DatenschutzWoche vom 12. 06. 2023

Bundesarbeitsgericht: Betriebsratsvorsitzender als Datenschutzbeauftragter problematisch

Mit Urteil vom 6. Juni 2023 (Az. 9 AZR 383/19) hat das Bundesarbeitsgericht (BAG) entschieden, dass die Aufgaben des Betriebsratsvorsitzenden und des Datenschutzbeauftragten typischerweise nicht von derselben Person ohne Interessenkonflikt wahrgenommen werden können. Zur Begründung verweist das BAG in seiner Pressemitteilung zu der Entscheidung darauf, dass der Betriebsrat im Rahmen seiner Tätigkeit durch Beschluss selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Da der Betriebsratsvorsitzende den Betriebsrat im Rahmen der gefassten Beschlüsse vertrete, liege eine herausgehobene Funktion und damit ein abberufungsrelevanter Interessenkonflikt vor. Ob ein vergleichbarer Interessenkonflikt auch bei anderen Betriebsratsmitgliedern besteht, die an entsprechenden Entscheidungen mitwirken, hat das BAG offen gelassen. Die Entscheidung ist zum alten BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) ergangen, aber auf die heutige Rechtslage übertragbar.

Verantwortliche, die ein Betriebsratsmitglied zum Datenschutzbeauftragten bestellt haben, sollten – auch vor dem Hintergrund einer derzeit laufenden koordinierten Prüfaktion der Europäischen Datenschutzaufsichtsbehörden – genau prüfen, ob im konkreten Fall ein Interessenkonflikt vorliegt. Insbesondere bei der Bestellung des Betriebsratsvorsitzenden zum Datenschutzbeauftragten ist dies nach Auffassung des BAG „typischerweise“ der Fall. Der Volltext der Entscheidung ist bisher noch nicht verfügbar.

Datenschutzkonferenz: Neubewertung von Microsoft 365

In ihrer 1. Zwischenkonferenz 2023 am 31. Januar 2023 haben die Datenschutzaufsichtsbehörden des Bundes und Länder entschieden, ihre Prüfung zum Datenschutz beim Microsoft 365 fortzusetzen. Wie sich aus dem kürzlich veröffentlichen Protokoll der Zwischenkonferenz (TOP 9) ergibt, sollen dabei das EU Data Boundary und das neue Products and Services Data Protection Addendum (DPA) vom 1. Januar 2023 im Mittelpunkt stehen. Mit der EU Data Boundary will Microsoft nach eigenen Angaben die Verarbeitung personenbezogener Daten außerhalb der EU stark einschränken und Kunden so die Einhaltung datenschutzrechtlicher Vorgaben erleichtern. Ob sich hierdurch Änderungen an der rechtlichen Bewertung der Datenschutzkonferenz (DSK) ergeben, sollte die DSK-Arbeitsgruppe „Microsoft Online Services“ bewerten. Die Ergebnisse sollten bis zur 105. Datenschutzkonferenz am 10. und 11. Mai vorgelegt werden. Ob dies tatsächlich geschehen ist, ist unklar.

Darüber hinaus ergibt sich aus dem Protokoll, dass die Datenschutzkonferenz an einer Handreichung für die Nutzung von Microsoft-Produkten arbeitet. Die Datenschutzaufsichtsbehörde Niedersachsen teilt hierzu mit, dass die beteiligten Behörden ihre Arbeitsaufträge untereinander aufgeteilt und die inhaltliche Arbeit begonnen haben. Es soll fortlaufend über den Stand der Bearbeitung informiert werden.

Internationale Nachrichten

• Europa: Das EBPD hat die finale Fassung seiner Leitlinien zur Bemessung von Bußgeldern unter der DSGVO sowie der Leitlinien zur Anwendbarkeit von Art. 65 Abs. 1 lit. a DSGVO (Streitbeilegung durch das EDPB) veröffentlicht.

Aktuelle Gerichtsentscheidungen

• LAG Baden-Württemberg, Urteil vom 27.01.2023, Az. 12 Sa 56/21 (BeckRS 2023, 11981): Die Auswertung von WhatsApp-Nachrichten eines Arbeiternehmers auf einem privat und beruflich genutzten Mobiltelefon verstößt gegen das Datenschutzrecht und hat ein Beweisverwertungsverbot zur Folge. Zudem steht dem Arbeitnehmer ein Schmerzensgeld in Höhe von 3.000 Euro aus Art. 82 Abs. 1 DSGVO zu.
• VG Düsseldorf, Urteil vom 27.02.2023, Az. 29 K 140/23 (Volltext): Partielle Prozessunfähigkeit wegen krankhaftem Querulantenwahn: „Der Kläger richtet seit mehreren Jahren Eingaben an die Landesbeauftragte für Datenschutz [...] Nordrhein-Westfalen (LDI).“
• LAG Berlin-Brandenburg, Beschluss vom 21.04.2023, Az. 26 TaBVGa 436/23 (BeckRS 2023, 12476): Die Übermittlung von Beschäftigtendaten an den Wahlvorstand der Betriebsratswahl sind gem. § 26 Abs. 1 BDSG bzw. § 26 Abs. 3 Satz 1 BDSG zulässig.
• LG Lübeck, Urteil vom 25.05.2023, Az. 15 O 74/22 (GRUR-RS 2023, 11984): Wegen dem Scraping seiner Daten bei Facebook steht dem Kläger ein Schadensersatzanspruch in Höhe von 500 Euro zu. Als haftungsbegründend wertet das Gericht die Verarbeitung der Daten ohne Einwilligung sowie einen Verstoß gegen Art. 32 DSGVO.
• AG Köln, Urteil vom 31.05.2023, Az. 149 C 92/22 (GRUR-RS 2023, 12158): Keine Ansprüche auf Auskunft und Berichtigung gegenüber einer „Gemeinschaftseinrichtung der kreditgebenden deutschen Wirtschaft“, da den Ansprüche Geschäftsgeheimnisse entgegenstehen.
• VGH Bayern, Urteil vom 30.05.2023, Az. 5 BV 20.2104 (Volltext): Art. 79 Abs. 1 DSGVO schließt eine Unterlassungsklage betroffener Personen analog § 1004 Abs. 1 Satz 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG gegen eine rechtswidrige Verarbeitung ihrer Daten nicht aus.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Hamburg: „Neue Bilder bei Google Street View“ – Informationen mit FAQ vom 08.06.2023
• Bundesdatenschutzbeauftragter: „Einheitliche Regeln für Datenschutzbußgelder in Europa“ – Gemeinsame Pressemitteilung mit den Datenschutzaufsichtsbehörden Hessen und Berlin vom 08.06.2023
• Datenschutzaufsicht NRW: „Look Around“: Mit der Kamera durch NRW“ – Nicht datierte Informationen zu Kamerafahrten durch Apple