Vom wertschätzenden Chef und vom Betriebsrat
Vom wertschätzenden Chef und vom Betriebsrat
Johannes W. ist ein leidenschaftlicher Skifahrer. Zu seinem Glück hat er nach dem Studium einen Arbeitsplatz in der Rechtsabteilung der Seilbahnen GmbH in Radstadt erhalten.
Bei Johannes W. Vorgesetztem, dem Geschäftsführer der Seilbahnen GmbH, handelt es sich um einen Chef vom alten Schlag: Handschlagqualität, kennt seine MitarbeiterInnen beim Namen und hat ihr Wohl und Wehe im Auge. Besonders zuträglich für ein gutes Betriebsklima ist nach seiner Erfahrung, dass der Chef den MitarbeiterInnen persönlich zum Geburtstag gratuliert. Dafür lässt er sich monatlich aus dem Personalführungssystem eine Geburtstagsliste mit den Geburtsdaten aller MitarbeiterInnen, die in diesem Monat Geburtstag haben, exportieren und ausdrucken. Aber auch dem BR ist es ein Anliegen, der Belegschaft zu gratulieren, weshalb auch diesem monatlich eine Geburtstagsliste zur Verfügung gestellt wird.
Während in der nach Einstellung zu unterzeichnenden Datenschutzerklärung für MitarbeiterInnen über die Datenverarbeitung und die Möglichkeit eines Widerspruchs (opt-out) informiert wird, ist von einer Verarbeitung durch den BR keine Rede. Auch hält sich das Gerücht offen, dass der BR oft zu sorglos mit den im Rahmen seiner Funktion erhaltenen Daten umgeht.
Johannes W., der den Schutz seiner personenbezogenen Daten sehr ernst nimmt, ist mit diesen Vorgehensweisen alles andere als glücklich. Er möchte nicht, dass man im Betrieb sein Geburtsdatum kennt. Johannes W. ist überzeugt, dass die Listenerstellung unzulässig ist und verlangt die Löschung seiner Daten. Hat er damit Aussicht auf Erfolg?
Lösung
Vor etwa zweieinhalb Jahren ist mit Inkrafttreten der DSGVO das öffentliche aber auch wissenschaftliche Scheinwerferlicht auf das Datenschutzrecht geworfen worden. Interessanterweise wird das Thema Datenschutz in der öffentlichen Wahrnehmung weithin auf die Abgabe von Einwilligungserklärungen reduziert. Dies hängt mit der nach wie vor verbreiteten (aber falschen) Vorstellung zusammen, dass die Einwilligung der einzige – oder zumindest wichtigste – Rechtfertigungsgrund einer Datenverarbeitung sei. Tatsächlich ist das Gegenteil der Fall.
Um auch auf diesem Wege Aufklärungsarbeit zu leisten, soll der praktische Fall dieser Ausgabe ein datenschutzrechtlicher sein. Dabei werden zwei Datenverarbeitungen analysiert, die typischerweise in zahlreichen Betrieben in Österreich vorgenommen werden. Ergebnis soll eine didaktisch gut aufgebaute „schulmäßige“ Lösungsskizze sein.
Start einer jeden Falllösung ist die Frage, wer welche Ansprüche gegen wen auf Basis welcher Rechtsgrundlage haben könnte. Ein Fall ist erst dann gelöst, wenn die gestellten Fragen beantwortet wurden und eine Einschätzung möglich ist, wer aufgrund der Fakten und der Rechtslage gegen wen welche Ansprüche tatsächlich (oder aller Voraussicht nach) durchsetzen kann.
Entsprechend der Frage „Wer will was von wem aufgrund welcher Rechtsgrundlage?“ sind zunächst mögliche Anspruchsgrundlagen zu identifizieren. 477 Dabei ist zu erforschen, welche Absichten die involvierten Parteien verfolgen.
Die Auflösung der Frage nach der Erfüllung dieser Anspruchsgrundlagen erfolgt mit Hilfe der Subsumption, also mit dem sogenannten „Hin- und Herwandern des Blickes“ zwischen Tatbestand und Sachverhalt. Dabei ist einerseits darzulegen, welche gesetzlichen Tatbestandsmerkmale vorgesehen sind, und andererseits zu begründen, warum diese aufgrund der im Sachverhalt geschilderten Fakten erfüllt sind (oder warum nicht). Denn erst die Tatbestandsmäßigkeit löst die Rechtsfolge aus.
Aus dem Sachverhalt ergibt sich, dass es sich um zwei Datenverarbeitungen handelt. Johannes W. möchte wissen, ob die Verarbeitung seiner personenbezogenen Daten zulässigerweise erfolgte. Da er davon ausgeht, dass dem nicht so ist, möchte er auch gleich die Löschung seiner Daten beantragt wissen. Anspruchsgrundlage einer Löschung ist Art 17 Abs 1 DSGVO.
Zu prüfen sind deshalb die Aussichten auf das eine oder andere Ergebnis für die Ansprüche
Johannes W. gegen Seilbahnen GmbH auf Löschung der exportierten Geburtsdaten gem Art 17 Abs 1 DSGVO,
Johannes W. gegen BR auf Löschung der exportierten Geburtsdaten gem Art 17 Abs 1 DSGVO.
Im Unterschied zur (alten) Datenschutz-(DS-)RL entfalten die Bestimmungen der DSGVO direkte und unmittelbare Wirkung. Dh: Die Verordnung muss nicht erst in nationales Recht transformiert werden. Betroffene natürliche Personen können Rechtsansprüche direkt aus den unionsrechtlichen Bestimmungen ableiten.* Johannes W. kann sich somit unmittelbar auf Normen der DSGVO stützen.
Da der sachliche und örtliche Anwendungsbereich der DSGVO im vorliegenden Fall unproblematisch ist und deshalb auch nicht weiter thematisiert werden soll, wird im Folgenden auf die Tatbestandsmerkmale des Art 17 Abs 1 DSGVO eingegangen. Nach dieser Bestimmung kann die betroffene Person vom Verantwortlichen verlangen, die sie betreffenden personenbezogenen Daten zu löschen.
Entgegen dem Wortlaut hat das Datenschutzrecht nicht den Schutz der Daten zum Gegenstand, sondern dient vielmehr dem Schutz von Personen. Aus diesem Grund unterliegen auch nur personenbezogene Daten dem Schutzbereich der DSGVO (und des DSG).
Mit personenbezogenen Daten sind jene Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.* Konsequenterweise gilt deshalb das Datenschutzrecht nicht für anonyme Informationen.* Damit sind jene Informationen gemeint, die sich (von vornherein) nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder solche personenbezogenen Daten, die (nachträglich) in einer Weise anonymisiert worden sind, dass betroffene Personen nicht oder nicht mehr identifiziert werden können.*
Bei Geburtsdaten, die einer Person zugeordnet sind (Johannes W., 20.12.1987), handelt es sich unstreitig um personenbezogene Daten. Sie beziehen sich auf eine identifizierte Person.
Anspruchsberechtigt ist nach Art 17 Abs 1 DSGVO nur die betroffene Person.* Dabei handelt es sich um jene (identifizierte oder identifizierbare) natürliche Person, auf die sich die personenbezogenen Daten beziehen.* Johannes W. kann deshalb grundsätzlich die Löschung der ihn betreffenden personenbezogenen Daten verlangen.
Die betroffene Person muss ihre Ansprüche nach Art 17 Abs 1 DSGVO gegenüber dem Verantwortlichen geltend machen.* Es stellt sich die Frage, wer bei der Verarbeitung des Exports der Geburtsdaten Verantwortlicher iSd DSGVO ist.
Beim Verantwortlichen handelt es sich um diejenige (natürliche oder juristische) Person, die über die Mittel und Zwecke einer Verarbeitung entscheidet.* Nach der Rsp des EuGH ist der Begriff des Verantwortlichen sehr weit auszulegen.*
Entscheidend für die Qualifikation als Verantwortlicher ist aber nicht die Tatsache, ob eine Person die Daten selbst verarbeitet, sich in deren Besitz befindet oder über die Herrschaft der Daten in 478 physischer Form verfügt, sondern wer darüber entscheidet (Entscheidungsfunktion).*
Trifft eine Person eine Entscheidung, dass Daten zu verarbeiten sind, sind ihr sämtliche Personen und Stellen funktional zuzurechnen, die unter ihrer Aufsicht bzw Anweisung Datenverarbeitungsschritte vornehmen (Hilfsorgane). Darüber hinaus entscheiden in der Praxis stets natürliche Personen über Mittel und Zwecke einer Verarbeitung. Deshalb ist ebenso zu ermitteln, wem das Handeln der natürlichen Person zuzurechnen ist, den handelnden Personen selbst oder der Organisation, für die sie gegebenenfalls tätig werden.*
Für den vorliegenden Sachverhalt bedeutet dies, dass die Seilbahnen GmbH als Verantwortliche iSd DSGVO zu qualifizieren ist. Die Weisungen des Geschäftsführers zum Export der Geburtstagsliste sind der Gesellschaft zweifellos zuzurechnen. Die Verarbeitung erfolgt nicht für eigene private Zwecke, sondern dienen (iwS) dem Unternehmenswohl.
