Datenschutz beim Arbeitgeberwechsel: Löschung, Auskunft, Einsicht und Datenportabilität

Das Thema

Neues Jahr, neuer Job? In Zeiten der seit 25. Mai 2018 geltenden EU Datenschutz-Grundverordnung (DSGVO) richten sich mit dem Arbeitgeberwechsel neue praktische Herausforderungen an alte und neue Personalabteilung:

• Welche Rechte hat ein den Arbeitsplatz wechselnder Arbeitnehmer (gilt analog für den Wechsel in den Ruhesstand) gegenüber seinem bisherigen Arbeitgeber im Hinblick auf seine personenbezogenen Daten?
• Kann dieser etwa Auskunft über die (in der Vergangenheit) verarbeiteten personenbezogenen Daten und deren (vollständige) Löschung verlangen?
• Kann eine Herausgabe der personenbezogenen Mitarbeiterdaten oder deren (direkter) Transfer zu dem neuen Arbeitgeber verlangt werden und ggf. in welchem Format (analog und/oder digital)?
• Welche Handlungsempfehlungen können dem bisherigen Arbeitgeber an die Hand gegeben werden, der sich mit Auskunfts- und Löschungsbegehren hinsichtlich der personenbezogenen Daten des ehemaligen Mitarbeiters und insbesondere einem Begehren auf deren Herausgabe oder Transfer zu einem neuen Arbeitgeber konfrontiert sieht?
• Ist das (neue) Datenschutzrecht eine Gefahr für schützenswertes betriebliches Know-how (Betriebs- und Geschäftsgeheimnisse)?

 

 

Löschung, Auskunfts- und Einsichtsrechte nach Datenschutz- und Arbeitsrecht

Zentrale Rechte des Betroffenen (also des Arbeitnehmers) hinsichtlich seiner personenbezogenen Daten sind die Rechte auf Löschung und Auskunft. Beide Rechte existierten bereits vor Geltung der DSGVO (in § 35, 34 BDSG a.F.).

Das Recht auf Löschung (Art. 17 Abs. 1 DSGVO) gibt dem Betroffenen das Recht, von dem Verantwortlichen zu verlangen, dass ihn betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 Abs. 1 DSGVO aufgezählten Gründe zutrifft und kein Einschränkungstatbestand des Art. 17 Abs. 3 DSGVO greift.

Das Recht auf Auskunft (Art. 15 DSGVO) gewährt dem Betroffenen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden, und sofern das der Fall ist, ein Recht auf Auskunft über diese personenbezogenen Daten und weitere in Art. 15 DSGVO aufgelistete Informationen. Nach Abs. 3 S. 1 hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Daneben bestand und besteht das Einsichtsrecht des Arbeitnehmers in seine Personalakte (§ 83 Abs. 1 BetrVG; § 26 Abs. 2 SprAuG für leitende Angestellte). Es gilt auch in betriebsratslosen Betrieben.

Das (neue) Recht auf „Datenportabilität“

Durch die DSGVO tritt zu diesen Rechten auf Löschung, Auskunft und Einsicht das Recht auf „Datenportabilität“ bzw. Datenübertragbarkeit (Art. 20 DSGVO) hinzu. Dieses gibt dem Betroffenen das Recht, personenbezogene Daten herauszuverlangen und an einen neuen Anbieter zu übertragen.

Ziel ist zum einen die Stärkung der Individuums im Hinblick auf seine Verfügungsmacht über die eigene Person betreffende Daten, und zum anderen das Brechen von Marktmacht durch Verhinderung sogenannter „Lock-in-Effekte“ und die Förderung des freien Datenverkehrs im europäischen Binnenmarkt.

Im Gesetzgebungsverfahren zielte der Anspruch zunächst nur auf Social-Media-Plattformen, wurde dann aber zum allgemeinen Recht auf „Datenportabilität“ beim Wechsel des Arbeitgebers.

Beschränkt ist die Portabilität allerdings auf

• personenbezogenen Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat,
• deren Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gemäß Artikel 6 Abs. 1 lit. b) DSGVO beruht und die
• mithilfe automatisierter Verfahren gespeichert sind.

Der Anwendungsbereich ist damit in mehrfacher Hinsicht erheblich beschränkt.

Als „bereitgestellt“ gelten wohl nur aktiv hingegebene Daten. Zum Teil wird darüber hinaus schon das „Zugänglichmachen“ als hinreichend angesehen. Lediglich sogenannte derived/inferred data, die der Verantwortliche auf der Grundlage von zur Verfügung gestellten Daten selbst erstellt hat, sind in keinem Fall „bereitgestellt“.

Praktisch gilt der Anspruch also nur für elektronische Personalakten und Personalinformationssysteme, da „die Vermittlung mithilfe automatisierter Verfahren erfolgt“ sein muss (Art. 20 Abs.1 lit. b) DSGVO). Inhaltlich gilt der Anspruch zweifelsfrei für vom Arbeitnehmer aktiv zur Verfügung gestellte Daten, also etwa den Personalfragebogen, Versicherungsinformationen oder Zeugnisse. Weitere generierte Daten, wie etwa der Suchverlauf des Browsers, würden nach der weiten Auslegung wohl auch noch als „Bereitgestellt“ gelten, keinesfalls jedoch Analysen und Bewertungen solcher Daten durch den Arbeitgeber. Damit scheidet zum Beispiel eine Bewertung des Arbeitnehmers durch den Arbeitgeber, aber auch eine Abmahnung als Objekt der Transportabilität aus.

Sind die Voraussetzungen erfüllt und greift kein Ausschlussgrund, hat der Verantwortliche die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen oder – nach Art. 20 Absatz 2 DSGVO – direkt an einen anderen Verantwortlichen zu übermitteln. Erwägungsgrund 68 DSGVO bringt daneben noch den Begriff der Interoperabilität ins Spiel. So sind Unternehmen angehalten, aber nicht verpflichtet, interoperable Systeme zu entwickeln und zu verwenden.

Eine weitergehende Festlegung auf zu verwendende Systeme und Formate erfolgt nicht (um Offenheit für technologischen Fortschritt zu wahren, so heißt es). Beispielhaft nennt die WP 29-Gruppe sogenannte „open formats“ wie XML, JSON, CSV. Bei PDFs ist darauf zu achten, ob die Daten leicht extrahiert und weiterverarbeitet werden können, sowie was dargestellt werden soll (ein PDF, das den Email-Posteingang darstellt, erfüllt nach Ansicht der WP 29-Gruppe dabei nicht die Voraussetzungen der potentiellen Weiterverarbeitung).

Form der Datenübertragung

Für die Form der Übermittlung kämen das zur Verfügung stellen in einem Portal verbunden mit der Möglichkeit zum Herunterladen der Dateien sowie das Übersenden in Betracht (bei der Direktübermittlung nach Art. 20 Abs. 2 DSGVO wohl eher nur das Übersenden). Eine generelle Annahmepflicht des neuen Verantwortlichen besteht nicht. Auch ist in diesem Kontext die Möglichkeit der Verweigerung der Direktübermittlung zu beachten. Art. 20 Abs. 2 DSGVO stellt die Direktübermittlung unter den Vorbehalt der „technischen Machbarkeit“. Da eine Ausweichmöglichkeit auf die Datenübertragung über den Betroffenen nach Abs. 1 besteht, sind daran auch keine zu großen Anforderungen zu stellen.

Eine wesentliche Einschränkung erfährt das Recht auf „Datenportabilität“ zudem durch Art. 20 Abs. 4 DSGVO. Danach dürfen Rechte und Freiheiten „anderer Personen“ nicht beeinträchtigt werden – nicht die eines betroffenen Dritten, aber auch nicht die des Verantwortlichen selbst. Damit ist der Schutz von Geschäfts- und Betriebsgeheimnissen gewahrt.

Datenübertragung beim Arbeitgeberwechsel: Handlungsempfehlungen

Festzuhalten ist: Neben den klassischen Rechten auf Auskunft und Löschung (nun Art. 15 und 17 DSGVO) gibt die DSGVO dem Arbeitnehmer das neu geschaffene Recht auf „Datenportabilität“ an die Hand. Die Relevanz dieses Rechts ist jedoch allein durch seinen eingeschränkten Anwendungsbereich (bereitgestellte Daten, auf Grund von Einverständnis oder Vertrag, Vermittlung mithilfe automatisierter Verfahren) geschmälert. Die Voraussetzungen werden wohl in eher wenigen Fällen kumulativ erfüllt sein.

Hinzu kommt, dass auch die Ziele des Art. 20 DSGVO – des Rechts auf „Datenportabilität“ – nicht auf die Situation des Arbeitgeberwechsels passen. Kein Arbeitnehmer dürfte ernsthaft darauf angewiesen sein, eine Zeugniskopie aus dem Personalinformationssystem seines Vorarbeitgebers in maschinenlesbarem Format transferieren zu lassen, sondern wird die entsprechenden Daten im Zweifel selbst verfügbar halten. Anderes würde vielleicht für Auswertungen von Leistung und Verhalten gelten – die aber gerade nicht vom Recht auf Datenübertragbarkeit erfasst sind, und an deren Übermittlung der durchschnittlich begabte Arbeitnehmer regelmäßig auch kein gesteigertes Interesse haben dürfte.

Praktisch führt der neue Anspruch daher weder für Arbeitnehmer zu einem spürbaren Mehrwert, noch scheint er für neue Arbeitgeber von echtem Interesse zu sein: Es dürfte leichter sein, sich die Daten beim neuen Arbeitnehmer direkt zu beschaffen, als vom Altarbeitgeber ein ggf. inkompatibles Format importieren zu müssen.

Es hilft nicht, die Praxis der Personalabteilungen wird sich gleichwohl mit dem neuen Instrument beschäftigen müssen. Folgende Handlungsempfehlungen sollten dabei beachtet werden:

1. Der Arbeitnehmer ist über das Bestehen seines Rechts auf „Datenportabilität“ aus Art. 20 DSGVO zu informieren – wie auch über seine Rechte auf Auskunft und Löschung (als allgemeine Pflicht aus Art. 12 DSGVO);
2. Die zu übermittelnde Daten sind in einem möglichst leicht weiterzuverarbeitenden Format bereitzustellen (die W29-Gruppe nennt hier als Beispiele Formate wie XML, JSON und CSV);
3. Sieht sich der Arbeitgeber mit den oben aufgeführten Ansprüchen konfrontiert, sind die Begehren einer sorgsamen Prüfung zu unterziehen, ob und inwieweit der Arbeitgeber diesem Verlangen nachzukommen hat.
4. Anstellungsverträge sollten darauf überprüft werden, ob sie eine Regelung bezüglich des Urheberrechts an Arbeitsergebnissen enthalten. Ratsam ist es, eine Klausel aufzunehmen, die Schreiben und sonstige Arbeitsergebnisse mit schutzwürdiger Schöpfungshöhe dem Arbeitgeber zuordnen, damit jedenfalls dieser Bereich zweifelsohne der Datenportabilität entzogen ist.

 

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

 

Unter Mitwirkung von Julia Beckmann, wiss. MA, und Michael Herold M.C.L., RA bei GvW Graf von Westphalen.