Das Thema
Das Landesarbeitsgericht (LAG) Baden-Württemberg hat am 20. Dezember 2018 (AZ: 17 Sa 11/18) eine vielbeachtete Entscheidung nicht nur zum Recht auf Erteilung einer datenschutzrechtlichen Kopie, also dem Auskunftsrecht nach DSGVO ( Art. 15 Abs. 3 Satz 1 DSGVO) gefällt: Ein Mitarbeiter hatte im Rahmen eines Kündigungsschutzverfahrens einen Auskunftsantrag nach Art. 15 DSGVO geltend gemacht. Weiterhin beantragte der Kläger, dass die beklagte Arbeitgeberin ihm eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten zur Verfügung stellt. Bereits zuvor hatte der Mitarbeiter in dem Verfahren beantragt, Einsicht in das Hinweisgebersystem des Arbeitgebers zu nehmen.
Nach Ansicht des LAG Baden-Württemberg kann ein Mitarbeiter von seinem Arbeitgeber „eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind“, fordern. Damit scheint das Gericht dem Umfang der nach Art. 15 Abs. 3 Satz 1 DSGVO zu erteilenden Kopie personenbezogener Daten weit auszulegen.
Ferner seien an die Tatbestände der DSGVO und des BDSG, die das Auskunftsrecht und das Recht auf Kopie einschränken, hohe Anforderungen zu stellen. Dies gilt beispielsweise für die Ausnahmetatbestände in Art. 15 Abs. 4 DSGVO und § 34 BDSG.
Wie positionieren sich die Datenschutzbehörden dazu? Und was kann getan werden, um praxisgerechtere Positionen zur Abwehr überzogener Auskunftsansprüche zu begründen? Der vorliegende Beitrag gibt Antworten auf diese Fragen.
Sonderproblem und kein Gegenstand der Revision: Einsicht in Hinweisgeber-System
Zudem urteilten die Richter, dass Arbeitnehmer grundsätzlich auch das Recht haben, Einsicht in die Hinweisgeber-Systeme ihres Arbeitgebers zu nehmen. Der Schutz von Hinweisgebern wird durch die Entscheidung des LAG Baden-Württemberg damit künftig deutlich erschwert. Diesen nicht unwichtigen Aspekt der Entscheidung zeigt ein weiterer EFAR-Beitrag.
Auskunftsrecht nach DSGVO und Recht auf Erteilung einer Kopie: Grundlagen
Wenn Unternehmen personenbezogene Daten verarbeiten, haben die davon betroffenen Personen ein Auskunftsrecht nach Art. 15 Abs. 1 DSGVO. Das Unternehmen muss auf ein entsprechendes Auskunftsersuchen der betroffenen Person hin umfassend Auskunft über die Zwecke und sonstigen Umstände der Datenverarbeitung erteilen.
Nach Art. 15 Abs. 3 Satz 1 DSGVO muss das datenschutzrechtlich verantwortliche Unternehmen der betroffenen Person ferner eine Kopie „der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellen.
Der Umfang des Auskunftsrechts ist in Art. 15 DSGVO recht vage geregelt. Beispielsweise sollen Verantwortliche betroffene Personen auf Antrag hin über die Zwecke unterrichten, für die sie deren Daten verarbeiten. Wie genau beziehungsweise wie detailliert diese Zwecke in der Auskunft beschrieben sein müssen, lässt die gesetzliche Regelung dagegen offen.
Auch der Umfang der Pflicht, der betroffenen Person auf deren Antrag hin eine Kopie der verarbeiteten Daten zur Verfügung zu stellen, ist bislang umstritten. Teilweise wird vertreten, dass Unternehmen Mitarbeitern, Kunden oder sonstigen von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen nach Art. 15 Abs. 3 Satz 1 DSGVO umfassende Unterlagen zur Verfügung stellen müssten. Dies könne sogar die Überlassung von E-Mail-Kommunikation betreffen. Eine andere Meinung geht dagegen davon aus, dass das Recht auf Kopie sich eher auf eine Übersicht der wesentlichen von einer betroffenen Person verarbeiteten Daten bezieht. Das LAG Baden-Württemberg lässt in seiner Entscheidung zwar viele Fragen offen, die Richter scheinen im Ergebnis aber eher von einer weiten Auslegung des Rechts auf Kopie auszugehen.
Auskunftsrecht nach DSGVO: LAG verpflichtet Unternehmen zur Auskunft und Erteilung von Kopien
Bereits der Umfang der Daten, über die der Kläger in diesem Verfahren Auskunft verlangte, lässt aufhorchen. In dem Verfahren beantragte der Kläger zunächst, ihm Auskunft über die von seiner beklagten Arbeitgeberin verarbeiteten und nicht in der Personalakte gespeicherten personenbezogenen Leistungs- und Verhaltensdaten zu erteilen.
Das LAG Baden-Württemberg verurteilte den beklagten Arbeitgeber daraufhin, dem Kläger die geforderten Auskünfte zu erteilen. Diese Auskünfte müssten zumindest folgende Informationen umfassen:
- Zwecke der Datenverarbeitung,
- Empfänger gegenüber dem das Unternehmen personenbezogene Daten des Klägers offengelegt hatte oder noch offenlegen wird,
- Speicherdauer oder falls dies nicht möglich ist, Kriterien für die Festlegung der Dauer,
- Herkunft der personenbezogenen Daten des Klägers, soweit die Beklagte diese nicht bei dem Kläger selbst erhoben hat und Auskunft über das mögliche Bestehen einer
- automatisierten Entscheidungsfindung einschließlich Profiling sowie aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung.
Auf den ersten Blick scheint das Urteil des LAG Baden-Württemberg die Vorgaben von Art. 15 Abs. 1 DSGVO recht präzise abzubilden. Bei genauem Hinsehen enthält die Entscheidung allerdings bereits eine erste rechtliche Überraschung.
Erste (böse) Überraschung: Auskunft über jeden einzelnen Empfänger!
Das beklagte Unternehmen muss dem Kläger laut Urteil nicht nur die Kategorien von Empfängern mitteilen, denen gegenüber es personenbezogene Daten des Klägers offengelegt hat, sondern “die Empfänger” selbst. Orientiert man sich am genauen Wortlaut der Entscheidung, legt dies nahe, dass der klagende Mitarbeiter nach dem Urteil Auskunft über jeden einzelnen Empfänger verlangen kann.
Eine derart detaillierte Auskunftserteilung wäre in der Praxis kaum umsetzbar. Zudem geht die Entscheidung an dieser Stelle über die Anforderungen des Datenschutzrechts hinaus. Denn nach Art. 15 Abs. 1 lit. c DSGVO kann es grundsätzlich ausreichen, wenn Unternehmen über die Kategorien von Empfängern informieren, gegenüber denen sie personenbezogene Daten offenlegen. In der Praxis dürfte es häufig kaum umsetzbar sein, sämtliche Empfänger zu nennen, an die man personenbezogene Daten weitergibt.
Auch die Verpflichtung des Unternehmens Empfänger zu nennen, an die es personenbezogene Daten noch offenlegen wird, ist problematisch. Zum einen dürfte eine derart weit gefasste Verpflichtung zu unbestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO sein, um im Zwangsvollstreckungsverfahren vollstreckt werden zu können. Zum anderen dürfte es schlicht kaum möglich sein, alle denkbaren Empfänger einzeln vorherzusagen. Hier zeigt sich klar, warum in Art. 15 Abs. 1 lit. c DSGVO von „Kategorien von Empfängern“ die Rede ist.
Verpflichtung des Unternehmens zur Erteilung einer Kopie – Von was genau?
In seinem Urteil hat das LAG Baden-Württemberg das beklagte Unternehmen auch dazu verurteilt, “dem Kläger eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind, zur Verfügung zu stellen.”
Erstaunlicherweise lassen die Richter hier weitgehend offen, was genau sie unter einer solchen Kopie verstehen. Auch diese Verpflichtung ist problematisch, denn ein entsprechender Antrag wäre derart unbestimmt, dass er sich kaum vollstrecken ließe. Damit wäre er nach § 253 Abs. 2 Nr. 2 ZPO unzulässig. Zudem trifft das LAG Baden-Württemberg auch keine Feststellungen dahingehend, ob das beklagte Unternehmen hier nun beispielsweise auch Systemauszüge mit Rohdaten sowie exportierte Dateien aus einzelnen Anwendungen (etwa aus Anwendungen wie SuccessFactors, SAP HCM, WorkDay oder anderen Personaldatensystemen) zur Verfügung stellen muss. Hingegen enthält das Urteil gerade keine genauen Festlegungen dazu, aus welchen Systemen das beklagte Unternehmen Kopien erstellen muss.
Zudem lassen die Stuttgarter Richter offen, ob der Arbeitgeber auch E-Mail-Korrespondenz, die im Zusammenhang mit der Leistung oder dem Verhalten des Klägers steht, offenlegen muss. Der vage formulierte Tenor der Entscheidung lässt dies zwar vermuten. Aber weder das eigentliche Urteil noch dessen Begründung gehen näher darauf ein, was für Daten das beklagte Unternehmen konkret offenlegen soll. Dies ist nicht nur rechtlich im Hinblick auf die notwendige Bestimmtheit problematisch. Die recht vage Entscheidung lässt Unternehmen weitgehend im Dunkeln, wie sie mit entsprechenden Auskunftsanträgen ihrer Mitarbeiter künftig umgehen sollen.
Definition der Reichweite des Rechts auf Kopie: (Schlechter) Anfang ist gemacht
Das LAG Baden-Württemberg hat in Bezug auf die Reichweite des Rechts auf Kopie die Revision zum Bundesarbeitsgericht (BAG) zugelassen. Die Stuttgarter Richter haben die grundsätzliche Bedeutung der Klärung der genauen Reichweite des Rechts auf Erteilung einer Kopie erkannt.
Allerdings kann es erfahrungsgemäß durchaus ein Jahr oder auch noch deutlich länger dauern, bis das BAG diese Fragen entscheidet. Und das BAG könnte unter Umständen auch zu dem Schluss kommen, dass es diese relevanten Fragen zur Auslegung von Art. 15 DSGVO dem Europäischen Gerichtshof (EuGH) zur Klärung vorlegt. Denn grundsätzlich ist der EuGH für die verbindliche Auslegung europarechtlicher Vorschriften zuständig. Fazit: Die Praxis wird noch einige Zeit warten müssen, bis die hier aufgeworfenen Fragen abschließend und verbindlich geklärt sind.
Auskunftsrecht nach DSGVO: Das Urteil stellt Unternehmen vor (noch mehr) Herausforderungen
Bis dahin stellt das Urteil vom 20. Dezember 2018 Unternehmen vor einige Herausforderungen. Das Hauptproblem ist, dass die Richter das Recht auf Kopie nach Art. 15 Abs. 3 Satz 1 DSGVO offenbar weit auslegen – dabei aber weitgehend offen lassen, aus welchen Systemen und in welchem Umfang Unternehmen typischerweise Kopien zur Verfügung stellen müssen. Es ist nicht auszuschließen, dass die Entscheidung viele um den Schutz ihrer Daten besorgte betroffene Personen dazu bewegen wird, ähnliche Auskunftsanträge zu stellen. Aber auch für unzufriedene Mitarbeiter birgt die Entscheidung des LAG Baden-Württemberg einige Handlungsoptionen. Jedenfalls erscheint es nicht ausgeschlossen, dass sich Unternehmen nun auf eine Vielzahl entsprechende Auskunftsanträge und Forderungen nach Kopien einstellen müssen.
Bis zu einer abschließenden Entscheidung über die Reichweite des Auskunftsrechts und des Rechts auf Überlassung einer Kopie nach Art. 15 Abs. 1 und Abs. 3 Satz 1 DSGVO empfiehlt es sich für Unternehmen, einen Ansatz zu wählen, den sie gegenüber Gerichten und Aufsichtsbehörden belastbar verteidigen können.
Unerwartete Hilfe von den Datenschutzbehörden?
Aus Gesprächen mit Datenschutzbehörden zeigt sich, dass diese häufig einen Ansatz befürworten, der sich am Sinn und Zweck des Auskunftsrechts sowie des Rechts auf Kopie orientiert – nämlich der betroffenen Person einen transparenten und verständlichen Überblick darüber zu geben, welche ihrer Daten der Verantwortliche verarbeitet.
Die von den Datenschutzaufsichtsbehörden aufgestellten Anforderungen lassen sich beispielsweise gut in einem gestaffelten Prozess umsetzen. Bei einem solchen Ansatz erhalten Mitarbeiter nach dem Stellen eines Auskunftsantrags zunächst die in Art. 15 Abs. 1 DSGVO genannten Angaben. Zudem stellt ihnen das Unternehmen eine Kopie mit einer Art „erweitertem Stammdatensatz“ mit den wesentlichen relevanten Informationen, „die Gegenstand der Verarbeitung sind“, zur Verfügung. Hier hat es sich in der Praxis zur Vermeidung unnötigen Aufwands bewährt, den Mitarbeitern Zugang zu Informationssystemen zu geben, aus denen sie selbst entsprechende Daten nach ihren Bedürfnissen abrufen können (sog. Self-Service-Zugänge).
Sofern Mitarbeiter darüber hinaus noch weitergehende Informationen benötigen, sollten sie auch die Gründe hierfür mitteilen. Mithilfe dieser Angaben kann das Unternehmen prüfen, ob es sich um einen gegebenenfalls unberechtigten bzw. exzessiven Antrag im Sinne von Art. 12 Abs. 5 Satz 2 DSGVO handelt. Diese Vorschrift wird häufig übersehen. Sie erlaubt es dem Verantwortlichen, sich bei offenkundig unbegründeten oder exzessiven Anträgen zu weigern, diese zu erfüllen. Alternativ kann der Verantwortliche auch ein angemessenes Entgelt für die Erfüllung der Auskunft verlangen. Die Beweislast für das Vorliegen einer solchen unbegründeten oder exzessiven Antragstellung liegt beim verantwortlichen Unternehmen, Art. 12 Abs. 5 Satz 3 DSGVO.
Klare Handlungsempfehlung: Abstimmung mit den Datenschutzbehörden
Es empfiehlt sich zudem, den Prozess zur Erteilung von Auskünften nach Art. 15 DSGVO gegebenenfalls mit der zuständigen Datenschutzbehörde abzustimmen. In der Praxis zeigen die Behörden teilweise ein größeres Verständnis für die Folgen eines zu umfassend definierten Rechts auf Kopie als das LAG Baden-Württemberg.
Einzelne Datenschutzbehörden haben sich bereits klar gegen ein ausuferndes Recht auf Kopie positioniert. So schreibt etwa das Bayerische Landesamt für Datenschutz (BayLDA) in seinem aktuellen Tätigkeitsbericht zur Auslegung von Art. 15 Abs. 3 DSGVO Folgendes: „Das Auskunftsrecht über gespeicherte personenbezogene Daten begründet keinen allgemeinen Anspruch auf Kopien von Dokumenten oder Akten.“
Diese Schlussfolgerung begründet das BayLDA zum einen mit dem Wortlaut von Art. 15 DSGVO und zum anderen mit der einschlägigen Rechtsprechung des EuGH:
„Wir wurden oft gefragt, ob vollständige Kopien von Akten im Rahmen von Auskunftsersuchen von Verantwortlichen angefertigt und herausgegeben werden müssen. Der datenschutz-rechtliche Auskunftsanspruch nach Art. 15 DS-GVO betrifft nach dem Wortlaut von dessen Abs. 1 eine Auskunftserteilung über die personenbezogenen Daten, die vom Verantwortlichen verarbeitet werden. Das bedeutet aber nicht regelmäßig die Herausgabe von allen Dokumenten, E-Mails etc., in denen z. B. der Name der betroffenen Person und eventuelle weitere Informationen über diese Person enthalten sind.
Nach Art. 15 Abs. 3 DS-GVO ist nur eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung zu stellen. Es ist hier jedoch nicht die Rede von Kopien der betreffenden Akten, von sonstigen Unterlagen usw.
Hierzu verwiesen wir auch auf das Urteil des Europäischen Gerichtshofs (EuGH) vom 17.07.2014, Az. C-141/12 und C-372/12, in dem u. a. Folgendes ausgeführt wird:
„…Zur Wahrung dieses Auskunftsrechts genügt es, dass dieser Antragsteller eine vollständige Übersicht dieser Daten in verständlicher Form erhält, d. h. in einer Form, die es ihm ermöglicht, von diesen Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der Richtlinie gemäß verarbeitet werden, so dass er gegebenenfalls die ihm in der Richtlinie verliehenen Rechte ausüben kann.“
Wegen der gleichgelagerten Regelung in Art. 15 Abs. 1 DS-GVO im Vergleich zur früheren EU-Datenschutzrichtlinie (dort Art. 12) sehen wir die vom EuGH in der zitierten Entscheidung aufgestellten Maßstäbe weiterhin als zutreffend an.“
Klare Verteidigungsstrategie gegen überzogene Forderungen kann helfen
Unternehmen, die überzogene Auskunftsansprüchen aus dem Auskunftsrecht nach DSGVO abwehren müssen, sind gut beraten, sich bei dem weiteren Vorgehen die rechtlich durchaus überzeugende Position des BayLDA zu eigen zu machen. Gerade in entsprechenden Gerichtsverfahren erscheint es aussichtsreich, sich auf die Ansichten des EuGH und des BayLDA zu beziehen, zumal auch andere Datenschutzbehörden im direkten Gespräch ähnliche Auffassungen vertreten wie das BayLDA.
Gerade wenn man zusätzlich auch nachweisen kann, dass man die Auskunftsansprüche von Beschäftigten oder anderen betroffenen Personen in einem wie vorstehend beschriebenen (gestaffelten) Verfahren erfüllt, kann dies helfen, unbegründete Ansprüche abzuwehren.
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien
Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien