<strong>EuGH: Sonderkündigungsschutz für Datenschutzbeauftragte europarechtskonform</strong>

EuGH Urteil vom 22.6.2022 – C-534/20

Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft viele Unternehmen. Eine deutsche Besonderheit ist dabei der besondere Kündigungsschutz des internen betrieblichen Datenschutzbeauftragen. Zur Vereinbarkeit dieses Kündigungsschutzes mit europarechtlichen Vorgaben hat nun der EuGH entschieden.

Besonderer Schutz des Datenschutzbeauftragten

Der betriebliche und behördliche Datenschutzbeauftragte wird aufgrund seiner Funktion besonders geschützt. Nach Art. 38 III 2 DSGVO dürfen Datenschutzbeauftragte vom Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden. Allerdings geht der nationale Gesetzgeber in § 6 Abs. 4 BDSG noch einen Schritt weiter und regelt arbeitsrechtliche Vorschriften in Form von einem strengeren Kündigungsschutz – auch dann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängt, sondern aus anderen Gründen erfolgt. Die Rechtmäßigkeit eines solch starken Kündigungsschutzes ist in der deutschen Fachliteratur stark umstritten, insbesondere ob es sich nur um eine rein arbeitsrechtliche Regelung handelt oder aber gegen EU-Recht verstößt.

Daher befasste sich der EuGH im Rahmen eines Vorabentscheidungsverfahren nach Art. 267 AEUV mit der Frage, ob der stringentere Kündigungsschutz für Datenschutzbeauftragte in Deutschland vereinbar sei mit dem datenschutzrechtlichen Europarecht.

Zulässigkeit einer betriebsbedingten Kündigung des internen Datenschutzbeauftragten

Im konkreten Fall ging es um eine betriebsbedingte Kündigung eines betrieblichen Datenschutzbeauftragten. Dabei berief sich der Arbeitsgeber eines privatrechtlich organisierten Unternehmens auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Datenschutzbeauftragte geführt habe. Die Funktion der Datenschutzbeauftragten sollte ausgelagert werden und durch einen Externen wahrgenommen werden. Daraufhin erhob die Datenschutzbeauftragte eine Kündigungsschutzklage, mit der sie die Unwirksamkeit der Kündigung geltend machte. Die Instanzgerichte gaben der Datenschutzbeauftragten Recht, denn aus den speziellen deutschen Datenschutzregelungen in § 38 II iVm § 6 IV 2 BDSG ergibt sich, dass verpflichtend bestellte Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund nach § 626 BGB gekündigt werden können. Dagegen wandte sich das Unternehmen mit seiner Revision beim BAG.

Der EuGH hat eine solche schärfere, schützende Regelung als grundsätzlich mit der DSGVO für vereinbar erklärt. Allerdings schränkt er dies damit ein, dass diese schärfere Regelung nur gelte, solange sie die Zwecke des europäischen Datenschutzes nicht beeinträchtigt. Dies begründet der EuGH im Wesentlichen mit dem Telos des Datenschutzes sowie der jeweiligen Gesetzgebungskompetenz. In der DSGVO ist in Art. 38 III 2 DSGVO nicht geregelt, wie ein Datenschutzbeauftragter gekündigt werden kann. Art. 16 II AEUV bildet nur eine Datenschutzrechtsgrundlage. Hier hat Deutschland seine arbeitsrechtliche Kompetenz genutzt, um den Kündigungsschutz auszuweiten. Denn im Bereich der Sozialpolitik hat die EU keine spezifische Kompetenz, sondern bestehen geteilte Zuständigkeiten. Die EU hat gem. Art. 2 II, 4 II b), 153 AEUV beschränkte Richtlinienkompetenzen. Nach Art. 153 II b) AEUV hat die EU lediglich eine Richtlinienkompetenz für Mindestvorschriften. Nach dem Kohärenzprinzip müssen sich die Mitgliedstaaten an den europarechtlichen Rahmen halten, allerdings ist gegen strengere mitgliedstaatliche Regelungen kein Einwand zu erheben. Somit scheidet mangels entsprechender EU-Gesetzgebungskompetenz eine Kollision von EU-Recht und deutschem Sonderkündigungsschutz aus.

Weiterhin müsse laut EuGH auf die Systematik und Telos der Datenschutzvorschriften abgestellt werden. Aspekte des Arbeitsverhältnisses sind kein direktes Regelungsziel der DSGVO, sondern allenfalls am Rande betroffen, um die Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten. Aus Art. 38 DSGVO sowie den Erwägungsgründen 97 und 10 DSGVO folgt, dass die EU als Zweck der Vorschrift Art. 38 III DSGVO die funktionelle Unabhängigkeit der Datenschutzbeauftragten sichergestellt werden soll. Erwägungsgrund 10 der DSGVO deutet an, welches hohe Harmonisierungsniveau mit der DSGVO erzielt werden soll und infolgedessen das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten gleichwertig sein sollte. Auch der Kündigungsschutz dient der funktionellen Unabhängigkeit eines Datenschutzbeauftragten. Dabei bleibt jedoch die Frage, ob ein derart strenger Kündigungsschutz wie es im deutschen BDSG vorgesehen ist, wirklich erforderlich ist.

