nationale Regelungen zum Wettbewerbsrecht, die es Mitbewerben ermöglichen gegen die Verletzung von Vorschriften zum Schutz personenbezogener Daten unter Gesichtspunkten der Vornahme unlauterer Geschäftspraktiken zu klagen, nicht durch die DS-GVO gesperrt werden.

Der Gerichtshof differenziert zwischen den jeweiligen Schutzrichtungen: „Vorab ist darauf hinzuweisen, dass Kapitel VIII DSGVO u. a. die Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt.“

Und weiter: „Zum Wortlaut der Bestimmungen des Kapitels VIII DSGVO ist festzustellen, dass in keiner dieser Bestimmungen ausdrücklich ausgeschlossen wird, dass ein Mitbewerber eines Unternehmens unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken wegen eines angeblichen Verstoßes dieses Unternehmens gegen die in der DSGVO vorgesehenen Pflichten bei den Zivilgerichten Klage gegen dieses Unternehmen erheben kann […] Dass Kapitel VIII DSGVO keine Bestimmungen enthält, die vorsehen, dass Mitbewerber eines Unternehmens, das gegen diese materiellen Bestimmungen verstoßen haben soll, Klage auf Unterlassung dieser Verstöße erheben können, geht darauf zurück, dass – …]  – nur betroffene Personen, nicht aber diese Mitbewerber Adressaten des durch diese Verordnung gewährleisteten Schutzes personenbezogener Daten sind.“

Zusammengefasst: „Die Möglichkeit für den Mitbewerber eines Unternehmens, unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken bei den Zivilgerichten Klage auf Unterlassung eines von diesem Unternehmen angeblich begangenen Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, lässt diese Ziele nicht nur unberührt, sondern kann die praktische Wirksamkeit dieser Bestimmungen sogar verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau der betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern.“

Mit diesem Urteil schriebt der EuGH seine bisherige Linie zur Anwendung von Art. 9 DS-GVO und einer anzuwendenden weiten Auslegung fort. Dies wird mit Sicherheit zu einigen Unsicherheiten und neuen Anwendungsfragen führen. Erfreulich hingegen kann die Klärung des Verhältnisses zwischen Datenschutz- und Wettbewerbsrecht aufgefasst werden.

Fazit

Das Rad in der Datenschutzwelt steht nicht still. Unaufhaltsam geht die Entwicklung in Gesetzgebung, Rechtsprechung und behördlicher Praxis voran. Insbesondere Datenschutzbeauftragte in Unternehmen und Behörden sind also stets gut beraten, sich auf dem Laufenden zu halten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Urteil vom 4. Oktober 2024 musste sich der Europäische Gerichtshof (EuGH) mit der Frage auseinandersetzen, inwieweit der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO auch im Rahmen personalisierter Werbung und bei Vorliegen einer entsprechenden Rechtsgrundlage umzusetzen ist. Im Detail ging es einerseits um die mögliche Verarbeitungsdauer zu Zwecken personalisierter Werbung, andererseits um die zweckbeschränkte Nutzung von seitens betroffener Personen öffentlich zugänglich gemachter personenbezogener Daten. Hintergrund des Verfahrens (C-446/21) ist eine Klage des österreichischen Datenschutz-Aktivisten Maximilian Schrems gegen die Datenverarbeitungspraktiken des Facebook-Mutterkonzerns Meta. Der Oberste Gerichtshof Österreichs hatte in diesem Kontext den EuGH um Auslegung der datenschutzrechtlichen Normen ersucht.

Zeitnah nach der Verkündung des Urteils äußerte sich der EuGH in einer kurzen Pressemitteilung zu seinen Entscheidungen. Mit der Veröffentlichung des vollständigen Urteils wird in Kürze zu rechnen sein.

