Der Umgang mit Auskunftsersuchen durch Arbeitgeber

PrintMailRate-it

veröffentlicht am 26. Februar 2024 | Lesedauer ca. 6 Minuten

  

Die Tatsache, dass Arbeitnehmer ihre jeweiligen Arbeitgeber um Auskunft über die von ihnen verarbeiteten personenbezogenen Daten ersuchen, ist spätestens seit dem Urteil des LAG Baden-Württemberg vom 20. Dezember 2018 (Az. 17 Sa 11/18) in der arbeits- und datenschutzrechtlichen Praxis nahezu schon ein „alter Hut“. Umso erstaunlicher ist es, dass auch nach mehr als fünf Jahren weiterhin Arbeitgeber von gestellten Auskunftsersuchen überrascht sind. Regelmäßig fällt den in Rede stehen­den Arbeitgebern zugleich auf, dass eigentlich gar nicht, respektive nur durch einen erheblichen internen Aufwand gesichert feststellbar ist, welche personenbezo­genen Beschäftigtendaten eigentlich konkret durch den Arbeitgeber verarbeitet werden.



Diesen Umstand zum Anlass genommen zeigt dieser Beitrag die arbeitgeberseitigen Rechte und Pflichten im Zusammenhang mit gestellten Auskunftsersuchen und gibt zugleich Empfehlungen an die Hand, wie Arbeit­geber Auskunftsersuchen ihrer Arbeitnehmer begegnen können.

 

Welche Informationen müssen Arbeitgeber grundsätzlich mitteilen?  

Der Anspruch gemäß Art. 15 Abs. 1 Hs. 1 DSGVO umfasst zunächst den Anspruch des Arbeitnehmers, vom Arbeitgeber eine Bestätigung dahingehend zu verlangen, dass überhaupt personenbezogene Daten des Arbeit­nehmers verarbeitet werden. Dies wird in aller Regel offensichtlich sein.
 
Hinzu treten ein Recht auf Auskunft über „diese“ personenbezogenen Daten sowie über weitere, in Art. 15 Abs. 1 Hs. 2 Var. 2 DSGVO genannte Umstände. Abschließend hat der Arbeitnehmer gemäß Art. 15 Abs. 3 S. 1 DSGVO einen Anspruch darauf, dass der Arbeitgeber ihm eine Kopie der verarbeiteten Daten zur Verfügung stellt. Der Gerichtshof der Europäischen Union (EuGH) behandelt die jeweiligen Absätze als Teile eines vollumfänglichen Informationszugangsanspruchs (EuGH, Urteil vom 4. Mai 2023 – C-487/21 („F.F:“)).
 
Hinsichtlich der konkret mitzuteilenden Informationen muss der Arbeitgeber über ausnahmslos alle den Ar­beitnehmer betreffenden und vom Arbeitgeber verarbeiteten personenbezogenen Daten Auskunft erteilen. Mit anderen Worten muss der Arbeigeber diese personenbezogenen Daten und den Kontext der Verarbeitung konkret benennen. Nicht ausreichend ist also beispielsweise die Auskunft, dass „der Name [Vorname Nach­name]“ verarbeitet wird, sondern vielmehr, in welchem Zusammenhang das geschieht. Darüber hinaus ist der Arbeitgeber verpflichtet, dem Arbeitnehmer – jeweils mitzuteilen (Art. 15 Abs. 1 Hs. 2 lit. a)-h) DSGVO),
  • zu welchem Zweck welche Kategorien personenbezogener Daten die verarbeitet werden,
  • wann die Daten (voraussichtlich) gelöscht oder die Verarbeitung anderweitig beendet wird, sowie
  • ob und, falls ja, wie und mit welchen Folgen eine automatisierten Entscheidungsfindung einschließlich Profiling stattfindet.
 
Zusätzlich ist der Arbeitgeber verpflichtet, den Arbeitnehmer auf die in Art. 15 Abs. 1 lit. e) und f) DSGVO nie­dergelegten Rechte, insbesondere auch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, hinzuweisen. Ebenfalls ist dem Arbeitnehmer mitzuteilen, von welchen Dritten der Arbeitgeber personenbezo­gene Daten der Arbeitnehmer erhalten hat (beispielsweise seit Januar 2023 die Krankschreibungen von Be­schäf­tigten über die gesetzlichen Krankenkassen), also die Herkunft der Daten.

