Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (51): Fragen zur Funktion des Datenschutzbeauftragten und zum Beschäftigtendatenschutz : aus der RDV 1/2021, Seite 25 bis 29
Aus den Tätigkeitsberichten des Sächsischen Datenschutzbeauftragten vom 22.12.2020 und des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit vom 22.10.2020. Zusammengestellt und erläutert von Prof. Peter Gola*
I. Aspekte bei der Funktion als Datenschutzbeauftragter
1. Datenschutzbeauftragter als IT-Sicherheitsbeauftragter – bestehen Interessenkonflikte?
Der ThürLfDI (2. TB nach der DS-GVO für das Jahr 2019; Abschn. 4.1) (https://www.tlfdi.de/tlfdi/datenschutz/) hält daran fest, dass auch nach Inkrafttreten der Datenschutz Grundverordnung die Tätigkeiten von IT-Sicherheitsbeauftragten und Datenschutzbeauftragten in Personalunion zu Interessenkonflikten führen und nicht miteinander vereinbar sind. Dazu führt der LfDI aus: „Nach Art. 37 Abs. 5 DS-GVO wird der Datenschutzbeauftragte aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die Aufgaben des Datenschutzbeauftragten zu erfüllen, benannt. Nach Art. 38 Abs. 6 DS-GVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernehmen kann. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind immer dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren müsste, oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre. Für eine Vereinbarkeit der Tätigkeiten des IT-Sicherheitsbeauftragten und Datenschutzbeauftragten spricht zunächst, dass ein umfassendes Wissen im Bereich der IT und IT-Sicherheit für Beurteilungen des bDSB hilfreich ist. Der bDSB muss auch an der Erstellung eines IT-Sicherheitskonzeptes mitarbeiten. Während die Tätigkeit des bDSB auf die Gewährleistung der Betroffenenrechte ausgerichtet ist, sind die Aufgaben des IT-Sicherheitsbeauftragten auf die Gewährleistung der Informationssicherheit des Unternehmens ausgerichtet. Dies führt dazu, dass der IT-Sicherheitsbeauftragte im Rahmen der Gefahrenabwehr von Angriffen Dritter auf ITSysteme des Unternehmens oftmals an einer umfangreichen Sammlung personenbezogener Daten interessiert ist, um Missbrauch zu entdecken, während der dDSB unter Berücksichtigung der Schutzziele der DS-GVO eine Begrenzung der Sammlung personenbezogener Daten anstrebt.
Auch mit Blick auf die Speicherdauer personenbezogener Daten vertreten IT-Sicherheitsbeauftragte und Datenschutzbeauftragte häufig unterschiedliche Positionen. Während der Datenschutzbeauftragte aus Gründen der Datensparsamkeit für eine kurze Speicherdauer ist, strebt der IT-Sicherheitsbeauftragte zu Zwecken der Störungserkennung und -analyse eine möglichst langfristige Speicherung der Daten an. Auch ist es im Interesse des IT-Sicherheitsbeauftragten, mit Audit-Logs herauszufinden, welche Personen (intern oder extern) welche Aktionen auf welchen Systemen durchführen, um Schwachstellen herauszufinden. Dies widerspricht der Aufgabe des Datenschutzbeauftragten, der möglichst wenig Überwachung der Mitarbeiter anstrebt. Zudem bestehen hinsichtlich der weiteren Funktion als IT-Administrator Interessenkonflikte, da der Mitarbeiter insoweit weisungsgebunden in die Struktur der IT eingebunden ist und sich in seiner Funktion als Datenschutzbeauftragter selbst kontrollieren müsse.“
Demgemäß kommt der ThürLfDI zu dem Schluß, dass eine Bestellung eines IT-Administrators zum Datenschutzbeauftragten von Anfang an unwirksam sei.
