19.04.2021

Datenschutzbehörden: Aktuelle Fälle aus dem Tätigkeitsbericht 2020 Baden-Württemberg

Der Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg beschäftigt sich mit zahlreichen spannenden Themen, etwa mit dem Einsatz künstlicher Intelligenz im Personalwesen, der Auslegung der Auskunftspflicht und mit den datenschutzrechtlichen Herausforderungen in Zeiten der Pandemie.

Taetigkeitsbericht Datenschutz
© iStock.com /​ martin-dm

Künstliche Intelligenz im Personalwesen

Der technische Fortschritt macht auch vor den Personalabteilungen nicht halt. Und so kommt – gerade in Zeiten von Kontaktvermeidung & Co. – manches Unternehmen auf die Idee, bestimmte Prozesse wie die Bewerberauswahl mithilfe von künstlicher Intelligenz zu „effektivieren“. Aus datenschutzrechtlicher Sicht nicht immer eine gute Idee.

Laut dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, Dr. Brink, wertet üblicherweise ein Algorithmus Motivations- bzw. Begleitschreiben der Bewerbung oder im Rahmen von Telefoninterviews die Sprache der Bewerber und Bewerberinnen automatisiert aus.

Bei solchen Verarbeitungen ist regelmäßig Art. 22 Datenschutz-Grundverordnung (DSGVO, Verbot automatisierter Einzelentscheidungen) einschlägig. Verantwortliche müssen dessen erhöhte Anforderungen an die Zulässigkeit streng beachten.

Der LfDI betont zugleich, dass bislang (noch) keine ausdrückliche gesetzliche Grundlage für derartige Verarbeitung besteht. Dr. Brink: „Die vom Bundestag eingesetzte Enquete-Kommission ‚Künstliche Intelligenz‘ sieht jedoch ausdrücklich einen künftigen Anwendungsbereich von KI im Bereich der ‚Personalverwaltung‘ sowie der ‚Bewerberauswahl‘ (vgl. Enquete-Kommission, Kommissionsdrucksache 19 (27) 127 v. 25.09.2020), sodass diesbezüglich eine gesetzliche Regelung wünschenswert ist.“

Die Einwilligung der Bewerberinnen und Bewerber scheide aber – was nachvollziehbar ist – mangels Freiwilligkeit im Über-/Unterordnungsverhältnis zwischen Bewerbern und potenziellem Arbeitgeber eindeutig aus.

Löschfristen im Personal- und Betriebsratsbüro

Eine größere Anzahl an Beratungsanfragen erhielt der LfDI von Mitarbeitervertretungen zu datenschutzrechtlichen Aufbewahrungs- und Löschfristen. Große Unsicherheit besteht im Umgang mit den zu unterschiedlichsten (Teil-)Zwecken gespeicherten Daten (z.B. Wahllisten, Lohnlisten, Qualifizierungsdaten und Daten zu personellen Einzelmaßnahmen) und deren Löschung.

Der LfDI nimmt § 65 Abs. 2 des Personalvertretungsgesetzes von Baden-Württemberg als Beispiel. Dieser regelt, dass Personalvertretungen personenbezogene Daten speichern dürfen, „soweit und solange dies zur Erfüllung ihrer Aufgaben erforderlich ist. Nach Abschluss der Maßnahme, an der die Personalvertretung beteiligt war, sind die ihr in diesem Zusammenhang zur Verfügung gestellten personenbezogenen Daten zu löschen und Unterlagen mit personenbezogenen Daten der Dienststelle zurückzugeben“.

Zentral für Löschkonzept: Erforderlichkeit der Verarbeitung

Zentraler Ausgangspunkt für die Aufbewahrung und Löschung ist folglich die Erforderlichkeit der Verarbeitung für die kollektivarbeitsrechtlichen oder sozialrechtlichen Zwecke im Rahmen der Gremienarbeit der Mitarbeitervertretungen.

Wichtig

Ein Löschkonzept, das sich hieran orientiert, muss die Erforderlichkeit für die unterschiedlichen Daten / Datenarten, die zu ebenso unterschiedlichen Zwecken erhoben und verarbeitet werden, stets individuell beurteilen.

Bei der Erstellung der teils komplexen Löschkonzepte und bei ihrer praxisgerechten Umsetzung können fachkundige externe Beraterinnen und Berater helfen, sollten die internen Kapazitäten hierfür nicht vorhanden sein oder nicht ausreichen.

Gemeinsame Verantwortlichkeit von Werbenden und Adresshändlern

Der LfDI beschreibt, dass auf Werbebriefen oft äußerst kleingedruckt Folgendes zu lesen ist: „Verantwortlich im Sinne der DS-GVO: Adresshändler XY, mit Sitz in der Schweiz.“

Die Empfänger der Werbung müssen sich im Hinblick auf ihre Betroffenenrechte mit dem Adresshändler im Ausland auseinandersetzen, während sich der eigentliche Veranlasser bzw. Auftraggeber der Werbung bequem zurücklehnen kann.

Achtung

Doch auch wenn jeder Einzelfall separat und anhand der Umstände des Einzelfalls zu bewerten ist, seien Adresshändler mit den Werbenden im Regelfall gemeinsam für die Verarbeitung Verantwortliche gemäß Art. 4 Nr. 7 in Verbindung mit Art. 26 DSGVO.

Das leuchtet angesichts der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu Art. 26 DSGVO ein (EuGH, Urteil vom 5. Juni 2018 – EU-C-210/16, Facebook-Fanpages sowie EuGH, Urteil vom 10. Juli 2018 – C-25/17, Zeugen Jehovas). Denn es kommt unter anderem nicht darauf an, ob das werbende Unternehmen Zugriff auf die zu Werbezwecken verarbeiteten Daten des Adresshändlers hat.

  • Der LfDI begründet in schlüssiger Weise die gemeinsame Verantwortung damit, dass das werbende Unternehmen grundsätzlich selbst Kriterien für die Adressauswahl festgelegt hat (etwa Männer ab 40, mit Hochschulabschluss; Selbständige ab 40 mit Hobbies im Freizeitsportbereich und Einkommen über 60.000 € usw.).
  • Zugleich reiche aber – in Anlehnung an die entsprechenden Ausführungen der Art.-29-Datenschutzgruppe – auch aus, wenn der Werbende „nur“ eine Auswahl bestimmter Selektionskriterien vornimmt, die der Adresshändler vorschlägt, um eine gemeinsame Verantwortung anzunehmen.

Dass ebenso wie im Bereich der Personaldienstleistungen nur die wenigsten Adresshändler und werbenden Unternehmen die damit einhergehenden Pflichten (insbesondere Art. 26 DSGVO) auf dem Schirm haben, erzeugt Haftungsrisiken.

Konkretisierung der Auskunftspflicht – Verantwortliche haben keine Wahlfreiheit

Im Hinblick auf die Reichweite der Auskunftspflicht gemäß Art. 15 DSGVO behandelt der LfDI in seinem Tätigkeitsbericht eine in der Literatur und Rechtsprechung noch immer stark diskutierte (Auslegungs-)Frage.

Praxis-Tipp

Es geht dabei um die Frage, ob nach Art. 15 DSGVO der Verantwortliche ein Wahlrecht im Hinblick auf Art. 15 Abs. 1 Buchst. c DSGVO hat. Ob er also entweder den konkreten Empfänger (xyz) oder nur eine Empfängerkategorie (z.B. IT-Dienstleister) in der Auskunft nennen muss.

Nach Ansicht des LfDI muss eine Auskunft gemäß Art. 15 DSGVO – auch vor dem Hintergrund von Art. 5 und Art. 12 DSGVO – so konkret wie möglich sein. Der LfDI geht davon aus, dass ein solches Wahlrecht zugunsten des Verantwortlichen ausdrücklich nicht besteht.

Der Wortlaut der Norm und damit die Regelung sei vielmehr so zu verstehen,

  • dass bei erfolgten Übermittlungen über den konkreten Empfänger Auskunft zu erteilen ist,
  • bei künftigen und geplanten Übermittlungen über die entsprechende(n) Kategorie(en).

Es sei demnach der betroffenen Person immer das an Informationen zu nennen, was an Wissen bei der verantwortlichen Stelle vorhanden ist.

Ob der LfDI die gleiche Ansicht in entsprechender Weise auch für die proaktiven Informationspflichten gemäß Art. 13 Abs. 1 Buchst. e Art. 14 Abs. 1 Buchst. e DSGVO vertritt, bleibt offen.

Datenverarbeitung in Zeiten der Pandemie

Der Tätigkeitsbericht steht auch im Zeichen der aktuellen Corona-Pandemie. Das merken Leserinnen und Leser nicht nur an der Titelseite des Berichts, sondern vor allem auch daran, dass sich der LfDI auf den Seiten 9 bis 46 ausschließlich mit datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Pandemie auseinandersetzt.

Hervorzuheben sind hierbei etwa Ausführungen zu Themen wie

  • Datenverarbeitung zur Kontakt-Nachverfolgung, datenschutzrechtliche Herausforderungen in unterschiedlichen Bereichen (S. 10 ff.),
  • Datenschutz bei Corona-Testzentren (S. 24 ff.),
  • Digitalisierung des öffentlichen Gesundheitswesens zur Pandemiebekämpfung (S. 27 ff.),
  • Rechtliche Rahmenbedingungen und Empfehlungen für Videokonferenzen im Unterricht und für Kommunikationsdienste im Unternehmensalltag (S. 38 ff.) und
  • Fiebermessen am Werkstor (S. 38 ff.) – Sonderfall: Schlachtbetriebe

Informationen aus der Bußgeldstelle der Aufsichtsbehörde

Im Jahr 2020 wurden 174 neue Verfahren bei der Bußgeldstelle anhängig. Sie erließ 19 Bußgeldbescheide. Sehr häufig standen laut LfDI Verstöße gegen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO im Zentrum. Insgesamt habe die Bußgeldstelle Geldbußen in Höhe von 1.670.050 Euro zuzüglich Gebühren in Höhe von 16.088 Euro festgesetzt.

Neben dem hohen Bußgeld (1,24 Millionen Euro) gegen die AOK Baden-Württemberg erließ die Datenschutzaufsicht erneut zahlreiche Bußgelder aufgrund rechtswidriger Videoüberwachung. Die verhängten Bußgelder lagen hierbei zwischen 250 € und mehreren tausend Euro pro Verstoß.

Weitere Zahlen und Fakten des Jahres 2020

  • Eingegangene Beschwerden: 4.782
  • Kontrollen: 31 (pandemiebedingt niedriger)
  • Beratungen (ohne telefonische Beratungen): 3.285
  • Datenpannen: 2.321

Hinweis: Leider fehlt eine konkrete Auflistung zur Ausübung weiterer aufsichtsbehördlicher Befugnisse, etwa die Anzahl der Verwarnungen / Warnungen oder Untersagungen.

Den Tätigkeitsbericht finden Sie als PDF zum Download unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/02/LfDI-BW_36_Ta%CC%88tigkeitsbericht_2020_WEB.pdf

Autor*in: Dr. Kevin Marschall (Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz spezialisierten Unternehmensberatung mit Sitz in Kassel.)