Freitag, 7. Juni 2013

Zur Zweckbindung im Datenschutzrecht und des Löschungsanspruchs für zweckwidrige Datenspeicherungen

Ein aktueller Fall des Verwaltungsgerichts Karlsruhe (Entscheidung vom 27.05.2013, Az. 2 K 3249/12) ist ein schönes Beispiel dafür, was die Zweckbindung im Datenschutzrecht bedeutet und welche Konsequenzen die Erledigung des Erhebungs- und Speicherungszwecks hat.

Einer der wichtigsten Grundsätze des europäischen und deutschen Datenschutzrechts ist der Zweckbindungsgrundsatz. Dieser besagt, dass personenbezogene Daten nur für von vornherein festgelegte eindeutige und rechtmäßige Zwecke erhoben werden dürfen und im Nachhinein nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Dieser Grundsatz kommt im Bundesdatenschutzgesetz an vielen Stellen zum Ausdruck, z.B. in § 4 Abs. 3 BDSG, § 14 Abs. 1 BDSG oder in § 28 Abs. 1 S. 2 BDSG.

Wie so oft in der Juristerei (und bei vielen anderen Dingen im Leben...) gibt es keinen Grundsatz ohne Ausnahme: In bestimmten, vom Gesetz definierten Fällen ist eine Datenverarbeitung für einen anderen (als den ursprünglich bei der Datenerhebung verfolgten) Zweck zulässig. Solche Fälle der erlaubten Zweckänderung finden sich z.B. in § 14 Abs. 2 BDSG oder § 28 Abs. 2 BDSG. Einer der prominentesten Fälle der Zweckänderung findet sich in § 28 Abs. 3 Nr. 1 BDSG, wenn ursprünglich zum Abschluss oder der Abwicklung eines Vertrages erhobene und gespeicherte Daten (unter bestimmten Voraussetzungen) nun AUCH für Werbezwecke genutzt werden dürfen. Trotz des Ausnahmecharakters ist zu erahnen, dass aufgrund der recht breit formulierten Ausnahmevorschriften eine Zweckänderung doch recht häufig in der Praxis vorkommen kann.

Personenbezogene Daten, welche ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, unterliegen einer strengen Zweckbindung, welche keine Ausnahmen zuläßt (siehe etwa § 31 BDSG oder § 14 Abs. 4 BDSG).

Rechtsfolge einer unerlaubten Zweckänderung ist die Löschung der (quasi zweckveränderten) Daten, welche für diese "neuen" Zwecke rechtswidrig gespeichert werden (§ 35 Abs. 2 Nr. 1 BDSG für den nichtöffentlichen Bereich, § 20 Abs. 2 Nr. 1 BDSG für den öffentlichen Bereich). Hat sich darüber hinaus auch der "ursprüngliche" Zweck der Erhebung und Speicherung der personenbezogenen Daten zwischenzeitlich erledigt, d.h. ist eine Speicherung der Daten zur Erreichung des Erhebungszwecks nicht mehr erforderlich (Bsp: Bestellung des Kunden wurde abgewickelt, Interessent hat Newsletter abbestellt, dem Bewerber wurde abgesagt usw.) und bestehen keine speziellen Aufbewahrungsfristen für die Daten, so sind diese Daten gem. § 35 Abs. 2 Nr. 3 BDSG (bzw. § 20 Abs. 2 Nr. 2 BDSG für den öffentlichen Bereich) zu löschen.

Diesen Löschungsanspruch kann der Betroffene auch gerichtlich durchsetzen - wie geschehen im Fall vor dem VG Karlsruhe. Da es im vorliegenden Fall um Löschungsansprüche gegen eine Landesbehörde geht, sind die Vorschriften des Landesdatenschutzgesetzes (Baden-Württemberg) anwendbar und das Verwaltungsgericht das sachlich zuständige Gericht.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Anbei die Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013 (Hinweis: § 15 LDSG BW entspricht weitgehend dem § 14 BDSG, § 23 Abs. 1 LDSG BW entspricht weitgehend dem § 20 Abs. 2 BDSG, der Sachverhalt ist in den Grundsätzen auch auf eine Datenverarbeitung durch nichtöffentliche Stellen - also etwa durch Unternehmen - übertragbar):

Die 2. Kammer des Verwaltungsgerichts Karlsruhe hat das Land Baden-Württemberg verpflichtet, drei Dateien mit „Arbeitskopien“ des Outlook-Postfachs des früheren Ministerpräsidenten Stefan M. sowie sämtliche Kopien dieser Dateien zu löschen, nachdem diese dem Landesarchiv zur Übernahme als Archivgut angeboten worden sind. Die - auf vorbehaltlose Löschung gerichtete - Klage von Stefan M. hatte somit überwiegend Erfolg, was in der Kostenentscheidung des Urteils zum Ausdruck kommt (3/4 der Kosten hat das Land zu tragen).

Im Herbst 2010 erstellte ein Mitarbeiter des IT-Bereichs des Staatsministeriums eine Kopie des auf dem Server dieses Ministeriums liegenden und Stefan M. zugewiesenen Original-Outlook-Postfachs. Dies geschah, weil technische Probleme bezüglich des elektronischen Terminkalenders dieses Postfachs aufgetreten waren. Nachdem der Fehler nicht hatte gefunden werden können, blieben die kopierten Postfach-Daten gespeichert. Demgegenüber wurden die Original-E-Mail-Accounts von Stefan M. nach dem Regierungswechsel auf dem Server des Staatsministeriums (endgültig) gelöscht. Erst im Sommer 2012 wurde das Staatsministerium auf die nach seinen Angaben zwischenzeitlich in Vergessenheit geratenen kopierten Dateien wieder aufmerksam.

Zur Begründung seines Anspruchs auf Löschung dieser Dateien mit „Arbeitskopien“ seines früheren Outlook-Postfachs macht Stefan M. geltend, personenbezogene Daten in Dateien seien nach dem Landesdatenschutzgesetz - LDSG - zu löschen, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich sei. Dem hält das beklagte Land entgegen, sowohl die Speicherung der Dateien als auch deren Nutzung seien zur Erfüllung staatlicher Aufgaben erforderlich. Da Stefan M. seine dienstliche E-Mail-Korrespondenz nicht vollständig zu den Sachakten genommen habe, bedürfe es einer Auswertung des E-Mail-Postfachs. Dies gelte insbesondere für Vorgänge im Zusammenhang mit dem Ankauf von EnBW-Anteilen im Dezember 2010.

Zur Begründung seiner Entscheidung hat das Verwaltungsgericht ausgeführt:
Stefan M. habe nach § 23 Abs. 1 Nr. 2 Landesdatenschutzgesetz - LDSG - Anspruch auf Löschung der Daten in den von seinem damaligen Outlook-Postfach gefertigten „Arbeitskopien“, denn die Kenntnis dieser (unstreitig) personenbezogenen Daten sei für die speichernde Stelle (das Staatsministerium) zur Erfüllung ihrer Aufgaben nicht mehr erforderlich. Dies ergebe sich - ausschlaggebend - daraus, dass § 15 Abs. 4 LDSG einer Nutzung der Daten für den vom Land allein noch vorgesehenen Zweck, nämlich die Auswertung des kopierten E-Mail-Accounts auf aktenrelevante Vorgänge, entgegenstehe. Nach dieser Vorschrift dürften personenbezogene Daten, die - wie im vorliegenden Fall - ausschließlich zum Zweck der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert würden, nur für diesen Zweck genutzt werden. Sinn und Zweck dieser strikten Zweckbindung sei es, eine Beeinträchtigung des Vertrauensverhältnisses zum Betroffenen und der Datensicherheit zu verhindern. Andernfalls würde die Akzeptanz der Erstellung von Sicherheitskopien im Hinblick auf die damit verbundene Ausweitung der Datenvorhaltung sinken, was der Datensicherheit abträglich wäre. § 15 Abs. 4 LDSG sei als Spezialvorschrift anzusehen, weshalb es nicht darauf ankomme, ob eine der in § 15 Abs. 2 LDSG aufgeführten Voraussetzungen für das weitere Speichern und Nutzen personenbezogener Daten für andere als die mit der ursprünglichen Speicherung verfolgten Zwecke vorliege.

Ohne Erfolg berufe sich das Land daher darauf, es müssten mit Hilfe der kopierten E-Mail-Postfachdaten möglicherweise unrichtige Angaben von Stefan M. überprüft werden (§ 15 Abs. 2 Nr. 4 LDSG). Da § 15 Abs. 4 LDSG eingreife, sei es auch ausgeschlossen, die Daten im Hinblick auf die Aufdeckung möglicher Rechtsverstöße von Stefan M. auszuwerten.

Vor der von Stefan M. somit grundsätzlich zu Recht beanspruchten Löschung der Dateien seien allerdings die Daten gemäß § 23 Abs. 3 LDSG dem Landesarchiv zur Übernahme als Archivgut nach Maßgabe des § 3 Landesarchivgesetz anzubieten. Der in diesen Vorschriften zum Ausdruck kommende „Vorrang des Archivrechts“ vor dem allgemeinen Datenschutzrecht begegne keinen verfassungsrechtlichen Bedenken; denn dem Schutz der Persönlichkeit von Stefan M. werde nach den Vorschriften des Landesarchivgesetzes hinreichend Rechnung getragen. Stefan M. komme auch der Schutz des § 3 Abs. 2 S. 3 Landesarchivgesetz zugute. Danach seien die anbietungspflichtigen Unterlagen zu vernichten, wenn das Landesarchiv die Übernahme ablehne oder nicht innerhalb eines Jahres über die Übernahme entschieden habe. Diese Jahresfrist sei derzeit noch nicht abgelaufen.

Das Urteil vom 27.05.2013 - 2 K 3249/12 - ist nicht rechtskräftig. Die Beteiligten können hiergegen beim Verwaltungsgerichtshof Baden-Württemberg die vom Verwaltungsgericht zugelassene Berufung einlegen.

Quelle: Pressemitteilung des Verwaltungsgerichts Karlsruhe vom 31.05.2013

Montag, 3. Juni 2013

Die datenschutzrechtliche Zulässigkeit des GPS-Trackings von Firmenfahrzeugen

Bei der Einführung einer GPS-Ortungsanlage zur Erfassung der Firmenfahrzeuge ist zu berücksichtigen, dass mit dem Tracken der Fahrzeuge auch erfasst und ermittelt wird, wo sich der jeweilige Außendienstmitarbeiter mit dem Dienstfahrzeug aufhält. Bei diesen Informationen handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG. Es liegt auf der Hand, dass mit einer unbegrenzten Erhebung und Speicherung dieser GPS-Daten ein lückenloses Bewegungs- bzw. Tätigkeitsprofil des entsprechenden Mitarbeiters angefertigt werden kann. Eine Vollüberwachung eines Mitarbeiters ist nach der Rechtsprechung des Bundesarbeitsgerichts allerdings rechtswidrig.

Wonach hat sich ein datenschutzkonformer GPS-Einsatz also zu orientieren?

Rechtsgrundlage für einen konformen Einsatz dürfte in den meisten Fällen § 28 Abs. 1 Nr. 2 BDSG bzw. § 32 Abs. 1 BDSG sein. Hiernach sind die berechtigten Interessen des Unternehmens als datenverarbeitende Stelle gegen schutzwürdige Interessen des von der Tracking-Maßnahme Betroffenen abzuwägen.

Hierbei können berechtigte Interesse des Unternehmens etwa die effektive Organisation der Firmenfahrzeuge bzw. der Außendienstmitarbeiter sein. Grundsätzlich hat ja auch ein Mitarbeiter seinen Arbeitgeber über Arbeitszeiten und Einsatztätigkeit zu unterrichten. Auch können solche berechtigte Interessen des Unternehmens das Erfordernis einer genauen Kostenermittlung sein, etwa weil diese Fahrtkosten einem Kunden in Rechnung zu stellen sind oder für interne Buchhaltungszwecke erforderlich sind. Ferner denkbare berechtigte Interessen des Unternehmens: Eine Ortung ist für die Sicherheit des Beschäftigten oder von sehr wertvollem Unternehmens- oder Kundeneigentum (Bsp: Geldtransporter!) erforderlich.

Dem stehen etwaige schutzwürdige Interessen des betroffenen Mitarbeiters gegenüber, dessen Verhalten potentiell überwacht werden kann. Gemäß § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zwar ist einem Arbeitgeber die Überwachung der Arbeitsleistung seiner Mitarbeiter in angemessener Weise zuzubilligen. Dies darf allerdings zu keiner Totalüberwachung des Arbeitnehmers führen (vergleichbar mit der Rund-um-die-Uhr-Überwachung durch Kameras). In den Bereich einer Totalüberwachung käme ein Unternehmen, wenn durch das GPS-System kontrollieren würde, wie der betreffende Außendienstmitarbeiter seine Arbeit verrichtet, die Pausen gestaltet oder sich im Straßenverkehr verhält.

Ist zu befürchten, dass der Außendienstmitarbeiter während des Beschäftigungsverhältnisses eine Straftat begeht oder begangen hat und eine GPS-Ortung zur Aufdeckung oder Aufklärung dieser Straftat erforderlich ist und im Einzelfall das schutzwürdige Interesse des Betroffenen nicht überwiegt, ist gemäß § 32 Abs. 1 Satz 2 BDSG der Einsatz von GPS-Trackern in zeitlich begrenztem Umfang auch zu einer Vollüberwachung möglich.

Auch wenn eine GPS-Überwachung der Firmenfahrzeuge rechtmäßig durchgeführt wird, ist zu beachten, dass diese Maßnahme gemäß § 4d Abs. 5 BDSG potentiell ein schwerwiegender Eingriff in Persönlichkeitsrechte des überwachten Arbeitnehmers darstellen kann, mithin besondere Risiken für dessen Rechte und Freiheiten aufweisen kann und damit eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten zu erfolgen hat. Hierbei sollte gewährleistet werden, dass nur die zwingend zur Erreichung des jeweiligen Zwecks erforderlichen Daten in technischer Hinsicht erhoben werden (§ 3a BDSG - Datenvermeidung und Datensparsamkeit), die betreffenden Verarbeitungszwecke klar definiert werden und ein entsprechendes Löschkonzept vom Datenschutzbeauftragten erstellt wird. Letztendlich sind die betroffenen Mitarbeiter von der durchgeführten Maßnahme zu unterrichten.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe