DA+

Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (48): Ausgewählte Fragen der Beschäftigtendatenverarbeitung im 29. Tätigkeitsbericht des BayLfD : aus der RDV 4/2020, Seite 197 bis 201

Zusammengestellt und erläutert von Prof. Peter Gola*

Lesezeit 13 Min.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat am 25.05.2020 seinen das Jahr 2019 betreffenden Tätigkeitsbericht vorgelegt. Hieraus werden einige Ausführungen zum Beschäftigtendatenschutz aufgegriffen.

I. Informationspflicht gegenüber Bewerbern (Ziff. 9.1 des Berichts)

1. Datenerhebung löst Informationspflicht aus

Der LfD weist zunächst auf die unterschiedlich gestaltete Informationspflicht bei einer Bewerbung auf eine Stellenausschreibung und einer Initiativbewerbung hin. Eine Stellenausschreibung kann sowohl einen konkreten (Beamten-) Dienstposten oder (Tarifbeschäftigten-)Arbeitsplatz betreffen, aber auch nur allgemein zur Abgabe von Bewerbungen auffordern. Letzteres ist insbesondere dann der Fall, wenn ein „Bewerberpool“ für die Besetzung zukünftig neu zu schaffender oder frei werdender Stellen gebildet werden soll. Eine Initiativbewerbung erfolgt dagegen ohne Stellenausschreibung.

Art. 13 Abs. 1 DS-GVO löst im Falle der „Erhebung“ von Bewerberdaten eine Informationspflicht gegenüber dem Betroffenen aus. Unter Erhebung ist das gezielte Beschaffen von Daten zu verstehen. Der von der DS-GVO nicht näher definierte Begriff ist die erste, einer evtl. Speicherung vorausgehende Phase der in Art. 4 Nr. 2 DS-GVO definierten Verarbeitung von Daten. Erhält der Arbeitgeber/Dienstherr Bewerbungen auf eine Ausschreibung, so ist der Tabestand der Erhebung erfüllt.

Bei der Kenntnisnahme bzw. Speicherung einer Initiativbewerbung liegt eine Erhebung bereits dann vor, wenn sie nach Prüfung in ein Auswahlverfahren mit einbezogen wird. Nicht erforderlich ist, – anders als der BayLfD meint – noch eine ergänzende Datenerhebung z.B. mit Hilfe eines Bewerberfragebogens. Zudem sollte der Arbeitgeber aus Kundenfreundlichkeit und aus Datenschutzsicht den Eingang einer jeglichen Bewerbung (etwa im Rahmen einer Eingangsbestätigung) bestätigen.

2. Umfang der Information

Der Umfang an Informationen, die Bewerbern zur Verfügung zu stellen sind, richtet sich nach Art. 13 Abs. 1 und 2 DS-GVO. Eine Information kann (nur) dann unterbleiben, wenn und soweit ein Bewerber bereits über die jeweilige Information verfügt (Art. 13 Abs. 4 DS-GVO). Auch wenn Bewerber regelmäßig wissen, wer für die Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsverfahrens verantwortlich ist (die ausschreibende Stelle) und zu welchen Zwecken die Daten erhoben werden (Durchführung des Stellenbesetzungsverfahrens) werden ihnen jedenfalls nicht alle der in Art. 13 Abs. 1 und 2 DS-GVO aufgeführten Angaben umfassend bekannt sein.

3. Form der Information

Im Rahmen eines Bewerbungsverfahrens kann die Informationspflicht in unterschiedlicher Weise erfüllt werden und zwar können

  • die Informationen nach Art. 13 DS-GVO einem Bewerber direkt übermittelt (etwa in Gestalt eines Ausdrucks oder eines PDF-Dokuments)

oder

  • auf der Internetpräsenz des Verantwortlichen zum Abruf bereithalten werden.

Wird die Informationen nach Art. 13 DS-GVO zum Abruf bereit gehalten, kann jedenfalls beim Internet-Kontakt auf eine direkte Übermittlung an Bewerber verzichtet werden, wenn

  • die Bewerber ausdrücklich darauf hinwiesen werden, dass die Informationen nach Art. 13 DS-GVO abgerufen werden können,

und

  • die Informationen unter anderem in „leicht zugänglicher Form“ zur Verfügung steht (Art. 12 Abs. 1 Satz 1 DS-GVO).

Hieraus folgt nach dem BayLfD zweierlei: Die bereitgestellten Informationen sind entweder mittels eines Direktlinks oder durch einfach zu befolgende Navigationshinweise zugänglich zu machen, sodass sich die betroffenen Personen nicht erst umständlich zu diesen Informationen „durchklicken“ müssen. Da andererseits bei schriftlichen Bewerbungsverfahren nicht anzunehmen ist, dass alle Bewerber über einen Internetzugang verfügen, ist im Regelfall eine Alternative anzugeben, mittels derer die Informationen erhältlich sind. Hier bietet sich etwa ein Bezug über den Datenschutzbeauftragten, über die Personalabteilung oder über die in der Stellenausschreibung für Rückfragen angegebene Kontaktperson an.

Demgemäß lässt sich ein Hinweis auf im Internet zum Abruf vorgehaltener Informationen nach Art. 13 DS-GVO beispielhaft wie folgt formulieren: „Informationen zur Verarbeitung Ihrer Bewerbungsdaten durch [Bezeichnung der verantwortlichen Stelle] finden Sie unter [Angabe eines Direktlinks]. Alternativ können Sie sich auch an [Kontaktdaten eines Ansprechpartners] wenden.

4. Zeitpunkt der Information

Informationen nach Art. 13 DS-GVO sind „zum Zeitpunkt der „Erhebung“ mitzuteilen oder zur Verfügung zu stellen. Auch hier bieten sich nach den Ausführungen des BayLfD verschiedene Möglichkeiten:

  • Die verantwortliche Stelle kann ihrer Informationspflicht bereits in der Ausschreibung nachkommen. Da eine unmittelbare Aufnahme der vollständigen Informationen wenig praktikabel ist, sollten die Informationen nach Art. 13 DS-GVO in diesem Fall im Internet zum Abruf bereitgehalten werden. In die Ausschreibung ist ein entsprechender Hinweis aufzunehmen. (Zu den diesbezüglichen Anforderungen vgl. oben unter I.3).

Diese Vorgehensweise ist sowohl möglich, wenn die Stellenausschreibung ausschließlich in einem Printmedium veröffentlicht wird, als auch, wenn in einem Printmedium lediglich ein Hinweis auf die zu besetzende Stelle abgedruckt wird und im Weiteren auf die diesbezügliche vollständige Ausschreibung (etwa) auf der Homepage der verantwortlichen Stelle verwiesen wird. Aus datenschutzrechtlicher Sicht ist das vorzugswürdig, weil die Bewerber sich rechtzeitig auf die konkrete Datenverwendung einstellen können.

  • Kommt eine verantwortliche Stelle ihrer Informationspflicht nicht bereits im Rahmen der Stellenausschreibung nach, hat sie die Informationen bei Eingang der Bewerbung zur Verfügung zu stellen. Dies erfordert eine Kontaktaufnahme (die im Rahmen einer Eingangsbestätigung erfolgen kann). Im Rahmen dieser Kontaktaufnahme sind die Informationen nach Art. 13 DSGVO entweder unmittelbar beizufügen (etwa als Merkblatt bei analoger oder als PDF-Datei bei elektronischer Kommunikation); alternativ kann unter Angabe eines Links darauf hingewiesen werden, dass die Informationen nach Art. 13 DS-GVO im Internet zum Abruf bereit stehen (vgl. bereits vorstehend unter I.3).

II. Identifizierung bei der Geltendmachung von Betroffenenrechten

1. Auskunftsansprüche

Die abstrakt gehaltene Information nach Art. 13, 14 DS-GVO kann der Bewerber/Beschäftigte konkretisieren, indem er nun von den Auskunftsrechten nach Art. 15 DS-GVO Gebrauch macht. Auskunftsrechte stehen ihm ferner nach § 83 BetrVG bzw. dem Personalaktenrecht der Beamten zu.

Wird ein Auskunftsantrag gestellt, so kann es ggf. in der Praxis zweifelhaft sein, ob es sich bei dem Antragsteller auch um den Betroffenen handelt. Das gilt insbesondere bei einer telefonischen Kontaktaufnahme. Zur Lösung derartiger Probleme gibt der BayLfD (Abschnitt 9.9. des TB) nachstehend zusammengefasste Hinweise.

Die verantwortliche Stelle, also der (potentielle) Arbeitgeber/Dienstherr steht insoweit vor zwei Pflichten. Er muss einen Auskunftsersuchenden bei der Antragstellung unterstützen (vgl. Art. 12 Abs. 2 Satz 1 DS-GVO) und einem Antrag möglichst rasch und bürgerfreundlich entsprechen. Zugleich muss er aber sicherstellen, dass er personenbezogene Daten nicht an Unbefugte übermittelt. Zweifel an der Identität eines Antragstellers darf er daher weder vorschnell annehmen noch leichtfertig unterdrücken.

2. Wann bestehen „Zweifel an der Identität“ eines Auskunftsersuchenden

Regelmäßig gibt es keinen Grund für Zweifel an der Identität von Antragstellern (vgl. Art. 12 Abs. 6 DS-GVO), wenn die betreffende Person persönlich bekannt oder anhand der Kontaktdaten erkennbar ist. Gleichwohl können, z.B. bei der Verwendung unbekannter Kontaktdaten (bislang unbekannte E-Mail-Adresse, Fax-Nummer oder Postanschrift), Zweifel aufkommen, denen nachzugehen ist. Insbesondere wenn Auskunft über besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DS-GVO begehrt wird, muss die Identität der antragstellenden Person sicher sein und auch Maßnahmen getroffen werden, dass die Informationen nur die betroffene Person erreichen können.

Eine öffentlicher Verantwortlicher kann zur Verifizierung der vom Antragsteller angegebenen Daten auch die Meldedaten nutzen (§ 37 Abs. 1 in Verbindung mit § 34 Abs. 1 Bundesmeldegesetz (BMG) (Vgl. im Einzelnen BayLfD, 29. TB, Abschn. 9).

Der Verantwortliche muss insofern auch seiner Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) nachkommen, sodass eine Dokumentation der begründeten Zweifel angebracht ist. Die Zweifel an der Identität des Antragstellers sind einzelfallbezogen plausibel darzulegen.

Erwägungsgrund 64 Satz 1 DS-GVO beschränkt die Pflicht zur Beseitigung von Zweifeln an der Identität der Person des Antragstellers auf „vertretbare“ Maßnahmen. Die verantwortliche Stelle muss daher nicht „um jeden Preis“ die Identität des Antragstellers zu ermitteln suchen.

3. Welche Identitätsnachweise können bei begründeten Zweifeln von einer antragstellenden Person gefordert werden?

Können im Einzelfall bestehende Zweifel an der Identität des Antragstellers nicht mithilfe verfügbarer Informationen überwunden werden, kann bzw. muss von dem Antragsteller ein Identitätsnachweis verlangt werden. Im Interesse der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) sollten dem Antragsteller verschiedene Optionen zur Identifikation angeboten werden und dabei nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

4. Freie Wahl der Kommunikationsmittel

Art. 12 Abs. 1 Satz 3 und Abs. 3 Satz 4 DS-GVO weisen darauf hin, dass grundsätzlich die betroffene Person, d.h. der Auskunftssuchende die freie Wahl der Kommunikationsmittel hat. Der BayLfD nennt folgende Beispiele als Möglichkeiten, die angeboten werden können.

  • Haben die betroffene Person und der Verantwortliche bisher elektronisch unter Verwendung sicherer Authentifizierungsmittel kommuniziert, kann der Verantwortliche anregen, dass der Antragsteller seinen Antrag auf dem bislang üblichen Weg stellt.
  • Bei Verwendung einer bisher unbekannten E-Mail-Adresse kann auch vorgeschlagen werden, den Antrag über eine schon bekannte Adresse kurz zu bestätigen Der Verantwortliche kann aber nicht verlangen, dass der Betroffene zur Identifizierung Nutzer des OnlineDienstes wird.
  • In Betracht kommt auch die Abfrage von Informationen, die zum Zweck der Kommunikation zwischen der betroffenen Person und dem Verantwortlichen vereinbart wurden (zum Beispiel Kennwort, Personalnummer).
  • Je nach Bedeutung des Antrags kommt eine persönliche Vorsprache und die Vorlage eines Dienstausweises oder einer Ausweiskopie in Betracht.

5. Was geschieht, wenn der Identitätsnachweis scheitert?

Hat die öffentliche Stelle alle vertretbaren Mittel zur Identifikation erfolglos eingesetzt und auch der Antragsteller nicht zur Beseitigung der bestehenden Zweifel beigetragen, wird sie dem Antrag nicht entsprechen. Dieses Ergebnis steht mit der Pflicht der öffentlichen Stelle zu einem angemessenen Schutz der verarbeiteten Daten (Art. 5 Abs. 1 lit. f DS-GVO) in Einklang und spiegelt sich auch in Art. 12 Abs. 2 Satz 2 und Art. 11 Abs. 2 DS-GVO wider.

Der Verantwortliche muss glaubhaft machen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Diese Pflicht konkretisiert die Rechenschaftspflicht in Art. 5 Abs. 2 DS-GVO. Zweifel an der Identität des Antragstellers und seine unzureichende Mitwirkung an der Identifizierung sind zu dokumentieren und erforderlichenfalls gegenüber der Datenschutz-Aufsichtsbehörde nachzuweisen.

Ist der Antragsteller der Auffassung, die Weigerung sei nicht rechtmäßig, kann er sich an die Datenschutz-Aufsichtsbehörde wenden (vgl. Art. 77 Abs. 1 DS-GVO). Hierauf ist er hinzuweisen (vgl. Art. 12 Abs. 4 DS-GVO).

6. Dürfen erhobene Identitätsnachweise gespeichert werden?

Art. 12 Abs. 6 DS-GVO gestattet dem Verantwortlichen, die zur Identifizierung erforderlichen Daten zu erheben und für diesen Zweck zu verarbeiten. Die dauerhafte Speicherung der Identifizierungsdaten für künftige Identitätsprüfungen sieht Art. 12 Abs. 6 DS-GVO nicht vor (vgl. Erwägungsgrund 64 Satz 2 DS-GVO), so dass diese nach der Zweckerreichung entsprechend dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DS-GVO) zu löschen sind. Gespeichert werden dürfen die Daten jedoch so lange, wie Haftungsansprüche aus doch ausnahmsweise fehlerhafter Bekanntgabe drohen können.

III. Der Personalrat als Verantwortlicher? – Die bayerische Regelung (vgl. BayLfD, 29 TB, 2019, Abschn. 9.3)

1. Personalrat auch nach neuer Rechtslage kein datenschutzrechtlich Verantwortlicher

Der BayLfD räumt ein, dass mit Geltung der DatenschutzGrundverordnung die Diskussion um die datenschutzrechtliche Verantwortlichkeit des Personalrats wieder aufgelebt ist. Er meint aber weiterhin in Art. 4 Nr. 7 DS-GVO einen Gestaltungsspielraum für den mitgliedstaatliche Gesetzgeber zu erkennen, nach dem dieser einen Verantwortlichen selbst gesetzlich bestimmen kann. Dem bayerischen Gesetzgeber sei es daher zwar unbenommen geblieben, den Personalrat auf Grundlage von Art. 4 Nr. 7 Halbsatz 2 DS-GVO als datenschutzrechtlich Verantwortlichen zu bestimmen, wie dies in anderen Landespersonalvertretungsgesetzen vereinzelt geschah. Eine solche Regelung habe der bayerische Gesetzgeber jedoch nicht getroffen. Demgemäß bleibt der BayLfD dabei, dass Personalräte in Bayern – wie bislang – als Teil der jeweiligen öffentlichen Stelle anzusehen sind. Diese ist somit auch für Datenverarbeitungen des Personalrats Verantwortlicher im Sinn der Datenschutz-Grundverordnung. Das Bayerische Datenschutzgesetzes regele dies insbesondere mit Art. 3 Abs. 2 BayDSG. Verantwortlicher für die Verarbeitung personenbezogener Daten ist demnach grundsätzlich die für die Verarbeitung zuständige öffentliche Stelle. Der Begriff der „öffentlichen Stelle“ wird insbesondere in Art. 1 Abs. 1, 2 und 4 BayDSG bestimmt – der Personalrat falle jedoch nicht darunter. Die Behörde oder sonstige öffentliche Stelle werde einheitlich als Verantwortlicher betrachtet, ohne dass eine weitergehende Untergliederung (etwa in einzelne Ämter oder Abteilungen) erfolge.

Doch auch wenn man allein Art. 4 Nr. 7 Halbsatz 1 DSGVO in den Blick nehme, sei der Personalrat nach Sicht des BayLfD nicht als Verantwortlicher anzusehen. Zwar ist der Begriff des Verantwortlichen grundsätzlich weit zu verstehen und mit dem Zusatz „oder andere Stelle“ in Art. 4 Nr. 7 Halbsatz 1 DS-GVO auch bewusst offen gehalten. Allerdings stehe die „andere Stelle“ in einer alternativen Aufzählung unter anderem mit einer juristischen Person, einer Behörde oder einer Einrichtung. Da die DatenschutzGrundverordnung die Begriffe „Behörde“ und „öffentliche Stelle“ zwar wiederholt gebrauche, aber selbst nicht definiere, erkennt sie die Organisationshoheit des einzelnen Mitgliedstaates hinsichtlich Aufbau und Struktur seiner Verwaltung an.

Es bleibt nach dem BayLfD daher bei dem Grundsatz, dass eine bayerische Behörde oder sonstige öffentliche Stelle einheitlich als Verantwortlicher anzusehen ist – auch für die Verarbeitungen personenbezogener Daten durch ihren Personalrat.

2. Die Überwachungsfunktion gegenüber dem Personalrat

a) Der Grundsatz

Daraus folgt sodann, dass dem behördliche Datenschutzbeauftragten die Beratungs- und Überwachungsaufgaben (vgl. Art. 39 Abs. 1 lit. a und b DS-GVO) auch gegenüber dem Personalrat als Teil des Verantwortlichen obliegen und dass die noch zur alten Rechtslage ergangene Rechtsprechung des Bundesarbeitsgerichts, wonach im Bereich des Betriebsverfassungsgesetzes ein Kontrollrecht des betrieblichen Datenschutzbeauftragten gegenüber dem Betriebsrat nicht besteht, nicht mehr aufrecht erhalten werden kann.

b) Berücksichtigung der Sonderstellung des Personalrats

aa) Datenminimierung

Angesichts der Schweigepflicht des Personalrats empfiehlt der LfD jedoch, dass sowohl dieser als auch der behördliche Datenschutzbeauftragte darauf achten, dass letzterer seiner Überwachungs- und Beratungsaufgabe möglichst ohne die Nutzung personenbezogener Beschäftigtendaten nachkommt, etwa indem der Personalrat Fragestellungen in abstrakter Form – also ohne konkreten Einzelfallbezug – an den behördlichen Datenschutzbeauftragten richtet. Umgekehrt sollte der behördliche Datenschutzbeauftragte die Einhaltung technischer und organisatorischer Datenschutzanforderungen durch den Personalrat nach Möglichkeit ohne Kenntnisnahme personenbezogener Beschäftigtendaten überprüfen. Soweit der behördliche Datenschutzbeauftrage Kenntnis erlangt von Umständen, die der Schweigepflicht nach Art. 10 BayPVG unterliegen, hat er gegenüber der Dienststelle ebenfalls Stillschweigen zu bewahren (vgl. Art. 38 Abs. 5 DS-GVO in Verbindung mit Art. 12 Abs. 2 BayDSG).

bb) Organisationshoheit bei technisch-organisatorische Maßnahmen

Der Personalrat hat innerhalb seines Zuständigkeitsbereiches, d.h. der von ihm verantworteten Datenverarbeitungen eigenverantwortlich geeignete technische und organisatorische Maßnahmen im Sinn der Art. 24 und 32 DS-GVO umzusetzen. Soweit erforderlich, sollte er diesbezüglich die Beratung durch den behördlichen Datenschutzbeauftragten in Anspruch nehmen. Die Dienststelle hat den Personalrat insoweit mit den erforderlichen Sachmitteln auszustatten (Art. 44 BayPVG).

cc) Verzeichnis der Verarbeitungstätigkeiten

Da der Personalrat selbst nicht Verantwortlicher ist, bestehe für ihn keine Pflicht, ein eigenes Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO zu führen. Allerdings müsse das Verarbeitungsverzeichnis der jeweiligen öffentlichen Stelle auch die Verarbeitungstätigkeiten des Personalrats enthalten. Vor dem Hintergrund der Schweigepflicht nach Art. 10 BayPVG sei hierbei in besonderem Maße auf eine hinreichend abstrakte Beschreibung der jeweiligen Verarbeitungstätigkeit zu achten. So könnte der Zweck der Verarbeitung personenbezogener Daten durch den Personalrat etwa mit „Wahrnehmung der gesetzlich vorgesehenen Aufgaben der Personalvertretung“ umschrieben werden.

dd) Informationspflichten und Auskunftsrechte

Nach Ansicht des BayLfD obliegen dem Personalrat – und nicht dem Verantwortlichen – die Informationspflichten gegenüber den Beschäftigten über Verarbeitungen ihrer Daten bei der Mitarbeitervertretung (Art. 13, 14 DS-GVO). Diese bestehen jedoch (nur), soweit noch keine entsprechende Information der Beschäftigten durch die Dienststelle erfolgt ist. In diesem Zusammenhang biete es sich insbesondere an, dass die Dienststelle bei Neueinstellungen im Rahmen ihrer Informationspflicht nach Art. 13 DS-GVO auch darüber informiert, in welchem Umfang die erhobenen Daten durch den Personalrat verarbeitet werden. Eine gesonderte Information der neu eingestellten Beschäftigten unmittelbar durch den Personalrat selbst werde dann nur noch im Einzelfall erforderlich sein.

Verlangen Beschäftigte Auskunft nach Art. 15 DS-GVO, ist ggf. die Schweigepflicht des Personalrats nach Art. 10 BayPVG zu beachten, was eben dazu führt, dass er selbstständig das entsprechende Ersuchen bearbeitet.

ee) Regelungen zum Datenschutz im Zusammenhang mit der Personalratsarbeit

Der LfD empfiehlt, dass sich Personalrat und Dienststellenleitung hinsichtlich des Vorgehens bezüglich dieser und weiterer Themen (etwa bezüglich einer Datenschutzverletzung im Bereich des Personalrats) im Wege der vertrauensvollen Zusammenarbeit (Art. 2 Abs. 1 BayPVG) verständigen. Unabhängig hiervon sollte der Personalrat natürlich auch interne Regelungen zum Datenschutz treffen, etwa eine Aussonderungsroutine festlegen.

3. Fazit

Der BayLfD hält also daran fest, dass die besseren Argumente dafür sprechen, den Personalrat einer bayerischen öffentlichen Stelle nicht als eigenständigen Verantwortlichen im Sinn von Art. 4 Nr. 7 DS-GVO anzusehen. Bei der Umsetzung der datenschutzrechtlichen Pflichten des Verantwortlichen sei allerdings der besonderen Stellung des Personalrats hinreichend Rechnung zu tragen. Die Diskussion zu dieser Thematik ist noch im Fluss. Es ist zu erwarten, dass zu gegebener Zeit auch Rechtsprechung hierzu ergehen wird.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.