DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (32): Beschäftigtendatenschutz und Datenschutzkontrolle : aus der RDV 5/2017, Seite 240 bis 242

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Lesezeit 8 Min.

Mindestlohngesetz und Datenschutz

Das ULD Schleswig-Holstein befasst sich in seinem 36. TB, 2015/1016, Ziff. 5.2), mit Fragen zur Einhaltung datenschutzrechtlicher Vorschriften im Zusammenhang mit der Erfüllung der Vorgaben nach dem Mindestlohngesetz (MiLoG). Nach § 20 MiLoG sind Arbeitgeber mit Sitz im In oder Ausland verpflichtet, ihren im Inland beschäftigten Arbeitnehmerinnen und Arbeitnehmern ein Arbeitsentgelt mindestens in Höhe des Mindestlohns zu zahlen. Ordnungswidrig handelt derjenige Arbeitgeber, der Werk- oder Dienstleistungen in erheblichem Umfang ausführen lässt, indem er als Unternehmer einen anderen Unternehmer oder Nachunternehmer beauftragt, von dem er weiß oder fahrlässig nicht weiß, dass dieser entgegen dem MiLoG den Mindestlohn nicht erbringt. Hinzu tritt eine verschuldensunabhängige Haftung des Arbeitgebers als Generalunternehmer für Auftrag nehmende Unternehmen und weitere Nachunternehmer. Als weitere Sanktion droht dem Arbeitgeber im Fall eines Verstoßes seiner Auftragnehmer ein Ausschluss von der Vergabe öffentlicher Aufträge.

Zur Begrenzung des Haftungsrisikos wurden von den Datenschutzaufsichtsbehörden Vertragsstrafenregelungen und Bürgschaften vorgeschlagen, die der Generalunternehmer mit seinen Auftragnehmern vereinbaren könnte. Entsprechende Leitlinien wurden vom Bundesarbeitsgericht in einer Entscheidung zum Recht der Arbeitnehmerentsendung entwickelt (BAG, Beschluss vom 06.11.2002, Az.: 5 AZR 617/01). Weiterhin wird empfohlen, dass hinsichtlich der Beauftragung weiterer Subunternehmer ein Zustimmungsvorbehalt für den Generalunternehmer vereinbart wird. In Betracht kommt auch, sich von Forderungen Beschäftigter der Subunternehmer auf Zahlung des Mindestlohns freistellen zu lassen.

Wichtig ist aus datenschutzrechtlicher Sicht, dass der Generalunternehmer in diesem Kontext keine Befugnis hat, die Personalakten der Beschäftigten bei seinen Auftragnehmern einzusehen. Die Einsicht in die Personalakten bezieht sich auf ein höchstpersönliches Recht, das nach der Rechtsprechung des BAG nur vom Beschäftigten selbst wahrgenommen werden darf. Ebenso darf dem Generalunternehmer kein umfassender Zugriff auf die automatisierten Personalsysteme bei den Auftragnehmern gestattet werden.

Die Datenschutzaufsichtsbehörden halten eine Übermittlung nicht anonymisierter Verdienstbescheinigungen für unzulässig, da auch Angaben zur Konfessionszugehörigkeit, zum Familienstand, zur Steuerklasse, zur Anzahl der Kinder, zum vollständigen Geburtsdatum und zur Privatanschrift enthalten sein können. Als Lösung bietet sich eine stichprobenartige Kontrolle geschwärzter Verdienstbescheinigungen an. Näheres ergibt sich aus dem Beschluss der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19. März 2015, der unter folgendem Link abrufbar ist: www.bfdi. bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/89 DSK-MindestlohngesetzUndDatenschutz.pdf;

Zur Thematik äußert sich auch der Unabhängiges Datenschutzzentrum Saarland, 26. TB, 2015/16, Ziff. 12.8, wobei er stichprobenartige Kontrollen von hinsichtlich überflüssiger Angaben geschwärzten Gehaltsbescheinigungen für unbedenklich ansieht.

Weitergabe von Beschäftigtendaten zum Nachweis der Sozialauswahl

Ein weiterer Fall im Rahmen des Beschäftigtendatenschutzes betraf die Weitergabe von Beschäftigtendaten im Rahmen eines Personalabbaukonzepts (ULD-SH, 36. TB, Ziff. 5.5.7). Zum Nachweis der Sozialauswahl hatte ein Arbeitgeber den Kündigungsschreiben eine Liste der zur Entlassung vorgesehenen Arbeitnehmer beigefügt. Auf dieser Liste waren neben dem Namen der Betroffenen u. a. deren Geburtsdatum, Familienstand und Staatsangehörigkeit vermerkt. Der Arbeitgeber vertrat die Auffassung, dass er aufgrund der Vorgaben nach § 1 Abs. 3 Kündigungsschutzgesetz (KSchG) zum Nachweis der Sozialauswahl neben dem Namen auch die Qualifikation und die Sozialdaten der als vergleichbar angesehenen Mitarbeiter offenzulegen hatte. Er begründete dies damit, dass er im Falle eines arbeitsgerichtlichen Verfahrens diese Daten hätte ebenfalls offenlegen müssen. Daher habe man nicht nur eine Namensliste, sondern auch die Kriterien der Auswahl und deren Erfüllung übermittelt.

Das ULD stellt dazu fest, dass zunächst § 1 Abs. 5 Satz 1 KSchG lediglich die bloße Namensliste und keine Informationen, die darüber hinausgehen, vorsieht. Weitergehende Informationen habe nach § 1 Abs. 3 Satz 1 2. Hs. KSchG der Arbeitgeber dem Arbeitnehmer nur auf Verlangen mitzuteilen. Nur insoweit gehe die Norm den allgemeinen Regelungen des Bundesdatenschutzgesetzes (BDSG) gemäß § 1 Abs. 3 Satz 1 BDSG vor. Die unaufgeforderte Übermittlung einer Liste mit den Namen der zur Entlassung vorgesehenen Arbeitnehmer, deren Wohnort, Geschlecht, Staatsangehörigkeit, Familienstand, Anzahl der Kinder, Geburtsdatum, Alter, Anstellungsstatus, Schwerbehinderung, Vertragsbeginn und Beruf erfolgte daher ohne Rechtsgrundlage. Das ULD hat in diesem Fall einen Verstoß durch Übermittlung personenbezogener Daten ohne vorheriges Verlangen festgestellt.

Umgang mit privaten Daten auf dem Dienstrechner beim Ausscheiden aus dem Unternehmen

Ein weiterer vom ULD behandelter Fall (36. TB, Ziff 5.5.8) betrifft den Umgang mit erlaubterweise auf dem Dienstrechner gespeicherten privaten personenbezogenen Daten der Beschäftigten bei ihrem Ausscheiden aus dem Unternehmen. Das ULD empfiehlt, dass, wenn sich ein Unternehmen entscheidet, die private Nutzung von Dienstgeräten zuzulassen, eine Betriebsvereinbarung regeln sollte, dass private Daten als solche zu kennzeichnen und besser noch in einem gesonderten Bereich abzulegen sind.

Bei einer Speicherung der privaten Daten in einer gesonderten oder gekennzeichneten Ablage ist eine Einsichtnahme durch das Unternehmen grundsätzlich nicht zulässig, da diese Daten für die Beendigung des Beschäftigungsverhältnisses nicht erforderlich sind. Die gekennzeichneten Daten müssen dem Beschäftigten zugeleitet werden. Soweit die Zuordnung einzelner Dateien unklar ist, kann schrittweise eine Einsichtnahme durch die Personalabteilung in Beisein des Betriebsrats, des Datenschutzbeauftragten und bestenfalls auch des Beschäftigten erfolgen. Die Erforderlichkeit der Einsichtnahme ist für jede Datei gesondert zu prüfen.

Grundsätzlich sei die Ablage privater, persönlicher Daten auf einem Dienstrechner aber immer problematisch und zu vermeiden. Das ULD rät ggf. zu einer technischen Containerlösung mit einem verschlüsselten Datenbereich in speziellen Verzeichnissen oder zu einer Verschlüsselung der einzelnen Dateien, wenn eine Erlaubnis zur Speicherung privater Informationen auf dem Dienstrechner erteilt wird.

Keine juristischen Personen als betriebliche Datenschutzbeauftragte nach dem BDSG

Das ULD S—H. (36. TB, Ziff. 5.3) lehnt die Bestellung juristischer Personen, wie etwa eine GmbH oder eine AG, als betriebliche Datenschutzbeauftragte aus folgenden Erwägungen ab. Zunächst besteht das gesetzliche Erfordernis, dass die als bestellte Person die erforderliche Zuverlässigkeit und Fachkunde besitze, was sich im Kern nur auf natürliche Personen beziehen könne, da nur diese ihre erworbene Fachkunde etwa in Form von Nachweisen zu einer abgeschlossenen Berufsausbildung und einer absolvierten Fortbildung erbringen können. In diesem Kontext ist zu bemerken, dass auch Personengesellschaften, wie die OHG oder die KG, nicht als betriebliche Datenschutzbeauftragte bestellt werden können. Letzterem wird teilweise entgegnet, dass nach den Vorschriften der Wirtschaftsprüferordnung offene Handelsgesellschaften und Kommanditgesellschaften als Wirtschaftsprüfungsgesellschaften anerkannt werden, wenn sie wegen ihrer Treuhandtätigkeit als Handelsgesellschaften in das Handelsregister eingetragen worden sind. Nach den Vorschriften des Handelsgesetzbuchs können Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften als Abschlussprüfer agieren. Damit hat der Gesetzgeber eine deutliche Aussage getroffen, die im BDSG für die betrieblichen Datenschutzbeauftragten gerade fehlt. Eine entsprechende Einsetzung von Personengesellschaften wurde im BDSG nicht normiert.

Andererseits lege der Wortlaut des § 4f BDSG auch deshalb nahe, dass nur eine Bestellung natürlicher Personen in Betracht kommt, weil die Aussagen zum Benachteiligungsverbot, zur Unterstellung des betrieblichen Datenschutzbeauftragten beim Leiter der nichtöffentlichen Stelle, zur entsprechenden Anwendung der Vorschrift zur Kündigung von Arbeitsverhältnissen (§ 626 BGB) bezüglich des Widerrufs der Bestellung, zur Übernahme von Fortbildungskosten zur Erhaltung der für die Aufgaben erforderlichen Fachkunde (§ 4f Abs. 3 BDSG) sowie zur Geltendmachung eines Zeugnisverweigerungsrechts (§ 4f Abs. 4a BDSG) hierfür sprechen. Gerade die Geltendmachung eines Zeugnisverweigerungsrechts gilt speziell für natürliche Personen. Zeugen sollen bekanntlich vor einem Gewissenskonflikt bewahrt bleiben. Die Zeugnisverweigerung erfolgt wegen persönlicher Gründe, die bei einer natürlichen Person vorhanden sein können. Letzteres gilt etwa nach Maßgabe von § 383 Abs. 1 ZPO.

Ebenso beurteilt die BfDI, 26. TB, 2015/2016, Ziff. 1.8, die Rechtssituation, indem, wenn eine Person außerhalb der verantwortlichen Stelle bestellt werden soll (§ 4f Abs. 2 S. 3 BDSG), es sich nur um eine natürliche Person, nicht aber eine juristische Person oder eine Partnerschaftsgesellschaft handeln kann.

Betroffene, die sich vertraulich an die Person des Beauftragten für den Datenschutz wenden möchten, könnten bei einer juristischen Person oder einer Partnergesellschaft als externem Datenschutzbeauftragten zudem nicht sicher sein, dass die Person, der das Anliegen vorgetragen wird, sie tatsächlich vertritt und auch weiterhin als Organ der juristischen Person tätig sein wird, zumal sich die Zusammensetzung der natürlichen Personen als Organe einer juristischen Person ändern kann. Zuletzt ist eine juristische Person nicht in der Lage, verschwiegen zu sein (§ 4f Abs. 4 BDSG); dies können nur natürliche Personen.