Nicht als Verantwortlicher sind hingegen die AN der Seilbahnen GmbH zu qualifizieren, die den Export der Geburtstagsliste faktisch durchführen. Sie sind bloße Hilfsorgane, deren Handeln dem Verantwortlichen funktional zuzurechnen ist. Dogmatisch wird dies mit den typischen Wesensmerkmalen des Arbeitsverhältnisses (insb den Weisungs- und Direktionsrechten) begründet. Die AN sind weisungsgebunden, weshalb die Handlungen dem Geschäftsführer und letztlich der Gesellschaft zuzurechnen sind.*
Schon in Art 5 lit e DSGVO normiert das Unionsrecht den Verarbeitungsgrundsatz der Speicherbegrenzung. Damit ist gemeint, dass Verantwortliche von vornherein überlegen müssen, wann zu verarbeitende Daten wieder gelöscht werden müssen. Dadurch wird eine Art Lebenszyklus für Daten implementiert, nach dem Daten zunächst erhoben, verarbeitet, verwendet und abschließend wieder gelöscht werden (Information Lifecycle Management).* Dieser Grundsatz wird durch Art 17 DSGVO konkretisiert. Tatsächlich legt Art 17 Abs 1 DSGVO dem Verantwortlichen eine „doppelte“ Löschpflicht auf: Die Löschpflichten des Verantwortlichen und das korrespondierende subjektive Recht auf Löschung („Recht auf Vergessenwerden“) der Betroffenen.*
Entgegen der weitverbreiteten Meinung müssen Daten auf Wunsch des Betroffenen aber nicht immer gelöscht werden, sondern nur dann, wenn einer der nachfolgenden Löschgründe vorliegt:
die personenbezogenen Daten sind für die Verarbeitungszwecke nicht mehr notwendig;
die betroffene Person widerruft ihre Einwilligung oder legt einen (begründeten) Widerspruch gegen die Verarbeitung ein und es fehlt an einer anderweitigen Rechtsgrundlage;
die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt;
die personenbezogenen Daten wurden in Bezug auf angebotene Dienste einer Informationsgesellschaft gem Art 8 Abs 1 DSGVO erhoben.*
Für den vorliegenden Sachverhalt kommt insb der Löschgrund der unrechtmäßigen Verarbeitung in Betracht.
