Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
07. April 2018

Datenportabilität: Auch Arbeitnehmer haben Anspruch auf eigene Daten

Datenportabilität: Auch Arbeitnehmer haben Anspruch auf eigene Daten
Bild: vadimguzhva / iStock / Thinkstock
5,00 (1)
drucken
Auskunft und Datenübertragbarkeit
Die DSGVO führt u.a. das Recht auf Auskunft und auf Datenportabilität ein. Unstrittig ist, dass auch Arbeitnehmern diese Rechte zustehen. Die im Unternehmen Verantwortlichen müssen sich daher im Vorfeld Gedanken machen, wie sie die neuen Anforderungen in die Praxis umsetzen.

Die EU-Datenschutz-Grundverordnung (DSGVO) hat u.a. zum Ziel, die Rechte der Betroffenen zu stärken. Zu diesen Rechten zählt auch das Recht auf Herausgabe von Daten (=Recht auf Auskunft).

Konkret kann ein Arbeitnehmer (=Betroffene) Informationen über die personenbezogenen Daten, die sein Arbeitgeber verarbeitet, und eine Kopie dieser Daten verlangen (Art. 15 DSGVO). Außerdem hat er das Recht, diese Daten unter bestimmten Umständen an einen anderen übertragen zu lassen (=Datenportabilität nach Art. 20 DSGVO).

Gerade Letzteres ist praktisch, etwa bei Daten, die Mitarbeiter mühsam in ein webbasiertes Formular eingegeben haben.

Gleiche Rechte für Arbeitnehmer

Gemäß Art. 88 Abs. 1 DSGVO steht es dem deutschen Gesetzgeber frei, spezielle Vorschriften für den Beschäftigtendatenschutz zu erlassen.

Soweit es um den Umgang mit den Beschäftigtendaten an sich und dessen Legitimierung geht, hat der deutsche Gesetzgeber mit § 26 BDSG-neu eine entsprechende Regelung geschaffen.

Sofern es allerdings um die Betroffenenrechte geht, hat er von dieser Möglichkeit Abstand genommen. Damit sind die Regelungen der Art. 12 ff. DSGVO vollumfänglich für Arbeitnehmer anwendbar.

Ausgangspunkt: Art. 12 DSGVO

Art. 12 DSGVO legt die Grundsätze fest, die Verantwortliche bei den Betroffenenrechten zu beachten haben:

  • Die Auskunft muss u.a. präzise, verständlich und leicht zugänglich sein sowie klar und einfach in der Sprache.
  • Stellt der Mitarbeiter den Antrag auf Auskunft elektronisch, so sollte der Arbeitgeber auch elektronisch dem Begehren nachkommen. Es sei denn, der Arbeitnehmer gibt Abweichendes an.
  • Idealerweise stellt der Arbeitgeber dem Arbeitnehmer ein System zur Verfügung, über das er die Daten abrufen kann (Erwägungsgrund 63).

Achtung: Die DSGVO gibt Fristen vor!

Der Arbeitgeber muss unverzüglich, jedoch innerhalb eines Monats auf das Recht reagieren, das der Arbeitnehmer geltend macht. Nur dann, wenn der Arbeitgeber aufgrund einer Vielzahl von Anfragen oder der Komplexität der Anfrage nicht innerhalb dieser Frist Auskunft über seine personenbezogenen Daten, die im Unternehmen verarbeitet werden, erteilen bzw. die Daten übergeben kann, verlängert sich diese Frist um weitere zwei Monate.

In diesem Fall muss der Arbeitgeber den Arbeitnehmer aber innerhalb eines Monats nach Erhalt der Anfrage entsprechend informieren und ihm die Gründe der Verzögerung mitteilen.

Die Monatsfrist gilt auch, wenn der Arbeitgeber die Auskunft verweigert oder die Daten nicht übergeben will. In diesem Fall muss er den Arbeitnehmer über die Gründe und mögliche Beschwerderechte bei einer Aufsichtsbehörde bzw. einen gerichtlichen Rechtsbehelf informieren.

Welche personenbezogene Daten umfasst das Recht auf Auskunft?

Die Auskunft umfasst nach Art. 15 Abs. 1, 2 DSGVO

  • Informationen über die Kategorien der verarbeiten Daten, inklusive einer Kopie aller Daten, die der Verantwortliche über den Arbeitnehmer gespeichert hat,
  • die Zwecke der Verarbeitung,
  • die Empfänger oder Kategorien von Empfängern, denen gegenüber die Daten offengelegt wurden/werden,
  • sofern die Empfänger ihren Sitz in einem Drittland oder bei internationalen Organisationen haben: Informationen über die geeigneten Garantien, die den Transfer nach Art. 46 ff. DSGVO rechtfertigen,
  • falls möglich, die Speicherdauer oder die Kriterien für die Bestimmung der Speicherdauer,
  • das Bestehen von Betroffenenrechten (z.B. Rechte auf Löschung, Berichtigung, Einschränkung der oder Widerspruch gegen die Verarbeitung),
  • mögliche Beschwerderechte bei einer Aufsichtsbehörde,
  • die Herkunft der Daten (wenn z.B. ein anderes Konzernunternehmen sie erhoben hat) und
  • Informationen u.a. über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, die dahinterstehende Logik und die Konsequenzen für den Arbeitnehmer.

