Das Thema
Zwei Unternehmen stritten vor einem schwedischen Gericht um die Vorlage eines ungeschwärzten Personalverzeichnisses, welches Namen, nationale ID und genaue Arbeitszeiten aller Arbeitnehmer des einen Unternehmens enthielt. Das Führen eines solchen Verzeichnis ist gemäß schwedischem Steuerrecht verpflichtend. Die Vorlage dieses Verzeichnisses als Beweismittel wurde dann von dem Zivilgericht im Prozess angeordnet. Die Beklagte weigerte sich trotz dieser Anordnung das Verzeichnis vorzulegen. Sie war der Ansicht, dass das Verzeichnis nur für die Finanzbehörde erstellt wurde (Zweckbindung). Nachdem die Beklagte in zweiter Instanz unterlag, setzte das Oberste Gericht in Schweden (Högsta domstol) das Verfahren aus und fragte den EuGH, ob die DSGVO auch auf Verfahrensrecht Anwendung fände sowie ob und wie die Rechte der betroffenen Personen dann zu berücksichtigen seien.
DSGVO muss auch durch Gerichte in Zivilverfahren berücksichtigt werden
Zunächst stellte der EuGH fest, dass auch im Zivilprozess Gerichte bei der Anordnung von Dokumenten, die personenbezogene Daten beinhalten, die DSGVO beachten müssen (Urt. v. 02.03.2023 – C-268/21). Rechtsgrundlage für die Datenverarbeitung im Gerichtsverfahren sei hierbei regelmäßig Art. 6 Abs. 1 lit. e i.V.m. Abs. 3 DSGVO. Da das Personalverzeichnis als Beweismittel durch den Verantwortlichen zunächst für einen anderen Zweck (hier der steuerrechtliche Zweck) erhoben wurde, seien daneben auch die Voraussetzungen von Art. 6 Abs. 4 DSGVO zu erfüllen. Im vorliegenden Fall sah der EuGH die Zweckänderung für die Vorlage in dem Gerichtsverfahren nach Art. 23 Abs.1 lit. f und j DSGVO als zulässig an. Das Vorlegen von Dokumenten als Beweismittel stelle eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zum Schutz der Unabhängigkeit der Justiz und von Gerichtsverfahren sowie zur Durchsetzung zivilrechtlicher Ansprüche dar, auch wenn diese Dokumente personenbezogene Daten von am Prozess unbeteiligten Dritten enthält.
Rechte des Betroffenen und die Verarbeitungsgrundsätze
Kern der Entscheidung waren die Ausführungen des EuGH, dass bei jeder Verarbeitung personenbezogener Daten im Kontext des Zivilprozesses die Rechte des Betroffenen sowie die Verarbeitungsgrundsätze (Art. 5 DSGVO) zu berücksichtigen seien. Daher muss das nationale Gericht laut EuGH in zwei Schritten vorgehen:
- Zunächst sei zu ermitteln, ob ein Dokument überhaupt vorzulegen sei. Hierfür seien das Interesse der Partei an einem effektiven Rechtsschutz gegen die Interessen des Betroffenen, dessen Daten im Prozess verarbeitet werden sollen, am Schutz seiner personenbezogenen Daten abzuwägen.
- Wenn hierbei die Interessen der Partei an einem effektiven Rechtsschutz überwiegen würden, sei in einem zweiten Schritt zu überprüfen, ob die offenzulegenden Daten den Grundsätzen der Verarbeitung nach Art. 5 DSGVO, insbesondere dem Grundsatz der Datenminimierung, genügten. Dem Gericht obliege es zu prüfen, ob es für die Beurteilung der Rechtslage einer vollständigen Offenlegung der in dem Dokument enthaltenen Daten bedürfe oder ob eine teilweise Offenlegung bspw. in Form einer Pseudonymisierung oder Anonymisierung ausreiche.
Praktische Auswirkungen des Urteils
Dass die DSGVO vollumfänglich auch im Zivilprozess Anwendung findet, mag wenig überraschen, wie auch Erwägungsgrund 20 DSGVO bestimmt. Die Praxis sieht allerdings gerade in der Arbeitsgerichtsbarkeit anders aus. Umso notwendiger ist daher die Einhaltung dieser datenschutzrechtlichen Vorschriften im Rahmen des arbeitsrechtlichen Prozesses. Gericht und Parteien müssen sich von nun an bei Parteivortrag wie auch bei Beweisanordnungen an die Zweischritt-Prüfung des EuGH halten:
- Überwiegen die Interessen der Partei, personenbezogene Daten im Prozess vorzulegen, gegenüber den Interessen des Betroffenen am Schutz seiner personenbezogenen Daten? Dies wird regelmäßig der Fall sein, wenn der Beweis oder Parteivortrag entscheidungserheblich ist.
- Müssen die personenbezogenen Daten im vollen Umfang vorgelegt werden oder reichen teilweise oder vollständig anonymisierte/pseudonymisierte Daten aus?
Fazit
In der Praxis wird insbesondere der zweite Schritt größere Probleme bereiten. Gerade der Grundsatz der Datenminimierung wird von Prozessparteien oft nicht berücksichtigt. Das Vorlegen von ungeschwärzten Personallisten wird damit nicht mehr ohne weiteres notwendig, also auch nicht mehr rechtlich zulässig sein.
Trotz dieser rechtlichen Unzulässigkeit werden Gerichte Beweise/Vortrag, der unter Verstoß gegen den Datenschutz vorgebracht wird, nicht ohne weiteres ignorieren können. Wie auch schon der BGH im Dashcam-Fall ausgeführt hat, ist es nicht Aufgabe der Gerichte, Datenschutzverstöße zu sanktionieren (BGH, Urt. v. 15.05.2018 – VI ZR 233/17, NJW 2018, 2883 Rn. 53). Vielmehr müsste der für den Datenschutzverstoß Verantwortliche eine Meldung an die Datenschutzbehörde nach Art. 33 DSGVO machen. Die Behörde kann dann ein Verfahren einleiten, wobei bereits das Unterlassen einer Meldung nach Art. 33 DSGVO bußgeldbewehrt ist. Prozesstaktisch könnte daher die gegnerische Partei z.B. durch Androhung einer Meldung an die Datenschutzbehörde forcieren, dass erst gar kein datenschutzrechtlich rechtswidriger Beweis angetreten oder Parteivortrag vorgebracht wird.