DA+

Kurzbeiträge

Archiv RDV
Lesezeit 32 Min.

Einzelfragen zur DSB-Benennungspflicht im 1. Tätigkeitsbericht DS-GVO des LfDI Thüringen

Der im Juni 2019 erschienene 1. Tätigkeitsbericht DS-GVO des LfDI Thüringen befasst sich umfangreich mit der Pflicht zur Benennung von Datenschutzbeauftragten (Ziff. 5.16 TB) und dabei auch mit der Bestellung von Datenschutzbeauftragten bei Personalvertretungen (Ziff. 5.12 TB). U.a. wird ausgeführt:

I. Bestellpflicht bei Verarbeitungen „besonderer Kategorien“ von Daten

Die Benennungsvoraussetzungen für Datenschutzbeauftragte finden sich in Art. 37 Abs. 1 der DS-GVO. Darüber hinaus hat sich der Gesetzgeber entschlossen, im Rahmen einer Öffnungsklausel nationale Regelungen zum Datenschutzbeauftragten (DSB) zu erlassen. Daher ist neben den Regelungen der DS-GVO bei der Beurteilung, ob eine Benennungspflicht besteht, auch § 38 BDSG zu beachten. Der Verantwortliche und der Auftragsverarbeiter müssen nach Art. 37 Abs. 1 Buchstabe b) und c) DS-GVO auf jeden Fall einen DSB benennen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 der DS-GVO besteht.

Zu den besonderen Kategorien von Daten zählen gemäß Art. 9 Abs. 1 der DS-GVO in Verbindung mit Art. 4 Nr. 15 der DS-GVO auch sensible bzw. sensitive Daten in Form von Gesundheitsdaten. Gemäß Art. 4 Nr. 15 der DS-GVO sind „Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Verantwortliche sowie Auftragsverarbeiter im Gesundheitsbereich (z.B. Ärzte oder Apotheker) müssen nach Art. 37 Abs. 1 Buchstabe c) der DS-GVO einen Datenschutzbeauftragten benennen, wenn „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9“ besteht.

II. Die Verarbeitung (sensibler) personenbezogener Daten als Kerntätigkeit

Erwägungsgrund 97 Satz 2 stellt fest, dass sich der Begriff der Kerntätigkeit auf die Haupttätigkeit und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Nach allgemeiner Auffassung muss die Datenverarbeitung eine essentielle Maßnahme zum Erreichen der Ziele des Verantwortlichen bzw. Auftragsverarbeiters darstellen. Das Erstellen von Gehaltsabrechnungen und IT-Support sind oft häufige Beispiele für datenschutzrelevante Kerntätigkeiten oder Kerngeschäfte einer nicht-öffentlichen bzw. öffentlichen Einrichtung. Trotz ihrer Notwendigkeit oder Unverzichtbarkeit werden solche Tätigkeiten gemeinhin eher als Nebenfunktionen und nicht als eigentliche Kerntätigkeit betrachtet. Der Begriff der Kerntätigkeit steht in Wechselwirkung zum Umfang der Tätigkeit, sodass eine Gesamtbetrachtung vorgenommen werden muss.

In der Literatur wird beispielsweise bei der Bewertung der Tätigkeit von Ärzten als Kerntätigkeit folgendes vertreten: Ziel der Tätigkeit von Ärzten ist es, Menschen gesund zu machen. Um aber herauszufinden, wie das Leiden eines Patienten zu bekämpfen ist – oder ob, im Fall von Vorsorgeuntersuchungen, überhaupt ein Problem besteht –, ist eine umfassende Untersuchung und Beobachtung des Patienten erforderlich, typischerweise auch regelmäßig über einen längeren Zeitraum. Die Kerntätigkeit von Ärzten liegt damit in der Verarbeitung sensibler Daten. Diese Argumentation gilt analog auch für Apotheker, da auch hier die Diagnostik und Beratung über die Einnahme von Medikamenten im Vordergrund steht, sodass auch hier die Kerntätigkeit in der Verarbeitung sensibler Daten liegt.

Bei der Bewertung der Erforderlichkeit eines Datenschutzbeauftragten ist, ob eine Verarbeitung sensibler personenbezogener Daten umfangreich im Sinne des Art. 37 Abs.1 Buchstabe c) der DS-GVO ist. In Erwägungsgrund 91 zur DS-GVO ist in Bezug auf die Datenschutz-Folgenabschätzung ebenfalls von einer „umfangreichen Verarbeitung“ die Rede. Darin heißt es: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogener Daten Patienten oder Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalts erfolgt“.

Am 26. April 2018 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die Entschließung „Datenschutzbeauftragten-Bestellpflicht nach Art. 37 Abs. 2 Buchstabe c) DS-GVO bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs“ veröffentlicht. Darin wird ausdrücklich festgehalten: Soweit ein einzelner Arzt, Apotheker oder sonstiger Angehöriger eines Gesundheitsberufs eine Praxis, Apotheke oder ein Gesundheitsberufsunternehmen betreibt und mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, besteht eine gesetzliche Verpflichtung zur Benennung eines DSB.

Zu beachten ist jedoch auch hier, dass, wenn bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist, eine Datenschutz-Folgenabschätzung vorgeschrieben ist (Art. 35 Abs. 1 DS-GVO). Damit ist immer zwingend ein Datenschutzbeauftragter zu benennen, auch wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten besonderer Kategorien beschäftigt sind.

III. Anforderungen an den Datenschutzbeauftragten und Inkompatibilitäten

Ein Kandidat muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. Bei der Einschätzung der Zuverlässigkeit sind sowohl subjektive Faktoren (persönliche Eigenschaften) als auch objektive Faktoren (mögliche Interessenskollisionen) zu berücksichtigen. Beide Kriterien sind bei der Benennung eines Datenschutzbeauftragten gleichgewichtig entscheidend. Eine Interessenskollision ist dann nicht gegeben, wenn zwischen dem Verantwortlichen und dem DSB eine klare Trennung besteht.

Interessenkonflikte können immer dann auftreten, wenn der DSB gleichzeitig Aufgaben in den Bereichen Personal, Justitiariat/Recht, Automatisierte Datenverarbeitung (ADV)/Informationstechnik (IT), Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt oder Geheimschutzbeauftragter oder Vorsitzender des Personalrats ist.

