Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (60): Feststellungen zu betrieblichen/behördlichen Datenschutzbeauftragten und Bußgeld bei Beschäftigtendatenoffenlegung : aus der RDV 3/2022 Seite 148-149
I. BfDI: Tätigkeitsbericht 2021 (30. TB) für den Datenschutz und die Informationsfreiheit; Ziff. 8.3
Mängel bei Datenschutzbeauftragte in Jobcentern
In dem TB für das Jahr 2021, Ziff. 8.2 (30. TB, vorgelegt im April 2022) stellt der BfDI diverse Mängel bei der Bestellung von Datenschutzbeauftragten in von der Bundesagentur für Arbeit betriebenen Job-Centern fest. (Vgl. auch den Prüfbericht der LfDI NRW bei kommunalen Job-Centern (§ 6d SGB II) in RDV 5/2020, 256):
„Nach Art. 37 Abs. 1 DS-GVO sind Jobcenter als öffentliche Stellen dazu verpflichtet, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen. Die oder der Datenschutzbeauftragte hat eine entscheidende Position innerhalb der Behörde, um die Einhaltung datenschutzrechtlicher Vorschriften zu gewährleisten.
Ziel der Überprüfung war die Organisation der Jobcenter hinsichtlich der Stellung und Aufgabenerfüllung der Datenschutzbeauftragten. Von besonderem Interesse war dabei, in welchem Umfang die Datenschutzbeauftragten zur ordnungsgemäßen Aufgabenerfüllung freigestellt sind, ob sie weisungsunabhängig handeln können, ob Interessenkonflikte bestehen und wie die Zusammenarbeit sowie Unterstützung durch die Dienststelle erfolgt bestellen.
Bezüglich ihrer Aufgabenerfüllung wurde u.a. erfragt, ob die Datenschutzbeauftragten strukturierte Prüfungen der verschiedenen Tätigkeitsbereiche durchführen oder in welcher Art und Weise die Kontrolltätigkeit anderweitig durchgeführt und der Beratungsauftrag wahrgenommen wird.“
Die Kontrolle ergab, dass in vielen Fällen Mängel bei der Bestellung und der Wahrnehmung der Aufgaben bestehen. So waren die Datenschutzbeauftragten nicht in ausreichendem Umfang von sonstigen Aufgaben freigestellt. In zwanzig Fällen wurde die Empfehlung ausgesprochen, die Freistellungsquote zu erhöhen. Bei einer Beschäftigtenanzahl von 500 sei für eine ordnungsgemäße Wahrnehmung der Aufgaben eine vollständige Freistellung geboten. Defizite bestanden auch im Bereich der Abwesenheitsvertretung, wobei nur bei einer über grundsätzliche datenschutzrechtliche Kenntnisse verfügenden Abwesenheitsvertretung die kontinuierliche Aufgabenerfüllung auch bei längerer Abwesenheit sichergestellt ist.
Weitere Beanstandungen gab es im Bereich der Kontrolltätigkeiten der Datenschutzbeauftragten. Diese sind verpflichtet, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen. Nur durch eine umfassende strukturierte Kontrolltätigkeit, die jeden Geschäftsbereich des Jobcenters in regelmäßigen Abständen umfasst, ist die Einhaltung eines hohen Datenschutzniveaus möglich. Nur mit Jahreskontrollplan und entsprechenden Kontrollberichten kann sichergestellt werden, dass auch tatsächlich regelmäßige Kontrollen jobcenterintern vorgenommen werden und die Ergebnisse der Kontrolle dem Verantwortlichen zugänglich sind. So können Beanstandungen zeitnah durch den Verantwortlichen abgestellt werden.
II. 30. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (2021), S. 73
Bußgeld wegen der Offenlegung der Krankheit eines Kundenberaters
Der HmbBfDI hat ein Bußgeld in Höhe von 10.110 EURO verhängt, weil eine überregional tätige Autohandelsgruppe den Kundenstamm seiner Niederlassung außerhalb Hamburgs darüber informiert hat, dass Gründe für die dortige Umstrukturierung der krankheitsbedingte Ausfall des bisherigen Verkaufsleiters sei. Der genaue Zeitpunkt des Beginns der Arbeitsunfähigkeit sowie die Mitteilung, dass die Situation noch auf unbestimmte Zeit anhalte, wurden an mehr als 3000 Stammkundinnen und -kunden übermittelt.
Diese ohne Rechtsgrundlage stattfindende Mitteilung von Gesundheitsdaten führte zu einem besonders intensiven Eingriff in die Betroffenenrechte und hat das zum Zeitpunkt der Mitteilung bestehende Arbeitsverhältnis erheblich belastet. Der HamLfDI gibt so dann Hinweise, wie in einem entsprechenden Fall die Kundschaft datenschutzkonform informiert werden kann.
Wenn es darum geht, neue Mitarbeiter mit intensivem Kundenkontakt anzukündigen, dürfen bisheriger und neuer Ansprechpartner gegenüber Kundinnen und Kunden in der Regel benannt werden. Bei vorübergehender Vakanz sollten die Gründe der Abwesenheit grundsätzlich nicht nach außen kommuniziert werden, noch viel weniger, wenn dabei besonders sensible Daten betroffen sind. Sofern keine Einwilligung des bisherigen Mitarbeiters vorliegt, besteht für die Übermittlung des Gesundheitszustandes, der den Kern der Privatsphäre betrifft, wegen des verschärften Erforderlichkeitsmaßstabes im Beschäftigtendatenschutz – mit Ausnahme von gesetzlich geregelten Ausnahmefällen – keine Rechtfertigung.
Kundinnen und Kunden können auch ohne Mitteilung krankheitsbedingter Abwesenheit ausreichend informiert werden. Für eine Bindung zum neuen Ansprechpartner im Unternehmen ist die Nennung dieser Gründe ebenfalls nicht erforderlich.
III. LfDI-Rh-Pf: 29. Tätigkeitsbericht 2020 (Ziff. 10.2)
Planbarkeit der Arbeitszeit eines Teilzeit-Datenschutzbeauftragten
In dem am 5.5.2022 vorgelegten 29. Tätigkeitsbericht stellt der Landesbeauftragte als Ergebnis örtlicher Kontrollbesuche fest, dass es für die nachhaltige Implementierung eines Datenschutz-Managements nicht ausreicht, dem Datenschutzbeauftragen ein festes Zeitkontingent (27. Tätigkeitsbericht 2018, III.-11.) zur Verfügung zu stellen und dies im Stellenplan zu dokumentieren. So ergebe sich für Datenschutzbeauftragte, die nicht mit 100% eines Vollzeit-Äquivalents ausgestattet sind, das Problem, dass der Arbeitsanfall im außerdem wahrzunehmenden Aufgabenbereich gleichbleibend planbar und dauerhaft kalkulierbar sein muss, weil ansonsten z.B. bei der Mitarbeit in Projekten, der Haushaltsaufstellung, o.ä. die Gefahr besteht, dass sich der für die Arbeit des Datenschutzbeauftragten vorgesehene Zeitanteil maßgeblich verringere.
Weiterhin war schon frühzeitig im Zusammenhang mit den Kontroll- und Beratungsbesuchen die noch offene Frage aufgetaucht, ob der LfDI als Aufsichtsbehörde überhaupt die Befugnis hätte, die Benennung eines Datenschutzbeauftragten, die Dokumentation des Datenschutz-Managements oder die Erstellung eines Verzeichnisses nach Art. 30 DSGVO anzuweisen.
Dies ist der DS-GVO nicht eindeutig zu entnehmen und noch zu klären.