Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (54): Aspekte des Beschäftigtendatenschutzes im 30. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz : aus der RDV 4/2021, Seite 209 bis 212
(Berichtszeitraum: 1. Januar 2020 bis 31. Dezember 2020 vom 25. Mai 2021) Zusammengestellt und erläutert von Prof. Peter Gola*
In seinem jüngst erschienen Tätigkeitsbericht äußert sich der BayLfD u.a. zu datenschutzrechtlichen Fragen bei der Tätigkeit einer Personalvertretung und zu dem schon „klassischen“ Thema der Führung von Geburtstagslisten.
I. Personalrat
1. Mitbestimmung bei DSB-Bestellung
Noch nicht durchdringen konnte der LfD mit seinem Anliegen, den Beschäftigtendatenschutz mit einem Mitbestimmungsrecht des Personalrats bei der Benennung des behördlichen Datenschutzbeauftragten weiter zu stärken. Dieser wird in Bayern – im Gegensatz zu einen anderen Bundesländern – bislang allein durch den Verantwortlichen, regelmäßig die Leiterin oder den Leiter der Dienststelle, benannt. Hinzuweisen ist jedoch darauf, dass sich Beteiligungsrechte im Zusammenhang mit der der Bestellung zugrundeliegenden Personalmaßnahme (Einstellung, Versetzung) ergeben (vgl. Gola/Heckmann, BDSG§ 4 Rn. 11): Da der Datenschutzbeauftragte jedoch gerade auch für die Beschäftigten ein unabhängiger Ansprechpartner in datenschutzrechtlichen Fragen sein und vor allem bei datenschutzrechtlichen Konflikten mit dem Dienstherrn vermitteln soll, bietet sich nach Ansicht des BayLfD eine voll mitbestimmte Bestellung an; zumal eine Einbindung des Personalrats in das Verfahren der Benennung des behördlichen Datenschutzbeauftragten dessen Legitimation und das ihm von den betroffenen Beschäftigten entgegengebrachte Vertrauen maßgeblich steigern würde, indem der Eindruck vermindert würde, er stünde einseitig im Lager der Dienststellenleitung.
2. Auskunft an Beschäftigte aus Unterlagen des Personalrats
a) Rechtsgrundlagen
Unter Berufung auf die besondere Schweigepflicht für Mitglieder der Personalvertretung in Art. 10 Abs. 1 S. 1 des Bayerischen Personalvertretungsgesetzes, (BayPVG) soll Beschäftigten bayerischer öffentlicher Stellen zwar grundsätzlich kein Recht auf Einsicht in Personalratsunterlagen zustehen. Sie können allerdings ihr Auskunftsrecht gemäß Art. 15 DS-GVO auch im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten durch den Personalrat geltend machen. Es stellt sich dann die Frage, ob und gegebenenfalls in welchem Umfang die Schweigepflicht des Personalrats das Recht der Beschäftigten auf Auskunft einschränkt.
b) Anspruchsinhalt
Das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO umfasst zunächst die Bestätigung, ob überhaupt personenbezogene Daten der Auskunft suchenden Beschäftigten verarbeitet werden (Art. 15 Abs. 1 Halbsatz 1 DS-GVO). Ist dies der Fall, haben die Beschäftigten ein Recht auf Auskunft über diese Daten (Art. 15 Abs. 1 Halbsatz 2 Var. 1 DS-GVO) sowie über bestimmte „Metainformationen“, etwa zu den Verarbeitungszwecken (Art. 15 Abs. 1 Halbsatz 2 Var. 2 DS-GVO). Beschäftigte können zudem eine Kopie ihrer verarbeiteten Daten verlangen, Art. 15 Abs. 3 DS-GVO.
c) Anspruchsverpflichteter
Die Rechte nach Art. 15 DS-GVO richten sich gegen den Verantwortlichen, auch wenn der Personalrat nach der jeweils geltenden Rechtssituation nicht als eigenständiger Verantwortlicher im Sinn von Art. 4 Nr. 7 DS-GVO, sondern als Teil der jeweiligen bayerischen öffentlichen Stelle, bei welcher er gebildet ist, anzusehen ist. Der besonderen Stellung des Personalrats sei allerdings – insbesondere im Hinblick auf die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG – organisatorisch gleichwohl Rechnung zu tragen. Dies habe unter anderem zur Folge, dass der Personalrat Auskunftsersuchen Beschäftigter bezüglich seiner eigenen Datenverarbeitungen selbstständig zu bearbeiten hat.
d) Die Schweigepflicht des Personalrats als Anspruchshindernis?