Wie weit gehen die Pflichten tatsächlich?
Wie weitreichend die Pflichten der Arbeitgeber ist, zeigen überdies diverse Entscheidungen des EuGH. So hat dieser entschieden, dass Arbeitnehmern exemplarisch die konkreten Namen der Empfänger personenbezo­­­­­­gener Daten mitzuteilen sind. Dies wird häufig bei sogenannten „Software as a Service“ (SaaS) Applikationen der Fall sein. Die bloßen Kategorien von Empfängern, wie in der DSGVO ebenfalls angelegt, dürfen nach der Rechstprechung des EuGH nur ausnahmsweise benannt werden, nämlich dann, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder der Arbeitgeber nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv sind (EuGH, Urteil vom 12. Mai 2023 – C-154/21 [„Österreichische Post“]).
 
Zudem hat der EuGH mit Urteil vom 22. Juni 2023 (C-579/21 [„J.M.“]) entschieden, dass grundsätzlich sogar mitgeteilt werden muss, wann und aus welchen Gründen auf die personenbezogenen Daten des Betroffenen zugegriffen wurde. Konkret stellte sich in dem Verfahren eines Kunden gegen seine Bank die Frage, ob die betroffen Person – im Arbeitsverhältnis mithin der Arbeitnehmer – Informationen darüber verlangen durfte, welche anderen Arbeitnehmer zu welchem Zeitpunkt welche konkreten Daten (unzulässigerweise) abgefragt hatten. Der EuGH bejahre diesen Anspruch und verneinte lediglich, dass Informationen über die Identität der auf die Daten zugreifenden Arbeitnehmer preisgegeben werden müssen. Etwas anderes gelte nur dann, wenn diese Informationen unerlässlich seien, um es der betroffenen Person zu ermöglichen, ihre Rechte in den Grenzen der Interessen der übrigen Arbeitnehmer wahrzunehmen.
  

Ziel des Auskunftsanspruchs und „Beantwortungsfrist“

Die Menge sowie Detailtiefe der Informationen, die der Arbeitgeber dem Arbeitnehmer zur Verfügung stellen muss, lassen sich mit dem Ziel des Auskunftsanspruchs erklären. Ziel ist es nämlich, dass den Arbeitnehmern die Verarbeitung ihrer personenbezogenen Daten ins Bewusstsein gerufen wird und diese zugleich die Recht­mäßigkeit dieser Verarbeitung überprüfen können. Ins konkrete Arbeitsverhältnis übertragen soll der Anspruch die Arbeitnehmer demnach darüber in Kenntnis setzen, welche Kategorien personenbezogener Daten Arbeit­geber zu welchem Zweck verarbeiten, für welchen Zeitraum diese nach welcher Logik verarbeitet werden und gegenüber wem diese gegebenenfalls offengelegt werden.
 
Der Anspruch ist weder form noch fristgebunden und muss vom Arbeitgeber unverzüglich, spätestens jedoch innerhalb eines Monats beantwortet werden, Art. 12 Abs. 3 DSGVO. Teilweise wird sogar vertreten, dass eine Auskunft dann in Anlehnung an ein nationales Verständnis „ohne schuldhaftes Zögern“ erfolgen müsse, so dass ein Ausschöpfen von drei Wochen bis zu einer Antwort zu lang sein soll (vgl. ArbG Duisburg, Urteil vom 3. November 2023 – 5 Ca 877/23, nicht rechtskräftig). Die einfache und schier hürdenlose Möglichkeit der Gel­tend­machung wird von Arbeitnehmern gerne genutzt und gibt ihnen in vielen Situationen ein Instrumenta­­­­­rium an die Hand, um beispielsweise auch sachfremde Zwecke zu verfolgen.

Verweigerung der Auskunft in begründeten Ausnahmefällen möglich

Stellen Arbeitnehmer tatsächlich exzessive Auskunftsersuchen, so haben Arbeitgeber dennoch die Möglich­keit, die Auskunft mit einer entsprechenden Begründung zu verweigern oder aber ein angemessenes Entgelt hierfür zu verlangen, Art. 12 Abs. 5 S. 2 lit. a) und b) DSGVO.
 
Voraussetzung hierfür ist, dass der Auskunftsantrag „offenkundig unbegründet“ oder „exzessiv“ ist. Wann dies der Fall ist, regelt die DSGVO nicht ausdrücklich. Einzig die „häufige Wiederholung“ ist als Indiz im Art. 12 Abs. 5 DSGVO für einen exzessiven Antrag erwähnt. Für Arbeitgeber bedeutet dies, dass ein hoher Aufwand zur Beantwortung des Auskunftsersuchens kein Grund für die Ablehnung eines solchen ist. Dies muss der Verant­wortliche „aushalten“. Möglich ist jedoch, in begründeten Einzelfällen eine Präzisierung des Auskunftsersu­chens zu verlangen. Zu berücksichtigen ist überdies, dass die Weigerung als Ausnahme zur Regel konzipiert ist und demnach auf besondere Fälle zu beschränken ist, die der Arbeitgeber im Zweifel sogar vor Gericht darle­gen und beweisen muss.
 
Weitere Ausnahmen regeln beispielsweise § 27 Abs. 2, § 28 Abs. 2 und § 29 Abs. 1 S. 2 sowie § 34 Abs. 1 des Bundesdatenschutzgesetzes (BDSG). § 29 Abs. 1 Satz 2 BDSG sieht etwa vor, dass sich Arbeitnehmer nicht auf Art. 15 DSGVO berufen dürfen, wenn durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Ferner sieht § 34 Abs. 1 Nr. 2 lit. a) und b) BDSG vor, dass – ehemalige – Arbeitnehmer keinen Anspruch auf Erteilung einer Auskunft haben, wenn die Daten nur
  • aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften weiter gespeichert werden oder aber
  • die Daten ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
 
und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die Gründe der Auskunftsverweigerung sind vom Arbeitgeber zu dokumentieren und die Ablehnung gegenüber den Arbeitnehmern ist zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.
 

Pflicht zur Übermittlung einer Datenkopie

In der Praxis wird der Anspruch auf Erteilung einer Auskunft regelmäßig zusammen mit dem Anspruch auf Erhalt einer Kopie aller personenbezogenen Daten gestellt. Insoweit müssen Arbeitgeber beachten, dass Arbeitnehmer tatsächlich einen Anspruch auf eine originalgetreue und verständliche Reproduktion ausnahms­los aller verarbeiteten personenbezogenen Daten haben (EuGH, Urteil vom 4. Mai 2023 – C-487/21 [„F.F.“]). Dabei sind jedoch schützenswerte Interessen anderer – also auch des Arbeitgebers sowie dessen weiterer Beschäftigten – zu berücksichtigen. Der Anspruch auf Erhalt der Datenkopie verpflichtet Arbeitgeber etwa, Auszüge aus Dokumenten oder aus Datenbanken unkenntlich zu machen, sofern sie personenbezogene Daten weiterer Arbeitnehmer enthalten, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um den betroffenen Auskunftsberechtigten die wirksame Ausübung der ihm durch die DSGVO verliehenen Rechte zu ermöglichen.
 
Verweigert der Arbeitgeber die Übermittlung bestimmter Dokumente und beruft sich insoweit auf schützens­werte Interessen, wegen denen er etwa eine Kopie personenbezogener Daten nicht zur Verfügung stellen könne, so darf er auch nur solche Dokumente vorenthalten, die zur Wahrung des Interesses erforderlich sind (LAG Berlin-Brandenburg, Urteil vom 30. März 2023 – 5 Sa 1046/22). Überdies ist der betroffenen Person eine erste Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, unentgeltlich zur Verfügung zu stellen. Dies gilt selbst dann, wenn der betreffende Antrag aus sachfremden Gründen gestellt wird (EuGH, Urteil vom 26. Oktober 2023 – C-307/22 [„FT“]).

Berücksichtigung von Auskunftsersuchen bei der Datenschutzorganisation

All dies vorangestellt begegenet man Auskunftsersuchen in der Praxis dergestalt, dass diese bereits im Rahmen der Konzeption des ganzheitlichen Datenschutzmanagements, also der Organisation des Datenschutzes inner­halb des Unternehmens, berücksichtigt wird. Insoweit ist es empfehlensewert,
  • eingehende Anfragen von einer zentralen Stelle innerhalb des Unternehmens beantorten zu lassen, etwa in einer eigens dafür zuständigen Organisationseinheit,
  • die gesamte Belegschaft für das Thema zu sensibilisieren und dahingehend zu schulen und
  • die relevanten Informationen, respektive den Standort dieser, bereits zu Beginn eines jeden Verarbeitungs­prozesses, beispielsweise bei Einführung neuer IT-Systeme, zu berücksichtigen.
 
Darüber hinaus ist es empfehlenswert, die Einhaltung dieser Prozesse – analog zur Implementierung von Com­plianceprozessen – wirksam und verbindlich als Pflicht der Arbeitnehmer, die die jeweilgen Auskunftsersu­chen im Auftrag des Arbeitgebers bearbeiten, zum Umgang mit und der Beantwortung von Auskunftsersuchen zu implementieren.
 

Fazit

Die Beantwortung von Auskunftsersuchen stellt Arbeitgeber in der betrieblichen Praxis bisweilen vor erhebli­che Probleme. Diese können jedoch durch Implementierung einer geeigneten Datenschutzorganisation wirksam vermieden werden.

Kontakt

Contact Person Picture

Daniel Wasser, L.L.M.

Rechtsanwalt, Zertifizierter Datenschutzbeauftragter (TÜV)

+49 911 9193 1581

Anfrage senden

Profil

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30

Anfrage senden

Profil

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Wir beraten Sie gern!

Mehr lesen?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu