Auskunftsansprüche gegen den Arbeitgeber sind zunehmend üblich, nicht nur im Rahmen von Kündigungsschutzstreitigkeiten. Bislang war die Frage ungeklärt, wie in diesem Zusammenhang die Verpflichtung des Arbeitgebers auszulegen ist, dem Arbeitnehmer eine „Kopie“ der personenbezogenen Daten, welche Gegenstände der Verarbeitung sind, zur Verfügung zu stellen. Eine aktuelle Entscheidung des EuGH schafft hier etwas mehr Klarheit, lässt aber noch einige Fragen offen.
Geklagt hatte ein österreichischer Bürger gegen die österreichische Kreditauskunftei CRIF, welche Informationen über die Bonität von Unternehmen und Individuen bereitstellt. Diese hatte lediglich eine Liste seiner personenbezogenen Daten nur in aggregierter Form übermittelt. Der Kläger hatte daraufhin sich zunächst erfolglos an die österreichische Datenschutzbehörde, sodann an das österreichische Bundesverwaltungsgericht gewandt, welches den Rechtsstreit dem EuGH vorlegte.
Die Entscheidung des EuGH
Die Entscheidung des Gerichts lautet, der betroffenen Person (im Arbeitsrecht also dem Arbeitnehmer) sei im Rahmen der Auskunft nach Art. 15 DS-GVO eine originalgetreue und verständliche Reproduktion all jener Daten zu übermitteln, die über ihn verarbeitet werden. Hierzu könne auch die Verpflichtung gehören, eine Kopie von ganzen Dokumenten oder von Auszügen von Dokumenten zur Verfügung zu stellen oder aber von Auszügen aus Datenbanken, die solche Daten enthalten, wenn dies erforderlich sei, damit die betroffene Person ihre betroffenen Rechte nach der DS-GVO geltend machen kann.
Diese Formulierung, die auf die Erforderlichkeit zur Rechteausübung abstellt, überlässt dem Arbeitgeber einen sehr weiten und schwierig auszufüllenden Beurteilungsspielraum. Gerade im langjährigen Arbeitsverhältnis sammeln sich große Mengen personenbezogener Daten an, die entweder vom Arbeitnehmer selbst produziert wurden (Arbeitsergebnisse, E-Mails, interne Mitteilungen etc.) oder über ihn produziert wurden (Gesprächsprotokolle zu Konferenzen, an welchen er teilgenommen hat; arbeitsrechtliche Beurteilungen etc.). Der Arbeitgeber als Verantwortlicher im datenschutzrechtlichen Sinne soll nun entscheiden, inwieweit diese Informationen erforderlich sein könnten, damit der Arbeitnehmer seine betroffenen Rechte aus Art. 16 (Berichtigung), Art. 17 (Löschung), Art. 18 (Einschränkung) und Art. 21 (Widerspruch) DS-GVO geltend machen kann. Das lässt einen Gestaltungsspielraum. Dabei ist es aber ratsam, im Begleitschreiben zu der Auskunftserteilung gut zu begründen, welche Informationen man für erforderlich zur Rechteausübung gehalten hat.
Die Informationen sind dem Arbeitnehmer in leicht verständlicher Form bereitzustellen. Das kann es erforderlich machen, die Dokumente und Auszüge aus Datenbanken in einen Kontext zu stellen, um deren Verständlichkeit zu erhöhen, so etwa dann, wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Datenfeldern beruhen, d. h. einer fehlenden Angabe, aus der sich eine Information über die betroffene Person ergibt.
Folgen für Arbeitgeber
Die Entscheidung ist für die Arbeitgeberseite keine Katastrophe, aber sorgfältig zu beachten. Schon in der Vergangenheit war es angesichts drohender Schadenersatzansprüche und Bußgelder ratsam, den Anspruch nach Art. 15 DS-GVO ernst zu nehmen. Dazu gehörte es auch, eine Kopie jener personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Im Falle von umfangreicheren Datenmengen kann hierfür die Inanspruchnahme eines Data Discovery Service erforderlich sein, sei es im Hause der Arbeitgeberseite oder durch einen externen Dienstleister. Die sich ergebenden Daten müssen durchgesehen und geprüft werden im Hinblick auf die Rechte und auf schutzwürdige Interessen dritter Personen. Die Namen anderer Arbeitnehmer und Geschäftsgeheimnisse müssen geschwärzt werden.
Des Weiteren empfiehlt es sich, sich bereits im Vorfeld etwaiger Auskunftsansprüche einen Überblick darüber zu verschaffen, in welchen Systemen und Netzwerken personenbezogene Daten von Arbeitnehmern gespeichert sind. Auch empfiehlt sich die Einführung eines strikten Löschkonzepts. Denn Daten, die zum Zeitpunkt, indem der Auskunftsanspruch geltend gemacht wird, bereits auf Basis eines Löschkonzepts gelöscht sind, müssen und können nicht herausgegeben werden.
Die Entscheidung des EuGH vom 04.05.2023 reiht sich ein in eine Reihe von weiteren aktuellen Entscheidungen und Stellungnahmen im Kontext des Auskunftsanspruches nach Art. 15 DS-GVO:
- Am 28.03.2023 hat der Europäische Datenschutzausschuss seine Richtlinien zum Auskunftsanspruch nach Art. 15 DS-GVO aktualisiert und neu herausgegeben. Im Hinblick auf die Zurverfügungstellung einer Kopie entspricht die dort vertretene Auffassung der jetzt auch vom EuGH entschiedenen Rechtslage, nämlich, dass nicht lediglich eine Zusammenfassung der Daten herauszugeben ist, sondern eine Kopie aller personenbezogenen Daten, wenn auch nicht notwendigerweise eine Reproduktion sämtlicher Originaldokumente (Seite 13).
- Am 12.01.2023 entschied der EuGH im Urteil zu C-154/21 „Österreichische Post“, dass zur Beantwortung des Auskunftsanspruchs erforderlich ist, die Empfänger der Daten nicht nur nach Kategorien zu benennen (also nicht nur nach den Schlagworten „Payroll Service“, „IT Provider“ und „Data Warehouse“), sondern die konkreten Empfänger der personenbezogenen Daten, somit also den externen Payroll Service, den externen IT Dienstleister und den externen Datenspeicherdienst jeweils mit Namen und Anschrift (vergleiche zu dieser Entscheidung unseren Blog vom 18.01.2023).
- Entgegen zum Teil anders lautender LAG-Rechtsprechung entschied am 25.01.2023 das LAG Nürnberg, dass bei Verstoß gegen den Auskunftsanspruch nach Art. 15 DS-GVO kein Anspruch auf Schadenersatz besteht (vergleiche hierzu unser Vlog vom 04.05.2023).