Das Thema
Obwohl das potenziell größte Ereignis – der Erlass eines Beschäftigtendatenschutzgesetzes – im Jahr 2023 nicht realisiert wurde, bedeutete dies keineswegs, dass die Fortentwicklung des Beschäftigtendatenschutzes stagnierte. Tatsächlich war sogar das Gegenteil der Fall und die Rechtsprechung konturierte vielerlei Anforderungen an die Datenverarbeitung im Beschäftigtenkontext. Dieser Beitrag greift ausgewählte – subjektiv als besonders relevant empfundene – Entscheidungen auf und beschreibt deren Kernaspekte, ohne jedoch in diesem Format einen Anspruch auf Vollständigkeit erheben zu können.
Also, was geschah nun im Jahr 2023?
Ansprüche auf Auskunft über Kopie von personenbezogenen Daten als „Massengeschäft“
Eine der zentralen Fragen auch im Beschäftigtendatenschutz war weiterhin die, wie eigentlich Art. 15 DSGVO im Einzelfall auszulegen ist. Dies galt sowohl hinsichtlich der arbeitgeberseitig zu erteilenden Auskunft als auch dahingehend, eine Kopie der verarbeiteten Daten bereitzustellen. Konkret haben die Gerichte im Jahr 2023 insbesondere folgende – auch im Beschäftigtenverhältnis relevante – Fragen beantwortet:
- Im Falle einer Offenlegung von Daten an Dritte ist der Verantwortliche verpflichtet, der betroffenen Person die Identität der Empfänger mitzuteilen. Etwas anderes gilt ausschließlich dann, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv sind. Nur dann reicht es aus, wenn der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilt (EuGH, Urt. v. 12.01.2023 – C-154/21 [„Österreichische Post“]).
- Betroffene Personen haben Anspruch auf eine originalgetreue und verständliche Reproduktion aller von ihnen verarbeiteten Daten. Dies beinhaltet exemplarisch die Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u.a. diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen. Zu berücksichtigen sind allerdings ebenfalls die schützenswerten Interessen anderer (EuGH, Urt. v. 04.05.2023 – C-487/21; vgl. hierzu auch den #EFAR-Beitrag „Aktuelle Entwicklungen zum Auskunftsrecht nach Art. 15 DSGVO“).
- Beruft sich ein Arbeitgeber auf solche schützenswerten Interessen, wegen denen er etwa eine Kopie personenbezogener Daten nicht zur Verfügung stellen könne, so hat er vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können (LAG Berlin-Brandenburg, Urt. v. 30.03.2023 – 5 Sa 1046/22).
- Überdies ist der betroffenen Person eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, unentgeltlich zur Verfügung zu stellen. Dies gilt auch dann, wenn der betreffende Antrag aus sachfremden Gründen gestellt wird (EuGH, Urt. v. 26.10.2023 – C-307/22 [„FT“]).
Dauerhafte Erhebung von Quantitäts- und Qualitätsleistungsdaten kann zulässig sein
Zu Beginn des Jahres – am 09.02.2023 – entschied das VG Hannover (10 A 6199/20) in seiner „Amazon“ Entscheidung, dass die „ununterbrochene Erhebung jeweils aktueller und minutengenauer Quantitäts- und Qualitätsleistungsdaten“ zulässig sein könne, sofern sie erforderlich im Sinne von Art. 88 DSGVO und § 26 Abs. 1 Satz 1 BDSG sei. Diese Entscheidung ist insbesondere für derartige Unternehmen relevant, deren Erfolg maßgeblich von einem effizienten, schnellen Arbeitsablauf abhängt, wenngleich – wie immer – eine Beurteilung des Einzelfalls maßgeblich ist (vgl. im Detail hierzu den ‚EFAR-Beitrag „Mitarbeiterkontrolle durch Erfassung von Leistungsdaten der Arbeitnehmer kann rechtmäßig sein“).
