Aufsatz : Zweckänderungen bei der Weiterverarbeitung von Beschäftigtendaten : aus der RDV 3/2018, Seite 145 bis 154
Der Grundsatz der Zweckbindung gilt auch unter dem Regime der DS-GVO als eine tragende Säule des Datenschutzrechts (Art. 5 Abs. 1 lit. b DS-GVO).[1] Der Beschäftigte soll wissen, für welche Zwecke seine Daten verarbeitet werden und an diese Zwecke muss der Arbeitgeber sich dann auch halten. Bereits vor der Erhebung von Daten hat der Arbeitgeber daher den oder die Zwecke, für die die Daten verwendet werden sollen, festzulegen (vgl. Art. 5 Abs. 1 lit. b DS-GVO), zu dokumentieren (Art. 5 Abs. 2 und ggf. Art. 30 DS-GVO) und für die Zukunft als verbindliche Verarbeitungsgrenze zu beachten.
Eine nur als Ausnahme zulässige Durchbrechung des Zweckbindungsgrundsatzes bezeichnet der Begriff der sog. Weiterverarbeitung.
- Gestattet wird die Weiterverarbeitung zum einen, indem sie nach Art. 5 Abs. 1 lit. b DS-GVO für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und, historische Forschungszwecke oder statistische Zwecke nicht als unvereinbar mit dem ursprünglichen Zweck gilt.[2]
- 6 Abs. 4 erlaubt sodann die Zweckänderung bei der Einwilligung der betroffenen Person oder auf Grund einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt,
Greifen die genannten Erlaubnistatbestände nicht, ist im Rahmen des Art. 6 Abs. 4 DS-GVO in einer offenen Regelung unter Vorgabe eines nicht abschließenden Kompatibilätskatalogs dem Verantwortlichen eine Abwägungsentscheidung eröffnet.
I. Zweckbindung und -änderung
1. Information und Zweckbestimmung
Der von dem Arbeitgeber im Rahmen des Beschäftigungsverhältnisses nach § 26 BDSG festgelegte Zweck einer Verarbeitung personenbezogener Daten entscheidet über die Zulässigkeit dieser Verarbeitung. Die dem Beschäftigten gegenüber gebotene Transparenz verpflichtet ihn, den oder die Zwecke, für die die Daten verwendet werden sollen, bereits bei der Erhebung festzulegen (ErwGr. 39), u.a. in dem Verarbeitungsverzeichnis zu dokumentieren (Art. 30 Abs. 1 lit. b DS-GVO) und dem Beschäftigten offenzulegen (Art. 13 Abs. 1 lit. c; Art. 14 Abs. 1 lit. c DS-GVO)
Hinsichtlich Art und Zeitpunkt der Information im Bewerbungsverfahren ist zu unterscheiden:
In einem Online-Bewerberportal können die Transparenzinformationen ohne weiteres z.B. als Einleitung im Formular unmittelbar bereitgestellt werden.[3]
Bei auf Grund einer Stellenausschreibung eingehenden EMail-Bewerbungen oder bei Einsendungen an für Bewerbungen eingerichtete E-Mailadressen ist die Erhebung mit dem Zugang im Postfach abgeschlossen.
Bei „aufgedrängten“ Bewerbungen liegt sie erst bei Kenntnisnahme vor, wobei bei fehlendem Interesse die Mitteilung über die Absage und Löschung hinreicht.
Auch eine Bewerbung per Post erfolgt entweder gezielt auf Grund einer Stellenausschreibung oder initiativ. In beiden Fällen findet eine Erhebung im Sinne des Art. 13 DSGVO erst mit Sichtung der Einsendung statt, wenngleich der Bewerber atypisch nicht zugegen ist. Eine etwaige Stellenausschreibung darf sich daher auf grundlegende Informationen über beabsichtigte Datenverarbeitung beschränken, wenn die endgültige Information nachgeliefert wird. Wenn neben der Zweckbestimmung der Datenerhebung durch den Text der Stellenausschreibung auch die Empfänger, z.B. im Unternehmensverbund, angekündigt worden sind, ist eine entsprechende Kenntnis des Betroffenen gemäß Art. 13 Abs. 4 DS-GVO zu unterstellen. Die weiteren Informationen des Art. 13 Abs. 1 und 2 DS-GVO sind in der Regel 2nd-level-Informationen[4] und können mit einer zeitnahen Bestätigungs-E-Mail über den Eingang der Bewerbung erfolgen.
Werden personenbezogene Daten von Dritten an den Arbeitgeber übermittelt (z.B. bei Weitergabe in einem Konzern) oder erlangt er diese ohne Mitwirkung des Betroffenen auf andere Weise (Recherche im Internet), setzt die Zweckbindung mit dem ersten vom Arbeitgeber durchgeführten Verarbeitungsvorgang ein. Auch hier erfolgt dann eine Bindung an die die Verarbeitung rechtfertigende und dem Beschäftigten nunmehr offen zu legenden (Art. 14 Abs. 1 lit. c DS-GVO) Zwecke.
Geht es nur um die Frage des Abschlusses eines Arbeitsvertragen, so kann sich die Information zunächst auf diesen Zweck beschränken und auf weitere Mitteilungen bei positivem Ausgang des Bewerbungsverfahrens hinzuweisen.
Möglich ist aber auch jetzt schon, alle im späteren Verlauf des Beschäftigungsverhältnisses anfallenden Zwecke zu benennen. Zeigt der Arbeitgeber alle im Zeitpunkt der Datenerhebung bzw. Speicherung in Betracht kommenden legitimen Verwendungszwecke an, so stellt sich das Problem der zweckändernden Weiterarbeitung zunächst einmal nicht mehr. Die dem Betroffenen mitgeteilten Zwecke bilden den Erlaubnisrahmen für die Verarbeitung. Hinzutretende Zwecke, an die zu diesem Zeitpunkt – noch – nicht gedacht wurden, bedürfen jedoch einer neuen Zulässigkeitsprüfung.
2. Konkretheit der Zweckbestimmung
Dazu in welcher Konkretheit bzw. zulässiger Abstraktionshöhe der Verarbeitungszweck festzulegen ist, wird in der DS-GVO bzw. dem BDSG nichts ausgesagt. Logisch ist: Je weiter bzw. abstrakter der bzw. die festgelegten Zwecke sind, desto größer ist der nachfolgende Handlungsspielraum des Arbeitgebers. Gleichwohl oder gerade deswegen ist der Erhebungs- und Verwendungszweck möglichst eng zu bestimmen. Die gebotene Transparenz gegenüber dem Betroffenen ist nur gewahrt, wenn die Verwendungszwecke vorhersehbar und „eindeutig“ sind.[5]
Eine unklare Umschreibung des Verarbeitungszwecks, d.h. eine in der Sache vage Zweckfestlegung, die die Erhebung und Speicherung zu vielen unterschiedlichen Zwecken ermöglicht, reicht nicht.
Somit genügt es der Transparenzpflicht zumeist nicht, die Zweckbestimmung der Datenerhebung beim Bewerber auf die bloße Benennung der Erlaubnisnorm zu reduzieren. Die Erlaubnisnorm muss schon den Zweck konkret benennen, was bei der Angabe „Entscheidung über die Begründung des Arbeitsverhältnisses“ der Fall ist und bei einer Angabe „überwiegende berechtigte Interessen“, wenn diese nicht benannt werden, jedoch nicht.[6]
Zustimmen ist insoweit Kamlah[7] darin, dass zur Erläuterung Schlagworte ausreichen und ein gewisser Abstraktionsgrad erlaubt ist. Zulässig sind damit wohl „unbestimmte, aber bestimmbare Begriffe innerhalb einer Zweckbestimmung mit einer hinreichenden Quantität und Qualität (Gestaltungshöhe)“.[8] Die alleinige Angabe „Nützlichkeit für das Arbeitsverhältnis“ genügt nicht.[9]
Beispiel für eine Angabe der Zweckbestimmung auf einer Stellenausschreibung. „Bewerbungen mit den üblichen Unterlagen bitten wir zu senden an: xxx. Wir verarbeiten diese Daten ausschließlich für die Entscheidung über den Abschluss eines Arbeitsvertrages und nur innerhalb unseres Hauses. Weitere Informationen erhalten Sie gemäß dem Verlauf des Bewerbungsverfahrens.“ |
Die vom Arbeitgeber mitgeteilten Zweckbestimmungen sind bindend. Beschränkt er die automatische Verarbeitung der Beschäftigtendaten gemäß bei Abschluss des Arbeitsvertrages erfolgter Mitteilung auf die Gehaltsabrechnung, ist jegliche Auswertung zu Kontrollzwecken zunächst ausgeschlossen.[10]
Typische Beispiele der mitzuteilenden Verarbeitungszwecke sind:
Zwecks (Durchführung etc.);
- Erfüllung rechtlicher Pflichten
- Lohn- und Gehaltsabrechnung
- Arbeitszeiterfassung
- Leistungsbewertung
- Projektbezogene Arbeit im Konzern.
Zwecks planerischer und organisatorische Maßnahmen:
- Einsatzplanung
- Reiseplanung und -kostabrechnung
- betriebliche Fortbildung
- Aufstiegs- und Karriereplanung.
- Zwecks sonstiger berechtigter Interessen:
- (Konzern-)Kommunikationsverzeichnis
- Weitergabe von Kommunikationsdaten an Geschäftspartner.
II. Die Zweckbindung und -änderung nach Art. 5 Abs. 1 DS-GVO, § 27 BDSG
1. Art. 5 Abs. 1 DS-GVO
Art. 5 Abs.1 lit. b DS-GVO gibt den Grundsatz der Zweckbindung vor und enthält drei Zweckbestimmungen, unter denen von der Zweckbindung abgewichen werden kann.
Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen (…) b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“), |
Sollen zu einem ursprünglich anderen Zweck erhobene Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken weiterverarbeitet werden, wird die Kompatibilität gem. Art. 5 Abs. 1 lit. b i.V.m Art. 89 gesetzlich vermutet (Erwägungsgründe 50, 156). Dies bedeutet, dass nach Abs. 2 lit. e Hs. 2 technische und organisatorische Maßnahmen zu ergreifen sind, um die Weiterverarbeitung auf diese Zwecke zu begrenzen.
Für derartige Zwecke bedarf es also weder der Durchführung des Kompatibilitätstests gemäß Art. 6 Abs. 4 DS-GVO noch einer neuen Rechtsgrundlage.[11]
Unter dem Begriff „statistische Zwecke“ ist gem. ErwGr. 162 jeder für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderlicher Vorgang der Erhebung und Verwendung personenbezogener Daten zu verstehen. Solche statistischen Ergebnisse können für verschiedene Zwecke, z.B. für wissenschaftliche Forschungszwecke, aber auch für die Optimierung von Geschäftsabläufen, weiterverwendet werden. Nach dem Wortlaut von Art. 5 Abs. 1 lit. b DS-GVO[12] muss es sich nicht um solche handeln, die im öffentlichen Interesse liegen oder die eine Verbindung zur wissenschaftlichen Forschung aufweisen. Von der Norm gedeckt sind auch Weiterverarbeitungen zu statistischen Zwecken durch Arbeitgeber, wenn sie sich im Rahmen des § 26 Abs. 1 BDSG bewegen.[13]
Die Privilegierung bezieht sich nur auf die Verarbeitungsschritte, bei denen die Daten noch Personenbezug haben (ErwGr. 162 S. 3). Das anonyme Ergebnis statistischer Auswertungen wird von der DS-GVO nicht mehr erfasst, es sei denn, die statistischen Erkenntnisse werden als „Scorewert“ auf einzelne Betroffene als „vermutete“ Eigenschaft zurückgeführt, indem z.B. das Verhalten eines bestimmten Arbeitnehmers vorhergesagt wird (ErwGr. 162 S. 5).[14] Derartige analytische „Statistiken“ genießen die Privilegierung des Art. 5 DS-GVO bzw. § 27 BDSG nicht.
2. § 27 Abs. 1 BDSG
Auch sensible Daten nach Art. 9 Abs. 1 DS-GVO können der vom nationalen Gesetzgeber gemäß Art. 85 DS-GVO geschaffenen nationalen Erlaubnisnorm des § 27 BDSG zufolge im Rahmen der Privilegierung statistischer Zwecke vom Arbeitgeber genutzt werden (z.B. Krankenverlaufsstatistik; Fluktuationsstatistik).
§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor. |
Dabei ist über technisch-organisatorische Maßnahmen zur Datenminimierung, z.B. über den Einsatz von Anonymisierungstechniken, sicherzustellen, dass im Ergebnis allein nicht-personenbezogene, d.h. aggregierte Daten Verwendung finden.
III. Einwilligung
Art. 6 Abs. 4 DS-GVO nennt als Erlaubnis einer zweckändernden Weiterverarbeitung auch die Einwilligung des Betroffenen. Sie kann für eine oder mehrere Zwecke erteilt werden. Auch hier gilt, dass die Zwecke „eindeutig“ d.h. hinreichend präzise benannt werden.
Dass eine zweckändernde Verarbeitung für inkompatible Zwecke gem. Abs. 4 zulässig sein soll, wenn diese auf die Einwilligung der betroffenen Person gestützt werden kann, ist zumindest missverständlich. Abgegeben werden kann die Einwilligung nicht vorab als Pauschalermächtigung, sondern nur im Nachhinein, wenn die neuen Zwecke feststehen.
Ist der „spätere Zweck“ bereits im Rahmen der ersten Erhebung bzw. Speicherung bekannt und benannt, dann handelt es sich bei dessen Eintritt nicht um eine Zweckänderung. Formal existiert gar kein späterer Zweck, sondern ein – ursprünglich feststehender – nunmehr aktueller Zweck.
