Wie in jedem Jahr wollen wir die Vorweihnachtszeit nutzen, um in einem kurzen Jahresrückblick 2023 auf das vergangene Datenschutzjahr zurückzublicken. Es wird uns sicherlich nicht gelingen alle datenschutzrechtlich relevanten Themen einzufangen und zu betrachten, daher haben wir eine kleine, aber feine Auswahl getroffen. Den Anfang machen wir mit den Monaten Januar bis Juni.
Januar
Das neue Jahr startete – wie eigentlich so häufig – mit gesetzlichen Neuerungen. Aus datenschutzrechtlicher Sicht hierbei bedeutsam insbesondere § 5 des Entgeltfortzahlungsgesetzes (EntgFG), welcher Regelungen der Anzeige- und Nachweispflichten bei Eintritt von Arbeitsunfähigkeiten enthält und in Absatz 1a die Regelungen zur elektronischen Arbeitsunfähigkeitsbescheinigung enthält. Wir haben über die konkreten Änderungen berichtet und sind hierbei vor allem auf die veröffentlichten Hinweise der Landesbeauftragten für den Datenschutz Niedersachsen eingegangen. Mittlerweile ist die Umstellung in einer Vielzahl der verantwortlichen Stellen erfolgt.
Die datenschutzrechtlichen Herausforderungen liegen insbesondere im Bereich des operativen Datenschutzes, das heißt in der Erfüllung der Informationspflichten (hier Art. 14 DS-GVO, da die Daten durch die Beschäftigungsgeber bei den Krankenkassen erhoben werden), Führung des Verzeichnisses der Verarbeitungstätigkeiten und die Erfüllung technischer und organisatorischer Maßnahmen, das bedeutet unter anderem, dass nur denjenigen Personen Zugang zu den Daten gewährt wird, als dies zur Aufgabenerfüllung erforderlich ist.
Außerdem prägte das erste – von zahlreichen Urteilen – des Europäischen Gerichtshof (EuGH) in diesem Jahr die Datenschutzwelt. Mit Urteil vom 12. Januar 2023 (Rs. C-154/21) entschied der EuGH, dass verantwortliche Stellen bei einer Auskunft nach Art. 15 DS-GVO die konkreten Empfänger personenbezogener Daten mitteilen müssen. Art. 15 Abs. 1 lit. c) DS-GVO bedeutet nach der juristisch maßgeblichen Lesart des EuGH, dass „der Verantwortliche […] verpflichtet ist, der betroffenen Person die Identität für der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv […] sind.“ Auf das Urteil gehen wir in unserem Blog näher ein.
Februar
Im winterlichen Februar sorgte allen voran der Bescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber gegenüber des Bundespresseamtes (BPA) vom 17. Februar 2023 für Aufsehen. In diesem Bescheid wies der BfDI die BPA an, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen. Begründet wurde dies mit den fahrlässigen Verstößen gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, gegen die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie gegen § 25 Abs. 1 TTDSG. Über den Inhalt des Verfahrens haben wir bereits berichtet. Das BPA hat mittlerweile beim Verwaltungsgericht Köln Klage gegen die Anordnung des BfDI erhoben. Bis zur gerichtlichen Entscheidung wird die Facebook-Fanpage weiter betrieben.
Ein ähnliches Verfahren wird derzeit zwischen der Sächsischen Datenschutz- und Transparenzbeauftragten, Fr. Dr. Hundert und der Sächsischen Staatskanzlei betrieben (vgl. TB 2022, Ziff. 1.1).
Wir richten einen ersten Blick auf den Beschäftigtendatenschutz (mehr folgt gleich). Lesens- aber nach hiesiger Auffassung nicht nachahmenswert ist das Urteil des Verwaltungsgerichtes (VG) Hannover vom 9. Februar 2023 (Az.: 10 A 6199/20) zur permanenten Datenverarbeitung und Mitarbeiterkontrolle im Logistikcenter von Amazon. Die im Logistikcenter tätigen Beschäftigten nutzen zum Teil Handscanner, mittels derer bestimmte Arbeitsschritte erfasst werden. Gegen diese Datenverarbeitung wurde durch die (ehemalige) Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, ein Verfahren eingeleitet, welches zu einer Untersagung und hieran anschließend einem gerichtlichen Verfahren führte. In dem vorbezeichneten Urteil hob das VG Hannover die Untersagungsverfügung auf. Die Urteilsgründe sind nicht für jeden Datenschützer nachvollziehbar, um es einmal vorsichtig auszudrücken.
März
Am 30. März 2023 fällte der EuGH ein Urteil (Rs. C-34/21) mit – vermutlich – weitreichenden Konsequenzen für den Beschäftigtendatenschutz in Deutschland – oder eben auch nicht. So ganz klar und unumstritten sind die Auswirkungen des Urteils nach wie vor nicht. Kernbestandteil des Urteils ist eine Vorschrift des hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG), genauer gesagt § 23 Abs. 1 Satz 1 HDSIG. Der EuGH konstatiert, dass eine nationale Regelung, die sich auf eine Wiederholung des Erforderlichkeitsprinzips beschränkt, nicht als spezifische Regelung im Sinne von Art. 88 Abs. 1 DS-GVO gelten kann und eine Regelung, die zum Schutz der Beschäftigten lediglich auf die ohnehin geltenden Instrumente der DS-GVO verweist, keine besonderen Maßnahmen im Sinne von Art. 88 Abs. 2 DS-GVO enthält.
Der Grund, weshalb dieses Urteil in der rechtswissenschaftlichen Literatur nicht unumstritten ist, resultiert aus der nahezu bestehenden Deckungsgleichheit mit § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG). Aufgrund der Tatsache, dass die Regelungen beider Gesetze nahezu identisch sind, macht sich vermehrt Zweifel über die zukünftige Anwendbarkeit des § 26 BDSG breit. Das Urteil wirkt deshalb auf den ersten Blick wie eine massive Änderung im Beschäftigtendatenschutz. Beim genaueren Hinsehen wird jedoch folgendes klar: Zunächst betrifft die EuGH-Entscheidung lediglich § 23 Abs. 1 Satz 1 HDSIG. Umfasst ist mithin nicht die vollständige Vorschrift des § 23 HDSIG, genauer noch nicht einmal der vollständige Absatz 1. Darüber hinaus ist ein Durchschlagen des Urteils auf § 26 Abs. 1 Satz 1 BDSG keinesfalls unumstritten.
Dennoch geht beispielsweise aus der Handreichung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), Prof. Alexander Roßnagel, hervor, dass auch die Datenschutzaufsichtsbehörden die Auffassung der Unanwendbarkeit des § 26 Abs. 1 Satz 1 BDSG teilen. Folgt man nun dieser Ansicht, sind die Datenverarbeitungen im Beschäftigtenverhältnis künftig insbesondere auf Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO und Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO zu stützen. Inhaltlich ändert sich durch diesen Wechsel nichts, denn wie der EuGH explizit festgestellt hat, besteht eine Identität der Vorschriften. Anpassungsbedarf resultiert insbesondere im Bereich der Informationspflichten und des Verzeichnisses der Verarbeitungstätigkeiten. Aufgelöst werden diese Rechtsunsicherheiten möglicherweise durch ein (bevorstehendes) Beschäftigtendatenschutzgesetz.
Bei diesem vermeintlichen Paukenschlag geht der Beschluss der der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) zur Bewertung von Pur-Abo-Modellen auf Webseiten vom 22. März 2023 beinahe unter. Ebenso wie das temporäre Verbot von ChatGPT in Italien.
April
Auch im Datenschutzrecht ist der Einsatz von Künstlicher Intelligenz (KI) in aller Munde. Mit diesen Worten schließt sich der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse in einer Pressemitteilung vom 14. April 2023 der koordinierten datenschutzrechtlichen Prüfung der DSK zur Anwendung von ChatGPT an. In diese Richtung geht ebenfalls die Mitteilung des HBDI, dass dieser das in San Francisco ansässige Unternehmen OpenAI, das den derzeit vieldiskutierten Dienst ChatGPT betreibt, aufgefordert hat, einen Fragenkatalog zur Datenverarbeitung bei ChatGPT zu beantworten. Die Fragen sind mit den anderen deutschen Aufsichtsbehörden in der DSK abgestimmt. Wir haben uns hier mit den datenschutzrechtlichen Anforderungen bei der Nutzung von KI befasst.
Hervorzuheben ist auch das Urteil des Europäischen Gerichtes (EuG) vom 26. April 2023 (Rs. T-557/20). Das EuG befasst sich in dieser Entscheidung mit der Frage: Was sind gleich noch personenbezogene Daten?
Mai
Der Monat Mai wurde maßgeblich durch den EuGH und drei seiner Urteile geprägt. Im Einzelnen:
Mit dem Urteil vom 4. Mai 2023 (Rs. C‑487/21) beschäftigte sich der EuGH mit der Frage der Auslegung des Begriffs der Kopie im Rahmen des Auskunftsanspruchs gemäß Art. 15 Abs. 3 DS-GVO. Art. 15 Abs. 3 Satz 1 DS-GVO ist laut EuGH dahingehend zu verstehen, dass es der betroffenen Person durch Erhalt einer entsprechenden Kopie im Sinne des Art. 15 Abs. 3 Satz 1 DS-GVO möglich sein muss, eine originalgetreue und verständliche Reproduktion ihrer eigenen Datenverarbeitungsvorgänge erkennen und bewerten zu können, um dann möglicherweise weitere Betroffenenrechte auszuüben.
Der EuGH macht deutlich, dass es, um die in Art. 12 Abs. 1 in Verbindung mit Erwägungsgrund 58 DS-GVO verlangte, leicht verständliche Bereitstellung von Informationen gegenüber Betroffenen gewährleisten zu können, durchaus notwendig sein kann, Auszüge aus Dokumenten oder sogar ganze Dokumente im Rahmen einer Kopie dem Betroffenen zu übersenden. Darüber hinaus stellt der EuGH heraus, dass sich der Begriff Kopie nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen, bezieht.
In einem weiteren Urteil vom 4. Mai 2023 (Rs. C-300/21) setzt sich der EuGH mit dem ebenfalls in der Literatur umstrittenen Art. 82 DS-GVO auseinander. Zum einen wird klargestellt, dass ein reiner Verstoß gegen die Datenschutz-Grundverordnung noch keinen Schaden im Sinne des Art. 82 DSGVO begründet. Andererseits ist der Schadenersatzanspruch nicht davon abhängig, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeitsschwelle erreichen muss. Weiteres zum Urteil kann hier nachgelesen werden.
Im letzten Urteil vom 4. Mai 2023 (Rs. C-60/22) befasst sich der EuGH damit, ob ein Verstoß gegen Art. 26 DS-GVO (Gemeinsame Verantwortlichkeit) und Art. 30 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten) zur Unrechtmäßigkeit einer Datenverarbeitung führt.
Juni
Schließlich spielt auch im Juni wieder ein Gerichtsurteil eine Rolle. Dieses Mal jedoch vom Bundesarbeitsgericht (BAG). Mit dem Verfahren haben wir uns ebenfalls auseinandergesetzt. Das BAG entschied mit dem Urteil vom 6. Juni 2023 (9 AZR 383/19), dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können. Zur Wahrnehmung seiner Aufgaben nach dem Betriebsverfassungsgesetz, sind dem Betriebsrat ausschließlich zu diesem Zweck personenbezogene Daten zur Verfügung zu stellen. Somit kann die entsprechende Benennung des Datenschutzbeauftragten aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG a.F. in Verbindung mit § 626 Abs. 1 BGB widerrufen werden.
… und in der kommenden Woche geht es weiter mit unserem kurzen Datenschutz-Jahresrückblick mit den Monaten Juli bis Dezember 2023!
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.