Schließlich schränkt der EuGH die Anwendbarkeit des Sonderkündigungsschutzes im BDSG dahingehend ein, dass der Datenschutz damit nicht ausgehebelt werden darf. Ein stärkerer Kündigungsschutz darf nicht bedeuten, dass ein Datenschutzbeauftragter unabhängig von datenschutzrechtlichen Zwecken unkündbar ist und die Kündigung per se verhindert werden kann, wenn ein Datenschutzbeauftragter nicht mehr für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder die Aufgaben nicht im Einklang mit der DSGVO erfüllt. Dies zeigt abermals auf, dass es sich beim Datenschutz von Natur aus um eine Querschnittsmaterie handelt und deren Regelungen unvermeidlich auf andere Rechtsbereiche ausstrahlt.

Es ist somit in jedem Einzelfall durch die nationalen Gerichte neu zu prüfen, ob ein wichtiger Kündigungsgrund iSv § 626 BGB vorliegt. Dabei bildet die Europarechtskonformität den übergeordneten Auslegungsmaßstab. Diese Wechselwirkung mit den datenschutzrechtlichen Pflichten nach der DSGVO müssen auch die deutschen Arbeitsgerichte bei ihren Entscheidungen zwingend berücksichtigen. Beispielsweise könnten Interessenkonflikte aus Gründen wie der Wahrnehmung verschiedener Rollen in einer Organisation zu einem anderen Ergebnis im Rahmen einer Abwägung führen.

Der externe Datenschutzbeauftragte als bessere Alternative? Praktisch bedeutet diese EuGH-Entscheidung, dass die relativ starke Stellung und Unabhängigkeit interner Datenschutzbeauftragten bestätigt und bestärkt wurde. Damit bleibt es für Arbeitgeber weiterhin schwierig, sich von internen Datenschutzbeauftragten zu trennen, sofern eine gesetzliche Benennungspflicht vorliegt. Letztlich muss der Verantwortliche bzw. der Auftragsverarbeiter unter Abwägung aller Gesichtspunkte entscheiden, ob er aus Gründen der Flexibilität Externe statt eigene Beschäftige zu betrieblichen Datenschutzbeauftragten bestellen. Eine Möglichkeit für interne Datenschutzbeauftragte könnte eine befristete Benennung sein. Teilweise wird, aus Gründen der Verhinderung des Unterlaufens der gesetzlichen Vorgaben für die Abberufung eines Datenschutzbeauftragten, dazu ein sachlicher, angemessener Grund verlangt.

Dr. Stefan Brink ist seit dem 1. Dezember 2016 der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg. Er hat an unserem TCI-Datenschutztag vom 22.09.2022 in einer interaktiven Diskussionsrunde Näheres zu den Aufgaben der datenschutzrechtlichen Aufsichtsbehörden sowie zum aktuellen Stand des internationalen Datentransfers ausgeführt.

Was macht eigentlich eine datenschutzrechtliche Aufsichtsbehörde?

Die Aufsichtsbehörde ist seit 2018 besonders intensiv in der Beratung unterwegs und berät Bürger, Unternehmen und Behörden – insbesondere in letzter Zeit zur Corona-Verordnung, zu Bildungsplattformen und Proctoring an Hochschulen. Ein weiterer Schwerpunkt ist die Beratung von Unternehmen und Vereinen mit Themen wie 3G am Arbeitsplatz, Lohnfortzahlung im Quarantänefall sowie die Zusammenarbeit mit Institutionen.

In Zahlen lässt sich festhalten, dass der LfDI Baden-Württemberg circa 5000 Beschwerden und 3000 Datenpannenmeldungen pro Jahr erhält. Bei den Datenpannenmeldungen hat ein enormer Anstieg stattgefunden – nicht nur aufgrund der erweiterten Meldepflichten der DSGVO, sondern u.a. wegen neuer Sicherheitslücken wie z.B. die MS Exchange-Sicherheitslücke in 2021. Deutschland ist europaweit das Land mit den meisten Datenpannenmeldungen – vermutlich nicht, weil die IT in Deutschland besonders unsicher ist, sondern eher aufgrund der starken Aufsichts- sowie Melde-„Kultur“.

Auch die Beschwerden haben sich zwischen 2016 und 2021 verdoppelt. Besonders Betroffenen-Themen, wie Beschäftigten-Datenschutz (gleichermaßen im öffentlichen und privaten Sektor) vermehren sich.

Aufgrund dieser hohen Zahlen setzt Baden-Württemberg vermehrt auf automatisierte Kontrollen und Bescheide. Zudem verhängt die Aufsichtsbehörde vorrangig Bußgelder in Fällen, die auch vor Gericht voraussichtlich Aussicht auf Erfolg haben, um die Arbeitslast zu verringern. Vor Gericht haben vorwiegend einfach strukturierte Fälle, die nachweisbar sowie prüfbar sind, eher Aussicht auf Erfolg. Ferner besteht in Baden-Württemberg eine strikte Trennung zwischen der Beratung und den Bußgeldverfahren. Zwischen diesen Abteilungen fließen keine Informationen. Dies ermöglicht es Bürgern und Unternehmen sich zu informieren, ohne gleich ein Bußgeld befürchten zu müssen.

Europäische Perspektiven

Der europäische Datenschutzausschuss arbeitet und funktioniert nach Aussage von Dr. Brink gut. Alle sechs Wochen finden Treffen der europäischen Aufsichtsbehörden der Mitgliedstaaten statt. Es wird dabei versucht, weitestgehend einen einheitlichen Vollzug im Datenschutz zu realisieren. Dies ist jedoch ein langer Prozess, da es sich letztlich um die Vereinheitlichung der europäischen Verwaltungskultur handelt.

Auch wenn noch Nachbesserungsbedarf an der DSGVO besteht, sind bereits informelle (Kommunikation mit US-Unternehmen) wie auch formale (Anordnungen/Bußgelder) Vollzugserfolge zu sehen. Allerdings wird die Uneinheitlichkeit des Vollzugs und der Rechtsprechung in den europäischen Ländern zum Teil ausgenutzt. Zum Beispiel wird ein deutscher Richter vermutlich kein Bußgeld verhängen, wenn der Beklagte belegen kann, dass in einem anderen Land für seine Handlung kein Bußgeld verhängt werden würde. Zurzeit ist ein Wachstum bei dem Gesamtumfang an Bußgeldern sowie deren Höhe in Europa zu sehen. Im Vergleich zum Vorjahr liegt bereits eine Erhöhung von rund 50% vor. Das mag auch daran liegen, dass sich einige Aufsichtsbehörden im EU-Ausland aus den eingetriebenen Bußgeldern (mit-)finanzieren.

Außereuropäische Datentransfers – Schrems II und die Perspektiven

Zum Dauerbrennerthema der Datenübermittlung in das Nicht-EU-Ausland und zur Schrems II-Problematik wird voraussichtlich für Mitte 2023 eine Lösung in Form des „Trans-Atlantic Data Privacy Frameworks“ erwartet – jedenfalls hinsichtlich Datentransfers in die USA.

Bis dahin gilt leider nach wie vor:

  • Geeignete Garantien (Art. 46 DSGVO) durch Standarddatenschutzklauseln und Binding Corporate Rules (BCR) (Art. 47 DSGVO) sind nach Schrems II problematisch.
  • Ausnahmetatbestände (Art. 49 DSGVO), insbesondere die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, sind nur schwer umzusetzen. Eine „informierte Einwilligung“ erfordert eine gute Kenntnis der anderen Landes-Rechtsordnung sowie ständige Aktualisierungen aufgrund neuer Gesetze und Rechtsprechung im jeweiligen Zielland. Nach Auffassung der Aufsichtsbehörden soll zudem die Einwilligung nur in Ausnahme- bzw. Einzelfällen zur Anwendung kommen.

Die derzeit beliebten TIA (Transfer Impact Assessment) sind nach Auffassung von Dr. Brink von eher zweifelhaftem Nutzen. TIA sind in der Welt des Datenschutzes relativ neu – es handelt sich um eine Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Risikobewertung – vor allem die Prüfung der Rechtslage im „Zielland“ – erfordert jedoch einen unverhältnismäßig hohen Aufwand. Dabei ist auch zu beachten, dass die TIA ein dauerhafter Prozess ist und diese regelmäßig überprüft werden muss: schließlich können sich Gesetze und Rechtsprechung im Zielland ändern. Die meisten Aufsichtsbehörden gehen bei der Prüfung von Auslandsübermittlung jedoch mit Augenmaß vor und sind sich ihres Ermessenspielraums bewusst. Zurückhaltung wird oft dann ausgeübt, wenn der Auslands-Dienstleister „alternativlos“ ist, d.h. wenn es keine zumutbaren Alternativangebote ohne Transferproblematik gibt. Verantwortliche sollten deshalb dringend intern dokumentieren, weshalb sie auf einen bestimmten Auslands-Dienstleister angewiesen sind.

Wir freuen uns, dass wir Sie zu einer ganz besonderen Online-Veranstaltung am 22.09.2022 einladen können!

Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, wird über den aktuellen Stand der Auslandsübermittlungen berichten und dabei auch Einblick in die Prüfungs- und Bußgeldpraxis der Aufsichtsbehörden geben.

Danach steht Dr. Brink für Ihre Fragen zur Verfügung. Sie haben die Möglichkeit, uns unter webinar@tcilaw.de vorab Fragen zukommen zu lassen.

Auf Wunsch stellen unsere Moderatoren Ihre Fragen Herrn Dr. Brink auch gerne anonym.

Wir freuen uns über Ihre Teilnahme und bitten um Anmeldung bis zum 19.09.2022 per E-Mail an webinar@tcilaw.de. Sie erhalten Ihre Zugangsdaten per E-Mail. Die Teilnahme ist kostenlos.

Möglichkeit einer Gastbestellung in Online-Shops – Voraussetzung für einen datenschutzkonformen Online-Handel

Bereits am 24. März 2022 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) einen Beschluss zum Thema „Datenschutzkonformer Online-Handel mittels Gastzugang“.

Nach Ansicht der DSK müssen Shop-Betreiber, die online Waren oder Dienstleistungen anbieten, ihren Kunden grundsätzlich einen Gastzugang (d. h. Verzicht auf Registrierungs- bzw. Zugangsdaten) zur Verfügung stellen. Dies soll  unabhängig davon gelten, ob die Shop-Betreiber ihren Kunden daneben einen registrierten Nutzungszugang (ein fortlaufendes Kundenkonto) zur Verfügung stellen.

Onlineshops müssen demnach für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen möchten, die Möglichkeit zur Verfügung stellen, auch ohne Kundenkonto Bestellungen tätigen zu können. Über diesen Gastzugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen des jeweiligen Kunden erfasst werden. Eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten findet mit einem Gastzugang nämlich nicht statt.

Ebenso muss die „Bestellung als Gast“ in ihrer Art und Weise gleichwertig sein. Dies sei gegeben, „wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.“

Ferner ist bei fortlaufenden Kundenkonten für weitere Verarbeitungen der dort gespeicherten Daten (z.B. Profiling der Kundenhistorien, bestellte Produkte / Dienstleistungen, Zusammenführung mit Daten aus anderen Quellen), d. h. jede Verarbeitung, die nicht für die Vertragserfüllung erforderlich ist,  vorab eine Einwilligung der Kunden nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO einzuholen. Denn einen solche Verarbeitung sei eine Verarbeitung, die über die bloße  Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgehe. So sei das Anlegen eines Kundenkontos nicht erforderlich, um den Kunden die Waren zukommen zu lassen.

Diese extreme Auffassung der DSK ist rechtlich umstritten. So ist insbesondere fraglich, warum sich die Anlage des Kundenkontos und die damit zusammenhängende Datenverarbeitung nicht einfach auf Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO stützen lassen kann. Schließlich haben sowohl der Shop-Betreiber als auch dessen Kunden ein berechtigtes Interesse an der Beschleunigung zukünftiger Bestellungen.

In diesen Kontext passt auch eine aktuelle Nachricht, nach der die EU-Kommission die niederländische Datenschutz-Aufsichtsbehörde wegen eines allzu engen Verständnisses der „berechtigten Interesse“ im Sinne von Art. 6 Abs. 1f DSGVO rügt (siehe https://www.nrc.nl/nieuws/2022/07/03/brussel-tikt-nederlandse-ap-op-de-vingers-om-te-strikte-naleving-privacywetgeving-a4135385 ). Dies führe nach Auffassung der Kommission dazu, dass Unternehmen für praktisch jede Datenverarbeitung Einwilligungen einholen müssten – was nach dem Wortlaut der DSGVO aber eben gerade nicht notwendig sei.

Gilt das Recht auf kostenlose Auskunft auch bei anderen legitimen Zwecken, aber datenschutzfremden Zwecken?

Diese Frage soll nun der EuGH klären. Anlass ist ein Vorlagebeschluss des Bundesgerichtshofs (BGH) vom 29.03.2022, Az. VI ZR 1352/20. Insbesondere soll geklärt werden, unter welchen Voraussetzungen und in welchem Umfang Ärzte ihren Patienten eine unentgeltliche Kopie der Patientenakte herausgeben müssen.

Im konkreten Fall verlangt der Patient für die Prüfung eines möglichen Behandlungsfehlers seiner Ärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei ihr existierender, ihn betreffender Krankenunterlagen und stützt sich hierbei auf die DSGVO. Die Ärtzin hingegen ist der Auffassung, dass sie nur gegen Erstattung der Kosten eine Kopie der Unterlagen zur Verfügung stellen müsse.

Mit der Begründung, der Patient könne sich auf sein Auskunftsrecht nach der DSGVO berufen, gaben sowohl das Amts- als auch das Landgericht dem Patienten Recht. Der BGH hat allerdings Zweifel, ob das Auskunftsrecht in der DSGVO auch dann greift, wenn es nicht mit dem Anspruch auf eine datenschutzrechtliche Prüfung im Sinne von Erwägungsgrund 63 der DSGVO begründet wird. Vorliegend möchte der Patient die Kopie seiner Daten in erster Linie zur Verfolgung von Schadensersatzansprüchen erhalten, nicht aber zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung.

In diesem Zusammenhang wird der EUGH insbesondere auch der Frage nachgehen, wie es sich mit den Kosten des Auskunftsanspruchs verhält. So ergibt sich aus Art. 15 Abs. 3 DSGVO ganz allgemein das Recht der betroffenen Person vom Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten. Hierbei muss die erste Kopie unentgeltlich erfolgen und erst für weitere Kopien kann ein angemessenes Entgelt gefordert werden. Aus § 630g Abs. 2 BGB ergibt sich hingegen das Recht des Patienten eine Abschrift der Patientenakte zu verlangen. Dies kann auch in elektronischer Form erfolgen. Dafür kann der Arzt jedoch die Erstattung der entstandenen Kosten verlangen. Dieses Recht auf eine Kopie ist für den Patienten nach dieser Regelung nicht kostenlos.

Es bleibt daher abzuwarten, ob das Recht auf eine kostenlose Kopie auch dann besteht, wenn der Betroffene die Kopie zur Verfolgung von legitimen Zwecken, aber datenschutzfremden Zwecken, begehrt.

Fehlende Umsetzung der Whistleblower-Richtlinie: Folgen für Unternehmen

Mit der EU-Whistleblower-Richtline EU 2019/1937 vom 23.10.2019 verpflichteten sich die Mitgliedsstaaten Unternehmen mit mindestens 250 Mitarbeitern* vorzuschreiben, eine Hinweisgeberstelle für Rechtsverstöße im Unternehmen einzurichten. Ab dem 17.12.2023 soll die Verpflichtung auch auf kleinere Unternehmen, mit mehr als 50 Mitarbeitern, erweitert werden.

Die Umsetzung der Richtlinie in nationales Recht sollte bis zum 17.12.2021 erfolgen. Diese Frist wurde allerdings vom deutschen Gesetzgeber verpasst, u. a., weil keine Einigung über den Umfang der zu meldenden Verstöße herrschte. Wegen fehlender Umsetzungen leitete die Europäische Kommission anschließend gegen Deutschland sowie gegen 25 weitere Mitgliedsstaaten Vertragsverletzungsverfahren ein. Die fehlenden Umsetzungen erzeugen nun eine gewisse Rechtsunsicherheit für Unternehmen.

Inhalt der Whistleblower-Richtlinie

Die Richtlinie sieht vor, dass Mitarbeiter bei den einzurichtenden Hinweisgeberstellen anonym melden können, wenn sie im Unternehmen Verstöße gegen EU-Recht empfinden. Hierdurch sollen Rechtsverstöße besser aufgedeckt und unterbunden werden und die Möglichkeiten der Rechtsdurchsetzung für die Betroffenen verbessert werden.

Eine weitergehende Verpflichtung kann die Europäische Union mangels Gesetzgebungskompetenz nicht vorschreiben. Den Mitgliedsstaaten soll es aber freistehen, die Hinweisgeberstellen auch auf Verstöße gegen nationales Recht zu erweitern.

Die neue Bundesregierung kündigte an, die Richtlinie im ersten Quartal 2022 durch den Erlass eines „Hinweisgeberschutzgesetzes“ (HinSchG) umsetzen zu wollen. Dabei sollen Mitarbeiter tatsächlich die Möglichkeit erhalten, nicht nur empfundene Verstöße gegen EU-Recht, sondern auch gegen deutsches Recht oder sonstiges erhebliches Fehlverhalten melden zu können.

Da Hinweisgeber sich beim Bekanntwerden von Meldungen innerhalb ihres Unternehmens unbeliebt machen könnten, sieht die Whistleblower-Richtlinie in Art. 19, 20 und 21 einen Schutz vor Repressalien wie Kündigungen oder Versetzungen vor. Auch diese Schutzmaßnahmen sollen im „HinSchG“ wohl inhaltlich noch erweitert werden.

Weder die Details der geplanten Ausgestaltung dieses Schutzes und hierdurch entstehender zusätzlicher Pflichten eines Arbeitgebers noch die weitere Ausgestaltung der deutschen Umsetzung sind jedoch bisher bekannt. Etwa ob innerhalb eines Konzerns eine zentrale Hinweisgeberstelle für die Mitarbeiter sämtlicher Gesellschaften ausreicht oder jede Gesellschaft eine eigene Stelle einrichten muss.

Folgen der fehlenden Umsetzung

Da Deutschland die Frist zur Umsetzung und Ausgestaltung der Richtlinie in deutsches Recht verpasst hat, stellt sich für Unternehmen hierzulande nun die Frage, ob sie nun dennoch verpflichtet sind, bereits jetzt eine Hinweisgeberstelle einzurichten, was entweder intern oder auch extern erfolgen kann.

Prinzipiell kann eine nicht umgesetzte EU-Richtlinie nach dem Ende der Umsetzungsfrist selbst eine unmittelbare Wirkung entfalten. Dafür muss die Richtlinie von der EU so genau bestimmt worden sein, dass die Handlungspflicht bereits eindeutig ist. Sie darf auch nicht von zusätzlichen Bedingungen abhängig sein oder zu ihrer Anwendung weitere Rechtsvorschriften bedürfen. All diese Bedingungen dürften bei der EU-Whistleblower-Richtline vorliegen.

Dennoch kann sich ein Bürger nur gegenüber dem Staat auf die nicht umgesetzte Richtlinie berufen, nicht jedoch gegenüber anderen Privatpersonen. Momentan kann sich ein Arbeitnehmer also beispielsweise noch nicht auf den erweiterten Kündigungsschutz berufen, sodass Unternehmen durch die fehlende Umsetzung keine negativen Konsequenzen entstehen. Zugleich müssen staatliche Organisationen aber bereits jetzt eine Hinweisgeberstelle einrichten, bei der Verstöße gegen EU-Recht gemeldet werden können.

Fazit

Momentan sind Unternehmen noch nicht verpflichtet, Hinweisgeberstellen vorzuhalten. Zudem ist die Ausgestaltung des geplanten Hinweisgeberschutzgesetzes noch unklar. Dennoch ist es für Unternehmen sinnvoll, gerade in Konzernstrukturen, die Einrichtung entsprechender Stellen bereits jetzt vorzubereiten, da diese aufwändig und zeitintensiv sein könnte. Bei der Einrichtung einer Hinweisgeberstelle sind u. a. auch datenschutzrechtliche Rahmenbedingungen zu schaffen, z. B. eine sichere Möglichkeit der Kommunikation mit der Hinweisgeberstelle. Im Einzelfall ist zudem eine sog. Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen, die grundsätzlich erforderlich ist bei einer Form der Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Wenn man berücksichtigt, dass über die Hinweisgeberstelle ggf. Daten über potenziell strafrechtlich relevantes Verhalten verarbeitet werden und für den Hinweisgeber zudem das greifbare Risiko besteht, dass seine Anonymität nicht geschützt wird, dann erscheint eine Datenschutz-Folgenabschätzung somit notwendig, ebenso wie eine Abstimmung mit dem betrieblichen Datenschutzbeauftragten.

*Aus Gründen der vereinfachten Lesbarkeit wird lediglich die grammatikalisch männliche Form genannt, gemeint sind jedoch Beschäftigte jeder Geschlechteridentität.

TCI Rechtsanwälte berät die Aareon AG bei dem Erwerb des ERP-Anbieters GAP-Group

Die Transaktion: Die Aareon AG, Europas führendes Unternehmen für Immobiliensoftware, hat am 10. Oktober 2021 einen Vertrag zum Erwerb von hundert Prozent der Anteile an der GAP Gesellschaft für Anwenderprogramme und Organisationsberatung mbH („GAP-Group“) unterzeichnet. Mit dieser Akquisition stärkt die Aareon Gruppe ihre Marktposition in Deutschland und erweitert ihr Angebotsportfolio um die branchenspezifische ERP-Software immotion.

„Mit der Akquisition der GAP-Group erweitern wir unser ERP-Angebot in Deutschland. Die GAP-Kunden können künftig von einem größeren Produktportfolio profitieren, beispielsweise im Hinblick auf weitere digitale Lösungen, die wir gemeinsam integrieren und anbieten werden.“ sagt Dr. Manfred Alflen, Vorstandsvorsitzender der Aareon AG.

Die GAP-Group wird auch unter dem Dach der Aareon Gruppe mit einem eigenständigen Marktauftritt vertreten sein.

TCI hat ihm Rahmen der Transaktion die Due Diligence in den Bereichen IT, IP, Datenschutz und Commercial durchgeführt und beim Kaufvertrag beraten und verhandelt. Zudem haben MUTTER & KRUCHEN (Gesellschaftsrecht), ALTENBURG (Arbeitsrecht) sowie Warth & Klein Grant Thornton AG (Steuern/Finanzen) die Akquisitionen für die Aareon AG beraten.

Die Unternehmen:

Aareon ist der führende Anbieter von ERP-Software und digitalen Lösungen für die europäische Immobilienwirtschaft und ihre Partner. Das Unternehmen digitalisiert die Branche mit nutzerorientierten Softwarelösungen. Diese vereinfachen und automatisieren Prozesse, unterstützen nachhaltiges und energieeffizientes Handeln und vernetzen die Prozessbeteiligten.

Europaweit verwalten rund 4.000 Kunden des Technologieführers mehr als 11 Mio. Einheiten. Die Aareon Gruppe ist ein internationales Unternehmen mit Standorten in der DACH-Region, Finnland, Frankreich, Großbritannien, den Niederlanden, Norwegen und Schweden. In Rumänien ist Aareon mit einer Entwicklungsgesellschaft tätig. Die Aareon Gruppe beschäftigt über 1.800 Mitarbeiter, davon mehr als 40 % in ihren internationalen Tochtergesellschaften. Im Jahr 2020 erzielte Aareon einen Umsatz von 258 Mio. € und ein Adjusted EBITDA von 62 Mio. €.

Die GAP-Group gehört seit 40 Jahren zu den führenden Herstellern branchenspezifischer Unternehmenssoftware in der Wohnungswirtschaft. Das Leistungsangebot umfasst insbesondere das moderne ERP-System immotion, integrierte Services, Portallösungen sowie Beratungs- und Supportleistungen.

Neue Urteile zur Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO

Nach Art. 15 Abs. 1 der DSGVO sind Verantwortliche dazu verpflichtet, den Betroffenen auf Wunsch Auskunft darüber zu erteilen, welche Daten sie über sie erhoben haben und in welcher Form diese Daten verarbeitet werden.  Art. 15 Abs. 3 DSGVO regelt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Welche Daten der Auskunftsanspruch und das Recht auf eine Kopie genau umfasst, ist bisher nicht klar definiert.

Der Wortlaut der DSGVO schränkt den Auskunftsanspruch nicht wirklich ein. So kann der Verantwortliche dazu verpflichtet sein, umfassende Kopien aller Unterlagen herauszugeben, die personenbezogene Daten des Betroffenen enthalten. Das wird z. B. in arbeitsrechtlichen Auseinandersetzungen zunehmend genutzt, um den Druck auf den (ehemaligen) Arbeitgeber mit umfassenden Ansprüchen auf Herausgabe z. B. der gesamten E-Mail-Korrespondenz zu erhöhen.

In der Rechtslehre ist deshalb streitig, ob der Anspruch aus Art. 15 DSGVO nicht beschränkt werden kann. Zum Umfang des Anspruchs auf Datenkopie haben sich in letzter Zeit unter anderem das Bundesarbeitsgericht (BAG) und das Oberverwaltungsgericht Münster beschäftigt.

Urteil des BAG vom 27.04.2021 – 2 AZR 342/20

In seiner Entscheidung vom 27. April 2021 beschäftigte sich das BAG mit dem Auskunftsanspruch ehemaliger Arbeitnehmer.

Sachverhalt

Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten und verlangte zudem pauschal Kopien des E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie Kopien von allen E-Mails, in denen er namentlich erwähnt wurde.

Entscheidung

Das Bundesarbeitsgericht lehnte den Anspruch auf Erteilung einer Kopie der Daten in seinem Urteil ab. Als Begründung führte das Gericht aus, dass der Klageantrag zu unbestimmt sei. So könne sich der Auskunftsanspruch nicht auf eine unbestimmte Anzahl von E-Mails beziehen. Das Auskunftsbegehren müsse vielmehr auf bestimmte Dokumente und E-Mails konkretisiert werden. Anträge müssen vom Arbeitnehmer so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich die Verurteilung beziehe.

Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20

Wie weit der Auskunftsanspruch nach Art. 15 Abs. 3 reicht, zeigt auch das Urteil des Oberverwaltungsgericht Münster 8. Juni 2021 (Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20).

Sachverhalt

Ein Examenskandidat forderte die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege. Das Prüfungsamt war jedoch nur zur Übersendung der Kopien gegen eine Vorschusszahlung bereit. Der Kandidat reichte daraufhin Klage ein und begründete seinen  Anspruch auf Erhalt der Kopien nach Art. 15 Abs. 3 DSGVO i. V. m. Art. 12 Abs. 5 DSGVO. Das Gericht gab dem Kläger Recht und stellte fest, dass der gesamte Inhalt der Aufsichtsarbeiten des Klägers digital oder postalisch als Kopie unentgeltlich herauszugeben ist.

Entscheidung

Auch in der Berufungsinstanz wurde bestätigt, dass der Kläger einen Anspruch auf Zurverfügungstellung einer unentgeltlichen Datenkopie seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege habe.

Als Begründung führt das Gericht aus, dass sich dies aus der DSGVO, die vorliegend über die Regelungen im Landesdatenschutzgesetz NRW anwendbar sei, ergebe. Der damit aus Art. 15 Abs. 3 DSGVO folgende Anspruch auf Zurverfügungstellung einer Datenkopie umfasse eine unentgeltliche Kopie sämtlicher vom Landesjustizprüfungsamt verarbeiteter, den Kläger betreffender personenbezogener Daten, worunter auch die angefertigten Aufsichtsarbeiten einschließlich der Prüfergutachten fielen.

Das Recht aus Art. 15 Abs. 3 DSGVO unterliege keiner einschränkenden Auslegung auf bestimmte Daten oder Informationen. Weiter führt das Gericht aus, dass keine anderen  Gründe für einen Ausschluss des geltend gemachten Anspruchs vorlägen. Insbesondere seien keine Anhaltspunkte für ein rechtsmissbräuchliches Verhalten des Klägers zu erkennen. Auch lasse sich kein unverhältnismäßig großer Aufwand für das Landesjustizprüfungsamt feststellen.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.

Es bleibt hier abzuwarten, wie das Bundesverwaltungsgericht entscheiden wird.

Fazit

Die vor allem von Arbeitgebern erhoffte Klärung haben die Entscheidungen leider nicht geschaffen. Das BAG hat seine Klageabweisung in erster Linie prozessrechtlich begründet: um zu einem vollstreckbaren Titel zu kommen, muss der Klagegegenstand konkret bestimmt sein. Dem Grunde nach umfasst der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO aber offenbar auch nach Auffassung des BAG die gesamte E-Mail-Korrespondenz, soweit diese personenbezogene Daten des Klägers enthält (z. B. seinen Namen). Diese dem Grunde nach umfassende Herausgabepflicht von Dokumenten bestätigt die Entscheidung des OVG Münster.

Es bleibt zu hoffen, dass der Gesetzgeber das Auskunftsrecht aus Art. 15 DSGVO sinnvoll einschränkt.

TCI Rechtsanwälte berät die Nimbus Beteiligungsgesellschaft im IT- und Datenschutzrecht bei dem Erwerb eines Teils des Kerngeschäfts der EISENMANN

Die Transaktion: Nimbus erwirbt das gesamte Service- Ersatzteilgeschäft des Geschäftsbereich Paint&Assembly der EISENMANN-Gruppe und führt auch das Projekt- und Retrofit-Geschäft fort.

Die mit dem Insolvenzverwalter Joachim Exner erzielte Investorenlösung umfasst neben dem gesamten Service- Ersatzteilgeschäft auch die Fortführung des Projekt- und Retrofit-Geschäftes der Eisenmann-Sparte Paint&Assembly. „Mit dem Verkauf bleiben nicht nur ein wesentlicher Teil des Kerngeschäfts und der Technologie von Eisenmann sondern auch 110 Arbeitsplätze erhalten“, betonte Exner. „Er stellt vor allem auch sicher, dass die weltweit über 500 Eisenmann-Lackieranlagen weiter mit Service und Ersatzteilen bedient werden – und zwar über die gesamte Produktpalette.“

Erwerber ist der niederländische Beteiligungsfonds Nimbus, die u.a. auch am Anlagenbauer für Oberflächentechnik Sturm Gruppe, Salching, beteiligt ist. Nimbus ist auf die Übernahme von Unternehmen in Turn-Around-Situationen spezialisiert „Nimbus ist ein Investor, der strategisch hervorragend zu Eisenmann passt“, betonte Exner. „Die Gruppe verfügt über ausgeprägtes Branchen-Know-how im Anlagebau.“

Unter Federführung des langjährigen Beraters von Nimbus, Rechtsanwalt und Notar Oliver Thum, haben Stephan Schmidt, TCI Rechtsanwälte Mainz (IT-Recht und Datenschutz), Georg Melzer, Frankfurt am Main (Arbeitsrecht), Markus Fünning, Kanzlei PLUTA, Ulm (Insolvenzrecht) und Florian Heim, Wunderlich & Heim, München (IP-Recht), die als Asset Deal strukturierten Akquisitionen auf Seiten von Nimbus beraten.

Insolvenzverwalter Exner wurde von einem Team von Clifford Chance, Frankfurt a.M. beraten.

Thum, Melzer und Schmidt stehen Nimbus regelmäßig schon seit langem in den deutschen Transaktionen von Nimbus beratend zur Seite. Fünning war das erste Mal auf Seiten von Nimbus tätig, Heim wurde als Berater der Sturm Gruppe für die komplexen patent- und lizenzrechtlichen Themen dieser Transaktion mandatiert.

5 Tipps zur Wah­rung des Da­ten­schut­zes und des Schut­zes von Ge­schäfts­ge­heim­nis­sen bei der Home Of­fice-Nut­zung

Mit der Covid-19-Krise hat die Bedeutung der Home Office-Nutzung stark zugenommen und das Arbeiten von zu Hause oder von unterwegs wird auch künftig vermehrt erfolgen. Allerdings ist dies anfällig gegen Datenschutzverstöße und es besteht die Gefahr, dass der Schutz von Geschäftsgeheimnissen verletzt wird.

Nachfolgend gibt Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), fünf Tipps für Unternehmen, wie diese bei der Home Office-Nutzung den Datenschutz wahren und ihre Geschäftsgeheimnisse schützen können.

1. IT-Sicherheit

Im Rahmen der Corporate Governance haben Vorstand bzw. Geschäftsführung die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten und für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Wesentlich ist hierbei die Sicherstellung von Datenschutz und IT-Sicherheit. Dies gilt auch und gerade für die Home Office-Nutzung.

Bei einer Verletzung der Datenschutz-Grundverordnung (DSGVO) drohen erhebliche Sanktionen wie Schadensersatzansprüche, aufsichtsrechtliche Maßnahmen der Datenschutzbehörde und Geldbußen, die bis zu 4 % des gesamten weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.

Im Rahmen der IT-Sicherheit muss das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit seiner IT-Systeme sicherzustellen. Für Home Office-Anwendungen bedeutet das u.a. eine wirksame und aktuelle Internet Security-Lösung und den Einsatz geeigneter Sicherheitsmaßnahmen wie Passwortschutz, 2-Faktor-Authentifizierung und ein Virtual Private Network. Zudem müssen sichere Lösung für Web-Konferenzen verwendet oder diese entsprechend konfiguriert werden, um zu vermeiden, dass bspw. nicht zugelassene oder unbekannte Personen daran teilnehmen.

2. Abschluss einer Vereinbarung zur Auftragsverarbeitung

Cloud Provider und Anbieter von Web-Konferenzen müssen unter Berücksichtigung deren DSGVO-Konformität und deren TOM sorgfältig ausgewählt werden und das Unternehmen muss mit ihnen eine  Vereinbarung zur Auftragsverarbeitung schließen, die den Anforderungen des Art. 28 DSGVO entspricht.

3. Wahrung der Schutzes von Geschäftsgeheimnissen

Durch das Geschäftsgeheimnis-Schutzgesetz, das seit 26. April 2019 in Kraft ist, sind die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen, insbesondere muss es „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sein. Problematisch ist dies bspw. bei Web-Konferenzen, bei denen Geschäftsgeheimnisse Gegenstand sind, so dass der Teilnehmerkreis streng begrenzt sowie Aufzeichnung und Dokumentenaustausch unterbunden werden sollte. Zudem sollten externe Teilnehmer mittels einer Vertraulichkeitsvereinbarung bzw. eines Non-Disclosure Agreement (NDA) zur Geheimhaltung verpflichtet werden.

Unternehmen sollten zur Wahrung ihrer Geschäftsgeheimnisse generell entsprechende personelle, rechtliche, technische und organisatorische Maßnahmen treffen und unternehmensspezifische Schutzkonzepte und Schutzstrategien implementieren. Andernfalls droht der Verlust des Geschäftsgeheimnisschutzes.

4. Übermittlung nur auf Need-to-Know-Basis

Sowohl hinsichtlich der Übermittlung personenbezogener Daten als auch von Geschäftsgeheimnissen gilt, dass der Empfängerkreis möglichst eng sein soll. Nur solche Mitarbeiter und externen Geschäftspartner, die diese Informationen unbedingt benötigen, dürfen Zugriff darauf haben, d.h. diese Informationen sind nur auf „Need-to-Know-Basis“ zu übermitteln. Unternehmen sollten daher die Zugriffsrechte auf sensible Informationen prüfen und ggf. anpassen. Gerade bei der Home Office-Nutzung besteht nämlich das Risiko, dass einmal abgerufene Daten dauerhaft die Unternehmenssphäre verlassen, wenn sie von einem Mitarbeiter auf dessen eigenem Rechner lokal gespeichert werden. 

5. Schulung der Mitarbeiter

Mitarbeiter müssen hinsichtlich der gestiegenen Risiken bzgl. Datenschutz und Schutz von Geschäftsgeheimnissen sensibilisiert und geschult werden. Arbeiten zu Hause birgt größere Risiken, dass unbefugte Dritte – hierzu gehören auch Familienmitglieder und Besucher – Unternehmensinformationen zur Kenntnis nehmen. Klare Verhaltensanweisungen wie z.B. Sperren des Rechners bei Verlassen des Arbeitsplatzes, laufende Aktualisierung des Antiviren-Schutzes und Überprüfung des Kamerafeldes vor Beginn einer Videokonferenz sind dringend zu empfehlen.

Zum Thema „Datenschutz & Geschäftsgeheimnisse im Home-Office in der Covid-19-Krise“ gibt Dr. Thomas Stögmüller auch im DIKT Expertentalk mit Dr. Nikolai A. Behr nähere Auskunft: https://youtu.be/HwhXQS9zxRw