Soll ein neuer bisher nicht vorgesehener oder ein erst nunmehr offengelegter Zweck verfolgt werden, so trifft die Formulierung des ErwGr. 50 zu, wonach im Falle einer Einwilligung eine Weiterverarbeitung „ungeachtet der Vereinbarkeit der Zwecke“ zulässig sein soll.
Für ihre Wirksamkeit muss die Einwilligung muss jedoch den Anforderungen des § 26 Abs. 2 BDSG genügen.
IV. Nationale Erlaubnisse zur zweckändernden Weiterverarbeitungen
1. Zulässigkeit der zweckändernden Verarbeitungen durch öffentliche Arbeitgeber
a) Allgemeines
Mit § 23 BDSG hat der deutsche Gesetzgeber öffentlichen Stellen die Möglichkeit eröffnet, im Rahmen der jeweiligen Aufgabenerfüllung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, zu verarbeiten. Die Ausnahmevorschrift beruht auf Art. 6 Abs. 4 i.V.m. Art. 23 Abs. 1 DS-GVO. Liegt eine der Varianten von § 23 Abs. 1 BDSG vor, ist die Weiterverarbeitung zulässig, unabhängig davon, ob ihr Zweck mit dem ursprünglichen Verarbeitungszweck vereinbar ist.[15]
§ 23 BDSG Verarbeitung zu anderen Zwecken durch öffentliche Stellen (1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn |
1. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde, 2. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, 3. die Daten allgemein zugänglich sind oder der Verantwortliche sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Weiterverarbeitung offensichtlich überwiegt, 4. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist, 5. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist, 6. sie zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 7. sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen des Verantwortlichen dient; dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit schutzwürdige Interessen der betroffenen Person dem nicht entgegenstehen. (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen. |
§ 23 Abs. 2 BDSG stellt für die Weiterverarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen des Abs. 1 auch ein Ausnahmetatbestand nach Art. 9 Abs. 2 DS-GVO oder nach § 22 BDSG vorliegen muss.
b) Für Beschäftigungsverhältnisse relevante Tatbestände
a) § 23 Abs. 1 Nr. 1 BDSG.
Eine Weiterverarbeitung nichtsensitiver Daten ist gem. § 23 Abs. 1 Nr. 1 BDSG zulässig, wenn sie offensichtlich im Interesse des Betroffenen liegt und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen – neuen – Zwecks seine Einwilligung verweigert hätte. Erfasst werden Sachverhalte, in denen eine zweckänderte Verarbeitung eigentlich nur auf Grund einer Einwilligung zulässig wäre und deren potentielle Erteilung von der verantwortlichen Stelle wegen deren objektiver Sachgerechtigkeit unterstellt werden darf.[16]
Es muss aber ein Grund für die Nichteinholung der Einwilligung bestehen. Dies ist etwa der Fall, wenn die betroffene Person nicht auffindbar ist oder ihr Aufenthaltsort nur mit unverhältnismäßig hohem Aufwand bestimmbar wäre. Ist dies der Fall, kann nach dem Rechtsgedanken der Geschäftsführung ohne Auftrag eine Weiterverarbeitung möglich sein, wenn dies objektiv im Interesse der betroffenen Person liegt, sie also bei Nichterteilung der Einwilligung gegen ihre eigenen Interessen handelte würde. Fälle, in denen eine Weiterverarbeitung zu einer für den Betroffenen objektiv nachteiligen Situation führen könnte, sind daher ausgeschlossen. Erforderlich ist jeweils eine Einzelfallbetrachtung unter Erforschung des mutmaßlichen Willens der betroffenen Person. Ein Beispiel wäre, wenn Daten des Betriebsarztes über bekannte Vorerkrankungen des schwerverletzten Beschäftigten an das Krankenhaus übermittelt werden.
b) § 23 Abs. 1 Nr. 2 BDSG
. Enthält ein Datensatz Angaben über die betroffene Person, die z.B. von denen anderer Datensätze abweichen oder aus anderen Gründen unrichtig erscheinen, ist eine Überprüfung geboten. Es müssen tatsächliche Anhaltspunkte für die Unrichtigkeit der gemachten Angaben vorliegen. Dies kann der Fall sein, wenn sie ein und denselben Sachverhalt unterschiedlich dargestellt hat. Tatsächliche Anhaltspunkte können auch dann vorliegen, wenn durch falsche Angaben die allgemeine Glaubwürdigkeit der betroffenen Person infrage gestellt wird und dies eine Überprüfung der Angaben angezeigt sein lässt. Wird der Betroffene selbst befragt, ist dies keine zweckändernde Nutzung des Datums, wohl aber, wenn Dritte zu dem Sachverhalt befragt werden. Fälle der geschilderten Art sind auch im Beschäftigungsverhältnis denkbar, so z.B. wenn Zweifel an der Korrektheit der eingereichten Zeugnisse auftreten und Lebenslaufdaten nachgegangen wird.
c) § 23 Abs. 1 Nr. 3 BDSG.
Die Bestimmung lässt eine zweckändernde Verarbeitung zu bei ihrer Erforderlichkeit zur Abwehr erheblicher Nachteile für das Gemeinwohl oder bei einer Gefahr für die öffentliche Sicherheit, für Zwecke der Verteidigung oder der nationalen Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens. Als Gemeinwohlinteressen hat das BVerfG z.B. anerkannt: die Funktionsfähigkeit des öffentlichen Telekommunikationsnetzes, ordnungsgemäße Arzneimittelversorgung, Sicherung eines geordneten Arbeitsmarktes, Verhütung einer Störung der auswärtigen Beziehungen.[17]
Es werden „erhebliche“ Nachteile bzw. Belange verlangt. Ob Erheblichkeit vorliegt, ist im Einzelfall unter Berücksichtigung der konkreten Umstände und insbesondere der schutzwürdigen Interessen der betroffenen Person zu bestimmen. Der Schaden muss noch nicht eingetreten sein, der Eintritt muss aber nach allgemeiner Lebenserfahrung wahrscheinlich sein. Der Erforderlichkeitsgrundsatz ist eine weitere Hemmschwelle. Lässt sich die Beeinträchtigung des Gemeinwohls auch auf andere Weise verhindern, die die Weiterverarbeitung der personenbezogenen Daten nicht umfasst, ist diese zu wählen. Das Ausmaß der Nachteile und die zeitliche Dringlichkeit der Abwehrmaßnahmen sind abzuwägen gegen die möglichen Nachteile, die der betroffenen Person aus der Weiterverarbeitung ihrer Daten erwachsen können. Nach den gleichen Kriterien ist eine Weiterverarbeitung zulässig, wenn eine Gefahr für die öffentliche Sicherheit unmittelbar droht und die zweckändernde Verarbeitung zur Abwehr erforderlich ist.
d) § 23 Abs. 1 Nr. 4 BDSG.
Zulässig ist die Weiterverarbeitung zur Strafverfolgung und zum Vollzug staatlicher Straf- und Erziehungsmaßregeln. Normadressaten sind hier vor allem andere öffentliche Stellen, denen mit dieser Ausnahmeregelung eine Befugnisnorm zur Verwendung von personenbezogenen Daten zur Übermittlung an Strafverfolgungs- und Ordnungsbehörden gegeben wird. Davon sind sowohl Spontanübermittlungen als auch Ermittlungen auf Ersuchen der Ermittlungsbehörden erfasst.
e) § 23 Abs. 1 Nr. 5 BDSG.
Droht eine schwerwiegende Beeinträchtigung der Rechte einer anderen Person (als der betroffenen), soll eine öffentliche Stelle helfend einschreiten dürfen. Geschützt sind auch juristische Personen. Die zu schützenden Rechte sind u.a. das Recht auf körperliche und geistige Unversehrtheit, der Schutz des Eigentums sowie vergleichbare Grundrechte und Rechtsgüter. Reine Vermögensinteressen gehören nicht dazu. Es müssen konkrete Anhaltspunkte dafür vorliegen, dass diesen eine schwerwiegende Gefahr droht.
f) § 23 Abs. 1 Nr. 6 BDSG.
Eine Weiterverarbeitung ist ferner für durch öffentliche Stellen vorgenommene Aufsichts-, Kontroll-, Prüf-, Untersuchungs-, Ausbildungs- und Prüfungszwecke zulässig. Bei Ausbildungs- und Prüfungszwecken ist zusätzlich eine Abwägung mit den Interessen der betroffenen Person durchzuführen. Die Regelung ist bestimmt vom öffentlichen Interesse an einer funktionsfähigen Verwaltung. (Rechtmäßigkeit, Zweckmäßigkeit, Kostengerechtigkeit und funktionsfähige Kontrollmechanismen liegen nicht nur im Interesse der betroffenen Personen, sondern ebenso im Allgemeininteresse). Die Vorschriften über Berufs- und besondere Amtsgeheimnisse gehen nach § 1 Abs. 2 BDSG auch dieser Regelung vor
g) § 23 Abs. 2 BDSG.
Bei der Weiterverarbeitung sensitiver Daten muss neben dem Vorliegen einer der Ausnahmetatbestände des § 23 Abs. 1 BDSG kumulativ ein Erlaubnistatbestand i.S.v. Art. 9 Abs. 2 vorliegen.
2. Zulässigkeit zweckändernder Weiterverarbeitungen durch private Arbeitgeber (§ 24 BDSG)
a) Allgemeines
§ 24 BDSG gestattet privaten Arbeitgebern in vier Tatbeständen die zweckentfremdende Weiterverarbeitungen.
§ 24 BDSG: Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen (1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn 1. sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder 2. sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen. |
Soweit eine der tatbestandlichen Voraussetzungen nach § 24 BDSG erfüllt ist, kann die Weiterverarbeitung personenbezogener Daten durch die nichtöffentliche Stelle auf diese Vorschrift gestützt werden, unabhängig davon, ob die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, nach Artikel 6 Abs. 4 DS-GVO vereinbar sind. Dies setzt voraus, dass man nciht der Meinung folgt, die jedenfalls die Regelung des § 24 Abs. 1 Nr. 2 BDSG als europarechtswidrig und unwirksam bewertet.[18]
§ 24 BDSG tritt neben Art. 6 Abs. 4 DS-GVO. In § 24 BDSG nicht erwähnte Zweckentfremdungen können in einem Kompatibilitätstest auf ihre Zulässigkeit geprüft werden.
b) Für Beschäftigungsverhältnisse relevante Tatbestände
a) § 24 Abs. 1 Nr. 1 BDSG.
Zunächst ist eine zweckändernde Weiterverarbeitung zulässig in bei ihrer Erforderlichkeit zur Abwehr von Gefahren für die staatliche oder die öffentliche Sicherheit oder zur Verfolgung von Straftaten.
Wohlgemerkt geht es zunächst darum, dass vorhandene Beschäftigtendaten für diesen Zweck ausgewertet werden und sodann darum, dass die Auswertung nicht durch die bei der Datenerhebung mitgeteilte Zweckbestimmungen abgedeckt ist. Ferner ist der bereichsspezifische Erlaubnistatbestand des § 26 Abs. 1 S. 2 BDSG, der die Verarbeitung personenbezogener Daten zur Aufklärung von Straftaten unter den genannten Voraussetzungen erlaubt, vorrangig, wobei der Begriff der Verarbeitung sowohl die Auswertung vorhandener Daten meint als auch die Erfassung neuer Daten. Nach der Rechtsprechung des BAG sind ferner Aufklärungs maßnahmen, die sich auf nicht strafbare Vertragsverfehlungen beziehen, nach § 26 Abs. 1 S. 1 BDSG unter der Zweckbestimmung „Durchführung des Beschäftigungsverhältnis“ zulässig. Insoweit braucht also im Rahmen der Kontrolle von Beschäftigten hinsichtlich der Ein- bzw. Nichteinhaltung ihrer vertraglichen Pflichten nicht auf die Erlaubnis des § 24 Abs. 1 Nr. 1 zurückgegriffen werden.
Der von der Verarbeitung betroffene Beschäftigte muss weder Auslöser der Gefahr noch verdächtigter Täter einer Straftat sein. Ob die alleinige Erwähnung der „Verfolgung“ von Straftaten in § 24 Abs. 1 Nr. 1 BDSG dazu führt, dass alle anderen in Art. 23 Abs. 1 lit. d DS-GVO genannten Verarbeitungszwecke im Zusammenhang mit Straftaten (Verhütung, Ermittlung und Aufdeckung) per se als legitime Weiterverarbeitungszwecke ausscheiden,[19] ist eine Frage des Begriffsverständnisses.
Anwendungsfälle der Regelung in § 24 Abs. 1 Nr. 1 BDSG werden daher typischerweise Datenübermittlungen an öffentliche Stellen sein. Evident ist dies bei der Zweckbestimmung der Verfolgung von Straftaten. Diese obliegt infolge des staatlichen Gewalt- und Strafverfolgungsmonopols zuvorderst staatlichen Institutionen. Inwieweit daneben eine (zweckändernde) Datenverarbeitung durch Private oder eine Übermittlung an Private zu den in Nr. 1 genannten Zwecken erforderlich sein kann, hängt vom Einzelfall ab. Ausdrücklich ausgeschlossen werden diese Szenarien weder durch die DS-GVO noch durch das BDSG.
Ein Beispiel kann der Abgleich von Mitarbeiter- bzw. Kundendaten mit den Anti-Terrorlisten der EU sein, soweit hierin nicht bereits eine Rechtspflicht zur Datenverarbeitung i.S.v. Art. 6 Abs. 1 lit. c erblickt wird.
Die Vorschrift kann der Erfüllung von Auskunftsverlangen von Behörden dienen, sofern nicht eine spezialgesetzliche Auskunftspflicht gegenüber Behörden besteht. Ansonsten ist im Rahmen der Interessenabwägung zu beurteilen, ob der Arbeitgeber personenbezogene Daten herausgeben darf.[20]
Denkbar wäre des Weiteren z.B. eine Datenübermittlung an private Sicherheitsfirmen, die Rechtsgüter des Einzelnen schützen und darüber (auch) zur Abwehr von Gefahren für die öffentliche Sicherheit beitragen).
b) § 24 Abs. 1 Nr. 2 BDSG.
Eine zweckändernde Weiterverarbeitung ist ferner zulässig, wenn dies zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist. Ein zivilrechtlicher Anspruch ist gem. § 194 Abs. 1 BGB das Recht, von einem anderen ein Tun oder Unterlassen verlangen zu können. Ansprüche können sich aus Vertrag oder Gesetz ergeben. Im Zivilrecht gehören hierzu z.B. Herausgabe-, Duldungs-, Unterlassungs- oder Schadensersatzansprüche. Erfasst wird sowohl das gerichtliche als auch das außergerichtliche Vorgehen. Auszugehen ist auch hier davon, dass es sich sowohl um Ansprüche handeln kann, die der verantwortlichen Stelle gegenüber anderen zustehen, als auch um Informationen zur Klärung von gegen die verantwortliche Stelle gerichteten Ansprüche.[21]
Vertretbar ist es aber auch die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche im Beschäftigungsverhältnis bereits vom ursprünglichen Verarbeitungszweck als miterfasst anzusehen, weil dies als „notwendiger Annex zur Datenverarbeitung“ im Rahmen der Durchführung des Beschäftigungsverhältnisses anzusehen ist
c) Interessenabwägung.
Sowohl § 24 Abs. 1 Nr. 1 als auch Nr. 2 BDSG verlangen eine Abwägung mit den Interessen der betroffenen Person. Eine Weiterverarbeitung darf nur dann nicht stattfinden, wenn die Interessen des Beschäftigten die Interessen des Arbeitgebers an der Weiterverarbeitung überwiegen. Ob Fälle denkbar sind, in denen eine für die Abwehr einer Gefahr für die öffentliche Sicherheit erforderlicher Datenverarbeitung an überwiegenden Interessen einer einzelnen betroffenen Person scheitern könnte, erscheint fraglich. Dies gilt in jedem Falle, wenn die Gefahr von der betroffenen Person ausgeht. Auch im Rahmen der Abwägung mit Interessen nach Nr. 2 werden die Interessen der betroffenen Person am Unterbleiben der Weiterverarbeitung regelmäßig zurückzustehen haben. Bei gesetzlich begründeten Ansprüchen hat der nationale Gesetzgeber Im Rahmen der Gesetzgebung bereits eine Abwägung zugunsten des Anspruchsinhabers vorgenommen.
c) § 24 Abs. 2 BDSG.
Soweit durch nicht-öffentliche Stellen besondere Kategorien personenbezogener Daten weiterverarbeitet werden sollen, muss gem. § 24 Abs. 2 BDSG neben den Voraussetzungen des Absatzes 1 der Vorschrift zusätzlich ein für die Verarbeitung von dieser Datenkategorien vorgesehener Ausnahmetatbestand, d.h. entweder Art. 9 Abs. 2 DS-GVO oder § 22 BDSG vorliegen. Werden besondere Kategorien personenbezogener Daten auf dieser Grundlage weiterverarbeitet, bedarf es, genauso wie bei nicht-sensitiven Daten, keiner zusätzlichen Kompatibilitätsprüfung.[22] In diesem Zusammenhang ist zu berücksichtigen, dass bereits § 26 BDSG Abs. 3 BDSG auch Zweckänderungen besonderer Kategorien personenbezogener Daten legitimiert, wenn dies arbeits- und sozialrechtlich begründet ist. So ist eine Nutzung der krankheitsbedingten Fehlzeiten nicht nur aus Gründen der Gehaltsabrechnung zulässig, sondern auch zur Prüfung, ob ein Angebot für ein betriebliches Eingliederungsmanagement nach § 81 SGB Abs. 2 IX gemacht werden muss oder ob eine personenbedingte Kündigung nach dem KSchG gerechtfertigt ist.
V. Die Kompatibilitätsprüfung nach Art. 6 Abs. 4 DS-GVO
1. Allgemeines
Kann die zweckändernde Verarbeitung nicht auf die Einwilligung des Beschäftigten oder die aufgezeigten Erlaubnisnormendes BDSG gestützt werden, bedarf es der Feststellung der in Art. 6 Abs. 4 DS-GVO geforderten Kompatibilität. Sie ist unter Heranziehung der beispielhaft und nicht als zwingend genannten Kriterien des Abs. 4 lit. a bis e vorzunehmen.
Art. 6 DS-GVO: Rechtmäßigkeit der Verarbeitung (4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. |
Nach Einschätzung der Aufsichtsbehörden[23] erfolgen Verarbeitungen im Beschäftigtenkontext zwar überwiegend gemäß § 26 BDSG auf einer besonderen gesetzlichen Grundlage. Diese äußert sich zur Zulässigkeit der Zweckänderung jedoch nicht. In Bewertung der Kriterien des Art. 6 Abs. 4 DS-GVO als auch der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO kommt die DSK grundsätzlich zu dem Ergebnis, „dass auch für neue Verwendungszwecke noch ein innerer Zusammenhang zum Beschäftigtenverhältnis im weitesten Sinne bestehen muss. Eine Verwendung zu gänzlich anderen Zwecken (z. B. Verkauf von Beschäftigtendaten an Dritte zu Werbezwecken) wird demnach ausgeschlossen sein; ein solcher Zweck ist mit dem ursprünglichen unvereinbar, bzw. es überwiegen in solchen Konstellationen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen.“
Sind die weiteren Zwecke mit dem ursprünglichen Erhebungszweck vereinbar, bedarf es als Rechtsfolge des Kompatibilitätstests für die Zulässigkeit der Weiterverarbeitung gem. ErwGr. 50 keiner weiteren gesonderten Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO.[24]
Obgleich auch kompatible Zwecke „andere“ Zwecke sind, stützt sich die Zulässigkeit der Verarbeitung dann auf die Rechtsgrundlage der ursprünglichen Erhebung und Verarbeitung.[25]
Ob diese Regelung tatsächlich strenger als die bisherigen Zweckänderungserlaubnisse im BDSG ist,[26] bleibt abzuwarten. Jedenfalls ist sie weniger spezifisch und damit „schwer einschätzbar.[27]
Die Aufsichtsbehörden befürchten jedenfalls durch die Regelung eine weitgehende Preisgabe des Prinzips der Zweckbindung.[28]
Ob diese Kriterien des Art. 6 Abs. 4 DS-GVO auch z.B. personenbezogene Big Data-Analysen bzw. die Datennutzung zwecks Profiling zulassen, bedarf der Einzelfallprüfung,[29] wobei die Zulässigkeit maßgeblich von der Art der Big Data Anwendung abhängt. So unterscheiden sich die Zulässigkeitsvoraussetzungen im Falle von etwa Profiling, Scoring oder von Smart Devices (Smart Watch, Smart Cars etc.).[30]
Die Nutzung sämtlicher Daten und Datenspuren bis auf die Ebene der Protokolldateien eines Beschäftigten in einem BigData-System zur Mitarbeiterbewertung ist jedenfalls wegen des damit verbundenen lückenlosen Überwachungsdrucks unzulässig.[31] Auch die Bewertung der Kommunikation von Beschäftigten in sozialen Netzwerken zur Ermittlung der Arbeitszufriedenheit oder der Kündigungswahrscheinlichkeit mittels Big-Data-Systemen ist persönlichkeitsrechtlich nicht zulässig.
