DA+

Aufsatz : Datenübertragbarkeit im Beschäftigungsverhältnis – Arbeitgeberwechsel: Und die Daten kommen mit? : aus der RDV 1/2018, Seite 3 bis 8

Lesezeit 20 Min.

Das Recht auf Datenübertragbarkeit nach Art. 20 DS-GVO stellt, im Vergleich zu den übrigen Rechten des Betroffenen in Kapitel III der DS-GVO (z. B. Auskunft oder Löschung), eine Neuerung im europäischen Datenschutzrecht dar.[1] Nicht nur, weil ein solches Recht auf „Mitnahme“ der Daten von einem Verantwortlichen zu einem anderen Verantwortlichen bisher nicht existierte. Die Neuerung dieses Rechts besteht vor allem auch darin, dass mit Art. 20 DSGVO eine Art „wettbewerbsrechtlicher Fremdkörper“ im Datenschutzrecht Platz findet.[2] Ziel der Regelung ist es, den Betroffenen die Kontrolle über „ihre“ personenbezogenen Daten zurückzugeben.[3]

Der ursprünglich intendierte Anwendungsbereich dieses Rechts liegt im Online-Bereich. In den Ratsdokumenten zur DS-GVO werden als Anwendungsbeispiele sogar speziell soziale Netzwerke im Internet genannt.[4] Einige Delegationen im Rat wollten das Recht allein auf Angebote sozialer Medien im Internet begrenzen.[5] Der finale Wortlaut der Vorschrift beschränkt den Anwendungsbereich jedoch nicht etwa auf Plattformanbieter im Internet oder von Apps. Mangels einer solchen Begrenzung stellt sich daher die Frage, ob und wenn ja, inwieweit Art. 20 DS-GVO auch im Verhältnis zwischen Arbeitgebern und Arbeitnehmern anwendbar ist.

I. Anwendbarkeit im Beschäftigungsverhältnis

1. Keine Beschränkungen durch den nationalen Gesetzgeber

Als Teil der Rechte des Betroffenen des Kapitels III der DSGVO hätte der nationale Gesetzgeber in Deutschland die Möglichkeit gehabt, Art. 20 DS-GVO im Rahmen der Anforderungen des Art. 23 Abs. 1 DS-GVO zu beschränken. Der Bundesrat empfahl dem deutschen Gesetzgeber die Prüfung von Einschränkungen analog zum Auskunftsrecht.[6] Der Empfehlung wurde jedoch nicht gefolgt. Dem Grunde nach gilt Art. 20 DS-GVO mithin ohne besondere Einschränkungen auch in Deutschland.

2. Vorrang besonderer Regelungen zum Beschäftigtendatenschutz?

Hinsichtlich der Antwort auf die Frage, ob Art. 20 DS-GVO überhaupt im Beschäftigtenverhältnis Anwendung findet, muss zudem geprüft werden, ob nationale Vorschriften zum Umgang mit Beschäftigtendaten auf der Grundlage der Spezifizierungsmöglichkeit des Art. 88 Abs. 1 DS-GVO[7] vorrangig vor den Regelungen der DS-GVO anzuwenden sind und damit etwa auch eine Beschränkung oder gar ein Ausschluss des Rechts auf Datenübertragbarkeit im Beschäftigungsverhältnis durch solche nationalen Vorschriften vorrangig gilt. Auf die bereits in der Literatur geführte Diskussion, ob nationale Vorschriften, die auf der Grundlage des Art. 88 Abs. 1 DS-GVO geschaffen werden, den „allgemeinen“ Vorschriften der DS-GVO im Sinne von lex specialis-Regelungen vorgehen, kann hier verwiesen werden, ohne jedoch den Diskussionsstand näher zu beleuchten.[8] Denn der deutsche Gesetzgeber sieht in § 26 BDSG nF keine Regelungen zum Recht auf Datenübertragbarkeit vor, die gegenüber Art. 20 DS-GVO als speziellere Vorgaben zu berücksichtigen wären. Im Ergebnis lässt sich mithin feststellen, dass Art. 20 DS-GVO weder allgemein noch speziell im hier interessierenden Kontext der Datenverarbeitung im Beschäftigungsverhältnis beschränkt oder gar ausgeschlossen wird.

