Mit der Datenschutzgrundverordnung (DSGVO) trat letztes Jahr auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Dieses regelt in § 38 BDSG, dass Unternehmen ab zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Hier wurde seitens Deutschlands die Öffnungsklausel in der der DSGVO genutzt. Kein anderes Land innerhalb der EU ist bei diesem Punkt derart streng.
Der Bundestag hat nun beschlossen, diese Schwelle auf 20 Mitarbeiter anzuheben. Dem muss der Bundesrat noch zustimmen. Begründet wird diese Änderung mit der Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.
Zu beachten ist jedoch, dass Unternehmen unabhängig von der Anzahl ihrer Mitarbeiter die Anforderungen der DSGVO erfüllen müssen. D.h. inhaltlich ändert sich durch diesen Beschluss für kleinere Unternehmen nichts. Ihnen wird lediglich die Möglichkeit eingeräumt die Anforderungen der DSGVO auch ohne einen Datenschutzbeauftragten zu erfüllen. Dann ist die Geschäftsführung und Vorstandschaft gefragt den Datenschutz im Unternehmen/Verein rechtskonform umzusetzen. Was ohne entsprechende Fachkunde oft schwierig werden kann.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
In Italien wurde von den Aufsichtsbehörden ein Bußgeld nach der Datenschutzgrundverordnung (DSGVO) in Höhe von über 2 Millionen Euro verhängt. Dieses richtete sich gegen ein Unternehmen, das über ein albanisches Callcenter Telemarketing und Teleselling Maßnahmen ohne eine entsprechende Einwilligung durchgeführt hat.
Das Callcenter wurde im Auftrag des Unternehmens zur Akquisition neuer Kunden tätig und benutzte dafür Telefonnummern aus dem eigenen Kundenstamm. Auf den Kundenstamm der italienischen Firmen wurde nicht zugegriffen.
Die zuständige Finanz- und Zollpolizei Guardia di Finanzia stellte fest, dass die kontaktierten betroffenen Personen nicht über ihre Rechte informiert wurden und auch keine schriftliche Einwilligung zur Erhebung und Verarbeitung der personenbezogenen Daten zu Marketingzwecken vorlag. Der Verantwortliche konnte seine Informationspflichten nicht durch die Vorlage der Verträge erfüllen, weil diese den betroffenen Personen erst im Anschluss übermittelt wurden. Die Verträge wurden auch nicht durch die betroffenen Personen unterschrieben, es befand sich darauf lediglich ein Kürzel des Mitarbeiters des Verantwortlichen. Eine Information der betroffenen Personen während des Telefongesprächs fand nicht statt. Das Callcenter besaß kein Skript, das den betroffenen Personen die entsprechenden Informationen zur Verfügung stellen sollte.
Das Bußgeld richtete sich nach Art. 83 Abs. 5 DSGVO und setzte sich zusammen aus 78 Verstößen gegen das Erhebungsverbot zu je 6.000 Euro/Verstoß und 155 Verstößen gegen das Verarbeitungsverbot zu je 10.000 Euro/Verstoß. Dabei wurde der einzelne Verstoß schon am unteren Ende des möglichen Strafrahmens gebildet. Die Höhe des Bußgeldes kam daher aufgrund der Vielzahl der Verstöße zustande.
Berücksichtigt wurden dabei u.a. der Mangel an der Einhaltung der Datenschutzbestimmungen, die fehlende Bezeichnung des Verantwortlichen, die kurze Zeitspanne zwischen den einzelnen Verletzungshandlungen, die Schwere der Verstöße bezüglich wirtschaftlicher und sozialer Tätigkeiten, das Verhalten des Verantwortlichen gegenüber der Guardia di Finanzia während der Ermittlungen, der Jahresabschluss des verantwortlichen Unternehmens aus 2016 und dass keine vorherigen Sanktionsverfahren vorlagen.
Hieran lässt sich wieder erkennen, dass die Datenschutzverstöße aufgrund einer Vielzahl von Aspekten bewertet werden und eine Kooperation mit den Aufsichtsbehörden strafmildern berücksichtigt werden kann.
