Datenportabilität: Auch Arbeitnehmer haben Anspruch auf eigene Daten

Die EU-Datenschutz-Grundverordnung (DSGVO) hat u.a. zum Ziel, die Rechte der Betroffenen zu stärken. Zu diesen Rechten zählt auch das Recht auf Herausgabe von Daten (=Recht auf Auskunft).

Konkret kann ein Arbeitnehmer (=Betroffene) Informationen über die personenbezogenen Daten, die sein Arbeitgeber verarbeitet, und eine Kopie dieser Daten verlangen (Art. 15 DSGVO). Außerdem hat er das Recht, diese Daten unter bestimmten Umständen an einen anderen übertragen zu lassen (=Datenportabilität nach Art. 20 DSGVO).

Gerade Letzteres ist praktisch, etwa bei Daten, die Mitarbeiter mühsam in ein webbasiertes Formular eingegeben haben.

Gleiche Rechte für Arbeitnehmer

Gemäß Art. 88 Abs. 1 DSGVO steht es dem deutschen Gesetzgeber frei, spezielle Vorschriften für den Beschäftigtendatenschutz zu erlassen.

Soweit es um den Umgang mit den Beschäftigtendaten an sich und dessen Legitimierung geht, hat der deutsche Gesetzgeber mit § 26 BDSG-neu eine entsprechende Regelung geschaffen.

Sofern es allerdings um die Betroffenenrechte geht, hat er von dieser Möglichkeit Abstand genommen. Damit sind die Regelungen der Art. 12 ff. DSGVO vollumfänglich für Arbeitnehmer anwendbar.

Ausgangspunkt: Art. 12 DSGVO

Art. 12 DSGVO legt die Grundsätze fest, die Verantwortliche bei den Betroffenenrechten zu beachten haben:

• Die Auskunft muss u.a. präzise, verständlich und leicht zugänglich sein sowie klar und einfach in der Sprache.
• Stellt der Mitarbeiter den Antrag auf Auskunft elektronisch, so sollte der Arbeitgeber auch elektronisch dem Begehren nachkommen. Es sei denn, der Arbeitnehmer gibt Abweichendes an.
• Idealerweise stellt der Arbeitgeber dem Arbeitnehmer ein System zur Verfügung, über das er die Daten abrufen kann (Erwägungsgrund 63).

Achtung: Die DSGVO gibt Fristen vor!

Der Arbeitgeber muss unverzüglich, jedoch innerhalb eines Monats auf das Recht reagieren, das der Arbeitnehmer geltend macht. Nur dann, wenn der Arbeitgeber aufgrund einer Vielzahl von Anfragen oder der Komplexität der Anfrage nicht innerhalb dieser Frist Auskunft über seine personenbezogenen Daten, die im Unternehmen verarbeitet werden, erteilen bzw. die Daten übergeben kann, verlängert sich diese Frist um weitere zwei Monate.

In diesem Fall muss der Arbeitgeber den Arbeitnehmer aber innerhalb eines Monats nach Erhalt der Anfrage entsprechend informieren und ihm die Gründe der Verzögerung mitteilen.

Die Monatsfrist gilt auch, wenn der Arbeitgeber die Auskunft verweigert oder die Daten nicht übergeben will. In diesem Fall muss er den Arbeitnehmer über die Gründe und mögliche Beschwerderechte bei einer Aufsichtsbehörde bzw. einen gerichtlichen Rechtsbehelf informieren.

Welche personenbezogene Daten umfasst das Recht auf Auskunft?

Die Auskunft umfasst nach Art. 15 Abs. 1, 2 DSGVO

• Informationen über die Kategorien der verarbeiten Daten, inklusive einer Kopie aller Daten, die der Verantwortliche über den Arbeitnehmer gespeichert hat,
• die Zwecke der Verarbeitung,
• die Empfänger oder Kategorien von Empfängern, denen gegenüber die Daten offengelegt wurden/werden,
• sofern die Empfänger ihren Sitz in einem Drittland oder bei internationalen Organisationen haben: Informationen über die geeigneten Garantien, die den Transfer nach Art. 46 ff. DSGVO rechtfertigen,
• falls möglich, die Speicherdauer oder die Kriterien für die Bestimmung der Speicherdauer,
• das Bestehen von Betroffenenrechten (z.B. Rechte auf Löschung, Berichtigung, Einschränkung der oder Widerspruch gegen die Verarbeitung),
• mögliche Beschwerderechte bei einer Aufsichtsbehörde,
• die Herkunft der Daten (wenn z.B. ein anderes Konzernunternehmen sie erhoben hat) und
• Informationen u.a. über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, die dahinterstehende Logik und die Konsequenzen für den Arbeitnehmer.

Umfang der Auskunft an Betroffene

Die Auskunft umfasst sämtliche Daten, die der Verantwortliche über den betroffenen Arbeitnehmer gespeichert hat. Dazu gehören nicht nur Daten, die in den HR-Systemen gespeichert sind, sondern auch Daten, die anfallen, wenn ein Mitarbeiter Dienst-Handys, Laptops, Webseiten oder Zeiterfassungssysteme nutzt. Damit geht die DSGVO weiter als die bisherige Rechtslage.

Eine Verpflichtung, das Auskunftsbegehren einzugrenzen, ist nicht vorgesehen. Erwägungsgrund 63 zur DSGVO erwähnt lediglich, dass dann, wenn „eine große Menge von Informationen über die betroffene Person“ verarbeitet wird, eine Präzisierung erforderlich ist. Offen ist zurzeit, wann dies der Fall ist. Die Aufsichtsbehörden haben dazu noch keine abschließende Position veröffentlicht.

Grenzen der Datenauskunft

Art. 15 Abs. 4 DSGVO sieht vor, dass die Übergabe der Datenkopie die Rechte und Freiheiten Dritter nicht beeinträchtigen darf. Gemäß Erwägungsgrund 63 DSGVO können dies insbesondere Geschäftsgeheimnisse oder Urheberrechte sein.

Hier müssen Verantwortliche konkret prüfen, ob im Einzelfall eine Kollision mit Rechten Dritter vorliegt. Das kann etwa der Fall sein bei internen Beurteilungsvermerken zur betroffenen Person oder vertraulicher Kommunikation mit dem Betriebsrat.

Der Arbeitgeber darf die Auskunft dann nur hinsichtlich der Teile verweigern, die solche Rechte beeinträchtigen könnten. Das Unternehmen ist insofern gegenüber der betroffenen Person beweispflichtig. In der Praxis ließe sich z.B. der kritische Teil der Kopie schwärzen.

Recht auf Datenübertragung – Datenportabilität beachten

Neu ist auch das Recht, die Übergabe der eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen (Datenportabilität).

Der Arbeitnehmer kann entweder eine Übergabe an sich selbst oder an einen Dritten – soweit dies technisch machbar ist – verlangen (Art. 20 DSGVO). Dieses Recht gilt allerdings nur, wenn

• die Verarbeitung auf einem Vertrag oder einer Einwilligung beruht,
• sie mithilfe automatisierter Verfahren erfolgt und
• der Betroffene selbst die Daten bereitgestellt hat.

Während ein Arbeitgeber üblicherweise Daten aufgrund eines Arbeitsvertrags bzw. mit der Einwilligung des Arbeitnehmers in seinen Systemen verarbeitet, ist fraglich, in welchen Fällen der Arbeitnehmer seine Daten „bereitstellt“.

Bereitstellung von personenbezogene Daten

Die Art.-29-Arbeitsgruppe hat bereits am 13. Dezember 2016 eine Guideline zu dem Thema veröffentlicht (WP 242). Danach soll eine Bereitstellung immer dann vorliegen, wenn

• der Betroffene die Daten aktiv und bewusst dem Verantwortlichen zur Verfügung stellt oder
• die Daten aufgrund der Nutzung des Service und eines Trackings oder einer Beobachtung durch den Verantwortlichen anfallen (observed data). Das umfasst z.B. auch Standortdaten bei Diensthandys.

Nicht darunter fallen Daten, die der Verantwortliche auf der Basis von bereits bereitgestellten Daten ableitet bzw. erstellt. Die Art.-29-Arbeitsgruppe führt als Beispiel die Bonität an, die aufgrund bereits erhobener Kundendaten bewertet wird. Im Beschäftigtenverhältnis kämen etwa Systeme in Betracht, die die Wahrscheinlichkeit von Kündigungen berechnen.

Fraglich ist, ob diese weite Interpretation im Rahmen des Beschäftigtendatenschutzes tatsächlich zielführend ist: Letztlich soll die Herausgabe den Wechsel zwischen Arbeitgebern erleichtern. Dazu bedarf es de facto nur der Herausgabe der Daten, die für den künftigen Arbeitgeber von Interesse sind.

Insofern kann es nicht das Ziel sein, dass der Arbeitgeber unreflektiert die Standortdaten des Smartphones übergibt oder Beurteilungskriterien, die intern zur Stellenbesetzung führen. Hier ist auch zu beachten, dass sich ein anderer Arbeitgeber keinen Wettbewerbsvorteil aufgrund der Herausgabe der Daten verschafft.

In diesem Punkt bleibt ebenfalls abzuwarten, ob die Aufsichtsbehörden diesem Ansatz folgen.

Grenzen der Übertragbarkeit

Wie Art. 15 DSGVO hat auch die Übertragbarkeit dort ihre Grenze, wo sie Rechte und Freiheiten Dritter beeinträchtigt. Entsprechend kann der Arbeitgeber das Recht auf Datenübertragbarkeit verweigern, wenn es geistiges Eigentum oder Geschäftsgeheimnisse verletzt.

Insofern übernimmt die Art.-29-Arbeitsgruppe die Wertung aus Erwägungsgrund 63 DSGVO und leitet eine entsprechende Möglichkeit zur Verweigerung der Übertragung der Daten im Einzelfall ab.

Letztlich muss der Arbeitgeber als Verantwortlicher aber nachweisen, dass diese Rechte und Freiheiten der Übergabe entgegenstehen.

Grundsätzlich kostenfrei!

Der Arbeitgeber darf grundsätzlich weder für die Auskunft noch für die Übergabe der Daten ein Entgelt verlangen.

Nur dann, wenn der Arbeitnehmer exzessive (z.B. im Monatsrhythmus) oder offensichtlich unbegründete Anfragen stellt, kann er ihm angemessene Kosten auferlegen oder sich weigern, dem Begehren nachzukommen (Art. 12 Abs. 5 DSGVO). Gleiches gilt, wenn der Arbeitnehmer mehr als eine Kopie verlangt (Art. 15 Abs. 3 DSGVO).

Fazit: Prozess in Datenschutzmanagement integrieren

Die DSGVO führt neue Rechte ein, die den Arbeitgeber verpflichten, seinen Arbeitnehmern auf Anfrage bestimmte Daten zu übergeben. Alle Verantwortlichen brauchen also künftig Prozesse, die folgende zwei Hauptpunkte garantieren:

• Zum einen müssen Verantwortliche identifizieren können, welche Daten sie überhaupt wozu verarbeiten.
• Zum anderen müssen sie festlegen, wie sie diese Daten bei einem Auskunftsbegehren oder bei einem Übertragungsverlangen schnell und effizient sinnvoll in einem gängigen Format bzw. als Kopie zur Verfügung stellen.

Dabei ist empfehlenswert, neben der IT auch den Datenschutzbeauftragten, die Personalabteilung und ggf. Auftragsverarbeiter, die die Daten speichern, einzubinden. Herausgabeansprüche sollten daher Teil des künftigen Datenschutzmanagements eines jeden Verantwortlichen sein.