Gemäß Art. 10 Abs. 2 Nr. 3 BayDSG unterbleibt die Auskunft unter anderem, soweit „personenbezogene Daten oder die Tatsache ihrer Speicherung […] wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssen“. Zur Interpretation der Vorschrift führt der LfD wie folgt aus: „Die Vorschrift schränkt die Rechte nach Art. 15 DS-GVO insgesamt ein, sowohl hinsichtlich des „eigentlichen“ Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO als auch hinsichtlich des Rechts auf Kopie nach Art. 15 Abs. 3 DS-GVO. Der bayerische Gesetzgeber hat mit dieser Regelung von der Beschränkungsmöglichkeit des Art. 23 DS-GVO Gebrauch gemacht. Bei Auskunftsbegehren im Hinblick auf (mögliche) Datenverarbeitungen des Personalrats findet das in Art. 10 Abs. 2 Nr. 3 BayDSG allgemein umschriebene Geheimhaltungsinteresse seine spezialgesetzliche Ausprägung in Art. 10 Abs. 1 Satz 1 BayPVG, der eine besondere Schweigepflicht für Mitglieder der Personalvertretung normiert. (Vgl. ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Das Recht auf Auskunft nach der DatenschutzGrundverordnung, Stand 12/2019, Rn. 90 ff., Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Recht auf Auskunft über die eigenen personenbezogenen Daten“. ) Deutlich zu kurz gegriffen wäre es allerdings, wenn der Personalrat Auskunftsersuchen Beschäftigter pauschal mit einem Verweis auf Art. 10 Abs. 1 Satz 1 BayPVG ablehnen könnte. Vielmehr ist zu differenzieren: Soweit eine Schweigepflicht allein dem Schutz der betroffenen Person dient, kann diese Pflicht dem Recht der betroffenen Person auf Auskunft und auf Erhalt einer Kopie nicht entgegengehalten werden. Denn dann würde sich eine Vorschrift, die der Stärkung der Rechtsposition der betroffenen Person dienen soll, ihren Auswirkungen nach ins Gegenteil verkehren.
Auskunftsbeschränkende Wirkung kann die Schweigepflicht daher nur entfalten, soweit sie (zumindest auch) die Interessen Dritter schützt. Dies ist im Hinblick auf die Zweckrichtung der jeweils einschlägigen Schweigepflicht im Einzelfall zu beurteilen. Die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG dient zum einen zwar dem Vertraulichkeitsinteresse der Beschäftigten, zum anderen aber auch dem Zweck, die Funktionsfähigkeit des Personalrats sowie die vertrauensvolle Zusammenarbeit mit der Dienststellenleitung (vgl. Art. 2 Abs. 1 BayPVG) zu gewährleisten.