Es zeigt aber auch, dass ein Verstoß gegen die DSGVO nicht auf die leichte Schulter zu nehmen ist. Achten Sie bei Telefonwerbung unbedingt darauf die Einwilligung der betroffenen Personen einzuholen, deren Daten Sie zum Zwecke der Telefonwerbung verarbeiten wollen.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Etwas mehr als ein Jahr ist es her, dass die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) kurz bevor es mit der DSGVO ernst wurde verkündete, dass vor dem Einsatz von Tracking-Tools auf jeden Fall eine Einwilligung benötigt werde (wir berichteten, siehe Blog "Datenschutzkonferenz legt Regelung zur Einwilligung bei Cookies neu aus").
Daher beraten wir unserer Kunden seitdem entsprechend und weisen immer wieder darauf hin, dass eine explizite Einwilligung benötigt wird, und zwar bereits bevor das Tracking aktiv wird.
Das Bayerische Landesamt für Datenschutzaufsicht hat in den Wintermonaten viele Webseiten geprüft und kommt zu einem eindeutigen Ergebnis: Von 40 geprüften Webseiten war keine einzige Einwilligung wirksam.
Nun haben sich erfreulicherweise sowohl die DSK als auch der Landesbeauftrage für den Datenschutz und die Informationssicherheit Baden-Württemberg nochmals zu dem Thema geäußert. Demnach können prinzipiell auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO den Einsatz von Tracking-Tools rechtfertigen. Allerdings ist hier bekanntermaßen eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen vorzunehmen, die tendenziell eher zugunsten der Nutzer ausfallen dürfte, zumindest wenn die Daten an Dritte weitergegeben werden. Der LfDI Baden-Württemberg geht jedoch davon aus, dass z.B. lokal installierten Trackingtools ohne Weitergabe der Daten an Dritte zumindest ohne Einwilligung aufgrund des berechtigten Interesses zulässig wären.
Sie können bestimmte Tracking-Tools also auch ohne vorherige Einwilligung einsetzen!
Dabei ist zwingend folgendes zu beachten:
- Die Tools müssen lokal installiert sein.
- Daten dürfen nicht an Dritte weitergeben werden.
- In der Datenschutzerklärung muss über den Einsatz der Tools informiert werden. Dort darf auch der Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht fehlen.
Wenden Sie sich bei Fragen gerne an uns.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Europäischer Gerichtshof für Menschenrechte (EGMR) zur privaten Nutzung von Firmen-PCs
In seinem Urteil vom 22.02.2018 - 588/13 beschäftigte sich der EGMR mit der Frage, ob die Durchsuchung des dienstlichen Computers ein Eingriff in das Recht auf Privatleben nach Art. 8 EMRK des Arbeitnehmers ist. Ein Arbeitnehmer wurde in diesem Fall entlassen, weil bei einer Durchsuchung seines Computers in einem Laufwerk, das mit „Persönliche Daten“ gekennzeichnet war im Ordner „Zum Lachen“ pornografische Dateien gefunden hatte. Eine interne Unternehmensrichtlinie gestattete in begrenztem Umfang die private Nutzung, die privaten Dateien sollten dann als „privat“ gekennzeichnet werden.
Der EGMR stellte fest, dass der Arbeitgeber grundsätzlich Dateien verwenden darf, die nicht eindeutig als „private Dateien“ gekennzeichnet sind. Entscheidend ist also eine unmissverständliche Kennzeichnung als solche. Der Ordnername „Persönliche Daten“ dürfte hierfür nicht ausreichen, da dies auch Dokumente sein können, die der Mitarbeiter als persönlich behandelt, die jedoch nicht eindeutig auch privat sind. Außerdem dürfe der Arbeitnehmer nicht ein gesamtes (berufliches) Laufwerk für private Zwecke verwenden.
Als Arbeitgeber sollten Sie unbedingt die Nutzung der betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien durch Ihre Mitarbeiter genau regeln. Wir empfehlen in der Regel, die Privatnutzung von betrieblichen Arbeitsmitteln und elektronischen Kommunikationsmedien zu verbieten. Die Mitarbeiter müssen dann über das Privatnutzungsverbot einschließlich der Folgen bei Zuwiderhandlung informiert (z.B. als Passus im Arbeitsvertrag) und über die Aufrechterhaltung des Privatnutzungsverbots regelmäßig belehrt werden.
OLG München zum berechtigten Interesse
Das OLG München (Teilurteil vom 24.10.2018 – 3 U 1551/17) hat zum berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO entschieden, dass bei der Abwägung der Interessen der betroffenen Person und des Verantwortlichen/Dritten eine weite Auslegung des berechtigten Interesses (unions-)grundrechtlich geboten ist. Dabei sind nicht nur rechtliche, sondern auch wirtschaftliche und ideelle Interessen zu berücksichtigen.
AG Diez zu Schadensersatz für unzulässigen Newsletter
Das AG Diez (Urteil vom 07.11.2018 – 8 C 130/18) hat sich mit der Frage beschäftigt, ob für einen unzulässigen Newsletterversand Schadensersatz an die betroffene Person zu zahlen ist.
In diesem Fall hatte der Beklagte am Tag des Inkrafttretens der DSGVO eine E-Mail versandt, mit der er die Einwilligung des Klägers für den Versand des Newsletters einholen wollte. Für den Kläger war dies ein Verstoß gegen die DSGVO und er forderte 500 Euro Schmerzensgeld. Das AG Diez lehnte dies mit der Begründung ab, dass der Verstoß gegen die DSGVO ohne Eintritt eines Schadens nicht zum Schadensersatz führt. Es müsse ein „spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen“.
Die Entscheidung lässt die Möglichkeit einer Bußgelderteilung durch die Aufsichtsbehörde unberührt. Auch wenn der betroffenen Person kein Schaden entstanden ist, liegt ein Verstoß gegen die DSGVO vor und die Aufsichtsbehörde kann ein entsprechendes Bußgeld erteilen. Denn auch die Einholung der Einwilligung ist schon als Werbemaßnahme zu sehen, selbst wenn in der E-Mail selbst noch keine Werbezusätze enthalten sind.
LAG Baden-Württemberg: Auskunftsrecht des Arbeitnehmers
Das LAG Baden-Württemberg hat im Urteil vom 20.12.2018 – 17 Sa 11/18 über den Umfang des Auskunftsrechts des Arbeitnehmers entschieden und das Auskunftsrecht der Arbeitnehmer gestärkt. Der Arbeitgeber muss demnach einem Arbeitnehmer umfassend Auskunft zu über ihn gesammelten Informationen geben. Dazu gehören Einsicht in die Personalakte, Informationen über interne Ermittlungen und nicht in der Personalakte gespeicherte Leistungs- und Verhaltensdaten (samt einer Kopie dieser Leistungs- und Verhaltensdaten gemäß Art. 15 Abs. 3 S. 1 DSGVO).
Der Arbeitgeber kann dies verweigern, wenn er ein Geheimhaltungsinteresse geltend macht. Er muss dieses konkret darlegen und darf sich nicht lediglich pauschal drauf berufen. Es ist eine Einzelabwägung zwischen dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung und dem betrieblichen Interesse des Arbeitgebers an der Auskunftsverweigerung bzw. an den berechtigten Interessen der Dritten erforderlich. Der Schutz von Informanten (sog. Whisteblowern) kann ein solches Geheimhaltungsinteresse darstellen.
Julia Eisenacher
Consultant für Datenschutz
Juristin (Univ.)
Diese Frage sehen wir immer wieder in den Personalfragebögen bei unseren Mandanten und wir prüfen, ob diese Frage aus datenschutzrechtlichen Gründen überhaupt zulässig ist.
Schließlich geht es den Arbeitgeber nichts an, was die Mitarbeiter in ihrer Freizeit machen, oder vielleicht doch?
Aus (datenschutz)rechtlicher Sicht sieht das ganze so aus: Nach Art. 12 GG herrscht die Berufsfreiheit, d.h. prinzipiell darf jeder einen Nebenjob annehmen. Allerdings sind dem auch Grenzen gesetzt: Maximal 48 Stunden pro Woche sind gem. § 3 ArbZG erlaubt, vorübergehend darf dies sogar auf bis zu 60 Stunden (= 10 Stunden pro Werktag) erhöht werden. Dabei werden die Arbeitszeiten von Haupt- und Nebenjob zusammengezählt. Wichtig ist dabei vor allem, dass die Ruhe und Pausenzeiten auch eingehalten werden. Es müssen mindestens 11 Stunden gesetzliche Ruhezeit eingehalten werden, bevor die Arbeit erneut beginnt (§ 5 ArbZG). Abgestellt wird hierbei auf das tatsächliche Ende der Arbeitszeit, also sowohl des Haupt- als auch des Nebenjobs. Wer um 9 Uhr morgens mit seinem Hauptjob beginnt, muss also spätestens um 22 Uhr seine Arbeit im Nebenjob beendet haben.