Grundsatz der Datenminimierung gilt auch für personalisierte Werbung

Der EuGH musste sich zunächst mit folgender Vorlagefrage auseinandersetzen: „Ist Art. 5 Abs. 1 lit. c) DS-GVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform […] verfügt […], ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?“

Diese Frage wird seitens des EuGH deutlich verneint und hebt zugleich hervor, dass der Grundsatz der Datenminimierung eine zeitlich unbegrenzte und nach Art der Daten undifferenzierte Verarbeitung ausschließe: „First, the Court replies that the principle of data minimisation provided for by the GDPR precludes all of the personal data obtained by a controller, such as the operator of an online social network platform, from the data subject or third parties and collected either on or outside that platform, from being aggregated, analysed and processed for the purposes of targeted advertising without restriction as to time and without distinction as to type of data.”

Dies verdeutlicht, dass Verantwortliche grundsätzlich verpflichtet sind, für sämtliche zu verarbeitende personenbezogene Daten eine maximale Aufbewahrungsdauer festzulegen, die sich an einem zwingend erforderlichen Minimum zu orientieren hat. Eine Verarbeitung personenbezogener Daten über einen Zeitraum von bis zu 20 Jahren – wie im vorliegenden Fall – entspricht nicht dem Grundsatz der Datenminimierung.

Nutzung öffentlich zugänglich gemachter Informationen nur zweckgebunden möglich

Weiterhin bat der Oberste Gerichtshof Österreichs den EuGH um Beantwortung folgender Frage: „Ist Art. 5 Abs. 1 lit. b) [Zweckbindung, Anm. d. Autors] i.V.m. Art. 9 Abs. 2 lit. e) DS-GVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?“

Diesbezüglich verweist der EuGH darauf, dass zwar öffentlich zugänglich gemachte Informationen im Einklang mit der DS-GVO verarbeitet werden können, eine solche Legitimation aber nicht für solche Informationen gelten kann, die ein Verantwortlicher an anderer Stelle erlangt hat: „The consequence of the fact that a data subject has manifestly made public data concerning his or her sexual orientation is that those data may be processed in compliance with the provisions of the GDPR. However, that fact alone does not authorise the processing of other personal data relating to that data subject’s sexual orientation.”

Und weiter: „Thus, the fact that a person has made a statement about his or her sexual orientation on the occasion of a public panel discussion does not authorise the operator of an online social network platform to process other data relating to that person’s sexual orientation, obtained, as the case may be, outside that platform using partner third-party websites and apps, with a view to aggregating and analysing those data, in order to offer that person personalized advertising.”

Auch diesbezüglich setzt der EuGH seine bisherige Rechtsprechungstendenz zur umfassenden Wahrung der Grundrechte betroffener Personen fort und erteilt der weit verbreiteten Ansicht, alle ansatzweise veröffentlichen Informationen einer Person dürften umfassend zu eigenen Zwecken, insbesondere zur personalisierter Werbung, verarbeitet werden, eine Absage.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

… oder auch: „Muss es gleich die ganze Urkunde sein?“ Ja, er hat es wieder getan … Wie so oft (fast immer) entschied sich der Europäische Gerichtshof (EuGH) erneut bei einer Frage zur Datenschutz-Grundverordnung (DS-GVO) für eine ambitionierte, strenge und weitreichende Auslegung des europäischen Datenschutzrechts. Vorgelegt war in diesem Fall (Urt. v. Urteil vom 02.03.2023 – C 268/21) durch ein schwedisches Gericht die Frage, ob im Zivilprozess bei der Beweisführung mit Urkunden Datenschutzregeln eingreifen und – falls ja – welche Einschränkungen sich für die Beweisführung und somit auch für die Prozessführung durch das Gericht ergeben. Im konkreten schwedischen Zivilprozess sollten Unterlagen verwendet werden, die personenbezogene Daten Dritter, konkret steuerliche Informationen, enthielten.

Falls sich jemand wundert: DS-GVO und Gerichtsverfahren? Gilt da nicht die JI-Richtlinie für Justiz und Inneres? Die Ausnahme für Justiz und Inneres betrifft nach Art. 2 Abs. 2 lit. d) DS-GVO nicht die gesamte Justiz, sondern nur die Strafgerichte, das heißt Datenverarbeitungen zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung. Die schwedische Vorlage zum EuGH war also ganz und gar berechtigt. Gleichzeitig ist klar: Die Entscheidung ist nicht übertragbar auf Strafverfahren, sehr wohl aber relevant für die anderen Gerichtsbarkeiten (Arbeitsgerichte, Sozialgerichte, …).

Zur Entscheidung des EuGH

Entschieden hat der EuGH: Wenn ein nationales Gericht im Prozessverlauf die Vorlegung von Urkunden verlangt und solche Urkunden personenbezogene Daten enthalten, muss das Gericht vorab prüfen, (1) ob die Verwendung der Daten für den konkreten Prozess wirklich notwendig ist, (2) ob die Datenverwendung in einem angemessenen Verhältnis zum Prozessgegenstand bleibt (anders formuliert: keine Verarbeitung hochsensibler und vertraulicher Daten Dritter bei einem Streit um 50 Euro), (3) ob sich das angestrebte Ziel (z.B. eine Beweisaufnahme) auf anderen Wegen ohne die Datenverarbeitung oder mit geringeren Eingriffen in Datenschutzrechte erreichen lässt und (4) ob bzw. welche Schutzmaßnahmen für die im Prozess verwendeten personenbezogenen Daten zu treffen sind.

Auswirkungen auf die Praxis

Das klingt (und ist) alles in der Theorie sehr einleuchtend und braucht in der praktischen Umsetzung Augenmaß. Außerdem gibt es – und dafür sind die Grundsatzentscheidungen des EuGH ja gedacht – eine Menge „Ausstrahlungen“ in andere Bereiche. Nachfolgend einige erste Überlegungen, Folgeprobleme und Lösungsversuche:

• Was der EuGH für die Urkundenvorlage entschieden hat, gilt allgemein für jeden Beweis und noch darüber hinaus für jede Verarbeitung personenbezogener Daten im Prozess. Bei Verarbeitungen durch „öffentliche Stellen“ – ein Begriff, den die DS-GVO nicht kennt, an dem die deutschen Datenschutz-Gesetzgeber aber verbissen festhalten – gelten die Datenschutzregeln für jede Datenverarbeitung, auch außerhalb von Automatisierung und Dateisystemen (vgl. § 1 Abs. 1, 8 BDSG. Gerichte sind „öffentliche Stellen“. Damit gilt z.B. auch bei Zeugenvernehmungen für jede einzelne Frage, den Umfang der Protokollierung o.ä., dass das Gericht nicht nur den Sachverhalt aufklären, sondern dies auch möglichst datenschutzfreundlich erledigen muss.
  
  Die offene Fragetechnik, bei der Zeugen zunächst aufgefordert werden, über einen bestimmten Sachverhalt generell zu berichten, „was ihnen noch einfällt“, gerät in heftigen Konflikt mit dem Datenschutz: Schon die Mitteilung des Zeugen, die Personen X und Y habe er „kurz danach oder kurz davor auch getroffen“ ist ja für die Klärung der Beweisfrage „streng genommen“ nicht zwingend nötig, für eine glaubwürdige, lebensechte Zeugenaussage aber wichitg. Ist die entsprechende Frage und Protokollierung erlaubt? Umsetzbaren Datenschutz für die Praxis wird man nur erreichen, wenn in diesen und ähnlichen Fällen den verantwortlichen Stellen ein vernünftiger, nicht zu enger Spielraum zugebilligt wird. Weder das Gericht, noch irgendein anderer Prozessteilnehmer kann die eigenen Aufgaben im Verfahren vernünftig erfüllen, wenn vor jeder Verarbeitung personenbezogener Daten der Verarbeitungsbedarf mit strengem Maßstab geprüft wird.

• Was der EuGH für das Gericht entschied, gilt auch für die anderen Prozessteilnehmer, vor allem für die Prozessparteien und deren Anwälte. Nachdem schon der Auskunftsanspruch gemäß Art. 15 DS-GVO in der anwaltlichen Praxis teils unerfreuliche Blüten treibt und als kostenloses Druckinstrument z.B. in vielen Arbeitsgerichtsverfahren genutzt wird, könnten demnächst Streitlustige die Gegenseite in Gerichtsverfahren attackieren, weil Dokumente vollständig verwendet werden. Auch insoweit hilft nur Augenmaß und das Finden vernünftiger Kompromisse / Spielräume zwischen dem Ziel des Datenschutzes einerseits und dem Ziel effizienter Rechtsdurchsetzung andererseits. Der Weg dahin gestaltet sich wahrscheinlich mühsam.

• Der EuGH hat in seiner Entscheidung selbst angesprochen, dass Art. 47 der Europäischen Grundrechtscharta den Anspruch jeder / jedes Einzelnen auf effektiven Rechtsschutz garantiert. Mit diesem Anspruch untrennbar verbunden ist das uralte Prinzip des rechtlichen Gehörs: Niemand soll in Verfahren als Objekt behandelt werden, ohne die Chance zu erhalten, die eigene Sicht der Dinge zumindest dem Gericht zur Kenntnis zu bringen. Dafür wiederum ist Voraussetzung, dass jede/r Prozessbeteiligte weiß, worüber gesprochen wird. Aus diesem Grund besteht beispielsweise ein Recht auf Akteneinsicht. Die Kenntnis personenbezogener Daten darf deshalb (mit ganz wenigen Ausnahmen) dem jeweiligen Prozessgegner nicht verwehrt werden, weil er diese Daten missbrauchen könnte.
  
  Ganz neu ist das nicht und auch Ausnahmen von diesem Prinzip sind schon lange bekannt: Wenn beispielsweise Prozessbeteiligte wegen fehlender Mittel beantragen, das Gerichts- und / oder Anwaltskosten vorläufig aus der Staatskasse getragen werden (Prozesskostenhilfe), müssen sie Unterlagen zum eigenen Vermögen und Einkommen vorlegen. Gemäß § 117 Abs. 2 Satz 2 Zivilprozessordnung (ZPO) dürfen diese „Erklärung und die Belege“ grundsätzlich „dem Gegner nur mit Zustimmung der Partei zugänglich gemacht werden“.

• Eine Grenze für Löschungen bzw. Schwärzungen von Dokumenten wird sich prozessrechtlich dort ergeben, wo Originalurkunden verwendet werden müssen, z.B. im sogenannten Urkundsprozess nach §§ 592 ff. ZPO und überall dort, wo Änderungen bzw. Teilschwärzungen auf eine Verfälschung des Inhalts hinauslaufen könnten. Der letztgenannte Aspekt bietet wieder ein weites Feld für Diskussionen und Streit im Einzelfall.

Fazit

Die DS-GVO stellt auch in diesem Bereich Althergebrachtes und Gewohntes mit Hilfe des EuGH in Frage und auf den Prüfstand. Absehbar und durch die Verordnung erzwungen werden die Aspekte des Datenschutzes künftig bei den Abwägungen mit anderen Zielen (im Prozess z.B.: Wahrheitsfindung, effiziente/kostengünstige/schnelle Verfahrensführung) stärkeres Gewicht bekommen als bisher. Wichtig ist aber, dies nicht als Paradigmenwechsel misszuverstehen, also anzunehmen, dass künftig Datenschutzziel stets Vorrang erhalten. Und wichtig ist auch, zu sehen und anzuerkennen, dass bei der Abwägung zwischen verschiedenen Zielen die Entscheidung im Einzelfall nicht mathematisch ausrechenbar ist, nicht selten auch mehrere verschiedene Entscheidungen begründbar und vertretbar sein können.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die voranschreitende Digitalisierung der Geschäftsprozesse betrifft ebenfalls die Datenverarbeitungen in der Personalabteilung. Neben Systemen zur Zeiterfassung erfolgt in Unternehmen und Behörden zunehmend die Einführung der digitalen Personalakte. In diesem Zusammenhang stellen sich oftmals die Fragen der datenschutzrechtlichen Anforderungen sowie die Grenzen einer möglichen Digitalisierung. Der nachfolgende Beitrag gibt einen kurzen Einblick und soll bestehende Unsicherheiten auflösen.

Allgemeines zur (digitalen) Personalakte

Für privatwirtschaftliche Unternehmen besteht in der Regel keine gesetzliche Pflicht zur Führung einer Personalakte. Für öffentliche Stellen kann sich eine solche aus dem jeweiligen Landesrecht ergeben. In Sachsen regelt beispielsweise die Verwaltungsvorschrift (VwV) Personalakten „das Verfahren der Führung und Verwaltung von Personalakten der Angestellten, Arbeiter und der zu ihrer Ausbildung Beschäftigten im öffentlichen Dienst des Freistaates Sachsen“ und verweist größtenteils auf die Regelungen des Sächsischen Beamtengesetzes.

Soweit eine Verpflichtung zur Führung von Personalakten besteht oder solche freiwillig geführt werden, ist die Aufnahme von Vorgängen und Dokumentationen an den seitens der Rechtsprechung entwickelten Regeln des Personalaktenrechts auszurichten. Dabei gelten insbesondere die Grundsätze der Transparenz, der Richtigkeit, der Zulässigkeit und der Vertraulichkeit der darin befindlichen Informationen. Vertraulichkeit bedeutet in diesem Zusammenhang auch, dass die jeweiligen Informationen auch intern ausschließlich für zulässige Zwecke verwendet werden dürfen und entsprechend der hohen Schutzbedürftigkeit mit angemessenen technischen und organisatorischen Maßnahmen vor unbefugter Kenntnisnahme zu schützen sind.

Inhaltlich beschränkt sich die Personalakte in der Regel auf die für die Durchführung des Beschäftigten- bzw. Dienstverhältnisses erforderlichen Informationen, wobei sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. für öffentliche Stellen aus länderspezifischen Regelungen wie § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergibt. Arbeitsunfähigkeitsbescheinigungen sollten aufgrund Ihrer Sensibilität als Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO sowie wegen der abweichenden Aufbewahrungsfrist von maximal vier Jahren (§ 6 Abs. 1 Aufwendungsausgleichgesetz), nicht in der Personalakte aufbewahrt werden.

Die parallele Führung von Personalakten, beispielsweise durch den Betriebs- bzw. Personalrat oder durch die Personalabteilung in analoger und digitaler Form zugleich, verbietet sich bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Eine Führung von Teilakten durch verschiedene zuständige Personen ist möglich.

Einbindung von Dienstleistern

Im Rahmen der Einführung von digitalen Personalakten ist grundsätzlich eine Einbindung von externen Dienstleistern möglich. Beispielswiese kommen hierbei Unternehmen in Betracht, welche eine Digitalisierung der analogen Bestandsakten vornehmen oder welche im Rahmen von Support-Anfragen auf die Systeme Zugriff erhalten. Dabei ist jedoch zu berücksichtigen, dass diese Tätigkeiten in der Regel eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO darstellen und es hierfür eines entsprechenden Vertrages zur Auftragsverarbeitung bedarf.

Zu beachten ist dabei insbesondere die Regelung des Art. 28 Abs. 1 DS-GVO, wonach die verantwortliche Stelle ausschließlich mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Aufgrund der regelmäßig hohen Schutzbedürftigkeit von personenbezogenen Daten innerhalb einer Personalakte, sollte hierbei bereits vorab eine besonders strenge Prüfung erfolgen.

Aufbewahrung von Unterlagen im Original

Wie bereits dargestellt, verbietet sich eine grundsätzliche Aufbewahrung von digitalisierten Unterlagen zusätzlich im Original bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Darin heißt es: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“

Eine Erforderlichkeit zur Aufbewahrung im Original ergibt sich regelmäßig für Dokumente, welche zwingend dem Schriftformerfordernis gemäß § 126 BGB unterliegen. Hierzu gehören beispielsweise der Arbeitsvertrag, Aufhebungsverträge sowie Kündigungsschreiben. Durch das Scannen der entsprechenden Unterlagen bleibt zwar zunächst die Schriftform gewahrt, jedoch kann im Zweifelsfall nicht der Urkundsbeweis nach den §§ 415 ff. ZPO erbracht werden. Hierfür ist zwingend die Vorlage des Originals in Papierform erforderlich.

Selbiges gilt auch bei der Einführung der digitalen Personalakte durch öffentliche Stellen. Hierbei kann stellvertretend auf eine Entscheidung des Verwaltungsgerichts Köln (Urt. v. 15. Dezember 2016, Az.: 15 K 5144/16) verwiesen werden, welches zu digitalen Personalakten von Beamten auf Bundesebene wie folgt ausführte: „Die Entscheidung, in welcher Form der Dienstherr Personalakten führt, liegt in seinem Organisationsermessen. […] Denn bei der vom Gesetz zugelassenen vollständigen elektronischen Aktenführung entfällt die Notwendigkeit, eine papierne Akte nebenher vorzuhalten. Aus der Begründung des Gesetzes, […]  lässt sich entnehmen, dass eine parallele Führung gleicher Aktenteile in Papierform und in elektronischer Form grundsätzlich zu vermeiden ist und eine ausschließliche elektronische Führung in Betracht zu ziehen ist, wenn die erforderlichen technischen Voraussetzungen (etwa eine qualifizierte elektronische Signatur) vorliegen.“

Umsetzung von Löschfristen

Ein Vorteil der digitalen Personalakte liegt – je nach Funktionsumfang des gewählten Systems – in einer automatisierten Umsetzung von Löschfristen. Gemäß Art. 17 Abs. 1 lit. a) DS-GVO sind personenbezogene Daten regelmäßig zu löschen, soweit diese für die Verarbeitungszwecke nicht mehr erforderlich sind und gemäß Art. 17 Abs. 3 lit. b) DS-GVO keiner gesetzlichen Aufbewahrungspflichten unterliegen. Im Falle von Beschäftigtendaten können die gesetzlichen Aufbewahrungsfristen variieren. Während Dokumente und Unterlagen arbeitsrechtlicher Natur einer regelmäßigen Aufbewahrungsfrist von drei Jahren unterliegen, sind lohnsteuerrelevante Unterlagen für einen Zeitraum von bis zu sechs Jahren aufzubewahren.

Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.

Gewährleistung des Einsichtsrechts

Arbeitnehmern steht gemäß § 83 Abs. 1 Satz 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die ihnen betreffende Personalakte zu. Der Anspruch besteht grundsätzlich parallel zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO. Die Einführung einer digitalen Personalakte steht den gesetzlichen Ansprüchen nicht im Wege, kann bei entsprechender Etablierung der hierfür notwendigen Prozesse und Bereitstellung von Ressourcen sogar einfacher realisiert werden: Durch eine (gesicherte) Abrufmöglichkeit der digitalen Personalakte steht den Arbeitnehmern eine jederzeitige ortsunabhängige Möglichkeit zur Einsichtnahme in die Personalakte zur Verfügung. Demnach wird die Einsicht im Büro der Personalabteilung und unter Anwesenheit einer Person der Personalabteilung obsolet.

Fazit

Mit der Einführung der digitalen Personalakte können datenschutzrechtliche Besonderheiten verknüpft sein, welche jedoch gemeinsam mit dem Datenschutzbeauftragten leicht zu bewältigen sind. Insbesondere bei der Einbindung externer Dienstleister und der Umsetzung technischer und organisatorischer Maßnahmen sollte der Sensibilität und Schutzbedürftigkeit der personenbezogenen Daten der Personalakte angemessen Rechnung getragen werden. Darüber hinaus gelten für die digitale Personalakte die auch im Rahmen der analogen Personalakte anzuwendenden Regelungen des Personalaktenrechts.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.