Gleiches gilt für den Ermittlung der sozialen Graphen der Beschäftigten in Auswertungen der betrieblichen elektronischen Kommunikationswege.[32] Netzwerkanalysen können informelle Strukturen sichtbar machen und ermöglichen, die Informationsbeziehungen der Beschäftigten zu beobachten und ihre soziale Stellung im Unternehmen zu analysieren. Ermittelbar ist, wer in der Belegschaft angesehen und einflussreich oder eher peripher ist und wo sich dienstlich/ private Gruppen und Clans gebildet haben.
Werden Telefonate zu Beweisführungszwecken (z.B. beim Onlinebanking oder der Notaufnahme im Krankenhaus) erhoben, sind ebenfalls keine Gründe aus Art. 6 Abs. 4 DSGVO ableitbar, die den zusätzlichen Verarbeitungszweck der Mitarbeiterprofilbildung mittels Sprachanalyseprogrammen rechtfertigen könnten.
2. Der sachliche Zusammenhang
Nach Art. 6 Abs. 4 lit. b DS.GVO kann der Zusammenhang, in dem die Daten erhoben wurden, insbesondere in Ansehung des Verhältnisses zwischen Beschäftigten und dem Arbeitgeber, für die Bestimmung der Kompatibilität heran gezogen werden, wobei Einigkeit besteht, dass der neue Zweck ein logischer nächster Schritt oder eine naheliegende Folge der ursprünglichen Zweckbestimmung darstellen muss.[33]
Gem. ErwGr. 50 ist explizit auch die vernünftige Erwartungshaltung der betroffenen Person in Bezug auf die weitere Verarbeitung zu berücksichtigen. Hat der Arbeitgeber z. B. bereits im Zeitpunkt der Erstinformation auf mögliche, aber noch nicht sicher darzustellende weitere, ggf. erst zukünftig vorgesehene Verarbeitungen hingewiesen – bei eindeutiger Festlegung liegt auch bei zukünftigen Verarbeitungen keine Weiter- sondern eine Erstverarbeitung vor – und stellen sich die weiteren Verarbeitungszwecke im Kontext der ursprünglichen Erhebung nicht als völlig sachfremd dar, spricht dies für die Möglichkeit der Weiterverarbeitung. In Aussicht genommene Big Data-Auswertungen oder Maßnahmen der Profilbildung sollten schon im Zeitpunkt der Datenerhebung als in der Planung angekündigt sein,[34] um ggf. als kompatibel angesehen werden zu können. Relevant ist auch, ob die Weiterverarbeitung aus der Perspektive eines objektiven Dritten generell als zu erwartende Maßnahme angesehen werden kann.
Ergibt sich z.B. der Verdacht einer Vertragsverletzung durch den Beschäftigten, so besteht hinsichtlich der Weitergabe von Daten an einen Detektiv zur Aufklärung des Sachverhalts oder an einen Rechtsanwalt zwecks Herbeiführung einer rechtlichen Klärung ein unmittelbarer Zusammenhang zwischen initialen und neuen Zwecken, wobei sich im erstgenannten Fall die wohl positiv zu beantwortende Frage stellt, ob die Krankenkontrolle nicht dem mitgeteilten Verwendungszweck der „Durchführung des Beschäftigungsverhältnisses“ und dem Unter-Zweck „ Kontrolle der Einhaltung der arbeitsvertraglichen Pflichten“ zuzuordnen ist, so dass keine zweckentfremdende Weiterverarbeitung vorliegt.
Beispiele unzulässiger Zweckänderung wären die Auswertung der Daten des Einkaufsverhaltens in der Kantine als Anlass zu nehmen, um die Beschäftigten personenbezogen aufzufordern, dort mehr einzukaufen oder gar die Essensgewohnheiten zwecks Gesundheitsförderung zu ändern; dagegen zulässig wäre eine Weiterverarbeitung, wenn die Kantinenabrechnungsdaten ausgewertet werden, um Qualität und Quantität der Speiseherstellung zu optimieren[35], sofern hierfür keine personenbezogene Auswertung notwendig wäre.
Eine regelmäßig ausdrücklich oder konkludent erklärte Zweckbindung besteht auch bei der Verarbeitung sog. Betriebsdaten durch elektronische Systeme. Zweckbestimmung ist die Organisation betrieblicher Abläufe und keine Leistungskontrolle der Beschäftigten.[36] Damit kommen auf einzelne Personen beziehbare Ergebnisse auch nach einer Kompatibilätsprüfung regelmäßig nicht in Betracht.
Daraus folgt auch, dass die Personalabteilung grundsätzlich keinen Zugriff auf die Betriebsdaten haben darf. Müsste dagegen zur Aufklärung eines Diebstahls festgestellt werden, welche Mitarbeiter sich zu dem fraglichen Zeitraum in dem fraglichen Bereich aufgehalten haben, würde die Be fugnisnorm des § 24 Abs. 1 Nr. 1 bzw. 2 BDSG den Zugriff rechtfertigen.
3. Die zu erwartenden Folgen
Die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person sind gem. Abs. 4 lit. d ein weiteres Abwägungskriterium. Kann die Weiterverarbeitung eine diskriminierende Folge haben, wird diese regelmäßig ausscheiden. Zu unterscheiden ist auch hinsichtlich der Art der Weiterverarbeitung: Anders als bei einer allein bilateralen Weitergabe für spezifische Zwecke unterliegt eine Veröffentlichung gesteigerten Anforderungen. Je negativer oder unsicherer die Auswirkungen auf die betroffene Person, desto unwahrscheinlicher stellt sich die Weiterverarbeitung als vereinbar dar. So ist bei Nutzung eines Dienstwagens die Weitergabe der Personalien des Fahrers bei einem Verstoß gegen die StVO eine durch sachlichen Zusammenhang zulässige Übermittlung. Die straßenverkehrsrechtlichen Folgen von Verwahrungen über Bußgelder bis Entzug der Fahrerlaubnis sind vom Fahrer als erwartbare Folge hinzunehmen.