Doch wer ist für die Einhaltung dieser Regelungen verantwortlich? Es sind die Arbeitgeber, die sich aufgrund ihrer Fürsorgepflicht um die Arbeits- und Ruhezeiten ihrer Mitarbeiter kümmern müssen.
Der Arbeitgeber, der hiergegen verstößt begeht eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 15.000 Euro geahndet werden kann (§ 22 Abs.1, 2 ArbZG).
Jeder Arbeitgeber ist also gesetzlich dazu verpflichtet, dafür zu sorgen, dass er seinen Mitarbeiter die gesetzlichen Ruhezeiten gewährt. Insofern ist es gesetzlich geboten, eine eventuelle Nebentätigkeit abzufragen und ggfs. sogar zu verbieten, wenn zu befürchten ist, dass hierdurch gegen das Arbeitszeitgesetz verstoßen wird. Andernfalls würde dem Arbeitgeber fahrlässiges Verhalten vorgeworfen werden können. Als Rechtsgrundlage für die Erhebung dieser Daten dient damit Art. 6 Abs. 1 lit b), c) DSGVO. Ein Verstoß gegen datenschutzrechtliche Bestimmungen liegt somit nicht vor.
Falls Sie Fragen dazu haben, welche Informationen Sie im Rahmen Ihrer Personalfragebögen stellen dürfen sprechen Sie uns gerne an.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Das Landgericht Berlin verurteilte einen Pharmalobbyisten sowie einen Systemadministrator zu einer hohen Geldstrafe wegen Ausspähens von Daten (vgl. Redaktion beck-aktuell, Verlag C.H.BECK, 11. April 2019: LG Berlin: Geldstrafen wegen Ausspähens von Daten aus dem Bundesgesundheitsministerium; ebenso: rbb 24 online, 10.04.2019, Tagesspiegel online, 10.04.2019, Urteil vom 10.04.2019 - 501 – 39/13).
Der für das Bundesgesundheitsministerium zuständige Systemadministrator ermöglichte dem Pharmalobbyisten zwischen 2009 und 2012 immer wieder unbefugt Zugang zur E-Mail-Korrespondenz des Ministeriums; darunter E-Mails der damaligen Gesundheitsminister, Staatssekretäre und weiterer wichtiger Mitarbeiter. Der Pharmalobbyist wollte sich auf diese Weise noch vor etwaigen Konkurrenten und der Öffentlichkeit einen Informationsvorsprung verschaffen, um frühzeitig Einfluss auf Entscheidungen des Gesundheitsministeriums nehmen zu können.
Im Rahmen des Prozesses kam aber ebenso heraus, dass das Ministerium zum damaligen Zeitpunkt wohl nicht alle notwendigen technischen sowie organisatorischen Maßnahmen umgesetzt hatte, um einen solch unbefugten Zugang und Zugriff des IT-Administrators zu verhindern oder zumindest frühzeitig zu erkennen (Redaktion beck-aktuell). Dass dies jedoch kein Einzelfall ist, zeigen die verschiedenen Datenpannen, die immer wieder publik werden.
Das Thema Datensicherheit sollte jedoch bei allen öffentlichen Stellen und Unternehmen einen hohen Stellenwert haben, um Unbefugten sowohl von außen und als auch von innen den Zugriff zu verwehren. Denn Fälle wie dieser oder auch der von Cambridge Analytica zeigen sehr deutlich, wie schwerwiegend sich Datenschutzverstöße und die damit einhergehende ungleiche Verteilung von Informationsmacht auf Politik und Gesellschaft auswirken (können).
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben herausgefunden, dass E-Mail-Signaturen mit den Verschlüsselungsstandards S/MIME und OpenPGP bis vor kurzem leicht zu fälschen waren. Unsignierte E-Mails wurden fälschlicherweise als signiert und damit als vertrauenswürdig angezeigt. Betroffen ist dabei die Signaturprüfung, nicht jedoch die Erstellung der Signatur.
Signaturen von E-Mails sollen dem Empfänger anzeigen, dass die E-Mail vom Absender kommt (Authentizität) und nicht manipuliert wurde (Integrität). Die Schwachstellen haben es Angreifern ermöglicht E-Mails so zu verändern, dass die Authentizität und Integrität der Nachricht beim Empfänger nicht gewährleistet werden konnte.
Ein Angreifer konnte beispielsweise bei einer gefälschten E-Mail mit ungültiger Signatur eine weitere Nachricht mit gültiger Signatur mitschicken. Die E-Mail-Programme prüften dann die Signatur der zweiten Nachricht, zeigten jedoch die gefälschte Nachricht an, sodass es für den Empfänger so aussah, als hätte die Nachricht eine gültige Signatur.
Die Forscher haben die Entwickler der E-Mail-Programme vor der Veröffentlichung informiert, sodass entsprechende Updates zur Verfügung gestellt werden konnten. Die Verschlüsselungsstandards S/MIME und OpenPGP können daher nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin verwendet werden. Dabei ist jedoch zu beachten, dass die E-Mail-Software durch regelmäßige Updates auf dem neuesten Stand gehalten werden muss und aktive Inhalte (wie die Ausführung von HTML-Code und das Nachladen externer Inhalte) deaktiviert werden müssen.
Julia Eisenacher
Consultant für Datenschutz
Juristin (Univ.)
Steuerberater mit Mandat unterliegen dem Berufsgeheimnis, sind in Ausübung ihrer Tätigkeit weisungsunabhängig und agieren eigenverantwortlich. Die Verarbeitung personenbezogener Daten, die ihnen von ihren Mandanten übermittelt werden, ist dabei lediglich ein unvermeidliches Beiwerk ihrer Tätigkeit. Daher wurde in der Vergangenheit mehrheitlich die Ansicht vertreten, dass ein Steuerberater kein Auftragsverarbeiter sei.
Die Aufsichtsbehörden in Hessen, Baden-Württemberg und NRW (u.a. LfDI BW: 34. Tätigkeitsbericht 2018, S. 57 f) sehen dies nun aber anders, zumindest wenn es um die Verarbeitung von Beschäftigtendaten für die Lohn- und Gehaltsabrechnung geht: Soweit ein Steuerberater für ein Unternehmen die Gehaltsabrechnung vornimmt, ist für diese Dienstleistung ein Vertrag zur Auftragsverarbeitung abzuschließen. Unabhängig davon ob ein entsprechendes Mandat besteht.
Sie als Unternehmen sollten folglich dahingehend agieren, dass Sie für die oben genannten Fälle zeitnah einen Vertrag zur Auftragsverarbeitung mit Ihrem Steuerberater abschließen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Die Datenschutzgrundverordnung (DSGVO) ist nun fast ein Jahr alt. Die anfängliche Aufregung in Europa war spürbar, doch es ist etwas ruhiger geworden um die DSGVO. Aktuell werden aber auch nicht EU ansässige Firmen langsam auf die DSGVO aufmerksam.
Unternehmen, die keinen Firmensitz in der EU haben, aber ihre Produkte oder Dienstleistungen in der Europäischen Union anbieten, müssen – sofern sie personenbezogene Daten von in der EU befindlichen Personen verarbeiten – einen Vertreter in der Union bestellen (Art. 27 Abs. 1 DSGVO). Durch das im Rahmen der DSGVO eingeführte sogenannte Marktortprinzip gilt die Verordnung nämlich nicht mehr nur für Unternehmen, die innerhalb der Europäischen Union niedergelassen sind. Vielmehr wird darauf abgestellt, ob Unternehmen, unabhängig vom Firmensitz, ihre Waren oder Dienstleistungen innerhalb der EU anbieten und dabei personenbezogene Daten von in der EU befindlichen Personen verarbeiten. In welchem Land tatsächliche die Verarbeitung der Daten erfolgt ist dabei nicht relevant.
Dieser EU-Vertreter ist die Anlaufstelle für alle Fragen zum Datenschutz von betroffenen Personen sowie der Kontakt für Datenschutz-Aufsichtsbehörden und hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten. Der EU-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.
Auch die Aufsichtsbehörden haben bereits darauf aufmerksam gemacht, dass Sie auch für diese Fälle vermehrt Kontrollen durchführen werden. Nicht in der EU ansässige Unternehmen sollten zeitnah prüfen ob Sie für Ihre Datenverarbeitung einen solchen Vertreter benötigen und anschließend, wenn nötig, einen solchen bestellen. Auch die it.sec bietet die Möglichkeit der Bestellung eines EU-Vertreters. Kontaktieren Sie uns gerne.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
In seinem beachtenswerten Urteil vom 20.12.2018, 17 Sa 11/18 hat sich das Landesarbeitsgericht von Baden-Württemberg mit der Frage auseinandergesetzt, ob ein Arbeitnehmer das Recht hat, datenschutzrechtliche Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO auch auf personenbezogene Leistungs- und Verhaltensdaten geltend zu machen. Insbesondere ging es dabei um die Frage, ob er von diesen Unterlagen eine Kopie gem. Art. 15 Abs. 3 DSGVO erhalten darf.
Während die Beklagtenseite im konkreten Fall darauf verwies, dass hier die Rechte und Freiheiten anderer Personen betroffen seien und eine Herausgabe aus diesen Gründen nicht zulässig sei, wies das Gericht in seiner Entscheidung darauf hin, dass ein derart pauschaler Hinweis nicht geeignet ist, das Auskunftsrecht einzuschränken.
Generell geht das Gericht davon aus, dass der Auskunftsanspruch nach Art. 15 DSGVO selbstverständlich auch für das Arbeitsverhältnis, also zwischen Arbeitnehmer und Arbeitgeber gilt. Jedoch bedarf es jeweils einer Einzelfallabwägung, ob ein Recht auf Erhalt einer Kopie bzw. auf das Verweigern dieses Anspruchs besteht. Entscheidend ist dabei die jeweilige Abwägung von dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung gegen das betriebliche Interesse des Arbeitgebers an der Auskunftsversagung bzw. an den berechtigten Interessen der Dritten.
Wichtig ist diese Einschätzung für die immer häufiger eingesetzten Meldesysteme im Rahmen des Whistleblowings. Zwar weist auch das Landesarbeitsgericht darauf hin, dass die Etablierung eines funktionierenden und anonymen Meldesystems durchaus das Interesse des Arbeitgebers an Geheimhaltung begründen kann, andererseits ist es jedoch möglich, dass gerade im Falle von vorsätzlichen Falschangaben oder leichtfertig unrichtigen oder unvollständigen Informationen das Interesse des (beschuldigten) Arbeitnehmers an den Informationen überwiegt. In diesem Fall müssten ggfs. auch personenbezogene Informationen über die Person des Whistleblowers im Rahmen des Auskunftsanspruchs nach Art. 15 Abs. 3 DSGVO an den betroffenen und um Auskunft verlangenden Arbeitnehmer weitergeleitet werden.
Wie also kann man dem Auskunftsanspruch entsprechen, ohne auf ein funktionierendes Whistleblowing-System zu verzichten? Dieses Problem lässt sich am einfachsten lösen, indem das sogenannte Whistleblowing tatsächlich vollständig anonym angeboten wird. Liegen dem Arbeitgeber keine personenbezogenen Daten über den Whistleblower vor, kann er diese folglich auch nicht offenlegen.
Soweit die Hinweisgeber ihren Namen nennen wollen, sollten diese bereits bei der ersten Kontaktaufnahme darauf hingewiesen werden, dass die Identität im Rahmen der gesetzlichen Vorgaben vertraulich behandelt werden. Zugleich sollte er allerdings auch darüber informiert werden, dass die beschuldigte Person innerhalb eines Monats nach der Meldung gem. Art. 14 Abs. 3 lit a DSGVO über die Identität des Hinweisgebers informiert werden muss. Dann ist es empfehlenswert, eine Einwilligung des Hinweisgebers zur Offenlegung seiner Identität einzuholen, die dieser jedoch innerhalb des einmonatigen Zeitraums bis zur Information des Beschuldigten widerrufen kann. Auf diese Weise werden keine Informationen vorenthalten und die Datenverarbeitung bleibt vollständig transparent.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz