2 wichtige Urteile des EuGH
Der EuGH hat in den letzten Wochen direkt 2 für Deutschland wichtige Entscheidungen im Bereich Datenschutz getroffen. Von beiden Entscheidungen möchten wir Ihnen hiermit berichten und aufzeigen, welche Änderung sich dadurch ggf. für Ihr Unternehmen ergibt.
Auskunftsrecht nach Art. 15 DSGVO – was ist eine Kopie?
Gem. Art. 15 Abs. 3 DSGVO muss der Verantwortliche bei einem Auskunftsersuchen eine Kopie der verarbeiteten personenbezogenen Daten an den Betroffenen übermitteln. Regelmäßig kam es dabei zur Diskussion, was eine Kopie aus Sicht des Datenschutzes ausmacht. Dabei gab es 2 Standpunkte, die von den Datenschützern vertreten wurden:
Eine Kopie ist eine originalgetreue Abbildung des Datenträgers, der die personenbezogenen Daten enthält. Klingt sperrig, gemeint ist letztlich, dass der Verantwortliche dem Betroffenen das gesamte Dokument, worin die personenbezogenen Daten enthalten sind, an den Betroffenen in Kopie übermitteln muss. Also auch E-Mails, die Personalakte, Bewertungen – eigentlich alles, es sei denn, es würde die Rechte und Freiheiten Dritter beeinträchtigen. Im Grunde also eine Fotokopie der betroffenen Dokumente.
Die andere herrschende Meinung ging davon aus, dass es reicht für eine Kopie eine aggregierte Zusammenfassung der verarbeiteten (gespeicherten) personenbezogenen Daten zur Verfügung zu stellen. Dieser Meinung hatten wir uns ebenfalls angeschlossen, weshalb unser Antwortmuster auf eine Auskunftsanfrage in unseren Musterformularen auch eine tabellarische Zusammenstellung von personenbezogenen Daten vorsah.
Was hat der EuGH entschieden?
Mit der Frage, was aus Sicht der DSGVO nun eine Kopie ist, hat sich auch der EuGH nun befassen dürfen. Dabei stellte er in seinem Urteil fest, dass die zu beauskunftenden Daten weit zu fassen sein. Zu den Daten gehören beispielsweise alle subjektiven und objektiven Informationen zum Betroffenen, also ebenfalls dokumentierte Stellungnahmen oder Beurteilungen. Die Beauskunftung muss daher so erfolgen, dass es dem Betroffenen möglich ist, den Datenverarbeitungsvorgang, der zu diesen personenbezogenen Daten geführt hat, zu erkennen und bewerten. Trotzdem ist mit „Kopie“ nicht grundsätzlich ein Dokument gemeint, sondern der Begriff bezieht sich auf die personenbezogenen Daten.
Was bedeutet dies nun für die Praxis?
In der Regel wird bei vielen Auskunftsanforderungen eine tabellarische Beantwortung der Anfrage möglich sein. Ggf. lohnt es sich, eine knappe Information mitzuliefern, z.B. dass „die Datenherkunft der Personalfragebogen ist, der bei der Begründung des Arbeitsverhältnisses ausgefüllt wurde“.
Nur in den Fällen, in denen eine Information sich ohne den notwendigen Kontext für den Betroffenen nicht erschließt, wird eine weitergefasste Auskunft notwendig sein. In diesen Fällen kann es dann notwendig sein, dass das zugrundeliegende Dokument kopiert wird, oder zumindest die Verarbeitungssituation genauer beschrieben werden muss.
Entscheidung in der Rechtssache C-487/21
Öffnungsklauseln und die Umsetzung im deutschen Recht
Bei dieser Frage an den EuGH geht es darum, ob die vom deutschen Gesetzgeber z.B. im BDSG gemachten „Konkretisierungen“ zum Datenschutz die Anforderungen der DSGVO erfüllen.
Im vorliegenden Fall geht es dabei um die Vorgaben an die Datenverarbeitung im Beschäftigungskontext, die gem. Art. 88 DSGVO vom lokalen Gesetzgeber „durch Rechtsvorschriften … spezifischere Vorschriften … vorsehen“ können.
Was hat der EuGH entschieden?
Genau daran fehlt es jedoch in der nationalen Umsetzung, denn laut den EuGH gebe der §26 Abs. 1 BDSG lediglich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Vertragsdurchführung „erforderlich“ ist. Dieser Regel fehle es daher an einer spezifischen Regelung, denn im Grunde gilt diese Erforderlichkeit für alle Datenverarbeitungen, die sich auf einen Vertrag zwischen einem Verantwortlichen und einem Betroffenen beziehen.
Was bedeutet dies nun für die Praxis?
Für die Praxis liegt darin aber auch genau die Lösung: Anstelle sich im Beschäftigungsverhältnis auf Art. 88 DSGVO i.V.m. §26 BDSG zu stützen, wird die Verarbeitung der personenbezogenen Daten zukünftig nach Art. 6 Abs. 1 lit. b DSGVO (zur Vertragserfüllung) notwendig sein. Ersatzweise kann ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO vorliegen, wenn die Verarbeitung zwar nicht zur Erfüllung des Arbeitsvertrages notwendig ist, aber z.B. die Sicherheit oder Effizienz im Unternehmen verbessert, dann aber bitte mit Abwägung der Interessen.
Damit vereinheitlicht sich die Rechtslage in Bezug auf die Verarbeitung von Beschäftigtendaten in Europa, denn uns war bisher kein anderer Mitgliedsstaat bekannt, der eine solche „Sondervorschrift“ für den Beschäftigtendatenschutz eingeführt hat und damit galt die Kombination aus Art. 6 Abs. 1 lit. b und f DSGVO bisher schon in allen anderen Staaten.
Allerdings ist nun etwas „Fleißarbeit“ notwendig! Denn die Angaben im Verzeichnis der Verarbeitungstätigkeiten, in den Datenschutzinformationen für Bewerber und Mitarbeiter, sowie ggf. gemachte Informationen auf Formularen sind nun dahingehend zu prüfen, ob darin auf den §26 BDSG für die Datenverarbeitung verwiesen wird. Falls dem so ist, sollte dies durch die passende Rechtsvorschrift aus Art. 6 DSGVO ausgetauscht werden.
EuGH, Urteil v. 30. März 2023 – C-34/21
Der Beitrag 2 wichtige Urteile des EuGH erschien zuerst auf CompliPro GmbH.