Umfang der Auskunft an Betroffene

Die Auskunft umfasst sämtliche Daten, die der Verantwortliche über den betroffenen Arbeitnehmer gespeichert hat. Dazu gehören nicht nur Daten, die in den HR-Systemen gespeichert sind, sondern auch Daten, die anfallen, wenn ein Mitarbeiter Dienst-Handys, Laptops, Webseiten oder Zeiterfassungssysteme nutzt. Damit geht die DSGVO weiter als die bisherige Rechtslage.

Eine Verpflichtung, das Auskunftsbegehren einzugrenzen, ist nicht vorgesehen. Erwägungsgrund 63 zur DSGVO erwähnt lediglich, dass dann, wenn „eine große Menge von Informationen über die betroffene Person“ verarbeitet wird, eine Präzisierung erforderlich ist. Offen ist zurzeit, wann dies der Fall ist. Die Aufsichtsbehörden haben dazu noch keine abschließende Position veröffentlicht.

Grenzen der Datenauskunft

Art. 15 Abs. 4 DSGVO sieht vor, dass die Übergabe der Datenkopie die Rechte und Freiheiten Dritter nicht beeinträchtigen darf. Gemäß Erwägungsgrund 63 DSGVO können dies insbesondere Geschäftsgeheimnisse oder Urheberrechte sein.

Hier müssen Verantwortliche konkret prüfen, ob im Einzelfall eine Kollision mit Rechten Dritter vorliegt. Das kann etwa der Fall sein bei internen Beurteilungsvermerken zur betroffenen Person oder vertraulicher Kommunikation mit dem Betriebsrat.

Der Arbeitgeber darf die Auskunft dann nur hinsichtlich der Teile verweigern, die solche Rechte beeinträchtigen könnten. Das Unternehmen ist insofern gegenüber der betroffenen Person beweispflichtig. In der Praxis ließe sich z.B. der kritische Teil der Kopie schwärzen.

Recht auf Datenübertragung – Datenportabilität beachten

Neu ist auch das Recht, die Übergabe der eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen (Datenportabilität).

Der Arbeitnehmer kann entweder eine Übergabe an sich selbst oder an einen Dritten – soweit dies technisch machbar ist – verlangen (Art. 20 DSGVO). Dieses Recht gilt allerdings nur, wenn

  • die Verarbeitung auf einem Vertrag oder einer Einwilligung beruht,
  • sie mithilfe automatisierter Verfahren erfolgt und
  • der Betroffene selbst die Daten bereitgestellt hat.

Während ein Arbeitgeber üblicherweise Daten aufgrund eines Arbeitsvertrags bzw. mit der Einwilligung des Arbeitnehmers in seinen Systemen verarbeitet, ist fraglich, in welchen Fällen der Arbeitnehmer seine Daten „bereitstellt“.

Bereitstellung von personenbezogene Daten

Die Art.-29-Arbeitsgruppe hat bereits am 13. Dezember 2016 eine Guideline zu dem Thema veröffentlicht (WP 242). Danach soll eine Bereitstellung immer dann vorliegen, wenn

  • der Betroffene die Daten aktiv und bewusst dem Verantwortlichen zur Verfügung stellt oder
  • die Daten aufgrund der Nutzung des Service und eines Trackings oder einer Beobachtung durch den Verantwortlichen anfallen (observed data). Das umfasst z.B. auch Standortdaten bei Diensthandys.

Nicht darunter fallen Daten, die der Verantwortliche auf der Basis von bereits bereitgestellten Daten ableitet bzw. erstellt. Die Art.-29-Arbeitsgruppe führt als Beispiel die Bonität an, die aufgrund bereits erhobener Kundendaten bewertet wird. Im Beschäftigtenverhältnis kämen etwa Systeme in Betracht, die die Wahrscheinlichkeit von Kündigungen berechnen.

Fraglich ist, ob diese weite Interpretation im Rahmen des Beschäftigtendatenschutzes tatsächlich zielführend ist: Letztlich soll die Herausgabe den Wechsel zwischen Arbeitgebern erleichtern. Dazu bedarf es de facto nur der Herausgabe der Daten, die für den künftigen Arbeitgeber von Interesse sind.

Insofern kann es nicht das Ziel sein, dass der Arbeitgeber unreflektiert die Standortdaten des Smartphones übergibt oder Beurteilungskriterien, die intern zur Stellenbesetzung führen. Hier ist auch zu beachten, dass sich ein anderer Arbeitgeber keinen Wettbewerbsvorteil aufgrund der Herausgabe der Daten verschafft.

In diesem Punkt bleibt ebenfalls abzuwarten, ob die Aufsichtsbehörden diesem Ansatz folgen.

Praxis-Tipp
In der Praxis empfiehlt sich eine mehrstufige Auskunft: Der Arbeitgeber gibt im ersten Schritt Auskunft über die allgemeinen Informationen nach Art. 15 Abs. 1 DSGVO, übermittelt eine Kopie der Stammdaten bzw. der Daten, die üblicherweise für den Arbeitnehmer von Interesse sind, und informiert über die weiteren Datenkategorien.

Dann kann der Arbeitnehmer auswählen, für welche Datenkategorie er weitere Datenkopien haben möchte.

Grenzen der Übertragbarkeit

Wie Art. 15 DSGVO hat auch die Übertragbarkeit dort ihre Grenze, wo sie Rechte und Freiheiten Dritter beeinträchtigt. Entsprechend kann der Arbeitgeber das Recht auf Datenübertragbarkeit verweigern, wenn es geistiges Eigentum oder Geschäftsgeheimnisse verletzt.

Insofern übernimmt die Art.-29-Arbeitsgruppe die Wertung aus Erwägungsgrund 63 DSGVO und leitet eine entsprechende Möglichkeit zur Verweigerung der Übertragung der Daten im Einzelfall ab.

Letztlich muss der Arbeitgeber als Verantwortlicher aber nachweisen, dass diese Rechte und Freiheiten der Übergabe entgegenstehen.

Grundsätzlich kostenfrei!

Der Arbeitgeber darf grundsätzlich weder für die Auskunft noch für die Übergabe der Daten ein Entgelt verlangen.

Nur dann, wenn der Arbeitnehmer exzessive (z.B. im Monatsrhythmus) oder offensichtlich unbegründete Anfragen stellt, kann er ihm angemessene Kosten auferlegen oder sich weigern, dem Begehren nachzukommen (Art. 12 Abs. 5 DSGVO). Gleiches gilt, wenn der Arbeitnehmer mehr als eine Kopie verlangt (Art. 15 Abs. 3 DSGVO).

Fazit: Prozess in Datenschutzmanagement integrieren

Die DSGVO führt neue Rechte ein, die den Arbeitgeber verpflichten, seinen Arbeitnehmern auf Anfrage bestimmte Daten zu übergeben. Alle Verantwortlichen brauchen also künftig Prozesse, die folgende zwei Hauptpunkte garantieren:

  • Zum einen müssen Verantwortliche identifizieren können, welche Daten sie überhaupt wozu verarbeiten.
  • Zum anderen müssen sie festlegen, wie sie diese Daten bei einem Auskunftsbegehren oder bei einem Übertragungsverlangen schnell und effizient sinnvoll in einem gängigen Format bzw. als Kopie zur Verfügung stellen.

Dabei ist empfehlenswert, neben der IT auch den Datenschutzbeauftragten, die Personalabteilung und ggf. Auftragsverarbeiter, die die Daten speichern, einzubinden. Herausgabeansprüche sollten daher Teil des künftigen Datenschutzmanagements eines jeden Verantwortlichen sein.

Silvia C. Bauer

Silvia C. Bauer
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Silvia Bauer
Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin mit Schwerpunkt Datenschutz und Compliance bei der Luther Rechtsanwaltsgesellschaft mbH in Köln.
Verwandte Beiträge
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
21. November 2024
DP+
VerIm Gegensatz zu anderen Datenschutzmanagement-Methoden liegt der Fokus beim Standard-Datenschutzmodell ausschließlich auf Verarbeitungstätigkeiten
Bild: iStock.com/ipuwadol

Das Standard-Datenschutzmodell in der Praxis (Teil 1)

Praxisbericht
20. November 2024
DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink

KI als doppeltes Datenrisiko

Ratgeber
Cybersicherheit KI
20. November 2024
DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography

KI-VO: Das müssen Datenschutzbeauftragte wissen

Ratgeber
EuGH KI
19. November 2024
DP+
Vermieter müssen die DSGVO einhalten: Schwierigkeiten bereitet Verantwortlichen häufig, in welcher Phase eines Mietverhältnisses sie welche personenbezogenen Daten ihrer Mieter verarbeiten dürfen.
Bild: iStock.com/blackCAT

Wohnungsmiete und Datenschutz – Teil 1

Ratgeber
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.