Laufende Daten während des Beschäftigungsverhältnisses
PSP Case Study zur DSGVO: Praxisfall 4

DSGVO: Praktischer Fall

Frau Maier ist in der Lohnbuchhaltung der Huber AG tätig. Die Buchhaltungssoftware zeichnet bei jeder Veränderung, die Frau Maier an den Datensätzen vornimmt, mit einem Zeitstempel auf, dass Frau Maier Änderungen vorgenommen hat. Dies wird bei Aufruf des Datensatzes, gleich durch wen, mit dem Zusatz „zuletzt bearbeitet von Maier am [Datum], [Uhrzeit]“ angezeigt. Frau Maier macht nach drei Jahren Betriebszugehörigkeit einen Auskunftsanspruch (nach DSGVO) gegen die Huber AG geltend, welche personenbezogenen Daten von ihr gespeichert werden.

Hier geht es um den Umfang des Auskunftsanspruches des Betroffenen (zur Löschung Fall 33), der über die Jahre eine Vielzahl von „Datenspuren“ hinterlässt. Der Hessische Beauftragte für Datenschutz charakterisiert diese Datenspuren in seinem Tätigkeitsbericht 2018 wie folgt:

„Darüber hinaus emittieren Beschäftigte unter Berücksichtigung ihrer Tätigkeitsausübung Daten zu ihrer Person etwa bei der Nutzung der zur Verfügung gestellten IT-Infrastruktur (PC, Laptop, Mobiltelefon, Tablet) oder der geschäftlichen Kommunikation (Erstellung von Schriftstücken oder Kommunikation mittels E-Mail). Da das Arbeitsverhältnis naturgemäß auf eine gewisse Dauer angelegt ist, fallen diese Daten unter Umständen über Jahre und Jahrzehnte hinweg an.“

Diese „Bewegungsdaten“ – in Abgrenzung zu den Stammdaten – umfassen auch Protokoll- und Logging-Daten, die insbesondere bei der Benutzung von Fachapplikationen der Unternehmens-IT aufgezeichnet werden. In der SAP-Welt werden die in der Fallgestaltung oben betroffenen Daten beispielsweise als „Änderungsbelege“ bezeichnet. Spezifische Fragestellungen im Zusammenhang mit der Protokollierung als solcher werden in Fall 38 behandelt.

Legitimationsgrund?

Soweit diese „Bewegungsdaten“ Beschäftigter im Rahmen juristischer Stellungnahmen thematisiert werden, geht es meist um Fragen im Zusammenhang mit dem Auskunftsrecht des Betroffenen. Dabei wird allerdings häufig eine grundlegendere Frage übersehen, nämlich, welche datenschutzrechtliche Legitimationsgrundlage der Erhebung dieser Daten durch den Arbeitgeber überhaupt zugrunde liegt. Ähnlich wie bei den unternehmensbezogenen Kontaktdaten (dazu Fall 1) und den „Personalaktendaten“ (Fall 7) könnten die Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich sein (§ 26 BDSG). Im Gegensatz zur alternativ anzunehmenden Interessenabwägung wäre dann z. B. ein Widerspruch des Beschäftigten gegen die Verarbeitung nicht möglich. In den einschlägigen Abhandlungen steht die Legitimität der Verarbeitung von Bewegungsdaten an sich meist außer Frage, solange es nur um die Nachvollziehbarkeit bzw. Aufklärbarkeit unternehmensinterner Vorgänge anhand dieser Daten geht und nicht um eine Überwachung des Mitarbeiters. Allerdings ist diese Grenze – die Erhebung von Bewegungsdaten wird irgendwann nicht mehr für die Durchführung des Beschäftigungsverhältnisses „erforderlich“ sein – mitunter schwer zu ziehen.

Ein Beispiel für die schwierige Grenzziehung sind die „Online/Offline“-Anzeigen bezüglich einzelner Mitarbeiter. Diese gibt es etwa in modernen (Inhouse-) IP-Telefoniesystemen mit computergestützter Anwahl einzelner Mitarbeiter, deren Status („anwesend“/„kurz abwesend seit [Uhrzeit]“/„Urlaub bis [Tag]“/„nicht anwesend“ etc.) in einem Bildschirm-Panel „live“ verfolgt werden kann. Aber auch Messenger-Software wie Whatsapp verfügt über eine „Online“- bzw. „zuletzt Online um [Uhrzeit]“-Information. Diese Bewegungsdaten sind zwar hilfreich, aber über sie kann auch eine Kontrolle über den einzelnen Mitarbeiter ausgeübt werden (zumal bei Protokollierung bzw. Speicherung), sodass aus kollektivarbeitsrechtlicher Sicht die Einführung derartiger Mechanismen eine Mitbestimmungspflicht des Betriebsrats begründen kann (§ 87 Abs. 1 Nr. 6 BetrVG).

Ein drastisches Beispiel, das im November 2019 durch die Presse geisterte, war die Anfertigung von Notizen über Beschäftigte als Resultat von „halb-privaten“ Gesprächen der Vorgesetzten mit diesen. Man könnte auch dieses Ergebnis des „verdeckten Aushorchens“ von Mitarbeitern als „Bewegungsdaten“ klassifizieren. Die Notizen wurden einheitlich in einem Ordner zusammengefasst, auf den sämtliche Vorgesetzten Zugriff hatten, was nicht dem „need to know“-Grundsatz entspricht: Allenfalls der unmittelbar Vorgesetzte ist „Befugter“ für eine Einsichtnahme (möglicherweise neben der Personalabteilung, der IT-Abteilung im Falle von Softwaremigrationen, s. dazu Fall 41, und in Sonder-/Ausnahmefällen weitere Personen). Das betroffene Unternehmen behauptete dann, die Notizen zur besseren Planung der Arbeitsschichten benötigt zu haben, vernichtete aber sogleich den betroffenen Ordner. Schon dies spricht natürlich dagegen, dass die Daten „für die Durchführung des Beschäftigungsverhältnisses erforderlich“ waren. Natürlich waren den betroffenen Beschäftigten auch keine Pflichthinweise über die Erhebung dieser Daten erteilt worden.

Bewegungsdaten von Beschäftigten als Gegenstand eines Auskunftsanspruchs

In Vorlagen, etwa im Rahmen von Muster-Verarbeitungsverzeichnissen oder Pflichthinweisen für Beschäftigte, werden Bewegungsdaten von Beschäftigten als laufend in Systemen hinterlassene (protokollierte) Spuren häufig nicht berücksichtigt. Gleichwohl ist es vom Wortlaut der DSGVO her gesehen evident, dass es sich um personenbezogene Daten des Beschäftigten handelt, die der Arbeitgeber verarbeitet. Daher ist der Arbeitgeber im Kontext des Auskunftsrechts des Betroffenen auch bezüglich dieser Informationen im Grundsatz verpflichtet, dem Betroffenen „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen (Art. 15 Abs. 3 DSGVO). Wie dies in der Praxis geschehen soll und ob es juristisch überzeugende Argumente gegen diese „uferlose“ Pflicht gibt, ist allerdings bislang offen.

Das Landesarbeitsgericht Baden-Württemberg hat in einem Urteil vom Dezember 2018 zu den „dienstlichen“ E-Mails – als Kommunikations- bzw. Bewegungsdaten des Beschäftigten – ausgeführt:

„Dass die Beklagte personenbezogene Daten des Klägers verarbeitet, ergibt sich schon aus der Vielzahl der von den Parteien als Ausdrucke in diesem Rechtsstreit vorgelegten dienstlichen E-Mails, die der Kläger im Rahmen seines Arbeitsverhältnisses geschrieben, gesendet und empfangen hat. Jede einzelne vom Kläger geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den Kläger beziehen. Insofern ist der Einwand der Beklagten, sie würde außerhalb der Personalakte keine Negativlisten oder dergleichen über den Kläger führen, unerheblich.“

Ähnlich führt das OLG Köln in einer Entscheidung vom Juli 2019 aus:

„Soweit die Beklagte den Begriff der personenbezogenen Daten auf die bereits mitgeteilten Stammdaten begrenzt sehen möchte und meint, eine Verpflichtung zur Beauskunftung über insbesondere elektronisch gespeicherte Vermerke zu mit dem Kläger geführten Telefonaten und sonstigen Gespräche bestehe nicht, ist ein entsprechendes Verständnis mit dem der DS-GVO zu Grunde liegenden weit gefassten Datenbegriff nicht in Einklang zu bringen. Denn durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr [...]. Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers oder Aussagen über den Kläger festgehalten sind, handelt es sich hierbei ohne weiteres um personenbezogene Daten.“

Kopie der Daten, Kopie der Akte?

Von vielen Juristen werden nun mit großem Begründungsaufwand verschiedene Einschränkungen dieses „uferlosen Kopie-Herausgabeanspruchs“ diskutiert. Die Aufregung zeigt, dass es sich hier um ein praxisrelevantes Thema handelt: In Zukunft ist damit zu rechnen, dass mit Auskunftsansprüchen allerlei „befugter Unfug“ getrieben wird, um letztlich ganz andere Ziele zu erreichen als die vordergründige Auskunft. Man muss kein Prophet sein, um zu dem Schluss zu gelangen, dass Arbeitsrechtler das „uferlose“ Auskunftsrecht in Streitigkeiten zwischen Arbeitgeber und Arbeitnehmer – insbesondere natürlich bei einer (bevorstehenden) Trennung (Kündigungsschutzverfahren) – einsetzen werden, um den Arbeitgeber, vorsichtig ausgedrückt, etwas „auf Trab zu bringen“ und diesem die Schlagkräftigkeit dieses unerhofften Arbeitnehmerrechts vor Augen zu führen. Die zusätzliche Belastung beim Arbeitgeber durch diese Instrumentalisierung kann durchaus Einfluss auf dessen Vergleichsbereitschaft haben. Zu denken ist insbesondere an die Forderung der Herausgabe sämtlicher vorhandener Abrechnungen, E-Mail-Konversationen, Messenger-Chats, Login- und Protokoll-Daten. Dabei geht es natürlich in erster Linie darum, Material für die weitere Auseinandersetzung zu sammeln, zumal eine Kopie einer Vorgangsunterlage – eingeschlossen Screenshots und Originaldateien – häufig neben dem Inhalt notgedrungen auch einen Einblick in den „Verarbeitungskontext“ (verwendete Applikation etc.) liefert.

Als Arbeitgeber müsste man im Grunde darüber nachdenken, für solche Fallgestaltungen das Schikaneverbot des § 226 BGB heranziehen: „Die Ausübung eines Rechts ist unzulässig, wenn sie nur den Zweck haben kann, einem anderen Schaden zuzufügen“. Aber weder wird dieser Zweck beweisbar sein noch interessiert sich die DSGVO für das deutsche BGB.

Das Spektrum der diskutierten Einschränkungen beginnt bereits mit dem Argument, das Recht auf „Kopie der Daten“ meine im Grunde nur die „Auskunft über die Daten“. Das bayerische Landesamt für Datenschutzaufsicht beruft sich in seinem Tätigkeitsbericht 2017/2018 diesbezüglich auf ein Urteil des Europäischen Gerichtshofes vom Juli 2014 zur Vorgängerregelung (EU-Datenschutzrichtlinie), ohne allerdings darauf hinzuweisen, dass es das ausdrückliche Recht auf Kopie damals noch gar nicht gab. Das bayerische Landesamt führt gleichwohl kurzerhand aus:

„Nach Art. 15 Abs. 3 DS-GVO ist nur eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung zu stellen. Es ist hier jedoch nicht die Rede von Kopien der betreffenden Akten, von sonstigen Unterlagen usw.“

Wie so oft geht es dabei um die von der DSGVO nicht klar beantwortete Frage, was genau eigentlich das „personenbezogene Datum“ als solches ist, über das Auskunft zu erteilen ist. Erwägungsgrund 63 drückt in diesem Zusammenhang das Verständnis der DSGVO aus, dass das Auskunftsrecht spezifische Informationen „in“ Akten betrifft, also nicht die Akten als solche. Allerdings zählt der genannte Erwägungsgrund „in“ den (Patienten-)Akten befindliche Informationen wie „Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen“ auf. Damit erscheint die Unterscheidung in eine Akte und die personenbezogenen Daten „in“ der Akte nicht nur willkürlich – weil sie an die konkrete Aufmachung und Ordnung von bzw. in Akten beim Verantwortlichen anknüpft –, sondern auch weitgehend sinnlos, wenn als Inhalt der Akte dann doch die einzelnen (im Extremfall also sämtliche) Dokumente in der Akte bezeichnet werden.

Der Europäische Gerichtshof hatte hingegen in der bereits oben erwähnten Entscheidung vom Juli 2014 zur damaligen EU-Datenschutzrichtlinie differenziert hinsichtlich der personenbezogenen Daten „in“ einem Dokument einerseits und dem Dokumenteninhalt andererseits. Konkret ging es um den (internen) Entwurf eines asylrechtlichen Bescheides, in dem die einschlägigen asylrechtlichen Vorschriften auf den konkreten Fall des Betroffenen angewandt wurden und den der Betroffene im Wege eines Auskunftsrechts einsehen sollte. Der Europäische Gerichtshof entschied seinerzeit, dass die Analyse als solche kein personenbezogenes Datum des bzw. über den Betroffenen sei, „sondern höchstens, soweit sie sich nicht auf eine rein abstrakte Rechtsauslegung beschränkt, um eine Information darüber, wie die zuständige Behörde dieses Recht im Fall dieses Antragstellers beurteilt und anwendet, denn dieser Fall wird u. a. anhand der personenbezogenen Daten behandelt, die dieser Behörde über seine Person vorliegen“. Der Europäische Gerichtshof fasste zusammen, dass „es sich bei den in der Entwurfsschrift wiedergegebenen Daten über denjenigen, der einen Aufenthaltstitel beantragt, und den Daten, die ggf. in der in der Entwurfsschrift enthaltenen rechtlichen Analyse wiedergegeben sind, um „personenbezogene Daten” i. S. d. Bestimmung handelt. Diese Einstufung gilt allerdings nicht für die Analyse als solche.“

Diese Argumentation kann durchaus die oben dargestellten Sätze des Landesarbeitsgerichts in Stuttgart sowie des OLG Köln relativieren: Die personenbezogenen Daten sind damit nicht die Korrespondenz oder der Vermerk als solcher, sondern nur die darin (als „Tatsachengrundlage“ bzw. „Identifikationsinformation“) enthaltenen Daten über die Person. Nach diesem Urteil des Europäischen Gerichtshofes ist die in einer E-Mail enthaltene Information „Tante Ida hat heute Geburtstag“ kein personenbezogenes Datum des E-Mail-Absenders – auch wenn er dies an einem bestimmten Tag um eine bestimmte Uhrzeit geschrieben hat –, sondern einzig ein solches von „Tante Ida“ selbst. Daher würde dieses personenbezogene Datum, selbst wenn es der E-Mail-Absender „verfasst“ hat, nicht Gegenstand des datenschutzrechtlichen Auskunftsanspruchs sein. Sicherlich ist aber der Umstand als solcher, dass der E-Mail-Absender an einem bestimmten Tag um eine bestimmte Uhrzeit von einem bestimmten Account aus eine E-Mail geschrieben hat, ein personenbezogenes Datum, da es etwas darüber aussagt, was diese Person zu diesem Zeitpunkt gemacht hat.

Das Landgericht Köln hat in einer Entscheidung vom März 2019 zwischen den Personendaten, den Identifizierungsmerkmalen, dem Akteninhalt, internen Vorgängen und „Doppelübersendungen“ differenziert und bestätigt im Kontext der DSGVO das Urteil des Europäischen Gerichtshofs vom Juli 2014 im Hinblick auf (interne) rechtliche Bewertungen und Analysen:

„Insofern ergibt sich ein umfassendes Auskunftsrecht bezogen auf die gespeicherten bzw. verarbeiteten personenbezogenen Daten. Dies beinhaltet Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die die Identifizierbarkeit einer Person ermöglichen können, z. B. Gesundheitsdaten, Kontonummer usw. Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z. B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann [...]. Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar. Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“

Soweit hier mit dem Betroffenen bereits gewechselter Schriftverkehr von einer (erneuten) Kopie ausgenommen wird, könnte man auch sagen: Der Verantwortliche ist nicht das (Zwangs-)Archiv des Betroffenen. Das klingt zwar einleuchtend, steht aber im Widerspruch zu anderen Regelungen der DSGVO, wonach der Betroffene selbst dann, wenn die Daten eigentlich gelöscht werden müssten, „die Löschung der personenbezogenen Daten ablehnen“ kann (Art. 18 Abs. 1 lit. b DSGVO), etwa weil er sie „zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt“ (Art. 18 Abs. 1 lit. c DSGVO). Der DSGVO ist also der Speicher- und Rechercheaufwand beim Verantwortlichen gelinde gesagt nicht so wichtig (s. dazu auch Fall 28).

Im Gegensatz zu den „internen“ Vermerken und Analysen sind „externe“ Dokumente aber aus Sicht des Landgerichts Köln „herausgabepflichtig“. Ähnlich hat auch das Kammergericht in Berlin in einer Entscheidung vom Oktober 2018 die Herausgabe eines (kompletten) medizinisches Gutachtens, das eine Versicherung über den Betroffenen (ihren Versicherungsnehmer) eingeholt hatte, auf den datenschutzrechtlichen Auskunftsanspruch gestützt. Dabei hat das Kammergericht zugleich darauf hingewiesen, dass dieser konkrete Anspruch (und zwar aus vertraglichen Nebenpflichten) auch vor der Einführung der DSGVO bereits bestanden hatte.

Der Hessische Beauftragte für Datenschutz sieht dies in seinem Tätigkeitsbericht 2018 differenzierter:

„Einen Anspruch auf Herausgabe einzelner Kopien – z. B. im Sinne einer Fotokopie bestimmter Dokumente – enthält Art. 15 Abs. 3 DS-GVO in aller Regel nicht: Die Pflicht, eine Kopie zur Verfügung zu stellen, ist nicht mit einem allgemeinem Recht auf Zugang zu Informationen oder einem Akteneinsichtsrecht gleichzusetzen. Gleichwohl können Verantwortliche im Einzelfall auch zur Übersendung einer Fotokopie eines bestimmten Dokuments verpflichtet sein. Dies kann dann der Fall sein, wenn das Recht der Betroffenen, die Rechtmäßigkeit der Datenverarbeitung eigenständig zu überprüfen, untrennbar hiermit verbunden ist.“

Ein solches, abstrakt beschriebenes Regel-Ausnahme-Verhältnis, das so nicht aus dem Wortlaut der DSGVO ableitbar ist, stellt zwar konsequent auf den Blickwinkel des Betroffenen und seines „Rechts auf Prüfung der Rechtmäßigkeit der Datenverarbeitung“ ab, gibt dem Verantwortlichen aber keine Richtschnur an die Hand. Wenn ein interner Untersuchungsbericht über einen Mitarbeiter (natürlich) den Namen des Mitarbeiters enthält, wann kann dann der Mitarbeiter die Rechtmäßigkeit dieser Datenverarbeitung nur überprüfen, wenn er den Untersuchungsbericht als Ganzes erhält? In Wirklichkeit wird das dem Betroffenen auch herzlich egal sein: Er wird einfach lesen wollen, was in dem Bericht über ihn steht.

Kann der Betroffene hiernach eine Kopie verlangen, so ist ihm diese nach Meinung des Hessischen Beauftragten für Datenschutz ohne gesonderte Aufforderung zur Verfügung zu stellen, d. h. der Verantwortliche muss diese Frage „für sich selbst“ durchaus bei jedem geltend gemachten Auskunftsanspruch lösen:

„Verantwortliche müssen der in Art. 15 Abs. 3 DS-GVO enthaltenen Verpflichtung daher auch ohne entsprechenden Hinweis der Betroffenen nachkommen.“

Der Verantwortliche kann sich nach einem Urteil des AG München die Arbeit auch nicht durch die Bitte um Präzisierung des Auskunftsverlangen des Betroffenen erleichtern:

„Der Ansatz der Beklagtenseite, auf die eigene Auskunftsbereitschaft zu verweisen, jedoch den Kläger aufzufordern, näher auszuführen, welche konkreten Daten begehrt werden, da eine unterschiedslose und flächendeckende Auswertung des gesamten auf Seiten der Beklagten vorhandenen Datenbestands einen erheblichen Aufwand von mehreren Manntagen auslösen würde, geht am Schutzzweck der Norm vorbei und zwar auch in den Fällen, wie dem vorliegenden, in denen die Klagepartei zulässigerweise ein vollständiges Auskunftsersuchen stellt.“

Da die Verletzung des Auskunftsrechts des Betroffenen (natürlich) bußgeldbewehrt ist, wird der Verantwortliche, wenn er auf der sicheren Seite sein und sich nicht auf Diskussionen über die vom Hessischen Beauftragten für Datenschutz ins Feld geführte „Untrennbarkeit der Übersendung einer Kopie eines Dokuments mit dem Recht des Betroffenen zur eigenständigen Überprüfung der Rechtmäßigkeit der Datenverarbeitung“ einlassen will, alle Dokumente zur Verfügung stellen. Das wird in der Praxis das vom Hessischen Beauftragten für Datenschutz anvisierte Regel-Ausnahme-Verhältnis in sein Gegenteil verkehren.

Man erkennt an dieser Stelle: Der DSGVO-Gesetzgeber ging offensichtlich von der (naiven) Vorstellung aus, dass „die personenbezogenen Daten eines Betroffenen“ in einer (einzelnen) Datei aufbewahrt werden, auf die der Verantwortliche eine Art „Fernzugriff“ einräumen kann. Mit einer solchen Konzeption im Hinterkopf lässt sich natürlich einfach eine Auskunft erteilen (Ausdruck der Datei), eine Kopie zur Verfügung stellen (Übersendung der Datei im „Quellformat“) und durch Konvertierung in ein allgemein gebräuchliches Format lässt sich das Recht auf Datenübertragbarkeit erfüllen. Ein Autor des Gesetzes würde nun natürlich trotzig sagen, dass sich die beim Verantwortlichen vorhandene, komplexe IT-Landschaft dann eben diesem Konzept zu beugen haben – „was nicht passt, wird passend gemacht“.

Besonders kommt dieser letztgenannte Gedanke in einem Ausspruch des OLG Köln in einem Urteil aus dem Juli 2019 zum Ausdruck:

„Soweit die Beklagte meint, es sei für Großunternehmen, die wie sie einen umfangreichen Datenbestand verwalten würden, mit den ihr zur Verfügung stehenden Ressourcen wirtschaftlich unmöglich, Dateien auf personenbezogene Daten zu durchsuchen und zu sichern, verfängt dies nicht. Es ist Sache der Beklagten, die sich der elektronischen Datenverarbeitung bedient, diese im Einklang mit der Rechtsordnung zu organisieren und insbesondere dafür Sorge zu tragen, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen wird.“

Zusammenfassung der Daten/Unterlagen?

Aber der Hessische Beauftragte für Datenschutz geht in seinem Tätigkeitsbericht 2018 noch darüber hinaus, indem er – über die ggf. zu übersendenden Kopien hinaus – die Verpflichtung des Verantwortlichen zum Zusammenfassen der „Akteninformationen“ fordert:

„Die Auskünfte müssen präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache formuliert sein. Das „Abspeisen“ durch kommentarlose Überlassung von Kopien ist grundsätzlich nicht zulässig. Daraus folgt, dass Art. 15 Abs. 3 DS-GVO kein zusätzliches Recht auf Überlassung einer Kopie der personenbezogenen Daten meint, sondern voraussetzt, dass dem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO die Überlassung einer Kopie ausreicht. [...] Ich verstehe den Kopie-Begriff des Art. 15 Abs. 3 DS-GVO im Sinne einer sinnvoll strukturierten Zusammenfassung. Den Betroffenen müssen daher nicht sämtliche, sie betreffende Dokumente in Kopie zur Verfügung gestellt werden.“

Der oben exemplarisch genannte interne Untersuchungsbericht über den Betroffenen müsste dann also – wenn die oben postulierten Voraussetzungen für die Übersendung einer Kopie nicht vorliegen oder auch dann? – in einer klaren und einfachen Sprache für den Betroffenen zusammengefasst werden. Der Hessische Beauftragte für Datenschutz bezieht diese Pflicht zur Anfertigung einer „strukturierten Zusammenfassung“ in seinem Tätigkeitsbericht 2018 auch ausdrücklich auf Beschäftigtendaten in Form von Bewegungsdaten. Zum Inhalt der Zusammenfassung führt er konkretisierend aus:

„Welche Vorgehensweise hierbei besonders geeignet erscheint, hängt von der zu beurteilenden Datenverarbeitung, mithin von den Umständen des Einzelfalls ab. In den folgenden Konstellationen habe ich angenommen, dass den Anforderungen des Art. 15 Abs. 3 DS-GVO genüge getan ist:

  • Bereitstellung eines Auszugs des Profils von Betroffenen bei Nutzung eines Personalinformationssystems durch Verantwortliche
  • Liste der zu einer Person gespeicherten Schriftstücke oder Aktenzeichen bei Nutzung eines Dokumentenmanagement- oder Registratursystems

Sofern mit Verweis auf Art. 15 Abs. 3 DS-GVO die Kopie einzelner Schriftstücke oder E-Mail-Korrespondenzen verlangt wird, kann dieser Anspruch dann bestehen, wenn das Recht der Betroffenen, die Rechtmäßigkeit der Datenverarbeitung eigenständig zu überprüfen, untrennbar hiermit verbunden ist. Bei einer Zusammenschau von Art. 15 Abs. 1 und 3 DS-GVO und vor dem Hintergrund der Bedeutung des Auskunftsrechts dürfte es nach meinem Verständnis in aller Regel genügen, wenn den Betroffenen die in einem Schriftstück enthaltenen personenbezogenen Daten mitgeteilt werden. Die Kopie eines Schriftstücks/einer E-Mail muss jedoch in der Regel nicht zur Verfügung gestellt werden.“

Glücklich, wer daraus eine klare Vorgabe für die den Auskunftsanspruch bearbeitenden Mitarbeiter oder Systeme in einem Unternehmen ableiten kann, insbesondere wenn ein „Massenverkehr“ mit Auskunftsansprüchen droht.

Archivdaten

Andere Argumentationen, die ein eigenständiges Recht auf „Kopie der Daten“ anerkennen, beschäftigen sich etwa mit Einschränkungen bezüglich der Herausgabe von Back-up-Daten bzw. von „Aufbewahrungsdaten“ (d. h. von Daten, die nur noch zu Aufbewahrungszwecken gespeichert werden). § 34 BDSG gibt in diesem Zusammenhang explizit vor, dass kein Auskunftsrecht besteht, wenn die Daten

„nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.“

Natürlich wird – wie bei jeder nationalen Norm im Regelungsbereich der DSGVO – die Europarechtswidrigkeit dieser Vorschrift ins Feld geführt. Wenn ein Verantwortlicher die Daten „hat“, muss er Auskunft darüber erteilen, auch wenn sie im Archiv im Keller liegen, lautet das Argument.

Daten Dritter

Nach Art. 15 Abs. 4 DSGVO müssen bei der Herausgabe von Kopien „die Rechte und Freiheiten anderer Personen“ beachtet werden. Die Herausgabe kann also insoweit verweigert werden, als dadurch Drittrechte bzw. Drittdaten an den Betroffenen als „Unbefugten“ herausgegeben werden würden. Der Teufel steckt hier im Wörtchen „insoweit“.

Im Fall des Landesarbeitsgerichts Stuttgart (s. o.) weigerte sich die Beklagte (d. h. der Verantwortliche) etwa, eine Kopie sämtlicher Informationen über den Betroffenen (einschließlich intern verfasster Berichte, die den Betroffenen „betreffen“) herauszugeben mit dem Argument, dass der Herausgabeanspruch durch die Rechte und Freiheiten anderer Personen beschränkt sei. Das Landesarbeitsgericht führte aus, dieser Hinweis sei in seiner Pauschalität keine taugliche Verteidigung:

„Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interessen Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätte, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.“

Muss also die den Betroffenen betreffende Information herausgegeben werden, so hat die oben dargestellte Auffassung des Hessischen Beauftragten für Datenschutz, dass Unterlagen im Rahmen des Auskunftsanspruchs für den Betroffenen zusammenzufassen sind, durchaus Vorzüge. Beispielhaft kann man sich hier einen „Mittäter“ einer Pflichtverletzung im Unternehmen vorstellen, der in einem internen Untersuchungsbericht genannt wird, als solchen Dritten vorstellen, aber auch den Urheber (Autor) des Untersuchungsberichts selbst. Nach landläufigem Verständnis müssten nun die Angaben über solche Dritte sorgfältig geschwärzt werden. Der Hessische Beauftragte für Datenschutz führt dazu in seinem Tätigkeitsbericht 2018 aus:

„Werden den Betroffenen Kopien von Schriftstücken oder Dokumenten zur Verfügung gestellt, so kann sich bei mangelnder Sorgfalt das Risiko erhöhen, dass den Betroffenen auch Informationen zur Verfügung gestellt werden, die möglicherweise Rechte Dritter tangieren. Fertigen Verantwortliche hingegen eine strukturierte Zusammenfassung und tragen hierbei die personenbezogenen Daten der Betroffenen eigenständig zusammen, ist dieses Risiko deutlich minimiert.“

Das hier postulierte „Recht auf Zusammenfassung“ wird allerdings an anderer Stelle im selben Tätigkeitsbericht wieder eingeschränkt:

„Sofern personenbezogene Daten der Betroffenen in Datenverarbeitungen gespeichert sind, die nicht der Verarbeitung von Beschäftigtendaten dienen, sondern anderen Zwecken (z. B. Verarbeitung von Kundendaten) und somit nicht in Bezug auf den Anspruchssteller verarbeitet werden, genügt es, wenn Verantwortliche die Informationen nach Art. 15 Abs. 1 lit. a bis h DS-GVO zur Verfügung stellen und den Betroffenen die Möglichkeit einräumen, eine Präzisierung ihres Auskunftsersuchens vorzunehmen.“

Nach dieser Auffassung ist also inhaltlich zwischen „mitarbeiterbezogenen“ und „kundenbezogenen“ (bzw. „lieferantenbezogenen“) Daten des Beschäftigten zu unterscheiden. In letzterem Fall gibt es – zumindest zunächst – kein Recht auf eine Kopie oder Zusammenfassung. Aus der DSGVO lässt sich dies so nicht herleiten: Zwar darf „das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ aber das bedeutet nicht, dass ein E-Mail-Verkehr zwischen einem Mitarbeiter und einem Kunden (bzw. dem Mitarbeiter eines Kunden) – der unzweifelhaft ein personenbezogenes Datum des Mitarbeiters ist – nicht auch geschwärzt herausgegeben oder zusammengefasst werden könnte. Vermutlich hat hier der Hessische Beauftragte für Datenschutz den Argwohn gehabt, dass es unverhältnismäßig wäre, wenn jede Korrespondenz zwischen dem Beschäftigten und „irgendjemandem“ auch noch (in einer Zusammenfassung) vorgelegt werden müsste. Deshalb wurde hier die uferlose Formulierung des Auskunftsanspruchs – wie eine aus der Form geratene Hecke – etwas „zurechtgestutzt“. Ähnlich haben auch andere Datenschutzbehörden (bzw. einzelne ihrer Vertreter) in diesem Zusammenhang erklärt, das Auskunftsrecht der Betroffenen beziehe sich nur auf die „Stammdaten“. Diese Einschränkungen sind dem Text der DSGVO allerdings nicht zu entnehmen. Solche Vorschläge korrigieren eine „uferlose“ Regelung, in der an Bewegungsdaten von Beschäftigten, die sich im Laufe der Zeit auftürmen, überhaupt nicht gedacht wurde, und die nun zu „uferlosen“ Ergebnissen führt und dementsprechend missbraucht werden kann.

Auch die Herausgabe von Betriebs- und Geschäftsgeheimnissen des Verantwortlichen kann möglicherweise die „Rechte und Freiheiten anderer Personen“ beeinträchtigen, hier diejenigen des Verantwortlichen selbst. Alternativ kann der Verantwortliche auch Geheimhaltungspflichten gegenüber Dritten unterliegen, die er einhalten möchte (Pflichtenkollision). Letztlich ist aber offen, ob auch der Verantwortliche selbst oder dessen Geschäftspartner (also insbesondere eine Gesellschaft bzw. juristische Person) eine „andere Person“ im Sinne des Art. 15 Abs. 4 DSGVO sein kann und damit die Pflicht zur Herausgabe von Kopien (wegen dessen Rechten) beschränkt werden muss bzw. darf. Das OLG Köln hat in seiner Entscheidung vom Juli 2019 zumindest für Daten, die vom Betroffenen selbst stammen, klargestellt, dass deren Herausgabe nicht mit der Begründung eines entsprechenden Geschäftsgeheimnisses des Verantwortlichen verweigert werden kann:

„Die Beklagte kann sich demgegenüber auch nicht mit Erfolg darauf berufen, dass ein entsprechend weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würde. Ungeachtet aller sonstigen sich stellenden Fragen gilt dies schon deshalb, weil Angaben, die der Kläger selbst gegenüber seiner Versicherung gemacht hat, diesem gegenüber nicht schutzbedürftig und damit auch nicht ihr Geschäftsgeheimnis sein können.“

Wie präzise müssen die Daten gefordert werden?

Neben diesen unzusammenhängenden Äußerungen von Gerichten und Behörden werden in der juristischen Literatur weitere Einschränkungen des Rechts auf Auskunft etwa bei „unpräzisen Herausgabeersuchen“ befürwortet. Dieser Einwand soll Auskunfts- und Kopie-Ersuchen wie „bitte alle Daten über mich vorlegen“ entgegengestellt werden können. Nur wie soll der Betroffene wissen, wonach er fragen soll, wenn er nicht weiß, was alles verarbeitet wird? Auch unverhältnismäßiger Aufwand bei der Identifikation der maßgeblichen Daten soll eine Grenze des Herausgabeanspruches darstellen. Je konkreter die Anfrage ist (bzw. fokussiert gestellt wurde), desto mehr Aufwand soll zumutbar sein. Eventuell soll auch die Intensität der personenbezogenen Daten in einem Dokument maßgeblich sein: Wird der Betroffene nur „erwähnt“, soll kein Herausgabeanspruch bestehen; anders, wenn „signifikante biografische Informationen“ im Dokument vorhanden sind. So sollen Personal-, Kranken- oder Kundenakten „hinreichend personenbezogen“ sein, geschäftliche Sitzungs- oder Besprechungsprotokolle jedoch nicht. E-Mail-Korrespondenz mit Leistungsbeurteilungen über den Betroffenen soll erfasst sein, Protokolle über Kundengespräche, die vom Betroffenen verfasst wurden, jedoch nicht.

Wieder einmal muss die mangelnde Präzision und Vorausschau bzw. Umsichtigkeit der DSGVO, die eben überwiegend aus abstrakten und scheinbar grenzenlosen Prinzipien besteht, durch eine mühsame, kleinteilige Definitionsarbeit ohne jegliche Rechtssicherheit ergänzt werden. Jedes Urteil zu diesen Fragen wird – wie auch insbesondere die oben erwähnte Entscheidung des Landesarbeitsgerichts Baden-Württemberg – neue Fragen aufwerfen. Der Traum jedes Juristen – und der Alptraum jedes Rechtsanwenders, der sich eigentlich mit anderen Dingen beschäftigen möchte.

Recht auf Datenübertragbarkeit

Es könnte überdies auch sein, dass die im Ausgangsfall genannten Bewegungsdaten von Frau Maier „auf einem Vertrag“, nämlich dem Beschäftigungsverhältnis, „beruhen“, und dem Verantwortlichen (Arbeitgeber) „bereitgestellt“ wurden, sodass diese Daten zusätzlich dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) unterliegen. Sie wären dann nicht nur – wie im Falle des Auskunftsrechts – unstrukturiert (und möglicherweise als Ausdruck) zur Verfügung zu stellen, sondern „in einem strukturierten, gängigen und maschinenlesbaren Format“. Die Datenschutzbehörden gehen generell davon aus, dass auch „nachverfolgte“ Daten von der betroffenen Person bei der Nutzung des Geräts „bereitgestellt“ werden. Der Verantwortliche müsste also solche Protokolldaten, die teils „nur“ Bestandteil einer größeren Datenbank sind, sowie sämtliche Kommunikationsdaten gezielt als solche in strukturierter Form exportieren können.

Zum Schluss noch der Hinweis, dass das Vorstehende nur die datenschutzrechtliche Dimension der Herausgabe von Informationen (personenbezogenen Daten) betrifft. Ob ein Mandant Anspruch auf Herausgabe „seiner“ Akte, die der Rechtsanwalt führt, der Patient Anspruch auf Herausgabe „seiner“ (vollständigen) Patientenakte, der Informationssuchende im Rahmen der Informationsfreiheitsgesetze Anspruch auf Herausgabe von Akten der öffentlichen Verwaltung hat, ist eine ganz andere, hier nicht besprochene Dimension, die zu anderen (weitergehenden) Ergebnissen führen kann.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden