Das Bundesarbeitsgericht (BAG) hat am 06.06.2023 entschieden, dass ein Betriebsrats-Vorsitzender nicht gleichzeitig auch Datenschutzbeauftragter (DSB) sein darf (BAG, Urteil vom 06.06.2023, Az.: 9 AZR 383/19). Das BAG hat die Frage vor seiner Entscheidung dem EuGH vorgelegt und der hat sich zu diesem Thema auch klar geäußert.

Begründung

Laut EuGH kann eine Person in einem Unternehmen nicht gleichzeitig DSB sein und über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dann wäre eine wirksamer Datenschutzkontrolle durch den DSB nicht mehr möglich, er würde sich ja selber kontrollieren.

Das BAG hat in seiner Begründung festgestellt, dass zumindest der Betriebsrats-vorsitzende im Zusammenhang mit seiner Funktion im Betriebsrat über Zwecke und Mittel der Datenverarbeitung entscheidet. Somit ist diese Funktion (DSB) nicht mit der Funktion des Betriebsratsvorsitzenden vereinbar und eine Benennung kann daher widerrufen werden.

Welche Auswirkungen hat dieses Urteil?

Alle Unternehmen, bei denen die leitenden Personen der Mitbestimmungsorgane (Betriebs- oder Personalrat) auch gleichzeitig als DSB berufen sind, sollten diese Person dringend abberufen. In diesen Fällen besteht laut dem Gericht KEINE erforderliche Voraussetzung.

Auch wenn das BAG die Frage, ob ein normales Betriebsratsmitglied DSB sein darf bewusst offen gelassen hat, ist unsere Auffassung, dass dieser Zustand auf Dauer auch keinen Bestand haben wird. Deshalb meine Empfehlung, diese Funktionen alsbald zu trennen.

Wer darf noch kein DSB sein?

Durch den job-bedingten Interessenskonflikt scheiden folgende Personengruppen per Definition von vorne herein aus: 

• Geschäftsführer
• Vorstände
• IT-Administratoren
• Prokuristen 
• sowie Anwälte des Unternehmens

Die o.g. Personen handeln in eigenem Interesse für das Unternehmen. Der DSB sollte hingegen frei von Interessenskonflikten und unabhängig sein, um das Ergebnis datenschutzrechtlicher Vorfälle nicht zu „verfälschen“ und somit nicht sich selbst zu kontrollieren.

Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 6 Abs. 1 lit. b-f DSGVO. Hiernach dürfen personenbezogene Daten zu folgenden Zwecken verarbeitet werden

• zur Erfüllung vertraglicher- und vorvertraglicher Pflichten ( Art. 6 Abs. 1 lit. b DSGVO),
• zur Erfüllung rechtlicher Pflichten ( Art. 6 Abs. 1 lit. c DSGVO),
• zum Schutz lebenswichtiger Interessen ( Art. 6 Abs. 1 lit. d DSGVO),
• zur Wahrnehmung öffentlicher Interessen und zur Ausübung öffentlicher Gewalt ( Art. 6

  Abs. 1 lit. e DSGVO) sowie

• zur Wahrung berechtigter Interessen ( Art. 6 Abs. 1 lit. f DSGVO).

Zur Rechtfertigung der Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO muss der Verantwortliche prüfen und sicherstellen, dass die Datenverarbeitung zur Vertragserfüllung erforderlich ist. Der Umfang zulässiger Verarbeitungsvorgänge ergibt also insbesondere aus der vertraglichen Leistungsbestimmung.

Die Verarbeitung im berechtigten Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO erfordert, dass diese erforderlich ist und keine berechtigten Interessen der betroffenen Personen entgegenstehen. Bei dieser Interessenabwägung sind Interessen, Grundrechte und Grundfreiheiten der Betroffenen zu berücksichtigen. In Art. 6 Abs. 1 lit. f DSGVO ist jetzt ausdrücklich geregelt, dass bei der Verarbeitung personenbezogener Daten von Kindern deren Interessen in besonderem Maße zu berücksichtigen sind.

Aus Art. 6 Abs. 1 lit. f DSGVO und dem Erwägungsgrund 47 ergeben sich die Kriterien der angemessenen Beziehung zwischen dem Verantwortlichen und dem Betroffenen sowie der Vorhersehbarkeit der Datenverarbeitung für den Betroffenen. Soweit daher z.B. eine gewachsene Kundenbeziehung zwischen Verantwortlichem und Betroffenen besteht, sind allgemein übliche Datenverarbeitungen leichter zu rechtfertigen. Auch nach der neuen Rechtslage wird es aber auf eine Prüfung und Bewertung des konkreten Verarbeitungszusammenhangs im Einzelfall ankommen.

Grundsätzlich gilt: alle personenbezogenen Daten, die elektronisch übermittelt werden, müssen verschlüsselt sein. Die Mindestanforderung ist hier, bei Office-Dokumenten und PDF-Dateien ein Passwort für die Öffnung zu hinterlegen.

Besser ist es, die Daten als Anhang zu verschlüsseln und dann zu versenden. (z.B. mit encrypto https://macpaw.com/encrypto

Optimal ist die direkte Verschlüsselung mit dem öffentlichen Schlüssel des Empfängers.

Voraussetzung für die Verarbeitung auf privaten Geräten ist unter anderem, dass ein hinreichender technischer Zugriffsschutz auf die gespeicherten Daten besteht. Insofern muss ein Passwortschutz eingerichtet werden. Durch ein abschließbares Arbeitszimmer muss sichergestellt werden, dass Mandantendaten nicht dem unberechtigten Zugriff Dritter ausgesetzt werden. Benutzen bspw. Familienmitglieder den PC, müssen Verschlüsselungstechniken angewandt werden sowie Sicherungskopien erstellt werden.

Überall, wo personenbezogene Daten verarbeitet werden, müssen Datenträger aufbewahrt, transportiert und nach Ablauf der Löschfristen vernichtet werden. Neben magnetischen Datenträgern (Disketten, Magnetbänder, Magnetplatten) und optischen Datenträgern (Mikrofiche, CD-ROM, WORM, MO) ist Papier weiterhin ein wichtiger Datenträger. Auch dürfen in diesem Zusammenhang die Farbbänder aus den Schreibmaschinen sowie den Ausweis-Druckern nicht unberücksichtigt bleiben! Auf Datenträgern gespeicherte personenbezogene Daten sind durch technische und organisatorische Maßnahmen zu schützen. Es ist zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle). Insbesondere Schriftgut, das von jedermann unmittelbar gelesen werden kann, sollte vor unbefugter Kenntnisnahme geschützt aufbewahrt werden. Diese datenschutzrechtlichen Forderungen sind in jedem Fall auch bei der Vernichtung bzw. Entsorgung nicht mehr benötigter Datenträger zu beachten.

Eine ordnungsgemäße Entsorgung erfordert auch das Aufstellen von Abfallbehältern, die vor einem unberechtigten Zugriff geschützt sind bzw. statt dieser den Einsatz eines Aktenvernichters oder eines Schredders. So kann vorbeugend ein eventueller Datenmissbrauch durch Unbefugte oder Achtlosigkeit der Mitarbeiter verhindert werden.

Sofern Unterlagen nicht archivwürdig sind, sollten folgende Grundsätze für eine datenschutzrechtliche Entsorgung von Schriftgut mit personenbezogenen Daten beachtet werden:

• Gesetzlich vorgeschriebene Löschungsfristen sind einzuhalten.
• Die Vernichtung von Schriftgut im eigenen Sachbereich mittels eines Aktenvernichters oder eines Schredders ist die einfachste und zugleich sicherste Lösung. Das Sammeln von zu vernichtendem Datenmaterial sollte immer in Behältern erfolgen, die vor unbefugtem Zugriff geschützt sind.
• Die Vernichtung sollte möglichst umgehend erfolgen.
• Wird mit der Entsorgung eine andere Stelle beauftragt, so handelt es sich hierbei um Auftragsdatenverarbeitung. Der Auftrag zur Vernichtung der personenbezogenen Daten, die Festlegung zu den technischen und organisatorischen Maßnahmen sowie die Zulassung von Unterauftragsverhältnissen sind schriftlich festzulegen. Der Auftraggeber trägt weiterhin die Verantwortung für eine datenschutzgerechte Vernichtung seiner Daten. Er sollte sich persönlich vor Ort von der sicheren Entsorgung seiner Daten durch den Auftragnehmer überzeugen.
• Die Einhaltung der Maßnahmen ist zu kontrollieren.

Ein jeder Betroffener (Mitarbeiter, Kunde, Mitglied, etc.) kann folgende Rechte einfordern:

• Auskunftsrecht gem. Art. 15 DSGVO (Auskunft über die Daten)
• Recht auf Berichtigung gem. Art. 16 DSGVO (Korrektur von Daten zum Betroffenen)
• Recht auf Löschung bzw. Einschränkung gem. Art. 17 und 18 DSGVO
  Nach Art. 17 DSGVO kann ein Betroffener die Löschung seiner Daten fordern. Hierbei ist jedoch zu beachten, dass nach §257 HGB und §147 AO Belege für eine gewisse Zeit aufbewahrt werden müssen. Dies gilt auch für den e-Mail Verkehr und die eingegangene Löschanfrage.
• Recht auf Datenübertragbarkeit Art. 20 DSGVO (Übertragung des Datensatzes in einem gängigen maschinenlesbaren Format)
• Widerspruchsrecht Art. 21 DSGVO (Widerspruch gegen eine zuvor erteile Einwilligung)

Bitte jedem Ersuchen ist bitte der Datenschutzbeauftragte bzw. die Geschäftsleitung zu unterrichten, denn die Regelfrist für eine Antwort beträgt 1 Monat.