IV. Keine juristische Personen als Datenschutzbeauftragte

Ob und unter welchen Voraussetzungen juristische Personen als DSB benannt werden können, steht unter den Aufsichtsbehörden noch zur Diskussion. Nach dem ThürLfDI können jedoch juristische Personen nicht als externe DSB benannt werden. Bei der Benennung des Datenschutzbeauftragten liegt der Fokus auf den individuellen Fähigkeiten des DSB. Daher sei es zwar möglich, dass die Person des Datenschutzbeauftragten bei einer juristischen Person angestellt ist, jedoch sei eine Zuordnung einer bestimmten natürlichen Person zum jeweiligen betreuten Unternehmen notwendig, da eine wahllose Vertretung nicht der DS-GVO entspreche.

V. Bestellung eines Datenschutzbeauftragten beim Betriebs- und Personalrat

In Abschnitt 5.12 befasst sich der ThürLfDI mit der Frage, ob der Personalrat einer öffentlichen Stelle oder der Betriebsrat eines Unternehmens einen eigenen Datenschutzbeauftragten bestellen müsse. Das neue Datenschutzrecht mache dazu keine Aussage. Die neue Rechtslage lege nicht eindeutig fest, ob Betriebs- und Personalräte als eigenständige Verantwortliche im Sinne der DS-GVO anzusehen sind.

Sowohl für die eigene Verantwortlichkeit im Sinne der DS-GVO als auch für die Betrachtung der Vertretung als Teil des Arbeitgebers finden sich gute Argumente, denn nach der DS-GVO können auch „andere Stellen“ Verantwortliche sein. Der LfDI empfiehlt, dass der behördliche Datenschutzbeauftragte der Dienststelle in Personalunion auch das Amt des Datenschutzbeauftragten der Personalvertretung übernimmt, wenn dazu Einvernehmen besteht. Für Betriebsräte sei die Situation grundsätzlich keine andere.

Praxisfälle zum Datenschutz I: Einführung in die juristische Prüftechnik und Musterfalllösungen zum Auskunftsbegehren von aktiven und ausgeschiedenen Mitarbeitern

I. Einführung in die juristische Prüftechnik

1. Grundlagen der Prüfung juristischer Sachverhalte

a) Rechtsquellen des Datenschutzrechts

Datenschutz-Grundverordnung
Die seit dem 25.05.2018 geltende europäische Datenschutz-Grundverordnung (DS-GVO) hat die 1995 in Kraft getretene Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst. Dabei bleibt die DS-GVO dem dualistischen Ansatz der Datenschutzrichtlinie treu und schützt einerseits die natürliche Person bei der Verarbeitung ihrer personenbezogenen Daten, soll andererseits aber auch im Sinne der Funktionsfähigkeit des gemeinschaftlichen Binnenmarkts den freien Verkehr mit personenbezogenen Daten innerhalb der Gemeinschaft ermöglichen (Art. 1 DS-GVO). Mit der DS-GVO sollen das Datenschutzrecht in Europa vereinheitlicht sowie zugleich die Datenschutzrechte der Bürgerinnen und Bürger gestärkt werden.

Im Gegensatz zur Richtlinie 95/46/EG hat die DS-GVO gem. Art. 288 Abs. 2 AEUV unmittelbare Wirkung. Für die EU-Mitgliedstaaten heißt das, dass sie die Regelungen nicht mehr in ihr nationales Recht umsetzen müssen. Für die deutschen datenverarbeitenden Stellen bedeutet dies, dass sie sich im Hinblick auf ihre Datenverarbeitung unmittelbar an die europäischen Regelungen zu halten haben. Für Fragen der Auslegung der DS-GVO muss der EuGH im Rahmen des sog. Vorabentscheidungsverfahrens gem. Art. 267 Abs. 1 Buchst. b) AEUV angerufen werden.

Nationales Recht, insbesondere Bundesdatenschutzgesetz
Mit der DS-GVO wurde zwar das Ziel der Vollharmonisierung des europäischen Datenschutzrechts verfolgt. Gleichwohl hat der europäische Gesetzgeber an vielen Stellen sog. Öffnungsklauseln vorgesehen und so den nationalen Gesetzgebern die Möglichkeit gegeben, die Regelungen der DS-GVO für bestimmte Konstellationen zu präzisieren oder zu ergänzen. Solche die DS-GVO ergänzenden allgemeinen Regelungen finden sich in Deutschland für die Bundesverwaltung und die Privatwirtschaft in den Bestimmungen des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) – BDSG – und für die öffentliche Verwaltung der Länder inklusive der Kommunalverwaltung in den jeweiligen Landesdatenschutzgesetzen. Ist eine bereichsspezifische Regelung vorhanden, so verdrängt diese die allgemeinen Datenschutzgesetze. Bei den allgemeinen Datenschutzgesetzen handelt es sich insofern um „Auffanggesetze“, welche nur subsidiär zur Anwendung kommen.

Beispiele:

  • Unter welchen Voraussetzungen ein Telekommunikationsanbieter Kundendaten zu Abrechnungs- und sonstigen Zwecken, z.B. für Werbezwecke, verwenden darf, bestimmt sich nicht nach der DS-GVO, sondern nach den insofern speziellen Regelungen des Telekommunikationsgesetzes (vgl. §§ 95 ff. TKG).
  • Krankenkassen haben sich im Hinblick auf die Verarbeitung der Mitgliederdaten an § 284 Sozialgesetzbuch V (SGB V) zu orientieren.
  • Für die Verarbeitung von Beschäftigtendaten sind als „betriebsinternes“ Datenschutzrecht insbesondere bestehende Betriebsvereinbarungen zur Datenverarbeitung von Relevanz.
b) Das Verbot mit Erlaubnisvorbehalt

Jede Verarbeitung personenbezogener Daten berührt die Persönlichkeitsrechte der betroffenen Person. Daher stellt die DS-GVO die Verarbeitung personenbezogener Daten unter ein „Verbot mit Erlaubnisvorbehalt“ (ErwG 40). Damit die Verarbeitung rechtmäßig ist, müssen danach personenbezogene Daten mit Einwilligung der betroffenen Person oder auf Basis einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden.

Eine Verarbeitung personenbezogener Daten darf nach Art. 6 Abs. 1 DS-GVO nur erfolgen, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist:
– Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
– die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
– die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
– die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
– die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
– die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Für die Verarbeitungstätigkeiten von Behörden besteht die Möglichkeit der Interessenabwägung ausdrücklich nicht.

Das Verbot mit Erlaubnisvorbehalt gilt u.a. auch für die Verarbeitung personenbezogener Daten gem. Art. 9 Abs. 1 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese besonderen Kategorien personenbezogener Daten werden auch als sensible oder sensitive Daten bezeichnet. Ausnahmen für das Verbot der Verarbeitung sieht insoweit Art. 9 Abs. 2 DS-GVO vor.

Spezielle bereichspezifische Regelungen für die Verarbeitung von Beschäftigtendaten hat der deutsche Gesetzgeber in § 26 BDSG vorgesehen. Hierzu ist der nationale Gesetzgeber gemäß Art. 88 DS-GVO berechtigt. Nach § 26 Abs. 1 S. 1 BDSG ist die Verarbeitung für Zwecke des Beschäftigungsverältnisses gestattet, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich ist. Die Verarbeitung besonderer Arten personenbezogener Daten durch den Arbeitgeber ist zulässig, soweit diese zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zur Annahme besteht, dass schutzwürdige Interessen des Betroffenen am Ausschluss der Verarbeitung seiner personenbezogenen Daten überwiegen. Verarbeitungsvorgänge können auch im Beschäftigungskontext auf einer Einwilligung des Betroffenen beruhen. In diesem Fall bedarf es jedoch einer besonderen Prüfung der Freiwilligkeit der Erklärung, und es gelten erhöhte Anforderungen an die Form der Erklärung (§ 26 Abs. 2 BDSG).

c) Zweckänderung

Sollen personenbezogene Daten zu anderen Zwecken verarbeitet werden, als zu denjenigen, zu denen sie ursprünglich erhoben wurden, und beruht die Weiterverarbeitung nicht auf einer Einwilligung oder Rechtsvorschrift der EU oder Deutschlands, so richtet sich die Zulässigkeit der Zweckänderung nach Art. 6 Abs. 4 DS-GVO. Demnach müssen der alte und der neue Zweck miteinander vereinbar bzw. „kompatibel“ sein. Daher wird im Zusammenhang mit Art. 6 Abs. 4 DS-GVO häufig von der „kompatiblen Weiterverarbeitung“ gesprochen. Mit dieser Regelung wird an den Zweckbindungsgrundsatz des Art. 5 Abs. 1 Buchst. b) DS-GVO angeknüpft.

Für die Beurteilung, ob ein neuer Zweck mit dem vorangegangenen Zweck kompatibel ist, hat der europäische Gesetzgeber in Art. 6 Abs. 4 DS-GVO einen nicht abschließenden Kriterienkatalog aufgestellt, der in die Bewertung einfließen muss. Für die Beurteilung der Kompatibilität sind danach u.a. heranzuziehen:
– Jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
– der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
– die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO verarbeitet werden,
– die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
– das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören können.

d) Aufsichtsbehördliche und sonstige Interpretationshilfen

Neben den reinen Gesetzestexten gibt es auch noch andere Dokumente, Orientierungshilfen, Praxishilfen etc., welche als Interpretationshilfen bei der Beurteilung datenschutzrechtlicher Sachverhalte herangezogen werden können.

e) Schrittweises Vorgehen bei der Prüfung juristischer Sachverhalte

Allgemeines
Wer mit juristischen Sachverhalten konfrontiert wird, von Hause aus aber kein Jurist ist, dem fällt es oft nicht leicht, diese systematisch zu prüfen. Der folgende Beitrag soll eine Hilfestellung für Nichtjuristen bieten und aufzeigen, wie man sich Schritt für Schritt dem Sachverhalt annähert und zu einer juristisch begründeten Lösung kommt. Das nachfolgende Schema skizziert die Vorgehensweise bei der Prüfung eines juristischen Sachverhalts:

Obersatz
Unter dem Begriff „Obersatz“ versteht man die konkrete Fragestellung, die betrachtet werden soll. Der Obersatz bildet stets den Anfang eines jeden Rechtsgutachtens bzw. den Anfang eines ggf. nachfolgenden (Unter-)Abschnitts der Untersuchung. Im Obersatz werden die Normen/Rechtsgrundlagen aufgezeigt, die Regelungen für den zu prüfenden Anspruch oder die zu prüfende Maßnahme enthalten können.

Beispiele für die Formulierung von Obersätzen:
– Als Anspruchsgrundlage für das von Herrn X erhobene Auskunftsbegehren kommt Art. 15 Abs. 1 DS-GVO in Betracht oder
– Die Abberufung des Datenschutzbeauftragten durch die Unternehmensleitung könnte gem. Art. 38 Abs. 3 S. 2 DS-GVO unzulässig sein.

Es kann auch eine Verbotsnorm am Anfang der Untersuchung stehen, da diese der DS-GVO bzw. dem BDSG vorrangig sein kann.

Beispiel:
Der beabsichtigten Weitergabe der Patientendaten könnte die Schweigeverpflichtung aus § 203 Abs. 1 Nr. 1 Strafgesetzbuch (StGB) entgegenstehen.

Kommen mehrere Rechtsgrundlagen in Betracht, so müssen auch alle erörtert werden, selbst, wenn die erste Norm bereits zum gewünschten Ergebnis geführt hat. Eine Haftung z.B. kann sich neben den Regelungen der DS-GVO auch aus dem Zivilrecht (Bürgerliches Gesetzbuch – BGB) ergeben.

Voraussetzungssatz
Im Voraussetzungssatz, der dem Obersatz nachfolgt, werden die Voraussetzungen der im Obersatz genannten Norm aufgezählt. Handelt es sich bei diesen Voraussetzungen um Rechtsbegriffe, müssen diese zunächst näher erläutert werden, damit der Sachverhalt anschließend darauf geprüft werden kann, ob die Begrifflichkeit erfüllt ist oder nicht.

Beispiel:
Nach Art. 15 Abs. 1 DS-GVO hat der Verantwortliche der betroffenen Person auf Verlangen Auskunft über die zu seiner Person verarbeiteten Daten zu erteilen. Der Anspruch auf Auskunftserteilung nach dieser Regelung bezieht sich auf „personenbezogene Daten“, sofern diese vom Verantwortlichen „verarbeitet“ werden.
Nach Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird nach Art. 4 Nr. 1 DS-GVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DS-GVO definiert. Verarbeitung umfasst danach jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

In diesem Fall ist die Erläuterung der vom Gesetzgeber verwendeten Begrifflichkeiten einfach, da der Gesetzgeber selbst die Definitionen ins Gesetz geschrieben hat. Man spricht in solchen Fällen von einer sog. „Legaldefinition“. Schwieriger ist die Begriffserklärung, wenn es sich um unbestimmte Rechtsbegriffe handelt. Ein unbestimmter Rechtsbegriff ist ein gesetzliches Tatbestandsmerkmal, das aus sprachlicher Sicht für sich betrachtet keinen eindeutigen Inhalt hat, also „unscharf“ ist (z.B. berechtigtes Interesse, gute Sitten, Erforderlichkeit). Diese Unschärfe ist dadurch zu beheben, dass der Begriff unter Berücksichtigung aller konkreten Umstände des Einzelfalls ausgelegt wird, wobei es in rechtlicher Sicht nur eine richtige Entscheidung gibt. Demgemäß unterliegt das Ergebnis der Auslegung der vollen rechtlichen Überprüfung.

Beispiel:
Eine Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten kommt gemäß §§ 38 Abs. 2; 6 Abs. 4 BDSG nur in Betracht, sofern Tatsachen vorliegen, welche die benennende Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Der Begriff des „wichtigen Grundes“ ist ein unbestimmter Rechtsbegriff, welcher der Auslegung bedarf.

Subsumtion
Bei der Subsumtion wird geprüft, ob die in Frage stehende Norm tatsächlich auf den zu prüfenden Sachverhalt „passt“, d.h., die Voraussetzungen werden gegen den Sachverhalt abgeglichen.

Beispiel:
Nach Art. 15 Abs. 1 DS-GVO hat der Verantwortliche der betroffenen Person auf Verlangen Auskunft über die zu seiner Person verarbeiteten Daten zu erteilen. Der Anspruch auf Auskunftserteilung nach dieser Regelung bezieht sich auf personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO, sofern sie vom Verantwortlichen verarbeitet werden.
Nach Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen… (siehe oben). Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 DS-GVO definiert. Verarbeitung umfasst danach… (siehe oben).
Der Anspruch auf Auskunftserteilung wird von Herrn X und damit von einer natürlichen Person geltend gemacht. In der Kundendatenbank der in Anspruch genommenen Firma ZGmbH (= Verantwortlicher) finden sich folgende Informationen zu seiner Person: Name, Adresse, Geburtsdatum und Vertragsdaten. Hierbei handelt es sich um personenbezogene Daten. Die Speicherung ist eine Verarbeitung im Sinne der Legaldefinition aus Art. 4 Nr. 2 DS-GVO.

Gegennorm
Für zahlreiche Normen gibt es Ausnahmeregelungen, daher ist ggf. in einem weiteren Schritt zu prüfen, ob der bislang gefundenen (Zwischen-)Lösung eine etwaige „Gegennorm“ entgegensteht. Selbst wenn die Gegennorm im Ergebnis nicht einschlägig ist, sollte dies kurz kenntlich gemacht werden, um zu signalisieren, dass eine entsprechende Prüfung vorgenommen wurde.

Beispiel:
Vorliegend könnte jedoch eine Ausnahme von der Auskunftspflicht gem. Art. 12 Abs. 5 S. 2 Buchst. b) DS-GVO eingreifen. (…) oder Ausnahmen von der Auskunftspflicht sind vorliegend nicht ersichtlich.

Ergebnis
Den Abschluss der Prüfung, respektive der Prüfung eines (Unter-)Abschnitts, bildet der Folgesatz, in dem das Ergebnis der vorangegangenen Überlegungen dargelegt wird.

Beispiel:
(…) Folglich steht X ein Auskunftsanspruch gem. Art. 15 Abs. 1 DS-GVO zu. oder Unternehmen X ist folglich gemäß Art. 16 DS-GVO zur Korrektur der zum Kunden K gespeicherten Bonitätsinformationen verpflichtet.

II. Musterfalllösungen zum Auskunftsbegehren von aktiven und ausgeschiedenen Mitarbeitern

Fall 1: Auskunftsbegehren eines aktiven Mitarbeiters

Mitarbeiter M begehrt, dass ihm Einsicht in seine digital geführte Personalakte gewährt wird. Zudem verlangt er einen Ausdruck der Akte sowie einen Ausdruck sämtlicher von ihm über seinen Dienstaccount verfasster bzw. empfangener E-Mails. Stehen M die geltend gemachten Ansprüche zu? Berücksichtigen Sie neben den datenschutzrechtlichen Regelungen auch die Bestimmungen des Betriebsverfassungsgesetzes (BetrVG).

Anspruch aus § 83 Abs. 1 BetrVG
Obersatz: M könnte einen Anspruch auf Einsicht in seine digitale Personalakte aus § 83 Abs. 1 S. 1 BetrVG haben.

Voraussetzungen:
Voraussetzung für das Recht auf Einsicht in die Personalakte gem. § 83 Abs. 1 S. 1 BetrVG ist, dass M Arbeitnehmer ist und eine Personalakte über ihn geführt wird.

Subsumtion:
M befindet sich gegenwärtig in einem Beschäftigungsverhältnis mit dem Anspruchsgegner. Der Anspruchsgegner führt über seine Mitarbeiter Personalakten in digitaler Form.

Gegennormen: –

Ergebnis:
M hat einen Anspruch auf Einsicht in seine digitale Personalakte aus § 83 Abs. 1 S. 1 BetrVG. Der betriebsverfassungsrechtliche Anspruch ist auf die Möglichkeit der Einsichtnahme beschränkt, d.h., dem Mitarbeiter steht die Einsichtnahme in den Räumen des Arbeitgebers während der Arbeitszeit zu. Der Mitarbeiter hat nach § 83 Abs. 1 S. 1 BetrVG keinen Anspruch, Kopien der Personalakte zu erhalten, er darf sich lediglich Notizen über den Akteninhalt anfertigen.

Auskunftsanspruch aus Art. 15 DS-GVO
Obersatz: M könnte jedoch ein Recht auf Kopie seiner Personalakte sowie Kopien der versandten/empfangenen E-Mails aus Art. 15 Abs. 3 DS-GVO haben.

Voraussetzungen:
Voraussetzungen für das Recht auf eine „Datenkopie“ i.S.v. Art. 15 Abs. 3 DS-GVO sind, dass es sich bei den Daten um personenbezogene Daten handelt, die Gegenstand einer Verarbeitungstätigkeit sind, und dass durch die betroffene Person ein Antrag gestellt wurde.

Subsumtion:
Bei den Daten in der digitalen Personalakte handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO. Das Speichern von personenbezogenen Daten stellt nach Art. 4 Nr. 2 DS-GVO eine Form der Verarbeitung dar. In dem Begehren von M gegenüber seinem Arbeitgeber, eine Kopie der Personalakte zu erhalten, liegt ein ausreichender Antrag i.S.v. Art. 15 Abs. 3 DS-GVO. Insbesondere bestehen keine Formerfordernisse für einen Antrag auf „Datenkopie“. Ebenso sind in der E-Mail-Korrespondenz personenbezogene Daten des M enthalten.

Gegennormen:
Dem Antrag des M auf Datenkopie müsste gem. Art. 15 Abs. 4 DS-GVO nicht entsprochen werden, wenn dadurch die Rechte und Freiheiten einer anderen Person beeinträchtigt würden. Mangels entsprechender Anhaltspunkte ist hier von einer Beeinträchtigung der Rechte und Freiheiten Dritter nicht auszugehen, insbesondere sofern es sich um die Personalakte von M selbst handelt. Im Hinblick auf die E-Mail-Korrespondenz könnten durch die Zurverfügungstellung der Datenkopie die Rechte und Freiheiten Dritter beeinträchtigt werden, denn zu diesen zählen auch Geschäftsgeheimnisse und der Schutz personenbezogener Daten Dritter. Ob dies tatsächlich der Fall ist, ist Frage des Einzelfalls.

Ebenso könnte gem. Art. 12 Abs. 5 S. 2 Buchst. b) DS-GVO die Datenkopie verweigert werden, wenn M vorliegend unbegründet oder exzessiv von seinem Betroffenenrecht Gebrauch machen würde. Dafür enthält der Sachverhalt jedoch keine Anzeichen. Das Recht auf Auskunft aus Art. 15 DS-GVO besteht darüber hinaus nicht, sofern die Daten BDSG nur noch deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen (§ 34 Abs. 1 Nr. 2 Buchst. a) BDSG). M ist aber aktiver Mitarbeiter, seine digitale Personalakte wird aktiv gepflegt und nicht nur aufgrund von Aufbewahrungsfristen verwahrt.

Ergebnis:
M hat damit ein Recht auf „Datenkopie“ nach Art. 15 Abs. 3 DS-GVO. Insofern hat er jedenfalls Anspruch auf Kopien seiner Personalakte. Im übrigen ist umstritten, wie weit der Anspruch auf „Datenkopie“ nach Art. 15 Abs. 3 DS-GVO reicht. In der Praxis umstritten ist insbesondere, ob der Anspruch so weit geht, dass Mitarbeiter Duplikate von allen Dokumenten, Dateien, E-Mails, Systemprotokollen etc. verlangen können, in denen Daten enthalten sind, die sich auf sie beziehen.

Ende 2018 hat sich das LAG Baden-Württemberg in seinem (nicht rechtskräftigen) Urteil vom 20.12.2018 – Az.: 17 Sa 11/18 – zum Umfang des Anspruchs auf Auskunft und Datenkopie aus Art. 15 DS-GVO geäußert. Das LAG hat die Beklagte, eine weltweit tätige Fahrzeugherstellerin, u.a. verurteilt, dem klagenden Beschäftigten eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von der Beklagten vorgenommenen Verarbeitung sind, zur Verfügung zu stellen. Zugleich hat das Gericht festgestellt, dass jede einzelne vom Kläger im Rahmen seiner Tätigkeit geschriebene, gesendete oder empfangene E-Mail personenbezogene Daten enthält und auch eine Beschränkung des Anspruchs gemäß Art. 15 Abs. 4 DS-GVO aufgrund berechtigter Interessen eines Dritten im konkreten Fall abgelehnt. Das Urteil wird also so zu verstehen sein, dass sich der Anspruch auf Kopie nach Art. 15 DS-GVO auch auf die E-Mail-Korrespondenz bezieht, wenn auch der genaue Umfang der bereitzustellenden Informationen vom Gericht nicht näher konkretisiert wird.

Im Gegensatz dazu hat das LG Köln in einem (ebenfalls nicht rechtskräftigen) (Teil-)Urteil vom 18.03.2019 – 26 O 25/18 – die Auffassung vertreten, dass sich der Auskunftsanspruch der betroffenen Person nicht auf sämtliche internen Vorgänge beim Verantwortlichen bezieht, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der Person bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann. Der Anspruch aus Art. 15 DS-GVO diene nicht der vereinfachten Buchführung des Betroffenen, sondern solle sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann, so das LG Köln.

Auch das Bayerische Landesamt für Datenschutzaufsicht hat in seinem 8. Tätigkeitsbericht eine eher praxisbezogene Haltung eingenommen und festgestellt, dass der datenschutzrechtliche Auskunftsanspruch „nicht regelmäßig die Herausgabe von allen Dokumenten, E-Mails etc., in denen z.B. der Name der betroffenen Person und eventuelle weitere Informationen über diese Person enthalten sind,“ erfordert.

Auch in der Literatur werden der Umfang des Auskunftsanspruchs aus Art. 15 DS-GVO und insbesondere Möglichkeiten für eine sinnvolle Auslegung der Regelung in der Unternehmenspraxis rege diskutiert. Zum Teil wird vertreten, dass es sich bei dem Recht auf Kopie aus Art. 15 Abs. 3 DS-GVO lediglich um einen Hilfsanspruch zu Art. 15 Abs. 1 DS-GVO handele und dieser daher nicht über die Pflichtangaben des Abs. 1 hinausragen könne. Art. 15 Abs. 3 S. 1 DS-GVO spricht nach seinem Wortlaut allerdings wohl eher dafür, dass die Daten so zur Verfügung zu stellen sind, wie sie „Gegenstand der Verarbeitung“ sind, und insofern ggf. auch über Art. 15 Abs. 1 DS-GVO hinausgehende Informationen gegeben werden müssen.

Ein Vorschlag zur Beschränkung des Anspruchs auf eine „Datenkopie“ besteht darin, Art. 15 Abs. 3 S. 1 DS-GVO teleologisch zu reduzieren und einen hinreichenden Personenbezug bei E-Mails, Protokollen und ähnlichen Dokumenten nur dann zu bejahen, wenn das Dokument aussagekräftige Informationen zur Person des Betroffenen enthält und der Bezug zu dessen Person nicht nur zufällig, beiläufig oder beliebig ist. Eine andere Stimme geht davon aus, dass solche personenbezogenen Daten, die nicht Gegenstand der Verarbeitung sind, weil ihre Aufbewahrung z.B. lediglich zu Datenschutz- oder Datensicherungszwecken erfolgt, nicht preisgegeben werden müssen. Anzunehmen sei, dass dem Betroffenen zwar einzelne Stammdaten zur Verfügung gestellt werden müssten, nicht jedoch etwa die Gesamtheit der mit der betroffenen Person geführten E-Mail-Korrespondenz oder Kopien sämtlicher mit der betroffenen Person getätigter geschäftlicher Vorgänge.

Ein vermittelnder Vorschlag für die Praxis besteht darin, die Auskunft nach Art. 15 DS-GVO in einem gestaffelten Prozess umzusetzen. Hierbei erhalten Mitarbeiter nach dem Stellen eines Auskunftsantrags zunächst die in Art. 15 Abs. 1 DS-GVO genannten Angaben. Zudem stellt ihnen das Unternehmen eine Kopie mit einer Art „erweitertem Stammdatensatz“ mit den wesentlichen relevanten Informationen, „die Gegenstand der Verarbeitung sind“, zur Verfügung. In der Praxis hat sich insoweit bewährt, den Mitarbeitern Zugang zu Informationssystemen zu geben, aus denen sie selbst solche Daten nach ihren Bedürfnissen abrufen können (sog. Self-Service-Zugänge).

Wie Unternehmen mit Auskunftsersuchen praktisch umgehen, insbesondere wie weitreichend Datenkopien zur Verfügung gestellt werden, ist nach alledem letztlich auch eine Frage der unternehmerischen Risikobewertung. Wichtig ist in jedem Fall, proaktiv einen entsprechenden Prozess aufzusetzen, mit dem auf entsprechende Betroffenenbegehren reagiert werden kann.

Fall 2: Auskunftsbegehren eines ausgeschiedenen Mitarbeiters

Der kürzlich ausgeschiedene Mitarbeiter A begehrt, dass ihm Einsicht in die digital geführte (qualifizierte) Personalakte gewährt wird, die bis zu seinem Ausscheiden über ihn geführt wurde. Auch verlangt er einen Ausdruck der Akte sowie einen Ausdruck sämtlicher von ihm über seinen Dienstaccount verfasster bzw. empfangener E-Mails. Bestehen die geltend gemachten Ansprüche?

Anspruch aus § 83 Abs. 1 BetrVG
Obersatz: A könnte einen Anspruch auf Einsicht in seine Personalakte aus § 83 Abs. 1 S. 1 BetrVG haben.

Voraussetzungen:
Voraussetzung für das Recht auf Einsicht in die Personalakte gem. § 83 Abs. 1 S. 1 BetrVG ist, dass A Arbeitnehmer ist und eine Personalakte über ihn geführt wird.

Subsumtion:
A ist kürzlich aus dem Unternehmen ausgeschieden und befindet sich demnach gegenwärtig nicht in einem Beschäftigungsverhältnis mit dem Anspruchsgegner.

Gegennormen: –

Ergebnis:
A hat keinen Anspruch auf Einsicht in seine Personalakte aus § 83 Abs. 1 S. 1 BetrVG.

Auskunftsanspruch aus Art. 15 DS-GVO
Obersatz: A könnte jedoch ein Recht auf Kopie seiner Personalakte sowie Kopien der versandten/empfangenen E-Mails aus Art. 15 Abs. 3 DS-GVO haben.

Voraussetzungen:
Voraussetzungen für das Recht auf eine „Datenkopie“ i.S.v. Art. 15 Abs. 3 DS-GVO sind, dass es sich bei den Daten um personenbezogene Daten handelt, die Gegenstand einer Verarbeitungstätigkeit sind, und dass durch die betroffene Person ein Antrag gestellt wurde.

Subsumtion:
Bei den Daten in der digitalen Personalakte handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO. Das Speichern von personenbezogenen Daten stellt nach Art. 4 Nr. 2 DS-GVO eine Form der Verarbeitung dar. In dem Begehren von A gegenüber seinem ehemaligen Arbeitgeber, eine Kopie der Personalakte zu erhalten, liegt ein ausreichender Antrag i.S.v. Art. 15 Abs. 3 DS-GVO. Insbesondere bestehen keine Formerfordernisse für einen Antrag auf „Datenkopie“. Ebenso sind in der E-Mail-Korrespondenz personenbezogene Daten des A enthalten.

Gegennormen:
Dem Antrag des A auf Datenkopie müsste gem. Art. 15 Abs. 4 DS-GVO nicht entsprochen werden, wenn dadurch die Rechte und Freiheiten einer anderen Person beeinträchtigt würden. Vgl. dazu die entsprechenden Ausführungen zu Fall 1.

Ebenso könnte gem. Art. 12 Abs. 5 S. 2 Buchst. b) DS-GVO die Datenkopie verweigert werden, wenn A vorliegend unbegründet oder exzessiv von seinem Betroffenenrecht Gebrauch machen würde. Dafür enthält der Sachverhalt keine Anzeichen. Das Recht auf Auskunft aus Art. 15 DS-GVO besteht darüber hinaus gem. § 34 Abs. 1 Nr. 2 BDSG nicht, sofern personenbezogene Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen (Buchst. a), oder die Daten ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen (Buchst. b) und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die beiden letztgenannten Voraussetzungen für eine Ausnahme von der Auskunftspflicht beziehen sich sowohl auf die Ausnahme nach Buchst. a) als auch auf die Ausnahme nach Buchst. b).

Eine Ausnahme von der Auskunftspflicht könnte sich danach vorliegend ergeben, wenn die E-Mail-Korrespondenz von A in den Produktivsystemen des Anspruchsgegners nicht mehr vorgehalten wird, sondern diese zwecks Wahrung gesetzlicher Aufbewahrungspflichten oder zur Datensicherung in entsprechende Archivierungs-/Sicherungssysteme verschoben wurde. Eine Ausnahme ergibt sich aber auch in diesen Fällen nur dann, wenn die übrigen in § 34 Abs. 1 Nr. 2 BDSG genannten Voraussetzungen erfüllt sind, also ein unverhältnismäßiger Aufwand vorliegt und technisch-organisatorische Maßnahmen zur Gewährleistung der Zweckbindung der archivierten/gesicherten Daten ergriffen worden sind. Ob tatsächlich ein Ausnahmetatbestand gegeben ist, kann nicht abstrakt beurteilt werden. Maßgeblich sind die konkreten Gegebenheiten beim Arbeitgeber.

Ergebnis:
Bezüglich des von A geltend gemachten Anspruchs auf Kopien der Personalakte gelten die zu Fall 1 gemachten Ausführungen entsprechend, d.h., A kommt ein solcher Anspruch zu.
Soweit die Korrespondenz des A noch im E-Mail-System des früheren Arbeitgebers vorhanden ist, kann auf die Ausführungen zu Fall 1 verwiesen werden. Sollten die Mails bereits archiviert sein, kann – je nach den tatsächlichen Gegebenheiten – eine Ausnahme von der Auskunftspflicht nach § 34 Abs. 1 Nr. 2 BDSG in Betracht kommen.

Anspruch aus allgemeinen persönlichkeitsrechtlichen Gesichtspunkten
Obersatz: Der ausgeschiedene Mitarbeiter A könnte einen Anspruch auf Einsichtnahme in die Personalakte aus allgemeinen persönlichkeitsrechtlichen Gesichtspunkten haben.

Rechtseinbußen im Zusammenhang mit der Führung qualifizierter Personalunterlagen können unabhängig davon eintreten, ob die Person, über die die Akten geführt wurden, noch bei dem betroffenen Unternehmen beschäftigt ist. So könnten ggf. etwa Auskünfte aus der Akte an zukünftige Arbeitgeber erteilt werden. Ein individualrechtlicher Einsichtsanspruch steht daher nach Ansicht des Bundesarbeitsgerichts unabhängig davon, ob dieser gesetzlich explizit verankert ist, jedem zu, über den qualifizierte Unterlagen im Zusammenhang mit einem Beschäftigungsverhältnis geführt werden. Auch solchen Personen, die nicht mehr in einem Beschäftigungsverhältnis stehen, könne eine zur Wahrung ihres informationellen Selbstbestimmungsrechts erforderliche Einsicht nicht generell verwehrt werden. Dieses Recht kann aus der auch über das Ende des Beschäftigungsverhältnisses hinauswirkenden und unter Berücksichtigung des Grundrechts auf informationelle Selbstbestimmung zu interpretierenden arbeitsrechtlichen Schutz- und Rücksichtnahmepflicht des Arbeitgebers (§ 241 Abs. 2 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG) abgeleitet werden. Der nachvertragliche Anspruch setzt nach Ansicht des Bundesarbeitsgerichts auch nicht voraus, dass der Arbeitnehmer ein konkretes berechtigtes Interesse nachweist. Zur Begründung hierzu wird insbesondere aufgeführt, dass der Betroffene seine fortbestehenden Ansprüche auf Korrektur der Akte nur geltend machen kann, wenn er auch von dem Inhalt Kenntnis hat.

Voraussetzungen:
A steht ein Anspruch auf Einsichtnahme zu, sofern der Anspruchsgegner qualifizierte Unterlagen im Zusammenhang mit einem Beschäftigungsverhältnis über ihn geführt hat.

Subsumtion:
Dies ist vorliegend der Fall.

Gegennormen: –

Ergebnis:
A steht damit ein Anspruch auf Einsichtnahme in die Personalakte aus allgemeinen persönlichkeitsrechtlichen Gesichtspunkten zu.

Der Nemo-tenetur-Grundsatz stellt eine wichtige Privilegierung im Falle von umfassenden Meldungen von Datenpannen dar

I. Der Fall Qualcomm

Am 09.04.2019 wies das EuG im Rechtsstreit Qualcomm Inc. dessen Vorwurf gegen die Europäische Kommission zurück, sie habe es in seinem Recht auf Selbstbelastungsfreiheit verletzt. Die europäischen Wettbewerbshüter hatten Qualcomm wettbewerbswidriger Absprachen verdächtigt und im Rahmen der Ermittlungen Auskünfte von dem Unternehmen verlangt. Das Gericht urteilte, dass Auskunftsverlangen der Kommission, deren Antworten lediglich faktischer Natur sind, das Recht des Unternehmens auf Selbstbelastungsfreiheit nicht verletzen. Damit bestätigt das Gericht die sehr enge Auslegung des Nemo-tenetur-Grundsatzes in europäischen Kartellrechtsverfahren durch die europäischen Gerichte, die vor 30 Jahren im Orkem-Urteil des EUGH ihren Ausgangspunkt nahm. In diesem Urteil im Streit zwischen einem französischen Chemie-Konzern und der Europäischen Kommission entwickelte das Gericht den Grundsatz, dass lediglich Aussagen, die unmittelbar einem Schuldeingeständnis entsprechen, vom Recht auf Selbstbelastungsfreiheit erfasst würden.

II. Bedeutung der Entscheidung für das Datenschutzrecht

Fraglich ist, inwieweit die §§ 42 Abs. 4, 43 Abs. 4 BDSG vor diesem Hintergrund mit der europäischen Judikatur vereinbar sind. In diesen Vorschriften hat der deutsche Gesetzgeber nämlich, im Rahmen seiner Ermächtigung aus Art. 83 Abs. 8 DS-GVO „angemessene Verfahrensgarantien“ zu schaffen, ein Recht auf Selbstbelastungsfreiheit normiert. Dieses kommt dem Verantwortlichen zugute, der nach Art. 33 DS-GVO nach einer Datenschutzverletzung binnen 72 Stunden eine Meldung an die Aufsichtsbehörde machen muss. Die §§ 42 Abs. 4, 43 Abs. 4 BDSG sehen vor, dass der Verantwortliche seine Zustimmung erteilen muss, damit die in der Meldung übermittelten Informationen in einem Straf- oder Bußgeldverfahren gegen ihn verwendet werden dürfen.

Gemäß Art. 33 Abs. 3 DS-GVO enthält die Benachrichtigung Informationen wie die Art der Datenschutz-Verletzung, die Zahl der betroffenen Personen und Datensätze und die durch den Verantwortlichen ergriffenen Maßnahmen. Solche Informationen könnten durchaus als lediglich faktischer Natur angesehen werden und mithin nicht den Ansprüchen des EUGH genügen, um durch ein Recht auf Selbstbelastungsfreiheit privilegiert zu werden.

Dennoch ist der Nemo-tenetur-Grundsatz im BDSG in einem anderen Licht zu betrachten. Zum einen lässt sich nämlich die Frage stellen, inwieweit der EUGH mit seiner Limitierung des Rechts auf Selbstbelastungsfreiheit noch den europäischen Grundrechtskanon im Blick hat. In seiner grundlegenden Orkem-Rechtsprechung erörtert er bspw. explizit, ob aus Art. 6 der Europäischen Menschenrechtskonvention (EMRK) ein Recht auf Selbstbelastungsfreiheit erwachsen kann, und kommt zu einem negativen Ergebnis. In der Tat regelt dieser Artikel zwar das Recht der Grundrechtsträger auf ein faires Verfahren, benennt aber nicht explizit den Nemo-tenetur-Grundsatz. Gleichwohl hat aber der Europäische Gerichtshof für Menschenrechte, der über die Einhaltung der EMRK wacht, inzwischen mehrfach bestätigt, dass aus Art. 6 der Konvention ein umfassendes Recht auf Selbstbelastungsfreiheit hervorgeht, das jegliche Form von Äußerungen beinhaltet, die geeignet sind, direkt oder indirekt straf- und verwaltungsrechtlich gegen den Betroffenen verwendet zu werden.

Zwar ist die EU entgegen Art. 6 Abs. 2 EUV der EMRK immer noch nicht beigetreten. Laut Art. 6 Abs. 3 EUV sind aber die Grundrechte der Konvention zumindest als allgemeine Grundsätze Teil des Unionsrechts. Spätestens durch Art. 48 der Charta der Grundrechte der Europäischen Union, die Grundrechtsträgern die Achtung ihrer Verteidigungsrechte garantiert und alle EU-Organe unmittelbar bindet, besteht eine gewichtige grundrechtliche Legitimationsgrundlage für den Gesetzgeber, den Nemo-tenetur-Grundsatz weiter auszulegen, als es die europäischen Gerichte tun.

Zum anderen ist fraglich, ob aus praktischen Erwägungen die Rechtsgedanken aus der europäischen Kartellrechtsprechung ohne weiteres auf die fraglichen BDSG-Vorschriften übertragbar sind. Einerseits war eine wesentliche Begründung des EUGH dafür, dass er den Nemo-tenetur-Grundsatz in seinen Urteilen stark beschränkt, dass die Effektivität der kartellrechtlichen Ermittlungen gewahrt werden müsse. Dies erscheint in Teilen nachvollziehbar. Der Natur der Sache nach sind wettbewerbswidrige Absprachen konspirativ und schwer nachweisbar und die Beweisführung kompliziert. Ob die Aufsichtsbehörden, welche auf Grundlage der DS-GVO arbeiten, jedoch im gleichen Maße Schützenhilfe durch die Rechtsprechung brauchen, darf bezweifelt werden. Art. 58 Abs. 1 DS-GVO sieht eine ganze Reihe von Untersuchungsbefugnissen der Aufsichtsbehörden vor. Wenn der Verdacht gegen ein Unternehmen besteht, Datenschutzrecht gebrochen zu haben, kann die Behörde Auskünfte und Informationen einholen, Zugang zu personenbezogenen Daten verlangen, Datenschutz-Audits durchführen und sich im Rahmen von Verhältnismäßigkeit und Verfahrensrecht sogar Zugang zu Räumlichkeiten und Computern verschaffen. Verstöße gegen das Datenschutzrecht, wie ein prominenter Fall, bei dem ein Chat-Portal entgegen seinen Pflichten aus Art. 32 DS-GVO Userdaten unverschlüsselt speicherte, sind verhältnismäßig einfach festzustellen und zu beweisen.

Andererseits führen auch teleologische Erwägungen zu einer anderen Beurteilung der Privilegierung selbstbelastender Aussagen im Datenschutzrecht als im Kartellrecht. In Fällen, in denen die EU-Kommission gegen Unternehmen wegen Verdacht auf wettbewerbswidriges Verhalten ermittelt und Auskunftsverlangen einholt, tut sie das aufgrund von Hinweisen durch andere Unternehmen, oder weil sie selbst Anhaltspunkte dafür sieht. Art. 33 DS-GVO sieht hingegen vor, dass jemand, in dessen Verantwortung sich eine Datenschutzverletzung ereignet hat, diese proaktiv an die zuständige Behörde meldet. Lieferte derjenige zeitgleich die Grundlage für ein Straf- oder Bußgeldverfahren gegen sich an die Behörde, wäre aus Sicht des Verantwortlichen ein starker Anreiz geschaffen, eine solche Meldung erst gar nicht zu machen. Das ist ein bedeutendes Argument für den Nemo-tenetur-Grundsatz im Datenschutzrecht, der im Kartellrecht keine Berücksichtigung finden konnte.

III. Fazit

Mithin kann man die Rechtsprechung des EUGH zum Recht auf Selbstbelastungsfreiheit im kartellrechtlichen Ermittlungsverfahren mit Blick auf die Grundrechte kritisch hinterfragen. Es ist richtig, im Datenschutzrecht einen anderen Weg zu gehen. Außerdem sprechen auch praktische Erwägungen für die Berechtigung der Privilegierung dieser Meldung gem. §§ 42 Abs. 4, 43 Abs. 4 BDSG durch den deutschen Gesetzgeber, insbesondere der Anreiz für Verantwortliche, eine Datenschutzpanne auch wirklich zu melden.