Auch die DS-GVO geht nach Auffassung der BfDI grundsätzlich von dem Verständnis aus, dass nur natürliche Personen die Anforderungen an Fachkunde und Eignung erfüllen können. In Leitlinien der Artikel-29-Gruppe werde zwar akzeptiert, dass ein externer Datenschutzbeauftragter auch eine juristische Person sein könne. Allerdings müsse dann jede (natürliche) Person, die innerhalb dieser Organisation Funktionen des Datenschutzbeauftragten wahrnimmt, sämtliche Voraussetzungen für die Benennung eines Datenschutzbeauftragten erfüllen. Dabei sollten in einem Team klare Verantwortlichkeiten festgelegt und eine Person als primärer Ansprechpartner festgelegt werden.

Gebühren für Amtshandlungen der Saarländischen Aufsichtsbehörde

Mit der Verordnung zur Änderung der Verordnung über den Erlass eines Allgemeinen Gebührenverzeichnisses vom 6. April 2016 (Amtsbl. S. 246) wurde im Allgemeinen Gebührenverzeichnis unter Ziffer 240 ein eigener Gebührentatbestand geschaffen, der es ermöglicht, für Amtshandlungen der saarländischen Aufsichtsbehörde nach dem Bundesdatenschutzgesetz (BDSG) Verwaltungsgebühren zu erheben (vgl. Unabhängiges Datenschutzzentrum Saarland, 26. TB, 2015/16, Ziff. 23.1. Das Gebührenverzeichnis sieht u.a. für datenschutzrechtliche Kontrollmaßnahmen einen Gebührenrahmen von 50-5.000 Euro vor, wenn diese mit einem besonderen Prüfungsaufwand einhergehen. In Fällen, in denen die verantwortlichen Stellen nachweislich kooperieren, um datenschutzkonforme Zustände herzustellen, kann auf die Festsetzung einer Gebühr aus Billigkeitsgründen ganz verzichtet werden. Für Anordnungen zur Beseitigung festgestellter Datenschutzverstöße oder technischer oder organisatorischer Mängel nach § 38 Abs. 5 Satz 1 BDSG können ebenfalls 50-5.000 Euro festgesetzt werden. Auch die Beratung betrieblicher Datenschutzbeauftragter oder anderer nicht-öffentlicher Stellen kann mit einer Gebühr zwischen 200-10.000 Euro veranschlagt werden, wenn es sich nicht bloß um einfache Auskünfte handelt. Durch die Gebührenfreiheit für einfache Auskünfte sollen die verantwortlichen Stellen auch weiterhin dazu ermuntert werden, bei konkreten datenschutzrechtlichen Fragestellungen mit der Aufsichtsbehörde Rücksprache zu halten und deren Expertise und Rechtsrat einzuholen. Gleichwohl ist eine Gebührenerhebung für Beratungsleistungen trotz der gesetzlich vorgesehenen Beratungsaufgabe der Landesbeauftragten für Datenschutz dann angemessen, wenn diese Beratung im Sinne einer umfassenden Rechtsberatung und datenschutzrechtlichen Bewertung eigener Datenverarbeitungsprozesse in Anspruch genommen wird. Die sich aus einer solchen umfassenden Beratung ergebenden Vorteile für die Unternehmen sind wirtschaftlicher Art und verschaffen den entsprechenden Stellen erhebliche Wettbewerbsvorteile. Auf der einen Seite vermeiden die verantwortlichen Stellen durch die Einschaltung externer Dienstleister und Beratungsunternehmen entstehende Kosten. Gleichzeitig verringern sie das Risiko von gegen das Unternehmen geführten Verwaltungs- und Bußgeldverfahren wegen unzulässiger Datenverarbeitung und gerichtlicher Inanspruchnahme durch etwaig Betroffene.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.