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, ein entsprechender Rechtmäßigkeitstatbestand (siehe Art 6 DSGVO für „normale personenbezogene Daten“ bzw Art 9 DSGVO für besondere Kategorien personenbezogener Daten) liegt vor (Verbot mit Erlaubnisvorbehalt).* MaW: Eine Datenverarbeitung ist dann unrechtmäßig, wenn keine Rechtsgrundlage für die Verarbeitung vorliegt. Andere Rechtsverstöße bei der Verarbeitung führen hingegen nicht zu einem Löschungsanspruch gem Art 17 Abs 1 DSGVO.*
Für die in Rede stehende Verarbeitung des Exports einer Geburtstagsliste stellt sich nun die zentrale Frage nach der Rechtmäßigkeit. Da es sich im vorliegenden Fall nicht um sensible Daten iSd Art 9 DSGVO handelt, kommen insb die nachfolgenden vier Rechtfertigungsgründe in Betracht:
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, [...] erforderlich (Art 6 Abs 1 lit b DSGVO);
die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen der Betroffenen überwiegen (Art 6 Abs 1 lit f DSGVO);
die Verarbeitung ist erforderlich, damit der Verantwortliche [...] die ihm [...] aus dem Arbeitsrecht [...] erwachsenden Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen kann [...] (Art 9 Abs 2 lit b DSGVO per analogiam);
die betroffene Person hat ihre Einwilligung zur Verarbeitung gegeben (Art 6 Abs 1 lit a DSGVO). 479
Zunächst ist zu prüfen, ob Art 6 Abs 1 lit b DSGVO einschlägig ist. Der Wortlaut der Norm legt dar, dass die im Rahmen eines vertraglichen Schuldverhältnisses erforderliche Verarbeitung erlaubt sein muss, wenn der Betroffene Vertragspartei ist. In welchem Umfang eine Verarbeitung als erforderlich anzusehen ist, ergibt sich anhand einer Einzelfallbeurteilung aus dem Vertragsinhalt.* Es muss einen unmittelbaren Zusammenhang zwischen der Verarbeitung und dem konkreten Zweck des Schuldverhältnisses geben.*
Der Export einer Geburtstagsliste, damit der Geschäftsführer den MitarbeiterInnen zum Geburtstag gratulieren kann, ist für die Erfüllung eines Arbeitsvertrages aber jedenfalls nicht erforderlich. Dieser Rechtmäßigkeitstatbestand muss hier ausscheiden.
Des Weiteren kommt für die in Rede stehende Verarbeitung auch der Rechtmäßigkeitstatbestand der berechtigten Interessen des Verantwortlichen (Art 6 Abs 1 lit f DSGVO) in Betracht. Bei der Prüfung, ob berechtigte Interessen des Verantwortlichen vorliegen, die nicht durch die Geheimhaltungsinteressen des Betroffenen überwogen werden, ist zunächst die Frage zu stellen, ob es sich überhaupt um ein berechtigtes Interesse des Verantwortlichen handelt.*
Damit ein bestimmtes Interesse als berechtigt qualifiziert werden kann, muss es zunächst rechtmäßig (im Einklang mit dem nationalen Recht oder dem Recht der Europäischen Union stehen) und ausreichend bestimmt (damit die Interessenabwägung überhaupt durchgeführt werden kann) sein. Darüber hinaus muss es sich um ein tatsächliches und bestehendes und nicht um ein spekulatives Interesse handeln. Ebenso muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein.*
Diese Punkte sind beim Export der Geburtstagsliste erfüllt, weil die Verarbeitung (soweit ersichtlich) keinen anderen (nicht datenschutzrechtlichen) Rechtsnormen des nationalen oder europäischen Rechts widerspricht und auch hinreichend bestimmt und konkret ist. Sie ist auch zur Erreichung des Zwecks erforderlich und notwendig.
Kernstück des Rechtfertigungsgrunds nach Art 6 Abs 1 lit f DSGVO ist allerdings die Interessenabwägung (balance test). Dabei dürfen insb die Geheimhaltungsinteressen der betroffenen Person die Interessen des Verantwortlichen an der Verarbeitung nicht überwiegen. Die Gewichtung hat dabei aus objektiver und nicht aus subjektiver Sicht zu erfolgen, weshalb individuelle Befindlichkeiten einzelner MitarbeiterInnen nicht zu berücksichtigen sind.* Beim Export der Geburtstagsliste ist zwar die konkrete Ausgestaltung der Verarbeitung im Einzelfall zu betrachten, nachfolgende Faktoren sprechen aber für das Vorliegen berechtigter Interessen des Verantwortlichen:
Eingeschränkter Betroffenenkreis: Für das Vorliegen berechtigter Interessen würde zunächst sprechen, dass ausschließlich AN der Seilbahnen GmbH betroffen sind. Diese stehen in einer angemessenen Beziehung zum Verantwortlichen, insb wenn ausgeschiedene MitarbeiterInnen oder Dritte von der Verarbeitung nicht erfasst werden.*
Eingeschränkter Empfängerkreis: Ebenso für das Vorliegen berechtigter Interessen würde sprechen, dass die Geburtsdaten ausschließlich dem Geschäftsführer zur Verfolgung seines Zweckes übergeben werden und Dritte, insb auch andere MitarbeiterInnen oder Dritte, keinen Zugang haben.