2. Sprachkenntnis des Datenschutzbeauftragten: Kommunikation mit Betriebsrat in Deutschland regelmäßig in deutscher Sprache
Mit der für die Wahrnehmung des DSB benötigten sprachlichen Fähigkeiten hatte sich der SächsLfD (Bericht 2019, Abschn. 4.9.1) zu befassen. In einer Anfrage eines Betriebsrats teilte dieser mit, dass der benannte Datenschutzbeauftragte des Unternehmens nicht auf Deutsch mit dem Betriebsrat kommuniziere, der sich mit datenschutzrechtlichen Fragen an den Datenschutzbeauftragten gewandt hatte. Der Betriebsrat bat um Rat, ob dies rechtskonform sei.
Hierzu vertrat der LfD folgende Auffassung: „Artikel 39 Absatz 1 Buchstaben a) und b) DS-GVO setzen voraus, dass eine beratende und unterrichtende Tätigkeit durch den benannten Datenschutzbeauftragten auch tatsächlich erfolgt. Der Betriebsrat ist eine funktionale Stelle, die seitens des Verantwortlichen bzw. für den Verantwortlichen selbstständig Aufgaben wahrnimmt und ist daher auch im Sinne von Artikel 39 Absatz 1 Buchstabe a) DS-GVO seitens des benannten Datenschutzbeauftragten zu unterstützen. Grundsätzlich hat dies in für den Adressaten beim Verantwortlichen verständlicher Sprach- und Schriftsprache bzw. Landessprache zu erfolgen. Denkbar ist aber auch, dass in einem Unternehmen betriebsintern eine andere Landessprache zur Kommunikation festgelegt worden ist. Dies wäre dann in einer Einzelfallbetrachtung zu prüfen gewesen, war aber im konkreten Fall nicht relevant“.
3. Benennung eines Dachverbandes als Datenschutzbeauftragter
An Abschnitt 4.9.2 des Tätigkeitsberichts nimmt der SächsLfD Stellung zur die Benennung einer juristischen Person als betrieblichen Datenschutzbeauftragten und bewertet sie als grundsätzlich zulässig. Nachdem sich nun im Berichtszeitraum ein Verband der Wohnungswirtschaft mit der speziellen Frage, ob auch er für seine Mitgliedsunternehmen als Datenschutzbeauftragter fungieren könne, an den LfD gewandt hatte, nahm er u.a. wie folgt Stellung: „Ein Verband kann durchaus die Funktion des Datenschutzbeauftragten für seine Mitgliedsunternehmen übernehmen. Notwendige Voraussetzungen hierfür sind, dass bei der Benennung des Verbandes die dort in dem zuständigen „Datenschutzbeauftragtenteam“ tätigen Mitarbeiter namentlich bezeichnet sind und die Mitgliedsunternehmen bei diesbezüglichen Änderungen unverzüglich informiert werden.
Voraussetzung sei, dass die für die juristische Person, hier den Verband, handelnden und die Aufgaben des Datenschutzbeauftragten ausführenden Personen sämtliche Voraussetzungen des Kapitels IV, Abschnitt 4, der DS-GVO zu erfüllen müssen.
Im konkreten Fall waren die diesbezüglichen Voraussetzungen gegeben: Dem „Datenschutzbeauftragtenteam“ gehörten zwei durch den TÜV als Datenschutzbeauftragte zertifizierte Rechtsanwälte an. Mit einer vergleichbaren Konstellation hatte der LfD sich auch schon im Tätigkeitsbericht 2018 unter Punkt 4.8.5 befasst. Dort ging es um Beliehene, die sich über Berufsverbände oder berufsständige Körperschaften zusammengeschlossen hatten, um der Pflicht zur Benennung eines Datenschutzbeauftragten nachzukommen.
4. Risikobewertung durch den Datenschutzbeauftragten
Der SächsLfD erörtert unter Ziff. 4.6.2 seines Berichts die Frage der Risikobewertung bei Datenschutzverletzungen. Eine sächsische Hochschule hatte im Rahmen von routinemäßigen Wartungsarbeiten im Rechenzentrum der Hochschule festgestellt, dass auf einem aus dem Internet erreichbarer Server eine Anmeldung ohne Passwort möglich war. Das Brisante war die Funktion des Servers. Dort wurden Anmeldedaten für die Zugänge zu persönlich genutzten Dateiablagen für Studenten und Personal der Hochschule verwaltet. Das Rechenzentrum und die Hochschule haben zügig reagiert, das Passwort wurde umgehend gesetzt, alle Nutzer wurden aufgefordert, ihre Passwörter zu ändern, und Informationssicherheitsbeauftragter und Datenschutzbeauftragter wurden informiert.