Strenge Anforderungen bei Abberufung und Kündigung von Datenschutzbeauftragten
Zeitgleich konkretisierte der EuGH in seiner „Leistritz AG“-Entscheidung (Urt. v. 09.02.2023 – C‑453/21) diejenigen Anforderungen, die an die Abberufung und Kündigung eines Datenschutzbeauftragten zu stellen sind. Dies hatte der EuGH bereits mit Urteil vom 22.06.2022 (C-534/20 [„X-FAB Dresden GmbH & Co. KG“]) getan. Beiden Entscheidungen lag die Frage zugrunde, ob die in §§ 6 Abs. 4, 38 Abs. 2 BDSG statuierten Voraussetzungen gegen Art. 38 Abs. 3 DSGVO verstoßen, da sie das Schutzniveau der DSGVO überschreiten. Der EuGH sah hierdurch indes keinen Verstoß und konstatiert, dass Art. 38 Abs. 3 Satz 2 DSGVO dahingehend auszulegen sei, dass er strengere nationale Regelungen ermögliche, die eine Abberufung oder Kündigung ausschließlich aus wichtigem Grund zulassen. Das gelte unabhängig davon, ob die Gründe für die Kündigung oder Abberufung mit der Erfüllung der Aufgaben des Datenschutzbeauftragten zusammenhängen.
In der Entscheidung thematisierte der EuGH ebenfalls die Frage, wann ein Interessenkonflikt gemäß Art. 38 Abs. 6 DSGVO vorliegt. Der Interessenkonflikt sei jedenfalls dann gegeben, wenn dem Datenschutzbeauftragten – neben seiner Tätigkeit als solcher – Aufgaben oder Pflichten übertragen werden, im Rahmen derer er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
„Spezifischere Vorschrift“ gemäß Art. 88 DSGVO und Beschäftigtendatenschutzgesetz
Kurz danach konstatierte der EuGH am 30.03.2023 (C-34/21), dass eine „spezifischere Vorschrift“, deren Erlass Art. 88 Abs. 1 DSGVO erlaube, zwingend die Voraussetzungen des Art. 88 DSGVO einhalten müsse. Erfüllen diese nationalen Rechtsvorschriften die in Art. 88 Abs. 1 und 2 DSGVO vorgegebenen Voraussetzungen und Grenzen nicht, müssten sie unangewendet bleiben. Etwas anderes gelte ausschließlich dann, wenn sie eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO darstellen und diese den Anforderungen der DSGVO genüge. Konkret betraf die Entscheidung § 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG). § 23 Abs. 1 HDSIG ist ferner nahezu identisch mit § 26 Abs. 1 BDSG, woraus gefolgert wird, dass auch § 26 Abs. 1 Satz 1 BDSG unanwendbar sein dürfte. Gerichtlich bestätigt ist dies allerdings noch nicht. Ferner soll unter anderem diese Entscheidung zum Anlass genommen werden, dass in Deutschland zeitnah ein Beschäftigtendatenschutzgesetz erlassen wird (vgl. dazu ebenfalls die #EFAR-Beiträge vom 11.05.2023, 20.11.2023 und 07.12.2023).
Kein zwingendes Beweisverwertungsverbot bei teilweise unzulässiger Videoüberwachung
Ebenfalls eine Art „Dauerbrenner“ im Beschäftigtendatenschutz war auch im Jahr 2023 die Frage der prozessualen Verwertung von rechtswidrig erstellten Videoaufnahmen. Insoweit entschied das BAG mit Urteil vom 29.06.2023 (2 AZR 296/22), dass eine Datenverarbeitung in Form einer teilweise datenschutzrechtlich unzulässigen und damit rechtswidrigen Videoüberwachung nicht zu einem Sachvortrags- oder Beweisverwertungsverbot in einem darauf gestützten Kündigungsschutzprozess führe. Das BAG führte insoweit aus, dass selbst bei datenschutzrechtlicher Unzulässigkeit der Erhebung und Verwertung ein schwerwiegender, vorsätzlicher Arbeitspflichtverstoß des Arbeitnehmers bewiesen würde. Ein weiterer Aspekt der Entscheidung war, dass der Arbeitgeber sowie der bei diesem gebildete Betriebsrat eine Art „betriebliches Beweisverwertungsverbot“ mittels Betriebsvereinbarung statuiert hatten. Insoweit entschied das BAG, dass die Parteien nicht über das formelle Verfahrensrecht der Zivilprozessordnung disponieren und ein über dieses hinausgehendes Verwertungsverbot begründen könnten, weshalb auch nicht die Möglichkeit des Arbeitgebers wirksam beschränkt worden sei, in einem Individualrechtsstreit Tatsachenvortrag über betriebliche Geschehnisse zu halten (vgl. auch die #EFAR-Beiträge „Datenschutz ist kein Tatenschutz“ und „Kein Beweisverwertungsverbot für Aufzeichnungen aus offener Videoüberwachung“).
