Datenkontakt während der Vertragsanbahnung
PSP Case Study zur DSGVO: Praxisfall 23

DSGVO: Praktischer Fall

Die Maier GmbH erwägt, eine Software zur Mitarbeiter-Einsatzplanung individuell programmieren zu lassen. Zu diesem Zweck lädt sie Herrn Krämer, einen Mitarbeiter des Softwareentwicklungshauses Lehmann KG, zu sich ein, damit dieser danach ein Angebot für die Softwareentwicklung erstellen kann. Während seines Besuches werden Herrn Krämer die bestehenden Systeme bzw. Datenbanken der Personalabteilung der Maier GmbH gezeigt, um Herrn Krämer die Möglichkeit zu geben, den Aufwand der gewünschten automatischen Datenübernahme aus diesen Systemen abschätzen zu können. Dabei werden spontan anhand einiger Beispiele verschiedene Datenfelder und deren Inhalt angesehen. Es handelt sich beispielsweise um Mitarbeiternamen, Krankheitsmeldungen, Leistungsbeurteilungen etc. Herr Krämer macht sich jeweils allgemeine Aufzeichnungen über die Datenstrukturen und hin und wieder fertigt er Screenshots als Erinnerungsstütze an. Beim späteren Ansehen der Screenshots stellt Herr Krämer zufällig fest, dass ein Bekannter von ihm bei der Maier GmbH tätig ist, und erfährt, dass dieser in letzter Zeit auffällig oft krank gewesen ist. Die Lehmann KG gibt ein Angebot ab, das aber von der Maier GmbH nicht angenommen wird.

Das erste, was hier „on the edge“ ist, ist die Frage, ob die DSGVO überhaupt Anwendung findet. Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Man kann zunächst einmal „von unten nach oben“ festhalten: Manuelle Verarbeitungsschritte – Paradebeispiel ist das Beobachten einer Person durch einen Detektiv – sind nicht Gegenstand des Datenschutzrechts (was nicht heißt, dass nicht andere Rechtsgebiete relevant sein können). Auch dann, wenn der Detektiv den von ihm (handschriftlich?) verfassten Bericht in einer „unstrukturiert geführten Akte“ dem Auftraggeber zukommen lässt, liegt (wohl) kein datenschutzrechtlich relevanter Vorgang vor. Sobald es sich allerdings um ein (analoges oder digitales) „Dateisystem“ handelt, in die personenbezogene Daten „hineingespeichert“ werden oder werden sollen, gilt die DSGVO von Anfang an, also auch für die manuelle Verarbeitung (inklusive Erhebung). Ein Dateisystem ist nach Art. 4 Nr. 6 DSGVO eine „strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob sie zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. Ein Paradebeispiel für ein analoges Dateisystem ist ein Karteikasten oder eine „strukturierte Akte“, wie auch immer diese konkret von der „unstrukturierten Akte“ abzugrenzen ist. Da ein (auch digitales) Dateisystem (angeblich) zumindest zwei Elemente enthalten muss (sonst wäre es keine Daten-„Sammlung“), reicht ein einzelnes Dokument nicht aus; die Untergrenze wären im digitalen Bereich etwa zwei auf einem Computer gespeicherte Datensätze (wie Briefe etc.), die personenbezogene Daten enthalten.

Sind nun die Screenshots, die personenbezogene Daten in Form unstrukturierter Daten (Bilddatei) enthalten, Gegenstand der DSGVO, wenn der Dateiname jeweils „Besuch bei Maier GmbH Screenshot Nr. X“ lautet? So eindeutig ist das - anders als bei Abbildungen erkennbarer Personen – nicht. Eine Bilddatei kann ein Dateisystem sein, wenn eine (automatische) Identifizierung der im Bild enthaltenen personenbezogenen Angaben möglich ist. Nun kann man heutzutage in jedem Bild Schriftzeichen einschließlich z. B. Kfz-Kennzeichen erkennen (OCR), in jedem Video Gesichter identifizieren und mit jeder Tonaufnahme kann ein Stimmabgleich durchgeführt werden. Unerheblich hingegen ist (wegen des Kriteriums der „Sortierung bzw. Auswertbarkeit der Daten nach bestimmten Kriterien“ einer Datensammlung), dass Herr Krämer zufällig auf den Bildern personenbezogene Daten „entdeckt“ hat: Die Sortierung oder Auswertung muss nicht stattgefunden haben.