Obgleich die Meldung einer Datenschutzpanne Aufgabe des Verantwortlichen ist, sollte zunächst der Datenschutzbeauftragte die Frage bewerten, ob ein Fall von Artikel 33 DS-GVO vorliegt. Jede Schutzverletzung erfordert eine Meldung, bei hohem Risiko müssen die Betroffenen informiert werden. Da nach dem Sachverhalt eine Datenschutzverletzung nicht ausgeschlossen werden konnte, war das Risiko zu prüfen, welches sich aus einer möglichen Verletzung ergeben kann. Der DSB kam zu dem Schluß. dass im Fall einer Hochschule dieses Risiko beträchtlich sei, da davon ausgegangen werden müsse, dass auch besonders schutzwürdige Daten davon betroffen waren, so dass auch ohne Nachweis eines Schadens eine Benachrichtigung an Betroffene gemäß Artikel 34 DS-GVO erforderlich sei. Diese umfasse eine vollständige Darstellung von Art und Umständen des Vorfalls nebst einer Handlungsempfehlung.
Diese Auffassung des Datenschutzbeauftragten der Hochschule wurde auf Nachfrage vom dem LfD mit folgender Argumentation geteilt: „Die Artikel 33 und 34 DS-GVO sollten ausdrücklich nicht als Pranger verstanden werden. Vielmehr geht es darum, einen aufrichtigen und für die Betroffenen hilfreichen Umgang mit Datenpannen zu fördern. Fehler können passieren, wichtig sind jedoch der transparente Umgang damit und die nachfolgende Ergreifung der geeigneten technischen und organisatorischen Maßnahmen, damit diese Datenpannen in der Zukunft nach Möglichkeit ausgeschlossen werden können. Dazu zählen auch die Abwägungsentscheidungen beim Umgang mit potenziellen Fällen von Artikel 33 und 34 DSDVO. Auch wenn sich ein Verantwortlicher nach Abwägung entscheidet, dass kein Fall einer Verletzung vorliegt, sollten alle maßgeblichen Entscheidungsgründe gut dokumentiert werden, um eine spätere Nachvollziehbarkeit zu ermöglichen.“
II. Unzulässige Verarbeitungen von Beschäftigtendaten
1. Unzulässige Mitteilung von krankheitsbedingten Fehlzeiten in Dienstplänen
Es gibt keine Rechtsgrundlage dafür, in für andere Mitarbeiter zugänglichen Kalendern, Plänen und Listen Informationen zu Fehltagen aufgrund von Erkrankung von Beschäftigten oder Erkrankung ihres Kindes einzutragen. § 27 Thüringer Datenschutzgesetz in Verbindung mit den dienstrechtlichen Vorschriften erlaubt es nur, eine Abwesenheit der Beschäftigten darzustellen, soweit deren Kenntnis für die Kollegen erforderlich ist. Eine Nennung des Grundes für die Abwesenheit ist keinesfalls erforderlich. So die Feststellung des ThürLfDI (2. TB nach der DS-GVO (2019) Abschn.3.21) auf Grund mehrfacher Anfragen zur Zulässigkeit von betriebsinternen Veröffentlichungen von Kalendern, Zeitplänen oder Tabellen, in denen aufgeführt wurde, wer wann aus Gründen der Erkrankung (des Mitarbeiters selbst oder eines Kindes) der Arbeit fernblieb. Dass sich die Unzulässigkeit solcher Mitteilungen in der Praxis immer noch nicht überall rumgesprochen hat, muss verwundern (vgl. Gola, Handbuch Beschäftigtendatenschutz, Rn. 887). Für Thüringen ergibt sich die Rechtswidrigkeit der Veröffentlichung für den Öffentlichen Dienst aus dem Datenverarbeitungen im Beschäftigungsverhältnis regelnden § 27 ThürDSG. § 27 Abs. 1 Thür DSG wiederum erklärt die dienstrechtlichen Vorschriften der §§ 79 bis 87 Thüringer Beamtengesetz (ThürBG) für entsprechend anwendbar, soweit besondere Rechtsvorschriften des Arbeitsrechts, tarifvertragliche Regelungen oder Dienstvereinbarungen nichts Abweichendes regeln. Soweit es für den Dienstherrn erforderlich ist, die Abwesenheitsgründe von Beschäftigten zu verarbeiten, ist die Führung einer An- und Abwesenheitsliste der Beschäftigten auf der Grundlage des § 27 ThürDSG sowie der dienstrechtlichen Vorschriften §§ 79 bis 87 ThürBG somit zwar möglich.
Keine Rechtsgrundlage besteht mangels Erforderlichkeit allerdings dafür, die Gründe für privat oder persönlich bedingten Abwesenheiten anderen Beschäftigten zur Kenntnis zu geben. Gleiches gilt für die Mittelung der insgesamt für einen Kollegen angefallenen Krankheitstage an alle Beschäftigten.
Zur Kenntnis gegeben werden darf allein, ob ein Mitarbeiter ansprechbar ist oder sich nicht im Dienst befindet. Hierzu reicht es aus, die betreffenden Mitarbeiter als „abwesend“ zu kennzeichnen. Die Gründe der Abwesenheit sind nicht relevant und daher auch nicht zur Einsicht bereitzustellen.
Lediglich im Falle einer dienstlich bedingten Abwesenheit, zum Beispiel wegen Dienstreise, hat der LfDI keine Bedenken gegen eine Kenntnisnahmemöglichkeit, da es sich um ein dienstliches Datum handelt.
Die von dem LfDI für den öffentlichen Dienst getroffene Beurteilung, gilt gleichermaßen in der Privatwirtschaft gemäß § 26 Abs. 1 S. 1 bzw. Abs. 3 BDSG.
2. Zulässiger Inhalt einer Eingliederungsvereinbarung nach SGB II
Zu dem datenschutzrechtlich zulässigen Inhalt einer Eingliederungsvereinbarung nach dem SGB II äußert sich der SächsLfD (TB 2019, Abschn. 2.2.4) u.a. dahingehend: „ In der Eingliederungsvereinbarung nach § 15 Absatz 2 SGB II soll unter anderem bestimmt werden, welche Bemühungen erwerbsfähige Leistungsberechtigte in welcher Häufigkeit zur Eingliederung in Arbeit mindestens unternehmen sollen und in welcher Form diese Bemühungen nachzuweisen sind. Soweit eine Vereinbarung nach Absatz 2 nicht zustande kommt, sollen die Regelungen gemäß § 15 Absatz 3 SGB II durch Verwaltungsakt getroffen werden. Insoweit fanden sich in dem vom Jobcenter gegenüber dem Petenten erlassenen Verwaltungsakt entsprechende Aufforderungen zum Nachweis seiner Bewerbungsbemühungen, wobei die Verpflichtung zur Vorlage nicht nur der Liste der Eigenbemühungen, sondern unter anderem auch des Schriftverkehrs mit den Arbeitgebern seitens der Rechtsprechung als zulässiger Inhalt eines Eingliederungsverwaltungsakts angesehen wird (siehe Sozialgericht München, Beschluss v. 31.05.2017 – S 40 AS 1142/17 ER).“
Der Petent hatte insbesondere Bedenken, zum Nachweis von Bewerbungsbemühungen hierzu den E-Mail-Verkehr mit potentiellen Arbeitgebern gegenüber dem Jobcenter offen zulegen. Nach Auffassung des LfD steht es dem Bezieher von SGB II-Leistungen jedoch frei, diesen Nachweis auch in anderer Form gegenüber der SGB-II-Stelle nachzuweisen.
„Soweit der Petent dabei den Einwand erhob, die Vorlage von E-Mails sei deshalb nicht möglich, da diese nicht an Dritte weitergegeben werden dürften, bezieht sich dieser in den Mails aufgenommene Hinweis jedoch darauf, dass bei Versand eines Schreibens auf diesem Kommunikationsweg sicherzustellen ist, dass die E-Mail nur dem berechtigten Empfänger zugestellt wird. Dies war bei dem Petenten jedoch eingehalten, da dieser ordnungsgemäßer Empfänger der von potentiellen Arbeitgebern an ihn versandten Mails ist. Sein diesbezüglicher Einwand steht daher einer Weitergabe von ihm ordnungsgemäß zugegangenen Mails an die SGB II-Stelle nicht entgegen“.
3. Unzulässige Offenbarung einer Bewerbung gegenüber dem bisherigen Arbeitgeber
Eine betroffene Person informierte den SächsLfD, dass sie sich bei einem Arbeitgeber beworben und dabei um Erstattung der Fahrkosten gebeten habe, woraufhin dieser das dem aktuellen Arbeitgeber der betroffenen Person mitgeteilt habe (TB 2019,Abschn. 2.2.17). Als Folge sei er daraufhin von seinem bisherigen Arbeitgeber zu einer Erklärung aufgefordert worden.
Die Einholung von Informationen durch potentielle Arbeitgeber bei dem gegenwärtigen oder früheren Arbeitgeber eines Bewerbers ist eine in der Praxis häufig auftretende Rechtsfrage. Nach alter Rechtslage war die Erhebung von Informationen gemäß § 4 Absatz 2 Bundesdatenschutzgesetz a.F. ohne Mitwirkung des Betroffenen nur zulässig, wenn die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordert hätte und keine schutzwürdigen Interessen des Betroffenen beeinträchtigt worden wären. Grundsätzlich wären Informationen zum Bewerber mit dessen Kenntnis und allenfalls noch mit Einwilligung bei Dritten, insbesondere beim Noch-Arbeitgeber, einzuholen gewesen.
Diese Rechtslage hat sich nach Auffassung des SächsLfD im Wesentlichen nicht verändert: „Auch nach neuer Rechtslage sind die Interessen des Bewerbers gemäß Artikel 6 Absatz 1 Buchstabe f) DS-GVO zu berücksichtigen. Bei einer Einwilligung zur Befragung des bisherigen Arbeitgebers ist allerdings zu beachten, dass eine Freiwilligkeit des Bewerbers aufgrund der Möglichkeit, dass eine Verweigerung zu Nachteile im Bewerbungsverfahren führt, eingeschränkt sein wird. Ohnehin wird auch der bisherige oder ehemalige Arbeitgeber nicht ohne weitere Auskünfte zu erteilen befugt sein (Artikel 6 Absatz 1 DS-GVO). Eine Einwilligung wird lediglich in Ausnahmefällen, etwa der Beiziehung von Unterlagen, über die der bisherige Arbeitgeber verfügt, als zulässig zu betrachten sein.“
Grundsätzlich sind Umfang, Tiefe und Ausmaß der Verarbeitung der Bewerberdaten hat an der Erforderlichkeit auszurichten (Art. 6 Abs. 1 lit. b) und f) DS-GVO. Darüber hinausgehende Datenverarbeitung ist unzulässig. Im vorliegenden Fall war nach dem Vortrag der betroffenen Person noch nicht mal die Einholung weiterer Informationen über den Bewerber beabsichtigt und eine Erforderlichkeit zur Erreichung eines rechtlich anerkannten Zwecks nicht erkennbar.
4. Umgang mit personalisierten E-Mail-Adressen bei Ausscheiden von Beschäftigten.
Dazu wie Unternehmen und Institutionen, die ihren Mitarbeitern personalisierte E-Mail-Adressen einrichten, nach deren Ausscheiden mit den entsprechenden elektronischen Postfächern umgehen sollen, gibt der SächsLfD unter Abschn. 4.1.6 seines Berichts folgende Hinweise: „Hier stehen ggfs. die Interessen des Unternehmens im Spannungsverhältnis mit denen des früheren Mitarbeiters und ggf. dessen Kommunikationspartnern. Die Organisation hat ein Interesse, die Außenwirkung, die der Mitarbeiter in seiner Arbeitszeit für diese entwickelt hat, auch weiter zu nutzen, und die entsprechenden Kommunikationskanäle ggfs. geordnet überzuleiten. Der frühere Mitarbeiter und seine Kommunikationspartner hingegen wollen vor der befugten oder unbefugten Kenntnisnahme möglicherweise persönlicher Kommunikation durch Dritte geschützt werden. Zwar wäre ein automatischer Hinweis zu einem aktuellen Ansprechpartner für den Absender von E-Mails an die nachgenutzte personalisierte E-Mail-Adresse, verbunden mit einer Löschung solcher E-Mails, die datensparsamste Variante. Dennoch kann bei entsprechender Ausgestaltung auch ein zeitlich begrenztes Offenhalten des durch derartige E-MailAdressen eröffneten Kommunikationskanals zulässig sein. Dabei muss der Zugang dritter Mitarbeiter der Organisation engen Grenzen unterliegen. Ein Vier-Augen-Prinzip und die genaue Dokumentation des Zugangs und dessen Anlass sind ebenso erforderlich wie eine Information der ausscheidenden Mitarbeiter, um eventuelle persönliche Kommunikationspartner auf die Veränderung hinzuweisen.“
5. GPS-Überwachung im Dienstfahrzeug
Die Ortung von Dienstfahrzeugen von Mitarbeitern eines Unternehmens ist nach Auffassung des ThürLfDI (2. TV nach der DS-GVO; Abschn. 4.9) nur zulässig, wenn der betroffene Mitarbeiter über die Maßnahme im Rahmen des Art. 13 DSGVO informiert wird und aufgrund eines für den Mitarbeiter vorliegenden Vorteils von einer freiwillig erteilten Einwilligung ausgegangen werden kann.
Grundsätzlich gilt, dass eine Beschäftigtenkontrolle durch Ortungssysteme datenschutzrechtlich nur in sehr engen Grenzen und in der Regel auch per Einwilligung des Beschäftigten zulässig sein kann. Eine Einwilligung im Sinne der Art. 6 Abs. 1 Satz 1 Buchstabe a) und 7 DS-GVO bedarf verschiedener Anforderungen. Problematisch ist in dem Zusammenhang die Freiwilligkeit der Einwilligung. Aufgrund des Über-/Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer kann eine Abhängigkeit vorliegen, welche die Freiwilligkeit ausschließt. Nach der Ansicht des ThürLfDI kann eine Freiwilligkeit vorliegen, wenn sich gleichgelagerte Interessen gegenüberstehen oder der Beschäftigte darüber hinaus einen rechtlichen oder wirtschaftlichen Vorteil erlangt (§ 26 Abs. 2 BDSG). Im vorliegenden Fall bestand zwischen dem Mitarbeiter und dem Arbeitgeber ein Dienstfahrzeugs-Nutzungsvertrag im Rahmen der 1-Prozent-Lösung. Das bedeutet, der Mitarbeiter durfte das Fahrzeug auch privat nutzen, musste dafür aber monatlich 1 Prozent des Listenpreises des überlassenen Fahrzeuges versteuern. Grundsätzlich wäre dies ein Vorteil, welcher zu einer Freiwilligkeit der Einwilligung führen würde.
Vorliegend wurde die Verarbeitung der personenbezogenen GPS-Daten ohne Wissen des Mitarbeiters durchgeführt, sodass weder eine Einholung der Einwilligung erfolgte, noch der Informationspflicht nach Art. 13 DS-GVO durch den Geschäftsführer des Unternehmens nachgekommen wurde. Dieses Verhalten ist als unzulässig einzuordnen, was die Verhängung eines Bußgeldes zur Folge hatte.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.