Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Durch die zunehmende Komplexität von Arbeitsprozessen und die fortschreitende Spezialisierung von Organisationen werden immer öfter auch die Verarbeitungen personenbezogener Daten an andere Stellen ausgelagert. In der Praxis ergeben sich hierbei immer öfter Schwierigkeiten in der Einschätzung des (datenschutz-)rechtlichen Verhältnisses zwischen den beteiligten Vertragsparteien. Eine bedeutende Rolle nimmt in diesem Zusammenhang die sogenannte Auftragsverarbeitung ein. Der nachfolgende Beitrag soll Anhaltspunkte liefern, in welchen Konstellationen eine Auftragsverarbeitung regelmäßig anzunehmen ist.

Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche

Zur Klärung der Frage, in welchen konkreten Fällen eine Auftragsverarbeitung vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen.

Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.

Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.

Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können. So ist unter Beachtung des Art. 82 Abs. 2 Satz 2 DS-GVO eine Haftung des Verantwortlichen für Tätigkeiten des Auftragsverarbeiter grundsätzlich nicht ausgeschlossen.

Der Europäische Datenschutzausschuss (EDSA) nennt in seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO zwei grundsätzliche Voraussetzungen zur Einstufung als Auftragsverarbeiter. Einerseits muss es sich bei einem Auftragsverarbeiter um eine von dem Verantwortlichen getrennten Stelle handeln, andererseits muss dieser die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten.

Das erstgenannte Kriterium bedarf keiner näheren Betrachtung, dient es insbesondere der Klarstellung, dass Fachabteilungen innerhalb eines Verantwortlichen gegenseitig keine Auftragsverarbeitungen durchführen können. Hingegen sind  Unternehmen innerhalb eines Konzernverbundes regelmäßig jeweils als eigenständige Verantwortliche einzustufen, sodass diese gegenseitig Auftragsverarbeitungen erbringen können, z.B. in Form von Shared Services.

In der Praxis liegt der Streitpunkt jedoch viel häufiger bei der Frage, ob im jeweiligen Einzelfall eine Verarbeitung personenbezogener Daten im Auftrag erfolgt. Der EDSA definiert in den Leitlinien das Handeln im Auftrag in Anlehnung an das Rechtskonzept der Delegation als Dienen im Interesse eines anderen. Im datenschutzrechtlichen Kontext bedeute dies, dass „ein Auftragsverarbeiter die Weisungen des Verantwortlichen zumindest in Beug auf den Zweck der Verarbeitung und die wesentlichen Elemente der Mittel“ umzusetzen hat. Weiterhin schließe ein Handeln im Auftrag des Verantwortlichen die Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiter aus, diesen Schluss lasse insbesondere Art. 28 Abs. 10 DS-GVO zu.

Aus den Ausführungen des EDSA ergibt sich jedoch zwangsläufig die Anschlussfrage nach den wesentlichen und den unwesentlichen Elementen der Mittel einer Datenverarbeitung. Der EDSA nimmt in den benannten Leitlinien folgende Zuweisung vor: Die Festlegung wesentlicher Elemente obliege stets dem Verantwortlichen. Dabei handele es sich um Kriterien, die in einem engen Zusammenhang mit dem Zweck und dem Umfang der Datenverarbeitung stehen, also insbesondere die Art der verarbeiteten personenbezogenen Daten, die Kategorien der betroffenen Personen, die Dauer der Verarbeitung sowie die Kategorien von Empfängern. Bei unwesentlichen Elementen handele es sich hingegen insbesondere um „praktische Aspekte der Umsetzung“ oder umzusetzende Sicherheitsmaßnahmen.

Eine Besonderheit: Die Bereitstellung von Cloud-Anwendungen

Im Kontext der seitens des EDSA aufgestellten Kriterien stellt sich nun die Frage, ob die Nutzung cloudbasierter Anwendungen dann überhaupt eine Auftragsverarbeitung darstellt. Es könnte behauptet werden, allein der Cloudanbieter sei in der Lage über die wesentlichen Elemente bezüglich der Mittel einer Datenverarbeitung zu entscheiden. Schließlich darf die Möglichkeit zur Einflussnahme des Verantwortlichen auf die Datenverarbeitung, zum Beispiel hinsichtlich der konkreten Speicherdauer oder der Übermittlung an Unter-Auftragsverarbeiter, eines weltweit agierenden Cloudanbieters ernsthaft angezweifelt werden.

Doch auch hierauf findet der EDSA eine nachvollziehbare Antwort: „Selbst wenn der Auftragsverarbeiter eine Dienstleistung anbietet, die vorab in einer bestimmten Weise definiert wurde, muss er dem Verantwortlichen eine ausführliche Beschreibung der Dienstleistung vorlegen und der Verantwortliche muss die endgültige Entscheidung treffen, die Art und Weise der Verarbeitung aktiv zu genehmigen und erforderlichenfalls Änderungen zu verlangen. Des Weiteren kann der Auftragsverarbeiter die wesentlichen Elemente der Verarbeitung zu einem späteren Zeitpunkt nicht ohne Zustimmung des Verantwortlichen ändern.“

Eine Auftragsverarbeitung kann demnach also auch dann vorliegen, wenn der Auftragnehmer wesentliche Elemente der Datenverarbeitung vorab festlegt, dem Auftraggeber jedoch zumindest die Einflussnahme hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung möglich ist. Dies gelte auch dann, wenn der Auftraggeber ausschließlich zwischen Auftragsvergabe (Datenverarbeitung findet statt) und keiner Auftragsvergabe (Datenverarbeitung bleibt aus) wählen kann.

Übrigens liegt nach Ansicht des EDSA auch dann eine Auftragsverarbeitung vor, sofern die Verarbeitung personenbezogener Daten nicht den hauptsächlichen oder vorrangigen Gegenstand der angebotenen Dienstleistung darstellt. Dies ist beispielsweise dann relevant, sofern innerhalb der Cloud-Anwendung primär keine personenbezogenen Daten gespeichert, aber zur Gewährleistung einer ordnungsgemäßen Funktionalität personenbezogene Daten in Form von IP-Adressen und Zugriffszeiten verarbeitet werden müssen.

Typische Auftragsverarbeitungen

Fernab dieses Anwendungsfalls haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) im Rahmen ihres Kurzpapier Nr. 13 bereits im Jahr 2018 eine Reihe weiterer typischer Auftragsverarbeitungen benannt. Hierzu gehören beispielsweise Datenverarbeitungen im Zusammenhang mit der Lohn- und Gehaltsabrechnung sowie der Finanzbuchhaltung; die Adressverarbeitung durch einen Lettershop; die Datenträgerentsorgung durch einen Dienstleister sowie die Prüfung und Wartung von Datenverarbeitungsanlagen, sofern dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Im Gegensatz dazu ist eine Auftragsverarbeitung jedoch regelmäßig ausgeschlossen, wenn Datenverarbeitungen durch einen Berufsgeheimnisträger (z.B. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer) durchgeführt werden und die jeweilige Tätigkeit dem Berufsrecht unterliegt, das heißt grundsätzlich weisungsfrei und demnach eigenständig ausgeübt werden muss.

Fazit

Auch wenn die Einschätzung der datenschutzrechtlichen Verhältnisse zwischen den datenverarbeitenden Stellen nicht immer einfach ist, so bieten die benannten Veröffentlichungen des EDSA und der DSK sinnvolle Kriterien und Anwendungsbeispiele. Wird das Vorliegen einer Auftragsverarbeitung festgestellt, ist zwischen den beteiligten Vertragsparteien zwingend ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierbei muss vorab geprüft werden, ob der Vertrag sämtliche der durch Art. 28 DS-GVO geforderte Inhalte bereithält. Auch dabei ist der Datenschutzbeauftragte Freund und Helfer.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bewirkt eine falsche Zuordnung trotz Vorliegen einer Vereinbarung zwangsläufig die Rechtswidrigkeit der Datenverarbeitung? Jede und Jeder hat es schon erlebt: Geprüft werden Datenverarbeitungen, an denen verschiedene verantwortliche Stellen beteiligt sind. Am schönsten ist es natürlich, wenn die Prüfung gesetzeskonform vor Beginn der Verarbeitungen erfolgen kann. Oft fällt es dann schwer zu entscheiden – und ist vielleicht auch zwischen den beteiligten Stellen strittig – wie die Rollen verteilt sind:

Gemeinsame Verarbeitung, weil mehrere Verantwortliche personenbezogene Daten für einen gemeinsamen Zweck verarbeiten oder jedenfalls gemeinsam personenbezogene Daten verarbeitet werden, wenn auch teils für verschiedene Zwecke? Oder doch Auftragsverarbeitung, bei der ein Dienstleister die Datenverarbeitung nach den Weisungen des Auftraggebers erledigt? In der Praxis gilt bekanntlich: Je komplexer die Dienstleistung, desto weitgehender wird die Art und Weise der Datenverarbeitung vom Dienstleister geprägt und vom Auftraggeber „nur akzeptiert“. Oder hat der Dienstleister eventuell „mehrere Hüte auf“, nämlich den des Auftragsverarbeiters, bei bestimmten Verarbeitungszwecken aber auch den der eigenverantwortlich agierenden Stelle?

Zuordnung muss dokumentiert getroffen werden

Tatsächlich lassen sich nicht alle Anwendungsfälle momentan sicher und eindeutig zuordnen. Auch die Rechtsprechung – insbesondere der Europäische Gerichtshof (EuGH) – wird in den nächsten Jahren zwar einige zweifelhafte Konstellationen klären, aber nicht umfassend jeden Zweifel ausräumen. Schon jetzt und auch in Zukunft gilt sinnvollerweise: Geschuldet ist eine sorgfältige, ergebnisoffene Prüfung und jedenfalls eine Vereinbarung in Textform zwischen den Beteiligten, welche die Datenschutzpflichten klar regelt.

Diese Vorgehensweise verträgt sich bestens mit der EuGH-Entscheidung vom 04.05.2023 (Az. C-60/22): Der EuGH hatte zu klären, ob bei unzutreffender oder fehlender Vereinbarung für eine gemeinsame Verantwortung schon dieser formale Mangel dazu führt, sämtliche zugehörige Datenverarbeitungen als rechtswidrig zu beachten. Er hat diese Frage verneint. Das heißt: Wer bei Verarbeitungen in gemeinsamer Verantwortung (nichts anderes gilt dann bei Auftragsverarbeitungen) die gesetzlich vorgeschriebene Vereinbarung in Textform gar nicht oder nur fehlerhaft erstellt, verletzt das Datenschutzrecht und begeht eine Ordnungswidrigkeit. Der formale Fehler führt aber nicht zwingend zur materiellen Rechtswidrigkeit aller zugehörigen Datenverarbeitungen. Diese sind vielmehr rechtlich nach den allgemeinen Grundsätzen, dem Vorhandensein einer Rechtsgrundlage – z.B. Einwilligung oder Gesetz –, die Einhaltung der Grundsätze der Datenverarbeitung sowie die Gewährleistung ausreichender technischer und organisatorischer Maßnahmen zu prüfen.

Umsetzung in der Praxis

Praktische Empfehlung für die eingangs genannten Zweifelsfälle also: Vereinbarung in Textform treffen und Pflichten verteilen. Ob man sich bei der Überschrift („Vereinbarung zur gemeinsamen Verarbeitung“, „Vereinbarung zur Auftragsverarbeitung“ etc.) vergriffen hat, ist weniger (weit weniger) wichtig als die Rechtsgrundlage der Verarbeitung und ausreichende Datensicherheit. Wenn der Streit über die Verarbeiter-Rollen also gar nicht formal lösbar ist, darf der Vertragstitel z.B. auch lauten „Datenschutz-Vereinbarung“. Der Folgefehler einer falschen Dokumentation (z.B. Verzeichnis der Verarbeitungstätigkeiten als Auftragsverarbeiter anstelle Verantwortlicher) führt ebenfalls nicht zu einer Rechtswidrigkeit der einzelnen Verarbeitung und auch nicht etwa zu einem Löschanspruch der betroffenen Personen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wer ist eigentlich für die Datenverarbeitungen verantwortlich? Diese, dem Grunde nach so einfach lautende Frage stellt Datenschützende nicht selten vor Schwierigkeiten. In der Praxis lässt sich auf den ersten Blick gar nicht so leicht beantworten wer sich für eine konkrete Verarbeitung personenbezogener Daten verantwortlich zeichnet und bedarf daher unter Umständen einer vertieften Prüfung. Das längst nicht alle datenschutzrechtlichen Verantwortlichkeiten klar sind zeigt auch das Urteil des Verwaltungsgerichts Wiesbaden vom 19.1.2022 – Az.: 6 K 361/21.WI. Das Gericht hat sich mit der Frage der datenschutzrechtlichen Zulässigkeit bei der Verwendung von Gesundheitsdaten im Rahmen der Vorträge von Rechtsanwältinnen und Rechtsanwälten in Gerichtsverfahren auseinandersetzen müssen.  Mit dem Inhalt des Urteils, den Entscheidungsgründen und der Bedeutung für die Praxis beschäftigt sich der nachfolgende Beitrag.  

Worum geht es?

Ursprünglich stritten die Parteien über arbeitsrechtliche Fragestellungen. Im Verlauf der Auseinandersetzung wurde zudem eine datenschutzrechtliche Komponente eingestreut, da die Arbeitnehmerseite die Ansicht vertrat, dass die prozessführende Rechtsanwältin des Arbeitgebers nicht zur Verwendung der Gesundheitsdaten des Arbeitnehmers im Prozess berechtigt gewesen sei. Konkrete hatte das Verfahren die Verwertung von vertraulichen Informationen aus einem Gespräch des betrieblichen Eingliederungsmanagements (beM) nach § 167 SGB IX zum Gegenstand. In dem arbeitsgerichtlichen Verfahren trug die Rechtsanwältin des Arbeitgebers unter anderem vor, dass im Rahmen des beM-Gesprächs eine mögliche Wiedereingliederung des Klägers, die Wiederaufnahme seiner Beschäftigung, ein ärztliches Attest und die Möglichkeit der Einrichtung eines Telearbeitsplatzes besprochen worden seien. Das Arbeitsgericht wies die Klage ab. Der Kläger legte anschließend Berufung ein und wandte sich zudem mit einer Beschwerde gegen die Verstöße der Rechtsanwältin durch den Vortrag der Gesundheitsdaten aus dem Arbeitsgerichtsprozess an die zuständige Datenschutzaufsichtsbehörde des Landes Niedersachsen.

Gegenstand der Beschwerde war die unbefugte Erhebung, Speicherung und Verwendung von höchstpersönlichen personenbezogenen, insbesondere gesundheitlichen und seine Schwerbehinderung betreffenden Daten. Die Rechtsanwältin habe sowohl mündlich in den Gerichtsterminen als auch in den eingereichten Schriftsätzen an das Arbeitsgericht mehrfach und umfangreich ohne die Zustimmung des Klägers aus dem beM- Gespräch zitiert. Die Aufsichtsbehörde folgte den Ausführungen nicht und teilte dem Kläger mit, dass die Verarbeitung personenbezogener Daten durch die Rechtsanwältin aus datenschutzrechtlicher Sicht nicht zu beanstanden sei. Weiter heißt es, die Verarbeitung personenbezogener Daten müsse nicht zwangsläufig auf die Einwilligung der betroffenen Person gestützt werden. Es solle durch den Datenschutz nicht bezweckt werden, dass die Rechtspflege zum Erliegen komme. Der Kläger habe selbst entsprechende personenbezogene Daten in den arbeitsgerichtlichen Prozess eingeführt, gegen die sich die Arbeitgeberin zu verteidigen habe. Dies begründe die Erforderlichkeit, konkrete Gesundheitsdaten zu verarbeiten, da sich andernfalls das Risiko, den Prozess zu verlieren, signifikant erhöhe. Gegen den Bescheid erhob der Kläger schließlich Klage vor dem VG Wiesbaden.

Was hat das Gericht entschieden?

Das VG Wiesbaden wies die Klage ab. Die Datenverarbeitung durch die Rechtsanwältin war und ist rechtmäßig zulässig. Nach Ansicht des Gerichtes sind Rechtsanwältinnen und Rechtsanwälte hinsichtlich ihres Vortrages in Gerichtsverfahren Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO. Hiernach ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Rechtsanwälte sind nach § 1 Bundesrechtsanwaltsordnung (BRAO) unabhängige Organe der Rechtspflege. Der Rechtsanwalt ist gemäß § 3 Abs. 1 BRAO der berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten. In dieser Eigenschaft verarbeitet er regelmäßig personenbezogene Daten im Rahmen des Mandats. Es handelt sich hierbei um eine berufsständisch verankerten unabhängige Tätigkeit. Rechtsanwältinnen und Rechtsanwälte sind daher datenschutzrechtlich selbst als Verantwortliche einzuordnen. Rechtsanwältinnen und Rechtsanwälte tragen selbst die Verantwortung für den Inhalt der Schriftsätze hinsichtlich Gestaltung und Haftung. Mithin entscheiden sie auch über den Zweck der Datenverarbeitung beim Inhalt des Vortrages.

Darüber hinaus war die gegenständliche Datenverarbeitung nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO i.V.m. Art. 9 Abs. 2 lit. f) DS-GVO auch rechtmäßig. Dies ist der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. In Betracht kommen hierbei rechtliche, wirtschaftliche oder ideelle Interessen. Im vorliegenden Fall liegt das Interesse der Rechtsanwältin laut Gericht darin, die vertragliche Verpflichtung mit ihrem Mandanten, der Arbeitgeberin, zu erfüllen. Dies umfasst die Prozessvertretung im arbeitsgerichtlichen Verfahren sowie entsprechende Vorträge. Die Rechtsanwältin erklärte sich zudem nicht im eigenen Namen über die Daten des Klägers, sondern als Vertreterin und im Namen der Partei über die ihr vom Mandanten zugetragenen Tatsachen. Bei den Äußerungen einer Rechtsanwältin oder eines Rechtsanwaltes im Prozess handelt es sich um Parteivortrag. Die Tätigkeit wäre unmöglich, wenn er nicht grundsätzlich das vortragen dürfte, was der Mandant mitteilt. Es besteht vielmehr sogar die Gefahr der Anwaltshaftung, wenn entgegen § 138 Abs. 2, Abs. 3 Zivilprozessordnung nicht der Vortrag der gegnerischen Partei bestritten und der Sachverhalt aus der Perspektive des Mandanten darstellt wird.

Auch die im Rahmen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO vorzunehmende Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen bzw. einem Dritten (hier der Mandantschaft) an der Verarbeitung und dem Interesse des Klägers an der Vertraulichkeit seiner Daten geht nach Ansicht des VG Wiesbaden zu Gunsten der Rechtsanwältin aus. Die von der Rechtsanwältin verwendeten Daten sind weder falsch noch durch diese in rechtswidriger Weise beschafft. Gleiches gilt für die Gesundheitsdaten des Klägers, deren Verarbeitung nach Art. 9 Abs. 1 DS-GVO grundsätzlich untersagt ist. Nach Art. 9 Abs. 2 lit. f) DS-GVO gilt das Verbot dann nicht, wenn die Verarbeitung […] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich [ist]. Diese Norm dient der Sicherung des Justizgewährleistungsanspruchs. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung besonderer Kategorien personenbezogener Daten, hier sensitiver Gesundheitsdaten, durchsetzen, so soll es hieran nicht scheitern. Das Datenschutzrecht soll die Durchsetzung von Rechten nicht unmöglich machen. Gleiches gilt vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen.

FAZIT

Der Entscheidung des VG Wiesbaden kommt auf den ersten Blick unscheinbar daher, besonders für Rechtsanwältinnen und Rechtsanwälte dürfte sich allerdings eine hohe Praxisrelevanz entfalten. Zum einen führt das VG Wiesbaden in klarer Anwendung des Art. 4 Nr. 7 DS-GVO die Bestimmung des datenschutzrechtlich Verantwortlichen durch. Dieser kann mit Blick auf die Inhalte der Schriftsätze und Vorträge im Rahmen gerichtlicher Verfahren nur die prozessführende Rechtsanwältin bzw. der prozessführende Rechtsanwalt sein.

Darüber hinaus wird für Klarheit hinsichtlich der gegebenenfalls erforderlichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO der Gegenseite gesorgt. Das Datenschutzrecht kann und will in diesen Konstellationen kein Hindernis für die legitime Rechtsdurchsetzung sein. Dieses Ergebnis muss insofern zwingend sein, als dass die Anwaltschaft ihre Stellung als unabhängiges Organ der Rechtspflege einnehmen kann. Im Rahmen einer möglicherweise erforderlichen Interesseabwägung bei der Datenverarbeitung ist jedoch stets auf die Eingriffsintensität und die Sensibilität der konkret zu verarbeitenden Daten zu achten. Von der Datenverarbeitung dürften nur solche personenbezogenen Daten erfasst werden, deren Vortrag für die gerichtliche Entscheidung letztendlich inhaltlich erforderlich sind. Zu berücksichtigen wird auch sein, ob der Betroffene vielleicht selbst die Daten in den Prozess eingebracht hat.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DER DATENSCHUTZBEAUFTRAGTE ALS VERANTWORTLICHER?

Wir beginnen unseren kleinen thematischen Ausflug mit der Datenschutzorganisation der verantwortlichen Stellen: Auch wenn die Begrifflichkeiten und Pflichten des Verantwortlichen und des Datenschutzbeauftragten klar voneinander zu trennen sind, herrscht in der Praxis oftmals die Fehlvorstellung, dass mit der Benennung eines Datenschutzbeauftragten alle datenschutzrechtlichen Pflichten erfüllt seien. Mit einem Blick in die Datenschutz-Grundverordnung (DS-GVO) wird jedoch schnell klar, dass diese Annahme falsch ist: Die datenschutzrechtlichen Verpflichtungen, insbesondere die vielfältigen Dokumentationspflichten in Form von Datenschutzinformationen, Verträgen zur Auftragsverarbeitung und Verzeichnissen von Verarbeitungstätigkeiten, richten sich ausnahmslos an den Verantwortlichen, das heißt an das Unternehmen oder die Behörde, welche die jeweilige Datenverarbeitung durchführen.

Dem Datenschutzbeauftragten obliegen hingegen insbesondere Beratungs- und Überwachungsaufgaben gemäß Art. 39 DS-GVO. Selbstverständlich kann er in diesem Zusammenhang den Verantwortlichen und die jeweiligen Fachbereiche bei der Erstellung der jeweiligen Dokumentationen unterstützen, die Pflicht zur Ausführung und im Zweifelsfall zur Vorlage bei der jeweiligen Datenschutz-Aufsichtsbehörde treffen ausnahmslos die verantwortliche Stelle. In diesem Zusammenhang kann auch auf das Gerichtsurteil des OLG München (Urt. v. 27.10.2021 – AZ.: 20 U 7051/20) verwiesen werden, welches im zu beurteilenden Fall die Haftung des externen Datenschutzbeauftragten im Rahmen eines Datenschutzverstoßes der verantwortlichen Stelle ausschloss: Verantwortlich ist und bleibt die verantwortliche Stelle. Der Datenschutzbeauftragte sollte jedoch stets eingebunden werden, um seinen Beratungs- und Überwachungsaufgaben nachkommen und damit die verantwortliche Stelle vor etwaigen Haftungsrisiken schützen zu können.

DIE EINWILLIGUNG ALS ULTIMATIVE RECHTSGRUNDLAGE?

Wie bereits im Rahmen unseres Blog-Beitrages „Einwilligungen – Wie ? Wann? Wofür nicht?“ thematisiert, werden Einwilligungen der betroffenen Personen oftmals als „die ultimative Rechtsgrundlage“ verstanden: Datenverarbeitung im Bewerbungsverfahren? Einwilligung. Datenverarbeitung zur Vertragsdurchführung? Einwilligung. Dabei bestehen für die beispielhaft aufgeführten Anwendungsbeispiele jeweils eigenständige Rechtsgrundlagen:

§ 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) lautet beispielsweise: „Personenbezogene Daten von Beschäftigten [gemäß § 26 Abs. 8 Satz 2 BDSG zählen hierzu auch Bewerber:innen] dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] erforderlich ist.“ Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO führt aus: „Die Verarbeitung ist […] rechtmäßig, wenn […] die Verarbeitung […] für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen […].“

Weiterhin sind an Einwilligungserklärungen hohe Anforderungen zu setzen, sodass solche bereits aus diesem Grund nur in Ausnahmefällen als Rechtsgrundlage herangezogen werden sollten. Die DS-GVO setzt voraus, dass Einwilligungen stets nachweisbar sind (Art. 7 Abs. 1 DS-GVO), die Abgabe einer Einwilligungserklärung stets freiwillig erfolgt (Erwägungsgrund 42 Satz 5 zur DS-GVO, § 26 Abs. 2 Satz 1 und 2 BDSG), sowie sich die Einwilligung auf eine bestimmte Datenverarbeitung bezieht, welche der betroffenen Personen klar und verständlich erläutert wurde (Art. 7 Abs. 2 DS-GVO, Erwägungsgrund 42 Satz 3 und 4 zur DS-GVO). Sofern bereits einzelne der benannten Anforderungen nicht vollumfänglich umgesetzt wurden, kann die Einwilligung der betroffenen Person als unwirksam angesehen werden. Die Datenverarbeitung erfolgte durch die verantwortliche im Umkehrschluss ohne einschlägige Rechtsgrundlage – ein bußgeldbewehrter Datenschutzverstoß.

Ergänzend sei zu erwähnen, dass die Freiwilligkeit der Einwilligung beispielsweise bereits dann nicht mehr gegeben ist, wenn einzelne Auswahlfelder vorangekreuzt sind oder der betroffenen Person Nachteile, beispielsweise bezugnehmend auf ein bereits bestehendes Vertragsverhältnis, angedroht werden.

EINE EINWILLIGUNG IM NAMEN DRITTER?

In der Beratungs-Praxis begegnen uns jedoch auch häufig Fälle in denen Datenverarbeitungen von Vertragspartnern für eine Vielzahl von Personen auf die Einwilligung eines Einzelnen gestützt werden sollen. Oft treten diese Fälle im Zusammenhang mit der betrieblichen Altersvorsorge in Unternehmen auf. Die Versicherungsgesellschaften beabsichtigen Datenverarbeitungen von Beschäftigten des Versicherungsnehmers auf die alleinige Einwilligung des Geschäftsführers zu stützen. Aus datenschutzrechtlicher Sicht ist dies gar nicht möglich: Eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO muss durch die betroffene Person persönlich vorgenommen werden. Die Abgabe der Einwilligung durch einen Stellvertreter ist nicht ohne Weiteres möglich und dürfte insbesondere in der benannten Konstellation grundsätzlich zu verneinen sein. Die Folge: Eine Verarbeitung personenbezogener Daten ohne einschlägige Rechtsgrundlage. Verantwortliche Stellen sollten sich auf derartige Datenschutzpraktiken nicht einlassen.

DIE DATENSCHUTZINFORMATIONEN VERSTANDEN UND AKZEPTIERT?

Wer kennt es nicht? Das Kontaktformular einer Internetseite wird genutzt und am Ende muss eben noch kurz bestätigt werden, dass die Datenschutzinformationen gelesen, verstanden und akzeptiert werden. Doch ist diese Vorgehensweise unter Berücksichtigung der datenschutzrechtlichen Anforderungen notwendig? Nein. Die einschlägigen Artikel zur Bereitstellung von Datenschutzinformationen (Artt. 13, 14 DS-GVO) verlangen ausschließlich, dass der Verantwortliche den betroffenen Personen zum frühestmöglichen Zeitpunkt Informationen zu der jeweiligen Datenverarbeitung mitteilt. Es muss demnach der betroffenen Person ohne Hindernisse möglich sein, auf die Datenschutzinformation zuzugreifen und sich über die Verarbeitung personenbezogener Daten zu informieren. Die betroffene Person ist jedoch nicht verpflichtet, die Datenschutzinformationen auch tatsächlich zur Kenntnis zu nehmen. Auch eine Akzeptanz der Datenschutzinformationen ist aufgrund des rein informativen Charakters nicht erforderlich und entfaltet darüber hinaus auch keinerlei rechtliche Wirkung.

KEINE MELDUNG DER DATENSCHUTZVERLETZUNG MIT EINVERSTÄNDNIS DER BETROFFENEN?

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, wobei ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht auszuschließen ist, so obliegt dem Verantwortlichen die Meldung dieser Datenschutzverletzung an die jeweils zuständige Datenschutz-Aufsichtsbehörde. Die Meldung hat dabei insbesondere den Anforderungen des Art. 33 Abs. 3 DS-GVO zu genügen. Erwächst den betroffenen Personen aufgrund der Datenschutzverletzung ein hohes Risiko, sind diese ebenfalls über das Vorliegen einer Datenschutzverletzung in Kenntnis zu setzen.

Die DS-GVO regelt im Falle von Datenschutzverletzungen klar die Meldeverpflichtung verantwortlicher Stellen: Kein Risiko – keine Meldung, Risiko – Meldung an die Aufsichtsbehörde, hohes Risiko – Meldung an Aufsichtsbehörde und Information der betroffenen Personen. Nichtsdestotrotz begegnen uns auch in diesem Bereich unterschiedlichste Fehlinterpretationen der einschlägigen Normen. In einem Fall führte dies dazu, dass der Verantwortliche trotz eines bestehenden Risikos keine Meldung an die Aufsichtsbehörde vornahm. Zur Begründung hieß es, dass das Einverständnis der betroffenen Person vorläge, auf eine Meldung an die Aufsichtsbehörde zu verzichten. Eine derartige Möglichkeit sehen die Regelungen der DS-GVO nicht einmal ansatzweise vor. Im Falle einer fehlversendeten E-Mail unterblieb trotz eines anzunehmenden Risikos ebenfalls die Meldung an die Aufsichtsbehörde, da die Angabe fehlerhaften Zeichenfolgen innerhalb des Empfänger-Feldes doch keine Datenschutzverletzung darstellen könne.

Kommen Ihnen diese Beschreibungen bekannt vor oder sind Sie sich in der praxisnahen Anwendung der datenschutzrechtlichen Anforderungen unsicher? In diesen Fällen können wir Ihnen unsere Datenschutzsprechstunde empfehlen. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 13. September 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen ihres aktuellen Tätigkeitsbericht geht die Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) auf zwei Konstellationen ein, in denen Beschäftigte seitens der Datenschutzaufsichtsbehörde mit einem Bußgeld sanktioniert wurden, nachdem sie personenbezogene Daten, welche sie zur Ausübung ihrer dienstlichen bzw. betrieblichen Tätigkeit erlangt, zu eigenen (privaten) Zwecken und somit außerhalb ihrer vorgesehenen Tätigkeit und Weisung seitens des Arbeitgebers bzw. Dienstherren verarbeitet haben. Beide Fälle wurden mit einer Geldbuße in dreistelliger Höhe geahndet. Diese Konstellationen klingt vertraut, hatte doch der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) laut Pressemitteilung vor rund drei Jahren einen Bußgeldbescheid in Höhe von 1.400 EUR  gegen einen Polizeibeamten verhängt, der dienstlich erlangte personenbezogene Daten zu privaten Zwecken verarbeitet hatte. Mit der Betrachtung und rechtlichen Einordnungen dieser und vergleichbarer Fälle beschäftigt sich der nachfolgende Beitrag.

WAS WAR PASSIERT?

Der erste Fall ereignete sich laut LDA Brandenburg wie folgt: „Eine ehemalige Mitarbeiterin eines Unternehmens hatte – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kolleginnen und Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streitigkeiten über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden.Die Handlung der ehemaligen Beschäftigten war dem Unternehmen nicht zuzurechnen. Ihre dienstliche Tätigkeit bestand u. a. in der Erfassung und Aufbereitung der Arbeitszeitkonten inklusive der Urlaubs- und Krankentage sowie der Erstellung von Salden für erbrachte Arbeitsleistungen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.“

Den zweiten Fall schildert die LDA Brandenburg folgendermaßen: „Ein Angestellter hatte sich von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren an seine private E-Mail-Adresse weitergeleitet, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Die Angestellte handelte in diesem Fall unbefugt. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen. Der Beschäftigte konnte sich hier auf keine Rechtsgrundlage für die Übersendung der Unterlagen und mithin für die Verarbeitung der gegenständlichen personenbezogenen Daten berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Artikel 6 Abs. 1 Satz 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) geht zu ihren Gunsten aus. Selbst wenn das Interesse des Angestellten an den Bewerbungsunterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen jedenfalls die Interessen, Grundrechte und Grundfreiheiten der Bewerberinnen und Bewerber. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den Arbeitgeber des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Verwendung ihrer personenbezogenen Daten durch den Angestellten zum Zweck der Anregung bei der Gestaltung eigener Bewerbungen stellte keinen rechtfertigenden Grund dar, in das Grundrecht auf Informationelle Selbstbestimmung einzugreifen. Die Übersendung der Bewerbungsunterlagen stellt somit eine unbefugte Verarbeitung personenbezogener Daten dar.“

WIE WIRD EIN EINZELNER BESCHÄFTIGTER EIN DATENSCHUTZRECHTLICH VERANTWORTLICHER?

Nach Art. 4 Nr. 7 der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Allein aus dem Wortlaut (natürliche oder juristische Person) wird klar, dass es sich bei dem datenschutzrechtlichen Verantwortlichen um eine Organisation, aber auch um eine Einzelperson handeln kann. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer oder ein einzelner Beschäftigter), die als Verantwortlicher im Sinne der DS-GVO fungiert.

Bei der konkreten Bewertung ist im Ausgang in den Fällen der Verarbeitung personenbezogener Daten durch Organisationen auch darauf abzustellen, dass die Verarbeitung nicht durch die jeweilige Organisation selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden. Dieses Handeln der Beschäftigten ist in aller Regel der jeweiligen Organisation zuzurechnen. Dies gilt jedenfalls dann, wenn die Verarbeitung personenbezogener Daten für die durch die jeweilige Organisation festgelegten Zwecke und in Ausübung der innerorganisatorischen Tätigkeit der Beschäftigten, mithin nach Weisung und unter Kontrolle der Organisation, erfolgt. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als datenschutzrechtlich Verantwortlicher anzusehen.

Diese Auffassung wird ebenfalls in den Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0 getragen: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird.“ Der EDSA führt jedoch weiter aus: „Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“

WELCHE SANKTIONEN DROHEN?

In Konsequenz des oben Gesagten trifft in erster Linie die jeweilige Stelle die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Beschäftigte. Verarbeiten nun die Beschäftigten die personenbezogenen Daten Betroffener eigenverantwortlich, sind diese ihrerseits nunmehr Adressaten von Haftungsansprüchen und aufsichtsbehördlichen Maßnahmen und Sanktionen. Zunächst sei hier der offensichtliche Anknüpfungspunkt herangezogen: die Bußgeldsanktionierung gemäß Art. 83 DS-GVO. Diese richtet sich sehr wohl auch gegen natürliche Personen als datenschutzrechtlich Verantwortliche. Dies gilt selbst für Beschäftigte öffentlicher Stellen. Wie der LfDI in der eingangs genannten Pressemitteilung hervorhebt, haben die Landesgesetzgeber zwar öffentliche Stellen – anders als Privatunternehmen – mitunter bei Datenschutzverstößen von der Sanktionierung ausgenommen (vgl. z.B. § 19 Abs. 3 Sächsisches Datenschutzdurchführungsgesetz). Wenn Beschäftigte öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden. Darüber hinaus kommen durch auch Ansprüche betroffener Personen wie bspw. die Geltendmachung eines Anspruchs auf Schadenersatz nach Art. 82 DS-GVO in Betracht.

FAZIT

Bei der Verarbeitung personenbezogener Daten durch Organisation – gleich welcher Rechtsnatur – wird zuvorderst darauf abzustellen sein, dass sich die jeweiligen Organisationen für die in ihrem Zuständigkeitsbereich erfolgenden Verarbeitungen personenbezogener Daten verantwortlich zeichnen. Dies wird zumindest deshalb anzunehmen sein, weil die Festlegung der Zwecke und Mittel der Verarbeitung durch die Organisationen erfolgt. Die innerhalb der Organisation tätigen Beschäftigten führen die Verarbeitungsprozesse entsprechend nach Weisung und Befugnissen der verantwortlichen Organisationen aus. Überschreiten Beschäftigte aber diese Befugnisse liegt eine eigenständige Verantwortlichkeit nahe. Es ist jedoch allerdings Aufgabe der Organisationen für die Einhaltung der Befugnisse und Weisungen durch angemessene technische und organisatorische Maßnahmen zu sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gegenwärtig finden in zahlreichen Unternehmen die Betriebsratswahlen statt. Dies nehmen wir zum Anlass, um im Rahmen unseres aktuellen Blog-Beitrages einen Überblick über datenschutzrechtliche Themen mit Bezug zur Betriebsratstätigkeit zu geben. Gerade aufgrund der besonderen Stellung und der damit einhergehenden Vertrauensposition des Betriebsrates, ist es für alle Angehörigen des Betriebsrates wichtig, sowohl die datenschutzrechtlichen Rechte und Pflichten als auch die jeweiligen Grenzen der jeweiligen Datenverarbeitungen zu kennen.

WER IST DATENSCHUTZRECHTLICH VERANTWORTLICH?

Für die Gewährleistung der Einhaltung der datenschutzrechtlichen Normierungen ist grundsätzlich die verantwortliche Stelle im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO) zuständig. Als verantwortliche Stelle versteht die DS-GVO jene Stelle, welche über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Lange Zeit war umstritten, ob der Betriebsrat nach dieser Definition eine eigene verantwortliche Stelle bildet. Klarstellung erfolgte im Jahr 2021 durch den § 79a Betriebsverfassungsgesetz (BetrVG). In der Norm heißt es: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“

WELCHE DATENSCHUTZRECHTLICHEN MITWIRKUNGSPFLICHTEN BESTEHEN?

Auch wenn der Arbeitgeber zunächst als verantwortliche Stelle zu bezeichnen ist, treffen den Betriebsrat Mitwirkungspflichten. Einerseits hat sich der Betriebsrat gemäß § 79a Satz 1 BetrVG an die jeweils geltenden datenschutzrechtlichen Normen zu halten. Andererseits besteht gemäß § 79a Satz 3 BetrVG die Pflicht zur gegenseitigen Unterstützung zwischen Arbeitgeber und Betriebsrat. Eine solche Unterstützung kann durch den Betriebsrat beispielsweise im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO erfolgen: Der Betriebsrat fertigt eine entsprechende Dokumentation der – aus Sicht des Betriebsverfassungsgesetztes – in seiner Verantwortung liegenden Verarbeitungstätigkeiten an. Der Arbeitgeber unterstützt den Betriebsrat beispielsweise wiederum in der Schaffung ausreichend technischer und organisatorischer Maßnahmen, z.B. die Bereitstellung abschließbarer Schränke. Darüber ist es ratsam auch bei der Umsetzung der datenschutzrechtlichen Anforderungen eine vertrauensvolle Zusammenarbeit im Sinne des § 2 Abs. 1 BetrVG zu wahren.

IST DER DATENSCHUTZBEAUFTRAGTE DES UNTERNEHMENS AUCH FÜR DEN BETRIEBSRAT ZUSTÄNDIG?

Die Aufgabe des Datenschutzbeauftragten umfasst, insbesondere hinsichtlich Art. 39 Abs. 1 lit. a) DS-GVO, ebenfalls die Unterrichtung und Beratung des Betriebsrates. Dabei ist die besondere Verschwiegenheitsverpflichtung gemäß § 79a Satz 4 BetrVG gegenüber dem Arbeitgeber zu beachten. Diese umfasst sämtliche Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen. Ergänzend hierzu gelten § 6 Abs. 5 Satz 2 Bundesdatenschutzgesetz (BDSG) sowie § 38 Abs. 2 BDSG im Verhältnis zwischen Datenschutzbeauftragten und Arbeitgeber. Der Datenschutzbeauftragte des Unternehmens kann somit auch durch den Betriebsrat in Anspruch genommen werden.

KÖNNEN ANGEHÖRIGE DES BETRIEBSRATES DATENSCHUTZBEAUFTRAGTE SEIN?

Dem Datenschutzbeauftragten obliegen die Überwachung und Kontrolle der Einhaltung des Datenschutzrechts innerhalb der verantwortlichen Stelle. Wie bereits dargestellt, umfasst dies neben der Beratung aller Beschäftigten ebenfalls der Beratung des Betriebsrates. Hierin wird teilweise eine Interessenkollision gesehen, wenn eine Person zugleich die Positionen des Datenschutzbeauftragten und des Betriebsratsmitgliedes innehat. Während das Bundearbeitsgericht im Jahr 2011 (Urteil vom 23. März 2011 – AZR 562/09) eine solche Interessenkollision verneinte, wurde in einem aktuellen Verfahren des Bundesarbeitsgerichts dem Europäischen Gerichtshof unter anderem die Frage vorgelegt, ob die gleichzeitige Ausübung der Position des Datenschutzbeauftragten und des Betriebsratsmitglieds zu einer Interessenkollision führen können. Eine rechtssichere Beantwortung der Frage ist demnach erst nach einer Entscheidung des Europäischen Gerichtshof möglich.

MUSS DER BETRIEBSRAT GESONDERT ZUR VERSCHWIEGENHEIT VERPFLICHTET WERDEN?

Zwar ergibt sich nicht direkt aus den Normen der DS-GVO die Pflicht zur Verpflichtung von Beschäftigten auf Verschwiegenheit, jedoch kann eine solche mittelbar aus Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten) sowie Art. 29 DS-GVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) herausgelesen werden. Darüber hinaus gilt für Angehörige des Betriebsrates eine gesetzliche Verschwiegenheitsverpflichtung aus § 79 Abs. 1 BetrVG sowie aus § 79a BetrVG. Einer zusätzlichen Verpflichtung bedarf es darüber hinaus nicht zwingend. Zu empfehlen ist jedoch die Sensibilisierung der Angehörigen des Betriebsrates mittels Sensibilisierungen und Schulungen zum Thema Datenschutz im Betriebsrat.

WELCHE PERSONENBEZOGENEN DATEN DÜRFEN DURCH DEN BETRIEBSRAT VERARBEITET WERDEN?

Grundsätzlich dürfen durch den Betriebsrat all diejenigen personenbezogenen Daten verarbeitet werden, welche zur Wahrnehmung der Aufgaben des Betriebsrates zwingend benötigt werden, vgl. § 26 Abs. 1 Satz 1 BDSG. Erforderlich ist hierbei jedoch, dass die Aufgabenzuweisung an den Betriebsrat einen konkreten Informationsfluss zu Gegenstand hat, z.B. § 80 Abs. 2 Satz 2 Hs. 2 BetrVG oder § 102 Abs. 1 BetrVG. In diesem Zusammenhang sind insbesondere der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO), der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS-GVO) zu beachten. Nicht immer ist es zwingend erforderlich, dass der Betriebsrat zur Wahrnehmung seiner Aufgaben personenbezogene Daten erhält. Beispielsweise im Rahmen der Überprüfung von Arbeitszeiten sind im ersten Schritt Übersichten ohne Personenbezug ausreichend. Sollten daraufhin Abweichungen oder Gesetzesverstöße festgestellt werden, kann der Betriebsrat im zweiten Schritt eine personenbezogene Arbeitszeitübersicht der betreffenden Abteilung erhalten. Außerdem besteht im Rahmen des § 26 Abs. 4 BDSG die Möglichkeit, dass zur Verarbeitung personenbezogener Daten von Beschäftigten Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat geschlossen werden.

WELCHE AUFBEWAHRUNGSFRISTEN GELTEN FÜR UNTERLAGEN DES BETRIEBSRATES?

Zunächst ist festzuhalten, dass keine spezialgesetzlich vordefinierten Aufbewahrungsfristen für Betriebsratsunterlagen bestehen. Die Handhabung richtet sich somit nach den allgemeinen datenschutzrechtlichen Bestimmungen und ist hinsichtlich des jeweiligen Einzelfalls entsprechend auszulegen. Anzuführen sind hierbei insbesondere die Grundsätze für die Verarbeitung personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO sowie das Recht auf Löschung gemäß Art. 17 Abs. 1 DS-GVO. Betriebsräte dürfen damit personenbezogene Daten so lange verarbeiten, wie es zwingend erforderlich ist. Anschließend besteht eine rechtliche Verpflichtung zur Löschung (Art. 17 Abs. 1 lit. a) DS-GVO), sofern nicht gesetzliche Aufbewahrungsfristen einer Löschung entgegenstehen (Art. 17 Abs. 3 lit. b) DS-GVO). Konkret kann damit beispielsweise Folgendes argumentiert werden:

– Wahlunterlagen sind bis zum Ende der jeweiligen Amtsperiode aufzubewahren.

– Protokolle sind aufzubewahren, solange sie eine rechtliche Bedeutung besitzen (z.B. Betriebsvereinbarungen). Im Rahmen von Protokollen sollten möglichst wenig personenbezogene Daten angegeben werden. Dementsprechend kann somit auch eine Übergabe an den nachfolgenden Betriebsrat argumentiert werden. Gegebenenfalls hat der neue Betriebsrat zu überprüfen, ob eine weitere Aufbewahrung erforderlich ist.

– Dokumentationen zu Maßnahmen sind in der Regeln nach Beendigung der Maßnahmen zu löschen, sofern diese nicht gegebenenfalls im Rahmen einer Beweisführung mit hoher Wahrscheinlichkeit voraussichtlich benötigt werden (Art. 17 Abs. 3 lit. e) DS-GVO) oder eine gesetzliche Aufbewahrungspflicht besteht. Nur dann kann eine Weitergabe an den neuen Betriebsrat im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgen.

Sofern Unterlagen (z.B. zu abgeschlossenen Maßnahmen) aufbewahrt werden müssen, sind diese getrennt von aktuellen Unterlagen (z.B. laufender Maßnahmen) aufzubewahren (sogenannte „Einschränkung der Verarbeitung“, auch „Archivierung“). Eine Vernichtung von personenbezogenen Unterlagen darf ausschließlich über ein Entsorgungsunternehmen oder eigenständig mittels eines Aktenvernichters (Schutzstufe P-4) erfolgen.

WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN SIND UMZUSETZEN?

Art. 32 DS-GVO fordert eine der Datenverarbeitung sowie der damit einhergehenden Risiken angemessene Sicherheit der Verarbeitung. Da die im Rahmen der Betriebsratstätigkeit verarbeiteten personenbezogenen Daten in der Regel als besonders schützenswert anzusehen sind, sind diese bestmöglich vor einer Zugriffsmöglichkeit Unbefugter zu sichern. Dies umfasst beispielsweise die Nutzung abschließbarer Räumlichkeiten, die Verwahrung von Unterlagen in abschließbaren Schränken sowie die Verwendung gesonderter, zugriffsgeschützter Laufwerke. Der Betriebsrat als Gremium sollte über ein gesondertes E-Mail-Funktionspostfach verfügen, die Übermittlung von Unterlagen per E-Mail sollte zumindest in Form passwortgeschützter Anlagen erfolgen, wobei die Passwörter nicht über das gleiche Medium zu übermitteln sind. Die Bereitstellung ausreichender technischer und organisatorischer Maßnahmen obliegt der Verantwortung des Arbeitgebers, die entsprechende Handhabung der Verantwortung des Betriebsrates.

FAZIT

Mit der Tätigkeit im Betriebsrat geht auch im Rahmen des Datenschutzrechts eine besondere Verantwortung einher. Das jeweilige Unternehmen und der Betriebsrat haben sich bei der Einhaltung des Datenschutzrechts gegenseitig zu unterstützen, hierbei wird auch der Datenschutzbeauftragte des Unternehmens tätig. Zur Gewährleistung der jeweiligen Anforderungen ist eine spezielle Schulung der Betriebsratsmitglieder zu empfehlen. Sie wünschen sich eine Beratung oder Schulung zum Thema Datenschutz im Betriebsrat? Sprechen Sie uns gerne an!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

BEGRIFF DES VERANTWORTLICHEN

Der Begriff des Verantwortlichen (auch „verantwortliche Stelle“) ist in Art. 4 Nr. 7 DS-GVO legaldefiniert. Verantwortlicher ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, […].“ Entscheidend für die Feststellung und Abgrenzung einer verantwortlichen Stelle ist demnach, dass die entsprechende Stelle tatsächlich über die Entscheidungsbefugnis hinsichtlich Zwecke und Mittel, das heißt über das „ob“, „warum“ und „wie“, einer Datenverarbeitung verfügt. Sie unterscheidet sich damit beispielsweise grundsätzlich von einem Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO, welcher Datenverarbeitungen stets strikt nach Weisung und im Auftrag einer verantwortlichen Stelle durchführt.

Aus der Legaldefinition des Begriffs der verantwortlichen Stelle folgt demnach auch, dass Datenverarbeitungen von Einzelpersonen oder Personengruppen, die einen Bezug  zu einem Beschäftigtenverhältnis oder einer ähnlich gearteten Tätigkeit aufweisen, grundsätzlich der übergeordneten Stelle, zum Beispiel dem Arbeitgeber, zuzurechnen sind. Führt eine einzelne Person in dieser Konstellation jedoch Datenverarbeitungen zu eigenen Zwecken durch und handelt in diesem Zusammenhang etwa gegen Anweisungen oder Richtlinien der übergeordneten Stelle, ist unter Umständen auch diese als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Hierbei ist jedoch nicht auszuschließen, dass die übergeordnete Stelle aufgrund unzureichender technischer und organisatorischer Maßnahmen zumindest eine Mitverantwortung trifft.

KOMMUNE ALS VERANTWORTLICHER

Aus der obigen Darstellung ergibt sich somit ohne Zweifel, dass die einzelnen Fachbereiche und Ämter einer Kommune der Kommune selbst als verantwortlicher Stelle zuzurechnen sind. Unter Umständen weniger eindeutig ist dies jedoch bei einzelnen Gremien oder weiteren Stellen und Einrichtungen:

PERSONALRAT

Parallel zu der Frage, ob der Betriebsrat als Teil der verantwortlichen Stelle anzusehen ist, stellte sich diese Frage ebenso lange Zeit hinsichtlich des Personalrates. Auch wenn es in den landesspezifischen Personalvertretungsgesetzen überwiegend keine zu § 79a Betriebsverfassungsgesetz vergleichbare Regelungen gibt, sprechen die zum Teil hervorgebrachten Argumente für eine Zuordnung zur Kommune als verantwortliche Stelle. Im Ergebnis ergibt sich für den Personalrat eine Mitwirkungsverpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze sowie zur Umsetzung der datenschutzrechtlichen Dokumentationspflichten, jedoch keine ausschließliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO.

GEMEINDE-/STADTRAT

Der Gemeinde-/Stadtrat ist grundsätzlich als Verwaltungsorgan und mithin als Organ der jeweiligen Gemeinde beziehungsweise Stadt anzusehen. Als Organ ist der Gemeinde-/Stadtrat demzufolge als integrierter Bestandteil der jeweiligen Gebietskörperschaft als juristischer Person und mithin nicht als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO zu verstehen. Dies geht beispielsweise auch aus der Informationsbroschüre „Datenschutz für bayerische Gemeinderatsmitglieder“ hervor: „Als ehrenamtliches Gemeinderatsmitglied entscheiden Sie nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen Ihrer Gemeinde. Sie wirken vielmehr  an den Entscheidungen des Gemeinderats mit, der seinerseits als Organ für die Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, mit der Folge, dass sie im Datenschutzrecht die Rolle des Verantwortlichen spielt.“

ORTSCHAFTSRAT

Gleiches gilt im Ergebnis für Ortschaften als nicht rechtsfähige Körperschaften des öffentlichen Rechts sowie die zugehörigen Ortschaftsräte, einschließlich der Ortsvorsteher. Diese sind als unselbständiger Teil der jeweiligen Gemeinde beziehungsweise Stadt anzusehen, sodass die Tätigkeiten des Ortschaftsrates nach datenschutzrechtlichen Gesichtspunkten stets der verantwortlichen Stelle der Kommune zuzurechnen sind.

KINDERTAGESSTÄTTEN

Hinsichtlich der Kindertagesstätten ist für die Beurteilung der datenschutzrechtlichen Verantwortlichkeit zunächst die Frage nach der jeweiligen Trägerschaft entscheidend. Sofern sich eine Kindertagesstätte in der Trägerschaft der jeweiligen Kommune befindet, ist davon auszugehen, dass die Kommune grundsätzlich über die Zwecke und Mittel der Datenverarbeitungen entscheidet. Dies beschränkt sich dann nicht ausschließlich auf die Vergabe der Kindertagesstättenplätze sondern erstreckt sich auch auf die Datenverarbeitungen innerhalb der Kindertagesstätte, wie zum Beispiel das Führen von Anwesenheitslisten, die Vornahme der Entwicklungsdokumentation sowie die Anfertigung von Foto- und Videoaufnahmen. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet. Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch die Kommune verantwortliche Stelle.

KULTUR- UND FREIZEITEINRICHTUNGEN

Bei Kultur- und Freizeiteinrichtungen entscheidet sich die datenschutzrechtliche Verantwortlichkeit anhand des konkreten Betreibers: Oftmals werden für den Betrieb derartiger Einrichtungen (gemeinnützige) Gesellschaften gegründet. Hieraus folgt dann, dass diese Gesellschaft als eigenständige juristische Person und nicht die Kommune als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen ist.

UMSETZUNG IN DER PRAXIS

Aufgrund der Strukturen der Kommunalverwaltung und der Vielzahl der Kommune als verantwortliche Stelle zuzurechnender Stellen, Einrichtungen und Organe, ist die Einführung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Aus diesem sollten sich zunächst die Reichweite der datenschutzrechtlichen Verantwortlichkeit der Kommune sowie die hieraus resultierenden Mitwirkungspflichten der einzelnen Personen und Personengruppen (z.B. Gemeinde-/Stadträte, Ortsvorsteher, Beschäftigte der Kindertagesstätten) ergeben. Weiterhin bedarf es der Implementierung von Prozessketten, sodass im Falle von Datenschutzverletzungen oder bei Geltendmachung von Betroffenenrechten sowohl der behördliche Datenschutzbeauftragte als auch die Leitung der verantwortlichen Stelle hiervon unmittelbar Kenntnis erlangen.

Darüber hinaus ist eine weitere Zuweisung von Zuständigkeiten sinnvoll, zum Beispiel: In welchem Rahmen und durch welche Personenkreise erfolgt eine Zuarbeit hinsichtlich der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DS-GVO sowie der Datenschutzinformationen nach Art. 13 und Art. 14 DS-GVO? Durch welche fachbereichs- oder prozessverantwortliche Stelle erfolgt eine Überprüfung und Aufbewahrung der Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO beziehungsweise zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO?

Der Kommune obliegt zudem die Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO für alle Ämter, Fachbereiche, Gremien, Organe und Einrichtungen. Dies umfasst beispielsweise regelmäßig die Bereitstellung der notwendigen technischen Infrastruktur (z.B. von Laptops und E-Mail-Postfächern) sowie die entsprechende Absicherung (z.B. Verschlüsselung von Festplatten, Einrichtung von Firewalls und Antiviren-Softwares) dieser. Die Nutzung privater Endgeräte und Postfächer wird datenschutzrechtlich regelmäßig als problematisch bis unzulässig einzustufen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WELCHES ZIEL VERFOLGT DAS GESETZ?

Das Gesetz verfolgt vorrangig die Stärkung der Arbeit der Betriebsräte und soll eine Vereinfachung von Betriebsratswahlen herbeiführen. Ausweislich der Entwurfsbegründung sollen u.a. für die Teilnahme an Betriebsratssitzungen mittels Video- oder Telefonkonferenz für die Betriebsratsarbeit sachgerechte und dauerhafte Regelung geschaffen werden, die zugleich einen wesentlichen Beitrag zur Digitalisierung der Betriebsratsarbeit leisten. Auf Grund der Vergleichbarkeit der Regelungsmaterie soll die dauerhafte Möglichkeit der Nutzung virtueller Sitzungsformate auch für die Personalvertretungen auf Bundesebene geschaffen werden.

Daneben soll auch die datenschutzrechtliche Verantwortlichkeit nach der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden. Hierauf soll im Folgenden näher eingegangen werden:

WELCHE DATENSCHUTZRECHTLICHE REGELUNG WIRD GETROFFEN?

Der Gesetzgeber beabsichtigt zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret wird der folgende § 79a Betriebsverfassungsgesetz (BetrVG) eingeführt:

§ 79a
(Datenschutz)

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

WIRD FÜR RECHTSKLARHEIT GESORGT?

Zunächst erfolgt mit § 79a Satz 1 BetrVG eine eher klarstellende Regelung. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Aus der Entwurfsbegründung lässt sich entnehmen, dass die Verarbeitung personenbezogener, mitunter sensibler Beschäftigtendaten zum Kernbereich der Aufgabenerfüllung der Betriebsräte zählt. Ihnen kommt daher eine besondere Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften zu. Aufgrund der sich aus der DS-GVO ergebenden Verpflichtung zur Einhaltung der Grundsätze zur Datenverarbeitung, insbesondere aus Art. 5 DS-GVO, dient der Satz 1 zur Klarstellung der Verpflichtungen seitens des Betriebsrates.

Ferner macht der Gesetzgeber mit der Regelung des § 79a Satz 2 BetrVG von der Öffnungsklausel des Art. 4 Nr. 7 Halbsatz 2 DS-GVO Gebrauch. Diesbezüglich führt die Entwurfsbegründung an, dass die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sachgerecht ist, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigter Institution ist. Bei der Verarbeitung personenbezogener Daten agieren die Betriebsräte als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Ferner soll die Regelung die bislang bestehende, seit dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) jedoch umstrittene Rechtslage fortführen und der Schaffung von Rechtsklarheit dienen. Durch die Regelung wird also der Versuch unternommen, die Verantwortlichkeit für Datenverarbeitungen, welche im Rahmen der Betriebsratsarbeit durchgeführt werden, dem Arbeitgeber zu unterstellen. Die Schaffung von Rechtsklarheit zielt hier im Wesentlichen auf den anhalten Streit um die Frage, ob Mitarbeitervertretungen wie beispielsweise der Betriebsrat als eigenständige Verantwortliche anzusehen oder eben als Teil des verantwortlichen Arbeitgebers einzustufen sind.

Kritisch über den Gesetzesentwurf äußerte sich bereits die Gesellschaft für Datenschutz und Datensicherheit e.V. in ihrer Stellungnahme vom 11. Februar 2021.

Ausweislich der Begründung des Gesetzesentwurfs zu § 79a BetrVG besteht keine Pflicht seitens des Betriebsrates ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO zu führen. Gleichzeitig ergeht der Hinweis, dass das Verarbeitungsverzeichnis des Arbeitgebers gleichermaßen die Verarbeitungstätigkeiten des Betriebsrates enthalten muss. Dies wirft mit Sicherheit in der Praxis Fragen dergestalt auf, wie der Verantwortliche in Fällen des mangelnden Informationsflusses zwischen Betriebsrat und Arbeitgeber beispielsweise aufgrund angespannter Verhältnisse, die gemäß Art. 30 DS-GVO erforderlichen Informationen beibringen kann.

Ähnliches dürfte bei der Erfüllung der Betroffenenrechte aus dem Kapitel III der DS-GVO – hier hebt die Entwurfsbegründung explizit das Auskunftsrecht (Art. 15 DS-GVO) hervor – sowie, ohne dass in der Entwurfsbegründung näher darauf eingegangen wird, die Behandlung von Datenschutzverletzungen und damit einhergehenden Melde- und Informationspflichten der Art. 33 und Art. 34 DS-GVO gelten. In diesen Fällen ist der Arbeitgeber unbestreitbar auf Mit- bzw. Zuarbeit des Betriebsrates angewiesen, wenn sich die geltend gemachten Rechte bzw. die eingetretenen Datenschutzverletzungen auf durch den Betriebsrat verarbeitete personenbezogene Daten beziehen. Dies gilt nicht zuletzt vor den gesetzlich normierten Fristen zur Bearbeitung.  

Im Gegensatz zu den oben genannten Konstellationen führt die Entwurfsbegründung anschließend jedoch aus, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DS-GVO sicherzustellen hat. Im Gegensatz stehen diese Ausführungen deshalb, da Art. 24 und Art. 32 DS-GVO – ebenso wie Art. 30 und Art. 15 DS-GVO – den Verantwortlichen, also gemäß den eingangs geschilderten Regelungen den Arbeitgeber und gerade nicht den Betriebsrat, verpflichten. Diese unterschiedliche Begründungshaltung verwundert doch zunächst.

Fraglich bleibt bei diesem nicht stringenten Begründungsverhalten weiterhin, wie beispielsweise im Rahmen von Schadenersatzansprüchen durch Betroffene gemäß Art. 82 DS-GVO oder Bußgeldsanktionierungen durch die Aufsichtsbehörde gemäß Art. 83 DS-GVO zu verfahren ist.

In der Vergangenheit wurde bereits in Thüringen für die Personalvertretung in § 80 Thüringer Personalvertretungsgesetz (ThürPersVG) eine „vergleichbare“ Regelung erlassen. Diese sieht vor, dass der Personalrat einen Datenschutzbeauftragten zu bestellen habe. Insofern man die entsprechenden europäischen Grundlagen der Art. 37 Abs. 1 DS-GVO bzw. Art. 37 Abs. 4 DS-GVO in Verbindung mit § 38 BDSG heranzieht, wird deutlich, dass grundsätzlich der Verantwortliche bzw. der Auftragsverarbeiter zur Benennung verpflichtet sind.

FAZIT

Der neueinzuführende § 79a BetrVG kann definitiv als Möglichkeit zur Regelung der datenschutzrechtlichen Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat einzustufen sein. Offenbleiben muss jedoch, ob hiermit auch die vom Gesetzgeber angestrebte Rechtssicherheit bzw. -klarheit herbeigeführt werden kann.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.