Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (46): Einzelaspekte des Beschäftigtendatenschutzes im TB des Sächsischen Datenschutzbeauftragten : aus der RDV 2/2020, Seite 81 bis 83
Zusammengestellt und erläutert von Prof. Peter Gola*
Vorbemerkung
Der am 19. 12. 2019 für die Jahre 2017 bis 2018 vorgelegte Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten gliedert sich in zwei Teile und zwar einen nach dem öffentlichen und privaten Bereich getrennten Einzelbericht für die Zeit vor Inkrafttreten der DS-GVO und einen gesonderten Bericht zur Datenschutz-Grundverordnung (EU) 2016/679 nebst der Richtlinie (EU) 2016/680 und sonstige Bereiche für den Berichtszeitraum vom 25.5. bis 31.12.2018.
I. Der Datenaustausch zwischen potentiellem Arbeitgebern und den Jobcentern
Verläuft eine Bewerbung auf ein Stellenangebot des Jobcenters negativ, so kann der potentielle Arbeitgeber dem Jobcenter Angaben zum Verlauf des Vorstellungsgesprächs machen und die SGB II-Behörde diese Daten erheben und verwerten.
Dies ergebe sich zum einen für das Jobcenter laut SächsDSB (TB 2017/2018 Teil 1 Abschn. 2.7.3.1) aus § 67 a Abs. 2 Nr. 2 Buchst. b aa SGB X in Verbindung mit § 31 Abs. 1 Nr. 2 SGB II. Das Jobcenter habe auch die Aufgabe zu überprüfen, ob der Leistungsberechtigte durch sein Verhalten ggf. die Anbahnung eines Arbeitsverhältnisses – zum Beispiel durch unzureichende Bewerbungen oder sein Verhalten im Vorstellungsgespräch – verhindere.
Die Rechtsgrundlage für die Auskunftserteilung und mithin für eine Datenübermittlung durch das Unternehmen, bei dem sich der Leistungsbezieher bewerben sollte bzw. beworben hatte, an den Leistungsträger leitete der SächsDSB noch aus § 28 Abs. 2 Nr. 2a BDSG a.F. ab, wobei u.a. Art. 6 Abs. 1 lit. f DS-GVO nunmehr eine Rechtfertigungsnorm sein kann. Das betroffene Unternehmen kann sich gegenüber der Behörde „entlasten“ und kann nicht nur Angaben darüber machen, dass es zu keiner Einstellung gekommen sei, sondern auch zu den Gründen der fehlgeschlagenen Anstellung. Ggf. greift auch die Übermittlungsbefugnis des § 24 Abs. 1 Nr.- 1 BDSG. wenn die Übermittlung der Verfolgung einer Straftat, d.h. hier des Sozialbetrugs (§ 263 StGB) dienen soll.
II. Versand elektronischer Lohnbescheinigungen
Der SächsDSB stellt weiter fest (TB 2017/2018 Teil 1 Abschn. 2.7.3.2), dass es nicht datenschutzkonform ist, Lohnsteuerbescheinigungen unverschlüsselt an die private E-Mail-Adresse der Arbeitnehmer zu versenden. Dieses Vorgehen scheitere zum einen daran, dass der unverschlüsselte Versand nicht der sich aus der besonderen Sensibilität der Lohn- und Gehaltsdaten ergebenden Pflicht, diese persönlichen Daten der Arbeitnehmer vor unberechtigten Zugriffen besonders zu schützen, gerecht werde. Zum anderen sei eine Übermittlung an private E-Mailadressen nur per Einwilligung zulässig, deren Freiwilligkeit aber in Frage stehe. Als Lösung empfiehlt der SächsDSB allen Mitarbeitern private, auf Firmenservern gehostete, durch individuelle Passwörter geschützte E-Mail-Postfächer zur Verfügung zu stellen.
III. Herausgabe von Personalunterlagen an ausgeschiedene Mitarbeiter
Die Auffassung eines Petenten, wonach der Arbeitgeber Personalunterlagen nach Ende der Beschäftigung unverzüglich herauszugeben habe, teilte der SächsDSB (TB 2017/2018 Teil 1 Abschn. 2.7.3.4) unter Beurteilung der vor dem 25.5.2018 geltenden Rechtslage aus folgenden Gründen nicht: „Das Datenschutzrecht kennt keinen Herausgabeanspruch, sondern nur den Anspruch auf Löschung (Vernichtung) oder Sperrung, also eine besonders geschützte und zweckbegrenzte Form der Aufbewahrung (§ 35 Abs. 2 Satz 1 bzw. § 35 Absatz 3 BDSG a.F.). Ein arbeitsrechtlicher oder allgemein zivilrechtlicher Herausgabeanspruch mag allenfalls bei Unterlagen in Betracht kommen, die dem Arbeitgeber vom Beschäftigten überlassen wurden und deren Verbleib vom Arbeitgeber über das Beschäftigungsende hinaus nicht länger beansprucht werden kann. Dies trifft auf Unterlagen, die im Rahmen ordnungsgemäßer Personalaktenführung rechtmäßig zur Personalakte genommen wurden, regelmäßig nicht zu. Vielmehr gilt – auch datenschutzrechtlich – der Grundsatz, dass Personalunterlagen so lange aufbewahrt werden dürfen, wie noch mit Ansprüchen des Beschäftigten zu rechnen ist. Da nach § 195 BGB die regelmäßige Verjährungsfrist von Ansprüchen ehemaliger Beschäftigter erst nach drei Jahren endet, können Personalakten dementsprechend gleichermaßen lange aufbewahrt werden. Zudem beginnt wegen § 199 BGB die Verjährungsfrist erst am Jahresende des Jahres, in dem der Beschäftigte das Unternehmen verlässt.
Ferner ist die Aufbewahrung von Personalunterlagen auch über diesen Zeitraum hinaus vielfach aus anderem Recht geboten und damit gestattet: So gibt es diverse gesetzliche Aufzeichnungs- und Aufbewahrungspflichten, teils mit Fristen bis zu 10 Jahren, um Steuerbehörden und den Sozialversicherungsträgern Prüfungen zu ermöglichen. Eine Darstellung aller hier möglicherweise einschlägigen Bestimmungen und Sachverhalte ist mir an dieser Stelle nicht möglich. Nur beispielhaft möchte ich das für Krankschreibungen relevante Aufwendungsausgleichsgesetz benennen. Nach § 6 Absatz 1 AAG besteht ein Erstattungsanspruch bis zu vier Jahren nach Ablauf des Kalenderjahrs, in dem er entstanden ist. Somit können Arbeitsunfähigkeitsbescheinigungen erst fünf Jahre nach Ablauf des Kalenderjahrs, in dem der Erstattungsanspruch entstanden ist, vernichtet werden.“
Die Argumente gelten aber auch, wenn sich ein Beschäftigter insoweit nunmehr auf die DS-GVO berufen würde. Hier gewährt Art. 15 Abs. 3 DS-GVO dem Beschäftigten zwar ggf. ein Recht auf Erteilung von Kopien der zu seiner Person gespeicherten Daten, nicht aber einen Herausgabeanspruch von Originalunterlagen.
IV. Unzulässigkeit von Mailingaktionen einer Gewerkschaft an die gesamte Belegschaft
Der SächsDSB (TB 2017/2018, Teil 1, Abschn. 2.7.3.5) hatte sich damit zu befassen, dass eine Gewerkschaft zur Information der Beschäftigten und damit auch zu Werbezwecken für ihre Ziele nach Art. 9 Absatz 3 GG regelmäßig Mailing-Aktionen an alle Beschäftigten eines Unternehmens, mithin auch an Nicht-Mitglieder durchführte. Sie bezog sich dabei auf das Grundsatzurteil des BAG vom 20.01.2009 (1 AZR 515/08), wonach Arbeitgeber einer tarifzuständigen Gewerkschaft grundsätzlich nicht untersagen könnten, sich zu Werbe- und Informationszwecken per E-Mail an die Beschäftigten über deren betriebliche E-Mail-Adressen zu wenden.
Der SächsDSB konnte jedoch zu Recht in dem Urteil des BAG keine pauschale Erlaubnis für eine tarifzuständige Gewerkschaft entnehmen, alle Beschäftigten der betreffenden Arbeitgeber per betrieblicher E-Mail anzusprechen. Die bei Nichtmitgliedern als Rechtsgrundlage in Betracht kommende Interessenabwägung (nunmehr Art. 6 Abs. 2 lit. f DS-GVO) begründe die Zulässigkeit solcher Mailingaktionen nicht, so dass für eine rechtssichere Lösung nur eine Einwilligung möglich sei.
V. Übermittlung von Schuldnerdaten an Arbeitgeber
Der SächsDSB konnte berichten (TB 2017/2018, Teil 1, Abschn. 2.7.5.1) dass ein Gläubiger, der einen Vollstreckungsbescheid gegen einen Beschäftigten besaß, sich per E-Mail an dessen Arbeitgeber gewandt hatte. Unter Mitteilung konkreter Informationen über die Vermögenslage des Beschäftigten regte er an, dass der Arbeitgeber seinen Arbeitnehmer zur Vermeidung kostenträchtiger Pfändungsmaßnahmen zu freiwilligen Ratenzahlungen bewegen möge.
Der SächsDSB beanstandete das Vorgehen noch unter Betrachtung des BDSG a.F. Ohne Einwilligung des Betroffenen, die hier natürlich nicht vorlag, gestattet § 4 Absatz 1 BDSG die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet. Daran fehlte es aber im konkreten Fall. Erst ein richterlicher Pfändungsund Überweisungsbeschluss berechtigt zur Lohnpfändung und damit zum Herantreten an den Arbeitgeber des Schuldners. Liegt ein solcher Beschluss nicht vor, kann der Gläubiger sich nicht auf § 28 Abs. 1 Nr. 2 BDSG oder nunmehr Art. 6 Abs. 1 lit. f DS-GVO berufen. Gegenüber dem berechtigten Wunsch des Gläubigers an der zügigen Schuldenbegleichung überwiegen schutzwürdige Interessen des Beschäftigten. Negative Informationen über die Vermögens- und Verschuldungslage sind regelmäßig geeignet, die Reputation des Betroffenen zu beschädigen. Dies gilt auch bzw. gerade gegenüber der Personalabteilung, für die geordnete finanzielle Verhältnisse eines Beschäftigten gemeinhin auch eine Compliance-relevante Frage sind. Der mit der E-Mail verfolgte Zweck, der Arbeitgeber möge seinen Beschäftigten zu einer freiwilligen Begleichung seiner Schulden „bewegen“, verfolge einen sozialen Druck jenseits gesetzlich erlaubter Instrumente zur Beitreibung finanzieller Forderungen.
Dass eine außergerichtliche Lösung zur Begleichung seiner Schulden möglicherweise auch im wirtschaftlichen Interesse des Betroffenen lag, legitimiert die Übermittlung an seinen Arbeitgeber nicht, denn Offerten dieser Art hätten dem Betroffenen auch unmittelbar unterbreitet werden können.
VI. Lohn und Gehaltsabrechnung durch Steuerberater – Frage der Auftragsverarbeitung
Nach der Spruchpraxis des Sächsischen Datenschutzbeauftragten ist die Lohn- und Gehaltsabrechnung, soweit sie durch Steuerberater erfolgt, kein Gegenstand einer Auftragsverarbeitung. Eine gemeinsame explizite Position der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu der Thematik stehe zwar aus; jedoch gebe das DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung diesbezügliche Hinweise. Danach liegt keine Auftragsverarbeitung vor, soweit die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, vorliegt. Beispielhaft genannt werden hierbei Berufsgeheimnisträger und auch Steuerberater.
Dies trifft ist aus Sicht des SächsDSB auf Steuerberater zu, die nach ihrem Berufsrecht eigene und damit originäre Verantwortung für den Inhalt der Lohn- und Gehaltsabrechnung zu leisten haben. Demgemäß werden bei der Einschaltung eines Steuerberaters steuerrechtliche Tatbestände offengelegt und übermittelt, zu denen neben möglichen Gesundheitsinformationen auch die Informationen zur Veranlagung und Abführung der Kirchensteuer, d.h. besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Absatz 1 DSGVO gehören, wobei der SächsDSB in § 26 Absatz 3 BDSG die die Übermittlung rechtfertigende Erlaubnisnorm sieht.
VII. Datenschutzbeauftragte, Betriebsräte und Personalvertretungen
1. Die Mitarbeitervertretung als Verantwortlicher
Bei der Frage, ob Betriebsräte und Personalvertretungen eigenständige Verantwortliche im Sinne von Art. 4 Nummer 7 DS-GVO seien, hält der SächsDSB (TB 2017/2018, Teil 2 Abschn. 2.1.1) unter Berufung auf vor Inkrafttreten der DSGVO ergangene Rechtsprechung (BAG, Beschl. v. 7. 2. 2012- 1 ABR 46/10) daran fest, dass der Betriebsrat eine zum Unternehmen gehörende Einheit darstelle und dass Personalvertretungen unselbständiger Teil einer öffentlichen Stelle seien. Damit bestehe auch eine Benennungspflicht für einen Datenschutzbeauftragten nur für das Unternehmen bzw. die Behörde, nicht aber für die jeweiligen Beschäftigtenvertretungen. Der SächsDSB weist aber auf die insoweit bestehende Uneinigkeit zwischen den deutschen Datenschutzaufsichtsbehörden hin.
2. Kontrolle der Mitarbeitervertretung durch den DSB
Von der früheren BAG-Rechtsprechung abweichender Auffassung ist der SächsDSB jedoch hinsichtlich der Frage, inwieweit der betriebliche/behördliche Datenschutzbeauftragte befugt ist, die personenbezogenen Datenverarbeitung des Betriebsrats bzw. der Personalvertretung zu überwachen (TB 2017/2018, Teil 2, Abschn. 4.8.8) Auch oder gerade weil in der DS-GVO und dem diese ergänzenden Bundesdatenschutzgesetz keine Hinweise zur Reichweite der Überwachungsbefugnisse des Datenschutzbeauftragten getroffen sind, schließt sich der Sächsische Datenschutzbeauftragte der Meinung an, dass die Datenschutz-Grundverordnung von einer lückenlosen Kontrolle bei Verantwortlichen ausgeht. Da sich gegenüber der Datenschutz-Grundverordnung – im Gegensatz zum Bundesdatenschutzgesetz a. F. – auch das Betriebsverfassungsgesetz nicht mehr in einem gleichrangigen Verhältnis befinde, sei davon auszugehen, dass den Datenschutzbeauftragten Zugang zu (allen) personenbezogenen Daten und Verarbeitungsvorgängen zu gewähren sei und es keine kontrollfreie Datenverarbeitung gebe.
Die vollständige Überwachungsbefugnis bestehe ferner auch gegenüber anderen weisungsfrei und autonom entscheidenden funktionalen Stellen innerhalb von Verantwortlichen, wie zum Beispiel bei Schwerbehinderten- und Gleichstellungsbeauftragten. In allen Fällen hat der Datenschutzbeauftragte sich jedoch im Rahmen seiner Geheim-haltungs- und Vertraulichkeitspflicht zu bewegen, Art. 38 Absatz 5 DS-GVO.