Zeitlicher Konnex: Der Export der Geburtstagsliste wird monatlich durchgeführt. Die Verarbeitung erfolgt in zeitlichem Zusammenhang mit den jeweiligen Ereignissen.
Sachliche Begründung: Der Zweck der Verarbeitung, nämlich die persönliche Gratulation zur Stärkung des Zusammenhalts und Verbesserung des Betriebsklimas, ist sachlich nachvollziehbar.*
Transparenz und Information: Zudem sind die vernünftigen Erwartungen der Betroffenen in die Interessenabwägung miteinzubeziehen;* wenn die Betroffenen daher absehen können, dass eine Datenverarbeitung für einen bestimmten Zweck stattfinden wird, spricht dies für das Vorliegen berechtigter Interessen. Durch die Datenschutzinformation für MitarbeiterInnen wurden diese über die Verarbeitung informiert. Je mehr eine ausführliche und transparente Information vor der Datenverarbeitung erfolgt, desto besser können berechtigte Interessen des Verantwortlichen argumentiert werden.
Widerspruchsrecht: Eine (einfache) Ausübungsmöglichkeit des Widerspruchsrechts sowie die transparente Information darüber würde ebenfalls für das Vorliegen berechtigter Interessen sprechen.
Sicherheitsmaßnahmen: Darüber hinaus sind auch technische und organisatorische Sicherheitsmaßnahmen gem Art 32 DSGVO bei der Interessenabwägung zu berücksichtigen.
Bei Berücksichtigung vorgenannter Argumente kommt man zum Ergebnis, dass bei entsprechender Ausgestaltung des Prozesses ein überwiegendes 480 berechtigtes Interesse des Verantwortlichen vorliegen wird.*
Die Zulässigkeit einer Verarbeitung kann sich darüber hinaus auch aus einem Größenschluss ergeben. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist gem Art 9 Abs 2 lit b DSGVO zulässig, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw ihr erwachsenden Rechte und Pflichten ausüben kann, soweit dies eine Kollektivvereinbarung vorsieht, die auch geeignete Garantien für die Grundrechte und die Interessen der Betroffenen enthält. Zu den kollektiven Vereinbarungen zählen auch Betriebsvereinbarungen.*
Art 9 Abs 2 lit b DSGVO erlaubt die Verarbeitung besonderer Kategorien personenbezogener Daten. Damit gestattet die Rechtsgrundlage des Art 9 DSGVO aber im Größenschluss auch die Verarbeitung nicht-besonderer Kategorien personenbezogener Daten, handelt es sich doch bei Art 9 aufgrund der besonderen Schutzwürdigkeit sensibler Daten um ein verschärftes Rechtmäßigkeitsregime.*
Nach dem ArbVG dürfen Betriebsvereinbarungen aber nur für solche Bereiche abgeschlossen werden, deren Regelung durch Gesetz oder KollV der BV vorbehalten sind (absolut zwingendes Betriebsverfassungsrecht).* Der Abschluss einer BV zur Abwicklung und Rechtfertigung einer Datenverarbeitung zum Zwecke der Geburtstagsgratulation ist aber von keinem im ArbVG vorhandenen Tatbestand erfasst. Bei einer dennoch abgeschlossenen und gelebten BV handelt es sich höchstens um eine sogenannte „freie“ (oder besbesser unzulässige) BV, die aber keine BV iSd ArbVG darstellt. Dementsprechend kann selbst eine abgeschlossene BV keinen Rechtmäßigkeitstatbestand des Art 9 Abs 2 lit b DSGVO auslösen, weshalb dieser Rechtfertigungsgrund schon von vornherein ausscheiden muss. Für das Vorliegen einer BV gibt es im Sachverhalt aber ohnehin keine Hinweise.
Abschließend wäre freilich auch an eine Einwilligung der betroffenen Personen als Rechtmäßigkeitstatbestand zu denken. In der praktischen Umsetzung ist die Einholung einer freiwilligen Einwilligung iVm der jederzeitigen begründungslosen Widerrufsmöglichkeit allerdings umständlich und kompliziert. In der Praxis ist es deshalb von besonderer Bedeutung, den „richtigen Rechtmäßigkeitstatbestand“ einer Verarbeitung zu finden. Einwilligungen sollten (nur) dort eingesetzt werden, wo andere Rechtmäßigkeitstatbestände nicht anwendbar sind.* Sie soll an dieser Stelle – entgegen der systematischen Reihenfolge (immerhin ist die Einwilligung der erste Rechtmäßigkeitstatbestand des Art 6 Abs 1 DSGVO) – deshalb auch als letztes geprüft werden.