4. Geeignete Garantien
Soweit geeignete Garantien zum Schutz der Rechte und Freiheiten der betroffenen Person implementiert sind, kann dies gem. Abs. 4 lit. e als Kompensation für die mit einer Weiterverarbeitung etwa einhergehenden Risiken verstanden werden. Erfasst sind technische und organisatorische Maßnahmen, wozu bspw. eine dem Stand der Technik entsprechende Verschlüsselung, aber auch das Vorhalten eines Widerspruchsrechts in Fällen, in denen das gesetzl. Widerspruchsrecht des Art. 21 keine Anwendung findet.
In Betracht kommen ferner Anonymisierung oder Pseudonymisierung. ErwGr. 29 weist darauf hin, dass die DS-GVO auch Pseudonymisierungsmaßnahmen bei demselben Verantwortlichen akzeptiert, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen trifft und zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden.
Diese Vorgabe gilt auch für die Weitergabe von Beschäftigtendaten im Rahmen einer sog. Due-Dilligence-Prüfung, die einen typischen Fall einer nach Abschluss des Arbeitsvertrages erforderlichen Weiterverarbeitung ist. In aller Regel dürfen die Daten der Beschäftigten an einen Übernahmeinteressenten nur anonymisiert, ggf. statistisch aufbereitet, weitergebenen werden. Dieses gebietet das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit c DS-GVO und der arbeitsrechtliche Vertraulichkeitsgrundsatz.[37] Eine per sonenbezogene Weitergabe wird jedoch nur ausnahmsweise zulässig sein, z.B. wenn die Kenntnis über den Beschäftigten für den Interessenten ein entscheidender wertbildender Faktor ist. In diesem Fall ist aber der Interessent gemäß Art. 14 DS-GVO verpflichtet, den betroffenen Beschäftigten über die Erhebung zu informieren. Ein Ausnahmetatbestand des Art. 14 Abs. 5 oder § 33 BDSG greift nicht.
Auch bei Migration der IT im Rahmen des Testmanagements fordert die DS-GVO für die die Nutzung von personenbezogenen Daten in Art. 6 Absatz 4 lit e das „Vorhandensein geeigneter Garantien“. Eine Nutzung von Echtdaten für Testzwecke, insbesondere im Projektbetrieb, ist danach nicht zulässig. Als Lösung für die Migration beim Testen von Software bietet die DS-GVO ausdrücklich die Pseudonymisierung an. Eine weitere Garantie könnte durch den Einsatz synthetischer Datensätze geschaffen werden.[38]
Bei der Migration von IT-Systemen zur Beschäftigtendatenverarbeitung werden regelmäßig auch besondere Daten, die aus arbeits- oder sozialrechtlichen Gründen verarbeitet werden, für Testzwecke genutzt. Für diese sieht weder Art. 9 DS-GVO noch § 24 Abs. 2 BDSG einen vergleichbaren Erlaubnistatbestand zur Weiterverarbeitung wie in Art. 6 Abs. 4 lit. e DS-GVO durch Schaffung geeigneter Garantien vor. Damit eine solche Migration überhaupt rechtlich zulässig ist, kann diese nur auf die Ausübung eines Rechtsanspruchs gemäß Art. 9 Abs. 2 lit. f DS-GVO gestützt werden. Dieser kann aus dem Sicherheitsziel der Verfügbarkeit der IT-Systeme nach Art. 32 Abs. 1 lit b DS-GVO abgeleitet werden, die im Fall der Testdatenverarbeitung nur mit personenbezogenen Daten möglich ist. Diese muss allerdings ihrerseits den Anforderungen des Datenschutzes durch Technikgestaltung des Art. 25 DS-GVO genügen.
VI. Nicht aufhebbare Zweckbindung
Die in §§ 14 Abs. 4, 31 BDSG a.F. normierte besondere Zweckbindung bei Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, findet in der DS-GVO keine Entsprechung und entfällt. Insoweit gilt also lediglich der allgemeine Zweckbindungsgrundsatz nach Art. 6 Abs. 1 lit. b, zugleich greifen aber vor allem auch die möglichen Ausnahmen nach Art. 6 Abs. 4 ein.[39]
Ebenfalls enthält die Verordnung kein der Regelung des § 6 Abs. 3 BDSG a.F. entsprechendes Zweckentfremdungsverbot von „Rechtewahrnehmungsdaten.“
Spezielle Zweckbindungen können auch im Betrieb zu Weiterverarbeitungsverboten führen. Das gilt z.B. für die beim Betriebsarzt erhobenen Befunddaten (vgl. den im Rahmen des Art. 90 DS-GVO fortgeltenden § 8 Abs. 1 S. 2 ASiG). Der Betriebsarzt hat die Patientendaten in einem separierten arbeitsmedizinischen Dateisystem zu verarbeiten.[40]
Auch § 4 Abs. 1 Nr. 3 BDSG, der die Videoüberwachung öffentlich zugänglicher Räume regelt, sieht eine strenge Zweckbindung vor. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist (§ 4 Abs. 3 S. 3 BDSG).
VII. Transparenz einer Weiterverarbeitung
Auch diese zweckändernde Weiterverarbeitung der Daten darf regelmäßig nicht hinter dem Rücken des Betroffenen stattfindenden. Es besteht eine Informationspflicht (vgl. Art. 13 Abs. 3, Art. 14 Abs. 4). Auch der „neue“ Zweck muss hinreichend konkret festgelegt sein. Durchführung und Ergebnis der Prüfung der Kompatibilität der Zweckänderung sollten schon in Ansehung des aus Art. 5 Abs. 2 DS-GVO herrührenden Verantwortlichkeitsprinzips zu Nachweiszwecken dokumentiert werden und im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO nachgetragen werden.
Wie aufgezeigt, bestehen jedoch auch Ausnahmen. Die Information kann nach Art. 13 Abs. 3 DS-GVO entfallen, wenn der Beschäftigte bereits über die Information verfügt. Dabei ist zu berücksichtigen, dass die geänderte Zweckbestimmung der Datenverarbeitung eines Beschäftigten zugleich eine arbeitsrechtliche Dimension hat. Es entspricht bereits der arbeitgeberseitigen Fürsorgepflicht, die Beschäftigten über eine Änderung der Zweckbestimmung mit Blick auf die arbeitsrechtlichen Konsequenzen zu informieren. Sofern die Zweckänderung eine wesentliche Arbeitsbedingung betrifft, ist diese nach § 2 NachwG innerhalb eines Monats sogar schriftlich anzuzeigen. Über die weiteren Inhalte des § 13 Abs. 1 und 2 DS-GVO ist dann keine gesonderte Information notwendig, wenn die Beschäftigten hierüber generell – ggfs. über das Intranet – informiert worden sind.
Spezielle, auf das Beschäftigungsverhältnis zugeschnittene Ausnahmen von der Informationspflicht – auch im Fall der Weiterverarbeitung – sieht weder die DS-GVO noch § 33 BDSG vor, und sie werden in der Praxis eine sehr seltene Ausnahme bleiben.