3. Ausschluss aufgrund des intendierten Zwecks der Vorschrift?

Zuletzt lässt sich überlegen, ob Art. 20 DS-GVO bereits an sich so auszulegen und anzuwenden ist, dass allein solche Verantwortlichen von den Pflichten umfasst sind, die Dienste im Online-Bereich anbieten. Hierfür lassen sich sicherlich die gesetzgeberische Intention der Vorschrift und in den Ratsverhandlungen ausdrücklich erwähnte Beispielsfälle anführen.[9] Gegen eine solche Auslegung und Anwendung des Art. 20 DS-GVO spricht jedoch der eindeutige Wortlaut der Vorschrift, der, wie bereits erwähnt, gerade keine Differenzierung oder Einschränkung im Anwendungsbereich vornimmt.[10] Verpflichtet ist der Verantwortliche iSd Art. 4 Nr. 7 DS-GVO. Gegen eine Herausnahme von Arbeitgebern als Verantwortlichen bereits auf Ebene des Anwendungsbereich spricht zudem, dass der europäische Gesetzgeber Art. 20 DS-GVO durchaus inhaltlichen Beschränkungen unterworfen hat, die sich auf seinen Anwendungsbereich auswirken. So gilt das Recht auf Datenübertragbarkeit nach Art. 20 Abs. 3 S. 2 DS-GVO nämlich nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DS-GVO). Dies zeigt, dass der Gesetzgeber durchaus eine Beschränkung des Anwendungsbereichs intendierte und diese auch für spezielle Datenverarbeitungssituationen umsetzte; nur eben nicht bezogen auf bestimmte Wirtschaftszweige oder Rollen von Verantwortlichen.

Zum Teil wird auch argumentiert, dass Recht auf Datenübertragbarkeit zwar im Beschäftigungsverhältnis grundsätzlich für anwendbar zu erklären, die Ausübung durch den Arbeitgeber jedoch allein auf die Situation des Arbeitgeberwechsels und sogar noch weitergehend nur auf Fälle der vorherigen Einwilligung des Arbeitnehmers zu beschränken.[11] Auch diese Interpretation lässt sich jedoch mit dem Wortlaut der Vorschrift kaum vereinbaren.

4. Zwischenergebnis

Art. 20 DS-GVO ist daher dem Grunde nach auch im Beschäftigungsverhältnis anwendbar.[12] Eine andere, nachfolgend behandelte Frage ist, ob wirklich auch stets alle Tatbestandsvoraussetzungen für einen Anspruch des betroffenen Arbeitnehmers gegen seinen Arbeitgeber erfüllt sind und ob der Umfang des Rechts eventuell durch die Rechte des Arbeitgebers oder anderer Dritter beschränkt ist.

II. Voraussetzungen des Art. 20 DS-GVO

1. Einwilligung oder Vertrag

Nach ErwG 68 S. 4 DS-GVO gilt das Recht auf Datenübertragbarkeit nicht, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als der Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) DS-GVO) oder eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person (Art. 6 Abs. 1 lit. b) DS-GVO) erfolgt. Dies ergibt sich auch direkt aus Art. 20 Abs. 1 lit. a) DS-GVO, der das Vorliegen einer dieser beiden Erlaubnistatbestände als zwingende Voraussetzung des Rechts auf Datenübertragbarkeit qualifiziert.[13] Fraglich ist jedoch, ob eine Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses auf einer Einwilligung ge mäß Art. 6 Abs. 1 lit. a) DS-GVO oder Art. 9 Abs. 2 lit. a) DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b) DS-GVO beruht. Oder stellen eventuell der § 26 Abs. 1 und Abs. 2 BDSG nF einen eigenen gesetzlichen Erlaubnistatbestand neben Art. 6 Abs. 1 und Art. 9 Abs. 2 DS-GVO dar? Denn würde man davon ausgehen, dass personenbezogene Daten im Beschäftigtenverhältnis, etwa zur Durchführung des Arbeitsvertrages, allein auf der Grundlage des § 26 Abs. 1 S. 1 BDSG nF ver ar beitet werden, läge keine Verarbeitung gemäß Art. 6 Abs. 1 lit. b) DS-GVO vor. Hierbei geht es nicht um die, oben erwähnte, Diskussion, ob nationale Regelungen in Ausformung des Art. 88 Abs. 1 DS-GVO als lex specialis zu den übrigen Vorgaben der DSGVO anzusehen sind. Vielmehr ist hier von Relevanz, ob auf nationaler Ebene eigen- und selbstständige Erlaubnistatbestände geschaffen werden können.

a. Für eigene Erlaubnistatbestände im nationalen Recht

Nach Art. 88 Abs. 1 DS-GVO können die Mitgliedstaaten durch Rechtsvorschriften „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. Fraglich ist, ob der europäische Gesetzgeber von den „spezifischere Vorschriften“ auch „eigenständige“ Vorschriften zur Rechtmäßigkeit umfasst sieht. Nach ErwG 10 S. 6 DS-GVO schließt die DS-GVO nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Rein dem Wortlaut nach bezieht sich der ErwG 10 S. 6 DS-GVO auf die „genauere Bestimmung der Voraussetzungen“ der Rechtmäßigkeit. Die Voraussetzungen der „Rechtmäßigkeit der Verarbeitung“ ergeben sich aus Art. 6 DS-GVO, also den Erlaubnistatbeständen, der auch entsprechend betitelt ist. Daher könnte man davon ausgehen, dass der Gesetzgeber von den spezifischeren Vorschriften auch eigenständige nationale Rechtsgrundlagen umfasst sieht, wenn er hinsichtlich der spezifischen Vorschriften gerade auf die genaueren Bestimmungen der Rechtmäßigkeit verweist.

b. Gegen eigene Erlaubnistatbestände im nationalen Recht

Ebenso wie der Wortlaut der DS-GVO jedoch für die Befugnis des nationalen Gesetzgebers spricht, eigenständige Erlaubnistatbestände im nationalen Recht zu schaffen, lässt sich der Wortlaut auch gegen eine solche Interpretation anführen. Denn ErwG 10 S. 6 DS-GVO bezieht sich nur auf die „genauere Bestimmung der Voraussetzungen“ der Rechtmäßigkeit. Jedoch wird nicht von „neuen“ oder „anderen“ Bestimmungen gesprochen, die der nationale Gesetzgeber schaffen dürfte. Weiter ist zu beachten, dass ErwG 10 S. 5 DS-GVO davon spricht, dass die DS-GVO den Mitgliedstaaten „einen Spielraum für die Spezifizierung ihrer Vorschriften“ bietet. Dies impliziert aber zugleich, dass es einen mit (hier: regulatorischen) Grenzen versehen Raum geben muss. Auch bei der Spezifizierung müssen Mitgliedstaaten also im Rahmen der Vorgaben der DS-GVO bleiben und können keine daneben und außerhalb des Spielraums geltenden Vorschriften schaffen.[14] Die Schaffung eigener, unabhängiger nationaler Erlaubnistatbestände würde diesen Spielraum verlassen.

Gerade mit Blick auf Datenverarbeitungen im Beschäftigungsverhältnis lässt sich zudem anführen, dass der europäische Gesetzgeber ausweislich der Begründungen in ErwG 48 DS-GVO davon auszugehen scheint, dass auch die Verarbeitung von Arbeitnehmerdaten immer noch auf einem Erlaubnistatbestand nach Art. 6 Abs. 1 DS-GVO beruhen muss. Denn nach ErwG 48 DS-GVO können Verantwortliche ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Beschäftigten, zu übermitteln. ErwG 48 DS-GVO nimmt hier Bezug auf Art. 6 Abs. 1 lit. f) DS-GVO und erwähnt etwa nicht noch zusätzlich zu schaffende nationale Rechtsgrundlagen für eine Übermittlung von Beschäftigtendaten. Der europäische Gesetzgeber ging also davon aus, dass auch bei einer Verarbeitung von Mitarbeiterdaten für Zwecke des Beschäftigungsverhältnisses die Vorgaben der Art. 6 Abs. 1 DS-GVO zu beachten sind.[15]

Als weiteres Argument gegen die Möglichkeit, im nationalen Recht eigenständige, von den Art. 6 Abs. 1 DS-GVO unabhängige Erlaubnistatbestände zu schaffen, lässt sich zudem die Gesetzgebungshistorie der DS-GVO anführen. Die Europäische Kommission stellte während der Diskussionen im Rat der Europäischen Union zum Beschäftigtendatenschutz im Hinblick auf die in Art. 88 Abs. 1 DS-GVO gleichstufig neben den Rechtsvorschriften erwähnten Kollektivvereinbarungen (zu denen auch Betriebsvereinbarungen gehören) klar, dass Datenverarbeitungen im Beschäftigungskontext durch nationale Betriebsvereinbarungen auf der Grundlage des Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. c) DS-GVO (Erfüllung gesetzlicher Verpflichtungen) gestattet sind.[16] Wenn Betriebsvereinbarungen an sich aber keine eigenständigen nationalen Erlaubnistatbestände darstellen, sondern stets iVm Art. 6 Abs. 1 lit. c) DS-GVO anzuwenden sind, dann muss rein systematisch dasselbe für die gleichstufig neben den Kollektivvereinbarungen erwähnten Rechtsvorschriften in Art. 88 Abs. 1 DS-GVO gelten.[17] Eine Unterscheidung hinsichtlich des eröffneten Gestaltungsspielraums für die Mitgliedstaaten macht der europäische Gesetzgeber nicht. Die besseren Gründe sprechen daher dafür, eine Möglichkeit der Mitgliedstaaten, nationale Erlaubnistatbestände neben Art. 6 Abs. 1 DS-GVO zu schaffen, abzulehnen.[18]

c. Zwischenergebnis

Für die Anwendung des Art. 20 DS-GVO bedeutet dies, dass auch wenn Beschäftigtendaten zur Durchführung oder Beendigung eines Beschäftigungsverhältnisses auf der Basis des § 26 Abs. 1 BDSG nF verarbeitet werden, diese Verarbeitung gleichzeitig stets immer noch auf Grundlage des Art. 6 Abs. 1 lit. b) DS-GVO (zur Durchführung des Arbeitsvertrages) oder auch auf der Grundlage des Art. 6 Abs. 1 lit. a) DS-GVO (Einwilligung) erfolgt. Damit ist auch die erste zwingende Voraussetzung nach Art. 20 Abs. 1 DS-GVO erfüllt, dass die Verarbeitung auf der Rechtsgrundlage der Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person (Art. 6 Abs. 1 lit. b) erfolgen muss.

2. Betriebsvereinbarungen, öffentlicher Bereich und Interessenabwägung

Das Recht auf Datenübertragbarkeit gilt aber nicht, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als der Einwilligung der betroffenen oder eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person erfolgt (ErwG 68 S. 4 DS-GVO). Insbesondere die Verarbeitung von Beschäftigtendaten auf der Grundlage der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO ist daher nicht vom Anwendungsbereich des Art. 20 DS-GVO erfasst. Ebensowenig sind solche Daten zu berücksichtigen, die der Verantwortliche zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, verarbeitet (Art. 6 Abs. 1 lit. c) DS-GVO). Wie bereits erwähnt, betrifft dies Datenverarbeitungen auf der Grundlage von Betriebsvereinbarungen. Betriebsvereinbarungen stellen nationale Regelungen iSd Art. 6 Abs. 1 lit. c) DS-GVO dar, die den Arbeitsgeber verpflichten, da sie ihn normativ binden.[19] Verarbeiten Arbeitgeber als Verantwortliche die Daten von Beschäftigten auf der Grundlage einer gesetzlichen Verpflichtung, sind diese Daten nach Art. 20 Abs. 3 S. 2 DS-GVO nicht vom Recht auf Datenübertragbarkeit umfasst. Dies betrifft beispielsweise gesetzliche Pflichten zur Meldung von Arbeitnehmerdaten an Krankenversicherungen (§ 28a SGB IV).[20]

Zuletzt gilt Art. 20 DS-GVO damit auch dann nicht, wenn die Verarbeitung durchgeführt wird, weil sie für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist (Art. 6 Abs. 1 lit. e) DS-GVO). Dies dürfte vor allem für öffentliche Stellen zutreffen. Art. 20 Abs. 3 S. 2 DS-GVO stellt dies noch einmal ausdrücklich klar. Sollten jedoch öffentliche Stellen privatrechtliche Anstellungsverträge mit Mitarbeitern abschließen und auf dieser Grundlage Daten verarbeitet werden, ist der Anwendungsbereich nach Art. 20 Abs. 1 lit. a) DS-GVO grundsätzlich eröffnet.

3. Bereitgestellte Daten

Das Recht auf Datenübertragbarkeit erstreckt sich nach Art. 20 Abs. 1 DS-GVO nur auf solche personenbezogenen Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat. Im Beschäftigungsverhältnis werden mithin nur solche Daten erfasst, die der Arbeitnehmer dem Arbeitgeber auf der Grundlage einer Einwilligung oder eines Vertrages bereitgestellt hat.

Was konkret mit den „bereitgestellten“ Daten gemeint ist, wird in der Literatur bereits strittig diskutiert. Die Art. 29 Datenschutzgruppe geht in ihren Leitlinien zum Recht auf Datenübertragbarkeit davon aus, dass damit sowohl personenbezogene Daten gemeint sind, die wissentlich und aktiv von der betroffenen Person bereitgestellt werden, aber auch solche Daten, die aus der Beobachtung der Tätigkeiten eines Nutzers resultieren (sog. „beobachtete Daten“).[21] Hierzu zählt die Art. 29 Datenschutzgruppe etwa Daten, die in Tätigkeitsprotokollen oder in Webseiten- bzw. Suchverläufen verarbeitet werden. Diese, sehr weitgehende, Ansicht der Art. 29 Datenschutzgruppe ist abzulehnen.[22]

Bereits nach dem Wortlaut beinhaltet der Begriff „Bereitstellen“ als auch der in ErwG 68 S. 3 DS-GVO verwendete Begriff „zur Verfügung gestellt hat“ ein aktives und wissentliches Verhalten der betroffenen Person.[23] Zudem ergibt sich aus einer systematischen Betrachtung zu den übrigen Betroffenenrechten, insbesondere jenem auf Auskunft (Art. 15 DS-GVO), dass der Gesetzgeber den Umfang des Anspruchs auf Datenübertragbarkeit durch die Formulierung der „bereitgestellten“ Daten beschränken wollte.[24] Im Anwendungsbereich des Art. 20 DS-GVO geht es gerade nicht um alle bei einem Verantwortlichen vorhandenen personenbezogenen Daten. Ansonsten würden die Grenzen zwischen dem Recht auf Auskunft und jenem auf Datenübertragbarkeit verschwinden.

Geht man davon aus, dass die „bereitgestellten“ Daten solche Datenarten erfassen, die vom Betroffenen aktiv zur Verfügung gestellt wurden, so stellt sich mit Blick auf das Beschäftigungsverhältnis die Frage, welche Datenarten umfasst sein könnten. Beispielhaft ist etwa an Zeugnisse, vormalige Bewertungen oder andere arbeitsrelevante Unterlagen zu denken, die der Arbeitnehmer seinem Arbeitgeber zur Verfügung stellt. Ebenso kommen Daten aus Anmeldemasken oder Online-Formularen (z. B. im Intranet) in Betracht.[25] Umfasst sind auch direkt an den Arbeitgeber (bzw. für ihn handelnde Vorgesetze des Arbeitgebers) übermittelte oder ihm offengelegte Daten (z. B. in E-Mails). Nicht erfasst wären hingegen solche Daten, die der Arbeitgeber selbst generiert und aus vorhandenen Daten über den Arbeitnehmer ableitet, auch wenn er diese dem Arbeitnehmer danach zur Verfügung stellt. Denn Art. 20 Abs. 1 DS-GVO bezieht sich ausdrücklich auf durch den Betroffenen bereitgestellte Daten und erfasst nicht die entgegengesetzte Richtung der Bereitstellung durch den Verantwortlichen.

4. Beschränkung durch Abs. 4 Nach Art. 20 Abs. 4

DS-GVO darf das Recht gemäß Abs. 2 die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Zunächst ist herauszustellen, dass es sich bei dem Verweis auf Abs. 2 in der deutschen Fassung wohl um ein redaktionelles Versehen handelt.[26] Dafür sprechen zum einen die anderen Sprachfassungen, die auf Abs. 1 verweisen.[27] Zudem ergibt sich dieses Versehen aus den Verhandlungsdokumenten des Rates. Dort wurde der ursprüngliche Abs. 1 gestrichen und der damalige Art. 20 Abs. 2 DS-GVO wurde zum jetzigen Abs. 1. Die Anpassung des Verweises in Abs. 4 von Abs. 2 auf Abs. 1 wurde vergessen.[28] Der Vorbehalt der Nichtbeeinträchtigung der Rechte anderer Personen gilt nicht nur für die Direktübermittlung nach Art. 20 Abs. 2 DS-GVO, sondern für alle Ansprüche auf Datenportabilität.[29]

a. Arbeitgeber als „andere Person“

Eine Einschränkung des Rechts auf Datenübertragbarkeit im Beschäftigungsverhältnis käme in Betracht, wenn von der Ausnahmeregelung nach Art. 20 Abs. 4 DS-GVO das Verhältnis zwischen Arbeitgeber und Arbeitnehmer erfasst wäre. Dafür müsste es sich bei dem Arbeitgeber, als Verantwortlichen, um die in Art. 20 Abs. 4 DS-GVO benannte „andere Person“ handeln, deren Rechte und Freiheiten bei der Ausübung des Betroffenenrechts nicht beeinträchtigt werden dürfen. Dem Wortlaut nach bezieht sich Art. 20 Abs. 4 DSGVO nicht nur auf Rechte und Freiheiten in Bezug auf den Schutz personenbezogener Daten, sondern ist umfassend zu verstehen.[30] ErwG 68 S. 8 DS-GVO bezieht sich zwar allein auf die Konstellation, dass von dem Recht auf Datenübertragbarkeit die Rechte und Freiheiten einer anderen betroffenen Person berührt werden.[31] Art. 20 Abs. 4 DS-GVO selbst bezieht sich aber nicht nur auf die, in Art. 4 Nr. 1 DS-GVO legal definierte, betroffene Person oder etwa nur andere natürliche Personen. Auch der Verantwortliche wird in Art. 4 Nr. 7 DS-GVO legal definiert, jedoch in Art. 20 Abs. 4 DSGVO nicht erwähnt.[32] Die Erwähnung der betroffenen Personen in ErwG 68 S. 8 DS-GVO dürfte daher als ein, aus Sicht des Gesetzgeber eventuell gerade auch der relevante, Fall anzusehen sein, wann die Beschränkung eingreifen soll. Mit Blick auf den Wortlaut in Art. 20 Abs. 4 DS-GVO betrifft die Ausnahmeregelung aber eben nicht nur betroffene Personen.[33] Hierfür spricht zudem, dass die DS-GVO an vielen anderen Stellen den Terminus der „Rechte und Freiheiten“ nutzt und ausdrücklich entweder mit natürlichen Personen (Art. 24 Abs. 1, Art. 25 Abs. 1 DS-GVO) oder betroffenen Personen (Art. 30 Abs. 5 DS-GVO) in Verbindung setzt, jedoch gerade nicht in Art. 20 Abs. 4 DS-GVO. Auch der Arbeitgeber als Verantwortlicher kann sich daher auf die Ausnahmeregelung nach Art. 20 Abs. 4 DS-GVO berufen.

b. Rechte und Freiheiten des Arbeitsgebers

Die Begrifflichkeit „Rechte und Freiheiten“ umfasst jedes vom europäischen Primärrecht geschützte Individualinteresse.[34] Es geht auch, jedoch nicht nur, um die Rechte in Bezug auf den Schutz personenbezogener Daten.[35] So verweist Art. 20 Abs. 4 DS-GVO gerade nicht etwa nur auf Rechte aus der DS-GVO. Zudem ergibt sich aus ErwG 4 S. 2 DS-GVO, dass die Verordnung (und damit auch das in Art. 20 DS-GVO statuierte Recht auf Datenübertragbarkeit) mit allen Grundrechten im Einklang steht und alle Freiheiten und Grundsätze achtet, die mit der Charta der Grundrechte der Europäischen Union (GRCh) anerkannt wurden und in den Europäischen Verträgen verankert sind.[36] Das Recht auf Schutz personenbezogener Daten muss mithin mit anderen Grundrechten und Freiheiten in Einklang gebracht werden. Hierzu zählt auch die unternehmerische Freiheit.

Die Ausnahme nach Art. 20 Abs. 4 DSGO erfasst mithin auch die Rechte und Freiheiten von Arbeitgebern. In der Praxis dürfte sich die Beschränkung des Rechts auf Datenübertragbarkeit vor allem mit Blick auf Herausgabe (Abs. 1) oder Direktübermittlung (Abs. 2) von solchen Informationen als kritisch erweisen, die aus Sicht des (alten) Arbeitgebers Geschäfts- und Betriebsgeheimnisse darstellen. Eine Definition der Geschäftsgeheimnisse findet sich in der DSGVO nicht. Auf europäischer Ebene kann auf die Begriffsbestimmung in der Richtlinie EU 2016/943 zurückgegriffen werden.[37] Nach Art. 2 Nr. 1 lit. a) bis c) Richtlinie EU 2016/943 sind Geschäftsgeheimnisse solche Informationen, die Kreisen, welche üblicherweise mit dieser Art von Informationen umgehen, nicht allgemein bekannt oder ohne weiteres zugänglich sind, gerade aufgrund der Tatsache, dass sie geheim sind, einen kommerziellen Wert haben und durch entsprechende Geheimhaltungsmaßnahmen des rechtmäßigen Inhabers der Information geschützt werden.[38] Eine ausdrückliche Verankerung finden Geschäftsgeheimnisse in der GRCh zwar nicht. Jedoch werden als Anknüpfungspunkte das Eigentumsrecht gemäß Art. 17 Abs. 1 GRCh und die unternehmerische Freiheit gemäß Art. 16 GRCh herangezogen.[39] Nach der Rechtsprechung des EuGH stellt der Schutz von Geschäftsgeheimnissen in jedem Fall einen allgemeinen Grundsatz des Unionsrechts dar.[40] Der Bereich, für den dieser Grundsatz gilt, beschränkt sich nicht auf Geschäftsgeheimnisse im eigentlichen Sinne, d.h. vertrauliche Geschäftsinformationen, sondern umfasst auch sonstige vertrauliche Informationen.[41] Geschäftsgeheimnisse eines Arbeitgebers werden daher von den in Art. 20 Abs. 4 DSGVO erwähnten „Rechten und Freiheiten“ erfasst.

Hierfür spricht auch ErwG 63 S. 5 DS-GVO zu dem Recht auf Auskunft (Art. 15 DS-GVO). Danach sollte dieses Recht die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. ErwG 63 S. 5 DS-GVO referenziert auf Art. 15 Abs. 4 DS-GVO, der übereinstimmend mit Art. 20 Abs. 4 DSGVO vorgibt, dass „die Rechte und Freiheiten anderer Personen“ nicht beeinträchtiget werden dürfen. Aus der klarstellenden Erläuterung in ErwG 63 S. 5 DS-GVO lässt sich der Schluss ziehen, dass von der Formulierung „die Rechte und Freiheiten anderer Personen“ gerade auch Geschäftsgeheimnisse umfasst sind. Gründe dafür, den Begriff hier, im Rahmen des Rechts auf Auskunft, anders auszulegen als im Anwendungsbereich des Rechts auf Datenübertragbarkeit, sind nicht ersichtlich, und in der DS-GVO finden sich auch keine Anhaltspunkte hierfür.

III. Schluss

Das Recht auf Datenübertragbarkeit dürfte in der Praxis noch für einige Überraschungen sorgen. Wie gezeigt, ist der Anwendungsbereich dieses Rechts, wenn auch durch den Gesetzgeber ursprünglich vielleicht nicht intendiert, in seiner finalen Fassung sehr umfassend ausgestaltet und betrifft auch das Beschäftigungsverhältnis. Für Arbeitgeber besteht jedoch die Möglichkeit, entgegenstehende Rechte geltend zu machen, sollten entweder die an den Arbeitgeber als betroffene Person herauszugebenen oder aber dem neuen Arbeitgeber direkt zu übermittelnden Daten solche Informationen enthalten, die als Geschäftsgeheimnisse zu qualifizieren sind.

Dr. Carlo Piltz ist Rechtsanwalt bei reuschlaw Legal Consultants. Seit Beginn seiner anwaltlichen Tätigkeit fokussierte er sich auf das Datenschutzrecht. Im März 2017 war er Sachverständiger zur Anhörung des neuen Bundesdatenschutzgesetzes im Innenausschuss des Bundestages. Der zertifizierte Datenschutzbeauftragte (TÜV®) und Certified Information Privacy Professional/ Europe (CIPP/E) berät mittlere und große Unternehmen aus Industrie und Handel schwerpunktmäßig im nationalen und internationalen Datenschutzrecht und im IT-Recht. Er ist Autor und Herausgeber des Kommentars „BDSG – Praxiskommentar für die Wirtschaft“ zum neuen Bundesdatenschutzgesetz.

[1] Kamann/Braun, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 2 m.w.N.; Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 1.

[2] Von Lewinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20; AA Sydow, in: Sydow, Europäische Datenschutzgrundverordnung, 2017, Art. 20 Rn. 23.

[3] Ratsdokument 5879/14, 31.1.2014, S. 2

[4] Ratsdokument 5879/14, 31.1.2014, S. 2; Ratsdokument 8172/14, 25.3.2014, S. 4 dort Fn. 4 und 5

[5] Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 6 m.w.N.

[6] BR Drs. 110/17 (Beschluss), S. 3.

[7] „Spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten“, Art. 88 Abs. 1 DS-GVO.

[8] Zu § 26 BDSG 2018: Piltz, BDSG, 1. Aufl. 2018, § 26 Rn. 17 ff.; für einen Vorrang im Sinne der lex specialis: Riesenhuber, in: BeckOK Datenschutzrecht, Wolff/Brink, 22. Edition, Stand: 01.11.2017, Art. 88 Rn. 16; Selk, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2017, Art. 88 Rn. 52.

[9] Ratsdokument 5879/14, 31.1.2014, S. 2; Ratsdokument 8172/14, 25.3.2014, S. 4 dort Fn. 4 und 5.

[10] Im Ergebnis ebenso: Kamann/Braun, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 5.

[11] So wohl Wybitul/Rauer, ZD 2012, 160, 162. V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink, 22. Edition Stand: 01.11.2017, Art. 20 Rn. 26 sieht Art. 20 DS-GVO in diesem Fall nur dann anwendbar, wenn ein Personalinformationssystem auf der Einwilligung beruht und ausschließlich vom Betroffenen bereitgestellte Daten enthalten würde.

[12] Ebenso: Gola, in: Gola, Datenschutz-Grundverordnung, 2017, Einl. Rn. 28; Unabhängiges Datenschutzzentrum Saarland, 26. Tätigkeitsbericht 2015/2016, S. 18; Art. 29-Datenschutzgruppe, Working Paper 242 rev 01, S. 10; Stiftung Datenschutz, Praktische Umsetzung des Rechts auf Datenübertragbarkeit, 2017, S. 43; Wybitul/Rauer, ZD 2012, 160, 162; a.A. wohl v. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 26.

[13] Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 15.

[14] Zu § 26 BDSG 2018: Piltz, BDSG, 1. Aufl. 2018, § 26 Rn. 25.

[15] Zu § 26 BDSG 2018: Piltz, BDSG, 1. Aufl. 2018, § 26 Rn. 25; wohl auch: Sörup/Marquardt, ArbRAktuell 2016, 103, 104.

[16] Ratsdokument 15108/14, 05.11.2014, S. 2.

[17] Zu § 26 BDSG 2018: Piltz, BDSG, 1. Aufl. 2018, § 26 Rn. 26.

[18] So auch: Hanloser, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2017, Teil IV, Kapitel 1, Beschäftigtendatenschutz, Rn. 11 ff.

[19] Hanloser, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2017, Teil IV, Kapitel 1, Beschäftigtendatenschutz, Rn. 14; Gola, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 6 Rn. 120; Wybitul/ Sörup/Pötters, ZD 2015, 559, 560; Wurzberger, ZD 2017, 258, 259; zu § 26 BDSG 2018: Piltz, BDSG, 1. Aufl. 2018, § 26 Rn. 26.

[20] Weitere Beispiele: bitkom, Stellungnahme, Zum Recht auf Datenübertragbarkeit nach Art. 20 Datenschutz-Grundverordnung, 14.03.2017, Anlage 2.

[21] Art. 29-Datenschutzgruppe, Working Paper 242 rev 01, S. 11

[22] Ebenso: Brüggemann, in: Tagungsband DSRI-Herbstakademie 2017, 1, 4.

[23] Kamann/Braun, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 13; Brüggemann, in: Tagungsband DSRI-Herbstakademie 2017, 1, 4; Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 14; ders., K&R 2016, 634; a.A. Jülicher/Röttgen/v. Schönfeld, ZD 2016, 358, 359.

[24] Brüggemann, in: Tagungsband DSRI-Herbstakademie 2017, 1, 4

[25] V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 41.

[26] Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 35.

[27] Insbesondere auch die englische Sprachfassung.

[28] Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 35.

[29] V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 92.

[30] Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 36; v. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 102.

[31] „sollte das Recht auf Empfang der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen“.

[32] V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 102.

[33] Piltz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 36; wohl auch: Kamann/Braun, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 31, „alle Rechte und Freiheiten Dritter“.

[34] V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 93.

[35] Herbst, in: Kühling/Buchner, Datenschutz-Grundverordnung, 2017, Art. 20 Rn. 18.

[36] V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 103.

[37] Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl. L 157 vom 15.06.2016, S. 1–18.

[38] V. Lewsinski, in: BeckOK Datenschutzrecht, Wolff/Brink 22. Edition Stand: 01.11.2017, Art. 20 Rn. 99.

[39] Schoch, Informationsfreiheitsgesetz, 2. Aufl. 2016, § 6 Rn. 14 m.w.N.

[40] EuGH, Urt. v. 29.03.2012 – C-1/11 (Interseroh/SAM), Rz. 43 m.w.N.

[41] Generalanwalt Szpunar, Schlussantrag vom 21.07.2016 – C-162/15 P, Rz. 41.