Datenverarbeitung durch den Betriebsrat gem. § 79a BetrVG
Ferner entschied das BAG mit Beschluss vom 09.05.2023 (1 ABR 14/22), dass der Betriebsrat – oder eine ihm rechtlich gleichgestellte Interessenvertretung – namentlich Auskunft über die Arbeitnehmer (und leitenden Angestellten) im Betrieb verlangen können, die schwerbehindert oder aber schwerbehinderten gleichgestellt sind. Dies gelte unabhängig davon, ob eine Einwilligung aller betroffenen vorläge (vgl. hierzu im Einzelnen den #EFAR-Beitrag „Voraussetzungen und Umfang der Datenverarbeitung durch den Betriebsrat“).
Was gab es noch? – Geldbuße und Schadensersatz
Ein weiterer, insbesondere für Arbeitgeber relevanter Aspekt am Rande des Beschäftigtendatenschutzes ist die Frage, unter welchen Voraussetzungen die zuständige Aufsichtsbehörde eine Geldbuße verhängen darf. Auch hier hat sich im Laufe des Jahres viel getan, konkret:
- Die Verhängung einer Geldbuße verlangt ausweislich der Rechtsprechung des EuGH einen schuldhaften, also vorsätzlich oder fahrlässig begangenen Verstoß. Die handelnde – natürliche oder juristische – Person muss dabei erkannt haben bzw. erkennen haben können, dass das Verhalten rechtswidrig ist. Mit anderen Worten muss dieser schuldhafte Verstoß nach der Auffassung des Gerichts feststehen (EuGH, Urt. v. 05.12.2023 – C‑683/21 und C-807/21). Der EuGH lässt für eine Haftung insoweit ein Organisationsverschulden ausreichen und sieht ein Verschulden einer konkreten natürlichen Person nicht als erforderlich an.
- Eine Geldbuße kann im Kontext der Auftragsdatenverarbeitung auch bei Verstößen des Auftragsverarbeiters gegen einen Verantwortlichen verhängt werden, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Vorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (EuGH v. 05.12.2023 – C‑683/21).
Daneben können Arbeitnehmer – wie jeder Betroffene – auf Grundlage von Art. 82 DSGVO Anspruch auf Schadensersatz haben, sofern irgendein kausal auf einem Verstoß gegen Datenschutzrecht resultierender Schaden existiert. Insoweit ist es unerheblich, welche Höhe der Schaden hat. Eine „Erheblichkeitsschwelle“ existiert nicht (EuGH, Urt. v. 04.05.2023 – C-300/21). Ein Verstoß allein genügt danach hingegen ebenfalls nicht, um einen Schadensersatzanspruch zu begründen. Arbeitnehmer müssen also jedenfalls irgendeinen Schaden darlegen und beweisen (OLG Köln, Urt. v. 10.08.2023 – 15 U 78/22). Abschließend hat der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch lediglich eine Ausgleichs- und keine Abschreckungs- oder Straffunktion (EuGH, Urt. v. 21.12.2023 – C-667/21 [„ZQ“]).
In diesem Sinne: Ein frohes neues Jahr 2024!