VIII. Fazit
Die DS-GVO hat die Zweckbindung von personenbezogenen Daten in Art. 5 Abs. 2 zu einem wesentlichen Prinzip gemacht. Weiterverarbeitungen müssen entweder durch eine Spezialregelung der GVO oder eine nationale Erlaubnisnorm gedeckt sein. Ansonsten sind Weiterverarbeitungen nur nach einer Kompatibilitätsprüfung zulässig. Dies gilt auch für die Beschäftigtendatenverarbeitung. Neben der in der GVO geregelten Weiterverarbeitung für Forschungs- und statistische Zwecke kommt der Regelung des § 26 BDSG für die Weiterverarbeitung eine wesentliche Bedeutung zu. Neben der Aufklärung von Straftaten sind die regelmäßigen Prozesse des Beschäftigungsverhältnisses – auch soweit sie besondere Arten personenbezogener Daten betreffen – von dieser Norm abgedeckt. Seine Grenze findet die Zulässigkeit der Weiterverarbeitung nach § 26 BDSG und der Regelung der Kompatibilität gemäß Art. 6 Abs. 4 DS-GVO in dem durch das deutsche Arbeitsrecht ausgeprägten allgemeinen Persönlichkeitsrecht der Beschäftigten. Hier sind allenfalls noch pseudonymisierte Verarbeitungen zulässig. Damit ändert sich die Zulässigkeit der Weiterverarbeitung von Beschäftigtendaten auf Grund der ab dem 25.05.2018 Rechtlage nicht.
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
RA Andreas Jaspers Rechtsanwalt Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
[1] Zu seiner grundrechtlichen Vorgabe v. Grafenstein, DuD 2015, 789 ff; Eichendorfer, Vom Zweckbindungsgrundsatz zur Interessenabwägung?, PinG 2017, 135; Culik/Döpke, Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data Anwendungen, ZD 2017, 226.
[2] Schaar, DS-GVO: Geänderte Vorgaben für die Wissenschaft, ZD 2016, 224; Dammann, Erfolge und Defizite der Datenschutzgrundverordnung, ZD 2016, 307 (312).
[3] Lepperhoff, Informationspflichten gegenüber Bewerbern nach der DSGVO, RDV 2017, 21.
[4] Schwartmann/Schneider, in: HK-DS-GVO Art. Rn. 25 ff.
[5] Vgl. Däubler, Gläserne Belegschaften, Rn. 124 f.
[6] Insoweit großzügig: Frenzel, in: Paal/Pauly, DS-GVO Art. 13 Rn. 16; a.A. Bäcker in Kühling/Buchner, DS-GVO Art. 13 Rn. 25.
[7] In: Plath, DS-GVO Art 13 Rn. 11.
[8] Frenzel, in: Paal/Pauly, DS-GVO Art. 5 Rn. 27
[9] Däubler, Gläserne Belegschaften, Rn. 125.
[10] Vgl. Däubler, Gläserne Belegschaften, Rn. 401; bereits Hess VGH, Beschl. v. 09.11. 1988 – HPV TL 320/86 = RDV 1991, 193.
[11] Schulz, in: Gola (Hrsg.) DS-GVO Art. 6 Rn. 199; A.A. Herberlein, in: Ehmann/Selmayr, Art. 6, Rn. 45. Er spricht zwar von einer gesetzlichen Vermutung, verlangt aber gleichwohl die Durchführung des Kompatibilitätstests.
[12] Vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 119; a.A. wohl Frenzel, in: Paal/Pauly, DS-GVO Art. 5 Rn. 32.
[13] Däubler, Gläserne Belegschaften, Rn. 427.
[14] Pauly, in: Paal/Pauly, BDSG § 27 Rn. 5; Schantz, in: Schantz/Wolff, Rn. 1351.
[15] BT-Drs. 18/1.1325, 95.
[16] Zu den Bedenken hinsichtlich der der öffentlichen Stelle zugewiesenen doppelten Deutungshoheit: Frenzel, in: Paal/Pauly, BDSG § 23 Rn. 6.
[17] Gola/Schomerus, BDSG § 13 Rn. 20 m.w.N.
[18] Herbst, in: Kühling/Buchner, BDSG § 2, Rn. 13.
[19] So Piltz, BDSG, § 24 Rn. 7.
[20] Vgl. Schwartmann/Pieper, in: Heidelberger Kommentar, BDSG § 24 Rn. 218.
[21] Vgl. zum BDSG Gola/Schomerus, § 28, Rn. 78 m.w.N.
[22] Piltz, BDSG § 24 BDSG, Rn. 14.
[23] DSK Arbeitspapier 14 Beschäftigtendatenschutz
[24] Zu dem insoweit bestehenden Meinungsstreit in der Literatur ausführlich Schwartmann/Pieper, in: Heidelberger Kommentar, DS-GVO Art. 6 Rn. 169 ff; Gola-Schulz Art. 6 Rn. 185; Plath-Plath Art. 6 DSGVO, Rn. 32.
[25] Zust/Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841 (1844); kritisch Schulz, in: Gola, DS-GVO Art. 6 Rn. 192 f.
[26] Gierschmann, Was „bringt“ deutschen Unternehmen die DS-GVO? Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2015, 51 (54).
[27] Kühling/Martini, Die Datenschutz-Grundverordnung. Evolution oder Revolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, 448 (451); Däubler, Gläserne Belegschaften, Rn. 52a.
[28] Positionspapier der Konferenz der Datenschutzaufsichtsbehörden v. August 2015, DuD 2015, 722.
[29] Härting, Big Data und Profiling nach der DS-GVO, ITRB 2016, 209.
[30] Vgl. im Einzelnen bei Schwartmann/Pieper, in: HK-DS-GVO, Art. 6 Rn. 219 ff.
[31] Zur Unzulässigkeit jederzeitiger Überwachung Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz , Rn. 1200.
[32] Vgl. Holler/Wedde, Die vermessene Belegschaft – Mining the Enterprise Social Graph; Hans Böckler-Striftung, Mitbestimmungspraxis, Nr. 10 (2018).
[33] Buchner/Petri, in: Kühling/Buchner, DS-GVO Art. 6 Rn. 187; Schulz, in: Gola, DS-GVO Art. 6 Rn. 180.
[34] Schulz, in: Gola, DS-GVO Art. 6 Rn 195 f.
[35] Vgl. auch bei Däubler, Gläserne Belegschaften, Rn. 391 und 401.
[36] Däubler, Gläserne Belegschaften, Rn. 403
[37] Gola/Pötters/Wronka, Handbuch Arbeitnehmerdatenschutz, Rn. 177.
[38] Hierzu schon der AK Technik der DSK-Konferenz: http://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Projekt-Produktivbetrieb.pdf;jsessionid=F085E704EABFA1758F43D8523E52D0C6.1_cid329?__blob=publicationFile&v.
[39] Däubler, Gläserne Belegschaften, Rn. 424a kann hieraus keine Änderung der bestehenden Zweckbindung ableiten.
[40] Däubler, Gläserne Belegschaften, Rn. 397 m. w. N.