Global menu

Our global pages

Close

„Chef – rück meine Daten raus“: Auskunftsersuchen nach der DS-GVO

  • Germany
  • Employment law

21-01-2019

Auch mit dem Inkrafttreten der DS-GVO am 25. Mai 2018 haben Mitarbeiter das Recht, mit formlosem Antrag und ohne Begründung vom Arbeitgeber Auskunft über dort gespeicherte personenbezogene Daten zu verlangen. Die Auskünfte sollen, so zumindest der Gedanke des Gesetzgebers, es dem Mitarbeiter erleichtern, gezielt weitere ihm zustehende Rechte (wie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung) geltend zu machen. In der Praxis und nach Inkrafttreten der DS-GVO kommt es den Betroffenen jedoch häufig weniger auf die weitere Geltendmachung von Rechten an oder auf die eigentliche Frage, welche Daten konkret gespeichert sind – Mitarbeiter können z.B. in „Self-Service“ Modulen von SAP SuccessFactors, WorkDay, etc. einen Großteil der über sie gespeicherten Daten selbst einsehen. Es scheint vielmehr „zum Trend“ zu werden, Auskunftsersuchen im Rahmen der Beendigung des Arbeitsverhältnisses geltend zu machen. Die DS-GVO und das BDSG-neu halten für den Arbeitgeber jedoch ein paar Instrumente bereit, sich gegen Auskunftsersuchen ganz oder teilweise zu wehren:

I. Grundsätze des Auskunftsanspruchs

Geht ein Auskunftsersuchen beim Arbeitgeber ein, hat dieser (in der Regel) innerhalb von 30 Tagen die angeforderten Daten auszuhändigen. In begründeten Ausnahmefällen kann diese Monatsfrist überschritten werden, worüber der Mitarbeiter allerdings zu informieren ist. Die Auskunftserteilung an die betroffene Person kann je nach Sachverhalt schriftlich, elektronisch oder – auf Wunsch des Mitarbeiters – mündlich erfolgen. Der Arbeitgeber hat (dies bereitet vielen Arbeitgebern große Probleme) zudem eine Kopie der Daten zur Verfügung zu stellen. Stellt der Mitarbeiter den Auskunftsantrag elektronisch (z.B. per E-Mail oder per „Ticket“), ist die Auskunft in einem „gängigen elektronischen Format“ zur Verfügung zu stellen (z. B. im PDF-Format). Als datenschutzfreundlichste Gestaltung wird (so ErwGr. 63 Satz 4) ein eingerichteter Fernzugriff empfohlen – dies ist bei gängigen HR Systemen in der Regel möglich. Alle Kommunikationswege müssen in jedem Fall angemessene Sicherheitsanforderungen erfüllen – Arbeitgeber sollten Daten im Rahmen der elektronischen Auskunftserteilung daher verschlüsselt oder zumindest passwortgeschützt versenden.

Die Auskunftserteilung an die betroffene Person (dies betrifft vor allem die Kopien und den Aufwand der Zusammenstellung der Unterlagen) muss unentgeltlich erfolgen. Für weitere Kopien kann jedoch ein angemessenes Entgelt gefordert werden. Ferner kann bei offenkundig unbegründeten oder exzessiven Anträgen ein angemessenes Entgelt für die Auskunft verlangt werden.

Selbstverständlich muss sichergestellt werden, dass die zu herauszugegebenen Daten nicht unbefugten Dritten zur Verfügung gestellt werden – ergeben sich dabei Zweifel über die Identität des Antragstellers (z.B. aufgrund von Namensidentität in größeren Unternehmen), ist diese zwingend vor Auskunfsterteilung zu prüfen.

II. Umfang des Auskunftsanspruchs

Art. 15 Abs. 1 DS-GVO schreibt dem Arbeitgeber genau vor, welche Informationen neben der eigentlich angeforderten Auskunft über verarbeitete personenbezogene Daten dem Mitarbeiter mitzuteilen sind. Hierzu gehören: Verarbeitungszwecke; Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.); Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden (z.B. die Muttergesellschaft in den USA); die geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer; Belehrung über die Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung, sowie über das Widerspruchsrecht gegen die Verarbeitung nach Art. 21 DS-GVO und das Beschwerderecht bei der Aufsichtsbehörde. Darüber hinaus ist auch über die Herkunft der Daten zu informieren, soweit diese nicht bei der betroffenen Person selbst erhoben wurden (dies kann vor allem IT Protokolldaten betreffen).

Vor allem in Großkonzernen hat der Mitarbeiter oft ein Interesse zu erfahren, welche Daten von wem im Konzern und vor allem wo verarbeitet werden – es ist daher auch über Datenübermittlung in Drittländer (alle Länder außerhalb der EU/ des EWR) zu informieren, sowie darüber, welche Garantien gemäß Art. 46 DS-GVO getroffen wurden (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR).

Achtung: auch E-Mail Kommunikation ist umfasst

Viel wichtiger und interessanter für Mitarbeiter sind neben den Stammdaten die Kommunikationsdaten, insbesondere der E-Mail Verkehr: „Hat mein Chef hinter meinem Rücken mit dem Kollegen gelästert? Was hat er zur Begründung meiner Kündigung geschrieben?“ Diese Daten stellen im Grundsatz auch personenbezogene Daten des Mitarbeiters da, da es sich (so die Definition in Art. 4 Nr. 1 DS-GVO) um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Vom Auskunftsverlangen ist somit im Grundsatz sowohl direkte, als auch indirekte (z.B. eine Abstimmung zwischen einem Manager und HR über ein Kündigungsvorhaben) E- Mail Kommunikation erfasst.

Bei direkter E-Mail Kommunikation sollte es jedoch zum einen keine Überraschungen geben und zum anderen sollte sich das mit einem einfachen Export der Mailbox erledigen lassen. Die Rechte Dritter sind insoweit zu wahren, dass der Mitarbeiter selbst zur Vertraulichkeit verpflichtet ist und die Daten nicht missbrauchen darf. Geschäftsgeheimnisse (s.u.) spielen hier für die Herausgabe keine Rolle, da sie dem Betroffenen bereits in der Kommunikation offengelegt wurden.

In Bezug auf indirekte E-Mail Kommunikation lässt sich das Auskunftsrecht nicht pauschal beantworten. Grundsätzlich sind solche Daten (siehe oben) personenbezogen. ErwGr. 63 der DS-GVO spielt hier jedoch eine erhebliche Rolle und es gibt viele Ausnahmen – so dass am Ende unter Umständen nichts herauszugeben ist. Es ist daher nicht richtig (wie oft in den Medien verbreitet), dass der Betroffene pauschal E-Mails Dritter einschließlich des Managements über ihn lesen dürfe. Hier spielen Geschäftsgeheimnisse eine wichtige Rolle, denn sie sind dem Betroffenen noch nicht offengelegt und durch die Herausgabe können ggf. Maßnahmen vereitelt werden. Über ErwGr. 63 bezweckt die Datenschutzgrundverordnung den Schutz von Rechten Dritter einschließlich Geschäftsgeheimnissen, der Effizienz von Restrukturierungsmaßnahmen, Managemententscheidungen und Verhandlungen, und folglich keine Präklusion durch Offenlegung interner (Verhandlungs-)Positionen. Auch das Telekommunikationsgeheimnis bei zulässiger Privatnutzung von Mailboxen und daraus resultierendem Einsichtsrecht können eine Rolle spielen. Im Ergebnis bleiben hier leider Unsicherheiten, die durch die Rechtsprechung zu klären sein werden.

III. Ausnahmen

Wie oben bereits dargelegt, darf die Auskunftserteilung an den Mitarbeiter die Rechte des Arbeitgebers oder anderer Mitarbeiter (oder Dritter) nicht beeinträchtigen. Dies kann insbesondere dann der Fall sein, wenn Geschäftsgeheimnisse offenbart werden müssten (z.B. aus einer E-Mail Kommunikation) oder der „Datenschutz“ Dritter gefährdet ist. Letzteres kann vor allem bei indirekter E-Mail Kommunikation eine große Rolle spielen, so dass im Ergebnis jedenfalls solche Daten zu schwärzen oder gar auszuschließen sind. Im Ergebnis ist jedoch zu beachten, dass ein Arbeitgeber nicht jegliche Auskunft verweigern darf, sondern solche E-Mails zu filtern oder solche Stellen zu schwärzen hat, die die Rechte des Arbeitgebers oder anderer Mitarbeiter (oder Dritter) beeinträchtigen. Der hierdurch entstehende Aufwand ist freilich nicht zu vernachlässigen.

Auch bei einer großen Menge von gespeicherten Informationen über die betroffene Person kann der Arbeitgeber verlangen, dass präzisiert wird, auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht. Das BDSG-neu enthält in § 34 noch weitere Eingrenzungen des Auskunftsrechts, insbesondere für Archivdaten und Protokollierungsdaten. Die Voraussetzungen dieser Regelungen sind komplex und sollten jeweils einer juristischen Einzelfallprüfung unterliegen.

IV. Empfehlung

Unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen sind nach Art. 83 Abs. 5 lit. b DS-GVO mit einer hohen Geldbuße bedroht. Es sind im Rahmen des Auskunftsersuchens sämtliche Daten zu berücksichtigen, die bei Eingang der Anfrage in den Händen des Arbeitgebers lagen, im Grundsatz auch die E-Mail Kommunikation. Daten sollten in keinem Fall gelöscht werden, um die Auskunft zu verringern oder abzuwehren – dies kann ggf. strafrechtlich verfolgt werden. Es ist für Arbeitgeber ratsam, rechtzeitig im eigenen Interesse organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen und, je nach Größe des Unternehmens, Standardprozesse zu etablieren.

For more information contact

< Go back

Print Friendly and PDF
Subscribe to e-briefings