Geht man davon aus, dass die DSGVO auf die beschriebene „Erhebungs“-Tätigkeit des Softwareentwicklungshauses Lehmann KG Anwendung findet, so stellt sich – neben der Standard-Thematik der Pflichthinweise – die Frage der Legitimationsgrundlage für die Verarbeitung durch die Lehmann KG (repräsentiert durch Herrn Krämer). Hier scheidet zunächst die Durchführung vorvertraglicher Maßnahmen – immerhin soll ja ein Angebot für einen künftigen Vertrag erstellt werden – aus, denn diese erfolgen nicht „auf Anfrage der betroffenen Person(en)“, sprich der Beschäftigten, deren Daten hier sichtbar sind. Neben Art. 6 Abs. 1 S. 1 lit. b) DSGVO scheidet aber auch § 26 BDSG aus, denn das Abfotografieren geschieht nicht „für Zwecke des Beschäftigungsverhältnisses“. Es bleibt somit nur die Interessenabwägung und die Frage, ob die Screenshots „erforderlich“ sind, damit die – sicher berechtigten – Interessen der Maier GmbH nach einer Software zur Mitarbeiter-Einsatzplanung „gewahrt“ werden, wie es in Art. 6 Abs. 1 S. 1 lit. f) DSGVO so schön heißt.

Was bedeutet nun dabei „erforderlich“ (s. auch Fall 17)? Man kann das so umschreiben: Eine für die betroffene Person weniger invasive Alternative existiert entweder nicht oder ist für den Verantwortlichen nicht zumutbar. Also: Ist eine Anonymisierung der Daten bzw. die Vorbereitung von „Fake“-Datensätzen im Vorfeld der Sitzung zumutbar, d. h. die Bildschirminhalte, die man mit Herrn Krämer bespricht, werden vorab so „frisiert“, dass dort keine personenbezogenen Daten ersichtlich sind (s. dazu auch Fall 34)? Das würde schließlich auch dem Grundsatz der Datenminimierung entsprechen (Art. 5 Abs. 1 lit. c) DSGVO), der herkömmlich so verstanden wird, dass dann, wenn der Verarbeitungszweck mit anonymen Daten erreicht werden kann, die Verarbeitung von nicht-anonymen Daten datenschutzwidrig wäre.

Nun dürfen mal wieder die Würfel gerollt werden. Auf der einen Seite wird man sagen können, dass vor dem Besuch nicht absehbar ist, „wohin überall geklickt werden wird“, und dass die Software nicht mehrere alternative Datenquellen, zwischen deren Ansicht hin- und hergeschaltet werden kann, bzw. eine automatisierte Anonymisierung unterstützt. Die Software ist also insoweit nicht „datenschutzfreundlich“, was ja ebenso für die (Fern-) Wartung gelten würde, bei der ebenfalls ein Dritter (der Softwarehersteller) auf die Software zugreifen muss (s. dazu noch Fall 27). Auf der anderen Seite könnte man sagen, dass eine Verletzung der Pflicht, datenschutzfreundliche Software einzusetzen (Art. 25 Abs. 1 DSGVO), nicht dem Verantwortlichen (durch eine dann doch „positive“ Interessenabwägung) zum Vorteil gereichen soll, und dass schließlich das Interesse der Betroffenen, dass ihre sensiblen Mitarbeiterdaten nicht an Dritte weitergegeben werden, durchaus gewichtig ist, sodass auch der zusätzliche Aufwand des Verantwortlichen, vorab irgendeine Form der „Verschleierung“ der personenbezogenen Daten vorzunehmen, gerechtfertigt ist.

Wer sich fragt, ob diese Abwägung zu einem klaren und „gerechten“ Ergebnis führen wird, dem sei als Trost die Lektüre des Buchs „Legitimation durch Verfahren“ von Niklas Luhmann sowie die Beschäftigung mit dem für das Verfassungsrecht konzipierten „Prinzip der praktischen Konkordanz“ (Konrad Hesse) empfohlen. Es geht für die hier involvierten Unternehmen (als Privatrechtssubjekte) nicht mehr nur einfach darum, ein Gesetz zu befolgen; es geht darum, dass in einem dokumentierten Verfahren „verfassungsrechtlich geschützte Rechtsgüter in der Problemlösung einander so zugeordnet werden müssen, dass jedes von ihnen Wirklichkeit gewinnt. […] Beiden Gütern müssen Grenzen gesetzt werden, damit beide zu optimaler Wirksamkeit gelangen können“. Gewöhnlich geschieht diese Güterabwägung durch den Gesetzgeber oder die staatliche Verwaltung, nicht aber durch Privatrechtssubjekte wie Unternehmen, Organisationen und natürliche Personen (die ja auch Verantwortliche im Sinne der DSGVO sein können). 

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden