Publication | March 2020
Die Datenauskunftsansprüche von Mitarbeitern nach der Datenschutzgrundverordnung (DSGVO) bedeuten für die Rechtsabteilungen regelmäßig eine erhebliche Herausforderung. Bei Verstößen drohen hohe Bußgelder.
Die Datenschutzgrundverordnung verlangt den Unternehmen bekanntlich einiges ab. Unter anderem regelt die DSGVO ein sehr weitreichendes Auskunftsrecht des Arbeitnehmers, das mit erheblichem betrieblichen Aufwand verbunden ist. Dieses nutzen immer mehr Arbeitnehmervertreter, um insbesondere im Rahmen von Abfindungsverhandlungen den Einigungsdruck auf die Arbeitgeberseite zu erhöhen. Und bei Datenschutzverstößen drohen Strafen mit gravierenden wirtschaftlichen Auswirkungen.
Das datenschutzrechtliche Auskunftsrecht ist Voraussetzung dafür, dass Arbeitnehmer ihre Betroffenenrechte, wie z.B. das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ausüben können. Der Arbeitnehmer muss sein Auskunftsverlangen weder begründen noch ein rechtliches oder berechtigtes Interesse nachweisen. Es genügt, wenn er sein Begehren dem Arbeitgeber formlos mitteilt. Zeitliche Begrenzungen muss er nicht beachten, so dass auch ausgeschiedene Beschäftigte ihr Auskunftsbegehren an den ehemaligen Arbeitgeber richten können.
Nach Art. 15 Abs. 1 DSGVO steht den Betroffenen ein abgestuftes Auskunftsrecht über die konkret verarbeiteten personenbezogenen Daten zu. Zunächst kann die betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten dort überhaupt verarbeitet werden. Somit ist gegebenenfalls eine Negativauskunft erforderlich, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet, personenbezogene Daten unumkehrbar anonymisiert hat oder solche Daten nur noch pseudonymisiert vorhanden sind.
Weiterhin kann die betroffene Person konkret Auskunft darüber verlangen, welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden, wie z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf oder medizinische Befunde. Umfasst sind gegebenenfalls auch sensible Daten, wie Gesundheitsdaten oder die Gewerkschaftszugehörigkeit. Denn deren Verarbeitung kann gemäß Art. 9 Abs. 2 lit. b DSGVO erforderlich sein, damit der Arbeitgeber seine Pflichten, die aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes zugunsten des Arbeitnehmers erwachsen, ausüben oder Gewerkschaftsbeiträge abführen kann. Die Reichweite des personenbezogenen und –beziehbaren Datums sowie die Interpretation des Begriffs der Verarbeitung bieten an dieser Stelle einen weiten Auslegungsspielraum. Hinzu kommt, dass in der Praxis aufgrund des Wortlauts des Art. 15 DSGVO Unsicherheit herrscht, ob vom Anspruch auch die Übermittlung sämtlicher vom Verantwortlichen verarbeiteten Daten der betroffenen Person, wie etwa E-Mail-Korrespondenz mit dieser Person oder vollständige Dateien erfasst sind, in denen Daten der betroffenen Person gespeichert sind.
Aus Arbeitgebersicht besonders problematisch ist der Umstand, dass auch im Zusammenhang mit der Arbeitsleistung erhobene Daten solche personenbezogenen Daten darstellen können. Die bisherige Rechtsprechung nimmt dabei überwiegend ein sehr weitreichendes Auskunftsrecht an. Nach Ansicht des LAG BadenWürttemberg beispielsweise erstreckt sich der Auskunftsanspruch auch auf dienstliche E-Mails sowie Leistungs- und Verhaltensdaten, da diese Informationen personenbezogen seien und durch den Arbeitgeber verarbeitet würden (LAG Baden-Württemberg vom 20.12.2018 - 17 Sa 11/18). Auch etwaige Telefonvermerke und Gesprächsnotizen, die der Arbeitgeber genutzt und verarbeitet hat, sind vom Auskunftsanspruch umfasst (OLG Köln vom 26.07.2019 - 20 U 75/18). Dies kann je nach der konkreten Tätigkeit des Arbeitnehmers zu einem ganz erheblichen Datenumfang führen.
Dagegen verneinen das LG Köln (LG Köln vom 18.03.2019 - 26 O 25/18) sowie das AG München (AG München vom 04.09.2019 - 155 C 1510/18) einen umfassenden Auskunftsanspruch und stellen fest, dass dieser nicht Informationen zu sämtlichen internen Vorgängen (z.B. Vermerke) oder den vollständigen Schriftwechsel umfasst. Der Auskunftsanspruch diene nicht der vereinfachten Buchführung des Betroffenen, sondern solle sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen könne.
Gemäß Art. 15 Abs. 1 lit. a bis h DSGVO sind bei der Datenauskunft weitere Informationen zu erteilen, u.a. zu den Verarbeitungszwecken, den Kategorien personenbezogener Daten oder zur Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden. Dieser nach herrschender Meinung eigenständige Anspruch bezieht sich auf bestimmte Meta- bzw. Kontextinformationen der Datenverarbeitung, die nicht in jedem Fall einen Personenbezug aufweisen müssen.
Zum Zeitpunkt der Auskunftserteilung muss der Verantwortliche diese Metadaten aktualisieren oder ergänzen, soweit sich im Verarbeitungsprozess seit der Datenerhebung Veränderungen ergeben haben. So muss der Antragsteller beispielsweise hinsichtlich der Herkunft der Daten mindestens in die Position versetzt werden, etwaige Korrektur- oder Löschungsansprüche gegen den ursprünglich Verantwortlichen geltend zu machen. Bei der Dauer der Speicherung genügt es nicht, darauf hinzuweisen, dass die Daten solange gespeichert blieben wie zur Erreichung des Verarbeitungszwecks erforderlich. Vielmehr müssen konkrete Speicherfristen bzw. die (noch unbekannten) Umstände genannt werden, von denen die Speicherdauer abhängt. Im Übrigen müssen die sonstigen Kriterien offengelegt werden, nach denen sich die Speicherdauer bemisst.
Nach Art. 15 Abs. 3 Satz 1 DSGVO kann der Betroffene verlangen, dass ihm Kopien sämtlicher personenbezogener Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt werden. Was aber meint „Kopie“? Der Betroffene soll über die konkrete Darstellung der Daten beim Verantwortlichen und dessen Mitarbeitern, z.B. als Screenshot oder bei Verwendung entsprechender Programme (z.B. Excel) in Kenntnis gesetzt werden. Im Unterschied zur „Auskunft“, die den Berechtigten lediglich über den Bedeutungsgehalt der Daten in Kenntnis setzen soll und damit auch in Form tabellarisch oder graphisch aufbereiteter Daten erfolgen kann, erhält der Betroffene mit der Kopie einen ungefilterten Zugang zu den Daten selbst und wie diese beim Arbeitgeber bildhaft repräsentiert sind.
Einzelne Aussagen deutscher Datenschutzaufsichtsbehörden lassen allerdings darauf schließen, dass sie das Recht auf Kopie grundsätzlich eher weniger extensiv auslegen wollen. Nach der Ansicht des Bayerischen Landesamts für Datenschutzaufsicht (Tätigkeitsbericht 2017/2018, S. 46, Tätigkeitsbericht 2019, S. 27) begründet Art. 15 DSGVO keinen allgemeinen Anspruch auf Kopien von Dokumenten oder Akten. Der Wortlaut von Art. 15 Abs. 3 DSGVO lasse gerade keine Rückschlüsse darauf zu, dass der Betroffene Kopien von Akten oder sonstigen Dokumenten erhalten müsste. Das Auskunftsrecht solle nicht zur Sammlung von Beweisen für andere bestehende Konflikte dienen. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (Tätigkeitsbericht 2019, S.78) stellt klar, dass ein Anspruch auf Herausgabe einzelner Kopien, z. B. im Sinne einer Fotokopie bestimmter Dokumente, in aller Regel nicht bestehe. Vielmehr sei die Kopie im Sinne einer sinnvoll strukturierten Zusammenfassung zu verstehen. Ähnliche Auffassungen vertreten auch das LG Köln und das AG München in den oben zitierten Entscheidungen zum Auskunftsanspruch.
Die näheren Modalitäten der Auskunftserteilung regelt Art. 12 Abs. 3 DSGVO. Treffen solche Anfragen zur Datenauskunft beim Arbeitgeber ein, müssen diese unverzüglich, spätestens innerhalb eines Monats nach Eingang beantwortet werden. Besteht Unklarheit darüber, welche Informationen der Antragsteller tatsächlich begehrt, sollte nachgefragt und um eine Präzisierung gebeten werden. Das setzt voraus, dass entsprechende Anfragen in welcher Form auch immer an die zuständigen Mitarbeiter bzw. die „verantwortliche Stelle“, insbesondere den Datenschutzbeauftragten, unverzüglich weitergeleitet werden. Dazu müssen geeignete Prozesse aufgesetzt oder bestehende angepasst werden, um sicherzustellen, dass der Informationsfluss nicht behindert ist und beispielsweise eine E-Mail in einem Gruppenpostfach nicht unbearbeitet bleibt.
Das enge Zeitfenster zur Beantwortung kann gemäß Art. 12 Abs. 3 S. 2 DSGVO um zwei Monate verlängert werden, wenn die Komplexität der Anfrage und die Zahl der Anträge dies erforderlich machen. Die arbeitgeberseitige Fristverlängerung ist dem Arbeitnehmer innerhalb eines Monats ab Antragstellung unter Angabe der Gründe für die Verzögerung mitzuteilen, Art. 12 Abs. 3 S. 3 DSGVO. Diese Mitteilung muss nicht in einer bestimmten Form erfolgen. Sogar eine mündliche Auskunftserteilung ist möglich, sofern der Betroffene dies verlangt und keine Zweifel an dessen Identität bestehen. Aus Beweisgründen sollte dies aber stets dokumentiert werden.
Um eine schnelle Bearbeitung zu sichern, sollten die Datenbestände einer digitalen Personalakte oder eines Datenschutzmanagementsystems um korrespondierende Metainformationen ergänzt werden und auch regelmäßig gepflegt werden. Das Bereithalten einer abgestimmten Musterkommunikation ist zur zügigen Beantwortung von Vorteil, um einen transparenten und einheitlichen Prozess sicherzustellen.
Eine Ablehnung der Anfrage oder eine Kostenerstattung kommt nur in engen Ausnahmefällen in Betracht, da die betroffene Person ihr Recht in angemessenen Abständen (und zwar kostenfrei) wahrnehmen können muss, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können (Erwägungsgrund 63 DSGVO).
Eine Begrenzung des Auskunftsanspruchs auf aktiv genutzte Daten oder Ausnahmeregelungen für Backup-Daten ist unzulässig, da auch die Speicherung eine Form der Verarbeitung ist (Art. 4 Nr. 2 DSGVO). Es reicht auch nicht aus, lediglich eine Kopie der Personalakte zur Verfügung zu stellen.
Bei offenkundig unbegründeten oder exzessiven Anträgen einer betroffenen Person kann der Verantwortliche dagegen die Anfrage ablehnen oder die Erstattung angefallener Kosten verlangen (Art. 12 Abs. 5 S. 2 DSGVO). Exzessiv sind Anträge insbesondere dann, wenn diese ohne tragfähigen Grund häufig wiederholt werden, lediglich der Behinderung des Verantwortlichen und nicht der Geltendmachung der eigenen Rechte dienen oder wenn die betroffene Person einer zulässigen Bitte um Präzisierung der Anfrage nicht nachkommt. Dabei trägt der Verantwortliche die Beweislast für das Vorliegen eines unbegründeten oder exzessiven Antrags (Art. 12 Abs. 5 S. 3 DSGVO). Er muss der betroffenen Person in der Regel die Gründe für die Verweigerung der Auskunft mitteilen und sie über Rechtsschutzmöglichkeiten informieren (Art. 12 Abs. 4 DSGVO).
Eine spezielle Grenze des Rechts auf Erhalt einer Kopie findet sich in Art. 15 Abs. 4 DSGVO, wonach dieses Recht die Rechte und Freiheiten anderer Personen, auch juristischer Personen, nicht beeinträchtigten darf. Vor dem Hintergrund dieses allgemeinen Abwägungsvorbehaltes kann eine Kopie beispielsweise dann ausgeschlossen sein, wenn darin Daten enthalten sind, die sich auf Dritte beziehen oder der Schutz von enthaltenen Geschäftsgeheimnissen oder Urheberrechten überwiegt. Hinsichtlich Personalakten sind diese ggf. nicht vollständig zur Verfügung zu stellen, sondern nur solche Bestandteile, die personenbezogene Daten enthalten. Verweigert der Arbeitgeber die Auskunft, trifft ihn die Beweis- und Darlegungslast, wobei die Rechtsprechung hohe Anforderungen an das Vorliegen eines Verweigerungsgrundes gestellt hat.
Daneben treten ergänzend zur Abwägungsklausel des Art. 15 Abs. 4 DSGVO die Ausnahmetatbestände des Bundesdatenschutzgesetzes (BDSG). Nach § 34 BDSG entfällt die Auskunftspflicht für Daten, die nur aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften gespeichert sind, oder ausschließlich der Datensicherung bzw. Datenkontrolle dienen. Voraussetzung ist, dass die Bereitstellung einer Kopie einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung dieser Daten zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Hierunter können E-Mails mit personenbezogenen Daten fallen, die als Geschäftsbriefe zur Wahrung von Aufbewahrungspflichten gespeichert werden.
Stellt der Arbeitnehmer seinen Antrag elektronisch, müssen die Kopien nach Art. 15 Abs. 3 Satz 3 DSGVO in einem gängigen elektronischen Format zur Verfügung gestellt werden, beispielsweise im PDF-Format. Allerdings hat die betroffene Person grundsätzlich das Recht, auf eine Zurverfügungstellung sämtlicher Daten in Papierform zu bestehen, selbst wenn sie ihre Anfrage elektronisch gestellt hat. Dies gilt allerdings nicht, wenn hierin ein „exzessiver Antrag“ im Sinne von Art. 12 Abs. 5 S. 2 DSGVO zu sehen ist.
Die Auskunftserteilung hat kostenlos zu erfolgen. Bei offenkundig unbegründeten oder exzessiven Anträgen kann ein angemessenes Entgelt verlangt werden (§ 12 Abs. 5 DSGVO). Die erstmalige Bereitstellung der Datenkopien hat dagegen stets unentgeltlich zu erfolgen, so dass der unter Umständen ressourcenintensive Aufwand für die Anonymisierung und das Schwärzen der Dokumente vom Arbeitgeber zu tragen ist. Für weitere Kopien kann ein angemessenes Entgelt unter Berücksichtigung der entstandenen Verwaltungskosten verlangt werden. Verändert sich der verarbeitete Datensatz aber wesentlich, kann die betroffene Person eine neue Kopie im Sinne einer ersten und entgeltfreien Kopie verlangen.
Sofern eine betroffene Person ihr Auskunftsrecht geltend macht, hat der Verantwortliche sie unaufgefordert über die Rechte zu informieren, die ihr nach der DSGVO zustehen. Hierzu zählen das Recht auf Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch gegen die Verarbeitung (Art. 21) sowie Beschwerde bei einer Aufsichtsbehörde (Art. 79).
Die rechtlichen Implikationen des Auskunftsanspruchs wirken sich auf das Risikoprofil eines Unternehmens aus. Bei Datenschutzverstößen können nach Art. 83 Abs. 5 DSGVO Geldbußen von bis zu 20 Mio. Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Damit hat ein Verstoß gegen diese Vorschrift, z.B. bei nicht fristgerechter Zurverfügungstellung der geforderten Daten, gravierende wirtschaftliche Auswirkungen.
Um ihren Verpflichtungen bei der Erfüllung des datenschutzrechtlichen Auskunftsanspruchs nachzukommen, sollten Arbeitgeber nicht nur ordnungsgemäße und rechtlich abgestimmte Prozesse implementieren und ihre Mitarbeiter zur Einhaltung verpflichten, sondern auch die vom Auskunftsanspruch umfassten Daten sorgfältig prüfen, um eigene und fremde Geschäftsgeheimnisse zu schützen und empfindliche Geldbußen zu vermeiden.
Gerne stehen wir Ihnen für Fragen rund um den Datenauskunftsanspruch zur Verfügung.
Der globale Employment and Labour Law-Blog von Norton Rose Fulbright bietet einen vielfältigen Einblick in rechtliche und wirtschaftliche Entwicklungen und Trends. Er informiert Sie kostenlos über wichtige Entwicklungen im internationalen Arbeitsrecht. Wir decken dabei das gesamte Spektrum der Arbeits- und Beschäftigungsbereiche ab. www.globalworkplaceinsider.com
Publication
The Pension Schemes Bill offers the prospect of access to surplus, definitive rules for superfunds, a reduced PPF levy and easier recovery of overpayments. Change is underway.
Publication
Charlotte Hillyard, Senior Innovation Lawyer in the Innovation Design and Technology team and one of Norton Rose Fulbright's Generative AI leads, will be sharing her insight at several prominent legal technology events in the coming week.
Subscribe and stay up to date with the latest legal news, information and events . . .
© Norton Rose Fulbright LLP 2025