Zentrales Merkmal der Einwilligung ist dabei deren Freiwilligkeit. Dh, Betroffene müssen die echte und freie Wahl haben, ob sie in die Verarbeitung der personenbezogenen Daten einwilligen wollen (oder nicht). Das bedeutet aber, dass auch die Verweigerung oder Zurückziehung der Einwilligung ohne Nachteile möglich sein muss.*
Das Vorliegen des Merkmals der Freiwilligkeit ist aber gerade im Arbeitsverhältnis aufgrund des häufig vorhandenen Abhängigkeitsverhältnisses umstritten.* Eine pauschale Verweigerung der Voraussetzungen einer freiwilligen Entscheidung aufgrund eines Ungleichgewichts geht nach der hM aber zu weit.* Vielmehr ist das Merkmal der Freiwilligkeit anhand der konkreten Umstände zu bewerten.*
Werden Rahmenbedingungen geschaffen, unter denen betroffene AN (wirklich) freiwillig entscheiden können, ob sie mit dem Export der Geburtsdaten zum Zwecke der persönlichen Gratulation einverstanden sind, so wird auch die Einwilligung ein zulässiges Mittel zur Rechtfertigung darstellen. Die Einholung einer Einwilligung zur Verarbeitung der Geburtsdaten ist deshalb zwar grundsätzlich möglich, aber praktisch nicht empfehlenswert. Darüber hinaus gibt der Sachverhalt keine Anhaltspunkte für eine allenfalls erteilte Einwilligung des Johannes W.
Im vorliegenden Fall ist der monatliche Export der Geburtsdaten der MitarbeiterInnen aufgrund eines vorliegenden berechtigten Interesses zulässig. Denkbar wäre darüber hinaus auch eine Einwilligung als Rechtmäßigkeitstatbestand, der Sachverhalt gibt dazu aber keine Hinweise.
Johannes W. dringt mit seinem Löschbegehren gem Art 17 Abs 1 DSGVO nicht durch. Die Seilbahn GmbH muss gegenüber Johannes W. die Ablehnung 481 des Löschbegehrens begründen und auf die weiteren Durchsetzungsmöglichkeiten, insb das Recht auf Beschwerde bei der Datenschutzbehörde, hinweisen (vgl Art 12 Abs 4 DSGVO).*
Die Frage nach der Rechtmäßigkeit stellt sich stets für Verarbeitungen iSd DSGVO. Was aber genau unter einer Verarbeitung zu verstehen ist und wie feingliedrig Verarbeitungen von anderen Verarbeitungen abzugrenzen sind, ist in der Praxis nach wie vor sehr unklar. Zwar enthält die DSGVO zum Verarbeitungsbegriff eine Legaldefinition, die ausführlich beschreibt, welche Tätigkeiten eine Verarbeitung darstellen können (Erheben, Erfassen, Ordnen etc), aber nicht erwähnt, dass es sich beim Verarbeitungsbegriff um einen zweckbezogenen Begriff handelt. Unter Rückgriff auf den – gelungeneren – Begriff der „Datenanwendung“ des DSG 2000,* lässt sich eine Verarbeitung als die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte zur Erreichung eines inhaltlich bestimmten Zweckes beschreiben.*
Die Durchführung der Selektion der entsprechenden Geburtsdaten der MitarbeiterInnen, die technische Umwandlung in ein neues Format (Export) sowie die Offenlegung an den Geschäftsführer sowie die Übermittlung an den BR zum Zweck der Durchführung einer persönlichen Gratulation sind jeweils als Verarbeitung iSd DSGVO zu qualifizieren. Nicht von der DSGVO erfasst ist hingegen die faktische Gratulation durch den Chef bzw den BR selbst. Ein möglicher Schutz besteht hier allenfalls nach § 1 DSG, allerdings erst ab Überschreitung einer bestimmten Wahrnehmungsschwelle für Dritte (etwa betriebsöffentlich wahrnehmbare Gratulationen).
Fraglich ist nun aber, wie feingliedrig bzw granular Datenverarbeitungen beschrieben und voneinander abgegrenzt werden müssen. Im konkreten Fall könnte die Gratulation nämlich Teil einer „größeren“ Verarbeitung, etwa einer Verarbeitung „Personalverwaltung“ oder „Unternehmensführung“, sein. In der Tat empfiehlt sich in der Praxis aber eine feingliedrigere Abgrenzung der einzelnen Verarbeitungen, was zwar zu einer größeren Zahl an Verarbeitungen führt, aber eine bessere Abwägung und Umsetzung der rechtlichen Bestimmungen ermöglicht. Zweckbeschreibungen, wie „Verbesserung der Benutzerfreundlichkeit“, „Marketingzwecke“, „Zwecke der IT-Sicherheit“, „künftige Forschung“, sind jedenfalls zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit.*
Jedenfalls ist aber dann von unterschiedlichen Verarbeitungen auszugehen, wenn unterschiedliche Rechtsgrundlagen verwendet werden bzw unterschiedliche Löschfristen vorliegen.*
Im vorliegenden Fall ist es jedenfalls geboten, den Export der Geburtstagslisten und die damit verbundenen Verarbeitungsschritte jeweils als eigene Verarbeitung zu betrachten.
Weil in diesem Zusammenhang erwähnenswert, soll an dieser Stelle auch auf das Thema der Zweckänderung eingegangen werden. Wie sich aus dem Sachverhalt ergibt, werden die Daten aus dem Personalführungssystem exportiert. Es stellt sich die Frage, ob der Export (zu Zwecken des BR) nicht eine zweckwidrige Weiterverarbeitung darstellt, immerhin dürfen personenbezogene Daten nur für (im Vorhinein) festgelegte, eindeutige und legitime Zweck erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Es wäre deshalb grundsätzlich nicht erlaubt, vorhandene Daten für andere Zwecke zu verwenden.
Der Zweckbindungsgrundsatz wurde im Rahmen der DSGVO aber insoweit liberalisiert, als auch Weiterverarbeitungen zu anderen Zwecken zulässig sind, soweit sie mit dem ursprünglichen Zweck der Verarbeitung noch vereinbar sind. Hierzu sieht Art 6 Abs 4 DSGVO einen Kompatibilitätstest vor. Zu prüfen wäre beispielsweise, ob die Weiterverarbeitung zum Zweck der Geburtstagsgratulation durch den Geschäftsführer noch mit dem ursprünglichen Erhebungszweck, etwa der (unproblematischen) Erfüllung von sozialversicherungsrechtlichen Pflichten, vereinbar ist.
Zwar berechtigt ein Verstoß gegen den Zweckbindungsgrundsatz gem Art 5 DSGVO nach der oben vertretenen Meinung nicht zur Löschung der Daten, allerdings wird in der Literatur vertreten, dass bei Bestehen des Kompatibilitätstests gem Art 6 Abs 4 DSGVO kein weiterer Erlaubnistatbestand notwendig sei.* Für unseren Fall würde dies bedeuten, dass – sofern der Export der Geburtsdaten noch mit dem Erhebungszweck vereinbar ist (was abhängig vom konkreten Erhebungszweck aber wohl häufig der Fall sein wird) – keine Rechtsgrundlage mehr vorliegt und dementsprechend der Löschgrund der Unrechtmäßigkeit von vornherein ausscheiden müsste. Entstehungsgeschichte, Regelungssystematik und Wortlaut des Art 6 Abs 4 DSGVO sprechen mE aber dafür, dass der Kompatibilitätstest des Abs 4 eine zweckändernde Datenverarbeitung nicht zu einer rechtmäßigen Verarbeitung machen kann,* weshalb auch bei Zweckänderungen eine 482 Rechtmäßigkeitsprüfung (wie oben) zu erfolgen hat.
Für die Prüfung des Anspruchs hinsichtlich der Gratulation durch den BR gilt oben Ausgeführtes grundsätzlich sinngemäß. Nachfolgend sollen nur Punkte angesprochen werden, soweit sie von den obigen Ausführungen abweichen.
Während die Zurverfügungstellung der Geburtsdaten an den Geschäftsführer der Seilbahnen GmbH zuzurechnen ist, ist die Verantwortlichkeit bei Übermittlung der Informationen an den BR nicht mehr so klar. Die hM geht nämlich davon aus, dass es sich beim BR idR um einen eigenen – von der jeweiligen Organisation getrennten – Verantwortlichen handelt. Denn letztlich ist es der BR, der über die Vornahme und den Modus bestimmter Datenverarbeitungen entscheidet. Soweit der BR „Herr der Daten“ ist, ist dieser jedenfalls Verantwortlicher iSd DSGVO, auch wenn die Daten vom AG stammen.* Der AG selbst ist auch nicht Auftragsverarbeiter,* sondern selbst für die Übermittlung der Daten an den BR Verantwortlicher, und benötigt für die Übermittlung einen Rechtmäßigkeitstatbestand. Es handelt sich somit um eine Übermittlung von Verantwortlichem zu Verantwortlichem.
Bei der Geburtstagsgratulation durch den BR handelt es sich um eine Handlung, die von den ausdrücklich im ArbVG beschriebenen Aufgaben eines BR nicht erfasst ist. Sie befindet sich sozusagen außerhalb des durch ausdrückliche Normen abgesteckten Regelungsrahmens des ArbVG. Dies könnte sich insb beim grundsätzlich in Frage kommenden Rechtmäßigkeitstatbestand des „berechtigten Interesses“ auswirken, weil die betroffenen AN zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vernünftigerweise damit rechnen konnten, dass auch eine Datenübermittlung für Zwecke des BR erfolgen wird. Auch wird in der Datenschutzerklärung für MitarbeiterInnen nicht darüber informiert. Die offensichtlich nicht vorhandenen angemessenen technischen und organisatorischen Sicherheitsmaßnahmen (Art 32 DSGVO) sind ebenso im Rahmen der Interessenabwägung zu berücksichtigen. Die Verarbeitung zur Geburtstagsgratulation durch den BR ist im vorliegenden Fall wegen deren schutzwürdigeren Interessen iSd Art 6 Abs 1 lit f DSGVO unzulässig.*
Als Rechtmäßigkeitstatbestand verbliebe dann noch die Einwilligung der betroffenen Personen gem § 6 Abs 1 lit a DSGVO. Die Ausführungen zur Freiwilligkeit (siehe oben) sind hier sinngemäß zu beachten. Für eine Einwilligung gibt es im Sachverhalt aber keinerlei Hinweise.
Anders als die Verarbeitung zur Gratulation durch den Geschäftsführer sind die vorgelagerten Datenverarbeitungen für Gratulationen durch den BR nicht durch Art 6 Abs 1 lit f DSGVO zu rechtfertigen. Denkbar wäre hingegen eine Einwilligung, für die es im Sachverhalt aber keine Hinweise gibt, weshalb Johannes W. mit seinem Löschbegehren (hinsichtlich seiner Daten auf der Geburtstagsliste des BR) durchdringt.
Die vorliegende Musterlösung zeigt, dass beide Verarbeitungen datenschutzrechtlich darstellbar sind, sich allerdings nur erstere auf ein berechtigtes Interesse stützen kann. Obwohl die Verarbeitungen sehr ähnlich sind, können die Unterschiede bei der Verantwortlichkeit sowie die von einem BR grundsätzlich nicht zu erwartende, weil nicht vom ArbVG geregelte und darüber auch nicht informierte, Handlung dazu führen, dass eine Interessenabwägung anders beurteilt werden muss. Für die Verarbeitungen zum Zweck der Geburtstagsgratulation durch den BR bedarf es dann einer (freiwilligen) Einwilligung der betroffenen AN.
Dieses Ergebnis soll aber nicht darüber hinwegtäuschen, dass die DSGVO noch weitere (auch verarbeitungsbezogene) Pflichten für Verantwortliche vorsieht, die dem Schutz der Betroffenen dienen. Anzusprechen sind an dieser Stelle insb die Einhaltung der (anderen) Verfahrensgrundsätze (Art 5), die Vorsehung angemessener technischer und organisatorischer Sicherheitsmaßnahmen (Art 32) und die Durchführung einer Datenschutzfolgeabschätzung (Art 35), inklusive einer verpflichtenden Einbindung des BR bei Verarbeitungen, denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen AN innewohnt.*483