Der Anspruch nach Art. 15 Abs. 1 DS-GVO ist somit auch im Beschäftigungsverhältnis kein „Alles-oder-Nichts“-Anspruch: Die Schweigepflicht steht ihm nur so weit entgegen, wie sie im konkreten Fall reicht. Es kommt auch eine Teilerfüllung dergestalt in Betracht, dass der Personalrat diejenigen Informationen bereitstellt, die nicht von dem Anspruchshindernis erfasst sind. Eine solche Teilerfüllung ist sowohl hinsichtlich der vom Personalrat verarbeiteten Daten der betroffenen Person als auch bezüglich der zu erteilenden Metainformationen nach Art. 15 Abs. 1 Halbsatz 2 Var. 2 DS-GVO denkbar. Bei der Prüfung, ob und gegebenenfalls in welchem Umfang die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO beschränkt, sollte der Personalrat insbesondere Folgendes beachten: Im Hinblick auf die eigenen personenbezogenen Daten der betroffenen Person wird die Schweigepflicht des Personalrats den Anspruch nach Art. 15 Abs. 1 DS-GVO nur in Fällen einschränken können, in denen diese Pflicht zugunsten des Personalrats selbst oder zugunsten Dritter, insbesondere der Dienststellenleitung, besteht. In Betracht hierfür kommen etwa Konstellationen, in denen die Dienststellenleitung dem Personalrat bestimmte personenbezogene Daten einer beschäftigten Person im Rahmen einer beabsichtigten Personalmaßnahme (etwa einer vorgesehenen Versetzung) „vorab“ zur Verfügung stellt, die beschäftigte Person von der geplanten Maßnahme jedoch noch keine Kenntnis hat. Hier soll die Schweigepflicht nicht allein das Vertraulichkeitsinteresse der betroffenen Person schützen, sondern auch die vertrauensvolle Zusammenarbeit mit der Dienststelle gewährleisten. Die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG bezieht sich insbesondere auch auf die Meinungsäußerungen und das Abstimmungsverhalten der Personalratsmitglieder in den Sitzungen. Diese werden in aller Regel keine personenbezogenen Daten der betroffenen Person, deren Angelegenheit Gegenstand der Beratung ist, darstellen und sind insoweit von Rechten nach Art. 15 DS-GVO (einschließlich des Rechts auf Kopie) ohnehin nicht erfasst. Sofern der betroffenen Person bezüglich ihrer personenbezogenen Daten Auskunft in Form von (Teil-)Ablichtungen von Personalratsdokumenten erteilt werden kann, ist dementsprechend in besonderem Maße darauf zu achten, dass Dokumententeile, die Rückschlüsse auf Meinungsäußerungen und das Abstimmungsverhalten einzelner Personalratsmitglieder enthalten, zuvor – etwa durch Schwärzung – unkenntlich gemacht werden.
Auch hinsichtlich der in Art. 15 Abs. 1 Halbsatz 2 Var. 2 DS-GVO aufgelisteten Metainformationen ist jeweils gesondert zu prüfen, ob die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG ein Anspruchshindernis darstellt. In Betracht kommt dies insbesondere hinsichtlich der Informationen über die Herkunft der Daten nach Art. 15 Abs. 1 Buchst. g DS-GVO, so in dem Fall, dass der Personalrat personenbezogene Daten anlässlich einer Beschwerde eines anderen Beschäftigten verarbeitet.
e) Ergänzende Hinweise auf Anspruchseinschränkungen
Neben der Schweigepflicht des Personalrats können im Einzelfall auch andere Anspruchshindernisse – insbesondere nach Art. 10 Abs. 2 Nr. 1 und 2 sowie Nr. 3 Var. 1 BayDSG – in Betracht kommen. Bezüglich des Rechts auf Kopie nach Art. 15 Abs. 3 DS-GVO sieht Art. 15 Abs. 4 DS-GVO ferner ein spezifisches Anspruchshindernis vor. Diesem dürfte angesichts der Schweigepflicht der Personalratsmitglieder allerdings keine weitergehende Bedeutung zukommen: Denn soweit das Recht auf Kopie der eigenen personenbezogenen Daten ausnahmsweise die Rechte und Freiheiten anderer Personen beeinträchtigen würde (vgl. Art. 15 Abs. 4 DS-GVO), wird bereits die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG dem Auskunftsanspruch entgegenstehen. Sowohl Dienststelle als auch Personalrat haben durch organisatorische Vorkehrungen sicherzustellen, dass Auskunftsersuchen, welche (auch) die Verarbeitung personenbezogener Daten durch den Personalrat betreffen, ordnungsgemäß und insbesondere innerhalb der Frist(en) des Art. 12 Abs. 3 DS-GVO bearbeitet werden. Dabei kann auch der Personalrat den behördlichen Datenschutzbeauftragten – möglichst ohne die Nutzung personenbezogener Beschäftigtendaten – zu Rate ziehen (vgl. Art. 39 Abs. 1 Buchst. a DS-GVO (vgl. dazu im Internet: https://www.datenschutzbayern.de, Ru brik „Datenschutzreform 2018 – Orientierungs- und Praxishilfen – Recht auf Auskunft über die eigenen personenbezogenen Daten“, S. 132).
f) Fazit
Zwar ist der Personalrat nicht selbst Verantwortlicher im datenschutzrechtlichen Sinn. Aufgrund seiner besonderen Stellung hat er allerdings Ersuchen nach Art. 15 DS-GVO – soweit diese Datenverarbeitungen des Personalrats betreffen – eigenständig zu bearbeiten. Dabei kann er ein solches Ersuchen nicht pauschal mit einem Hinweis auf eine bestehende Schweigepflicht zurückweisen. Vielmehr hat er im Hinblick auf das jeweilige, konkrete Ersuchen – gegebenenfalls mit Unterstützung durch den behördlichen Datenschutzbeauftragten – sorgfältig zu prüfen, ob und gegebenenfalls in welchem Umfang die Schweigepflicht nach Art. 10 Abs. 1 Satz 1 BayPVG Rechte der betroffenen Person nach Art. 15 DS-GVO einschränkt.“
3. Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen
a) Allgemeines
Der BayLfD greift wohl aus gegebenem Anlass das schon „historische“ Thema innerbetrieblicher/-behördlicher Geburtstagslisten erneut auf (vgl. hierzu Gola, Handbuch Beschäftigtndatenschutz, Rn. XX): Hierzu führt er aus: „Geburtstage von Beschäftigten geben in vielen bayerischen öffentlichen Stellen immer wieder Anlass zu einer Gratulation, zum Mitbringen eines Geburtstagskuchens oder zur Entgegennahme eines angemessen großen Stücks davon. Geburtstage werden wahrgenommen – von Kolleginnen und Kollegen, Vorgesetzten, Mitarbeiterinnen und Mitarbeitern. Sie sind Gegenstand sozialer Erwartungen. Oftmals entstehen in den Dienststellen Geburtstagslisten, die von allen Beschäftigten in einer Organisationseinheit eingesehen werden können und so für das als notwendig empfundene Maß an Transparenz sorgen. Solche Geburtstaglisten enthalten für jede eingetragene Person außer dem Namen zumindest das Datum, häufig auch das Jahr des Geburtstags. Aus datenschutzrechtlicher Sicht ist insofern zu bemerken:
b) Verantwortlichkeit
Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Eine Beschäftigten-Geburtstagsliste wird entweder auf dienstliche Veranlassung oder in „Eigenregie“ durch die Mitarbeiterinnen und Mitarbeiter geführt. Die Verantwortlichkeit einer bayerischen öffentlichen Stelle für eine dort vorgehaltene Beschäftigten-Geburtstagsliste ist jedenfalls begründet, wenn
– Vorgesetzte die Liste führen oder dies veranlassen,
– Vorgesetzte auf eine Eintragung in der Liste hinwirken oder sonst Eintragungsanreize schaffenoder
– die Liste von der Personalstelle mit den nötigen Daten beschickt wird. Die nachfolgenden Hinweise betreffen Beschäftigten-Geburtstagslisten, die von einer bayerischen öffentlichen Stelle als Verantwortlichem geführt werden.
c) Beschäftigten-Geburtstagsliste und Personaldatenschutz
Die Führung einer Beschäftigten-Geburtstagsliste, die Beschäftigten außerhalb der personalverwaltenden Stelle zugänglich ist, findet keine Rechtfertigung in Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG). Diese Vorschrift fungiert als grundlegende Verarbeitungsbefugnis für den Bereich der Personalstellen; sie ist Rechtsgrundlage im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DS-GVO und gilt nicht nur für die Beamtinnen und Beamten, sondern gemäß Art. 145 Abs. 2 BayBG grundsätzlich auch entsprechend für Tarifbeschäftigte bei bayerischen staatlichen Behörden und staatsmittelbaren Rechtsträgern. Nach Art. 103 Satz 1 Nr. 1 BayBG darf der Dienstherr Personaldaten verarbeiten, soweit dies zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist. Die Führung von Beschäftigten-Geburtstagslisten, die innerhalb einer „behördeninternen Öffentlichkeit“ eingesehen werden können, ermöglicht die Gratulation in der jeweiligen Organisationseinheit und gegebenenfalls ein anlassbezogenes Gemeinschaftserlebnis. Bei alldem handelt es sich um Akte der kollegialen Beziehungspflege, nicht aber um vom Dienstherrn zu veranlassende organisatorische, personelle oder soziale Maßnahmen.
d) Einwilligung als Rechtsgrundlage
Vor diesem Hintergrund kommt als Rechtsgrundlage für Verarbeitungen im Zusammenhang mit Beschäftigten-Geburtstagslisten nur die Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a DS-GVO) in Betracht. Unter dem Aspekt der Datenminimierung (Art. 5 Abs. 1 Buchst. c DS-GVO) sollte die „Neuaufnahme“ in eine Liste grundsätzlich auf Tag und Monat beschränkt, auf die – von nicht wenigen Menschen als sensibler empfundene – Angabe des Geburtsjahres hingegen verzichtet werden. Die Einwilligung ist wirksam, wenn sie die Anforderungen erfüllt, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DS-GVO vorsehen. Eine Einwilligung muss danach insbesondere freiwillig (Art. 4 Nr. 11 DS-GVO), informiert (Art. 4 Nr. 11 DS-GVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DS-GVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DS-GVO) sowie unmissverständlich (Art. 4 Nr. 11 DS-GVO) sein. Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2 DS-GVO). Die öffentliche Stelle muss die Einwilligung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) nachweisen können (Art. 7 Abs. 1 DS-GVO).
e) Verzeichnis der Verarbeitungstätigkeiten
Eine Verarbeitungstätigkeit mit dem Zweck „Führen von Beschäftigten-Geburtstagslisten“ gehört auch in das Verzeichnis der Verarbeitungstätigkeiten. Rechtsgrundlage für diese Verarbeitungstätigkeit ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DS-GVO. Betroffene Personen sind die Beschäftigten, die ihre Geburtsdaten in die Liste einpflegen oder einpflegen lassen. Zu den Kategorien personenbezogener Daten zählen regelmäßig der Name und der Vorname sowie das Geburtsdatum. Kategorien (dritter) Empfänger können bei einer internen Liste außer Betracht bleiben. Die Löschfrist ist an die Zugehörigkeit der betroffenen Person zu der Organisationseinheit gekoppelt, für welche die BeschäftigtenGeburtstagsliste geführt wird. Ein Eintrag ist zu löschen, wenn die betroffene Person diese Funktionseinheit – auch durch Umsetzung innerhalb einer Behörde – verlässt oder die Einwilligung widerruft. Der Verzeichniseintrag sollte so gefasst werden, dass er alle bei der öffentlichen Stelle geführten Beschäftigten-Geburtstagslisten abdeckt.
f) Informationspflichten
Die in einer Beschäftigten-Geburtstagsliste typischerweise enthaltenen Daten befinden sich regelmäßig bereits in der Sphäre des Verantwortlichen, weil sie zum Grundbestand an Beschäftigtendaten gehören. Die Nutzung von Name und Geburtsdatum im Rahmen einer Beschäftigten-Geburtstagsliste lässt sich als eine Weiterverwendung deuten, welche die Informationspflicht nach Art. 13 Abs. 3 DS-GVO auslöst. Im Regelfall werden die erforderlichen Informationen bereits durch die zu Beginn eines Beschäftigungsverhältnisses angezeigten Datenschutzhinweise erteilt sein, die eingeführte Beschäftigten-Geburtstagslisten möglichst berücksichtigen sollten. Vor der Einwilligung sollte der betroffenen Person der zusätzliche Verarbeitungszweck deutlich gemacht werden; unmissverständlich ist auf das Widerrufsrecht hinzuweisen (Art. 13 Abs. 2 Buchst. c, Art. 7 Abs. 3 Satz 3 DS-GVO). Ist dies gewährleistet, kann meist ein Kenntnisstand angenommen werden, der eine gesonderte Information entbehrlich macht (vgl. Art. 13 Abs. 4 DS-GVO).
g) Fazit
Die Führung von Beschäftigten-Geburtstagslisten durch bayerische öffentliche Stellen ist auch in der Welt der Datenschutz-Grundverordnung kein unlösbares Problem. Stets sollte aber insbesondere darauf geachtet werden, dass – eine Verantwortlichkeit der öffentlichen Stelle organisatorisch klar geregelt ist,
– der Verarbeitung wirksame Einwilligungen zugrunde liegen,
– das Verzeichnis der Verarbeitungstätigkeiten eine entsprechende Position enthält sowie
– am Beginn eines Dienst- oder Arbeitsverhältnisses gegebene Datenschutzhinweise auch Informationspflichten hinsichtlich Beschäftigten-Geburtstagslisten mit abdecken.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.