Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (53): Einzelfälle zum betrieblichen DSB aus dem 36. TB des LfDI Baden-Württemberg vom 08.02.2021 und zum Beschäftigtendatenschutz in dem 3. Bericht nach DS-GVO für 2020 der LfDI des Landes Bremen vom 26.03.2021 : aus der RDV 3/2021, Seite 148 bis 150
Zusammengestellt und erläutert von Prof. Peter Gola*
I. Fragen zu betrieblichen Datenschutzbeauftragten
In ihrem Bericht für das Jahr 2020 (3. Bericht nach der DSGVO v. 26.03.2021) nahm die LfDI des Landes Bremen zu einigen Fragen im Zusammenhang mit der Benennung und Aufgaben von Datenschutzbeauftragten (Ziff. 4 des Berichts) wie aufgezeigt Stellung.
1. Rechtsanwalt als Datenschutzbeauftragter
U.a. sah die LfDI es als unvereinbar an, wenn Unternehmen der Privatwirtschaft die Funktion des (externen) Datenschutzbeauftragten einem ihre Rechtsangelegenheiten vertretenden Rechtsanwalt übertragen. Zwar können Datenschutzbeauftragte nach Art. 38 Abs. 6 Datenschutzgrundverordnung (DSGVO) beim Verantwortlichen auch andere Aufgaben wahrnehmen. Das jeweilige Unternehmen hat hinsichtlich seiner personenbezogenen Datenverarbeitung aber sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, weil sie den Datenschutzbeauftragten etwa in eine Situation bringen, die die ordnungsgemäße und unabhängige Aufgabenerfüllung in Frage stellen kann. Bei der Beurteilung datenschutzrechtlicher Sachverhalte müssen die Beauftragten in ihren Positionen und Entscheidungen unabhängig und frei von Weisungen der Unternehmensleitungen sein. Zudem gehört es zu den Aufgaben der Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. d DS-GVO, mit der Datenschutzaufsichtsbehörde bei der Umsetzung und Einhaltung der Verordnung in ihren Unternehmen zusammenzuarbeiten und dort den Datenschutzbestimmungen gemeinsam Geltung zu verschaffen.
Datenschutzbeauftragte dürfen daher in Angelegenheiten der personenbezogenen Datenverarbeitung nicht anwaltlich für das von ihnen vertretene Unternehmen tätig werden, weil sie anderenfalls möglicherweise bei der Prüfung der rechtlichen Zulässigkeit einer Datenverarbeitung von ihnen selbst vorgenommene Beurteilungen überprüfen müssten. Auch könnte ihre anwaltliche Verpflichtung zur Vertretung der Interessen ihrer Mandantschaft mit der Zusammenarbeitsverpflichtung mit der Aufsichtsbehörde kollidieren.
2. Befristung der Benennung von Datenschutzbeauftragten
Die BremLfDI erreichten mehrere Anfragen zur zeitlich begrenzten Benennung von Datenschutzbeauftragten. In einem Fall wies ein Datenschutzbeauftragter einer öffentlichen Einrichtung in Bremerhaven darauf hin, dass sein Nachfolger zunächst nur für ein Jahr bestellt werden solle. Bei anderen Anfragen sollte die befristete Benennung immer nur um ein Jahr verlängert werden. Derart kurze Benennungszeiträume bewertete der LfDI in der Regel mit folgender Argumentation als unzulässig: „Die Datenschutzgrundverordnung (DS-GVO) sieht eine Befristung für die Benennung der oder des Datenschutzbeauftragten nicht vor. Eine kurze Amtszeit gefährdet die unabhängige Stellung der oder des Beauftragten, was zur Folge haben könnte, dass die Aufgaben nach Art. 39 DS-GVO nicht mehr effektiv erfüllt würden. Datenschutzbeauftragte stehen in einem besonderen Spannungsverhältnis, da sie den Verantwortlichen zwar einerseits auf Datenschutzrechtsverstöße aufmerksam machen und ihn zur Einhaltung der datenschutzrechtlichen Vorgaben anhalten sollen, andererseits aber im Hinblick auf den Fortbestand des der Benennung zugrundeliegenden Vertrags bei arbeitsrechtlichen oder dienstrechtlichen Bewertungen Anreizen unterliegen, Kontroversen mit den Verantwortlichen zu meiden. Eine Befristung kann dazu führen, dass das Verbot umgangen wird, Datenschutzbeauftragte wegen der Erfüllung ihrer Aufgaben abzuberufen.“ Fazit: Eine Befristung der Benennung darf daher nur ausnahmsweise und mit stichhaltiger und mit den Wertungen der Datenschutzgrundverordnung konformer Begründung erfolgen.
3. Kündigungsschutz des Datenschutzbeauftragten bei bremischen öffentlichen Stellen
Der Datenschutzbeauftragte einer bremischen Kammer beklagte sich, dass er anders als die Datenschutzbeauftragten nicht öffentlicher Stellen als Datenschutzbeauftragter einer bremischen öffentlichen Stelle „keinen Kündigungsschutz“ genieße. Dazu führt die LfDI u.a. aus: „Nach Art. 38 Abs. 3 Satz 2 Datenschutzgrundverordnung (DS-GVO) dürfen Datenschutzbeauftragte von der oder dem Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen werden. Für Datenschutzbeauftragte, die dem Bundesdatenschutzgesetz (BDSG) unterliegen, konkretisieren § 6 Abs. 4 BDSG (für Datenschutzbeauftragte öffentlicher Stellen des Bundes) und § 38 Abs. 2 BDSG (für Datenschutzbeauftragte nicht öffentlicher Stellen, deren Benennung verpflichtend ist) Art. 38 DS-GVO dahingehend, dass die Abberufung der oder des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 Bürgerlichen Gesetzbuches (BGB), also bei Vorliegen außerordentlicher Kündigungsgründe zulässig ist. Nach Auffassung des Bundesarbeitsgerichts hatte die gleichlautende Vorgängerregelung zur Folge, dass der Abberufungsschutz auf den Bestandsschutz des Beschäftigungsverhältnisses übertragen wurde. Zwar gilt diese Bundesregelung nicht für die dem Bremischen Ausführungsgesetz zur EU-Datenschutzgrundverordnung unterliegenden Stellen und damit auch nicht für Datenschutzbeauftragte der öffentlichen Stellen des Landes Bremen. Ein der Rechtsprechung zugrundeliegender Gedanke, dass der Bestand der Bestellung als Datenschutzbeauftragte oder Datenschutzbeauftragter mit dem Bestand des Beschäftigungsverhältnisses verknüpft werden muss, um gewährleisten zu können, dass Datenschutzbeauftragte von der oder dem Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen werden, kann jedoch bereits Art. 38 Abs. 3 DS-GVO entnommen werden. Insofern stellt § 6 Abs. 4 BDSG im Vergleich zur Regelung der DS-GVO keine Erweiterung, sondern lediglich eine Konkretisierung des Abberufungsschutzes dar. Es spricht jedoch nichts dagegen, bei einer Novellierung des Bremischen Ausführungsgesetzes zur EU-Datenschutzgrundverordnung klarstellend aus dem § 6 Abs. 4 BDSG entsprechende Regelung einzufügen…“
4. Haftung der Datenschutzbeauftragten
Wiederholt baten Datenschutzbeauftragte um Auskunft darüber, inwieweit sie im Sinn des § 823 Bürgerlichen Gesetzbuches (BGB) haften müssen, wenn sie falsch beraten und aufgrund dieser Beratung ein Datenschutzmangel oder Datenschutzverstoß bestehen bleibt oder entsteht, der zum Beispiel zur Verhängung eines Bußgeldes führt. Dazu nahm die BremLfDI wie folgt Stellung: „Nach § 823 BGB ist derjenige dem anderen zum Ersatz des daraus entstandenen Schadens verpflichtet, der vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt (deliktische Haftung). Die Haftung der oder des Datenschutzbeauftragten ist möglich, kommt aber nur selten vor, weil für die Haftung die Ursächlichkeit des Verhaltens der oder des Beauftragten maßgeblich ist. Der entstandene Schaden muss kausal unmittelbar darauf zurückzuführen sein, dass die oder der Datenschutzbeauftragte ihren beziehungsweise seinen Aufgaben nicht wie von ihr oder ihm verlangt und wahrnehmbar entsprochen hat. Auch hätte die oder der Beauftragte nachweislich eine Vermeidung des Datenschutzmangels oder Datenschutzverstoßes erreichen können müssen. Der Mangel oder der Verstoß hätte mit an Sicherheit grenzender Wahrscheinlichkeit ausgeblieben sein müssen. Bei vorsätzlicher oder grob fahrlässiger Falschberatung ist zudem eine Haftung auch gegenüber Dritten denkbar, wenn es erst diese Falschberatung ist, die den Verantwortlichen zu einem gesetzeswidrigen Verhalten veranlasste.“
II. Zwei Aspekte des Beschäftigtendatenschutzes
1. Künstliche Intelligenz im Personalwesen
a) Allgemeines
Formen von Künstlicher Intelligenz (KI) finden nach Feststellung des LfDI Baden-Württemberg (36. TB S. 105) zunehmend auch Einzug ins Personalwesen der Betriebe und werden unsere Arbeitswelt nachhaltig verändern. Entsprechend der „Nationalen Strategie Künstliche Intelligenz“ der Bundesregierung sollen der Einsatz von KI vorangebracht und insbesondere die Entwicklung dieser Zukunftstechnologie massive Unterstützung finden. Der Einsatz von KI im Bewerbungsverfahren und der Personalverwaltung sei (kollektiv-) arbeitsrechtlich noch nicht gesetzlich normiert, verlange eine enorme Verantwortung und sei mit viel Vorbereitungslast für Arbeitgeber verbunden.
b) Algorithmische Analyse von Bewerbungen
Dazu wird ausgeführt: „Üblicherweise werden die Motivations-/Begleitschreiben der Bewerbung oder im Rahmen einer Sprachanalyse z.B. die Sprache der Teilnehmer einer Videobewerbung automatisiert durch einen Algorithmus analysiert und bewertet. Ob und auf welcher datenschutzrechtlichen Grundlage sich der Einsatz von KI im Bewerbungskontext vollzieht, ist jedoch noch offen. Da es sich um automatisierte Verfahren handelt, welche personenbezogene Daten der Bewerber verarbeiten, kommt Art. 22 DS-GVO zum Zuge. Ferner bedarf es einer Rechtsgrundlage, wobei zunächst an die Einwilligung zu denken ist. Da sich die Betroffene aber sorgen müssen, bei Nichterteilung der Einwilligung keine Berücksichtigung zu finden, erscheint die Freiwilligkeit der Einwilligung mehr als fraglich.“
c) Unzulässige, bewerbungsfremde Auswertungen
Hierzu stellt der LfDI fest: „Die Potentiale und Möglichkeiten von KI können zudem Begehrlichkeiten wecken. Durch KI basierte Bewerberanalyse dürfen daher unter keinen Umständen überschießende Informationen, also für die Begründung des Beschäftigungsverhältnisses unerhebliche Daten zur Persönlichkeit der Bewerber/innen erhoben und analysiert werden. Die vom Bundestag eingesetzte EnqueteKommission „Künstliche Intelligenz“ sieht jedoch ausdrücklich einen künftigen Anwendungsbereich von KI im Bereich der „Personalverwaltung“ sowie der „Bewerberauswahl“ (vgl. Enquete-Kommission, Kommissionsdrucksache 19 (27) 127 v. 25.09.2020), sodass diesbezüglich eine gesetzliche Regelung wünschenswert ist. Weitere Informationen Hinweise zur KI-gestützten Bewerberanalyse https://www. baden-wuerttemberg.datenschutz.de/wp-content/ uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.de.“
2. Löschfristen im Betriebs- und Personalratsbüro
Hinsichtlich der Verarbeitungen durch Mitarbeitervertretungen hatte sich der LfDI-BW mit der datenschutzgerechten Implementierung von Aufbewahrungs- oder Löschfristen in ihren Gremien zu befassen, da auch zwei Jahre nach Inkrafttreten der DS-GVO Unsicherheiten zu Löschfristen keineswegs abgenommen haben. Das hat seine Ursache zunächst darin, dass im Betriebsverfassungsgesetz keine ausdrückliche Regelung dazu enthalten ist, wie lange etwa Betriebsräte ihnen überlassene Unterlagen und Dokumente aufbewahren müssen oder wann sie diese zu löschen haben. Das Personalvertretungsgesetz von Baden-Württemberg sieht in § 65 Abs. 2 für Personalräte lediglich vor, dass personenbezogene Daten gespeichert werden dürfen, „soweit und solange dies zur Erfüllung ihrer Aufgaben erforderlich ist. Nach Abschluss der Maßnahme, an der die Personalvertretung beteiligt war, sind die ihr in diesem Zusammenhang zur Verfügung gestellten personenbezogenen Daten zu löschen und Unterlagen mit personenbezogenen Daten der Dienststelle zurückzugeben“. Demnach gelten hinsichtlich der Aufbewahrung und Löschung von Beschäftigtendaten für die Mitarbeitendenvertretungen im Kern dieselben Voraussetzungen wie für die Arbeitgeber, die Beschäftigtendaten speichern dürfen, solange dies zur Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist. Besteht diese Erforderlichkeit nicht mehr, wandelt sich die Aufbewahrungspflicht in eine Löschpflicht. Für auf Papier und elektronisch erfasste Daten gelten dieselben Grundsätze. Damit kommt der LfDI zu folgenden Fazit: „Ausgangspunkt für die Aufbewahrung der personenbezogenen Daten durch die Mitarbeitervertretungen ist die Erforderlichkeit der Speicherung für einen konkreten und zuvor festgelegten kollektivarbeitsrechtlichen oder sozialrechtlichen Zweck im Rahmen ihrer Gremienarbeit“. Dass diese abstrakte Aussage für den konkreten Einzelfall wenig hilfreich ist, liegt auf der Hand. Sie lässt offen, ob nicht Ordnungsgemäßheit des Handelns nachweisende Dokumentationszwecke eine Speicherung zumindest bis zum Ende der Amtszeit der Mitarbeitervertretung rechtfertigen kann.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.