Dr. iur. Matthias Lachenmann
Rz. 7
Die DSGVO enthält Regelungen zur Verarbeitung personenbezogener Daten von Beschäftigten, Kunden oder anderen natürlichen Personen durch automatisierte Datenverarbeitungsvorgänge innerhalb der EU. Voraussetzung für die Frage der Anwendbarkeit des Datenschutzrechts ist also, dass ein gespeichertes Datum Personenbezug aufweist (I., Rdn 8 ff.). Wurde der Personenbezug bejaht und das Verhältnis von nationalem zu europäischem Recht geklärt (II., Rdn 17 ff.), sind die aus der Anwendung der DSGVO folgenden Pflichten des Arbeitgebers zu klären (III.-VI., Rdn 20 ff., 32 ff.). In diesem Kapitel werden die grundlegenden datenschutzrechtlichen Voraussetzungen im Arbeitsverhältnis beschrieben, Einzelfälle der Datenverarbeitung von Beschäftigtendaten werden in den diversen Kapiteln dieses Buches beschrieben.
I. Personenbezug von Beschäftigtendaten
Rz. 8
Personenbezogen ist grundsätzlich jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht (Art. 4 Nr. 1 DSGVO). Der Personenbezug ist stets dann eindeutig zu bejahen, wenn direkte Rückschlüsse auf natürliche Personen, insbesondere namentlich benennbare Beschäftigte möglich sind. Die gesetzliche Definition und die Auslegung durch den EuGH sind aber sehr weitgehend, so dass auch im Falle einer Pseudonymisierung oder Verschlüsselung von Beschäftigtendaten ebenso wie bei einer eher abstrakten Möglichkeit der Re-Identifizierung in aller Regel von einem Personenbezug auszugehen sein wird, wie nachfolgend näher darzustellen ist.
1. Weite Definition des Personenbezugs
Rz. 9
Der Begriff des Personenbezuges ist – sowohl nach der DSRL als auch der DSGVO – sehr weitgehend. Zunächst ist eindeutig, dass Informationen wie der Name von Arbeitnehmern oder ihnen zugeordneten Bruttoentgelte personenbezogene Daten sind. So entschied der Europäische Gerichtshof zu IP-Adressen, dass solche pseudonymen Zuordnungsziffern dann als personenbezogen gelten, wenn eine Stelle über rechtliche Mittel verfügt, die es ihr erlauben, die betreffende Person anhand von Zusatzinformationen, über die ein Dritter verfügt, bestimmen zu lassen. Zuletzt nahm das BAG ausdrücklich Bezug auf die Entscheidungen des EuGH und sah unter Verweis auf frühere EuGH-Urteile zum Personenbezug keinen Grund für eine Vorlage. Konkreter äußerte sich der BGH, der in einer Entscheidung das weite Verständnis des Personenbezugs bestätigte und entschied, dass sich der Auskunftsanspruch auch auf zwischen den Parteien gewechselte Schreiben, interne Vermerke und Kommunikation oder Korrespondenz mit Dritten, soweit diese jeweils dem Betroffenen zuordenbare Informationen beinhalten. Bei der Bestimmung des Personenbezugs ist – selbst wenn eine Verknüpfung von Kennziffer und Namen nur durch wenige Stellen durchgeführt werden kann – zu prüfen, inwieweit eine Zugriffsmöglichkeit auf diese Stellen besteht. Beispielsweise die Personalnummern der Mitarbeiter gelten damit innerhalb eines Unternehmens für jedermann als personenbezogen, da eine Zuordnung jedenfalls über die Personalabteilung hergestellt werden kann. Auch wird ein Beschäftigter vielfach durch Angaben von Alter, Betriebszugehörigkeit oder Abteilung identifizierbar sein.
Rz. 10
Die von der DSGVO verwendete Definition des Personenbezuges stellt, in Art. 4 Abs. 1 DSGVO noch eher offen formuliert, auf die mögliche Identifizierbarkeit einer natürlichen Person ab. Ergänzt wird die Vorgabe durch ErwG 30 DSGVO, laut dem eine Zuordnung weiterer Informationen zu einem Betroffenen wie Online-Kennungen oder Funkfrequenzkennzeichnungen Spuren hinterlassen und somit zu einem Personenbezug führen können. Nach der EuGH-Rechtsprechung führt grundsätzlich jede, ggf. auch nur mittelbar bestehende, Möglichkeit der Zuordnung zu einer natürlichen Person zur Bejahung des Personenbezuges. Selbst wenn die aktive Herstellung des Personenbezugs durch eine dritte Stelle erfolgt, gilt das Datum für die anderen beteiligten Stellen als personenbezogen. Die Wertung haben die Datenschutz-Aufsichtsbehörden übernommen: Ein Personenbezug sei danach anzunehmen, wenn "eine Unterscheidung dieser Person von anderen Personen ermöglicht" wird, selbst wenn diese Unterscheidung nur auf Basis von Pseudonymen erfolge. Das führt dazu, dass grundsätzlich jedes Pseudonym als personenbezogen zu werten ist – selbst wenn einer Stelle nur das Pseudonym und nicht zugleich auch die Zuordnungsmöglichkeit vorliegt.
Rz. 11
Beispiel
Typische Beispiele für personenbezogene Daten im Beschäftigtenkontext sind:
▪ |
Name, Adresse, E-Mail-Adresse und Telefonnummern (auch bspw. bei Hinterlegung im Sourcecode einer Software) |
▪ |
Bankdaten zur Überweisung des Lohnes |
▪ |
Steuer-ID, Religionszugehörigkeit und weitere steuerbezogene Daten |
▪ |
Personalkennziffer (selbst wenn einer Abteilung oder einem Konzernunternehmen der Mitarbeitername nicht bekannt ist) |
▪ |
individuelle Gerätekennziffern von mobilen Endgeräten (z.B. UDID, interne Zuordnungsnummer für die IT-Abteilung) |
▪ |
Alias-Namen, Login-Daten oder IP-Adressen bei Erhebung über ein Whistleblower-Portal |