Ortung von Beschäftigten: Rechtsfragen der datenschutzrechtlichen Zulässigkeitsprüfung am Beispiel von arbeitgeberseitigen Ortungsmaßnahmen [1 ed.] 9783428588763, 9783428188765

Citation preview

Internetrecht und Digitale Gesellschaft Band 52

Ortung von Beschäftigten Rechtsfragen der datenschutzrechtlichen Zulässigkeitsprüfung am Beispiel von arbeitgeberseitigen Ortungsmaßnahmen

Von

Sophia Ampatziadis

Duncker & Humblot · Berlin

SOPHIA AMPATZIADIS

Ortung von Beschäftigten

Internetrecht und Digitale Gesellschaft Herausgegeben von

Dirk Heckmann

Band 52

Ortung von Beschäftigten Rechtsfragen der datenschutzrechtlichen Zulässigkeitsprüfung am Beispiel von arbeitgeberseitigen Ortungsmaßnahmen

Von

Sophia Ampatziadis

Duncker & Humblot · Berlin

Die Bucerius Law School in Hamburg hat diese Arbeit im Jahr 2022 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2023 Duncker & Humblot GmbH, Berlin

Satz: TextFormA(r)t, Daniela Weiland, Göttingen Druck: CPI books GmbH, Leck Printed in Germany ISSN 2363-5479 ISBN 978-3-428-18876-5 (Print) ISBN 978-3-428-58876-3 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de

Meinen Eltern

Vorwort Datenschutz gewinnt im Zuge der technischen Weiterentwicklung und zunehmenden Datenverarbeitung immer mehr an Relevanz. Umso wichtiger ist es, dass es mit der Datenschutzgrundverordnung auf Unionsebene harmonisierte Regelungen gibt, die es den Anwendern ermöglichen, Erlaubtes von Verbotenem abzugrenzen. Mit Blick auf die in der Datenschutzgrundverordnung vorgesehene Zulässigkeitsprüfung sind aber viele Fragen noch ungeklärt. Diese Arbeit setzt sich am Beispiel der arbeitgeberseitigen Ortung von Beschäftigten mit Fragen der datenschutzrechtlichen Zulässigkeitsprüfung auseinander und systematisiert dabei ein risikobasiertes Schutzkonzept, das zu einem angemessenen Ausgleich zwischen den widerstreitenden Interessen führen kann. Die Arbeit wurde im Oktober 2022 von der Bucerius Law School in Hamburg als Dissertation angenommen. Für die Drucklegung konnten aktuelle Gesetzgebung, Rechtsprechung und Literatur bis Ende November 2022 berücksichtigt werden. Mein herzlicher Dank gilt zunächst meinem Doktorvater Prof. Dr. Matthias Jacobs, der diese Arbeit betreut und gefördert hat. Er hat mich in meiner Themenwahl bestärkt, mir die Freiheit für eigene Gedanken und Ansätze eröffnet und mich dabei mit Rat und Tat unterstützt. Ebenso möchte ich Prof. Dr. Jacob Joussen für die zügige Erstellung des Zweitgutachtens danken. Besonders danken möchte ich darüber hinaus meinem Partner, Florian Beneke, der mich während der gesamten Zeit der Promotion unterstützt und ermutigt hat. Er hatte immer ein offenes Ohr, nahm sich gerne Zeit für Diskussionen und stand mir dabei mit wertvollem Input zur Seite. Zudem bedanke ich mich herzlich bei meinen Eltern, Ira Simon-Ampatziadis und Nikolaos Ampatziadis, die mich während meiner juristischen Ausbildung und darüber hinaus stets unterstützt und liebevoll begleitet haben. Ihnen ist diese Arbeit gewidmet. Berlin, im Januar 2023

Sophia Ampatziadis

Inhaltsübersicht Erstes Kapitel Einführung 27 § 1 Problemstellung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 A. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 B. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 § 2 Grundlagen und Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 A. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 B. Einsatz von Ortungssystemen in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 C. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Zweites Kapitel

Grundrechtlicher Rechtsrahmen 51

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene . . . . . . . . . . . 52 A. Datenschutz in der Europäischen Menschenrechtskonvention . . . . . . . . . . . . . . 52 B. Datenschutz in der Grundrechtecharta der Europäischen Union . . . . . . . . . . . . . 54 C. Datenschutz im Grundgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 D. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 § 4 Grundrechtsschutz bei der Ortung von Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . . 62 A. Maßgebliche Grundrechtsordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 B. Kollidierende (grundrechtlich geschützte) Interessen . . . . . . . . . . . . . . . . . . . . . . 71 C. Rechtfertigung und hoheitliche Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 D. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

10

Inhaltsübersicht Drittes Kapitel



Einfachgesetzlicher Rechtsrahmen 85

§ 5 Allgemeiner Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 A. Interessenausgleich als Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 B. Anwendungsvorrang der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 C. Ausgleichsmechanismen der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 D. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 § 6 Anwendung und Modifikation des Maßstabs bei der Ortung von Beschäftigten  . . . 98 A. Anwendbarkeit der DSGVO auf den Arbeitgeber . . . . . . . . . . . . . . . . . . . . . . . . 99 B. Verantwortlichkeit des Arbeitgebers in Abgrenzung zum LBS-Anbieter . . . . . . . 109 C. Erlaubnistatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 D. ePrivacy-Vorgaben als lex specialis? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 E. Zusätzliche betriebsverfassungs- oder personalvertretungsrechtliche Vorgaben . 165 F. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Viertes Kapitel

Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung 174

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 A. Typischerweise mit Ortungsmaßnahmen einhergehende Risiken . . . . . . . . . . . . 175 B. Kriterien der Interessenabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 C. Struktur der Interessenabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 D. Folgen der Interessenabwägung auf vom Arbeitgeber durchzuführende Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 E. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 § 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen . . . . . . . . . . . . . . . . 236 A. Ortung zur Einsatzkoordinierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 B. Ortung zur Vereinfachung von Verwaltungsvorgängen . . . . . . . . . . . . . . . . . . . . . 239 C. Ortung zur Sicherheit der Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 D. Ortung zum Schutz von Eigentum oder Vermögen (verdachtslos) . . . . . . . . . . . . 245 E. Ortung zur Verhaltens- und Leistungskontrolle (verdachtslos) . . . . . . . . . . . . . . . 248 F. Ortung zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 G. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

Inhaltsübersicht

11

Fünftes Kapitel

Die wichtigsten Ergebnisse 258

§ 9 Thesenartige Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

Inhaltsverzeichnis Erstes Kapitel Einführung 27 § 1 Problemstellung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 A. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 B. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 I. Grundrechtlicher Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 II. Einfachgesetzlicher Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 III. Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung . . . . . . 30 § 2 Grundlagen und Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 A. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 I. Definition des Ortungsbegriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 1. Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 2. Gezielte Verarbeitung von Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . 34 a) Ortung als Oberbegriff für alle Phasen der Datenverarbeitung . . . . . . 34 b) Erhebung von Positionsdaten als Kernelement der Ortung . . . . . . . . . 35 3. Abgrenzung zur reinen Positionsbestimmung . . . . . . . . . . . . . . . . . . . . . 36 II. Modalitäten der Ortung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1. Manuelle und automatisierte Ortung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2. Unmittelbare und mittelbare Ortung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3. Personenbezogene und nicht personenbezogene Ortung . . . . . . . . . . . . . 38 B. Einsatz von Ortungssystemen in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 I. Funktionsweise von Ortungssystemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 1. Positionsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 a) Ortungssysteme zur Ortung im Außenbereich . . . . . . . . . . . . . . . . . . . 39 aa) Positionsbestimmung mittels Navigationssatelliten . . . . . . . . . . . 39 bb) Positionsbestimmung mittels Mobilfunkzellenidentifikation . . . . 40 cc) Positionsbestimmung mittels WLAN . . . . . . . . . . . . . . . . . . . . . . 41 b) Ortungssysteme zur Ortung im Innenbereich . . . . . . . . . . . . . . . . . . . 43 aa) Positionsbestimmung mittels WLAN . . . . . . . . . . . . . . . . . . . . . . 43 bb) Positionsbestimmung mittels BLE . . . . . . . . . . . . . . . . . . . . . . . . 43 cc) Positionsbestimmung mittels RFID . . . . . . . . . . . . . . . . . . . . . . . 44

14

Inhaltsverzeichnis 2. Abruf der Positionsdaten über eine Software . . . . . . . . . . . . . . . . . . . . . . 45 II. Typischerweise verfolgte Ortungszwecke . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 1. Einsatzkoordination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 2. Vereinfachung von Verwaltungsvorgängen . . . . . . . . . . . . . . . . . . . . . . . . 47 3. Sicherheit der Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4. Schutz von Eigentum oder Vermögen (verdachtslos) . . . . . . . . . . . . . . . . 48 5. Verhaltens- oder Leistungskontrolle (verdachtslos) . . . . . . . . . . . . . . . . . 49 6. Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 C. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Zweites Kapitel

Grundrechtlicher Rechtsrahmen 51

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene . . . . . . . . . . . 52 A. Datenschutz in der Europäischen Menschenrechtskonvention . . . . . . . . . . . . . . 52 B. Datenschutz in der Grundrechtecharta der Europäischen Union . . . . . . . . . . . . . 54 C. Datenschutz im Grundgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 D. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 § 4 Grundrechtsschutz bei der Ortung von Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . . 62 A. Maßgebliche Grundrechtsordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 I. DSGVO grundsätzlich an Unionsgrundrechten zu messen . . . . . . . . . . . . . . 62 II. Unklare Gemengelage bei Gestaltungsoffenheit der DSGVO . . . . . . . . . . . . 63 1. EuGH: Maßgeblichkeit der Unionsgrundrechte . . . . . . . . . . . . . . . . . . . 63 2. BVerfG: Maßgeblichkeit der nationalen Grundrechte . . . . . . . . . . . . . . . 64 III. Keine Gestaltungsoffenheit im Beschäftigtendatenschutz . . . . . . . . . . . . . . . 65 1. Wortlaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 2. Systematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 3. Historie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4. Telos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 B. Kollidierende (grundrechtlich geschützte) Interessen . . . . . . . . . . . . . . . . . . . . . . 71 I. Grundrechtlich geschützte Interessen des Beschäftigten . . . . . . . . . . . . . . . . 71 1. Betroffenheit von Art. 8 Abs. 1 i. V. m. Art. 7 GrCh . . . . . . . . . . . . . . . . . 71 a) Mittelbare Drittwirkung im Beschäftigungsverhältnis . . . . . . . . . . . . 71 b) Betroffenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 c) Keine Betroffenheit bei sofortiger Löschung oder Anonymisierung von Beschäftigten-Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Inhaltsverzeichnis

15

2. Nichtbetroffenheit von Art. 1 GrCh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 a) Keine Herabwürdigung zum „Datenobjekt“ . . . . . . . . . . . . . . . . . . . . 77 b) Unantastbarer Kernbereich privater Lebensgestaltung nicht berührt . 77 c) Keine Totalüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 II. (Grundrechtlich geschützte) Interessen des Arbeitgebers . . . . . . . . . . . . . . . 81 C. Rechtfertigung und hoheitliche Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 D. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Drittes Kapitel

Einfachgesetzlicher Rechtsrahmen 85

§ 5 Allgemeiner Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 A. Interessenausgleich als Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 B. Anwendungsvorrang der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 C. Ausgleichsmechanismen der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 I. „Verantwortlicher“ als Hauptadressat der DSGVO . . . . . . . . . . . . . . . . . . . . 86 II. Risiko als Anknüpfungspunkt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 III. Erste Ebene: Zulässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 1. Verbot mit Erlaubnistatbeständen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 2. Erforderlichkeitsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 a) Abhängigkeitsverhältnis zwischen Verarbeitung und Verarbeitungszweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 b) Erforderlichkeit als Einfallstor für Datenschutzgrundsätze . . . . . . . . . 93 IV. Zweite Ebene: Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 D. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 § 6 Anwendung und Modifikation des Maßstabs bei der Ortung von Beschäftigten  . . . 98 A. Anwendbarkeit der DSGVO auf den Arbeitgeber . . . . . . . . . . . . . . . . . . . . . . . . 99 I. Abstrakte Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 1. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 a) Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 aa) Identifizierte Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 bb) Identifizierbare Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 b) Automatisierte und nicht-automatisierte Verarbeitung . . . . . . . . . . . . 103 2. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 II. Anwendung auf die Ortung von Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . 104 1. Beschäftigter in der Regel identifiziert oder identifizierbar . . . . . . . . . . . 105

16

Inhaltsverzeichnis a) Beschäftigter identifiziert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 b) Beschäftigter identifizierbar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 2. Datenverarbeitung in der Regel automatisiert . . . . . . . . . . . . . . . . . . . . . 108 3. Räumlicher Anwendungsbereich bei EU-Bezug eröffnet . . . . . . . . . . . . . 108 B. Verantwortlichkeit des Arbeitgebers in Abgrenzung zum LBS-Anbieter . . . . . . . 109 I. Ortung als arbeitsteilige Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . 109 II. Arbeitgeber als für die Datenverarbeitung verantwortliche Stelle . . . . . . . . . 110 III. Rolle des LBS-Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 1. LBS-Anbieter als „Dritter“ bei Datenverarbeitung ohne Personenbezug . 112 2. LBS-Anbieter als „Auftragsverarbeiter“ bei Datenverarbeitung mit Personenbezug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 a) Auftragsverarbeitung in Abgrenzung zu gemeinsamer Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 b) Privilegierungswirkung der Auftragsverarbeitung . . . . . . . . . . . . . . . . 115 C. Erlaubnistatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 I. Öffnungsklausel gestattet „spezifischere Vorschriften“ der Mitgliedstaaten für Verarbeitungen im Beschäftigungskontext . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 1. Umfang des Gestaltungsspielraums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 2. Verhältnis der „spezifischeren Vorschriften“ zu den Erlaubnistatbeständen aus Art. 6 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 II. Über die Öffnungsklausel in Betracht kommende Erlaubnistatbestände für die Ortung von Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 1. § 26 Abs. 1 S. 1, 2 BDSG als Erlaubnistatbestände . . . . . . . . . . . . . . . . . . 128 a) Anwendbarkeit von § 26 BDSG auf Ortungsmaßnahmen . . . . . . . . . . 129 b) Besondere Tatbestandsvoraussetzungen von § 26 Abs. 1 S. 2 BDSG . 131 c) Prüfungsmaßstab: Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . 132 2. Kollektivvereinbarung als Erlaubnistatbestand . . . . . . . . . . . . . . . . . . . . . 134 3. Einwilligung als Erlaubnistatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 a) Freiwillige Entscheidung trotz Beschäftigungsverhältnis möglich . . . 136 b) Kriterien zur Beurteilung der Freiwilligkeit . . . . . . . . . . . . . . . . . . . . 137 c) Einwilligung in Ortungsmaßnahme nicht per se freiwillig oder unfreiwillig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 d) Wirksamkeit der Einwilligung unabhängig von Verhältnismäßigkeit . 141 4. Verhältnis der Erlaubnistatbestände zueinander . . . . . . . . . . . . . . . . . . . 142 III. Bedürfnis eines neuen Erlaubnistatbestands bei zweckändernder Weiterverarbeitung von Beschäftigten-Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . 144 1. Ausgangssituation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 2. Rechtfertigung durch Einwilligung oder gesetzliche Erlaubnis . . . . . . . . 145 3. Rechtfertigung durch Vereinbarkeit der Zwecke? . . . . . . . . . . . . . . . . . . . 147

Inhaltsverzeichnis

17

a) Vereinbarkeit der Zwecke nur bei zweckändernder Weiterverarbeitung zur Vereinfachung von Verwaltungsvorgängen . . . . . . . . . . . . . . . . . . 147 b) Weiterverarbeitung bedarf eines eigenen Erlaubnistatbestands . . . . . 149 D. ePrivacy-Vorgaben als lex specialis? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 I. Anzuwendende Vorschriften? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 1. ePrivacy-RL und deren nationale Umsetzung . . . . . . . . . . . . . . . . . . . . . 152 a) § 13 TTDSG im Regelfall nicht anwendbar . . . . . . . . . . . . . . . . . . . . . 154 b) § 25 Abs. 1 S. 1 TTDSG nicht anwendbar oder jedenfalls erfüllt . . . . 158 2. ePrivacy-VO-E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 a) Art. 6 ePrivacy-VO-E nicht anwendbar . . . . . . . . . . . . . . . . . . . . . . . . 160 b) Art. 8 Abs. 1 ePrivacy-VO-E nicht anwendbar oder jedenfalls erfüllt . 161 c) Art. 8 Abs. 2 ePrivacy-VO-E nicht anwendbar oder jedenfalls erfüllt . 163 II. Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 E. Zusätzliche betriebsverfassungs- oder personalvertretungsrechtliche Vorgaben . 165 I. Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG . . . . . . . . . . . . . . . . . . . 165 II. Informationsrecht aus § 80 Abs. 2 i. V. m. § 80 Abs. 1 Nr. 1 BetrVG . . . . . . . 168 III. Unterrichtungs- und Beratungsrecht aus § 90 Abs. 1 Nr. 2, Abs. 2 BetrVG . . 169 F. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Viertes Kapitel

Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung 174

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 A. Typischerweise mit Ortungsmaßnahmen einhergehende Risiken . . . . . . . . . . . . 175 B. Kriterien der Interessenabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 I. Kriterien zur Bestimmung von Eintrittswahrscheinlichkeit und Schwere der drohenden Beeinträchtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 1. Zweck der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 a) Zweck ermöglicht oder fordert eine Bewertung des Betroffenen . . . . 179 b) Eigeninteresse des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 2. Art der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 a) Art und Kategorie der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 b) Personenbezug der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 c) Qualität der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 d) Art und Weise der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . 183 3. Umfang der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 a) Menge der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 b) Dauer und Häufigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . 185

18

Inhaltsverzeichnis 4. Umstände der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 a) Verhältnis zwischen datenverarbeitender Stelle und Betroffenem . . . 186 b) Erwartbarkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . 187 c) Beeinflussbarkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . 188 d) Anzahl der Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 II. Kriterien zur Gewichtung des Datenverarbeitungsinteresses . . . . . . . . . . . . . 190 1. Abstrakter Rang des Schutzguts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 2. Anlass der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 3. Datenverarbeitung zur Erfüllung einer Rechtspflicht . . . . . . . . . . . . . . . . 192 4. Wahrscheinlichkeit der Zweckerreichung . . . . . . . . . . . . . . . . . . . . . . . . . 194 C. Struktur der Interessenabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 I. Berechtigtes Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 II. Geeignetheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 III. Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 1. Erhebung von Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 a) Ortungsmaßnahmen vs. sonstige Maßnahmen . . . . . . . . . . . . . . . . . . 198 b) Einsatz eines Ortungssystems vs. Standortmitteilung . . . . . . . . . . . . 199 c) Lückenlos vs. stichprobenartig oder anlassbezogen . . . . . . . . . . . . . . 200 d) Außerhalb der Arbeitszeit vs. innerhalb der Arbeitszeit . . . . . . . . . . . 200 e) Unmittelbar identifizierbar vs. pseudonym oder anonym . . . . . . . . . . 201 aa) Ortungszweck fordert keine Identifizierbarkeit des Betroffenen . 201 bb) Ortungszweck fordert Identifizierbarkeit des Betroffenen . . . . . . 202 cc) Ortungszweck fordert Identifizierung des Betroffenen . . . . . . . . . 202 f) Verdeckt vs. offen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 aa) Kollision verdeckter Ortungsmaßnahmen mit den Informationspflichten der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 bb) Absolutes Verbot verdeckter Datenverarbeitung umstritten . . . . . 205 cc) Kein absolutes Verbot verdeckter Überwachungsmaßnahmen mangels Direkterhebung i. S. v. Art. 13 DSGVO . . . . . . . . . . . . . . . . . 207 2. Speicherung von Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 a) Speicherfrist zur Sichtung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . 212 b) Speicherfrist zur Verwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 3. Verwendung von Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 4. Übermittlung von Positionsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 a) Übermittlung von Positionsdaten an den Betriebsrat . . . . . . . . . . . . . 216 b) Übermittlung von Positionsdaten an Dritte . . . . . . . . . . . . . . . . . . . . . 218 IV. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 1. Bewirkt die Ortung im Einzelfall ein hohes Risiko? . . . . . . . . . . . . . . . . 220

Inhaltsverzeichnis

19

a) Aufsichtsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 b) Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 c) Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 d) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 aa) Risiko nur hoch wenn Konsequenzen bezweckt . . . . . . . . . . . . . . 223 bb) Rechtsprechung zur Videoüberwachung und vergleichbar eingriffsintensiven Überwachungsmaßnahmen nur eingeschränkt übertragbar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 cc) Konkret: Hohes Risiko nur bei Ortung zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung im Verdachtsfall sowie zur verdachtslosen Verhaltens- oder Leistungskontrolle . . . . . . . . . . . . . 228 2. (Hohes) Risiko durch Arbeitgeberinteresse gerechtfertigt? . . . . . . . . . . . 228 a) Ortung ohne hohes Risiko grundsätzlich gerechtfertigt . . . . . . . . . . . 228 b) Ortung mit hohem Risiko nur bei gewichtigem Arbeitgeberinteresse gerechtfertigt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 aa) Konkrete und schwerwiegende Gefahr kann umfangreiche ­Ortungsmaßnahmen rechtfertigen . . . . . . . . . . . . . . . . . . . . . . . . . 229 bb) Abstrakte Gefahr kann nur stichprobenartige Ortungsmaßnahmen rechtfertigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 D. Folgen der Interessenabwägung auf vom Arbeitgeber durchzuführende Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 E. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 § 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen . . . . . . . . . . . . . . . . 236 A. Ortung zur Einsatzkoordinierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . 236 II. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 B. Ortung zur Vereinfachung von Verwaltungsvorgängen . . . . . . . . . . . . . . . . . . . . . 239 I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . 239 1. Abrechnung gegenüber Kunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 2. Abrechnung von Lkw-Maut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 3. Dokumentation der Dienstleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 4. Fuhrparkverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 5. Nachweis gegenüber Finanzbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 II. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 C. Ortung zur Sicherheit der Beschäftigten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . 243 II. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 D. Ortung zum Schutz von Eigentum oder Vermögen (verdachtslos) . . . . . . . . . . . . 245

20

Inhaltsverzeichnis I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . 245 II. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 E. Ortung zur Verhaltens- und Leistungskontrolle (verdachtslos) . . . . . . . . . . . . . . . 248 I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . 248 1. Ortung zur Arbeitszeiterfassung (verdachtslos) . . . . . . . . . . . . . . . . . . . . 248 2. Verdachtslose Compliance-Kontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 3. Verhaltens- und Leistungsbeurteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 II. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 F. Ortung zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . 252 II. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 G. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

Fünftes Kapitel

Die wichtigsten Ergebnisse 258

§ 9 Thesenartige Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

Abkürzungsverzeichnis A-GPS Assisted Global Positioning System a. A. andere Ansicht a. F. alte Fassung ABl. Amtsblatt der Europäischen Union Abs. Absatz / Absätze Abschn. Abschnitt AcP Archiv für die civilistische Praxis (Zeitschrift) AEUV Vertrag über die Arbeitsweise der Europäischen Union AG Amtsgericht ähnl. ähnlich Anm. Anmerkung AnwBl Anwaltsblatt (Zeitschrift) AöR Archiv des öffentlichen Rechts App Application ArbG Arbeitsgericht ArbRAktuell Arbeitsrecht Aktuell (Zeitschrift) Der Arbeits-Rechtsberater (Zeitschrift) ArbRB ArbSchG Arbeitsschutzgesetz ArbZG Arbeitszeitgesetz Art. Artikel Art.-29-DSG Artikel-29-Datenschutzgruppe AuA Arbeit und Arbeitsrecht (Zeitschrift) ausführl. ausführlich BB Betriebs-Berater (Zeitschrift) BDSG Bundesdatenschutzgesetz BeckRS Beck online Rechtsprechung Begr. Begründer(in) Beschl. Beschluss BetrVG Betriebsverfassungsgesetz BfDI Bundesbeauftragte für den Datenschutz und die Informationsfreiheit BFStrMG Bundesfernstraßenmautgesetz Bürgerliches Gesetzbuch BGB BGBl. Bundesgesetzblatt BGH Bundesgerichtshof BLE Bluetooth Low Energy Bundesministerium für Wirtschaft und Energie BMWi BPersVG Bundespersonalvertretungsgesetz BT-Drs. Bundestagsdrucksache BVerfG Bundesverfassungsgericht BVerwG Bundesverwaltungsgericht BW Baden-Württemberg

22

Abkürzungsverzeichnis

BY Bayern bzw. beziehungsweise Corporate Compliance Zeitschrift CCZ Cell Identification Cell-ID Computer und Recht (Zeitschrift) CR DB Der Betrieb (Zeitschrift) ders. derselbe(n) dies. dieselbe(n) diff. differenzierend Diss. Dissertation Die öffentliche Verwaltung (Zeitschrift) DÖV Decisions and Reports DR DSG Datenschutzgesetz Europäische Datenschutzgrundverordnung DSGVO DSK Datenschutzkonferenz Deutsche Stiftung für Recht und Informatik Tagungsband Herbstakademie DSRITB DSRL Datenschutzrichtlinie Datenschutz und Datensicherheit (Zeitschrift) DuD Deutsches Verwaltungsblatt (Zeitschrift) DVBl Deutsche Verwaltungspraxis (Zeitschrift) DVP E Entwurf Ebenda (die gleiche Quellenangabe wie direkt zuvor) Ebd. European Convention on Human Rights ECHR Erwägungsgrund / Erwägungsgründe EG Europäischer Gerichtshof für Menschenrechte EGMR Einf. Einführung Einl. Einleitung einschränk. einschränkend Europäische Kommission für Menschenrechte EKMR ELJ European Law Journal Europäischen Menschenrechtskonvention EMRK Entsch. Entscheidung Datenschutz in der elektronischen Kommunikation ePrivacy et alii (und andere) et al. et cetera (und die übrigen Dinge) etc. Europäische Union EU Europäischer Gerichtshof EuGH Europäische Grundrechte-Zeitschrift EuGRZ Zeitschrift Europarecht EuR Vertrag über die Europäische Union EUV Europäische Zeitschrift für Arbeitsrecht EuZA Europäische Zeitschrift für Wirtschaftsrecht EuZW folgende f., ff. Fachanwalt Arbeitsrecht (Zeitschrift) FA Fn. Fußnote fortgef. fortgeführt FS Festschrift Generalanwalt / Generalanwältin GA

Abkürzungsverzeichnis gem. gemäß GeoZG Geodatenzugangsgesetz Zeitschrift Gewebearchiv GewArch GewO Gewerbeordnung GG Grundgesetz ggf. gegebenenfalls GLONASS Globales Satellitennavigationssystem (russisch) GPS Global Positioning System Charta der Grundrechte der Europäischen Union GrCh GRUR Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift) GS Gedächtnisschrift GWR Gesellschafts- und Wirtschaftsrecht (Zeitschrift) h. M. herrschende Meinung Habil. Habilitation Hansestadt Bremen HB HGB Handelsgesetzbuch Hrsg. Herausgeber(in) HS. Halbsatz i. E. im Ergebnis i. d. R. in der Regel i. S. d. im Sinne der / des i. S. e. im Sinne einer / eines i. S. v. im Sinne von i. V. m. in Verbindung mit IMSI International Subscriber Identity insb. insbesondere InTer Zeitschrift zum Innovations- und Technikrecht IP Internet Protokoll IT Informationstechnologie / informationstechnologisch(e) ITRB IT-Rechtsberater (Zeitschrift) jM Juris-Die Monatszeitschrift jurisPR-ArbR Juris PraxisReport Arbeitsrecht Juristische Schulung (Zeitschrift) JuS JZ Juristenzeitung Kommunikation und Recht (Zeitschrift) K&R Kap. Kapitel Kfz Kraftfahrzeug Reihe L L LAG Landesarbeitsgericht LBS Location Based Services LDSG Landesdatenschutzgesetz LfD Landesbeauftragte(r) für den Datenschutz Landesbeauftragte(r) für den Datenschutz und die Informationsfreiheit LfDI lit. littera (Buchstabe) Lkw Lastkraftwagen Lkw-MautV Lkw-Maut-Verordnung LMuR Lebensmittel & Recht (Zeitschrift) m. w. N. mit weiteren Nachweisen

23

24

Abkürzungsverzeichnis

mit Verweis auf m. V. a. Media Access Code MAC missverständl. missverständlich Multimedia und Recht (Zeitschrift) MMR neue Fassung n. F. NI Niedersachsen Neue Juristische Online Zeitschrift NJOZ Neue Juristische Wochenschrift (Zeitschrift) NJW Newsletter Menschenrechte (Zeitschrift) NLMR Nr. Nummer(n) NRW Nordrhein-Westfalen Neue Zeitschrift für Verwaltungsrecht NVwZ Neue Zeitschrift für Arbeitsrecht NZA Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OECD OLG Oberlandesgericht OVG Oberverwaltungsgericht Privacy in Germany (Zeitschrift) PinG Recht der Arbeit (Zeitschrift) RdA Recht der Datenverarbeitung (Zeitschrift) RDV RefE Referentenentwurf rev. revised Radio Frequency Identification RFID RL Richtlinie Rn. Randnummer(n) Recht und Politik (Zeitschrift) RuP Satz / Sätze, Seite(n) S. s. siehe Scientific Reports Sci. Rep. Sic erat scriptum (so stand es geschrieben) sic SIM Subscriber Identity Module SL Saarland sogenannte(n, r) sog. Schnellinformation für Personalmanagement und Arbeitsrecht (Zeitschrift) SPA ST Sachsen-Anhalt StPO Strafprozessordnung str. strittig ständige Rechtsprechung stRspr. Straßenverkehrsrecht (Zeitschrift) SVR Syst. System TB Tätigkeitsbericht Teilurt. Teilurteil TH Thüringen TK Telekommunikation TKG Telekommunikationsgesetz TM Telemedien TMG Telemediengesetz TTDSG Telekommunikation-Telemedien-Datenschutzgesetz u. und

Abkürzungsverzeichnis u. a. und andere Urt. Urteil von / vom v. Var. Variante VersR Versicherungsrecht (Zeitschrift) VG Verwaltungsgericht Vgl. vergleiche VO Verordnung Vorbem. Vorbemerkung VuR Verbraucher und Recht (Zeitschrift) Wi-Fi Wireless Fidelity WLAN Wireless Local Area Network WP Working Paper Wi-Fi Positioning System WPS zum Beispiel z. B. ZaöRV Zeitschrift für ausländisches öffentliches Recht Zeitschrift für Datenschutz ZD ZfA Zeitschrift für Arbeitsrecht ZHR Zeitschrift für das gesamte Handelsrecht und Wirtschaftsrecht zugl. zugleich zurückhalt. zurückhaltender zusammenfass. zusammenfassend zust. zustimmend zutr. zutreffend

25

Erstes Kapitel

Einführung § 1 Problemstellung und Gang der Untersuchung A. Problemstellung Der technische Fortschritt eröffnet immer unkompliziertere und alltagstaug­ lichere Möglichkeiten, die Position einer Sache und damit auch den Aufenthaltsort einer Person zu erfassen. Solche sog. Location Based Services (LBS)1 nutzen zunehmend auch Arbeitgeber2 und orten z. B. das Dienstfahrzeug oder ein vom Beschäftigten3 mitzuführendes technisches Endgerät (z. B. Mobiltelefon). Die Motive sind vielfältig.4 Zum einen kann die Ortung der Einsatzkoordinierung einer Fahrzeugflotte dienen. Beispiele sind das Taxigewerbe oder der Einsatz von Behörden und Organisationen mit Sicherheitsaufgaben. Darüber hinaus kommt eine Ortung zur Vereinfachung von Verwaltungsvorgängen in Betracht, wie z. B. zur Abrechnung gegenüber Kunden oder zur Dokumentation einer Dienstleistung wie dem Einsatz eines Spezialfahrzeugs. Mithilfe von Ortungsmaßnahmen kann zudem die Sicherheit von Beschäftigten gewährleistet, präventiv oder repressiv das Verhalten von Beschäftigten kontrolliert und beurteilt oder Eigentum des Arbeitgebers geschützt werden. Über die Software von Location Based Service-Anbietern (LBSAnbieter) wird die Position bestimmt und in einem Online-Portal aufbereitet zur Verfügung gestellt. Zugriffsberechtigte können die Positionsdaten einsehen, verwenden und gegebenenfalls speichern oder übermitteln. Auf diese Weise können umfassende Bewegungsprofile erstellt werden. Unter welchen Voraussetzungen eine Ortung von Beschäftigten zulässig ist, ist umstritten. Schwierigkeiten bereitet der zugrundeliegende Interessenkonflikt. Die Beschäftigten sind daran interessiert, dass der Arbeitgeber nicht jede ihrer Bewegungen nachvollziehen kann. Arbeitgeber haben ein Interesse daran, mit der Ortung ihre Unternehmensführung zu optimieren. Anknüpfungspunkt für die 1

Ausführl. dazu unten § 2 B. I. 2. Aus Gründen der Lesbarkeit wird in dieser Untersuchung auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Es wird das generische Maskulinum verwendet, wobei beide Geschlechter gleichermaßen gemeint sind. 3 Sowohl der Unionsgesetzgeber als auch der deutsche Gesetzgeber verwenden im Datenschutzrecht den Begriff des „Beschäftigten“, der über den deutschen Arbeitnehmerbegriff hinausgeht, ausführl. dazu SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 16 ff. 4 Siehe dazu unten § 2 B. II. 2

28

1. Kap.: Einführung

Auflösung dieses datenschutzrechtlichen Konflikts sind die seit dem 25. 8. 2018 in allen Mitgliedstaaten unmittelbar geltende Europäische Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Eine spezifische Regelung zum Einsatz von Ortungssystemen im Beschäftigungsverhältnis wie sie in einem nicht umgesetzten Gesetzesentwurf von 20105 vorgesehen war, existiert nicht. § 26 BDSG enthält aber eine Grundsatzregelung zu Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses, die im Wesentlichen auf eine Verhältnismäßigkeitsprüfung abstellt. Vor diesem Hintergrund stellen sich im Hinblick auf den Zulässigkeitsmaßstab eine Reihe von Fragen. Unklar ist, welchen allgemeinen Zulässigkeitsmaßstab die DSGVO überhaupt vorgibt. Inwiefern müssen die Datenschutzgrundsätze erfüllt sein, damit eine Datenverarbeitung zulässig ist? Welche grundrechtlichen Wertungen beeinflussen die Interessenabwägung? Wo verläuft die Grenze zwischen einem auf Zulässigkeitsebene „akzeptierten“ und nicht „akzeptierten“ Risiko? Im Bereich des Beschäftigtendatenschutzes ist zudem unklar, in welchem Verhältnis die DSGVO zu nationalen Datenschutzvorschriften steht. Wie wird der allgemeine Zulässigkeitsmaßstab der DSGVO durch § 26 BDSG modifiziert? An welche Vorgaben müssen sich Kollektivparteien halten, wenn sie eine Ortung von Beschäftigten in einer Kollektivvereinbarung rechtmäßig regeln wollen? Können Beschäftigte in die Ortung einwilligen? Darüber hinaus ist zu beachten, dass die im Rahmen von Ortungsmaßnahmen erfolgende Positionsbestimmung grundsätzlich in den Anwendungsbereich der gegenüber der DSGVO speziellen Vorgaben zum Datenschutz in der elektronischen Kommunikation fällt. Wie spielen an dieser Stelle europäische und nationale Vorgaben zusammen und welche zusätzlichen Voraussetzungen folgen daraus für die Zulässigkeit einer Ortung von Beschäftigten? Zudem stellt sich die Frage, wie sich neben dem Arbeitgeber an der Ortung beteiligte Akteure wie der LBS-Anbieter und der Betriebsrat in das datenschutzrechtliche Konzept der Rollenverteilung einfügen und wie sich ihr Handeln auf die datenschutzrechtliche Zulässigkeitsprüfung auswirkt. Die Gerichte haben sich bislang kaum mit der Zulässigkeit von arbeitgeberseitigen Ortungsmaßnahmen befasst.6 Entscheidungen von obersten Gerichten gibt es lediglich zur Ortung von Verdächtigen im Strafverfahren7, die gesetzlich durch §§ 100i Abs. 1 Nr. 2, 100h Abs. 1 S. 1 Nr. 2 oder 100k Abs. 1 S. 2 i. V. m. 100g Abs. 2 StPO ermöglicht wird8. Die Aufsichtsbehörden und die Literatur widmen sich auf 5 Entwurf der Bundesregierung für ein Gesetz zur Regelung des Beschäftigtendatenschutzes v. 15. 12. 2010, BT-Drs. 17/4230, 8 f. (im Folgenden BDSG-E). 6 So aber LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144; ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816. 7 EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333  – Uzun; BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 – GPS-Observation; BGH, Urt. v. 24. 1. 2001 – 3 StR 324/00, NJW 2001, 1658. 8 BeckOK StPO / Hegmann, § 100h Rn. 5, § 100i Rn. 5 f.; BeckOK StPO / Bär, § 100k Rn. 23 ff.; zum Abruf von (Echtzeit-)Positionsdaten bei einem Fahrzeughersteller nach § 100k StPO siehe

§ 1 Problemstellung und Gang der Untersuchung

29

grund der in der Praxis steigenden Bedeutung zunehmend der Frage nach der Zulässigkeit von arbeitgeberseitigen Ortungsmaßnahmen.9 Dabei werden einzelne Fallkonstellationen unter einzelnen Aspekten beleuchtet. Ziel dieser Arbeit ist es, ein umfassendes Bild zu schaffen. Technische, grundrechtliche und datenschutzrechtliche Grundlagen sollen so aufbereitet werden, dass sich aus ihnen ein für Arbeitgeber und Beschäftigte handhabbarer Zulässigkeitsmaßstab für eine Ortung von Beschäftigten ergibt.

B. Gang der Untersuchung Die Untersuchung steigt vom Abstrakten ins Konkrete auf. Dabei liegt der Fokus auf dem Verhältnis zwischen Arbeitgeber und betroffenem Beschäftigten. Auf das Verhältnis zwischen Arbeitgeber und LBS-Anbieter wird nur punktuell eingegangen. Die Ausführungen gelten sowohl für private als auch für öffent­ liche Arbeitgeber, wobei erstere im Mittelpunkt stehen. Als Grundstein für diese Untersuchung soll zunächst geklärt werden, was unter einer Ortung zu verstehen ist – ohne Sachverhalt keine Rechtsanwendung. Welche Technik und welche Prozesse stehen dahinter? Welche Modalitäten kommen in Betracht? Was sind die von Arbeitgebern typischerweise verfolgten Ortungszwecke? I. Grundrechtlicher Rechtsrahmen Datenschutz ist Grundrechtsschutz, sofern personenbezogene Daten verarbeitet werden.10 Daher kann ein datenschutzrechtlicher Maßstab nur gebildet werden, wenn die grundrechtlichen Voraussetzungen klar sind. Dazu wird zunächst abstrakt auf den grundrechtlichen Datenschutz auf Europäischer Ebene – also in der Europäischen Menschenrechtskonvention (EMKR)11 und der Charta der Grundrechte der Europäischen Union (GrCh)12 – sowie auf nationaler Ebene – im GrundOLG Frankfurt am Main, Beschl. v. 20. 7. 2021 – 3 Ws 369/21, MMR 2022, 141 Rn. 34 ff.; s. dazu Paal / Götz, RDV 2022, 247 (249). 9 Arnold, Mobile Arbeitnehmer, S. 137–160; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 808– 839; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 1–41; Gola, ZD 2012, 308–311; ­Kerscher, SPA 2017, 101–104; Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn.  52; Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn.  129 ff.; Besgen / Prinz / Stümper, Arbeiten 4.0, § 5 Rn. 33–42; Thüsing / T hüsing / Forst, Beschäftigtendatenschutz, § 12 Rn. 1–43. 10 EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 44–47 – Schecke u. Eifert; BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (421 f.) – Volkszählung; Kühling / Buchner / Kühling / Raab, DSGVO / BDSG, Einf. A. Rn. 1. 11 Konvention zum Schutze der Menschenrechte und Grundfreiheiten v. 4. 11. 1950 (Konvention Nr. 005 des Europarats); in der Bundesrepublik Deutschland ratifiziert am 5. 12. 1952 (BGBl. 1952 II, 685), in Kraft getreten am 3. 9. 1953. 12 Charta der Grundrechte der Europäischen Union, ABl. EU 2000 Nr. C-364/1 v. 18. 12. 2000, in Kraft getreten am 1. 12. 2009 (BGBl. 2009 II, 1223).

30

1. Kap.: Einführung

gesetz (GG)13 – und dann konkret auf den Grundrechtsschutz bei der Ortung von Beschäftigten eingegangen. Welche Grundrechtsordnung ist maßgeblich? Welche Grundrechte werden durch Ortungsmaßnahmen betroffen? Auf welche Grundrechte können sich Arbeitgeber berufen? II. Einfachgesetzlicher Rechtsrahmen Die einfachgesetzlichen Datenschutzgesetze sollen das Spannungsverhältnis zwischen den (grundrechtlich geschützten) Interessen der datenverarbeitenden Stelle und dem Grundrecht des Betroffenen auf Schutz seiner personenbezogenen Daten auflösen. Auch an dieser Stelle wird zunächst abstrakt der allgemeine Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen herausgearbeitet und anschließend konkret untersucht, wie dieser Maßstab auf Ortungsmaßnahmen anzuwenden und gegebenenfalls zu modifizieren ist. Wie fügen sich Arbeitgeber und LBS-Anbieter ist das datenschutzrechtliche Konzept der Rollenverteilung ein? Ist die DSGVO auf die im Rahmen der Ortung erfolgende Datenverarbeitung anwendbar? Welche Erlaubnistatbestände kommen in Betracht und wie müssen diese ausgestaltet sein? Können Arbeitgeber durch die Einbeziehung des Betriebs- oder Personalrats und den Abschluss einer Kollektivvereinbarung vom Datenschutzniveau der DSGVO abweichen? Darüber hinaus wird auf die Vorschriften zum Datenschutz in der elektronischen Kommunikation und ihr Verhältnis zu den allgemeinen Datenschutzvorschriften eingegangen. Welche zusätzlichen Voraussetzungen stellen diese Vorschriften auf? Der Vollständigkeit halber wird aufgezeigt, unter welchen Voraussetzungen Arbeitgeber erhobene Beschäftigten-Positionsdaten zu einem anderen als dem Erhebungszweck weiterverarbeiten dürfen und welche – neben den datenschutzrechtlichen Voraussetzungen stehende – zusätzlichen Vorgaben sich aus dem Betriebsverfassungs- oder Personalvertretungsgesetz ergeben. III. Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung Die Untersuchung zeigt, dass die Verhältnismäßigkeit das zentrale Element der Zulässigkeitsprüfung ist, sofern keine Einwilligung des betroffenen Beschäftigten vorliegt. Daher mündet die Untersuchung in einer Systematisierung der Verhältnismäßigkeitsprüfung als Knotenpunkt. Dabei werden typischerweise mit Ortungsmaßnahmen einhergehende Risiken und Kriterien zur Bestimmung von Eintrittswahrscheinlichkeit und Schwere der drohenden Beeinträchtigungen dargestellt. 13

Grundgesetz für die Bundesrepublik Deutschland v. 23. 5. 1949 (BGBl. 1949 I, 1), zuletzt geändert durch Art. 1 und 2 S. 2 des Gesetzes vom 29. 9. 2020 (BGBl. 2020 I, 2048).

§ 2 Grundlagen und Erscheinungsformen 

31

Ein Leitfaden soll unter anderem darüber Aufschluss geben, ob eine verdeckte, lückenlose oder außerhalb der Arbeitszeit erfolgende Erhebung von Positionsdaten zulässig sein kann und wie lange Arbeitgeber Positionsdaten speichern dürfen. Es wird beantwortet, wo die Grenze zwischen einem auf Zulässigkeitsebene „akzeptierten“ „Risiko“ und einem „hohen Risiko“ zu ziehen ist, das nur durch ein isoliert betrachtet, gewichtiges Arbeitgeberinteresse gerechtfertigt werden kann. Dabei schließt sich der Kreis, indem die am Anfang der Untersuchung herausgearbeiteten grundrechtlichen Wertungen zum Tragen kommen. In einer anschließenden Fallanalyse werden die gefundenen Ergebnisse angewendet. Eine Zusammenfassung in zehn Thesen bildet den Abschluss der Untersuchung.

§ 2 Grundlagen und Erscheinungsformen A. Begriffsbestimmung I. Definition des Ortungsbegriffs Der Begriff der Ortung markiert den Untersuchungsgegenstand und muss daher klar umgrenzt sein. Der Ortungsbegriff wird oftmals mit der Feststellung des Aufenthalts einer von der ortenden Stelle zu unterscheidenden Person gleichgesetzt.14 Auch der Duden definiert das Verb „orten“ als ein Verfahren, um „die Position, Lage von etwas [zu] ermitteln, bestimmen“.15 Eng verstanden ist eine Ortung damit die zielgerichtete Verarbeitung von Positionsdaten zur Bestimmung der Position einer von der ortenden Stelle zu unterscheidenden Person oder einer von der ortenden Stelle nicht aktiv zur Positionsbestimmung verwendeten Sache zu einem bestimmten Zweck (Ortungszweck). Weit verstanden fassen Gerichte und Autoren auch die nach erfolgter Positionsbestimmung stattfindende Verarbeitung der Positionsdaten unter den Begriff der Ortung.16 Dieses weite Begriffsverständnis wird der folgenden Untersuchung zugrunde gelegt, da es den gesamten Umgang mit Positionsdaten umfasst und dadurch das zusammengehörige Geschehen der Positionsbestimmung und der Nutzung der erhobenen Positionsdaten abgebildet werden kann. Auf die vier wesentlichen Elemente des Ortungsbegriffs, namentlich die Positionsdaten, die Verarbeitung, die Zielgerichtetheit der Verarbeitung 14

BGH, Beschl. v. 15. 5. 2013  – XII ZB 107/08, NJW 2013, 2668 Rn. 13; BGH, Urt. v. 4. 6. 2013  – 1 StR 32/13, NJW 2013, 2530 Rn. 38; ArbG Heilbronn, Urt. v. 30. 1. 2019  – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 53; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 808; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 1. 15 Duden Online, Stichwort „orten“, abrufbar unter www.duden.de/rechtschreibung/orten (Abruf v. 26. 2. 2022). 16 BGH, Beschl. v. 15. 5. 2013 – XII ZB 107/08, NJW 2013, 2668 Rn. 25; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 25 „Erhebung […][,] Speicherung […] sowie deren Auswertung“; Tschöpe / Grimm, ArbR HdB, 6. F. Rn. 297 „erheben, verarbeiten und nutzen“; Sieling / Philipp, ITRB 2013, 255 (259).

32

1. Kap.: Einführung

und die Abgrenzung zur bloßen Positionsbestimmung, wird sogleich im Einzelnen eingegangen. Ein Synonym für den Begriff der Ortung ist der Begriff der Ortungsmaßnahme.17 Gelegentlich wird auch der englische Begriff des „Trackings“ verwendet.18 In Abgrenzung zum sog. „Online-Tracking“, bei dem das Verhalten von Webseitenbesuchern zu Analyse-Zwecken überwacht wird, wird die räumliche Überwachung von Endeinrichtungen i. S. e. Ortung als „Offline-Tracking“ bezeichnet.19 1. Positionsdaten Positionsdaten sind Daten, die Informationen zur geografischen Position einer Person oder einer Sache enthalten.20 Erfasst werden sowohl Daten, die sehr genaue Informationen zur geografischen Position enthalten (z. B. „Der Pkw mit dem Kennzeichen XY befindet sich an einem Ort mit den Koordinaten N 52° 31’7.367/ O 13° 24’5.511“) als auch Daten, die nur Aufschluss über die ungefähre Position einer Person oder Sache geben (z. B. „Beschäftigter B befindet sich in der Nähe des Alexanderplatzes in Berlin“). Ausreichend ist der Bezug zur geografischen Position.21 Die beiden Beispiele zeigen, dass Positionsdaten in der Regel auch eine zeitliche Komponente aufweisen, die sehr genau (z. B. um 14:33 Uhr) oder sehr vage (z. B. zu einem nicht näher bestimmten Zeitpunkt in der Vergangenheit) sein kann. Bei der Ortung von Beschäftigten werden Positionsdaten regelmäßig in Echtzeit erhoben und übermittelt22, da der Ortungszweck nur oder zumindest am effektivsten auf diese Weise erreicht werden kann. Ähnliche Begriffe sind diejenigen der Geodaten, Standortdaten und Bewegungsdaten. Der Begriff der Geodaten wird insbesondere im Bereich der Kartografie und drauf aufbauender Online-Dienste wie z. B. Google Street View23 verwendet und meint raumbezogene Informationen.24 Gemäß Art. 3 Nr. 2 der Richtlinie 2007/ 2/EG25 zur Schaffung einer Geodateninfrastruktur in der Europäischen Gemein 17

Siehe Kerscher, SPA 2017, 101 (103); Grimm, jM 2016, 17 (24). Friedewald et al., White Paper Tracking, S. 7; Gola / Heckmann / Gola / Pötters, DSGVO /  BDSG, § 26 BDSG Rn. 160. 19 Siehe dazu Auer-Reindorff / Conrad / Conrad / Hausen, HdB DatenschutzR, § 36 Rn. 34 f.; Friedewald et al., White Paper Tracking, S. 22–28. 20 Vgl. BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 38; Altenburg / Rieks, ZD 2020, 237–242; Arnold, Mobile Arbeitnehmer, S. 138; Gola, ZD 2012, 308 (309). 21 Vgl. Bräutigam / Rücker / Rücker / L oeck, E-Commerce, 10. E. Rn. 5. 22 Vgl. LfD BW, 30. TB 2010/2011, S. 148; Altenburg / Rieks, ZD 2020, 137; Arnold, Mobile Arbeitnehmer, S. 139; Meyer, K&R 2009, 14 (19). 23 www.google.com/intl/de/streetview/ (Abruf v. 12. 4. 2021). 24 Vgl. Feldmann, in: Leible / Kutschke, Schutz der Persönlichkeit, S. 71 (72 f.); Forgó / Krügel, MMR 2010, 17 (19); Karg, DuD 2010, 824 f.; im Kontext von Ortungsmaßnahmen Paal / Götz, RDV 2022, 247. 25 Richtlinie 2007/2/EG zur Schaffung einer Geodateninfrastruktur in der Europäischen Gemeinschaft (INSPIRE) v. 14. 3. 2007, ABl. L 108, 1 v. 25. 4. 2007. 18

§ 2 Grundlagen und Erscheinungsformen 

33

schaft sind Geodaten alle Daten mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.26 Ein Geodatum ist z. B. folgende Information: „Neben dem Flurstück 58 Gemarkung XY steht ein Strommast“.27 Geben Daten eine räumliche Infrastruktur wieder, wird meist der Begriff der Geodaten verwendet.28 Steht die Lokalisierung eines konkreten Zielobjekts (Person oder Sache) im Mittelpunkt, werden die Informationen über dessen geografischen Standort in der Regel als Positionsdaten bezeichnet.29 Der Begriff der Standortdaten stammt aus dem Telekommunikationsrecht und erfasst nach § 3 Nr. 19 TKG Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben. Genau genommen sind Standortdaten damit ein Unterfall von Positionsdaten.30 Gleichwohl wird der Begriff der Standortdaten außerhalb des TKG synonym zum Begriff der Positionsdaten verwendet.31 Der Begriff der Bewegungsdaten wird in Literatur und Rechtsprechung ebenfalls synonym zum Begriff der Positionsdaten genutzt.32 Gegen die Verwendung des Begriffs im Zusammenhang mit einer Ortung sprechen allerdings zwei gewichtige Argumente. Zum einen setzt ein Bewegungsdatum rein begrifflich mehrere Positionsdaten voraus, da sich erst aus mehreren Positionsdaten eine Information über die Bewegung einer Person ergibt. Zum anderen ist der Begriff der Bewegungsdaten ein von geografischen Positionen unabhängiger feststehender Oberbegriff für eine Art von Daten. Im Gegensatz zu sog. Stammdaten, die als Grunddaten nicht einer ständigen Veränderung unterliegen33 (z. B. Geschlecht und Alter), entstehen die sog. Bewegungsdaten im Verlauf von Verarbeitungsprozessen und werden fortlaufend hinzugefügt, ergänzt und modifiziert (z. B. Maschinendaten)34. Vor diesem Hintergrund sind die durch Ortungssysteme erhobenen Positionsdaten zwar immer Bewegungsdaten, aber nicht alle Bewegungsdaten sind Positionsdaten. Der Vergleich zeigt, dass der Begriff der Positionsdaten den Vorteil hat, präziser, unmissverständlicher und von einzelnen Gesetzen unabhängig zu sein. 26

Vgl. die Umsetzung der Richtlinie durch den deutschen Gesetzgeber in § 3 Abs. 1 GeoZG. Beispiel angelehnt an Krügel, ZD 2017, 455 (457). 28 So z. B. bei Satellitenbildern, vgl. Martini /  Damm, NJW 2014, 130 ff. 29 Siehe BGH, Urt. v. 4. 6. 2013  – 1 StR 32/13, NJW 2013, 2530 Rn. 38; anders wohl Forgó / Krügel, MMR 2010, 17. 30 So auch Johannes / Roßnagel, Grundrechte in der Digitalen Welt, S. 101 f.; vgl. Specht /  Mantz / Kiparski, HdB Datenschutzrecht, § 18 Rn. 37. 31 Art.-29-DSG (s. Kap. 3 Fn. 557), WP 185; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 826; Göpfert / Papst, DB 2016, 1015 (1017 ff.); Maier / Ossoinig, VuR 2015, 330 ff.; Venzke-Caprarese, DuD 2014, 839 (840 ff.). 32 BGH, Urt. v. 4. 6. 2013  – 1 StR 32/13, NJW 2013, 2530 Rn. 35; Kramer / Bongers, ITArbeitsrecht, B. Rn. 828; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 3. 33 Zu Stammdaten im Beschäftigungsverhältnis siehe SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 115 f. 34 Zur Abgrenzung s. Auer-Reinsdorff / Sarre / Pruß, HdB DatenschutzR, § 2 Rn. 36 f. 27

34

1. Kap.: Einführung

2. Gezielte Verarbeitung von Positionsdaten a) Ortung als Oberbegriff für alle Phasen der Datenverarbeitung Der dieser Untersuchung zugrunde liegende weite Begriff der Ortung35 bezieht sich nicht nur auf die Erhebung von Positionsdaten, sondern umfasst als Oberbegriff alle Phasen der Datenverarbeitung36, insbesondere auch deren Speicherung, Verwendung und Übermittlung. Erfasst wird damit jeder Vorgang, der irgendwie im Zusammenhang mit Positionsdaten steht.37 Das gilt unabhängig davon, ob die Datenverarbeitung durch dieselbe datenverarbeitende Stelle oder durch verschiedene an der Ortung beteiligte Akteure durchgeführt wird. Irrelevant ist, ob überhaupt eine Person von den Positionsdaten Kenntnis nimmt.38 Erfasst sind auch derart vollautomatisierte Prozesse, bei denen ein Computersystem ohne menschliches Zutun die Positionsdaten verwendet, indem es sie auswertet und einen neu eingegangen Auftrag an den Beschäftigten vergibt, dessen Positionsdaten dem Auftragsort am nächsten sind.39 Hingegen ist die bloß zufällige Kenntnis einer Position mangels aktiver Handlung keine Datenverarbeitung.40 Weiß der Arbeitgeber, dass der Beschäftigte B sich in dessen Büro befindet, weil er ihn kurz zuvor dort gesehen hat, liegt keine Datenverarbeitung vor. Erst wenn der Arbeitgeber aktiv mit der Information umgeht, indem er sie sich z. B. gezielt beschafft, notiert oder an jemanden weitergibt, verarbeitet er Daten. Der Begriff der Ortung erfasst sowohl die Verarbeitung eines einzelnen Positionsdatums, als auch die Verarbeitung einer Vielzahl von Positionsdaten über einen längeren Zeitraum.41 Eine Ortung liegt also zum einen in dem Beispiel vor, in dem einmalig die Information, dass Beschäftigter B sich in Werkhalle 3 befindet, erhoben, gespeichert und zur Koordination der Belegschaft verwendet wird. Zum anderen liegt eine Ortung vor, wenn über ein Ortungssystem42 stets im Sekundentakt Positionsdaten des Beschäftigten B erhoben, gespeichert und zur Koordination der Belegschaft verwendet werden. Wird auf dieselbe Art und Weise (z. B. durch den Einsatz von GPS) die Position von einer Vielzahl von Personen bestimmt, liegt

35

Siehe oben § 2 A. I. Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 25; Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 DSGVO Rn. 20–37; werden Positionsdaten personenbezogen verarbeitet kann für den Begriff der Verarbeitung auf die Definition aus Art. 4 Nr. 2 DSGVO zurückgegriffen werden. 37 Vgl. Art. 4 Nr. 2 DSGVO; SHS / Roßnagel, Datenschutzrecht, Art. 4 Nr. 2 DSGVO Rn. 11. 38 Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 DSGVO Rn. 21. 39 Vgl. Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 64; einschränk. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 DSGVO Rn. 14. 40 Vgl. Paal / Pauly / Ernst, DSGVO / BDSG, Art.  4 Rn.  23; Kühling / Buchner / Herbst, DSGVO /  BDSG, Art. 4 Nr. 2 DSGVO Rn. 21. 41 Vgl. Friedewald et al., White Paper Tracking, S. 7; Gola, NZA 2007, 1139. 42 Ausführl. zur Funktionsweise unten § 2 B. I. 36

§ 2 Grundlagen und Erscheinungsformen 

35

zwar eine Vielzahl von Verarbeitungsvorgängen vor.43 Da diese aber gleichförmig sind, kann von einer Ortung oder einer Ortungsmaßnahme gesprochen werden.44 Die Verarbeitungsvorgänge können zusammengefasst und gemeinsam bewertet werden, wobei im Hinblick auf die Zulässigkeit zwischen den einzelnen Verarbeitungsphasen (Erhebung, Speicherung etc.) zu differenzieren ist.45 Eine Ortung von Beschäftigten liegt begrifflich auch in solchen Fällen vor, in denen es dem Arbeitgeber in erster Linie nicht auf die Positionsbestimmung des Beschäftigten, sondern auf die Positionsbestimmung des Dienstfahrzeugs, Mobiltelefons oder einer anderen mitzuführenden Sache ankommt (z. B. zur Einsatzkoordinierung).46 Weiß der Arbeitgeber, dass sich der Beschäftigte grundsätzlich in der Nähe des georteten Gegenstands aufhält, bilden georteter Gegenstand und Beschäftigter eine Einheit, dessen Position der Arbeitgeber bestimmen möchte. Daher kann eine Warenortung (z. B. Schutz von Betriebsmitteln) zugleich eine mittelbare47 Ortung von Beschäftigten sein.48 b) Erhebung von Positionsdaten als Kernelement der Ortung Kernelement der Ortung ist die Erhebung von Positionsdaten, wodurch die ortende Stelle in die Lage versetzt wird, die ermittelte Position zu einem bestimmten Zweck (Ortungszweck) nutzen zu können.49 Für die Erhebung von Positionsdaten kommen zwei Varianten in Betracht. Zum einen können Positionsdaten originär durch den Einsatz von Ortungssystemen (z. B. GPS) oder durch eine manuelle Abfrage beim Betroffenen erhoben werden.50 Zum anderen können Positionsdaten aus bereits vorhandenen sonstigen Daten gewonnen werden, die selbst keine Positionsdaten sind, deren Auswertung aber Aufschluss über die Position eines Objekts geben und damit die Erhebung von Positionsdaten ermöglichen kann. Ein Beispiel sind mit einem RFID-Chip51 versehene Hausausweise, die den Zutritt

43

Vgl. SHS / Boehm, Datenschutzrecht, Art. 83 DSGVO Rn. 36. I. E. auch LAG Baden-Württemberg, Urt. v. 25. 10. 2002  – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 25 ff. 45 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 2.); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)); VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 48. 46 Vgl. BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 39; ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. a)); Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 829; Kerscher, SPA 2017, 101 (103). 47 Zum Unterschied zwischen unmittelbarer und mittelbarer Ortung unten §2 A. II. 2. 48 So auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 829; Kerscher, SPA 2017, 101 (103). 49 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 808; Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 52. 50 Dazu unten § 2 A. II. 1.  51 Zur RFID-Technologie siehe unten § 2 B. I. 1. b) cc). 44

36

1. Kap.: Einführung

Unbefugter zu den Räumlichkeiten eines Unternehmens verhindern sollen.52 Wird gespeichert, welcher Beschäftigter wann durch welche Zugangstür gegangen ist53, liegt eine Ortung vor, wenn diese Daten zweckwidrig zur Positionsbestimmung verarbeitet werden. Vergleichbare Möglichkeiten bietet auch die sog. Smart Office Technik.54 Sobald der im Büro installierte Bluetooth-Sender das Mobiltelefon eines bestimmten Beschäftigten erkennt, schaltet die verbundene Software das Licht und bei Bedarf auch die Heizung an. In erster Linie dient das System der Energieersparnis und dem Komfort am Arbeitsplatz. Speichert das System aber, wann Licht und Heizung an- und abgeschaltet wurden, ermöglicht ein Zugriff des Arbeitgebers Rückschlüsse darüber, wann sich der Beschäftigte in seinem Büro aufgehalten hat. Nutzt der Arbeitgeber diesen Zugriff zur Positionsbestimmung, liegt eine Ortung vor. 3. Abgrenzung zur reinen Positionsbestimmung Im allgemeinen Sprachgebrauch wird nicht klar zwischen Positionsbestimmung und Ortung differenziert. Eine Ortung baut auf einer Positionsbestimmung auf, geht aber über diese hinaus.55 Bei einer Positionsbestimmung ermittelt das zur Positionsbestimmung eingesetzte System die Position eines Objekts, ohne diese weiterzugeben.56 Lässt sich z. B. eine Person über die GPS-Funktion ihres Mobiltelefons die Position des eigenen Mobiltelefons auf dem Mobiltelefon anzeigen, liegt darin lediglich eine Positionsbestimmung. Zur Ortung wird die Positions­ bestimmung erst, wenn die ermittelte Position über einen Rückkanal weitergegeben wird, wenn also die vom System ermittelte Position quasi „abgegriffen“ wird.57 Ein solcher Rückkanal liegt z. B. vor, wenn eine App auf dem Mobiltelefon die über GPS ermittelte Position über Mobilfunk an einen Dritten übermittelt.58 Will ein Arbeitgeber die Position seiner Beschäftigten nachverfolgen, muss das eingesetzt System einen solchen Rückkanal haben, sodass stets eine Ortung vorliegt.59

52

Zur Nutzung von RFID-Systemen zur Prüfung der Zugangsberechtigung siehe Gola, NZA 2007, 1139 (1140); Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1234. 53 Ob eine Speicherung der Daten mit Personenbezug zulässig ist, ist fraglich, da ein anonymer Datenabgleich ein milderes Mittel zur Zweckerreichung ist. 54 Ausführl. zum Thema Datenschutz im Smart Office Braun, ZD 2018, 71. 55 Sieling / Philipp, ITRB 2013, 255 (256); vgl. Dodel / Häupler, Satellitennavigation, S. 276. 56 Vgl. Sieling / Philipp, ITRB 2013, 255 (255 f.). 57 Sieling / Philipp, ITRB 2013, 255 (256); vgl. Schnabel, Profilbasierte LBS, S. 246; Gola /  Pötters / Wronka, AN-Datenschutz, Rn. 1262; Maier / Ossoinig, VuR 2015, 330 ff.; wird die Position nur auf der Endeinrichtung angezeigt (§ 98 Abs. 1 S. 3 TKG), dessen Position ermittelt wurde, wird im Telekommunikationsrecht von einer „Eigenortung“ gesprochen, siehe Scheurle / Mayen / L öwnau / Müller, TKG, § 98 Rn. 12 f. 58 Sieling / Philipp, ITRB 2013, 255 (256). 59 Vgl. Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1262.

§ 2 Grundlagen und Erscheinungsformen 

37

II. Modalitäten der Ortung 1. Manuelle und automatisierte Ortung Abhängig von den Modalitäten der Ortung kann zwischen einer manuellen und einer automatisierten Ortung unterschieden werden.60 Die Ortung erfolgt automatisiert, wenn zur Erreichung des Ortungszwecks ein (technisches) Ortungssystem eingesetzt wird. In diesem Fall kann die Ortung vollautomatisiert, also ohne menschliche Zwischenschritte, erfolgen oder auch nur teilweise automatisiert, wenn das Ortungssystem z. B. so ausgestaltet ist, dass Positionsdaten nur anlassbezogen bei Aktivierung durch eine Person erhoben werden61 oder die Verwendung durch eine Person erfolgt. Eine manuelle Ortung liegt hingegen vor, wenn kein Ortungssystem62 genutzt wird. Beispiele sind eine Ortung durch Observation (z. B. durch einen Privatdetektiv), eine Positionsabfrage durch den Arbeitgeber (z. B. per Telefon, E-Mail etc.)63 oder eine Auswertung von mittels RFID-Chipkarte erhobenen Daten. Der Begriff manuell ist in diesem Zusammenhang nicht so zu verstehen, dass die Ortung ohne den Einsatz jeglicher Technik erfolgt. Ausschlaggebend ist allein, dass kein Ortungssystem eingesetzt wird. Da in der Praxis die Ortung von Beschäftigten in der Regel durch den Einsatz eines Ortungssystems erfolgt64, stehen solche automatisierten Ortungsmaßnahmen im Fokus dieser Untersuchung. Das gilt insbesondere vor dem Hintergrund, dass beim Einsatz von Ortungssystemen, die grundsätzlich systematischer, umfassender und permanenter Positionsdaten verarbeiten65, eine intensivere Grundrechtsbeeinträchtigung droht66. 2. Unmittelbare und mittelbare Ortung Die Ortung ist unmittelbar, wenn unmittelbar Positionsdaten des Zielobjekts erhoben werden. Ist z. B. ein transportierter Tresor das Zielobjekt und werden GPSPositionsdaten des Tresors verarbeitet, liegt eine unmittelbare Ortung vor. Ist in diesem Beispiel der GPS-Empfänger hingegen nicht am Tresor, sondern am Trans 60 Zum Unterschied zwischen automatisierter und manueller Datenverarbeitung siehe Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 DSGVO Rn. 16–19. 61 Vgl. Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1273. 62 Ausführl. zur Funktionsweise von Ortungssystemen unten § 2 B. I. 63 Vgl. Däubler, Gläserne Belegschaften, Rn. 322. 64 Vgl. WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 1–9; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 809–813. 65 Vgl. BVerfG, Urt. v. 11. 3. 2008  – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 64 – GPS-Observation; BVerfG, Beschl. v. 18. 12. 2018 – 1 BvR142/15, NJW 2019, 827 Rn. 37 – Kennzeichenerfassung II; SHS / Simitis / Hornung / Spiecker, Datenschutzrecht, Einl. Rn. 10 ff. 66 Dazu ausführl. unten § 7 B. I.

38

1. Kap.: Einführung

porter befestigt, werden Positionsdaten des Transporters erhoben, die nur mittelbar Aufschluss über die Position des Tresors geben. Der Tresor wird mittelbar geortet. Die Ortung von Beschäftigten ist in der Regel eine mittelbare Ortung, da der Beschäftigte die zur Ortung verwendete Technik – abgesehen von sog. Wearables67 (Smart-ID-Batches, Smart-Watches, GPS-Empfänger im Schutzanzug etc.) – regelmäßig nicht fest installiert am Körper trägt.68 Unmittelbar geortet wird das Dienstfahrzeug, die transportierte Ware oder die dem Beschäftigten zugeordnete dienstliche Endeinrichtung, wie das Mobiltelefon oder Tablet. Die erhobenen Positionsdaten geben damit zwar nicht unmittelbar Aufschluss über den Aufenthaltsort des Beschäftigten. Ist aber mit hinreichender Wahrscheinlichkeit davon auszugehen, dass der Beschäftigte sich in nächster Nähe zum Fahrzeug aufhält oder sein dienstliches Mobiltelefon stets bei sich führt, geben die Positionsdaten dieser Objekte mittelbar Aufschluss über den Aufenthaltsort des Beschäftigten.69 3. Personenbezogene und nicht personenbezogene Ortung Eng mit der (Un-)Mittelbarkeit der Ortung verknüpft ist der Personenbezug der Ortung. Geben die Positionsdaten Aufschluss über den Aufenthaltsort einer Person? Die Ortung ist personenbezogen, wenn die datenverarbeitende Stelle die Positionsdaten mit verhältnismäßigem Aufwand einer Person zuordnen kann.70 Ist diese Voraussetzungen nicht erfüllt, erfolgt die Ortung ohne Personenbezug.

B. Einsatz von Ortungssystemen in der Praxis I. Funktionsweise von Ortungssystemen Ortungssysteme sind IT-Systeme, die zumindest teilweise automatisiert die Ortung eines Zielobjekts ermöglichen. Ein Ortungssystem setzt sich aus zwei Funktionsbereichen zusammen: der Positionsbestimmung und dem Abruf der Position über eine Software. Dabei kann die Positionsbestimmung mithilfe unterschied­ licher Technologien erfolgen, je nachdem, ob die Position im Innen- oder Außenbereich bestimmt werden soll.

67

Ausführl. zu Wearables und Datenschutz Graf / Kemper, PinG 2021, 131 ff.; Putschli, DuD 2017, 721 ff.; Roßnagel / Jandt / Skistims / Zirfas, Wearable Computing; Weichert, NZA 2017, 565 ff. 68 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 1.); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1.a)). 69 So auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 829; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 5. 70 Ausführl. dazu unten § 6 A. I. 1. a).

§ 2 Grundlagen und Erscheinungsformen 

39

1. Positionsbestimmung Die Technologien zur Positionsbestimmung entwickeln sich kontinuierlich fort. Zum einen werden neue Technologien auf den Markt gebracht71 und zum anderen bereits bestehende Technologien ergänzt und verbessert72. Darüber hinaus ist zwischen Technologien zu unterscheiden, die eine Positionsbestimmung bezwecken, und solchen, die als Nebeneffekt eine Positionsbestimmung ermöglichen können. Letzteres ist z. B. beim Einsatz von Videotechnik73 der Fall.74 Im Folgenden werden nur die zur gezielten Positionsbestimmung etablierten und insbesondere zur Ortung von Beschäftigten meist genutzten Technologien im Überblick vorgestellt. a) Ortungssysteme zur Ortung im Außenbereich aa) Positionsbestimmung mittels Navigationssatelliten Zur Ortung im Außenbereich eingesetzte Ortungssysteme basieren mehrheitlich auf einer Positionsbestimmung mittels Navigationssatelliten.75 Aktuell gibt es vier verschiedene Navigationssatellitensysteme, die global verfügbar sind: Das amerikanische GPS (offiziell NAVSTAR-GPS), das russische GLONASS, das chinesische Beidou und das europäische Galileo.76 Da GPS (Global Positioning System) das bekannteste und meistgenutzte Navigationssatellitensystem ist77, steht dieses im Folgenden im Fokus. 71 Siehe z. B. das Visual Positioning System von Google, abrufbar unter ai.googleblog. com/2019/02/using-global-localization-to-improve.html (Abruf v. 26. 2. 2022). 72 Siehe z. B. die A-GPS-Technologie, die eine Übertragung der Positionsdaten der Satelliten per Mobilfunk ermöglicht, siehe Christmann / Becker / Hagenhoff, Informatik Spektrum 2012, 24 (27). 73 Der Einsatz einer Drohne zur Ortung von Beschäftigten ist zwar denkbar, gegenwärtig aber technisch sowie luftverkehrsrechtlich schwieriger umsetzbar als die gängigen unter § 2 B. I. vorgestellten Ortungssysteme, vgl. Däubler, Gläserne Belegschaften, Rn. 324e; Kort, RdA 2018, 24 (28). 74 Obwohl mit dem Einsatz eines digitalen Tachographen, der kein sog. Smart Tachograph ist, in der Regel keine Positionsbestimmung bezweckt wird, wird ein solcher oft als Ortungssystem aufgefasst, vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 813; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 9; Kerscher, SPA 2017, 101 f.; theoretisch kann die Position von Beschäftigten auch über die genutzte IP-Adresse bestimmt werden, siehe Bergmann /  Möhrle / Herb, Datenschutzrecht, § 26 BDSG Rn. 166. 75 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (I. 2. b) (2)); ArbG Kaiserslautern, Beschl. v. 27. 8. 2008 – 1 BvGa 5/08, BeckRS 2010, 73916 (I.); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013 73007 (1. a)); ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 3 f.; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 2; siehe auch Thüsing / Forst, Beschäftigtendatenschutz, § 12 Rn. 3. 76 Ausführl. zu den einzelnen Systemen Dodel / Häupler, Satellitennavigation, Kap. 7–11. 77 König, Beschäftigtendatenschutz, § 5 Rn. 81.

40

1. Kap.: Einführung

Ein GPS-System besteht aus eine Vielzahl von Satelliten, die die Erde umkreisen und dabei kontinuierlich elektromagnetische Signale aussenden.78 Die Signale enthalten jeweils die Position des Satelliten und den Sendezeitpunkt des Signals.79 Empfängt ein GPS-Sender auf der Erde die Signale von mindestens drei verschiedenen Satelliten, kann er aus der Zeitdifferenz zwischen Sendung und Empfang der Signale seine Entfernung zu den Satelliten errechnen und mittels Triangulation schließlich seine Position bis auf wenige Meter genau bestimmen.80 Dieses Prinzip der Laufzeitmessung basiert auf der Grundlage, dass sich elektromagnetische Signale mit Lichtgeschwindigkeit ausbreiten und diese bekannt ist.81 bb) Positionsbestimmung mittels Mobilfunkzellenidentifikation Die Position eines Zielobjekts kann im Außenbereich zudem mittels Mobilfunkzellenidentifikation bestimmt werden. Das Mobilfunknetz besteht aus vernetzten Funkzellen, die jeweils einen Radius von wenigen Hundert Metern bis zu mehreren Kilometern haben.82 Jede Funkzelle ist ein elektromagnetisches Feld, das durch eine Mobilfunkbasisstation erzeugt wird.83 Selbst im Stand-By-Modus senden Mobiltelefone kontinuierlich Signale zu den sie umgebenden Basisstationen und melden sich damit über die nächstgelegene Funkzelle beim Mobilfunkanbieter an.84 Dadurch kann der Mobilfunkanbieter das Mobiltelefon einer Funkzelle zuordnen und aufgrund der Kenntnis der Positionen der Funkzellen auch die Position des Mobiltelefons ermitteln.85 Über die jeder SIM-Karte zugeordnete International Subscriber Identity (IMSI)86 kann er das Mobiltelefon zudem seinem Vertragspartner (nicht aber dem Nutzer) zuordnen.87 Eine Positionsbestimmung mittels Mobilfunkzellenidentifikation ist auch ohne Beteiligung des Mobilfunkanbieters möglich, aber deutlich komplizierter. Die Schwierigkeit in der Positionsbestimmung ohne Einsatz des Mobilfunkanbieters wurzelt darin, dass diese grundsätzlich nicht veröffentlichen, wo sich Mobilfunk 78

Hahn / Herfert / L ange, Pro Privacy, S.63; Bräutigam / Rücker / Jandt, E-Commerce, 10. B. Rn. 12. 79 Dhein / Grimm, Informatik Spektrum 2017, 245; Göpfert / Pabst, DB 2016, 1015 (1016). 80 Dhein / Grimm, Informatik Spektrum 2017, 245; Göpfert / Pabst, DB 2016, 1015 (1016); Thüsing / Forst, Beschäftigtendatenschutz, § 12 Rn. 4; ausführl. Schüttler, Satellitennavigation, S. 52–80. 81 Dhein / Grimm, Informatik Spektrum 2017, 245; Thüsing / Forst, Beschäftigtendatenschutz, § 12 Rn. 3. 82 Brückner, Das globale Netz, S. 40–42; Bräutigam / Rücker / Jandt, E-Commerce, 10. B. Rn. 9. 83 Brückner, Das globale Netz, S. 40. 84 Brückner, Das globale Netz, S. 42; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 5. 85 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 5; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1250. 86 Ausführl. Sauter, Mobile Kommunikationssysteme, S. 19 ff. 87 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 5.

§ 2 Grundlagen und Erscheinungsformen 

41

stationen befinden. Meldet sich ein Mobiltelefon in einer Funkzelle an, empfängt es zwar deren Kennung (Cell-ID).88 Ist jedoch unbekannt, wo sich Mobilfunkbasisstationen und deren Funkzellen befinden und welche Cell-ID diese haben, ist keine Positionsbestimmung möglich. Eine Lösung bieten sog. Crowd-Sourcing Datenbanken, in denen kontinuierlich Cell-IDs und GPS-Daten als „Datenpaare“ gesammelt und anhand der Verknüpfung einer Vielzahl solcher „Datenpaare“ Mobilfunkzellen kartiert werden.89 Solche Datenbanken sind teilweise öffentlich zugänglich und funktionieren durch die Bereitstellung von Daten durch einzelne Personen, wie z. B. die Open Source Datenbank OpenCell-ID90. Zum Teil erstellen Technologie-Unternehmen auch nicht öffentlich zugängliche Datenbanken, indem sie bei der Bereitstellung von Ortungsdiensten GPS-Daten sowie Mobilfunkdaten wie Cell-IDs sammeln.91 Durch einen Abgleich mit solchen Datenbanken kann auch ohne Beteiligung eines Mobilfunkanbieters die Position eines Zielobjekts mittels Mobilfunkzellenidentifikation bestimmt werden. Der Vorteil einer Positionsbestimmung mittels Mobilfunkzellenidentifikation gegenüber GPS besteht darin, dass bei dichter städtischer Bebauung oft kein GPS-Signal durchgehend zur Verfügung steht92. Der Nachteil besteht darin, dass die Positionsbestimmung ungenauer als GPS ist.93 Die Genauigkeit hängt von der Größe der Funkzelle ab und kann zwischen 100 Metern und mehreren Kilometern schwanken.94 Das ist der Grund, weshalb diese Methode der Positionsbestimmung in der Regel nur in Kombination mit anderen Technologien eingesetzt wird.95 cc) Positionsbestimmung mittels WLAN WLAN ist ein drahtloses lokales Funknetzwerk, das, sofern es einem bestimmten technischen Standard entspricht, als Wi-Fi bezeichnet wird96. Wie bei der Mobilfunkzellenortung kann durch ein Fingerprinting-Verfahren die Position einer WLAN-fähigen Endeinrichtung bestimmt werden, indem die von in der Umgebung

88

Sauter, Mobile Kommunikationssysteme, S. 54; Bräutigam / Rücker / Jandt, E-Commerce, 10. B. Rn. 9. 89 Siehe dazu Dhein / Grimm, Informatik Spektrum 2017, 245 (250 f.). 90 www.opencellid.org/#zoom=16&lat=37.77889&lon=-122.41942 (Abruf v. 26. 2. 2022). 91 Dhein / Grimm, Informatik Spektrum 2017, 245 (251). 92 Dhein / Grimm, Informatik Spektrum 2017, 245 f.; Maier / Ossoinig, VuR 2015, 330 (332). 93 Bräutigam / Rücker / Jandt, E-Commerce, 10 B. Rn. 12. 94 Bräutigam / Rücker / Jandt, E-Commerce, 10. B. Rn. 9, 12; Oberwetter, NZA 2008, 609 (612). 95 Vgl. Art.-29-DSG, WP 185, S. 3; Hahn / Herfert / L ange, Pro Privacy, S. 69; s. der IoT Tracker von Vodafone, abrufbar unter www.vodafone.de/business/featured/technologie/modernestracking-via-gps-und-mobilfunk-so-funktioniert-es/oder die Ortungs-Software der M4Telematics Group unter www.gpsfahrtenbuch.de/App-Handyortung-Android.html (jeweils Abruf v. 26. 2. 2022). 96 Vgl. Jandt / Schnabel, K&R 2008, 723 (727); Sassenberg / Mantz, WLAN und Recht, Rn. 1.

42

1. Kap.: Einführung

befindlichen WLAN-Zugangspunkten ausgesendeten Signale gesammelt werden.97 Dieses System der Positionsbestimmung wird als Wi-Fi Positioning System (WPS) bezeichnet. Solche Systeme werden hauptsächlich zur Positionsbestimmung in Innenräumen genutzt98, gelegentlich aber auch zur Positionsbestimmung im Außenbereich ergänzend zur GPS-Technologie eingesetzt.99 Im Außenbereich funktioniert ein Wi-Fi Positioning System nur, wenn mehrere WLAN-Zugangspunkte in der Nähe sind.100 WLAN-Zugangspunkte sind WLAN-Netze von privaten Haushalten, Unternehmen oder sonstigen Einrichtungen.101 Bewegt sich eine Person mit einer WLAN-fähigen Endeinrichtung im öffentlichen Raum, empfängt die Endeinrichtung die von WLAN-Zugangspunkten kontinuierlich ausgesendeten Signale (Netzwerkname und MAC-Adresse).102 Das gilt unabhängig davon, ob die Endeinrichtung in den WLAN-Netzen angemeldet ist.103 Ist auf der Endeinrichtung eine entsprechende Software installiert, kann diese die eingehenden Signale sammeln und anhand der Signalstärke den ungefähren Abstand der Endeinrichtung auf einer Kreisbahn um den jeweiligen Zugangspunkten berechnen104. Durch den Abgleich mit einer Geodatenbank105 können die Zugangspunkte ihren Koordinaten zugeordnet und mithilfe der Schnittstellen der Kreisbahnen im Wege der Triangulation die Position der Endeinrichtung bestimmt werden.106 Je mehr WLAN-Zugangspunkte in der Umgebung vorhanden sind, desto genauer ist die Positionsbestimmung.107 In Ballungsgebieten kann die Position auf wenige Meter genau berechnet werden.108

97 Christmann / Becker / Hagenhoff, Informatik Spektrum 2012, 24 (27); ausführl. zum Fingerprinting-Verfahren Karg / Kühn, ZD 2014, 285 ff. m. w. N. 98 Sieling / Philipp, ITRB 2013, 255 (256); ausführl. dazu unten § 2 B. I. 1. b) aa). 99 Siehe die Ortungs-Software der M4Telematics Group www.gpsfahrtenbuch.de/AppHandyortung-Android.html (Abruf v. 26. 2. 2022). 100 So auch Jandt / Schnabel, K&R 2008, 723 (727 f.). 101 Vgl. Jandt / Schnabel, K&R 2008, 723 (727). 102 Vgl. Art.-29-DSG, WP 185, S. 6 f.; Maier, Berufsbezogene Erreichbarkeit, S. 276; Maier /  Ossoinig, VuR 2015, 330 (332). 103 Art.-29-DSG, WP 185, S. 7; Maier, Berufsbezogene Erreichbarkeit, S. 277. 104 Christmann / Becker / Hagenhoff, Informatik-Spektrum 2012, 24 (27); Maier / Ossoinig, VuR 2015, 330 (332). 105 Z. B. Google Maps www.google.de/maps (Abruf v. 26. 2. 2022). 106 Christmann / Becker / Hagenhoff, Informatik Spektrum 2012, 24 (27); Maier / Ossoinig, VuR 2015, 330 (332). 107 Maier, Berufsbezogene Erreichbarkeit, S. 276; Maier / Ossoinig, VuR 2015, 330 (332). 108 Dhein / Grimm, Informatik Spektrum 2017, 245 (250); Maier, Berufsbezogene Erreichbarkeit, S. 276.

§ 2 Grundlagen und Erscheinungsformen 

43

b) Ortungssysteme zur Ortung im Innenbereich Im Innenbereich wird zur Positionsbestimmung insbesondere auf WLAN-, Bluetooth- und RFID-Systeme zurückgegriffen.109 Diese Technologien haben unterschiedliche Vor- und Nachteile, weshalb sie oftmals kombiniert werden110, um das beste Ergebnis zu erzielen. aa) Positionsbestimmung mittels WLAN Im Gegensatz zur GPS-Ortung funktioniert die Ortung mittels WLAN111 auch innerhalb von Gebäuden.112 Die Positionsbestimmung kann dabei auf zwei verschiedenen Ansätzen basieren.113 Zum einen kann die Position über im Betrieb in regelmäßigen Abständen installierte WLAN-Zugangspunkte (sog. WLAN-­ Beacons) in der Endeinrichtung – in der Regel Mobiltelefon – bestimmt werden.114 Die auf der Endeinrichtung installierte Software kennt die Positionen der WLANBeacons und kann anhand der Stärke der von diesen ausgesendeten Signale die Entfernung der Endeinrichtung zu den WLAN-Beacons und damit seine eigene Position bestimmen.115 Die Positionsbestimmung kann aber auch in entgegengesetzte Richtung erfolgen. Dazu wird Empfänger-Hardware auf dem Betriebsgelände verteilt, welche die von den zu ortenden Endeinrichtungen ausgesendeten WLANSignale erfasst und zur Positionsbestimmung an ein Backend116 übermittelt.117 bb) Positionsbestimmung mittels BLE Die vorgestellten Möglichkeiten zur Positionsbestimmung im Innenbereich mittels WLAN können auch mithilfe der Übertragungstechnik Bluetooth Low Energy (BLE) umgesetzt werden.118 Statt WLAN-Beacons werden BLE-Beacons auf dem Betriebsgelände installiert, die ebenfalls eine Beacon-ID aussenden, die von den 109 Siehe das Angebot des auf Indoor Positioning spezialisierten Unternehmens InfSoft, abrufbar unter www.infsoft.com/de/loesungen/grundlagen/whitepaper (Abruf v. 26. 2. 2022). 110 Vgl. Infsoft, Whitepaper, S. 7 abrufbar unter www.infsoft.com/wp-content/uploads/ infsoft-Whitepaper-DE-Indoor-Positionsbestimmung_download.pdf (Abruf v. 26. 4. 2022). 111 Dazu bereits oben unter § 2 B. I. 1. a) cc). 112 RSW / Mattern, Digitale Visionen, S. 10; Maier, Berufsbezogene Erreichbarkeit, S. 276. 113 Vgl. InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 5 f. 114 Siehe dazu oben unter § 2 B. I. 1. a) cc). 115 Sieling / Philipp, ITRB 2013, 255 (256). 116 Begriff aus der Informationstechnik, siehe de.wikipedia.org/wiki/Front-End_und_BackEnd (Abruf v. 26. 2. 2022). 117 InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 5 f. 118 Vgl. Christmann / Becker / Hagenhoff, Informatik-Spektrum 2012, 24 (26); Schürmann / von der Heide, DSRITB 2014, 637 ff.; Hahn / Herfert / L ange, Pro Privacy, S. 68; Venzke-Caprarese, DuD 2014, 839 ff.

44

1. Kap.: Einführung

bluetoothfähigen Endeinrichtungen empfangen wird, wobei grundsätzlich jedes Mobiltelefon heutzutage bluetoothfähig ist.119 Erfolgt die Positionsbestimmung nicht auf der Endeinrichtung, sondern im Backend, kann ebenfalls BLE eingesetzt werden. Der wesentliche Unterschied bei der Positionsbestimmung mittels WLAN oder BLE liegt in der Reichweite, der Genauigkeit und der Energieversorgung. Eine Datenübertragung per BLE hat eine Reichweite von bis zu 75 Metern und ist auf ca. ein bis drei Meter genau.120 WLAN hat eine größere Reichweite von 150 Metern, ist aber mit einer Genauigkeit von fünf bis fünfzehn Metern ungenauer.121 cc) Positionsbestimmung mittels RFID Eine dritte Variante zur Ortung im Innenbereich ist die Positionsbestimmung mittels Radio Frequency Identification (RFID).122 Das IT-System besteht aus einem Transponder und einem Lesegerät.123 Der Transponder umfasst einen elektronischen Mikrochip (RFID-Chip), auf dem beliebige Daten gespeichert sind, sowie eine Antenne zum Empfangen und Aussenden von Funkwellen.124 Gerät ein mit dem Transponder ausgestatteter Gegenstand in den Einzugsbereich des vom Lesegerät mittels Funkwellen generierten (elektro-)magnetischen Felds, liest das Lesegerät die auf dem RFID-Chip gespeicherten Daten kontaktlos aus und gibt sie an ein verbundenes IT-System weiter.125 Übliche Anwendungsbereiche sind Systeme zur Zugangskontrolle oder zur Bestandskontrolle.126 Die Technologie kommt aber auch zur Ortung von Sachen oder Personen in Betracht.127 Entsprechend der zu WLAN und BLE geschilderten Vorgehensweise können RFID-Lesegeräte auf dem Betriebsgelände verteilt und die zu ortenden Beschäftigten mit RFID-Transpondern ausgestattet werden. RFID-Systeme haben nur eine Reichweite von wenigen Zentimetern bis zu drei Metern und es kann nur eine punktuelle Positionsbestimmung erfolgen („gesehen“/„nicht gesehen“).128 Für eine lückenlose Nachverfolgung 119

Vgl. Hahn / Herfert / L ange, Pro Privacy, S. 68; Venzke-Caprarese, DuD 2014, 839 f. www.bluetooth.com/bluetooth-resources/intro-to-bluetooth-low-energy/ (Abruf v. 26. 2. 2022); InfSoft, Whitepaper, S. 5 ff. 121 InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 5 f. 122 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 812; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 7 f.; Thüsing / Forst, Beschäftigtendatenschutz, § 12 Rn. 7–11; ausführlich zur Funktionsweise Finkenzeller, RFID, S. 33–76; Gröger, RFID, S. 5–20; zur Vereinbarkeit mit dem Datenschutz siehe FHS / Arning / Born, Betrieblicher Datenschutz, XI. 2 Rn. 2; Gola / Pötters /  Wronka, AN-Datenschutz, Rn. 1230–1234. 123 Finkenzeller, RFID, S. 11. 124 Finkenzeller, RFID, S. 11. 125 Däubler, Belegschaften, § 6 Rn. 324a ff.; Finkenzeller, RFID, S. 11. 126 Art.-29-DSG, WP 105, S. 4 ff.; Müller, Auto-ID Verfahren, S. 38–46. 127 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 812; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 7 f. 128 Kern, RFID-Systeme, S. 55; InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 7; ausführl. Müller, Auto-ID-Verfahren, S. 51–53. 120

§ 2 Grundlagen und Erscheinungsformen 

45

ist daher eine flächendeckende Installation von Lesegeräten notwendig.129 Der Vorteil besteht in einer hohen Genauigkeit.130 2. Abruf der Positionsdaten über eine Software Von einer Ortung kann erst gesprochen werden, wenn die ermittelte Position über einen Rückkanal zur ortenden Stelle weitergegeben wird.131 Dazu ist eine Software, ein sog. Location Based Service (LBS), nötig.132 LBS sind positionsbezogene Dienste.133 Das Paradebeispiel ist Google Maps134, das dem Nutzer in Abhängigkeit von der Position z. B. in der Umgebung befindliche Restaurants mit dazugehörigen Informationen anzeigt. Zwar besteht bei Ortungs-Software der Dienst hauptsächlich in der Ortung selbst. Dadurch, dass der ortenden Stelle regelmäßig ein Tool zur Verwaltung der Positionen (Online-Portal) oder sogar zur Auswertung der Positionsdaten (z. B. zur Vergabe an neu eingegangene Aufträge an den Beschäftigten, dessen Positionsdaten dem Auftragsort am nächsten sind) bereitgestellt wird, fallen Ortungsdienste nach einhelliger Ansicht dennoch unter den Begriff der LBS.135 Die Ortung kann clientbasiert oder serverbasiert erfolgen.136 Eine clientseitige Ortung erfolgt über die Nutzung einer vom LBS-Anbieter zur Verfügung gestellten App, die auf der vom Beschäftigten nach Weisung137 des Arbeitgebers stets mitzuführenden dienstlichen Endeinrichtung (z. B. auf dem dienstlichen Mobiltelefon) installiert ist. Zunächst bestimmt die App die Position der Endeinrichtung. Dazu greift sie auf Funktionen der Endeinrichtung zu (z. B. GPS-Funktion), erfasst die von diesem empfangenen Signale und ggf. deren Stärke (z. B. GPS-Signale), wertet diese Daten aus und berechnet die Position der Endeinrichtung.138 Anschließend wird die in der App berechnete Position an einen Server weitergegeben.139 Das 129

Meyer, K&R 2009, 14 (18). InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 5 u. 7. 131 Siehe oben § 2 A. I. 3. 132 Vgl. Gola, NZA 2007, 1139; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1262; Roßnagel et al., Mobile Systeme, S. 113 f. 133 Bräutigam / Rücker / Jandt, E-Commerce, 10. A. Rn. 14; Timpf, Informatik Spektrum 2008, 70 ff.; Jandt / Schnabel, K&R 2008, 723 ff.; Jandt, Mobile Commerce, S. 129 ff.; Steidle, MMR 2009, 167 ff.; Schnabel, profilbasierte LBS, S. 242 ff. 134 www.google.de/maps (Abruf v. 26. 2. 2022). 135 I. E. Göpfert / Papst, DB 2016, 1015 (1016); Gola, ZD 2012, 308 (309); Gola / Pötters /  Wronka, AN-Datenschutz, Rn. 1244 u. 1262 ff.; Jandt / Schnabel, K&R 2008, 723; Sieling /  Philipp, ITRB 2013, 255 (256). 136 Bräutigam / Rücker / Jandt, E-Commerce, 10. B. Rn. 8; InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 5 f. 137 Vgl. § 106 GewO; BAG, Urt. v. 23. 8. 2012  – 8 AZR 804/11, NZA 2013, 268 Rn. 23; ­Köllmann, NZA 2020, 831 (835) zur Corona-Warn-App. 138 Vgl. InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 18; Venzke-Caprarese, DuD 2014, 839 (840). 139 InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 5 u. 18. 130

46

1. Kap.: Einführung

ist in der Regel der Server des LBS-Anbieters. Dort werden die Positionsdaten für einen gewissen Zeitraum (z. B. 90 Tage) gespeichert. Der LBS-Anbieter stellt die Positionsdaten unverzüglich und in aufbereiteter Form (z. B. visuell auf einer Landkarte140 oder in individuellen Gebäudekonfigurationen) dem Arbeitgeber zur Verfügung. In der Regel geschieht dies über ein Online-Portal, auf das der Arbeitgeber mit Zugangsdaten zugreifen kann.141 Diese clientseitige Ortung funktioniert sowohl im Außenbereich als auch im Innenbereich. Bei einer serverseitigen Ortung erfolgt die Positionsbestimmung nicht auf der Endeinrichtung, sodass keine App notwendig ist.142 Die vom LBS-Anbieter zur Verfügung gestellte oder jedenfalls genutzte Hardware (z. B. GPS-Empfänger) erfasst die zur Positionsbestimmung notwendigen Signale und sendet diese an den Server.143 Die Software des LBS-Anbieters greift sodann auf die gespeicherten Positionsdaten zu, berechnet die Position und bereitet die Daten auf, bevor diese dem Arbeitgeber in einem Online-Portal zur Verfügung gestellt werden.144 II. Typischerweise verfolgte Ortungszwecke 1. Einsatzkoordination Hauptanwendungsbereich von Ortungsmaßnahmen im Beschäftigungsverhältnis ist die Ortung zur Einsatzkoordinierung mobiler Beschäftigter (sog. Flottenmanagement).145 Typische Anwendungsbereiche sind das Speditionsgewerbe, Taxigewerbe oder Handwerksgewerbe.146 Mit der Steuerung von Fahrzeugflotten bezwecken Arbeitgeber eine effiziente Organisation ihres Geschäfts, da sie in die Lage versetzt werden, bei der Aufgabenzuweisung eine Auswahlentscheidung zu treffen, bei der Zeit und andere Ressourcen optimal genutzt werden.147 Eine opti-

140

Meyer, K&R 2009, 14 (19). Vgl. InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 11; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1244 u. 1262; vgl. die Ortungssysteme der Bornemann AG unter bornemann.net/gpsfahrzeugortung/ (Abruf v. 26. 2. 2022). 142 InfSoft, Whitepaper (Kap. 1 Fn. 110), S. 18. 143 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 8 und VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 2; Rammo / Holzgräfe, InTer 2015, 23; InfSoft, White Paper, S. 5 u. 18. 144 Siehe InfSoft, Whitepaper, S. 5; siehe auch die Ortungssysteme der Bornemann AG unter bornemann.net/gps-fahrzeugortung/ (Abruf v. 26. 2. 2022). 145 Siehe LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018  – 6 TaBV 13/17, ZD 2018, 542 Rn. 55; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54; Kramer /  Bongers, IT-Arbeitsrecht, B. Rn. 826–828; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 25–29; Kerscher, SPA 2017, 101 (102). 146 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 826; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 27. 147 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 826; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 25 und 29. 141

§ 2 Grundlagen und Erscheinungsformen 

47

male Ressourcennutzung kann im Ergebnis zu einer Kostensenkung und verbesserten Kundenbetreuung führen.148 2. Vereinfachung von Verwaltungsvorgängen Darüber hinaus werden Beschäftigte zur Vereinfachung von Verwaltungsvorgängen geortet. Da Positionsdaten Aufschluss darüber geben, wie lange ein Beschäftigter sich beim Kunden aufgehalten hat und wie viele Kilometer er zur Anfahrt zurücklegen musste, werden Beschäftigte regelmäßig zu Abrechnungszwecken geortet.149 Die Fahrten werden genauer und zuverlässiger dokumentiert als in einem Fahrtenbuch, sodass die Kundenabrechnung sowie die Nachweisbarkeit im Fall des Bestreitens durch den Kunden mittels Einsatzes des Ortungssystems vereinfacht und verbessert wird.150 Zudem werden Ortungssysteme zur Abrechnung und zum Nachweis von Lkw-Maut eingesetzt.151 Beispielsweise bietet das Unternehmen Toll Collect ein System an, bei dem die per GPS ermittelte Position des Fahrzeugs an das Rechenzentrum gesendet, dem mautpflichtigen Streckennetz zugeordnet und auf dieser Basis die angefallene Maut berechnet wird.152 In Betracht kommt auch eine Ortung zur Dokumentation einer erbrachten Dienstleistung. Ein prominentes Beispiel aus der Praxis ist die Ortung von Reinigungskräften zur Dokumentation, welche Räume eines Gebäudes wann gereinigt wurden.153 Denkbar ist zudem eine Dokumentation von Winterdienstleistungen, bei denen im Fall des Bestreitens der Durchführung im Zusammenhang mit einem Unfall hohe wirtschaftliche Schäden drohen können. Zudem kann die Ortung zur Fuhrparkverwaltung i. S. e. Auswertung von Kfz-Kosten, Planung von Wartungsintervallen und Ähnlichem154 oder zum Nachweis gegenüber den Finanzbehörden155 durch den Beschäftigten erfolgen.

148

WHWS / Byers, Datenschutz im ArbV, B. VII Rn. 25 und 29. Siehe dazu LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018 – 6 TaBV 13/17, ZD 2018, 542 Rn. 51; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 47; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 47 f.; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 827; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 28; Kerscher, SPA 2017, 101 (102). 150 WHWS / Byers, Datenschutz im Arbeitsverhältnis, B. VII. Rn. 28. 151 Vgl. Gasch, Mauerfassung, S. 50. 152 Siehe www.toll-collect.de/de/toll_collect/service/fragen___antworten/automatische_ein buchung/automatische_einbuchung.html (Abruf v. 26. 2. 2022). 153 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816. 154 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 49 f. 155 LfDI TH, 3. TB 2016/2017, S. 321; LfD BW, 30. TB 2010/2011, S. 151. 149

48

1. Kap.: Einführung

3. Sicherheit der Beschäftigten Sind Beschäftigte in einem besonders gefahrgeneigten Umfeld tätig, kann mit der Ortung die Sicherheit der Beschäftigten bezweckt werden.156 Beispiele sind die Ortung von Beschäftigten beim Feuerwehreinsatz, im Bereich der Hochseeschifffahrt, bei Gefahrgut- oder Geldtransporten, bei Einsätzen in Krisengebieten oder in Kernkraftwerken.157 Durch die Möglichkeit der Lokalisation von Beschäftigten können Gefahrensituationen erkannt (z. B. beim Abweichen des Geldtransporters von der vorgegebenen Route im Fall einer Entführung) sowie mit der gebotenen Eile Rettungsmaßnahmen ergriffen und auf diese Weise Gesundheitsrisiken gemindert werden.158 In Betracht kommt auch, dass Versicherungen den Eintritt eines Versicherungsfalls oder zumindest die Höhe der Versicherungsprämie vom Einsatz eines Ortungssystems abhängig machen. 4. Schutz von Eigentum oder Vermögen (verdachtslos) Zudem werden Ortungssysteme verdachtslos zum Schutz von Eigentum und Vermögen des Arbeitgebers oder Dritter – insbesondere Kunden – eingesetzt.159 Im Logistikbereich weisen Lkw sowie deren Fracht häufig einen erheblichen Wert auf, was für potentielle Straftäter ein lukratives Ziel sein kann.160 Im Fall des Verlusts der Ware eines Dritten können Arbeitgeber zudem schadensersatzpflichtig sein. Dabei können potentielle Straftäter sowohl eigene Beschäftigte als auch Dritte sein. Der Einsatz eines Ortungssystems kann auf zwei Wegen Schutz bieten: zum einen durch Prävention161 und zum anderen durch die Möglichkeit, abhandengekommene Betriebsmittel oder Waren wiederzuerlangen162. Bei versicherten Betriebsmitteln kann es vorkommen, dass die Versicherung den Eintritt eines Versicherungsfalls oder zumindest die Höhe der Versicherungsprämie vom Einsatz eines Ortungssystems abhängig macht. Denkbar ist auch, dass Kunden vertraglich den Einsatz eines Ortungssystems fordern.

156

Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 830; WHWS / Byers, Datenschutz im Arbeitsverhältnis, B. VII. Rn. 13–15; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1273; Kerscher, SPA 2017, 101 (102). 157 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 830; WHWS / Byers, Datenschutz im Arbeitsverhältnis, B. VII. Rn. 14; Däubler, Gläserne Belegschaften, § 6 Rn. 318; Gola, ZD 2012, 308 (311); Kerscher, SPA 2017, 101 (102). 158 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 14. 159 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 824; WHWS / Byers, Datenschutz imArbV, B. VII. Rn. 21–24; Kerscher, SPA 2017, 101 (102). 160 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 21. 161 Kerscher, SPA 2017, 101 (102 f.). 162 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019  – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 47; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 35 f.; Gola / Pötters /  Wronka, AN-Datenschutz, Rn. 1273.

§ 2 Grundlagen und Erscheinungsformen 

49

5. Verhaltens- oder Leistungskontrolle (verdachtslos) Ortungssysteme können darüber hinaus zur verdachtslosen Verhaltens- oder Leistungskontrolle eingesetzt werden.163 Die Ortung kann der Arbeitszeiterfassung (evtl. auch der Berechnung des Arbeitsentgelts164) dienen165, wenn sich aus den Positionsdaten ergibt, ob der Beschäftigte arbeitet oder nicht (z. B. Abstellen des Dienstfahrzeugs auf dem Betriebsgrundstück). Ferner kommt eine verdachtslose Compliance-Kontrolle in Betracht, mit der Arbeitgeber z. B. überprüfen können, ob Beschäftigte das Dienstfahrzeug entgegen des Verbots privat nutzen.166 Schließlich ist eine Ortung zur Verhaltens- und Leistungsbeurteilung denkbar: Wie erfüllt der Beschäftigte die ihm übertragene Aufgabe?167 Wie schnell fährt er mit seinem Dienstwagen?168 6. Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall Zudem werden Ortungssysteme repressiv zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen eingesetzt.169 Beispielsweise kann mithilfe der Ortung ein Arbeitszeitbetrug aufgedeckt werden.170 Zum einen soll mit der Ortung der Verdacht aufgeklärt werden, zum anderen sollen Beweismittel für die Rechtfertigung der an die Straftat oder Pflichtverletzung anknüpfenden arbeitsgeberseitigen Sanktion gesammelt werden.171

C. Zwischenergebnis Bei einer Ortung von Beschäftigten verarbeiten Arbeitgeber zielgerichtet Positionsdaten, die Aufschluss darüber geben können, wo sich ein Beschäftigter aufhält oder aufgehalten hat, um einen bestimmten Zweck zu erreichen (Ortungszweck). 163

Vgl. BT-Drs. 16/13657, 21; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18; BeckRS 2019, 30627 Rn. 53; Frinken, Vernetzte Fahrzeuge, S. 188; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1268 u. 1274. 164 S. LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018 – 6 TaBV 13/17, ZD 2018, 542 Rn. 51. 165 Vgl. LfDI NRW, 24. TB 2017–2018, S. 65; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 11 f.; Kerscher, SPA 2017, 101 f. 166 Vgl. Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1274. 167 Vgl. LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018  – 6 TaBV 13/17, ZD 2018, 542 Rn.  46 f.; ErfK / Franzen, § 26 BDSG Rn. 24; Gola, NZA 2007, 1139 (1142). 168 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 51. 169 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 822; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 34 f. 170 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 822. 171 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144.

50

1. Kap.: Einführung

Dabei werden vom Begriff der Ortung alle Phasen der Datenverarbeitung umfasst – insbesondere Erhebung, Speicherung, Verwendung und Übermittlung –, unabhängig davon, ob sie von derselben Stelle durchgeführt werden oder ob eine Person Kenntnis von den Positionsdaten nimmt. Werden mehrere Beschäftigte zum gleichen Ortungszweck auf die gleiche Art und Weise geortet, können die einzelnen Verarbeitungsvorgänge begrifflich als eine Ortungsmaßnahme zusammengefasst werden. Typischerweise von Arbeitgebern verfolgte Ortungszwecke sind diejenigen der Einsatzkoordination, Vereinfachung von Verwaltungsvorgängen, Sicherheit von Beschäftigten, Gewährleistung von Schutz von Eigentum oder Vermögen, Verhaltens- oder Leistungskontrolle oder Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen. Kernstück einer Ortung ist die Erhebung von Positionsdaten. Positionsdaten können automatisiert durch den Einsatz eines Ortungssystems oder manuell durch eine Positionsabfrage beim Beschäftigten oder eine Auswertung bereits vorhandener sonstiger Daten gewonnen werden. Bei einer Positionsabfrage oder beim Einsatz eines Ortungssystems, bei dem die Position eines fest am Körper des Beschäftigten installierten Gegenstands bestimmt wird, erfolgt die Ortung unmittelbar, ansonsten mittelbar über einen vom Beschäftigten mitgeführten Gegenstand (Mobiltelefon, Dienstwagen etc.). Eine Ortung von Beschäftigten erfordert begrifflich, dass die verarbeiteten Positionsdaten einen Bezug zu einem Beschäftigten (Personenbezug) aufweisen. Das ist der Fall, wenn die datenverarbeitende Stelle die Positionsdaten mit verhältnismäßigem Aufwand einem Beschäftigten zuordnen kann. Ortungssysteme sind IT-Systeme, die zumindest teilweise automatisiert die Ortung eines Zielobjekts ermöglichen. Dabei setzt sich ein Ortungssystem aus zwei Funktionsbereichen zusammen, der Positionsbestimmung, die typischerweise mittels Navigationssatelliten (insbesondere GPS), Mobilfunkzellenidentifikation, WLAN, BLE oder RFID erfolgt, und dem Abruf der Position über eine Software.

Zweites Kapitel

Grundrechtlicher Rechtsrahmen Bei der Ortung von Beschäftigten kollidieren gegenläufige Interessen.1 Die Beschäftigten sind daran interessiert, dass der Arbeitgeber nicht jede ihrer Bewegungen nachvollziehen kann. Arbeitgeber haben ein Interesse daran, mit der Ortung ihre Unternehmensführung zu optimieren. Dieser datenschutzrechtliche Konflikt hat seine Wurzeln auf der Grundrechtsebene, da Datenschutz Grundrechtsschutz ist, sofern personenbezogene Daten verarbeitet werden.2 Erfolgt die Ortung durch einen privaten Arbeitgeber, müssen Unternehmerische Freiheit und informationelle Privatheit in einen gerechten Ausgleich gebracht werden. Diesen Grundrechtskonflikt sollen einfachgesetzliche Datenschutzvorschriften auflösen, indem sie vorgeben, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen.3 Allen voran die seit dem 25. 8. 2018 unmittelbar in den Mitgliedstaaten geltende DSGVO. Gleichwohl ist zur Beurteilung von arbeitgeberseitigen Ortungsmaßnahmen eine Auseinandersetzung auf der Grundrechtsebene notwendig. Zwar sind in der DSGVO grundrechtliche Wertungen konkretisiert4, die DSGVO kann ihrerseits aber nur anhand grundrechtlicher Wertungen ausgelegt werden5. Wie soll ein Rechtsanwender ohne grundrechtlichen Wertungsmaßstab die Interessen abwägen, insbesondere das von einer Datenverarbeitung ausgehende Risiko bewerten?6 Welche Rechtsgüter sind zu schützen? Damit die DSGVO so angewendet werden kann, dass sie ihrem Ausgestaltungsauftrag aus Art. 16 Abs. 2 S. 1 Var. 2 AEUV gerecht wird, müssen die der DSGVO zugrunde liegenden europäischen grundrechtlichen Voraussetzungen des Datenschutzes geklärt werden. Aufgrund der Öffnungsklausel in Art. 88 DSGVO soll zudem unter-

1 Auch zum Folgenden WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 1; Däubler, Gläserne Belegschaften, Rn. 318 f.; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1225 f. 2 EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 44–47 – Schecke u. Eifert; BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (421 f.) – Volkszählung; Kühling / Buchner / Kühling / Raab, DSGVO / BDSG, Einf. A. Rn. 1. 3 Vgl. Art.  1 Abs.  1–3 DSGVO; Kühling / Buchner / Kühling / Raab, DSGVO / BDSG, Einf. A Rn. 1; Masing, NJW 2012, 2305 ff. 4 Albrecht, CR 2016, 88 (89); Gola / Heckmann / Pötters, DSGVO / BDSG, Art.  1 DSGVO Rn. 7. 5 Vgl. EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 53 – Google Spain; EuGH, Urt. v. 1. 10. 2015 – C-230/14, ECLI:EU:C:2015:639 Rn. 25 – Weltimmo; Gola / Heckmann / Pötters, DSGVO, Art. 1 DSGVO Rn. 18. 6 Vgl. Veil, NVwZ 2018, 686 (694).

52

2. Kap.: Grundrechtlicher Rechtsrahmen

sucht werden, ob im Bereich des Beschäftigtendatenschutzes zumindest auch nationale Datenschutzgrundrechte anwendbar sind.

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene A. Datenschutz in der Europäischen Menschenrechtskonvention Ausgangspunkt des Datenschutzes in der EU ist das in Art. 8 Abs. 1 EMRK verbürgte Recht auf Achtung des Privat- und Familienlebens.7 Zwar ist die DSGVO als Unionsrecht mangels Beitritts der EU zur EMRK nicht unmittelbar anhand der EMRK zu überprüfen.8 Dennoch wird die EMRK über verschiedene Stellschrauben in das Unionsrecht inkorporiert.9 Nach Art. 6 Abs. 3 EUV sind die Grundrechte der EMRK als allgemeine Rechtserkenntnisquelle Teil des Unionsrechts. Darüber hinaus sind Grundrechte der GrCh, die den durch die EMRK garantierten Rechten entsprechen, nach Art. 52 Abs. 3 GrCh gemäß der EMRK auszulegen und dürfen nach Art. 53 GrCh das in der EMRK gewährleistete Schutzniveau nicht unterschreiten. Im Ergebnis führt dieser Mechanismus dazu, dass der EuGH die EMRK in seinen Grundrechtsaufbau integriert und seine Entscheidungen auf die Rechtsprechung des EGMR stützt.10 Das in Art. 8 Abs. 1 EMRK normierte Recht auf Achtung des Privat- und Familienlebens enthält nicht ausdrücklich ein Recht auf Datenschutz. Gleichwohl entwickelte der EGMR Ende der 1970er Jahre aus dem Recht auf Achtung des Privatlebens ein Recht auf Schutz personenbezogener Daten und erkannte dieses als eigenständige Ausprägung an.11 Inhalt und Schranken des Grundrechts kon 7

Albrecht / Jotzo, Datenschutzrecht, I. Rn. 1. EuGH, Urt. v. 26. 2. 2013 – C-617/10, ECLI:EU:C:2013:105 Rn. 44 – Åckerberg Fransson; EuGH, Urt. v. 21. 12. 2016 – C-203/15 u. a., ECLI:EU:C:2016:970 Rn. 127–129 – Tele2 Sverige; Spindler / Schuster / Brings-Wiesen, Elektronische Medien, I. B. Rn. 9. 9 Vgl. EuGH, Urt. v. 15. 5. 1986 – 222/84, ECLI:EU:C:1986:206 Rn. 18 – Johnston; Calliess /  Ruffert / Kingreen, EUV / A EUV, Art.  6 EUV Rn.  21; Specht / Mantz / Bretthauer, HdB Datenschutzrecht, § 2 Rn. 40; vgl. auch EG 41 S. 2 DSGVO. 10 EuGH, Urt. v. 13. 12. 1979 – 44/79, ECLI:EU:C:1979:290 Rn. 19 – Hauer; EuGH, Urt. v. 12. 12. 1996 – C-74/95, C-129/95, ECLI:EU:C:1996:491 Rn. 25 – X; EuGH, Urt. v. 26. 6. 1997 – C-368/95, ECLI:EU:C:1997:325 Rn. 18, 26  – Familiapress. Das Nebeneinaner der beiden Gerichte ist gleichwohl nicht unproblematisch und hat zu Spannungen geführt, nachdem der EuGH im Gutachten 2/13 v. 18. 12. 2014 betreffend den Beitritt der EU zur EMRK ein Sonderregime beansprucht hat, welches die Rolle des EGMR zugunsten des EuGH zurückdrängt, s. Kohler, in: FS Geimer, S. 375 ff. 11 EKMR, Entsch. v. 18. 3. 1981 – 8022/77, EuGRZ 1983, 430 (431) – Mc Veigh / Vereinigtes Königreich; EKMR, Entsch. v. 6. 10. 1982 – 9702/82, EuGRZ 1983, 410 f. – X. / Vereinigtes Königreich; EGMR, Urt. v. 2. 8. 1984 – 8691/79, EuGRZ 1985, 17 Rn. 84 – Malone / Vereinigtes Königreich; EGMR, Urt. v. 26. 3. 1987 – 9248/81, Serie A 116, Rn. 48 – Leander / Schweden; ausführl. Marsch, Datenschutzgrundrecht, S. 8–17. 8

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene

53

kretisiert der EGMR anhand der Art. 8 EMRK ergänzenden Datenschutzkonvention Nr. 108 des Europarates12 und deren Zusatzprotokoll13.14 Dabei verfolgt der EGMR – entsprechend der allgemeinen Konventionspraxis – einen kasuistischen Ansatz, der es schwierig macht, verallgemeinerungsfähige Aussagen zu treffen.15 Dennoch können den Entscheidungen mit Blick auf den Schutzbereich zwei Leitlinien entnommen werden.16 Der Schutzbereich von Art. 8 Abs. 1 EMRK ist zum einen eröffnet, wenn Daten verarbeitet werden, die inhaltlich einen Bezug zum Privatleben haben.17 Dieses in der Leander-Entscheidung aufgestellte Erfordernis eines Privatlebensbezug ist weit zu verstehen und kann auch Datenverarbeitungen im Beschäftigungskontext erfassen.18 Zum anderen ist der Schutzbereich eröffnet, wenn – unabhängig vom Inhalt der Daten – aufgrund ihrer umfangreichen und systematischen Verarbeitung ein Privatlebensbezug besteht.19 Für den Fall, dass Daten einer über einen Dritten übermittelten Individualkommunikation verarbeitet werden, geht der EGMR ebenfalls von einer Eröffnung des Schutzbereichs aus, lässt aber offen, ob der Teilbereich des Schutzes des Privatlebens oder des Schutzes der Korrespondenz betroffen ist.20

12 Übereinkommen Nr. 108 des Europarates zum Schutz der Menschen bei der automa­ tischen Verarbeitung personenbezogener Daten v. 28. 1. 1981 (BGBl. 1985 II, 539); zum Überblick siehe Sydow / Marsch / Towfigh / Ulrich, DSGVO, Art. 96 DSGVO Rn. 5. 13 Zusatzprotokoll Nr. 181 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr v. 8. 11. 2001 (BGBl. 2002 II, 1887). 14 EGMR, Urt. v. 4. 12. 2008 – 30562/04 u. 30566/04, EuGRZ 2009, 299 Rn. 66, 103 f. – Marper / Vereinigtes Königreich; EGMR, Urt. v. 5. 9. 2016 – 61496/08, NZA 2017, 1443 Rn. 42 – Barbulescu / Rumänien; Schweizer, DuD 2009, 462 (465). 15 Ehlers / Uerpmann-Wittzack, EuGR, § 3 Rn. 4; Kühling / Buchner / Kühling / Raab, DSGVO /  BDSG, Einf. A. Rn. 20. 16 Siehe Marsch, Datenschutzgrundrecht, S. 9–14; Siemen, Datenschutz GR, S. 120–129. 17 EGMR, Urt. v. 26. 3. 1987 – 9248/81, Serie A 116, Rn. 48 – Leander / Schweden; EGMR, Urt. v. 16. 2. 2000 – 27798/95, ECHR 2000-II Rn. 68–70 – Amann / Schweiz; EGMR, Urt. v. 4. 5. 2000 – 28341/95, ECHR 2000-V, 111 Rn. 43 f. – Rotaru / Rumänien. 18 EGMR, Urt. v. 16. 12. 1992 – 13710/88, EuGRZ 1993, 65 Rn. 28 ff. – Niemietz / Deutschland; vgl. dazu Marsch, Datenschutzgrundrecht, S. 10 f.; dabei stellt der EGMR maßgeblich auf die Vertraulichkeitserwartung des betroffenen Beschäftigten ab, s. EGMR, Urt. v. 5. 9. 2016 – 61496/08, NZA 2017, 1443 Rn. 73–81 – Barbulescu / Rumänien; EGMR, Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697 Rn. 89, 93 – Lopez Ribalda / Spanien. 19 EGMR, Urt. v. 25. 9. 2001  – 44787/98, ECHR 2001-IX, 197 Rn. 57  – P. G. und J.H /  Vereinigtes Königreich; EGMR, Urt. v. 28. 1. 2003 – 44647/98, ECHR 2003-I, 125 Rn. 59 – Peck / Vereinigtes Königreich; EGMR, Urt. v. 17. 7. 2003  – 63737/00, ECHR 2003-IX, 119 Rn. 38 – Perry / Vereinigtes Königreich. 20 EGMR, Urt. v. 6. 9. 1978 – 5029/71, EuGRZ 1979, 278 Rn. 37, 41 – Klass / Deutschland; EGMR, Urt. v. 3. 4. 2007 – 62617/00, EuGRZ 2007, 415 Rn. 41 – Copland / Vereinigtes Königreich.

54

2. Kap.: Grundrechtlicher Rechtsrahmen

B. Datenschutz in der Grundrechtecharta der Europäischen Union Die EU erkennt in Art. 8 Abs. 1 GrCh explizit ein Recht auf Datenschutz an.21 Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Da der EuGH kein „Grundrechtsgericht“ ist22 und Art. 8 GrCh in der Regel nur bei der Auslegung einfachgesetzlicher Datenschutzvorschriften heranzieht23, hat der EuGH den materiellen Gewährleistungsgehalt des Grundrechts bislang nur ansatzweise konturiert24. Daher ist unklar, ob Art. 8 Abs. 1 GrCh ein eigenständiges Schutzgut enthält. Die Antwort hängt maßgeblich davon ab, wie man das Verhältnis von Art. 8 GrCh zu den anderen Grundrechten der GrCh und insbesondere zu Art. 7 GrCh begreift, der im Wesentlichen deckungsgleich zu Art. 8 Abs. 1 EMRK25 die Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation schützt. Die Rechtsprechung des EuGH zum Verhältnis von Art. 8 und Art. 7 GrCh ist dogmatisch wenig aufschlussreich, da der EuGH zwar davon ausgeht, dass es sich um unterschiedliche Grundrechte handelt26, die beiden Grundrechte jedoch stets zusammenprüft, ohne deren Verhältnis zueinander und deren Schutzgüter deutlich zu machen27. Beispielhaft für dieses Vorgehen sind die Ausführungen des EuGH in der Rechtssache Promusicae zu Auskunftsansprüchen der Musikindustrie gegen Internetanbieter. Dort differenziert der EuGH einerseits zwischen den Grundrechten und stellt darauf ab, dass Art. 7 GrCh die Achtung des Privatlebens garantiert und Art. 8 GrCh den Schutz personenbezogener Daten „proklamiert“.28 Andererseits prüft er in der Sache nur Art. 7 GrCh: „den Schutz personenbezogener Daten und damit des Privatlebens“.29

21 Zur Doppelung in Art. 16 Abs. 1 AEUV Streinz / Schröder, EUV / A EUV, Art. 16 AEUV Rn. 4 ff. m. w. N. 22 So auch Franzius, ZaöRV 2015, 383 (398); Buchholtz, in: Rechtskultur u. Globalisierung, S. 111. 23 EuGH, Urt. v. 24. 11. 2011 – C-468 u. 469/10, ECLI:EU:C:2011:777 Rn. 24 – 49 – ASNEF. 24 Schmitz, Beschäftigtendatenschutz, S. 107 f. 25 Statt vieler EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 51 f. – Schecke u. Eifert; Schiedermair, Schutz des Privaten, S. 341. 26 EuGH, Urt. v. 21. 12. 2016 – C-203/15 u. a., ECLI:EU:C:2016:970 Rn. 129 – Tele2 Sverige. 27 EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 47 ff. –Schecke u. Eifert; EuGH, Urt. v. 8. 4. 2014 – C -293/12, C-594/12, ECLI:EU:C:2014:238 Rn. 31 ff. – Digital Rights Ireland; EuGH, Urt. v. 21. 12. 2016 – C-203/15 u. a., ECLI:EU:C:2016:970 Rn. 92 ff. – Tele2 Sverige; EuGH, Urt. v. 11. 12. 2019 – C-708/18, ECLI:EU:C:2019:1064 Rn. 47 – Asociatia de Proprietari; dem folgend GA Kokott, Schlussanträge zu EuGH, C-275/06, ECLI: EU:C:2007:454 Rn. 51 und GA Sharpston, Schlussanträge zu EuGH, C-92/09, C-93/09, ECLI:EU:C:2010:353 Rn. 71. 28 EuGH, Urt. v. 29. 1. 2008 – C-275/06, ECLI:EU:C:2008:54 Rn. 64 – Promusicae. 29 EuGH, Urt. v. 29. 1. 2008 – C-275/06, ECLI:EU:C:2008:54 Rn. 63, 65 – Promusicae.

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene

55

In der Literatur wurde dem Verhältnis von Art. 7 und Art. 8 GrCh zunächst nur wenig Aufmerksamkeit geschenkt. Seitdem die DSGVO ins Blickfeld gerückt ist, führt die Ungewissheit über das Schutzgut der DSGVO30 endlich zu einer vermehrten Auseinandersetzung mit dem Verhältnis der beiden Grundrechte.31 Vereinzelt wird vertreten, Art. 8 GrCh sei als Datenschutzgrundrecht isoliert von Art. 7 GrCh zu betrachten, der nur alle anderen Bestandteile des Privatlebens schütze.32 Bildlich gesprochen33 handle es sich um zwei Kreise, die aufgrund des überlappenden Schutzanspruchs zwar eine Schnittmenge haben, aber eigenständig seien. Zum anderen wird die Ansicht vertreten, Art. 7 und 8 GrCh seien als konzentrische Kreise anzusehen, bei denen der Datenschutz eine deckungsgleiche Teilmenge des Privatlebens sei, sodass Art. 8 GrCh grundsätzlich das allgemeinere Recht auf Privatleben aus Art. 7 GrCh im Bereich des Datenschutzes verdränge.34 Die herrschende Meinung nimmt an, die beiden Grundrechte seien sich überschneidende Kreise, da Art. 8 GrCh zwar eine Teilmenge von Art 7 GrCh ausmache („partielle“ lex specialis35), aber über Art. 7 GrCh hinaus gehe, indem er nicht nur vor Datenverarbeitungen schütze, die die Privatheit beeinträchtigen, sondern allgemein vor der Verarbeitung personenbezogener Daten schütze.36 Während die erste und die letzte Auffassung voraussetzen, dass die beiden Grundrechte jeweils eigene Schutzgüter haben, basiert die zweite Auffassung auf der Annahme, dass beiden Grundrechten das Schutzgut der Privatheit zugrunde liegt.37 Diese zweite Auffassung ist überzeugend. Art. 8 GrCh dient wie Art. 7 GrCh dem Schutz der Privatheit und enthält kein selbständiges Schutzgut.38 Das Schutzgut der Privatheit fordert eine freie Entwicklung und Entfaltung der Persönlichkeit durch einen Zustand unbeschränkter Privatheit.39 Dabei ist die Privatheit ein Kons-

30

Siehe dazu Veil, NVwZ 2018, 686 (690 ff.); Schneider, ZD 2015, 245. Siehe Eichenhofer, Der Staat 55 (2016), 41 (60–62); Michl, DuD 2017, 349 ff.; Schwichtenberg, Datenschutz, S. 29–33; Veil, NVwZ 2018, 686 (693 f.); Wagner, Datenschutz in der EU, S. 120–154. 32 Wagner, Datenschutz in der EU, S. 120–154. 33 Vgl. die Abbildungen in Wagner, Datenschutz in der EU, S. 113 f. 34 Michl, DuD 2017, 349 (353); Schwichtenberg, Datenschutz, S. 29–33. 35 Zum Begriff Wagner, Datenschutz in der EU, S. 114. 36 Heselhaus / Nowak / Breuer, HdB EU-GR, § 25 Rn. 24; Eichenhofer, Der Staat 55 (2016), 41 (61 f.); wohl auch Flink, Beschäftigtendatenschutz, S. 23; Kokott / Sobotta, IDPL 2013, Vol. 3, No. 4, 222 (225); Krönke, Der Staat 2016, 319 (341) sieht in Art. 8 GrCh zwei Schutzgüter: Zum einen das „implizite Schutzgut“ der Privatheit und zum anderen das „Explizite Schutzgut“ des Schutzes personenbezogener Daten; Roßnagel, NJW 2019, 1 (2); Schiedermair, Schutz des Privaten, S. 349; Streinz / Streinz, EUV / A EUV, Art. 8 GrCh Rn. 7; wohl auch Veil, NVwZ 2018, 686 (694). 37 So wohl auch Wagner, Datenschutz in der EU, S. 113 f. 38 I. E. auch Michl, DuD 2017, 349 (353); Schwichtenberg, Datenschutz, S. 31–33; wohl auch Veil, NVwZ 2018, 686 (694) und Schneider, AnwBl 2011, 233 (237 f.); a. A. Wagner, Datenschutz in der EU, S. 153 f. 39 Schwichtenberg, Datenschutz, S. 18; vgl. Sandfuchs, Privatheit, S. 7–9; Gräf, Privatheit und Datenschutz, S. 80 f. 31

56

2. Kap.: Grundrechtlicher Rechtsrahmen

trukt verschiedener Teilbereiche40, die sich im Zuge der kulturellen, gesellschaft­ lichen und technischen Entwicklung wandeln können.41 Zur freien Entwicklung und Entfaltung der Persönlichkeit jedenfalls notwendig sind körperliche Unversehrtheit und Gesundheit42, elementare Eigentums- und Besitzgüter43 sowie informationelle Privatheit44. Informationelle Privatheit meint einen Zustand, in dem einerseits Verhalten und persönliche Merkmale folgenlos bleiben und andererseits Informationen über Verhaltensweisen oder persönliche Merkmale preisgegeben werden können.45 Anders ausgedrück: Der Einzelne kann sich nur frei entfalten, wenn er einerseits keine Konsequenzen befürchtet, andererseits aber solche bewusst herbeiführen kann. Im Hinblick auf die Folgenlosigkeit fordert die informationelle Privatheit daher, dass Dritten, die Konsequenzen an ein Verhalten oder persönliches Merkmal knüpfen können, solche Informationen vorenthalten werden.46 Zwar kann sich ein Teilbereich eines Schutzguts zu einem eigenen Schutzgut verselbständigen, was beispielsweise mit dem Teilbereich der körperlichen Unversehrtheit in Art. 3 GrCh und dem Teilbereich des Eigentums in Art. 17 GrCh geschehen ist.47 Wie Schwichtenberg zutreffenderweise ausführt, kann sich der Teilbereich der informationellen Privatheit in Art. 8 GrCh aber nur verselbständigt haben, wenn dieser Teilbereich unabhängig vom Schutzgut der Privatheit ausgelegt werden kann.48 Das ist nicht der Fall.49 Datenschutz ist kein Selbstzweck, sondern dient dem Schutz von Personen.50 Damit besteht grundrechtlicher Schutzbedarf nur, wenn eine Datenverarbeitung eine Freiheit konkret beeinträchtigt oder eine besondere Gefahr einer Freiheitsbeeinträchtigung bewirkt.51 Das ist nur der Fall, wenn die Datenverarbeitung den Zustand der Privatheit gefährdet.52 Gleiches gilt für die andere Seite der Medaille. Die Befugnis, selbstbestimmt Dritten Zugriff auf

40

Mills, Privacy, S. 13–15; Sandfuchs, Privatheit, S. 9; Schwichtenberg, Datenschutz, S. 18 f. Schwichtenberg, Datenschutz, S. 18. 42 Mills, Privacy, S. 14; Schwichtenberg, Datenschutz, S. 19; vgl. EGMR, Urt. v. 29. 4. 2002 – 2346/02, ECH 2002-III, 157 Rn. 61 – Pretty / Vereinigtes Königreich. 43 Mills, Privacy, S. 14; Schwichtenberg, Datenschutz, S. 19. 44 Schwichtenberg, Datenschutz, S. 18 f.; Begriff nach Rössler, Der Wert des Privaten, S. 201; s. auch Sandfuchs, Privatheit, S. 7; Eichenhofer, Der Staat 55 (2016), 41 (44). 45 Schwichtenberg, Datenschutz, S. 20–29 „Abwehraspekt“ und „Kontrollbereich“. 46 Schwichtenberg, Datenschutz, S. 20–29 „Abwehraspekt“ und „Kontrollbereich“. 47 Vgl. Schwichtenberg, Datenschutz, S. 29–31. 48 Vgl. Schwichtenberg, Datenschutz, S. 31. 49 Schwichtenberg, Datenschutz, S. 32 f.; ähnl. BeckOK Datenschutzrecht / Schneider, Syst. B. Rn. 25 f.; a. A. Klement, JZ 2017, 161, 169; zurückhalt. Siemen, Datenschutz GR, S. 293. 50 So auch Schwichtenberg, Datenschutz, S. 31–33; Bull, NJW 2006, 1617 (1622 ff.); Veil, NVwZ 2018, 686 (692–694); ähnl. Schiedermair, Schutz des Privaten, S. 18 Fn. 80. 51 Britz, in: Offene Rechtswissenschaft, S. 581; Veil, NVwZ 2018, 686 (694); ähnl. Krönke, Der Staat 55 (2016), 319 (341). 52 Schwichtenberg, Datenschutz, S. 31–33; Michl, DuD 2017, 349 (352 f.); a. A. Eichenhofer, Der Staat 55 (2016), 41 (62); Roßnagel, NJW 2019, 1 (2); Wagner, Datenschutz in der EU, S. 143 ff. 41

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene

57

personenbezogene Daten zu ermöglichen, ist ebenfalls nur schützenswert, wenn sie der Persönlichkeitsentfaltung dient.53 In der Konsequenz lässt sich der Schutzbereich von Art. 8 GrCh erst konturieren, wenn man Art. 8 GrCh als unselbständigen Teilbereich der Privatheit ansieht.54 Mangels selbständigen Schutzguts kann Art. 8 GrCh nicht allein geprüft werden, sondern ist als sog. „Kombinationsgrundrecht“ stets gemeinsam mit Art. 7 GrCh zu prüfen.55 Vertretbar ist auch, Art. 8 GrCh als lex specialis anzusehen, sofern der Gehalt aus Art. 7 GrCh in Art. 8 GrCh hineingelesen wird.56 Jedenfalls gewährleistet Art. 8 GrCh in gleichem Umfang den Schutz von personenbezogenen Daten, den auch Art. 7 GrCh gewährleistet.57 Die Bedeutung von Art. 8 GrCh erschöpft sich einerseits in einer Hervorhebung der Bedeutung des Datenschutzes und andererseits in einer Bereitstellung von Detailregelungen in den Absätzen 2 und 3.58 Im Ergebnis entspricht der durch Art. 8 Abs. 1 GrCh i. V. m. Art. 7 GrCh gewährleistete Schutz dem durch Art. 8 Abs. 1 EMRK gewährten Datenschutz.59 Damit liegt eine Grundrechtsbeeinträchtigung nur vor, wenn eine Datenverarbeitung den Zustand der Privatheit gefährdet.60 Es muss also das Risiko bestehen, dass Informationen über Verhaltensweisen oder persönliche Merkmale eines Einzelnen an Dritte gelangen.61 Auch wenn der EGMR an seinem Erfordernis eines Privatlebensbezugs festhält62, zeigen sowohl der EGMR als auch der EuGH die Tendenz, ein solches Risiko bereits dann anzunehmen, wenn personenbezogene Daten verarbeitet werden.63

53

Schwichtenberg, Datenschutz, S. 20 f. So auch Schwichtenberg, Datenschutz, S. 33. 55 So auch Veil, NVwZ 2018, 686 (694), i. E. auch Michl, DuD 2017, 349 (352 f.); a. A. ­Klement, JZ 2017, 161 (169); zum Begriff des „Kombinationsgrundrechts“ Augsberg / Augsberg, AöR 2007, 539 ff. 56 So auch Michl, DuD 2017, 349 (353). 57 Ebenso Michl, DuD 2017, 349 (352). 58 Ähnl. Michl, DuD 2017, 349 (353). 59 EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 51 f. – Schecke u. Eifert; Michl, DuD 2017, 349 (352 f.); Schwichtenberg, Datenschutz, S. 30. 60 Michl, DuD 2017, 349 (352 f.); Schwichtenberg, Datenschutz, S. 31; a. A. Wagner, Datenschutz in der EU, S. 143 ff.; Eichenhofer, Der Staat 55 (2016), 41 (62). 61 Schwichtenberg, Datenschutz, S. 20–29. 62 EGMR, Urt. v. 5. 9. 2016 – 61496/08, NZA 2017, 1443 Rn. 70–81 – Barbulescu / Rumänien; EGMR, Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697 Rn. 87–91 – Lopez Ribalda /  Spanien. 63 EGMR, Urt. v. 16. 2. 2000 – 27798/95, ECHR 2000-II Rn. 65 – Amann / Schweiz; EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 52 – Schecke u. Eifert; Marsch, Datenschutzgrundrecht, S. 10 f.; Siemen, Datenschutz GR, S. 121 ff. 54

58

2. Kap.: Grundrechtlicher Rechtsrahmen

C. Datenschutz im Grundgesetz Das Grundgesetz enthält ausdrücklich weder ein Grundrecht auf Datenschutz noch ein Grundrecht auf Schutz der Privatheit. Normiert sind lediglich einzelne Teilbereiche der Privatheit wie z. B. der Schutz von Ehe und Familie (Art. 6 GG), die Brief-, Post- und Fernmeldefreiheit (Art. 10 GG) und die Unverletzlichkeit der Wohnung (Art. 13 GG).64 Erst in den späten 1950er Jahren entwickelte das BVerfG im Anschluss an wegbereitende Entscheidungen des BGH65 aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG das allgemeine Persönlichkeitsrecht66 und damit einen umfassenden selbständigen Schutz des persönlichen Lebensbereichs.67 Ob eine Datenverarbeitung mit dem allgemeinen Persönlichkeitsrecht vereinbar ist, entschied das BVerfG maßgeblich anhand der Sphärentheorie.68 Da mit zunehmender Datenverarbeitung das Risiko der Verknüpfbarkeit von Daten stieg und die Zuordnung zu Sphären nicht mehr praktikabel war69, wählte das BVerfG im Jahr 1983 mit seinem wegweisenden Volkszählungsurteil einen neuen Ansatz und leitete aus dem allgemeinen Persönlichkeitsrecht als dessen besondere Ausprägung das Recht auf informationelle Selbstbestimmung ab.70 Dieses Recht gewähre jedem Einzelnen das Recht, „selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“.71 Statt einer Zuordnung der Daten zu Sphären sei auf deren Nutzbarkeit und Verwendungsmöglichkeit abzustellen, da aufgrund der mit automatischer Datenverarbeitung einhergehenden Verknüpfbarkeit von Daten, „ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen [kann]“, sodass es „kein ‚belangloses‘ Datum mehr [gibt]“.72 Das BVerfG betrachtet die informationelle Selbstbestimmung als einen verselbständigten Teilbereich der Privatheit mit eigenständigem Schutzgut 64

Maunz / Dürig / Di Fabio, GG, Art. 2 Abs. 1 Rn. 127. BGH, Urt. v. 2. 4. 1957 – VI ZR 9/56, NJW 1957, 1146 f.; BGH, Urt. v. 20. 5. 1958 – VI ZR 104/57, NJW 1958, 1344 f. 66 Angedeutet in BVerfG, Urt. v. 16. 1. 1957 – 1 BvR 253 56, NJW 1957, 297 – Elfes; Leitentscheidungen BVerfG, Beschl. v. 31. 1. 1973 – 2 BvR 454/71, NJW 1973, 891 (892) – heimliche Tonbandaufnahme I; BVerfG, Beschl. v. 14. 2. 1973 – 1 BvR 112/65, NJW 1973, 1221 (1223 f.)  – Soraya; BVerfG, Urt. v. 5. 6. 1973  – 1 BvR 536/72, NJW 1973, 1226 (1227 f.)  – ­L ebach; BVerfG, Beschl. v. 3. 6. 1980 – 1 BvR 185/77, NJW 1980 2070 f. – Eppler; ausführl. Vogelsang, Informationelle Selbstbestimmung, S. 39–50. 67 Maunz / Dürig / Di Fabio, GG, Art. 2 Abs. 1 Rn. 127. 68 BVerfG, Beschl. v. 16. 7. 1969 – 1 BvL 19/63, NJW 1969, 1707 (1708) – Mikrozensus; BVerfG, Beschl. v. 15. 1. 1970 – 1 BvR 13/68, NJW 1970, 555 – Ehescheidungsakten; Maunz /  Dürig / Di Fabio, GG, Art. 2 Abs. 1 Rn. 157–162. 69 Nebel, Persönlichkeitsschutz in Social Networks, S. 45 – 48; Nebel, ZD 2015, 517 (518 f.); Timmermann, DÖV 2019, 249 (250). 70 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (421 ff.) – Volkszählung. 71 BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (421) – Volkszählung. 72 BVerfG, Urt. v. 15. 12. 1983  – 1 BvR 209/83 u. a., NJW 1984, 419 (422)  – Volkszählung; seither stRspr., s. z. B. BVerfG, Beschl. v. 18. 12. 2018 – 1 BvR 142/15, NJW 2019, 827 Rn. 37 f. – Kennzeichenerfassung II. 65

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene

59

an, nämlich der Selbstbestimmung im Sinne von Datenhoheit.73 Vom Schutzbereich ist jede Verarbeitung personenbezogener Daten erfasst, ohne dass es auf das konkret von der Datenverarbeitung ausgehende Risiko ankommt.74 Im Jahr 2008 reagierte das BVerfG erneut auf den technischen Fortschritt75 und entwickelte als weitere Ausprägung des allgemeinen Persönlichkeitsrechts das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-Grundrecht).76 Das IT-Grundrecht schützt das Interesse des Nutzers eines informationstechnischen Systems, dass die dort verarbeiteten und gespeicherten Daten vertraulich bleiben und nicht so auf das System zugegriffen wird, dass dessen Speicherinhalte durch Dritte genutzt werden können.77 In den Schutzbereich fallen informationstechnische Systeme78 wie z. B. Computer, Smartphones und elektronische Terminkalender, die der Nutzer als eigenes und daher in selbstbestimmter Weise nutzt, denen der Nutzer persönliche Daten im Glauben an deren Unzugänglichkeit für unbefugte Dritte „anvertraut“ und bei denen ein Zugriff Dritter aufgrund der enthaltenen Datenmenge und -vielfalt einen Einblick in wesentliche Teile der Lebensgestaltung einer Person ermöglicht oder sogar ein aussagekräftiges Bild der Persönlichkeit schafft.79 Da das BVerfG ausdrücklich fordert, dass Vertraulichkeit und Integrität des Systems Persönlichkeitsrelevanz haben80, ist mit der Literatur davon auszugehen, dass das BVerfG die Vertraulichkeit und Integrität informationstechnischer Systeme – anders als die informationelle Selbstbestimmung  – nicht als sich aus dem Teilbereich der Privatheit verselbständigtes Schutzgut ansieht.81 In Abgrenzung zum Recht auf informationelle Selbstbestimmung ist der Schutzbereich allerdings nur eröffnet, 73

BVerfG, Beschl. v. 14. 12. 2000 – 2 BvR 1741/99, NJW 2001, 879 (880) – Genetischer Fingerabdruck I; BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 89–91 – Recht auf Vergessen I; Maunz / Dürig / Di Fabio, GG, Art. 2 Abs. 1 Rn. 174; Vogelsang, Informationelle Selbstbestimmung, S. 23 f. 74 BVerfG, Beschl. v. 14. 12. 2000, NJW 2001, 879 (880) – Genetischer Fingerabdruck I; BVerfG, Beschl. v. 26. 1. 2005 – 2 BvR 1899/04, NVwZ 2005, 681 (682) – Asylantrag wegen Homosexualität. 75 Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 186. 76 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 Rn. 166–206 – IT-Grundrecht; für einen Überblick s. Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 186– 192; zust. Hoffmann-Riem, JZ 2008, 1009, 1015 ff.; kritisch BeckOK Informations- und MedienR / Gersdorf, Art. 2 GG Rn. 23; Dreier / Dreier, GG, Art. 2 Abs. 1 Rn. 84. 77 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 Rn. 204 – IT-Grundrecht. 78 Das BVerfG hat den Begriff nicht definiert. Für eine verfassungsrechtlich nicht bindende, aber als Indiz dienende (so auch Holznagel / Schumacher, MMR 2009, 3 f.) Definition s. Bundesministerium des Inneren, Fragenkatalog 2007, S. 2. 79 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 Rn. 203 – IT-Grundrecht; Luch, MMR 2011, 75 (76); Schliesky, DVP 2017, 443 (444). 80 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 Rn. 202 f. – IT-Grundrecht; zust. Hoffmann-Riem, JZ 2008, 1009 (1012). 81 So auch Hauser, IT-Grundrecht, S. 177; Hoffmann-Riem, JZ 2008, 1009 (1012); Luch, MMR 2011, 75 (76).

60

2. Kap.: Grundrechtlicher Rechtsrahmen

wenn auf das System insgesamt zugegriffen wird82, sodass Leistungen, Funktionen oder Speicherinhalte vom Eindringenden potentiell genutzt werden können.83 Anders als in Art. 8 Abs. 1 EMRK und Art. 7 GrCh ist die Vertraulichkeit der Kommunikation als Teilbereich der Privatheit im Grundgesetz selbständig in Art. 10 Abs. 1 GG normiert. Das Brief-, Post- und Fernmeldegeheimnis aus Art. 10 Abs. 1 GG gewährleistet die freie Persönlichkeitsentfaltung durch einen privaten, vor der Öffentlichkeit verborgenen Austausch von Informationen.84 Das Fernmeldegeheimnis schützt die Vertraulichkeit der Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs.85 Dabei ist der Begriff der Telekommunikation nicht technisch i. S. d. TKG, sondern entwicklungsoffen zu verstehen, sodass z. B. Funkverkehr erfasst wird.86 Geschützt sind Inhalt und nähere Umstände der Telekommunikation87, wozu Ort, Zeit sowie Art und Weise des unkörperlichen Kommunikationsvorgangs gehören88. In seinem IMSI-Catcher-Beschluss hat das BVerfG entschieden, dass der Schutzbereich allerdings nicht eröffnet ist, wenn ausschließlich technische Geräte miteinander kommunizieren, um die Betriebsbereitschaft sicherzustellen und ein menschlich veranlasster Informationsaustausch über Kommunikationsinhalte fehlt.89 Diese Ansicht bestätigte das BVerfG in seinem Surfen-im-Internet-Beschluss aus dem

82

BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 Rn. 201 – ITGrundrecht; zum Abgrenzungsstreit siehe Hauser, IT-Grundrecht, S. 197–205 m. w. N. 83 BVerfG, Urt. v. 27. 2. 2008 – 1 BvR 370/07, 1 BvR 595/07, NJW 2008, 822 Rn. 204 – ITGrundrecht; erfolgt die Ortung clientbasiert über eine vom Arbeitgeber zur Verfügung gestellte Endeinrichtung, wird in den Schutzbereich eingegriffen, wenn der Beschäftigte nicht mit einem Zugriff rechnen muss, vgl. Hauser, IT-Grundrecht, S. 107. 84 StRspr. BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976 Rn. 64 – Telekommunikationsüberwachung; das Fernmeldegeheimnis verdrängt das informationelle Selbstbestimmungsrecht im Wege der Spezialität, siehe BVerfG, Urt. v. 20. 6. 1984 – 1 BvR 1494/78, NJW 1985, 121 (122) – Post- und Telefonkontrolle. 85 BVerfG, Beschl. v. 20. 6. 1984 – 1 BvR 1494/78, NJW 1985, 121 (122) – Post- und Telefonkontrolle. 86 BVerfG, Urt. v. 2. 3. 2006 – 2 BvR 2099/04, NJW 2006, 976 Rn. 67 – Telekommunikationsüberwachung; Maunz / Dürig / Durner, GG, Art. 10 Rn. 107; zum Begriff des „Telekommunikationsgeheimnisses“ BeckOK GG / Ogorek, Art. 10 Rn. 35 m. w. N. 87 BVerfG, Beschl. v. 9. 10. 2002 – 1 BvR 1611/96, 1 BvR 805/98, NJW 2002, 3619 (3620) – Mithörvorrichtung; Dreier / Hermes, GG, Art. 10 Rn. 42. 88 Statt vieler BVerfG, Beschl. v. 27. 10. 2006 – 1 BvR 1811/99, NJW 2007, 3055 Rn. 12 – Einzelverbindungsnachweis; Maunz / Dürig / Durner, GG, Art. 10 Rn. 112. 89 BVerfG, Beschl. v. 22. 8. 2006 – 2 BvR 1345/03, NJW 2007, 351 Rn. 55–62 – IMSI-Catcher; in diese Richtung auch BGH, Beschl. v. 8. 2. 2018 – 3 StR 400/17, NJW 2018, 2809 Rn. 5; zust. BeckOK Informations- und MedienR / Gersdorf, Art. 10 GG Rn. 15; BeckOK GG / Ogorek, Art. 10 Rn. 56.1; a. A. noch BGH, Beschl. v. 21. 2. 2001 – 2 BGs 42/01, NJW 2001, 1587; BGH, Urt. v. 14. 3. 2003 – 2 StR 341/02, NJW 2003, 2034 f.; kritisch zur Entscheidung des BVerfG Nachbaur, NJW 2007, 335 ff.; Marosi / Skobel, DÖV 2018, 837 (840 ff.); folgt man der Ansicht des BVerfG ist die im Rahmen der unter §2 B I. beschriebenen Ortungssysteme erfolgende Kommunikation zwischen Endeinrichtungen nicht vom Schutzbereich von Art. 10 Abs. 1 GG erfasst, so auch Frenz, NVwZ 2007, 631 (632 f.).

§ 3 Grundrechtlicher Datenschutz auf europäischer und nationaler Ebene

61

Jahr 2016.90 In der Literatur wird die Auffassung des BVerfG zur sog. „Machineto-Machine-Kommunikation (M2M)“ vor dem Hintergrund in Frage gestellt, dass aufgrund der wachsenden Bedeutung vernetzter Kommunikation der Informationsaustausch in immer mehr Anwendungsfällen ohne menschliche Veranlassung erfolgt und daher nicht von Art. 10 Abs. 1 GG erfasst wird.91

D. Zwischenergebnis Der Schutz vor der Verarbeitung personenbezogener Daten ist auf völkerrechtlicher, unionsrechtlicher und nationaler Ebene grundrechtlich abgesichert. Dabei wird unterschiedlich beurteilt, ob die Daten einen Bezug zum Privatleben des Betroffenen haben müssen, damit der Grundrechtsschutz greift. Der EGMR fordert in Art. 8 Abs. 1 EMRK einen solchen Privatlebensbezug. Dieser soll entweder bestehen, wenn die Daten inhaltlich einen Bezug zum Privatleben haben, was auch bei Datenverarbeitungen im Beschäftigungskontext der Fall sein kann, oder wenn Daten – unabhängig von ihrem Inhalt – umfangreich und systematisch verarbeitet werden. Der EuGH hat sich bislang nicht eindeutig geäußert. Da der EuGH Art. 8 GrCh stets gemeinsam mit Art. 7 GrCh prüft, fordert er jedenfalls einen engen Zusammenhang zum Privatleben. Nach hier vertretener Ansicht ist Art. 8 Abs. 1 GrCh ein Kombinationsgrundrecht ohne selbständiges Schutzgut, das stets gemeinsam mit Art. 7 GrCh zu prüfen ist und keinen über den Privatlebensschutz hinausgehenden Schutz gewährleistet. Die Bedeutung von Art. 8 GrCh erschöpft sich in der Hervorhebung der Bedeutung des Datenschutzes und der Bereitstellung von Detailregelungen. Im Ergebnis entspricht der Schutzbereich von Art. 8 Abs. 1 GrCh i. V. m. Art. 7 GrCh dem durch Art. 8 Abs. 1 EMRK gewährten Datenschutz. Damit werden vom Schutzbereich nur Datenverarbeitungen erfasst, bei denen das Risiko besteht, dass Informationen über Verhaltensweisen oder persönliche Merkmale des Betroffenen an Dritte gelangen. Das BVerfG vertritt mit Blick auf das Grundgesetz eine andere Auffassung und sieht den Schutzbereich bereits als eröffnet an, wenn personenbezogene Daten verarbeitet werden, ohne einen über den Personenbezug hinausgehenden Privatlebensbezug zu fordern. Damit schreibt das BVerfG dem Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1  Abs. 1 GG ein selbständiges Schutzgut zu, nämlich die Hoheit des Betroffenen über ihn betreffende personenbezogene Daten. Über das Recht auf informationelle Selbstbestimmung hinaus schützt das BVerfG die Vertraulichkeit und Integrität informationstechnischer Systeme sowie die Vertraulichkeit eines Telekommunikationsvorgangs.

90

BVerfG, Beschl. v. 6. 7. 2016 – 2 BvR 1454/13, NJW 2016, 3508 Rn. 38 – Surfen-im-Internet; zusammenfass. Marosi / Skobel, DÖV 2018, 837 (841 f.). 91 Marosi / Skobel, DÖV 2018, 837 ff. m. w. N.; ausführl. zu M2M-Kommunikation Langner, InTer 2016, 28 ff.

62

2. Kap.: Grundrechtlicher Rechtsrahmen

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten A. Maßgebliche Grundrechtsordnung Durch die DSGVO hat sich der Bezugsrahmen für die Verarbeitung personenbezogener Daten von der nationalen Ebene auf die Unionsebene verschoben.92 Damit stellt sich die Frage, ob Mitgliedstaaten bei der Anwendung der DSGVO Unionsgrundrechte oder nationale Grundrechte zu berücksichtigen haben. I. DSGVO grundsätzlich an Unionsgrundrechten zu messen Nach Art. 51 Abs. 1 GrCh sind Mitgliedstaaten nur an die Unionsgrundrechte gebunden, wenn sie Unionsrecht „durchführen“. In diesem Fall werden nationale Grundrechte aufgrund des Vorrangs des Unionsrechts93 verdrängt. Zu diesem Ergebnis kommen sowohl der EuGH als auch das BVerfG94, das unionsrechtlich vollständig determinierte Sachverhalte neuerdings sogar am Maßstab der Unionsgrundrechte selbst prüft95. Sofern die DSGVO abschließende und zwingende Vorgaben für die Verarbeitung personenbezogener Daten macht, ist das von den Mitgliedstaaten angewandte Datenschutzrecht in substantieller Weise durch Unionsrecht determiniert, sodass nach zutreffender herrschender Meinung Unionsrecht durchgeführt wird und allein die Unionsgrundrechte anzuwenden sind.96 Dieses Ergebnis ist einleuchtend. Stellt die EU ein politisch definiertes Rechtsprogramm auf, müssen auch die von ihr definierten Grundrechte zum Tragen kommen.97 Zudem zielt die DSGVO gerade auf eine Vereinheitlichung des Datenschutzes auf Unionsebene ab.98 Dieses Ziel kann nur erreicht werden, wenn die Datenverarbeitung im Anwendungsbereich der DSGVO an den Unionsgrundrechten zu messen ist. Es entspricht gerade der

92

Ebenso Düwell / Brink, NZA 2017, 1081 (1085). Siehe dazu EuGH, Urt. v. 15. 7. 1964 – C-6/64, ECLI:EU:C:1964:66 – Costa / E . N. E. L.; ausführlich Grabitz / Hilf / Nettesheim / Nettesheim, EU-Recht, Art. 1 AEUV Rn. 71–81. 94 Vgl. EuGH, Urt. v. 8. 9. 2010 – C-409/06, ECLI:EU:C:2010:503 Rn. 61 – Winner Wetten; BVerfG, Beschl. v. 22. 10. 1986 – 2 BvR 197/83, NJW 1987, 577 (580) – Solange II; BVerfG, Beschl. v. 7. 6. 2000 – 2 BvL 1/97, NJW 2000, 3124 f. – Bananenmarktordnung. 95 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 276/17, NJW 2020, 314 Rn. 50 – Recht auf Vergessenwerden II. 96 So auch BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 314 Rn. 37–49 – Recht auf Vergessen II; BVerfG, Beschl. v. 27. 5. 2020 – 1 BvR 2618/13, NJW 2020, 2699 Rn. 86 f. – Bestandsdatenauskunft II; Auer-Reinsdorff / Conrad / Conrad, HdB DatenschutzR, § 34 Rn. 16– 20; Hoffmann, NVwZ 2020, 33 (35); Klement, JZ 2017, 161 (167 f.); Lenaerts, EuGRZ 2015, 353 (357 ff.); Masing, JZ 2015, 477 (482); Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 194. 97 Ebenso Masing, JZ 2015, 477 (482). 98 Siehe EG 9 und 10 DSGVO. 93

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

63

Funktion der Unionsgrundrechte, dort Schutz zu gewähren, wo nationale Grundrechte wegen der Einheit des Unionsrechts nicht greifen können.99 II. Unklare Gemengelage bei Gestaltungsoffenheit der DSGVO Macht die DSGVO keine zwingenden Vorgaben, sondern ist insofern gestaltungsoffen, als dass sie eine Vielfalt nationaler Regelungen ermöglicht, ist unklar, welche Grundrechtsordnung den Prüfungsmaßstab bildet. Darf der Mitgliedstaat in diesem Fall die nationale Regelung anhand der nationalen Grundrechte auslegen oder gilt auch hier der Prüfungsmaßstab der Unionsgrundrechte? Diese Frage ist im Bereich des Beschäftigtendatenschutzes brisant, da Art. 88 DSGVO die Mitgliedstaaten ermächtigt „spezifischere Vorschriften“ zu erlassen. 1. EuGH: Maßgeblichkeit der Unionsgrundrechte Der EuGH macht die Anwendbarkeit der Unionsgrundrechte vom Begriff der „Durchführung von Unionsrecht“ i. S. v. Art. 51 Abs. 1 GrCh abhängig und legt diesen weit aus.100 Ursprünglich ging der EuGH davon aus, dass die Grundrechtecharta – quasi akzessorisch – im gesamten Anwendungsbereich des Unionsrechts gilt und „keine Fallgestaltung denkbar“ sei, die vom Unionsrecht erfasst würde, ohne dass die Unionsgrundrechte anwendbar seien.101 In den Rechtssachen Siragusa und Hernández hat der EuGH diese Rechtsauffassung relativiert und macht die Anwendbarkeit der Unionsgrundrechte – immer noch sehr weitgehend – nunmehr von einem spezifischen Zusammenhang zwischen nationaler Maßnahme und Unionsrecht abhängig.102 Danach führen Mitgliedstaaten Unionsrecht durch, wenn die zu entscheidende Fallgestaltung einem Bereich angehört, der durch Unionsrecht (mit-)geregelt ist und daher an Unionsrecht anknüpft.103 In der Konsequenz nimmt der EuGH eine Bindung der Mitgliedstaaten an Unionsgrundrechte auch im Fall von durch Mitgliedstaaten genutzten Umsetzungsspielräumen an. Beispielsweise verlangte er in der Rechtssache Chakroun, dass sich die Umsetzung einer auslän-

99

So auch Masing, JZ 2015, 477 (481). EuGH, Urt, v. 26. 2. 2013 – C-617/10, ECLI:EU:C:2013:280 Rn. 16–31 – Åkerberg Fransson; EuGH, Urt. v. 30. 4. 2014 – C-390/12, ECLI:EU:C:2014:281 Rn. 30–36 – Pfleger u. a. 101 EuGH, Urt, v. 26. 2. 2013 – C-617/10, ECLI:EU:C:2013:280 Rn. 21 – Åkerberg Fransson; EuGH, Urt. v. 30. 4. 2014 – C-390/12, ECLI:EU:C:2014:281, Rn. 34 – Pfleger u. a. 102 EuGH, Urt. v. 6. 3. 2014 – C-206/13, ECLI:EU:C:2014:126 Rn. 24–26 – Siragusa; EuGH, Urt. v. 10. 7. 2014 – C-198/13, ECLI:EU:C:2014:2055 Rn. 34–37 – Hernández; EuGH, Urt. v. 6. 10. 2016 – C-218/15, ECLI:EU:C:2016:748 Rn. 14 – Paoletti u. a.; EuGH, Urt. v. 17. 9. 2014 – C-562/12, ECLI:EU:C:2014:2229 Rn. 62 – Liivimaa Lihaveis; Meyer / Hölscheidt / Schwerdtfeger, GrCh, Art. 51 Rn. 46. 103 EuGH, Urt. v. 6. 3. 2014  – C-206/13, ECLI:EU:C:2014:126 Rn. 26  – Siragusa; Jarass, GrCh, Art. 51 Rn. 23–25. 100

64

2. Kap.: Grundrechtlicher Rechtsrahmen

derrechtlichen Richtlinie an den Unionsgrundrechten orientiert.104 Wenig später stellte der EuGH in der Rechtssache N.S u. a. fest, dass das in einer Asylverordnung eingeräumte Ermessen durch Unionsgrundrechte eingeschränkt sein kann.105 Diese Ansicht führt dazu, dass eine Datenverarbeitung, die in den Anwendungsbereich der DSGVO106 fällt, stets an den Unionsgrundrechten zu messen ist, unabhängig davon, ob die Mitgliedstaaten in der Sache Wahlmöglichkeiten haben oder Ausnahmetatbestände nutzen.107 Als Folge dieser Konzeption akzeptiert der EuGH, dass es in Bereichen mit Umsetzungs- oder Gestaltungsspielräumen zu einer Doppelgeltung von Unionsgrundrechten und nationalen Grundrechten kommt.108 Unklar ist, wie diese Doppelgeltung im Einzelfall aufzulösen ist. Einen Anhaltspunkt bietet Art. 53 GrCh, wonach im Fall sich überlappender Grundrechtsgarantien – wie im Bereich des Datenschutzes – die Grundrechtsordnung angewendet werden soll, die für den Grundrechtsträger das günstigste Ergebnis „auswirft“. Bei mehrpoligen Grundrechtsverhältnissen, in denen mehrere Grundrechtsträger mit entgegenstehenden Rechtspositionen beteiligt sind, stößt dieses Günstigkeitsprinzip jedoch an seine Grenzen. Hier lässt sich ein „Mehr“ an Schutz nicht feststellen, da ein „Mehr“ an Grundrechtsschutz auf der einen Seite gleichzeitig ein „Weniger“ auf der anderen Seite zur Folge hat.109 Die Kollisionen können in der Konsequenz nur mithilfe des Anwendungsvorrangs des Unionsrechts aufgelöst werden.110 Davon geht auch der EuGH aus, der ausführt, dass durch die Anwendung nationaler Schutzstandards „weder das Schutzniveau der Charta, wie sie vom Gerichtshof ausgelegt wird, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtig werden [dürfen]“.111 2. BVerfG: Maßgeblichkeit der nationalen Grundrechte Das BVerfG ging lange Zeit mit seiner „Trennungsthese“ davon aus, dass eine bestimmte Fallkonstellation entweder vom Grundgesetz (unterschiedliches nationales Recht) oder von den Unionsgrundrechten (vereinheitlichtes Unionsrecht) 104

EuGH, Urt. v. 4. 3. 2010 – C-578/08, ECLI:EU:C:2010:117 Rn. 43 f. – Chakroun; zuvor bereits EuGH, Urt. v. 27. 6. 2006 – C-540/03, ECLI:EU:C:2005:517 Rn. 104 f. – Parlament / Rat; Masing, JZ 2015 477 (482). 105 EuGH, Urt. v. 21. 12. 2011  – C-411/10, C-493/10, ECLI:EU:C:2011:865 Rn. 64 ff.  – N. S. u. a.; Masing, JZ 2015, 477 (482). 106 Dieser ist wiederum durch den Anwendungsbereich des Unionsrechts begrenzt, vgl. Art. 2 Abs. 2 lit. a) DSGVO. 107 Buchholtz, in: Rechtskultur u. Globalisierung, S. 103; vgl. Masing, JZ 2017, 477 (482). 108 EuGH, Urt, v. 26. 2. 2013 – C-617/10, ECLI:EU:C:2013:280 Rn. 29 – Åkerberg Fransson; EuGH, Urt. v. 26. 2. 2013 – C-399/11, ECLI:EU:C:2013:107 Rn. 60 – Melloni; sog. „Verbindungsthese des EuGH“ siehe dazu Buchholtz, in: Rechtskultur u. Globalisierung, S. 103 f.; Franzius, ZaöRV 2015, 383 (388 f.). 109 Masing, JZ 2015, 477 (484); Buchholtz, in: Rechtskultur u. Globalisierung, S. 106. 110 Franzius, EuGRZ 2015, 139 (143); Buchholtz, in: Rechtskultur u. Globalisierung, S. 106. 111 EuGH, Urt, v. 26. 2. 2013 – C-617/10, ECLI:EU:C:2013:280 Rn. 29 – Åkerberg Fransson.

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

65

erfasst wird.112 An dieser Trennung hielt das BVerfG auch in Bereichen fest, in denen das Unionsrecht gestaltungsoffen ist und wendete allein nationale Grundrechte an.113 Nunmehr hat das BVerfG in seiner ersten Entscheidung zum „Recht auf Vergessenwerden“ seine Trennungsthese aufgehoben und erklärt, dass auf einen Sachverhalt sowohl die Unionsgrundrechte als auch die Grundrechte des Grundgesetzes anwendbar sein können.114 Dennoch prüft das BVerfG nicht vollständig unionsrechtlich determinierte Sachverhalte weiterhin am Maßstab nationaler Grundrechte.115 Zwar legt es die nationalen Grundrechte im Lichte der Unionsgrundrechte aus.116 Für eine unmittelbare Anwendung der Unionsgrundrechte bestehe aber kein Bedürfnis, da das Unionsrecht im Fall der Gestaltungsoffenheit nicht auf Einheitlichkeit abziele, sondern Grundrechtsvielfalt zulasse.117 Es greife die Vermutung, dass das Schutzniveau der Charta durch die Anwendung der Grundrechte des Grundgesetzes mitgewährleistet ist.118 Eine Prüfung unmittelbar an den Unionsgrundrechten sei in nicht vollständig unionsrechtlich determinierten Sachverhalten nur geboten, wenn ausnahmsweise Anhaltspunkte dafür bestehen, dass durch die Anwendung allein der nationalen Grundrechte das Schutzniveau der Unionsgrundrechte nicht gewahrt werde.119 III. Keine Gestaltungsoffenheit im Beschäftigtendatenschutz Die Ansicht des EuGH ist abzulehnen, da sie – wie oben dargelegt120 – zu einer Verdrängung nationaler Grundrechtsstandards führt. Vorzugswürdig ist der Ansatz des BVerfG, wonach im Fall einer Gestaltungsoffenheit die nationalen Grundrechte maßgeblich sind, dieser aber anhand der GrCh ausgelegt werden müssen, 112

BVerfG, Beschl. v. 22. 10. 1986  – 2 BvR 197/83, NJW 1987, 577 (579)  – Solange II; BVerfG, Beschl. v. 13. 3. 2007  – 1 BvF 1/05, NVwZ 2007, 937 (938)  – Emissionshandel; BVerfG, Beschl. v. 14. 10. 2008 – 1 BvF 4/05, NVwZ-RR 2009, 655 Rn. 84 f. – Agrarmarktbeihilfen; ausführl. zur Trennungsthese Thym, NVwZ 2013, 889 (892). 113 BVerfG, Urt. v. 18. 7. 2005 – 2 BvR 2236/04, NJW 2005, 2289 (2290 f.) – Europäischer Haftbefehl; BVerfG, Urt. v. 24. 4. 2013 – 1 BvR 1215/07, NJW 2013, 1499 Rn. 88 – Antiterrordatei. 114 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 43 – Recht auf Vergessenwerden I; siehe dazu Karpenstein / Kottmann, EuZW 2020, 185 ff. 115 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 42, 45 – Recht auf Vergessenwerden I; BVerfG, Beschl. v. 27. 5. 2020 – 1 BvR 2618/13, NJW 2020, 2699 Rn. 86 f. – Bestandsdatenauskunft II. 116 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 46 – Recht auf Vergessenwerden I; Kühling, NJW 2020, 275 (279). 117 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 50–54 – Recht auf Vergessenwerden I. 118 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 55–59 – Recht auf Vergessenwerden I. 119 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 67–69 – Recht auf Vergessenwerden I. 120 Siehe oben § 4 A. II. 1.

66

2. Kap.: Grundrechtlicher Rechtsrahmen

sofern dies nicht zu einer Einschränkung des Grundrechtsschutztes führt (vgl. Art. 53 EMRK).121 Da das Unionsrecht auch im Bereich des Beschäftigtendatenschutzes ein Rechtsprogramm vorgibt, ist der Beschäftigtendatenschutz allerdings unionsrechtlich nicht gestaltungsoffen geregelt, sodass die Grundrechte der Europäischen Grundrechtecharta anzuwenden sind.122 Zwar lässt Art. 88 Abs. 1 DSGVO ausdrücklich „spezifischere Vorschriften“ zu. Gestaltungsoffenheit verlangt aber mehr als die Möglichkeit, abweichende Regelungen zu schaffen.123 Nach überzeugender Ansicht des BVerfG ist eine Öffnungsklausel nur gestaltungsoffen, wenn sie auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt ist, und nicht, wenn sie nur dazu dienen soll, besonderen Sachgebieten hinreichend flexibel Rechnung tragen zu können, ohne vom Ziel der gleichförmigen Rechtsanwendung abzuweichen.124 Das BVerfG ordnet Art. 85 DSGVO als gestaltungsoffen ein und sieht nationale Vorschriften, die den durch Art. 6 Abs. 2 und 3 DSGVO geschaffenen Raum ausfüllen, ebenfalls als nicht vollständig determiniertes Unionsrecht an.125 In beiden Fällen wendet es nationale Grundrechte an. Die Literatur beschäftigt sich wenig mit der Frage der Gestaltungsoffenheit im Hinblick auf die anzuwendende Grundrechtsordnung126, dafür aber umso mehr mit der Frage, welche Regelungsoptionen die Mitgliedstaaten haben, also ob überhaupt und wenn ja in welche Richtung Abweichungen vom Datenschutzniveau der DSGVO erlaubt sind (Stichwort Vollharmonisierung oder Mindestharmonisierung). Einzelne Argumente aus der Diskussion zur Abweichungsmöglichkeit können auch bei der Frage der Gestaltungsoffenheit herangezogen werden. Unabhängig davon, dass sich der Streit um die Abweichungsmöglichkeit im Kreis dreht127, ist aber zu beachten, dass die Frage der Gestaltungsoffenheit nicht deckungsgleich mit der Frage der Abweichungsmöglichkeit ist. Selbst wenn für eng eingegrenzte Sonderfälle abweichende Regelungen geschaffen werden dürfen, folgt daraus noch nicht, dass Art. 88 DSGVO gestaltungsoffen ist. Maßgeblich ist allein, ob die Mitgliedstaaten den Beschäftigten-

121

So auch Buchholtz, in: Rechtskultur u. Globalisierung, S. 97–117; Bäcker, EuR 2015, 389 (408 f.). 122 Ebenso Franzen, ZfA 2019, 18 (23); i. E. auch Albrecht / Janson, CR 2016, 500 (505 f.); Klement, JZ 2017, 161 (168); a. A. Maier, Berufsbezogene Erreichbarkeit, S. 257; anders für Art. 86 DSGVO Wolff, LMuR 2020, 1 (8). 123 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 276/17, NJW 2020, 314 Rn. 79 – Recht auf Vergessenwerden II. 124 BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 276/17, NJW 2020, 314 Rn. 79 f. – Recht auf Vergessenwerden II. 125 BVerfG, Beschl. v. 27. 5. 2020 – 1 BvR 2618/13, NJW 2020, 2699 Rn. 86 f. – Bestandsdatenauskunft II. 126 So aber Maier, Berufsbezogene Erreichbarkeit, S. 255–257; Albrecht / Janson, CR 2016, 500 (505 f.); Wolff, LMuR 2020, 1 (8). 127 Zum Streit unten § 6 C. I. 1. 

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

67

datenschutz in einem Umfang grundlegend frei gestalten dürfen, der es rechtfertigt, den Beschäftigtendatenschutz insgesamt an nationalen Grundrechten zu messen.128 1. Wortlaut Gegen eine freie Gestaltungsmöglichkeit spricht zum einen der Wortlaut von Art. 88 Abs. 1 DSGVO, der den Mitgliedstaaten den Erlass „spezifischerer Vorschriften“ ermöglicht. Der Begriff „spezifischer“ kann so verstanden werden, dass überhaupt nationale Regelungen im Bereich des Beschäftigtendatenschutzes erlaubt sind, ohne dass damit eine Aussage über den Umfang der Abweichungsmöglichkeit von den allgemeinen Regeln der DSGVO getroffen wird.129 Überzeugender ist ein Begriffsverständnis, nach dem die Mitgliedstaaten den Beschäftigtendatenschutz zwar ausgestalten, ihn aber nicht grundlegend neu gestalten dürfen.130 Dafür lassen sich die englische „more specific rules“ und die französische Sprachfassung „règles plus spécifiques“ anführen. Beide Sprachfassungen deuten aufgrund der Steigerungsformen „more“ und „plus“ darauf hin, dass „speziellere Vorschriften“ gemeint sind.131 Die deutsche Übersetzung „spezifischere“ ist unglücklich gewählt, da sich der Begriff nicht steigern lässt.132 2. Systematik In systematischer Hinsicht deutet ein Vergleich mit anderen Öffnungsklauseln stark auf eine fehlende Gestaltungsoffenheit im Bereich des Beschäftigtendatenschutzes hin. Ein Vergleich der Öffnungsklauseln zeigt, dass der Unionsgesetzgeber verschiedene Formulierungen gewählt hat, um auszudrücken, in welchem Umfang die Mitgliedstaaten von den allgemeinen Regelungen abweichen dürfen.133 Beispielsweise gestattet Art. 9 Abs. 4 DSGVO den Mitgliedstaaten für die Verarbeitung von genetischen-, biometrischen- oder Gesundheitsdaten „zusätzliche Bedingungen, einschließlich Beschränkungen“ einzuführen oder aufrecht-

128

Vgl. BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 276/17, NJW 2020, 314 Rn. 79 f. – Recht auf Vergessenwerden II. 129 So Jerchel / Schubert, DuD 2016, 782 (783); Körner, NZA 2016, 1383; BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 67; Taeger / Rose, BB 2016, 819 (830). 130 Ebenso Klösel / Mahnhold, NZA 2017, 1428 (1430); Düwell / Brink, NZA 2016, 665 (666), die „spezifischere Vorschriften“ mit „dem Beschäftigtendatenschutz eigentümliche Vorschriften“ übersetzen, die nicht von den Grundregeln der DSGVO abweichen dürfen; a. A. Taeger /  Rose, BB 2016, 819 (830). 131 So auch Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 33. 132 Ebenso Düwell / Brink, NZA 2016, 665 (666); Kühling / Buchner / Maschmann, DSGVO /  BDSG, Art. 88 DSGVO Rn. 33. 133 Gola / Pötters / T hüsing, RDV 2016, 57 (59); Kühling / Buchner / Maschmann, DSGVO /  BDSG, Art. 88 DSGVO Rn. 35.

68

2. Kap.: Grundrechtlicher Rechtsrahmen

zuerhalten. Am weitestgehend ist die Öffnungsklausel in Art. 85 Abs. 2 DSGVO, wonach „Abweichungen oder Ausnahmen“ zu näher aufgeführten Kapiteln der DSGVO vorgesehen werden dürfen, insbesondere auch zu den Grundätzen in Kapitel 2.134 Im Kontrast dazu erlauben andere Öffnungsklauseln – wie im Bereich des Beschäftigtendatenschutzes  – nur „spezifische / spezifischere / nähere“ „Vorschriften / Bestimmungen / Bedingungen“.135 Das deutet darauf hin, dass innerhalb der letztgenannten Fallgruppe zwar ein Gestaltungsspielraum besteht, der Bereich insgesamt aber nicht gestaltungsoffen ist.136 Die Voraussetzungen einer rechtmäßigen Datenverarbeitung können genauer bestimmt, nicht aber abweichend vom Ziel der Vollharmonisierung grundlegend neu gestaltet werden.137 Dafür spricht auch Art. 6 Abs. 2 DSGVO, wonach die Mitgliedstaaten „spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften [der DSGVO]“ beibehalten oder einführen können.138 In diese Richtung geht auch Erwägungsgrund 8 DSGVO, wonach in der DSGVO „Präzisierungen oder Einschränkungen […] durch das Recht der Mitgliedstaaten vorgesehen sind“.139 Aufschlussreich ist zudem Erwägungsgrund 10 S. 3 DSGVO, wonach „die Mitgliedstaaten die Möglichkeit haben [sollten], nationale Bestimmungen, mit denen die Anwendung der Vorschiften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen“.140 Wollte der Verordnungsgesetzgeber im Bereich des Beschäftigtendatenschutzes wesentliche Abweichungsmöglichkeiten schaffen, hätte er diese angesichts der an sich vollharmonisierenden Wirkung der DSGVO wie in Art. 85 Abs. 2 DSGVO deutlicher im Wortlaut ausgedrückt.141 3. Historie Auch die Entstehungsgeschichte von Art. 88 DSGVO spricht gegen eine Gestaltungsoffenheit im Beschäftigtendatenschutz. Zwar liefert das Gesetzgebungsverfahren keine eindeutigen Belege. Sowohl der Entwurf der Europäischen Kom-

134

Zur Gestaltungsoffenheit des Medienprivilegs siehe BVerfG, Beschl. v. 6. 11. 2019  – 1 BvR 16/13, NJW 2020, 300 Rn. 74 – Recht auf Vergessenwerden I; Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 1318 f. 135 Vgl. Art. 6 Abs. 2, 87, 88 DSGVO. 136 Vgl. Franzen, EuZA 2017, 313 (344 f.); Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 35; ders., DB 2016, 2480 (2483). 137 Spelge, DuD 2016, 775 (776). 138 Hervorhebung durch Verfasserin; so auch Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 1334; a. A. wohl BVerfG, Beschl. v. 27. 5. 2020 – 1 BvR 2618/13, NJW 2020, 2699 Rn. 86 – Bestandsdatenauskunft II. 139 Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 73 sieht darin ebenfalls ein Indiz. 140 Hervorhebung durch Verfasserin; Kühling / Buchner / Maschmann, DSGVO / BDSG, Art.  88 DSGVO Rn. 33; vgl. auch EG 10 S. 6 DSGVO. 141 Ebenso Gola / Pötters / T hüsing, RDV 2016, 57 (59); Maier, DuD 2017, 169 (172 f.); ­Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 33.

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

69

mission („in den Grenzen dieser Verordnung“)142 als auch der des Europäischen Parlaments („im Einklang mit den Regelungen dieser Verordnung“, „unbeschadet der übrigen Vorschriften dieser Verordnung umfassen die in Absatz 1 genannten Rechtsvorschriften der Mitgliedstaaten wenigstens die folgenden Mindeststandards“)143 deuteten mit ihren Formulierungen einen stark beschränkten Gestaltungsspielraum der Mitgliedstaaten an.144 Diese Passagen wurden mit der Entwurfsfassung des Rates145 zurückgewiesen, die sich über den Trilog schließlich im endgültigen Wortlaut von Art. 88 Abs. 1 DSGVO niedergeschlagen hat.146 Dabei ist davon auszugehen, dass die Mitgliedstaaten vor allem die weitreichenden inhaltlichen Vorgaben im Entwurf des Parlaments verhindern wollten, um einen größeren Gestaltungsspielraum zu haben.147 Gleichwohl kann aus der Zurückweisung nicht auf eine Entscheidung des Unionsgesetzgebers für eine Gestaltungsoffenheit des Beschäftigtendatenschutzes geschlossen werden. Zum einen können andere Beweggründe vordergründig gewesen sein wie z. B. die Schaffung einer einheitlichen Terminologie mit den weiteren Bestimmungen der DSGVO.148 Zum anderen ist festzuhalten, dass selbst wenn die Zurückweisung der Entwurfsfassungen mehr Gestaltungsspielraum ermöglichen sollte, daraus keine vollständige Freigabe des Beschäftigtendatenschutzes folgt.149 Eindeutiger ist ein Vergleicht der Terminologie von Art. 88 Abs. 1 DSGVO mit der Terminologie der Datenschutzrichtlinie (DSRL)150, die durch die DSGVO abgelöst wurde. Nach Art. 5 DSRL durften „die Mitgliedstaaten […] die Voraussetzungen näher [bestimmen], unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist“.151 Da der EuGH die DSRL und insbesondere Art. 5 DSRL als voll-

142

Europäische Kommission, Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, KOM(2012) 11 v. 25. 1. 2012 (im Folgenden: DSGVO-E-KOM), S. 108 f. 143 Europäisches Parlament, Bericht über den Vorschlag für eine Verordnung des Europä­ ischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, A7-0402/2013 v. 21. 11. 2013 (im Folgenden: DSGVO-E-EP), S. 214–218. 144 Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 70; zurückhalt. Franzen, EuZA 2017, 313 (343) u. Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 34. 145 Rat der Europäischen Union, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, 9565/15 v. 11. 6. 2015 (im Folgenden: DSGVO-E-Rat), S. 194. 146 Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 34. 147 So auch Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 34. 148 Benecke / Wagner, DVBl 2016, 600 (603); Paal / Pauly / Pauly, DSGVO / BDSG, Art.  88 DSGVO Rn. 3. 149 Ähnl. Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 34. 150 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie), ABl. L 281, 31 v. 23. 11. 1995. 151 Hervorhebung durch Verfasserin.

70

2. Kap.: Grundrechtlicher Rechtsrahmen

harmonisierend ansah152, spricht die Beibehaltung der Terminologie der „spezifischen“ oder „näheren Vorschriften / Bestimmungen / Bedingungen“ dafür, auch an diesen Stellen der DSGVO von einer fehlenden Gestaltungsoffenheit auszugehen.153 4. Telos Hauptziel der DSGVO ist die Gewährleistung eines gleichmäßigen und hohen Datenschutzniveaus durch eine unionsweit weitgehend einheitliche Anwendung von Datenschutzvorschriften, die zugleich auch Hemmnisse für den Verkehr personenbezogener Daten innerhalb der Union beseitigen soll.154 Dieser Telos spricht gegen eine Gestaltungsoffenheit des Beschäftigtendatenschutzes. Zwar besteht im Bereich des Beschäftigtendatenschutzes Bedürfnis für einen Gestaltungsspielraum der Mitgliedstaaten, da der Beschäftigtendatenschutz in den Mitgliedstaaten aus historischen und kulturellen Gründen unterschiedlich geprägt ist155. Beispielsweise ist die Institution des Betriebsrats in Deutschland eine nationale Besonderheit, die andere Länder nicht oder nur in abgeschwächter Form kennen.156 Aus diesen nationalen Besonderheiten erwächst indes nicht das Bedürfnis für eine Vielfalt an nationalen Regelungen zum Beschäftigtendatenschutz. Sie verlangen Flexibilität für andersartige Schutzmechanismen157, aber keine auf Vielfalt und verschiedene Wertungen angelegte Gestaltungsoffenheit. Vielmehr besteht im Gegenteil das Bedürfnis eines einheitlichen Rechtsrahmens für den Beschäftigtendatenschutz.158 In einer globalisierten Welt mit immer mehr global agierenden Unternehmen ist eine Rechtszersplitterung im Bereich des Beschäftigtendatenschutzes eine große Herausforderung.159 Das gilt insbesondere vor dem Hintergrund, dass gerade im Beschäftigungsverhältnis eine große Menge an Daten verarbeitet wird.160 Haben Arbeitgeber Beschäftigte, die in verschiedenen Mitgliedstaaten tätig sind, machen uneinheitliche nationale Vorschriften ein im Ansatz einheitliches Vorgehen unmöglich.161 Dass der Unionsgesetzgeber eine Öffnungsklausel geschaffen hat, deutet nicht darauf hin, dass der Unionsgesetzgeber den jeweiligen Bereich als gestaltungsof 152

EuGH, Urt. v. 24. 11. 2011 – C-468/10, ECLI:EU:C:2011:777 Rn. 36 und 47 – ASNEF; EuGH, Urt. v. 6. 11. 2003 – C-101/01, ECLI:EU:C:2003:596 Rn. 96 – Lindqvist. 153 Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 34. 154 Vgl. Art. 1 Abs. 1–3 und EG 3, 6, 9 und 10 DSGVO. 155 BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 12; Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 10; ausführlich zum unterschiedlichen Schutzniveau De Hert / L ammerant, Protection of Personal Data in Work-related Relations, S. 25 ff., 36 ff., 49 ff. 156 Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 10. 157 Vgl. Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 1334; BeckOK Datenschutzrecht /  Riesenhuber, Art. 88 DSGVO Rn. 67. 158 So auch Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 37; anders Pötters, RDV 2015, 10 (12 f.). 159 Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 37. 160 Vgl. Taeger / Pohle / Imping, Computerrechts-HdB, 70.9 Rn. 5. 161 Vgl. Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 37.

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

71

fen ansieht.162 Eine Öffnungsklausel geht nicht ins Leere, wenn sie nicht gestaltungsoffen ist. Im von der DSGVO vorgegebenen Rahmen (Grundprinzipien)163 können Mitgliedstaaten und Kollektivparteien im Hinblick auf Verarbeitungen personenbezogener Daten im Beschäftigungskontext jede Regelung treffen, die verhältnismäßig ist164.

B. Kollidierende (grundrechtlich geschützte) Interessen I. Grundrechtlich geschützte Interessen des Beschäftigten 1. Betroffenheit von Art. 8 Abs. 1 i. V. m. Art. 7 GrCh a) Mittelbare Drittwirkung im Beschäftigungsverhältnis Anders als bei einer von einem öffentlichen Arbeitgeber durchgeführten Ortungsmaßnahme, kann in der Ortung durch einen privaten Arbeitgeber mangels Grundrechtsverpflichtung kein Grundrechtseingriff liegen. Gleichwohl müssen bei der Auslegung und Anwendung der DSGVO und anderer einfachgesetzlicher Datenschutzvorschriften Bedeutung und Tragweite der informationellen Privatheit beachtet werden, wenn die Ortung Art. 8 i. V. m. Art. 7 GrCh beeinträchtigt.165 Nach herrschender Meinung entfalten die Grundreche der GrCh – wie die Grundrechte des Grundgesetzes166 – ihre Wirkung nicht nur im Verhältnis zwischen Einzelnem und staatlicher Gewalt, sondern über eine grundrechtskonforme Auslegung einfachgesetzlichen Rechts auch zwischen Privaten (mittelbare Drittwirkung).167 Hinsichtlich des Diskriminierungsverbots aus Art. 21 GrCh und des Rechts auf gerechte und angemessene Arbeitsbedingungen aus Art. 31 GrCh168 nimmt der 162

In diese Richtung Piltz, BDSG, § 26 Rn. 10; Taeger / Gabel / Z öll, DSGVO / BDSG, Art.  88 DSGVO Rn. 16; vgl. auch Kort, ZD 2017, 319 (321 f). 163 Siehe dazu unten § 5 C. 164 Ausführl. dazu unten § 6 C. I. 1.  165 Vgl. EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 68 f. – Google Spain; Specht / Mantz / Bretthauer, HdB Datenschutzrecht, § 2 Rn. 62–64; GSH / Augsberg, EU-Recht, Art.  8 GrCh Rn.  8–10; Meyer / Hölscheidt / Bernsdorff, GrCh, Art. 8 Rn. 23; Jarass, GrCh, Art. 8 Rn. 3; Streinz / Michl, EuZW 2011, 384 (387). 166 Zur mittelbaren Drittwirkung siehe stRspr., BVerfG, Urt. v. 15. 1. 1958 – 1 BvR 400/57, NJW 1958, 257 f. – Lüth; Dreier / Dreier, GG, Vorb. Rn. 96 ff.; Ruffert, JuS 2020, 1 ff. 167 EuGH, Urt. v. 6. 11. 2018  – C-684/16, ECLI:EU:C:2018:874 Rn. 69–81  – Max-PlanckGesellschaft; EuGH, Urt. v. 14. 5. 2019  – C-55/18, ECLI:EU:C:2019:402 Rn. 71  – CCOO; Jarass, GrCh, Art. 51 Rn. 36–43; FGO / Schubert, EU ArbR, Art. 51 GrCh Rn. 45–47; dies., EuZA 2020, 302 ff.; Meyer / Hölscheidt / Schwerdtfeger, GrCh, Art. 51 Rn. 57–59. 168 Zu Diskriminierungsverboten EuGH, Urt. v. 22. 11. 2005 – C-144/04, ECLI:EU:C:2005:709 Rn. 77 – Mangold; EuGH, Urt. v. 17. 4. 2018 – C-414/16, ECLI:EU:C:2018:257 Rn. 77 – Egenberger; zum Urlaubsrecht EuGH, Urt. v. 6. 11. 2018 – C-569/16, C-570/16, ECLI:EU:C:2018:871 Rn. 85 ff. – Bauer und Willmeroth; EuGH, Urt. v. 6. 11. 2018 – C-684/16, ECLI:EU:C:2018:874 Rn. 69–81 – Max-Planck-Gesellschaft; Becker, EuR 2019, 469 (487 f.).

72

2. Kap.: Grundrechtlicher Rechtsrahmen

EuGH in Beschäftigungsverhältnissen sogar eine unmittelbare Drittwirkung169 an. Das betrifft allerdings nicht Art. 7 und 8 GrCh. b) Betroffenheit Der EGMR hat im Jahr 2010 in der Rechtssache Uzun entschieden, dass die von staatlichen Ermittlungsbehörden über einen Zeitraum von mehreren Monaten offen durchgeführte Überwachung einer Person mittels GPS ebenso wie die weitere Verarbeitung der auf diese Weise erlangten Daten in das von Art. 8 Abs. 1 EMRK geschützte Privatleben des Betroffenen eingreift.170 Dabei stellte der EGMR insbesondere auf die umfangreiche Sammlung von Positionsdaten und die damit einhergehende Profilbildung ab.171 Diese Auffassung bestätigte der EGMR kürzlich in der Rechtssache Ben Faiza, in der es ebenfalls um eine staatliche GPS-Überwachung eines Verdächtigen ging.172 Diese Entscheidungen sind richtungsweisend, können aber insbesondere deshalb nur eingeschränkt auf die Ortung von Beschäftigten übertragen werden, weil eine Überwachung im Rahmen eines Beschäftigungsverhältnisses – anders als eine Überwachung im Privatbereich – nur eingeschränkt einen Bezug zum Privatleben des Betroffenen aufweist. Zwar hat der EGMR entschieden, dass eine Videoüberwachung von Beschäftigten vom Schutzbereich des Art. 8 EMRK erfasst wird.173 Ortungsmaßnahmen offenbaren im Vergleich zu Videoüberwachungsmaßnahmen allerdings nur vermindert Aufschluss über Umstände aus dem Privatleben.174 Erfolgt die personenbezogene Ortung – wie im Regelfall – systematisch und dauerhaft und werden die erhobenen Positionsdaten dauerhaft gespeichert, ist die informationelle Privatheit nach der Rechtsprechung des EGMR175 bereits aufgrund dieses Umstands betroffen.176 Durch die systematische Verarbeitung personenbezogener Positionsdaten können Bewegungsprofile entstehen, die im Einzelfall Rück 169 Dagegen GA Trstenjak, Schlussanträge zu EuGH C-282/10, ECLI:EU:C:2011:559 Rn. 83; FGO / Schubert, EU ArbR, Art. 51 GrCh Rn. 42–44; Meyer / Hölscheidt / Schwerdtfeger, GrCh, Art. 51 Rn. 57; Becker, EuR 2019, 469 (487 – 492); Wank, RdA 2020, 1 (4); diff. Jarass, GrCh, Art.  51 Rn.  41 f.; Calliess / Ruffert / Kingreen, EUV / AUV, Art. 51 GrCh Rn. 24–27; dafür GA Cruz Villalón, Schlussanträge zu EuGH C-175/12, ECLI:EU:C:2013:491 Rn. 29 ff.; Frantziou, ELJ 2015, 657 (669 ff.). 170 EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 51 f. – Uzun / Deutschland. 171 EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 51 f. – Uzun / Deutschland. 172 EGMR, Urt. v. 8. 2. 2018 – 31446/12, NLMR 2018, 50 Rn. 53 – Ben Faiza / Frankreich. 173 EGMR, Urt. v. 5. 10. 2010 – 420/07, EuGRZ 2011, 471 (474) – Köpke / Deutschland; EGMR, Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697 Rn. 87–95 – Lopez Ribalda / Spanien. 174 Siehe dazu unten § 7 C. III. 1. a). 175 Siehe oben § 3 A. 176 Ähnlich der Oberste Gerichtshof Spaniens Tribunal Supremo v. 21. 6. 2012  – STS 5259/2012, wonach ein Arbeitnehmer „ein Recht darauf [habe], dass andere nicht in jedem

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

73

schlüsse auf die Person des Betroffenen ermöglichen können.177 In diese Richtung weist auch der EuGH, der in der Möglichkeit, aus einer Datensammlung die Bewegungen einer Person nachvollziehen zu können, eine Gefahr für das Privatleben sieht. In der Rechtssache Digital Rights erkannte er die von Telekommunikationsund Internetdienstanbietern auf Vorrat gespeicherten Daten als vom Schutzbereich erfasst an, da „sehr genaue Schlüsse auf das Privatleben der Personen […] gezogen werden [können], etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte […] [oder] tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen.“178 Werden Beschäftigten-Positionsdaten nicht systematisch erhoben und gespeichert, kommt es nach der Rechtsprechung des EGMR entscheidend darauf an, ob die Daten inhaltlich einen Privatlebensbezug aufweisen.179 Das ist zu bejahen, wenn die Ortung personenbezogen und verdeckt oder außerhalb der Arbeitszeit erfolgt. Dort, wo ein Beschäftigter davon ausgeht, dass Informationen zu seinem Aufenthaltsort vertraulich bleiben, verläuft die Grenze zwischen öffentlichem und privatem Bereich. Daher ist nach ständiger Rechtsprechung des EGMR die Vertraulichkeitserwartung des Betroffenen ein starkes Anzeichen für einen Privatlebensbezug.180 Zwar kann ein Arbeitgeber grundsätzlich sowohl im Innenbereich, als auch im Außenbereich (dort auch jeder Dritte) die Bewegungen eines Beschäftigten durch bloßes Beobachten nachvollziehen.181 Außerhalb der Arbeitszeit sowie bei fehlender Kenntnis des Betroffenen von der Überwachung darf der Betroffene aber vernünftigerweise erwarten, dass seine Positionsdaten nicht verarbeitet werden. Nach zutreffender Ansicht des EGMR besteht auch am Arbeitsplatz Raum für eine vernünftige Erwartung auf Achtung des Privatlebens182, unabhängig davon, ob am Arbeitsplatz ein Verbot privater Tätigkeit gilt183. Werden Beschäftigten-Positionsdaten weder verdeckt oder außerhalb der Ar­ beitszeit noch systematisch erhoben und gespeichert, ist Art. 8 Abs. 1 EMRK nach Moment wissen, wo er sich aufhält und wohin er sich bewegt“. Dieses als Ausprägung des Rechts auf Intimsphäre verfassungsrechtlich garantierte Recht habe der Arbeitgeber mit der Ortung verletzt, s. Zusammenfassung in EuZA 2013, 120 f. 177 Vgl. EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 44 – Uzun / Deutschland m. w. N. 178 EuGH, Urt. v. 8. 4. 2014  – C-293/12, C-594/12, ECLI:EU:C:2014:238 Rn. 27  – Digital Rights; EuGH, Urt. v. 21. 12. 2016 – C-203/15 u. a., ECLI:EU:C:2016:970 Rn. 99 – Tele2 Sverige. 179 Siehe oben unter § 3 A. 180 Siehe oben unter § 3 A. 181 Vgl. EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 44 – Uzun / Deutschland. 182 EGMR, Urt. v. 16. 12. 1992 – 13710/88, EuGRZ 1993, 65 Rn. 28 f. – Niemietz / Deutschland; EGMR, Urt. v. 5. 9. 2016 – 61496/08, NZA 2017, 1443 Rn. 70 f. – Barbulescu / Rumänien; bezugnehmend EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662, Rn. 59 – Schecke u. Eifert. 183 EGMR, Urt. v. 5. 9. 2016 – 61496/08, NZA 2017, 1443 Rn. 80 – Barbulescu / Rumänien; EGMR, Urt. v. 28. 11. 2017 – 70838/13, NLMR 2017, 550 Rn. 44 – Antović u. Mirković / Montenegro; kritisch Seifert, EuZA 2018, 502 (506).

74

2. Kap.: Grundrechtlicher Rechtsrahmen

der Rechtsprechung des EGMR nicht anwendbar. Das ist selbst bei einer gezielt auf den Betroffenen gerichteten184 Ortung überzeugend, da in diesen Fällen nur einzelne, nicht zusammenhängende Aufenthaltsorte nachvollzogen werden können, die im beruflichen Kontext stehen und bei denen keine berechtigte Vertraulichkeitserwartung besteht. Solche Ortungsmaßnahmen kommen selten vor, da der von Arbeitgebern mit Ortungsmaßnahmen verfolgte Zweck auf diese Art und Weise oftmals nicht erreicht werden kann. Das Fernmeldegeheimnis185 als besondere Ausprägung von Art. 8 i. V. m. Art. 7 GrCh ist selbst im Fall einer verdeckten Ortung nicht anwendbar, wenn zur Positionsbestimmung auf die von einer vom Beschäftigten genutzten Endeinrichtung zur Verbindung mit anderen Endeinrichtungen ausgesendeten Signale (sog. Maschine-to-Maschine-Kommunikation)186 zugegriffen wird. Die Maschinenkommunikation erfolgt unabhängig von einem konkreten Kommunikationsvorgang zur bloßen Sicherung der Betriebsbereitschaft ohne individuelle und kommunikative Züge.187 Erfolgt die Ortung nicht über ein Mobiltelefon, ist zudem bereits fraglich, ob das Gerät überhaupt dazu geeignet ist, als Mittel der individuellen Kommunikation zu dienen. Hinzu kommt, dass die „angezapfte“ Endeinrichtung ein Gerät des Arbeitgebers ist, das dieser seinem Beschäftigten zur dienstlichen Nutzung zur Verfügung stellt. Hier ist fraglich, ob der betroffene Beschäftigte von einer Vertraulichkeit der Kommunikation ausgehen darf. Art. 6 GrCh ist mangels Einschränkung der körperlichen Fortbewegungsfreiheit nicht betroffen.188 Gleiches gilt für das durch die allgemeine Handlungsfreiheit189 geschützte Recht190, sich überall hinzubegeben und dort zu verweilen.191 Der Betroffene wird nicht daran gehindert, einen bestimmten Ort aufzusuchen, sondern es wird das Risiko geschaffen, dass das Aufsuchen dieses Ortes nicht folgenlos bleibt.192

184

Vgl. EGMR, Urt. v. 5. 10. 2010 – 420/07, EuGRZ 2011, 471 (474) – Köpke / Deutschland. Ausführl. zum Fernmeldegeheimnis in der EMRK und der GrCh Chadoian, Fernmeldegeheimnis, S. 76–81. 186 Siehe dazu oben § 3 C. 187 Vgl. BVerfG, Beschl. v. 22. 8. 2006  – 2 BvR 1345/03, NJW 2007, 351 Rn. 57  – IMSICatcher; für eine Erfassung von Machine-to-Maschine-Kommunikation Jandt / Steidle / Ambrock, Datenschutz im Internet, A. II. Rn. 25; zur entsprechenden Diskussion im Rahmen von Art. 10 GG oben § 3 C. 188 Vgl. BVerfG, Urt. v. 1. 12. 2020 – 2 BvR 916/11, 2 BvR 636/12, NJOZ 2021, 1391 Rn. 321 – Elektronische Aufenthaltsüberwachung; Gasch, Mauterfassung, S. 344–350; Jarass, GrCh, Art. 6 Rn. 6. 189 Die allgemeine Handlungsfreiheit wird in der GrCh nicht ausdrücklich geschützt, aber vom EuGH über den Grundsatz der Verhältnismäßigkeit als allgemeinen Grundsatz des Unionsrechts beachtet, so Meyer / Hölscheidt / Borowsky, GrCh, Art. 1 Rn. 35; vgl. EuGH, Urt. v. 21. 9. 1989 – 46/87, 227/88, ECLI:EU:C:1989:73 Rn. 19 ff. – Hoechst. 190 Merten, Freizügigkeit, S. 58; Gasch, Mauterfassung, S. 349. 191 So auch Gasch, Mauterfassung, S. 349. 192 Ähnl. Gasch, Mauterfassung, S. 349. 185

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

75

c) Keine Betroffenheit bei sofortiger Löschung oder Anonymisierung von Beschäftigten-Positionsdaten Im Rahmen staatlicher Überwachungsmaßnahmen zeigt das BVerfG insofern einschränkende Tendenzen, als dass ein Grundrechtseingriff ausscheiden soll, „soweit Daten unmittelbar nach der Erfassung technisch wieder spurlos, anonym und ohne die Möglichkeit, [bis zur Löschung oder Anonymisierung oder danach] einen Personenbezug herzustellen, ausgesondert werden“.193 Eine Ausnahme soll nach neuster Rechtsprechung des BVerfG gelten, wenn zwischen der Erhebung der Daten und deren Löschung oder Anonymisierung ein Datenabgleich stattgefunden hat.194 In diesem Fall habe sich das Interesse an den Daten bereits derart verdichtet, dass ein Grundrechtseingriff vorliegt. Der Gedanke des Eingriffsausschlusses lässt sich auf Grundrechtsbeeinträchtigungen durch Private übertragen, da es im Hinblick auf das Schutzbedürfnis keinen Unterschied macht, ob die Grundrechtsbeeinträchtigung durch einen Hoheitsträger oder durch einen Privaten erfolgt. Gleichwohl käme im Fall von Ortungsmaßnahmen ein solcher Ausschluss nicht in Betracht, da auch solche Positionsdaten, die sog. Nichttreffer sind (z. B. im Fall der Ortung zur Einsatzkoordinierung vom System nicht als „optimales Ziel für die Übernahme eines Auftrags“ ausgewählt oder im Fall der Ortung zur persönlichen Sicherheit keine „Übereinstimmung mit dem vorkonfigurierten Notfallszenario“) gezielt erhoben werden, um sie einem Datenabgleich zuzuführen. Sie sind „notwendiger und gewollter Teil der Kontrolle“.195 Dieses Ergebnis mag vor dem Hintergrund der Rechtsprechung des BVerfG zum Recht auf informationelle Selbstbestimmung stimmig sein.196 Jedenfalls mit Blick auf Art. 8 i. V. m. Art. 7 GrCh muss aber eine am Schutzgut der Privatheit orientierte Perspektive eingenommen werden. Danach muss eine Grundrechtsbeeinträchtigung auch ausgeschlossen sein, wenn vor der sofortigen Löschung oder Anonymisierung ein automatischer Datenabgleich stattgefunden hat, sofern technisch sichergestellt ist, dass bis zur Löschung oder Anonymisierung natürliche Personen von den Daten keine Kenntnis nehmen können.197 In diesem Fall besteht keine Gefahr, dass Dritte Informationen erhalten, an die sie Konsequenzen knüpfen können. Der Eingriffsausschluss betrifft allerdings nur Nichttreffer.

193

BVerfG, Urt. v. 14. 7. 1999 – 1 BvR 2226/94, 2420/95 u. 2437/95, NJW 2000, 55 (59) – Telekommunikationsüberwachung; BVerfG, Urt. v. 11. 3. 2008  – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 68 – Kennzeichenerfassung I; siehe dazu Desoi, Videoüberwachung, S. 90 f. m. w. N. 194 BVerfG, Urt. v. 18. 12. 2018 – 1 BvR 142/15, NJW 2019, 827 Rn. 43 ff. – Kennzeichenerfassung II; in diese Richtung bereits Breyer, NVwZ 2008, 824 (825). 195 BVerfG, Urt. v. 18. 12. 2018 – 1 BvR 142/15, NJW 2019, 827 Rn. 50 – Kennzeichenerfassung II. 196 Kritisch Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 155. 197 Vgl. Desoi, Videoüberwachung, S. 90.

76

2. Kap.: Grundrechtlicher Rechtsrahmen

2. Nichtbetroffenheit von Art. 1 GrCh Erfasst eine Überwachungsmaßnahme Sachverhalte, die zum Kernbereich privater Lebensgestaltung gehören oder werden Daten in einem Umfang verarbeitet, der die vollständige Erfassung eines Menschen erlaubt und umfassend Aufschluss über Art und Weise der privaten Lebensführung gibt, ist neben Art. 8 Abs. 1 i. V. m. Art. 7 GrCh auch die durch Art. 1 GrCh absolut198 geschützte Menschenwürde betroffen.199 Art. 1 GrCh schützt wie Art. 1 GG den Menschen als Subjekt und ist daher verletzt, wenn eine Person durch Überwachung zum Objekt herabgewürdigt wird.200 Zu der Frage, ab wann bei einer Überwachung die Schwelle zur Menschenwürdeverletzung überschritten wird, hat sich der EuGH bislang nicht geäußert. Bislang ist der EuGH in seinen Urteilen zum Datenschutz nicht auf die Menschenwürdegarantie aus Art. 1 GrCh eingegangen. Das BVerfG nimmt im Bereich staatlicher Ermittlungsmaßnahmen in ständiger Rechtsprechung eine Menschenwürdeverletzung an, „wenn eine Überwachung sich über einen längeren Zeitraum erstreckt und derart umfassend ist, dass nahezu lückenlos alle Bewegungen und Lebensäußerungen des Betroffenen registriert werden und zur Grundlage für ein Persönlichkeitsprofil werden können.“201 Menschen dürfen nicht wie Sachen durch eine „Bestandsaufnahme in jeder Beziehung“ registriert und katalogisiert werden.202 Ab einem gewissen Eingriffsgrad geht der Eingriff in das Persönlichkeitsrecht in einen Eingriff in die Menschenwürde über und ist dann nicht mehr zu rechtfertigen.203 Diesen Ansatz fasst das BVerfG unter den Begriffen „unzulässige Rundumüberwachung“ und „Verbot der Totalüberwachung“ zusammen.204

198

EuGH, Urt. v. 5. 4. 2016 – C-404/15, C-659/15 PPU, ECLI:EU:C:2016:198 Rn. 85 – Aranyosi und Caldararu; Meyer / Hölscheidt / Borowsky, GrCh, Art. 1 Rn. 44; missverständl. EuGH, Urt. v. 18. 12. 2007 – C-341/05, ECLI:EU:C:2007:809 Rn. 94 – Laval. 199 Vgl. SBHS / van Vormizeele, EU-Kommentar, Art. 1 GrCh Rn. 6; Meyer / Hölscheidt /  Borowsky, GrCh, Art. 1 Rn. 27 ff. 200 Zu Art. 1 GrCh SBHS / van Vormizeele, EU-Kommentar, Art. 1 GrCh Rn. 6; zu Art. 1 GG Jarass / Pieroth / Jarass, GG, Art. 1 Rn. 6. 201 StRspr. BVerfG, Urt. v. 3. 3. 2004  – 1 BvR 2378/98, 1 BvR 1084/99, NJW 2004, 999 (1004) – großer Lauschangriff; BVerfG, Urt. v. 1. 12. 2020 – 2 BvR 916/11, 2 BvR 636/12, NJOZ 2021, 1391 Rn. 210 – Elektronische Aufenthaltsüberwachung; zust. Däubler, Gläserne Belegschaften, Rn. 119–122. 202 StRspr. BVerfG, Beschl. v. 16. 7. 1969, 1 BvL 19/63, NJW 1969, 1707  – Mikrozensus; BVerfG, Urt. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (424) – Volkszählung. 203 Maunz / Dürig / Di Fabio, GG, Art. 2 Abs. 1 Rn. 130; Jandt / L aue, K&R 2006, 316 (319) weisen zutreffend darauf hin, dass die Eingriffsintensität u. a. davon abhängt, ob der Betroffene in die Profilbildung eingewilligt hat. 204 BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1341) – GPS-Observation; BVerfG, Beschl. v. 7. 12. 2011 – 2 BvR 2500/09, 2 BvR 1857/10, NJW 2012, 907 Rn. 105 – Al Quaida; BVerfG, Urt. v. 20. 4. 2016  – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 Rn. 254 – BKA-Gesetz.

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

77

a) Keine Herabwürdigung zum „Datenobjekt“ Durch den Einsatz eines Ortungssystems, das systematisch Positionsdaten erhebt, wird der betroffene Beschäftigte nicht zu einem „Datenobjekt“205 herabgewürdigt. Das gilt selbst wenn ein Ortungssystem so ausgestaltet ist, dass die Positionsdaten automatisch erhoben werden und sodann automatisch anhand der Positionsdaten eine Entscheidung getroffen wird (z. B. Auftragsvergabe an Beschäftigten, der dem Auftragsziel am nächsten ist). Allein der Einsatz moderner Technik zur Vereinfachung von Massenverfahren reicht dazu nicht aus.206 Anders wäre die Situation zu beurteilen, wenn anhand der Positionsdaten auch solche Entscheidungen automatisiert – also ohne menschliches Dazwischentreten – getroffen werden, die persönliche Konsequenzen für den Betroffenen vorsehen, wie z. B. rein automatisierte Kündigungsentscheidungen.207 Das ist nach aktuellem Stand der Praxis nicht der Fall.208 b) Unantastbarer Kernbereich privater Lebensgestaltung nicht berührt Ortet ein Arbeitgeber seine Beschäftigten, wird deren unantastbarer Kernbereich privater Lebensgestaltung dadurch grundsätzlich nicht berührt.209 Positionsdaten können nur eingeschränkt Aufschluss über die private Lebensgestaltung des Betroffenen geben. Diese Ansicht vertreten auch der EGMR, wonach eine GPS-Überwachung „wegen ihrer Natur von anderen Methoden der visuellen oder akustischen Überwachung zu unterscheiden [ist], die in der Regel eher die Gefahr einer Verletzung des Rechts auf Achtung des Privatlebens mit sich bringen“210, und das BVerfG, das ausdrücklich festgestellt hat, dass „die Verwendung von Instrumenten technischer Observation […] in Ausmaß und Intensität typischerweise nicht den unantastbaren Kernbereich privater Lebensgestaltung [erreicht]“.211 Der durch die Menschenwürde geschützte Wille, eine höchstpersönliche Angelegen 205

Benda, in: FS Geiger, S. 27; zur Menschenwürdeverletzung durch Behandlung eines Menschen als Objekt s. EGMR, Urt. v. 25. 4. 1978 – 5856/72, EuGRZ 1979, 162 = NJW 1979, 1089 Rn. 33 – Tyrer / Vereinigtes Königreich; BVerfG, Urt. v. 21. 6. 1977 – 1 BvL 14/76, NJW 1977, 1525 (1526) – Lebenslange Freiheitsstrafe; Drackert, Risiken, S. 306–308. 206 I. E. so auch Drackert, Risiken, S. 307 f. 207 In diesem Fall wäre aufgrund der automatisierten Entscheidung im Einzelfall Art. 22 Abs. 1 DSGVO einschlägig, der neben Art. 5 und 6 DSGVO zusätzliche Zulässigkeitsvoraussetzungen aufstellt. 208 Insofern missverständl. Bergmann / Mörle / Herb, Datenschutzrecht, § 26 Rn. 159. 209 So auch Desoi, Videoüberwachung, S. 71; Kaiser, Aufenthaltsüberwachung, S. 200; a. A. wohl Thüsing, Beschäftigtendatenschutz, § 12 Rn 29. 210 EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 52 – Uzun / Deutschland; bestätigt in EGMR, Urt. v. 8. 2. 2018 – 31446/12, NLMR 2018, 50 Rn. 53 – Ben Faiza / Frankreich. 211 BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1340) – GPS-Observation; BVerfG, Urt. v. 1. 12. 2020 – 2 BvR 916/11, 2 BvR 636/12, NJOZ 2021, 1391 Rn. 209 – Elektronische Aufenthaltsüberwachung.

78

2. Kap.: Grundrechtlicher Rechtsrahmen

heit geheim zu halten, kann nur missachtet werden, wenn konkrete, äußerlich nicht wahrnehmbare Einzelheiten des Innenbereichs offenbart werden.212 Durch die Ortung können jedoch keine „Äußerungen innerster Gefühle“ oder „Ausdrucksformen der Sexualität“ erkannt werden213, da der Aufenthaltsort einer Person gerade nicht zum Innenbereich, sondern aufgrund der äußerlichen Wahrnehmbarkeit zur „Außenwelt“ gehört.214 Zwar kann die Information, dass sich ein Beschäftigter an einem bestimmten Ort aufgehalten hat, negative Konsequenzen für den Betroffenen haben.215 Daraus folgt über eine Verletzung des Grundrechts auf Schutz vor der Verarbeitung personenbezogener Daten (Art. 8 Abs. 1 i. V. m. Art. 7 GrCh)216 hinaus aber noch keine Menschenwürdeverletzung. Bei Ortungsmaßnahmen verbleibt dem Betroffenen ein unantastbarer Kern privater Lebensführung.217 Das gilt insbesondere für den Aufenthalt eines Beschäftigten während der Arbeitszeit. Da ein Beschäftigter dem Weisungsrecht des Arbeitgebers unterliegt218, das sich auch auf den Arbeitsort bezieht, ist der Arbeitsort kein Privatraum.219 Wird eine Vielzahl von Positionsdaten eines Beschäftigten miteinander oder mit sonstigen Daten verknüpft, kann sich daraus zwar z. B. ergeben, dass ein Beschäftigter während der Arbeitszeit überdurchschnittlich häufig für eine gewisse Zeit die Toilettenräume aufsucht. Da sich aus den Daten aber nicht ergibt, was der betroffene Beschäftigte in den Toilettenräumen macht220, können diese allenfalls Spekulationen ermöglichen, die zu unkonkret sind, um eine Menschenwürdeverletzung zu begründen.221 Selbst wenn der Arbeitgeber anhand der Positionsdaten z. B. nachvollziehen kann, dass ein Beschäftigter in seiner Mittagspause ein Bordell aufgesucht hat, werden dadurch nicht konkrete Einzelheiten des Innenbereichs offenbart, da der Bordellbesuch in der Außenwelt wahrnehmbar ist. Allein der Umstand, dass eine Person ein Bordell aufsucht ist noch keine „Ausdrucksform der Sexualität“222, da offen bleibt, was der Beschäftigte dort konkret tut.

212

So auch BVerfG, Beschl. v. 8. 3. 1972 – 2 BvR 28/71, NJW 1972, 1123 (1124) – Ärztekartei; BVerfG, Beschl. v. 16. 7. 1969 – 1 BvL 19/63, NJW 1969, 1707 – Mikrozensus. 213 Vgl. stRspr. BVerfG, Urt. v. 3. 3. 2004 – 1 BvR 2378/98, 1 BvR 1084/99, NJW 2004, 999 (1002) – großer Lauschangriff. 214 So auch Desoi, Videoüberwachung, S. 71; OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, NJW 2019, 2404 Rn. 79; a. A. Thüsing, Beschäftigtendatenschutz, § 12 Rn 29. 215 Siehe unten § 7 A. 216 Siehe oben § 4 B. I. 1. b). 217 So auch OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, NJW 2019, 2404 Rn. 79. 218 Vgl. § 106 GewO; ausführl. ErfK / Preis, § 106 GewO Rn. 1–34. 219 BAG, Urt. v. 27. 3. 2003 – 2 AZR 51/02, NZA 2003, 1193 (1195); BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 144. 220 Vgl. Desoi, Videoüberwachung, S. 71; OLG München, Beschl. v. 1. 4. 2019  – 34 Wx 289/18, NJW 2019, 2404 Rn. 79; siehe auch BVerfG, Beschl. v. 16. 7. 1969 – 1 BvL 19/63, NJW 1969, 1707 – Mikrozensus. 221 Vgl. Desoi, Videoüberwachung, S. 71. 222 Vgl. BVerfG, Urt. v. 3. 3. 2004 – 1 BvR 2378/98, 1 BvR 1084/99, NJW 2004, 999 (1002) – großer Lauschangriff.

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

79

c) Keine Totalüberwachung Selbst im Fall von Ortungsmaßnahmen, die darauf ausgerichtet sind, Konsequenzen für den Betroffenen herbeizuführen (z. B. Ortung zur Aufdeckung einer Straftat), werden Beschäftigte nicht derart umfassend überwacht, dass beinahe lückenlos alle Bewegungen und Lebensäußerungen so registriert werden, dass sie für ein Persönlichkeitsprofil genutzt werden können.223 Ein Persönlichkeitsprofil geht über die Summierung von einzelnen Daten hinaus, indem es einen Menschen umfassend erfasst.224 Da die Persönlichkeit eines Menschen vielschichtig ist, müssen für ein Profil verschiedene Facetten beleuchtet werden.225 Die Daten müssen demnach ein Mindestmaß an Komplexität aufweisen, wofür eine große Menge an Daten erforderlich ist, die über einen gewissen Zeitraum gesammelt wurden und miteinander so verknüpfbar sind, dass sie Merkmale einer Person offenbaren.226 Je lückenloser und dauerhafter die Überwachung ist und je mehr die Daten so verknüpft werden können, dass sie Rückschlüsse auf die Persönlichkeit des Betroffenen ermöglichen, desto eher ist die Überwachung geeignet, ein Persönlichkeitsprofil zu generieren. Ortet ein Arbeitgeber seine Beschäftigten, lassen sich in der Regel zwar Bewegungsprofile erstellen.227 In einem Bewegungsprofil ist aber noch kein Persönlichkeitsprofil zu sehen.228 Zwar kann ein Bewegungsprofil bestimmte Vorlieben offenbaren und sich bei einer Verknüpfung mit weiteren Informationen einem Persönlichkeitsprofil annähern.229 Während der Arbeitszeit halten sich Beschäftigte aber in der Regel nicht an frei von ihnen gewählten Orten auf.230 Außendienstmitarbeiter fahren die mit dem Arbeitgeber abgestimmten Orte ab, und auch im Innenbereich halten sich Beschäftigte regelmäßig an dem ihm zugeteilten Arbeits 223 Vgl. OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, NJW 2019, 2404 Rn. 79; D ­ esoi, Videoüberwachung, S. 71; Jandt / L aue, K&R 2006, 316 (319); Kaiser, Aufenthaltsüberwachung, S. 199. 224 Däubler, Gläserne Belegschaften, Rn. 120. 225 Vgl. Kaiser, Aufenthaltsüberwachung, S. 199 f.; Jandt / L aue, K&R 2006, 316 (318). 226 So Gola / Pötters / Wronka, AN-Datenschutz 2016, Rn. 404; Kaiser, Aufenthaltsüberwachung, S. 199 f.; Jandt / L aue, K&R 2006, 316 (318). 227 Siehe LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 1.); ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 48; Gola, NZA 2007, 1139 (1140); Rammo / Holzgräfe, InTer 2015, 23. 228 So auch OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, NJW 2019, 2404 Rn. 79; Kaiser, Aufenthaltsüberwachung, S. 199 f.; Gasch, Mauterfassung, S. 280; Guckelberger, DVBl 2017, 1121 (1123). 229 Vgl. BVerfG, Urt. v. 11. 3. 2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 92– Kennzeichenerfassung I; Roggan, in: FS Hirsch, S. 153; Gasch, Mauterfassung, S. 280 f.; Kaiser, Aufenthaltsüberwachung, S. 200; in diese Richtung auch der Oberste Gerichtshof in Österreich, s. ÖOGH, Urt. v. 22. 1. 2020 – 9 ObA120/19s, ZD 2020, 355 Rn. 22, 25, der davon ausgeht, dass eine Ortung von Beschäftigten die Menschenwürde berührt, aber offen lässt, ob die Menschenwürde verletzt wird. 230 Vgl. Besgen / P rinz / Stümper, Arbeiten 4.0, § 5 Rn. 39 f.

80

2. Kap.: Grundrechtlicher Rechtsrahmen

platz und den dazugehörigen Aufenthalts- und Sanitärräumen auf. Selbst wenn die Überwachung z. B. ergibt, dass sich der Beschäftigte während seiner Mittagspause gerne in Fast-Food-Restaurants aufhält oder mehrmals am Tag das Büro einer bestimmten Kollegin aufsucht, ergibt sich daraus nur, dass der Beschäftigte gerne Fast-Food isst oder viel Kontakt mit einer bestimmten Kollegin hat. Solche Informationen ergeben sich grundsätzlich auch ohne Überwachung aus der Zusammenarbeit und reichen – selbst verknüpft mit anderen Informationen aus der Zusammenarbeit mit dem Beschäftigten – für ein Persönlichkeitsprofil nicht aus. Ein Persönlichkeitsprofil kommt erst in Betracht, wenn i. S. e. additiven Grundrechtseingriffs231 andere Überwachungsmaßnahmen zur Ortung hinzukommen, sodass die betriebliche Existenz umfassend erfasst wird.232 Zu diesem Ergebnis kommen auch das BVerfG und der EGMR. Beide Gerichte haben sich im Rahmen desselben Rechtsstreits mit der Frage beschäftigt, ob der konkrete Einsatz eines GPS-Systems zu einer Totalüberwachung führt.233 Wie bereits beschrieben worden ist234, hatte im zugrundeliegenden Fall eine Ermittlungsbehörde über einen Zeitraum von ungefähr drei Monaten durch einen im PrivatPkw des Betroffenen installierten GPS-Sender verdeckt Positionsdaten erhoben, sodass „Fahrtbewegungen, Standorte und Standzeiten des Fahrzeugs lückenlos nachvollzogen werden [konnten]“.235 Obwohl neben der reinen GPS-Überwachung im Innenraum des Pkws auch das nicht öffentlich gesprochene Wort abgehört und der Eingangsbereich des Wohnhauses durch Videotechnik sowie durch Beamte observiert wurde, nahm das BVerfG keine Totalüberwachung an.236 Bewegungsdaten seien nur erhoben worden, wenn der Betroffene den Pkw genutzt habe, mithin nicht dauerhaft. Die anderen Observationsmaßnahmen haben nur an Wochenenden und in begrenztem Umfang stattgefunden. Der EGMR sah den Grundrechtseingriff mit Verweis auf das Fehlen einer Totalüberwachung im Wesentlichen unter Berufung auf dieselben Argumente ebenfalls als gerechtfertigt an.237 Gleichwohl ist der Ansatz einer unzulässigen Totalüberwachung in der Abwägung zu berücksichtigen.238 Je dauerhafter, lückenloser und verknüpfbarer Positionsdaten verarbeitet werden, desto eher ist die Ortungsmaßnahme unverhältnis-

231

BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1341) – GPS-Observation; BVerfG, Urt. v. 1. 12. 2020 – 2 BvR 916/11, 2 BvR 636/12, NJOZ 2021, 1391 Rn. 210 – Elek­ tronische Aufenthaltsüberwachung. 232 So auch Gasch, Mauterfassung, S. 281 m. w. N.; zur umfassenden Erfassung der betrieblichen Existenz Däubler, Gläserne Belegschaften, Rn. 120. 233 EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 – Uzun / Deutschland; BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 – GPS-Observation. 234 Siehe oben § 4 B. I. 1. b). 235 BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 – GPS-Observation. 236 BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1431) – GPS-Observation. 237 EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80 – Uzun /  Deutschland. 238 Vgl. z. B. EG 6, 39, 75, 91 und Art. 5 Abs. 1 lit. c) DSGVO.

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

81

mäßig.239 Auf die einzelnen in der Abwägung zu berücksichtigenden Kriterien wird weiter unten ausführlich eingegangen.240 II. (Grundrechtlich geschützte) Interessen des Arbeitgebers Während ein öffentlicher Arbeitgeber nicht grundrechtsberechtigt ist, da er aufgrund seiner Grundrechtsverpflichtung nicht gleichzeitig Berechtigter von Gerundrechten sein kann241, gebraucht ein privater Arbeitgeber mit der Ortung von Beschäftigten sein Recht auf unternehmerische Freiheit aus Art. 16 GrCh. Das Grundrecht schützt die wirtschaftliche Betätigungsfreiheit von Unternehmern in allen Ausprägungen.242 Dazu gehört insbesondere die freie Entscheidung über die Art und Weise der Unternehmensführung.243 Ortet ein Arbeitgeber seine Beschäftigten, bezweckt er damit in der Regel eine Absicherung der von ihm vorgegebenen Betriebsorganisation (z. B. durch Prävention und Repression) und / oder eine Steigerung der Effizienz und Effektivität des Unternehmens (z. B. durch Einsatzkoordinierung der Beschäftigten oder Vereinfachung von Verwaltungsvorgängen). Art. 16 GrCh zielt gerade darauf ab, solche Organisationsentscheidungen des Unternehmers zu schützen. Ein Arbeitgeber als Unternehmer soll in die Lage versetzt werden, sein Unternehmen nach seiner Vorstellung bestmöglich führen zu können. Hält er die Ortung der Beschäftigten in diesem Zusammenhang für sinnvoll, soll er grundsätzlich entsprechend handeln dürfen. Inwiefern diese Grundrechtsausübung aufgrund einer Kollision mit anderen Grundrechten rechtswidrig ist, ist eine nachgelagerte Frage.244 Bezweckt der Arbeitgeber mit der Ortungsmaßnahme den Schutz von Betriebsmitteln, handelt er darüber hinaus zur Ausübung seiner Eigentumsfreiheit aus Art. 17 Abs. 1 GrCh.245 Der Schutzbereich der Informationsfreiheit aus Art. 11 Abs. 1 GrCh ist hingegen nicht eröffnet. Art. 11 Abs. 1 GrCh schützt wie Art. 10 Abs. 1 S. 2 EMRK und Art. 5 Abs. 1 S. 1 GG246 den Zugang zu allgemein zugänglichen, also an die

239

Ausführl. dazu unten § 7 B. I. Siehe unten § 7 B. 241 Vgl. BVerfG, Beschl. V. 2. 5. 1967  – 1 BvR 578/63, NJW 1967, 1411 (1413); BVerfG, Beschl. V. 8. 7. 1982 – 2 BvR 1187/80, NJW 1982, 2173 (2173 f.); Sasse, EuR 2012, 628 (643 ff.) m. w. N. 242 EuGH, Urt. v. 22. 1. 2013 – C-283/11, ECLI:EU:C:2013:28 Rn. 42 – Sky Österreich; FGO /  Schubert, EU ArbR, Art. 16 GrCh Rn. 9. 243 Mohr, ZHR 178 (2014), 326 (358); FGO / Schubert, EU ARbR, Art. 16 GrCh Rn. 11; Frenz, GewArch 2009, 427 (429). 244 Siehe dazu unten § 7. 245 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019  – 4 A 12/19, BeckRS 2019, 3816 Rn. 35; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 33; Kerscher, SPA 2017, 101 (103). 246 StRspr. BVerfG, Beschl. v. 3. 10. 1969 – 1 BvR 46/65, NJW 1970, 235 (237) – Leipziger Volkszeitung. 240

82

2. Kap.: Grundrechtlicher Rechtsrahmen

Allgemeinheit gerichteten Informationsquellen.247 Hintergrund ist, dass eine freie Kommunikation als Fundament für ein demokratisches Gemeinwesen nötig ist.248 Zwar können die Bewegungen einer Person grundsätzlich öffentlich nachverfolgt werden. Informationen dazu sind aber jedenfalls nicht an die Allgemeinheit gerichtet. Die Informationsfreiheit umfasst kein Recht auf Beschaffung personenbezogener Daten, es sei denn, der Betroffene hat diese öffentlich gemacht.249

C. Rechtfertigung und hoheitliche Schutzpflicht Im Hinblick auf eine Verarbeitung von Positionsdaten durch einen öffentlichen Arbeitgeber setzt der Gesetzesvorbehalt in Art. 52 Abs. 1 i. V. m. Art. 8 Abs. 2 S. 1 GrCh250 für eine Rechtfertigung des mit der Ortung verbundenen Eingriffs in Art. 8 Abs. 1 i. V. m. Art. 7 GrCh voraus, dass die Positionsdaten nach Treu und Glauben für einen festgelegten Ortungszweck und mit Einwilligung des betroffenen Beschäftigten oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Eine Datenverarbeitung durch einen privaten Arbeitgeber bedarf hingegen keiner Ermächtigungsgrundlage, weil sich Private – anders als im Über-/Unterordnungsverhältnis zwischen Bürger und Staat – grundsätzlich in Freiheit gegenüber stehen.251 Da der Einzelne bei einer Verarbeitung personenbezogener Daten durch einen Privaten genauso schutzbedürftig ist, verpflichten Art. 8 Abs. 1 i. V. m. Art. 7 GrCh den Staat aber nicht nur dazu selbst ungerechtfertigte Grundrechtsbeeinträchtigungen zu unterlassen, sondern dieses Grundrecht zudem gegen Beeinträchtigungen durch Private zu schützen (hoheitliche Schutzpflicht).252 Diese Schutzdimension ergibt sich sowohl aus dem Wortlaut von Art. 8 Abs. 1 GrCh („Recht auf Schutz“) als auch aus der Drittwirkung der Grundrechte.253 Die Schutzpflicht fordert zum einen, dass die Judikative eine Beeinträchtigung von Art. 8 Abs. 1 247

Heselhaus / Nowak / Kühling, HdB EU-GR, § 27 Rn. 20; vgl. EGMR, Urt. v. 22. 5. 1990 – 12726/87, EuGRZ 1990, 261 Rn. 57 – Autronic / Schweiz; EGMR, Urt. v. 24. 6. 2014 – 27329/06, EuGRZ 2016, 28 Rn. 61 – Rosiianu / Rumänien. 248 EuGH, Urt. v. 13. 12. 2001 – C-340/00, ECLI:EU:C:2001:701 Rn. 18 – Cwik; EuGH, Urt. v. 12. 6. 2003 – C-112/00, ECLI:EU:C:2003:333 Rn. 79 – Schmidberger; vgl. Wischmeyer / Herzog, NJW 2020, 288 (292). 249 Vgl. Däubler, Gläserne Belegschaften, Rn. 114; siehe jedoch BVerfG, Beschl. v. 20. 6. 2017 – 1 BvR 1978/13, NVwZ 2017, 1618 Rn. 20 – Informationszugang Archivgut; anders Schmitz, Beschäftigtendatenschutz, S. 73 f. 250 Der Gesetzesvorbehalt in Art. 8 Abs. 2 S. 1 GrCh konkretisiert den allgemeinen Gesetzesvorbehalt des Art. 52 Abs. 1 GrCh, siehe Jarass, GrCh, Art. 8 Rn. 13; Schmidt, Beschäftigtendatenschutz; Roßnagel, NJW 2019, 1 (4). 251 Ebenso Masing, NJW 2012, 2305 (2307); Grimm, JZ 2013, 585 (587–589). 252 EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 68–88 – Google Spain; GSH / Augsberg, GrCh, Art. 8 Rn. 10 m. w. N.; Roßnagel, NJW 2019, 1 (3). 253 Jarass, GrCh, Art. 8 Rn. 12; Roßnagel, NJW 2019, 1 (3); zur Drittwirkung der Grundrechte oben § 4 B. I. 1. a).

§ 4 Grundrechtsschutz bei der Ortung von Beschäftigten 

83

i. V. m. Art. 7 GrCh auch im Rahmen von Rechtsstreitigkeiten zwischen Privaten beachten254, und zum anderen, dass der Gesetzgeber durch den Erlass von (Schutz-) Gesetzen tätig wird255. Vor diesem Hintergrund hat der Unionsgesetzgeber erst die DSRL und nun die DSGVO erlassen. Während die DSGVO im Hinblick auf Datenverarbeitungen durch öffentliche Stellen den Gesetzesvorbehalt aus Art. 8 Abs. 2 GrCh konkretisiert256, bietet die DSGVO im Hinblick auf die Datenverarbeitung durch Private Regelungen zum Ausgleich von Freiheit.257 In beiden Fällen sind die gegenüberstehenden widerstreitenden (grundrechtlich geschützten) Interessen in einen angemessenen Ausgleich zu bringen.258 Der Grundrechtseingriff auf Seiten des Beschäftigten ist im Fall einer Ortung durch einen öffentlichen Arbeitgeber gerechtfertigt, wenn sich dieser im Einzelfall auf ein Gesetz (DSGVO) stützen kann, das dem Grundrecht aus Art. 8 Abs. 1 i. V. m. Art. 7 GrCh und den Anforderungen aus Art. 8 Abs. 2 GrCh angemessen Rechnung trägt. Bei einer Ortung durch einen privaten Arbeitgeber wird der informationellen Privatheit des Beschäftigten durch die Vorgaben der DSGVO hinreichend Rechnung getragen, wenn diese so ausgelegt und angewendet werden, dass eine Ortung im Einzelfall nur zulässig ist, wenn das Interesse des Beschäftigten an informationeller Privatheit aus Art. 8 Abs. 1 i. V. m. Art. 7 GrCh nicht die betroffenen Grundrechte des Arbeitgebers überwiegt.259

D. Zwischenergebnis Der Beschäftigtendatenschutz ist an den Unionsgrundrechten der GrCh zu messen. Zwar ermöglicht die Öffnungsklausel in Art. 88 DSGVO den Mitgliedstaaten einen Gestaltungsspielraum. Daraus folgt aber keine Gestaltungsoffenheit, da die DSGVO auch im Bereich des Beschäftigtendatenschutzes ein zwingendes Rechtsprogramm vorgibt und den Mitgliedstaaten lediglich gestattet, innerhalb des vorgegebenen Rahmens speziellere Vorgaben und eigene Schutzmechanismen vorzusehen. Dieser Gestaltungsspielraum rechtfertigt es nicht, den Beschäftigtendatenschutz insgesamt an nationalen Grundrechten zu messen. Damit hat sich auch der Beschäftigtendatenschutz an Art. 8 Abs. 1 i. V. m. Art. 7 GrCh zu orientieren. 254

Streinz / Streinz, EUV / A EUV, Art. 8 GrCh Rn. 8; vgl. EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 68–88 – Google Spain. 255 GSH / Augsberg, GrCh, Art. 8 Rn. 10; Roßnagel, NJW 2019, 1 (3). 256 Ebenso Albrecht / Jotzo, Datenschutzrecht, II. Rn. 1. 257 Masing, NJW 2012, 2305 (2307); vgl. EG 4 der DSGVO. 258 EuGH, Urt. v. 24. 11. 2011  – C-468/10 u. a., ECLI:EU:C:2011:777 Rn. 45 f.  – ASNEF; EuGH, Urt. v. 13. 5. 2014  – C-131/12, ECLI:EU:C:2014:317 Rn. 74  – Google Spain; EuGH, Urt. v. 11. 12. 2019 – C-708/18, ECLI:EU:C:2019:1064 Rn. 55 – Asociatia de Proprietari. 259 Vgl. EuGH, Urt. v. 24. 11. 2011 – C-468/10 u. a., ECLI:EU:C:2011:777 Rn. 40 – ASNEF; BAG, Urt. v. 12. 9. 2006 – 9 AZR 271/06, NZA 2007, 269 Rn. 20; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 10; Byers, Videoüberwachung, S. 42; Jacobs, ZfA 2012, 215 (217); ­Däubler, Gläserne Belegschaften, Rn. 113–122; Schmitz, Beschäftigtendatenschutz, S. 81 ff.

84

2. Kap.: Grundrechtlicher Rechtsrahmen

Das Risiko, dass durch eine Datenverarbeitung Informationen über ein Verhalten oder ein persönliches Merkmal an Dritte gelangen, die daran Konsequenzen knüpfen, besteht bei Ortungsmaßnahmen, bei denen ein Privatlebensbezug vorliegt, weil Positionsdaten systematisch und dauerhaft erhoben und gespeichert werden oder weil die Datenerhebung personenbezogen und verdeckt oder außerhalb der Arbeitszeit erfolgt. Eine Ausnahme gilt, wenn die Positionsdaten sofort nach der Erhebung spurenlos gelöscht oder anonymisiert werden, ohne dass eine menschliche Kenntnisnahme möglich ist (sog. Nichttreffer). Die Menschenwürde aus Art. 1 GrCh ist bei der Ortung hingegen nicht betroffen, da die Beschäftigten durch die Ortung weder zum „Datenobjekt“ herabgewürdigt werden noch deren unantastbarer Kernbereich privater Lebensgestaltung berührt wird oder eine Totalüberwachung entsteht. Ortet ein öffentlicher Arbeitgeber seine Beschäftigten, ist der damit regelmäßig einhergehende Grundrechtseingriff nach Art. 52 Abs. 1 GrCh i. V. m. Art. 8 Abs. 2 GrCh gerechtfertigt, wenn die Positionsdaten nach Treu und Glauben für einen festgelegten Ortungszweck und mit Einwilligung des betroffenen Beschäftigten oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Diese Anforderungen werden durch die DSGVO konkretisiert, die eine Eingriffsermächtigung bietet und sicherstellt, dass die Ortung nur zulässig ist, wenn das Interesse an der Datenverarbeitung das grundrechtlich geschützte Interesse der betroffenen Beschäftigten aus Art. 8 Abs. 1 i. V. m. Art. 7 GrCh überwiegt. Ortet ein privater Arbeitgeber seine Beschäftigten, ist dafür keine Ermächtigungsgrundlage nötig. Art. 8 i. V. m. Art. 7 GrCh verpflichtet Hoheitsträger aber nicht nur selbst ungerechtfertigte Grundrechtseingriffe zu unterlassen, sondern den Einzelnen aktiv auch vor Grundrechtsbeeinträchtigungen durch andere Private zu schützen (hoheitliche Schutzpflicht). Der Unionsgesetzgeber hat seine Schutzpflicht durch den Erlass der DSGVO umgesetzt. Im Fall von Ortungsmaßnahmen ist durch die Auslegung und Anwendung der DSGVO sicherzustellen, dass die Ortung nur zulässig ist, wenn das Grundrecht des Arbeitgebers auf unternehmerische Freiheit aus Art. 16 GrCh (ggf. auch die Eigentumsfreiheit aus Art. 17 Abs. 1 GrCh) das Grundrecht der betroffenen Beschäftigten auf Schutz ihrer personenbezogenen Daten aus Art. 8 Abs. 1 i. V. m. Art. 7 GrCh überwiegt.

Drittes Kapitel

Einfachgesetzlicher Rechtsrahmen § 5 Allgemeiner Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen A. Interessenausgleich als Ziel In Ausübung ihrer grundrechtlichen Schutzpflicht haben sowohl Unionsgesetzgeber als auch der deutsche Gesetzgeber für die Verarbeitung personenbezogener Daten einfachgesetzliche Datenschutzgesetze geschaffen, die das Spannungsverhältnis zwischen den (grundrechtlich geschützten) Interessen der datenverarbeitenden Stelle und dem Grundrecht des Betroffenen auf Schutz seiner personenbezogenen Daten auflösen sollen1. Die auf Unionsebene erlassene DSGVO gilt seit dem 25. 5. 2018 verbindlich und unmittelbar in allen Mitgliedstaaten.2 Auf nationaler Ebene gelten zudem das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze (LDSG) der Bundesländer. Ziel dieser Gesetze ist eine sinnvolle Abgrenzung von Erlaubtem und Verbotenem.3 Der von der Datenverarbeitung betroffene Beschäftigte soll hinreichend geschützt werden, ohne dabei öffentliche Interessen zu vernachlässigen und unverhältnismäßig in die Freiheitsrechte privater Datenverarbeiter einzugreifen.4 Für die Verarbeitung von anonymen Daten existiert mangels Grundrechtsbeeinträchtigung kein einfachgesetzlicher Rechtsrahmen.5

1

EuGH, Urt. v. 6. 10. 2015 – C-362/14, ECLI:EU:C:2015:650 Rn. 38 f. – Schrems I; BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 276/17, NJW 2020, 314 Rn. 96 – Recht auf Vergessenwerden II; Körner, Beschäftigtendatenschutz, S. 21. 2 Vgl. Art. 288 Abs. 2 AEUV. 3 Drackert, Risiken, S. 13; Bull, informationelle Selbstbestimmung, S. 67–84; Veil, NVwZ 2018, 686 (696). 4 Vgl. Art. 1 Abs. 1 DSGVO; Masing, NJW 2012, 2305 ff.; zum Grundrechtskonflikt zwischen Privaten s. Grimm, JZ 2013, 585 (588 f.). 5 S. Art. 2 Abs. 1 DSGVO; Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 Rn. 47.

86

3. Kap.: Einfachgesetzlicher Rechtsrahmen

B. Anwendungsvorrang der DSGVO Als Teil des Unionsrechts ist die DSGVO im Verhältnis zu nationalen Vorschriften vorrangig anwendbar.6 § 1 Abs. 5 BDSG, wonach die Normen der DSGVO diejenigen des BDSG verdrängen, ist insofern deklaratorischer Natur.7 Nationale Datenschutzvorschriften sind nur anwendbar, wenn der Anwendungsbereich der DSGVO nicht eröffnet ist oder die nationalen Vorschriften nicht mit der DSGVO kollidieren, sondern diese nur konkretisieren oder beschränken8. Damit ist Ansatzpunkt jeder datenschutzrechtlichen Prüfung die DSGVO.9

C. Ausgleichsmechanismen der DSGVO I. „Verantwortlicher“ als Hauptadressat der DSGVO In der DSGVO gilt das Prinzip der Verantwortlichkeit.10 Indem jede Datenverarbeitung einer verantwortlichen Stelle zugerechnet wird, wird eine Grundlage für die Schutzmechanismen der DSGVO und deren Durchsetzung geschaffen.11 Verantwortliche Stelle ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein (alleinige Verantwortlichkeit) oder gemeinsam mit anderen (gemeinsame Verantwortlichkeit12) über die Zwecke und Mittel der Verarbeitung entscheidet. Eine solche Entscheidung fordert eine signifikante Möglichkeit zur Einflussnahme13, die sich aus einer ausdrücklichen rechtlichen Zuständigkeit, aus einer bestehenden Rolle, die üblicherweise eine bestimmte Verantwortlichkeit mit sich bringt, oder aus den faktischen Umständen, wie z. B. aus einem Vertragsverhältnis, der tatsächlichen Kontrolle oder der Außenwirkung gegenüber dem Betroffenen, ergeben kann14. Diese Entscheidungshoheit 6

Zum Anwendungsvorrang des Unionsrechts siehe EuGH, Urt. v. 15. 7. 2964  – C-6/64, ECLI:EU:C:1964:66 – Costa / E . N. E. L; Calliess / Ruffert / Ruffert, EUV / A EUV, Art. 1 AEUV Rn. 16–24 m. w. N. 7 Gola / Heckmann / Gola / Reif, DSGVO / BDSG, § 1 BDSG Rn. 19. 8 Vgl. EuGH, Urt. v. 9. 3. 1978  – 106/77, ECLI:EU:C:1978:49 Rn. 17 f.  – Simmenthal; Jandt / Steidle / Ambrock, Datenschutz im Internet, A. II Rn. 52–54. 9 So auch Leeb / Liebhaber, JuS 2018, 534 (536). 10 Vgl. Art. 4 Nr. 7 DSGVO; § 1 Abs. 4 S. 2 BDSG. 11 EuGH, Urt. v. 13. 5. 2014  – C-131/12, ECLI:EU:C:2014:317, Rn. 34  – Google Spain; SHS / Petri, Datenschutzrecht, Art. 4 Nr. 7 Rn. 21. 12 Vgl. Art. 26 DSGVO; ausführl. zur gemeinsamen Verantwortlichkeit Sprecht-Riemenschneider / Schneider, MMR 2019, 503 ff. 13 H. M., s. Art.-29-DSG, WP 169, S. 10–15; Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 DSGVO Rn.  27; Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn.  181–184; Jandt / Steidle / Aßmus, Datenschutz im Internet, B. III. Rn. 214; Wagner, ZD 2018, 307 (310); Monreal, ZD 2014, 611 (612 ff.); zur Abgrenzung nach der sog. Vertragstheorie s. Ziegenhorn / Fokken, ZD 2019, 194 (196) m. w. N. 14 Art.-29-DSG, WP 169, S. 11–15, 39; Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 183.

§ 5 Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen

87

macht den Verantwortlichen – im Unterschied zum bloßen Auftragsverarbeiter15 – zum Hauptadressaten der Datenschutzgesetze und rechtfertigt die Zuweisung umfangreicher Pflichten sowie die schadensersatz-, ordnungswidrigkeiten- und strafrechtliche Haftung im Fall eines Verstoßes.16 Als seine zentrale Pflicht muss der Verantwortliche gewährleisten, dass die ihm zurechenbare Datenverarbeitung zulässig ist und die notwendigen Schutzmaßnahmen implementiert sind.17 II. Risiko als Anknüpfungspunkt Maßgeblicher Faktor für den Ausgleich der Interessen von datenverarbeitender Stelle und Betroffenem ist nach einhelliger Auffassung das von einer Datenverarbeitung ausgehende Risiko für den Betroffenen – insbesondere für dessen informationelle Privatheit.18 Datenschutzrecht ist Gefahrenvorsorge.19 Es soll den aus dem unvermeidlichen Umgang mit personenbezogenen Daten resultierenden Beeinträchtigungen der Persönlichkeitsentfaltung präventiv entgegenwirken.20 Je riskanter eine Datenverarbeitung ist, desto schutzbedürftiger ist der Betroffene und desto eher muss die Datenverarbeitung eingeschränkt oder sogar verhindert werden. Wie eine solche datenschutzrechtliche Gefahrenvorsorge gesetzlich gewährleistet werden soll, ist seit jeher umstritten.21 Der Begriff des Risikos ist in der DSGVO nicht definiert. Aus den Erwägungsgründen 75, 76, 89 und 94 S. 2 DSGVO ergibt sich, dass das von einer Datenverarbeitung ausgehende Risiko anhand der Schwere der möglichen Beeinträchtigungen für Rechte und Freiheiten des Betroffenen und deren Eintrittswahrscheinlichkeit objektiv anhand von Art, Umfang, Umständen und Zwecken der Verarbeitung zu bestimmen ist.22 Im Hinblick auf die Frage, welche Beeinträchtigungen überhaupt verhindert werden sollen, enthält die DSGVO nur vereinzelt Anhaltspunkte wie z. B. in Erwägungsgrund 75 (Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, Enttäuschung von Vertraulichkeitserwartungen) oder Art. 22 DSGVO (Behandlung eines Menschen als Ob 15

Ausführl. zur Auftragsverarbeitung unten § 6 B. III. 2.  Moos / Rothkegel, Anm. zu EuGH, C-210/16, MMR 2018, 595 (597); Taeger / Gabel /  Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 182, die zutreffend darauf hinweisen, dass unklar ist, ab welchem Ausmaß an Einflussfähigkeit ein „Entscheiden“ vorliegt. 17 Ehmann / Selmayr / Klabunde, DSGVO, Art. 4 Rn. 38; Gola / Heckmann / Gola, DSGVO /  BDSG, Art. 4 DSGVO Rn. 65. 18 Siehe Kap. 3 Fn. 19. 19 Vgl. BVerfG, Beschl. v. 13. 6. 2007  – 1 BvR 1550/03, 1 BvR 2357/04, 1 BvR 603/05, NJW 2007, 2464 Rn. 87 – Kontenabfrage; Bäcker, Der Staat 2012, 91 (96); Cornils, Datenschutzrecht, S. 32 f.; Grimm, JZ 2013, 585 (586); Karg, ZD 2012, 255 (259); Auernhammer /  v. Lewinski, DSGVO / BDSG, Einf. Rn. 18; Schwichtenberg, Datenschutz, 53–59. 20 Cornils, Datenschutzrecht, S. 32 f.; Grimm, JZ 2013, 585 (586). 21 Siehe dazu Cornils, Datenschutzrecht, S. 32–40. 22 Siehe dazu DSK, Kurzpapier Nr. 18, S. 1 f.; Bieker / Bremert, ZD 2020, 7 (8); Schröder, ZD 2019, 503 (504). 16

88

3. Kap.: Einfachgesetzlicher Rechtsrahmen

jekt). Die DSGVO nennt keine konkreten Schutzgüter, sondern schützt nach Art. 1 Abs. 2 DSGVO allgemein „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“.23 Das ist problematisch, weil nur beurteilt werden kann, ob grundrechtlich geschützte Interessen gefährdet sind, wenn klar ist, welche grundrechtlichen Interessen überhaupt geschützt werden sollen.24 Da nach Art. 1 Abs. 1 und 2 DSGVO das Recht auf Schutz personenbezogener Daten in der DSGVO im Mittelpunkt steht, muss sich die Diskussion an Art. 8 Abs. 1 i. V. m. Art. 7 GrCh orientieren25 und damit am Schutzgut der informationellen Privatheit26. Unabhängig von einzeln identifizierten Risiken basiert die DSGVO auf der Annahme, dass von jeder Verarbeitung personenbezogener Daten ein Risiko für den Betroffenen ausgeht.27 Nach Erwägungsgrund 76 DSGVO enthält die DSGVO zwei Risikoabstufungen: das „Risiko“ und das „hohe Risiko“.28 Nur ein „Restrisiko“ besteht, wenn ein Datum nicht personenbezogen und damit nahezu ausgeschlossen ist, dass der Betroffene in seiner informationellen Privatheit verletzt wird.29 In diesem Fall greift der Schutzmechanismus der DSGVO mangels Schutzbedürfnis des Betroffenen nicht.30 Damit wird regelmäßig von drei Risikostufen gesprochen31, wobei das Restrisiko mangels Anwendbarkeit der DSGVO kein Risiko i. S. d. DSGVO ist. Besteht ein Personenbezug und geht von der Datenverarbeitung daher ein Risiko oder sogar ein hohes Risiko aus, greift nach der DSGVO ein Schutzmechanismus auf zwei Ebenen.32 Auf Ebene der Zulässigkeit werden mithilfe des Verbotsprinzips Datenverarbeitungen als unrechtmäßig „herausgefiltert“, von denen ein hohes Risiko ausgeht, ohne dass diesen ein überwiegendes Datenverarbeitungsinteresse gegenübersteht. Auf der zweiten Ebene steht die Pflicht des Verantwortlichen und / oder Auftragsverarbeiters zu Schutzmaßnahmen, durch die das von der zulässigen Datenverarbeitung ausgehende, „akzeptierte“ Risiko oder sogar das hohe Risiko eingedämmt werden soll. Auf die Frage, wie zu bestimmen ist, ob von einer Datenverarbeitung ein hohes Risiko oder nur ein Risiko ausgeht, wird unten zurückgekommen.33 23 Vgl. EG 4 DSGVO; kritisch gegenüber dem fehlenden Schutzgut Veil, NVwZ 2018, 686 (690 ff.); zurückhalt. Schröder, ZD 2019, 503 (505); zum BDSG a. F. Bull, NJW 2006, 1617 ff.; Systematisierungsversuche in v. Lewinski, Matrix des Datenschutzes, S. 17 ff. 24 Veil, NVwZ 2018, 686 (694) 25 So auch Schröder, ZD 2019, 503 (505). 26 Siehe oben § 3 B. 27 So auch DSK, Kurzpapier Nr. 18, S. 2. 28 Vgl. EG 77 S. 2 und 84 S. 1, Art. 34 Abs. 1, Art. 35 Abs. 1, Art. 36 Abs. 1 DSGVO. 29 Art.-29-DSG, WP 216, S. 4 ff.; Hornung / Wagner, ZD 2020, 223 (227); Schwichtenberg, Datenschutz, S. 56; nach Schröder, ZD 2019, 503 (504), kann es Datenverarbeitungen ohne Risiko geben. 30 Vgl. Art. 2 Abs. 1 DSGVO. 31 So DSK, Kurzpapier Nr. 18, S. 5; Schwichtenberg, Datenschutz, S. 54 ff. 32 So auch Schwichtenberg, Datenschutz, S. 51–59. 33 Siehe unter § 7 B. I.

§ 5 Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen

89

III. Erste Ebene: Zulässigkeit Art. 5 und 6 DSGVO sind neben Art. 9 DSGVO die zentralen Vorschriften der DSGVO zur Zulässigkeit von Datenverarbeitungen.34 Die drei Normen legen den Grundstein für die datenschutzrechtliche Zulässigkeitsprüfung indem sie die wesentlichen Prinzipen der DSGVO vorgeben, nämlich das Verbot mit Erlaubnistatbeständen und das Erforderlichkeitsprinzip, das ein Einfallstor für die Datenschutzgrundsätze ist. 1. Verbot mit Erlaubnistatbeständen Das in Art. 6 Abs. 1 DSGVO normierte „Verbotsprinzip“ sieht vor, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und nur bei Vorliegen eines der in Art. 6 Abs. 1 DSGVO aufgezählten Erlaubnistatbestände unter Berücksichtigung von Art. 5 Abs. 1 und Art. 9 DSGVO ausnahmsweise zulässig ist.35 Durch das Verbotsprinzip sollen nicht per se Datenverarbeitungen mit hohem Risiko verboten werden, sondern nur solche Datenverarbeitungen, von denen ein hohes Risiko ausgeht, ohne dass diesem ein gewichtiges Datenverarbeitungsinteresse gegenübersteht.36 Zulässig sind solche Datenverarbeitungen, die zwar riskant oder sogar hoch riskant, aber grundrechtlich gerechtfertigt sind. Bei Datenverarbeitungen zu den in Art. 6 Abs. 1 lit. b)–e) DSGVO genannten Zwecken überwiegt das Datenverarbeitungsinteresse, weil entweder das Datenverarbeitungsinteresse besonders gewichtig (lit. c) und e): öffentliche Interessen, lit. d): lebenswichtige Interessen) oder das Schutzbedürfnis des Betroffenen vermindert ist (lit. b): Eigeninteresse). Dabei wird über das Kriterium der Erforderlichkeit sichergestellt, dass das Risiko auf das zur Erreichung des Ortungszwecks notwendige Maß begrenzt ist.37 Mit der Möglichkeit der Einwilligung in Art. 6 Abs. 1 lit. a) DSGVO und der Generalklausel in Art. 6 Abs. 1 lit. f) DSGVO wird die Datenverarbeitung auch für andere als die genannten Zwecke zugelassen. Das 34

Ähnl. BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 1. S. dazu Sydow / Marsch / Reimer, DSGVO, Art. 6 DSGVO Rn. 2; Kühling / Buchner / Buchner /  Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 11 ff.; Buchner, DuD 2016, 155 (157 f.); ­Weichert, DuD 2013, 246 ff.; kritisch Bull, Netzpolitik, S. 136; Veil, ZD 2015, 347 ff.; FHS / Scheider /  Forgó / Helfrich, Betrieblicher Datenschutz, I. 1. Rn. 55; sehr kritisch Giesen, NVwZ 2019, 1711 (1713 ff.) „Totalitäre Tendenz“; einzelne gehen davon aus, dass der DSGVO kein Verbotsprinzip, sondern ein Erlaubnisprinzip zugrunde liegt, so Auer-Reinsdorff / Conrad, HdB DatenschutzR, § 34 Rn. 716; SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 35; ders., NJW 2019, 1 (4 f.); terminologisch sollte nicht von einem „Verbot mit Erlaubnisvorbehalt“ gesprochen werden, da dieser Begriff verwaltungsrechtlich geprägt ist und eine gesetzliche Regelung meint, die eine bestimmte Handlung verbietet, sofern sie nicht durch eine Verwaltungsbehörde überprüft und durch Genehmigung zugelassen wurde, s. SHS / Roßnagel, Datenschutzrecht, Art. 5 Rn. 36; ders., NJW 2019, 1 (5). 36 Schwichtenberg, Datenschutz, S. 50 f., 60–62. 37 Siehe dazu unten § 7 C. III. 35

90

3. Kap.: Einfachgesetzlicher Rechtsrahmen

gilt für Art. 6 Abs. 1 lit. a) DSGVO grundsätzlich unabhängig vom Risiko, da der Betroffene mit seiner Einwilligung selbst über die Datenverarbeitung verfügt.38 Voraussetzung ist, dass die gesetzlichen Anforderungen an die Einwilligung eingehalten werden, insbesondere die Bestimmtheit, Informiertheit und Freiwilligkeit der Einwilligung. Mit der Generalklausel in Art. 6 Abs. 1 lit. f) DSGVO schafft der Unionsgesetzgeber Raum für Datenverarbeitungen, die keinen der in Art. 6 Abs. 1 lit. b)–e) DSGVO genannten Zwecke verfolgen und ohne Einwilligung zulässig sein sollen, wenn das Datenverarbeitungsinteresse des Verantwortlichen das Interesse des Betroffenen am Ausschluss der Verarbeitung überwiegt.39 Dabei gilt, je intensiver die Interessen des Betroffenen beeinträchtigt werden, desto gewichtiger müssen die Interessen des Verantwortlichen sein.40 Liegt kein hohes Risiko vor, ist die Datenverarbeitung immer zulässig, da das verbleibende Risiko durch das Erforderlichkeitsprinzip41 minimiert und auf Ebene der Schutzmaßnahmen eingedämmt wird.42 Ist das Risiko hoch und das Interesse der datenverarbeitenden Stelle gering, ist die Datenverarbeitung unzulässig.43 Ist zugleich das Risiko hoch und das Interesse der datenverarbeitenden Stelle gewichtig, kann die Abwägung in beide Richtungen ausgehen, je nachdem wie hoch das Risiko und wie gewichtig das Interesse ist.44 Kritisiert wird, dass jede Datenverarbeitung unabhängig vom konkreten Risiko dem Verbotsprinzip unterworfen wird und nur im Bereich der Schutzmaßnahmen eine Skalierung nach dem jeweils konkreten Risiko vorgesehen ist (sog. begrenzter risikobasierter Ansatz45). Teilweise wird mit dem Argument, dass die Grundrechtspositionen der datenverarbeitenden Stelle nicht ausreichend gewürdigt werden, eine Abschaffung des Verbotsprinzips oder zumindest eine flexiblere Ausgestaltung gefordert, indem z. B. für einzelne Bereiche der Alltagsdatenverarbeitung Ausnahmen vorgesehen werden sollen.46 Den Anhängern des Verbotsprinzips ist darin zuzustimmen, dass von jeder Verarbeitung personenbezogener 38

Vgl. Schwichtenberg, Datenschutz, S. 62. Vgl. Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 63. 40 Alexy, in: GS Sonnenschein, S. 772; Robrahn / Bremert, ZD 2018, 291 (293). 41 Siehe dazu unten § 5 C. III. 2. 42 Vgl. Alexy, in: GS Sonnenschein, S. 773 ff.; Schwichtenberg, Datenschutz, S. 61 f. 43 Vgl. Alexy, in: GS Sonnenschein, S. 773 ff.; Schwichtenberg, Datenschutz, S. 61 f. 44 Vgl. Alexy, in: GS Sonnenschein, S. 773 ff., 782 f.; Schwichtenberg, Datenschutz, S. 61 f. 45 Schröder, ZD 2019, 503 ff.; Veil, ZD 2015, 347 ff.; Bussche / Voigt / Voigt, Konzerndatenschutz, III. 2. Rn. 14–17. 46 Giesen, NVwZ 2019, 1711 (1713 ff.); Veil, NVwZ 2018, 686 (695) u. Roßnagel / Pfitzmann /  Garstka, Datenschutzrecht, S. 61–63, fordern einen generellen Erlaubnistatbestand, der Datenverarbeitungen immer für zulässig erklärt, wenn offenkundig keine Beeinträchtigungen zu befürchten sind, ähnl. Drackert, Risiken, S. 319 f.; für einen generellen Erlaubnistatbestand unter Berücksichtigung von Gemeinwohlinteressen Golla, PinG 2018, 2, 3 f.; andere befürworten eine offenere Generalklausel oder verweisen auf die OECD-Richtlinien, s. Auernhammer /  v. Lewinski, DSGVO / BDSG, Einf. Rn. 13; ähnl. FHS / Scheider / Forgó / Helfrich, Betrieblicher Datenschutz, I. 1. Rn. 55; Schneider, AnwBl 2011, 233 (238 ff.); Bull, NJW 2006, 1617 (1624); Schröder, ZD 2019, 503 (506). 39

§ 5 Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen

91

Daten ein Risiko ausgeht.47 Diese Ansicht vertritt auch das BVerfG, wonach es „kein belangloses Datum mehr [gibt]“, da im Rahmen automatischer Datenverarbeitung alle Daten verknüpfbar sind.48 Daraus folgt aber noch nicht, dass ausnahmslos jede Verarbeitung personenbezogener Daten (gleich stark) reguliert und den Pflichten der DSGVO unterworfen werden muss.49 Es gibt zwar keine belanglose Daten, trotzdem ist die Wahrscheinlichkeit einer unerwünschten Verarbeitung unterschiedlich groß.50 2. Erforderlichkeitsprinzip a) Abhängigkeitsverhältnis zwischen Verarbeitung und Verarbeitungszweck Das Erforderlichkeitsprinzip als übergreifendes Prinzip der DSGVO51 stellt sicher, dass eine Datenverarbeitung nur zulässig ist, wenn zwischen der konkreten Datenverarbeitung und dem Verarbeitungszweck ein gewisses Abhängigkeitsverhältnis besteht.52 Nur wenn ein solches Abhängigkeitsverhältnis besteht, kann das Interesse der datenverarbeitenden Stelle so bedeutend sein, dass es die Datenverarbeitung rechtfertigen kann. Unklar ist allerdings, wie groß der Abhängigkeitsgrad sein muss, damit die Datenverarbeitung erforderlich ist. Der Begriff der Erforderlichkeit ist ein autonomer Begriff des Unionsrechts, und muss daher den Zielen des unionrechtlichen Datenschutzrechts entsprechend ausgelegt werden.53 Hauptziel der DSGVO ist die Schaffung eines Regelungsregimes, das einen angemessenen Interessenausgleich herbeiführt.54 Vor diesem Hintergrund ist man sich einig, dass der Begriff der Erforderlichkeit nicht im Sinne einer zwingenden Notwendigkeit eng verstanden werden darf.55 Die Voraussetzung einer zwingenden Notwendigkeit würde dazu führen, dass die Interessen der datenverarbeitenden Stelle nicht ausreichend berücksichtigt werden könnten, was dem in Art. 1 Abs. 1 DSGVO normierten Ziel des freien Datenverkehrs wider 47

SHS / Hornung / Spiecker, Datenschutzrecht, Einl. Rn. 242. BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (422) – Volkszählung. 49 Ähnl. Bull, NJW 2006, 1617 (1618 f.); Drackert, Risiken, S. 319; Roßnagel / Pfitzmann /  Garstka, Datenschutzrecht, S. 15, 61–63, 68–70; Veil, NVwZ 2018, 686 (695). 50 Roßnagel / Pfitzmann / Garstka, Datenschutzrecht, S. 62. 51 So auch Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 15. 52 Albers, Informationelle Selbstbestimmung, S. 516 ff.; BeckOK Datenschutzrecht / Albers /  Veit, Art. 6 DSGVO Rn. 15. 53 EuGH, Urt. v. 16. 12. 2008 – C-524/06, ECLI:EU:C:2008:724 Rn. 52 – Huber; Kühling /  Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 118. 54 Vgl. Art. 1 DSGVO; Schwichtenberg, Datenschutz, S. 45; SHS / Hornung / Spiecker, Datenschutzrecht, Art. 1 DSGVO Rn. 25 ff. 55 Erfurth, NJOZ 2009, 2914 (2919); Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn.  20; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 434; diff. Paal / Pauly / Frenzel, DSGVO /  BDSG, Art. 6 DSGVO Rn. 9, 14 u. 23, der den Begriff der Erforderlichkeit nur bei einer Datenverarbeitung durch den Staat als zwingende Notwendigkeit versteht. 48

92

3. Kap.: Einfachgesetzlicher Rechtsrahmen

spräche. Es würde gar nicht erst zur Interessenabwägung kommen, weil jegliche Möglichkeit der Berücksichtigung des von der Datenverarbeitung ausgehenden Risikos abgeschnitten würde. Das Erforderlichkeitskriterium ließe eine wertende Betrachtung nicht zu, die zum Interessenausgleich aber notwendig ist.56 In diese Richtung geht auch die Rechtsprechung des EuGH, der begrifflich zwar fordert, dass die Datenverarbeitung „absolut notwendig“ ist57, dabei aber auf gleich geeignete mildere Mittel abstellt58. Damit ist eine Datenverarbeitung – entsprechend dem deutschen verfassungsrechtlichen Verständnis59 – erforderlich, wenn der Zweck nicht durch ein gleich geeignetes milderes Mittel erreicht werden kann.60 Der Schutz der Grundrechte der datenverarbeitenden Stelle fordert darüber hinaus, dass bei der Abgrenzung der beabsichtigten Datenverarbeitung zu anderen, gleich geeigneten, aber milderen Maßnahmen nur solche Mittel berücksichtig werden, die der datenverarbeitenden Stelle zumutbar sind.61 Zwar erhöht das Kriterium der Zumutbarkeit die Rechtsunsicherheit, indem es einen Entscheidungsspielraum schafft. Unzumutbare Mittel sind aber keine reale und insbesondere keine von der DSGVO geforderte Alternative.62 Die Interessen sind gerade nicht ausgeglichen, wenn die datenverarbeitende Stelle auf eine Alternative verwiesen wird, die ihr wegen der Kosten und / oder des Aufwands nicht zumutbar ist und die sie aus diesen Gründen auch nicht nutzen wird. Im Rahmen der Erforderlichkeitsprüfung ist nur sicherzustellen, dass das von der Datenverarbeitung ausgehende Risiko auf das zur Erreichung des mit der Datenverarbeitung verfolgten Zwecks notwendige Maß begrenzt ist.63 Das ergibt sich ausdrücklich aus Art. 5 Abs. 1 lit. c) DSGVO („auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“). Der Zweck selbst ist nicht in Frage zu stellen. Zu diesem Ergebnis kommt auch der Unionsgesetzgeber, der in Erwägungsgrund 39 DSGVO feststellt, dass personenbezogene Daten nur verarbeitet werden dürfen, „wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“.64 56

Ähnl. Albers, Informationelle Selbstbestimmung, S. 519 f. EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 86 – Schecke u. Eifert; EuGH, Urt. v. 11. 12. 2014 – C-212/13, ECLI:EU:C:2014:2428 Rn. 28 – Ryneš. 58 EuGH, Urt. v. 9. 11. 2010 – C-92/09, C-93/09, ECLI:EU:C:2010:662 Rn. 86 – Schecke u. Eifert. 59 Siehe Maunz / Dürig / Grzeszick, GG, Art. 20 VII. Rn. 115–118. 60 Auernhammer / Kramer, DSGVO / BDSG, Art. 6 DSGVO Rn. 43; Robrahn / Bremert, ZD 2018, 291 (292); SHS / Schantz, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 100. 61 EG 39 S. 9 DSGVO; VG Hannover, Urt. v. 27. 11. 2019 – 10 A 820/19, ZD 2020, 269 Rn. 43; Auernhammer / Kramer, DSGVO / BDSG, Art.  6 DSGVO Rn.  44; Gola / Heckmann / Schulz, DSGVO / BDSG, Art.  6 DSGVO Rn.  20; Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn.  139; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 434 ff.; diff. Paal / Pauly / Frenzel, DSGVO /  BDSG, Art. 6 DSGVO Rn. 9, 14, 23; a. A. Robrahn / Bremert, ZD 2018, 291 (292 f.). 62 Ähnl. Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 436; a. A. wohl Robrahn / Bremert, ZD 2018, 291 (292). 63 Schantz / Wolff / Wolff, Datenschutzrecht, Rn.  429; Ehmann / Selmayr / Heberlein, DSGVO, Art. 6 Rn. 5. 64 Hervorhebung durch Verfasserin. 57

§ 5 Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen

93

b) Erforderlichkeit als Einfallstor für Datenschutzgrundsätze Für die Frage, ob es eine zumutbare, gleich geeignete Alternative gibt, die ohne oder mit einem Weniger an Datenverarbeitung auskommt65, ist auf die Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO abzustellen.66 Mit den Grundsätzen der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit hat der Unionsgesetzgeber als wesent­ liche Zielsetzungen des Schutzkonzepts der DSGVO festgelegt, auf welche Art und Weise eine Datenverarbeitung zu erfolgen hat.67 Diese Zielsetzungen sind in Art. 5 Abs. 1 DSGVO sehr allgemein gehalten und werden in Art. 7 ff. DSGVO konkretisiert.68 Beispielsweise konkretisieren die Informationspflichten in Art. 13 und 14 DSGVO den Grundsatz der Transparenz69 und die Pflicht zum Datenschutz durch Technikgestaltung aus Art. 25 Abs. 1 DSGVO die Grundsätze der Datenminimierung und Speicherbegrenzung70. Sowohl der EuGH als auch die Literatur gehen davon aus, dass die Datenschutzgrundsätze die Rechtmäßigkeit einer Datenverarbeitung beeinflussen71, wobei unklar ist, ob und wie die Datenschutzgrundsätze im Rahmen der Erlaubnistatbestände zu beachten sind. In der Literatur wird teilweise vertreten, dass die Datenschutzgrundsätze als „Wie“ der Datenverarbeitung getrennt von der Zulässigkeit als „Ob“ zu betrachten sind.72 Danach könnte eine Datenverarbeitung grundsätzlich nach Art. 6 DSGVO zulässig, aber aufgrund der Art und Weise der Umsetzung im Ergebnis dennoch rechtswidrig sein. Im Gegensatz dazu gehen andere davon aus, dass die Erforderlichkeit i. S. v. Art. 6 Abs. 1 lit. b)–f) DSGVO den Datenschutzgrundsätzen aus Art. 5 Abs. 1 lit. b), c) und e) Rechnung trägt.73 65

Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 45. Ähnl. Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 6 DSGVO Rn. 14; Gola / Pötters, RDV 2017, 111 (114); Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 12. 67 Roßnagel, DSGVO, § 3 Rn. 42; ders., ZD 2018, 339 (342). 68 Vgl. Albrecht, CR 2016, 88 (91); Ehmann / Selmayr / Heberlein, DSGVO, Art. 5 Rn. 6. 69 So auch BeckOK Datenschutzrecht / Schantz, Art. 5 DSGVO Rn. 10; Taeger / Gabel / Voigt, DSGVO / BDSG, Art. 5 DSGVO Rn. 18. 70 Vgl. Paal / Pauly / Martini, DSGVO / BDSG, Art. 25 DSGVO Rn. 2; siehe auch Kühling /  Buchner / Hartung, DSGVO / BDSG, Art. 25 DSGVO Rn.10. 71 EuGH, Urt. v. 16. 1. 2019 – C-496/17, ECLI:EU:C:2019:26 Rn. 57 f. – Deutsche Post; EuGH, Urt. v. 24. 9. 2019 – C-136/17, ECLI:EU:C:2019:773 Rn. 74 f. – GC u. a.; Paal / Pauly / Frenzel, DSGVO / BDSG, Art.  6 DSGVO Rn.  7; Ehmann / Selmayr / Heberlein, DSGVO, Art. 5 Rn. 8; Sydow / Marsch / Reimer, DSGVO, Art. 6 Rn. 1; SHS / Roßnagel, Datenschutzrecht, Art. 5 Rn. 38 f.; Roßnagel, ZD 2018, 339 (343); Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn.  14; Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 12; Wächter, Datenschutz, A. Rn. 170; vgl. die Vorgängerregelungen in Art. 6 Abs. 1 und Art. 7 DSRL, die in der DSRL im Kapitel II mit der Überschrift „Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“ verortet waren. 72 Roßnagel, ZD 2018, 339 (343); ähnl. Sydow / Marsch / Reimer, DSGVO, Art. 6 Rn. 1. 73 Im Hinblick auf 5 Abs. 1 lit. c) und e) DSGVO s. BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 18 u. Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 6 DSGVO Rn. 9. 66

94

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Die Diskussion wurzelt in der ungeklärten Frage nach dem Unterschied zwischen Zulässigkeit und Rechtmäßigkeit einer Datenverarbeitung.74 Wie oben bereits beschrieben worden ist75, setzt die Zulässigkeit einer Datenverarbeitung voraus, dass ein Erlaubnistatbestand besteht. Damit die Datenverarbeitung rechtmäßig ist, müssen über die Zulässigkeit hinaus die von der DSGVO geforderten Schutzmaßnahmen implementiert sein76, also z. B. ein Verzeichnis von Verarbeitungstätigkeiten geführt oder vor der Datenverarbeitung eine Datenschutzfolgenabschätzung durchgeführt werden. Die Abgrenzung nach dem „Ob“ und „Wie“ der Datenverarbeitung ist nicht überzeugend, da für die Zulässigkeit auch das „Wie“ maßgeblich ist. Ob ein Erlaubnistatbestand aus Art. 6 Abs. 1 DSGVO besteht, hängt davon ab, inwiefern die Datenschutzgrundsätze bei der Verarbeitung beachtet wurden.77 Damit sind die Datenschutzgrundsätze und alle Konkretisierungen, die den Datenverarbeitungsvorgang an sich betreffen, Teil der Zulässigkeit. Dafür spricht die überragende Bedeutung der Datenschutzgrundsätze. Die Überschrift in Art. 5 DSGVO („Grundsätze“) und die Stellung noch vor den Erlaubnistatbeständen in Art. 6 DSGVO heben diese Bedeutung hervor. Dass die Datenschutzgrundsätze alle wesentlichen Wertungen zum Datenschutz enthalten,78 ergibt sich aus der grundrechtlichen Anknüpfung in Art. 8 Abs. 2 GrCh, den Art. 5 Abs. 1 DSGVO einfachgesetzlich umsetzt79. Dieser überragenden Bedeutung wird eine Auslegung nicht gerecht, wonach die Datenschutzgrundsätze lediglich bußgeldbewährte Ordnungsvorschriften sind, nicht aber die Zulässigkeit einer Datenverarbeitung tangieren.80 In diese Richtung deutet auch die ständige Rechtsprechung des EuGH, wonach jede Datenverarbeitung mit Art. 5 Abs. 1 und Art. 6 DSGVO im Einklang stehen muss.81 In seiner Entscheidung in der Rechts 74 Auf diese Frage wird in der Literatur wenig eingegangen, da die Rechtswidrigkeit einer Datenverarbeitung innerhalb der DSGVO „nur“ an zwei Stellen Konsequenzen zeigt, nämlich in Art. 17 Abs. 1 lit. d) und in Art. 83 Abs. 5 lit. a) i. V. m. Art. 5 Abs. 1 lit. a) Var. 1 DSGVO; siehe jedoch Roßnagel, ZD 2018, 339 (343). 75 Siehe oben § 5 C. III. 1. 76 Die h. M. geht davon aus, dass die Zulässigkeit als „Ob“ der Datenverarbeitung nur einen Teil der Rechtmäßigkeit ausmacht, so Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 DSGVO Rn. 14– 17; Maier, Berufsbezogene Erreichbarkeit, S. 280; Sydow / Marsch / Reimer, DSGVO, Art. 6 Rn.  1; SHS / Roßnagel, Datenschutzrecht, Art. 5 Rn. 38; Gola / Heckmann / Schulz, DSGVO /  BDSG, Art. 6 DSGVO Rn. 14; Ziegenhorn / von Heckel, NVwZ 2016, 1585 (1586). 77 In diese Richtung BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 18; Spindler /  Schuster / Spindler / Dalby, Elektronische Medien, Art. 6 DSGVO Rn. 2; Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 12; a. A. Roßnagel, ZD 2018, 339 (343). 78 Vgl. Paal / Pauly / Frenzel, DSGVO / BDSG, Art.  5 DSGVO Rn.  1 f.; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 382. 79 Paal / Pauly / Frenzel, DSGVO / BDSG, Art.  5 DSGVO Rn.  3; Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 1. 80 I. E. so auch Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 DSGVO Rn. 1 f.; Roßnagel, ZD 2018, 339 (342). 81 EuGH, Urt. v. 16. 1. 2019  – C-496/17, ECLI:EU:C:2019:26 Rn. 57 f.  – Deutsche Post; EuGH, Urt. v. 24. 9. 2019 – C-136/17, ECLI:EU:C:2019:773 Rn. 74 f. – GC u. a.; noch zur DSRL EuGH, Urt. v. 1. 10. 2015 – C-201/14, ECLI:EU:C:2015:638, Rn. 30 – Bara.

§ 5 Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen

95

sache Google Spain machte der EuGH das Bestehen eines Anspruchs auf Löschung aus Art. 12 lit. b) DSRL davon abhängig, dass die Datenverarbeitung den Bestimmungen von Art. 6 und Art. 7 der DSRL entspricht.82 In der Rechtssache GC stellte der EuGH jüngst sogar ausdrücklich fest, dass sich aus Art. 5 Abs. 1 lit. c) bis e) DSGVO Zulässigkeitsvoraussetzungen ergeben.83 Dem steht nicht entgegen, dass der Grundsatz der Rechtmäßigkeit aus Art. 5 Abs. 1 lit. a) Var. 1 DSGVO nach herrschender Meinung auf die Zulässigkeit i. S. v. Art. 6 DSGVO verweist84. Der Umstand, dass der Grundsatz der Rechtmäßigkeit neben den anderen Datenschutzgrundsätzen steht, deutet zwar an, dass die Datenschutzgrundsätze neben der Zulässigkeit stehen, ohne ein Teil von ihr zu sein. Man kann den Verweis auf Art. 6 DSGVO aber auch als Klarstellung dahingehend verstehen, dass Art. 5 und 6 DSGVO zusammen die wesentlichen Prinzipien der datenschutzrechtlichen Zulässigkeitsprüfung abbilden. So kann auch Art. 8 Abs. 2 GrCh verstanden werden. Gegen einen Einfluss der Datenschutzgrundsätze auf die Zulässigkeit wird argumentiert, dass jeder leichte Verstoß gegen die DSGVO die Datenverarbeitung unzulässig machen würde.85 Dieses Argument überzeugt aus zwei Gründen nicht. Zum einen stellen die Datenschutzgrundsätze keine starren, sondern flexible Anforderungen an eine Datenverarbeitung, bei denen Spielraum für eine Wertung besteht. Ihre Abstraktheit, Unbestimmtheit und Ausfüllungsbedürftigkeit setzt eine Wertung im Einzelfall voraus.86 Die Datenschutzgrundsätze können nicht isoliert betrachtet werden. Insbesondere im Hinblick auf die Grundsätze der Verarbeitung nach Treu und Glauben sowie der Integrität und Vertraulichkeit kann kaum eindeutig festgestellt werden, wann sie erfüllt sind.87 Da sie nur mehr oder weniger gut erreicht sein können, fordern die Datenschutzgrundsätze keine absolute Befolgung, sondern „nur“ die optimale Verwirklichung eines Idealzustands.88 Zum anderen entspricht es gerade der Wertung der DSGVO, dass Datenverarbeitungen unzulässig sind, bei denen der Verarbeitungszweck gleich wirksam durch 82

EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 75 – Google Spain. EuGH, Urt. v. 24. 9. 2019 – C-136/17, ECLI:EU:C:2019:773 Rn. 74 f. – GC u. a.; wobei sich die Frage stellt, inwiefern die Übersetzung den Wortlaut verändert hat. Die Originalversion des Urteils verwendet den Begriff „lawfulness“, der in der englischen Fassung der DSGVO auch in Art. 5 Abs. 1 lit. a) und in Art. 6 verwendet und in der deutschen Fassung mit „Rechtmäßigkeit“ übersetzt wurde. 84 FGO / Franzen, EU ArbR, Art. 5 DSGVO Rn. 2; Gola / Heckmann / Pötters, DSGVO / BDSG, Art.  5 DSGVO Rn.  6; Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 8–12; ­BeckOK Datenschutzrecht  /  Schantz, Art. 5 DSGVO Rn. 5. 85 Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 10; BeckOK Datenschutzrecht / Schantz, Art. 5 DSGVO Rn. 5. 86 Vgl. SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 22, 25 f.; ders., ZD 2018, 339 (342); ähnl. Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 DSGVO Rn. 9 f. 87 SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 21; ders., ZD 2018, 339 (342). 88 So auch SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 21; ders., ZD 2018, 339 (342); zu Prinzipien als Optimierungsgebote siehe Alexy, Grundrechte, S. 75 f. 83

96

3. Kap.: Einfachgesetzlicher Rechtsrahmen

eine andere Maßnahme erreicht werden kann, welche die Datenschutzgrundsätze besser verwirklicht. Zwar kommt es bei einer Verknüpfung von Art. 6 und Art. 5 Abs. 1 DSGVO im Rahmen von Art. 83 Abs. 5 lit. a) DSGVO möglicherweise zu Doppelungen. Allerdings käme es auch bei einem Absehen von einer solchen Verknüpfung zu Doppelungen in Art. 83 Abs. 4 und 5 DSGVO. Ein Verstoß gegen die Informationspflichten könnte beispielsweise einen Bußgeldtatbestand nach Art. 83 Abs. 5 lit. a)  (Fehlen einer Rechtsgrundlage, da die intransparente Datenverarbeitung nicht erforderlich ist) und gleichzeitig einen Bußgeldtatbestand nach Art. 83 Abs. 5 lit. b) DSGVO (Verstoß gegen Art. 13 oder 14 DSGVO) auslösen. Es handelt sich um ein unabhängig vom Verhältnis zwischen Art. 5 und 6 DSGVO bestehendes Problem89, das darin wurzelt, dass Art. 5 DSGVO durch weitere Vorschriften der DSGVO konkretisiert wird90. Dogmatisch kann dieses Abhängigkeitsverhältnis zwischen Erlaubnistatbestand und Datenschutzgrundsätzen so erklärt werden, dass die Datenschutzgrundsätze über die Erforderlichkeit als „Einfallstor“ (und im Fall von Art. 6 Abs. 1 lit. f) DSGVO auch über die Interessenabwägung91) die Zulässigkeit einer Datenverarbeitung beeinflussen.92 Die Verarbeitung personenbezogener Daten ist zur Erreichung des Verarbeitungszwecks nur erforderlich und damit nur ohne Einwilligung zulässig, wenn der Verarbeitungszweck nicht gleich wirksam durch eine andere Maßnahme erreicht werden kann, bei der die Datenschutzgrundsätze besser verwirklicht sind. Insofern ermöglicht das Erforderlichkeitsprinzip eine wertende Betrachtung.93 Die Datenschutzgrundsätze machen verbindliche, aber flexible Vorgaben. Sie sind bis zu der Grenze maximal zu verwirklichen, ab der der Verarbeitungszweck bei einer darüber hinausgehenden Berücksichtigung der Datenschutzgrundsätze nicht mehr gleich wirksam erreicht werden kann.94 Wo diese Grenze liegt, wird durch Art. 7 ff. DSGVO konkretisiert, z. B. in Art. 13 und 14 DSGVO im Hinblick auf die Transparenz. 89

Ein damit zusammenhängendes Problem ist die Unvereinbarkeit von Art. 83 Abs. 5 lit. a) DSGVO mit dem Bestimmtheitsgrundsatz, siehe dazu Kühling / Buchner / Bergt, DSGVO /  BDSG, Art. 83 DSGVO Rn. 44–49. 90 Siehe dazu Kap. 3 Fn. 68. 91 BGH, Urt. v. 12. 7. 2018  – III ZR 183/17, NJW 2018, 3178 Rn. 86; Paal / Pauly / Frenzel, DSGVO / BDSG, Art.  6 DSGVO Rn.  31; Gola / Heckmann / Schulz, DSGVO / BDSG, Art.  6 DSGVO Rn. 57. 92 I. E. ähnl. BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 18; Roßnagel, DSGVO, § 3 Rn. 45, wonach die DSGVO so auszulegen ist, dass die Grundsätze bestmöglich verwirklicht sind; Ehmann / Selmayr / Heberlein, DSGVO, Art. 6 Rn. 5; a. A. Kühling /  Buchner / Buchner / Petri, DSGVO / BDSG, Art.  6 DSGVO Rn.  184; Spindler / Schuster / Spindler /  Dalby, Elektronische Medien, Art. 6 DSGVO Rn. 22. 93 In diese Richtung auch Bull, JZ 2017, 797 (806); Schneider, AnwBl 2011, 233 (238); Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 430; a. A. Sydow / Marsch / Reimer, DSGVO, Art. 6 Rn. 13. 94 Ähnl. SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 20 ff.

§ 5 Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen

97

IV. Zweite Ebene: Schutzmaßnahmen Das von zulässigen Datenverarbeitungen ausgehende, grundrechtlich „akzeptierte“ Risiko oder sogar hohe Risiko soll auf der zweiten Ebene durch Schutzmaßnahmen eingedämmt werden.95 Manche Schutzpflichten gelten nur bei Vorliegen eines voraussichtlich hohen Risikos, wie z. B. die Durchführung einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO, die Vorabkonsultation der Aufsichtsbehörde nach Art. 36 DSGVO oder die Benachrichtigung des Betroffenen bei einer Datenpanne nach Art. 34 DSGVO. Andere Schutzpflichten gelten für alle Datenverarbeitungen und werden in Abhängigkeit des Risikos im Hinblick auf ihren Inhalt nur „nach oben“ gesteigert oder „nach unten“ reduziert.96 Das gilt z. B. für die Pflicht zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 1 und 2 DSGVO (Datenschutz „by design“ und „by default“) und die Pflicht zur Gewährleistung von Datensicherheit nach Art. 32 Abs. 1 DSGVO.97

D. Zwischenergebnis Sowohl der Uniongesetzgeber als auch der deutsche Gesetzgeber haben in Ausübung ihrer grundrechtlichen Schutzpflicht einfachgesetzliche Datenschutzvorschriften geschaffen, die das Spannungsverhältnis zwischen den (grundrechtlich geschützten) Interessen der datenverarbeitenden Stelle und den grundrechtlich geschützten Interessen des Betroffenen auflösen sollen. Ansatzpunkt jeder datenschutzrechtlichen Prüfung ist die DSGVO, die gegenüber nationalen Datenschutzgesetzen vorrangig anwendbar ist. Die DSGVO basiert auf der Annahme, dass von jeder Verarbeitung personenbezogener Daten ein Risiko oder sogar ein hohes Risiko ausgeht. Um zu verhindern, dass sich das (hohe) Risiko realisiert, ist ein Schutzmechanismus auf zwei Ebenen vorgesehen. Der Verantwortliche muss zum einen die Zulässigkeit einer Datenverarbeitung gewährleisten und zum anderen eine Reihe von Schutzmaßnahmen vornehmen. Auf der Ebene der Zulässigkeit werden durch die zentralen Vorgaben in Art. 5, 6 und 9 DSGVO solche Datenverarbeitungen als unrechtmäßig „herausgefiltert“, von denen ein hohes Risiko ausgeht, ohne dass diesem ein gewichtiges Datenverarbeitungsinteresse gegenübersteht. Das geschieht zum einen durch das in Art. 6 Abs. 1 DSGVO normierte Verbotsprinzip, wonach eine Datenverarbeitung nur erlaubt ist, wenn ein Erlaubnistatbestand erfüllt ist. Zum anderen stellt das Erforderlichkeitsprinzip sicher, dass eine Datenverarbeitung nur zulässig ist, wenn zwischen der konkreten Datenverarbeitung und dem Verarbeitungszweck inso 95

Vgl. DSK, Kurpapier Nr. 18, S. 6; Bieker, DuD 2018, 27 (31); Schröder, ZD 2019, 503 (506); Schwichtenberg, Datenschutz, S. 58 „Vorsorgemaßnahmen“. 96 Auch zu Vorstehendem Veil, ZD 2015, 347 (351). 97 Veil, ZD 2015, 347 (351).

98

3. Kap.: Einfachgesetzlicher Rechtsrahmen

fern ein Abhängigkeitsverhältnis besteht, als dass der Verarbeitungszweck nicht ohne oder mit einem Weniger an Datenverarbeitung gleich wirksam mit einem dem Verantwortlichen zumutbaren Mittel erreicht werden kann. Was ein Weniger an Datenverarbeitung ist, ergibt sich aus den verbindlichen, aber flexiblen Datenschutzgrundsätzen aus Art. 5 Abs. 1 DSGVO. Die Datenschutzgrundsätze enthalten die wesentlichen Zielsetzungen des Schutzkonzepts der DSGVO und beeinflussen über die Erforderlichkeit als Einfallstor die Frage, ob einer der Erlaubnistatbestände aus Art. 6 Abs. 1 lit. b)–f) DSGVO erfüllt ist: Kann der Verarbeitungszweck gleich wirksam durch eine Maßnahme erreicht werden, bei der die Datenschutzgrundsätze besser verwirklicht sind? Das von zulässigen Datenverarbeitungen ausgehende „akzeptierte“ Risiko oder sogar hohe Risiko soll auf der zweiten Ebene durch vom Verantwortlichen vorzunehmende Schutzmaßnahmen, wie z. B. die Pflicht zu Datensicherheitsmaßnahmen, eingedämmt werden.

§ 6 Anwendung und Modifikation des Maßstabs bei der Ortung von Beschäftigten  Legt man den allgemeinen Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen an die Ortung von Beschäftigten an, stellen sich mehrere Herausforderungen. Eine Schwierigkeit besteht darin, dass an der Ortung von Beschäftigten mehrere Akteure beteiligt sind – mindestens Arbeitgeber und LBSAnbieter –, die im Hinblick auf das datenschutzrechtliche Konzept der Rollenverteilung einzuordnen sind.98 Darüber hinaus ist zu beachten, dass der Unionsgesetzgeber über die Öffnungsklausel in Art. 88 DSGVO den Mitgliedstaaten im Bereich des Beschäftigtendatenschutzes gestattet, den allgemeinen Maßstab für die datenschutzrechtliche Beurteilung von Datenverarbeitungen durch Rechtsvorschriften oder durch Kollektivvereinbarungen zu modifizieren. Damit ist zu untersuchen, welche Modifikationen der deutsche Gesetzgeber vorgenommen hat, welche Modifikationen Kollektivparteien vornehmen können und wie diese Modifikationen den Zulässigkeitsmaßstab für die Ortung von Beschäftigten verändern.99 Schließlich besteht eine weitere Herausforderung darin, dass die im Rahmen der Ortung erfolgende Erhebung von Beschäftigten-Positionsdaten nicht nur in den Anwendungsbereich der DSGVO fällt, sondern grundsätzlich auch den Anwendungsbereich der speziellen Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-RL) tangiert, die zukünftig durch eine Verordnung (ePrivacy-VO) ersetzt werden soll.100 An dieser Stelle ist zu klären, in welchem Verhältnis die Erlaubnistatbestände der DSGVO und die telekommunikations- und telemedienrechtlichen Vorschriften zueinander stehen. 98

Vgl. Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1244, 1262; ausführl. dazu unten § 6 B. Ausführl. dazu unten § 6 C. 100 Ausführl. dazu unten § 6 D. 99

§ 6 Anwendung und Modifikation des Maßstabs  

99

A. Anwendbarkeit der DSGVO auf den Arbeitgeber I. Abstrakte Voraussetzungen 1. Sachlicher Anwendungsbereich Nach Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich der DSGVO eröffnet, wenn personenbezogene Daten101 ganz-, teilweise- oder unter bestimmten Voraussetzungen sogar nichtautomatisiert verarbeitet werden und keine der Ausnahmen in Art. 2 Abs. 2 DSGVO greift102. a) Personenbezogene Daten Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO definiert als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Das Gegenteil von personenbezogenen Daten sind nach Erwägungsgrund 26 S. 5 DSGVO anonyme Daten, die nicht vom Anwendungsbereich der DSGVO erfasst sind.103 aa) Identifizierte Person Ein Personenbezug liegt nach der ersten Variante von Art. 4 Nr. 1 DSGVO vor, wenn sich unmittelbar aus der Information selbst die Identität einer Person ergibt.104 Das ist insbesondere der Fall, wenn die Information ein Identifikationsmerkmal wie z. B. den Namen oder die Steueridentifikationsnummer enthält (z. B. „Max Mustermann befindet sich auf der A1“). Identifiziert ist eine Person zudem, wenn

101

Kritisch gegenüber diesem Kriterium Krügel, ZD 2017, 455 ff.; Schmitz, ZD 2018, 5 ff.; ausführl. Haase, Fragen des Personenbezugs, S. 324–333; Lösungsansätze sucht z. B. das Projekt „Understanding Information for Legal Protection of People Against Information-induced Harms“ abrufbar unter www.infolegproject.net (Abruf v. 26. 2. 2022). 102 Aufgrund der umfassenden Rechtsetzungskompetenzen der EU für den privatwirtschaftlichen Bereich und der Bedeutung des freien Datenverkehrs für den europäischen Binnenmarkt sind Datenverarbeitungen durch Private nicht über Art. 2 Abs. 2 lit. a) DSGVO vom Anwendungsbereich ausgeschlossen, siehe Auernhammer / v. Lewinski, DSGVO / BDSG, Art. 2 Rn. 15; BeckOK Datenschutzrecht / Bäcker, Art. 2 DSGVO Rn. 8. 103 Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 47. 104 Auch zum Folgenden SHS / Karg, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 54–56; Paal / Götz, RDV 2022, 247 (248); vgl. EuGH, Urt. v. 19. 10. 2016  – C-582/14, ECLI:EU: C:2016:779 Rn. 38 – Breyer.

100

3. Kap.: Einfachgesetzlicher Rechtsrahmen

die Information in Anwesenheit der Person erfolgt, da die Person für die Dauer der Anwesenheit individualisiert ist.105 bb) Identifizierbare Person Eine Person ist nicht identifiziert, aber identifizierbar, wenn die Information für sich genommen nicht zur Identifikation ausreicht, durch weitere Verarbeitungsschritte oder durch Zusatzwissen aber eine Person identifiziert werden kann.106 Dabei unterscheidet Art. 4 Nr. 1 HS. 2 DSGVO zwischen direkter und indirekter Identifizierbarkeit. Direkt identifizierbar ist eine Person, wenn durch Datenverknüpfung oder durch Zusatzwissen der Bezug zu einer durch ihren Namen oder ihre Sozialversicherungs- oder Steueridentifikationsnummer individualisierten Person hergestellt werden kann.107 Die E-Mail-Adresse „[email protected]“ kann beispielsweise durch den Abgleich mit einer E-Mail-Liste Max Mustermann zugeordnet werden. Indirekt identifizierbar ist eine Person, wenn die Information durch Datenverknüpfung oder durch Zusatzwissen zwar keiner namentlich individualisierten Person, aber einer durch andere Kennzeichen individualisierten Person zugeordnet werden kann.108 Die Kenntnis eines Namens wird nicht vorausgesetzt.109 Damit kann z. B. die WLAN-Kennung „MM123“ ein personenbezogenes Datum sein, wenn sie mit der Information verknüpft werden kann, dass Nutzer dieser Kennung eine einzelne konkrete Person ist, die in Hausnummer 123 wohnt. Weiterhin umstritten ist, für wen die Person identifizierbar sein muss.110 Unter der DSRL wurden dazu zunächst zwei Theorien vertreten. Zum Teil wurde allein auf die individuellen Mittel und Fähigkeiten der datenverarbeitenden Stelle abgestellt (subjektiv-relative Theorie111). Die Gegenansicht sah es als ausreichend an, dass irgendein Dritter die Möglichkeit hat, den Personenbezug herzustellen (objektiv-absolute Theorie112). Spätestens mit der Breyer-Entscheidung des EuGH, wonach solche Mittel vernünftigerweise nicht eingesetzt werden können, die gesetzlich verboten oder praktisch nicht durchführbar seien, weil sie z. B. einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würden113, 105 Simitis / Dammann, BDSG 2014, § 3 Rn. 22; SHS / Karg, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 55. 106 Statt aller Kühling / Buchner / Klar / Kühling, DSGVO / BDSG, Art. 4 Nr. 1 DSGVO Rn. 19; allgemein zur Identifizierbarkeit eines Fahrzeugführers Paal / Götz, RDV 2022, 247 (250 f.). 107 Art.-29-DSG, WP 136, S. 15; BeckOK Datenschutzrecht / Schild, Art. 4 DSGVO Rn. 16. 108 Art.-29-DSG, WP 136, S. 16; BeckOK Datenschutzrecht / Schild, Art. 4 DSGVO Rn. 17. 109 Art.-29-DSG, WP 136 S. 16; BeckOK Datenschutzrecht / Schild, Art. 4 DSGVO Rn. 17. 110 Zum Meinungsstand siehe Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art.  4 DSGVO Rn. 33–38.; SHS / Karg, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 57–65. 111 So Gola / Schomerus / Gola / Klug / Körffer, BDSG 2015, § 3 Rn. 10; Kühling / Klar, NJW 2013, 3611 (3615). 112 So Breyer, ZD 2014, 400 ff.; Buchner, DuD 2016, 155 (156). 113 EuGH, Urt. v. 19. 10. 2016 – C-582/14, ECLI:EU:C:2016:779 Rn. 46 – Breyer.

§ 6 Anwendung und Modifikation des Maßstabs  

101

hat sich zudem eine vermittelnde Ansicht114 etabliert, die als Ausgangspunkt der Betrachtung auf den Verantwortlichen abstellt, aber auch Mittel Dritter einbezieht, sofern wahrscheinlich ist, dass der Verantwortliche diese Mittel nutzen wird. Der Unionsgesetzgeber hat sich in der DSGVO nicht eindeutig zu dem Streit positioniert, liefert in Erwägungsgrund 26 S. 3 DSGVO aber Anhaltspunkte, die auf die vermittelnde Ansicht hindeuten. Danach sollen zur Feststellung der Identifizierbarkeit „alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“. Bei der Beurteilung der Wahrscheinlichkeit sollen nach Erwägungsgrund 26 S. 4 DSGVO „alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. Indem der Unionsgesetzgeber mit dem Kriterium der Wahrscheinlichkeit eine Risikoprognose fordert115, stellt er den Verantwortlichen in den Mittelpunkt (wie groß ist das Risiko, dass der Verantwortliche die Person identifiziert?).116 Zwar sollen auch Mittel berücksichtigt werden, die eine andere Person (z. B. ein Auftragsverarbeiter oder ein Dritter) wahrscheinlich nutzen wird. Es reicht mangels Wahrscheinlichkeit aber nicht aus, dass irgendein Dritter die Person identifizieren könnte.117 Die andere Person wird ihre Mittel nur wahrscheinlich nutzen, wenn sie vom Verantwortlichen in den Identifikationsprozess einbezogen wird.118 Dafür spricht auch Erwägungsgrund 30 DSGVO, wonach IP-Adressen nicht per se personenbezogen sind, sondern „dazu benutzt werden können, um […] Personen […] zu identifizieren“.119 Je geringer der zur Zuordnung erforderliche Aufwand und je geringer die dafür erforderlichen Kosten, desto größer ist die Wahrscheinlichkeit der Zuordnung.120 Unklar ist, ab welchem Risiko die Herstellung des Personenbezugs wahrscheinlich

114

BGH, Urt. v. 16. 5. 2017 – VI ZR 135/13, NJW 2017, 2416 Rn. 25 f.; Taeger / Gabel / Arning /  Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 34 f.; Brink / Eckhardt, ZD 2015, 205 (210 f.); Gola / Heckmann / Gola, DSGVO / BDSG, Art. 4 DSGVO Rn. 21 f.; Herbst, NVwZ 2016, 902 (905); SHS / Karg, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 60 f.; ders., DuD 2015, 520 (525); Kühling / Buchner / Klar / Kühling, DSGVO / BDSG, Art. 4 Nr. 1 DSGVO Rn. 26 ff.; Specht /  Mantz / Mantz / Marosi, HdB Datenschutzrecht, § 3 Rn. 14; Marnau, DuD 2016, 428 (430); Schantz / Wolff / S chantz, Datenschutzrecht, Rn.  277 f.; Sydow / Marsch / Z iebarth, DSGVO, Art. 4 Rn. 37; für ein objektiv-absolutes Verständnis unter der DSGVO Albrecht / Jotzo, Datenschutzrecht, III. Rn. 3; zurückhalt. FGO / Franzen, EU ArbR, Art. 4 DSGVO Rn. 5. 115 Vgl. Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 31; Hofmann /  Johannes, ZD 2017, 221 (224); Roßnagel, ZD 2018, 243 (244). 116 Kühling / Buchner / Klar / Kühling, DSGVO / BDSG, Art. 4 Nr. 1 DSGVO Rn. 26. 117 Kühling / Buchner / Klar / Kühling, DSGVO / BDSG, Art. 4 Nr. 1 DSGVO Rn. 26. 118 Kühling / Buchner / Klar / Kühling, DSGVO / BDSG, Art. 4 Nr. 1 DSGVO Rn. 26; Nink /  Pohle, MMR 2015, 563 (564 f.). 119 Hervorhebung durch Verfasserin; so auch Klein, Personenbilder, S.  15 f.; Schantz / Wolff /  Schantz, Datenschutzrecht, Rn. 289. 120 Vgl. Herbst, NVwZ 2016, 902 (905).

102

3. Kap.: Einfachgesetzlicher Rechtsrahmen

ist. Sollen durch das Kriterium der Wahrscheinlich nur wegen unverhältnismäßigen Aufwands praktisch undurchführbare Mittel der Identifizierung ausgeschlossen werden, sodass die Herstellung des Personenbezugs bei allen praktisch durchführbaren Mitteln wahrscheinlich ist?121 Oder ist die Zuordnung erst wahrscheinlich, wenn davon auszugehen ist, dass der Verantwortliche oder eine andere Person das Mittel im konkreten Fall einsetzen würde?122 Noch strenger wäre es, die Wahrscheinlichkeit der Zuordnung vom tatsächlichen Zuordnungswillen des Verantwortlichen oder einer anderen Person abhängig zu machen.123 Der Umstand, dass der Wortlaut von Erwägungsgrund 26 S. 3 und 4 DSGVO keine Anforderung an den Grad der Wahrscheinlichkeit stellt (z. B. „überwiegende“, „dringende“ oder „hohe“ Wahrscheinlichkeit), deutet auf eine weite Auslegung des Wahrscheinlichkeitsbegriffs hin. Insbesondere ist die Ansicht, die maßgeblich auf den Zuordnungswillen abstellt124, mit der DSGVO nicht vereinbar, da nach Erwägungsgrund 26 S. 4 DSGVO ausdrücklich ein objektiver Maßstab anzulegen ist125. Aus dem Austausch des Begriffs „vernünftigerweise“ in der DSRL durch das Kriterium der Wahrscheinlichkeit in der DSGVO lassen sich keine Argumente für den Wahrscheinlichkeitsbegriff ziehen.126 Nach Erwägungsgrund 26 S. 2 DSRL waren alle Mittel zu berücksichtigen, „die vernünftigerweise entweder von dem Verantwortlichen […] oder von einem Dritten eingesetzt werden könnten“. Zum Teil wird vertreten, der Unionsgesetzgeber habe abweichend von der EuGH-Rechtsprechung in der Rechtssache Breyer127 klarstellen wollen, dass auch rechtswidrige Mittel einzubeziehen sind.128 Dem ist entgegenzuhalten, dass in der englischen Sprachfassung die Formulierung der DSRL fast gleichbleibend übernommen wurde (DSRL: „likely reasonably be used“ und DSGVO: „reasonably likely to be used“).129 Das Vorsorgeprinzip der DSGVO spricht jedoch stark für ein weites Verständnis der Wahrscheinlichkeit. Wie das Umweltrecht soll das Datenschutzrecht Gefahren präventiv entgegenwirken.130 Daher muss die bloße Besorgnis von Beeinträchtigun 121

So EuGH, Urt. v. 19. 10. 2016 – C-582/14, ECLI:EU:C:2016:779 Rn. 46 – Breyer; ­Roßnagel, ZD 2018, 243 (244). 122 So Brauneck, EuZW 2019, 680 (685). 123 In diese Richtung Brink / Eckhardt, ZD 2015, 205 (211); gegen eine Bestimmung des Personenbezugs anhand subjektiver Kriterien Weichert, DuD 2009, 349 (351) m. w. N. 124 Z. B. Brink / Eckhardt, ZD 2015, 205 (211). 125 So auch Kühling / Buchner / Klar / Kühling, DSGVO / BDSG, Art. 4 Nr. 1 DSGVO Rn. 23. 126 Kring / Marosi, K&R 2016, 773 (776); a. A. Krügel, ZD 2017, 455 (459). 127 EuGH, Urt. v. 19. 10. 2016 – C-582/14, ECLI:EU:C:2016:779 Rn. 46 (Breyer). 128 Brauneck, EuZW 2019, 680 (684); Krügel, ZD 2017, 455 (459). 129 Kring / Marosi, K&R 2016, 773 (776); Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art. 4 DSGVO Rn. 31 Fn. 66. 130 Zum Vorsorgeprinzip der DSGVO siehe oben § 5 C. II.; zum Vorsorgeprinzip des Umweltrechts Schoch / Eifert, BesVerwR, V. Rn. 48 ff.

§ 6 Anwendung und Modifikation des Maßstabs  

103

gen für die Eröffnung des Anwendungsbereichs hinreichend sein.131 Diesen Ansatz zeigt die DSGVO schon dadurch, dass sie nicht nur auf Daten abstellt, die Personen identifizieren, sondern auch auf solche, bei denen Personen lediglich identifizierbar sind. Eine wirksame Vorsorge kann vor diesem Hintergrund nur erfolgen, wenn an die Wahrscheinlichkeit der Identifikation keine strengen Anforderungen gestellt werden und nur solche Daten vom Anwendungsbereich ausgeschlossen werden, bei denen ein Personenbezug nicht oder nur mit unverhältnismäßigem Aufwand hergestellt werden kann. Nach dieser Argumentation müssen im Rahmen der Wahrscheinlichkeit auch rechtswidrige Zuordnungsmöglichkeiten berücksichtigt werden.132 Die Tatsache, dass eine Zuordnungsmöglichkeit illegal ist, verringert zwar die Wahrscheinlichkeit, dass diese Zuordnungsmöglichkeit tatsächlich genutzt wird.133 Solange die Zuordnungsmöglichkeit aber keinen unverhältnismäßigen Aufwand fordert, besteht das Risiko der Identifizierbarkeit. Die konkrete Höhe der Wahrscheinlichkeit kann in der Abwägung im Rahmen der Generalklausel in Art. 6 Abs. 1 lit. f) DSGVO berücksichtigt werden.134 Je unwahrscheinlicher die Zuordnung ist, desto geringer ist das von der Datenverarbeitung ausgehende Risiko. b) Automatisierte und nicht-automatisierte Verarbeitung Die DSGVO ist nach Art. 2 Abs. 1 DSGVO anwendbar, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden. Manuelle Verarbeitungsschritte wie z. B. das Beobachten einer Person durch einen Detektiv, werden nur erfasst, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.135 Der Begriff des Dateisystems erfasst alle geordneten manuellen Datensammlungen.136

131

Ähnl. SHS / Karg, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 62; Paal / Götz, RDV 2022, 247 (248) „wenn der Verantwortliche potenziell die Möglichkeit hat, die erforderlichen Informationen von dem Dritten zu erlangen“. 132 So auch Herbst, NVwZ 2016, 902 (905); Ehmann / Selmayr / Klabunde, DSGVO, Art. 4 Rn. 17; i. E. auch Brauneck, EuZW 2019, 680 (684); dagegen Gola / Heckmann / Gola, DSGVO /  BDSG, Art. 4 DSGVO Rn. 22; unter der DSRL dafür Bergt, ZD 2015, 365 (370); Breyer, ZD 2014, 400 (405); unter der DSRL dagegen EuGH, Urt. v. 19. 10. 2016  – C-582/14, ECLI:EU:C:2016:779 Rn. 46 – Breyer; dem EuGH folgend BGH, Urt. v. 16. 5. 2017 – VI ZR 135/13, NJW 2017, 2416 Rn. 25 f.; Brink / Eckhardt, ZD 2015, 205 (211). 133 Ebenso Brauneck, EuZW 2019, 680 (685). 134 In diese Richtung auch Herbst, NVwZ 2016, 902 (905 f.); SHS / Karg, Datenschutzrecht, Art. 4 Nr. 1 DSGVO Rn. 65. 135 Gola / Heckmann / Gola, DSGVO / BDSG, Art. 2 DSGVO Rn. 9 ff.; vgl. Art. 2 Abs. 1 DSGVO. 136 BeckOK Datenschutzrecht / Bäcker, Art. 2 Rn. 4.

104

3. Kap.: Einfachgesetzlicher Rechtsrahmen

2. Räumlicher Anwendungsbereich Der räumliche Anwendungsbereich der DSGVO wird durch das Niederlassungs(Art. 3 Abs. 1 DSGVO) und das Marktortprinzip (Art. 3 Abs. 2 DSGVO) beschrieben.137 Nach dem Niederlassungsprinzip ist der Anwendungsbereich der DSGVO eröffnet, wenn die Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU erfolgt. Dabei setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus, wobei die Rechtsform dieser Einrichtung nicht maßgeblich ist.138 Ergänzend schützt das Marktortprinzip sich innerhalb der EU befindende Personen auch vor einer außerhalb Europas stattfindenden Datenverarbeitung.139 Es erweitert den Anwendungsbereich der DSGVO dahingehend, dass auch Fallgestaltungen erfasst werden, in denen die Datenverarbeitung weder einer in der EU befindlichen Niederlassung des Verantwortlichen noch einer solchen des Auftragsverarbeiters zugerechnet werden kann, sofern sich der Betroffene in der EU aufhält und die Datenverarbeitung im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens des Betroffenen steht. II. Anwendung auf die Ortung von Beschäftigten Ortet ein Arbeitgeber Beschäftigte mit räumlichem Bezug zur EU ist die DSGVO in der Regel anwendbar (dazu im Folgenden). Ist die DSGVO ausnahmsweise nicht anwendbar, richtet sich die Rechtmäßigkeit der im Rahmen der Ortung erfolgenden Datenverarbeitung allein nach dem Allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und der Berufs- und Eigentumsfreiheit aus Art. 12 und 14 GG.140

137

Paal / Pauly / Ernst, DS-GVO / BDSG, Art. 3 DSGVO Rn. 5–20. So EG 22 DSGVO; zum Begriff der Niederlassung s. EuGH, Urt. v. 1. 10. 2015  – C-230/14, ECLI:EU:C:2015:639 Rn. 29  – Weltimmo; zur Bedeutung von Serverstandorten siehe FHS / Borges, Betrieblicher Datenschutz, I. 3. Rn. 58–65. 139 Paal / Pauly / Ernst, DS-GVO / BDSG, Art. 3 DSGVO Rn. 13; FGO / Franzen, EU ArbR, Art. 3 DSGVO Rn. 4. 140 Siehe dazu oben § 4.  138

§ 6 Anwendung und Modifikation des Maßstabs  

105

1. Beschäftigter in der Regel identifiziert oder identifizierbar a) Beschäftigter identifiziert Ortet ein Arbeitgeber seine Beschäftigten manuell, indem er z. B. ihre Position telefonisch abfragt141, sind die Betroffenen identifiziert, da sich der Personenbezug unmittelbar aus der Abfrage – hier dem Anruf – ergibt.142 Hingegen sind über ein Ortungssystem erhobene Positionsdaten in erster Linie von personenbezogenen Daten zu unterscheidende bloße Sachdaten, da sie sich unmittelbar nur auf das zur Ortung eingesetzte technische Gerät, z. B. einen GPSEmpfänger, beziehen.143 Ein Bezug zu einer identifizierten oder identifizierbaren Person besteht, wenn der Arbeitgeber die Positionsdaten des GPS-Empfängers mit verhältnismäßigem Aufwand einer Person zuordnen kann.144 Ordnet das Ortungssystem den GPS-Empfänger einem mit Klarnamen bezeichneten Beschäftigten zu (z. B. „Max Mustermann befand sich um 10:30 an einem Ort mit den Koordinaten N 52° 31’7.367/ O 13° 24’5.511“), beziehen sich die Positionsdaten auf eine identifizierte Person, sofern wahrscheinlich ist, dass sich die zugeordnete Person in der Nähe des GPS-Empfängers aufhält. Diese Bedingung ist grundsätzlich erfüllt, da in der Regel entweder das einem Beschäftigten zugeordnete Dienstfahrzeug oder das einem Beschäftigten zugeordnete und per Weisung stets bei sich zu führende Endgerät (z. B. Mobiltelefon) geortet wird.145 Erfordert die Zuordnung einen unverhältnismäßigen Aufwand, liegt kein Bezug zu einer identifizierten oder identifizierbaren Person vor. b) Beschäftigter identifizierbar Ordnet das Ortungssystem den GPS-Empfänger nicht einem mit Klarnamen bezeichneten Beschäftigten zu, ist der betroffene Beschäftigte zwar nicht identifiziert, in der Regel aber identifizierbar. Davon scheint auch der Unionsgesetzgeber 141

Zur Auskunftspflicht s. Bürkle / Hauschka / Wessing / Dann, Compliance, § 12 Rn. 25–29. Siehe dazu oben § 6 A. I. 1. a) aa). 143 So auch BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 38 f.; Krügel, ZD 2017, 455 (459); Bräutigam / Rücker / Rücker / L oeck, E-Commerce, 10. E. Rn. 6; Müller / Becker, FA 2018, 74; Paal / Götz, RDV 2022, 247 (249); Sieling / Philipp, ITRB 2013, 255 (257). 144 Vgl. EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 49– 51 – Uzun / Deutschland; BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 38 f.; BGH, Beschl. v. 15. 5. 2013 – XII ZB 107/08, NJW 2013, 2668 Rn. 13; LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 1.); Art.-29-DSG, WP 136, S. 13 Beispiel Nr. 8; BeckOK Datenschutzrecht / Schild, Art. 4 Rn. 21; Arning / Moos, ZD 2014, 126 (129 ff.); Krügel, ZD 2017, 455 (456 ff.); Paal / Götz, RDV 2022, 247 (250); Rammo / Holzgräfe, InTer 2015, 23; Sieling / Philipp, ITRB 2013, 255 (257). 145 So auch Müller / Becker, FA 2018, 74; Schläger / T hode / Schmidt, HdB Datenschutz und IT, C. Rn. 240. 142

106

3. Kap.: Einfachgesetzlicher Rechtsrahmen

auszugehen, der in Art. 4 Nr. 1 DSGVO „Standortdaten“ ausdrücklich als „Kennung“ aufführt, die regelmäßig eine Identifizierung ermöglicht.146 Ordnet das Ortungssystem die Positionsdaten einem die Identität verschleiernden Pseudonym zu147, hängt die Einordnung als personenbezogene Daten in erster Linie davon ab, ob der Arbeitgeber das Pseudonym – ggf. unter Zuhilfenahme anderer Personen  – mit verhältnismäßigem Aufwand auflösen kann.148 Als Pseudonym kommt z. B. das Kfz-Kennzeichen des Dienstfahrzeugs, die Gerätenummer des verbauten GPS-Geräts, des dienstlichen Mobiltelefons oder des RFID-Chips, die ISMI der SIM-Card oder auch eine zufällig generierte Nummer in Betracht. Das System zeigt z. B. an, dass die um 10:30 Uhr erhobenen Koordinaten N 52° 31’7.367/ O 13° 24’5.511 zum Beschäftigten B63 gehören. Denkbar ist auch, dass die Position ganz ohne Kennung auf einer Landkarte in Form von Punkten angezeigt wird.149 Verfügt ein Arbeitgeber selbst über die Zuordnungsinformation, kann er das Pseudonym mit verhältnismäßigem Aufwand auflösen, sodass die Positionsdaten personenbezogen sind.150 Eine solche Situation liegt z. B. vor, wenn das Ortungssystem die Positionsdaten den Kfz-Kennzeichen der Dienstfahrzeuge zuweist.151 Durch einen Blick in die Liste, in der die Dienstfahrzeuge den Beschäftigten zugeordnet sind (=Zuordnungsinformation), kann der Arbeitgeber die Positionsdaten einzelnen Beschäftigten zuordnen. Kennt der Arbeitgeber die Zuordnungsinformation nicht, weil der LBS-Anbieter das Pseudonym wählt oder die Beschäftigten z. B. über ein Nutzerkonto das Pseudonym selbst wählen, sind die Positionsdaten nur personenbezogen, wenn der Arbeitgeber die Zuordnungsinformation mit verhältnismäßigem Aufwand beim LBS-Anbieter abfragen kann, ihm also ein entsprechender Auskunftsanspruch zusteht.152 Ist das nicht der Fall, hängt die Einordnung als personenbezogene Daten davon ab, ob der Arbeitgeber die Positionsdaten unabhängig von der Auflösung

146

Vgl. dazu Ehmann / Selmayr / Klabunde, DSGVO, Art. 4 Rn. 16. Begrifflich ist zwischen einem Pseudonym, pseudonymen Daten und dem Verfahren der Pseudonymisierung zu differenzieren, ausführl. dazu Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art.  4 Rn.  124 ff. 148 Vgl. Roßnagel, ZD 2018, 243 (244 f.); die Aussage, dass pseudonyme Daten personenbezogene Daten sind (so z. B. Paal / Pauly / Ernst, DSGVO / BDSG, Art. 4 DSGVO Rn. 40; Ehmann / Selmayr / Klabunde, DSGVO, Art. 4 Rn. 19) ist daher zu pauschal. 149 Selbst wenn keine Kennung angezeigt wird, verwendet das System Pseudonyme, da es die erhobenen Daten auf irgendeine Art und Weise zuordnen muss (zumindest indem es ihnen zufällig generierte Nummern zuordnet). 150 Vgl. Schleipfer, ZD 2020, 284 (287). 151 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 44; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 2 u. 27. 152 Vgl. BGH, Urt. v. 16. 5. 2017 – VI ZR 135/13, NJW 2017, 2416 Rn. 26; ob ein Auskunftsanspruch gegenüber dem LBS-Anbieter besteht, hängt von der vertraglichen Ausgestaltung im Einzelfall ab. 147

§ 6 Anwendung und Modifikation des Maßstabs  

107

des Pseudonyms durch Heranziehung von kontextbezogenem Zusatzwissen zuordnen kann. Ist das Ortungssystem zur Verschleierung der Identität so ausgestaltet, dass es keine Zuordnungsinformation gibt, weil das System Pseudonyme nach dem Zufallsprinzip und ständig wechselnd vergibt153, hängt auch in diesem Fall die Einordnung als personenbezogene Daten davon ab, ob der Arbeitgeber die Positionsdaten unabhängig von der Auflösung des Pseudonyms durch Heranziehung von kontextbezogenem Zusatzwissen zuordnen kann.154 Eine solche Zuordnung wird dem Arbeitgeber in der Regel gelingen. Bei einer Ortung im Innenbereich kann der Arbeitgeber beispielsweise durch Aufsuchen der angezeigten Position, durch Befragung der Belegschaft oder anhand eines Büroplans, der Beschäftigten feste Arbeitsplätze zuweist, feststellen, zu welchem Beschäftigen die Daten gehören. Gegebenenfalls können Positionsdaten auch durch Befragung der Belegschaft einem bestimmten Beschäftigten zugeordnet werden. Bei einer Ortung im Außenbereich ist der Arbeitgeber regelmäßig in der Lage, anhand der im Rahmen der Buchhaltung gesammelten Informationen, welcher Auftrag von welchem Beschäftigten übernommen wurde (Einsatzplan), die Positionsdaten zuzuordnen.155 Ergibt sich z. B. aus dem Unternehmenskalender, dass nur der Beschäftigte B an Tag X einen Auftrag in der Nähe der erhobenen Positionsdaten ausgeführt hat, sind die Positionsdaten diesem Beschäftigten zuordenbar. Dabei ist zu berücksichtigen, dass die Wahrscheinlichkeit einer solchen Zuordnung umso größer ist, je mehr einem Pseudonym zugewiesene Positionsdaten gespeichert werden, da dadurch ein genaueres Bewegungsbild entsteht, das die Zuordnung vereinfacht.156 Zudem gilt: Je weniger Mitarbeiter im selben Gebiet unterwegs sind, desto leichter sind Positionen zuordenbar.

153

Ein solches System wurde im Rahmen sog. „Tracing Apps“ zur Bekämpfung von Sars-CoV-2 diskutiert, www.spiegel.de/netzwelt/apps/pepp-pt-so-funktioniert-das-digitaleinfektionswarnsystem-a-79fa9fd2-79b5-414b-8a2e-86ea89e1c72d (Abruf v. 26. 2. 2022). 154 Vgl. Düsseldorfer Kreis, Apps, S. 5; Arning / Moos, ZD 2014, 126 (130 f.); Bräutigam /  Rücker / Rücker / L oeck, E-Commerce, 10. E. Rn. 9; Schleipfer, ZD 2020, 284 (286 ff.). 155 Vgl. ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. a)). 156 Vgl. Paal / Pauly / Ernst, DSGVO / BDSG, Art.  4 DSGVO Rn.  12; Bräutigam / Rücker / Rücker /  Loeck, E-Commerce, 10. E. Rn. 10; eine Studie des MIT zeigt, dass bei einer Erhebung pseudonymisierter Positionsdaten von 1,5 Millionen Menschen über einen Zeitraum von 15 Monaten in einem Gebiet von einem Radius von 100 km, mithilfe von öffentlich zugänglichem Zusatzwissen (z. B. Adresse des Arbeitsplatzes oder standortbezogenen Aktivitäten in sozialen Medien) 95 % der Menschen anhand von vier und über 50 % der Menschen anhand von nur zwei räumlich-zeitlichen Positionsdaten identifiziert werden konnten, siehe de Montjoye et al., Sci. Rep. 3 (2013), 1376.

108

3. Kap.: Einfachgesetzlicher Rechtsrahmen

2. Datenverarbeitung in der Regel automatisiert Setzt ein Arbeitgeber ein Ortungssystem ein, ist die Datenverarbeitung bei kontinuierlicher Erhebung von Positionsdaten vollständig und bei anlassbezogener Ortung teilweise automatisiert.157 Manuelle Ortungsmaßnahmen werden nach Art. 2 Abs. 1 DSGVO nur vom Anwendungsbereich erfasst, wenn die Positionsdaten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.158 3. Räumlicher Anwendungsbereich bei EU-Bezug eröffnet In den räumlichen Anwendungsbereich der DSGVO fallen alle Ortungsmaßnahmen, die einer Niederlassung des Arbeitgebers innerhalb der EU zugerechnet werden können, unabhängig davon, wo der Beschäftigte geortet wird und ob die Niederlassung die Ortung selbst vornimmt.159 Kann die Ortung keiner Niederlassung des Arbeitgebers innerhalb der EU zugerechnet werden, ist der Anwendungsbereich trotzdem eröffnet, sofern sich die Ortungsmaßnahme gezielt auf in der EU befindliche Beschäftigte bezieht.160 In diesem Fall „beobachtet“ der Arbeitgeber mithilfe der Ortung das Verhalten der betroffenen Beschäftigten, sodass Art. 3 Abs. 2 lit. b)  DSGVO einschlägig ist. Aus Erwägungsgrund  24 DSGVO ergibt sich zwar, dass die Vorschrift auf Datenverarbeitungen zur Nachvollziehung von Internetaktivitäten (sog. Webtracking) abzielt. Der Wortlaut erfasst aber auch die Überwachung des physischen Bewegungsverhaltens.161

157

Vgl. BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 46–48; Paal / Pauly / Ernst, DS-GVO / BDSG, Art. 2 DSGVO Rn. 5 f. 158 Vgl. EG 15 DSGVO. 159 Siehe dazu oben § 6 A. I. 2.  160 Siehe dazu oben § 6 A. I. 2.; ist auch diese Variante nicht erfüllt, wird die DSGVO zum Teil auch angewendet, wenn zur Ortung die Dienste eines Auftragsverarbeiters (LBSAnbieter) genutzt werden, der von einer Niederlassung innerhalb der EU aus agiert, dafür Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 328 ff.; dagegen Kühling / Buchner / Klar, DSGVO / BDSG, Art.  3 DSGVO Rn.  38; Taeger / Gabel / Schmidt, DSGVO / BDSG, Art. 3 DSGVO Rn. 13 ff. 161 Str., dafür EDSA, Leitlinien 3/2018, S. 17 f.; SHS / Hornung, Datenschutzrecht, Art. 3 DSGVO Rn.  58; Taeger / Gabel / Schmidt, DSGVO / BDSG, Art. 3 DSGVO Rn. 28; a. A. Kühling /  Buchner / Klar, DSGVO / BDSG, Art.  3 DSGVO Rn.  92; Bussche / Voigt / Voigt, Konzerndatenschutz, IV. 1. Rn. 24; konkret für die Erfassung von LBS Laue / K remer / L aue, Datenschutzrecht, § 1 Rn.  85; Sydow / Marsch / Ennöckl, DSGVO, Art. 3 Rn. 15.

§ 6 Anwendung und Modifikation des Maßstabs  

109

B. Verantwortlichkeit des Arbeitgebers in Abgrenzung zum LBS-Anbieter I. Ortung als arbeitsteilige Datenverarbeitung Als für die Datenverarbeitung verantwortliche Person kommen Mehrere in Betracht, da die im Rahmen der Ortung erfolgende Datenverarbeitung arbeitsteilig durchgeführt wird. Für die Erhebung der Positionsdaten ist der ortende Arbeitgeber auf die Mitwirkung eines LBS-Anbieters angewiesen, der die technischen Voraussetzungen für die Datenerhebung schafft.162 Die Auswertung der Positionsdaten erfolgt regelmäßig durch Beschäftigte des Arbeitgebers oder durch andere (Konzern-)Unternehmen, die z. B. mit der Fuhrparkverwaltung beauftragt wurden. Zudem können auf der Entscheidungsebene neben dem Arbeitgeber der Betriebsrat oder andere Konzernunternehmen mitwirken, von denen letztere im Einzelfall sogar die alleinige Entscheidungshoheit ausüben können. Geht man davon aus, dass der Arbeitgeber die Ortung selbst ausführt und nicht an andere (Konzern-)Unternehmen überträgt, sind folgende Verarbeitungsschritte163 nötig: Der LBS-Anbieter erhebt im Auftrag des Arbeitgebers mithilfe der von ihm betriebenen Software die Positionsdaten.164 Diese speichert der LBS-Anbieter in der Regel auf seinem Server und verwendet sie, indem er sie aufbereitet.165 Sodann übermittelt der LBS-Anbieter die graphisch aufbereiteten Positionsdaten an den Arbeitgeber, indem er sie ihm im Online-Portal zugänglich macht.166 All diese Vorgänge sind als Verarbeitung des LBS-Anbieters i. S. v. Art. 4 Nr. 2 DSGVO zu verstehen, da sich die Daten im Herrschaftsbereich des LBS-Anbieters befinden, der auf die Daten zugreifen kann und einen solchen Zugriff z. B. zu Wartungszwecken auch vornimmt.167 Der LBS-Anbieter stellt nicht lediglich seine Datenverarbeitungsanlagen für die Datenverarbeitung des Arbeitgebers zur Verfügung.168 Durch das Zugänglichmachen der Positionsdaten im Online-Portal erfasst der Arbeitgeber die Positionsdaten, da er die Möglichkeit der Kenntnisnahme hat.169 Er 162

Siehe dazu oben unter § 2 B. I. 2. Vgl. dazu oben § 2 A. I. 2. 164 Vgl. Roßnagel et al., Mobile Systeme, S. 102; a. A. wohl Rammo / Holzgräfe, InTer 2015, 23 (27), die andeuten, dass die Erhebung und Übermittlung der Positionsdaten durch die Verantwortliche Stelle und nur die Verwendung der Daten i. S. e. Aufbereitung durch den LBSAnbieter erfolgt. 165 Vgl. Roßnagel et al., Mobile Systeme, S. 102. 166 Vgl. Roßnagel et al., Mobile Systeme, S. 102; zur Definition von „Erheben“, „Speichern“, „Verwenden“ und „Übermitteln“ siehe statt aller Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 21 f., 24, 28 und 29 ff. 167 Vgl. Maier / Ossoinig, VuR 2015, 330 (332 f.). 168 Dies könnte auf eine alleinige Verarbeitung durch den Verantwortlichen hindeuten, vgl. Selzer, Cloud Computing, S. 8; vgl. aber auch DSK, Kurzpapier 13, S. 4, wonach eine Verarbeitung i. S. v. Art. 4 Nr. 2 DSGVO keinen Zugriff erfordert. 169 Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 21. 163

110

3. Kap.: Einfachgesetzlicher Rechtsrahmen

verwendet die Daten, wenn er sie für den mit der Ortung verfolgten Zweck nutzt. In manchen Fällen speichert der Arbeitgeber die Positionsdaten, indem er ihren Informationsgehalt in sein IT-System, auf einen Datenträger oder auf ein analoges Medium (z. B. Tischkalender oder Notizbuch) überführt.170 Gegebenenfalls übermittelt der Arbeitgeber die Daten an den Betriebsrat, ein anderes (Konzern-) Unternehmen oder einen Dritten. II. Arbeitgeber als für die Datenverarbeitung verantwortliche Stelle Ortet ein Arbeitgeber seine Beschäftigten, ist er verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO.171 Aus seiner Rolle als Arbeitgeber ergibt sich eine allgemeine Verantwortlichkeit gegenüber den Beschäftigten, die auch eine Möglichkeit der Beeinflussung von Datenverarbeitungen und damit eine Verantwortlichkeit hinsichtlich des Datenschutzes mit sich bringt.172 Diesen Einfluss üben Arbeitgeber bei der Durchführung von Ortungsmaßnahmen auch in einem Umfang und mit einer Signifikanz aus, die es rechtfertigt, ihnen umfassende datenschutzrechtliche Schutzpflichten und eine datenschutzrechtliche Haftung aufzuerlegen. Der Arbeitgeber legt den Ortungszweck fest und veranlasst die in seinem Interesse und (auch) zu seinem Vorteil erfolgende Ortung. Der Arbeitgeber entscheidet auch über die wesentlichen Aspekte der Art und Weise der Datenverarbeitung. In jedem Fall bestimmt er, welcher Beschäftigte geortet werden soll, welcher LBS-Anbieter dazu beauftragt werden soll und welche Mitarbeiter die Daten schließlich entsprechend dem Ortungszweck verwenden. Die Einbindung des LBS-Anbieters ist im Wesentlichen darauf zurückzuführen, dass Arbeitgeber technisch regelmäßig nicht dazu in der Lage sind, automatisiert Positionsdaten zu erheben. Zwar geben LBS-­Anbieter häufig standardisiert vor, wie oft Positionsdaten erhoben und wie lange sie auf deren Server gespeichert werden. Dieser Umstand steht einer Einordnung des Arbeitgebers als verantwortliche Stelle jedoch nicht entgegen, da der Arbeitgeber mit der Wahl des LBS-Anbieters die Verantwortung für diese Art und Weise der Verarbeitung übernommen hat.173 Zudem ermöglichen die meisten LBS-­ Anbieter dem Nutzer (hier der Arbeitgeber) zumindest eine variable Einstellung der Frequenz und eine zeitliche Begrenzung der Speicherung.174 170

Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 24. Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III.); VG Lüneburg, Teilurt. v. 19. 3. 2019  – 4 A 12/19, BeckRS 2019, 3816 Rn. 24–30; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 10–41; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1263–1275; Rammo / Holzgräfe, InTer 2015, 23 (24). 172 Vgl. Art.-29-DSG, WP 169, S. 13. 173 Vgl. Art.-29-DSG, WP 169, S. 32. 174 So z. B. die von der M4Telematics Group verwendete Software, abrufbar unter www. gpsfahrtenbuch.de/App-Handyortung-Android.html oder die von der Firma GPS-WATCH GmbH verwendete Software, abrufbar unter www.gps-watch.de/informationen/branchen/ taxiunternehmen/ (Abruf jeweils v. 26. 2. 2022). 171

§ 6 Anwendung und Modifikation des Maßstabs  

111

Für die Einordung des Arbeitgebers als verantwortliche Stelle ist unerheblich, ob der Arbeitgeber als natürliche Person oder ob angewiesene Beschäftigte über die Datenverarbeitung entscheiden. Art. 4 Nr. 10 DSGVO stellt klar, dass Beschäftigte oder andere interne Stellen (z. B. Funktionseinheiten) als Teil des Arbeitgebers anzusehen und diesem zuzurechnen sind.175 Entscheidet ein Konzernunternehmen zentral über Zwecke und Mittel der Ortung der bei anderen Konzernunternehmen tätigen Beschäftigten, ist statt des Arbeitgebers dieses Konzernunternehmen für die Datenverarbeitung verantwortlich. Entscheiden mehrere Konzernunternehmen in Absprache über Zwecke und Mittel der Ortung, kommt eine gemeinsame Verantwortlichkeit i. S. v. Art. 26 DSGVO in Betracht.176 Nicht an der Entscheidung beteiligte (Konzern-)Unternehmen können Auftragsverarbeiter sein, wenn sie die Daten tatsächlich verarbeiten.177 Hat der Betriebsrat aufgrund seines Mitbestimmungsrechts aus § 87  Abs.  1 Nr. 6  BetrVG gemeinsam mit dem Arbeitgeber Zwecke und Mittel der Ortung formlos oder in Form einer Betriebsvereinbarung festlegt, folgt daraus keine gemeinsame Verantwortlichkeit i. S. v. Art. 26 DSGVO. Im Zusammenhang mit der DSGVO wird diskutiert, ob der Betriebsrat Teil des datenschutzrechtlich verantwortlichen Arbeitgebers oder eigenständige verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DSGVO ist. Im Unterschied zur früheren Rechtslage178 können nach Art. 4 Nr. 7 DSGVO neben natürlichen und juristischen Personen auch „andere Stellen“ für die Datenverarbeitung verantwortlich sein.179 Gleichwohl geht die herrschende Ansicht davon aus, dass der Betriebsrat Teil des datenschutzrechtlich verantwortlichen Arbeitgebers ist.180 Der Betriebsrat könne nicht frei über Zwecke und Mittel der Datenverarbeitung entscheiden, sondern nur im Rahmen der Vorgaben des BetrVG.181 Zudem laufen Schadensersatz und Bußgelder, die an das Gremium an 175

Art.-29-DSG, WP 169, S. 37; SHS / Petri, Datenschutzrecht, Art. 4 Nr. 10 Rn. 4. Vgl. WHWS / Heinson, Datenschutz im ArbV, B. XII. Rn. 8; ausführlich zur gemeinsamen Verantwortlichkeit von Konzernunternehmen Lezzi / Oberlin, ZD 2018, 398 (399 ff.). 177 BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG, Rn. 180.1; noch zum alten Recht Schröder, ZD 2013, 13 (14). 178 Siehe BAG, Beschl. v. 11. 11. 1997 – 1 ABR 21/97, NZA 1998, 385 (386); BAG, Beschl. v. 12. 8. 2009 – 7 ABR 15/08, NZA 2009, 1218 Rn. 27 jeweils m. w. N. 179 Statt vieler Walker, in: FS Moll, S. 701. 180 Diese Ansicht entspricht der h. M., LAG Hessen, Beschl. v. 10. 12. 2018  – 16 TaBV 130/18, ZD 2019, 422 Rn. 32; Brams / Möhle, ZD 2018, 570 f.; Auernhammer / Eßer, DSGVO /  BDSG, Art. 4 DSGVO Rn. 81; Dzida, BB 2019, 3060 (3061 f.); Kühling / Buchner / Hartung, DSGVO / BDSG, Art. 4 Nr. 7 DSGVO Rn. 11; Jung / Hansch, ZD 2019, 143 (147); Körner, DSGVO, S. 57 ff.; Lücke, NZA 2019, 658 (660 f.); Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 16; Richardi / Maschmann, BetrVG, § 75 Rn. 66; Pötters / Gola, RDV 2017, 279 (281); SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 209; Walker, in: FS Moll, S. 701–703; a. A. LfDI BW, 34. TB 2018, S. 37 f.; LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 256 Rn. 37; Brink / Joos, NZA 2019, 1395 ff.; Kurzböck / Weinbeck, BB 2020, 500 ff.; Kleinebrink, DB 2018, 2566 ff.; Kort, ZD 2017, 319 (323); Maschmann, NZA 2020, 1207 (1209 ff.); BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 195. 181 Brams / Möhle, ZD 2018, 570 (571); Dzida, BB 2019, 3060 (3062). 176

112

3. Kap.: Einfachgesetzlicher Rechtsrahmen

sich gerichtet sind, aufgrund der Vermögenslosigkeit des Betriebsrats leer.182 Die Frage ist mittlerweile durch den neuen § 79a BetrVG geklärt.183 Danach hat der Betriebsrat zwar die Vorschriften über den Datenschutz einzuhalten. Für Datenverarbeitungen des Betriebsrats verantwortlich ist aber der Arbeitgeber. Die Diskussion um die datenschutzrechtliche Verantwortlichkeit des Betriebsrsats ist gleichwohl nicht beendet, da die Vorschrift mangels Normierung konkreter Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 HS. 2 DSGVO) mitunter für unionsrechtswidrig gehalten wird.184 III. Rolle des LBS-Anbieters 1. LBS-Anbieter als „Dritter“ bei Datenverarbeitung ohne Personenbezug Kann der LBS-Anbieter die Positionsdaten der betroffenen Person nicht mit verhältnismäßigem Aufwand zuordnen (weil das Ortungssystem die erhobenen Positionsdaten dem Betroffenen nicht unter dessen Klarnamen zuordnet), sind die Positionsdaten für den LBS-Anbieter nicht personenbezogen und die DSGVO ist auf die Verarbeitung der Positionsdaten durch den LBS-Anbieter nicht anwendbar. In diesem Fall ist der LBS-Anbieter nach dem datenschutzrechtlichen Konzept der Rollenverteilung „Dritter“ i. S. v. Art. 4 Nr. 10 DSGVO. 2. LBS-Anbieter als „Auftragsverarbeiter“ bei Datenverarbeitung mit Personenbezug Kann der LBS-Anbieter die Positionsdaten der betroffenen Person hingegen mit verhältnismäßigem Aufwand zuordnen (weil das Ortungssystem die erhobenen Positionsdaten dem Betroffenen unter dessen Klarnamen zuordnet), ist die DSGVO auf die durch den LBS-Anbieter erfolgende Datenverarbeitung bei einem räumlichen Bezug zur EU185 anwendbar, da der LBS-Anbieter die personenbezogenen Daten zumindest teilweise automatisiert verarbeitet. Da es zur Erreichung des Ortungszwecks nicht erforderlich ist, dass der LBS-Anbieter die Positionsdaten dem Betroffenen zuordnen kann, ist die Ortung in solchen Fällen ohne Einwilligung des Betroffenen unzulässig.186 Weil zur Durchsetzung von Betroffenenrechten auch bei einer unzulässigen Datenverarbeitung relevant ist, wer die verantwortliche Stelle ist, wird im Folgenden dennoch auf diese Konstellation eingegangen.

182

Statt vieler Brams / Möhle, ZD 2018, 570 (571 f.). Vgl. BT-Drs. 19/28899, 22. 184 Maschmann, NZA 2021, 834 (837 f.); zurückhaltender Brink / Joos, NZA 2021, 1440 (1442). 185 Siehe dazu oben § 6 A. I. 2. 186 Ausführl. dazu unten § 7 C. III. 1. e). 183

§ 6 Anwendung und Modifikation des Maßstabs  

113

a) Auftragsverarbeitung in Abgrenzung zu gemeinsamer Verantwortlichkeit Ist die DSGVO auf die Datenverarbeitung des LBS-Anbieters anwendbar, ist zwischen den vom LBS-Anbieter verarbeiteten Daten zu differenzieren. Hinsichtlich solcher Daten, die den Arbeitgeber als Vertragspartner betreffen, ist der rechtlich eigenständige LBS-Anbieter verantwortliche Stelle. Im Hinblick auf die vom LBS-Anbieter für den Arbeitgeber erhobenen und weiterverarbeiteten Positionsdaten ist fraglich, ob der LBS-Anbieter alleiniger Verantwortlicher, zusammen mit dem Arbeitgeber gemeinsamer Verantwortlicher oder Auftragsverarbeiter ist.187 Für die Abgrenzung zwischen Verantwortlichkeit und Auftragsverarbeitung kommt es nach Art. 4 Nr. 7 DSGVO entscheidend darauf an, ob es dem LBS-Anbieter faktisch möglich ist, die Zwecke, zu denen die Positionsdaten verarbeitet werden und die Mittel, mit denen die Positionsdaten verarbeitet werden so signifikant zu beeinflussen, dass die mit der datenschutzrechtlichen Verantwortlichkeit einhergehenden Pflichten und die damit einhergehende Haftung gerechtfertigt ist.188 Dabei reicht es für die Einordnung als verantwortliche Stelle aus, wenn über wesentliche Aspekte der Mittel entschieden wird (z. B. welche Daten verarbeitet werden, wie lange sie verarbeitet werden und wer Zugang zu ihnen hat) und ansonsten die Entscheidung über technische und organisatorische Mittel delegiert wird.189 Unerheblich ist, wer die Daten tatsächlich verarbeitet und wer Zugriff auf sie hat.190 Setzt ein Arbeitgeber ein Ortungssystem ein, ist er auf die Datenverarbeitung durch den LBS-Anbieter angewiesen. Der auf Ortungssysteme fachlich spezialisierte191 LBS-Anbieter stellt die Datenverarbeitung als Service zur Verfügung und ermöglicht dem Arbeitgeber über das Online-Portal einen Zugriff auf die erhobenen Positionsdaten, die auf dem Server des LBS-Anbieters gespeichert sind. Diese Konstruktion macht bereits deutlich, dass der LBS-Anbieter als „verlängerter technischer Arm“ für den Arbeitgeber Dienste erbringt.192 Der LBS-Anbieter kann weder den Zweck beeinflussen, zu dem die Daten erhoben und weiterverarbeitet werden, noch hat er die Datenerhebung selbst veranlasst. Der Umstand, dass der 187

Für das unter dem BDSG a. F. entwickelte Instrument der „Funktionsübertragung“, wonach der im Auftrag Verarbeitende doch wieder selbst Verantwortlicher ist, wenn ihm ein gewisser Entscheidungsspielraum verbleibt, ist unter der DSGVO kein Raum mehr, so auch DSK, Kurzpapier Nr. 13, S. 1; BeckOK Datenschutzrecht / Spoerr, Art. 28 DSGVO Rn. 23–24a; a. A. Sydow / Marsch / Ingold, DSGVO, Art. 28 Rn. 15–23. 188 Dazu bereits oben § 5 C. I. 189 Art.-29-DSG, WP 169, S. 17 f.; Taeger / Gabel / Arning / Rothkegel, DSGVO / BDSG, Art.  4 DSGVO Rn. 181, 185 ff.; Monreal, ZD 2014, 611 (612). 190 EuGH, Urt. v. 5. 6. 2018 – C-2010/16, ECLI:EU:C:2018:388 Rn. 38 – Wirtschaftsakademie Schleswig-Holstein; SHS / Petri, Datenschutzrecht, Art. 4 Nr. 7 Rn. 20. 191 Vgl. Art.-29-DSG, WP 169, S. 35; EuGH, Urt. v. 5. 6. 2018 – C-2010/16, ECLI:EU:C:2018: 388 Rn. 34 – Wirtschaftsakademie Schleswig-Holstein. 192 Vgl. Art.-29-DSG, WP 169, S. 32; Spindler / Schuster / Nink, Elektronische Medien, Art. 28 DSGVO Rn. 2 m. w. N.

114

3. Kap.: Einfachgesetzlicher Rechtsrahmen

LBS-Anbieter ein finanzielles Eigeninteresse hat, steht nicht entgegen, da er nicht an den Daten selbst interessiert ist.193 Weiter ist zu berücksichtigen, dass der LBSAnbieter hinsichtlich der Mittel der Datenverarbeitung zwar einen Handlungsspielraum hat, dieser aber gering ist. Der LBS-Anbieter wird vom Arbeitgeber angewiesen, Positionsdaten von bestimmten Geräten zu bestimmten Zeitintervallen zu erheben. Je nach Einzelfall gibt der LBS-Anbieter technische und organisatorische Aspekte vor, ohne dass der Arbeitgeber diese beeinflussen kann, wie z. B. die zur Positionsbestimmung eingesetzte Technologie oder die Speicherdauer auf dem Server.194 Zum einen steht es dem Institut der Auftragsverarbeitung aber nicht entgegen, dass der Auftragsverarbeiter hinsichtlich technischer und organisatorischer Aspekte einen Entscheidungsspielraum hat.195 Zum anderen ist es üblich, dass Auftragsverarbeiter, die auf eine bestimmte Datenverarbeitung spezialisiert sind, standardgemäße Dienstleistungen und Verträge vorgeben.196 Darüber hinaus sehen die Beschäftigten die Datenverarbeitung durch den LBS-Anbieter als Datenverarbeitung des Arbeitgebers an und gehen daher davon aus, dass dieser auch die entsprechenden Pflichten einhalten und gegebenenfalls haften muss (Stichwort Außenwirkung).197 Ob ein Auftragsverarbeitungsvertrag i. S. v. Art. 28 Abs. 3 DSGVO abgeschlossen wurde, ist für die Einordnung als Auftragsverarbeiter irrelevant.198 Vor diesem Hintergrund ist der LBS-Anbieter im Fall einer Datenverarbeitung mit Personenbezug Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO.199 Dafür spricht auch ein Vergleich mit der Einordung von Privatdetektiven. Sowohl die Rechtsprechung als auch die Literatur gehen mehrheitlich zutreffend davon aus, dass die Datenverarbeitung eines vom Arbeitgeber mit der Überwachung von Beschäftigten beauftragten Privatdetektivs dem Arbeitgeber zuzurechnen ist.200 Wie LBS-Anbieter können Privatdetektive zwar die technische und organisatorische 193

Vgl. BGH, Urt. v. 27. 2. 2018 – VI ZR 489/16, NJW 2018, 2324 Rn. 48; BeckOK / Spoerr, Art. 28 DSGVO Rn. 19; siehe auch DSK, Kurzpapier Nr. 13, S. 4. 194 Vgl. z. B. das Angebot der M4Telematics Group unter www.gpsfahrtenbuch.de/AppHandyortung-Android.html (Abruf v. 26. 2. 2022). 195 Art.-29-DSG, WP 169, S. 17. 196 Art.-29-DSG, WP 169, S. 32 und WP 196, S. 10. 197 Vgl. Art.-29-DSG, WP 169, S. 34. 198 Kühling / Buchner / Hartung, DSGVO / BDSG, Art. 28 Rn. 27 m. w. N. 199 So auch Rammo / Holzgräfe, InTer 2015, 23 (24); unklar Roßnagel et al., Mobile Systeme, S. 114 f. und Brandenburg / L euthner, DSRITB 2014, 651 (659), die unter der alten Rechtslage eine sog. Funktionsübertragung annahmen; a. A. wohl Ahrens / Schmidt-Murra, DSRITB 2015, 53 (61 ff.). 200 BAG, Urt. v. 19. 2. 2015  – 8 AZR 1007/13, NZA 2015, 994 Rn. 13 ff.; BAG, Urt. v. 29. 6. 2017  – 2 AZR 597/16, NZA 2017, 1179 Rn. 23 ff.; LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III.); Byers, Mitarbeiterkontrollen, Rn. 181; Kort, RdA 2018, 24 (30 f.); MHdB ArbR / Rachor, § 130 Rn. 102; Thüsing / Rombey, NZA 2018, 1105 (1106); etwas anderes kann gelten, wenn ein Arbeitgeber einem Privatdetektiv mangels konkreter Weisungen einen derart signifikanten Entscheidungsspielraum lässt, dass eine Zurechnung nicht mehr gerechtfertigt ist, siehe Taeger / Gabel / Gabel / Lutz, DSGVO / BDSG, Art. 28 DSGVO Rn. 19 m. w. N.

§ 6 Anwendung und Modifikation des Maßstabs  

115

Umsetzung der Überwachung beeinflussen. Veranlassung und Zweck der Überwachung gehen aber auf den Arbeitgeber zurück, in dessen Interesse die Überwachung in erster Linie erfolgt. Zwar hat der EuGH jüngst in mehreren Entscheidungen deutlich gemacht, dass er an das gemeinsame Element der gemeinsamen Verantwortlichkeit i. S. v. Art. 26 DSGVO keine strengen Anforderungen stellt, sodass der LBS-Anbieter im Hinblick auf die durch ihn erfolgende Verarbeitung von Positionsdaten201 zusammen mit dem Arbeitgeber gemeinsam verantwortlich sein könnte. In seinen Entscheidungen zu Facebook-Fanpages und zur Einbindung von Social-Media-Plug-Ins in eine Webseite verlangte der EuGH lediglich, dass der Betreiber einer Webseite z. B. durch Parametrierung der Nutzungsanalyse oder durch die Einbindung von Social-Media-Plug-Ins der anderen Partei eine Verarbeitung personenbezogener Daten ermöglicht, die im wirtschaftlichen Interesse beider Parteien durchgeführt wird.202 Eine weitergehende Möglichkeit der Einflussnahme forderte der EuGH nicht. Auch sei nicht notwendig, dass alle Beteiligten gleichwertig und gleichartig an der Entscheidung über Zwecke und Mittel der Datenverarbeitung teilhaben.203 Aber selbst diese niedrige Schwelle ist vorliegend nicht erreicht. Der entscheidende Unterschied besteht darin, dass der LBS-Anbieter anders als ein Betreiber einer Webseite (der zu Werbezwecken ein Interesse an einer Nutzeranalyse hat) kein eigenes Interesse an den Daten hat. Der Umstand, dass der LBS-Anbieter mit dem Angebot seines Dienstes festlegt, dass Daten zur Positionsbestimmung verarbeitet werden, reicht nicht aus, da dieser Zweck nur abstrakt ist und nichts über den konkreten Zweck aussagt. Würde man einen solchen abstrakten Zweck ausreichen lassen, wäre nahezu jeder Dienst, der eine Verarbeitung personenbezogener Daten anbietet, als verantwortliche Stelle anzusehen und das Institut der Auftragsverarbeitung obsolet.204 b) Privilegierungswirkung der Auftragsverarbeitung Ist der LBS-Anbieter Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO, wird seine Datenverarbeitung nach herrschender Meinung dem Arbeitgeber zugerechnet.205 201 Bei einer arbeitsteiligen Datenverarbeitung kann die Verantwortlichkeit nur für einzelne Verarbeitungsvorgänge bestehen, ohne dass vor- oder nachgelagerte Vorgänge erfasst sind, EuGH, Urt. v. 29. 7. 2019 – C-40/17, ECLI:EU:C:2019:629 Rn. 74 – Fashion ID. 202 EuGH, Urt. v. 5. 6. 2018 – C-210/16, ECLI:EU:C:2018:388 Rn. 34 ff. – Wirtschaftsakademie Schleswig-Holstein; EuGH, Urt. v. 29. 7. 2019 – C-40/17, ECLU:EU:C:2019:629 Rn. 75 ff. – Fashion ID; kritisch Lee / Cross, MMR 2019, 559 ff. 203 EuGH, Urt. v. 5. 6. 2018 – C-2010/16, ECLI:EU:C:2018:388 Rn. 43 – Wirtschaftsakademie Schleswig-Holstein; DSK, Kurzpapier Nr. 16, S. 2; Gierschmann, ZD 2020, 69 (70). 204 Ähnl. Lee / Cross, MMR 2019, 559 (561). 205 I. E. so FHS / Schild, Betrieblicher Datenschutz, II. 5. Rn. 43; FGO / Franzen, EU ArbR, Art.  4 DSGVO Rn.  13; Schantz / Wolff / Schantz, Datenschutzrecht, Rn.  379; Sydow / Marsch /  Raschauer, DSGVO, Art. 4 Rn. 137; Paal / Pauly / Martini, DSGVO, Art. 28 DSGVO Rn. 2; SHS / Petri, Datenschutzrecht, Art. 28 DSGVO Rn. 33.

116

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Umstritten ist, ob der LBS-Anbieter für seine Datenverarbeitung eine gesonderte Rechtsgrundlage vorweisen muss. Im Rahmen von § 11 BDSG a. F. war unter dem Begriff der Privilegierung der Auftragsverarbeitung mehrheitlich anerkannt, dass die Datenverarbeitung des Auftragsverarbeiters keiner gesonderten Rechtsgrundlage bedarf, weil die verantwortliche Stelle und der Auftragsverarbeiter eine „rechtliche Einheit“ bilden.206 In der Literatur wurde – und wird auch weiterhin – diese Privilegierungswirkung mehrheitlich bei der Übermittlung personenbezogener Daten vom Verantwortlichen an den Auftragsverarbeiter diskutiert.207 Klarstellend ist darauf hinzuweisen, dass die Privilegierungswirkung nicht nur die Übermittlung betrifft, sondern auch die vom Auftragsverarbeiter selbst vorgenommene Datenverarbeitung.208 Auch unter der DSGVO wird nach herrschender Meinung eine Privilegierung der Auftragsverarbeitung angenommen.209 Wie weit diese Privilegierung geht und welche dogmatische Konstruktion ihr zugrunde liegt, wird jedoch unterschiedlich beantwortet. Vereinzelt wird vertreten, für die durch den Auftragsverarbeiter vorgenommene Datenverarbeitung sei überhaupt keine Rechtsgrundlage erforderlich.210 Die Erlaubnistatbestände des Art. 6 ff. DSGVO seien teleologisch insofern zu reduzieren, als dass als Ausnahme vom Verbotsprinzip für die Datenverarbeitung ausnahmsweise keine Rechtsgrundlage notwendig sei.211 Im Gegensatz dazu wird mehrheitlich angenommen, dass wie jede Datenverarbeitung auch die durch den Auftragsverarbeiter erfolgende Datenverarbeitung auf eine Rechtsgrundlage gestützt werden müsse.212 Dabei fordern manche Autoren, dass der Auftragsverarbeiter seine Verarbeitung auf eine eigene, gesonderte Rechtsgrundlage stützt, wobei Art. 28 DSGVO (zulässig, wenn die Voraussetzungen von Art. 28 DSGVO erfüllt sind) als Rechtsgrundlage diskutiert213, aber – soweit ersichtlich – einstim-

206

Kühling / Buchner / Hartung, DSGVO / BDSG, Art. 28 DSGVO Rn. 13 m. w. N. Paal / Pauly / Martini, DSGVO / BDSG, Art. 28 DSGVO Rn. 8 ff.; Eckhardt, CCZ 2017, 111. 208 Zutr. DSK, Kurzpapier Nr. 13, S. 2; Monreal, ZD 2014, 611 (615). 209 Bussche / Voigt / Voigt / v. d. Bussche, Konzerndatenschutz, III. 4. Rn. 3–7; Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 Rn.  15; Paal / Pauly / Martini, DSGVO / BDSG, Art.  28 DSGVO Rn. 8a; Plath / Plath, DSGVO / BDSG, Art.  28 DSGVO Rn.  6; Ehmann / Selmayr /  Bertermann, DSGVO, Art. 28 Rn. 7 f.; Taeger / Gabel / Gabel / Lutz, DSGVO / BDSG, Art.  28 Rn. 11; a. A. Roßnagel / Hofmann, DSGVO, § 5 Rn. 77; Laue / K remer / Kremer, Datenschutzrecht, § 5 Rn. 6; Piltz, K&R 2016, 709, 712; Dovas, ZD 2016, 512 (516); Roßnagel / Kroschwald, ZD 2014, 495 (497). 210 Knyrim / Bogendorfer, DSGVO, S. 173; in diese Richtung auch Eckhardt, CCZ 2017, 111 (113); Taeger / Gabel / Gabel / Lutz, DSGVO / BDSG, Art. 28 Rn. 11 „bedarf […] nicht der Erfüllung einer Erlaubnisnorm“; Paal / Pauly / Martini, DSGVO / BDSG, Art. 28 DSGVO Rn. 10 „von dem Rechtfertigungsregime des Art. 6 zu befreien“. 211 Knyrim / Bogendorfer, DSGVO, S. 173. 212 Siehe Kap. 3 Fn. 213–215. 213 Härting, DSGVO, Rn. 583; Holleben / Knaut, CR 2017, 299 (300 f.); ablehnend Ehmann /  Selmayr / Bertermann, DSGVO, Art. 28 Rn. 5; Härting, ITRB 2016, 137 (139); Kühling /  Buchner / Hartung, DSGVO / BDSG, Art. 28 DSGVO Rn. 22. 207

§ 6 Anwendung und Modifikation des Maßstabs  

117

mig auf Art. 6 Abs. 1 lit. f) DSGVO214 abgestellt wird. Die meisten Autoren lassen es hingegen ausreichen, dass die Datenverarbeitung des Auftragsverarbeiters als „einheitlicher Vorgang der Datenverarbeitung“ durch die Rechtsgrundlage des Verantwortlichen mitabgedeckt ist.215 Der Wortlaut der DSGVO deutet zwar an, dass zwischen der Verarbeitung durch den Verantwortlichen und der Verarbeitung durch den Auftragsverarbeiter eine enge Verknüpfung besteht.216 Die Legaldefinition in Art. 4 Nr. 10 DSGVO zeigt, dass Auftragsverarbeiter auch unter der DSGVO keine „Dritten“, sondern dem Lager des Verantwortlichen zuzurechnen sind. In diese Richtung deutet auch Erwägungsgrund 81 S. 1 und 3 DSGVO, wonach ein Auftragsverarbeiter „im Namen des Verantwortlichen“ Daten verarbeitet und ein Auftragsverarbeitungsvertrag „den Auftragsverarbeiter an den Verantwortlichen bindet“. Dem Wortlaut kann jedoch kein eindeutiger Hinweis darauf entnommen werden, dass der Auftragsverarbeiter eine eigene, gesonderte Rechtsgrundlage vorweisen muss. Daraus, dass Art. 28 Abs. 3 DSGVO festlegt, dass „die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Regelungsinstruments“ erfolgt, könnte man schließen, dass Art. 28 DSGVO eine Rechtsgrundlage für die Datenverarbeitung des Auftragsverarbeiters ist.217 Betrachtet man die anderen Sprachfassungen der DSGVO, kann dieses Argument allerdings nicht überzeugen.218 Die englische Fassung „Processing by a processor shall be governed by a contract …“ und die französische Fassung „Le traitement par un sous-traitant est régi par un contrat …“ sind so zu verstehen, dass der Vertrag die formalen Anforderungen an die Auftragsverarbeitung regelt, ohne die Verarbeitungsgrundlage zu sein. Bertermann schlussfolgert aus dem Wortlaut von Art. 4 Nr. 2 DSGVO, dass es sich sogar um ein und dieselbe Verarbeitung handeln könnte.219 Nach Art. 4 Nr. 2 DSGVO erfasst der Begriff der Verarbeitung nicht nur isolierte einzelne Vor-

214

Nebel / Richter, ZD 2012, 407 (411); Koós / Englisch, ZD 2014, 276 (284); Roßnagel /  Kroschwald, ZD 2014, 495 (497); Roßnagel / Richter / Nebel, ZD 2013, 103 (105); dagegen Ehmann / Selmayr / Bertermann, DSGVO, Art. 28 Rn. 6; Eckhardt, CCZ 2017, 111 (113); Kühling /  Buchner / Hartung, DSGVO / BDSG, Art. 28 DSGVO Rn. 21. 215 DSK, Kurzpapier Nr. 13, S. 1 f.; Ehmann / Selmayr / Bertermann, DSGVO, Art. 28 Rn. 7; Moos / v. d. Bussche, Datenschutz, § 28 Rn. 15; Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 DSGVO Rn.  16–23; Sydow / Marsch / Ingold, DSGVO, Art. 28 Rn. 31; König, Beschäftigtendatenschutz, § 2 Rn. 14; Schmidt / Freund, ZD 2017, 14 ff.; BeckOK Datenschutzrecht /  Spoerr, Art. 28 DSGVO Rn. 32; Bussche / Voigt / Voigt / v. d. Bussche, Konzerndatenschutz, III. 4. Rn. 4; vgl. auch BT-Drs. 18/11325, 115. 216 Vgl. Kühling / Buchner / Hartung, DSGVO / BDSG, Art. 28 DSGVO Rn. 17; Holleben /  Knaut, CR 2017, 299 (301). 217 Schmidt / Freund, ZD 2017, 14 (15); Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 DSGVO Rn. 17. 218 So auch Schmidt / Freund, ZD 2017, 14 (15). 219 Ehmann / Selmayr / Bertermann, DSGVO, Art. 28 Rn. 7; vgl. Art.-29-DSG, WP 169, S. 25.

118

3. Kap.: Einfachgesetzlicher Rechtsrahmen

gänge, sondern auch Vorgangsreihen. Insofern könnte der vom Auftragsverarbeiter ausgeführte Verarbeitungsvorgang Teil der vom Verantwortlichen angestoßenen Vorgangsreihe und damit Teil derselben Verarbeitung sein, für die eine Rechtsgrundlage ausreicht.220 Mit dem Begriff der „Vorgangsreihe“ wollte der Unionsgesetzgeber jedoch nur klarstellen, dass die Pflichten des Verantwortlichen bei einer Aneinanderreihung von Verarbeitungsvorgängen wie z. B. dem Erheben, Speichern und Verwenden nicht zwangsläufig an jeden dieser Vorgänge anknüpfen müssen, sondern es ausreicht, wenn sich z. B. die Informationspflichten auf alle zusammenhängenden Verarbeitungsvorgänge beziehen.221 Gegen das Erfordernis einer eigenen, gesonderten Rechtsgrundlage sprechen darüber hinaus folgende Überlegungen: Art. 28 Abs. 10 DSGVO sieht gerade vor, dass Auftragsverarbeiter nur wie Verantwortliche behandelt werden sollen, wenn sie entgegen ihrer Rolle doch über Zwecke und Mittel der Verarbeitung entscheiden.222 Zudem ergibt sich aus Art. 5 Abs. 2 DSGVO, dass Auftragsverarbeiter nicht für die Einhaltung der Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO verantwortlich sind. Während in der DSGVO an zahlreichen Stellen davon die Rede ist, dass der Verantwortliche und / oder der Auftragsverarbeiter gewisse Pflichten einzuhalten haben223, nimmt Art. 5 Abs. 1 DSGVO lediglich den Verantwortlichen in die Pflicht. Ein weiteres Argument kann aus dem Fehlen einer Erwägungsgrund 48 DSGVO entsprechenden Klarstellung gezogen werden. Erwägungsgrund 48 DSGVO macht deutlich, dass eine Datenübermittlung im Konzern regelmäßig durch ein berechtigtes Interesse gerechtfertigt ist. Wäre der Unionsgesetzgeber davon ausgegangen, dass die Datenverarbeitung eines Auftragsverarbeiters eigenständig gerechtfertigt werden muss, hätte er entsprechend klargestellt, dass auch für eine Datenverarbeitung durch einen Auftragsverarbeiter ein berechtigtes Interesse bestehen kann.224 Schließlich sieht Art. 82 Abs. 2 DSGVO vor, dass ein Auftragsverarbeiter nur für den durch eine Verarbeitung verursachten Schaden haftet, wenn er seinen speziellen Pflichten aus Art. 28 DSGVO nicht nachgekommen ist, die Weisungen des Verantwortlich nicht beachtet oder gegen sie verstoßen hat. Durch diese eingeschränkte Haftung des Auftragsverarbeiters wird deutlich, dass Auftragsverarbeiter nur diesen speziellen Pflichten unterliegen.225 Zudem lassen sich der im privaten Sektor regelmäßig einzig in Betracht kommende Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO und das Institut der

220

Vgl. Ehmann / Selmayr / Bertermann, DSGVO, Art. 28 Rn. 7; Härting, ITRB 2016, 137 (138); Krohn / Müller-Peltzer, RDV 2016, 307 (310 f.). 221 Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 4 Nr. 2 DSGVO Rn. 15. 222 Kühling / Buchner / Hartung, DSGVO / BDSG, Art. 28 DSGVO Rn. 18; Hartung / Büttgen, DuD 2017, 549, 553 jeweils m. w. N. 223 So z. B. in Art. 30 Abs. 4, Art. 32 Abs. 4, Art. 37 Abs. 1, Art. 82 Abs. 2–5 DSGVO. 224 Vgl. Ehmann / Selmayr / Bertermann, DSGVO, Art. 28 Rn. 6. 225 So auch Eckhardt, CCZ 2017, 111 (113).

§ 6 Anwendung und Modifikation des Maßstabs  

119

Auftragsverarbeitung nur schwer miteinander vereinbaren.226 Zum einen wäre es dem Auftragsverarbeiter nach Art. 9 Abs. 2 DSGVO ohne Einwilligung regelmäßig227 nicht erlaubt, besondere Kategorien personenbezogener Daten zu verarbeiten. Die fehlende Erlaubnis würde in der Praxis eine erhebliche Einschränkung der Auftragsverarbeitung bedeuten, obwohl nicht ersichtlich ist, wieso eine verantwortliche Stelle selbst besondere Kategorien personenbezogener Daten verarbeiten können soll, nicht aber der von ihm zur weisungsgemäßen Verarbeitung herangezogene Dienstleister.228 Ferner geht der Unionsgesetzgeber in Erwägungsgrund 97 S. 1 DSGVO ausdrücklich davon aus, dass die Kerntätigkeit eines Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten bestehen kann. Zum anderen könnte der Betroffene die durch den Auftragsverarbeiter erfolgende Datenverarbeitung mit seinem aus Art. 21 Abs. 1 S. 1 HS. 1 i. V. m. Art. 6 Abs. 1 lit. f) DSGVO folgenden Widerspruchsrecht vollständig „lahmlegen“, obwohl ihm dieses Recht regelmäßig nicht zustünde, wenn der Verantwortliche die Datenverarbeitung selbst vornähme.229 Art. 28 DSGVO kommt bereits deshalb nicht als eigener Erlaubnistatbestand in Betracht, weil Art. 6 Abs. 1 DSGVO insofern abschließend ist und keine Anhaltspunkte dafür vorliegen, dass der Unionsgesetzgeber mit Art. 28 DSGVO den Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO konkretisieren wollte.230 Eine Ausnahme vom Verbotsprinzip in Form einer teleologischen Reduktion von Art. 6 ff. DSGVO231 kann genauso wenig überzeugen wie die bloße Fiktion einer Rechtsgrundlage. Für solche aufwändig zu begründenden Methoden besteht kein Bedürfnis. Dafür, dass der Auftragsverarbeiter sich bei seiner Datenverarbeitung nicht auf eine eigene, gesonderte Rechtsgrundlage stützen muss, spricht zudem das Telos des Instituts der Auftragsverarbeitung. Der Zweck der Auftragsverarbeitung fordert eine unkomplizierte Möglichkeit der Auslagerung von Datenverarbeitungen ohne Absenkung des Datenschutzniveaus.232 Der Unionsgesetzgeber hat anerkannt, dass auf Seiten von datenverarbeitenden Stellen ein Bedürfnis dafür besteht, Datenver-

226

Taeger / Gabel / Gabel / Lutz, DSGVO / BDSG, Art. 28 Rn. 9; Härting, ITRB 2016, 137 (139); Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 DSGVO Rn.  21; Sydow / Marsch / Ingold, DSGVO, Art. 28 Rn. 29. 227 Siehe aber Art. 9 Abs. 2 lit. b) DSGVO. 228 Härting, ITRB 2016, 137 (139); Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 DSGVO Rn.  21; Sydow / Marsch / Ingold, DSGVO, Art. 28 Rn. 29; besonders plastisch Hartung /  Büttgen, DuD 2017, 549 (552). 229 So auch Härting, ITRB 2016, 137 (139); Kühling / Buchner / Hartung, DSGVO / BDSG, Art. 28 DSGVO Rn. 21. 230 Ehmann / Selmayr / Bertermann, DSGVO, Art. 28 Rn. 5; Taeger / Gabel / Gabel / Lutz, DSGVO /  BDSG, Art. 28 Rn. 10. 231 So Knyrim / Bogendorfer, DSGVO, S. 173. 232 So auch Plath / Plath, DSGVO / BDSG, Art. 28 DSGVO Rn. 6; BeckOK Datenschutzrecht / Spoerr, Art. 28 DSGVO Rn. 30.

120

3. Kap.: Einfachgesetzlicher Rechtsrahmen

arbeitungen extern auszulagern.233 Eine solche Auslagerung der Datenverarbeitung hat den Vorteil, dass spezialisierte Dienstleister grundsätzlich besser wissen, durch welche technisch-organisatorischen Maßnahmen die personenbezogenen Daten am besten geschützt werden können.234 Sie birgt aber auch Risiken für die Grundrechte der von der Datenverarbeitung betroffenen Person, wie Intransparenz und unklare Verantwortlichkeiten, und damit das Risiko eines Absenkens des Datenschutzniveaus.235 Zwischen diesen Polen schafft der Unionsgesetzgeber einen Ausgleich, indem er das Risiko durch eine enge Anbindung an den Verantwortlichen und dessen Pflichten abfängt.236 Die ausführliche Regelung in Art. 28 DSGVO wäre überflüssig, wenn der Auftragsverarbeiter ohnehin eine eigene Rechtsgrundlage vorweisen müsste.237 Das Institut der Auftragsverarbeitung würde ins Leere gehen, da der Auftragsverarbeiter de facto wie ein Verantwortlicher zu behandeln wäre.238 Voraussetzung für die Entlastung des Auftragsverarbeiters ist allerdings, dass der Verantwortliche und der Auftragsverarbeiter gem. Art. 28 Abs. 3 DSGVO einen Vertrag über die Auftragsverarbeitung abschließen und die sonstigen Vo­ raussetzungen des Art. 28 DSGVO erfüllt sind.239

C. Erlaubnistatbestände I. Öffnungsklausel gestattet „spezifischere Vorschriften“ der Mitgliedstaaten für Verarbeitungen im Beschäftigungskontext Mit Art. 88 DSGVO hat der Unionsgesetzgeber erstmals eine besondere Vorschrift zum Beschäftigtendatenschutz erlassen.240 Die Vorschrift ermächtigt die Mitgliedstaaten, durch Rechtsvorschriften oder Kollektivvereinbarungen „spezifischere Vorschriften“ zum Beschäftigtendatenschutz zu regeln und auf diese Weise nationale Besonderheiten – wie beispielsweise den „deutschen“ Betriebsrat – einzubringen.241 Nach herrschender Meinung ist die Öffnungsklausel sowohl im Hinblick auf den persönlichen Anwendungsbereich („Beschäftigtendaten“)242 als auch 233

SHS / Petri, Datenschutzrecht, Art. 28 DSGVO Rn. 2. Schmidt / Freund, ZD 2017, 14 (16). 235 SHS / Petri, Datenschutzrecht, Art. 28 DSGVO Rn. 2. 236 So auch Schmidt / Freund, ZD 2017, 14 (16); Moos / v. d. Bussche, Datenschutz, § 28 Rn. 15; SHS / Petri, Datenschutzrecht, Art. 28 DSGVO Rn. 3. 237 So auch Hartung / Büttgen, DuD 2017, 549 (553); Paal / Pauly / Martini, DSGVO / BDSG, Art. 28 Rn. 10. 238 Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  28 DSGVO Rn.  18; Paal / Pauly / Martini, DSGVO / BDSG, Art.  28 Rn.  10. 239 Schmidt / Freund, ZD 2017, 14 (16); Moos / v. d. Bussche, Datenschutz, § 28 Rn. 15. 240 Vgl. BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 1 f. 241 Paal / Pauly / Pauly, DS-GVO / BDSG, Art. 88 DSGVO Rn. 1. 242 Dafür Körner, Beschäftigtendatenschutz, S. 52; Roßnagel / Maier / Ossoinig, DSGVO, § 8 Rn.  2; Specht / Mantz / Ströbel / Wybitul, HdB Datenschutzrecht, § 10 Rn. 13; Taeger / Gabel / Z öll, DSGVO / BDSG, Art.  88 DSGVO Rn.  26; a. A. Kühling / Buchner / Maschmann, DSGVO / BDSG, 234

§ 6 Anwendung und Modifikation des Maßstabs  

121

im Hinblick auf den sachlichen Anwendungsbereich („Beschäftigungskontext“)243 weit auszulegen. Für den weiten Beschäftigtenbegriff spricht, dass bis zur endgültigen Fassung der DSGVO in allen Entwürfen von „Arbeitnehmerdaten“244 die Rede war.245 Gerade weil Art. 88 Abs. 1 DSGVO neben dem Beschäftigtenbegriff auch Begriffe wie „Arbeitsvertrag“, „Arbeitsplatz“ und „Arbeitgeber“ verwendet, deutet der Wortlaut darauf hin, dass der Unionsgesetzgeber mit dem Beschäftigtenbegriff auf eine tatsächliche Gegebenheit Bezug nehmen und gerade keine rechtliche Einordnung vornehmen wollte.246 Es überzeugt, dass wenn der Unionsgesetzgeber den Mitgliedstaaten schon die Option gibt, im Beschäftigungskontext eigene Regelungen zu schaffen, er den Mitgliedstaaten auch den Raum gibt, ihren nationalen (möglicherweise engeren) Arbeitnehmerbegriff zugrunde zu legen. Im Hinblick auf den Beschäftigungskontext machen die in Art. 88 Abs. 1 DSGVO aufgezählten Einzelaspekte deutlich, dass alle Datenverarbeitungen, die einen Bezug zur Beschäftigung haben, als Datenverarbeitung im Beschäftigungskontext zu verstehen sind.247 Ob ein hinreichender Bezug zum Beschäftigungsverhältnis besteht, wenn ein Arbeitgeber seinen Beschäftigten preisreduzierte Ware oder die Anmietung einer Werkwohnung anbietet, wird allerdings unterschiedlich beurteilt.248 1. Umfang des Gestaltungsspielraums Besonders umstritten ist, wie groß der durch Art. 88 DSGVO gewährte Gestaltungsspielraum der Mitgliedstaaten und Kollektivparteien ist. In der Diskussion haben sich im Wesentlichen drei Ansichten herausgebildet. Nach einer Ansicht dürfen die Mitgliedstaaten aufgrund der vollharmonisierenden Wirkung der DSGVO weder zugunsten noch zulasten der Betroffenen vom Datenschutzniveau der DSGVO Art. 88 Rn. 13; diff. SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 19, der arbeitnehmerähnliche Personen wie Heimarbeiter als nicht erfasst ansieht; ähnl. Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 46. 243 Franzen, EuZA 2017, 313 (348 f.); Gola / Heckmann / Pötters, DSGVO / BDSG, Art.  88 DSGVO Rn. 11; BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 53 f.; Ehmann /  Selmayr / Selk, DSGVO, Art. 88 Rn. 50–53; restriktiver Kühling / Buchner / Maschmann, DSGVO /  BDSG, Art. 88 DSGVO Rn. 15–18; Paal / Pauly / Pauly, DSGVO / BDSG, Art. 88 Rn. 11; Taeger /  Gabel / Z öll, DSGVO / BDSG, Art. 88 DSGVO Rn. 27. 244 Der EuGH geht nicht von einem einheitlichen unionsrechtlichen Arbeitnehmerbegriff aus, sondern macht den Begriff jeweils vom Anwendungsbereich und Kontext einer Norm abhängig, siehe dazu Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 45 m. w. N. 245 Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 88 DSGVO Rn. 12; s. DSGVO-E-KOM, S. 108; DSGVO-E-Rat, S. 194. 246 BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 30; ähnl. Gola / Pötters /  Thüsing, RDV 2016, 57 (58); a. A. Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 Rn. 13. 247 So auch BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 53 f.; Ehmann /  Selmayr / Selk, DSGVO, Art. 88 Rn. 51–53. 248 So Specht / Mantz / Ströbel / Wybitul, HdB Datenschutzrecht, § 10 Rn. 10; a. A. Kühling /  Buchner / Maschmann, DSGVO / BDSG, Art.  88 DSGVO Rn.  18, Paal / Pauly / Pauly, DSGVO /  BDSG, Art. 88 Rn. 11.

122

3. Kap.: Einfachgesetzlicher Rechtsrahmen

abweichen.249 Andere gehen von einer Mindestharmonisierung aus und erlauben zwar kein Abweichen zu Lasten, aber ein Abweichen zugunsten des Beschäftigten.250 Die weitestgehende Ansicht erlaubt den Mitgliedstaaten ein Abweichen vom Datenschutzniveau der DSGVO in den Grenzen der Verhältnismäßigkeit.251 Die drei Ansichten unterscheiden sich bei der Frage, inwiefern nach oben oder nach unten vom Datenschutzniveau der DSGVO abgewichen werden kann, kommen aber im Hinblick auf den Umfang des Gestaltungsspielraums zum gleichen Ergebnis: Mitgliedstaaten und Kollektivparteien können nur Regelungen treffen, die mit dem in Art. 5, 6 und 9 DSGVO vorgegebenen Rahmen (Grundprinzipien)252 vereinbar sind.253 Diese Grundprinzipien sollen sicherstellen, dass eine Datenverarbeitung nur zulässig ist, wenn sie verhältnismäßig ist. Sie bilden das Datenschutzniveau der DSGVO. Das Datenschutzniveau ist mithin nichts anderes als eine Forderung nach Verhältnismäßigkeit. Wenn Vertreter der Vollharmonisierung die Einhaltung des Datenschutzniveaus nach oben und nach unten fordern, fordern sie im Ergebnis verhältnismäßige Vorschriften.254 Wenn Vertreter der Mindestharmonisierung nur ein Abweichen nach oben erlauben, gehen auch sie davon aus, dass solche Abweichungen nur in den Grenzen der Verhältnismäßigkeit zulässig sind.255 Damit gehen alle drei Ansichten davon aus, dass Abweichungen jedenfalls nur in den Grenzen der Verhältnismäßigkeit zulässig sind. Das überzeugt, da die Öffnungsklausel an sich und insbesondere die Vorgaben aus Art. 88 Abs. 2 DSGVO ansonsten ins Leere laufen würden, weil Mitgliedstaaten und Kollektivparteien nur Klarstellungen, nicht aber – wie gerade durch Art. 88 DSGVO bezweckt – eigene, andere Schutzmechanismen vornehmen könnten.256 Das Gegenargument257, die 249

Morasch, Beschäftigtendatenschutz, S.  191–196; Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn.  90 ff.; Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 88 DSGVO Rn. 23 ff.; FGO / Franzen, EU ArbR, Art. 88 DSGVO Rn. 10 f.; Maschmann, DB 2016, 2480 (2482 ff.); Dzida / Grau, DB 2018, 189 (193); Franzen, EuZA 2017, 313 (344 ff.); Spelge, DuD 2016, 775 (778). 250 Auer-Reinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 355 f.; Maier, Berufsbezogene Erreichbarkeit, S. 263–267; Plath / Stamer / Kuhnke, DSGVO / BDSG, Art.  88 DSGVO Rn.  6 f.; Sydow / Marsch / Tiedemann, DSGVO, Art. 88 Rn. 3; SHS / Seifert, Datenschutzrecht, Art.  88 Rn.  22 f.; Paal / Pauly / Pauly, DSGVO / BDSG, Art. 88 DSGVO Rn. 4; Wurzberger, ZD 2017, 258 (262 f.); Kort, ZD 2016, 555 (557); Körner, NZA 2016, 1383 ff.; Gola / Pötters / T hüsing, RDV 2016, 57 (59); Stück, ZD 2019, 256 (257). 251 Klösel / Mahnhold, NZA 2017, 1428 (1430 f.); Kort, ZD 2016, 3 (6); besonders weitgehend Taeger / Rose, BB 2016, 819 (821 f.); BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 67–73; ähnl. Jerchel / Schubert, DuD 2016, 782 (783); Taeger//Gabel / Z öll, DSGVO / BDSG, Art. 88 DSGVO Rn. 24 f. u. 14 ff.; Traut, RDV 2016, 312 (314 ff.). 252 Ausführl. dazu oben § 5 C. III. 253 Vgl. FGO / Franzen, EU ArbR, Art. 88 DSGVO Rn. 10 f.; SHS / Seifert, Datenschutzrecht, Art. 88 Rn. 22 f.; Klösel / Mahnhold, NZA 2017, 1428 (1430 f.). 254 So Dzida / Grau, DB 2018, 189 (193); FGO / Franzen, EU ArbR, Art. 88 DSGVO Rn. 10–12. 255 Plath / Stamer / Kuhnke, DSGVO / BDSG, Art. 88 DSGVO Rn. 7. 256 So auch Klösel / Mahnhold, NZA 2017, 1428 (1429 f.); Kort, ZD 2017, 319 (321 f.); Thüsing /  Rombey, NZA 2019, 1399 (1400 f.); SHS / Seifert, Datenschutzrecht, Art. 88 Rn. 23. 257 So FGO / Franzen, EU ArbR, Art. 88 DSGVO Rn. 9; Kühling / Buchner / Maschmann, DSGVO, Art. 88 Rn. 40.

§ 6 Anwendung und Modifikation des Maßstabs  

123

Feststellung des EuGH in seiner ASNEF-Entscheidung258, wonach die Mitgliedstaaten „weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie 95/46 [Vorgängernorm von Art. 6 DSGVO] einführen, noch zusätzliche Bedingungen stellen [dürfen], die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden“, sei erst recht auf die DSGVO übertragbar, überzeugt nicht.259 Anders als in der DSRL räumt der Unionsgesetzgeber den Mitgliedstaaten mit der Öffnungsklausel in Art. 88 DSGVO für Verarbeitungen im Beschäftigungskontext ausdrücklich eine Abweichungsmöglichkeit ein.260 Insofern ist die Diskussion, ob Mitgliedstaaten und Kollektivparteien die Grundprinzipien der DSGVO nur konkretisieren oder darüber hinaus strengere Regelungen treffen dürfen, nicht überzeugend. Hinzu kommt, dass bei genauer Betrachtung jede Konkretisierung zu „strengeren“ Vorgaben führt, da sie den flexiblen Regelungsrahmen an konkreten Punkten „festzurrt“.261 Beispielsweise konkretisiert § 26 Abs. 1 S. 2 BDSG die Vorgabe aus Art. 6 Abs. 1 lit. f) DSGVO, indem die Norm fordert, dass personenbezogene Beschäftigtendaten zur Aufdeckung von Straftaten nur verarbeitet werden dürfen, wenn ein auf tatsächlichen Anhaltspunkten beruhender Tatverdacht besteht. Indem diese Konkretisierung über die in Art. 6 Abs. 1 lit. f) DSGVO geforderte Erforderlichkeit und das Fehlen von entgegenstehenden überwiegenden Interessen des Betroffenen zusätzlich einen konkreten Tatverdacht fordert, ist sie genau genommen „strenger“. Wie Riesenhuber zutreffenderweise ausführt, kann eine „spezifischere Vorschrift“ mit einer allgemeinen Vorschrift regelmäßig nicht verglichen werden, da sie „nicht ‚stärkere‘ oder ‚schwächere‘, sondern andersartige Schutzmechanismen“ vorsieht.262 Der deutsche Gesetzgeber geht in dem Beispiel davon aus, dass die Verarbeitung von Beschäftigtendaten zur Aufdeckung von Straftaten nur bei Bestehen eines konkreten Tatverdachts verhältnismäßig ist. Der Mehrwert der Öffnungsklausel besteht darin, dass Mitgliedstaaten und Kollektivparteien den von der DSGVO vorgegebenen flexiblen263 Regelungsrahmen bereichsspezifisch für Datenverarbeitungen im Beschäftigungskontext in den Grenzen des durch Art. 88 Abs. 2 DSGVO bekräftigten Grundsatzes der Verhältnismäßigkeit ausfüllen können.264 Das ermöglicht insbesondere Betriebsparteien, 258 EuGH, Urt. v. 24. 11. 2011 – C-468/10, 469/10, ECLI:EU:C:2011:777 Rn. 32 – ASNEF; bestätigt in EuGH, Urt. v. 19. 10. 2016 – C-582/14, ECLI:EU:C:2016:779 Rn. 57 – Breyer. 259 So auch Kort, ZD 2017, 319 (321 f.); i. E. auch Taeger / Rose, BB 2016, 819 (830). 260 Ebenso Kort, ZD 2017, 319 (321 f.). 261 Ähnl. BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 67; SHS / Seifert, Datenschutzrecht, Art. 88 Rn. 23. 262 BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 67; ähnl. SHS / Seifert, Datenschutzrecht, Art. 88 Rn. 23. 263 Ähnl. BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 67; Klösel / Mahnhold, NZA 2017, 1428 (1430 f.); ausführl. dazu oben § 5 C. III. 2. b). 264 Franzen, ZfA 2019, 18 (27); Klösel / Mahnhold, NZA 2017, 1428 (1430 f.); BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 67 ff.; Wünschelbaum, BB 2019, 2102 (2105).

124

3. Kap.: Einfachgesetzlicher Rechtsrahmen

auf einen bestimmten Betrieb abgestimmte Besonderheiten zu regeln und eigene Schutzmechanismen zu entwickeln.265 Dieses Ergebnis widerspricht nicht den oben gemachten Ausführungen266, wonach im Bereich des Beschäftigtendatenschutzes zwar ein Gestaltungsspielraum, aber keine Gestaltungsoffenheit besteht. Mitgliedstaaten und Kollektivparteien können aufgrund von Art. 88 DSGVO im Hinblick auf Verarbeitungen personenbezogener Daten im Beschäftigungskontext jede Regelung treffen, die mit dem von der DSGVO in Art. 5, 6 und 9 vorgegebenen Rahmen (Grundprinzipien) vereinbar ist. Durch die Koppelung an die Grundprinzipien der DSGVO ist die Zielrichtung der Schutzmechanismen aber stets die gleiche.267 Mitgliedstaaten und Kollektivparteien können z. B. von den Vorgaben aus Kapitel III der DSGVO zu den Rechten der betroffenen Person abweichen.268 Da sie aber insgesamt die Transparenz der Verarbeitung i. S. v. Art. 5 Abs. 1 lit. a) Var. 3 DSGVO sicherstellen müssen und diese Rechte der Transparenz der Verarbeitung dienen, sind sie gezwungen zumindest ähnliche Rechte zu regeln.269 Der Gestaltungsspielraum ist – wie dieses Beispiel zeigt – im Ergebnis beschränkt.270 Er erfüllt den mit der Öffnungsklausel verfolgten Zweck der Flexibilität271, ohne eine grundlegend neue Ausgestaltung zu ermöglichen. Art. 88 Abs. 2 DSGVO verlangt nicht, dass jede gesetzliche oder kollektivvertragliche Regelung des Beschäftigtendatenschutzes auf Ebene der Mitgliedstaaten die in Art. 88 Abs. 2 DSGVO genannten Einzelbereiche unabhängig von einem tatsächlich bestehenden Gefährdungspotenzial regeln muss.272 Die Vorschrift ist vielmehr so zu verstehen, dass jede auf Art. 88 Abs. 1 DSGVO gestützte mitgliedstaatliche Vorschrift über eine Regelung zur Zulässigkeit der Verarbeitung von Beschäftigtendaten hinaus auch technische und organisatorische Schutzmaßnahmen zur Eindämmung des von der Datenverarbeitung ausgehenden Risikos vorsehen muss.273 Der Unionsgesetzgeber fordert auch im Beschäftigtendatenschutz einen zweistufigen Schutz.274 Dazu muss die mitgliedstaatliche Regelung entweder auf Schutzmaßnahmen der DSGVO verweisen oder eigene Schutzmaßnahmen vorsehen.275 265 So auch Düwell / Brink, NZA 2017, 1081 (1082 f.); BeckOK Datenschutzrecht / Riesen­ huber, Art. 88 DSGVO Rn. 67 ff.; Schrey / Kielkowski, BB 2018, 629 (630). 266 Siehe oben § 4 A. III. 267 Ähnl. Franzen, ZfA 2019, 18 (27); Traut, RDV 2016, 312 (316 f.). 268 So auch Franzen, ZfA 2019, 18 (27); Wünschelbaum, BB 2019, 2102 (2105). 269 Vgl. Franzen, ZfA 2019, 18, 27; Roßnagel / Maier / Ossoinig, DSGVO, § 8 Rn. 28 f.; Traut, RDV 2016, 312 (316 f.); Wünschelbaum, BB 2019, 2102 (2105 f.). 270 A. A. Taeger / Rose, BB 2016, 819 (830). 271 So auch Düwell / Brink, NZA 2017, 1081 (1082) m. w. N. 272 BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 79 ff.; Taeger / Gabel / Z öll, DSGVO / BDSG, Art. 88 DSGVO Rn. 33; für eine tatbestandliche Reduktion bei Kollektivvereinbarungen Paal / Pauly / Pauly, DSGVO / BDSG, Art. 88 DSGVO Rn. 12 f. 273 Kühling / Buchner / Maschmann, DSGVO / BDSG, Art.  88 Rn.  45; Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 126–129; FHS / Selk, Betrieblicher Datenschutz, V. 3. Rn. 117 ff. 274 Ausführl. zum zweistufigen Schutzmechanismus der DSGVO oben § 5 C. III. u. IV. 275 Vgl. Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 88 DSGVO Rn. 15; Traut, RDV 2016, 312 (316 f.).

§ 6 Anwendung und Modifikation des Maßstabs  

125

Art. 88 Abs. 2 DSGVO hebt hervor, dass die spezifischeren Vorschriften i. S. v. Art. 88 Abs. 1 DSGVO in Kombination mit den Schutzmaßnahmen aus Art. 88 Abs. 2 DSGVO gewährleisten müssen, dass Beschäftigtendaten nur in den Grenzen der Verhältnismäßigkeit verarbeitet werden, das heißt unter Wahrung der Grundrechte des Betroffenen, insbesondere der Menschenwürde.276 Das gilt vor allem für die in Art. 88 Abs. 2 DSGVO beispielhaft aufgezählten Verarbeitungsszenarios, von denen voraussichtlich hohe Risiken für den Betroffenen ausgehen.277 2. Verhältnis der „spezifischeren Vorschriften“ zu den Erlaubnistatbeständen aus Art. 6 Abs. 1 DSGVO Eng im Zusammenhang mit der Frage nach dem Gestaltungsspielraum steht die Diskussion um das Verhältnis der spezifischeren Vorschriften zu den Erlaubnistatbeständen aus Art. 6 Abs. 1 DSGVO. Ein Teil der Literatur geht davon aus, dass die spezifischeren Vorschriften der Mitgliedstaaten und Kollektivparteien selbständige Erlaubnistatbestände sind und damit Art. 6 Abs. 1 DSGVO verdrängen.278 Nach der Gegenansicht sind die Vorschriften bloße Konkretisierungen der in Art. 6 Abs. 1 DSGVO abschließend279 aufgelisteten Erlaubnistatbestände.280 Die Rechtsprechung hat sich – soweit ersichtlich – zu dieser Frage nicht eindeutig geäußert. Teilweise deuten die Gerichte eine Selbständigkeit an, indem sie § 26 BDSG allein zitieren281, teilweise zitieren sie § 26 BDSG gemeinsam mit Art. 6 Abs. 1 lit. b) DSGVO282.

276

Sydow / Marsch / Tiedemann, DSGVO, Art. 88 Rn. 19; Traut, RDV 2016, 312 (316 f.). Vgl. Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 88 DSGVO Rn. 16; BeckOK Datenschutzrecht / Riesenhuber, Art. 88 DSGVO Rn. 83; Sydow / Marsch / Tiedemann, DSGVO, Art. 88 Rn. 22. 278 Klösel / Mahnhold, NZA 2017, 1428 (1429); Körner, NZA 2019, 1389 (1390 f.); Thüsing /  Rombey, NZA 2018, 1105 (1106); Traut, RDV 2016, 312 (314 f.); Taeger / Gabel / Z öll, DSGVO /  BDSG, Art. 88 DSGVO Rn. 9. 279 So auch Ehmann / Selmayr / Heberlein, DSGVO, Art. 6 Rn. 4; zur Vorgängerregelung in Art. 7 DSRL EuGH, Urt. v. 24. 11. 2011 – C-468/10, ECLI:EU:C:2011:777 Rn. 30 u. 36 – ASNEF; EuGH, Urt. v. 19. 10. 2016 – C-582/14, ECLI:EU:C:2016:779 Rn. 57 – Breyer; a. A. Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 6 DSGVO Rn. 1. 280 Gola / Heckmann / Piltz, DSGVO / BDSG, Art.  86 DSGVO Rn.  18; Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 84 ff.; FHS / Hanloser, Betrieblicher Datenschutz, V. 1. Rn. 14; Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 34; Wybitul / Sörup / Pötters, ZD 2015, 559 (560); Wybitul, ZD 2016, 203 (208) („§ 32 Abs. 1 BDSG i. V. m. Art. 88 Abs. 1, 6 Abs. 1 und 9 Abs. 2 DSGVO“). 281 LAG Mecklenburg-Vorpommern, Beschl. v. 15. 5. 2019 – 3 TaBV 10/18, ZD 2019, 573 Rn. 17; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, ZD 2020, 262 Rn. 30; VG Ansbach, Urt. v. 16. 3. 2020 – AN 14 K 19.00464, ZD 2020, 607 Rn. 23 „lex specialis zu Art. 6 Abs. 1 S. 1 lit. b) DS-GVO“. 282 ArbG Lübeck, Beschl. v. 20. 6. 2019 – 1 Ca 538/19, ZD 2020, 422 Rn. 21 ff.; ähnl. LAGNiedersachsen, Beschl. v. 22. 10. 2018 – 12 TaBV 23/18, ZD 2019, 178 Rn. 33. 277

126

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Der Streit ist im Wesentlichen dogmatischer Natur, wenn man richtigerweise davon ausgeht, dass Mitgliedstaaten und Kollektivparteien sich mit spezifischeren Vorschriften ohnehin nur im Rahmen der Grundprinzipien der DSGVO bewegen dürfen. Vor diesem Hintergrund macht es für den Schutz des Betroffenen keinen Unterschied, ob die spezifischere Vorschrift formell eine Konkretisierung oder ein eigenständiger Erlaubnistatbestand ist.283 Die besseren Argumente sprechen für selbständige Erlaubnistatbestände. Trotz der durch den Begriff „spezifischere“ angedeuteten materiellen Einschränkung lässt Art. 88 DSGVO eigenständige Regelungen zu.284 Das Argument, der Wortlaut von Art. 6 Abs. 1 DSGVO deute auf eine abschließende Aufzählung hin („nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist“), kann nicht überzeugen.285 Die Konturierung des mitgliedstaatlichen Gestaltungsspielraums in Art. 88 Abs. 1 und  2 DSGVO wäre überflüssig, wenn die über die Öffnungsklausel geschaffenen Regelungen nicht als eigenständig angesehen würden.286 Würde man gesetzliche und kollektivvertragliche Regelungen auf nationaler Ebene als unselbständige Konkretisierungen ansehen, entstünden zudem Abgrenzungsschwierigkeiten: Wäre eine Ortung zur Sicherheit von Beschäftigten auf Art. 6 Abs. 1 lit. b) (Erfüllung des Arbeitsvertrags), auf Art. 6 Abs. 1 lit. c) (Erfüllung der Verpflichtung aus § 618 Abs. 1 BGB) oder auf Art. 6 Abs. 1 lit. f) DSGVO (Interessenabwägung) zu stützen? Diese Entscheidung hätte z. B. Konsequenzen für das Bestehen eines Widerrufsrechts nach Art. 21 Abs. 1 DSGVO (nur bei Verarbeitung aufgrund von Art. 6 Abs. 1 lit. e) oder lit. f) DSGVO). II. Über die Öffnungsklausel in Betracht kommende Erlaubnistatbestände für die Ortung von Beschäftigten Zur Rechtfertigung der im Rahmen der Ortung von Beschäftigten erfolgenden Datenverarbeitung können sich Arbeitgeber auf § 26 Abs. 1 S. 1, 2 BDSG287, auf eine die Verarbeitung von Beschäftigtendaten regelnde Kollektivvereinbarung288 oder auf eine Einwilligung des Betroffenen289 stützen. Subsidiär kommen die Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO in Betracht.290

283

Anders Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 85. Klösel / Mahnhold, NZA 2017, 1428 (1429); Düwell / Brink, NZA 2016, 665 (666). 285 So aber Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 86; Taeger / Gabel / Z öll, DSGVO /  BDSG, Art. 88 DSGVO Rn. 9. 286 So auch Klösel / Mahnhold, NZA 2017, 1428 (1429); Körner, NZA 2019, 1389 (1391); Traut, RDV 2016, 312 (314). 287 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 53–55; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 28 ff. 288 Vgl. den zugrundeliegenden Sachverhalt in der Entscheidung ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007. 289 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 28. 290 Siehe dazu § 6 C. II. 1. a). 284

§ 6 Anwendung und Modifikation des Maßstabs  

127

Auf die besonderen Zulässigkeitsvoraussetzungen für die Verarbeitung persönlichkeitsrechtlich besonders sensibler personenbezogener Daten in Art. 9 DSGVO und § 26 Abs. 3 BDSG kommt es nicht an.291 Da Positionsdaten offenbaren, welche Orte oder Veranstaltungen eine Person aufsucht, können sie zwar Spekulationen über religiöse oder weltanschauliche Überzeugungen, politische Meinungen oder das Sexualleben ermöglichen.292 Bei der Ortung von Beschäftigten ist aber zu berücksichtigen, dass die Ortung regelmäßig auf die Arbeitszeit beschränkt ist, in der sich die Beschäftigten gerade nicht an frei von ihnen gewählten Orten aufhalten. Die geringe Wahrscheinlichkeit, dass Beschäftigte während der Arbeitszeit – gegebenenfalls trotz Verbot und trotz Kenntnis der Ortung – private Orte aufsuchen, aus denen sich solche schutzwürdigen Umstände ergeben, rechtfertigt die Anwendung strengerer Zulässigkeitsvoraussetzungen nicht. Zu restriktiv wäre es, Art. 9 Abs. 1 DSGVO nur anzuwenden, wenn eine Auswerteabsicht besteht.293 Es muss aber eine hinreichende Wahrscheinlichkeit dafür bestehen, dass sich aus der Datenverarbeitung schutzwürdige Umstände i. S. v. Art. 9 Abs. 1 DSGVO ableiten lassen.294 Art. 9 Abs. 1 DSGVO dient dem Schutz des Betroffenen vor der Möglichkeit tatsächlicher datenbasierter Diskriminierungen, soll aber nicht jedes Datum erfassen, das potentiell in einem sensiblen Zusammenhang steht.295 Eine ausreichende Wahrscheinlichkeit ist jedenfalls dann nicht gegeben, wenn Beschäftigten-Positionsdaten während der Arbeitszeit erhoben werden. Aber auch unabhängig von einer zeitlichen Begrenzung wird die notwendige Schwelle aus zwei Gründen nicht überschritten. Zum einen können die Positionsdaten regelmäßig nicht eindeutig mit einem bestimmten Zielort verknüpft werden (Aufenthalt in der Kirche oder nur vor der Kirche?). Zum anderen wird selbst bei einer Verknüpfung mit einem Zielort, der auf den ersten Blick über schutzwürdige Umstände i. S. v. Art. 9 Abs. 1 DSGVO Aufschluss gibt, regelmäßig kein solcher Umstand offenbart (Aufenthalt in der Kirche offenbart noch keine religiöse Überzeugung).296 Ein bloß mittelbarer Bezug zu den Kategorien des Art. 9 Abs. 1 DSGVO ist vom besonderen Schutz nicht erfasst.297

291

Diese Vorschriften wären sonst zusätzlich zum jeweiligen Erlaubnistatbestand zu berücksichtigen, vgl. BeckOK Datenschutzrecht / Albers / Veit, Art. 9 DSGVO Rn. 11 m. w. N. zum umstrittenen Verhältnis zwischen Art. 9 und Art. 6 DSGVO. 292 So auch Ehmann / Selmayr / Schiff, DSGVO, Art. 9 Rn. 4. 293 So auch SHS / Petri, Datenschutzrecht, Art. 9 DSGVO Rn. 12; a. A. Gola / Heckmann /  Schulz, DSGVO / BDSG, Art. 9 DSGVO Rn. 13 m. V. a. Gola / Schomerus / Gola / Klug / Körffer, BDSG 2015, § 3 Rn. 56a. 294 Ebenso Ehmann / Selmayr / Schiff, DSGVO, Art. 9 Rn. 14; Knyrim / Bergauer, DSGVO, S.  60; a. A. Gola / Heckmann / S chulz, DSGVO / BDSG, Art. 9 DSGVO Rn. 13; Schneider, ZD 2017, 303 (305). 295 Ehmann / Selmayr / Schiff, DSGVO, Art. 9 Rn. 14. 296 Vgl. Kühling / Buchner / Weichert, DSGVO / BDSG, Art. 9 DSGVO Rn. 23. 297 Kühling / Buchner / Weichert, DSGVO / BDSG, Art. 9 DSGVO Rn. 23.

128

3. Kap.: Einfachgesetzlicher Rechtsrahmen

1. § 26 Abs. 1 S. 1, 2 BDSG als Erlaubnistatbestände Der deutsche Gesetzgeber hat seinen durch Art. 88 DSGVO eröffneten Gestaltungsspielraum genutzt und in § 26 BDSG eigene Regelungen zum Beschäftigtendatenschutz getroffen.298 Die Vorschrift basiert im Wesentlichen auf der bisherigen nationalen Regelung der Datenverarbeitung im Beschäftigtenkontext in § 32 BDSG a. F., enthält darüber hinaus aber Modifikationen und Ergänzungen.299 Nach den drei in § 26 Abs. 1 S. 1, 2 BDSG enthaltenen Erlaubnistatbeständen dürfen Beschäftigtendaten zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 Var. 1 BDSG), zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten (§ 26 Abs. 1 S. 1 Var. 2 BDSG) oder zur Aufdeckung eines konkreten Straftatverdachts (§ 26 Abs. 1 S. 2 BDSG) verarbeitet werden.300 Auch die Bundesländer haben zur Anpassung an die DSGVO mehrheitlich ihre Vorschriften zum Beschäftigtendatenschutz überarbeitet, die zum Teil deutlich spezifischer als die Regelungen des § 26 BDSG sind.301 Auf diese Vorschriften soll in dieser Untersuchung allerdings aus zwei Gründen nicht näher eingegangen werden. Zum einen sind die Landesdatenschutzgesetze (LDSG) nur auf öffent­ liche Stellen der Länder und damit nur auf öffentliche Arbeitgeber anwendbar.302 Zum anderen sehen die Vorschriften zum Beschäftigtendatenschutz in den Landesdatenschutzgesetzen im Hinblick auf Ortungsmaßnahmen im Grundsatz denselben Maßstab wie § 26 BDSG vor. Zwar haben Nordrhein-Westfalen und BadenWürttemberg für die Verarbeitung von „Standortdaten“ oder allgemein von mittels technischer Einrichtungen gewonnenen Daten spezifische Regelungen erlassen. § 18 Abs. 11 DSG NRW erlaubt ausdrücklich die Verarbeitung von Positionsdaten, die sich auf Einsatzkräfte bestimmter Sicherheitsbehörden (insbesondere Landespolizei, kommunale Feuerwehr etc.) beziehen, wenn die Verarbeitung aus dienstlichen Gründen zur Sicherheit und zur Koordination der Einsatzkräfte erforderlich ist. § 15 Abs. 7 LDSG BW verweist im Hinblick auf den Einsatz technischer Einrichtungen auf den allgemeinen Zulässigkeitsmaßstab für die Verarbeitung von Beschäftigtendaten in § 15 Abs. 1 LDSG BW und betont dabei die Datenschutzgrundsätze aus Art. 5 DSGVO. Diese Regelungen enthalten im Ergebnis den gleichen Prüfungsmaßstab, den auch § 26 BDSG fordert.

298

Vgl. BT-Drs. 18/11325, 96–99. Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 2; Kort, ZD 2017, 319 (320); aufgrund der Ähnlichkeit zu § 32 BDSG a. F. kann die Rechtsprechung zu dieser Norm im Ansatz auch zur Auslegung von § 26 BDSG herangezogen werden. 300 Vgl. Gola, BB 2017, 1462 (1463). 301 Ausführl. dazu Gola, ZD 2018, 448 (450 ff.). 302 Vgl. § 1 Abs. 1 Nr. 1 und 2 BDSG. 299

§ 6 Anwendung und Modifikation des Maßstabs  

129

a) Anwendbarkeit von § 26 BDSG auf Ortungsmaßnahmen § 26 BDSG ist auf die Ortung von Beschäftigten anwendbar, wenn der Anwendungsbereich des BDSG eröffnet ist und Beschäftigten-Positionsdaten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden. Der sachliche Anwendungsbereich des BDSG entspricht im Wesentlichen demjenigen der DSGVO, wie sich aus § 1 Abs. 1 BDSG ergibt. Der räumliche Anwendungsbereich ist gem. § 1 Abs. 4 DSGVO im Fall der Ortung von Beschäftigten durch den Arbeitgeber unter folgenden Voraussetzungen eröffnet: Entsprechend des Niederlassungsprinzips der DSGVO303 wird unabhängig davon, wo sich der betroffene Beschäftigte befindet, jede Ortung erfasst, die ein Arbeitgeber oder dessen Auftragsverarbeiter von einer Niederlassung in Deutschland aus in Gang setzt (§ 1 Abs. 4 Nr. 2 BDSG).304 Unabhängig davon ist jede auf deutschem Staatsgebiet erfolgende Verarbeitung der Positionsdaten (z. B. durch Server) vom Anwendungsbereich erfasst (§ 1 Abs. 4 Nr. 1 BDSG305). Der Anwendungsbereich ist zudem eröffnet, wenn weder die Niederlassung noch das Rechenzentrum auf deutschem Staatsgebiet ist, sich die Ortung aber entsprechend dem Marktortprinzip der DSGVO auf einen in Deutschland befindlichen Beschäftigten bezieht (§ 1 Abs. 4 Nr. 3 BDSG).306 Der Begriff des „Beschäftigten“ ist in § 26 Abs. 8 BDSG definiert. Er umfasst weitgehend alle in abhängiger Tätigkeit stehende Beschäftigte, sogar arbeitnehmerähnliche Personen.307 Enger als die Formulierung in Art. 88 Abs. 1 DSGVO „Beschäftigungskontext“, regelt § 26 BDSG „nur“ die Verarbeitung von Beschäftigten-Positionsdaten zu den in § 26 Abs. 1 BDSG genannten Zwecken. Ortungsmaßnahmen werden davon erfasst, da Beschäftigten-Positionsdaten meist zur Durchführung des Beschäftigungsverhältnisses verarbeitet werden. Eine Datenverarbeitung erfolgt zur Durchführung des Beschäftigungsverhältnisses, wenn der Arbeitgeber die Daten zur Erfüllung seiner – gegenüber dem Beschäftigten oder Dritten  – bestehenden gesetzlichen Pflichten, für die Erfüllung seiner vertraglichen Pflichten oder zur Wahrnehmung seiner gesetzlichen oder vertraglichen Rechte benötigt.308 Dient die Ortung der Einsatzkoordinierung oder der Vereinfachung von Verwaltungsvorgängen, erfolgt sie zur Wahrnehmung seines Rechts auf Gestaltung und Organisation seines Betriebs und damit zur Durchführung

303

Siehe oben § 6 A. I. 2.  Vgl. OVG Schleswig-Holstein, Beschl. v. 22. 4. 2013  – 4 MB 11/13, NJW 2013, 1977, 1978 f. Rn. 20; BeckOK Datenschutzrecht / Gusy / Eichenhofer, § 1 BDSG Rn. 110. 305 Kritisch Kühling / Buchner / Klar, BDSG, § 1 Rn. 23 f. m. w. N. 306 Zum fehlenden Inlandsbezug von § 1 Abs. 4 Nr. 3 BDSG Taeger / Gabel / Schmidt, DSGVO /  BDSG, § 1 BDSG Rn. 33 m. w. N. 307 Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 94 ff. 308 VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 30; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 114. 304

130

3. Kap.: Einfachgesetzlicher Rechtsrahmen

des Beschäftigungsverhältnisses.309 Werden Positionsdaten zur Arbeitszeiterfassung verarbeitet, kommt der Arbeitgeber damit in der Regel einer gesetzlichen Pflicht nach.310 Eine Ortung zur Sicherheit von Beschäftigten dient der Erfüllung der arbeitsvertraglichen Schutzpflicht.311 Beides erfolgt zur Durchführung des Beschäftigungsverhältnisses. Gleiches gilt für verdachtslose Ortungsmaßnahmen zum Schutz von Eigentum oder Vermögen sowie für Verhaltens- und Leistungskontrollen.312 Die Rechtsprechung und der deutsche Gesetzgeber haben mittlerweile bestätigt, dass für präventive Maßnahmen der Datenverarbeitung nicht § 32 Abs. 1 S. 2 BDSG a. F./§ 26 Abs. 1 S. 2 BDSG, sondern § 32 Abs. 1 S. 1 BDSG a. F./§ 26 Abs. 1 S. 1 BDSG maßgeblich ist.313 Erfolgt die Ortung zur Aufdeckung einer im Beschäftigungsverhältnis begangenen Straftat, ist § 26 Abs. 1 S. 2 als Spezialregelung314 einschlägig. Die Ortung zur Aufdeckung von Pflichtverletzungen unterhalb der Strafbarkeitsschwelle fällt hingegen unter § 26 Abs. 1 S. 1 Var. 1 BDSG und dient im Hinblick auf die Aufklärung der Durchführung und als Kündigungsvorbereitung der Beendigung des Beschäftigungsverhältnisses.315 § 26 Abs. 1 S. 2  BDSG entfaltet keine Sperrwirkung.316 Zur Vermeidung von Wertungswidersprüchen ist bei einer mit Fallgestaltungen i. S. v. § 26 Abs. 1 S. 2 BDSG vergleichbaren Eingriffsintensität ebenfalls ein konkreter Tatverdacht zu fordern.317 Das gilt nicht „für nach abstrakten Kri 309

Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 160; Kerscher, SPA 2017, 101 (102); vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 30. 310 Der EuGH legt die Arbeitszeitrichtlinie dahingehend aus, dass Arbeitgeber zur Einrichtung eines Systems verpflichtet sind, mit dem die tägliche Arbeitszeit der Beschäftigten gemessen werden kann, s. Urt. v. 14. 5. 2019 – C-55/18, ECLI:EU:C:2019:402 – CCOO. In der Lit. wird davon ausgegangen, dass bis zur Umsetzung nur die spezialgesetzliche Pflicht zur Arbeitszeiterfassung aus § 16 Abs. 2 ArbZG gilt, s. Bayreuther, NZA 2020, 1 (2 ff.). Teilweile wird vertreten, die Pflicht zur Einführung eines Zeiterfassungssystems folge bereits ohne Tätigkeitwerden des Gesetzgebers aus Art. 31 Abs. 2 GrCh, s. Arbeitsgericht Emden, Urt. V. 20. 2. 2020, 2 Ca 94/19, BeckRS 2020, 5213; Heuschmied, NJW 1853 (1854); Ulber, NZA 2019, 677 (680). 311 So auch WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 15; Kerscher, SPA 2017, 101 (102); vgl. Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 160; ausführlich dazu unten § 7 B. II. 3. 312 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 28; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 41. 313 BT-Drs. 16/13657, 21; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 138. 314 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 29. 315 Vgl. BAG, Urt. v. 29. 6. 2017  – 2 AZR 597/16, NZA 2017, 1179 Rn. 26; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 28; Grimm, jM 2016, 17 (19). 316 H. M., siehe zu § 32 BDSG a. F. BAG, Urt. v. 29. 6. 2017 – 2 AZR 597/16, NZA 2017, 1179 Rn. 28–30; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 30; ErfK / Franzen, § 26 BDSG Rn.  37; Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 65; Kühling /  Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 58; Thüsing / Rombey, NZA 2018, 1105 (1107); a. A. LAG Baden-Württemberg, Urt. v. 20. 7. 2016 – 4 Sa 61/15, ZD 2017, 88 Rn. 92; zust. Düwell / Brink, NZA 2017, 1081 (1084). 317 Vgl. BAG, Urt. v. 29. 6. 2017 – 2 AZR 597/16, NZA 2017, 1179 Rn. 30; Reiserer / Christ / Heinz, DStR 2018, 1501 (1504); Thüsing / Rombey, NZA 2018, 1105 (1107).

§ 6 Anwendung und Modifikation des Maßstabs  

131

terien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen sollen.“318 Eine präventive Ortung von Beschäftigten zur Abwehr von Straftaten Dritter erfolgt nicht zur Durchführung des Beschäftigungsverhältnisses und kann nicht auf § 26 BDSG, sondern nur auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden.319 Da der Beschäftigte aufgrund seines Beschäftigungsverhältnisses einer ihn betreffenden Datenverarbeitung unterzogen wird, besteht zwar auch in diesen Fallkonstellationen ein Bezug zum Beschäftigungsverhältnis. Darüber hinaus sind nach Art. 88 Abs. 1 DSGVO ausdrücklich und ohne Einschränkungen Datenverarbeitungen zum Schutz des Eigentums der Kunden erfasst. Der Anwendungsbereich von § 26 Abs. 1 Var. 1 DSGVO ist mit seiner Eingrenzung auf Zwecke zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses jedoch enger als der von Art. 88 Abs. 1 DSGVO.320 Dient die Datenverarbeitung der Erfüllung von Rechten und Pflichten, die unabhängig vom Beschäftigungsverhältnis bestehen, ist § 26 Abs. 1 S. 1 Var. 1 BDSG nicht einschlägig321, wenngleich eine Prüfung von Art. 6 Abs. 1 lit. f) DSGVO regelmäßig zum gleichen Ergebnis kommen wird.322 b) Besondere Tatbestandsvoraussetzungen von § 26 Abs. 1 S. 2 BDSG § 26 Abs. 1 S. 2 BDSG stellt mit dem auf „zu dokumentierende tatsächliche Anhaltspunkte“ gestützten Tatverdacht strengere Zulässigkeitsvoraussetzungen auf, da Maßnahmen zur Aufdeckung von Straftaten grundsätzlich besonders intensiv in das allgemeine Persönlichkeitsrecht eingreifen.323 Einigkeit besteht dahingehend, dass ein einfacher Anfangsverdacht i. S. v. § 152 StPO324 ausreicht.325 Dabei ist erstens zu fordern, dass sich der Tatverdacht auf eine im Beschäftigungsverhältnis innerhalb oder außerhalb der Arbeitszeit326 begangene Straftat bezieht. Es werden 318

BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31. So auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 824; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 18 ff.; Wünschelbaum, NZA 2020, 1222 (1223). 320 Düwell / Brink, NZA 2017, 1081 (1083). 321 So auch ErfK / Franzen, § 26 BDSG Rn. 6 f. m. w. N. 322 Gola / Heckmann / Gola, BDSG 2019, § 26 Rn. 18, vgl. BAG, Urt. v. 12. 2. 2015 – 6 AZR 845/13, NZA 2015, 741 Rn. 79. 323 BT-Drs. 16/13657, 21; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 29; Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 58. 324 Statt aller BeckOK StPO / Beukelmann, § 152 Rn. 4. 325 LAG Berlin-Brandenburg, Urt. v. 10. 12. 2019  – 7 Sa 557/19, BeckRS 2019, 35215 Rn. 34; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 134; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 66; noch zu § 32 BDSG a. F. BAG, Urt. v. 20. 10. 2016  – 2 AZR 395/15, NZA 2017, 443 Rn. 25; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 27 ff.; a. A. DKWW / Wedde, § 32 Rn. 127 „mit hoher Wahrscheinlichkeit“. 326 Siehe HWK / L embke, Art. 88 DSGVO Rn. 48; Kühling / Buchner / Maschmann, DSGVO /  BDSG, § 26 BDSG Rn. 59 m. w. N.; a. A. wohl NK-ArbR / Brink, § 32 Rn. 161. 319

132

3. Kap.: Einfachgesetzlicher Rechtsrahmen

auch nicht im Zusammenhang mit der Arbeitsaufgabe, sondern nur bei Gelegenheit verübte Straftaten erfasst.327 Zweitens muss der Tatverdacht zumindest ansatzweise auf Tatsachen gestützt werden können, sodass bloße Mutmaßungen, die über vage Anhaltspunkte nicht hinausgehen, nicht ausreichen.328 Drittens muss sich der Verdacht auf einen bestimmten Beschäftigten oder einen räumlich und funktional abgrenzbaren Kreis von Beschäftigten richten.329 Allein durch diese Eingrenzung entsteht der zur Rechtfertigung erforderliche Zusammenhang zwischen der Straftat und dem von der Überwachung Betroffenen. Verschwindet z. B. regelmäßig Ware aus dem Lagerraum, kann der Verdacht aber nicht eingegrenzt werden, weil alle Betriebsangehörigen Zugang zum Lagerraum haben, rechtfertigt der Verdacht des Diebstahls keine Ortungsmaßnahmen. c) Prüfungsmaßstab: Verhältnismäßigkeit Nach § 26 Abs. 1 S. 1 und  2 BDSG ist die Ortung nur zulässig, wenn sie erforderlich ist, um den mit der Ortung verfolgten Zweck zu erreichen. § 26 Abs. 1 S. 2 BDSG fordert neben einem konkreten Tatverdacht darüber hinaus, dass das schutzwürdige Interesse des Betroffenen am Ausschluss der Verarbeitung nicht überwiegt. Im Rahmen von § 32 Abs. 1 BDSG a. F. war weitgehend unstreitig, dass der Begriff der Erforderlichkeit i. S. e. dreistufigen Verhältnismäßigkeitsprüfung (Geeignetheit, Erforderlichkeit, Angemessenheit) zu verstehen ist.330 Mit dem Erforderlichkeitsbegriff wollte der deutsche Gesetzgeber die bereits damals in der arbeitsgerichtlichen Rechtsprechung etablierte, an der grundrechtlichen Eingriffsdogmatik orientierte Interessenabwägung kodifizieren.331 Dass § 32 Abs. 1 S. 2 BDSG a. F. zusätzlich zum Kriterium der Erforderlichkeit eine Abwägungsklausel enthält, ist laut Gesetzesbegründung darauf zurückzuführen, dass bei Maßnahmen zur Aufdeckung von Straftaten regelmäßig besonders intensiv in das allgemeine Persönlichkeitsrecht eingegriffen wird.332 An der Auslegung des Erforderlichkeitsbegriffs aus § 26 Abs. 1 S. 1 und 2 BDSG im Sinne einer am Verhältnismäßigkeitsgrundsatz ausgerichteten Interessenabwä-

327

So auch Taeger / Gabel / Z öll, DSGVO / BDSG, Art. 26 BDSG Rn. 67; a. A. wohl NKArbR / Brink, § 32 Rn. 161. 328 Zu § 32 BDSG a. F. BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017, 443 Rn. 25 f.; zu § 26 BDSG ErfK / Franzen, § 26 BDSG Rn. 38 m. w. N. 329 StRspr. zu § 32 BDSG a. F. BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017, 443 Rn. 22; zust. HWK / L embke, Art. 88 DSGVO Rn. 48. 330 BT-Drs. 16/13657, 21; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 30; BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 24 f.; Brink / Wybitul, ZD 2014, 225 (228); Gola / Schomerus / Gola / Klug / Körffer, BDSG 2015, § 32 Rn. 10; Grimm, jM 2016, 17 (19); Wybitul, BB 2010, 1085 (1086); a. A. Düwell / Brink, NZA 2017, 1081 (1084). 331 SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 56 m. V. a. BT-Drs. 16/13657, 21. 332 BT-Drs. 16/13657, 21.

§ 6 Anwendung und Modifikation des Maßstabs  

133

gung ist auch unter der DSGVO festzuhalten.333 Der Umstand, dass der Erforderlichkeitsbegriff in der DSGVO nicht i. S. e. Verhältnismäßigkeitsprüfung, sondern im engeren Sinne verstanden wird334, steht dem nicht entgegen.335 Der Vorrang der DSGVO fordert allein, dass das BDSG so ausgelegt wird, dass es den Zielen der DSGVO entspricht.336 Die Vornahme einer Verhältnismäßigkeitsprüfung sowohl in § 26 Abs. 1 S. 1 BDSG als auch in § 26 Abs. 1 S. 2 BDSG entspricht nicht nur den Zielen der DSGVO, sondern wird von Art. 88 Abs. 1 und 2 DSGVO sogar gefordert. In Art. 88 Abs. 2 DSGVO hat der Unionsgesetzgeber vorgegeben, dass zwischen den Interessen des von der Datenverarbeitung betroffenen Beschäftigten und den Interessen des Arbeitgebers ein angemessener Ausgleich zu schaffen ist.337 Diese Vorgabe hält der deutsche Gesetzgeber in § 26 Abs. 1 S. 1 BDSG nur ein, wenn über den Begriff der Erforderlichkeit Raum für eine Interessenabwägung geschaffen wird, bei der das konkret von der Datenverarbeitung ausgehende Risiko und die Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO zu beachten sind.338 Zur Frage, welche Kriterien innerhalb der Interessenabwägung zu berücksichtigen sind, wird später ausführlich Stellung genommen.339 Die von Düwell / Brink bereits zu § 32 Abs. 1 BDSG a. F. geübte Kritik, dass private datenverarbeitende Stellen mangels Bindung an das Rechtsstaatsprinzip nicht einem Angemessenheitserfordernis unterworfen werden können340, kann jedenfalls unter der DSGVO nicht überzeugen. Hier kommt der Unionsgesetzgeber durch das Aufstellen des Abwägungserfordernisses auch zwischen Privaten341 gerade seiner grundrechtlichen Schutzpflicht342 nach. Die zusätzliche Abwägungsklausel in § 26 Abs. 1 S. 2 BDSG ist nicht konstitutiv für das Abwägungserfordernis, sondern fordert innerhalb der Abwägung – quasi als Konkretisierung – die besondere Berücksichtigung des Umstands, dass Datenverarbeitungen im Rahmen von § 26 Abs. 1 S. 2 BDSG regelmäßig eine besonders hohe Eingriffsintensität haben. Daher geht es zu weit, wenn angenommen wird, 333

So die h. M., siehe BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055 Rn. 39; BAG, Beschl. v. 7. 5. 2019  – 1 ABR 53/17, NZA 2019, 1218 Rn. 42; ErfK / Franzen, § 26 BDSG Rn.  9 ff.; Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 27; Kühling /  Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 18 f.; SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 56 f.; Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 16–18; ­Wybitul, NZA 2017, 413 (415); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 23–28; a. A. Düwell / Brink, NZA 2017, 1081 (1084). 334 Ausführl. dazu oben § 5 C. III. 2.  335 So aber Düwell / Brink, NZA 2017, 1081 (1084). 336 Vgl. EuGH, Urt. v. 16. 12. 2008  – C-524/06, ECLI:EU:C:2008:724 Rn. 52  – Huber; ­T hüsing / Rombey, NZA 2018, 1105 (1008). 337 Siehe dazu oben § 6 C. I. 1.  338 Vgl. § 26 Abs. 5 BDSG; Thüsing / Rombey, NZA 2018, 1105 (1008). 339 Siehe unten § 7. 340 Düwell / Brink, NZA 2017, 1081 (1084). 341 Vgl. Art. 6 Abs. 1 lit. f) und EG 47 DSGVO. 342 Siehe dazu oben § 4 C.

134

3. Kap.: Einfachgesetzlicher Rechtsrahmen

dass wegen eines verschärften Prüfungsmaßstabs die Interessen nicht gleichwertig gegeneinander abgewogen werden.343 2. Kollektivvereinbarung als Erlaubnistatbestand Über die Öffnungsklausel können Beschäftigten-Positionsdaten auch auf der Grundlage von Kollektivvereinbarungen verarbeitet werden.344 § 26 Abs. 4 BDSG hat insofern nur eine klarstellende Wirkung.345 Am praxisrelevantesten sind Betriebsvereinbarungen, da Betriebsräte nach § 87 Abs. 1 Nr. 6 BetrVG regelmäßig ein Mitbestimmungsrecht bei der Einführung und Anwendung von Ortungssystemen haben.346 Daher sollen Betriebsvereinbarungen hier im Fokus stehen. Eine Betriebsvereinbarung zur Verarbeitung von Beschäftigtendaten kann wie jede Betriebsvereinbarung hinsichtlich ihrer Rechtmäßigkeit gerichtlich überprüft werden.347 Die Zustimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG macht die Überwachung nicht datenschutzrechtlich zulässig.348 Wie oben ausgeführt worden ist, haben die Kollektivparteien materiell-rechtlich zwar einen Ermessensspielraum.349 Damit eine Betriebsvereinbarung als datenschutzrechtlicher Erlaubnistatbestand herangezogen werden kann, muss sie aber zum einen die formellen und materiellen Schranken des Betriebsverfassungsrechts und zum anderen die Grundprinzipien der DSGVO (Art. 88 i. V. m. Art. 5, 6 und 9 DSGVO) wahren.350 In formeller Hinsicht ist insbesondere die Zuständigkeit nach §§ 50, 58 BetrVG zu beachten. Das in materieller Hinsicht für alle Betriebsvereinbarungen nach § 75 Abs. 2 BetrVG mit Blick auf das allgemeine Persönlichkeitsrecht geltende Verhältnismäßigkeitsgebot351 geht in den Anforderungen aus Art. 88 Abs. 2 DSGVO auf.352

343

Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 26; aus der besonderen Hervorhebung folgt ein unterschiedlicher Maßstab der Darlegungs- und Beweislast, siehe BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 66. 344 Siehe EG 155 DSGVO; neben Tarifverträgen sowie Betriebs- und Dienstvereinbarungen sind auch Sprecherausschussrichtlinien erfasst, siehe Dzida / Grau, DB 2018, 189 (191); ein Beispiel fürt eine Betriebsvereinbarung bietet Byers, Mitarbeiterkontrollen, Rn. 233. 345 BT-Drs.  18/11325, 98; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 90. 346 Siehe dazu unter § 6 E. I. 347 Schrey / Kielkowski, BB 2018, 629; allgemein MHdB ArbR / Arnold, § 316 Rn. 122. 348 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 40; umgekehrt macht die fehlende Beteiligung des Betriebsrats die Datenverarbeitung nicht datenschutzrechtlich unzulässig, dazu unklar Rammo / Holzgräfe, InTer 2015, 23, 25 m. V. a. LfDI NRW, Beschäftigtendatenschutz 2012, S. 5. 349 Siehe oben § 6 C. I. 1. 350 So auch Wünschelbaum, BB 2019, 2102 (2104); Schrey / Kielkowski, BB 2018, 629 (630); Traut, 2016, RDV 312 (317 ff.); Körner, NZA 2019, 1389 (1391 f.). 351 StRspr. BAG, Beschl. v. 27. 5. 1986 – 1 ABR 48/84, NZA 1986, 643 (647); BAG, Beschl. v. 15. 4. 2014 – 1 ABR 2/13, NZA 2014, 551 Rn. 38 ff. 352 Wünschelbaum, BB 2019, 2102 (2104); anders Wurzberger, ZD 2017, 258 (250).

§ 6 Anwendung und Modifikation des Maßstabs  

135

Konkret ergeben sich materiell-rechtlich folgende Schranken: Die Betriebsvereinbarung muss durch konkrete Regelungen oder durch einen Verweis353 auf Vorschriften der DSGVO sicherstellen, dass Beschäftigten-Positionsdaten vom Arbeitgeber nur verhältnismäßig verarbeitet werden, wobei sich die Verhältnismäßigkeitsprüfung am von der Datenverarbeitung ausgehenden Risiko und an den Datenschutzgrundsätzen aus Art. 5 Abs. 1 DSGVO orientieren muss.354 Eine ausführliche Leitlinie für diese Verhältnismäßigkeitsprüfung enthält § 7 dieser Untersuchung. Da der Ortungszweck Dreh- und Angelpunkt der Verhältnismäßigkeit ist, muss er in der Betriebsvereinbarung ausdrücklich festgelegt werden.355 Darüber hinaus müssen Umfang und Umstände der Datenverarbeitung (z. B. Frequenz der Datenerhebung, Information des Betroffenen, Zugriffsberechtigte, Speicherdauer etc.) festgelegt werden356, wobei z. B. über den Begriff der „Erforderlichkeit“ Raum für eine einzelfallgerechte Interessenabwägung gelassen werden muss357. Unwirksam wäre z. B. eine Regelung, die pauschal eine Verarbeitung von Beschäftigten-Positionsdaten zur Einsatzkoordinierung erlaubt, ohne die Zulässigkeit von der konkreten Ausgestaltung im Einzelfall abhängig zu machen. Eine pauschale Zulassung oder ein pauschaler Ausschluss einer Datenverarbeitung zu einem bestimmten Einsatzzweck kann nur wirksam sein, wenn das jeweilige Interesse in allen denkbaren Fällen dem Gegeninteresse weichen muss.358 Beispielsweise kann eine Ortung zur anlasslosen Leistungsbeurteilung pauschal verboten werden.359 Innerhalb dieses gesteckten Rahmens sind die Kollektivparteien frei, eigene Regelungen zu treffen.360 3. Einwilligung als Erlaubnistatbestand Die Einwilligung eines Beschäftigten in eine ihn betreffende Datenverarbeitung des Arbeitgebers kann die Datenverarbeitung nach Art. 6 Abs. 1 lit. a)  DSGVO i. V. m. Art. 88 DSGVO i. V. m. § 26 Abs. 2 und Abs. 3 S. 2 BDSG rechtfertigen.361 353

Traut, RDV 2016, 312 (317); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 95; Wünschelbaum, BB 2019, 2102 (2105). 354 Vgl. ErfK / Franzen, § 26 BDSG Rn. 48; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 92 ff.; Schrey / Kielkowski, BB 2018, 629 (632); die Datenschutzgrundsätze müssen nicht ausdrücklich adressiert werden, so auch Klösel / Mahnhold, NZA 2017, 1428 (1431 ff.). 355 So auch Wybitul, NZA 2017, 1488 (1492); Körner, NZA 2019, 1389 (1392). 356 Vgl. Körner, NZA 2019, 1389 (1392 f.); ähnl. Wybitul, NZA 2017, 1488 (1493). 357 So auch Wybitul, NZA 2017, 1488 (1489); König, Beschäftigtendatenschutz, Rn. 77; Dzida / Grau, DB 2018, 189 (193); Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 72; ders., DB 2016, 2480 (2486); Wünschelbaum, BB 2019, 2102 (2106); a. A. Düwell /  Brink, NZA 2017, 1081 (1082 f.). 358 Traut, RDV 2016, 312 (316). 359 Zur Zulässigkeit einer Ortung zur Leistungskontrolle unten § 8 E. I. 3. und II. 360 Zum Gestaltungsspielraum oben § 6 C. I. 1. 361 Im Fall der Einwilligung ist Art. 6 DSGVO mit zu zitieren, da § 26 BDSG keine Grundsatzregelung zur Einwilligung enthält, vgl. Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 62.

136

3. Kap.: Einfachgesetzlicher Rechtsrahmen

a) Freiwillige Entscheidung trotz Beschäftigungsverhältnis möglich Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der der Betroffene zu verstehen gibt, dass er mit der Datenverarbeitung einverstanden ist. Mit Blick auf die Fragestellung, ob es im Beschäftigungsverhältnis aufgrund des tendenziell bestehenden Ungleichgewichts362 überhaupt eine freiwillige Entscheidung geben kann, war lange umstritten, ob die Einwilligung eines Beschäftigten ein wirksamer Erlaubnistatbestand für eine Datenverarbeitung sein kann.363 Der Unionsgesetzgeber hat nunmehr in Art. 7 Abs. 4 DSGVO und insbesondere Erwägungsgrund 155 DSGVO klargestellt, dass im Beschäftigungsverhältnis nicht pauschal von einem klaren Ungleichgewicht ausgegangen werden und damit auch die Einwilligung eines Beschäftigten wirksam sein kann. Diese Ansicht vertreten auch der deutsche Gesetzgeber, der in § 26 Abs. 2 BDSG die Anforderungen an die Einwilligung konkretisiert hat364, sowie weitgehend einheitlich Rechtsprechung365, Aufsichtsbehörden366 und Literatur367. Damit eine Einwilligung „für den bestimmten Fall“ abgegeben wird, muss für den Betroffenen objektiv erkennbar sein, welche Datenverarbeitung von der Einwilligung gedeckt ist und welche Chancen und Risiken daraus für ihn folgen.368 Zudem muss er subjektiv über die zumutbare Möglichkeit verfügen, sich über alle die beabsichtigte Datenverarbeitung kennzeichnenden Merkmale zu informieren, sodass er die Einwilligung in voller Kenntnis der Sachlage erteilen kann.369 Konkret: Die Einwilligung eines Beschäftigten in eine ihn betreffende Ortungsmaßnahme kann nur wirksam sein, wenn der Betroffene zuvor in die Lage versetzt 362

Vgl. Art.-29-DSG, WP 248 rev.01, S. 12. Zum Streitstand Schmitz, Beschäftigtendatenschutz, S. 240 ff. 364 Siehe BT-Drs. 18/11325, 97. 365 BAG, Urt. v. 11. 12. 2014  – 8 AZR 1010/13, NZA 2015, 604 Rn. 32; BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017, 443 Rn. 31; OVG Saarlouis, Urt. v. 14. 12. 2017 – 2 A 662/17, ZD 2018, 134 Rn. 51 ff.; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 45. 366 Nach deren Ansicht können Einwilligungen von Beschäftigten freiwillig sein, sind es i. d. R. aber nicht, EDSA, Leitlinien 5/2020; Rn. 21 f.; BfDI, DSGVO – BDSG 2020, S. 29; DSK, Kurzpapier Nr. 14, S. 1 f.; LfDI NRW, 24. TB 2017–2018, S. 65; LfDI TH, 1. TB 2018, S. 253–255; LfD ST, 13./14. TB 2018, S. 104; LfDI SL, 27. TB 2017/2018, S. 82. 367 Auer-Reinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 338 ff.; Paal /  Pauly / Frenzel, DSGVO / BDSG, Art. 7 DSGVO Rn. 18 ff.; Kramer / Fuhlrott, IT-Arbeitsrecht, B. Rn. 462; Funke, Einwilligung, S.  249–254; Ehmann / Selmayr / Heckmann / Paschke, DSGVO, Art. 7 Rn. 54; Maier, Berufsbezogene Erreichbarkeit, S. 298 f.; Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 67; Wolff / Schantz / Wolff, Datenschutzrecht, Rn. 512. 368 SHS / Klement, Datenschutzrecht, Art. 7 DSGVO Rn. 68 f.; vgl. Art. 4 Nr. 11 DSGVO. 369 EuGH, Urt. v. 1. 10. 2019  – C-673/17, ECLI:EU:C:2019:801 Rn. 74  – Planet49; Paal /  Pauly / Ernst, DSGVO / BDSG, Art. 4 DSGVO Rn. 79; SHS / Klement, Datenschutzrecht, Art. 7 DSGVO Rn. 72; vgl. EG 42 und Art. 4 Nr. 11 DSGVO. 363

§ 6 Anwendung und Modifikation des Maßstabs  

137

wurde, nachzuvollziehen, zu welchem Zweck, auf welche Art und Weise, in welchem Umfang und unter welchen Umständen die Ortung erfolgt. Die Einwilligungserklärung kann vorsorglich für alle zu konkret genannten Zwecken erfolgenden Datenverarbeitungen erklärt werden.370 Nach § 26 Abs. 2 S. 3 und 4 BDSG muss die Einwilligung schriftlich erfolgen und vor deren Abgabe über die Widerruflichkeit der Einwilligung informiert werden. Eine vorgedruckte Einwilligungserklärung muss so ausgestaltet sein, dass der Betroffene seine Einwilligung nur für einzelne Verarbeitungszwecke geben kann.371 Eine einmal erteilte Einwilligung erlischt bei unverändertem Sachverhalt grundsätzlich nicht durch Zeitablauf, wobei im Fall von Inaktivität etwas anderes gelten kann.372 b) Kriterien zur Beurteilung der Freiwilligkeit Ob eine Einwilligung tatsächlich freiwillig erfolgt, ist anhand einer Einzelfallprüfung zu beurteilen.373 Die DSGVO enthält keine Definition des Freiwilligkeitsbegriffs, liefert aber Anhaltspunkte. Nach Art. 7 Abs. 4 DSGVO spricht gegen Freiwilligkeit, wenn eine Vertragserfüllung374 von der Einwilligung zu einer Datenverarbeitung abhängig gemacht wird, obwohl die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist. Dabei wird Art. 7 Abs. 4 DSGVO vereinzelt als striktes Koppelungsverbot verstanden, mit der Konsequenz, dass im Fall einer Koppelung die Einwilligung per se unfreiwillig erfolgt ist.375 Die herrschende Ansicht in der Literatur geht hingegen zutreffend davon aus, dass aus Art. 7 Abs. 4 DSGVO eine widerlegliche Vermutung der Unfreiwilligkeit, aber kein striktes Koppelungsverbot folgt.376 Ob die Datenverarbeitung überhaupt über das hinausgeht, was zur Vertragserfüllung erforderlich ist, hängt von der vertragscharakteristischen Leistung ab.377 Bietet ein Suchdienstleister personalisierte Werbung im Tausch gegen Daten an, geht die Datenverarbeitung über das 370

Auer-Reinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 340. Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 517; die Einwilligung darf aber nicht zu komplex sein, s. OLG Frankfurt, Urt. v. 17. 12. 2015 – 6 U 30/15, MMR 2016, 245 Rn. 26. 372 EDSA, Leitlinien 5/2020, Rn. 110; Ehmann / Selmayr / Heckmann / Paschke, DSGVO, Art. 7 Rn. 43; vgl. BGH, Urt. v. 1. 2. 2018 – III ZR 196/17, NJW-RR 2018, 486 Rn. 30 f. 373 Statt aller Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 DSGVO Rn. 44. 374 Art. 7 Abs. 4 DSGVO ist auch für eine Koppelung an den Vertragsabschluss anzuwenden, siehe Schätzle, PinG 2017, 203 (205 ff.) m. w. N. 375 In diese Richtung Damann, ZD 2016, 307 (311); Buchner, DuD 2016, 155 (158). 376 So EDSA, Leitlinien 5/2020, Rn. 35; Specht / Mantz / Specht, HdB Datenschutzrecht, § 9 Rn. 28; BeckOK Datenschutzrecht / Stemmer, Art. 7 DSGVO Rn. 49; Gola / Heckmann / Schulz, DSGVO / BDSG, Art.  7 DSGVO Rn.  23 ff.; Kühling / Buchner / dies., DSGVO / BDSG, Art.  7 DSGVO Rn.  8, 46; Ehmann / Selmayr / Heckmann / Paschke, DSGVO, Art. 7 Rn. 95 ff.; Paal /  Pauly / Frenzel, DSGVO / BDSG, Art. 7 DSGVO Rn. 18; vgl. auch EG 43 DSGVO sowie ÖOGH, Urt. v. 31. 8. 2018 – 6 Ob 140/18h, BeckRS 2018, 30960 Rn. 46. 377 Golland, MMR 2018, 130 (131 f.); Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 DSGVO Rn. 49–51a; a. A. Engeler, ZD 2018, 55 (57 f.) zu „konkreten Vertragsklauseln“. 371

138

3. Kap.: Einfachgesetzlicher Rechtsrahmen

zur Vertragserfüllung erforderliche Maß hinaus.378 Anders ist die Situation, wenn der Tausch von Daten gegen Leistung quasi als Datenhandel selbst die vertragscharakteristische Leistung ist.379 In die Beurteilung der Freiwilligkeit muss zudem der Umstand einfließen, ob dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen in zumutbarer Weise möglich ist (Erwägungsgrund 42 S. 5 DSGVO)380, ob zwischen Betroffenem und Verantwortlichem ein klares Ungleichgewicht besteht (Erwägungsgrund 43 S. 1 DSGVO)381 und ob die Verweigerung der Einwilligung mit tatsächlichen oder potenziellen Nachteilen für den Betroffenen verbunden ist (Erwägungsgrund 42 S. 5 DSGVO)382. Für den Bereich des Beschäftigtendatenschutzes hat der deutsche Gesetzgeber die Anforderungen an die Freiwilligkeit in § 26 Abs. 2 S. 1 BDSG dahingehend konkretisiert, dass die Abhängigkeit des Beschäftigten und die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen sind. Aufgrund des tendenziell bestehenden Machtungleichgewichts ist die Freiwilligkeit im Beschäftigungsverhältnis besonders zu hinterfragen.383 Zu berücksichtigen sind insbesondere die Art der verarbeiteten Daten, der Zeitpunkt und die Bestimmtheit der Einwilligungserklärung384, die (Monopol-)Stellung des Arbeitgebers385 und der Zusammenhang zwischen der Datenverarbeitung und dem Beschäftigungsverhältnis (Stichwort „sachfremde Begleiterscheinung“)386. Allgemein gilt, je unvorteilhafter die Einwilligung für den Betroffenen ist, umso kritischer ist zu prüfen, ob die Einwilligung eine freie Entscheidung ausdrückt.387 Teilweise gehen Aufsichtsbehörden und Literatur davon aus, dass Einwilligungen von Beschäftigten tendenziell nicht freiwillig erfolgen.388 Nach § 26 Abs. 2 S. 2 BDSG ist Freiwilligkeit 378

Buchner, DuD 2016, 155 (158); Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 DSGVO Rn. 51 f.; Golland, MMR 2018, 130 (131); kritisch Schantz, NJW 2016, 1841 (1845). 379 OLG Frankfurt, Urt. v. 27. 6. 2019 – 6 U 6/19, ZD 2019, 507 Rn. 12; BeckOK Datenschutzrecht / Stemmer, Art. 7 DSGVO Rn. 49.1 f.; a. A. Art.-29-DSG, WP 259 rev.01, S. 9. 380 Kühling / Buchner / dies., DSGVO / BDSG, Art.  7 DSGVO Rn.  52–53a; Wolff / Schantz /  Wolff, Datenschutzrecht, Rn. 503–509; a. A. BeckOK Datenschutzrecht / Stemmer, Art. 7 DSGVO Rn. 48. 381 Vgl. BGH, Urt. v. 16. 7. 2008 – VIII ZR 348/06, NJW 2008, 3055 Rn. 21. 382 Art.-29-DSG, WP 259 rev.01 S. 8 „überhaupt keinen Nachteilen“; Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 7 DSGVO Rn. 29 „nur bei spürbar negativen Folgen“. 383 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 7 DSGVO Rn. 20 m. V. a. EDSA, Leitlinien 05/2020, Rn. 21. 384 Betz, SPA 2019, 29 (30); Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 DSGVO Rn. 45. 385 Plath / Plath, DSGVO / BDSG, Art. 7 DSGVO Rn. 19; Krohm / Müller-Peltzer,  ZD 2017, 551 (555); a. A. Golland, MMR 2018, 130 (132 f.). 386 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 7 DSGVO Rn. 28. 387 Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 DSGVO Rn. 54. 388 EDSA, Leitlinien 03/2019, Rn. 47; Art.-29-DSG WP 259 rev.01, S. 7 f.; DSK, Kurzpapier Nr. 14, S. 2; Wybitul / Wybitul, DSGVO, Einl. Rn. 312; zur Videoüberwachung AuerReinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 339; Kramer / Bongers, ITArbeitsrecht, B. Rn. 734; WHWS / Byers, Datenschutz im ArbV, B. VIII. Rn. 43.

§ 6 Anwendung und Modifikation des Maßstabs  

139

allerdings indiziert, wenn für den betroffenen Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. c) Einwilligung in Ortungsmaßnahme nicht per se freiwillig oder unfreiwillig Die Aufsichtsbehörden sind sich weitgehend darin einig, dass eine vom Arbeitgeber initiierte Ortung von Beschäftigten mangels Freiwilligkeit nicht auf deren Einwilligung gestützt werden kann.389 Die Rechtsprechung hat diese Frage bislang offen gelassen.390 Damit ist zumindest klar, dass die Durchführung von Ortungsmaßnahmen auf der alleinigen Grundlage einer Einwilligung für Arbeitgeber mit großer Rechtsunsicherheit verbunden ist. Maßgeblich ist, ob im Einzelfall die Drucksituation für den betroffenen Beschäftigten so groß ist, dass nicht mehr von Freiwilligkeit ausgegangen werden kann.391 Dabei spricht die Eingriffsintensität nicht per se gegen die Freiwilligkeit. Das BAG sowie andere Gerichte haben in der Vergangenheit sogar Einwilligungen in Videoüberwachungsmaßnahmen für wirksam erklärt, die im Verhältnis zu Ortungsmaßnahmen eingriffsintensiver sind.392 Freiwillig ist die Einwilligung jedenfalls dann nicht, wenn der Arbeitgeber den Abschluss des Arbeitsvertrags von der Einwilligung in Ortungsmaßnahmen abhängig macht, z. B. indem er die Einwilligung bereits in den Arbeitsvertrag aufnimmt.393 Die Freiwilligkeit fehlt zudem, wenn für den Fall der Verweigerung mit einer Beendigung des Beschäftigungsverhältnisses gedroht wird oder wenn der Beschäftigte aufgrund konkreter Anhaltspunkte davon ausgehen muss, dass die Verweigerung der Einwilligung zu Nachteilen für ihn führt.394 Solche Anhaltspunkte können sich ausdrücklich oder konkludent aus dem Verhalten des Arbeitgebers oder aus dem Bestehen eines gegen den Betroffenen bestehenden Verdachts ergeben. Muss der betroffene Beschäftigte aufgrund konkreter Anhaltspunkte davon

389 LfDI BW, Beschäftigtendatenschutz 2020, S. 37; LfDI NRW, 24. TB 2017–2018, S. 65; ULD SH, TB 2019, S. 103; LfDI TH, 2. TB zum Datenschutz nach der DSGVO 2019, S. 155; so auch Aghamiri, ITRB 2019, 159 (160); a. A. Auer-Reinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 301; nicht eindeutig WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 40 „zweifelhaft“. 390 VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 52–54; LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 1.); ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 56. 391 Vgl. Paal / Pauly / Gräber / Nolden, DSGVO / BDSG, § 26 BDSG Rn. 30. 392 BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017, 443 Rn. 31; OVG Saarlouis, Urt. v. 14. 12. 2017 – 2 A 662/17, ZD 2018, 134 Rn. 51 ff. 393 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 734. 394 Gola, ZD 2012, 308 (309); Roßnagel et al., Mobile Systeme, S. 111 f.

140

3. Kap.: Einfachgesetzlicher Rechtsrahmen

ausgehen, dass die Ortung unabhängig davon durchgeführt wird, ob er einwilligt oder nicht, ist die Freiwilligkeit ebenfalls abzulehnen. Im Hinblick auf die bereits aufgeführten395, von Arbeitgebern regelmäßig mit der Ortung verfolgten Zwecke ergibt sich daraus Folgendes: Dient die Ortung der Aufdeckung einer Straftat oder sonstigen Pflichtverletzung, fehlt die Freiwilligkeit, da die Verweigerung der Einwilligung auf ein Schuldeingeständnis hindeuten würde.396 Darüber hinaus ist aufgrund der besonderen Drucksituation die Freiwilligkeit auch bei Ortungsmaßnahmen zur verdachtslosen Verhaltens- oder Leistungskontrolle zu verneinen.397 Umgekehrt sind Einwilligungen in Ortungsmaßnahmen, die den Schutz des betroffenen Beschäftigten398 oder die Reduzierung der privaten Steuerlast399 bezwecken, nach § 26 Abs. 2 S. 2 BDSG grundsätzlich freiwillig, da Arbeitgeber und Beschäftigter im ersten Fall gleichgelagerte Interessen verfolgen und im zweiten Fall der Beschäftigte einen wirtschaftlichen Vorteil erhält. Diskutiert wird, ob auch in solchen Fällen Freiwilligkeit zu bejahen ist, in denen Arbeitgeber ihren Beschäftigten quasi als Datenhandel für die Einwilligung eine Prämie zahlen.400 Zwar würde Art. 7 Abs. 4 DSGVO einer solchen Fallgestaltung nicht entgegenstehen.401 Der BGH geht aber davon aus, dass das Angebot einer Prämie aufgrund des übermäßigen Anreizes zur Preisgabe von Daten die aus § 26 Abs. 2 S. 2 BDSG folgende Indikation der Freiwilligkeit entkräften kann.402 Dennoch ist denkbar, dass der Beschäftigte die Einwilligung trotz des Anreizes freiwillig erteilt, weil er die mit ihr verbundenen Nachteile willentlich in Kauf nimmt.403 Dieses Argument überzeugt, da durch die Schaffung bloßer Anreize durch Vergünstigungen oder Prämien zwar die Gier des Betroffenen ausgenutzt, dessen Wahlfreiheit aber nicht eingeschränkt wird.404 Das Versprechen einer solchen Prämie steht der Freiwilligkeit der Einwilligung daher nicht entgegen. 395

Siehe oben § 2 B. II. Vgl. Vogel / Glas, DB 2009, 1747 (1748); Maschmann, NZA-Beilage 2012, 50 (55)58 . 397 Vgl. DSK, Videoüberwachung, S. 25 f.; Lurtz, ZD-Aktuell 2020, 06926; Tinnefeld /  Conrad, ZD 2018, 391, 396; dafür dass bei Überwachungsmaßnahmen in der Regel keine Freiwilligkeit vorliegt Auer-Reinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn.  339; WHWS / Byers, Datenschutz im ArbV, B. VIII. Rn. 43; Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 63. 398 BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 47; Taeger / Gabel / Z öll, DSGVO /  BDSG, § 26 BDSG Rn. 81; vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 734; Byers / Wenzel, BB 2017, 2036 (2040). 399 Gola, ZD 2012, 308 (309); Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1265. 400 Vgl. Betz, SPA 2019, 29 (30). 401 Vgl. Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 7 DSGVO Rn. 21; a. A. Art.-29-DSG, WP 259 rev.01, S. 10; FGO / Franzen, EU ArbR, Art. 7 DSGVO Rn. 11. 402 So BGH, Urt. v. 16. 7. 2008 – VIII ZR 348/06, NJW 2008, 3055 Rn. 21; Ernst, ZD 2017, 110 (112); Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 7 DSGVO Rn. 19; weniger streng Grönemeyer, Einwilligung, S.  17 f.; Ehmann / Selmayr / Heckmann / Paschke, DSGVO, Art. 7 Rn. 55; Radlanski, Einwilligung, S. 82–86. 403 Ebenso Grönemeyer, Einwilligung, S. 17 f.; Haase, InTer 2019, 113 (115). 404 So auch Ehmann / Selmayr / Heckmann / Paschke, DSGVO, Art. 7 Rn. 55. 396

§ 6 Anwendung und Modifikation des Maßstabs  

141

Bei Ortungsmaßnahmen zur Einsatzkoordinierung, zur Vereinfachung von Verwaltungsvorgängen oder zum Schutz von Eigentum oder Vermögen liegt grundsätzlich weder ein Indiz in die eine noch in die andere Richtung vor. Deutet im Einzelfall nichts auf Unfreiwilligkeit hin, ist daher von Freiwilligkeit auszugehen. Kein Argument für Freiwilligkeit ist die Abschaltmöglichkeit des Ortungssystems, wenn der Arbeitgeber nachvollziehen kann, wer das System abgeschaltet hat.405 Gegen Freiwilligkeit spricht die Unterzeichnung einer Einwilligungserklärung, mit der der Beschäftigte in die Verarbeitung von Positionsdaten zu mehreren Ortungszwecken einwilligt, ohne dass er zwischen den einzelnen Zwecken differenzieren kann.406 d) Wirksamkeit der Einwilligung unabhängig von Verhältnismäßigkeit Ist die Einwilligung freiwillig erteilt worden, stellt sich die Folgefrage nach den objektiven Grenzen einer Einwilligung. Sind der Privatautonomie zum Schutz des Betroffenen Grenzen zu setzen oder kann ein Beschäftigter in eine Ortung einwilligen, die mangels Verhältnismäßigkeit nicht nach § 26 Abs. 1 BDSG oder aufgrund einer Kollektivvereinbarung zulässig wäre? Das ist umstritten.407 Die Grenze ist erst dort zu ziehen, wo ein gesetzliches Verbot (§ 134 BGB) oder von der Rechtsprechung entwickelte Grundsätze entgegenstehen oder die Datenverarbeitung zu einer Verletzung der unverfügbaren Menschenwürde führen würde.408 Unterhalb dieser Grenze ist eine Einschränkung der Privatautonomie nicht zu rechtfertigen.409 Dafür spricht zum einen der Wortlaut der DSGVO, die in Art. 7 DSGVO umfassend die formalen und prozessualen Bedingungen für die Einwilligung regelt, aber weder in Art. 7 noch in Art. 6 Abs. 1 lit. a) Verhältnismäßigkeit fordert. Der Unionsgesetzgeber stellt in Art. 6 Abs. 1 lit. a) DSGVO anders als in Art. 6 Abs. 1 lit. b)–f) DSGVO gerade kein Erforderlichkeitsgebot auf. Könnte nur in verhältnismäßige Datenverarbeitungen eingewilligt werden, wäre der Erlaubnistatbestand 405

In diese Richtung aber Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1264. Art.-29-DSG, WP 259 rev.01, S. 11; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 517. 407 Gegen eine Verhältnismäßigkeitsprüfung Buchner, DuD 2010, 39 (43); Kühling / Heberlein, NVwZ 2016, 7 (11); BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 47; SHS /  Schantz, Datenschutzrecht, Art. 49 DSGVO Rn. 19; Veil, NJW 2018, 3337 (3343); anders Kramer / Fuhlrott, IT-Arbeitsrecht, B. Rn. 463; Däubler, Gläserne Belegschaften, Rn. 323; Jordan / Bissels / L öw, BB 2008, 2626 (2627); wohl auch VG Saarlouis Urt. v. 29. 1. 2016 – 1 K 1122/14, ZD 2016, 549 Rn. 67; diff. Gola / Pötters / Wronka, AN-Datenschutz 2016, Rn. 420; wohl dafür Schläger / T hode / Schmidt, HdB Datenschutz und IT, C. Rn. 244; vgl. § 32l BDSGE, BT-Drs. 17/4230, 10. 408 So auch Grönemeyer, Einwilligung, S. 33 f.; Thüsing / T hüsing / Traut, Beschäftigtendatenschutz, § 5 Rn. 31 ff.; in diese Richtung auch v. Lewinski, Matrix des Datenschutzes, S. 53 f. 409 Ähnl. SHS / Schantz, Datenschutzrecht, Art. 49 DSGVO Rn. 19; Buchner, DuD 2010, 39 (43); Arbeitgeber verstoßen allerdings gegen § 2 Abs. 1 BetrVG, wenn sie versuchen, eine über den in einer Kollektivvereinbarung festgelegten Umfang hinausgehende Datenverarbeitung durch eine Einwilligung zu legitimieren, so Gola, RDV 2002, 109 (116). 406

142

3. Kap.: Einfachgesetzlicher Rechtsrahmen

der Einwilligung gegenüber Art. 6 Abs. 1 lit. f) DSGVO überflüssig, da formal ein Mehraufwand bestünde, ohne dass materiell weniger strenge Voraussetzungen gelten würden. Beachtlich ist auch, dass nach Art. 9 Abs. 2 lit. a) DSGVO selbst in die Verarbeitung besonderer Kategorien von Daten, die nach Art. 9 Abs. 1 DSGVO grundsätzlich nicht verarbeitet werden dürfen, ohne zusätzliche inhaltliche Einschränkungen eingewilligt werden kann. Das entscheidende Argument folgt schließlich aus dem Telos der Einwilligung. Zweck der Einwilligung ist es, dem Betroffenen die Möglichkeit zu geben, gemäß seiner Risikobereitschaft und seinen Präferenzen eine Datenverarbeitung zu erlauben.410 Wird ihm diese Entscheidungsmöglichkeit abgesprochen, wird er in seinem Recht auf informationelle Privatheit eingeschränkt.411 Dafür besteht kein Bedürfnis, da der Betroffene über das Kriterium der Freiwilligkeit und die formalen und prozessualen Bedingungen der Einwilligung (insbesondere die Bestimmtheit und Informiertheit412) ausreichend geschützt werden kann, sodass der Betroffene weiß, worauf er sich einlässt.413 Für eine Vielzahl von Verträgen vorformulierte Einwilligungserklärungen sind jedoch an §§ 305 ff. BGB zu messen.414 Zudem gilt, je nachteiliger die Datenverarbeitung für den Einwilligenden ist, desto strengere Anforderungen sind an die Freiwilligkeit zu stellen.415 4. Verhältnis der Erlaubnistatbestände zueinander Nach zutreffender herrschender Ansicht stehen die datenschutzrechtlichen Erlaubnistatbestände gleichrangig nebeneinander.416 Damit hat der Arbeitgeber grundsätzlich die Wahl, ob er die Ortung von Beschäftigten auf § 26 Abs. 1 S. 1, 2 BDSG, eine Kollektivvereinbarung oder eine Einwilligung stützt. Er kann auch gleichzeitig mehrere dieser Erlaubnistatbestände heranziehen. Insbesondere kann ein Arbeitgeber die Ortung auf eine Einwilligung stützen, auch wenn ein gesetzlicher Erlaubnistatbestand greift.417 410

So auch Kühling / Heberlein, NVwZ 2016, 7 (11); SHS / Schantz, Datenschutzrecht, Art. 49 DSGVO Rn. 19. 411 Buchner, DuD 2010, 39 (43); Haase, InTer 2019, 113 (115). 412 Dazu oben § 6 C. II. 3. a). 413 Vgl. EG 42 S. 2 DSGVO. 414 So auch BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 38 m. w. N. 415 Vgl. die Ausführungen oben § 6 C. II. 3. b). 416 H.  M., Kühling / Buchner / B uchner / Petri, DSGVO / BDSG, Art. 6 Rn. 22; Krusche, ZD 2020, 232 (233 f.); Plath, DSGVO / BDSG, Art.  6 DSGVO Rn.  5; Gola / Heckmann / Schulz, DSGVO / BDSG, Art.  6 DSGVO Rn.  10; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 475; für einen Vorrang der Einwilligung Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 6 DSGVO Rn. 10; Roßnagel / Pfitzmann / Garstka, Datenschutzrecht, S. 72; diff. SHS / Schantz, Datenschutzrecht, Art. 6 DSGVO Rn. 11; unklar EDSA, Leitlinien 5/2020, Rn. 121–123; noch zur DSRL EuGH, Urt. v. 9. 3. 2017 – C-398/15, ECLI:EU:C:2017:197 Rn. 42 – Manni. 417 Vgl. Kühling / Buchner / Buchner / Kühling, DSGVO / BDSG, Art. 7 Rn. 17; Krusche, ZD 2020, 232 (233–235); a. A. wohl Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 6 DSGVO Rn. 10.

§ 6 Anwendung und Modifikation des Maßstabs  

143

Greift ein Erlaubnistatbestand nicht mehr, ist die weitere Datenverarbeitung zulässig, wenn der Arbeitgeber sich stattdessen auf eine neue, gegebenenfalls andere Rechtsgrundlage stützen kann.418 Dabei ist umstritten, ob der Widerruf einer Einwilligung den Rückgriff auf einen anderen Erlaubnistatbestand sperrt. Die Vertreter einer Sperrwirkung halten einen solchen Rückgriff für missbräuchlich, da dem Betroffenen mit der Einholung der Einwilligung signalisiert worden sei, dass es für die Zulässigkeit der Datenverarbeitung auf sein Einverständnis ankomme.419 In differenzierender Weise wird vertreten, dass die Datenverarbeitung nach Widerruf der Einwilligung nur auf einen anderen Erlaubnistatbestand gestützt werden darf, wenn der Betroffene von vornherein darauf hingewiesen wurde, dass die Datenverarbeitung neben der Einwilligung auch auf diesen „neuen“ Erlaubnistatbestand gestützt wird.420 Nach der weitestgehenden Ansicht kann die Datenverarbeitung bei Unwirksamkeit oder Widerruf der Einwilligung auf einen anderen Erlaubnistatbestand gestützt werden, ohne dass von vornherein über diese Rechtsgrundlage informiert werden musste.421 Ausreichend sei, dass der Verantwortliche den Betroffenen nach Art. 12 ff. DSGVO über die Fortsetzung der Verarbeitung informiert.422 Die letztgenannte Auffassung überzeugt. Art. 17 Abs. 1 lit. b)  DSGVO sieht ausdrücklich vor, dass eine Datenverarbeitung im Fall des Widerrufs einer Einwilligung auf eine andere Rechtsgrundlage gestützt werden kann.423 Der Verantwortliche verhält sich nicht widersprüchlich, solange er nicht aktiv den Eindruck vermittelt hat, dass bei Widerruf der Einwilligung keine weitere Datenverarbeitung erfolgt.424 Richtig ist, dass durch die ursprüngliche Einholung einer Einwilligung auf Seiten des Betroffenen der Eindruck entstanden sein kann, dass die Zulässigkeit der Datenverarbeitung von seinem Einverständnis abhängt. Dieser Eindruck rechtfertigt es jedoch nicht, dem Verantwortlichen eine nach Art. 6 Abs. 1 DSGVO erlaubte Datenverarbeitung zu untersagen.425 Ausreichend ist, dass der Verantwortliche vor dem Wechsel auf den „neuen“ Erlaubnistatbestand hinweist.426 Vom Verantwortlichen zu verlangen, bereits bei Einholung der Einwilligung auf alle in Be 418

Vgl. Krusche, ZD 2020, 232 (234 – 236). EDSA, Leitlinien 5/2020, Rn. 121–123; DSK, Kurzpapier Nr. 20, S. 3; Engeler, ZD 2018, 55 (58); Uecker, ZD 2019, 248 (249); diff. Schneider, CR 2017, 568 (571 ff.). 420 Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 Rn. 18; HeidelbergKom / Schwartmann /  Klein, Art. 6 DSGVO Rn. 8; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 475; zurückhalt. SHS / Schantz, Datenschutzrecht, Art. 6 DSGVO Rn. 89 u. Gola / Heckmann / Schulz, DSGVO /  BDSG, Art. 6 DSGVO Rn. 12. 421 Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 48; Veil, NJW 2018, 3337 (3342). 422 Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 48. 423 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 11; Krusche, ZD 2020, 232 (235). 424 BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 25; ähnl. Krusche, ZD 2020, 232 (235). 425 So auch Krusche, ZD 2020, 232 (235); Veil, NJW 2018, 3337 (3342). 426 So auch Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 48; Veil, NJW 2018, 3337, 3342; a. A. Kühling / Buchner / dies., DSGVO / BDSG, Art. 7 Rn. 18. 419

144

3. Kap.: Einfachgesetzlicher Rechtsrahmen

tracht kommenden Rechtsgrundlagen hinzuweisen, nimmt ihm Flexibilität, ohne dass diese Einschränkung durch einen signifikant erhöhten Datenschutz auf Seiten des Betroffenen ausgeglichen ist. Vielmehr besteht das Risiko, dass der Betroffene den Überblick über die angewandte Rechtsgrundlage verliert.427 Der Widerruf der Einwilligung ist als Abwägungsfaktor im Rahmen der Inte­ ressenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO zu berücksichtigen.428 Allerdings kann die Datenverarbeitung bei Widerruf der Einwilligung nur auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden, wenn die Voraussetzungen des Widerspruchrechts aus Art. 21 Abs. 1 S. 1 DSGVO nicht vorliegen, da der Widerruf der Einwilligung grundsätzlich zugleich als Widerspruch i. S. v. Art. 21 DSGVO zu verstehen ist.429 III. Bedürfnis eines neuen Erlaubnistatbestands bei zweckändernder Weiterverarbeitung von Beschäftigten-Positionsdaten 1. Ausgangssituation Nach dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) HS. 1 DSGVO muss eine Verarbeitung personenbezogener Daten stets an einen festgelegten und eindeutigen Zweck gekoppelt sein. Dieser Zweck legitimiert die Datenverarbeitung.430 Daher steht die Legitimation in Frage, wenn sich der Verarbeitungszweck ändert und die verantwortliche Stelle die zu einem bestimmten Zweck erhobenen Daten bei fortbestehendem Personenbezug zu einem anderen Zweck weiterverarbeitet. Zweckändernde Weiterverarbeitungen kommen im Rahmen von Ortungsmaßnahmen an zwei Stellen in Betracht. Zum einen kann eine zweckändernde Weiterverarbeitung von Daten überhaupt erst zur Erhebung von Beschäftigten-Positionsdaten führen. Ein Beispiel ist die Verarbeitung von zur Steigerung der Verkehrssicherheit mittels Tachographen erhobenen Geschwindigkeitsdaten zur Aufdeckung eines Arbeitszeitbetrugs. Die mithilfe des Tachographen gewonnenen Daten sind keine Positionsdaten, aus ihnen können bei zweckändernder Weiterverarbeitung mithilfe von Zusatzwissen aber Positionsdaten gewonnen werden.431 Zum anderen gibt es Konstellationen, in denen der Arbeitgeber zu einem bestimmten Ortungszweck erhobene Beschäftigten-Positionsdaten zu einem anderen Zweck 427

Vgl. EDSA, Leitlinien 2/2019, Rn. 20. Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 11; Härting / G össling /  Dimov, ITRB 2017, 169 (171); Tavanti, RDV 2016, 231 (234); Veil, NJW 2018, 3337 (3342); a. A. Krusche, ZD 2020, 232 (235). 429 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 21 DSGVO Rn. 3; SHS / Schantz, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 89; a. A. Krusche, ZD 2020, 232 (235). 430 So auch Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 DSGVO Rn. 23; SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 92. 431 Zum Einsatz von Tachographen WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 11 f. 428

§ 6 Anwendung und Modifikation des Maßstabs  

145

weiterverarbeitet. Beispielsweise werden zur Abrechnung gegenüber einem Kunden erhobene Positionsdaten im Nachhinein zur Leistungskontrolle verwendet. Diese Konstellation soll im Folgenden im Fokus stehen. Unter welchen Voraussetzungen darf ein Arbeitgeber Beschäftigten-Positionsdaten zu einem anderen als dem Erhebungszweck weiterverarbeiten?432 Voraussetzung für eine Zweckänderung i. S. v. Art. 6 Abs. 4 DSGVO ist, dass personenbezogene Daten mit fortbestehendem Personenbezug weiterverarbeitet werden.433 Ob überhaupt eine Zweckänderung vorliegt, hängt davon ab, wie spezifisch und eng umgrenzt der ursprüngliche Erhebungszweck ist.434 Erfolgte die Datenerhebung zur Aufdeckung eines Arbeitszeitbetrugs, liegt eine Zweckänderung vor, wenn die Positionsdaten anschließend zur Aufdeckung eines Spesenbetrugs weiterverarbeitet werden. Anders liegt der Fall, wenn der Arbeitgeber allgemeiner darauf verwiesen hat, dass Positionsdaten zur Aufklärung von Inventurdifferenzen erhoben werden. Hat der Arbeitgeber bei der Erhebung auf eine Verarbeitung zu mehreren konkret benannten Zwecken hingewiesen, liegt im Fall eines Umschwenkens innerhalb dieser Zwecke keine Zweckänderung vor.435 Danach liegt keine Zweckänderung vor, wenn Arbeitgeber zum Schutz von Eigentum oder Vermögen oder zur Compliance-Kontrolle präventiv erhobene Positionsdaten im Fall eines „Treffers“ (z. B. wenn ein Beschäftigter das Dienstfahrzeug entgegen des Verbots privat nutzt) repressiv weiterverarbeitet. In diesen Fällen war die Ortung von Anfang an darauf ausgerichtet, auf potentielle „Treffer“ zu reagieren. Weiter ist zu beachten, dass eine zweckändernde Weiterverarbeitung von Positionsdaten nur in manchen Fällen zielführend ist. Eine Verarbeitung von Positionsdaten zur Einsatzkoordinierung, zur Sicherheit der Beschäftigten oder zum Schutz von Eigentum oder Vermögen ist nur zielführend, wenn die Daten bereits zu diesen Zwecken erhoben wurden. Das liegt daran, dass in diesen Fällen aktuelle Positionsdaten zur Zielerreichung benötigt werden. Eine nachträgliche Weiterverarbeitung kommt also nur zur Vereinfachung von Verwaltungsvorgängen, zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen oder zur Verhaltens- oder Leistungskontrolle in Betracht. 2. Rechtfertigung durch Einwilligung oder gesetzliche Erlaubnis Nach Art. 6 Abs. 4 DSGVO ist eine Weiterverarbeitung zu einem anderen als dem Erhebungszweck zulässig, wenn (1) der Betroffene in die Weiterverarbeitung eingewilligt hat, (2) die Weiterverarbeitung aufgrund einer europäischen oder na 432 Vgl. dazu DSK, Kurzpapier Nr. 14, S. 3 f.; Gola / Jaspers, RDV 2018, 145 ff.; Grau, in: FS Willemsen, S. 150–152. 433 So auch Hornung / Wagner, ZD 2020, 223 (226 f.). 434 Vgl. Art.-29-DSG, WP 203, S. 25; Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 138; Reinhard, SPA 2019, 173 (174). 435 Vgl. Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 164.

146

3. Kap.: Einfachgesetzlicher Rechtsrahmen

tionalen Rechtsvorschrift erfolgt, die den Zielen von Art. 23 DSGVO dient, oder (3) der andere Zweck mit dem Zweck der Erhebung vereinbar ist. Im Hinblick auf eine Weiterverarbeitung auf Grundlage einer unionsrecht­lichen oder nationalen Vorschrift ist umstritten, ob Art. 6 Abs. 4 DSGVO eine Öffnungsklausel ist436 oder ob die Norm es lediglich gestattet, Weiterverarbeitungen auf mitgliedstaatliche Regelungen zu stützen, die gem. der Öffnungsklauseln437 in Art. 6 Abs. 2 und 3 DSGVO zur Konkretisierung der Erstverarbeitung nach Art. 6 Abs. 1 lit. c)  und  e)  DSGVO geschaffen wurden438. Der deutsche Gesetzgeber versteht Art. 6 Abs. 4 DSGVO als Öffnungsklausel und hat mit §§ 23, 24 BDSG den eröffneten „Regelungsspielraum“439 genutzt. Die beiden Vorschriften bieten Rechtsgrundlagen für zweckändernde Weiterverarbeitungen durch öffentliche (§ 23 BDSG) und nichtöffentliche (§ 24 BDSG) Stellen. Diese Vorschriften könnten hier relevant werden, da sie eine Zweckänderung zulassen, wenn die Verarbeitung zur Verfolgung von Straftaten (§ 23 Abs. 1 Nr. 4, § 24 Abs. 1 Nr. 1 BDSG) oder zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche (§ 24 Abs. 2 Nr. 2 BDSG) erforderlich ist, sofern jeweils nicht die Interessen der betroffenen Person am Ausschluss der Verarbeitung überwiegen. Damit wäre insbesondere der Fall abgedeckt, dass ein Arbeitgeber zu anderen Zwecken erhobene Beschäftigten-Positionsdaten zur Aufdeckung einer Straftat verwendet und in einem Prozess gegen diesen Beschäftigten verwendet. Autoren, die Art. 6 Abs. 4 DSGVO nicht als Öffnungsklausel verstehen440, halten § 24 BDSG oder jedenfalls § 24 Abs. 1 Nr. 2 BDSG für unionsrechtswidrig, da die Norm nicht auf Art. 6 Abs. 1 lit. c) oder e) DSGVO i. V. m. Art. 6 Abs. 2 und 3 DSGVO gestützt werden könne.441 Letztere Ansicht überzeugt, da Art. 6 Abs. 4 DSGVO sich auf Zweckänderungen nach Art. 6 Abs. 1 DSGVO unter Berücksichtigung von Art. 6 Abs. 2 und 3 DSGVO bezieht. In diese Richtung geht auch die Rechtsprechung des BVerwG442, während der BGH § 24 BDSG als wirksam ansieht443. Im Ergebnis kann der Streit an dieser Stelle dahinstehen, da § 26 Abs. 1 S. 2 BDSG 436

So Culik / Döpke, ZD 2017, 226 (229); Monreal, ZD 2016, 507 (511); SHS / Roßnagel, Datenschutzrecht, Art. 6 Abs. 4 DSGVO Rn. 24; Taeger / Gabel / Taeger, DSGVO / BDSG, Art.  6 DSGVO Rn. 167; Ziegenhorn / von Heckel, NVwZ 2016, 1585 (1590 f.). 437 Statt aller Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 194– 198. 438 BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 112; Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art.  6 DSGVO Rn.  199 f.; Ehmann / Selmayr / Heberlein, DSGVO, Art.  6 Rn.  51; Kühling / Buchner / Herbst, DSGVO / BDSG, § 24 BDSG Rn. 13. 439 BT-Drs. 18/11325, 96. 440 Kühling / Buchner / Herbst, DSGVO / BDSG, Art.  6 DSGVO Rn.  199 f.; Sydow / Marsch /  Reimer, DSGVO, Art. 6 Rn. 93; a. A. SHS / Roßnagel, Datenschutzrecht, Art. 6 Abs. 4 DSGVO Rn. 2. 441 Schwichtenberg, Datenschutz, S. 75–77; nur § 24 Abs. 1 Nr. 2 BDSG für unwirksam haltend Kühling / Buchner / Herbst, DSGVO / BDSG, § 24 BDSG Rn. 13; ähnl. Taeger / Gabel / Rose, DSGVO / BDSG, § 24 BDSG Rn. 12. 442 BVerwG, Urt. v. 27. 9. 2018 – 7 C 5/17, NVwZ 2019 Rn. 27. 443 BGH, Beschl. V. 24. 9. 2019 – VI ZB 39/18, NJW 2020, 536 Rn. 35–39.

§ 6 Anwendung und Modifikation des Maßstabs  

147

ohnehin die (Weiter-)Verarbeitung personenbezogener Daten zur Aufklärung von Straftaten unter den dort genannten Voraussetzungen erlaubt.444 Insofern dient § 26 Abs. 1 S. 2 BDSG dem Schutz der in Art. 23 Abs. 1 lit. d) und j) DSGVO genannten Ziele und ist damit eine Rechtsvorschrift i. S. v. Art. 6 Abs. 4. Der Begriff der Verarbeitung in § 26 Abs. 1 BDSG umfasst sowohl die Erhebung neuer Daten als auch die Auswertung vorhandener Daten.445 Wichtig ist allerdings die Einhaltung der Informationspflichten aus Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO.446 3. Rechtfertigung durch Vereinbarkeit der Zwecke? a) Vereinbarkeit der Zwecke nur bei zweckändernder Weiterverarbeitung zur Vereinfachung von Verwaltungsvorgängen Lässt sich die zweckändernde Weiterverarbeitung weder auf eine Einwilligung noch auf § 26 Abs. 1 S. 2 BDSG oder eine andere unionsrechtliche oder nationale Vorschrift stützen, die den Zielen von Art. 23 DSGVO dient, ist eine Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO nur zulässig, wenn der neue Zweck mit dem Erhebungszweck vereinbar ist. Bei der Beurteilung, ob die Zwecke vereinbar sind, sind die in Art. 6 Abs. 4 DSGVO genannten Kriterien heranzuziehen (Kompatibilitätsprüfung). Zudem bestimmt Art. 5 Abs. 1 lit. b) HS. 2 DSGVO, dass eine Weiterverarbeitung für einzelne näher benannte im öffentlichen Interesse liegende Zwecke nicht als mit dem ursprünglichen Zweck unvereinbar gilt. Besteht auch keine Vereinbarkeit der Zwecke, müssen die Daten neu erhoben werden.447 Die bereits genannten448, von Arbeitgebern typischerweise verfolgten Ortungszwecke sind grundsätzlich nicht mit dem Zweck der Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall oder der verdachtslosen Verhaltens- oder Leistungskontrolle vereinbar.449 Anderes gilt – wie oben bereits ausgeführt – für den Übergang von zum Schutz von Eigentum oder Vermögen oder zur Compliance-Kontrolle präventiv erhobenen Positionsdaten zu einer repressiven Weiterverarbeitung im Fall eines „Treffers“, da in diesen Fällen bereits keine Zweckänderung vorliegt. 444

Vgl. Gola / Jaspers, RDV 2018, 145 (149). Gola / Jaspers, RDV 2018, 145 (149). 446 Vgl. EG 50 S. 8 der DSGVO; Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 148. 447 Statt aller Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 412; für einen Rückgriff auf die bereits erhobenen Daten, wenn für die Neuerhebung ein Erlaubnistatbestand besteht GSSV /  Assion / Nolte / Veil, DSGVO, Art. 6 Rn. 201 ff.; Gola / Heckmann / Schulz, DSGVO / BDSG, Art.  6 DSGVO Rn. 217; dagegen Art.-29-DSG, WP 203, S. 36; Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 185. 448 Siehe oben § 2 B. II. 449 DWWS / Wedde, § 26 BDSG Rn. 131 zieht eine zweckändernde Weiterverarbeitung zur Aufdeckung von Straftaten in Betracht. 445

148

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Nach Art. 6 Abs. 4 lit. a) DSGVO ist bei der Beurteilung der Vereinbarkeit jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung zu berücksichtigen. Ist die weitere Datenverarbeitung der „logische nächste Schritt“ im Verarbeitungsprozess?450 Je enger die Zwecke denklogisch miteinander verknüpft sind, desto eher hat der Betroffene mit der Weiterverarbeitung zu rechnen.451 Zudem ist nach Art. 6 Abs. 4 lit. b) DSGVO der Zusammenhang zu berücksichtigen, in dem die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen dem Betroffenen und dem Verantwortlichen. Herrscht zwischen Betroffenem und Verantwortlichem ein Gleichgewicht der Entscheidungsfreiheit oder ein Abhängigkeitsverhältnis?452 War die Weiterverarbeitung für den Betroffenen vor diesem Hintergrund vernünftigerweise erwartbar?453 Nach Art. 6 Abs. 4 lit. c) DSGVO ist darüber hinaus die Art der personenbezogenen Daten einzubeziehen. Je schutzwürdiger die Daten sind, desto eher besteht Unvereinbarkeit.454 Schließlich fordert Art. 6 Abs. 4 lit. d)  DSGVO, dass die möglichen Folgen der beabsichtigten Weiterverarbeitung für den Betroffenen einbezogen werden. Wie sind Eintrittswahrscheinlichkeit und Schwere der drohenden Beeinträchtigungen für den Betroffenen zu beurteilen?455 Bewirkt die Weiterverarbeitung für den Betroffenen in erster Linie negative Folgen, ist die Vereinbarkeit tendenziell abzulehnen.456 Art. 6 Abs. 4 lit. e) DSGVO bezieht schließlich auch das Vorhandensein von Schutzvorkehrungen in die Beurteilung mit ein. Werden Risiken durch Schutzmechanismen wie Verschlüsselung oder Pseudonymisierung von Daten verringert?457 Zunächst ist festzuhalten, dass die Weiterverarbeitung zu den genannten Zwecken (Aufdeckung einer Straftat oder sonstigen Pflichtverletzung im Verdachtsfall oder verdachtslose Verhaltens- oder Leistungskontrolle) im Verhältnis zu keinem der Erhebungszwecke der „logische nächste Schritt“ im Verarbeitungsprozess ist, sondern isoliert daneben steht. Der Umstand, dass Beschäftigte aufgrund der existenziellen Bedeutung eines Arbeitsplatzes typischerweise in einem von strukturellem Ungleichgewicht geprägten Abhängigkeitsverhältnis zum Arbeitgeber stehen458, spricht ebenfalls gegen eine Vereinbarkeit der Zwecke.459 Während der 450

Art.-29-DSG, WP 203, S. 23 f.; zust. Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 187. 451 Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 187; Monreal, ZD 2016, 507 (510). 452 Ehmann / Selmayr / Herblein, DSGVO, Art. 6 Rn. 56; Monreal, ZD 2016, 507 (511). 453 EG 50 S. 6 der DSGVO; Ehmann / Selmayr / Herblein, DSGVO, Art. 6 Rn. 56. 454 Pauly / Frenzel, DSGVO / BDSG, Art. 6 DSGVO Rn. 49. 455 Ehmann / Selmayr / Heberlein, DSGVO, Art. 6 Rn. 59. 456 Art.-29-DSG, WP 203, S. 26; zust. Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 190. 457 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 141; Monreal, ZD 2016, 507 (511). 458 Vgl. Art.-29-DSG, WP 248 rev.01, S. 12. 459 Vgl. Art.-29-DSG, WP 203, S. 56; Ehmann / Selmayr / Herblein, DSGVO, Art. 6 Rn. 56.

§ 6 Anwendung und Modifikation des Maßstabs  

149

Arbeitszeit erhobene Positionsdaten sind nicht besonders schutzwürdig, da sie nur eingeschränkt Aufschluss über private Umstände geben können.460 Anderes gilt für außerhalb der Arbeitszeit erhobene Positionsdaten. Zudem bringt sowohl die Weiterverarbeitung zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen als auch die Weiterverarbeitung zur Verhaltens- und Leistungskontrolle in erster Linie negative Folgen für den betroffenen Beschäftigten mit sich.461 Dem kann im Ergebnis auch nicht dadurch abgeholfen werden, dass besondere Schutzvorkehrungen wie eine Pseudonymisierung vorhanden sind. Anderes gilt bei einer Weiterverarbeitung zur Vereinfachung von Verwaltungsvorgängen. Zwar sprechen auch hier zumindest die in Art. 6 Abs. 4 lit. a)  und b) DSGVO genannten Kriterien gegen eine Vereinbarkeit der Zwecke. Allerdings ist eine Weiterverarbeitung zur Vereinfachung von Verwaltungsvorgängen (z. B. Abrechnung gegenüber Kunden) nicht darauf ausgerichtet, Konsequenzen für den Betroffenen herbeizuführen. Das ist der entscheidende Unterschied, der eine Vereinbarkeit der Zwecke rechtfertigen kann. Daher kommt z. B. auch eine Weiterverarbeitung zum Beweis gegenüber der Versicherung im Fall eines Unfalls in Betracht. Das gilt insbesondere, wenn die Daten pseudonymisiert weiterverarbeitet werden. b) Weiterverarbeitung bedarf eines eigenen Erlaubnistatbestands Umstritten ist, ob der die Datenerhebung legitimierende Erlaubnistatbestand im Fall der Vereinbarkeit der Zwecke auch die zweckändernde Weiterverarbeitung legitimiert. Mit anderen Worten: Kann ein Arbeitgeber z. B. zur Leistungskontrolle erhobene Beschäftigten-Positionsdaten nach positiver Kompatibilitätsprüfung i. S. v. Art. 6 Abs. 4 DSGVO zur Abrechnung gegenüber Kunden verwenden und sich dabei auf den ursprünglichen, die Datenerhebung zur Leistungskontrolle legitimierenden Erlaubnistatbestand stützen oder ist für die Weiterverarbeitung zu Verwaltungszwecken ein neuer Erlaubnistatbestand (§ 26 Abs. 1 S. 1, 2 BDSG, Kollektivvereinbarung oder Einwilligung) notwendig? Festzuhalten ist, dass die Weiterverarbeitung – wie jede Datenverarbeitung – dem Verbot mit Erlaubnisvorbehalt unterliegt und daher eines Erlaubnistatbestands bedarf.462 Die Ansicht, die den bisherigen Erlaubnistatbestand für ausreichend hält463, geht davon aus, dass bei

460

Vgl. BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1340) – GPS-Observation; Besgen / P rinz / Stümper, Arbeiten 4.0, § 5 Rn. 39. 461 Art.-29-DSG, WP 203, S. 56. 462 DSK, Erfahrungsbericht 2019, S. 13; Ehmann / Selmayr / Heberlein, DSGVO, Art. 5 Rn. 19. 463 Culik / Döpke, ZD 2017, 226 (230); FGO / Franzen, EU ArbR, Art. 6 DSGVO Rn. 14; Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 DSGVO Rn. 31; Härting, DSGVO, Rn. 515 f.; Monreal, ZD 2016, 507 (510); SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 98; Gola / Heckmann / Schulz, DSGVO / BDSG, Art.  6 DSGVO Rn.  142 ff.; Taeger / Gabel / Taeger, DSGVO / BDSG, Art.  6 DSGVO Rn.  169; Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 411.

150

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Vereinbarkeit der Zwecke bereits keine Zweckänderung vorliegt464 oder begründet diesen Standpunkt mit dem Willen des Gesetzgebers, die Weiterverarbeitung im Fall kompatibler Zwecke zu erleichtern465. Die Gegenansicht nimmt bei jeder Weiterverarbeitung zu einem anderen Zweck unabhängig von der Vereinbarkeit der Zwecke eine Zweckänderung an, die nur zulässig sei, wenn ein „eigener“ Erlaubnistatbestand bestehe und insofern eine Rückkopplung an den ursprünglichen Verarbeitungszweck vorliege, als dass die Zwecke vereinbar seien.466 Überzeugend ist die Ansicht, die für die Weiterverarbeitung eine eigene Rechtsgrundlage fordert. Für die Gegenansicht spricht zwar der Wortlaut von Erwägungsgrund 50 S. 2 DSGVO, wonach bei Vereinbarkeit der Zwecke „keine andere gesonderte Rechtsgrundlage erforderlich [ist,] als diejenige für die Erhebung der personenbezogenen Daten“.467 Die Entstehungsgeschichte der DSGVO spricht jedoch dafür, Erwägungsgrund 50 S. 2 DSGVO als Redaktionsversehen zu werten.468 Vor allem aber würde dieses Verständnis nicht nur einer grundrechtskonformen Auslegung widersprechen, sondern innerhalb der Systematik der DSGVO einen Systembruch bewirken.469 Wäre keine eigene Rechtsgrundlage erforderlich, könnten personenbezogene Daten zu einem Zweck weiterverarbeitet werden, zu dem sie nicht nach Art. 6 Abs. 1 DSGVO zulässig hätten erhoben werden können.470 Eine solche Erweiterung der Verarbeitungsmöglichkeiten über Art. 6 Abs. 1 DSGVO entspricht nicht dem Telos von Art. 6 Abs. 4 DSGVO471 und kann argumentativ nicht ausschließlich auf einen Erwägungsgrund ohne Normqualität gestützt werden472. Sinn der Kompatibilitätsprüfung ist es, auch durch andere Erlaubnistatbestände als Art. 6 Abs. 1 lit. a), c) und e) DSGVO eine zweckändernde Weiterverarbeitung zu ermöglichen, sofern der neue Zweck so eng mit dem ursprünglichen Zweck zusammenhängt, dass die Weiterverarbeitung gerechtfertigt ist. Der Vorteil liegt nicht darin, dass keine eigenständige Rechtsgrundlage vorgewiesen werden muss, sondern darin, dass die Weiterverarbeitung auch auf Art. 6 Abs. 1 lit. b), 464 So SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 97; Roßnagel / Nebel / Richter, ZD 2015, 455 (457); a. A. Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 142. 465 SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 99; ähnl. Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 142 ff. 466 DSK, Erfahrungsbericht 2019, S. 13 f.; Art.-29-DSG, WP 203, S. 27 u. 36; BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 107 f.; Albrecht / Jotzo, Datenschutzrecht, 3.  Rn.  54; Ehmann / Selmayr / Heberlein, DSGVO, Art. 5 Rn. 19 f.; Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 29 und 48 ff.; Schantz, NJW 2016, 1841 (1844). 467 Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 411. 468 Schantz, NJW 2016, 1842 (1844); Kühling / Buchner / Herbst, DSGVO / BDSG, Art.  5 DSGVO Rn. 49 m. w. N.; a. A. Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 142. 469 Kühling / Buchner / Herbst, DSGVO / BDSG, Art.  5 DSGVO Rn.  49; Ehmann / Selmayr /  Heberlein, DSGVO, Art. 5 Rn. 19; vgl. auch EG 50 S. 8 DSGVO. 470 Ähnl. Schantz, NJW 2016, 1842 (1844). 471 Kühling / Buchner / Herbst, DSGVO / BDSG, Art.  5 DSGVO Rn.  49; Ehmann / Selmayr /  Heberlein, DSGVO, Art. 5 Rn. 19; a. A. SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 99. 472 In diese Richtung Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 48.

§ 6 Anwendung und Modifikation des Maßstabs  

151

d) und f) DSGVO gestützt werden kann, ohne dass die Daten neu erhoben werden müssen.473 Das wirkt sich vor allem aus, wenn Daten faktisch nicht neu erhoben werden können (wie z. B. sich verändernde Positionsdaten).

D. ePrivacy-Vorgaben als lex specialis? Auf Unionsebene wird zwischen allgemeinen Regelungen zum Datenschutz und speziellen Regelungen zum Datenschutz in der elektronischen Kommunikation differenziert. Letzteres wird durch die ePrivacy-Richtlinie (ePrivacy-RL)474 geregelt, die durch eine ePrivacy-Verordnung (ePrivacy-VO475) abgelöst werden soll. Nach Art. 95 DSGVO sind nationale Gesetze, welche die ePrivacy-RL umsetzen, als lex specialis gegenüber der DSGVO vorrangig anwendbar, soweit die Vorgaben der ePrivacy-RL sich mit den Zielen der DSGVO decken und die Datenverarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste steht.476 Die im Rahmen von Ortungsmaßnahmen erfolgenden Positionsbestimmungen477 tangieren den Bereich der elektronischen Kommunikation. Im Fall einer clientbasierten Ortung greift die zur Positionsbestimmung genutzte Software auf die GPS-Funktion und die auf der Endeinrichtung berechnete geografische Position des dem Beschäftigten zur Verfügung gestellten Endgeräts zu. Bei einer serverbasierten Ortung erhebt die zur Positionsbestimmung genutzte Software die von der Endeinrichtung zur Verbindung mit anderen Geräten oder Netzanalgen ausgesendeten Informationen. Unabhängig davon werden je nach Ortungssystem Positionsdaten über das Mobilfunknetz als Telekommunikationsnetz erhoben. Sowohl unionsrechtliche als auch nationale Vorschriften zum Datenschutz in der elektronischen Kommunikation sehen spezielle Voraussetzungen für den Zugriff auf Endeinrichtungen oder darin gespeicherte Informationen sowie für die Verarbeitung von Positionsdaten durch Anbieter von Telekommunikationsdiensten vor. Dabei ist fraglich, ob diese Voraussetzungen auch gelten, wenn Arbeitgeber mithilfe des LBS-Anbieters auf ihre eigenen, den Beschäftigten zur dienstlichen Nutzung zur Verfügung gestellten Endeinrichtungen zugreifen. Die Vorschriften zum Datenschutz in der elektronischen Kommunikation schützten den Betroffenen grundsätzlich nur, wenn er gleichzeitig Nutzer des Kommunikationsdienstes oder 473 Vgl. EG 50 S. 9, 10 DSGVO „sollten als berechtigtes Interesse des Verantwortlichen gelten“; anders SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 99. 474 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. L 201, 37 v. 31. 7. 2002. 475 Siehe unten § 6 D. 2. 476 So auch Paal / Pauly / Pauly, DSGVO / BDSG, Art. 95 DSGVO Rn. 2; Schramm / Shvets, MMR 2019, 228 (229). 477 Siehe dazu oben § 2 B. I. 1.

152

3. Kap.: Einfachgesetzlicher Rechtsrahmen

der Endeinrichtung ist.478 Ist das nicht der Fall, wird der Betroffene „nur“ durch die allgemeinen Datenschutzvorschriften geschützt.479 I. Anzuwendende Vorschriften? 1. ePrivacy-RL und deren nationale Umsetzung Bis zum 1. 1. 2021 waren Vorschriften zum Datenschutz in der elektronischen Kommunikation in §§ 91 ff. Telekommunikationsgesetz (TKG) und §§ 11 ff. Telemediengesetz (TMG) normiert. Diese Vorschriften wurden nunmehr aus dem TKG480 und dem TMG481 gestrichen und im Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) neu geregelt und an die DSGVO angepasst. Dieses Vorgehen war aus zwei Gründen zu begrüßen. Zum einen bewirkt die Zusammenführung eine Angleichung an das Unionsrecht, das anders als das deutsche Recht zwischen allgemeinem Datenschutzrecht und TK-Datenschutzrecht keine Zwischenebene i. S. e. TM-Datenschutzrechts kennt.482 Zum anderen musste im Hinblick auf das Nebeneinander von DSGVO, TKG und TMG dringend Rechtssicherheit geschaffen werden, da unklar war, ob die jeweiligen Normen des TKG und TMG neben der DSGVO weiterhin anwendbar waren. Aus diesem Grund konnte nicht länger auf das Inkrafttreten der ePrivacy-VO gewartet werden, die sich noch immer im Trilog befindet.483 Zwar wird die ePrivacy-VO die Regelungen des TTDSG verdrängen, sofern die ePrivacy-VO abschließend und dort keine entsprechende Öffnungsklausel vorgesehen ist.484 Da aber unklar ist, wann die ePrivacy-VO auf europäischer Ebene beschlossen wird und es zudem voraussichtlich eine Übergangsfrist von 12–24 Monaten geben wird485, war es richtig, für den Übergangszeitraum eine Anpassung der nationalen Vorschriften an die DSGVO vorzunehmen. Bis zum Inkrafttreten des TTDSG waren bei der Verarbeitung von Positionsdaten grundsätzlich § 98 Abs. 1 S. 1 TKG-alt486 und § 15 Abs. 1 TMG-alt487 her 478

So auch Jandt, Mobile Commerce, S. 154. Jandt, Mobile Commerce, S. 154. 480 Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts v. 25. 1. 2021, BT-Drs. 19/26108. 481 Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien v. 9. 3. 2021, BT-Drs. 19/27441. 482 Vgl. Jandt, ZD 2018, 405 (406). 483 Ähnl. Lang, K&R 2020, 714 f.; vgl. BT-Drs. 19/27441, 1 f. 484 Siehe unten § 6 D. I. 2. 485 Siehe Art. 29 Abs. 2 ePrivacy-VO-E-Rat (Kap. 3 Fn. 538). 486 Die Bezeichnung „TKG-alt“ verweist auf die Fassung des TKG vom 26. 6. 2004, die durch in Kraft treten der Neufassung am 1. 1. 2021 abgelöst wurde (BGBl. 2021 I, 2274). 487 Die Bezeichnung „TMG-alt“ verweist auf die Fassung des TMG vom 26. 2. 2007, die zuletzt durch Art. 95 des Gesetzes vom 10. 8. 2021 (BGBl. 2021 I, 3436) geändert worden ist, und durch in Kraft treten der Neufassung vom 1. 10. 2021 abgelöst wurde (BGBl. 2021 I, 3544). 479

§ 6 Anwendung und Modifikation des Maßstabs  

153

anzuziehen488, wobei umstritten war, ob die beiden Normen neben der DSGVO weiterhin anwendbar sind.489 Nach § 98 Abs. 1 S. 1 TKG-alt durften geschäftsmäßige Anbieter von Telekommunikationsdiensten (TK-Anbieter) personenbezogene „Standortdaten“ nur im zur Bereitstellung von Diensten mit Zusatznutzen490 (insbesondere LBS) erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeiten, wenn diese anonymisiert worden waren oder wenn der Teilnehmer491 (Vertragspartner des TK-Anbieters) dem Anbieter des Dienstes mit Zusatznutzen (LBS-Anbieter) seine Einwilligung erteilt hatte. Die Vorschrift sollte der Gefahr Rechnung tragen, die dadurch entsteht, dass TK-Anbieter standardmäßig zur Durchführung eines Kommunikationsvorgangs den Aufenthaltsort des Nutzers erfassen und in der Folge an LBS-Anbieter weitergeben können.492 Nach § 15 Abs. 1 TMG-alt durften Anbieter von Telemediendiensten (TM-Anbieter) personenbezogene Positionsdaten als Nutzungsdaten493 nur verarbeiten, soweit diese Verarbeitung erforderlich war, um die Inanspruchnahme von Telemedien zu ermöglichen oder um abzurechnen. Die bisher in § 98 TKG-alt enthaltene Regelung wurde im Wesentlichen inhaltsgleich in § 13 TTDSG übernommen.494 Damit setzt § 13 Abs. 1 S. 1 TTDSG – wie bisher § 98 Abs. 1 S. 1 TKG-alt – Art. 9 Abs. 1 S. 1 ePrivacy-RL um und geht der DSGVO nach Art. 95 DSGVO als lex specialis vor.495 § 15 Abs. 1 TMG-alt wurde hingegen nicht ins TTDSG übernommen, da die Vorschrift durch die DSGVO verdrängt wird. § 15 Abs. 1 TMG-alt ist keine Umsetzung der ePrivacy-RL – konkret von Art. 5 Abs. 3 ePrivacy-RL – und ist daher seit Inkrafttreten der DSGVO unanwendbar.496 Allerdings sieht § 25 TTDSG eine am Wortlaut von Art. 5 Abs. 3 ePrivacy-RL orientierte Regelung vor, welche die Speicherung von Informationen

488

Ausführl. Jandt, Mobile Commerce, S. 129–142 zur Zulässigkeit einer Positionsbestimmung durch LBS und S. 147–151 zur Zulässigkeit von Ortungsmaßnahmen mittels LBS. 489 Zu § 98 Abs. 1 S. 1 TKG-alt s. Kap. 3 Fn. 495, zu § 15 Abs. 1 TMG-alt siehe Kap. 3 Fn. 496. 490 Zur Definition siehe § 3 Nr. 5 TKG-alt, mittlerweile definiert in § 2 Abs. 2 Nr. 5 TTDSG. 491 Zur Definition siehe § 3 Nr. 20 TKG-alt. 492 Vgl. BT-Drs.  16/12405, 15; Scheurle / Mayen / L öwnau / Müller, TKG, § 98 Rn. 1. 493 Vgl. Spindler / Schmitz / Schmitz, TMG, § 15 Rn. 42. 494 BT-Drs. 19/27441, 17 u. 36. 495 Zu § 98 TKG-alt Rüpke / L ewinski / Eckardt, Datenschutzrecht, § 18 Rn. 13; Spindler /  Schuster / Eckhardt, Elektronische Medien, § 98 TKG Rn. 29; anderes gilt für § 98 Abs. 1 S. 2–7 TKG-alt, s. unten § 6 D. I. 1. a); zu § 13 TTDSG Gola / Heckmann / Munz, DSGVO / BDSG, § 13 TTDSG Rn. 2 f. 496 H. M., siehe EU-Kommission, ePrivacy Directive assessment, S. 63; BT-Drs. 19/27441, 1; DSK, Anbieter von Telemedien, S. 3 f.; BfDI, 27. TB 2017–2018, S. 101; Specht / Mantz / Specht, HdB Datenschutzrecht, § 9 Rn. 13; Spindler / Schuster / Nink, Elektronische Medien, § 15 TMG Rn. 2 f.; Jandt, ZD 2018, 405 (406 f.); Keppeler, MMR 2015, 779 (781); a. A. Giersch­ mann, ZD 2018, 297 (298 f.); der BGH sieht jedenfalls in § 15 Abs. 3 TMG eine Umsetzung von Art. 5 Abs. 3 ePrivacy-RL, s. BGH, Urt. v. 28. 5. 2020  – I ZR 7/16, NJW 2020, 2540 Rn. 62; für eine Anwendung der §§ 11 ff. TMG bis zum Inkrafttreten der ePrivacy-VO Spindler / Schmitz / Schmitz, TMG, Abschn. 4 Vorbem. Rn. 11; Breyer, ZD 2018, 302 f.; diff. Moos / Rothkegel, Anm. zu EuGH, C-673/17, MMR 2019, 732 (740).

154

3. Kap.: Einfachgesetzlicher Rechtsrahmen

in der Endeinrichtung des Endnutzers und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, betrifft. a) § 13 TTDSG im Regelfall nicht anwendbar § 13 TTDSG betrifft nicht das Verhältnis zwischen Arbeitgeber und dessen Beschäftigten, sondern allenfalls das Verhältnis zwischen Arbeitgeber und LBSAnbieter. Die Vorschrift ist auf die Datenverarbeitung von Arbeitgebern nicht anwendbar.497 Eine Anwendung auf Arbeitgeber käme nur in Betracht, wenn diese Anbieter von öffentlichen Telekommunikationsdiensten oder Betreiber von öffentlichen Telekommunikationsnetzen wären (vgl. die Definition von „Standortdaten“ in § 3 Nr. 56 TKG i. V. m. § 2 Abs. 1 TTDSG). Ob Arbeitgeber die Anbietereigenschaft erfüllen, ist schon lange umstritten. Einigkeit herrscht dahingehend, dass Arbeitgeber, die ihren Beschäftigten elektronische Kommunikation (z. B. Zugang zum Mobilfunknetz) ausschließlich zur dienstlichen Nutzung zur Verfügung stellen, die Anbietereigenschaft nicht erfüllen.498 Eine Anbietereigenschaft wird teilweise aber bejaht, wenn Arbeitgeber ihren Beschäftigten eine private Nutzung der elektronischen Kommunikationsmittel gestatten.499 Dem Streit hat der EuGH jüngst entgegen der zuletzt genannten Ansicht den Wind aus den Segeln genommen. In zwei Entscheidungen aus dem Jahr  2019 (Skypeout und Google Gmail500) hat der EuGH seine Rechtsprechung aus dem Jahr 2014501 bestätigt, wonach es bei der Einordnung als elektronischer Kommunikationsdienst i. S. v. Art. 2 lit. c)  Rahmen-RL502 maßgeblich darauf ankommt, wer gegenüber Endnutzern für den Erfolg der Signalübertragung verantwortlich ist. SkypeOut sei ein elektronischer Kommunikationsdienst, da Skype Zusammenschaltungsvereinbarungen mit Telekommunikationsdienstleistern getroffen habe und damit gegenüber seinen Nutzern für die Signalübertragung verantwortlich sei.503 Der E-Mail-Dienst Gmail sei hingegen kein elektronischer Kommunikationsdienst, da Gmail weder originär noch auf vertraglicher Basis eine Verfü 497

Vgl. Maier, Berufsbezogene Erreichbarkeit, S. 277; Müller / Becker, FA 2018, 74. WHWS / Baumgartner, Datenschutz im ArbV, B. IX. Rn. 73 ff.; Däubler, Gläserne Belegschaften, Rn. 337 jeweils m. w. N. 499 WHWS / Baumgartner, Datenschutz im ArbV, B. IX. Rn. 78–91; Däubler, Gläserne Belegschaften, Rn. 338 jeweils m. w. N. 500 EuGH, Urt. v. 5. 6. 2019 – C-142/18, ECLI:EU:C:2019:460 – SkypeOut; EuGH, Urt. v. 13. 6. 2019 – C-193/18, ECLI:EU:C:2019:498 – Google Gmail. 501 EuGH, Urt. v. 30. 4. 2014 – C-475/12, ECLI:EU:C:2014:285 Rn. 43 – UPC DTH. 502 Diese Richtlinie wurde mit Wirkung vom 21. 12. 2020 aufgehoben und durch die Richtlinie 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation, ABl. L 321, 36 v. 17. 12. 2018 (im Folgenden Kodex-RL) ersetzt. 503 EuGH, Urt. v. 5. 6. 2019 – C-142/18, ECLI:EU:C:2019:460 Rn. 29, 38–40, 44 f. – SkypeOut; zusammenfass. Kiparski, DSRITB 2019, 809 f. m. w. N. 498

§ 6 Anwendung und Modifikation des Maßstabs  

155

gungsgewalt über Telekommunikationsnetze habe und damit nicht für die Signalübertragung verantwortlich sei.504 Übertragen auf Fallkonstellationen, in denen Arbeitgeber ihren Beschäftigten die private Nutzung elektronischer Kommunikationsmittel gestatten, ist eine Anbietereigenschaft abzulehnen.505 Arbeitgeber haben weder originär noch auf vertraglicher Basis Verfügungsgewalt über Telekommunikationsnetze und sind daher nicht für den Erfolg der Signalübertragung verantwortlich.506 Die private Nutzung wird lediglich geduldet oder erlaubt, ohne dass ein Anspruch begründet wird.507 § 13 TTDSG ist allerdings auf die im Rahmen der Ortung erfolgende Datenverarbeitung des LBS-Anbieters anwendbar, wenn dieser ausnahmsweise zugleich geschäftsmäßiger Anbieter von Telekommunikationsdiensten ist und Positionsdaten (unter anderem) mittels Mobilfunkzellenidentifikation508 erhebt.509 Ein Beispiel ist das Unternehmen Vodafone, das neben Telekommunikationsdiensten auch Ortungsdienste anbietet.510 Im Ergebnis ist § 13 Abs. 1 S. 1 TTDSG in der hier beleuchteten Ortungskonstellation keine Hürde, da Arbeitgeber als Nutzer des Telekommunikationsdienstes gegenüber dem LBS-Anbieter stets ihre Einwilligung in die Verarbeitung von Positionsdaten erteilt haben werden. Auch wenn nach § 13 Abs. 1 S. 1 TTDSG im Unterschied zu § 98 TKG-alt nicht mehr der „Teilnehmer“, sondern der „Nutzer“ einwilligen muss, ist damit weiterhin derjenige gemeint, der den Telekommunikationsdienst beansprucht. Das ist der Arbeitgeber und nicht der Beschäftigte, auch wenn dessen Positionsdaten verarbeitet werden.511 Mit der Änderung der Begrifflichkeiten bezweckt der deutsche Gesetzgeber eine Anpassung an die Kodex-RL512, die in erster Linie zwischen „Nutzer“ und „Endnutzer“ differenziert. § 13 Abs. 1 S. 2–7 TTDSG sind neben der DSGVO nicht anwendbar.513 Das gilt insbesondere auch für § 13 Abs. 1 S. 2 TTDSG, wonach Betroffene durch eine Textmitteilung an das Endgerät über die Ortung informiert werden müssen. § 13 Abs. 1 S. 2 TTDSG ist keine Umsetzung der ePrivacy-RL, sodass die Vorschrift

504

EuGH, Urt. v. 13. 6. 2019 – C-193/18, ECLI:EU:C:2019:498 Rn. 32–41 – Google Gmail; zusammenfass. Kiparski, DSRITB 2019, 809 (810 f.) m. w. N. 505 So auch Fokken, NZA 2020, 629 (632 f.); zur Übertragbarkeit s. Art. 2 S. 1 ePrivacy-RL. 506 Fokken, NZA 2020, 629 (632 f.). 507 Fokken, NZA 2020, 629 (632 f.). 508 Vgl. die Definition von „Standortdaten“ in § 3 Nr. 56 TKG. 509 Vgl. Ahrens / Schmidt-Murra, DSRITB 2015, 53 (55). 510 Zum Vodafone Curve Tracker siehe https://eshop.v.vodafone.com/de/curve-gps-tracker? j_id=SEASEAPer304G%7CIOTNon000%7Cfq0iotcur&c_id=sea_acx_304:fq0_g_iot_cur_ awa_&gclid=EAIaIQobChMI3tCm-LKd9gIVitV3Ch2HiA2rEAAYASAAEgLL0fD_BwE# slate (Abruf v. 26. 2. 2022). 511 Vgl. Scheurle / Mayen / L öwnau / Müller, TKG, § 98 Rn. 16. 512 Vgl. BT-Drs. 19/27441, 30. 513 Offen lassend Taeger / Gabel / Munz, DSGVO / BDSG, § 13 TTDSG Rn. 3 ff.; a. A. Assion /  Schneider, TTDSG, § 13 Rn. 3 ff.

156

3. Kap.: Einfachgesetzlicher Rechtsrahmen

nicht über Art. 95 DSGVO anwendbar ist.514 Eine Anwendbarkeit über die Öffnungsklauseln in Art. 6 Abs. 2 und 3 DSGVO scheidet aus, da § 13 TTDSG keine rechtliche Verpflichtung zur Datenverarbeitung i. S. v. Art. 6 Abs. 1 lit. c) DSGVO aufstellt und die Verarbeitung von „Standortdaten“ durch TK-Anbieter auch nicht i. S. v. Art. 6 Abs. 1 lit. e) DSGVO im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Damit gelten die allgemeinen Informationspflichten nach Art. 12–14 DSGVO.515 Diese kommen in der Sache aber insofern zum selben Ergebnis, als dass der Arbeitgeber als Nutzer des Telekommunikationsdienstes den betroffenen Beschäftigten nach Art. 14 Abs. 1 DSGVO grundsätzlich über die Ortung informieren muss, sofern dadurch nicht das Erreichen des Ortungszwecks gefährdet wird und daher die Ausnahme aus § 14 Abs. 5 lit. b) DSGVO eingreift.516 § 13 Abs. 1 S. 4 und 5 TTDSG sind ohnehin nicht einschlägig, da Fälle gemeint sind, in denen LBS-Anbieter die Positionsdaten nicht an den Nutzer, sondern an einen Dritten übermitteln (Fremdortung).517 Das ist bei einer Ortung von Beschäftigten nicht der Fall, da der Arbeitgeber als Nutzer die Daten erhalten möchte (Eigenortung). Unklar ist, ob § 13 TTDSG auch auf LBS-Anbieter anwendbar ist, die mittels GPS518, WLAN519, BLE520 oder RFID521 Positionsbestimmungen vornehmen. Das war bereits im Hinblick auf § 98 TKG-alt umstritten. Standortdaten sind nach § 3 Nr. 56 TKG i. V. m. § 2 Abs. 1 TTDSG Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst verarbeitet werden. Ein GPSSatellitennetz ist bereits kein Telekommunikationsnetz i. S. v. § 3 Nr. 65 TKG.522

514 Kühling / Sauerborn, CR 2021, 271 (277); zum gleichlautenden § 98 Abs. 1 S. 2 TKG-alt Plath / Jenny, DSGVO / BDSG, Art.  98 DSGVO Rn.  1; Spindler / Schuster / Eckhardt, Elektro­ nische Medien, § 98 TKG Rn. 29; zurückhaltender Taeger / Gabel / Munz, DSGVO / BDSG, § 13 TTDSG Rn. 3 „hinsichtlich [§ 13 Abs. 1 S. 2–7 TTDSG] ist insbesondere das Zusammenspiel mit der DSGVO zu beachten“; für eine Anwendbarkeit neben der DSGVO Kiparski / Sassenberg, CR 2018, 324 (328); Kiparski, CR 2021, 482 (488). 515 Vgl. Bulowski, Internetkommunikationsdienste, S. 106 f. 516 Ausführl. zur Zulässigkeit heimlicher Ortungsmaßnahmen unten unter § 7 C. III. 1. f). 517 Vgl. Scheurle / Mayen / L öwnau / Müller, TKG, § 98 Rn. 14–16; BeckOK Datenschutzrecht / Tinnefeld / Buchner, Syst. I. Rn. 136. 518 Dafür Taeger / Gabel / Munz, DSGVO / BDSG, § 13 TTDSG Rn. 5 ff.; noch zu § 98 TKG-alt dafür Spindler / Schuster / Eckhardt, Elektronische Medien, § 98 TKG Rn. 9; dagegen Kramer /  Bongers, IT-Arbeitsrecht, B. Rn. 815; Specht / Mantz / Kiparski, HdB DatenschutzR, § 18 Rn. 37; Maier, Berufsbezogene Erreichbarkeit, S. 277; Arnold, Mobile Arbeitnehmer, S. 145; Müller /  Becker, FA 2018, 74 m. w. N. 519 Dafür Taeger / Gabel / Munz, DSGVO / BDSG, § 13 TTDSG Rn. 5; noch zu § 98 TKG-alt dafür Schnabel, Profilbasierte LBS, S. 295 f.; dagegen Maier, Berufsbezogene Erreichbarkeit, S. 277. 520 Noch zu § 98 TKG-alt dagegen Schnabel, Profilbasierte LBS, S. 297; Schürmann / von der Heide, DSRITB 2014, 637 (642). 521 Vgl. noch zu § 98 TKG-alt Müller, Auto-ID-Verfahren, S. 175–177. 522 Specht / Mantz / Kiparski, HdB DatenschutzR, § 18 Rn. 37; Müller / Becker, FA 2018, 74; a. A. Spindler / Schuster / Eckhardt, Elektronische Medien, § 98 TKG Rn. 9.

§ 6 Anwendung und Modifikation des Maßstabs  

157

Zwar nennt § 3 Nr. 56 TKG ausdrücklich Satellitennetze. Davon erfasst sind aber nicht Satellitennetze zur bloßen Standortbestimmung, sondern Satellitenkommunikationssysteme für Mobilfunknetze.523 WLAN, BLE oder RFID sind Übertragungssysteme, „die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen“ und damit Telekommunikationsnetze i. S. v. § 3 Nr. 65 TKG.524 Die „Standortdaten“ werden bei einer Ortung mittels dieser Telekommunikationsnetze aber nicht „in“ einem Telekommunikationsnetz verarbeitet. Beispielsweise erfordert eine Ortung nicht, dass das zu ortende Mobiltelefon im WLAN angemeldet ist.525 Es reicht aus, dass das Mobiltelefon die WLAN-Signale der WLAN-Zugangspunkte empfängt. Das gilt entsprechend für BLE und RFID. Erst bei der Auswertung dieser Signale durch einen Telekommunikationsdienst werden „Standortdaten“ erhoben. Teilweise wird vertreten, es reiche aus, dass Geräte, die solche lokalen Netze erzeugen, an öffentlich zugängliche Netze angeschlossen sind und auf diese Weise Positionsdaten von einem Telekommunikationsdienst verarbeitet werden.526 Dafür spreche, dass der Gesetzgeber in der TKG-Novelle 2012 in die Definition des Begriffs „Standortdaten“ in § 3 Nr. 19 TKG-alt die Wendung einfügte, wonach auch „von einem Telekommunikationsdienst“ erhobene und verwendete Daten erfasst sind.527 Nach der überzeugenden Gegenansicht ist der Wortlaut aber so zu verstehen, dass gerade der Telekommunikationsdienst als solcher über eine Telekommunikationsinfrastruktur Positionsdaten verarbeitet.528 Dies fordert auch der Zweck der Norm, die Missbrauch verhindern soll, der daurch angelegt ist, dass Mobilfunkanbieter (im Unterschied zu Anbietern von Telemedien) zwangsläufig Kenntnis über den Aufenthaltsort eines Nutzers haben.529 Im Ergebnis wird bei einer Ortung von Beschäftigten in der Regel ohnehin eine Einwilligung des Arbeitgebers vorliegen. Gerade vor diesem Hintergrund ist jedoch nicht nachvollziehbar, warum der deutsche Gesetzgeber § 98 TKG-alt nahezu wortgleich in das TTDSG übernommen hat, ohne die Vorschrift anzupassen. Mittlerweile erfolgen Positionsbestimmungen in der Regel auf Benutzerebene mittels 523

Göpfert / Papst, DB 2016, 1015 (1017); Müller / Becker, FA 2018, 74. Vgl. Schnabel, Profilbasierte LBS, S. 295 ff.; Müller, Auto-ID-Verfahren, S. 175–177. 525 Maier, Berufsbezogene Erreichbarkeit, S. 277; ausführl. zur Positionsbestimmung mittels WLAN oben unter § 2 B. I. 1. a) cc) und b) aa). 526 Plath / Jenny, DSGVO / BDSG, TKG, § 98 Rn. 2 f.; BerlKom TKG / Lutz, § 98 Rn. 8; Beine, ZD 2013, 8 (10); Spindler / Schuster / Eckhardt, Elektronische Medien, § 98 TKG Rn. 9; Heun, CR 2011, 152 (160). 527 Plath / Jenny, DSGVO / BDSG, TKG, § 98 Rn.  2 f. 528 BfDI, Ortung und Standortdaten bei Mobiltelefonen, abrufbar unter www.bfdi.bund.de/ DE/Buerger/Inhalte/Telefon-Internet/TelekommunikationAllg/LocationBasedServices.html (Abruf v. 26. 2. 2022); Auernhammer / Heun, DSGVO / BDSG, § 98 TKG Rn. 9; Johannes / Roßnagel, Grundrechte in der digitalen Welt, S. 103 f.; Specht / Mantz / Kiparski, HdB Datenschutzrecht, § 18 Rn. 37; Sassenberg / Mantz, WLAN und Recht, Rn. 125; Weichert, SVR 2014, 201 (206 f.); i. E. auch Feldmann, in: Leible / Kutschke, Schutz der Persönlichkeit, S. 71 (81 f.). 529 Vgl. Sassenberg / Mantz, WLAN und Recht, Rn. 125. 524

158

3. Kap.: Einfachgesetzlicher Rechtsrahmen

GPS und kaum mehr über Telekommunikationsinfrastrukturen.530 Ihre Zulässigkeit richtet sich in diesen Fällen nach den allgemeinen Datenschutzgesetzen.531 Daher wäre klarzustellen gewesen, dass § 13 Abs. 1 S. 1 TTDSG eine Verarbeitung von „Standortdaten“ nur erfasst, wenn gerade der Telekommunikationsdienst als solcher über eine Telekommunikationsinfrastruktur Positionsdaten verarbeitet. b) § 25 Abs. 1 S. 1 TTDSG nicht anwendbar oder jedenfalls erfüllt Die Vorschrift setzt nahezu wörtlich die Anforderungen aus Art. 5 Abs. 3 ePrivacy-RL um.532 Sie sieht vor, dass eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, vorbehaltlich der Ausnahmen in § 25 Abs. 2 Nr. 1 und 2 TTDSG nur zulässig ist, wenn der Endnutzer auf eine bestimmte Weise informiert wurde und seine Einwilligung erteilt hat. Auf den ersten Blick könnte die Norm einer vom Arbeitgeber initiierten clientbasierten Positionsbestimmung entgegenstehen, bei der die Software des LBS-Anbieters z. B. auf die GPS-Funktion der Endeinrichtung zugreift, eine Positionsbestimmung in die Wege leitet und die auf der Endeinrichtung bestimmte Position „abgreift“. Wie im Referentenentwurf zum TTDSG vom 12. 1. 2021 zutreffend festgestellt wird, führt § 25 Abs. 1 S. 1 TTDSG jedoch nicht dazu, dass Arbeitgeber nicht auf eigene, den Beschäftigten zur Verfügung gestellte Endgeräte zugreifen können.533 Entweder man sieht den Arbeitgeber selbst als Endnutzer i. S. v. § 3 Nr. 13 TKG i. V. m. § 2 Abs. 1 TTDSG an, weil er als Nutzer den LBS in Anspruch nimmt und „weder öffentliche Telekommunikationsnetze betreibt noch öffentlich zugängliche Telekommunikationsdienste erbringt“. In diesem Fall wären die Voraussetzungen von § 25 Abs. 1 S. 1 TTDSG stets erfüllt, da er durch die Inanspruchnahme des LBS gegenüber dem LBS-Anbieter in die Datenverarbeitung eingewilligt hat. Jedenfalls wäre die Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG einschlägig, da der Zugriff erforderlich ist, um den vom Arbeitgeber gewünschten LBS zu erbringen. Noch überzeugender ist der Ansatz des deutschen Gesetzgebers, wonach der Wortlaut in § 25 Abs. 1 S. 1 TTDSG „Endeinrichtung des Endnutzers“ so zu verstehen ist, dass eine vom Arbeitgeber dem Beschäftigten zur Verfügung gestellte Endeinrichtung keine Endeinrichtung des jeweiligen Beschäftigten als Endnutzer, sondern eine Endein-

530

Ähnl. Sassenberg / Mantz, WLAN und Recht, Rn. 125. Ebenso Maier, Berufsbezogene Erreichbarkeit, S. 277. 532 Ausführl. Hanloser, ZD 2021, 399 ff.; zum Verhältnis der DSGVO s. Gola / Heckmann /  Piltz, DSGVO / BDSG, Art. 95 DSGVO Rn. 23. 533 BMWi, Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes v. 12. 01. 2021, S. 33, abrufbar unter www.bmwi.de/Redaktion/DE/Downloads/ P-R/referentenentwurf-zum-gesetz-zur-regelung-des-datenschutzes-und-des-schutzes-privat sphaere.pdf?__blob=publicationFile&v=6 (Abruf v. 26. 4. 2021) (im Folgenden TTDSG-RefE). 531

§ 6 Anwendung und Modifikation des Maßstabs  

159

richtung des Arbeitgebers ist.534 In diesem Fall wäre der Anwendungsbereich von § 25 Abs. 1 S. 1 TTDSG bei der Ortung von Beschäftigten bereits nicht eröffnet. 2. ePrivacy-VO-E Der Unionsgsetzgeber arbeitet daran, die ePrivacy-RL nach dem Vorbild der DSGVO durch eine Verordnung (ePrivacy-VO) zu ersetzen.535 Im Januar 2017 hat die EU-Kommission dazu einen Entwurf veröffentlicht.536 Im Oktober 2017 folgte ein eigener Entwurf des EU-Parlaments537 und nachdem sich die Mitgliedstaaten lange nicht auf eine gemeinsame Linie einigen konnten, verständigte sich auch der EU-Rat im Feburar 2021 auf einen Entwurf538, auf dessen Grundlage nun TrilogVerhandlungen geführt werden. Mit Inkrafttreten der ePrivacy-VO wären § 13 Abs. 1 S. 1 und § 25 Abs. 1 S. 1 TTDSG unanwendbar, sofern die ePrivacy-VO abschließend ist und keine entsprechende Öffnungsklausel vorsieht.539 Ob das der Fall sein wird, ist abzuwarten. Durch die Neuregelung soll zum einen Kohärenz mit der DSGVO erreicht werden und zum anderen der Schutz des Privatlebens im Bereich der elektronischen Kommunikation ausgebaut und vereinheitlicht, aber auch ein angemessener Datenverkehr ermöglicht werden.540 Da die ePrivacy-VO der DSGVO als lex specialis vorgehen soll541, ist fraglich, ob in den aktuellen Entwürfen einer ePrivacy-VO eine

534

Ebd. Zur geplanten ePrivacy-VO Art.-29-DSG, WP 240; Engeler / Felber, ZD 2017, 251 ff.; ausführlich zum Gesetzgebungsverfahren Auer-Reinsdorff / Conrad / Hausen, HdB DatenschutzR, § 36 Rn. 38–46 m. w. N. 536 Europäischen Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG v. 10. 1. 2017, 2017/0003 (COD) (im Folgenden ePriavcy-VO-E-KOM). 537 Europäisches Parlament, Bericht über den Vorschlag für eine Verordnung des Europä­ ischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zu Aufhebung der Richtlinie 2002/58/EG v. 20. 10. 2017, A8-0324/2017 (im Folgenden ePrivacy-VO-E-EP). 538 Rat der Europäischen Union, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG v. 10. 2. 2021, 6087/21 (im Folgenden ePrivacy-VO-E-Rat). 539 Vgl. Bulowski, Internetkommunikationsdienste, S. 106; Maschmann, NZA-Beilage 2018, 115 (124). 540 ePrivacy-VO-E-KOM (Kap. 3 Fn. 536), S. 3 f.; EG 173 DSGVO; EG 6 ePrivacy-VO-EKOM; Weiden, GRUR 2017, 256. 541 Vgl. Art. 1 Abs. 3 und Art. 27 Abs. 2 ePrivacy-VO-E-KOM (Kap. 3 Fn. 536) i. V. m. Art. 95 DSGVO; Specht / Mantz / Specht, HdB Datenschutzrecht, § 9 Rn. 13; einschränkend DAV, ePrivacy-VO, S. 6–8; zur Frage, ob die ePrivacy-VO bei fehlendem Bezug auf die DSGVO eine Sperrwirkung entfaltet Engeler / Felber, ZD 2017, 251 (253 f.); Kühling, CR 2020, 199 (201). 535

160

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Regelung vorgesehen ist, die im Fall der Ortung von Beschäftigten relevant werden kann. Ausgangspunkt der folgenden Überlegungen ist der Entwurf der Europä­ ischen Kommission vom 10. 1. 2017 (im Folgenden ePrivacy-VO-E).542 Der ePrivacy-VO-E richtet sich zum einen an Betreiber elektronischer Kommunikationsdienste543, die elektronische Kommunikationsdaten nur unter den Voraussetzungen von Art. 6 ePrivacy-VO-E verarbeiten dürfen. Zum anderen richtet sich der ePrivacy-VO-E in Art. 8 an alle natürlichen oder juristischen Personen, die Informationen sammeln, die in Endeinrichtungen der Endnutzer gespeichert sind oder sich auf diese beziehen.544 Dazu stellt Art. 8 Abs. 1 ePrivacy-VO-E sämtliche „Informationen aus Endeinrichtungen der Endnutzer“ unabhängig davon, ob diese personenbezogen sind oder nicht545, unter ein generelles Verarbeitungsverbot mit Erlaubnistatbeständen.546 Art. 8 Abs. 2 ePrivacy-VO-E regelt zudem das sog. Offline-Tracking, bei dem von Endgeräten ausgesendete Informationen erhoben werden.547 Paradebeispiel ist ein Kaufhaus, das die von Mobiltelefonen der Kunden zur Verbindung mit dem offenen WLAN des Kaufhauses automatisch ausgesendeten Signale erhebt, um das Bewegungsverhalten der Kunden auszuwerten.548 a) Art. 6 ePrivacy-VO-E nicht anwendbar Art. 6 ePrivacy-VO-E ist weder auf die Verarbeitung von Beschäftigten-Positionsdaten durch Arbeitgeber noch auf deren Verarbeitung durch LBS-Anbieter anwendbar. Wie oben bereits ausgeführt worden ist549, ist ein Arbeitgeber nie und ein LBS-Anbieter nur im Ausnahmefall Betreiber elektronischer Kommunikationsdienste. Selbst LBS-Anbieter, die als Betreiber elektronischer Kommunikationsdienste anzusehen sind, weil sie zugleich Anbieter von Telekommunikationsdiensten sind, sind von der Norm nicht erfasst. Grund dafür ist, dass Art. 6 ePrivacy-VO-E nur die Verarbeitung von elektronischen Kommunikationsinhalten und elektronischen Kommunikationsmetadaten regelt.550 Erhebt ein LBS-Anbieter mittels Mobilfunkzellenidentifikation Positionsdaten, sind diese keiner der beiden 542

Siehe Kap. 3 Fn. 536. Vgl. Art. 2 Abs. 1 i. V. m. Art. 4 Abs. 1 lit. b) ePrivacy-VO-E-KOM (Kap. 3 Fn. 536) i. V. m. Art. 2 Nr. 4 Kodex-RL. 544 Vgl. EG 8 des ePrivacy-VO-E-KOM (Kap. 3 Fn. 536); kritisch DAV, ePrivacy-VO, S. 8–10; hier kommt es auf eine Anbieter-/Betreibereigenschaft nicht an. 545 Schleipfer, ZD 2017, 460 (465); kritisch Engeler / Felber, ZD 2017, 251 (252 f.); zu Art. 5 Abs. 3 ePrivacy-RL EuGH, Urt. v. 1. 10. 2019 – C-673/17, ECLI:EU:C:2019:801 Rn. 66–71 – Planet49. 546 So auch Engeler / Felber, ZD 2017, 251 (254 f.). 547 Siehe dazu Jandt / Steidle / Karg, Datenschutz im Internet, B. II. Rn. 303; kritisch DAV, Stellungnahme zum ePrivacy-VO-E, S. 24–26; Engeler / Felber, ZD 2017, 251 (255 f.). 548 Vgl. Jandt / Steidle / Karg, Datenschutz im Internet, B. II. Rn. 304. 549 Siehe oben § 6 D. I. 1. a). 550 Vgl. die Definitionen in Art. 4 Abs. 3 lit. a)–c) ePrivacy-VO-E-KOM (Kap. 3 Fn. 536). 543

§ 6 Anwendung und Modifikation des Maßstabs  

161

Kategorien zuzuordnen. Die Positionsdaten sind weder übermittelte Inhalte noch Metadaten i. S. v. Verkehrsdaten, da sie sich in der Regel nicht auf einen konkreten Telekommunikationsvorgang beziehen551. b) Art. 8 Abs. 1 ePrivacy-VO-E nicht anwendbar oder jedenfalls erfüllt Art. 8 Abs. 1 ePrivacy-VO-E deckt sich im Wesentlichen mit § 25 Abs. 1 S. 1 TTDSG. Auch an dieser Stelle ist davon auszugehen, dass die Norm entweder bereits nicht anwendbar ist oder jedenfalls ihre Voraussetzungen erfüllt sind. Zwar greift ein LBS-Anbieter bei einer clientbasierten Ortung auf die GPS-Funktion und die auf der Endeinrichtung bestimmte geografische Position der dem Beschäftigten zur Verfügung gestellten und zu ortenden Endeinrichtung zu. Erwägungsgrund  20 S. 2 ePrivacy-VO-E verweist in diesem Zusammenhang ausdrücklich auf den Zugriff der GPS-Funktion eines Geräts. Wie bereits zu § 25 Abs. 1 S. 1 TTDSG ausgeführt worden ist552, ist jedoch davon auszugehen, dass „Endnutzer“ i. S. v. Art. 8 Abs. 1 ePrivacy-VO-E der Arbeitgeber ist.553 Dann wäre der Zugriff für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft554 nötig (vgl. Art. 8 Abs. 1 lit. c) ePrivacy-VO-E). Dieser Ansatz ist auf Unionsebene vom Wortlaut her schwieriger vertretbar, da Endnutzer nach Art. 4 Abs. 1 lit. b) ePrivacy-VO-E i. V. m. Art. 2 Nr. 14 Kodex-RL ein Nutzer ist, der keine öffentlichen elektronischen Kommunikationsnetze oder öffentlich zugänglichen elektronischen Kommunikationsdienste bereitstellt.555 Überzeugender ist es auch an dieser Stelle, die Eröffnung des Anwendungsbereichs der Norm zu verneinen, wenn die Endeinrichtung dem Endnutzer per Weisung zur dienstlichen Nutzung zur Verfügung gestellt wurde, sodass keine „Endeinrichtung des Endnutzers“ betroffen ist.556 Unabhängig davon, welche Ansicht vorzugswürdig ist, überzeugt das Ergebnis. Nach dem Zweck der Vorschrift soll im Wesentlichen verhindert werden, dass 551

Elektronische Kommunikationsmetadaten i. S. v. Art. 4 Abs. 3 lit. c) ePrivacy-VO-E sind im Duktus des TKG nur solche „Standortdaten“, die zugleich Verkehrsdaten sind, so auch Entwurf der deutschen Ratspräsidentschaft v. 4. 11. 2020, 9931/20, S. 24; Heun / Assion, BB 2018, 579 (583); Schramm / Shvets, MMR 2019, 568 (573); § 98 TKG-alt und § 13 TTDSG umfassen Standortdaten, die keine Verkehrsdaten sind. 552 Siehe oben § 6 D. I. 1. b). 553 A. A. wohl Piltz, www.delegedata.de/2017/06/arbeitnehmerdatenschutz-strenge-vorgabenzur-ueberwachung-im-arbeitsverhaeltnis-durch-aenderungsvorschlaege-zur-eprivacy-vo/ (Abruf v. 26. 4. 2021). 554 LBS-Anbieter sind solche Dienste der Informationsgesellschaft, so auch Art.-29-DSG, WP 185, S. 9; vgl. die Definition in Art. 1 Abs. 1 lit. b) der Info-RL (Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates v. 9. 9. 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. L 241, 1 v. 17. 9. 2015). 555 Hervorhebung durch Verfasserin. 556 Siehe dazu die Ausführungen oben § 6 D. I. 1. b).

162

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Dritte auf Informationen aus Endeinrichtungen zugreifen, ohne dass der Endnutzer damit rechnet. Stellt ein Arbeitgeber seinen Beschäftigten Endeinrichtungen zur dienstlichen Nutzung zur Verfügung, sind die Beschäftigten insoweit nicht schutzbedürftig, als dass sie mit einem Zugriff auf dienstliche Endeinrichtungen rechnen müssen. Ein anderes Ergebnis stünde im Widerspruch zu anderen Überwachungsmaßnahmen. Es ist nicht ersichtlich, warum eine der Überwachung von Beschäftigten dienende Videoüberwachung datenschutzrechtlich zulässig sein soll, nicht aber eine tendenziell weniger eingriffsintensive Ortung über zur dienstlichen Nutzung zur Verfügung gestellte Endeinrichtungen. Die Artikel-29-Datenschutzgruppe557 scheint beide „Lösungsansätze“ nicht in Betracht zu ziehen. Sie schlägt vor, in Art. 8 Abs. 1 ePrivacy-VO-E einen weiteren Erlaubnistatbestand für Beschäftigungsverhältnisse vorzusehen, unter anderem damit Arbeitgeber, die ihren Beschäftigten einen Dienstwagen zur Verfügung stellen, für Zwecke der Verwaltung durch Dritte Positionsdaten erheben lassen können.558 Ähnlich sieht der Entwurf des Europäischen Parlaments vor, dass ein Zugriff ausnahmsweise erlaubt ist, wenn er „im Rahmen von Arbeitsverhältnissen für die Erfüllung einer von einem Arbeitnehmer wahrzunehmenden Aufgabe technisch zwingend nötig [ist], sofern (i) der Arbeitgeber die Endeinrichtung bereitstellt bzw. deren Nutzer ist, (ii) der Arbeitnehmer der Nutzer der Endeinrichtung ist und (iii) […] [der Zugriff] überdies nicht der Überwachung des Arbeitnehmers dient“.559 Im Rat der Europäischen Union wurde eine Erweiterung von Art. 8 Abs. 1 ePrivacyVO-E um einen allgemeinen Erlaubnistatbestand der Interessenabwägung diskutiert.560 Der Umstand, dass sich der Rat mit der Fassung vom 10. 2. 2021561 gegen einen weiteren Erlaubnistatbestand für Beschäftigungsverhältnisse und gegen eine allgemein Interessenabwägungsklausel entschieden hat, steht den hier vorgeschlagenen „Lösungsansätzen“ nicht entgegen. Denkbar ist, dass der Rat kein Bedürfnis für solche Regelungen sieht, weil er davon ausgeht, dass die Norm einem Zugriff des Arbeitgebers auf den Beschäftigten zur Verfügung gestellte Endeinrichtungen ohnehin nicht entgegensteht.

557 Die Art.-29-Datenschutzgruppe war ein unabhängiges Beratungsgremium der Europä­ ischen Kommission in Fragen des Datenschutzes, siehe de.wikipedia.org/wiki/Artikel-29Datenschutzgruppe. Sie wurde am 25. 5. 2018 durch den Europäischen Datenschutzausschuss (EDSA) ersetzt, siehe de.wikipedia.org/wiki/Europäischer_Datenschutzausschuss (jeweils Abruf v. 30. 4. 2021). 558 Art.-29-DSG, WP 247, S. 29. 559 ePrivacy-VO-E-EP (Kap. 3 Fn. 537), Änderungsantrag 91. 560 Entwurf der kroatischen Ratspräsidentschaft v. 21. 2. 2020, 5979/20, S. 29 f.; dagegen Entwurf der deutschen Ratspräsidentschaft v. 4. 11. 2020, 9931/20, S. 73. 561 ePrivacy-VO-E-Rat (Kap. 3 Fn. 538), S. 59 ff.

§ 6 Anwendung und Modifikation des Maßstabs  

163

c) Art. 8 Abs. 2 ePrivacy-VO-E nicht anwendbar oder jedenfalls erfüllt Art. 8 Abs. 2 ePrivacy-VO-E wäre bei einer serverbasierten Positionsbestimmung relevant, da in diesen Fällen von Endeinrichtungen zur Verbindung mit anderen Geräten oder Netzanlagen ausgesendete Informationen erhoben werden.562 Die Erhebung ausgesendeter Signale ist nach Art. 8 Abs. 2 ePrivacy-VO-E untersagt, außer sie erfolgt ausschließlich zur Durchführung eines Kommunikationsvorgangs oder es wird in hervorgehobener Weise auf die Erhebung hingewiesen. Würde die Vorschrift in dieser Fassung in Kraft treten, stünde sie einer serverbasierten Positionsbestimmung nicht per se entgegen, würde aber deren ausnahmslose Offenlegung fordern. Folgt man dem Ansatz563, wonach vom Arbeitgeber zur dienstlichen Nutzung zur Verfügung gestellte Endeinrichtungen keine Endeinrichtung des jeweiligen Beschäftigten und damit keine „Endeinrichtung des Endnutzers“ i. S. v. Art. 8 ePrivacy-VO-E sind, ist die Norm in Ortungssituationen bereits nicht anwendbar. Folgt man dem Ansatz564, wonach der Arbeitgeber der Endnutzer ist, ist nur nach der Entwurfsfassung des Rats der Europäischen Union vom 10. 2. 2021565 (erforderlich für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft), nicht aber nach der Entwurfsfassung der Europäischen Kommission ein Erlaubnistatbestand erfüllt. Da der Rat mit dem vorgeschlagenen Erlaubnistatbestand aber auf zahlreiche Forderungen566 reagierte, ist damit zu rechnen, dass dieser Erlaubnistatbestand in die Endfassung übernommen wird. Ansonsten kommt mangels Schutzbedürfnisses eine teleologische Reduktion567 in Betracht. Art. 8 Abs. 2 ePrivacy-VO-E soll die Privatsphäre von Endnutzern schützen, indem verhindert wird, dass Dritte ohne entsprechende Rechtfertigung die Bewegungen des Endnutzers im realen Raum erfassen können.568 Für einen solchen Schutz besteht kein Bedürfnis, wenn Arbeitgeber innerhalb ihres Betriebs auf Signale zugreifen, die von eigenen, den Beschäftigten lediglich zur dienstlichen Nutzung zur Verfügung gestellten Endeinrichtungen ausgehen, da die Beschäftigten mit einem solchen Zugriff rechnen müssen.

562 Eine Ausnahme gilt für Positionsbestimmungen mittels RFID, vgl. FHS / Arning / Born, Betrieblicher Datenschutz, XI. 2. Rn. 50. 563 Siehe oben § 6 D. I. 1. b). 564 Siehe oben § 6 D. I. 1. b). 565 Art. 8 Abs. 2 lit. d) ePrivacy-VO-E-Rat (Kap. 3 Fn. 538). 566 Den Erlaubnistatbestand in Art. 8 Abs. 2 lit. d) ePrivacy-VO-E-Rat forderte die finnische Ratspräsidentschaft (Entwurf der finnischen Ratspräsidentschaft v. 4. 10. 2019, 12633/19, S. 64), die kroatische Ratspräsidentschaft (Entwurf der kroatischen Ratspräsidentschaft v. 21. 2. 2020, 5979/20, S. 31), die deutsche Ratspräsidentschaft (Entwurf der deutschen Ratspräsidentschaft v. 4. 11. 2020, 9931/20, S. 74) und die portugiesische Ratspräsidentschaft (Entwurf der portugiesischen Ratspräsidentschaft v. 5. 1. 2021, 5008/21, S. 85). 567 Zur Definition siehe Rüthers / Fischer / Birk, Rechtstheorie, Rn. 902 ff. 568 Vgl. EG 25 ePrivacy-VO-E-KOM (Kap. 3 Fn. 536).

164

3. Kap.: Einfachgesetzlicher Rechtsrahmen

II. Verantwortlichkeit Auch wenn die genannten ePrivacy-Vorgaben bei der Ortung von Beschäftigten im Ergebnis regelmäßig nicht anwendbar oder jedenfalls erfüllt sind, ist – zumindest im letzteren Fall – zu fragen, wer die Einhaltung dieser Vorgaben gewährleisten muss: Arbeitgeber oder LBS-Anbieter? Dabei ist bereits unklar, ob das datenschutzrechtliche Konzept der Rollenverteilung (alleinige oder gemeinsame Verantwortlichkeit, Auftragsverarbeitung, Dritte)569 auch für die Vorschriften zum Datenschutz in der elektronischen Kommunikation gilt.570 Dafür sprechen Art. 95 DSGVO sowie Art. 1 Abs. 3 ePrivacy-VO-E, wonach die ePrivacy-Vorgaben lex specialis zur DSGVO sein sollen.571 Mit diesem System von allgemeinen Datenschutzvorschriften und sich in diesen Rahmen einfügenden speziellen Vorschriften zum Datenschutz in der elektronischen Kommunikation soll gerade eine einheitliche Betrachtung ermöglicht werden.572 Ein Auseinanderfallen der Rollen, wonach z. B. LBS-Anbieter Auftragsverarbeiter i. S. d. DSGVO, aber alleinige oder gemeinsame Verantwortliche i. S. d. ePrivacyVorschriften sind, ist möglich, sofern nicht derselbe Verarbeitungsvorgang betroffen ist. Sofern die ePrivacy-Vorgaben an konkrete Rollen anknüpfen (z. B. Verarbeitung von „Standortdaten“ durch Telekommunikationsanbieter)573, ist die dahinter stehende Person datenschutzrechtlich verantwortlich.574 Für eine Verantwortlichkeit des Arbeitgebers auch für die ePrivacy-Vorgaben spricht, dass die von der Software in Gang gesetzten und die ePrivacy-Vorgaben auslösenden Funktionen für Zwecke des Arbeitgebers erfolgen. Der Arbeitgeber muss nach Art. 24 Abs. 1 i. V. m. Art. 28 Abs. 1 und 3 DSGVO ohnehin die Einzelheiten zu den Funktionen der Software kennen und prüfen und hat sich mit der Entscheidung für die Dienste des LBS-Anbieters auch für die technischen Spezifika dessen Geschäftsmodells und deren rechtlichen Voraussetzungen entschieden. Geht man von einer Anwendbarkeit von § 25 Abs. 1 TTDSG bzw. Art. 8 ePrivacyVO-E aus, müssten Arbeitgeber als datenschutzrechtlich verantwortliche Stelle zwar gewährleisten, dass sie selbst dem LBS-Anbieter ihre Einwilligung in den Zugriff auf Informationen auf ihren Endeinrichtungen erteilt haben. Hier beißt sich die Katze in den Schwanz, was daran liegt, dass sich die allgemeinen Datenschutzvorschriften auf den Betroffenen beziehen, während die Vorschriften zum Datenschutz in der elektronischen Kommunikation grundsätzlich an den Nutzer anknüpfen575, der hier nicht zugleich der Betroffene (sondern der Auftraggeber) 569

Ausführl. dazu oben § 6 B. Vgl. GDD, Stellungnahme zum TTDSG-E, S. 3; Engeler / Felber, ZD 2017, 251 (253). 571 So auch Engeler / Felber, ZD 2017, 251 (253). 572 ePrivacy-VO-E-KOM (Kap. 3 Fn. 536), S. 3; TTDSG-RefE (Kap. 3 Fn. 533), S. 1. 573 Vgl. GDD, Stellungnahme zum TTDSG-RefE, S. 3. 574 In diese Richtung Specht / Mantz / Kiparski, HdB Datenschutzrecht, § 18 Rn. 55 f.; Heun /  Assion, BB 2018, 579 (581). 575 Vgl. Jandt, Mobile Commerce, S. 154. 570

§ 6 Anwendung und Modifikation des Maßstabs  

165

ist. Aufgrund des fehlenden Schutzbedürfnisses kommt aber eine teleologische Reduktion576 in Betracht.

E. Zusätzliche betriebsverfassungs- oder personalvertretungsrechtliche Vorgaben Unabhängig von der datenschutzrechtlichen Zulässigkeit von Ortungsmaßnahmen sind beim Einsatz von Ortungsmaßnahmen im Beschäftigungskontext zusätzlich betriebsverfassungsrechtliche oder personalvertretungsrechtliche Vorgaben einzuhalten, sofern beim Arbeitgeber ein Betriebs- oder Personalrat besteht. Da sich diese Arbeit schwerpunktmäßig auf private Arbeitgeber bezieht, stehen im Folgenden die betriebsverfassungsrechtlichen Vorgaben im Fokus. I. Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG Nach § 87 Abs. 1 Nr. 6 BetrVG577 sind Arbeitgeber betriebsverfassungsrechtlich verpflichtet, den Betriebsrat bei der Einführung und Durchführung automatisierter578 Ortungsmaßnahmen zu beteiligen, sofern die erhobenen Positionsdaten für den Arbeitgeber nicht anonym sind.579 Die Norm gewährt dem Betriebsrat ein Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“.580 Auf diese Weise soll erreicht werden, dass Überwachungsmaßnahmen angemessen, die Interessen beider Seiten berücksichtigend ausgestaltet werden.581 Die Tatbestandsvoraussetzungen sind bei automatisierten Ortungsmaßnahmen erfüllt, da die im Rahmen der Ortungssysteme eingesetzten elektronischen Geräte technische Einrichtungen sind.582 Kann der Arbeitgeber die Positionsdaten dem Betroffenen mit verhältnismäßigem Aufwand zuordnen,

576

Zur Definition siehe Rüthers / Fischer / Birk, Rechtstheorie, Rn. 902 ff. Vgl. § 75 Abs. 3 Nr. 17 BPersVG. 578 Siehe dazu oben § 2 A. II. 1.  579 LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018 – 6 TaBV 13/17, ZD 2018, 542 Rn. 47; ArbG Kaiserslautern, Beschl. v. 27. 8. 2008 – 1 BvGa 5/08, BeckRS 2010, 73916 (II.); Kramer /  Bongers, IT-Arbeitsrecht, B. Rn. 838; Göpfert / Papst, DB 2016, 1015 (1019); Gola / Pötters /  Wronka, AN-Datenschutz, Rn. 1279; Plath / Stamer / Kuhnke, § 26 Rn.  130; Besgen / P rinz /  Stümper, Arbeiten 4.0, § 5 Rn. 37; einschränk. Schröder, ZD 2013, 13 (15); § 87 Abs. 1 Nr. 6 BetrVG geht dem Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG als lex specialis vor, so auch Kramer / Raif, IT-Arbeitsrecht, C. Rn. 55. 580 Kritisch Haußmann / T hieme, NZA 2019, 1612 ff.; Wisskirchen / Schiller / Schwindling, BB 2019, 1460 ff.; Zumkeller, AuA 2015, 334 (336) jeweils m. w. N. 581 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 20. 582 So auch LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018 – 6 TaBV 13/17, ZD 2018, 542 Rn. 47; zum Begriff ErfK / Kania, § 87 BetrVG Rn. 49. 577

166

3. Kap.: Einfachgesetzlicher Rechtsrahmen

sind solche Systeme auch objektiv dazu geeignet583 („dazu bestimmt“), das Bewegungsverhalten und damit gegebenenfalls auch die Leistung individualisierbarer Beschäftigter unmittelbar584 zu überwachen.585 Das BAG hat wiederholt ausgesprochen, dass es auf eine Überwachungsabsicht nicht ankommt.586 Diese Aussage ist so zu verstehen, dass der Mitbestimmungstatbestand unabhängig davon eingreift, ob der Arbeitgeber die gewonnenen Daten und Aussagen zu einer Beurteilung des Verhaltens oder der Leistung verwenden will.587 Ausreichend – aber notwendig – ist, dass der Arbeitgeber das Ortungssystem einsetzt, um Beschäftigten-Positionsdaten zu erheben.588 Bei einer manuellen Ortung sind die Tatbestandsvoraussetzungen hingegen nicht erfüllt, da die Datenerhebung nicht mittels technischer Einrichtung, sondern durch menschliches Handeln gesteuert wird.589 Zudem greift das Mitbestimmungsrecht nur bei Ortungsmaßnahmen, die sich nach abstrakt-generellen Kriterien gegen einen Beschäftigten oder mehrere Beschäftigte richten, da § 87 Abs. 1 Nr. 6 BetrVG nach herrschender Meinung nicht bei Individualmaßnahmen ohne kollektiven Bezug gilt590. Damit sind Ortungsmaßnahmen im Verdachtsfall nicht erfasst.591 Zwar kann auch eine Einzelmaßnahme einen kollektiven Bezug aufweisen.592 Maßgeblich ist nicht die Anzahl der betroffenen Beschäftigten, sondern ob den individuellen Besonderheiten einzelner Beschäftigungsverhältnisse Rechnung getragen wird und sich die Maßnahme nur auf diese Beschäftigungs 583

StRspr. seit BAG, Beschl. v. 9. 9. 1975 – 1 ABR 20/74, NJW 1976, 261 f.; BAG, Beschl. v. 13. 12. 2016 – 1 ABR 7/15, NZA 2017, 657 Rn. 22; Fitting et al., BetrVG, § 87 Rn. 227; wird nur eine Attrappe verwendet, besteht kein Mitbestimmungsrecht, siehe LAG MecklenburgVorpommern, Beschl. v. 12. 11. 2014 – 3 TaBV 5/14, ZD 2015, 185 Rn. 19 f.; ErfK / Kania, § 87 BetrVG Rn. 49; Lang / L achenmann, NZA 2015, 591 f.; a. A. Kort, ZD 2016, 3 (5) u. Däubler, Gläserne Belegschaften, Rn. 308, wonach der Einsatz mitbestimmungsfrei ist, wenn allen Betroffenen der bloße Attrappencharakter bekannt ist. 584 BAG, Beschl. v. 9. 9. 1975 – 1 ABR 20/74, NJW 1976, 261 f. 585 LAG Schleswig-Holstein, Beschl. v. 25. 4. 2018 – 6 TaBV 13/17, ZD 2018, 542 Rn. 47; Besgen / P rinz / Stümper, Arbeiten 4.0, § 5 Rn. 35 ff.; eine Beschränkung auf arbeitsbezogenes Verhalten ist nicht überzeugend, s. Däubler, Gläserne Belegschaften Rn. 736 f. m. w. N.; eine Überwachung liegt auch vor, wenn die technische Einrichtung Aussagen liefert, die isoliert betrachtet noch keine sachgerechte Beurteilung des Beschäftigten ermöglichen, so auch ­Däubler, Gläserne Belegschaften Rn. 752 m. w. N. 586 BAG, Beschl. v. 9. 9. 1975 – 1 ABR 20/74, NJW 1976, 261 f.; BAG, Beschl. v. 13. 12. 2016 – 1 ABR 7/15, NZA 2017, 657 Rn. 22; BAG, Beschl. v. 11. 12. 2018 – 1 ABR 13/17, NZA 2019, 1009 Rn. 24; kritisch gegenüber der weiten Auslegung des BAG Wisskirchen / Schiller / Schwindling, BB 2017, 2105 (2106). 587 MHdB ArbR / Salamon, § 325 Rn. 38; ErfK / Kania, § 87 BetrVG Rn. 57. 588 Vgl. MHdB ArbR / Salamon, § 325 Rn. 37; Richardi / Maschmann, BetrVG, § 87 Rn. 516. 589 Vgl. BAG, Beschl. v. 8. 11. 1994 – 1 ABR 20/94, NZA 1995, 313. 590 BAG, Beschl. v. 10. 6. 1986  – 1 ABR 61/84, NZA 1986, 840 (841); ErfK / Kania, § 87 BetrVG Rn. 6; BeckOK ArbR / Werner, § 87 BetrVG Rn. 12; DKKW / Klebe, § 87 BetrVG Rn.  22 f.; GK-BetrVG / Wiese, § 87 Rn. 1 ff. 591 So auch Arnold, Mobile Arbeitnehmer, S. 149. 592 So auch Richardi / Richardi, BetrVG, § 87 Rn. 26–29.

§ 6 Anwendung und Modifikation des Maßstabs  

167

verhältnisse auswirkt.593 Letzteres ist in diesen Konstellationen aber gerade der Fall, da an besondere Eigenschaften oder Umstände angeknüpft wird, die nur die verdächtigten Beschäftigten betreffen. Das Mitbestimmungsrecht umfasst die Entscheidung über das „Ob“ der Einführung und das „Wie“ der Ausgestaltung von Ortungsmaßnahmen.594 Es bezieht sich auch auf Verarbeitungen, die nicht vom Arbeitgeber selbst, sondern vom LBSAnbieter vorgenommen werden.595 Für alle Ortungsmaßnahmen gilt, dass im Fall einer Einigung von Arbeitgeber und Betriebsrat die Anwendung dieser Regelung auf den Einzelfall sodann mitbestimmungsfrei ist.596 Nach § 87 Abs. 1 BetrVG ist das Mitbestimmungsrecht ausgeschlossen, wenn die Ortung tarifvertraglich vereinbart ist und kein Handlungsspielraum verbleibt.597 Für die Durchführung der betrieblichen Mitbestimmung bedarf es keiner besonderen Form, sie kann also sowohl durch eine einfache Betriebsabsprache als auch durch Abschluss einer Betriebsvereinbarung erfolgen.598 Im Fall einer Zuständigkeitsübertragung oder einer unternehmensweiten Einführung von Ortungssystemen, ist nach § 50 Abs. 1 S. 1 oder Abs. 2 BetrVG der Gesamtbetriebsrat zuständig.599 Bei Verletzung des Mitbestimmungsrechts kann der Betriebsrat gegenüber dem Arbeitgeber die Beseitigung der dem Ortungssystem zugrundeliegenden technischen Einrichtungen sowie die Unterlassung der über das Ortungssystem erfolgenden Datenverarbeitung verlangen.600 Beteiligt der Arbeitgeber den Betriebsrat, kommt aber keine Einigung zustande, entscheidet nach § 87 Abs. 2 BetrVG die Einigungsstelle. Darüber hinaus ergibt sich ein Mitbestimmungsrecht nicht zusätzlich aus § 87 Abs. 1 Nr. 14 BetrVG. Die Vorschrift regelt eine Mitbestimmung bei der inhaltlichen Ausgestaltung von mobiler Arbeit. Nach der Gesetzesbegründung liegt mobile Arbeit aber nicht vor, „wenn der Arbeitnehmer oder die Arbeitnehmerin die geschuldete Arbeitsleistung aufgrund deren Eigenart ortsgebunden erbringen muss“.601 Diese Ausnahme ist beim Einsatz von Ortungssystemen erfüllt. Die Ortung außerhalb des Betriebs erfolgt grundsätzlich gerade deshalb, weil die Beschäftigten ihre Arbeitsleistung an bestimmten Orten außerhalb des Betriebs zu erfüllen haben (z. B. Transport von Gegenständen, Taxigewerbe, Reinigungsdienst 593

StRspr. BAG, Beschl. v. 3. 12. 1991  – GS 2/90, NZA 1992, 749 (756 f.); ErfK / Kania, BetrVG, § 87 Rn. 6; BeckOK ArbR / Werner, § 87 BetrVG Rn. 12. 594 BAG, Beschl. v. 27. 1. 2004 – 1 ABR 7/03, NZA 2004, 556 (558 f.); Richardi / Richardi /  Maschmann, BetrVG, § 87 Rn. 525 ff. 595 Vgl. BAG, Beschl. v. 27. 1. 2004 – 1 ABR 7/03, NZA 2004, 556 (558); Gaul / Koehler, BB 2011, 2229 (2235). 596 Vgl. Richardi / Richardi, BetrVG, § 87 Rn. 31 m. w. N. 597 Vgl. BAG, Beschl. v. 10. 7. 1979 – 1 ABR 50/78, DB 1979, 2428; Bussche / Voigt / Wedde, Konzerndatenschutz, III. 6. Rn. 125. 598 BeckOK ArbR / Werner, § 87 BetrVG Rn. 103. 599 Vgl. BeckOK ArbR / Werner, § 87 BetrVG Rn. 104 m. w. N. 600 Vgl. Richardi / Richardi, BetrVG, § 87 Rn. 134–142 m. w. N.; vgl. ArbG Kaiserslautern, Beschl. v. 27. 8. 2008 – 1 BvGa 5/08, BeckRS 2010, 73916. 601 BT-Drs. 19/28899, 23. 

168

3. Kap.: Einfachgesetzlicher Rechtsrahmen

etc.). Das von § 87 Abs. 1 Nr. 14 BetrVG erfasste Szenario, dass ein Beschäftigter anstatt im Betrieb von einem Ort seiner Wahl oder einem mit dem Arbeitgeber vereinbarten Ort arbeitet (z. B. Home-Office), ist im Fall von Ortungsmaßnahmen nicht betroffen.602 II. Informationsrecht aus § 80 Abs. 2 i. V. m. § 80 Abs. 1 Nr. 1 BetrVG Darüber hinaus steht dem Betriebsrat ein Informationsrecht aus § 80 Abs. 2 i. V. m. § 80 Abs. 1 Nr. 1 BetrVG603 zu. Nach § 80 Abs. 1 Nr. 1 BetrVG kann der Betriebsrat die Einhaltung der Vorschriften der DSGVO und des BDSG überwachen.604 Damit der Betriebsrat überprüfen kann, ob die Ortung den datenschutzrechtlichen Vorgaben entspricht, ist der Arbeitgeber nach § 80 Abs. 2 BetrVG verpflichtet, den Betriebsrat entsprechend zu informieren und ihm die zur Durchführung dieser Aufgabe erforderlichen Unterlagen zur Verfügung zu stellen. Der nach § 80 Abs. 2 S. 1 BetrVG erforderliche Aufgabenbezug605 liegt vor, da dem Betriebsrat nach § 87 Abs. 1 Nr. 6 BetrVG ein Beteiligungsrecht zusteht606 und der Betriebsrat nach § 75 Abs. 2 BetrVG dazu verpflichtet ist, die freie Entfaltung der Persönlichkeit der Beschäftigten zu schützen und zu fördern607. Im Hinblick auf Ortungsmaßnahmen kann der Betriebsrat insbesondere folgende Auskünfte verlangen608: Wessen Positionsdaten werden zu welchen Zwecken verarbeitet? Auf welche Art und Weise (manuell oder automatisiert, Einzelheiten zum Ortungssystem, Frequenz, außerhalb oder nur innerhalb der Arbeitszeit, Heimlichkeit, Verwendung von Pseudonymen etc.) werden die Positionsdaten erhoben? Werden die Positionsdaten gespeichert und wenn ja, wie lange? Wer kann auf die Positionsdaten zugreifen? In welchen Fällen werden die Positionsdaten auf welche Art und Weise verwendet? Werden die Positionsdaten übermittelt und wenn ja, an wen? Welche organisatorischen und technischen Schutzmaßnahmen sind implementiert? Der Betriebsrat muss allerdings die konkrete Norm nennen, deren Einhaltung er überwachen will, und aufzeigen, warum die erstrebte Auskunft oder Einsicht dazu erforderlich ist.609 602

Vgl. BT-Drs. 19/28899, 23; ErfK / Kania, § 87 BetrVG Rn. 138: „verengt sich der Anwendungsbereich damit auf typische PC-gebundene Büroarbeitsplätze“. 603 Vgl. § 68 Abs. 2 i. V. m. § 68 Abs. 1 Nr. 2 BPersVG. 604 Vgl. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747 (748 f.); LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, ZD 2020, 262 Rn. 29. 605 Vgl. LAG Hessen, Beschl. v. 10. 12. 2018 – 16 TaBV 130/18, ZD 2019, 422 Rn. 27; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, ZD 2020, 262 Rn. 31. 606 Siehe dazu oben § 6 E. I. 607 Zum Verhältnis zwischen § 75 Abs. 2 BetrVG und DSGVO siehe Maier, Berufsbezogene Erreichbarkeit, S. 268 f. 608 Vgl. LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, ZD 2019, 262 Rn. 32; Althoff, ArbRAktuell 2018, 414 (416); Dahl / Brink, NZA 2018, 1231 (1233). 609 Vgl. BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055 Rn. 16–18.

§ 6 Anwendung und Modifikation des Maßstabs  

169

Weiter kann der Betriebsrat Einsicht in das vom Arbeitgeber gem. Art. 30 DSGVO zu führende Verarbeitungsverzeichnis sowie in die zur Datenverarbeitung verwendete Software und die gespeicherten Positionsdaten verlangen610. Das Recht der Beschäftigten auf informationelle Privatheit steht der begehrten Auskunft und Einsicht nicht entgegen. Nach ständiger Rechtsprechung des BAG kann sich weder der Arbeitgeber noch der Betriebsrat in betriebsverfassungsrechtlichen Streitigkeiten auf eine vermeintliche Verletzung individueller Rechtspositionen einzelner Beschäftigter berufen.611 Die gespeicherten Positionsdaten sind dem Betriebsrat allerdings für diesen anonym zur Verfügung zu stellen, also entweder ohne jeg­ liche Zuordnung oder einem Pseudonym zugeordnet, das der Betriebsrat nicht mit verhältnismäßigem Aufwand auflösen kann.612 Grund dafür ist, dass Ansprüche aus § 80 Abs. 2 BetrVG durch das Kriterium der Erforderlichkeit begrenzt sind.613 Zur Überwachung der Einhaltung datenschutzrechtlicher Vorgaben ist es grundsätzlich nicht erforderlich, dass der Betriebsrat gespeicherte Positionsdaten den Betroffenen zuordnen kann. Darüber hinaus können der begehrten Auskunft oder Einsicht datenschutzrechtliche Gründe entgegenstehen.614 III. Unterrichtungs- und Beratungsrecht aus § 90 Abs. 1 Nr. 2, Abs. 2 BetrVG Werden elektronische Geräte (z. B. Mobiltelefone, Tablets, Laptops oder ­Wearables) an die Beschäftigten ausgegeben, ist der Arbeitgeber nach § 90 Abs. 1 Nr. 2 und Abs. 2 BetrVG verpflichtet, den Betriebsrat über die Planung dieser Ausgabe von technischen Anlagen zu unterrichten und die Maßnahme und ihre Auswirkungen auf die Beschäftigten mit dem Betriebsrat zu beraten.615 Das gilt unabhängig davon, ob die Geräte zur Ortung genutzt werden sollen oder nicht. Die parallel vorzunehmende Unterrichtung der Beschäftigten hat nach § 81 Abs. 4 BetrVG zu erfolgen.616 Die ausgeteilten Geräte dienen mittelbar dem Betriebszweck und damit dem Arbeitsablauf, sodass sie technische Anlagen i. S. v. § 90 Abs. 1 Nr. 2 BetrVG

610

Vgl. BAG, Beschl. v. 17. 3. 1987 – 1 ABR 59/85, NZA 1987, 747 (749). BAG, Beschl. v. 20. 12. 1995  – 7 ABR 8/95, NZA 1996, 945 (947); BAG, Beschl. v. 14. 1. 2014 – 1 ABR 54/12, NZA 2014, 738 Rn. 29. 612 Kann der Betriebsrat die Positionsdaten dem Betroffenen aus dem Kontext zuordnen, liegt eine rechtfertigungsbedürftige Verarbeitung i. S. v. Art. 4 Nr. 2 DSGVO vor und es kommt darauf an, ob die Offenlegung der Positionsdaten an den Betriebsrat erforderlich i. S. v. § 26 BDSG ist, siehe dazu oben § 6 C. II. 1. c). 613 BAG, Beschl. v. 19. 10. 1999 – 1 ABR 75/98, NZA 2000, 837 (837 f.); BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055 Rn. 12 f. 614 Ausführl. zum dazu unten § 7 C. III. 4. a). 615 So auch Schulze / Ratzesberger, ArbRAktuell 2016, 301 (302); Müller / Becker, FA 2018, 74 (77); für Schutzanzüge mit GPS-Empfänger Roßnagel / Jandt / Skistims / Zirfas, Wearable Computing, S. 86; vgl. auch Richardi / Annuß, BetrVG, § 90 Rn. 11 „Bildschirmgeräte“. 616 Richardi / Annuß, BetrVG, § 90 Rn. 3. 611

170

3. Kap.: Einfachgesetzlicher Rechtsrahmen

sind.617 Sind kollektiv eingesetzte Ortungssysteme ein neues Verfahren zur Aufgabenerfüllung (z. B. zur Einsatzkoordinierung), kann der Betriebsrat zudem nach § 90 Abs. 1 Nr. 3 BetrVG mitwirken.618 Das Unterrichtungsrecht aus § 90 Abs. 1 Nr. 2 BetrVG sowie das Beratungsrecht aus § 90 Abs. 2 BetrVG überschneiden sich mit dem Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG, da zur Ortung regelmäßig die soeben genannten technische Anlagen ausgehändigt werden müssen.619 Gleichwohl stehen die beiden Normen nebeneinander, da die Zielrichtung eine andere ist.620 Im Rahmen von § 90 Abs. 1 Nr. 1 und Abs. 2 BetrVG soll nicht die Angemessenheit einer Überwachungsmaßnahme sichergestellt, sondern geplante technischen Anlagen an die Bedürfnisse der Beschäftigten angepasst und unnötige Belastungen und Beanspruchungen durch die Anlagen verhindert werden.621 Neben § 90 BetrVG kann das Mitbestimmungsrecht aus § 91 BetrVG einschlägig sein, wenn die Ortung eine Totalüberwachung bewirkt.622

F. Zwischenergebnis Verarbeitet ein Arbeitgeber Positionsdaten, die sich auf eine Person oder eine Sache beziehen, richtet sich die Zulässigkeit dieser Ortungsmaßnahme maßgeblich nach der DSGVO, sofern (1) die Positionsdaten durch den Einsatz eines Ortungssystems verarbeitet werden oder in einer geordneten manuellen Datensammlung gespeichert werden oder werden sollen, (2) der Arbeitgeber die erhobenen Positionsdaten einem Beschäftigten mit verhältnismäßigem Aufwand zuordnen kann und (3) ein räumlicher Bezug zur Europäischen Union besteht. Das gilt unabhängig davon, ob der Arbeitgeber die Positionsdaten einem Beschäftigten überhaupt zuordnen möchte. Der Arbeitgeber ist datenschutzrechtlich verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DSGVO und muss daher gewährleisten, dass die im Rahmen der Ortung erfolgende Datenverarbeitung zulässig ist. Setzt der Arbeitgeber ein Ortungssystem ein, ist er auf die Datenverarbeitung durch einen LBS-Anbieter angewiesen. Da es zur Erreichung der von Arbeitgebern regelmäßig verfolgten Ortungszwecke nicht erforderlich ist, dass der LBS-Anbieter die Positionsdaten einer Person zuordnen kann, müssen Arbeitgeber zur Gewährleistung der Zulässigkeit ihrer Ortungsmaßnahme sicherstellen, dass die vom LBS-Anbieter verarbeiteten Positionsdaten für 617

Vgl. Fitting et al., BetrVG, § 90 Rn. 20a; BeckOK ArbR / Werner, § 90 BetrVG Rn. 3. Vgl. Roßnagel / Jandt / Skistims / Zirfas, Wearable Computing, S. 86 f.; Richardi / Annuß, BetrVG, § 90 Rn. 13 f. 619 Vgl. BeckOK Arbeitsrecht / Werner, § 90 BetrVG Einf. 620 So auch BeckOK Arbeitsrecht / Werner, § 90 BetrVG Einf. 621 Fitting et al., BetrVG, § 90 Rn. 22; ErfK / Kania, § 90 BetrVG Rn. 1. 622 Vgl. BeckOK Arbeitsrecht / Werner, § 91 BetrVG Rn. 4 „übermäßige Kontrolle“; zum Verhältnis von § 90 und § 91 BetrVG ErfK / Kania, § 91 BetrVG Rn. 1. 618

§ 6 Anwendung und Modifikation des Maßstabs  

171

diesen anonym sind (z. B. durch Verschlüsselung). In diesem Fall ist die DSGVO auf die durch den LBS-Anbieter erfolgende Verarbeitung von Positionsdaten nicht anwendbar. Verarbeitet der LBS-Anbieter die Daten nicht anonym, ist der LBSAnbieter Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO. Aufgrund der Privilegierungswirkung der Auftragsverarbeitung ist die durch den LBS-Anbieter erfolgende Datenverarbeitung in diesem Fall dem Arbeitgeber zuzurechnen. Sie ist mangels Erforderlichkeit aber unzulässig.623 Die im Rahmen der Ortung erfolgende Verarbeitung von Positionsdaten ist nach der gegenüber nationalen Datenschutzgesetzen vorrangigen DSGVO gemäß dem Verbotsprinzip zulässig, wenn zumindest einer der folgenden drei Erlaubnistatbestände erfüllt ist: Der Beschäftigte hat in die Datenverarbeitung eingewilligt, die Datenverarbeitung wird durch eine rechtmäßige und wirksame Kollektivvereinbarung erlaubt oder die Datenverarbeitung ist nach § 26 Abs. 1 S. 1 oder 2 BDSG – im Fall von öffentlichen Arbeitgebern ggf. nach der im Wesentlichen die gleichen Voraussetzungen aufstellenden Norm des jeweiligen LDSG – gestattet. Die drei Erlaubnistatbestände stehen gleichrangig nebeneinander. Sowohl unionsrechtliche als auch nationale Vorschriften zum Datenschutz in der elektronischen Kommunikation sehen spezielle, der DSGVO vorgehende Voraussetzungen für den Zugriff auf Endeinrichtungen, darin gespeicherte Informationen oder – im Fall der unionsrechtlichen Vorschriften – davon ausgesendete Informationen vor. Relevant ist § 25 Abs. 1 S. 1 TTDSG sowie der noch im unionsrechtlichen Gesetzgebungsprozess diskutierte Art. 8 Abs. 1 und  2 ePrivacy-VO-E. Diese Voraussetzungen sind jedoch nicht anwendbar oder jedenfalls erfüllt, wenn Arbeitgeber mithilfe des LBS-Anbieters auf ihre eigenen, den Beschäftigten zur dienstlichen Nutzung zur Verfügung gestellten Endeinrichtungen zugreifen. Gleiches gilt für § 13 Abs. 1 S. 1 TTDSG, der auf den LBS-Anbieter anwendbar wäre, sofern dieser gleichzeitig TK-Anbieter ist. Grund dafür ist, dass die Vorschriften zum Datenschutz in der elektronischen Kommunikation den Betroffenen in erster Linie nur schützen, wenn dieser gleichzeitig Nutzer des Kommunikationsdienstes oder der Endeinrichtung ist. Ist das wie hier nicht der Fall, wird der Betroffene grundsätzlich „nur“ durch die allgemeinen Datenschutzvorschriften geschützt. Rechtsgrundlage für die Einwilligung ist Art. 6 Abs. 1 lit. a)  DSGVO i. V. m. Art. 88 DSGVO i. V. m. § 26 Abs. 2 und Abs. 3 S. 2 BDSG. Die Einwilligung ist nur wirksam, wenn der Beschäftigte sie bestimmt, informiert und freiwillig erteilt hat, was trotz Abhängigkeitsverhältnis grundsätzlich möglich ist. Je eingriffsintensiver die Ortung ist, desto eher ist die Freiwilligkeit zu verneinen. Erfolgt die Ortung zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung im Verdachtsfall oder zur verdachtslosen Verhaltens- oder Leistungskontrolle, ist die Freiwilligkeit zu verneinen, da die Ortung darauf gerichtet ist, Konsequenzen für den Betroffenen herbeizuführen.

623

Ausführl. dazu unten § 7 C. III. 1. e).

172

3. Kap.: Einfachgesetzlicher Rechtsrahmen

Eine Kollektivvereinbarung kann nach Art. 88 Abs. 1 und 2 DSGVO ein tauglicher selbständiger Erlaubnistatbestand für die Verarbeitung von Beschäftigtendaten zu Ortungszwecken sein, sofern sie mit den in Art. 5, 6 und 9 DSGVO normierten Grundprinzipien der DSGVO vereinbar ist. Danach muss die in der Kollektivvereinbarung enthaltene Regelung durch konkrete Vorgaben oder durch einen Verweis auf einzelne Vorschriften der DSGVO sicherstellen, dass im Rahmen von Ortungsmaßnahmen Beschäftigten-Positionsdaten nur verhältnismäßig verarbeitet werden. Insbesondere müssen der Ortungszweck, sowie Umfang und Umstände der Datenverarbeitung (z. B. Frequenz der Datenerhebung, Information des Betroffenen, Zugriffsberechtigte, Speicherdauer etc.) ausdrücklich festgelegt werden, wobei z. B. über den Begriff der Erforderlichkeit Raum für eine einzelfallgerechte Interessenabwägung gelassen werden muss. Innerhalb dieses gesteckten Rahmens sind die Kollektivparteien frei, eigene Regelungen zu treffen. Mit § 26 BDSG hat der deutsche Gesetzgeber die Öffnungsklausel in Art. 88 Abs. 1 DSGVO genutzt und drei eigenständige Erlaubnistatbestände geschaffen. Danach dürfen Beschäftigtendaten zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 Var. 1 BDSG), zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten (§ 26 Abs. 1 S. 1 Var.  2 BDSG) oder zur Aufdeckung einer Straftat (§ 26 Abs. 1 S. 2 BDSG) verarbeitet werden. Sofern der Anwendungsbereich der DSGVO eröffnet ist und ein Bezug zu deutschem Staatsgebiet besteht, ist grundsätzlich auch § 26 BDSG auf die im Rahmen der Ortung erfolgende Datenverarbeitung anwendbar. Die regelmäßig von Arbeitgebern mit der Ortung verfolgten Ortungszwecke624 werden von den drei Erlaubnistatbeständen erfasst. Davon ausgenommen ist eine Ortung zum Schutz vor durch Dritte  – nicht durch Beschäftigte  – begangenen Straftaten gegen das Eigentum oder Vermögen des Arbeitgebers, die sich nach Art. 6 Abs. 1 lit. f) DSGVO richtet. Alle drei Erlaubnistatbestände fordern, dass die Datenverarbeitung im Hinblick auf den Ortungszweck verhältnismäßig ist, wozu im Fall von § 26 Abs. 1 S. 2 BDSG konkrete Anforderungen aufgestellt werden (konkreter Tatverdacht). Arbeitgeber dürfen erhobene Beschäftigten-Positionsdaten nach Art. 6 Abs. 4 DSGVO grundsätzlich nur zu einem anderen als dem Erhebungszweck weiterverarbeiten, wenn der betroffene Beschäftigte in die Weiterverarbeitung eingewilligt hat oder die Weiterverarbeitung gem. § 26 Abs. 1 S. 2 BDSG zur Aufdeckung einer Straftat erforderlich ist und die Interessen des Betroffenen am Ausschluss der Verarbeitung nicht überwiegen oder die Daten zur Vereinfachung von Verwaltungsvorgängen weiterverarbeitet werden und im Einzelfall von einer Vereinbarkeit der Zwecke auszugehen ist. In allen drei Fällen muss die zweckändernde Weiterverarbeitung auf einen eigenen Erlaubnistatbestand gestützt werden.

624

Siehe dazu oben § 2 B. II.

§ 6 Anwendung und Modifikation des Maßstabs  

173

Unabhängig von der datenschutzrechtlichen Zulässigkeit ist zu beurteilen, ob die Ortungsmaßnahme betriebsverfassungsrechtlich oder personalvertretungsrechtlich zulässig ist, sofern beim Arbeitgeber ein Betriebs- oder Personalrat existiert. Im Hinblick auf Betriebsräte kann ein Mitbestimmungsrecht zur Einführung und Anwendung von Ortungsmaßnahmen aus § 87 Abs. 1 Nr. 6 BetrVG, ein Informationsrecht aus § 80 Abs. 1 Nr. 1 i. V. m. § 80 Abs. 2 BetrVG oder ein Unterrichtungs- und Beratungsrecht aus § 90 Abs. 1 Nr. 2 und Abs. 2 BetrVG betreffend die als Teil des Ortungssystems auszugebenden technischen Endeinrichtungen bestehen.

Viertes Kapitel

Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung Sofern der betroffene Beschäftigte nicht in die im Rahmen der Ortung erfolgende Datenverarbeitung eingewilligt hat, kann die Datenverarbeitung nur zulässig sein, wenn sie verhältnismäßig ist. Das fordern sowohl die Erlaubnistatbestände in § 26 Abs. 1 S. 1, 2 BDSG als auch der Erlaubnistatbestand der Kollektivvereinbarung.1 Zentrales Element der Zulässigkeitsprüfung ist damit eine Verhältnismäßigkeitsprüfung, bei der die widerstreitenden Interessen abgewogen werden. Dabei wird letztlich im Gewand des einfachgesetzlichen Datenschutzrechts über den Verhältnismäßigkeitsgrundsatz als Ausgleichsmechanismus ein Ausgleich auf der Grundrechtsebene hergestellt.2 Die Verhältnismäßigkeitsprüfung ist eine Einzelfallprüfung, weshalb keine allgemeingültigen Aussagen getroffen werden können. Gleichwohl können allgemeine Tendenzen herausgearbeitet werden: Auf welche Kriterien kommt es maßgeblich an? Wie geht die Rechtsprechung vor? Zu welchen Zwecken sind Ortungsmaßnahmen tendenziell zulässig oder unzulässig? Diese Fragen sollen zunächst in einem Leitfaden und schließlich in einer Fallanalyse beantwortet werden.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung Eine Ortungsmaßnahme ist verhältnismäßig, wenn das Interesse des von der Ortung betroffenen Beschäftigten am Ausschluss der Ortung nicht das Interesse des Arbeitgebers an der Ortung überwiegt. Das ist der Fall, wenn von der Ortung kein hohes Risiko für die Privatheit des Betroffenen ausgeht oder – falls von ihr ein hohes Risiko ausgeht – das Arbeitgeberinteresse so gewichtig ist, dass es überwiegt. Wie hoch das von einer Datenverarbeitung ausgehende Risiko ist, soll nach Erwägungsgrund 76 DSGVO anhand der Eintrittswahrscheinlichkeit der einzelnen Risiken und der Schwere der drohenden Beeinträchtigungen bestimmt werden.3 Es gilt die aus der unionsrechtlichen und nationalen Grundrechtsdogmatik stam 1

Siehe dazu oben § 6 C. II. 1. c) und 2. So auch Beyvers, Privatheit, S. 57–83; vgl. EuGH, Urt. v. 20. 5. 2003 – C-564/00, C-138/01, C-139/01, ECLI:EU:C:2003:294 Rn. 80 – Neukomm; EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 80 ff. – Google Spain; EGMR, Urt. v. 12. 1. 2016 – 37138/14, NJOZ 2017, 1372 Rn. 70–73 – Szabó u. Vissy / Ungarn. 3 So auch Art.-29-DSG, WP 217, S. 48 f. 2

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

175

mende4 Je-desto-Formel, die über den Verhältnismäßigkeitsgrundsatz (Art. 52 Abs. 1 GrCh) und dessen Konkretisierung durch das Erforderlichkeitsprinzip sowie über andere in der DSGVO und im BDSG verankerte Ausgleichsmechanismen, wie ausdrücklich angeordnete Interessenabwägungen oder unbestimmte Begriffe, auch im einfachgesetzlichen Datenschutzrecht gilt5. Nach Alexy gilt, „je höher der Grad der Nichterfüllung oder Beeinträchtigung des einen Prinzips ist, desto größer muss die Wichtigkeit der Erfüllung des anderen sein.“6 Die Begriffe der Eintrittswahrscheinlichkeit und Schwere der Beeinträchtigung waren ausdrücklich in der DSRL nicht enthalten, sind aber in der Grundrechtsdogmatik bekannte Parameter, die aus technischer Perspektive beleuchtet werden.7 Mit dem Kriterium der Schwere der Grundrechtsbeeinträchtigung ist die Eingriffsintensität oder – anders ausgedrückt – der Schutzbedarf des Betroffenen gemeint.8 Das Kriterium der Eintrittswahrscheinlichkeit ist insbesondere aus Alexys epistemisches Abwägungsmodell9 bekannt10: „Je schwerer ein Eingriff in ein Grundrecht wiegt, desto größer muß [sic] die Gewißheit [sic] der den Eingriff tragenden Prämissen sein“. Zunächst wird herausgearbeitet, welche Risiken mit einer Ortung von Beschäftigten typischerweise einhergehen (A.). Im Anschluss werden Kriterien hergeleitet, anhand derer im Einzelfall auf der einen Seite bestimmt werden kann, wie wahrscheinlich der Eintritt dieser Risiken ist und wie schwer die drohenden Beeinträchtigungen wiegen, und auf der anderen Seite, wie gewichtig das Datenverarbeitungsinteresse ist (B.). Schließlich wird die Struktur entwickelt, anhand derer unter Berücksichtigung der Abwägungskriterien die Interessen zum Ausgleich zu bringen sind (C.).

A. Typischerweise mit Ortungsmaßnahmen einhergehende Risiken Als Bezugsgröße für die Interessenabwägung werden die von Drackert herausgearbeiteten Risiken herangezogen, die mit der Verarbeitung personenbezogener Daten typischerweise einhergehen:11 4 Vgl. EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80 – Uzun / Deutschland; EuGH, Urt. v. 8. 4. 2014  – C-293/12, C-594/12, ECLI:EU:C:2014:238 Rn. 51 ff. – Digital Rights; BVerfG, Beschl. v. 10. 11. 2020 – 1 BvR 3214/15, NVwZ 2021, 226 Rn. 95 – Antiterrordateigesetz II. 5 Ausführlich Beyvers, Privatheit, S. 57–83; so auch Robrahn / Bremert, ZD 2018, 291 (293). 6 Alexy, in: GS Sonnenschein, S. 772. 7 Ebenso Bieker, DuD 2018, 27 (30). 8 Ebenso Bieker, DuD 2018, 27 (30). 9 Alexy, in: GS Sonnenschein, S. 789; BVerfG, Beschl. v. 4. 4. 2006  – 1 BvR 518/02, NJW 2006, 1939 Rn. 136 – Rasterfahndung. 10 Ebenso Bieker, DuD 2018, 27 (30). 11 Drackert, Risiken, S. 291–315; Veil, NVwZ 2018, 686 (694).

176

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Zunächst wird durch die Verarbeitung von Positionsdaten aufgrund der im Rahmen technischer Datenverarbeitungen entstehenden Datenmanipulations- und Ausspähungsmöglichkeiten das Risiko des Betroffenen erhöht, zum Opfer einer Straftat zu werden.12 Zum einen kann die Information, dass der Betroffene sich an einem bestimmten Ort aufhält oder aufgehalten hat, zu einer Erpressung oder dazu genutzt werden, dem Betroffenen aufzulauern und auf diese Weise die Begehung von Straftaten vereinfachen. Zum anderen kann die Information, dass der Betroffene sich nicht an einem bestimmten Ort (z. B. seiner Wohnung) aufhält, zur Begehung einer Straftat (z. B. Wohnungseinbruchsdiebstahl) genutzt werden. Zudem kann das Bekanntwerden von Positionsdaten zu einem gesellschaftlichen Achtungsverlust führen. Drackert ordnet dieses Risiko der Kategorie „Schamgefühl und Publizitätsschäden“ zu.13 Positionsdaten sind per se keine schambesetzten Informationen wie Sexual- oder Gesundheitsdaten.14 Werden Positionsdaten aber mit anderen Daten verknüpft, können sie über individuelles Verhalten oder persönliche Merkmale Aufschluss geben, die Raum für eine Bewertung schaffen. Beispielsweise kann zum Vorschein kommen, dass ein Beschäftigter jede Woche einen Spezialisten für eine bestimmte Krankheit aufsucht. Aus denselben Gründen besteht auch das Risiko der Diskriminierung oder Stigmatisierung15, das im Beschäftigungsverhältnis aufgrund der Leistungskomponente tendenziell erhöht ist. Wie viele Pausen macht der Betroffene? Wie viele Kunden sucht er im Vergleich zu den anderen Beschäftigten innerhalb eines gewissen Zeitraums auf? Hält er sich an die Vorgabe, während der Arbeitszeit keine privaten Erledigungen zu machen? Werden die Positionsdaten z. B. zur Abrechnung gegenüber Kunden langfristig gespeichert, ergeben sich aus dieser langfristigen Verfügbarkeit verschiedene Risiken.16 Das allgemeine Risiko zeitlich unbegrenzter Verfügbarkeit von Informationen für die Privatheit des Betroffenen erkannte der EuGH 2014 mit der Schaffung des sog. Rechts auf Vergessenwerden an.17 Aus der Fülle von Positionsdaten können Bewegungsprofile auch nach längerem Zeitablauf noch rekonstruiert und dazu genutzt werden, weitere Informationen zu gewinnen.18 Zudem 12

Vgl. Drackert, Risiken, S. 291–294. Drackert, Risiken, S. 294 f. 14 Vgl. Drackert, Risiken, S. 294. 15 Vgl. Drackert, Risiken, S. 295–299. 16 Vgl. Drackert, Risiken, S. 299–301. 17 EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 89 ff. – Google Spain; bestätigt in EuGH, Urt. v. 24. 9. 2019 – C-136/17, ECLI:EU:C:2019:773 Rn. 53, 77 – GC u. a. und EuGH, Urt. v. 24. 9. 2019 – C-507/17, ECLI:EU:C:2019:772 Rn. 45 ff. – Google; zustimmend BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 101–109 – Recht auf Vergessenwerden I; BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 276/17, NJW 2020, 314 Rn. 122 – Recht auf Vergessenwerden II. 18 Vgl. BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 103 – Recht auf Vergessenwerden I. 13

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

177

erhöht eine langfristige Verfügbarkeit das Risiko, dass Positionsdaten für andere Zwecke weiterverarbeitet oder entkontextualisiert werden.19 Weiß der betroffene Beschäftigte, dass prekäre Positionsdaten von ihm gespeichert werden, kann die Angst der Rekonstruktion zu einer Belastung werden und ein Loskommen von der Vergangenheit verhindern.20 Das Risiko der Entkontextualisierung besteht bei der Ortung von Beschäftigten auch unabhängig von der langfristigen Verfügbarkeit von Positionsdaten.21 Sieht der einen Lieferservice betreibende Arbeitgeber z. B. anhand der Positionsdaten, dass ein Beschäftigter sich in einem Bordell aufhält, kann diese Information durch eine unerwünschte Verwendung zu Rufschäden führen, wenn die Zusatzinformation, dass der Beschäftigte dort nur Essen ausgeliefert hat, nicht miteinbezogen wird.22 Gerade in der beruflichen Sphäre können solche isolierten Informationen Schwierigkeiten bereiten, da sie im Fall der Fehlerhaftigkeit nur schwer richtiggestellt und im Fall des Zutreffens nicht durch andere Aspekte der Persönlichkeit z. B. als „persönlichkeitsfremder Ausrutscher“ neutralisiert werden können.23 Zudem können negative Effekte auch daraus herrühren, dass Positionsdaten aus der beruflichen Sphäre in die private Sphäre übertragen werden.24 Ein solcher Fall wäre im oben genannten Beispiel z. B. gegeben, wenn die Information zum Aufenthalt im Bordell genutzt werden würde, um den Beschäftigten und dessen Partner auseinander zu bringen. Das nach Drackert typischerweise mit der Verarbeitung personenbezogener Daten einhergehende Risiko der Informationsemergenz25 besteht bei der Ortung insofern, als dass aus einem großen Umfang an Positionsdaten automatisiert neue, bislang nicht vorhandene Rückschlüsse gezogen werden können. Beispielsweise kann eine selbständige Routenplanung Rückschlüsse auf die Intelligenz, und das Bewegungsverhalten in den Pausen Rückschlüsse auf persönliche Vorlieben, sexuelle Orientierung oder die Gesundheit ermöglichen. Das sind nur wenige von vielen Beispielen. Eine große Rolle bei der Verarbeitung von Positionsdaten spielt das Risiko der Informationsfehlerhaftigkeit.26 Die zur Ortung eingesetzten Technologien ermöglichen keine exakte Genauigkeit. Je nach eingesetzter Technologie kann die Position nur auf mehrere Meter genau bestimmt werden. Aufgrund der Ungenauigkeit 19 Dazu BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 103 – Recht auf Vergessenwerden I; Drackert, Risiken, S. 301–304. 20 Vgl. BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 105 – Recht auf Vergessenwerden I; Gräf, Privatheit und Datenschutz, S. 221–233; Mallmann, Zielfunktionen, S. 43 f.; Drackert, Risiken, S. 300 f. 21 Vgl. Drackert, Risiken, S. 301–304. 22 Vgl. EKMR, Entsch. v. 11. 12. 1985 – 10473/83, DR 45, 121 – Lundvall / Schweden. 23 Vgl. Ehmann, AcP 188 (1988), 230, 245; Drackert, Risiken, S. 303. 24 Drackert, Risiken, S. 303 f. 25 Drackert, Risiken, S. 304 f. 26 Vgl. Drackert, Risiken, S. 305 f.

178

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

der Daten besteht ein großes Spekulationspotenzial. Befindet sich der Beschäftigte im Restaurant X oder in der angrenzenden Arztpraxis? Liefert der Beschäftigte dort essen aus oder hält er sich aus privaten Gründen an dem Ort auf? Insbesondere wenn der Beschäftigte durch die Erhebung der Positionen des Dienstfahrzeugs nur mittelbar geortet wird, kann spekuliert werden, wohin er sich vom Parkplatz aus begeben hat. Mit der Fehlinformation kann eine Präjudizwirkung einhergehen.27 Zudem kann die Verarbeitung von Positionsdaten durch den von der Ortung ausgehenden Verhaltens- und Anpassungsdruck28 das individuelle Verhalten des betroffenen Beschäftigten i. S. e. Fremdbestimmung negativ beeinflussen.29 Der Betroffene versucht sich möglichst unauffällig zu verhalten30, indem er bestimmte Orte, die Raum für Spekulation lassen, erst gar nicht aufsucht. In weiteren Beispielen dehnt der Betroffene seine Arbeitszeit über die vertraglich geregelten Arbeitszeiten hinaus aus, um den Eindruck einer besonders guten Leistung zu vermitteln oder missachtet Straßenverkehrsregeln, um möglichst schnell voranzukommen. Werden Positionsdaten verdeckt verarbeitet, besteht darüber hinaus das Risiko, dass eine berechtigte Vertraulichkeitserwartung des Betroffenen enttäuscht wird.31 Die Beeinträchtigung kann in den unmittelbaren Effekten wie der Auslösung von Schamgefühl liegen.32 Daneben kommen Sekundäreffekte in Betracht.33 Der Vertrauensverlust kann z. B. zu einer Verschlechterung oder sogar Beendigung des Beschäftigungsverhältnisses oder zu einem Verhaltens- und Anpassungsdruck führen. Das einzige von Drackert herausgearbeitete, typischerweise mit der Verarbeitung personenbezogener Daten einhergehende Risiko, das bei der Ortung von Beschäftigten nicht besteht, ist das Risiko der Menschenwürdeverletzung.34

B. Kriterien der Interessenabwägung Der Unionsgesetzgeber deutet in der DSGVO Kriterien an, anhand derer im Einzelfall35 bestimmt werden kann, wie hoch die Eintrittswahrscheinlichkeit der oben genannten Risiken ist und wie schwer die Beeinträchtigungen im Fall ihrer Realisierungen wiegen. Er fasst diese Kriterien unter den Oberbegriffen Art, Um-

27

Vgl. Mallmann, Zielfunktionen, S. 70–79. Ausführl. zum Verhaltens- und Anpassungsdruck unten § 7 B. I. und § 7 C. IV. 1. b). 29 Vgl. Drackert, Risiken, S. 310. 30 Vgl. BVerfG, Urt. V. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984 419 (422) – Volkszählung; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 31 Vgl. Drackert, Risiken, S. 310 f. 32 Vgl. Drackert, Risiken, S. 75; siehe auch EG 47 S. 3, 4 DSGVO. 33 Vgl. Drackert, Risiken, S. 75 m. w. N. 34 Zur Vereinbarkeit von Ortungsmaßnahmen mit der Menschenwürde siehe § 4 B. I. 2. 35 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1280). 28

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

179

fang, Umstände und Zweck der Datenverarbeitung zusammen.36 Zum anderen können der DSGVO Kriterien entnommen werden, anhand derer bestimmt werden kann, wie gewichtig das Datenverarbeitungsinteresse ist. Insgesamt decken sich diese Kriterien weitgehend mit den von Rechtsprechung, Literatur und Aufsichtsbehörden verwendeten Kriterien. I. Kriterien zur Bestimmung von Eintrittswahrscheinlichkeit und Schwere der drohenden Beeinträchtigung 1. Zweck der Datenverarbeitung a) Zweck ermöglicht oder fordert eine Bewertung des Betroffenen Ermöglicht oder bezweckt die Datenverarbeitung eine Bewertung des Betroffenen, ist dieser Umstand nach der DSGVO ein risikoerhöhender Faktor. Das ergibt sich insbesondere aus den Ausführungen zum sog. Profiling, bei dem personenbezogene Daten automatisiert verarbeitet werden, um bestimmte Aspekte einer Person zu analysieren und zu bewerten (vgl. Art. 35 Abs. 3 lit. a) DSGVO sowie Erwägungsgrund  71 und 91 S. 2).37 In der Rechtsprechung wird das Kriterium bislang nicht ausdrücklich aufgegriffen. Der Gedanke ist aber in den Ausführungen zu repressiven Überwachungsmaßnahmen enthalten, die ein besonders starkes Element der Bewertung enthalten und die von der Rechtsprechung als besonders eingriffsintensiv angesehen werden.38 Das BAG geht davon aus, dass der Überwachungs- und Anpassungsdruck besonders stark ist, wenn die Überwachung der Leistungsbewertung dient.39 In einer Entscheidung aus dem Jahr  2017 kam das BAG zu dem Ergebnis, dass ein IT-System, das dauerhaft alle Arbeitsschritte aller Beschäftigten während der gesamten Arbeitszeit mittels quantitativer Kriterien beobachtet und auswertet, ein schwerwiegender Eingriff in das Persönlichkeitsrecht der Beschäftigten ist, der durch das Interesse der Arbeitgeberin, die Belastungssituation der Beschäftigten zu erfassen und zu analysieren, um ihre Arbeitsabläufe umzugestalten und zu effektuieren, nicht gerechtfertigt ist.40 Die Aufsichtsbehörden sehen Datenverarbeitungen, die eine Bewertung des Betroffenen ermöglichen oder sogar bezwecken, ebenfalls als besonders kritisch an.41 Die Datenschutzkonferenz42 geht davon aus, dass von folgenden Datenver 36

Siehe EG 76 DSGVO. Zum Profiling siehe Kühling / Buchner / Buchner, DSGVO / BDSG, Art. 4 Nr. 4 Rn. 5–8. 38 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 29; BAG, Urt. v. 29. 6. 2017 – 2 AZR 597/17, NZA 2017, 1179 Rn. 27. 39 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 32 f. 40 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 28–38. 41 Art.-29-DSG, WP 248, S. 10; DSK, Verarbeitungstätigkeiten DSFA, Nr. 7, 8, 11, 13. 42 Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. 37

180

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

arbeitungen ein hohes Risiko ausgeht: (1) „Umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltes und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“43, (2) „Umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden“44, (3) „Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person“45, (4) „Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen“46. Auch in der Literatur wird das Element der Bewertung zutreffend als risikoerhöhend angesehen.47 Soll eine Bewertung herbeigeführt werden, soll das jeweilige Verhalten oder persönliche Merkmal des Betroffenen gerade nicht folgenlos bleiben.48 Zum einen ist die Wahrscheinlichkeit erhöht, dass Dritte an das Verhalten oder Merkmal Konsequenzen knüpfen, und zum anderen ist die Wahrscheinlichkeit erhöht, dass der Betroffene i. S. e. Fremdbestimmung sein Verhalten anpasst.49 Teilweise wird der Umstand, dass eine Datenverarbeitung gerade eine Bewertung bezweckt, sogar als maßgebliches Kriterium angesehen.50 Kritisch sind daher Ortungsmaßnahmen zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung sowie Ortungsmaßnahmen zur Verhaltens- oder Leistungskontrolle. In diesen Fällen wird eine Bewertung gerade bezweckt.51

43

DSK, Liste Verarbeitungstätigkeiten DSFA, Nr. 7 (Hervorhebung durch Verfasserin). DSK, Liste Verarbeitungstätigkeiten DSFA, Nr. 8 (Hervorhebung durch Verfasserin). 45 DSK, Liste Verarbeitungstätigkeiten DSFA, Nr. 11 (Hervorhebung durch Verfasserin). 46 DSK, Liste Verarbeitungstätigkeiten DSFA, Nr. 13 (Hervorhebung durch Verfasserin). 47 Schwichtenberg, Datenschutz, S. 54; Herfurth, ZD 2018, 514 (519); Ritter / Reibach / L ee, ZD 2019, 531 (533); zur Ortung Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818, 825; WHWS /  Byers, Datenschutz im ArbV, B. VII. Rn. 27, 29; Gola, ZD 2012, 308 (310). 48 Schwichtenberg, Datenschutz, S. 53–62; ähnlich Karg, ZD 2012, 255 (259 f.). 49 Vgl. Schwichtenberg, Datenschutz, S. 21–25; zur Fremdbestimmung durch einen Überwachungs- und Anpassungsdruck s. BVerfG, Urt. v. 11. 3. 2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 78 – Kennzeichenerfassung I; BAG, Urt. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 50 Siehe dazu unten § 7 C. IV. 1. d) aa). 51 Ausführl. dazu unten § 7 C. IV. 1. d) cc). 44

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

181

b) Eigeninteresse des Betroffenen Das von der Datenverarbeitung ausgehende Risiko wird zumindest teilweise kompensiert, wenn der Betroffene an der Datenverarbeitung interessiert ist.52 Nach der DSGVO ist das der Fall, wenn die Verarbeitung zur Erfüllung eines Vertrags erfolgt, dessen Vertragspartei der Betroffene ist (vgl. Art. 6 Abs. 1 lit. b)  DSGVO sowie Erwägungsgrund  44 und 71 S. 3), wenn die Verarbeitung zum Schutz lebenswichtiger Interessen des Betroffenen erfolgt (vgl. Art. 6 Abs. 1 lit. d), Art. 9 Abs. 2 lit. c) und Erwägungsgrund 46 S. 1 DSGVO) oder wenn Daten zur Erfüllung der dem Betroffenen aus dem Arbeitsrecht und dem Sozialrecht erwachsenden Rechte verarbeitet werden (vgl. Art. 9 Abs. 2 lit. b) DSGVO). Dieses Kriterium ist insbesondere bei Ortungsmaßnahmen zur Sicherheit der Beschäftigten zu beachten.53 2. Art der Datenverarbeitung a) Art und Kategorie der Daten Ein weiteres Kriterium zur Beurteilung von Eintrittswahrscheinlichkeit und Schwere der Beeinträchtigung ist laut DSGVO die Art der Daten (vgl. Art. 35 Abs. 3 lit. b) DSGVO und Erwägungsgrund 75 DSGVO). Dabei erkennt die DSGVO in Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) und Art. 10 DSGVO (personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten) besonders schützenswerte Kategorien von Daten an. Vertrauliche Daten, wie z. B. dem Berufsgeheimnis unterliegende personenbezogene Daten, werden von der DSGVO ebenfalls besonders geschützt (vgl. Art. 14 Abs. 5 lit. d) DSGVO). Auch Rechtsprechung, Aufsichtsbehörden und Literatur stützen sich auf diese Kriterien.54 Dabei weist die Rechtsprechung ausdrücklich auf die Persönlichkeitsrelevanz der Daten hin55, 52 Vgl. Art.-29-DSG, WP 115, S. 10; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 23; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818, 830; König, Beschäftigtendatenschutz, § 5 Rn. 90. 53 Siehe dazu Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818, 830; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 23. 54 EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 81, 98 – Google Spain; EuGH, Urt. v. 11. 12. 2019 – C-708/18, ECLI:EU:C:2019:1064 Rn. 57 – Asociatia de Proprietari; EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1447 Rn. 121 – Barbulescu / Rumänien; BVerfG, Urt. v. 20. 4. 2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 Rn. 200 – BKAGesetz „höchstvertrauliche[] Daten“; Art.-29-DSG, WP 217, S. 49 f.; DSK, Verarbeitungstätigkeiten DSFA, Nr. 1–4, 17; Herfurth, ZD 2018, 514 (516); Ritter / Reibach / L ee, ZD 2019, 531 (533); SHS / Scholz, Datenschutzrecht, Anhang 1 zu Art. 6 Videoüberwachung Rn. 100 ff. 55 BVerfG, Beschl. v. 4. 4. 2006 – 1 BvR 518/02, NJW 2006, 1939 Rn. 97 – Rasterfahndung; BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 21; konkret zur Ortung LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.).

182

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

die seit dem Volkszählungsurteil in erster Linie nicht mehr anhand der Sphärentheorie, sondern der Verknüpfbarkeit der Daten bestimmt wird56. Gleichwohl gilt, je eher die Daten Aufschluss über das Privatleben oder sogar den Kernbereich privater Lebensgestaltung geben können, desto größer ist die Persönlichkeits­ relevanz.57 Positionsdaten gehören weder zu den besonderen Kategorien von Daten i. S. v. Art. 9 Abs. 1 DSGVO noch sind sie rechtlich z. B. durch ein Berufsgeheimnis besonders geschützt. Dennoch können Positionsdaten bei Verknüpfung mit weiteren Daten etwas über die Persönlichkeit des Betroffenen aussagen.58 Dabei ist der Persönlichkeitsbezug bei von im Außenbereich erhobenen Positionsdaten aufgrund des Bewegungsspielraums tendenziell größer als bei einer Ortung im Innenbereich. Das gilt allerdings nur eingeschränkt, wenn den Beschäftigten nicht gestattet ist, mit dem Dienstfahrzeug private Angelegenheiten zu erledigen.59 Die Persönlichkeitsrelevanz steigt, wenn Positionsdaten nicht nur während der Arbeitszeit, sondern auch außerhalb der Arbeitszeit erhoben werden.60 Insgesamt muss berücksichtigt werden, dass „nur“ die Bewegungen aufgezeichnet werden, sodass die Ortung nur eingeschränkt dazu geeignet ist, überhaupt auffällige Verhaltensweisen aufzudecken.61 Ein Kernbereichsbezug (aber keine Kernbereichsbetroffenheit) kommt bei einer Ortung im Innenbereich insbesondere durch die Erfassung von Aufenthaltszeiten in sanitären Einrichtungen in Betracht.62 Im Außenbereich kann ein Kernbereichsbezug z. B. dadurch entstehen, dass ein Arztbesuch eines Außendienstmitarbeiters erfasst wird.63 b) Personenbezug der Daten Übereinstimmend wird angenommen, dass das von einer Datenverarbeitung ausgehende Risiko davon abhängt, wie schwer oder leicht die Daten einer Person

56

Siehe oben § 3 C.; anders Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 18. Vgl. BVerfG, Urt. v. 20. 4. 2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 Rn. 99 – BKA-Gesetz; Nebel, Persönlichkeitsschutz in Social Networks, S. 47; WHWS / Weth, Datenschutz im ArbV, B. I. Rn. 68. 58 Art.-29-DSG, WP 248 rev.01, S. 11; Weichert, SVR 2014, 201 (207). 59 Siehe Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 835. 60 Vgl. EGMR, Urt. v. 5. 9. 2017  – 61496/08, NZA 2017, 1447 Rn. 121  – Barbulescu /  Rumänien; BAG, Beschl. v. 29. 6. 2004  – 1 ABR 21/03, NZA 2004, 1278 (1281); Gola /  Pötters / Wronka, AN-Datenschutz, Rn. 1275. 61 S. LAG Baden-Württemberg, Urt. v. 25. 10. 2002  – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)); Tschöpe / Grimm, ArbR HdB, 6. F. Rn. 299; Wuttke, Straftäter im Betrieb, S. 206. 62 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818; siehe oben § 4 B. I. 2. b). 63 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818. 57

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

183

zugeordnet werden können.64 Je einfacher ein Datum einer Person zuordenbar ist, desto größer ist das Risiko, dass Dritte an die Information Konsequenzen knüpfen.65 In Art. 32 Abs. 1 lit. a) und Erwägungsgrund 28 DSGVO erkennt der Unionsgesetzgeber an, dass von pseudonymen Daten ein geringeres Risiko ausgeht. Ist die Identität festgestellt oder ist die Feststellung bloß möglich? Ist die Pseudonymität schwach oder stark? Wie viele Daten müssen verknüpft werden, um den Betroffenen zu identifizieren? c) Qualität der Daten Die Qualität der Daten ist ein weiteres Kriterium. Dabei geht es insbesondere um die Fehleranfälligkeit der Daten. Das ergibt sich z. B. aus Art. 5 Abs. 1 lit. d), Art. 18 Abs. 1 lit. a), Erwägungsgrund 39 S. 10 und 71 S. 5 DSGVO. Je ungenauer der Informationsgehalt der Daten ist, desto größer ist die Fehleranfälligkeit und desto höher das von der Datenverarbeitung ausgehende Risiko.66 Umgekehrt gilt, je genauer und detaillierter der Informationsgehalt der Daten ist, desto größer sind der Persönlichkeitsbezug und die damit einhergehenden Risiken.67 Im Hinblick auf Ortungsmaßnahmen ist mithin zu berücksichtigen, ob die Positionsdaten den nahezu exakten Standort des Beschäftigten wiedergeben oder lediglich Rückschlüsse auf diesen erlauben. d) Art und Weise der Datenverarbeitung Die DSGVO sieht besondere Verarbeitungssituationen als risikoerhöhend an. Dazu gehört insbesondere die Verarbeitung personenbezogener Daten unter Verwendung neuer Technologien (vgl. Art. 35 Abs. 1 S. 1, Erwägungsgrund  89 S. 4 und 91 S. 1 DSGVO), als Grundlage für rein automatisierte Einzelentscheidungen (vgl. Art. 22 und Art. 35 Abs. 3 lit. a) DSGVO), bei Drittlandsbezug (vgl. Art. 44 ff. und Art. 13 Abs. 1 lit. f) DSGVO) oder auf systematische Art und Weise in großem Umfang (vgl. Art. 35 Abs. 3 lit. c), Art. 37 Abs. 1 lit. b), Erwägungsgrund 31

64

BVerfG, Beschl. v. 18. 12. 2018 – 1 BvR 142/15, NJW 2019, 827 Rn. 43 – Automatische Kennzeichenerfassung II; BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 21; Art.-29-DSG, WP 217, S. 54; Beyvers, Privatheit, S. 85 f.; Härting, NJW 2013, 2065 (2067); Herfurth, ZD 2018, 514 (516); Schmitz, Beschäftigtendatenschutz, S. 201. 65 Herfurth, ZD 2018, 514 (516). 66 Ehmann / Selmayr / Kamann / Braun, DSGVO, Art. 16 Rn. 1; Herfurth, ZD 2018, 514 (516). 67 Vgl. BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 32; BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, NZA 2019, 1212 Rn. 39; Düsseldorfer Kreis, App-Anbieter, S. 17 u. 25; Arnold, Mobile Arbeitnehmer, S. 152; Göpfert / Papst, DB 2016, 1015 (1019); ­Johannes, ZD-Aktuell 2016, 05321; Bräutigam / Rücker / Rücker / L oeck, E-Commerce, 10. E. Rn. 10; Sachs / Meder, ZD 2013, 303 (306); Wuttke, Straftäter im Betrieb, S. 206.

184

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

S. 2,  75, 91 S. 3 DSGVO). Diesen Ansatz vertreten auch Rechtsprechung, Aufsichtsbehörden und Literatur.68 Die zur Ortung typischerweise verwendeten Technologien sind nicht neu. Bei einer automatisierten Ortung unter Einsatz eines Ortungssystems liegt aber eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ i. S. v. Art. 37 Abs. 1 lit. b) DSGVO vor. Eine systematische Überwachung in großem Umfang ist deshalb ein risikoerhöhender Faktor, weil systematisch erhobene Daten leichter verknüpft werden können.69 Es können leichter Rückschlüsse auf die Persönlichkeit des Betroffenen gezogen, neue Informationen gewonnen und Persönlichkeitsprofile erstellt werden, ohne dass der Betroffene diesen Prozess kontrollieren kann.70 Eine regelmäßige und systematische Überwachung liegt vor, wenn die Überwachung nicht nur Einzelsituationen oder Einzelmerkmale der Betroffenen erfasst, sondern organisiert und methodisch Daten erhoben werden, um diese mit anderen Daten zu kombinieren und auszuwerten.71 Die Artikel-29Datenschutzgruppe nennt als Beispiel ausdrücklich die Erhebung von Verkehrsund Ortsdaten i. S. e. Standortverfolgung.72 Je lückenloser und dauerhafter Daten erhoben werden und je mehr die Überwachung in den persönlichen Bereich des Betroffenen eindringt, desto höher ist das von der Datenverarbeitung ausgehende Risiko.73 Insofern überschneidet sich das Kriterium der Art und Weise mit dem Kriterium des Umfangs der Datenverarbeitung. Inwiefern eine umfangreiche systematische Überwachung sich auf das Risiko der Datenverarbeitung auswirkt, bestimmt das BAG anhand des auf die Betroffenen einwirkenden sog. Überwachungs- und Anpassungsdrucks.74 Ausgangspunkt ist, dass Beschäftigte „in ihrer Freiheit, aus eigener Selbstbestimmung 68

Zur Verwendung neuer Technologien s. EGMR, Urt. v. 12. 1. 2016  – 37138/14, NJOZ 2017, 1372 Rn. 53, 68 – Szabó u. Vissy / Ungarn; Art.-29-DSG, WP 248, S. 12; zu rein automatisierten Einzelentscheidungen Art.-29-DSG, WP 248, S. 10; Herfurth, ZD 2018, 514 (519); zu Datenverarbeitungen mit Drittlandsbezug BVerfG, Urt. v. 20. 4. 2016 – 1 BvR 966/09, 1 BvR 1140/09, NJW 2016, 1781 Rn. 322 ff. – BKA-Gesetz. 69 Vgl. EuGH, Urt. v. 8. 4. 2014  – C-293/12, C-594/12, ECLI:EU:C:2014:238 Rn. 26 f.  – Digital Rights; EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 44 – Uzun / Deutschland; BVerfG, Beschl. v. 4. 4. 2006 – 1 BvR 518/02, NJW 2006, 1939 Rn. 70 – Ratserfahndung. 70 Vgl. EuGH, Urt. v. 13. 5. 2014 – C-131/12, ECLI:EU:C:2014:317 Rn. 80 – Google Spain; BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984, 419 (421) – Volkszählung; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281); Art.-29-DSG, WP 248 rev.01, S. 10 f. u. WP 217, S. 50. 71 Art.-29-DSG, WP 243, S. 10; Ehmann / Selmayr / Selk, DSGVO, Art. 37 Rn. 23. 72 Art.-29-DSG, WP 243, S. 10; Ehmann / Selmayr / Selk, DSGVO, Art. 37 Rn. 23. 73 Vgl. EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1447 Rn. 121 – Barbulescu / Rumänien; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33; Kramer / Bongers, ITArbeitsrecht, B. Rn. 818. 74 Zum Überwachungs- und Anpassungsdruck statt vieler BAG, Urt. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281) mit kritischer Anm. Ehmann, AP BetrVG 1972 § 87 Überwachung Nr. 41, Kommentar des BAG zu dieser Einschätzung in BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 29.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

185

zu planen und zu entscheiden“, durch eine Überwachung des Arbeitgebers nicht „wesentlich gehemmt werden“ dürfen.75 „Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert oder als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen“.76 3. Umfang der Datenverarbeitung a) Menge der Daten Dass die Menge der verarbeiteten Daten sich auf das von einer Datenverarbeitung ausgehende Risiko auswirkt, ergibt sich neben dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c)  DSGVO ausdrücklich aus Art. 35 Abs. 3 lit. b) sowie aus Erwägungsgrund 75 und 91 S. 1 DSGVO. Auch Rechtsprechung, Aufsichtsbehörden und Literatur stellen auf die Menge der verarbeiteten Daten ab.77 Je mehr Positionsdaten erhoben werden, desto leichter lassen sich die Daten so verknüpfen (Stichwort Persönlichkeitsprofil)78, dass aus ihnen neue Informationen gewonnen werden können79, und desto größer ist die Verhaltensbeeinflussung i. S. e. Fremdbestimmung.80 Manuelle Ortungsmaßnahmen sind tendenziell weniger eingriffsintensiv, da grundsätzlich weniger Daten verarbeitet werden als beim Einsatz eines Ortungssystems. Maßgeblich ist die Frequenz der Datenerhebung.81 b) Dauer und Häufigkeit der Datenverarbeitung Eng mit der Menge der erhobenen Daten hängt die Dauer der Datenverarbeitung als risikoerhöhendes Kriterium zusammen.82 Je dauerhafter Daten erhoben 75

Statt vieler BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). BVerfG, Urt. v. 15. 12. 1983 – 1 BvR 209/83, NJW 1984, 419 (422) – Volkszählung; zust. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 77 EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80  – Uzun / Deutschland; BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 97 – Recht auf Vergessenwerden I; Art.-29-DSG, WP 217, S. 50 f. u. WP 248 rev.01, S. 11 f.; ­Herfurth, ZD 2018, 514 (516). 78 Ausführl. zur Verknüpfung von Daten siehe ULD SH, Verkettung digitaler Identitäten. 79 Herfurth, ZD 2018, 514 (516); Schantz / Wolff / Schantz, Datenschutzrecht, Rn. 732; diff. Roßnagel / Pfitzmann / Garstka, Datenschutzrecht, S. 118 f. 80 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 81 Vgl. EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80 – Uzun / Deutschland; OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, NJW 2019, 2404 Rn.  76; NK-ArbR / Brink, § 32 Rn. 123. 82 EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80  – Uzun / Deutschland; BAG, Beschl. v. 29. 6. 2004  – 1 ABR 21/03, NZA 2004, 1278 (1281); Art.-29-DSG, WP 248 rev.01, S. 11; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818; Herfurth, ZD 2018, 514 (519). 76

186

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

werden, desto mehr Daten werden verarbeitet. Anknüpfungspunkte für das Kriterium der Dauer bieten Art. 5 Abs. 1 lit. c), 28 Abs. 3 S. 1, Erwägungsgrund 113 S. 2 DSGVO. Aus Erwägungsgrund 80 und 94 S. 2 DSGVO ergibt sich, dass eine „gelegentlich“ erfolgende Datenverarbeitung weniger riskant als eine „häufige“ Datenverarbeitung ist. Dabei steigt das Risiko mit der Anzahl an Personen, die Zugriff auf die Daten haben (vgl. Art. 6 Abs. 3 S. 3 und Art. 32 Abs. 2 DSGVO).83 Relevant ist laut DSGVO auch das Kriterium der Speicherdauer (vgl. Art. 5 Abs. 1 lit. e) und Art. 16 DSGVO). Dieser Einschätzung stimmen Rechtsprechung, Aufsichtsbehörden und Literatur zu.84 Vor diesem Hintergrund ist ein zeitlich unbegrenzter Einsatz eines Ortungssystems auf unbestimmte Zeit eingriffsintensiver als ein nur vorübergehend aus aktuellem Anlass erfolgender Einsatz. 4. Umstände der Datenverarbeitung a) Verhältnis zwischen datenverarbeitender Stelle und Betroffenem Als weiteres Kriterium nennt die DSGVO das Verhältnis zwischen datenverarbeitender Stelle und Betroffenem (vgl. Art. 6 Abs. 4 lit. b), Art. 7 Abs. 4, Art. 8, Erwägungsgrund 50 S. 6, 71 S. 5 und 75 DSGVO).85 Anknüpfungspunkt ist ein etwaig bestehendes Ungleichgewicht zwischen den Parteien, das sich aus einer noch nicht voll ausgebildeten Reife (insbesondere bei Kindern, vgl. Erwägungsgrund 38 DSGVO), einem Wissensgefälle (z. B. bei komplexen Datenverarbeitungen im Anbieter-Nutzer-Verhältnis, vgl. Erwägungsgrund 58 S. 3 DSGVO) oder einem Abhängigkeitsverhältnis (insbesondere im Beschäftigungsverhältnis, vgl. Art. 88 Abs. 2 DSGVO) oder allgemein einem Über-/Unterordnungsverhältnis (z. B. zwischen Bürgern und Behörden, vgl. Erwägungsgrund 43 DSGVO) ergeben kann.86 Das Ungleichgewicht kann sich insbesondere auf die Erwartbarkeit der Datenverarbeitung, die Fremdbestimmung und die Wahrnehmung von Betroffenenrechten auswirken.87 Die besondere Situation des Beschäftigungsverhältnisses wird in der DSGVO an verschiedenen Stellen angedeutet.88 Auf der einen Seite erkennt der Unionsge 83

EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80  – Uzun / Deutschland; BGH, Urt. v. 12. 7. 2018 – III ZR 183/17, NJW 2018, 3178 Rn. 92; Art.29-DSG, WP 217, S. 50; Kühlung / Buchner / Hartung, DSGVO / BDSG, Art. 24 DSGVO Rn. 14; Herfurth, ZD 2018, 514 (517). 84 Vgl. OVG Lüneburg, Urt. v. 7. 9. 2017 – 11 LC 59/16, ZD 2018, 50 Rn. 42; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 53; Art.-29-DSG, WP 248 rev.01, S.  11; Paal / Pauly / Martini, DSGVO / BDSG, Art. 24 DSGVO Rn. 34a. 85 Vgl. BVerfG, Beschl. v. 6. 11. 2019 – 1 BvR 16/13, NJW 2020, 300 Rn. 77 u. 85 – Recht auf Vergessenwerden I; BGH, Urt. v. 12. 7. 2018 – III ZR 183/17, NJW 2018, 3178 Rn. 85; Art.29-DSG, WP 217, S. 51 f. u. WP 248 rev.01, S. 12; Herfurth, ZD 2018, 514 (518). 86 Herfurth, ZD 2018, 514 (518) m. w. N. 87 Vgl. Art.-29-DSG, WP 248 rev.01, S. 12. 88 Siehe dazu Beyvers, Privatheit, S. 98.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

187

setzgeber an, dass Arbeitgeber ein berechtigtes Interesse an der Verarbeitung von Beschäftigtendaten haben können (vgl. Erwägungsgrund 47 S. 2 DSGVO). Auf der anderen Seite geht er aus diesem Grund von einer besonderen Gefährdungslage für Beschäftigte aus (vgl. Erwägungsgrund 75 DSGVO). Im Beschäftigungsverhältnis besteht tendenziell ein Machtungleichgewicht, da Arbeitgeber den Einsatz von IT-Systemen (ggf. unter Mitbestimmung der Beschäftigtenvertretung) am Arbeitsplatz vorgeben können und daraus für Beschäftigte das Gefühl resultieren kann, die Datenverarbeitung nicht abwenden oder beeinflussen zu können.89 Um vor dem Arbeitgeber ein möglichst gutes Bild abzugeben, sind Beschäftigte dazu geneigt, der Datenverarbeitung nicht zu widersprechen und ihre Betroffenenrechte nicht auszuüben.90 Das konkrete Machtgefälle ist im Einzelfall zu bestimmen.91 Das BAG lässt die besondere Situation des Beschäftigungsverhältnisses in die Bestimmung des Überwachungs- und Anpassungsdrucks miteinfließen.92 Je größer das Machtgefälle, desto größer der Überwachungs- und Anpassungsdruck. b) Erwartbarkeit der Datenverarbeitung Die DSGVO macht an vielen Stellen deutlich, dass eine Datenverarbeitung für den Betroffenen weniger belastend ist, wenn sie vernünftigerweise erwartbar ist (vgl. Erwägungsgrund 47 S. 1 HS. 2 DSGVO). Maßgeblich ist eine objektive Betrachtung.93 Ob eine Datenverarbeitung vernünftigerweise erwartbar ist, hängt zum einen davon ab, ob die datenverarbeitende Stelle die Datenverarbeitung transparent gemacht hat94, und zum anderen davon, in welchem Verhältnis Betroffener und Datenverarbeiter zueinander stehen95. Weiß der Betroffene von der Datenerhebung, ist es wenig wahrscheinlich, dass er ein Verhalten oder persönliches Merkmal offenbart, das im Falle des Bekanntwerdens Konsequenzen bewirken könnte. Zudem ist eine verdeckte Datenverarbeitung für den Betroffenen deshalb risikoerhöhend, weil er die Datenverarbeitung nicht kontrollieren und damit durch Ausübung seiner Betroffenenrechte nicht beeinflussen und keinen Rechtsschutz suchen kann.96

89

Schuler / Weichert, Zukunft des Beschäftigtendatenschutzes, S. 12. Vgl. Art.-29-DSG, WP 248 rev.01, S. 12. 91 So auch Herfurth, ZD 2018, 514 (519). 92 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 93 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 61; Herfurth, ZD 2018, 514 (518). 94 Vgl. Art. 5 Abs. 1 lit. a) Var. 3, Art. 12–14 und EG 39 S. 2, 58, 60, 61, 78 S. 3 DSGVO; Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 68; Herfurth, ZD 2018, 514 (518). 95 Vgl. EG 47 DSGVO; Art.-29-DSG, WP 217, S. 51; SHS / Schantz, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 108. 96 Vgl. EGMR, Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697 Rn. 116 – Lopez ­Ribalda / Spanien; BVerfG, Urt. v. 11. 3. 2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 79 – Kennzeichenerfassung I; BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 21; Beyvers, Privatheit, S. 99. 90

188

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Dieser Gedanke ergibt sich insbesondere aus Art. 12–22 DSGVO und Erwägungsgrund 7 S. 2, 59, 75, 78 S. 3 und 91 S. 1 DSGVO. Auch Rechtsprechung, Aufsichtsbehörden und Literatur stellen auf das Kriterium ab.97 Danach dürfen Beschäftigte vernünftigerweise erwarten, dass im Privatbereich keine Überwachung stattfindet.98 Umgekehrt folgt daraus aber nicht, dass Beschäftigte während der Arbeitszeit keine berechtigte Privatheitserwartung haben können. Zwar ist der Arbeitsort kein Privatraum, sodass während der Arbeitszeit grundsätzlich eine geringere Privatheitserwartung besteht.99 Je nach Einzelfall sind Beschäftigte „betriebsöffentlich“ tätig und ihr Bewegungsverhalten der Beobachtung ausgesetzt.100 Wie der EGMR allerdings zutreffend ausführt, „gibt es einen Bereich wechselseitiger Beziehungen einer Person mit anderen, der selbst dann zum ‚Privatleben‘ gehören kann, wenn die wechselseitigen Beziehungen in den öffentlichen Raum hineinreichen“.101 Insbesondere dürften Beschäftigte „erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht ‚ins Blaue hinein‘ oder wegen des Verdachts bloß geringfügiger Verstöße eine verdeckte Überwachung und gegebenenfalls ‚Verdinglichung‘ von ihnen gezeigter Verhaltensweisen erfolgt“.102 Im Hinblick auf Ortungsmaßnahmen folgt daraus, dass Beschäftigte ohne entgegenstehende Hinweise vernünftigerweise erwarten dürfen, dass auf sie bezogene Positionsdaten nicht außerhalb der Arbeitszeit, verdeckt oder lückenlos und „ins Blaue hinein“ erhoben werden. Je betriebsöffentlicher die Bewegungen sind, desto geringer ist die berechtigte Vertraulichkeitserwartung. c) Beeinflussbarkeit der Datenverarbeitung Eng mit der Erwartbarkeit hängt auch die Beeinflussbarkeit der Datenverarbeitung zusammen.103 Je weniger Einfluss der Betroffene auf die Verarbeitung hat, 97

Siehe EuGH, Urt. v. 11. 12. 2019 – C-708/18, ECLI:EU:C:2019:1064 Rn. 58 – Asociatia de Proprietari; EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1443 Rn. 121 – Barbulescu /  Rumänien; BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 44; Art.-29-DSG, WP 217, S. 51; EDSA, Leitlinien 03/2019, Rn. 36 ff.; Herfurth, ZD 2018, 514 (518); SHS / Schantz, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 108–110. 98 BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 54. 99 So auch BAG, Urt. v. 27. 3. 2003 – 2 AZR 51/02, NZA 2003, 1193 (1195); Gasch, Mauterfassung, S. 210; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 144. 100 BAG, Urt. v. 27. 3. 2003 – 2 AZR 51/02, NZA 2003, 1193 (1195); BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 144. 101 Statt aller EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 43 – Uzun / Deutschland. 102 BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 53. 103 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 15; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1273; SHS / Schantz, Datenschutzrecht, Art. 6 Abs. 1 DSGVO Rn. 110.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

189

desto größer ist das Risiko der Fremdbestimmung und der Informationsfehlerhaftigkeit.104 Einfluss kann zum einen daraus resultieren, dass der Betroffene die Daten selbst zur Verfügung stellt (vgl. Art. 9 Abs. 2 lit. a), und e) DSGVO)105 und zum anderen aus der Möglichkeit, sich der Datenverarbeitung zu entziehen106. Damit ist eine Ortung weniger riskant, wenn der Beschäftigte die Positionsdaten selbst zur Verfügung stellt (z. B. durch Mitteilung am Telefon oder Führung eines Fahrtenbuchs).107 Maßgeblich ist zudem, ob der betroffene Beschäftigte der räumlich begrenzten Ortung ausweichen, das Ortungssystem ausschalten oder durch Ausziehen z. B. des Smart-ID-Batches die Zuordnung unterbrechen kann. Kann der Arbeitgeber allerdings nachvollziehen, ob ein Ortungssystem während der Arbeitszeit abgeschaltet wurde, besteht ein gewisser Zwang, das Ortungssystem in Betrieb zu lassen, um keinen Raum für Spekulation zu schaffen. Zudem ist ein Beschäftigter vertraglich verpflichtet, sich an dem vom Arbeitgeber bestimmten Ort aufzuhalten, um dort seine Arbeitsleistung zu erbringen.108 d) Anzahl der Betroffenen Nach Erwägungsgrund 75 DSGVO ist eine Datenverarbeitung umso riskanter desto mehr Personen von ihr betroffen sind. Auch Rechtsprechung und Literatur argumentieren in diese Richtung.109 Die Aufsichtsbehörden beachten die Anzahl der Betroffenen insbesondere im Zusammenhang mit dem Umfang der Datenverarbeitung.110 Nach hier vertretener Ansicht hat die Anzahl der Betroffenen in beide Richtungen zwei risikoerhöhende Auswirkungen. Einerseits können bei einer Vielzahl Betroffener leichter Verhalten und persönliche Merkmale verglichen und bewertet werden.111 Andererseits ist das Risiko der Fremdbestimmung sowie der Diskriminierung und Stigmatisierung besonders groß, wenn sich die Datenverarbeitung nicht auf alle Beschäftigte einer Gruppe bezieht, sondern einzelne „herausgepickt“ werden.112 Mit dem BVerfG ist zudem darauf abzustellen, ob durch 104

Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33; Herfurth, ZD 2018, 514 (517 f.). 105 Vgl. BGH, Urt. v. 12. 7. 2018 – III ZR 183/17, NJW 2018, 3178 Rn. 89; Beyvers, Privatheit, S. 86 f.; Herfurth, ZD 2018, 514 (516 f.). 106 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33; Schmitz, Beschäftigtendatenschutz, S. 205. 107 ArbG Heilbronn, Urt. v. 30. 1. 2019  – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 48; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 34, 39; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 12, 15; Däubler, Gläserne Belegschaften, Rn. 322. 108 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283). 109 EuGH, Urt. v. 6. 10. 2015  – C-362/14 ECLI:EU:C:2015:650 Rn. 78  – Schrems I; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1284); Paal / Pauly / Martini, DSGVO /  BDSG, Art. 24 DSGVO Rn. 33; Herfurth, ZD 2018, 514 (517 f.). 110 Art.-29-DSG, WP 248, S. 11. 111 So auch Paal / Pauly / Martini, DSGVO / BDSG, Art. 24 DSGVO Rn. 33; Robrahn / Bremert, ZD 2018, 291 (294); Herfurth, ZD 2018, 514, 517 f. m. w. N. 112 Vgl. BAG, Urt. V. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 29.

190

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

die Maßnahme auch Daten (unbeteiligter) Dritter verarbeitet werden (Stichwort Streubreite).113 Zu einer solchen Situation kann es bei Ortungsmaßnahmen z. B. kommen, wenn der verdächtige Beschäftigte mit einem unverdächtigen Beschäftigten eine Fahrgemeinschaft bildet, deren Bewegungen erfasst werden.114 II. Kriterien zur Gewichtung des Datenverarbeitungsinteresses 1. Abstrakter Rang des Schutzguts Die DSGVO enthält die Wertung, dass Datenverarbeitungen, die einem Schutzgut von abstrakt hohem Rang dienen, auch bei hohem Risiko zulässig sein können. Das gilt insbesondere für den Schutz von Leben und Gesundheit, wie sich z. B. aus Art. 6 Abs. 1 lit. d) und Art. 9 Abs. 2 lit. h) und i) DSGVO ergibt. Darüber hinaus hat der Unionsgesetzgeber öffentliche Interessen mit einigem Gewicht belegt (vgl. Art. 6 Abs. 1 lit. e) und Art. 9 Abs. 2 lit. g) DSGVO).115 Auch Rechtsprechung und Literatur sind sich einig, je gewichtiger das geschützte Rechtsgut, desto niedriger darf die Wahrscheinlichkeit sein, mit der auf eine drohende oder erfolgte Verletzung des Rechtsguts geschlossen werden kann.116 Dient die Ortung der Sicherheit des Beschäftigten, sind mit den Schutzgütern Leben und Gesundheit Schutzgüter von besonders hohem Rang betroffen.117 Sollen mit der Ortung Beweismittel zur Aufklärung einer Straftat erlangt werden, sind öffentliche Interessen wie die Bekämpfung von Straftaten und der Schutz einzelner Grundrechtsträger vor Straftaten betroffen.118 In solchen Fällen geht die Rechtsprechung tendenziell von einem Überwiegen des Datenverarbeitungsinteresses aus.119 Aber auch rein unternehmerische Interessen können vor dem Hintergrund der grundrechtlich geschützten unternehmerischen Entscheidungsfreiheit ein erhebliches Gewicht haben.120 Zudem können Belange Dritter, wie die Interessen von Kunden, berücksichtigt werden.121

113

BVerfG, Urt. v. 3. 3. 2004 – 1 BvR 2378/98, 1 BvR 1084/99, NJW 2004, 999 (1012) – großer Lauschangriff; zust. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 114 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818. 115 Beyvers, Privatheit, S. 101 f.; auch das BAG hebt in der Abwägung Interessen der Allgemeinheit hervor, siehe BAG, Urt. v. 17. 11. 2016 – 2 AZR 730/15, NZA 2017, 394 Rn. 32. 116 BVerfG, Beschl. v. 4. 4. 2006 – 1 BvR 518/02, NJW 2006, 1939 Rn. 136 – Rasterfahndung; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818. 117 Vgl. OVG Lüneburg, Urt. v. 7. 9. 2017 – 11 LC 59/16, ZD 2018, 50 Rn. 41; OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, NJW 2019, 2404 Rn. 85. 118 Vgl. BVerwG, Urt. v. 25. 1. 2012 – 6 C 9/11, NVwZ 2012, 757 Rn. 52. 119 Im Kontext von Ortungsmaßnahmen unten § 8 F. 120 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); OVG Lüneburg, Urt. v. 7. 9. 2017 – 11 LC 59/16, ZD 2018, 50 Rn. 41. 121 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); OVG Lüneburg, Urt. v. 7. 9. 2017 – 11 LC 59/16, ZD 2018, 50 Rn. 41.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

191

2. Anlass der Datenverarbeitung Auch wenn dieses Kriterium nicht eindeutig aus der DSGVO hervorgeht, gehen Rechtsprechung und Literatur zutreffend davon aus, dass der Anlass einer Datenverarbeitung das Gewicht eines Datenverarbeitungsinteresses beeinflusst. Dabei darf der Anlass nicht mit dem berechtigten Interesse i. S. v. Art. 6 Abs. 1 lit. f) verwechselt werden. Ein Arbeitgeber kann mit einer Ortung z. B. das berechtigte Interesse verfolgen, seine Beschäftigten vor Entführungen zu schützen. Besteht bei der Verrichtung der Arbeitsleistung aber keine über das allgemeine Lebensrisiko hinausgehende Entführungsgefahr, besteht dafür kein Anlass. Erstens gilt, je konkreter der Anlass ist, desto gewichtiger ist das Interesse.122 Daher können im Fall einer abstrakten Gefahr grundsätzlich nur stichprobenartige, nach abstrakten Kriterien durchgeführte Kontrollmaßnahmen zulässig sein.123 Tendenziell gilt, je enger die Beziehung zwischen Verantwortlichem und Betroffenem ist, desto konkreter ist der Anlass.124 Dieser Gedanke ist in der DSGVO in Art. 6 Abs. 4 lit. b) und Erwägungsgrund 47 S. 2 DSGVO angedeutet. In § 26 Abs. 1 S. 2 BDSG hat der deutsche Gesetzgeber mit dem Erfordernis eines konkreten Tatverdachts im Hinblick auf den Anlass eine klare Grenze gezogen. Dieses Erfordernis entspricht der Rechtsprechung, die über ein bloßes Beweisführungsinteresse hinaus einen weiteren Gesichtspunkt fordert, der das Interesse an der Datenverarbeitung schutzbedürftig erscheinen lässt.125 Zweitens gilt, je bedeutender der Anlass für das dem Datenverarbeitungsinteresse zugrundeliegende Rechtsgut ist, desto gewichtiger ist das Interesse.126 Damit ist zum Beispiel zu fragen, welche Konsequenzen dem Unternehmen des Arbeitgebers drohen, wenn er keine Ortungsmaßnahmen vornimmt.127 Drittens wiegt das Datenverarbeitungsinteresse besonders schwer, wenn der Betroffene die Datenver-

122

Vgl. BVerfG, Beschl. v. 4. 4. 2006 – 1 BvR 518/02, NJW 2006, 1939 Rn. 136 – Rasterfahndung; BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 92; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283 f.); BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818; Göpfert / Papst, DB 2016, 1015 (1016); Leeb / Liebhaber, JuS 2018, 534 (535); Vogt, NJOZ 2009, 4206 (4211). 123 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31. 124 So auch Herfurth, ZD 2018, 514 (518). 125 StRspr. BVerfG, Beschl. v. 9. 10. 2002  – 1 BvR 1611/96, 1 BvR 805/98, NJW 2002, 3619 (3624) – Mithörvorrichtung; BAG, Urt. v. 20. 6. 2013 – 2 AZR 546/12, NZA 2014, 143 Rn. 29 f. 126 Z. B. Art und Schwere der Straftat, siehe EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80 – Uzun / Deutschland; BVerfG, Beschl. v. 31. 1. 1973 – 2 BvR 454/71, NJW 1973, 891 (893) – heimliche Tonbandaufnahme „Aufklärung gerade schwerer Straftaten“; OLG München, Beschl. v. 1. 4. 2019  – 34 Wx 289/18, BeckRS 2019, 5303 Rn.  86; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818. 127 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); OLG München, Beschl. v. 1. 4. 2019 – 34 Wx 289/18, BeckRS 2019, 5303 Rn. 85 f.; Grimm, RdA 2009, 329 (333); Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818.

192

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

arbeitung selbst veranlasst hat.128 Ein solcher Fall liegt z. B. vor, wenn ein Arbeitgeber sich aufgrund einer mangelhaften Fahrtenbuch-Führung des Beschäftigten dazu entschließt, den Beschäftigten zur Abrechnung gegenüber Kunden zu orten. Erfolgt die Ortung zu Aufklärungszwecken, ist eine ex-ante-Betrachtung maßgeblich.129 Hat der Betroffene durch aktives Handeln einen Verdachtsmoment gesetzt? Eine ex-post-Beurteilung kommt nicht in Betracht, da die datenverarbeitende Stelle vor der Datenverarbeitung in der Lage sein muss, die datenschutzrechtliche Zulässigkeit zu bewerten. Das gilt in praktischer Hinsicht allein schon wegen der drohenden Sanktionen. 3. Datenverarbeitung zur Erfüllung einer Rechtspflicht Ferner wiegt das Interesse des Arbeitgebers an der Datenverarbeitung besonders schwer, wenn die Datenverarbeitung zur Erfüllung einer Rechtspflicht erforderlich ist oder zumindest der Erfüllung einer Rechtspflicht dient.130 Anknüpfungspunkte in der DSGVO sind Art. 6 Abs. 1 lit. b) und c) DSGVO, wonach die Datenverarbeitung zur Erfüllung einer vertraglichen rechtlichen Verpflichtung gegenüber dem Betroffenen oder zur Erfüllung einer die konkrete Datenverarbeitung fordernden131 gesetzlichen Verpflichtung bei Erforderlichkeit zulässig ist. Wichtig ist, zwischen Erforderlichkeit zur Erreichung des Verarbeitungszwecks und Erforderlichkeit zur Erfüllung der Rechtspflicht zu differenzieren. Arbeitgeber sind nicht gesetzlich verpflichtet, Positionsdaten ihrer Beschäftigten zu verarbeiten.132 Die Ortung kann je nach Ortungsszenario aber der Erfüllung einer gesetzlichen oder vertraglichen Pflicht dienen, insbesondere der Erfüllung von Schutzpflichten, Obhutspflichten oder Pflichten zur Arbeitszeiterfassung oder Begleichung von Lkw-Maut. Die privatrechtlichen Pflichten von Arbeitgebern zum Schutz der Beschäftigten vor Gefahren für Leben und Gesundheit folgen aus § 241 Abs. 2 BGB, § 618 BGB und § 62 HGB und werden durch öffentlich-rechtliche Regelungen des Arbeitsschutzes, insbesondere § 3 i. V. m. § 4 Nr. 1 und 6 ArbSchG, konkretisiert.133 Danach sind Arbeitgeber verpflichtet, die Arbeit so zu gestalten, dass eine Gefähr-

128

Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281); Schmitz, Beschäftigtendatenschutz, S. 86, 202; Gurlit, NJW 2010, 1036 (1038). 129 Vgl. EG 33, 61 S. 1 und Art. 36 Abs. 1 DSGVO „voraussichtlich“. 130 Vgl. BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 24; Beyvers, Privatheit, S. 101; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818; König, Beschäftigtendatenschutz, § 5 Rn. 91; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 142. 131 Kühling / Buchner / Buchner / Petri, DSGVO / BDSG, Art. 6 DSGVO Rn. 76. 132 Theoretisch können Schutz-, Obhuts- und Compliance-Pflichten im Einzelfall so verdichtet sein, dass sie den Arbeitgeber zur Ortung verpflichten. 133 Siehe dazu Schaub / Ahrendt, Arbeitsrechts-HdB, § 106 Rn. 6; ErfK / Preis, § 611a BGB Rn. 703 ff.; MHdB ArbR / Reichold, § 91 Rn. 9; ErfK / Roloff, § 618 BGB Rn. 1 f.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

193

dung für Leben und Gesundheit der Beschäftigten möglichst vermieden und die verbleibende Gefährdung möglichst gering gehalten wird.134 Nach der Arbeitszeitrichtlinie135 sind Arbeitgeber grundsätzlich zur Erfassung der Arbeitszeit ihrer Beschäftigten verpflichtet.136 Die Pflicht zur Begleichung von Lkw-Maut ergibt sich aus § 1 Abs. 1 S. 1 BFStrMG. Dient die Ortungsmaßnahme dem Schutz fremden Eigentums, wie z. B. dem Schutz der im Rahmen eines Frachtvertrags transportierten Sachen Dritter, ist die dem Arbeitgeber obliegende Obhutspflicht zu berücksichtigen. Diese Obhutspflicht ergibt sich unabhängig vom Vertragstyp als Nebenpflicht aus § 241 Abs. 2 BGB137 und ist beim Frachtvertrag gem. § 407 HGB sogar eine Hauptpflicht138. Aus der Obhutspflicht erwächst unter anderem die Pflicht, das Transportgut wirksam vor Diebstählen zu schützen.139 Kommt es zum Diebstahl und hat der Arbeitgeber als Frachtführer keine ausreichenden Schutzvorkehrungen getroffen, haftet er für den Verlust unabhängig davon, ob eigene Beschäftigte oder Dritte die Tat begangen haben (vgl. §§ 425 Abs. 1, 428 HGB).140 Besteht aufgrund der Route oder der Ladung ein besonders hohes Diebstahlsrisiko und kennt der Arbeitgeber als Frachtführer dieses Risiko, muss er über die allgemeinen Anforderungen an den Diebstahlsschutz hinaus besondere Vorkehrungen treffen.141 Dazu kann der Einsatz eines Ortungssystems dienen.142 Darüber hinaus kann sich ein Arbeitgeber gegenüber Kunden oder einer Versicherung vertraglich ausdrücklich zur Ortung verpflichtet haben (z. B. wenn die Fracht einen besonders hohen Wert aufweist und / oder in dem zu durchfahrenden Gebiet eine prekäre Sicherheitslage besteht).143 Unter Umständen erklärt sich eine Versicherungen zur Versicherung einer besonders gefahrgeneigten Tätigkeit nur bereit, wenn ein Ortungssystem eingesetzt wird oder bietet bei Durchführung solcher Sicherheitsmaßnahmen einen Abzug bei der Versicherungsprämie an.144

134

Vgl. Groß, ArbRAktuell 2018, 565 f. Richtlinie 2003/88/EG des Europäischen Parlaments und des Rates vom 4. 11. 2003 über bestimmte Aspekte der Arbeitszeitgestaltung, ABl. L 299, 9 v. 18. 11. 2003. 136 EuGH, Urt. v. 14. 5. 2019 – C-55/18, ECLI:EU:C:2019:402 – CCOO, dazu bereits oben unter § 6 C. II. 1. a). 137 Siehe dazu BeckOK BGB / Sutschet, § 241 Rn. 47. 138 Oetker / Paschke, HGB, § 407 Rn. 30. 139 HML / Wojtek / Krug, Compliance, § 56 Rn. 67; Koller, Transportrecht, § 426 HGB Rn. 8. 140 Vgl. Koller, Transportrecht, § 426 HGB Rn. 4, 8. 141 Vgl. BGH, Urt. v. 16. 7. 1998  – I ZR 44/96, NJW-RR 1999, 254 (255 f.); BGH, Urt. v. 6. 6. 2007 – I ZR 121/04, NJW-RR 2008, 49 Rn. 22. 142 Vgl. Boecker, VersR 2003, 556 (569). 143 Zur Möglichkeit der Vereinbarung erhöhter Schutzvorkehrungen im Frachtvertrag siehe Koller, Transportrecht, § 407 HGB Rn. 46 m. w. N. 144 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 56 f. 135

194

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

4. Wahrscheinlichkeit der Zweckerreichung Die Wahrscheinlichkeit der Zweckerreichung wird in der DSGVO nicht als Kriterium angedeutet, aber von Rechtsprechung und Literatur als Abwägungskriterium verwendet.145 Je größer die Wahrscheinlichkeit ist, dass durch die Ortung ein Straftatverdacht aufgeklärt werden kann oder dass durch die Ortung bei Eintreten eines Notfalls Gefahren für Leben und Gesundheit der Beschäftigten abgewendet werden können, desto gewichtiger ist das Arbeitgeberinteresse. Dieser Gedanke wird auch im Rahmen strafprozessualer Eingriffe in Gestalt der Auffindewahrscheinlichkeit von Beweismitteln verfolgt.146

C. Struktur der Interessenabwägung Die datenschutzrechtliche Verhältnismäßigkeitsprüfung weist die aus der deutschen und unionsrechtlichen Grundrechtsdogmatik bekannte Struktur auf, die verlangt, dass eine Maßnahme geeignet ist, um einen legitimen Zweck zu erreichen, und nicht die Grenzen dessen überschreitet, was zur Erreichung dieses Zwecks erforderlich und angemessen ist.147 Der EuGH trennt anders als die deutsche Rechtsprechung nicht streng zwischen Erforderlichkeit und Angemessenheit148, nimmt im Ergebnis aber die gleiche Prüfung vor149. In die Verhältnismäßigkeitsprüfung müssen die oben genannten Abwägungskriterien150 einfließen. Dreh- und Angelpunkt der Verhältnismäßigkeitsprüfung ist der konkret mit der Ortung verfolgte Zweck, da er den Maßstab vorgibt und Umfang und Dauer der Datenverarbeitung bestimmt.151 Eine Ortungsmaßnahme kann also für einen Zweck verhältnismäßig und für einen anderen nicht verhältnismäßig sein. Verfolgt ein Arbeitgeber mit der Ortung mehrere Zwecke, muss – in Übereinstimmung mit der Rechtsprechung152 – für jeden Zweck isoliert eine

145

BVerfG, Beschl. v. 26. 5. 1976 – 2 BvR 294/76, NJW 1976, 1735 – Quick-Durchsuchung; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818. 146 Zur Berücksichtigung der Auffindewahrscheinlichkeit im Rahmen der Verhältnismäßigkeitsprüfung von §§ 102, 103 StPO siehe BVerfG, Beschl. v. 27. 7. 2007 – 2 BvR 254/07, BeckRS 2007, 31968 (1.); KarlsruherKom StPO / Bruns, § 103 StPO Rn. 5. 147 Zum Grundsatz der Verhältnismäßigkeit im Unionsrecht Jarass, GrCh, Einl. Rn. 39 f. 148 EuGH, Urt. v. 8. 4. 2014 – C-293/12, C-594/12, ECLI:EU:C:2014:238 Rn. 46 ff. – Digital Rights; EuGH, Urt. v. 3. 12. 2019  – C-482/17 ECLI:EU:C:2019:1035 Rn. 76  – Tschechische Republik. 149 EuGH, Urt. v. 16. 6. 2015 – C-62/14 ECLI:EU:C:2015:400 Rn. 67, 91 – Gauweiler; EuGH, Urt. v. 4. 5. 2016 – C-477/14 ECLI:EU:C:2016:324 Rn. 48 – Pillbox. 150 Siehe dazu § 7 B. 151 Paal / Pauly / Gräber / Nolden, DS-GVO / BDSG, Art. 5 DSGVO Rn. 23; vgl. Dammann, ZD 2016, 307 (311); siehe auch Art. 5 Abs. 1 lit. b), c) und e) DSGVO. 152 ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 47 ff.; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 3 A 12/19, BeckRS 2019, 3816 Rn. 32 ff.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

195

Verhältnismäßigkeitsprüfung durchgeführt werden. Erst im Rahmen der Angemessenheit kann berücksichtig werden, dass der Arbeitgeber mit der Ortung noch weitere Zwecke verfolgt.153 I. Berechtigtes Interesse Dem Ortungszweck muss ein berechtigtes Interesse des Arbeitgebers zugrunde liegen.154 Davon ist jedes von der Rechtsordnung gebilligte Interesse rechtlicher, tatsächlicher, wirtschaftlicher oder ideeller Natur umfasst.155 Nach Erwägungsgrund 47 S. 2 DSGVO kann insbesondere ein Dienstverhältnis wie das Beschäftigungsverhältnis die Grundlage für berechtigte Verarbeitungsinteressen bieten. Dabei steht dem Arbeitgeber aufgrund seiner Unternehmerfreiheit ein weiter Beurteilungsspielraum zu.156 Die oben aufgeführten vom Arbeitgeber regelmäßig mit der Ortung verfolgten Zwecke157 sind Ausübung seiner unternehmerischen Freiheit und stehen dem Grunde nach im Einklang mit der Rechtsordnung. Dennoch ist stets anhand einer Einzelfallprüfung zu untersuchen, ob tatsächlich ein berechtigtes Interesse an der Verarbeitung besteht und ob ausnahmsweise Umstände vorliegen, die das Interesse illegitim machen.158 Die Ortung darf z. B. nicht dazu dienen, rechtswidrige arbeitsrechtliche Maßnahmen vorzubereiten.159 Ortet ein Arbeitgeber einen Beschäftigten, um Beweise für die geplante Kündigung zu sammeln, ohne dass der Anlass der Kündigung ein rechtmäßiger Kündigungsgrund ist, fehlt ein berechtigtes Arbeitgeberinteresse. Gleiches gilt, wenn der Arbeitgeber einen unliebsamen Beschäftigten „ins Blaue hinein“ ortet, um einen Kündigungsgrund zu finden.160

153

Ähnl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 46 „reichen – weder einzeln noch in Summe – aus, um die von ihr gewünschte Datenverarbeitung zu rechtfertigen“; Martini / Botta, NZA 2018, 625 (632). 154 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 21; VG Lüneburg, Teilurt. v. 19. 3. 2019  – 4 A 12/19, BeckRS 2019, 3816 Rn. 30; Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 28. 155 Gola / Heckmann / Schulz, DSGVO / BDSG, Art. 6 DSGVO Rn. 61; Schmitz, Beschäftigtendatenschutz, S. 198. 156 VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 30; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 114; vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1280). 157 Siehe oben § 2 B. II. 158 Ehmann / Selmayr / Heberlein, DSGVO, Art. 6 Rn. 25–27. 159 Vgl. Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 28. 160 Vgl. nur BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 30.

196

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

II. Geeignetheit Die Ortung eines Beschäftigten ist zur Erreichung des Ortungszwecks geeignet, wenn sie den Zweck zumindest fördern kann.161 Dabei ist auf das „Ob“ und das „Wie“ des konkreten Verarbeitungsschritts (Erhebung, Speicherung etc.) abzustellen.162 Fördert ein dauerhaftes Speichern von Positionsdaten den Zweck der Einsatzkoordinierung? Die Antwort ist nein, da ein dauerhaftes Speichern der Daten den Zweck nur so lange fördert, wie sich die Position noch nicht verändert hat.163 III. Erforderlichkeit Erforderlich ist die Ortung, wenn zur Erreichung des Ortungszwecks kein anderes, gleich geeignetes Mittel zur Verfügung steht, das die informationelle Privatheit des betroffenen Beschäftigten weniger belastet.164 Es ist keine zwingende Notwendigkeit zu fordern, sodass Arbeitgeber sich nicht auf Maßnahmen verweisen lassen müssen, die weniger eingriffsintensiv und gleich wirksam, aber weniger effizient, organisatorisch aufwendiger oder unwirtschaftlicher sind.165 Zudem ist ein milderes Mittel nur gleich geeignet, wenn dessen Einsatz dem Arbeitgeber zumutbar ist.166 Diese Ansicht vertritt neben der Literatur auch die Rechtsprechung. In seiner Entscheidung vom 18. 12. 2003 entschied das Amtsgericht Berlin-Mitte, dass eine 24-stündige Rundumüberwachung eines Gebäudekomplexes durch Wachpersonal schon aus Kostengründen mangels Zumutbarkeit kein milderes gleich geeignetes Mittel gegenüber einer Videoüberwachung ist.167 Vergleichbar entschied das OVG Lüneburg am 29. 09. 2014, indem es den Einsatz von Wachpersonal im Vergleich zum Einsatz einer Videoanlage nicht als gleich geeignet ansah, weil die Kosten für den Einsatz des Wachpersonals ungleich höher und damit wirtschaftlich nicht vertretbar seien.168 Erst kürzlich äußerte sich auch das BVerwG zu diesem 161

Vgl. EuGH, Urt. v. 8. 4. 2014 – C-293/12, C-594/12, ECLI:EU:C:2014:238 Rn. 46 – Digital Rights; BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 26; ErfK / Franzen, § 26 BDSG Rn. 10. 162 Vgl. BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 27; ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa), bb)). 163 Vgl. Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1272. 164 StRspr. BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 20; Franzen, ZfA 2019, 18 (33). 165 H. M., so Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 746, 817; Brink / Schwab, RDV 2017, 170 (172 f.); Deutsch / Diller, DB 2009, 1462 (1463); Erfurth, NJOZ 2009, 2914 (2919); Gola, BB 2017, 1462 (1646); Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 19; Wybitul, NZA 2014, 225 (229); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 25; vgl. die Argumentation oben § 5 C. III. 2. a). 166 Vgl. die Argumentation oben unter § 5 C. III. 2. a). 167 AG Berlin-Mitte, Urt. v. 18. 12. 2003 – 16 C 427/02, NJW-RR 2004, 531 (II. 1.). 168 OVG Lüneburg, Urt. v. 29. 9. 2014 – 11 LC 114/13, ZD 2014, 636 Rn. 51.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

197

Thema und stellte fest, dass eine Kostenersparnis die Erforderlichkeit begründen kann, „wenn die ansonsten entstehenden Kosten im Verhältnis zu dem Umfang der geschäftlichen Tätigkeit ins Gewicht fallen oder gar deren Wirtschaftlichkeit in Frage stellen“.169 Konkret zu Ortungsmaßnahmen erkannte das ArbG Hamburg im Hinblick auf eine Dienstvereinbarung zur Einführung eines Flottenmanagements mittels GPS an, dass bei der Frage nach anderen gleich geeigneten milderen Mitteln ein gewisser Beurteilungsspielraum besteht.170 In einer aktuellen Entscheidung zu § 26 BDSG sprach das ArbG Heilbronn eine Zumutbarkeitsprüfung zwar nicht an, bejahte die Erforderlichkeit der Ortung aber unter Hinweis darauf, dass die Beklagte nur über eine einstellige Anzahl von Außendienstmitarbeitern verfügt, sodass der Aufwand für eine telefonische Anfrage begrenzt sei.171 Bezugspunkt bei der Beurteilung von möglicherweise milderen Mitteln ist die grundrechtlich geschützte informationelle Privatheit des Betroffenen.172 Riesenhuber wirft die Frage auf, ob auch sonstige Interessen des Beschäftigten berücksichtigt werden können.173 Wäre z. B. die Erstattung einer Strafanzeige durch den Arbeitgeber ein milderes Mittel als die Ortung?174 Diese Frage ist zu verneinen. Zwar schützt die DSGVO nicht ausschließlich das Recht auf Schutz personenbezogener Daten.175 Auch der Wortlaut von § 26 Abs. 1 S. 2 BDSG steht nicht entgegen: „Interesse am Ausschluss der Verarbeitung“. Gegen die Berücksichtigung sonstiger Interessen spricht aber das Telos von Art. 88 DSGVO i. V. m. § 26 Abs. 1 BDSG. Die Norm dient dazu, im Beschäftigtendatenschutz einen rechtlichen Rahmen vorzugeben, der den datenschutzrechtliche Grundkonflikt – Informationsinteresse des Arbeitgebers vs. Geheimhaltungsinteresse des Beschäftigten176 – einem Ausgleich zuführt.177 Vor diesem Hintergrund muss das Interesse des Beschäftigten an informationeller Privatheit der Bezugspunkt sein. Die folgenden Ausführungen geben einen Überblick über die im Hinblick auf die Erforderlichkeit einer Ortungsmaßnahme zu berücksichtigenden Faktoren. Dabei wird zwischen verschiedenen Verarbeitungsschritten differenziert. Sofern die Faktoren durch die Software des LBS-Anbieters vorgegeben werden (z. B. die Frequenz der Datenerhebung oder der Personenbezug), kann sich der Arbeitge-

169

BVerwG, Urt. v. 27. 3. 2019 – 6 C 2/18, NVwZ 2019, 1126 Rn. 32. ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b)); vgl. auch BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 171 ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54. 172 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1280); BAG, Beschl. v. 26. 8. 2008 – 1 BR 16/07, NZA 2008, 1187 Rn. 20; Wybitul, NZA 2014, 225 (229). 173 BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 136. 174 Vgl. BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 136. 175 Vgl. Art. 1 Abs. 2 DSGVO. 176 Dazu ausführl. Schmitz, Beschäftigtendatenschutz, S. 28–40. 177 Vgl. Paal / Pauly / Gräber / Nolden, DSGVO / BDSG, § 26 BDSG Rn. 4. 170

198

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

ber dadurch nicht entlasten. Der Arbeitgeber muss entweder einen LBS-Anbieter finden, dessen Software eine Datenverarbeitung ermöglicht, die der Erforderlichkeitsprüfung standhält, oder auf den Einsatz eines Ortungssystems verzichten. 1. Erhebung von Positionsdaten Bei der Erhebung von Positionsdaten steht im Rahmen der Erforderlichkeit insbesondere der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO im Fokus. Der Grundsatz der Datenminimierung fordert, dass die Datenverarbeitung auf das für den Verarbeitungszweck notwendige Maß beschränkt ist.178 Dabei geht es nicht um eine Minimierung der Daten an sich, sondern um eine Minimierung der Gefahr, dass Dritte zum Nachteil des Betroffenen an die Informationen Konsequenzen knüpfen179. Kann der Ortungszweck auch ohne die Verarbeitung von Positionsdaten oder zumindest ohne Personenbezug erreicht werden? Ist das nicht der Fall, ist eine Art und Weise der Datenverarbeitung denkbar, mit der der Ortungszweck gleich wirksam erreicht werden kann, aber weniger, ungenauere oder weniger über die Persönlichkeit des Betroffenen Aufschluss gebende Positionsdaten erhoben werden? a) Ortungsmaßnahmen vs. sonstige Maßnahmen Statt einer Ortung kommen als sonstige Maßnahmen insbesondere manuelle Aufzeichnungen ohne Ortsangabe in Betracht. Eine Observation durch einen Menschen (z. B. Privatdetektiv) ist – jedenfalls bei einer dauerhaften Überwachung – kein milderes Mittel, da nicht nur die Position des Betroffenen, sondern dessen Gesamtverhalten erfasst wird.180 Gleiches gilt für den Einsatz einer Videokamera, die selbst kleine Details wie bewusste oder unbewusste Gestik und Mimik reproduzierbar und analysierbar aufzeichnet.181 Der Einsatz eines Keyloggers182 ist ten-

178

SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 116, 121. Vgl. SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 125. 180 LAG Baden-Württemberg, Urt. v. 25. 10. 2002  – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); ähnl. Grobys / Panzer-Heemeier / Panzer-Heemeier, Stichwort „Mitarbeiterkontrolle“ Rn. 21; ggf. anders, wenn eine punktuelle Beobachtung durch einen Detektiv eine dauerhafte Ortung mittels Ortungssystem ersetzen würde Kramer / Tiedemann, IT-Arbeitsrecht, B. Rn. 575. 181 Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)); BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 144; kritisch Däubler, NZA 2017, 1481 (1495) „ähnlich belastend“. 182 Ein Keylogger ist eine Software, die alle Tastatureingaben auf einem Computer protokolliert und regelmäßig Screenshots fertigt, s. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327; Fuhlrott, NZA 2017, 1308. 179

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

199

denziell ebenfalls nicht milder.183 Zum einen dürfte der Umfang der Datensammlung regelmäßig größer sein als beim Einsatz eines Ortungssystems, da über die gesamte Nutzungszeit des Computers ungefiltert Daten erfasst werden.184 Durch Screenshots können zudem auch Inhalte der aufgerufenen Websites oder Dokumente erfasst werden. Zum anderen dürfte der Persönlichkeitsbezug der erfassten Daten regelmäßig größer sein als beim Einsatz eines Ortungssystems, da private Vorgänge und hochsensible Daten wie z. B. Passwörter oder Kreditkartendaten miterfasst werden.185 Aus dem Vergleich von Ortungsmaßnahmen und verdeckter Überwachung der dienstlichen E-Mail-Kommunikation186 kann keine allgemeine Tendenz abgeleitet werden. Maßgeblich ist die Dauer der jeweiligen Überwachung sowie die Wahrscheinlichkeit, mit der die Überwachungsmaßnahme den gewünschten Erfolg herbeiführt. Kann die Straftat beispielsweise durch eine nur an einem einzigen Tag, über einen Zeitraum von zwei Stunden durchgeführte stichprobenartige Ortung aufgedeckt werden, kann die Ortung milder sein als ein wochenlanger Zugriff auf Verbindungsdaten und Inhalte von E-Mails. b) Einsatz eines Ortungssystems vs. Standortmitteilung Da bei automatisierten Datenverarbeitungssystemen wie Ortungssystemen im Regelfall mehr personenbezogene Daten verarbeitet werden als bei einer manuellen Datenverarbeitung187, ist zu prüfen, ob der Ortungszweck gleich wirksam erreicht werden kann, wenn der Arbeitgeber stattdessen manuell Positionsdaten erhebt.188 Denkbar ist ein System, wonach der Beschäftigte von sich aus an vom Arbeitgeber definierten Punkten oder Ereignissen, z. B. bei Ablieferung der Ware beim Kunden, mündlich oder über eine Software seinen Standort mitteilt.189 Stattdessen kann ein System genutzt werden, bei dem der Arbeitgeber bei Bedarf anlassbezogen den

183 Das BAG sieht die Eingriffsintensität eines Keyloggers als mit der einer (verdeckten) Videoüberwachung vergleichbar an, s. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 27 und 33; a. A. Fuhlrott, NZA 2017, 1308 (1309) „weitaus intensiver“. 184 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33. 185 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33. 186 Zur Zulässigkeit siehe Schmitz, Beschäftigtendatenschutz, S. 307–369 m. w. N. 187 Vgl. BVerfG, Beschl. v. 18. 12. 2918 – 1 BvR142/15, NJW 2019, 827 Rn. 37 – Automatisierte Kennzeichenerfassung II; BGH, Beschl. v. 15. 5. 2013 – XII ZB 107/08, NJW 2013, 2668 Rn.  25; SHS / Simitis / Hornung / Spiecker, Datenschutzrecht, Einl. Rn. 9 f. 188 NK-ArbR / Brink, § 32 Rn. 124; Däubler, Gläserne Belegschaften, Rn. 322; ders., NZA 2017, 1481 (1485). 189 Maas / Schmitz / Wedde, Datenschutz, S. 23; zu beachten ist die Entscheidung des LAG Berlin-Brandenburg, wonach ein Taxifahrer nicht verpflichtet ist, während des Wartens auf einen Kunden in kurzen Abständen seine Arbeitsbereitschaft anzuzeigen, s. LAG Berlin-Brandenburg, Urt. v. 30. 8. 2018 – 26 Sa 1151/17, NZA-RR 2019, 14 Rn. 43 ff.

200

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Beschäftigten auffordert, seinen Standort mitzuteilen.190 In beiden Fällen kann der Betroffene die Datenerhebung beeinflussen und es werden im Vergleich zum Einsatz eines Ortungssystems weniger sowie regelmäßig ungenauere und qualitativ weniger persönlichkeitsrelevante Daten erhoben.191 c) Lückenlos vs. stichprobenartig oder anlassbezogen Die im Rahmen dieser Untersuchung vorgestellten Ortungssysteme192 haben per se keine unterschiedliche Eingriffsintensität und sind damit untereinander keine milderen Mittel. Die Eingriffsintensität hängt von der Ausgestaltung des konkreten Einsatzes und nicht von der zugrunde liegenden Technologie ab. Die Frequenz der Datenerhebung ist dabei ein wichtiger Faktor. Eine lückenlose Datenerhebung ist gegenüber einer stichprobenartigen Datenerhebung milder, bei der Positionsdaten nicht pausenlos, sondern in zeitlichen Abständen erhoben werden.193 Noch milder wäre eine bloß anlassbezogene Aktivierung des Ortungssystems durch den Arbeitgeber.194 d) Außerhalb der Arbeitszeit vs. innerhalb der Arbeitszeit Der Grundsatz der Datenminimierung fordert, dass der Personenbezug der verarbeiteten Daten auch qualitativ begrenzt wird.195 Positionsdaten, die außerhalb der Arbeitszeit, also im Privatbereich des Beschäftigten erhoben werden, offenbaren tendenziell umfassender Informationen über die Persönlichkeit des Betroffenen als solche die während der Arbeitszeit erhoben werden.196 Dabei ist zu berücksichtigen, dass Arbeitszeit regelmäßig die Zeit vom Beginn bis zum Ende der Arbeit ohne die Ruhepausen ist.197 Bei Außendienstmitarbeitern gehört die gesamte Reisezeit zu den vertraglichen Hauptpflichten, sodass Wegzeiten als Arbeitszeit einzuordnen sind.198 Dem Arbeitsweg kann allerdings ein teilprivater 190 Maas / Schmitz / Wedde, Datenschutz, S. 23; vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 826; Däubler, Gläserne Belegschaften, Rn. 322. 191 Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 57. 192 Siehe oben § 2 B. I. 193 Vgl. BGH, Beschl. v. 15. 5. 2013 – XII ZB 107/08, NJW 2013, 2668 Rn. 25 f.; WHWS /  Byers, Datenschutz im ArbV, B. VII. Rn. 24; Sachs / Meder, ZD 2013, 303 (306). 194 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019  – 4 A 12/19, BeckRS 2019, 3816 Rn. 36; Gola / Pötters / Wronka, AN-Datenschutz, Rn.  1273; Besgen / P rinz / Stümper, Arbeiten 4.0, § 5 Rn. 41. 195 Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 Rn. 34. 196 Vgl. EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1447 Rn. 121 – Barbulescu / Rumänien; BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281). 197 Siehe § 2 Abs. 1 S. 1 HS. 1 ArbZG. 198 BeckOK ArbR / Joussen, § 611a BGB Rn. 387; ausführl. zur Arbeitszeit im Außendienst Wortmann, ArbRB 2015, 57 ff.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

201

Charakter zukommen, wenn dem Beschäftigten gestattet ist, auf dem Arbeitsweg private Angelegenheiten zu erledigen.199 Der im nicht umgesetzten Entwurf bereichsspezifischer Beschäftigtendatenschutznormen von 2010 vorgesehene § 32 g BDSG sah vor, dass eine Ortung nur während der Arbeitszeit des Beschäftigten erfolgen darf.200 Ein solches absolutes Verbot ist mit der DSGVO nicht vereinbar.201 Stattdessen ist der Kontext der Datenerhebung in der Abwägung zu berücksichtigen.202 Regelmäßigkeit ist eine Erhebung von Positionsdaten außerhalb der Arbeitszeit bereits nicht zur Erreichung des Ortungszwecks geeignet.203 Ausnahmen können zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung, zum Schutz von Betriebsmitteln oder Waren während Pausen oder zur Einsatzkoordinierung (wo nimmt der Beschäftigte seine Tätigkeit nach der Pause wieder auf?) bestehen, wenn Anhaltspunkte dafür vorliegen, dass eine Datenerhebung allein während der Arbeitszeit weniger erfolgsversprechend ist. e) Unmittelbar identifizierbar vs. pseudonym oder anonym aa) Ortungszweck fordert keine Identifizierbarkeit des Betroffenen Für manche Ortungszwecke ist es ausreichend, zu erfassen, dass jemand an einem bestimmten Ort ist, ohne dass die Identität der Person relevant ist.204 Das kann beispielsweise bei einer Ortung zur Einsatzkoordinierung oder zur Sicherheit der Beschäftigten der Fall sein. In diesen Fallgestaltungen fordert der Grundsatz der Datenminimierung, dass die Positionsdaten anonym erhoben oder zumindest unmittelbar nach der Erhebung anonymisiert werden.205 Sie dürfen sich also nicht auf eine identifizierte natürliche Person beziehen und einer solchen auch nicht mit verhältnismäßigem Aufwand zugeordnet werden können.206 Anonymität schützt den Betroffenen am stärksten, da das Risiko einer Beeinträchtigung der informationellen Privatheit verschwindend gering ist.207 Dabei ist zu beachten, dass An 199

Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 835. BT-Drs. 17/4230, 8 f. und 20.  201 A. A. wohl Maier, Berufsbezogene Erreichbarkeit, S. 278. 202 I. E. so auch ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (2.), wonach eine Ortung während der Pausenzeit nicht zwingend unverhältnismäßig ist. 203 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 831–835; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 38. 204 Vgl. Sachs / Meder, ZD 2013, 303 (306). 205 Vgl. Kühling / Buchner / Herbst, DSGVO / BDSG, Art. 5 DSGVO Rn. 58; zu Anonymisierungstechniken Art.-29-DSG, WP 216; Winter / Battis / Halvani, ZD 2019, 489; zur Anonymisierung von Positionsdaten siehe EDSA, Leitlinien 04/2020, Rn. 19–23. 206 Ausführl. dazu oben § 6 A. I. 1. a). 207 Vgl. Hornung / Wagner, ZD 2020, 223; die Art.-29-DSG, WP 216, S. 3 f.; zur Gefahr des „schleichenden Personenbezugs“ Hornung / Wagner, CR 2019, 565 ff. 200

202

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

onymität kein Aliud zu Pseudonymität208 ist. Pseudonyme Daten, die einem die Identität verschleiernden Pseudonym zugeordnet sind, können gleichzeitig anonyme Daten sein (z. B. zufällige Zahlen- oder Buchstabenkombinationen), müssen es aber nicht.209 Entscheidend ist, ob die Daten mit verhältnismäßigem Aufwand einer Person zugeordnet werden können. Damit die Datenverarbeitung erforderlich ist, müssen die Positionsdaten auch für den LBS-Anbieter anonym sein. bb) Ortungszweck fordert Identifizierbarkeit des Betroffenen Fordert der Verarbeitungszweck, dass der Arbeitgeber bei Bedarf ausnahmsweise die Positionsdaten zuordnen kann, ist zur Datenminimierung ausreichend, dass die Positionsdaten unter Pseudonymen erhoben werden, die der Arbeitgeber im Bedarfsfall auflösen kann.210 Im Unterschied zur vorgehenden Fallgestaltung darf der Arbeitgeber die Zuordnungsinformation hier aufbewahren, wobei besondere Voraussetzungen hinsichtlich der Aufbewahrung zu berücksichtigen sind.211 Bei der Wahl des Pseudonyms ist in Bezug auf die Qualität des Pseudonyms zu differenzieren.212 Je unwahrscheinlicher die Notwendigkeit einer Zuordnung ist, desto schwieriger muss die Zuordnung sein. Für den LBS-Anbieter müssen die Positionsdaten anonym sein, da eine Zuordnung zu Erreichung des Ortungszwecks nicht notwendig ist. cc) Ortungszweck fordert Identifizierung des Betroffenen Dient die Ortung z. B. der Aufdeckung einer Straftat im Verdachtsfall oder der Leistungsbewertung, muss der Arbeitgeber die Positionsdaten dem Betroffenen zuordnen können. In diesen Fällen darf der Arbeitgeber die Klarnamen der betroffenen Beschäftigten als Kennung in das System des LBS-Anbieters eingeben. Für den LBS-Anbieter müssen die Positionsdaten hingegen anonym sein. Das heißt, die Software muss so ausgestaltet sein, dass die Klarnamen verschlüsselt an den LBS-Anbieter übermittelt werden.

208

Ausführl. dazu Schleipfer, ZD 2020, 284 ff. Siehe Roßnagel, ZD 2018, 243 (244 ff.) „anonymisierende Wirkung“. 210 So auch Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 5 DSGVO Rn. 24; SHS / Roß­ nagel, Datenschutzrecht, Art. 5 Rn. 132; a. A. Schleipfer, ZD 2020, 284 (289). 211 Siehe dazu Paal / Pauly / Ernst, DSGVO / BDSG, Art. 4 Rn. 43 ff.; Schleipfer, ZD 2020, 284, 286–288, der je nachdem, wo sich die Zuordnungsregel befindet, von schwacher oder starker Pseudonymität spricht. 212 So auch Marnau, DuD 2016, 428 (431). 209

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

203

f) Verdeckt vs. offen Der Grundsatz der Transparenz sowie der Grundsatz der Verarbeitung nach Treu und Glauben machen deutlich, dass eine offene Ortung gegenüber einer verdeckten Ortung ein milderes Mittel ist. Der Grundsatz der Verarbeitung nach Treu und Glauben aus Art. 5 Abs. 1 lit. a) Var. 2 DSGVO fordert eine „faire“ Datenverarbeitung. Was genau darunter zu verstehen ist, ist unklar.213 Jedenfalls ist eine Datenverarbeitung in Kenntnis des Betroffenen insofern „fairer“, als dass keine berechtigte Vertraulichkeitserwartung des Betroffenen verletzt wird214 und er die Datenverarbeitung beeinflussen kann215. Eine verdeckte Ortung kann nur erforderlich sein, wenn der mit der Ortung verfolgte Zweck mit einer offenen Ortung nicht gleich wirksam erreicht werden kann, z. B. bei einer Ortung zur Aufklärung einer Straftat.216 aa) Kollision verdeckter Ortungsmaßnahmen mit den Informationspflichten der DSGVO Bereits unter der früheren Rechtslage war umstritten, ob eine verdeckte Überwachung von Beschäftigten zulässig sein kann.217 Grund dafür ist, dass verdeckte Überwachungsmaßnahmen im Konflikt zum Gedanken einer transparenten Datenverarbeitung stehen.218 Unter der früheren Rechtslage ging die herrschende Meinung in der Literatur219 sowie die bundesarbeitsgerichtliche Rechtsprechung220 davon aus, dass eine verdeckte Videoüberwachung Beschäftigter zulässig ist, wenn der konkrete Verdacht einer zu Lasten des Arbeitgebers begangenen Straftat besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ausgeschöpft sind, die verdeckte Überwachung praktisch das einzig verbleibende Aufklärungs 213

Siehe dazu Ehmann / Selmayr / Heberlein, DSGVO, Art. 5 Rn. 9 f. Vgl. EuGH, Urt. v. 1. 10. 2015 – C-201/14, ECLI:EU:C:2015:638 Rn. 32 – Bara; BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 44; EG 47 S. 1–3 und 50 S. 6 DSGVO; Härting, DSGVO, Rn.  89; Ehmann / Selmayr / Heberlein, DSGVO, Art. 5 Rn. 10. 215 Vgl. BAG, Beschl. v. 8. 11. 1994  – 1 ABR 20/94, NZA 1995, 313; BAG, Beschl. v. 10. 12. 2013 – 1 ABR 43/12, NZA 2014, 439 Rn. 27. 216 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); VG Wiesbaden, Urt. v. 17. 1. 2022  – 6 K 1164/21, ZD 2022, 406 Rn. 69; WHWS /  Byers, Datenschutz im ArbV, B. VII. Rn. 12, 15, 24, 27, 29; Kerscher, SPA 2017, 101 (102 f.); Müller / Becker, FA 2018, 74 (77). 217 Siehe Thüsing / T hüsing / Pötters, Beschäftigtendatenschutz, § 11 Rn. 53 m. w. N. 218 Vgl. Bussche / Voigt / Voigt / H. Oenning / J. Oenning, Konzerndatenschutz, V. 1. Rn. 30. 219 Gola / Schomerus, BDSG 2015, § 32 Rn. 41; FHS / Hanloser, Betrieblicher Datenschutz, V. 1. Rn. 89; Maschmann, in: FS Hromadka, S. 244 f.; Müller, Videoüberwachung, S. 127 ff.; Oberthür / Seitz / Panzer-Heemeier, Betriebsvereinbarungen, B. V. Rn. 172 ff.; Simitis / Seifert, BDSG 2014, § 32 Rn. 79a; Thüsing / T hüsing / Pötters, Beschäftigtendatenschutz, § 11 Rn. 53; Venetis / Oberwetter, NJW 2016, 1051 (1953 f.); a. A. Art.-29-DSG, WP 249, S. 8; Bayreuther, NZA 2005, 1038 (1040 f.); Wilke, RDV 2005, 96 (99). 220 StRspr. BAG, Urt. v. 21. 6. 2012 – 2 AZR 153/11, NZA 2012, 1025 Rn. 30. 214

204

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

mittel und die Überwachungsmaßnahme insgesamt nicht unverhältnismäßig ist. Diese Voraussetzungen hat der deutsche Gesetzgeber in § 32 Abs. 1 S. 2 BDSG a. F. kodifiziert und damit anerkannt, dass es Fallgestaltungen gibt, in denen der mit der Überwachung verfolgte Zweck (z. B. Aufdeckung einer Straftat) nur durch ein verdecktes Vorgehen erreicht werden kann. Diese Grundsätze zur verdeckten Videoüberwachung wurden zudem mehrheitlich auf andere Überwachungsmaßnahmen – wie Ortungsmaßnahmen – übertragen.221 Unter der DSGVO ist zu fragen, ob die unter der früheren Rechtslage entwickelten Grundsätze Bestand haben.222 Indem der deutsche Gesetzgeber in § 26 Abs. 1 S. 2 BDSG daran festgehalten hat, dass Beschäftigtendaten zur Aufdeckung von Straftaten verarbeitet werden dürfen, geht er davon aus, dass verdeckte Überwachungsmaßnahmen auch unter der DSGVO rechtmäßig sein können. Zweifel daran ergeben sich jedoch insbesondere daraus, dass der Grundsatz der Transparenz im Vergleich zum bisherigen Recht erheblich gestärkt und in der DSGVO nun als allgemeiner Grundsatz der Datenverarbeitung kodifiziert wurde223. Der Grundsatz der Transparenz fordert eine transparente Datenverarbeitung, die es dem Betroffenen ermöglicht, dem Datenverarbeitungsvorgang Schritt für Schritt zu folgen.224 Dem liegt der Gedanke zugrunde, dass der Betroffene nur bei einer hinreichenden Transparenz Rechtsverstöße erkennen und seine Rechte geltend machen kann.225 Der Grundsatz der Transparenz wird durch die Informationspflichten in Art. 13 und Art. 14 DSGVO konkretisiert226, die vorschreiben, dass der Verantwortliche dem Betroffenen bestimmte Informationen zur Datenverarbeitung mitteilen muss, insbesondere Zweck und Rechtsgrundlage der Verarbeitung. Werden die personenbezogenen Daten beim Betroffenen erhoben, folgt die Informationspflicht aus Art. 13 Abs. 1 und 2 DSGVO, wonach die Information zum Zeitpunkt der Erhebung mitgeteilt werden muss. Werden die Daten nicht beim Betroffenen erhoben, folgt die Informationspflicht aus Art. 14 Abs. 1 und 2 DSGVO, und die Informationen müssen gem. Art. 14 Abs. 3 DSGVO zeitnah mitgeteilt werden. Ausnahmen von der Informationspflicht bestehen bei der Erhebung beim Betroffenen nur, wenn der Betroffene bereits über die Informationen verfügt.227 Werden die Daten nicht beim Betroffenen erhoben, kommen nach Art. 14 Abs. 5 DSGVO zusätzliche Ausnahmetatbestände in Betracht. Insbesondere entfällt die Informationspflicht nach 221 Byers, NZA 2017, 1086 (1087); für die ausnahmsweise Zulässigkeit verdeckter Ortung nach § 32 BDSG a. F. Byers, NZA 2017, 1086 (1087); Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1277; Kerscher, SPA 2017, 101 (103); Kort, RdA 2018, 24 (27 f.); a. A. BT-Drs. 17/4230, 20 zum Entwurf des § 32 g; Plath / Stamer / Kuhnke, DSGVO / BDSG 2016, § 32 BDSG Rn. 130. 222 Dazu ausführl. Byers, NZA 2017, 1086 ff.; Thüsing / Rombey, NZA 2018, 1105 (1110). 223 DSK, Kurzpapier Nr. 15, S. 2; Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 5 DSGVO Rn. 11; ausführl. dazu Klaas, CCZ 2018, 242 ff. 224 Paal / Pauly / Frenzel, DSGVO / BDSG, Art. 5 DSGVO Rn. 21. 225 Vgl. BVerfG, Urt. v. 14. 7. 1999 – 1 BvR 2226/94 u. a., NJW 2000, 55 (57) – Telekommunikationsüberwachung; Gola / Heckmann / Pötters, DSGVO / BDSG, Art. 5 DSGVO Rn. 12. 226 So auch Bussche / Voigt / Voigt, Konzerndatenschutz, III. 2. Rn. 5. 227 Vgl. Art. 13 Abs. 4 DSGVO.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

205

Art. 14 Abs. 5 lit. b) DSGVO, wenn sie voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. bb) Absolutes Verbot verdeckter Datenverarbeitung umstritten Weder der EuGH noch ein deutsches Gericht hat bislang ausdrücklich dazu Stellung genommen, wie die Kollision zwischen den Informationspflichten und dem Interesse des Arbeitgebers an verdeckten Überwachungsmaßnahmen aufzulösen ist. In der Literatur ist diese Frage umstritten. Man ist sich weitgehend dahingehend einig, dass eine Direkterhebung i. S. v. Art. 13 DSGVO vorliegt und die Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO verdeckten Überwachungsmaßnahmen des Arbeitgebers daher entgegenstehen.228 Ausgehend von dieser Annahme kommt kein Ausnahmetatbestand des Art. 13 DSGVO in Betracht, da der Betroffene in der Regel nicht bereits über die mitzuteilenden Informationen verfügt. Eine Beschränkung der Informationspflicht aus Art. 13 Abs. 1 und 2 DSGVO ergibt sich auch nicht aus Art. 23 DSGVO i. V. m. § 32 Abs. 1 Nr. 4 BDSG. Gem. Art. 23 Abs. 1 lit. j) DSGVO können Informationspflichten ausnahmsweise zur „Durchsetzung zivilrechtlicher Ansprüche“ durch unionsrechtliche oder mitgliedstaatliche Vorschriften beschränkt werden. Der deutsche Gesetzgeber hat zu diesem Zweck die Regelungsbefugnis aus Art. 23 Abs. 1 DSGVO gebraucht, beschränkt in § 32 Abs. 1 Nr. 4 BDSG aber nur die Informationspflichten aus Art. 13 Abs. 3, die bei der Weiterverarbeitung von Daten für einen anderen, als den bei der Datenerhebung zugrunde liegenden Zweck, anfallen und nicht die Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO.229 Eine analoge Anwendung von § 32 Abs. 1 Nr. 4 BDSG auf Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO kommt mangels Planwidrigkeit der Regelungslücke nicht in Betracht.230 Der deutsche Gesetzgeber hat in den Gesetzgebungsmaterialien ausdrücklich darauf hingewiesen, dass die Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO durch § 32 BDSG nicht beschränkt werden.231 Aus diesem Grund kommt auch keine analoge Anwendung von § 33 Abs. 1 Nr. 2 lit. a) BDSG in Betracht.232

228 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 36; Byers, NZA 2017, 1086 (1088); ­ yers / Wenzel, BB 2017, 2036 (2039); Fuhlrott, GWR 2018, 388 (389); Lachenmann, ZD 2017, B 407 (409 ff.); Kühling / Buchner / Maschmann, DSGVO / BDSG, Art. 88 DSGVO Rn. 47; Kühling /  Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 52; ders., NZA-Beilage 2018, 115 (118 f.); Bussche / Voigt / Voigt / Oenning / Oenning, Konzerndatenschutz, V. 1. Rn. 32; a. A. Gola /  Thüsing / Schmidt, DuD 2017, 244 (248). 229 Byers / Wenzel, BB 2017, 2036 (2039); Maschmann, NZA-Beilage 2018, 115 (119); insofern missverständlich Chandna-Hoppe, NZA 2018, 614 (617). 230 So auch Gola//Heckmann / Franck, DSGVO / BDSG, § 32 BDSG Rn. 2; ähnlich Kühling /  Buchner / Golla, DSGVO / BDSG, § 32 BDSG Rn. 3. 231 BT-Drs. 18/11325, 102. 232 Vgl. Maschmann, NZA-Beilage 2018, 115 (119); a. A. Fuhlrott, GWR 2018, 338 (389).

206

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Darüber hinaus ergibt sich auch aus Art. 23 DSGVO i. V. m. § 26 BDSG keine Beschränkung der Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO.233 Zwar sieht § 26 Abs. 1 S. 2 BDSG eine Datenverarbeitung zur Aufdeckung von Straftaten vor, die nur bei einer verdeckten Überwachung des Beschäftigten zielführend sein kann.234 Art. 23 DSGVO fordert aber, dass die nationale Rechtsvorschrift ausdrücklich eine Beschränkung vorsieht, was bei § 26 BDSG nicht der Fall ist.235 Die Norm nimmt in Absatz 5 sogar explizit auf die allgemeinen Grundsätze der Datenverarbeitung aus Art. 5 DSGVO Bezug und stellt damit klar, dass der Grundsatz der Transparenz und die diesen konkretisierenden Informationspflichten im Beschäftigungsverhältnis anwendbar sind.236 Obwohl die herrschende Literatur davon ausgeht, dass die Informationspflichten aus Art. 13 Abs. 1 und 2 DSGVO verdeckten Überwachungsmaßnahmen des Arbeitgebers entgegenstehen, werden hinsichtlich der Konsequenzen dieses Umstands unterschiedliche Ansichten vertreten. Eine Ansicht kommt wegen der Unvereinbarkeit mit dem Grundsatz der Transparenz zu einem absoluten Verbot verdeckter Überwachungsmaßnahmen.237 Eine andere Ansicht lehnt ein solches absolutes Verbot unter Verweis auf das der DSGVO zugrunde liegende Prinzip des Interessenausgleichs238 ab239 und befürwortet eine analoge Anwendung des Ausnahmetatbestands in Art. 14 Abs. 5 lit. b) DSGVO240 oder in Art. 23 DSGVO i. V. m. § 33 Abs. 1 Nr. 2 lit. a) BDSG241. Es reiche aus, wenn zum Zeitpunkt der Erhebung ein Dritter wie der Betriebsrat oder einem Rechtsanwalt informiert sei, der die Einhaltung von datenschutzrechtlichen Pflichten überprüfen könne.242 Die Informationspflichten gegenüber dem Betroffenen sollen nach dem Einsatz der verdeckten Überwachungsmaßnahme nachgeholt werden.243 233

So auch Byers, NZA 2017, 1086 (1089); Maschmann, NZA-Beilage 2018, 115 (118). Vgl. Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 57. 235 So auch Byers, NZA 2017, 1086 (1089); Byers / Wenzel, BB 2017, 2036 (2039); Maschmann, NZA-Beilage 2018, 115 (118). 236 Vgl. Byers, NZA 2017, 1086 (1089). 237 So DSK, Kurzpapier Nr. 15, S. 3; Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 52 und Art. 88 DSGVO Rn. 47; Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 130; Maschmann, NZA-Beilage 2018, 115 (121); Schröder, Datenschutzrecht, S. 110. 238 Vgl. EG 47 DSGVO; Kühling / Buchner / Buchner, DSGVO / BDSG, Art. 1 DSGVO Rn. 15; Herfurth, ZD 2018, 514; Wünschelbaum, BB 2019, 2102 (2106). 239 Byers, NZA 2017, 1086 (1089 ff.); Byers / Wenzel, BB 2017, 2036 (2039 ff.); ChandnaHoppe, NZA 2018, 614 (617); Fuhlrott, GWR 2018, 388 (389 f.); Fuhlrott / Oltmanns, NZA 2019, 1105 (1110); Gola / T hüsing / Schmidt, DuD 2017, 244 (248); Kerscher, SPA 2017, 101 (103); Kort, RdA 2018, 24 (27); Lachenmann, ZD 2017, 407 (410 f.); Thüsing / Rombey, NZA 2018, 1105 (1110); Bussche / Voigt / Voigt / Oenning / Oenning, Konzerndatenschutz, V. 1. Rn. 30 ff. 240 Byers, NZA 2017, 1086 (1090); Fuhlrott / Oltmanns, NZA 2019, 1105 (1110); GSSV / Veil, DSGVO, Art.  13 Rn.  156; Bussche / Voigt / Voigt / H. Oenning / J. Oenning, Konzerndatenschutz, V. 1. Rn. 32; a. A. SHS / Dix, Datenschutzrecht, Art. 13 DSGVO Rn. 22; Klaas, CCZ 2018, 242 (246); BeckOK Datenschutzrecht / Schmidt / Wudy, Art. 13 DSGVO Rn. 95. 241 Fuhlrott / Oltmanns, NZA 2019, 1105 (1110); Thüsing / Rombey, NZA 2018, 1105 (1110). 242 Lachenmann, ZD 2017, 407 (411). 243 Thüsing / Rombey, NZA 2018, 1105 (1110). 234

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

207

cc) Kein absolutes Verbot verdeckter Überwachungsmaßnahmen mangels Direkterhebung i. S. v. Art. 13 DSGVO Die der herrschenden Literatur zugrunde liegende Annahme, verdeckte Überwachungsmaßnahmen seien eine Direkterhebung i. S. v. Art. 13 DSGVO, überzeugt nicht.244 Eine Direkterhebung ist eine Erhebung personenbezogener Daten mit Kenntnis oder unter aktiver Mitwirkung des Betroffenen.245 Maßgeblich ist, dass der Betroffene den Vorgang der Datenerhebung beeinflussen kann. Das ist bei verdeckten Überwachungsmaßnahmen nicht der Fall.246 Zwar wird teilweise vertreten, dass es zur Abgrenzung zwischen Art. 13 und Art. 14 DSGVO lediglich darauf ankommt, dass die Person direkt als zumindest passive Quelle der Datenerhebung dient und dass es dem Verantwortlichen zum Zeitpunkt der Datenerhebung theoretisch möglich ist, den Betroffenen zu kontaktieren und ihn zu informieren.247 Die erste Voraussetzung ist bei verdeckten Überwachungsmaßnahmen stets erfüllt und letztere in der Regel auch. Diese Abgrenzungskriterien sind jedoch aus folgenden Gründen nicht überzeugend: Der Wortlaut deutet darauf hin, dass Daten „bei der betroffenen Person“ abgefragt werden. Die Datenerhebung hängt also aktiv von der Entscheidung oder Mitwirkung des Betroffenen ab. Die Abfrage kann z. B. dadurch geschehen, dass der Betroffene auf einer Internetseite Informationen eingeben muss oder mittels E-Mail-Anfrage, Telefonanruf oder persönlichem Gespräch.248 Zwar ist der Wortlaut nicht eindeutig249, verstärkend kommen aber systematische Argumente hinzu. Die Regelungsunterschiede zwischen Art. 13 und Art. 14 DSGVO machen deutlich, dass der Unionsgesetzgeber im Rahmen von Art. 13 DSGVO davon ausging, dass der Betroffene aufgrund seiner Mitwirkung Kenntnis von der Verarbeitung hat und lediglich einer Information über die genauen Umstände bedarf.250 Beispielsweise zeigt Art. 13 Abs. 2 lit. e) DSGVO, dass in den Fällen von Art. 13 DSGVO Daten vom Betroffenen bereitgestellt werden. Während nach Art. 14 Abs. 1 lit. d) DSGVO 244

So wohl auch Gola / T hüsing / Schmidt, DuD 2017, 244 (248). Ebenso DSK, Kurzpapier Nr. 10, S. 2; Gola / Heckmann / Franck, DSGVO / BDSG, Art.  13 DSGVO Rn.  4; Sydow / Marsch / Ingold, DSGVO, Art. 13 Rn. 8; Paal / Pauly / Paal / Hennemann, DSGVO / BDSG, Art. 13 DSGVO Rn. 11; Sundermann, K&R 2018, 438 (440 f.); DWWS /  Däubler, DSGVO, Art. 14 Rn. 2; FGO / Franzen, EU ArbR, Art 13 DSGVO Rn. 1; a. A. EDSA, Leitlinien 03/2019, Rn. 110; Art.-29-DSG, WP 260 rev.01, Rn. 26 f.; BeckOK / Datenschutzrecht / Schmidt-Wudy, Art. 14 DSGVO Rn. 30 f.; Kühling / Buchner / Bäcker, DSGVO / BDSG, Art.  13 DSGVO Rn.  13–15; Taeger / Gabel / Mester, DSGVO / BDSG, Art. 13 DSGVO Rn. 6; GSSV / Veil, DSGVO, Art. 13/14 Rn. 40. 246 So auch Paal / Pauly / Paal / Hennemann, DSGVO / BDSG, Art. 13 DSGVO Rn. 11. 247 Kühling / Buchner / Bäcker, DSGVO / BDSG, Art.  13 DSGVO Rn.  13–15; Taeger / Gabel /  Mester, DSGVO / BDSG, Art. 13 DSGVO Rn. 6. 248 Vgl. BeckOK Datenschutzrecht / Schmidt-Wudy, Art. 14 DSGVO Rn. 31.1. 249 SHS / Dix, Datenschutzrecht, Art. 13 DSGVO Rn. 6 weist zutreffend darauf hin, dass begrifflich nicht ausgeschlossen wird, dass die Datenverarbeitung ohne aktive Beteiligung des Betroffenen erfolgt. 250 So auch Gola / Heckmann / Franck, DSGVO / BDSG, Art. 13 DSGVO Rn. 4. 245

208

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

die Kategorien der verarbeiteten personenbezogenen Daten mitgeteilt werden müssen, fehlt diese Vorgabe in Art. 13 Abs. 1 DSGVO, da der Betroffene hier bereits weiß, was für Kategorien personenbezogener Daten verarbeitet werden.251 Aus Art. 14 Abs. 2 lit. f) DSGVO, wonach der Verantwortliche dem Betroffenen mitteilen muss, aus welcher Quelle die personenbezogenen Daten stammen, folgt nicht im Umkehrschluss, dass auch Fälle, in denen der Betroffene als passive Quelle der Datenerhebung dient, von Art. 13 DSGVO erfasst sind. Der Ausnahmetatbestand in Art. 14 Abs. 5 lit. b) DSGVO beruht darauf, dass zwischen Verantwortlichem und Betroffenem kein unmittelbarer Kontakt besteht. In diesem Fall kann die Informationserteilung unmöglich oder deshalb unverhältnismäßig sein, weil sie die Verwirklichung der Verarbeitungsziele gefährdet.252 Wollte der Unionsgesetzgeber verdeckte Überwachungsmaßnahmen, bei denen wie in Art. 14 DSGVO kein unmittelbarer Kontakt besteht, unter Art. 13 DSGVO fassen, hätte er diese Ausnahme auch dort aufnehmen müssen. Gerade solche Fallgestaltungen sind ein Paradebeispiel für Situationen, in denen die Informationserteilung die Verwirklichung der Verarbeitungsziele gefährdet. Daraus, dass der Unionsgesetzgeber das nicht getan hat, lässt sich schließen, dass Art. 13 DSGVO in Bezug auf die Datenerhebung einen unmittelbaren Kontakt zwischen Verantwortlichem und Betroffenem voraussetzt. In diese Richtung geht auch Erwägungsgrund  62 S. 1 DSGVO, wonach sich  – ohne Differenzierung zwischen einer Datenerhebung beim Betroffenen und nicht beim Betroffenen – die Informationspflicht erübrigt, wenn sich die Unterrichtung als unmöglich erweist oder mit unverhältnismäßigem Aufwand verbunden ist. Von einer Differenzierung hat der Unionsgesetzgeber abgesehen, da diese Ausnahmen aufgrund der Kenntnis des Betroffenen von der Datenerhebung im Fall einer Datenerhebung beim Betroffenen ohnehin nicht einschlägig sein können. In teleologischer Hinsicht ist es überzeugender nach dem Kriterium der Kenntnis des Betroffenen als unpräziser nach dem Kriterium der Datenquelle oder der Erreichbarkeit des Betroffenen abzugrenzen.253 In allen Fällen, in denen der Betroffene keine Kenntnis von der Datenerhebung hat und nicht an ihr mitwirkt, ergeben sich zu regelnde Besonderheiten. Der Betroffene ist an zusätzlichen Informationen interessiert (insbesondere an der Datenquelle). Weiter spielen bei der Datenerhebung bei einem Dritten Geheimhaltungspflichten eine Rolle.254 Werden die Daten weder durch Mitwirkung des Betroffenen noch bei einem Dritten, sondern verdeckt erhoben, müssen zudem Ausnahmen von der Informationspflicht möglich sein, wenn der Zweck der Datenverarbeitung sonst gefährdet wird. Auf all diese Besonderheiten hat der Unionsgesetzgeber in Art. 14 DSGVO reagiert,

251

So auch Gola / Heckmann / Franck, DSGVO / BDSG, Art. 13 DSGVO Rn. 4. So auch der deutsche Gesetzgeber, siehe BT-Drs. 18/11325, 102. 253 I. E. so auch Sundermann, K&R 2018, 438 (441). 254 Vgl. Gola / Heckmann / Franck, DSGVO / BDSG, Art. 13 DSGVO Rn. 4. 252

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

209

weshalb es überzeugend ist, alle Datenerhebungen ohne Kenntnis des Betroffenen nach dieser Norm zu beurteilen.255 Das Argument, der Passus „bei der betroffenen Person“ müsse vor dem Normzweck der Transparenz weit ausgelegt werden256, greift zu kurz. Der Grundsatz der Transparenz ist als allgemeiner Grundsatz aus Art. 5 Abs. 1 DSGVO ein elementarer Pfeiler der DSGVO.257 Gleichwohl können die Grundsätze nicht absolut verstanden werden, sondern sind in Beziehung zum Verarbeitungszweck zu setzen. Transparenz gilt nicht „um jeden Preis“. Kann der mit der Datenverarbeitung verfolgte Zweck bei Information des Betroffenen zum Zeitpunkt der Datenerhebung nicht erreicht werden, darf die verminderte Transparenz allein nicht die Unzulässigkeit der Datenverarbeitung bewirken, wenn die Interessen des Betroffenen und der datenverarbeitenden Stelle insgesamt ausgewogen sind. Das hat der Unionsgesetzgeber anerkannt und die entsprechende Ausnahme in Art. 14 Abs. 5 lit. b)  DSGVO geregelt. Das entspricht dem zutreffenden Verständnis, dass die Grundsätze aus Art. 5 DSGVO zwar verbindlich, aber flexibel sind.258 In der Konsequenz reicht es nach Art. 14 Abs. 3 DSGVO aus, dass der Arbeitgeber die Informationen dem Betroffenen nach der verdeckten Überwachungsmaßnahme mitteilt.259 Gefährdet selbst diese Information die Aufdeckung der Straftat, kann gem. Art. 14 Abs. 5 lit. b) DSGVO i. V. m. § 33 Abs. 1 Nr. 2 lit. a) BDSG von den Informationspflichten aus Art. 14 Abs. 1 und 2 DSGVO vollständig abgesehen werden. Entgegen der herrschenden Literatur260 steht der Grundsatz der Transparenz verdeckter Überwachungsmaßnahmen damit nicht entgegen. Ein Grundsatz der Direkterhebung ist anders als noch in § 4 Abs. 2 BDSG a. F. weder in der DSGVO noch im BDSG n. F. normiert und schließt eine verdeckte Überwachungsmaßnahme daher nicht aus.261 Es reicht, wenn die fehlende Direkterhebung im Rahmen der Angemessenheit berücksichtigt wird.262 Eine verdeckte Überwachung ist oft das einzig effektive Mittel, um einen konkreten Tatverdacht aufzuklären.263 Darüber hinaus können Kriterien wie die Schwere der Tat, die Sachdienlichkeit oder die räumliche und zeitliche Begrenzung der Überwachung für die Verhältnismäßigkeit einer verdeckten Überwachung sprechen.264

255 Damit erübrigt sich auch der von den Befürwortern der Anwendung von Art. 13 DSGVO auf verdeckte Überwachungsmaßnahmen gefundene Widerspruch beim Einsatz eines Privatdetektivs, siehe Byers, NZA 2017, 1086 (1090). 256 Kühling / Buchner / Bäcker, DSGVO / BDSG, Art. 13 DSGVO Rn. 13. 257 Sydow / Marsch / Greve, DSGVO, Art. 12 Rn. 5; Wybitul, BB 2016, 1077 (1079). 258 Siehe dazu oben § 5 C. III. 2. b). 259 Vgl. Thüsing / Rombey, NZA 2018, 1105 (1110). 260 Siehe dazu Kap. 4 Fn. 228. 261 Vgl. Schantz / Wolff / Wolff, Datenschutzrecht, Rn. 456 m. w. N. 262 So auch Kramer / Oberthür, IT-Arbeitsrecht, B. Rn. 886. 263 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 37. 264 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 37.

210

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

In diese Richtung deutet auch die Rechtsprechung einiger oberster Gerichte. Sowohl der EGMR als auch das BVerfG, der BGH und das BAG betrachten die Heimlichkeit einer Überwachung als Abwägungskriterium beim Ausgleich der widerstreitenden Interessen.265 In der Rechtssache Barbulescu machte der EGMR deutlich, dass die Vorabinformation des Betroffenen über die Überwachung der Internetnutzung und des elektronischen Schriftverkehrs einer von mehreren Gesichtspunkten ist, die bei der Abwägung zu berücksichtigen sind.266 So ist auch die Entscheidung des EGMR in der Rechtssache Lopez Ribalda zu verstehen, in dem unter anderem über eine verdeckte Videoüberwachung im Kassenbereich zur Aufdeckung von Straftaten entschieden wurde.267 Auch hier stellte der EGMR fest, dass wichtige Privatinteressen das Unterlassen einer vorherigen Information rechtfertigen können, und nahm eine Interessenabwägung vor, bei der er die Umstände des Einzelfalls berücksichtigte, insbesondere Grad und Konkretheit des Tatverdachts sowie Umfang und Dauerhaftigkeit der Überwachung.268 „Dass der Betroffene von der Überwachung und ihrem Umfang informiert werden muss, ist aber nur eines der Kriterien, die bei der Beurteilung der Verhältnismäßigkeit einer derartigen Maßnahme in einem konkreten Fall berücksichtigt werden müssen. Wurde er nicht informiert, sind die sich aus anderen Gesichtspunkten ergebenden Garantien von umso größerer Bedeutung.“269 So formuliert auch das BVerfG mit anderen Worten: „Heimliche Überwachungsmaßnahmen, sofern sie, wie die meisten der hier in Rede stehenden Maßnahmen, tief in die Privatsphäre eingreifen, sind mit der Verfassung nur vereinbar, wenn sie dem Schutz oder der Bewehrung von hinreichend gewichtigen Rechtsgütern dienen, für deren Gefährdung oder Verletzung im Einzelfall belastbare tatsächliche Anhaltspunkte bestehen.“270 2. Speicherung von Positionsdaten Die Speicherung von personenbezogenen Positionsdaten ist nach dem eng mit dem Grundsatz der Datenminimierung verknüpften271 Grundsatz der Speicher-

265

EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1443 Rn. 121, 124 u. 140 – Barbulescu /  Rumänien; BVerfG, Urt. v. 20. 4. 2016 – 1 BvR 966/09 u. a., NJW 2016, 1781 Rn. 104 ff. – BKAGesetz; BGH, Beschl. v. 15. 5. 2013 – XII ZB 107/08, NJW 2013, 2668 Rn. 24 ff.; BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017 443 Rn. 27 ff.; BAG, Urt. V. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 44 f. 266 EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1443 Rn. 121, 140 – Barbulescu / Rumänien; andere Interpretation bei Maschmann, NZA-Beilage 2018, 115 (121). 267 EGMR, Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697 – Lopez Ribalda / Spanien; zust. Körner, NZA 2020, 25 ff.; a. A. Maschmann, NZA-Beilage 2018, 115 (121). 268 EGMR, Urt. v. 17. 10. 2019  – 1874/13, 8567/13, NZA 2019, 1697 Rn. 131 ff.  – Lopez ­Ribalda / Spanien. 269 Ebd. Rn. 131. 270 BVerfG, Urt. v. 20. 4. 2016 – 1 BvR 966/09 u. a., NJW 2016, 1781 Rn. 104 – BKA-Gesetz. 271 So auch Albrecht / Jotzo, Datenschutzrecht, II. Rn. 6.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

211

begrenzung aus Art. 5 Abs. 1 lit. e) DSGVO nur erforderlich, wenn und solange die Aufbewahrung der Positionsdaten notwendig ist, um den Ortungszwecks zu erreichen.272 Danach muss der Personenbezug der Daten entfernt oder die Daten gelöscht werden, sofern die weitere Speicherung nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (vgl. Art. 17 Abs. 1 lit. a) und Abs. 3 lit. e) DSGVO).273 Der Betroffene ist über die Speicherdauer nach Art. 13 Abs. 2 lit. a) oder Art. 14 Abs. 2 lit. a) DSGVO zu informieren. Im Rahmen der Erforderlichkeitsprüfung sind drei Prüfungsschritte zu durchlaufen, wobei das Ergebnis nicht für alle durch dieselbe Ortungsmaßnahme erhobenen Positionsdaten gleich ausfallen muss. Erstens: Ist überhaupt ein Speichern erforderlich? Das ist bei einer manuellen Ortung tendenziell zu verneinen. Falls ja, ist zweitens zu fragen, ob es zur Erreichung des Ortungszwecks ausreichend ist, dass die Positionsdaten nur für einen kurzen Moment vorübergehend gespeichert werden, um Raum für eine Verwendung zu schaffen? Das ist grundsätzlich bei jedem Einsatz eines Ortungssystems der Fall, damit das System die Daten aufbereiten und im Online-Portal bereitstellen kann. Ist auf der dritten Stufe ein dauerhaftes Speichen der Positionsdaten i. S. e. Aufbewahrung für spätere Verwendungen erforderlich (z. B. zu Abrechnungszwecken), muss der Arbeitgeber, sofern ein Ortungssystem dauerhaft eingesetzt werden soll, ein Löschkonzept274 implementieren. Da es für die Speicherfrist auf den Einzelfall ankommt, existieren keine gesetzlichen Vorgaben, sodass unklar ist, wo die Grenze für die erforderliche Speicherdauer zu ziehen ist.275 Im Hinblick auf die Speicherdauer ist zu empfehlen, in den Systemeinstellungen objektive Kriterien festzulegen, die nachvollziehbar machen, warum Daten wie lange gespeichert werden (z. B. Speicherzweck und Art der Speicherung: „zur Sichtung der Daten“ oder „zur Verwendung der Daten“).276 Maßgeblich sind die berechtigten Erwartungen der betroffenen Personen.277 Vermutlich wird die Rechtsprechung mit der Zeit Richtwerte vorgeben. Werden personenbezogene Daten präventiv erhoben, ist der Speicherfrist zur Verwendung der Daten eine Speicherfrist zur Sichtung der Daten vorzuschalten, während derer der Arbeitgeber entscheiden

272 Vgl. EG 39 S. 8 DSGVO; Düsseldorfer Kreis, App-Anbieter, S. 26; EuGH, Urt. v. 7. 5. 2009 – C-553/07, ECLI:EU:C:2009:293 Rn. 59 – Rijkeboer; EuGH, Urt. v. 6. 10. 2020 – C-512/18 u. a. ECLI:EU:C:2020:791 Rn. 177 – La Quadrature du Net. 273 Die Speicherbegrenzung bezieht sich nicht auf die Daten, sondern auf deren Personenbezug, s. Art. 5 Abs. 1 lit. e) DSGVO; SHS / Roßnagel, Datenschutzrecht, Art. 5 Rn. 155. 274 Vgl. Art. 30 Abs. 1 lit. f) DSGVO u. EG 39 S. 10 f. DSGVO; GSSV / Veil, DSGVO, Art. 17 Rn. 55; Faas / Henseler, BB 2018, 2292 (2293 ff.); Grimm / Kühne, ArbRB 2018, 144 ff. 275 Vgl. Keppeler / Berning, ZD 2017, 314, 315 f. m. w. N. 276 Vgl. EuGH, Urt. v. 6. 10. 2020 – C-512/18 u. a. ECLI:EU:C:2020:791 Rn. 133 – La Quadrature du Net; Grages / Plath, CR 2017, 791 (796). 277 Vgl. EuGH, Urt. v. 11. 12. 2019 – C-708/18, ECLI:EU:C:2019:1064 Rn. 58 – Asociatia de Proprietari mit Anm. Lachenmann, ZD 2020, 150 f.

212

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

muss, ob er die Daten verwenden will.278 Möchte er die Daten verwenden, schließt sich eine zweite Frist an, ansonsten müssen die Daten innerhalb der ersten Frist gelöscht werden. a) Speicherfrist zur Sichtung der Daten Werden Beschäftigten-Positionsdaten zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen oder zur Verhaltens- oder Leistungskontrolle erhoben, besteht die Pflicht, die erhobenen Daten zeitnah zu sichten.279 Die Artikel29-Datenschutzgruppe ging 2005 davon aus, dass Positionsdaten jedenfalls nicht länger als zwei Monate gespeichert werden dürfen.280 Abgesehen davon gibt es zur Speicherfrist von Positionsdaten bislang kaum Aussagen.281 Zur Speicherfrist von durch Videoüberwachung erhobenen Bildsequenzen existieren hingegen einige gerichtliche und behördliche Richtwerte, die im Ansatz übertragbar sind. Die Gesetzesbegründung zu § 6 b BDSG a. F. sah vor, dass Videoaufzeichnungen spätestens nach 48 Stunden gelöscht werden. Eine Ausnahme sollte gelten, wenn im Rahmen einer Bedarfsprüfung festgestellt wurde, dass die Aufzeichnung Sequenzen enthält (z. B. Aufzeichnung einer Straftat), die Anlass für eine weitere Aufbewahrung geben.282 Die Aufsichtsbehörden haben sich dem teilweise angeschlossen283, lassen teilweise aber auch eine Bedarfsprüfung von 72 Stunden zu284. Die Datenschutzkonferenz sieht in ihrer Orientierungshilfe von 2018 eine maximale Speicherdauer von 48 Stunden vor.285 Die deutschen Gerichte sind erheblich großzügiger. Das OVG Lüneburg entschied 2014 in Bezug auf eine Videoüberwachung in einem Bürogebäude, dass eine Bedarfsprüfung von zehn Wochentagen erforderlich sein kann.286 Das OVG Saarlouis bestätigte diese Ansicht im Jahr 2017.287 Das BAG ging 2008 davon aus, dass eine 60-tägige Speicherfrist zur 278 So auch LAG Hamm, Urt. v. 20. 12. 2017 – 2 Sa 192/17, ZD 2018, 494 Rn. 27; Brink / Joos, Anm. zu BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, jurisPR-ArbR 38/2019 Anm. 1 (C.); Brink /  Schwab, Anm. zu BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, jurisPR-ArbR 6/2019 Anm. 5 (C.). 279 Vgl. Brink / Schwab, Anm. zu BAG, Urt. v. 23. 8. 2018  – 2 AZR 133/18, jurisPR-ArbR 6/2019 (C.); unklar BAG, Urt. v. 28. 3. 2029 – 8 AZR 421/17, NZA 2019, 1212 Rn. 53. 280 Art.-29-DSG, WP 115, S. 10 f. 281 Nur ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) bb)). 282 BT-Drs. 14/5793, 62 f. 283 Die LfD NI, Videoüberwachung, abrufbar unter lfd.niedersachsen.de/startseite/daten schutzreform/ds_gvo/faq/videouberwachung/fragen-und-antworten-zur-videoueberwachung175245.html#Frage_5 (Abruf v. 26. 2. 2022); Düsseldorfer Kreis, Videoüberwachung, S. 11 f. 284 DSK, Videoüberwachung, S. 22; LfD HB, Überwachung mit Videokameras, abrufbar unter www.datenschutz.bremen.de/datenschutztipps/beruf_und_alltag/ueberwachung_mit_ videokameras-3744 (Abruf v. 26. 2. 2022); Lda BY, 9. TB 2019, S. 19; so auch Lachenmann /  Koreng / L achenmann, Formular-HdB DatenSchR, H. III. 2. Rn. 23. 285 DSK, Kurzpapier Nr. 15, S. 3. 286 OVG Lüneburg, Urt. v. 29. 9. 2014 – 11 LC 114/13, ZD 2014, 636 Rn. 62 f. 287 OVG Saarlouis, Urt. v. 14. 12. 2017 – 2 A 662/17, ZD 2018, 134 Rn. 41.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

213

Sichtung erforderlich sein kann.288 In einer Entscheidung von 2018 hielt das BAG sogar eine Speicherung von sechs Monaten für zulässig.289 Entgegen der Ansicht des LAG Hamm dürfe der Arbeitgeber die Aufzeichnungen so lange speichern, bis er für eine Auswertung einen berechtigten Anlass sieht. Der Arbeitgeber werde sonst gezwungen, die Daten laufend einzusehen, was ihn zu ständigem Misstrauen anhielte.290 Ein Speichern von Bildsequenzen sei nur solange erforderlich, bis etwaige Kündigungsrechte verwirkt und mögliche Schadensersatzansprüche erloschen oder nicht mehr durchsetzbar sind.291 Ein Speichern sei erst dann nicht mehr erforderlich, wenn das Verhalten des Arbeitgebers objektiv den Schluss zulässt, er wollte die relevanten Sequenzen nicht allein zur Rechtsverfolgung verwenden, sondern z. B. um Druck auszuüben.292 Wochen- oder sogar monatelange Speicherintervalle seien – anders als bei repressiven Maßnahmen – nicht zu beanstanden, wenn Straftaten oder sonstige erhebliche Pflichtverletzungen erst bei aufwändigen Überprüfungen oder Abrechnungsmaßnahmen entdeckt werden können.293 Die Ansicht des BAG ist nicht überzeugend, da sie mit den Grundsätzen der Datenminimierung und der Speicherbegrenzung aus Art. 5 Abs. 1 lit. c)  und  e) DSGVO nicht vereinbar ist.294 Arbeitgeber müssen erhobene Daten, bei denen nicht feststeht, dass alle Daten zur Erreichung des Erhebungszwecks erforderlich sind, innerhalb eines kurzen Zeitraums sichten und sog. Nichttreffer löschen.295 Wie lange dieser Zeitraum zu bemessen ist, hängt vom Verarbeitungszeck und der Komplexität der Sichtung (Menge des Materials, Aufwand der Sichtung, Anzahl der Arbeitskräfte) ab. Richtigerweise kommt ein Zeitraum zwischen 72 Stunden und zehn Tagen in Betracht. Gerade wenn, wie bei der Ortung zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung, ein konkreter und dringlicher Anlass besteht, ist Arbeitgebern zuzumuten, die Positionsdaten innerhalb von 72 Stunden zu sichten.296 288

BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 35. BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 12, 33; anders LAG Hamm, Urt. v. 20. 12. 2017 – 2 Sa 192/17, ZD 2014, 494 Rn. 27. 290 BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 30; bestätigt durch BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, NZA 2019, 1212 Rn. 56. 291 BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 22, 28; bestätigt durch BAG, Urt. v. 28. 3. 2029 – 8 AZR 421/17, NZA 2019, 1212 Rn. 54, 56. 292 BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 30; bestätigt durch BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, NZA 2019, 1212 Rn. 57. 293 BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 33 m. V. a. Grages / Plath, CR 2017, 791 (796). 294 So auch Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 45c; Brink / Joos, Anm. zu BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, jurisPR-ArbR 38/2019 (C.); Brink / Schwab, Anm. zu BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, jurisPR-ArbR 6/2019 (C.). 295 So auch Brink / Joos, Anm. zu BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, jurisPR-ArbR 38/2019 (C.); Brink / Schwab, Anm. zu BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, jurisPR-ArbR 6/2019 (C.); i. E. auch LAG Hamm, Urt. V. 20. 12. 2017 – 2 Sa 192/17, ZD2018, 494 Rn. 26; Lachenmann, Anm. zu EuGH, Urt. v. 11. 12. 2019 – C-708/18, ZD 2020, 150 f. 296 Vgl. BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 33. 289

214

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

b) Speicherfrist zur Verwendung Besteht nach der Sichtung Anlass zur Aufbewahrung der Positionsdaten (z. B. wenn einzelne Positionsdaten zu Nachweis- oder Beweiszwecken verwendet werden sollen), ist weiter zu fragen, welche Verwendungsfrist erforderlich ist. Steht fest, dass alle erhobenen Daten zur Erreichung des Ortungszwecks erforderlich sind (z. B. bei einer Ortung zu Abrechnungszwecken, bei der nur die für die Abrechnung relevanten Daten erhoben werden), sodass keine Sichtung notwendig ist, gilt nur eine Verwendungsfrist. Wie lange die Speicherfrist zur Verwendung im Einzelfall zu bemessen ist, hängt vom Ortungszweck und vom Aufwand der Verwendung ab. Konkret zu Ortungsmaßnahmen hat sich im Hinblick auf eine Verwendungsfrist bislang nur das ArbG Hamburg im Jahr 2011 geäußert und entschieden, dass zur Optimierung von Einsatzplänen „die Speicherung für maximal 1 Jahr geeignet ist, diesem Interesse gerecht zu werden, was Arbeitgeber und Personalrat für erforderlich ansehen durften“.297 Die Ausführungen können in ihrer Pauschalität nicht überzeugen. Vielmehr wäre näher zu untersuchen gewesen, wie die Optimierung konkret ablaufen sollte (konkrete Ziele, Komplexität, Anzahl der mit der Optimierung beauftragen Mitarbeiter, notwendige Arbeitsschritte etc.). Eine Frist von einem Jahr ist deutlich zu lang. Zudem ist fraglich, ob zur Erreichung des Ortungszwecks überhaupt personenbezogene Daten notwendig sind. Die erforderlichen Speicherdauer kann sich an gesetzlichen Fristen wie z. B. der Frist aus § 626 Abs. 2 BGB orientieren.298 Muss ein Arbeitgeber nach § 626 Abs. 2 BGB innerhalb von zwei Wochen ab Kenntnis eines Kündigungsgrunds kündigen, spricht viel dafür, dass zur Aufdeckung einer Straftat oder Pflichtverletzung erhobene Daten, die nicht zu Beweiszwecken verwendet werden sollen, nach zwei Wochen gelöscht werden müssen. Zu Abrechnungszwecken erhobene Positionsdaten dürfen solange personenbezogen gespeichert werden, wie aufgrund tatsächlicher Anhaltspunkte mit Kundenreklamationen zu rechnen ist (z. B. bis zur Abnahme des Werkes)299, wenn eine Beweisführung nach Anonymisierung der Daten nicht möglich ist.

297

ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) bb)). Vgl. Faas / Henseler, BB 2018, 2292 (2295 ff.); Grimm / Kühne, ArbRB 2018, 144 ff. 299 LfD BW, 30. TB 2010/2011, S. 150; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1270; Wünschelbaum, NZA 2020, 1222 (1223). 298

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

215

3. Verwendung von Positionsdaten Der Grundsatz der Datenminimierung fordert, dass die erhobenen Positionsdaten nur in dem Maß verwendet werden, das zur Erreichung des Ortungszwecks erforderlich ist.300 Die Erforderlichkeit bezieht sich auf das „Ob“ und „Wie“ der Verwendung. Eine Verwendung zu einem anderen Zweck ist nur unter den engen Voraussetzungen des Art. 6 Abs. 4 zulässig.301 Insbesondere verlangt der Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DSGVO, dass nach dem „Need-to-know“-Prinzip nur diejenigen beim Arbeitgeber beschäftigten Personen302 auf die Positionsdaten zugreifen dürfen, deren Zugriff zur Erreichung des Ortungszwecks notwendig ist.303 Dazu gehört bei der Ortung zur Einsatzkoordinierung z. B. der Transportleiter, nicht aber der Personalleiter.304 Der Zugriff des Betriebsrats auf die Positionsdaten ist zur Erreichung des Ortungszwecks grundsätzlich nicht erforderlich.305 4. Übermittlung von Positionsdaten Ob eine Übermittlung von personenbezogenen Daten erforderlich ist, hängt insbesondere von zwei Fragen ab.306 Erstens: Ist eine Übermittlung überhaupt erforderlich oder reicht es aus, die aus den Positionsdaten gewonnene Information (z. B. Dauer der Anfahrt zum Kunden und dortiger Aufenthalt) oder die anhand der Positionsdaten getroffene Entscheidung (z. B. Abmahnung) weiterzugeben? Zweitens: Ist die Datenübermittlung in ihrer konkreten Ausgestaltung (insb. Umfang, Personenbezug und Art der übermittelten Daten) erforderlich? Dabei ist vor allem zu prüfen, ob der Ortungszweck gleich wirksam erreicht werden kann, wenn die Positionsdaten zuvor pseudonymisiert oder sogar anonymisiert wurden oder nur ein Teil der Positionsdaten weitergegeben wird. Der Betroffene ist nach Art. 13 Abs. 1 lit. e) oder Art. 14 Abs. 1 lit. e) DSGVO über die Empfänger zu informieren.

300

Vgl. SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 129–132. Ausführl. dazu oben § 6 C. III. 302 Mitarbeiter eines anderen Konzernunternehmens sind Dritte i. S. v. Art. 4 Nr. 10 DSGVO und dürfen nur auf die Daten zugreifen, wenn für die Übermittlung an diese Personen und die Verarbeitung durch diese Personen eine Erlaubnis i. S. v. Art. 6 Abs. 1 DSGVO vorliegt, vgl. Art.-29-DSG, WP 169, S. 37; siehe dazu auch EG 48 DSGVO. 303 Vgl. Art.-29-DSG, WP 115, S. 11; LfD BW, 30. TB 2010/2011, S. 150; Gola / Pötters /  Wronka, AN-Datenschutz, Rn.  1276; Bussche / Voigt / Kamp, Konzerndatenschutz, IV. 5. Rn. 75; Rammo / Holzgräfe, InTer 2015, 23 (26); SHS / Roßnagel, Datenschutzrecht, Art. 5 DSGVO Rn. 167. 304 Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1276. 305 Vgl. LfD BW, 30. TB 2010/2011, S. 150; zu den Ausnahmen siehe unten § 7 C. III. 4. a). 306 Bei Datenübermittlungen an Drittländer oder an internationale Organisationen sind zudem die besonderen Voraussetzungen der Art. 44 ff. DSGVO einzuhalten, überblicksartig Taeger / Gabel / Gabel, DSGVO / BDSG, Art. 44 DSGVO Rn. 15 f. 301

216

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

a) Übermittlung von Positionsdaten an den Betriebsrat Auch wenn nach § 79 a BetrVG der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist307, ist die Offenlegung von Positionsdaten durch den Arbeitgeber gegenüber dem Betriebsrat eine Verarbeitung i. S. v. Art. 4 Nr. 2 DSGVO (Verwendung).308 Daher kann die Offenlegung von Positionsdaten gegenüber dem Betriebsrat nach § 26 Abs. 1 S. 1 Var. 2 BDSG oder auf Grundlage einer Kollektivvereinbarung nur erforderlich sein, wenn der Betriebsrat einen betriebsverfassungsrechtlichen Anspruch hat.309 Der Betriebsrat kann eine Übermittlung von Beschäftigten-Positionsdaten grundsätzlich nicht beanspruchen. Als Anknüpfungspunkt kommt das Einsichtsrecht des Betriebsrats aus § 80 Abs. 2 S. 2 i. V. m. Abs. 1 Nr. 1 BetrVG in Betracht, das den Betriebsrat in die Lage versetzen soll, die Einhaltung datenschutzrechtlicher Vorschriften zu überwachen.310 Zur Erfüllung dieser Aufgabe ist jedoch grundsätzlich keine Einsicht in Beschäftigten-Positionsdaten erforderlich. Im Fokus steht die technische und organisatorische Ausgestaltung der Verarbeitung. Dafür ist nicht erforderlich, dass der Betriebsrat die Positionsdaten einzelnen Beschäftigten zuordnen kann. Ausreichend ist, dass die Positionsdaten dem Betriebsrat für diesen anonym zur Verfügung gestellt werden, also entweder ohne jegliche Zuordnung oder einem Pseudonym zugeordnet, das der Betriebsrat nicht mit verhältnismäßigem Aufwand auflösen kann.311 Als Anknüpfungspunkt für einen Anspruch auf Übermittlung von Beschäftigten-Positionsdaten bleibt damit nur § 102 Abs. 1 S. 2 BetrVG. Danach kann der Betriebsrat vom Arbeitgeber verlangen, ihm die Gründe für eine geplante Kündigung mitzuteilen. Der Arbeitgeber muss unter vollständiger Darlegung des Kündigungssachverhalts alle Gesichtspunkte nennen, die ihn zur Kündigung veranlasst haben.312 Dazu können auch Positionsdaten gehören, wobei es im Regelfall ausreichen wird, statt den Positionsdaten nur die aus diesen gewonnene Information (z. B. Angabe, dass Arbeitszeit für private Angelegenheiten genutzt wurde)  zu übermitteln.313

307

Siehe oben § 6 B. II. BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055 Rn. 32; vgl. SHS / Roßnagel, Datenschutzrecht, Art. 4 Nr. 2 DSGVO Rn. 26; Stück, ZD 2019, 256 (259); hält man mit Maschmann § 79a BetrVG für unionsrechtswidrig und sieht den Betriebsrat daher als verantwortliche Stelle an (Maschmann, NZA 2021, 834 (836 ff.)), wäre die Offenlegung von Positionsdaten seitens des Arbeitgebers eine Übermittlung i. S. v. Art. 4 Nr. 2 DSGVO. 309 Vgl. Kap. 4 Fn. 319. 310 Ausführl. zum Informationsrecht oben § 6 E. II. 311 Vgl. Lelley / Bruck / Yildiz, BB 2018, 2164 (2172); Lücke, NZA 2019, 658 (659). 312 BAG, Urt. v. 7. 11. 2002 – 2 AZR 599/01, NJOZ 2004, 1746 (B. I. 1. a)); Richardi / T hüsing, BetrVG, § 102 Rn. 62. 313 Vgl. Lelley / Bruck / Yildiz, BB 2018, 2164 (2172). 308

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

217

Kann der Betriebsrat ausnahmsweise die Einsicht in Beschäftigten-Positionsdaten fordern, folgt daraus nicht automatisch die datenschutzrechtliche Zulässigkeit der Übermittlung.314 Zwar werden die Beteiligungsrechte des Betriebsrats nach § 26 Abs. 6 BDSG nicht durch das Datenschutzrecht verdrängt. Gleichwohl müssen bei der Wahrnehmung der Beteiligungsrechte die Anforderungen des Datenschutzes beachtet werden.315 Betriebsverfassungsrecht und Datenschutzrecht bedingen sich gegenseitig. Steht dem Betriebsrat ein Auskunfts- oder Einsichtsrecht zu, kann er dieses nur wahrnehmen, wenn die Übermittlung der Daten an den Betriebsrat und die Verwendung der Daten durch den Betriebsrat datenschutzrechtlich zulässig ist.316 Ob die Übermittlung und Verwendung der Daten datenschutzrechtlich zulässig ist, hängt wiederum davon ab, ob der Betriebsrat einen entsprechenden Anspruch hat.317 Allerdings ist das Bestehen eines betriebsverfassungsrechtlichen Anspruchs nur ein Teil der datenschutzrechtlichen Prüfung. Allein das Bestehen eines betriebsverfassungsrechtlichen Anspruchs führt noch nicht dazu, dass die Datenverarbeitung nach § 26 Abs. 1 S. 1 Var. 2 BDSG zur Ausübung oder Erfüllung eines Rechts der Interessenvertretung der Beschäftigten erforderlich ist. Erforderlichkeit i. S. v. § 26 Abs. 1 BDSG setzt Verhältnismäßigkeit voraus.318 Die Übermittlung der Daten an den Betriebsrat und die Verarbeitung der Daten durch den Betriebsrat ist mithin datenschutzrechtlich nur zulässig, wenn ein betriebsverfassungsrechtlicher Anspruch besteht, die Übermittlung der Daten zur Anspruchserfüllung geeignet und erforderlich ist und eine einzelfallgerechte Interessenabwägung ergibt, dass das Interesse des Betroffenen am Ausschluss der Verarbeitung nicht überwiegt.319 Die Literaturansicht, nach der betriebsverfassungsrechtliche Normen als „andere Rechtsvorschrift des Bundes über den Datenschutz“ i. S. v. § 1 Abs. 2 S. 1 BDSG den Vorschriften des BDSG vorgehen320, sodass die Erforderlichkeitsprüfung des § 26 Abs. 1 BDSG entfällt, überzeugt nicht. Die Normen des BetrVG 314 Althoff, ArbRAktuell 2018, 414 (416); Dzida, BB 2019, 3060 (3061); Gola / Pötters, RDV 2017, 111 (115); Lücke, NZA 2019, 658 f.; Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 156; Wybitul, NZA 2017, 413 (416); Wybitul / Böhm, Anm. zu LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, 259 (260); in diese Richtung bereits BVerwG, Beschl. v. 29. 8. 1990 – 6 P 30/87, NJW 1991, 373 f.; a. A. BAG, Beschl. v. 9. 4. 2019 – 1 ABR 51/17, NZA 2019, 1055 Rn. 39 ff.; BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218 Rn. 43; LAG Köln, Beschl. v. 19. 7. 2019 – 9 TaBV 125/18, ZD 2020, 262 Rn. 37; Gola, BB 2017, 1462 (1465); diff. Lelley / Bruck / Yildiz, BB 2018, 2164 (2172). 315 Lücke, NZA 2019, 658 (659). 316 Lücke, NZA 2019, 658 (659). 317 Vgl. Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 156; Dzida, BB 2019, 3060 f.; Richardi / T hüsing, BetrVG, § 80 Rn. 65. 318 Siehe dazu oben § 6 C. II. 1. c). 319 So auch Dzida, BB 2018, 3060 (3061); Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 156; Lelley / Bruck / Yildiz, BB 2018, 2164 (2172); die Verarbeitung der Daten durch den Betriebsrat ist ebenfalls rechtfertigungsbedürftig, im Regelfall aber von den gleichen Erwägungen getragen, die auch der Datenübermittlung zugrunde lagen. 320 Gola, BB 2017, 1462 (1465); Paal / Pauly / Gräber / Nolden, DSGVO / BDSG, § 26 BDSG Rn.  20; diff. Ehmann / Selmayr / Selk, DSGVO, Art. 88 DSGVO Rn. 189 f.; Gola / Pötters, RDV 2017, 111 (113 ff.); Lelley / Bruck / Yildiz, BB 2018, 2164 (2172).

218

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

enthalten keine Regelungen spezifisch zum Datenschutz.321 Vielmehr macht der Wortlaut von § 26 Abs. 1 S. 1 Var.  2 BDSG deutlich, dass Datenverarbeitungen durch den Betriebsrat unter § 26 BDSG fallen.322 Das BAG geht davon aus, dass der Gesetzgeber die datenschutzrechtlich notwendige Abwägung bereits vorgenommen hat, indem er in § 26 Abs. 1 BDSG eine Erlaubnis der Datenverarbeitung zur Erfüllung einer gesetzlichen kollektivrechtlichen Pflicht anerkannt hat.323 Nach diesem Verständnis müsste der Begriff der Erforderlichkeit in § 26 Abs. 1 S. 1 BDSG jedoch unterschiedlich ausgelegt werden, je nachdem ob § 26 Abs. 1 S. 1 Var. 1 BDSG (für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses) oder § 26 Abs. 1 S. 1 Var. 2 BDSG (zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte) betroffen ist. Zudem gestattet die DSGVO nur spezifischere Vorschriften, die eine Abwägung der konkret betroffenen Interessen der Beschäftigten vorsehen.324 Sowohl § 80 Abs. 2 S. 2 i. V. m. Abs. 1 Nr. 1 BetrVG als auch § 102 Abs. 1 BetrVG sind zu allgemein gefasst. Nur weil der Betriebsrat zur Überwachung der Einhaltung datenschutzrechtlicher Vorschriften ein Einsichtsrecht hat, folgt daraus noch nicht, dass dazu die Übermittlung aller personenbezogener Daten der Beschäftigten erforderlich ist. b) Übermittlung von Positionsdaten an Dritte Im Einzelfall kann zur Erreichung des Ortungszwecks eine Datenübermittlung an Dritte erforderlich sein. Dritte können andere Konzernunternehmen und deren Mitarbeiter, ein externer Rechtsanwalt (z. B. zur Prüfung der Wirksamkeit eines Kündigungsvorhabens und Abschätzung der Prozessaussichten), Kunden (z. B. zum Nachweis) oder auch staatliche Stellen (z. B. Staatsanwaltschaft, Gerichte, Behörden) sein. Bei einer Datenübermittlung an andere Konzernunternehmen ist zu berücksichtigen, dass nach herrschender Meinung weder die DSGVO325 noch das alte oder neue BDSG326 ein Konzernprivileg enthält. Der Datenfluss zwischen Kon 321

So auch Lücke, NZA 2019, 658 f.; a. A. Lelley / Bruck / Yildiz, BB 2018, 2164 (2172). Vgl. Wybitul, NZA 2017, 413 (415). 323 BAG, Beschl. v. 9. 4. 2019  – 1 ABR 51/17, NZA 2019, 1055 Rn. 39; BAG, Beschl. v. 7. 5. 2019 – 1 ABR 53/17, NZA 2019, 1218 Rn. 43; zust. Heuschmid, SR 2019, 1 (11). 324 So auch Dzida, BB 2019, 3060 (3061); Lelley / Bruck / Yildiz, BB 2018, 2164 (2172); siehe oben § 6 C. I. 1. 325 H. M., Lachenmann, Datenübermittlung, S. 299; BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 68; FHS / Schneider / Forgó / Helfrich, Betrieblicher Datenschutz, VI. 1. Rn. 2; SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 176; WHWS / Schöttle, Datenschutz im ArbV, C. IV. Rn. 1–4; Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 137; Ehmann /  Selmayr / Z erdick, DSGVO, Art. 47 Rn. 4. 326 H. M., zum BDSG a. F. Lachenmann, Datenübermittlung im Konzern, S. 70 ff.; Gola /  Schomerus, BDSG 2015, § 27 Rn. 4; Schulz, BB 2011, 2552 (2553); Schantz / Wolff / Wolff, 322

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

219

zernunternehmen wird datenschutzrechtlich in derselben Weise beurteilt wie der Datenfluss zwischen Unternehmen, die nicht konzernverbunden sind.327 Erwägungsgrund 48 DSGVO, wonach Verantwortliche, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Zwecke zu übermitteln, ist keine Rechtsgrundlage, sondern eine Konkretisierung der Interessenabwägung.328 Um dieses Rechtfertigungsbedürfnis sowie damit einhergehende Schwierigkeiten, wie z. B. das Widerspruchsrecht aus Art. 21 Abs. 1 S. 1 DSGVO, ganz zu vermeiden oder zumindest keine selbständige Rechtfertigungsgrundlage vorweisen zu müssen, bedienen sich Konzerne oftmals des Instruments der gemeinsamen Verantwortlichkeit oder der Auftragsverarbeitung.329 IV. Angemessenheit Eine zu einem berechtigten Arbeitgeberinteresse erfolgende geeignete und erforderliche Ortungsmaßnahme muss auch angemessen sein. Die Interessen von Arbeitgeber und Beschäftigten sind im Einzelfall zu würdigen und sachgerecht auszugleichen.330 Zuerst stellt sich die Frage, wie groß das von der konkreten Ortungsmaßnahme ausgehende Risiko ist. Liegt ein hohes Risiko vor, ist als Folgefrage zu beantworten, wie gewichtig das Arbeitgeberinteresse an der Ortung ist.331 Sowohl der EuGH als auch der EGMR und die nationalen Gerichte folgen diesem Schema.332 Verfolgt der Arbeitgeber mit der Ortung mehrere Zwecke (z. B. Einsatzkoordinierung und Vereinfachung von Verwaltungsvorgängen), sind Risiko und Arbeitgeberinteresse im Hinblick auf die einzelnen Zwecke zu gewichten.333

Datenschutzrecht, Rn. 664; Wurzberger, ZD 2017, 258 (259 f.); zum BDSG n. F. SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 176; Ehmann / Selmayr / Selk, DSGVO, Art. 88 Rn. 176; Voigt, CR 2017, 428. 327 Taeger / Gabel / Taeger, DSGVO / BDSG, Art. 6 DSGVO Rn. 110; Voigt, CR 2017, 428. 328 BeckOK Datenschutzrecht / Albers / Veit, Art. 6 DSGVO Rn. 68; Voigt, CR 2017, 428 (429); Beschreibung als „kleines Konzernprivileg“ oder „Konzernprivileg light“ in Wurzberger, ZD 2017, 258 (260); Voigt, CR 2017, 428 (429). 329 WHWS / Schöttle, Datenschutz im ArbV, C. IV. Rn. 3 f.; Voigt, CR 2017, 428 ff. 330 BT-Drs. 18/11325, 97; ErfK / Franzen, § 26 BDSG Rn. 11. 331 Alexy, in: GS Sonnenschein, S. 773–777. 332 EGMR, Urt. v. 5. 9. 2017 – 61496/08, NZA 2017, 1443 Rn. 124 – Barbulescu / Rumänien; BVerfG, Urt. V. 15. 12. 1983 – 1 BvR 209/83 u. a., NJW 1984 419 (425) – Volkszählung; BGH, Urt. v. 4. 6. 2013 – 1 StR 32/13, NJW 2013, 2530 Rn. 78; BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 24. 333 Martini / Botta, NZA 2018, 625 (632) gehen davon aus, dass zusätzliche Zwecke das Gewicht des Arbeitgeberinteresses erhöhen.

220

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

1. Bewirkt die Ortung im Einzelfall ein hohes Risiko? a) Aufsichtsbehörden Die Aufsichtsbehörden gehen im Zusammenhang mit der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung aus Art. 35 Abs. 1 DSGVO davon aus, dass Ortungsmaßnahmen „wahrscheinlich ein hohes Risiko mit sich bringen“. Die Art.-29-Datenschutzgruppe hat 2017 neun Kriterien zusammengestellt, anhand derer zu ermitteln ist, ob eine Datenverarbeitung „wahrscheinlich ein hohes Risiko mit sich bringen wird“: (1) Bewerten oder Einstufen, (2) automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung, (3) systematische Überwachung, (4) vertrauliche Daten oder höchst persönliche Daten, (5) Datenverarbeitung in großem Umfang, (6) Abgleichen oder Zusammenführen von Datensätzen, (7) Daten zu schutzbedürftigen Betroffenen, (8) innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen und schließlich (9) Fälle, in denen die Verarbeitung an sich die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleitung bzw. Durchführung eines Vertrags hindert.334 Seien zwei Kriterien erfüllt, sei eine Datenschutzfolgenabschätzung obligatorisch, wobei die Wahrscheinlichkeit für ein hohes Risiko mit der Anzahl der erfüllten Kriterien steige.335 Die automatisierte Ortung von Beschäftigten erfüllt regelmäßig zwei bis fünf dieser Kriterien. „Arbeitnehmer“ werden ausdrücklich als schutzbedürftige Betroffene genannt.336 Darüber hinaus liegt eine Datenverarbeitung in großem Umfang sowie eine systematische Überwachung vor, die gegebenenfalls sogar der Bewertung dient. Manuelle Ortungsmaßnahmen erfüllen über die Schutzbedürftigkeit hinaus gegebenenfalls das Kriterium der Bewertung (z. B. Ortung zur Aufdeckung einer Straftat). Zudem bezeichnet die Artikel-29-Datenschutzgruppe „Standortdaten“ ausdrücklich als vertrauliche Daten.337 Auf nationaler Ebene legt die Datenschutzkonferenz zur Bestimmung der Schwere des möglichen Schadens diese fünf Kriterien ebenfalls als wesentliche Faktoren zugrunde.338 In der im Jahr  2018 veröffentlichten Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist, wird die Überwachung von Beschäftigten konkret genannt: „Umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise

334

Art.-29-DSG, WP 248, S. 10–12. Art.-29-DSG, WP 248, S. 12 f. 336 Art.-29-DSG, WP 248, S. 12. 337 Art.-29-DSG, WP 248, S. 12. 338 DSK, Kurzpapier Nr. 18, S. 5. 335

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

221

erheblich beeinträchtigt werden“.339 Als typisches Einsatzfeld dieser Verarbeitungstätigkeit wird die „Geolokalisierung von Beschäftigten“ angegeben. Auch wenn die Aufsichtsbehörden davon ausgehen, dass bei der Ortung von Beschäftigten wahrscheinlich ein hohes Risiko vorliegt, wird damit nicht die Aussage getroffen, dass Ortungsmaßnahmen tatsächlich immer ein hohes Risiko bewirken. Nach dem von der Datenschutzkonferenz zur Risikobeurteilung entwickelten Modell ist zunächst jedes bei einer Ortung typischerweise bestehende Risiko isoliert (dabei sollen sich die Wahrscheinlichkeiten der verschiedenen Wege, die zur Verwirklichung eines Risikos führen können, summieren340) und dann das Gesamtrisiko einer Risikoabstufung zuzuordnen.341 Mangels klarer Abgrenzungskriterien ist an dieser Stelle ein gewisser Abwägungsspielraum vorhanden.342 Ob von der Ortung tatsächlich ein hohes Risiko ausgeht, hängt von der Ausgestaltung im Einzelfall ab. Tendenziell gehen die Aufsichtsbehörden davon aus, dass Ortungsmaßnahmen, die ohne konkreten Tatverdacht eine Kontrolle des betroffenen Beschäftigten bezwecken343 oder aufgrund einer lückenlosen – also besonders umfangreichen – Datenerhebung eine Verhaltens- oder Leistungskontrolle ermög­ lichen344, aufgrund des damit einhergehenden hohen Risikos unangemessen sind.345 b) Rechtsprechung Die Gerichte für Arbeitssachen sind in zwei Entscheidungen davon ausgegangen, dass die konkret zu bewertende Ortungsmaßnahme nur einen geringfügigen Eingriff in das Persönlichkeitsrecht des Betroffenen bewirkt.346 Allgemein sei anzunehmen, dass eine Ortung im Vergleich zu einer Videoüberwachung einen geringeren Überwachungs- und Anpassungsdruck erzeuge, da „nur“ Bewegungen erfasst werden.347 Hervorzuheben ist die Entscheidung des LAG Baden-Württem 339

DSK, Verarbeitungstätigkeiten DSFA, Nr. 8. DSK, Kurzpapier Nr. 18, S. 4; zust. Bieker / Bremert / Hansen, DuD 2018, 492 (494). 341 DSK, Kurzpapier Nr. 18, S. 2 ff.; zust. Bieker / Bremert / Hansen, DuD 2018, 492 (494); Ritter / Reibach / L ee, ZD 2019, 531 ff. 342 Vgl. DSK, Kurzpapier Nr. 18, S. 6; Ritter / Reibach / L ee, ZD 2019, 53 (535). 343 LDI NRW, Ortungssysteme, S. 3. 344 LfDI BW, Beschäftigtendatenschutz 2020, S. 38; LfDI NRW, 24. TB 2017–2018, S. 65; LfDI SH, 37. TB 2019, S. 103; LfDI TH, 1. TB 2018, S. 252; LfD NI, 24. TB 2017–2018, S. 143. 345 Eine Ortung außerhalb der Arbeitszeit (s. LfD NI, 24. TB 2017–2018, S. 143) oder ohne vorherige Information (s. LfDI BW, Beschäftigtendatenschutz 2020, S. 38; mit der Ausnahme zur Aufdeckung von Straftaten) soll bereits nicht erforderlich sein. 346 LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)). 347 LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)); in diese Richtung auch EGMR, Urt. v. 2. 9. 2010 – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 52 – Uzun / Deutschland; Arnold, Mobile Arbeitnehmer, S. 139; Beckschulze, DB 2009, 2097 (2099); Göpfert / Papst, DB 2016, 1015 (1018); kritisch Däubler, NZA 2017, 1481 (1485), der von einem ähnlich belastenden Effekt ausgeht. 340

222

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

berg aus dem Jahr 2002 über die Zulässigkeit einer verdeckten fünf-tägigen, unter anderem auch samstags rund um die Uhr im Fünf-Minuten-Takt erfolgenden GPSOrtung des Fahrzeugs eines Außendienstmitarbeiters.348 Das Gericht ging von einer „relativen Geringfügigkeit des Eingriffs in das Persönlichkeitsrecht“ aus. Die GPS-Ortung ermögliche keine umfassende Beobachtung aller Verhaltensweisen einer Person, da nur die Position des Fahrzeugs bestimmt werde. Zwar könne die Privatsphäre betroffen werden, das Verhalten des Beschäftigten sei aber nur bei Kenntnis weiterer Umstände mehr oder weniger verlässlichen Rückschlüssen zugänglich. Ähnlich ging das ArbG Hamburg im Jahr 2011 davon aus, dass bei einer GPSÜberwachung anders als bei einer Videoüberwachung der Eingriff in das Persönlichkeitsrecht des Betroffenen gering sei, da der Arbeitgeber „lediglich ermitteln [könne], wo er sich mit seinem Fahrzeug gerade befindet [und] noch nicht einmal feststellen [könne], was er gerade tut. Dies [sei] nicht geeignet, einen erhöhten Überwachungs- und Anpassungsdruck auszulösen.“349 Etwas zurückhaltender war das ArbG Heilbronn bei seiner Entscheidung über eine Fahrzeugortung zur Prävention von Straftaten aus dem Jahr 2019.350 Bei der Beurteilung, ob ein psychischer Anpassungsdruck besteht, sei zu berücksichtigen, dass nicht nur Standorte und Aufenthaltszeiten, sondern auch die Fahrweise des Betroffenen erfasst werde. c) Literatur Die herrschende Meinung in der Literatur stützt sich im Rahmen der Interessenabwägung auf die oben herausgearbeiteten Kriterien.351 Mehrheitlich wird angenommen, dass von einer Ortungsmaßnahme ein hohes Risiko ausgeht, wenn sie außerhalb der Arbeitszeit352, mit einem Kernbereichsbezug wie z. B. der systematischen Erfassung jeden Toilettengangs353, verdeckt354 oder zur (präventiven

348

LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III.). ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)). 350 ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 53. 351 Siehe oben § 7 B.; eine Systematisierung der Kriterien bietet das „3x5-Modell“ von Herfurth, ZD 2018, 514 (515 ff.); siehe auch Ritter / Reibach / L ee, ZD 2019, 531 (533 ff.). 352 Besgen / P rinz / Stümper, Arbeiten 4.0, § 5 Rn. 40; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 38 f.; Gola, ZD 2012, 308 (310); Göpfert / Papst, DB 2016, 1015 (1018); Kerscher, SPA 2017, 101 (103 f.); König, Beschäftigtendatenschutz, § 5 Rn. 86; Kort, RdA 2018, 24 (31); Schröder, Datenschutzrecht, S. 110. 353 Vgl. Wellhöner / Byers, BB 2009, 2310, 2315; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 44; Lunk, NZA 2009, 457 (461). 354 Gola, ZD 2012, 308 (310); WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 37; Gola /  Pötters / Wronka, AN-Datenschutz, Rn. 1277; SHS / Seifert, Datenschutzrecht, Art. 88 DSGVO Rn. 141; für eine absolute Unzulässigkeit Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 52; Schröder, Datenschutzrecht, S. 110; Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 130. 349

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

223

oder repressiven) Verhaltens- oder zur Leistungskontrolle355 erfolgt. Im Übrigen sollen Ortungsmaßnahmen jedenfalls ein geringfügigeres Risiko bewirken.356 Oft wird ein Regel-Ausnahme-Verhältnis vertreten, wonach eine Ortung grundsätzlich unangemessen und nur ausnahmsweise angemessen sein soll.357 d) Stellungnahme aa) Risiko nur hoch wenn Konsequenzen bezweckt Bei der Bestimmung des von einer Datenverarbeitung ausgehenden Risikos muss das Schutzgut der Privatheit im Fokus stehen358. Die Privatheit wird zum einen beeinträchtigt, wenn die Datenverarbeitung bewirkt, dass ein Verhalten oder ein persönliches Merkmal für den Betroffenen Konsequenzen auslöst, ohne dass der Betroffene zuvor selbstbestimmt entschieden hat, sich solchen Konsequenzen auszusetzen.359 Zum anderen wird die Privatheit beeinträchtigt, wenn bereits die Möglichkeit, dass ein Verhalten zu Konsequenzen führt, bewirkt, dass der Betroffene sein Verhalten i. S. e. Fremdbestimmung normenkonform anpasst.360 Die zentrale Frage ist also, wie groß ist das Risiko, dass durch die Datenverarbeitung Dritte an Informationen über Verhaltensweisen oder persönliche Merkmale eines Einzelnen gelangen, an die sie Konsequenzen knüpfen können? Der Begriff der Konsequenz ist mit Schwichtenberg weit auszulegen.361 Nach Schwichtenberg können die Konsequenzen rechtlicher oder sozialer Natur sein.362 Entscheidend ist, dass die Konsequenz ein Element der Bewertung von Verhaltensweisen oder persönlichen Merkmalen beinhaltet.363 Danach bewirkt eine Datenverarbeitung Konsequenzen, wenn sie sich angeknüpft an die Bewertung eines Verhaltens oder persönlichen Merkmals des Betroffenen auf dessen Rechte oder Interessen auswirkt oder angeknüpft an ein Verhalten oder persönliches Merkmal des Betroffenen eine bewertende inhaltliche Aussage über ihn getroffen wird.364

355

Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 825; WHWS / Byers, Datenschutz im ArbV, B.VII. Rn. 27–29, 33; Gola, ZD 2012, 308 (310); Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1274; Kerscher, SPA 2017, 101 (102); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 44 f. 356 Zur Ortung zu Abrechnungszwecken WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 28; zur Ortung zur Sicherheit des Beschäftigten Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 830; zur Ortung zum Schutz von Eigentum WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 21–24. 357 Siehe Däubler, Gläserne Belegschaften, Rn. 322a; Plath / Stamer / Kuhnke, DSGVO / BDSG, § 26 BDSG Rn. 130 „nur bei gewichtigen betrieblichen Interessen des Arbeitgebers“. 358 Ausführl. dazu oben § 3 B. 359 Vgl. Schwichtenberg, Datenschutz, S. 21–29. 360 Schwichtenberg, Datenschutz, S. 22 m. w. N. 361 Schwichtenberg, Datenschutz, S. 23–25. 362 Schwichtenberg, Datenschutz, S. 24 f. 363 Schwichtenberg, Datenschutz, S. 24 f. 364 Vgl. Karg, ZD 2012, 255 (259 f.).

224

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Die von der Rechtsprechung, den Aufsichtsbehörden und der Literatur im Wesentlichen übereinstimmend herangezogenen Abwägungskriterien365 helfen dabei, im Einzelfall das Risiko zu bestimmen. Unklar ist aber, wo die Grenzen zwischen einem zu akzeptierenden Risiko und einem nicht ohne gewichtiges Datenverarbeitungsinteresse zu akzeptierenden hohen Risiko zu ziehen ist. Während Rechtsprechung, Aufsichtsbehörden und herrschende Meinung in der Literatur davon ausgehen, dass ein hohes Risiko bereits bestehen kann, wenn eine Datenverarbeitung Konsequenzen für den Betroffenen herbeiführen kann366, geht Schwichtenberg davon aus, dass von einem hohen Risiko erst auszugehen ist, wenn eine Datenverarbeitung Konsequenzen herbeiführen soll367. Schwichtenberg beurteilt Eintrittswahrscheinlichkeit und Schwere der Grundrechtsbeeinträchtigung damit maßgeblich anhand des Zwecks der Datenverarbeitung.368 Sieht der Verarbeitungszweck Konsequenzen für den Betroffenen vor, besteht ein hohes Risiko und die Datenverarbeitung ist nur zulässig, wenn ausnahmsweise das Datenverarbeitungsinteresse überwiegt. Sind keine Konsequenzen bezweckt, besteht zwar ein Risiko, die Verarbeitung ist aber stets zulässig, da das Risiko nicht hoch ist und durch Schutzmaßnahmen hinreichend eingedämmt wird. Ähnlich geht Karg davon aus, dass Datenverarbeitungen ein erhöhtes Risiko bewirken, deren Ziel es ist, auf Rechte oder Interessen einer Person einzuwirken (Ergebnisbezug), Personen zu bewerten (Bewertungsbezug) oder unmittelbar Aussagen über eine Person zu treffen (Inhaltsbezug).369 Ergebnis- und Inhaltsbezug knüpft Karg allerdings nicht ausdrücklich an ein Verhalten oder persönliches Merkmal des Betroffenen an. Ähnlich differenzieren Roßnagel, Pfitzmann und Garstka zwischen Verarbeitungen mit gezieltem Personenbezug und ohne gezielten Personenbezug.370 Der Ansatz überzeugt. Man ist sich einig, dass bei einer Datenverarbeitung, die Konsequenzen für den Betroffenen herbeiführen soll, das Verhalten des Betroffenen gerade nicht folgenlos bleiben soll, sodass aufgrund der hohen Wahrscheinlichkeit stets von einem hohen Risiko auszugehen ist.371 Daraus folgt umgekehrt, dass die Wahrscheinlichkeit von Konsequenzen geringer ist, wenn solche nicht

365

Siehe dazu oben unter § 7 B. Siehe dazu oben unter § 7 C. IV. 1. a)–c). 367 Schwichtenberg, Datenschutz, S. 53–62. 368 Schwichtenberg, Datenschutz, S. 53–62. 369 Karg, ZD 2012, 255 (259 f.) m. V. a. Art.-29-DSG, WP 136, S. 10–12. 370 Roßnagel / Pfitzmann / Garstka, Datenschutzrecht, S. 14 f., 68–70. 371 Vgl. DSK, Verarbeitungstätigkeiten DSFA, Nr. 11, 13, 17; LDI NRW, Ortungssysteme, S. 3; BAG, Beschl. v. 29. 6. 2004  – 1 ABR 21/03, NZA 2004, 1278 (1281); BAG, Urt. v. 27. 7. 2017  – 2 AZR 681/16, NZA 2017, 1327 Rn. 33; BAG, Beschl. v. 25. 4. 2017  – 1 ABR 46/15, NZA 2017, 1205 Rn. 25 ff.; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 53; Karg, ZD 2012, 255 (259 f.); WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 27–29, 33; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 825; Gola, ZD 2012, 308 (310); Kerscher, SPA 2017, 101 (102); Taeger / Gabel / Z öll, DSGVO / BDSG, Art. 26 BDSG Rn. 44 f. 366

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

225

bezweckt werden.372 Davon geht auch das BVerfG in seiner ersten Entscheidung zur automatisierten Kennzeichenerfassung aus: „Zwar erlangt der Eingriff auch in diesen Fällen dadurch ein gewisses Gewicht, dass er die Wahrscheinlichkeit für anschließende Eingriffe anderer Art erhöht, wie etwa das Anhalten des Fahrzeugs, eine nachfolgende Identitätsfeststellung, gegebenenfalls auch eine Durchsuchung des Fahrzeugs oder eine Ingewahrsamnahme des Fahrers oder der Fahrzeuginsassen. Sollen jedoch durch die Informationserhebung selbst weder weitere Schlüsse über das Verhalten des Betroffenen gezogen noch die gewonnenen Informationen gesammelt oder mit weiteren Informationen verknüpft werden, ist der Informationseingriff für sich genommen nicht besonders intensiv.“373 Unterschiedlich bewertet wird erst die Frage, unter welchen Voraussetzungen eine Datenverarbeitung zulässig sein soll, mit der keine Konsequenzen für den Betroffenen bezweckt werden. Soll eine solche Datenverarbeitung immer zulässig sein? Oder ebenfalls nur, wenn ein gewichtiges Datenverarbeitungsinteresse besteht, welches das Interesse des Betroffenen am Ausschluss der Verarbeitung überwiegt? Mit Schwichtenberg ist davon auszugehen, dass solche Datenverarbeitungen immer zulässig sein sollen. Zwar nehmen Rechtsprechung, Aufsichtsbehörden und die herrschende Meinung in der Literatur zutreffend an, dass auch eine Datenverarbeitung, die keine Konsequenzen für den Betroffenen bezweckt, umfangreich Aufschluss über die Persönlichkeit des Betroffenen geben kann.374 Zudem kann bereits die Möglichkeit, dass ein Verhalten zu Konsequenzen führt, unabhängig vom Verarbeitungszweck bewirken, dass der Betroffene sein Verhalten i. S. e. Fremdbestimmung normenkonform anpasst.375 Das Risiko von Konsequenzen ist aber nicht hoch. Ist die Ortung nicht darauf angelegt, Konsequenzen für den Betroffenen herbeizuführen, ist die Wahrscheinlichkeit gering, dass die datenverarbeitende Stelle Positionsdaten so verarbeitet, dass sie ein Verhalten oder persönliche Merkmale des Betroffenen überhaupt offenbaren.376 Damit ist gleichzeitig die Wahrscheinlichkeit gering, dass die Befürchtung von Konsequenzen bereits zu Beeinträchtigungen i. S. e. Fremdbestimmung führt.377 Eine Verarbeitung, die ein Verhalten oder persönliches Merkmal des Betroffenen offenbart, oder eine bewertende Verarbeitung eines offenbar gewordenen Verhaltens oder persönlichen Merkmals wäre eine unzulässige Zweckänderung.378 Darüber hinaus wird durch 372

Schwichtenberg, Datenschutz, S. 55; vgl. BVerfG, Urt. v. 11. 3. 2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 82 –Kennzeichenerfassung I; OVG Saarlouis, Urt. v. 14. 12. 2017 – 2 A 662/17, ZD 2018, 134 Rn. 48; Karg, ZD 2012, 255 (259 f.). 373 BVerfG, Urt. v. 11. 3. 2008 – 1 BvR 2074/05, 1 BvR 1254/07, NJW 2008, 1505 Rn. 82 – Kennzeichenerfassung I. 374 Siehe oben § 7 IV. 1. a)–c). 375 BAG, Beschl. v. 25. 4. 2017  – 1 ABR 46/15, NZA 2017, 1205 Rn. 20; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; Schwichtenberg, Datenschutz, S. 22. 376 Vgl. Schwichtenberg, Datenschutz, S. 55. 377 Vgl. Karg, ZD 2012, 255 (260). 378 Vgl. Schwichtenberg, Datenschutz, S. 55; zur Zulässigkeit von zweckändernder Weiterverarbeitung von Positionsdaten oben § 6 C. III.

226

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

das Erforderlichkeitsprinzip sichergestellt, dass selbst in Fällen, in denen die datenverarbeitende Stelle entgegen dem Verarbeitungszweck die personenbezogenen Daten in einer auf Konsequenzen gerichteten Art und Weise verarbeiten möchte, ihr die Verarbeitung nur schwer möglich ist.379 Die oben herausgearbeiteten Kriterien380 fließen bereits in die Erforderlichkeitsprüfung ein (z. B. Menge und Dauer der Verarbeitung, Systematisierung, Persönlichkeitsrelevanz und Personenbezug der Daten, Erwartbarkeit) und stellen sicher, dass die Datenschutzgrundsätze bestmöglich verwirklicht sind. Daher geht von allen in der Angemessenheitsprüfung zu beurteilenden Datenverarbeitungen im Verhältnis zum jeweiligen Verarbeitungszweck ein minimales Risiko aus. Das verbleibende Risiko wird auf Ebene der Schutzmaßnahmen weiter eingedämmt, indem die Einhaltung der Datenschutzgrundsätze sichergestellt werden muss.381 Dazu folgendes Beispiel: Bei einer Ortung zur Einsatzkoordinierung sind keine Konsequenzen für die Betroffenen bezweckt. Der Arbeitgeber möchte mit der Ortung erreichen, dass er kurzfristige Aufträge optimal verteilen kann. Damit die Ortung erforderlich ist, müssen die Positionsdaten offen, pseudonym und anlassbezogen erhoben und bei einer Veränderung der Position sofort gelöscht werden. Zwar kann der Arbeitgeber gegebenenfalls herausfinden, wer sich in dem Fahrzeug X befindet, das sich an Ort Y befindet. Aber wie groß ist die Wahrscheinlichkeit, dass er sich den Aufwand macht, die als Schutzmaßnahmen implementierten technischen Hürden zu überwinden, das Pseudonym aufzulösen und das Datum einem einzelnen Beschäftigten zuzuordnen? Zudem bietet das einzelne Datum noch nicht die Möglichkeit, Aufschluss über ein Verhalten oder persönliches Merkmal des Betroffenen zu erlangen. Damit ist nicht nur die Wahrscheinlichkeit gering, dass der Arbeitgeber eine Zuordnung schafft, sondern auch, dass die Daten überhaupt die Persönlichkeit des Betroffenen offenbaren. Das Risiko, dass aufgrund der Ortung ein Verhalten oder persönliches Merkmal des betroffenen Beschäftigten nicht folgenlos bleibt, ist gering. Durch organisatorische und technische Schutzmaßnahmen, die insbesondere sicherstellen, dass die Daten offen, pseudonym und anlassbezogen erhoben und bei einer Veränderung der Position sofort gelöscht werden und nur Berechtigte zugreifen können, wird dafür gesorgt, dass das Risiko gering bleibt. bb) Rechtsprechung zur Videoüberwachung und vergleichbar eingriffsintensiven Überwachungsmaßnahmen nur eingeschränkt übertragbar Im Grunde verfolgt auch die Rechtsprechung in ihren Entscheidungen zur Zulässigkeit von Überwachungsmaßnahmen diesen Ansatz, in dem sie davon aus 379

Vgl. Schwichtenberg, Datenschutz, S. 58. Siehe oben § 7 B. 381 Vgl. Schwichtenberg, Datenschutz, S. 56 ff.; ähnl. Art.-29-DSG, WP 217, S. 52 ff. 380

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

227

geht, dass der Überwachungs- und Anpassungsdruck in einen Bereich steigt, der einer Angemessenheit tendenziell entgegensteht, wenn mit der Überwachung das Arbeitsverhalten oder konkret die Arbeitsleistung präventiv oder repressiv kontrolliert werden soll382. Erfolgt die Überwachung zu Zwecken, bei denen nicht angeknüpft an die Bewertung eines Verhaltens oder persönlichen Merkmals des Betroffenen auf dessen Rechte oder Interessen eingewirkt oder angeknüpft an ein Verhalten oder persönliches Merkmal des Betroffenen eine bewertende inhaltliche Aussage über ihn getroffen werden soll, gehen die Gerichte von einem geringeren Überwachungsdruck und damit ebenfalls von einer geringeren Eingriffsintensität aus.383 Im Jahr 2004 entschied das BAG, dass die zu bewertende offene Videoüberwachung aller in der Bearbeitungshalle eines Briefzentrums Beschäftigter zur Prävention und Repression von Diebstählen aufgrund des schwerwiegenden Eingriffs (ständiger Überwachungsdruck) nicht angemessen ist.384 Ähnlich entschied das BAG im Jahr 2017, dass der zu bewertende offene Einsatz eines Keyloggers, der das Verhalten des betroffenen Beschäftigten zur Verhinderung eines Missbrauchs des WLAN-Zugangs kontrollieren sollte, aufgrund der Eingriffsintensität unangemessen ist.385 Ebenfalls im Jahr  2017 hielt das BAG eine Überwachung für unangemessen, mit welcher der Arbeitgeber die unterschiedliche Belastungssituation der Beschäftigten und deren Ursachen analysieren wollte, um eine sachund mitarbeitergerechte Arbeitssteuerung zu ermöglichen und die Effizienz der Arbeitsorganisation zu verbessern.386 Die Überwachung greife schwerwiegend in das Persönlichkeitsrecht der Betroffenen ein. Umgekehrt ging das OVG Saarlouis 2017 davon aus, dass eine offene Videoüberwachung eines Betäubungsmittelschranks – also nicht unmittelbar eines Beschäftigten – in einem eng abgegrenzten Bereich einer Apotheke zur Abschreckung bzw. Überführung eventueller Täter nicht schwerwiegend in das Persönlichkeitsrecht der Beschäftigten eingreife.387 Wie die Beispiele zeigen, sind Videoüberwachungsmaßnahmen im Regelfall darauf ausgerichtet, Konsequenzen für die Betroffenen herbeizuführen, sodass von ihnen im Regelfall ein hohes Risiko ausgeht. Dieser Grundsatz gilt nicht für Ortungsmaßnahmen. Da Ortungsmaßnahmen nur in bestimmten Fallkonstellationen darauf ausgerichtet sind, auf einer Bewertung des Verhaltens oder eines persönlichen Merkmals des Betroffenen beruhende Konsequenzen für die Betroffenen herbeizuführen, kann die Rechtsprechung zur Videoüberwachung oder vergleich 382

Vgl. BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281); BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33; BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 25 ff.; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 53. 383 OVG Saarlouis, Urt. v. 14. 12. 2017 – 2 A 662/17, ZD 2018, 134 Rn. 48–50. 384 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1281 f.). 385 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 33 f. 386 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 24–38. 387 OVG Saarlouis, Urt. v. 14. 12. 2017 – 2 A 662/17, ZD 2018, 134 Rn. 45–50.

228

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

bar eingriffsintensiven Überwachungsmaßnahmen nur in diesen Fallkonstellationen übertragen werden. cc) Konkret: Hohes Risiko nur bei Ortung zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung im Verdachtsfall sowie zur verdachtslosen Verhaltens- oder Leistungskontrolle Im Hinblick auf eine Ortung von Beschäftigten lassen sich folgende Schlussfolgerungen ziehen. Dient die Ortung der Bewertung des Verhaltens oder eines persönlichen Merkmals des Betroffenen, bezweckt sie Konsequenzen für den Betroffenen, sodass von ihr ein hohes Risiko ausgeht. Das ist der Fall, wenn die Ortung dazu dient, eine Straftat oder sonstige Pflichtverletzung aufzudecken388, die Arbeitszeit zu erfassen, als Compliance-Kontrolle die Einhaltung interner Regelungen und Weisungen zu überprüfen oder das Verhalten oder die Leistung des Beschäftigten zu beurteilen.389 Dient die Ortung der Einsatzkoordinierung, der Vereinfachung von Verwaltungsvorgängen oder der Sicherheit von Beschäftigten, bezweckt die Ortung nicht die Überwachung einer Person i. S. e. Überwachung von Verhalten oder persönlichen Merkmalen und damit auch keine Konsequenzen.390 Vielmehr ist die Möglichkeit einer solchen Überwachung ein „Nebenprodukt“. In erster Linie geht es dem Arbeitgeber darum, seine Fahrzeugflotte optimal zu steuern, seine Verwaltungsvorgänge zu vereinfachen oder seine Beschäftigten im Notfall schützen zu können. 2. (Hohes) Risiko durch Arbeitgeberinteresse gerechtfertigt? a) Ortung ohne hohes Risiko grundsätzlich gerechtfertigt Geht von einer Ortungsmaßnahme kein hohes Risiko aus, ist sie grundsätzlich angemessen, sofern ihr ein berechtigtes Interesse zugrunde liegt und die Maßnahme zur Erfüllung des darauf basierenden Ortungszwecks geeignet und erforderlich ist. Mangels hohen Risikos überwiegt das Arbeitgeberinteresse. Das verbleibende Restrisiko ist durch das Erforderlichkeitsprinzip minimiert und wird durch Schutzmaßnahmen eingedämmt.

388

So auch Schwichtenberg, Datenschutz, S. 54; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 34 f. 389 I. E. auch Schläger / T hode / Schmidt, HdB Datenschutz und IT, C. Rn. 249; ausführl. dazu die Fallanalyse unten § 8. 390 Vgl. ArbG Hamburg, Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (1. b) aa)).

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

229

b) Ortung mit hohem Risiko nur bei gewichtigem Arbeitgeberinteresse gerechtfertigt Geht von einer Ortungsmaßnahme ein hohes Risiko aus, kann sie nur gerechtfertigt sein, wenn im Einzelfall ein gewichtiges Arbeitgeberinteresse an der Ortung besteht, welches das Interesse des Betroffenen am Ausschluss der Verarbeitung überwiegt. Die Interessen sind im Einzelfall unter Berücksichtigung der oben dargestellten Kriterien391 abzuwägen. Aus Rechtsprechung und Literatur ergeben sich zutreffend die folgenden beiden Tendenzen. aa) Konkrete und schwerwiegende Gefahr kann umfangreiche Ortungsmaßnahmen rechtfertigen Besteht eine konkrete und schwerwiegende Gefahr, rechtfertigt dieser Umstand tendenziell auch umfangreiche Überwachungsmaßnahmen.392 Gestützt auf die strengeren Voraussetzungen in § 26 Abs. 1 S. 2 BDSG393 wird in Rechtsprechung und Literatur zutreffend davon ausgegangen, dass eine Ortung von Beschäftigten trotz hohen Risikos tendenziell angemessen ist, wenn ein konkreter und schwerwiegender Tatverdacht besteht.394 EGMR, BVerfG und BGH hielten eine etwa drei Monate lang im Minutentakt über einen am Pkw des Betroffenen angebrachten GPS-Empfänger erfolgende verdeckte Ortung zur Aufklärung eines Mordes für angemessen.395 Das LAG Baden-Württemberg sah eine verdeckte fünftägige, unter anderem auch Samstags rund um die Uhr im Fünf-Minuten-Takt durchgeführte GPS-Ortung des Fahrzeugs eines Außendienstmitarbeiters zur Aufklärung eines Umsatzrückgangs i. H. v. 50 % innerhalb von drei Jahren als angemessen an.396 Die Tatsache, dass die Ortung des auch zur Privatnutzung überlassenen Fahrzeugs ohne berechtigtes Interesse auch am Wochenende stattfand, mache die im dienstlichen Bereich erhobenen Daten nicht unverwertbar, da der Privatbereich des Betroffenen „auch insoweit lediglich am Rande betroffen wurde und eine so weitgehende Überwachung […] nicht beabsichtigt war“.397 391

Siehe oben § 7 B. Vgl. BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017, 443 Rn. 22–31; BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 29 ff. 393 Siehe dazu oben § 6 C. II. 1. b). 394 EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80  – Uzun / Deutschland; BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1341) – GPSObservation; LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III.); Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 823; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 35. 395 EGMR, Urt. v. 2. 9. 2010  – 35623/05, EuGRZ 2011, 115 = NJW 2011, 1333 Rn. 80  – Uzun / Deutschland; BVerfG, Urt. v. 12. 4. 2005 – 2 BvR 581/01, NJW 2005, 1338 (1341) – GPS-Observation. 396 LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III.). 397 LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.). 392

230

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Nach einer jüngeren Entscheidung des EGMR kann der berechtigte Verdacht eines Diebstahls bei eingetretenen Verlusten i. H. v. 82.000 Euro „eine erhebliche Rechtfertigung sein“.398 „Das [gelte] umso mehr in einer Situation, in der ein reibungsloser Betrieb eines Unternehmens durch den Verdacht von Straftaten gefährdet ist, die nicht nur von einem Arbeitnehmer, sondern durch gemeinsames Handeln mehrerer begangen wurden, weil das ein allgemeines Klima des Misstrauens im Unternehmen erzeugen kann“.399 bb) Abstrakte Gefahr kann nur stichprobenartige Ortungsmaßnahmen rechtfertigen Hingegen geht die herrschende Meinung zutreffend davon aus, dass eine abstrakte Gefahr keine umfangreichen, sondern nur stichprobenartige Überwachungsmaßnahmen – und damit konkret Ortungsmaßnahmen400 – rechtfertigen kann.401 Nach überzeugender Ansicht des BAG dürfen Beschäftigte „grundsätzlich erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht ‚ins Blaue hinein‘ oder wegen des Verdachts bloß geringfügiger Verstöße eine verdeckte Überwachung und gegebenenfalls ‚Verdinglichung‘ von ihnen gezeigter Verhaltensweisen erfolgt“.402 Vor diesem Hintergrund sah das BAG in seinen Entscheidungen zu einer Videoüberwachung in einem Briefverteilzentrum403 und in seiner Keylogger-Entscheidung404 die Überwachung mangels konkreten Tatverdachts nicht als angemessen an. Eine Überwachungseinrichtung, die dauerhaft sämtliche Arbeitsschritte der Beschäftigten nach quantitativen Kennzahlen auswertet, um die Belastungssituation der Beschäftigten zu analysieren und dadurch die Arbeitsabläufe zu effektuieren, hielt das BAG eben-

398

EGMR, Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697 Rn. 134 – Lopez Ribalda /  Spanien. 399 Ebd. 400 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 820; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 33; Kerscher, SPA 2017, 101 (103); Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 48a. 401 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; siehe auch BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); BAG, Urt. v. 29. 6. 2017 – 2 AZR 597/16, NZA 2017, 1179 Rn. 32; BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 53 f.; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 45; terminologisch missverständlich ErfK / Franzen, § 26 BDSG Rn. 22; Stück, CCZ 2020, 77 (78); Momsen / Gürtzner / Schmidl, Wirtschafts- und SteuerstrafR, § 9 Rn. 70 „stets ein konkreter Anlass für die Ortung erforderlich“. 402 BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 53. 403 BAG, Beschl. v. 29. 6. 2004 – 1 ABR 21/03, NZA 2004, 1278 (1283); ähnl. BAG, Beschl. v. 14. 12. 2004 – 1 ABR 34/03, NJOZ 2005, 2708 (2715 f.); zu den Entscheidungen bereits oben §7 C. IV. 1. d) bb). 404 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31 ff.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

231

falls für unangemessen.405 Als angemessen sah es hingegen einen ohne konkreten Tatverdacht erfolgenden offenen Zugriff auf nicht als „privat“ gekennzeichnete, auf einem Dienstrechner gespeicherte Dateien an.406 Die vereinzelte Forderung, auch zu präventiven Zwecken erfolgende Datenverarbeitungen von konkreten Anhaltspunkten, wie z. B. einer Wiederholungsgefahr einer in der Vergangenheit bereits zu Lasten des Arbeitgebers begangenen Tat, abhängig zu machen407, überzeugt nicht.408 Arbeitgebern ist aufgrund ihrer unternehmerischen Freiheit aus Art. 16 GrCh nicht per se zuzumuten, zumindest einmal die Gefahrverwirklichung „abzuwarten“.409 Daraus, dass der Gesetzgeber in § 26 Abs. 1 S. 2 BDSG nur für den Fall repressiver Maßnahmen einen konkreten Tatverdacht fordert, folgt, dass ein solcher keine allgemeine Voraussetzung von Überwachungsmaßnahmen ist.

D. Folgen der Interessenabwägung auf vom Arbeitgeber durchzuführende Schutzmaßnahmen Vor dem Einsatz eines Ortungssystems zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall oder zur Verhaltens- oder Leistungskontrolle haben Arbeitgeber nach Art. 35 Abs. 1 DSGVO eine Datenschutzfolgenabschätzung durchzuführen410, da „voraussichtlich ein hohes Risiko“ bewirkt wird.411 Da die Aufsichtsbehörden bei automatisierten Ortungsmaßnahmen unabhängig vom Ortungszweck davon ausgehen, dass „voraussichtlich ein hohes Risiko“ entsteht412, ist bei automatisierten Ortungsmaßnahmen zu empfehlen, 405

BAG, Urt. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 22 ff. BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 61 ff. 407 ArbG Cottbus, Urt. v. 25. 11. 2014 – 3 Ca 359/14, ZD 2016, 301 (303); Däubler, Gläserne Belegschaften, Rn. 312b; Simitis / Seifert, BDSG 2014, § 32 Rn. 80; SHS / ders., Datenschutzrecht, Art. 88 DSGVO Rn. 140; Steinkühler, BB 2009, 1294 (1295). 408 So auch BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; BAG, Urt. v. 31. 1. 2019  – 2 AZR 426/18, NZA 2019, 893 Rn. 53 f.; Fuhlrott, NZA 2017, 1308 (1310); Kühling / Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 42; BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 138; Thüsing / Schmidt, NZA 2017, 1027 (1028). 409 So auch Bayreuther, NZA 2005, 1038 (1039); Beckschulze / Natzel, BB 2010, 2368 (2372); Thüsing / Schmidt, NZA 2017, 1027 (1030). 410 Vgl. DSK, Kurzpapier Nr. 5; strenger VG Wiesbaden, Urt. v. 17. 1. 2022 – 6 K 1164/21, ZD 2022, 406 Rn. 101 ff.; Art. 35 Abs. 3 lit. c) DSGVO ist bei der Ortung von Beschäftigten nicht erfüllt, da kein „Bereich“, sondern eine Person überwacht wird. Ist die Ortungsmaßnahme in einer Betriebsvereinbarung geregelt, ist Art. 35 Abs. 10 DSGVO nicht einschlägig, da eine solche Betriebsvereinbarung kein im öffentlichen Interesse liegendes Ziel i. S. v. Art. 6 Abs. 1 lit. c) i. V. m. Art. 6 Abs. 3 S. 4 DSGVO verfolgt. 411 Siehe oben § 7 C. IV. 1. d) cc); zur Datenschutzfolgenabschätzung vgl. Auer-Reinsdorff /  Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 301; Tschöpe / Grimm, ArbR HdB, 6.  F. Rn.  295; Schläger / T hode / Schmidt, HdB Datenschutz und IT, C. Rn. 256 „in der Regel“; ­Tribess, Anm. zu VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, GWR 2019, 134. 412 Siehe dazu oben §7 C. IV. 1. a). 406

232

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

stets eine Datenschutzfolgenabschätzung durchzuführen. In der Konsequenz sollten private Arbeitgeber nach Art. 37 Abs. 1 DSGVO i. V. m. § 38 Abs. 1 S. 2 Var. 1 BDSG zudem nicht nur im Fall der soeben genannten Ortungszwecke, sondern stets einen Datenschutzbeauftragten benennen.413 LBS-Anbieter müssen nach Art. 37 Abs. 1 lit. b)  DSGVO ebenfalls einen Datenschutzbeauftragten benennen, wenn sie Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO sind414 und die umfangreiche, regelmäßige und systematische Überwachung von Personen ihre Kerntätigkeit ist. Geht aus der Datenschutzfolgenabschätzung hervor, dass die Verarbeitung ein hohes Risiko zu Folge hätte – also Ortungen zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall oder zur Verhaltens- oder Leistungskontrolle415 –, ist nach Art. 36 Abs. 1 DSGVO vorher die Aufsichtsbehörde zu konsultieren. Darüber hinaus haben Arbeitgeber nach Art. 25 und Art. 32 DSGVO durch Technikgestaltung, datenschutzfreundliche Voreinstellungen und organisato­rische Maßnahmen abzusichern, dass Beschäftigten-Positionsdaten tatsächlich in den Grenzen der Verhältnismäßigkeit verarbeitet werden.416 Je höher das von der Ortungsmaßnahme ausgehende Risiko ist, desto strengere Anforderungen sind an diese Maßnahmen zu stellen.417 Dabei ist zu beachten, dass Arbeitgeber in der Regel wenig Möglichkeiten haben, auf die Technikgestaltung der Software des LBS-Anbieters einzuwirken.418 Gleichwohl sind Arbeitgeber verpflichtet, den Markt zu beobachten und nur Systeme zu verwenden, die eine verhältnismäßige Datenverarbeitung ermöglichen.419 Technisch und organisatorisch ist insbesondere sicherzustellen, dass der Grad des Personenbezugs (Stichwort Pseudonyme), die Frequenz der Datenerhebung und die Speicherdauer erforderlich ist und bestehende Informationspflichten erfüllt werden. Ist eine Datenerhebung außerhalb der Arbeitszeit nicht erforderlich, muss zudem technisch sichergestellt sein, dass vor Beginn und nach Ende der Arbeit sowie gegebenenfalls auch in den dazwischen liegenden Ruhepausen keine Positionsdaten erhoben werden können oder das Ortungssystem durch den Beschäftigten selbst abgeschaltet werden kann.420 Darüber hinaus muss es ein Zugriffsberechtigungskonzept geben.421 413

Mit § 38 BDSG hat der deutsche Gesetzgeber von der Öffnungsklausel in Art. 37 Abs. 4 S. 1 HS. 2 DSGVO Gebrauch gemacht, siehe dazu BeckOK Datenschutzrecht / Moos, § 38 BDSG Rn. 1. 414 Dazu oben § 6 B. III. 415 Siehe dazu oben § 7 IV. 1. d) cc). 416 Zu Art. 25 DSGVO vgl. EDSA, Leitlinien 04/2019. 417 Vgl. Art. 25 Abs. 1 und Art. 32 Abs. 1 und 2 DSGVO. 418 Vgl. Auer-Reinsdorff / Conrad / Conrad, HdB DatenschutzR, § 33 Rn. 223; Art. 25 Abs. 1 und 2 DSGVO richten sich in erster Linie an Hersteller und nicht an den Verantwortlichen, so auch Brink / Groß, RuP 2019, 105 (115). 419 Vgl. Auer-Reinsdorff / Conrad / Conrad, HdB DatenschutzR, § 33 Rn. 223. 420 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 832–836; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 38 f.; Gola, ZD 2012, 308 (310); Kerscher, SPA 2017, 101 (103 f.); Kort, RdA 2018, 24 (31); Raif, ArbRAktuell 2010, 359 (360). 421 Vgl. SHS / Hansen, Datenschutzrecht, Art. 25 DSGVO Rn. 66.

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

233

Werden Positionsdaten i. S. e. Aufbewahrung gespeichert, muss entweder ein Verfahren der Anonymisierung oder ein technisches Löschkonzept implementiert sein.422 Das Löschkonzept kann beispielsweise auf der Löschregel basieren, dass zur Aufdeckung einer Straftat erhobene Positionsdaten nach 48 Stunden (Regellöschfrist) ab Erhebung automatisch gelöscht werden, außer die Daten wurden innerhalb dieser Frist als Beweismittel gekennzeichnet, was eine weitergehende Speicherung mit neuer Löschfrist auslöst, innerhalb derer die Daten nach Freigabe423 durch einen fachlich verantwortlichen Mitarbeiter gelöscht werden. Alternativ können Daten nach dem sog. Black-Box-Verfahren zunächst unter Verschluss gespeichert und später wieder gelöscht werden, wenn es keinen konkreten Anlass zur Auswertung gibt.424 Da die Positionsdaten in der Regel (auch) auf dem Server des LBS-Anbieters gespeichert werden, haben Arbeitgeber ihre Löschpflichten nach Art. 28 Abs. 1 DSGVO an den LBS-Anbieter weiterzugeben und entsprechende Regelungen im Auftragsverarbeitungsvertrag zu treffen, wenn die Positionsdaten auch für den LBS-Anbieter personenbezogen sind.425 Sind die Positionsdaten auch für den LBS-Anbieter personenbezogen, muss zudem sichergestellt sein, dass Art. 25 und Art. 32 DSGVO auch im Rahmen der Auftragsverarbeitung umgesetzt werden.426 Im Auftragsdatenverarbeitungsvertrag müssen die Modalitäten für den Datenumgang sowie für Datenübermittlungen klar festgelegt sein.427 Darüber hinaus sind Arbeitgeber verpflichtet, die Einzelheiten der im Rahmen der Ortung erfolgenden Datenverarbeitung in dem nach Art. 30 Abs. 1 DSGVO zu führenden Verzeichnis von Verarbeitungstätigkeiten zu notieren.428 Sofern der LBS-Anbieter Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO ist, trifft auch diesen eine solche Pflicht (vgl. Art. 30 Abs. 2 DSGVO).

422

Vgl. Jandt / Steidle / Hammer, Datenschutz im Internet, B. IV. Rn. 173 ff.; Keppeler / Berning, ZD 2017, 314 (417 ff.); entspricht das Löschkonzept der 2016 vom Deutschen Institut für Normung e. V. (DIN) veröffentlichten Leitlinie zur Entwicklung eines Löschkonzepts DIN 66398:2016-05, gilt es als rechtmäßig, so FHS / Scheja / Quae / Conrad / Hausen, Betrieblicher Datenschutz, IV. 2. Rn. 30. 423 Vgl. Jandt / Steidle / Hammer, Datenschutz im Internet, B. IV. Rn. 251. 424 Zum Black-Box-Verfahren siehe Grages / Plath, CR 2017, 791 ff. m. w. N. 425 Vgl. Jandt / Steidle / Hammer, Datenschutz im Internet, B. IV. Rn. 206; zum Personenbezug der Positionsdaten bei der Verarbeitung durch LBS-Anbieter oben § 6 B. III. 2. 426 Vgl. SHS / Hansen, Datenschutzrecht, Art. 25 DSGVO Rn. 22. 427 Vgl. Art. 28 Abs. 3 DSGVO. 428 Umstritten ist, ob das Verzeichnis fortlaufend oder nur in angemessenen Zeitintervallen aktualisiert werden muss, zum Streit siehe Kühling / Buchner / Hartung, DSGVO / BDSG, Art.  30 DSGVO Rn. 31 m. w. N.

234

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

E. Zwischenergebnis Eine Ortungsmaßnahme ist verhältnismäßig, wenn das Interesse des von der Ortung betroffenen Beschäftigten am Ausschluss der Ortung nicht das Interesse des Arbeitgebers an der Ortung überwiegt. Diese Voraussetzung ist erfüllt, wenn von der Ortung kein hohes Risiko für den Betroffenen ausgeht. Geht von ihr ein hohes Risiko aus, muss das Arbeitgeberinteresse so gewichtig sein, dass es überwiegt. Bezugspunkt für das von einer Ortung ausgehende Risiko ist in erster Linie die informationelle Privatheit des Betroffenen. Vermieden werden soll z. B. eine durch unerwünschte Informationsverwendung drohende Diskriminierung. Damit geht von der Ortung ein hohes Risiko für den Betroffenen aus, wenn die Wahrscheinlichkeit groß ist, dass durch die im Rahmen der Ortung erfolgende Datenverarbeitung Dritte (insbesondere der Arbeitgeber) an Informationen über Verhaltensweisen oder persönliche Merkmale des Betroffenen gelangen, an die sie Konsequenzen knüpfen können. Das Risiko steigt, je gravierender die drohenden Konsequenzen sind. Die Höhe des im Einzelfall von der Ortungsmaßnahme ausgehenden Risikos ist anhand der Eintrittswahrscheinlichkeit der einzelnen Risiken und der Schwere der drohenden Beeinträchtigungen zu bestimmen. Dazu verweist der Unionsgesetzgeber in der DSGVO auf eine Reihe von Kriterien, die unter den Oberkategorien Zweck, Art, Umfang und Umstände der Datenverarbeitung zusammengefasst werden können. Darüber hinaus können der DSGVO Kriterien entnommen werden, anhand derer bestimmt werden kann, wie gewichtig das Datenverarbeitungsinteresse ist. Auf beiden Seiten decken sich diese Kriterien weitgehend mit den von der Rechtsprechung, der Literatur und den Aufsichtsbehörden jeweils verwendeten Kriterien. Diese Abwägungskriterien müssen in die Verhältnismäßigkeitsprüfung miteinfließen, deren Struktur sich aus der unionsrechtlichen und deutschen Grundrechtsdogmatik ergibt. Danach ist zunächst zu untersuchen, ob dem Ortungszweck ein berechtigtes Interesse des Arbeitgebers zugrunde liegt. Das ist regelmäßig der Fall, da dem Arbeitgeber aufgrund seiner unternehmerischen Freiheit ein weiter Beurteilungsspielraum zusteht. Weiter ist zu prüfen, ob die Ortung zur Erreichung des Ortungszwecks geeignet ist. Das ist zu bejahen, wenn die Ortung in ihrer konkreten Ausgestaltung diesen Zweck zumindest fördern kann. Die Erforderlichkeitsprüfung soll verhindern, dass von einer Ortungsmaßnahme ein hohes Risiko ausgeht, ohne dass der Ortungszweck die konkrete Ortung verlangt. Erforderlich ist die Ortung nur, wenn zur Erreichung des Ortungszwecks kein anderes, gleich geeignetes Mittel zur Verfügung steht, das die Privatheit des Beschäftigten weniger belastet und dem Arbeitgeber zumutbar ist. Mit anderen Worten ist eine Ortungsmaßnahme nur erforderlich, wenn der Ortungszweck nicht gleich wirksam durch eine Maßnahme erreicht werden kann, bei der die Datenschutzgrundsätze besser verwirklicht sind. Allein im Hinblick auf die Erhebung von Positionsdaten stellen sich folgende Fragen: Kommen statt Ortungsmaßnahmen sonstige Maßnahmen in Betracht? Ist eine Ortung, bei der der Betroffene seine Position selbst

§ 7 Leitfaden für die Verhältnismäßigkeitsprüfung 

235

mitteilt gegenüber dem Einsatz eines Ortungssystems gleich geeignet? Fordert der Ortungszweck eine lückenlose Datenerhebung oder reicht eine stichprobenartige oder sogar anlassbezogene Erhebung von Positionsdaten? Reicht eine Datenerhebung innerhalb der Arbeitszeit oder fordert der Ortungszweck auch eine Datenerhebung außerhalb der Arbeitszeit? Reicht es aus, dass die Daten pseudonym oder sogar anonym verarbeitet werden oder müssen sie einem identifizierten Beschäftigten zugeordnet sein? Ist eine offene Ortung gegenüber einer verdeckten Ortung gleich geeignet? Da die Datenschutzgrundsätze verbindlich, aber flexibel sind, kann eine verdeckte Ortung erforderlich sein, wenn bei einer vorherigen Information des Betroffenen der Ortungszweck nicht erreicht werden kann (vgl. Art. 14 Abs. 5 lit. b) Var. 4 DSGVO). Im Hinblick auf weitere Verarbeitungsschritte wie die Speicherung, Verwendung oder Übermittlung von Positionsdaten ist sowohl nach dem „Ob“ der Datenverarbeitung zu fragen (fordert der Ortungszweck überhaupt ein Speichern / Verwenden / Ü bermitteln der Daten?) als auch nach dem „Wie“ der Datenverarbeitung (z. B. nach welcher Speicherfrist müssen die Daten gelöscht werden? Wer darf die Daten verwenden? Müssen die Daten mit Personenbezug übermittelt werden?). Auf Ebene der Angemessenheit ist im ersten Schritt zu prüfen, ob von der geeigneten und erforderlichen Ortungsmaßnahme ein hohes Risiko für den Betroffenen ausgeht. Ist die Wahrscheinlichkeit groß, dass durch die im Rahmen der Ortung erfolgende Datenverarbeitung Dritte (insbesondere der Arbeitgeber) an Informationen über Verhaltensweisen oder persönliche Merkmale des Betroffenen gelangen, an die sie Konsequenzen knüpfen können? Dabei ist von der Prämisse auszugehen, dass eine Datenverarbeitung Konsequenzen bewirkt, wenn (1) ein Dritter aufgrund der Bewertung eines Verhaltens oder persönlichen Merkmals des Betroffenen eine bewertende inhaltliche Aussage über diesen trifft (z. B. „Beschäftigter B ist faul“) oder (2) ein Dritter aufgrund der Bewertung eines Verhaltens oder persönlichen Merkmals des Betroffenen auf dessen Rechte und Interessen einwirkt (z. B. Kündigung wegen Arbeitszeitbetrugs). Vor diesem Hintergrund geht von einer Ortungsmaßnahme nur ein hohes Risiko aus, wenn sie solche Konsequenzen gerade bezweckt. Das ist bei Ortungsmaßnahmen zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung sowie zur Verhaltens- oder Leistungskontrolle der Fall. In diesen Fallgestaltungen ist die Ortung nur angemessen, wenn im Einzelfall das hohe Risiko durch ein gewichtiges Arbeitgeberinteresse gerechtfertigt ist. Aus Rechtsprechung und Literatur ergeben sich zutreffend folgende Tendenzen: Eine Ortung zu Aufklärungszwecken ist tendenziell angemessen, wenn ein konkreter und schwerwiegender Tatverdacht besteht. Eine Ortung zur Verhaltens- oder Leistungskontrolle ist aufgrund der lediglich abstrakten Gefahr tendenziell angemessen, wenn die Positionsdaten lediglich stichprobenartig erhoben werden. Bei der Abwägung im Einzelfall sind die oben genannten Abwägungskriterien zu berücksichtigen. Bezweckt die Ortung keine Konsequenzen für den Betroffenen, ist sie grundsätzlich angemessen, sofern ihr ein berechtigtes Interesse zugrunde liegt und die Maßnahme zur Erfüllung des darauf basierenden Ortungszwecks geeignet

236

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

und erforderlich ist. Mangels hohen Risikos überwiegt das Arbeitgeberinteresse. Das verbleibende Restrisiko ist durch das Erforderlichkeitsprinzip minimiert und wird durch Schutzmaßnahmen eingedämmt.

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen Im Folgenden soll im Hinblick auf die typischen Ortungszwecke analysiert werden, ob die Ortung zu diesen Zwecken verhältnismäßig sein kann und wie sie ausgestaltet sein muss, um verhältnismäßig zu sein. Diese Fallanalyse soll eine bessere Einschätzung von Ortungsvorhaben ermöglichen und die oben im Leitfaden zur Verhältnismäßigkeitsprüfung gefundenen Ergebnisse anwenden. Wichtig ist, dass die Fallanalyse nicht die stets vorzunehmende Einzelfallprüfung ersetzt. Die Ergebnisse der Fallanalyse bilden lediglich Tendenzen ab, ohne allumfassend zu sein.

A. Ortung zur Einsatzkoordinierung I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit Die Verarbeitung von Positionsdaten zur Einsatzkoordinierung ist grundsätzlich ein berechtigtes Interesse.429 § 32 g BDSG-E sah eine Erhebung von Positionsdaten „zur Koordinierung des Einsatzes der Beschäftigten“ ausdrücklich vor.430 Ob im Einzelfall ein berechtigtes Interesse besteht, hängt davon ab, ob der Arbeitgeber jedenfalls teilweise im Außendienst tätige Mitarbeiter beschäftigt und aufgrund seiner Unternehmensorganisation die Verteilung von Aufträgen effizienter erfolgt, wenn er die aktuelle Position der einzelnen Fahrzeuge kennt.431 Das ist nicht der Fall, wenn die Beschäftigten ihre Arbeit selbst organisieren und koordinieren.432 Die Erhebung von Positionsdaten ist nur zur Einsatzkoordinierung geeignet, wenn sie den Arbeitgeber in die Lage versetzt, dispositive Entscheidungen auf Basis aktueller Positionsdaten zu treffen. Geeignet ist damit nur die Erhebung aktueller – noch nicht veralteter – Positionsdaten. Eine Speicherung i. S. e. Aufbewahrung ist nicht geeignet.433 429

So auch LDI NRW, 24. TB 2017–2018, S. 65; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54; VG Ansbach, Urt. v. 16. 3. 2020 – AN 14 K 19.00464, ZD 2020, 607 Rn. 23; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 27; Gola / Pötters /  Wronka, AN-Datenschutz, Rn. 1272. 430 BT-Drs. 17/4230, 8 und 20. 431 Vgl. WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 27. 432 Beckschulze / Natzel, BB 2010, 2368 (2373); Tschöpe / Grimm, ArbR HdB, 6. F. Rn. 300. 433 So auch VG Wiesbaden, Urt. v. 17. 1. 2022 – 6 K 1164/21, ZD 2022, 406 Rn. 74; LfD NI, 24. TB 2017–2018, S. 143; Kramer / Bongers, IT-Arbeitsrecht, Rn. 826; Gola, ZD 2012, 308 (310); Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1272.

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

237

Der Einsatz eines Ortungssystems ist zur Einsatzkoordinierung nur erforderlich, wenn eine punktuelle Positionsabfrage durch den Arbeitgeber als milderes Mittel nicht gleich wirksam ist.434 Gleich wirksam ist die Positionsabfrage nur, wenn der Arbeitgeber bei gegebenem Anlass mittels eines oder weniger Telefonate oder Funkabfragen die Position der Beschäftigten ermitteln und auf diese Weise seine Koordinationsentscheidung treffen kann.435 Bei einem größeren Aufwand ist die Positionsabfrage nicht mehr effizient und übersteigt sowohl organisatorisch (Zeitaufwand) als auch wirtschaftlich (Kosten für Personal) das dem Arbeitgeber zumutbare Maß.436 Für die Beurteilung, ob eine manuelle Positionsabfrage ein gleich geeignetes Mittel ist, sind zwei Kontrollfragen maßgeblich: Erstens: Wie hoch ist die Wahrscheinlichkeit, dass kurzfristig Aufträge für die Beschäftigten hinzukommen?437 Je höher die Wahrscheinlichkeit ist, desto ineffizienter ist eine telefonische Standortabfrage. Bei Beförderungsdiensten (z. B. Taxi) und Behörden und Organisationen mit Sicherheitsaufgaben (insbesondere Polizei, Feuerwehr, Rettungsdienste) ist die Wahrscheinlichkeit sehr hoch. Bei Speditionen, Monteuren oder Handwerkern kann die Wahrscheinlichkeit aber geringer sein, da in der Regel die Termine im Voraus vereinbart werden. Kommen nur gelegentlich kurzfristige Aufträge hinzu, ist der organisatorische Aufwand der Positionsabfrage gering, sodass die Ortung nicht erforderlich ist. Zweitens: Wie viele Beschäftigte kommen für die Erledigung kurzfristiger Aufträge in Betracht?438 Je höher die Anzahl dieser Beschäftigten ist, desto aufwändiger ist die telefonische Standortabfrage. Das ArbG Heilbronn hielt eine manuelle Ortung bei einer einstelligen Anzahl von Außendienstmitarbeitern, einer groben Kenntnis der Routen seitens des Arbeitgebers sowie aufgrund des Umstands, dass kurzfristige Dispositionen nicht der Regelfall sind, für zumutbar.439 Das VG Lüneburg verwies den Arbeitgeber sogar bei 18 Außendienstmitarbeitern auf eine manuelle Ortung.440 Eine Ortung ist zur Einsatzkoordinierung nur erforderlich, wenn sie offen441 erfolgt und die Daten lediglich anlassbezogen442 erhoben werden. Je nach Frequenz 434

LfDI BW, Beschäftigtendatenschutz 2020, S. 38; ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 39; Däubler, Gläserne Belegschaften, Rn. 322. 435 Kramer / Bongers, IT-Arbeitsrecht, Rn. 826. 436 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54; a. A. wohl Däubler, Gläserne Belegschaften, Rn. 322. 437 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54. 438 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 42. 439 ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 54. 440 VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 42. 441 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 820; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 27; Kerscher, SPA 2017, 101 (102). 442 So auch NK-ArbR / Brink, § 32 Rn. 123.

238

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

des Auftragseingangs kann eine anlassbezogene Datenerhebung im Ergebnis eine nahezu lückenlose Datenerhebung sein (so z. B. im Taxigewerbe). Ist eine Privatnutzung des Fahrzeugs verboten, kann eine Erhebung von Positionsdaten außerhalb der Arbeitszeit erforderlich sein, wenn der Arbeitgeber zur optimalen Disposition wissen muss, von wo aus der Beschäftigte nach seiner Pause oder zum Beginn der nächsten Arbeitsschicht seine Fahrt beginnt.443 Ist eine Privatnutzung des Fahrzeugs gestattet, ist die Erhebung von Positionsdaten außerhalb der Arbeitszeit nicht erforderlich.444 Damit eine solche Datenerhebung ausgeschlossen werden kann, muss das Ortungssystem so ausgestaltet sein, dass Beschäftigte es abschalten können.445 Dem Arbeitgeberinteresse wird genüge getan, wenn der Arbeitgeber durch das Ortungssystem in die Lage versetzt wird, im Fall eines Dispositionsbedürfnisses Beschäftigte, deren Position aufgrund einer Pause nicht angezeigt werden (Pausenstatus), anlassbezogen zu kontaktieren, um zu erfragen, von wo aus der Beschäftigte weiterfährt (manuelle Ortung). Die Datenverarbeitung ist zur Einsatzkoordinierung nur erforderlich, wenn die Positionsdaten pseudonym verarbeitet werden.446 Bei der Einsatzkoordinierung kommt es in der Regel nicht auf die Identität des Beschäftigten an, der das geortete Fahrzeug steuert. Daher könnte man sogar nur eine anonyme Datenverarbeitung für erforderlich halten.447 In der Regel hat der Arbeitgeber aber ein berechtigtes Interesse daran, nachvollziehen zu können, welcher Auftrag an welchen Beschäftigten vergeben wurde. In solchen Fällen muss die Möglichkeit bestehen, das Pseudonym aufzulösen. Gleiches gilt, wenn der Arbeitgeber zur Wahrnehmung seiner Interessen in der Lage sein muss, die Beschäftigten zu kontaktieren, um Änderungen zu besprechen.448 Eine Ortung zur Optimierung der Streckenplanung ist grundsätzlich nicht erforderlich.449 Eine Streckenplanung ist zukunftsgerichtet und basiert auf aktuellen Gegebenheiten, weshalb Positionsdaten aus der Vergangenheit nur bedingt hilfreich sein können.450 Die Nutzung von Verkehrsdiensten wie Google Maps451 ist 443

Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 831, 833, 836; vgl. ArbG Hamburg Urt. v. 13. 4. 2011 – 24 Ca 229/10, BeckRS 2013, 73007 (2.). 444 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 834–836. 445 Ebenso EDSA, Leitlinien 1/2020 Rn. 64; Art.-29-DSG, WP 249, S. 20; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 834–836. 446 Vgl. Auer-Reinsdorff / Conrad / Conrad / Treeger, HdB DatenschutzR, § 34 Rn. 301. 447 Das gilt insbesondere auch für Fallgestaltungen, in denen der Arbeitgeber überprüfen möchte, ob die aktiven Einsatzfahrzeuge innerhalb des Einsatzgebiets gleichmäßig verteilt sind (z. B. im Taxigewerbe); bei Anonymität wäre die DSGVO nicht anwendbar. 448 Vgl. LfDI TH, 1. TB 2018, S. 253 zur Einsatzkoordinierung von Rettungsdiensten. 449 So auch LfDI NI, 24. TB 2017–2018, S. 143; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 37 f.; weniger streng WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 29. 450 So auch LfDI NI, 24. TB 2017–2018, S. 143; VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 38. 451 www.google.de/maps (Abruf v. 28. 4. 2021).

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

239

ein milderes gleich geeignetes Mittel.452 Jedenfalls sind zur Streckenplanung keine personenbezogenen Positionsdaten erforderlich. II. Angemessenheit Ist die Ortung zur Einsatzkoordinierung nach den obigen Ausführungen geeignet und erforderlich, ist sie im Regelfall auch angemessen.453 Von der Ortung geht kein hohes Risiko für die betroffenen Beschäftigten aus, da mit der Ortung nicht ein Verhalten oder persönliches Merkmals des Betroffenen bewertet werden soll. Die Wahrscheinlichkeit, dass ein Arbeitgeber zweckwidrig dennoch Konsequenzen an die Positionsdaten knüpft, ist gering. Sie ist zum einen gering, weil er dazu die Daten unter Überwindung technischer und organisatorischer Schutzmaßnahmen dem Beschäftigten zuordnen muss. Zum anderen ist die Wahrscheinlichkeit deshalb gering, weil Bewegungen während der Arbeitszeit in der Regel keinen privaten Bezug aufweisen und insbesondere bei einer offenen Datenerhebung kaum Angriffsfläche bieten.454

B. Ortung zur Vereinfachung von Verwaltungsvorgängen I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit 1. Abrechnung gegenüber Kunden Arbeitgeber können an einer Ortung zu Abrechnungszwecken interessiert sein, wenn sie Beschäftigte haben, die im Außendienst eine nach Zeit abzurechnende Leistung erbringen.455 Das kann z. B. auch der Einsatz eines Spezialfahrzeugs sein, der gegenüber dem Kunden in möglichst kleinen und genauen Einheiten abgerechnet werden soll.456 Die Erhebung und zeitweise Speicherung von Positionsdaten ist sowohl zur Abrechnung der Leistung als auch zum Nachweis der errechneten Summe geeignet.457 Eine Datenerhebung außerhalb der Arbeitszeit ist hingegen nicht geeignet. 452

LfDI NI, 24. TB 2017–2018, S. 143. In diese Richtung LfDI NRW, 24. TB 2017–2018, S. 65; LfDI TH, 1. TB 2018, S. 251 ff.; LfD NI, 24. TB 2017–2018, S. 143; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 826; WHWS /  Byers, Datenschutz im ArbV, B. VII. Rn. 27; Frinken, Vernetzte Fahrzeuge, S. 190; Kerscher, SPA 2017, 101 (102); Müller / Becker, FA 2018, 74 (75); a. A. Däubler, Gläserne Belegschaften, Rn. 322, der bereits die Erforderlichkeit verneint. 454 Vgl. LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.). 455 Vgl. Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1269; WHWS / Byers, Datenschutz im ARbV, B VII. Rn. 28; Kerscher, SPA 2017, 101 (102). 456 LfDI NI, 24. TB 2017–2018, S. 142 f. 457 Vgl. ArbG Heilbronn, Urt. v. 30. 1. 2019  – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 48; ­K ramer  /  Bongers, IT-Arbeitsrecht, B. Rn. 827. 453

240

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Das Führen eines Fahrtenbuchs oder eines anderen Systems zur Erfassung der Einsatzzeiten ist wegen der geringeren Verlässlichkeit und dem geringeren Beweiswert kein gleich geeignetes Mittel.458 Gleiches gilt für eine Aktivierung des Ortungssystems durch den Beschäftigten nur bei bestimmten Ereignissen wie der Anund Abfahrt beim Kunden. Damit kann eine Datenerhebung mit hoher Frequenz erforderlich sein. Allerdings ist die Ortung nur erforderlich, wenn sie offen459 und pseudonym erfolgt. Weder zur Abrechnung noch zum Nachweis geleisteter Tätigkeiten gegenüber dem Kunden ist die Identität des jeweiligen Beschäftigten relevant.460 Da der Arbeitgeber in beiden Fällen in der Regel aber nachvollziehen kann, welcher Beschäftigte welchen Auftrag ausgeführt hat, sind die erhobenen Positionsdaten selbst bei Verwendung eines zufälligen Pseudonyms nicht anonym. Eine Nachverfolgbarkeit der Route in Echtzeit ist nicht erforderlich. Ein dauerhaftes Speichern ist nur im Hinblick auf für die Abrechnung relevante Positionsdaten erforderlich und nur solange vernünftigerweise ein Nachweisbedürfnis besteht.461 2. Abrechnung von Lkw-Maut An einer Ortung zur Abrechnung und zum Nachweis von Lkw-Maut kann ebenfalls ein berechtigtes Interesse bestehen, wenn Beschäftigte des Arbeitgebers mautpflichtige Straßen befahren. Die Erhebung und Speicherung von Positionsdaten während der Arbeitszeit ist dazu geeignet, aufzuzeigen, welche mautpflichten Straßen befahren wurden, sodass auf dieser Grundlage die angefallene Lkw-Maut entrichtet werden kann.462 Ein solches System bietet Toll Collect: „Das Fahrzeuggerät (On-Board Unit, OBU) schaltet sich automatisch beim Betätigen der Zündung ein. […] Mit Hilfe der GPS-Satellitensignale erkennt die OBU, wo sich das Fahrzeug befindet und sendet diese Fahrdaten sowie die fahrzeugspezifischen Merkmale zeitversetzt und verschlüsselt an das Rechenzentrum. Im Toll Collect-Rechenzentrum findet die Zuordnung der Daten zum mautpflichtigen Streckennetz statt. Danach wird im Rechenzentrum die Maut für die mautpflichtigen Strecken auf der Basis der fahrzeugspezifischen Tarifmerkmale (Achs-, Gewichts- und Schadstoffklasse) berechnet.“463 Das Führen eines Fahrtenbuchs oder eines anderen Systems zur Erfassung der mautpflichtigen Strecken ist wegen der geringeren Verlässlichkeit und des geringeren Beweiswerts kein gleich geeignetes Mittel. Gleiches gilt für eine Aktivierung 458

So auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 827; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 28; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1269 m. w. N.; anders ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 48. 459 WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 28; Kerscher, SPA 2017, 101 (102). 460 Vgl. Gola, NZA 2007, 1139 (1142). 461 Siehe oben § 7 C. III. 2.  462 Gasch, Mauterfassung, S. 158 f. 463 www.toll-collect.de/de/toll_collect/service/fragen___antworten/automatische_einbuchung/ automatische_einbuchung.html (Abruf v. 28. 4. 2021).

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

241

des Ortungssystems durch den Beschäftigten nur bei bestimmten Ereignissen wie der Auf- und Abfahrt auf die Lkw-mautpflichtige Straße. Zwar kann die Maut stattdessen auch am Mautterminal, online oder per App durch Eingabe der Strecke beglichen werden.464 Diese Verfahren sind aber nicht milder, da der Arbeitgeber im Ergebnis ebenfalls nachvollziehen kann, welcher Beschäftigte welche Strecke gefahren ist. Die Ortung ist allerdings nur erforderlich, wenn sie offen und pseudonym erfolgt. Die Identität des jeweiligen Beschäftigten ist für die Berechnung von LkwMaut nicht relevant, in der Regel für den Arbeitgeber aber nachvollziehbar.465 Eine Nachverfolgbarkeit der Route in Echtzeit ist nicht erforderlich. Für eine Abschaltmöglichkeit während der Pausen besteht kein Bedürfnis, wenn der Arbeitgeber im Kundenportal nur erfasst, wo der Beschäftigte auf eine mautpflichtige Straße aufund abgefahren ist. Eine dauerhafte Speicherung ist nur im Hinblick auf solche Daten erforderlich, die die Auf- und Abfahrt auf mautpflichtige Straßen belegen und nur solange vernünftigerweise ein Nachweisbedürfnis besteht.466 3. Dokumentation der Dienstleistung Arbeitgeber können ferner ein berechtigtes Interesse an einer Ortung zur Dokumentation der Dienstleistung haben.467 Ein solches Interesse kann insbesondere bestehen, wenn der Kunde bei der Erbringung der Leistung nicht anwesend ist und für den Fall des Bestreitens des Leistungserfolgs ein Nachweis beschafft werden soll. Der LfDI Niedersachsen nennt als Beispiel Winterdienstleistungen, bei denen im Fall des Bestreitens der Durchführung im Zusammenhang mit einem Unfall hohe wirtschaftliche Schäden drohen können.468 Ein weiteres Beispiel ist der Rundgang von Wachpersonal, für den bestimmte Zeiten vorgeschrieben sind.469 Die Erhebung und Speicherung von Positionsdaten ist in diesen Fällen allerdings nur geeignet, wenn die Positionsdaten Aufschluss über das „Ob“ der Leistung geben. Das ist nur zu bejahen, wenn gerade in der Bewegung der georteten Person oder des georteten Fahrzeugs die Hauptleistungspflicht liegt, wie z. B. beim Wachpersonal oder beim Einsatz von Winterdienstfahrzeugen. In Übereinstimmung damit hat das VG Lüneburg im Jahr 2019 den Einsatz eines Ortungssystems zum Nachweis geleisteter Tätigkeiten von Reinigungspersonal als ungeeignet abge 464

Vgl. §§ 3–5 Lkw-MautV. Vgl. Gasch, Mauterfassung, S. 98; Gola, NZA 2007, 1139 (1142). 466 Siehe oben § 7 C. III. 2.  467 VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 44 ff.; LfD NI, 24. TB 2017–2018, S. 143; so auch LfDI TH, 1. TB 2018, S. 252; Däubler, Gläserne Belegschaften, Rn. 323; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 828. 468 LfD NI, 24. TB 2017–2018, S. 143; so auch LfDI TH, 1. TB 2018, S. 252 mit dem weiteren Beispiel der motorisierten Straßenaufsicht. 469 Däubler, Gläserne Belegschaften, Rn. 323. 465

242

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

lehnt.470 Es könne nur nachgewiesen werden, dass die Fahrzeuge in der Nähe des zu reinigenden Gebäudes waren, nicht aber, dass Reinigungstätigkeiten tatsächlich ausgeführt wurden. Die Ortung kann nur erforderlich sein, wenn sie offen, innerhalb der Arbeitszeit und pseudonym471 erfolgt. Eine Nachverfolgbarkeit der Route in Echtzeit ist nicht erforderlich. Eine dauerhafte Speicherung ist nur im Hinblick auf solche Positionsdaten erforderlich, welche die Durchführung der Dienstleistung nachweisen und nur solange vernünftigerweise ein Nachweisbedürfnis besteht.472 4. Fuhrparkverwaltung Die Fuhrparkverwaltung ist grundsätzlich ein berechtigtes Interesse aller Arbeitgeber, die über einen Fuhrpark verfügen.473 Positionsdaten können dazu geeignet sein, die Fuhrparkverwaltung zu vereinfachen, indem anhand der Daten z. B. Wartungsintervalle automatisch geplant werden.474 Die Ortung ist zur Fuhrparkverwaltung allerdings nicht erforderlich, da bei modernen Fahrzeugsystemen automatisch eine Mitteilung erscheint, dass das Fahrzeug zur Wartung muss475 und jedenfalls ein regelmäßiges Ablesen oder die regelmäßige Mitteilung des Kilometerstands gleich geeignet und zumutbar ist. 5. Nachweis gegenüber Finanzbehörden Ein berechtigtes Arbeitgeberinteresse kann zudem darin bestehen, dem jeweiligen Beschäftigten den Nachweis der (ggf. alleinigen) dienstlichen Nutzung des Dienstwagens gegenüber den Finanzbehörden zu erleichtern.476 Die Erhebung und Speicherung von Positionsdaten ist dazu zwar geeignet, aber nicht erforderlich, da die Finanzbehörden Fahrtenbücher als gleichwertigen Nachweis akzeptieren.477

470

VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 44 f. Vgl. Gola, NZA 2007, 1139 (1142). 472 Siehe oben § 7 C. III. 2. 473 ArbG Heilbronn, Urt. v. 30. 1. 2019  – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 49 f.; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 25. 474 ArbG Heilbronn, Urt. v. 30. 1. 2019  – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 49 f.; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 25. 475 ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 50. 476 LfDI TH, 3. TB 2016/2017, S. 321. 477 LfD NI, 24. TB 2017–2018, S. 143. 471

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

243

II. Angemessenheit Ist die Ortung zu Abrechnung gegenüber Kunden, zur Abrechnung von LkwMaut oder zur Dokumentation des Leistungserfolgs geeignet und erforderlich, ist sie im Regelfall auch angemessen.478 Von der Ortung geht kein hohes Risiko für die betroffenen Beschäftigten aus, da mit der Ortung nicht ein Verhalten oder persönliches Merkmal des Betroffenen bewertet werden soll. In allen drei Fallgruppen steht nicht der betroffene Beschäftigte im Fokus, sondern die Dauer der nach Zeit abzurechnenden Arbeitsleistung, die Befahrung einer mautpflichtigen Straße oder die Durchführung einer Dienstleistung. Selbst wenn die Durchführung einer Dienstleistung mit den Bewegungen des Beschäftigten nachgewiesen werden soll – wie z. B. beim Rundgang von Wachpersonal –, soll keine Aussage über das Verhalten des Betroffenen, sondern eine Aussage darüber getroffen werden, ob die Dienstleistung tatsächlich durchgeführt wurde. Die Wahrscheinlichkeit, dass ein Arbeitgeber zweckwidrigerweise Konsequenzen an die Positionsdaten knüpft, ist gering. Dazu muss der Arbeitgeber die Positionsdaten unter Überwindung technischer und organisatorischer Schutzmaßnahmen den jeweiligen Beschäftigten zuordnen. Selbst dann ist die Wahrscheinlichkeit gering, dass die Daten einzeln oder verknüpft ein Verhalten oder ein persönliches Merkmal des Betroffenen offenbaren, da die Daten offen und innerhalb der Arbeitszeit erhoben wurden.

C. Ortung zur Sicherheit der Beschäftigten I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit Die Verarbeitung von Positionsdaten zur Erhöhung oder Gewährleistung der Sicherheit von Beschäftigten ist ein berechtigtes Interesse.479 § 32 g BDSG-E sah eine Erhebung von Positionsdaten „zur Sicherheit des Beschäftigten“ ausdrücklich vor.480 Die Datenerhebung ist zu diesem Zweck geeignet, wenn der Zugriffsberechtigte anhand der Positionsdaten erkennen kann, ob eine Gefahr für die Sicherheit eines oder mehrerer Beschäftigter besteht. Das ist innerbetrieblich der Fall, wenn der Arbeitgeber Kenntnis von einem Notfall hat und anhand der Positionsdaten feststellen kann, ob sich in der Gefahrenzone Beschäftigte befinden, die zu retten sind. Außerbetrieblich ist das der Fall, wenn lückenlos Positionsdaten erhoben 478

Vgl. LfD NI, 24. TB 2017–2018, S. 143; LfDI TH, 1. TB 2018, S. 252; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 28; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 827; Wünschel­ baum, NZA 2020, 1222 (1223). 479 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 830; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 13–15; Gola / Pötters / Wronka, AN-Datenschutz, Rn. 1273; Göpfert / Papst, DB 2016, 1015 (1017); Kerscher, SPA 2017, 101 (102); Jaspers / Franck, RDV 2015, 69 (73). 480 BT-Drs. 17/4230, 8 und 20.

244

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

werden und bei Eintreten von konfigurierten Notfallszenarien wie z. B. einer Abweichung von der Route, einem Stillstand von gewisser Zeit oder einer nicht mehr vorhandenen Kongruenz zwischen den Positionsdaten des Fahrzeugs und denen der transportierten Fracht das Ortungssystem einen für den Arbeitgeber sichtbaren Alarm auslöst.481 Die Speicherung, Verwendung und sonstige Verarbeitung der Daten ist nur so lange geeignet, wie sich die Position noch nicht verändert hat. Die Datenverarbeitung ist nur erforderlich, wenn die Sicherheit der Beschäftigten statt einer Ortung nicht gleich wirksam mit weniger eingriffsintensiven Maßnahmen hinreichend sichergestellt werden kann. Darüber hinaus ist die Datenerhebung nur erforderlich, wenn die Positionsdaten offen482 und unter Verwendung zufälliger Pseudonyme erhoben werden. Da die Identität des sich in Not befindlichen Beschäftigten ohne Belang ist, reicht sogar eine anonyme Datenverarbeitung aus.483 Regelmäßig sind Arbeitgeber aber trotz Verwendung zufälliger Pseudonyme in der Lage, die Daten ohne unverhältnismäßigen Aufwand zuzuordnen. Innerhalb eines Betriebs kann nur eine durch den Arbeitgeber oder durch den Betroffenen selbst initiierte anlassbezogene Datenerhebung im Fall einer konkreten Gefahr erforderlich sein. Ohne Kenntnis eines Notfalls ist die Datenerhebung bereits nicht geeignet, da die Positionsdaten grundsätzlich keine entsprechende Aussagekraft haben. Soll die Ortung Beschäftigte im Außendienst schützen, kann eine lückenlose Erhebung von Positionsdaten erforderlich sein, da der Beschäftigte in einem Notfall möglicherweise nicht in der Lage sein wird, das Ortungssystem zu aktivieren und die anlassbezogene Positionsmitteilung durch den Beschäftigten daher kein gleich geeignetes milderes Mittel ist.484 Eine Echtzeitverfolgung ist nicht erforderlich, da die Konfiguration von Notfallszenarien ein milderes Mittel ist.485 Kann die jeweilige Gefahr auch während der Ruhepausen bestehen (z. B. Risiko eines Raubüberfalls auf dem Rasthof), kann die Erhebung von Positionsdaten auch während der Ruhepausen erforderlich sein, wenn nicht andere Maßnahmen zur Gewährleistung der Sicherheit, wie z. B. die Weisung, Pausen außerhalb der Gefahrenzone zu verbringen, milder und gleich geeignet sind.486

481

Vgl. LfDI NRW, Ortungssysteme, S. 3; Meyer, K&R 2009, 14 (19); Arnold, Mobile Arbeitnehmer, S. 138. 482 Vgl. Kramer, IT-Arbeitsrecht, B. Rn. 830; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 15; Kerscher, SPA 2017, 101 (102). 483 Vgl. Gola, NZA 2007, 1139 (1142). 484 Ebenso WHWS / B yers, Datenschutz im ArbV, B. VII. Rn. 15; vgl. auch Kerscher, SPA 2017, 101 (102). 485 Vgl. NK-ArbR / Brink, § 32 Rn. 123; Kerscher, SPA 2017, 101 (102). 486 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 836.

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

245

II. Angemessenheit Ist die Ortung zur Sicherheit von Beschäftigten nach den obigen Ausführungen geeignet und erforderlich, ist sie im Regelfall auch angemessen.487 Von der Ortung geht kein hohes Risiko für die betroffenen Beschäftigten aus, da mit der Ortung nicht ein Verhalten oder persönliches Merkmal des Betroffenen bewertet werden soll. Die Wahrscheinlichkeit, dass der Arbeitgeber zweckwidrig dennoch Konsequenzen an die Positionsdaten knüpft, ist gering. Dazu müsste er die Daten unter Überwindung technischer und organisatorischer Schutzmaßnahmen dem jeweiligen Beschäftigten zuordnen. Selbst dann ist es unwahrscheinlich, dass die offen, während der Arbeitszeit anlassbezogen im Fall eines Notfalls vom Arbeitgeber einsehbaren Positionsdaten eine Verhaltensweise oder ein persönliches Merkmal des Beschäftigten offenbaren. Mangels hohen Risikos kommt es entgegen teilweise vertretener Ansicht488 im Rahmen der Angemessenheit nicht darauf an, ob der Betroffene in einem gefahrgeneigten Arbeitsumfeld tätig ist (z. B. Feuerwehreinsatz, Gefahrguttransport oder Transport durch ein Krisengebiet).

D. Ortung zum Schutz von Eigentum oder Vermögen (verdachtslos) I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit Arbeitgeber haben grundsätzlich ein berechtigtes Interesse daran, ihr Eigentum oder Vermögen sowie das in ihrer Obhut befindliche Eigentum Dritter (z. B. von Kunden) präventiv zu schützen.489 Dadurch, dass Beschäftigte mit Betriebsmitteln des Arbeitgebers und gegebenenfalls auch mit im Eigentum Dritter stehenden Sachen umgehen, besteht die Gefahr, dass die eigenen Beschäftigten gegen diese Sachen gerichtete Straftaten begehen, wie z. B. Diebstahl oder Unterschlagung. Darüber hinaus besteht grundsätzlich die Gefahr, dass Dritte solche Straftaten begehen. In diesem Fall richtet sich die Zulässigkeit der Ortung nach Art. 6 Abs. 1 lit. f) DSGVO.490 Die Aussage des VG Lüneburg in seiner Entscheidung vom 19. 3. 2019491, wonach der dauerhafte Einsatz von Ortungssystemen für einen präventiven Dieb 487 Ebenso Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 830; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 15; Kerscher, SPA 2017, 101 (102); Müller / Becker, FA 2018, 74 (75). 488 Kramer, IT-Arbeitsrecht, B. Rn. 830; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 14; Kerscher, SPA 2017, 101 (102). 489 Vgl. BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, NZA 2018, 1329 Rn. 43; VG Ansbach, Urt. v. 16. 3. 2020 – AN 14 K 19.00464, ZD 2020, 607 Rn. 23; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 32 f.; Kerscher, SPA 101 (102 f.). 490 Siehe dazu oben § 6 C. II. 1. a). 491 VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 36; zust. Kühling /  Buchner / Maschmann, DSGVO / BDSG, § 26 BDSG Rn. 52.

246

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

stahlschutz nicht geeignet ist, weil eine einmalige Datenerhebung im Fall der Feststellung eines Fahrzeugverlusts ausreiche, ist nicht überzeugend.492 Sie vermischt Präventivmaßnahmen mit Maßnahmen zur Wiedererlangung einer Sache im Fall eines bereits eingetretenen Schadens. Richtig ist, dass eine dauerhafte Ortung nicht erforderlich ist, wenn ein Arbeitgeber mit der Ortung die Wiedererlangung einer abhandengekommenen Sache bezweckt.493 Nicht nachvollziehbar ist, warum eine Ortung zu präventiven Zwecken nicht geeignet sein soll. Zwar ist eine Ortung zur Abschreckung494 nicht geeignet, da für den Eintritt einer Abschreckungswirkung bereits die bloße Erwartung reicht, es würden Positionsdaten verarbeitet werden. Eine tatsächliche Datenverarbeitung ist nicht förderlich.495 Mit einer Ortung können aber Betriebsmittel oder Waren geschützt werden, wenn sie den Arbeitgeber in die Lage versetzt, im Fall ungewöhnlicher Umstände, wie z. B. dem Abweichen eines Transporters von der vorgegebenen Route oder der Entfernung eines Betriebsmittels vom Betriebsgrundstück, schnell einschreiten zu können, um den Eintritt eines Schadens oder zumindest einer weiteren Schadensvertiefung zu verhindern.496 Obwohl es hier um das Auffinden von Anhaltspunkten für Rechtsverstöße geht, erfolgen solche Maßnahmen präventiv, da sie keine Person besonders unter Verdacht stellen.497 Auch dazu ist die Datenerhebung allerdings nur geeignet, wenn die Positionsdaten die zu verhindernde Straftat oder Pflichtverletzung überhaupt offenbaren können.498 Erforderlichkeit besteht nur, wenn zum Schutz sonstige mildere Maßnahmen nicht gleich geeignet sind. Eine punktuelle Ortung der Sache bei Kenntnis des Verlusts ist nicht gleich geeignet.499 Der Zeitfaktor spielt gerade bei gegen das Eigentum gerichteten Straftaten eine große Rolle. Da Straftäter Trackingmechanismen oft zeitnah zerstören oder beseitigen, ist eine punktuelle Ortung bei Kenntniserlangung eines Verlusts nicht genauso wirksam wie der präventive Einsatz eines Ortungssystems, das dem Arbeitgeber ermöglicht, im Zeitpunkt der Tathandlung einzuschreiten.

492

Kritisch zur Entscheidung des VG Lüneburg auch Wünschelbaum, NZA 2020, 1222 ff. ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 52; Gola /  Pötters / Wronka, AN-Datenschutz, Rn. 1273. 494 Vgl. Göpfert / Papst, DB 2016, 1015 (1018); Kerscher, SPA 101 (103); Ströbel / Böhm /  Breunig / Wybitul, CCZ 2018, 14 (19). 495 VG Wiesbaden, Urt. v. 17. 1. 2022 – 6 K 1164/21, ZD 2022, 406 Rn. 73; auch von Attrappen kann ein Überwachungs- und Anpassungsdruck ausgehen, sodass ein Eingriff in das allgemeine Persönlichkeitsrecht vorliegt, ausführl. Lang / L achenmann, NZA 2015, 591 (593 ff.); Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 784. 496 Vgl. WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 24, 33. 497 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; FHS / Schröder, Betrieblicher Datenschutz, VI. 3. Rn. 5. 498 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 45. 499 So aber VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 36. 493

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

247

Eine Echtzeitverfolgung ist nicht erforderlich, da die Konfiguration eines einen Alarm auslösenden Notfallszenarios ein milderes Mittel ist.500 Die Ortung ist nur erforderlich, wenn sie offen501 und pseudonym erfolgt. Anonymität ist in der Regel nicht gegeben, weil der Arbeitgeber in der Lage ist, das Fahrzeug einem Beschäftigten zuzuordnen. Das Argument, ein Personenbezug sei erforderlich, um die erhobenen Daten im Fall eines „Treffers“ repressiv verarbeiten zu können502, greift nicht, da der Ortungszweck in erster Linie der Prävention dient.503 Eine Datenerhebung außerhalb der Arbeitszeit kann erforderlich sein.504 Ein dauerhaftes Speichern der Daten ist nur im Fall eines ausgelösten Alarms erforderlich und nur solange, wie sich die Situation nicht verändert hat. II. Angemessenheit Ist die Ortung zum Schutz von Eigentum oder Vermögen geeignet und erforderlich, ist sie tendenziell auch angemessen.505 Von der Ortungsmaßnahme geht kein hohes Risiko aus, da mit der Ortung nicht ein Verhalten oder persönliches Merkmal des Betroffenen bewertet werden soll.506 Die Wahrscheinlichkeit, dass ein Arbeitgeber zweckwidrig dennoch Konsequenzen an die Positionsdaten knüpft, ist gering. Dazu müsste er die Daten unter Überwindung technischer und organisatorischer Schutzmaßnahmen dem jeweiligen Beschäftigten zuordnen. Selbst dann ist es unwahrscheinlich, dass die offen, während der Arbeitszeit anlassbezogen erhobenen, im Fall eines Notfalls vom Arbeitgeber einsehbaren Positionsdaten eine Verhaltensweise oder ein persönliches Merkmal des Beschäftigten offenbaren. Auf das Bestehen einer z. B. aufgrund des Werts der georteten Sache gegebenen besonderen Gefahrenlage i. S. e. „geschäftstypischen Risikos“ kommt es mangels hohen Risikos, entgegen einer teilweise vertretenen Ansicht507, nicht an.508 Werden die Positionsdaten im Fall eines ausgelösten Alarms weiterverarbeitet (z. B. Übermittlung an die Polizei), liegt keine Zweckänderung i. S. v. Art. 6 Abs. 4 DSGVO vor, da die Ortung von vornherein darauf angelegt war, im Fall von auf 500

Vgl. Meyer, K&R 2009, 14 (19). WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 24; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 820. 502 In diese Richtung Bierekoven, CR 2010, 203 (208). 503 Ähnl. Brink / Schmidt, MMR 2010, 592 (594) am Beispiel von Mitarbeiterscreenings. 504 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 836. 505 In diese Richtung WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 16 ff.; Müller / Becker, FA 2018, 74 (75); a. A. wohl Lemke, Datenschutz, Nr. 97. 506 Ähnl. Wuttke, Straftäter im Betrieb, S. 205 „informationelle Selbstbestimmung eines Mitarbeiters nur mittelbar betroffen“, „nur durch weitere Zwischenschritte […] ist die Verknüpfung mit einem verdächtigen Mitarbeiter möglich“. 507 I. E. so auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 820; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 33; Kerscher, SPA 2017, 101 (103). 508 Ähnl. Thüsing / Schmidt, NZA 2017, 1027 (1029). 501

248

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

eine Straftat hindeutenden Unstimmigkeiten einzuschreiten. Da sich der Tatverdacht regelmäßig nicht auf einen abgrenzbaren Personenkreis bezieht (Täter kann auch ein unbekannter Dritter sein), richtet sich auch die Übermittlung nach § 26 Abs. 1 S. 1 BDSG.

E. Ortung zur Verhaltens- und Leistungskontrolle (verdachtslos) I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit 1. Ortung zur Arbeitszeiterfassung (verdachtslos) Arbeitgeber haben ein berechtigtes Interesse daran, die Arbeitszeit ihrer Beschäftigten zu erfassen und unter Umständen auch das Arbeitsentgelt anhand der Arbeitszeiterfassung zu berechnen.509 Zur Arbeitszeiterfassung ist die Erhebung und Speicherung von Positionsdaten nur geeignet, wenn sich anhand der Positionsdaten zweifelsfrei ergibt, ob der Beschäftigte arbeitet oder nicht. Das ist regelmäßig nur der Fall, wenn der Beschäftigte das Dienstfahrzeug am Beginn und Ende des Arbeitstags auf dem Betriebsgelände abholen und abstellen muss.510 Darauf aufbauend ist die Ortung zur Berechnung des Arbeitsentgelts nur geeignet, wenn ein Zeitlohn vereinbart wurde oder im Fall eines Leistungslohns anhand der Positionsdaten die Leistung bestimmt werden kann. Eine Datenerhebung außerhalb der Arbeitszeit ist zur Erreichung des Ortungszwecks nicht geeignet. Eine eigene Arbeitszeiterfassung durch den Beschäftigten ist aufgrund geringerer Verlässlichkeit kein gleich geeignetes Mittel. Gleiches gilt für eine Aktivierung des Ortungssystems durch den Beschäftigten bei Beginn und Ende der Arbeitszeit. Eine Ortung unter Verwendung des Klarnamens des Betroffenen ist erforderlich, da der Ortungszweck eine Identifizierung des Betroffenen fordert. Die Ortung ist allerdings nur erforderlich, wenn sie offen erfolgt.511 Die Positionsdaten müssen zeitnah ausgewertet und danach gelöscht werden, sofern kein Nachweisinteresse besteht. 2. Verdachtslose Compliance-Kontrolle Arbeitgeber haben ein berechtigtes Interesse an der Durchführung von Compliance-Kontrollen, also ohne konkreten Tatverdacht gegen alle Beschäftigten gerichtete Maßnahmen zur Überprüfung, ob bestehende Regelungen oder Weisungen ein-

509

Vgl. Lda BY, 7. TB 2015/2016, S. 92; LfDI NRW, 24. TB 2017–2018, S. 65; WHWS /  Byers, Datenschutz im ArbV, B. VII. Rn. 28; Wünschelbaum, NZA 2020, 1222 (1223). 510 Vgl. Lda BY, 7. TB 2015/2016, S. 92. 511 Byers, Mitarbeiterkontrollen, Rn. 223.

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

249

gehalten werden.512 An dieser Stelle spricht man von präventiver Compliance.513 Die Erhebung von Positionsdaten ist dazu geeignet, wenn die Positionsdaten einen Verstoß gegen die zu überprüfende Regelung oder Weisung offenbaren können.514 Hauptanwendungsfall ist eine Ortung zur Kontrolle, ob das Verbot der Privatnutzung des Dienstfahrzeugs eingehalten wird.515 Die Ortung ist nur erforderlich, wenn stattdessen keine mildere zumutbare Maßnahme in Betracht kommt und die Ortung offen und pseudonym erfolgt.516 Eine Auflösung des Pseudonyms und ein dauerhaftes Speichern der Daten ist nur im Fall eines „Treffers“ erforderlich und nur solange, wie ein Nachweisbedürfnis besteht517. Erfolgt die Ortung zur Kontrolle, ob das Dienstfahrzeug entgegen des Verbots auch privat genutzt wird, ist eine Datenerhebung außerhalb der Arbeitszeit erforderlich.518 3. Verhaltens- und Leistungsbeurteilung Aber auch unabhängig von konkreten Regelungen und Weisungen haben Arbeitgeber ein berechtigtes Interesse daran zu kontrollieren, wie ihre Beschäftigten ihre vertraglich geschuldete Gegenleistung erbringen  – z. B. zur Optimierung von Arbeitsabläufen oder zur Beschäftigtenbeurteilung.519 Allerdings ist die Verarbeitung von Positionsdaten zur Beurteilung des „Wie“ der Leistung regelmäßig nicht geeignet.520 In Betracht kommt im Wesentlichen nur eine eingeschränkte Kontrolle des Fahrverhaltens (z. B. Geschwindigkeit) oder innerbetrieblich eine Kontrolle des Bewegungsverhaltens (Raumwechsel). Ist die Ortung ausnahmsweise zur Verhaltens- und Leistungsbeurteilung geeignet, ist sie oftmals nicht erforderlich, da dem Arbeitgeber mildere gleich geeignete Maßnahmen zumutbar sind.521 Beispielsweise hat das ArbG Heilbronn 2019 entschieden, dass eine Ortung zur Analyse des Fahrverhaltens für personalisierte Ratschläge im Bereich Eco-Driving im konkreten Fall nicht erforderlich ist, da eine Schulung oder Auswertung des Kraftstoffverbrauchs und der Kraftstoffkosten mildere Maßnahmen sind.522

512

EGMR, Urt. v. 12. 1. 2016 – 61496/08, NZA 2017, 1443 Rn. 127 – Barbulsecu / Rumänien; BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; Stück, CCZ 2020, 77 (78); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 42. 513 Vgl. Stück, CCZ 2020, 77 (78). 514 Vgl. VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, BeckRS 2019, 3816 Rn. 45. 515 Siehe dazu Roßnagel et al., Mobile Systeme, S. 106–108. 516 So auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 820; Kerscher, SPA 2017, 101 (103). 517 Stück, ArbRAktuell 2019, 216 (217). 518 Vgl. Roßnagel et al., Mobile Systeme, S. 106. 519 BAG, Beschl. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 36; ErfK / Franzen, § 26 BDSG Rn.  22–24; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 41 f.; vgl. auch Hoffmann / Wolf, ZD 2017, 120 (121). 520 Vgl. Maier, Berufsbezogene Erreichbarkeit, S. 278. 521 Vgl. Lda BY, TB 2015/2016, S. 92; LfDI TH, 3. TB 2016/2017, S. 311. 522 ArbG Heilbronn, Urt. v. 30. 1. 2019 – 2 Ca 360/18, BeckRS 2019, 30627 Rn. 51.

250

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Kommen ausnahmsweise keine milderen Maßnahmen in Betracht, ist die Ortung nur erforderlich, wenn sie offen523, stichprobenartig524 und innerhalb der Arbeitszeit erfolgt. Ein Speichern von Positionsdaten ist nur für einen zur Sichtung und Auswertung angemessenen Zeitraum erforderlich.525 II. Angemessenheit Von Ortungsmaßnahmen zur Verhaltens- und Leistungskontrolle geht ein hohes Risiko aus, da sie gerade darauf angelegt sind, ein Verhalten des Betroffenen zu bewerten. Eine Ortung zur Arbeitszeiterfassung ist darauf angelegt, angeknüpft an ein Verhalten des Betroffenen eine inhaltliche Aussage über diesen zu treffen (z. B. „Beschäftigter B hat heute 7,5 Stunden gearbeitet und erhält für diesen Tag daher ein Arbeitsentgelt i. H. v. X Euro“), die sich auf die Rechte und Interessen des Betroffenen auswirkt (z. B. auf den Lohnzahlungsanspruch) und die eine Bewertung ermöglicht („Beschäftigter B arbeitet ineffizient“). Für die Gewichtigkeit des Arbeitgeberinteresses an der Arbeitszeiterfassung spricht, dass Arbeitgeber mit der Ortungsmaßnahme ihrer gesetzlichen Pflicht zur Arbeitszeiterfassung nachkommen.526 Der EuGH legt die Arbeitszeitrichtlinie527 dahingehend aus, dass Arbeitgeber zur Einrichtung eines Systems verpflichtet sind, mit dem die tägliche Arbeitszeit der Beschäftigten gemessen werden kann.528 Gleichwohl folgt aus der Pflicht zur Arbeitszeiterfassung keine Pflicht zur Ortung, da nach herrschender Meinung die Zeiterfassung bei Außendienstmitarbeitern auch manuell durch eine vom Arbeitgeber organisierte und kontrollierte Eigendokumentation i. S. v. Stundenzetteln erfolgen darf, obwohl diese Form der Zeiterfassung grundsätzlich nicht als „objektiv und verlässlich“ i. S. d. Rechtsprechung des EuGH529 gilt.530 Tendenziell überwiegt das Interesse des Betroffenen am Ausschluss der Verarbeitung nicht, wenn nur erfasst wird, wann der Beschäftigte seinen Dienstwagen auf dem Betriebsgelände abholt und wieder abstellt (z. B. über RFID).531 Umgekehrt wäre

523

Ebenso Kramer / Bongers, IT-Arbeitsrecht, Rn. 820; vgl. Taeger / Gabel / Z öll, DSGVO /  BDSG, § 26 BDSG Rn. 45. 524 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 820; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 33. 525 Ausführl. zur erforderlichen Speicherdauer siehe oben §7 C. III. 2.  526 Siehe dazu oben § 6 C. II. 1. a). 527 Richtlinie 2003/88/EG des Europäischen Parlaments und des Rates vom 4. 11. 2003 über bestimmte Aspekte der Arbeitszeitgestaltung, ABl. L 299, 9 v. 18. 11. 2003. 528 EuGH, Urt. v. 14. 5. 2019 – C-55/18, ECLI:EU:C:2019:402 – CCOO. 529 EuGH, Urt. v. 14. 5. 2019 – C-55/18, ECLI:EU:C:2019:402 Rn. 47 ff. – CCOO. 530 BeckOK Arbeitsrecht / Kock, § 16 ArbZG Rn. 4c; Bayreuther, NZA 2020, 1 (6); Reinhard, NZA 2019, 1313 (1315); GA Pitruzzella, Schlussantrag zu EuGH CCOO, Urt. v. 14. 5. 2019 – C-55/18, ECLI:EU:C:2019:87 Rn. 99. 531 So auch Müller / Becker, FA 2018, 74 (75); vgl. Gola, ZD 2012, 308 (310); Rammo / Holzgräfe, InTer 2015, 23 (24).

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

251

eine lückenlose Datenerhebung während der gesamten Tätigkeit im Außendienst unangemessen.532 Dient die Ortung der Compliance-Kontrolle (z. B. der Kontrolle des Verbots, ein Dienstfahrzeug zu privaten Zwecken zu nutzen), soll ebenfalls angeknüpft an ein Verhalten des Betroffenen eine Aussage über den Betroffenen gemacht werden (z. B. „verstößt gegen das Verbot der Privatnutzung von Dienstfahrzeugen“), der eine Bewertung innewohnt („schlecht“/„gut“) und die sich auf Rechte und Interessen des Betroffenen auswirken soll (z. B. Abmahnung und ggf. sogar Strafanzeige und / oder Entzug des Dienstfahrzeugs). Der Umstand, dass ComplianceMaßnahmen der Pflicht des Unternehmers entspringen, die Regelkonformität des Unternehmens, also seiner Organe und aller Beschäftigten, zu steuern und zu organisieren533, vergrößert das Arbeitgeberinteresse.534 In diese Richtung geht auch die Rechtsprechung des BAG in seiner Keylogger-Entscheidung, wonach die verdachtslose vorübergehende und stichprobenartige offene Kontrolle der Verlaufsdaten eines Internetbrowsers zulässig sein kann, um die Einhaltung eines vom Arbeitgeber aufgestellten Verbots oder einer Beschränkung der Privatnutzung von IT-Einrichtungen zu kontrollieren.535 In einer anderen Entscheidung hielt das BAG eine Einsichtnahme in auf einem Dienstrechner des Beschäftigten gespeicherte und nicht als „privat“ gekennzeichnete Dateien zur Prüfung von Tankbelegen auch ohne konkreten Tatverdacht für angemessen.536 Ausschlaggebend ist die Eingriffsintensität der zur Compliance-Kontrolle durchgeführten Ortungsmaßnahme. Das BAG geht in seiner Keylogger-Entscheidung zutreffenderweise davon aus, dass „präventive[ ] Maßnahmen […] sich schon aufgrund des Vorliegens einer abstrakten Gefahr als verhältnismäßig erweisen [können]“537, aber Kontrollmaßnahmen, die hinsichtlich der Intensität des durch sie bewirkten Eingriffs mit einer Videoüberwachung vergleichbar sind, nur erlaubt sein können, wenn gegen den Betroffenen ein konkreter Tatverdacht besteht.538 Daraus lassen sich folgende Schlussfolgerungen ziehen: Erfolgt die zur ComplianceKontrolle geeignete und erforderliche Ortungsmaßnahme in großen Abständen stichprobenartig und unterschiedslos gegenüber allen für einen Verstoß grund-

532

So auch Müller / Becker, FA 2018, 74 (75). Vgl. zur Compliance-Pflicht FHS / Schröder, Betrieblicher Datenschutz, VI. 3. Rn. 2 ff.; Steffen / Stöhr, RdA 2017, 43 (44); zur Überwachung von Beschäftigten als Compliance-Maßnahme Stück, ArbRAktuell 2019, 216 ff. 534 BeckOK Datenschutzrecht / Riesenhuber, § 26 BDSG Rn. 139, 142; Thoma, Beschäftigtendatenschutz, S.  36–40; Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 42. 535 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31 ff. 536 BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 53–64. 537 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; bestätigt in BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 54. 538 BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 29 f.; vgl. BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 53, 64. 533

252

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

sätzlich in Betracht kommenden Beschäftigten, ist sie tendenziell angemessen.539 Zwar kann eine Überwachung außerhalb der Arbeitszeit Verhaltensweisen oder persönliche Merkmale des Betroffenen offenbaren. Bei einem Verbot der Privatnutzung kann dieser Umstand aber hingenommen werden, da der Betroffene im Fall einer rechtswidrigen Privatnutzung die Datenerhebung durch sein Verhalten eigenmächtig herbeiführt.540 Erfolgt die Ortungsmaßnahme in kleinen Abständen oder nicht unterschiedslos gegenüber allen für einen Verstoß grundsätzlich in Betracht kommenden Beschäftigten, ist sie tendenziell unangemessen.541 Wird mit der Ortung eine Leistungskontrolle bezweckt, soll angeknüpft an ein Verhalten des Betroffenen eine Aussage über diesen getroffen werden (z. B. „arbeitet effizient“/„arbeitet ineffizient“), was gleichzeitig einer Bewertung dient („gut“/ „schlecht“) und sich auf Rechte und Interesse des Betroffenen auswirken soll (z. B. Kündigung, Abmahnung, Versetzung oder Änderung von Arbeitsaufgaben). An allgemeinen verdachtslosen Verhaltens- und Leistungskontrollen, die nicht den Zweck verfolgen, zu kontrollieren, ob die Beschäftigten eine interne Regelung oder Weisung einhalten, besteht grundsätzlich bereits kein gewichtiges Arbeitgeberinteresse, sodass solche Ortungsmaßnahmen tendenziell unangemessen sind.542

F. Ortung zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall I. Berechtigtes Interesse, Geeignetheit und Erforderlichkeit Arbeitgeber haben ein berechtigtes Interesse daran, im Beschäftigungsverhältnis begangene Straftaten oder sonstige Pflichtverletzungen im Verdachtsfall aufzudecken, insbesondere um die Funktionsfähigkeit des Betriebsablaufs sicher- oder wiederherzustellen.543 Kann die Straftat oder sonstige Pflichtverletzung anhand

539

Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 31; Kramer / Schulze /  Zumkley, IT-Arbeitsrecht, B. Rn. 1134; Ströbel / Böhm / Breunig / Wybitul, CCZ 2018, 14 (18 f.); Stück, CCZ 2020, 77 (78 f.); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 44 f.; a. A. Gola, ZD 2012, 308 (310), wonach zur Kontrolle des Verbots privater Nutzung die Führung eines manuellen Fahrtenbuchs genügt. 540 So auch Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 835. 541 Vgl. BAG, Urt. v. 27. 7. 2017 – 2 AZR 681/16, NZA 2017, 1327 Rn. 29 f.; vgl. BAG, Urt. v. 31. 1. 2019 – 2 AZR 426/18, NZA 2019, 893 Rn. 53, 64. 542 Vgl. BAG, Urt. v. 25. 4. 2017 – 1 ABR 46/15, NZA 2017, 1205 Rn. 35 ff.; Kramer / Bongers, IT-Arbeitsrecht, Rn. 820; Bayreuther, NZA 2005, 1038 (1039); Däubler, Gläserne Belegschaften, Rn. 322; Däubler, NZA 2017, 1481 (1484); Gola, ZD 2012, 308 (310); Grimm / Schiefer, RdA 2009, 329 (332); weniger streng Hoffmann / Wolf, ZD 2017, 120 (122), wonach Arbeitgeber sich zur Leistungsbeurteilung auch ohne Anlass stichprobenartig ein Bild von der Leistung des Beschäftigten verschaffen können müssen. 543 LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III.); Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 821–823; Kerscher, SPA 2017, 101 (102 f.).

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

253

eines Bewegungsbilds aufgedeckt werden (so z. B. beim Arbeitszeitbetrug544), können Ortungsmaßnahmen dazu geeignet sein.545 Im Rahmen der Erforderlichkeitsprüfung ist zu untersuchen, ob weniger eingriffsintensive Aufklärungsmaßnahmen, wie Befragungen des betroffenen Beschäftigten, von Mitarbeitern oder von Dritten, Aussicht auf Erfolg haben.546 Dabei kann davon ausgegangen werden, dass eine Ortung durch den Arbeitgeber weniger eingriffsintensiv als die Einschaltung von Strafverfolgungsbehörden ist.547 Mit dem LAG Baden-Württemberg ist darauf hinzuweisen, dass eine Nachfrage bei Kunden, ob der Beschäftigte diese an dem von ihm angegebenen Tag aufgesucht hat, tendenziell kein gleich geeignetes Mittel ist, da ein möglicherweise unbegründetes Misstrauen in die Redlichkeit des Beschäftigten offenbart wird, wodurch dessen informationelle Privatheit ebenfalls beeinträchtig wird.548 Eine Observation durch einen Privatdetektiv, der Einsatz einer Videokamera oder eines Keyloggers sowie die Kontrolle der dienstlichen E-Mails ist tendenziell kein milderes Mittel.549 Anderes gilt für betriebsinterne Maßnahmen wie z. B. ein Begutachtungsverfahren durch den medizinischen Dienst zur Feststellung der Arbeitsunfähigkeit im Rahmen der Aufdeckung eines Arbeitszeitbetrugs.550 Eine verdeckte Ortung kann erforderlich sein, da pflichtwidriges und insbesondere strafbares Verhalten in der Regel auf Heimlichkeit angelegt ist, sodass eine offene Überwachung zur Aufdeckung der Tat regelmäßig nichts beitragen kann.551 Zudem kann auch eine Datenerhebung außerhalb der Arbeitszeit erforderlich sein, wenn Anhaltspunkte dafür vorliegen, dass die Wahrscheinlichkeit der Aufklärung dadurch steigt (z. B. beim Verdacht vorgetäuschter Arbeitsunfähigkeit).552 In jedem Fall ist zu beachten, dass der Umfang der Ortungsmaßnahme nicht weiter gehen darf, als er für die Aufdeckung der Straftat oder sonstigen Pflichtverletzung notwendig ist.553 Ein Speichern der Positionsdaten ist grundsätzlich erforderlich, allerdings nur für einen kurzen Zeitraum, in welchem der Arbeitgeber die erhobenen 544

Für ein Beispiel siehe Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 822. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 822. 546 Vgl. BAG, Urt. v. 20. 10. 2016 – 2 AZR 395/15, NZA 2017, 443 Rn. 28; LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); Kerscher, SPA 2017, 101 (102 f.); Stück, CCZ 2018, 88 (90). 547 Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 821 i. V. m. 758. 548 LAG Baden-Württemberg, Urt. v. 25. 10. 2002 – 5 Sa 59/00, BeckRS 2009, 68144 (III. 3.); zust. Arnold, Mobile Arbeitnehmer, S. 141 f. 549 Siehe dazu ausführl. oben § 7 C. III. 1. a). 550 Vgl. BAG, Urt. v. 28. 5. 2009 – 8 AZR 226/08, NZA 2009, 1300 Rn. 26; LAG RheinlandPfalz, Urt. v. 13. 7. 2017 – 5 Sa 49/17, BeckRS 2017, 123587 Rn. 14. 551 Vgl. BAG, Urt. v. 27. 3. 2003  – 2 AZR 51/02, NZA 2003, 1193 (1195); BAG, Urt. v. 20. 10. 2016  – 2 AZR 395/15, NZA 2017, 443 Rn. 29; Bergwitz, NZA 2012, 353 (357); Grimm / Schiefer, RdA 2009, 329 (335); Chanda-Hoppe, NZA 2018, 614 (617). 552 Vgl. Roßnagel et al., Mobile Systeme, S. 106; a. A. Arnold, Mobile Arbeitnehmer, S. 140; zum Verdacht vorgetäuschter Arbeitsunfähigkeit Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 821 i. V. m. 760. 553 Däubler, Gläserne Belegschaften, Rn. 379e; siehe auch Kerscher, SPA 2017, 101 (103). 545

254

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Positionsdaten sichten muss.554 Ab der Sichtung dürfen nur noch solche Positionsdaten gespeichert werden, die im Hinblick auf die vermeintliche Tat zur Beweisführung geeignet sind. Eine Fortsetzung der Datenerhebung ist nur erforderlich, wenn sich der Verdacht anhand der erhobenen Positionsdaten nicht beweisen lässt.555 II. Angemessenheit Das von einer zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung erfolgenden Ortungsmaßnahme ausgehende Risiko für den Betroffenen ist hoch, da die Ortung gerade darauf ausgelegt ist, eine Aussage über den Betroffenen zu machen („ist ein Täter“/„ist kein Täter“), der zugleich eine Bewertung innewohnt („schlecht“/„gut“) und die sich auf Rechte und Interesse des Betroffenen auswirken soll (z. B. Kündigung und ggf. sogar Strafanzeige).556 Das Interesse des Arbeitgebers am Einsatz von Ortungsmaßnahmen zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung ist gewichtig, wenn ein konkreter Tatverdacht besteht, der sich auf einen räumlich und funktional abgrenzbaren Kreis von Beschäftigten und eine über ein Bagatelldelikt hinausgehende Straftat557 richtet.558 Bei der Prüfung des Anfangsverdachts ist zu beachten, dass das BAG bei Vorliegen einer Arbeitsunfähigkeitsbescheinigung nur von einem Anfangsverdacht hinsichtlich eines auf der Vortäuschung einer Arbeitsunfähigkeit beruhenden Betrugs ausgeht, wenn zumindest begründete Zweifel an der Richtigkeit der ärzt­lichen Bescheinigung bestehen, die deren Beweiswert erschüttern.559 Solche Zweifel können sich z. B. aus der Ankündigung einer Arbeitsunfähigkeit nach einem Streit am Arbeitsplatz oder daraus ergeben, dass die Bescheinigungen von unterschied­lichen Ärzten stammen.560 Weiter begründen Inventurdifferenzen nach Auffassung des BAG nur einen Anfangsverdacht, wenn der Arbeitgeber andere Ursachen wie z. B. Fehlbuchungen ausschließen kann.561 Dient die Ortungsmaßnahme nicht der Aufdeckung einer Straftat, sondern einer Pflichtverletzung unterhalb der Strafbarkeitsschwelle (z. B. eine unerlaubte Konkurrenztätigkeit oder das Vortäuschen von Arbeitsunfähigkeit zur Entgeltfortzahlung562), gilt ein strengerer Maßstab. Einhellig wird eine „schwerwiegende“ Pflichtverletzung gefordert.563 554

Ausführl. zur Speicherdauer oben § 7 C. III. 2.  Vgl. WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 35. 556 I. E. so auch BT-Drs. 16/13657, 21; Schwichtenberg, Datenschutz, S. 54. 557 Simitis / Seifert, BDSG 2014, § 32 Rn. 106; WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 35; Kerscher, SPA 2017, 101 (103); DKWW / Wedde, BDSG, § 32 Rn. 129. 558 Siehe dazu oben § 6 C. II. 1. b). 559 BAG, Urt. v. 19. 2. 2015 – 8 AZR 1007/13, NZA 2015, 994 Rn. 24–27. 560 BAG, Urt. v. 19. 2. 2015 – 8 AZR 1007/13, NZA 2015, 994 Rn. 26. 561 BAG, Urt. v. 21. 11. 2013 – 2 AZR 797/11, NZA 2014, 243 Rn. 54. 562 Vgl. Stück, CCZ 2018, 88 (89). 563 Fuhlrott / Oltmanns, NZA 2019, 1105 (1108); Kerscher, SPA 2017, 101 (103); Kort, RdA 2018, 24 (27); Reiserer / Christ / Heinz, DStR 2018, 1501 (1504); Thüsing / Rombey, NZA  2018, 555

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

255

Bei der Abwägung sind die oben genannten Abwägungskriterien564 zu berücksichtigen. Das Arbeitgeberinteresse wiegt besonders schwer, wenn die Aufdeckung der Straftat oder sonstigen Pflichtverletzung für die Sicherung oder Wiederherstellung des Betriebsfriedens relevant ist.565 Zudem gilt, je stärker die Verdachtsmomente sind566, je schwerer die Straftat oder sonstige Pflichtverletzung ist567 und je größer die Wahrscheinlichkeit ist, dass die Ortung zur Aufdeckung beitragen kann568, desto umfangreicher und in den Privatbereich eindringender darf die Datenverarbeitung sein.

G. Zwischenergebnis Eine Ortung zur Einsatzkoordinierung ist grundsätzlich verhältnismäßig, wenn eine punktuelle Positionsabfrage durch den Arbeitgeber nicht gleich wirksam ist, die Daten lediglich anlassbezogen erhoben werden, die Daten offen und pseudonym verarbeitet werden, und eine Möglichkeit zur Abschaltung des Ortungssystems besteht – falls eine Privatnutzung des Dienstfahrzeugs gestattet ist. Ein Speichern von Positionsdaten i. S. e. Aufbewahrung ist nicht verhältnismäßig. Eine Ortung zur Abrechnung gegenüber Kunden ist in der Tendenz verhältnismäßig, wenn die georteten Beschäftigten im Außendienst eine nach Zeit abzurechnende Leistung erbringen und die Datenverarbeitung offen, pseudonym und innerhalb der Arbeitszeit ohne Nachverfolgbarkeit der Route in Echtzeit erfolgt. Ein dauerhaftes Speichern ist nur im Hinblick auf für die Abrechnung relevante Positionsdaten verhältnismäßig und nur solange vernünftigerweise ein Nachweisbedürfnis besteht. Ortungsmaßnahmen zur Abrechnung von Lkw-Maut sind grundsätzlich verhältnismäßig, wenn Beschäftigte des Arbeitgebers mautpflichtige Straßen befahren, die Daten offen, pseudonym sowie ohne Nachverfolgbarkeit der Route in Echtzeit verarbeitet werden und der Arbeitgeber im Kundenportal nur einsehen kann, wo der Beschäftigte auf eine mautpflichtige Straße auf- und abgefahren ist. Ein dauerhaftes Speichern ist nur im Hinblick auf solche Daten verhältnismäßig, welche die Auf- und Abfahrt auf mautpflichtige Straßen belegen und nur solange vernünftigerweise ein Nachweisbedürfnis besteht. 1105 (1107); vgl. BAG, Urt. v. 29. 6. 2017 – 2 AZR 597/16, NZA 2017, 1179 Rn. 29; Gola / Heckmann / Gola / Pötters, DSGVO / BDSG, § 26 BDSG Rn. 37. 564 Siehe oben § 7 B. 565 Siehe Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818. 566 BT-Drs. 16/13657, 21; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818; Grimm, jM 2016, 17 (19); Thüsing / Rombey, NZA 2018, 1105 (1109); Taeger / Gabel / Z öll, DSGVO / BDSG, § 26 BDSG Rn. 70. 567 BAG, Beschl. v. 26. 8. 2008 – 1 ABR 16/07, NZA 2008, 1187 Rn. 43; Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818; Brühl / Sepperer, ZD 2015, 415 (417); WHWS / Byers, Datenschutz im ArbV, B. VII. Rn. 35; Thüsing / Rombey, NZA 2018, 1105 (1109). 568 Vgl. Kramer / Bongers, IT-Arbeitsrecht, B. Rn. 818.

256

4. Kap.: Verhältnismäßigkeit als zentrales Element der Zulässigkeitsprüfung

Eine Ortung zur Dokumentation der von Beschäftigten erbrachten Dienstleistung ist in der Tendenz verhältnismäßig, wenn die Positionsdaten Aufschluss über das „Ob“ der Leistung geben und die Daten offen, innerhalb der Arbeitszeit, pseudonym und ohne Nachverfolgbarkeit der Route in Echtzeit verarbeitet werden. Ein dauerhaftes Speichern ist nur im Hinblick auf solche Positionsdaten verhältnismäßig, die die Durchführung der Dienstleistung nachweisen und nur solange vernünftigerweise ein Nachweisbedürfnis besteht. Eine Ortung zur Fuhrparkverwaltung oder zum Nachweis gegenüber Finanzbehörden ist mangels Erforderlichkeit nicht verhältnismäßig. Ortungsmaßnahmen zur Sicherheit der Beschäftigten sind grundsätzlich verhältnismäßig, wenn der Zugriffsberechtigte anhand der Positionsdaten erkennen kann, ob eine Gefahr für die Sicherheit des Betroffenen besteht, die Sicherheit der Beschäftigten nicht durch mildere Mittel gleich wirksam sichergestellt werden kann, die Daten offen und unter Verwendung zufälliger Pseudonyme verarbeitet werden und der Zugriffsberechtigte auf die Daten nur im Fall eines Notfalls zugreifen kann. Die Speicherung, Verwendung und sonstige Verarbeitung der Daten ist nur so lange verhältnismäßig, wie sich die Position noch nicht verändert hat. Eine Ortung zum Schutz von Eigentum oder Vermögen kann ohne Tatverdacht nur verhältnismäßig sein, wenn der Arbeitgeber dadurch in die Lage versetzt wird, im Fall ungewöhnlicher Umstände, wie z. B. dem Abweichen des Transporters von der vorgegebenen Route oder der Entfernung eines Betriebsmittels vom Betriebsgrundstück, schnell einschreiten zu können, um den Eintritt eines Schadens oder zumindest eine weitere Schadensvertiefung zu verhindern. Die Datenverarbeitung ist in der Tendenz verhältnismäßig, wenn die Positionsdaten die zu verhindernde Straftat oder Pflichtverletzung offenbaren können, sonstige mildere Maßnahmen nicht gleich wirksam sind, die Daten offen und pseudonym verarbeitet werden und keine Möglichkeit der Echtzeitverfolgung besteht. Ein Speichern der Daten ist nur im Fall eines ausgelösten Alarms verhältnismäßig und nur solange, wie sich die Situation nicht verändert hat. Ortungsmaßnahmen zur verdachtslosen Arbeitszeiterfassung sind grundsätzlich verhältnismäßig, wenn nur erfasst wird, wann der Beschäftigte seinen Dienstwagen auf dem Betriebsgelände abholt und wieder abstellt und sich daraus zweifelsfrei Beginn und Ende der Arbeitszeit ergeben, die Daten offen verarbeitet sowie zeitnah ausgewertet und danach gelöscht werden, sofern kein Nachweisinteresse besteht. Eine Ortung zur verdachtslosen Compliance-Kontrolle ist in der Tendenz verhältnismäßig, wenn Positionsdaten einen Verstoß gegen die zu überprüfende Regelung oder Weisung offenbaren können, keine milderen gleich wirksamen Maßnahmen in Betracht kommen, die Daten offen und pseudonym verarbeitet werden und die Daten lediglich in großen Abständen stichprobenartig und unterschiedslos gegenüber allen für einen Verstoß grundsätzlich in Betracht kommenden Beschäftigten erhoben werden.

§ 8 Fallanalyse: Verhältnismäßigkeit einzelner Ortungsmaßnahmen 

257

Ortungsmaßnahmen zur Verhaltens- und Leistungsbeurteilung sind grundsätzlich unverhältnismäßig. Regelmäßig kann anhand von Positionsdaten bereits nicht das „Wie“ der Leistung beurteilt werden oder es sind zumindest mildere gleich wirksame Maßnahmen vorhanden. Jedenfalls aber besteht kein gewichtiges Arbeitgeberinteresse an einer allgemeinen Verhaltens- und Leistungsbeurteilung, welches das von der Ortung ausgehende hohe Risiko für die Betroffenen rechtfertigen kann. Eine Ortung zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten oder sonstigen Pflichtverletzungen ist im Verdachtsfall tendenziell verhältnismäßig, wenn weniger eingriffsintensive Aufklärungsmaßnahmen nicht gleich wirksam sind, der Umfang der Ortungsmaßnahme nicht weiter geht, als für die Aufdeckung der Straftat oder sonstigen Pflichtverletzung notwendig ist und ein konkreter und schwerwiegender Tatverdacht besteht. Ein über die Frist zur Sichtung hinausgehendes Speichern der Positionsdaten ist nur verhältnismäßig, wenn die Daten im Hinblick auf die vermeintliche Tat zur Beweisführung geeignet sind.

Fünftes Kapitel

Die wichtigsten Ergebnisse § 9 Thesenartige Zusammenfassung 1. Verarbeitet ein Arbeitgeber Positionsdaten, richtet sich die Zulässigkeit der Ortungsmaßnahme maßgeblich nach der DSGVO, sofern die Positionsdaten automatisiert erhoben oder in einer geordneten manuellen Datensammlung gespeichert werden oder – in letzterem Fall – werden sollen, der Arbeitgeber die erhobenen Positionsdaten einem Beschäftigten mit verhältnismäßigem Aufwand zuordnen kann und ein räumlicher Bezug zur Europäischen Union besteht. Das gilt unabhängig davon, ob der Arbeitgeber die Positionsdaten einem Beschäftigten überhaupt zuordnen möchte. 2. Der Arbeitgeber ist datenschutzrechtlich verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DSGVO und muss daher gewährleisten, dass die im Rahmen der Ortung erfolgende Datenverarbeitung zulässig ist. Möchten Arbeitgeber automatisiert Positionsdaten verarbeiten, sind sie auf eine Ortungs-Software – einen Location Based Service (LBS) – angewiesen. Die durch den LBS-Anbieter erfolgende Verarbeitung von Positionsdaten ist dem Arbeitgeber zuzurechnen. Da es für die vom Arbeitgeber regelmäßig verfolgten Ortungszwecke nicht erforderlich ist, dass der LBS-Anbieter die Positionsdaten einer Person zuordnen kann, muss der Arbeitgeber zur Gewährleistung der Zulässigkeit der Ortungsmaßnahme sicherstellten, dass die vom LBS-Anbieter verarbeiteten Positionsdaten für diesen anonym sind (z. B. aufgrund von Verschlüsselung). Verarbeitet der LBS-Anbieter die Positionsdaten anonym, ist die DSGVO auf diese Datenverarbeitung nicht anwendbar. Verarbeitet er die Daten nicht anonym, ist der LBS-Anbieter Auftragsverarbeiter i. S. v. Art. 4 Nr. 8 DSGVO. 3. Die im Rahmen der Ortung erfolgende Verarbeitung von Positionsdaten ist nach der gegenüber nationalen Datenschutzgesetzen vorrangigen DSGVO gemäß dem Verbotsprinzip zulässig, wenn zumindest einer der folgenden drei Erlaubnistatbestände erfüllt ist: Der Beschäftigte hat in die Datenverarbeitung eingewilligt, die Datenverarbeitung wird durch eine rechtmäßige und wirksame Kollektivvereinbarung erlaubt oder die Datenverarbeitung ist nach § 26 Abs. 1 S. 1 oder 2 BDSG – im Fall von öffentlichen Arbeitgebern ggf. nach der im Wesentlichen die gleichen Voraussetzungen aufstellenden Norm des jeweiligen LDSG – gestattet. Die drei Erlaubnistatbestände stehen gleichrangig nebeneinander. Eine Weiterverarbeitung von Beschäftigten-Positionsdaten zu einem anderen als dem Erhebungszweck ist nach Art. 6 Abs. 4 DSGVO nur zulässig, wenn der betroffene Beschäftigte in die

§ 9 Thesenartige Zusammenfassung  

259

Weiterverarbeitung eingewilligt hat oder die Weiterverarbeitung gem. § 26 Abs. 1 S. 2 BDSG zur Aufdeckung einer Straftat erforderlich ist und die Interessen des Betroffenen am Ausschluss der Verarbeitung nicht überwiegen oder die Daten zur Vereinfachung von Verwaltungsvorgängen weiterverarbeitet werden und im Einzelfall von einer Vereinbarkeit der Zwecke auszugehen ist. In allen drei Fällen muss die zweckändernde Weiterverarbeitung auf einen eigenen Erlaubnistatbestand gestützt werden. 4. Rechtsgrundlage für die Einwilligung ist Art. 6 Abs. 1 lit. a) DSGVO i. V. m. Art. 88 DSGVO i. V. m. § 26 Abs. 2 und Abs. 3 S. 2 BDSG. Die Einwilligung ist nur wirksam, wenn der Beschäftigte sie bestimmt, informiert und freiwillig erteilt hat, was trotz Abhängigkeitsverhältnis grundsätzlich möglich ist. Je eingriffsintensiver die Ortung ist, desto eher ist die Freiwilligkeit zu verneinen. Wird die Ortung zur Aufdeckung einer Straftat oder sonstigen Pflichtverletzung im Verdachtsfall oder verdachtslos zur Verhaltens- oder Leistungskontrolle durchgeführt, ist die Freiwilligkeit tendenziell zu verneinen, da die Ortung darauf gerichtet ist, Konsequenzen für den Betroffenen herbeizuführen. 5. Eine Kollektivvereinbarung kann nach Art. 88 Abs. 1 und  2 DSGVO ein selbständiger Erlaubnistatbestand für die Verarbeitung von Beschäftigtendaten zu Ortungszwecken sein, sofern sie mit den in Art. 5, 6 und 9 DSGVO normierten Grundprinzipien der DSGVO vereinbar ist. Danach muss die in der Kollektivvereinbarung enthaltene Regelung durch konkrete Vorgaben oder durch einen Verweis auf einzelne Vorschriften der DSGVO sicherstellen, dass Beschäftigten-Positionsdaten verhältnismäßig verarbeitet werden. 6. Mit § 26 BDSG hat der deutsche Gesetzgeber die Öffnungsklausel in Art. 88 Abs. 1 DSGVO gebraucht und in Absatz 1 Satz 1 und 2 drei eigenständige Erlaubnistatbestände geschaffen. Die regelmäßig von Arbeitgebern mit der Ortung verfolgten Ortungszwecke werden von den drei Erlaubnistatbeständen grundsätzlich erfasst. Davon ausgenommen ist eine Ortung zur Verhinderung von durch Dritte gegen das Eigentum oder Vermögen des Arbeitgebers begangenen Straftaten, die sich nach Art. 6 Abs. 1 lit. f) DSGVO richtet. Alle drei Erlaubnistatbestände fordern, dass die Datenverarbeitung im Hinblick auf den Ortungszweck verhältnismäßig ist. 7. Der DSGVO vorrangige Vorschriften zum Datenschutz in der elektronischen Kommunikation sind nicht anwendbar oder jedenfalls in der Regel erfüllt, wenn Arbeitgeber mithilfe des LBS-Anbieters auf ihre eigenen, den Beschäftigten zur dienstlichen Nutzung zur Verfügung gestellten Endeinrichtungen zugreifen. Das gilt sowohl für § 13 Abs. 1 S. 1 und § 25 Abs. 1 S. 1 TTDSG als auch für den auf Unionsebene noch im Gesetzgebungsprozess diskutierten Art. 8 Abs. 1 und 2 ePrivacy-VO-E. Grund dafür ist, dass die Vorschriften zum Datenschutz in der elektronischen Kommunikation den Betroffenen in erster Linie nur schützen, wenn dieser gleichzeitig Nutzer des Kommunikationsdienstes oder der Endeinrichtung ist. Ist das nicht der Fall, wird der Betroffene grundsätzlich „nur“ durch die allgemeinen Datenschutzvorschriften geschützt.

260

5. Kap.: Die wichtigsten Ergebnisse 

8. Unabhängig von der datenschutzrechtlichen Zulässigkeit zu beurteilen ist, ob die Ortungsmaßnahme betriebsverfassungsrechtlich oder personalvertretungsrechtlich zulässig ist, sofern beim Arbeitgeber ein Betriebs- oder Personalrat existiert. In diesem Fall besteht ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG bzw. § 75 Abs. 3 Nr. 17 BPersVG. Trotz Mitbestimmungsrechts können zulässige Ortungsmaßnahmen grundsätzlich nicht verhindert werden, da bei fehlender Einigung die Einigungsstelle entscheidet. Der Betriebs- oder Personalrat kann durch die Gestaltung einer entsprechenden Kollektivvereinbarung allerdings erheblichen Einfluss auf die Ausgestaltung der Ortungsmaßnahme nehmen. 9. Sofern der betroffene Beschäftigte keine Einwilligung erteilt hat, ist die Verhältnismäßigkeit der Datenverarbeitung das zentrale Element der Zulässigkeitsprüfung. Da die DSGVO in erster Linie den Schutz personenbezogener Daten bezweckt, ist Bezugspunkt für die Verhältnismäßigkeitsprüfung Art. 8 i. V. m. Art. 7 GrCh. Daraus folgt, dass von der Ortung ein hohes Risiko für den Betroffenen ausgeht, wenn die Wahrscheinlichkeit groß ist, dass durch die im Rahmen der Ortung erfolgende Datenverarbeitung Dritte (insbesondere der Arbeitgeber) an Informationen über Verhaltensweisen oder persönliche Merkmale des Betroffenen gelangen, an die sie Konsequenzen knüpfen können. Das Risiko steigt weiter, je gravierender die drohenden Konsequenzen sind. Zur Bestimmung des Risikos sind in der DSGVO eine Reihe von Abwägungskriterien genannt, die in die Verhältnismäßigkeitsprüfung miteinfließen müssen. Im Rahmen der Verhältnismäßigkeitsprüfung ist zunächst zu prüfen, ob dem Ortungszweck ein berechtigtes Interesse des Arbeitgebers zugrunde liegt. Das ist regelmäßig der Fall, da Arbeitgebern aufgrund ihrer unternehmerischen Freiheit ein weiter Beurteilungsspielraum zusteht. Weiter ist zu prüfen, ob die Ortung zur Erreichung des Ortungszwecks geeignet ist. Das ist zu bejahen, wenn die Ortung in ihrer konkreten Ausgestaltung diesen Zweck zumindest fördern kann. Die Erforderlichkeitsprüfung soll verhindern, dass von einer Ortungsmaßnahme ein hohes Risiko ausgeht, ohne dass der Ortungszweck die konkrete Ortung verlangt. Erforderlich ist die Ortung nur, wenn zur Erreichung des Ortungszwecks kein anderes, gleich geeignetes Mittel zur Verfügung steht, das die Privatheit des Beschäftigten weniger belastet und dem Arbeitgeber zumutbar ist. Mit anderen Worten: Eine Ortungsmaßnahme ist nur erforderlich, wenn der Ortungszweck nicht gleich wirksam durch eine Maßnahme erreicht werden kann, bei der die Datenschutzgrundsätze besser verwirklicht sind. Da die Datenschutzgrundsätze verbindlich, aber flexibel sind, kann eine verdeckte Ortung erforderlich sein, wenn bei einer vorherigen Information des Betroffenen der Ortungszweck nicht erreicht werden kann (vgl. Art. 14 Abs. 5 lit. b) Var. 4 DSGVO). Auf Ebene der Angemessenheit werden – kurz gesagt – solche Ortungsmaßnahmen als unzulässig „aussortiert“, bei denen zwar das Risiko auf das zur Erreichung des Ortungszwecks notwendige Maß begrenzt ist (Erforderlichkeit), dieses Risiko aber absolut betrachtet hoch und nicht durch ein überwiegendes Arbeitgeberinteresse gerechtfertigt ist. Dabei kann – entgegen mancher Stimmen in der Literatur – nicht pauschal davon ausgegangen werden, dass eine Ortung von Beschäftigten hoch riskant ist. Dieses

§ 9 Thesenartige Zusammenfassung  

261

„Abstempeln“ von Ortungsmaßnahmen als gefährlich spiegelt ein omnipräsentes Problem in der datenschutzrechtlichen Diskussion wider, dem diese Untersuchung entgegen wirken soll. Datenschutz ist kein Verhinderungselement. Es geht nicht darum, Datenverarbeitungen per se zu vermeiden, sondern Erlaubtes von Verbotenem abzugrenzen. Vor diesem Hintergrund ist diese Arbeit ein Appell an eine differenziertere Abgrenzung zwischen Datenverarbeitungen, von denen ein hohes Risiko ausgeht und solchen, von denen kein hohes Risiko ausgeht. Richtig ist, dass es aufgrund von Verknüpfungsmöglichkeiten kein belangloses Datum gibt. Trotzdem ist die Wahrscheinlichkeit ihrer unerwünschten Verarbeitung unterschiedlich groß, was in der Zulässigkeitsprüfung berücksichtigt werden muss. Von einer Datenverarbeitung geht ein hohes Risiko für den Betroffenen aus, wenn sie darauf angelegt ist, ein Verhalten oder persönliches Merkmal des Betroffenen zu bewerten und auf dieser Grundlage eine bewertende inhaltliche Aussage über diesen zu treffen oder auf dessen Rechte und Interessen einzuwirken. Solche hoch riskanten Datenverarbeitungen können nur zulässig sein, wenn ein gewichtiges Datenverarbeitungsinteresse besteht. Ist eine Datenverarbeitung hingegen nicht darauf angelegt, das Verhalten oder ein persönliches Merkmal des Betroffenen zu bewerten und darauf basierend Konsequenzen herbeizuführen, besteht kein hohes Risiko, sofern die Datenverarbeitung auf einem berechtigten Interesse basiert und zur Erreichung des Verarbeitungszwecks geeignet und erforderlich ist. In diesen Fällen überwiegt das Datenverarbeitungsinteresse, auch wenn es isoliert betrachtet nicht besonders gewichtig ist. Das verbleibende Restrisiko ist durch das Erforderlichkeitsprinzip minimiert und wird durch Schutzmaßnahmen eingedämmt. 10. Daraus folgt, dass eine Ortung von Beschäftigten zur Einsatzkoordinierung, zur Vereinfachung von Verwaltungsvorgängen, zur Sicherheit der Beschäftigten oder zum Schutz von Eigentum und Vermögen grundsätzlich angemessen ist, sofern daran ein berechtigtes Interesse besteht und die Ortung zu diesen Zwecken geeignet und erforderlich ist. In diesen Fällen soll nicht das Verhalten oder ein persönliches Merkmal des Betroffenen bewertet werden. Eine Ortung zur verdachtslosen Verhaltens- oder Leistungskontrolle sowie zur Aufdeckung von Straftaten oder sonstigen Pflichtverletzungen im Verdachtsfall dient hingegen gerade der Bewertung des Verhaltens des Betroffenen, sodass selbst bei Geeignetheit und Erforderlichkeit noch ein hohes Risiko besteht, das nur durch ein gewichtiges Arbeitgeberinteresse gerechtfertigt sein kann. Ob das Arbeitgeberinteresse überwiegt, ist anhand der Abwägungskriterien festzustellen und tendenziell der Fall, wenn eine konkrete und schwerwiegende Gefahr besteht (konkreter und schwerwiegender Tatverdacht) oder zwar nur eine abstrakte Gefahr besteht, die Ortung dafür aber nur stichprobenartig in großen Abständen, unterschiedslos gegenüber allen Beschäftigten erfolgt.

Literaturverzeichnis Aghamiri, Bahram: Datenschutzrechtliche Unzulässigkeit der GPS-Ortung von Beschäftigten, ITRB 2019, S. 159–160. Ahrens, Philipp / Schmidt-Murra, Corinna: Entwicklung und Vertrieb von Wearables und Apps im Gesundheitsbereich  – Zuordnung rechtlicher Verantwortlichkeiten, DSRITB 2015, S. 53–68. Albers, Marion: Informationelle Selbstbestimmung, Baden-Baden 2005 (zugl. Habil. Berlin 2001/2002). Albrecht, Jan Philipp / Janson, Nils: Datenschutz und Meinungsfreiheit nach der Datenschutzgrundverordnung. Warum die EU-Mitgliedstaaten beim Ausfüllen von DSGVO-Öffnungsklauseln an europäische Grundrechte gebunden sind – am Beispiel von Art. 85 DSGVO, CR 2016, S. 500–509. Albrecht, Jan Philipp / Jotzo, Florian: Das neue Datenschutzrecht der EU. Grundlagen, Gesetzgebungsverfahren, Synopse, Baden-Baden 2017. Alexy, Robert: Theorie der Grundrechte, Berlin 1986. Alexy, Robert: Die Gewichtsformel, in: Jickeli, Joachim / K reutz, Peter / Reuter, Dieter: Gedächtnisschrift für Jürgen Sonnenschein, Berlin 2003, S. 771–792 (zitiert: Alexy, in: GS Sonnenschein). Altenburg, Johannes / Rieks, David: Strafrechtliche Risiken für Plattform-Betreiber beim Bereitstellen von Positionsdaten. „Vor Gericht und auf hoher See…“ – Untersuchung am Beispiel der AIS-Schifffahrtsdaten, ZD 2020, S. 237–242. Althoff, Lars: Die Rolle des Betriebsrats im Zusammenhang mit der EU-Datenschutzgrundverordnung, ArbRAktuell 2018, S. 414–417. Arning, Marian / Moos, Flemming: Location Based Advertising. Datenschutzkonforme Verwendung von Ortsdaten bei verhaltensbezogener Online-Werbung, ZD 2014, S. 126–133. Arnold, Iris: Die Zulässigkeit der Überwachung von mobilen Arbeitnehmern, Berlin 2010 (zugl. Diss. Bielefeld 2010). Artikel-29-Datenschutzgruppe: Arbeitspapier Datenschutzfragen im Zusammenhang mit der RFID-Technik, WP 105, 2005, abrufbar unter datenschutz.hessen.de/sites/datenschutz. hessen.de/files/wp105_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 105). Artikel-29-Datenschutzgruppe: Stellungnahme zur Nutzung von Standortdaten für die Bereitstellung von Diensten mit Zusatznutzen, WP 115, 2005, abrufbar unter datenschutz. hessen.de/sites/datenschutz.hessen.de/files/wp115_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 115). Artikel-29-Datenschutzgruppe: Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136, 2007, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/ wp136_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 136).

Literaturverzeichnis

263

Artikel-29-Datenschutzgruppe: Stellungnahme 12/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 2010, abrufbar unter datenschutz. hessen.de/sites/datenschutz.hessen.de/files/wp169_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 169). Artikel-29-Datenschutzgruppe: Stellungnahme 13/2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endgeräten, WP 185, 2011, abrufbar unter datenschutz.hessen. de/sites/datenschutz.hessen.de/files/wp185_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.29-DSG, WP 185). Artikel-29-Datenschutzgruppe: Stellungnahme 05/2012 zum Cloud Computing, WP 196, 2012, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp196_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 196). Artikel-29-Datenschutzgruppe: Stellungnahme 03/2013 zur Zweckbindung, WP 203, 2013, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/WP_203.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 203). Artikel-29-Datenschutzgruppe: Stellungnahme 05/2014 zu Anonymisierungstechniken, WP 216, 2014, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp216_ de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 216). Artikel-29-Datenschutzgruppe: Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/ EG, WP 217, 2014, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/ wp217_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 217). Artikel-29-Datenschutzgruppe: Stellungnahme 03/2016 zur Evaluierung und Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG), WP 240, 2016, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/WP_240.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 240). Artikel-29-Datenschutzgruppe: Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), WP  243 rev.01, 2017, abrufbar unter datenschutz-hamburg.de/assets/pdf/wp243rev01_ de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 243). Artikel-29-Datenschutzgruppe: Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, WP 248 rev.01, 2017, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/WP_248rev_01_deutsch.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 248). Artikel-29-Datenschutzgruppe: Stellungnahme 01/2017 zum Vorschlag für eine Verordnung über die Privatsphäre, WP 240, 2017, abrufbar unter datenschutz-hamburg.de/assets/pdf/ wp247rev01_en.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 247). Artikel-29-Datenschutzgruppe: Stellungnahme 02/2017 zur Datenverarbeitung im Arbeitsumfeld, WP 249, 2017, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/files/ WP_249.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 249). Artikel-29-Datenschutzgruppe: Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, WP 259 rev.01, 2018, abrufbar unter datenschutz.hessen.de/sites/datenschutz. hessen.de/files/ wp250rev01_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 259 rev.01).

264

Literaturverzeichnis

Artikel-29-Datenschutzgruppe: Leitfaden für Transparenz gemäß der Verordnung 2016/679, WP 260 rev.01, 2018, abrufbar unter datenschutz.hessen.de/sites/datenschutz.hessen.de/ files/wp260rev01_de.pdf (Abruf v. 26. 2. 2022, zitiert als Art.-29-DSG, WP 260 rev.01). Assion, Simon (Hrsg.): TTDSG. Telekommunikations-Telemedien-Datenschutz-Gesetz. Hand­ kommentar, 1. Aufl., Baden-Baden 2022 (zitiert: Assion / Bearbeiter, TTDSG). Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.): Handbuch IT- und Datenschutzrecht, 3. Aufl., München 2019 (zitiert: Auer-Reinsdorff / Conrad / Bearbeiter, HdB DatenschutzR). Augsberg, Ino / Augsberg, Steffen: Kombinationsgrundrechte. Die Verkoppelung von Grundrechtsbeständen als Herausforderung für die Grundrechtsdogmatik, AöR 132 (2007), S. 539–581. Bäcker, Matthias: Grundrechtlicher Informationsschutz gegen Private, Der Staat 51 (2012), S. 91–116. Bäcker, Matthias: Das Grundgesetz als Implementationsgarant der Unionsgrundrechte, EuR 2015, S. 389–415. Bayreuther, Frank: Videoüberwachung am Arbeitsplatz, NZA 2005, S. 1038–1044. Bayreuther, Frank: Einrichtung eines Systems der Arbeitszeiterfassung, NZA 2020, S. 1–9. Bayrisches Landesamt für Datenschutzaufsicht: 7. Tätigkeitsbericht 2015/2016, 2017, abrufbar unter lda.bayern.de/media/baylda_report_07.pdf (Abruf v. 26. 2. 2022, zitiert: Lda BY, 7. TB 2015/2016). Bayrisches Landesamt für Datenschutzaufsicht: 9. Tätigkeitsbericht 2019/2020, abrufbar unter lda.bayern.de/media/baylda_report_09.pdf (Abruf v. 26. 2. 2022, zitiert: Lda BY, 9. TB 2019). Beck’scher Online-Kommentar Arbeitsrecht → siehe unter Rolfs, Christian. Beck’scher Online-Kommentar BGB → siehe unter Hau, Wolfgang. Beck’scher Online-Kommentar Datenschutzrecht → siehe unter Wolff, Heinrich. Beck’scher Online-Kommentar Grundgesetz → siehe unter Epping, Volker. Beck’scher Online-Kommentar Informations- und Medienrecht → siehe unter Gersdorf, Hubertus. Beck’scher Online-Kommentar StPO mit RiStBV und MiStra → siehe unter Graf, Jürgen. Becker, Ulrich: Grundrechte der Arbeit in Europa – zu Funktionen, Verschränkungen und Konfliktlinien vernetzter Grundrechtsordnungen, EuR 2019, S. 469–502. Beckschulze, Martin: Internet- und E-Mail-Einsatz am Arbeitsplatz, DB 2009, S. 2097–2103. Beckschulze, Martin / Natzel, Ivo: Das neue Beschäftigtendatenschutzgesetz – Eine Darstellung des aktuellen Gesetzentwurfs vom 25. 8. 2010, BB 2010, S. 2368–2375. Beine, Heinrich: Neues TKG-Datenschutzrecht. Maßgebliche Änderungen durch die TKGNovelle 2012, ZD 2013, S. 8–13. Benda, Ernst: Privatsphäre und „Persönlichkeitsprofil“. Ein Beitrag zur Datenschutzdiskussion, in: Leibholz, Gerhard / Faller, Hans / Mikat, Paul (Hrsg.): Menschenwürde und frei-

Literaturverzeichnis

265

heitliche Rechtsordnung: Festschrift für Willi Geiger zum 65. Geburtstag, Tübingen 1974, S. 23–44 (zitiert: Benda, in: FS Geiger). Benecke, Alexander / Wagner, Julian: Öffnungsklauseln in der Datenschutz-Grundverordnung und das deutsche BDSG – Grenzen und Gestaltungsspielräume für ein nationales Datenschutzrecht, DVBl 2016, S. 600–608. Bergmann, Lutz / Möhrle, Roland / Herb, Armin: Datenschutzrecht. Kommentar, Stuttgart u. a., Stand 62. Ergänzungslieferung 2021. Bergt, Matthias: Die Bestimmbarkeit als Grundproblem des Datenschutzrechts. Überblick über den Theorienstreit und Lösungsvorschlag, ZD 2015, S. 365–371. Besgen, Nicolai / Prinz, Thomas (Hrsg.): Arbeiten 4.0 – Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt, 5. Aufl., Bonn 2022. Betz, Christoph: Die Einwilligung des Arbeitnehmers. Ein geeignetes Instrument für eine rechtmäßige Datenverarbeitung in der digitalen Arbeitswelt?, SPA 2019, S. 29–32. Beyvers, Eva: Privatheit in der Waagschale. Instrumente des datenschutzrechtlichen Interessen­ ausgleichs im Kontext sozialer Online-Netzwerke, Berlin 2018 (zugl. Diss. Passau 2017). Bieker, Felix: Die Risikoanalyse nach dem neuen EU-Datenschutzrecht und dem StandardDatenschutzmodell, DuD 2018, S. 27–31. Bieker, Felix / Bremert, Benjamin: Identifizierung von Risiken für die Grundrechte von Individuen. Auslegung und Anwendung des Risikobegriffs der DS-GVO, ZD 2020, S. 7–14. Bieker, Felix / Bremert, Benjamin / Hansen, Marit: Die Risikobeurteilung nach der DSGVO, DuD 2018, S. 492–496. Bierekoven, Christiane: Korruptionsbekämpfung vs. Datenschutz nach der BDSG-Novelle, CR 2010, S. 203–208. Boecken, Winfried / Düwell, Franz Josef / Diller, Martin / Hanau, Hans: Gesamtes Arbeitsrecht. Kommentar, 1. Aufl., Baden-Baden 2016 (zitiert: NK-ArbR / Bearbeiter). Boecker, Eckhard: Lkw-Ladungsverluste durch Diebstahl sowie Raubüberfall in Europa, VersR 2003, S. 556–570. Brams, Isabelle / Möhrle, Jan-Peter: Die Stellung des Betriebsrats unter der DS-GVO. Erwächst aus einer neuen datenschutzrechtlichen Stellung eine neue Verantwortung?, ZD  2018, S. 570–573. Brandenburg, Anne / L euthner, Christian: Location Bases Services und Local Commerce – Rechtliche Betrachtung des Einsatzes Aktueller Technologien, DSRITB 2014, S. 651–665. Braun, Steffen: Datenschutz im Smart Office. Gestaltung von Energiemanagementsystemen für vernetzte Gebäudeautomation, ZD 2018, S. 71–76. Brauneck, Jens: DSGVO: Neue Anwendbarkeit durch neue Definition personenbezogener Daten?, EUZW 2019, S. 680–688. Bräutigam, Peter / Rücker, Daniel (Hrsg.): E-Commerce. Rechtshandbuch, München 2017. Breyer, Patrick: Kfz-Massenabgleich nach dem Urteil des Bundesverfassungsgerichts, NVwZ 2008, S. 824–828.

266

Literaturverzeichnis

Breyer, Patrick: Personenbezug von IP-Adressen. Internetnutzung und Datenschutz, ZD 2014, S. 400–405. Breyer, Patrick: Datenschutz im Internet: Zwangsidentifizierung und Surfprotokollierung bleiben verboten. Warum Internetnutzer auch in Zukunft einen besonderen Datenschutz brauchen, ZD 2018, S. 302–303. Brink, Stefan / Eckhardt, Jens: Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, S. 205–212. Brink, Stefan / Groß, Isabel J.: Die DS-GVO wirkt! …und muss verbessert werden, RuP 2019, S. 105–117. Brink, Stefan / Joos, Daniel: Datenschutzrechtliche Verantwortlichkeit der betrieblichen und behördlichen Beschäftigtenvertretungen, NZA 2019, S. 1395–1399. Brink, Stefan / Joos, Daniel: Verwertungsverbote bei der Videoüberwachung von Beschäftigten, Anm. zu BAG, Urt. v. 28. 3. 2019 – 8 AZR 421/17, jurisPR-ArbR 38/2019 Anm. 1. Brink, Stefan / Joos, Daniel: Datenschutzrechtliche Folgen für den Betriebsrat nach dem Betriebsrätemodernisierungsgesetz, NZA 2021, S. 1440–1444. Brink, Stefan / Schmidt, Stephan: Die rechtliche (Un-)Zulässigkeit von Mitarbeiterscreenings. Vom schmalen Pfad der Legalität, MMR 2010, S. 592–596. Brink, Stefan / Schwab, Sabrina: Beschäftigtendatenschutz: Zwischen wirtschaftlicher Abhängigkeit und informationeller Selbstbestimmung, RDV 2017, S. 170–187. Brink, Stefan / Schwab, Sabrina: Zur Speicherfrist einer offenen Videoüberwachung, Anm. zu BAG, Urt. v. 23. 8. 2018 – 2 AZR 133/18, jurisPR-ArbR 6/2019 Anm. 5. Brink, Stefan / Wybitul, Tim: Der „neue Datenschutz“ des BAG. Vorgaben zum Umgang mit Beschäftigtendaten und Handlungsempfehlungen zur Umsetzung, ZD 2014, S. 225–231. Britz, Gabriele: Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts, in: Hoffmann-Riem (Hrsg.): Offene Rechtswissenschaft. Ausgewählte Schriften und begleitende Analysen, Tübingen 2010, S. 561–596. Brückner, Volkmar: Das globale Netz. Wirkungsweise und Grenzen der Datenübertragung im globalen Netz, Berlin 2015. Brühl, Friederike Gäfin v. / Sepperer, Sophia: E-Mail-Überwachung am Arbeitsplatz. Wer bewacht den Wächter?, ZD 2015, S. 415–419. Buchholtz, Gabriele: Grundrechte und Datenschutz im Spannungsfeld zwischen Europäisierung und Emanzipation, in: Piecha, Sebastian / Holljesiefken, Anke / Fischer, Jens et al. (Hrsg.): Rechtskultur und Globalisierung. 57. Assistententagung Öffentliches Recht, Baden-Baden 2017 (zitiert: Buchholtz, in: Rechtskultur u. Globalisierung). Buchner, Benedikt: Die Einwilligung im Datenschutzrecht, DuD 2010, S. 39–43. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DSGVO, DuD 2016, S. 155–161. Bull, Hans Peter: Zweifelsfragen um die informationelle Selbstbestimmung – Datenschutz als Datenaskese?, NJW 2006, S. 1617–1624.

Literaturverzeichnis

267

Bull, Hans Peter: Informationelle Selbstbestimmung – Vision oder Illusion? Datenschutz im Spannungsverhältnis von Freiheit und Sicherheit, 2. Aufl., Tübingen 2011. Bull, Hans Peter: Netzpolitik: Freiheit und Rechtsschutz im Internet, Baden-Baden 2013. Bull, Hans Peter: Fehlentwicklungen im Datenschutz am Beispiel der Videoüberwachung, JZ 2017, S. 797–852. Bulowski, Stefan: Regulierung von Internetkommunikationsdiensten. Zur Anwendbarkeit des Telekommunikationsrechts auf Voice over IP, Instant Messaging und E-Mail-Dienste, Baden-Baden 2019 (zugl. Diss. Regensburg 2018). Bundesministerium des Inneren: Fragenkatalog des Bundesministeriums der Justiz, Berlin 2007. Bürkle, Jürgen / Hauschka, Jürgen (Hrsg.): Der Compliance Officer. Ein Handbuch in eigener Sache, München 2015. Bussche, Axel v. dem / Voigt, Paul: Konzerndatenschutz. Rechtshandbuch, 2. Aufl., München 2019. Byers, Philipp: Die Videoüberwachung am Arbeitsplatz unter besonderer Berücksichtigung des neuen § 32 BDSG, Frankfurt am Main 2011 (zugl. Diss. Jena 2010). Byers, Philipp: Mitarbeiterkontrollen: Praxis im Datenschutz und Arbeitsrecht, 2. Aufl., München 2022. Byers, Philipp / Wenzel, Kathrin: Videoüberwachung am Arbeitsplatz nach dem neuen Datenschutzrecht, BB 2017, S. 2036–2040. Calliess, Christian / Ruffert, Matthias (Hrsg.): EUV / A EUV. Das Verfassungsrecht der europäischen Union mit Europäischer Grundrechtecharta. Kommentar, 6. Aufl., München 2022. Chadoian, Satenig: Das Fernmeldegeheimnis im Zeitalter der Internet- und Mobilfunküberwachung. Eine rechtsvergleichende Untersuchung des schweizerischen und österreichischen Grundrechtsverständnisses im Hinblick auf neuartige technische Überwachungsmaßnahmen, Wien 2015 (zugl. Diss. Wien 2011). Chandna-Hoppe, Katja: Beweisverwertung bei digitaler Überwachung am Arbeitsplatz unter Geltung des BDSG 2018 und der DS-GVO  – Der gläserne Arbeitnehmer?, NZA 2018, S. 614–619. Christmann, Stefan / Becker, Arne / Hagenhoff, Svenja: Lokalisierungsmöglichkeiten in mobilen Webbrowsern. Verfahren, Komponenten und Entwicklungstendenzen, Informatik Spektrum 2012, S. 24–33. Cornils, Matthias: Der grundrechtliche Rahmen für ein (trans-)nationales Datenschutzrecht im digitalen Zeitalter, in: Stern, Klaus / Pfeifer / Karl-Nikolaus / Hain, Karl-E.: Datenschutz im digitalen Zeitalter – global, europäisch, national, München 2015, S. 11–50. Culik, Nicolai / Döpke, Christian: Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big-Data-Anwendungen. Analyse möglicher Auswirkungen der DS-GVO, ZD 2017, S. 226–230. Dahl, Holger / Brink, Stefan: Die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung technischer Einrichtungen in der Praxis, NZA 2018, S. 1231–1234.

268

Literaturverzeichnis

Damann, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung. Erwarteter Fortschritt, Schwächen und überraschende Innovationen, ZD 2016, S. 307–314. Datenschutzkonferenz: Kurzpapier Nr. 5. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, 2018, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 5). Datenschutzkonferenz: Kurzpapier Nr. 10. Informationspflichten bei Dritt- und Direkterhebung, 2018, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_10.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 10). Datenschutzkonferenz: Kurzpapier Nr. 13. Auftragsverarbeitung, Art. 28 DS-GVO, 2018, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 13). Datenschutzkonferenz: Kurzpapier Nr. 14. Beschäftigtendatenschutz, 2020, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 14). Datenschutzkonferenz: Kurzpapier Nr. 15. Videoüberwachung nach der Datenschutz-Grundverordnung, 2018, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_15. pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 15). Datenschutzkonferenz: Kurzpapier Nr. 16. Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO, 2018, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_ kpnr_16.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 16). Datenschutzkonferenz: Kurzpapier Nr. 18. Risiko für die Rechte und Freiheiten natürlicher Personen, 2018, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18. pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 18). Datenschutzkonferenz: Kurzpapier Nr. 20. Einwilligung nach der DS-GVO, 2019, abrufbar unter datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Kurzpapier Nr. 20). Datenschutzkonferenz: Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nicht-öffentlichen Bereich, 2018, abrufbar unter datenschutzkonferenz-online.de/media/ ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Verarbeitungstätigkeiten DSFA). Datenschutzkonferenz: Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, 2019, abrufbar unter datenschutzkonferenz-online.de/media/dskb/20191213_erfahrungsbericht_zur_anwendung_ der_ds-gvo.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Erfahrungsbericht 2019). Datenschutzkonferenz: Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, 2019, abrufbar unter datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg. pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Anbieter von Telemedien). Datenschutzkonferenz: Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen, 2020, abrufbar unter datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf (Abruf v. 26. 2. 2022, zitiert: DSK, Videoüberwachung). Däubler, Wolfgang: Informationsbedarf versus Persönlichkeitsschutz – was muss, was darf der Arbeitgeber wissen?, NZA 2017, S. 1481–1488.

Literaturverzeichnis

269

Däubler, Wolfgang: Gläserne Belegschaften. Das Handbuch zum Beschäftigtendatenschutz, 9. Aufl., Frankfurt am Main 2021. Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter (Hrsg.): Betriebsverfassungsgesetz mit Wahlordnung und EBR-Gesetz. Kommentar, 18. Aufl., Frankfurt am Main 2022 (zitiert: DKKW / Bearbeiter, BetrVG). Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter / Weichert, Thilo: Bundesdatenschutzgesetz, 5. Aufl., Frankfurt am Main 2016 (zitiert: DKWW / Bearbeiter). Däubler, Wolfgang / T homas / Wedde, Peter / Weichert, Thilo / Sommer, Imke: EU-DSGVO und BDSG. Kompaktkommentar, 2. Aufl., Frankfurt am Main 2020 (zitiert: DWWS / Bearbeiter). De Hert, Paul / L ammeran ,  Hans: Protection of Personal Data in Work-related Relations, Brüssel 2013. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: 27. Tätigkeitsbericht 2017–2018, 2019, abrufbar unter bfdi.bund.de/SharedDocs/Publikationen/ Taetigkeitsberichte / TB_BfDI/27TB_17_18.html (Abruf v. 26. 2. 2022, zitiert: BfDI, 27. TB 2017–2018). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: DSGVO-BDSG. Texte und Erläuterungen, 2020, abrufbar unter bfdi.bund.de/SharedDocs/Publikationen/ Infobroschueren/INFO1.html (Abruf v. 26. 2. 2022, zitiert: BfDI, DSGVO-BDSG 2020). Desoi, Monika: Intelligente Videoüberwachung. Rechtliche Bewertung und rechtsgemäße Gestaltung, Wiesbaden 2018 (zugl. Diss. Kassel 2017). Deutsch, Markus / Diller, Martin: Die geplante Neuregelung des Arbeitnehmerdatenschutzes in § 32 BDSG, DB 2009, S. 1462–1465. Deutscher Anwaltverein: Stellungnahme des Deutschen Anwaltvereins durch die Ausschüsse Informationsrecht und Gefahrenabwehrrecht zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG, Berlin 2017, abrufbar unter anwaltverein.de/de/newsroom/sn-2917-stellungnahme-zur-eprivacy-vo (Abruf v. 26. 2. 2022, zitiert: DAV, ePrivacy-VO). Dhein, Andreas / Grimm, Rüdiger: Standortlokalisierung in modernen Smartphones, Informatik Spektrum 2017, S. 245–254. Dodel, Hans / Häupler, Dieter: Satellitennavigation, 2. Aufl., Berlin u. a. 2010. Dovas, Maria-Urania: Joint Controllership – Möglichkeiten oder Risiken der Datennutzung? Regelung der gemeinsamen datenschutzrechtlichen Verantwortlichkeit der DS-GVO, ZD 2016, S. 512–517. Drackert, Stefan: Die Risiken der Verarbeitung personenbezogener Daten, Berlin 2014 (zugl. Diss. Freiburg 2014). Dreier, Horst (Hrsg.): Grundgesetz. Kommentar, Band I Präambel, Art. 1–19, 3. Aufl., Tübingen 2013 (zitiert: Dreier / Bearbeiter, GG). Düsseldorfer Kreis: Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“, 2014, abrufbar unter datenschutzkonferenz-online.de/media/oh/20140219_oh_videoueberwachung.pdf (Abruf v. 26. 2. 2022, zitiert: Düsseldorfer Kreis, Videoüberwachung).

270

Literaturverzeichnis

Düsseldorfer Kreis: Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter, 2014, abrufbar unter lda.bayern.de/media/oh_apps.pdf (Abruf v. 26. 2. 2022). Düwell, Franz / Brink, Stefan: Die EU-Datenschutz-Grundverordnung und der Beschäftigtendatenschutz, NZA 2016, S. 665–668. Düwell, Franz / Brink, Stefan: Beschäftigtendatenschutz nach der Umsetzung der DatenschutzGrundverordnung: Viele Änderungen und wenig Neues, NZA 2017, S. 1081–1085. Dzida, Boris: Neue datenschutzrechtliche Herausforderungen für das Personalmanagement, BB 2019, S. 3060–3067. Dzida, Boris / Grau, Timon: Beschäftigtendatenschutz nach der Datenschutzgrundverordnung und dem neuen BDSG, DB 2018, S. 189–194. Eckhardt, Jens: DS-GVO: Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externer, CCZ 2017, S. 111–117. Ehlers, Dirk (Hrsg.): Europäische Grundrechte und Grundfreiheiten, 4. Aufl., Berlin 2014 (zitiert: Ehlers / Bearbeiter, EuGR). Ehmann, Eugen / Selmayr, Martin (Hrsg.): Datenschutz-Grundverordnung. Kommentar, 2. Aufl., München 2018 (zitiert: Ehmann / Selmayr / Bearbeiter, DSGVO). Ehmann, Horst: Informationsschutz und Informationsverkehr im Zivilrecht, AcP 188 (1988), S. 230–380. Eichenhofer, Johannes: Privatheit im Internet als Vertrauensschutz. Eine Neukonstruktion der Europäischen Grundrechte auf Privatleben und Datenschutz, Der Staat 55 (2016), S. 41–67. Engeler, Malte: Das überschätzte Kopplungsverbot. Die Bedeutung des Art. 7 Abs. 4 DS-GVO in Vertragsverhältnissen, ZD 2018, S. 55–62. Engeler, Malte / Felber, Wolfram: Entwurf der ePrivacy-VO aus Perspektive der aufsichtsbehördlichen Praxis. Reguliert der Entwurf an der technischen Realität vorbei?, ZD 2017, S. 251–257. Epping, Volker / Hillgruber, Christian (Hrsg.): Beck’scher Online-Kommentar Grundgesetz, 53. Edition, München, Stand 15. 08. 2022 (zitiert: BeckOK GG / Bearbeiter). Erfurter Kommentar zum Arbeitsrecht → siehe unter Müller-Glöge, Rudi. Erfurth, René: Der „neue“ Arbeitnehmerdatenschutz im BDSG, NJOZ 2009, S. 2914–2927. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung. Anmerkungen zur Definition nach Art. 4 Nr. 11 DS-GVO, ZD 2017, S. 110–114. Eßer, Martin / Kramer, Philipp / L ewinski, Kai v. (Hrsg.): Auernhammer. DSGVO / BDSG. Kommentar, 7. Aufl., Köln 2020 (zitiert: Auernhammer / Bearbeiter, DSGVO / BDSG). Europäische Kommission: ePrivacy Directive: assessment of transposition, effectiveness and compatibility with proposed Data Protection Regulation. Final Report, 2015, abrufbar unter digital-strategy.ec.europa.eu/en/library/eprivacy-directive-assessment-transpositioneffectiveness-and-compatibility-proposed-data (Abruf v. 26. 2. 2022, zitiert: EU-Kommission, ePrivacy Directive assessment).

Literaturverzeichnis

271

Europäischer Datenschutzausschuss: Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO (Artikel 3), 2019, abrufbar unter edpb.europa.eu/sites/edpb/files/files/file1/edpb_ guidelines_3_2018_territorial_scope_after_consultation_de.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 3/2018). Europäischer Datenschutzausschuss: Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen, 2019, abrufbar unter edpb.europa. eu/sites/edpb/files/files/ file1/edpb_guidelines-art_6–1-b-adopted_after_public_consultation_de_0.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 2/2019). Europäischer Datenschutzausschuss: Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, 2020, abrufbar unter edpb.europa.eu/sites/edpb/files/files/file1/ edpb_guidelines_201903_video_devices_de.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 3/2019). Europäischer Datenschutzausschuss: Leitlinien 4/2019 zu Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, 2019, abrufbar unter edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_201904_dataprotection_ by_design_and_by_default.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 4/2019). Europäischer Datenschutzausschuss: Leitlinien 1/2020 zur Verarbeitung personenbezoegner Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen, abrufbar unter edpb.europa.eu/system/files/2021-08/edpb_guidelines_202001_ connected_vehicles_v2.0_adopted_de.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 1/2020). Europäischer Datenschutzausschuss: Leitlinien 4/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19, abrufbar unter edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_ 20200420_contact_tracing_covid_with_annex_de_0.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 4/2020). Europäischer Datenschutzausschuss: Leitlinien 5/2020 zur Einwilligung gemäß Verordnung 2016/679, abrufbar unter edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202 005_consent_de.pdf (Abruf v. 26. 2. 2022, zitiert: EDSA, Leitlinien 5/2020). Faas, Thomas / Henseler, Maren: Speicherdauer und Aufbewahrungsfristen unter der DSGVO, BB 2018, S. 2292–2298. Feldmann, Thorsten: Geodatendienste, Bewegungsprofile und Datenschutz, in: Leible, Stefan /  Kutschke, Torsten (Hrsg.): Der Schutz der Persönlichkeit im Internet, Stuttgart u. München 2013, S. 71–84. Finkenzeller, Klaus: RFID-Handbuch. Grundlagen und praktische Anwendungen von Transpondern, kontaktlosen Chipkarten und NFC, 7. Aufl., München 2015. Fitting, Karl / Engels, Gerd / Schmidt, Ingrid / Trebinger, Yvonne / Linsenmaier, Wolfgang / Schelz, Hanna: Betriebsverfassungsgesetz. Handkommentar, 31. Aufl., München 2022 (zitiert: ­Fitting et al., BetrVG). Flink, Malte: Beschäftigtendatenschutz als Aufgabe des Betriebsrats. Kompetenzen und Verantwortung des Betriebsrats für den Datenschutz, Berlin 2021 (zugl. Diss. Bonn 2021).

272

Literaturverzeichnis

Fokken, Martin: Telekommunikationsrechtliche Pflichten des Arbeitgebers bei privater E-Mail-Nutzung der Mitarbeiter, NZA 2020, S. 629–633. Forgó, Nikolaus / Helfrich, Marcus / Schneider, Jochen (Hrsg.): Betrieblicher Datenschutz. Rechtshandbuch, 3. Aufl., München 2019 (zitiert: FHS / Bearbeiter, Betrieblicher Datenschutz). Forgó, Nikolaus / Krügel, Tina: Der Personenbezug von Geodaten. Cui bono, wenn alles bestimmbar ist?, MMR 2010, S. 17–23. Frantziou, Eleni: The Horizontal Effect of the Charter of Fundamental Rights of the EU: Rediscovering the Reasons for Horizontality, ELJ 2015, S. 657–679. Franzen, Martin: Datenschutz-Grundverordnung und Arbeitsrecht, EUZA 2017, S. 313–351. Franzen, Martin: Persönlichkeitsrecht und Datenschutz im Arbeitsverhältnis, ZfA 2019, S. 18–39. Franzen, Martin / Gallner, Inken / Oetker, Hartmut (Hrsg.): Kommentar zum europäischen Arbeitsrecht, 4. Aufl., München 2022 (zitiert: FGO / Bearbeiter, EU ArbR). Franzius, Claudio: Grundrechtsschutz in Europa. Zwischen Selbstbehauptungen und Selbstbeschränkungen der Rechtsordnungen und ihrer Gerichte, ZaöRV 2015, S. 383–412. Franzius, Claudio: Strategien der Grundrechtsoptimierung in Europa, EuGRZ 2015, S. ­139–153. Frenz, Walter: Menschenwürde und Persönlichkeitsrecht versus Opferschutz und Fahndungserfolg, NVwZ 2007, S. 631–635. Frenz, Walter: Die Europäische Unternehmerfreiheit, GewArch 2009, S. 427–434. Friedewald, Michael / Ammicht Quinn, Regina / Hansen, Marit et al. (Hrsg.): White Paper Tracking. Beschreibung und Bewertung neuer Methoden, Karlsruhe 2018, abrufbar unter forum-privatheit.de/wp-content/uploads/Forum-Privatheit-Whitepaper-Tracking.pdf (Abruf v. 26. 2. 2022). Frinken, Jaqueline: Die Verwendung von Daten aus vernetzten Fahrzeugen unter besonderer Berücksichtigung des Umgangs mit solchen Daten durch den Arbeitgeber, Göttingen 2017 (zugl. Diss. Mainz 2017). Fuhlrott, Michael: Keylogger & Arbeitnehmerdatenschutz. Zugleich Besprechung von BAG, NZA 2017, 1327, NZA 2017, S. 1308–1311. Fuhlrott, Michael / Oltmanns, Sönke: Arbeitnehmerüberwachung und interne Ermittlungen im Lichte der Datenschutz-Grundverordnung, NZA 2019, S. 1105–1110. Funke, Michael: Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht – Unter besonderer Berücksichtigung der Datenschutz-Grundverordnung, Baden-Baden 2017 (zugl. Diss. Göttingen 2016). Gasch, Patrick: Grenzen der Verwertbarkeit von Daten der elektronischen Mauterfassung zu präventiven und repressiven Zwecken, Berlin 2012 (zugl. Diss. Frankfurt [Oder]) 2011). Gaul, Björn / Koehler, Lisa-Marie: Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, S. 2229–2236.

Literaturverzeichnis

273

Gersdorf, Hubertus / Paal, Boris (Hrsg.): Beck’scher Online-Kommentar Informations- und Medienrecht, 38. Edition, München, Stand 1. 11. 2022 (zitiert: BeckOK Informations- und MedienR / Bearbeiter). Gesellschaft für Datenschutz und Datensicherheit e. V.: Stellungnahme zum Referentenentwurf für ein Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), 2021, abrufbar unter bmwi.de/Redaktion/DE/Downloads/Stellungnahmen/Stellungnahmen-TTDSG/ gdd.pdf?__blob=publicationFile&v=4 (Abruf v. 26. 2. 2022, zitiert: GDD, Stellungnahme TTDSG-E). Gierschmann, Sibylle: Positionsbestimmung der DSK zur Anwendbarkeit des TMG. Ist ein deutscher Sonderweg wirklich die Lösung?, ZD 2018, S. 297–301. Gierschmann, Sibylle: Gemeinsame Verantwortlichkeit in der Praxis. Systematische Vorgehensweise zur Bewertung und Festlegung, ZD 2020, S. 69–73. Gierschmann, Sibylle / Schlender, Katharina / Stentzel, Rainer / Veil, Winfried: Kommentar Datenschutzgrundverordnung, Köln 2017 (zitiert: GSSV / Bearbeiter, DSGVO). Giesen, Thomas: Totaler Datenschutz in der EU: freiheitswidrig, bürokratisch und erfolglos!, NVwZ 2019, S. 1711–1718. Gola, Peter: Die Einwilligung als Legitimation für die Verarbeitung von Arbeitnehmerdaten, RDV 2002, S. 109–116. Gola, Peter: Datenschutz bei der Kontrolle „mobiler“ Arbeitnehmer – Zulässigkeit und Transparenz, NZA 2007, S. 1139–1144. Gola, Peter: Die Ortung externer Beschäftigter – Abwägung zwischen Überwachungsinteresse und schutzwürdigen Arbeitnehmerinteressen, ZD 2012, S. 308–311. Gola, Peter: Der „neue“ Beschäftigtendatenschutz nach § 26 BDSG n. F., BB 2017, S. 1462–1472. Gola, Peter: Der Beschäftigtendatenschutz in den novellierten Landesdatenschutzgesetzen. Anregungen und Vorbild für den Bundesgesetzgeber?, ZD 2018, S. 448–452. Gola, Peter / Heckmann, Dirk (Hrsg.): Bundesdatenschutzgesetz: BDSG. Kommentar, 13. Aufl., München 2019 (zitiert: Gola / Heckmann / Bearbeiter, BDSG 2019). Gola, Peter / Heckmann, Dirk (Hrsg.): Datenschutz-Grundverordnung / Bundesdatenschutzgesetz. Kommentar, 3. Aufl., München 2022 (zitiert: Gola / Heckmann / Bearbeiter, DSGVO /  BDSG). Gola, Peter / Jaspers, Andreas: Zweckänderungen bei der Weiterverarbeitung von Beschäftigtendaten, RDV 2018, S. 145–154. Gola, Peter / Klug, Christoph / Körffer, Barbara / Schomerus, Rudolf: Bundesdatenschutzgesetz. Kommentar, 12. Aufl., München 2015 (zitiert: Gola / Schomerus / Bearbeiter, BDSG 2015). Gola, Peter / Pötters, Stephan: Die Verarbeitung von Beschäftigtendaten im Rahmen betriebsverfassungsrechtlicher Aufgaben nach § 26 Abs. 1 S. 1 BDSG-n. F., RDV 2017, S. 111–116. Gola, Peter / Pötters, Stephan / T hüsing, Gregor: Art. 82 DSGVO: Öffnungsklausel für nationale Regelungen zum Beschäftigtendatenschutz – Warum der deutsche Gesetzgeber jetzt handeln muss, RDV 2016, S. 57–61.

274

Literaturverzeichnis

Gola, Peter / Pötters, Stephan / Wronka, Georg: Handbuch Arbeitnehmerdatenschutz  – unter Berücksichtigung der Datenschutz-Grundverordnung, 7. Aufl., Heidelberg 2016 (zitiert: Gola / Pötters / Wronka, AN-Datenschutz 2016). Gola, Peter / Pötters, Stephan / Wronka, Georg: Handbuch Arbeitnehmerdatenschutz – Aktuelle Rechtslage und Umsetzungshilfen, 8. Aufl., Heidelberg 2019 (zitiert: Gola / Pötters /  Wronka, AN-Datenschutz). Gola, Peter / T hüsing, Gregor / Schmidt, Maximilian: Was wird aus dem Beschäftigtendatenschutz? Die DS-GVO, das DS-AnpUG und § 26 BDSG-neu, DuD 2017, S. 244–249. Golla, Sebastian: Mehr als die Summe der einzelnen Teile?, PinG 2018, S. 2–6. Golland, Alexander: Das Koppelungsverbot in der Datenschutz-Grundverordnung. Anwendungsbereich, ökonomische Auswirkungen auf Web 2.0-Dienste und Lösungsvorschlag, MMR 2018, S. 130–135. Göpfert, Burkard / Papst, Melanie: Digitale Überwachung mobiler Arbeit  – GPS-Ortung, „Tracking“-Funktionen, Routenplaner, Navigationssysteme, DB 2016, S. 1015–1020. Grabitz, Eberhard (Begr.)/Hilf, Meinhard (fortgef.)/Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, Band I EUV / A EUV, München, Stand 77. Ergänzungslieferung September 2022 (zitiert: Grabitz / Hilf / Nettesheim / Bearbeiter, EU-Recht). Graf, Jürgen (Hrsg.): Beck’scher Online-Kommentar StPO mit RiStBV und MiStra, 45. Edition, München, Stand 1. 10. 2022 (zitiert: BeckOK StPO / Bearbeiter). Gräf, Lorenz: Privatheit und Datenschutz. Eine soziologische Analyse aktueller Regelungen zum Schutz privater Bereiche auf dem Hintergrund einer Soziologie der Privatheit, Köln 1993 (zugl. Diss. Köln 1993). Graf, Fabienne / Kemper, Carolin: Optimierung und Produktivitätssteigerung durch Human Enhancement-Technologien. Beschäftigte, Gesundheit und Daten als Schutzmotive, PinG, S. 131–138. Grages, Jan-Michael / Plath, Kai-Uwe: Black Box statt Big Brother: Datenschutzkonforme Videoüberwachung unter BDSG und DSGVO, CR 2017, S. 791–797. Grau, Timon: Der Umgang mit Beschäftigtendaten bei Betriebsübernahmen und Unternehmenskäufen nach der Datenschutz-Grundverordnung, in: Bepler, Klaus / Hohenstatt, KlausStefan / Preis, Ulrich / Schunder, Achim (Hrsg.): Arbeitsrecht bei Änderung der Unternehmensstruktur. Festschrift für Heinz Josef Willemsen zum 65. Geburtstag, München 2018, S. 147–158 (zitiert: Grau, in: FS Willemsen). Grimm, Detlef: Überwachung im Arbeitsverhältnis: Von Befragungen bis zur GPS-Ortung – wie viel Kontrolle ist erlaubt?, jM 2016, S. 17–27. Grimm, Detlef / Kühne, Jonas: Löschkonzept nach der DSGVO. Alle Aufbewahrungspflichten und -rechte sowie Löschfristen bei Beschäftigtendaten im Überblick, ArbRB 2018, S. 144–149. Grimm, Detlef / Schiefer, Jennifer: Videoüberwachung am Arbeitsplatz, RdA 2009, S. 329–344. Grimm, Dieter: Der Datenschutz vor einer Neuorientierung, JZ 2013, S. 585–636.

Literaturverzeichnis

275

Grobys, Isabella / Panzer-Heemeier, Andrea (Hrsg.): Arbeitsrecht. Alphabetische Gesamtdarstellung, Stichwortkommentar, 4. Aufl., Baden-Baden 2023. Groeben, Hans v. der / Schwarze, Jürgen / Hatje, Armin (Hrsg.): Europäisches Unionsrecht. Vertrag über die Europäische Union – Vertrag über die Arbeitsweise der Europäischen Union – Charta der Grundrechte der Europäische Union, Kommentar, 7. Aufl., Baden-Baden 2015 (zitiert: GSH / Bearbeiter, EU-Recht). Gröger, Christine: RFID-Technologie im Datenschutz- und Datensicherheitsrecht. Untersuchungen nach dem Bundesdatenschutzgesetz und der Datenschutz-Grundverordnung, Köln 2020 (zugl. Diss. Erlangen-Nürnberg 2019). Grönemeyer, Tim: Die Einwilligung im Beschäftigtendatenschutz, Edewecht 2012. Groß, Ferdinand: Arbeitsschutz und Persönlichkeitsrecht  – Wo liegt die Grenze?, ArbR­ Aktuell 2018, S. 565–567. Gucklberger, Annette: Die präventiv-polizeiliche elektronische Aufenthaltsüberwachung, DVBl 2017, S. 1121–1192. Gurlit, Elke: Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, NJW 2010, S. 1035–1041. Haase, Martin: Datenschutzrechtliche Fragen des Personenbezugs. Eine Untersuchung des sachlichen Anwendungsbereichs des deutschen Datenschutzrechts und seiner europarechtlichen Bezüge, Tübingen 2015 (zugl. Diss. Hannover 2014/2015). Haase, Martin: Die Einwilligung im Datenschutzrecht – Einschränkung der Freiheit des Einzelnen durch die überzogene Forderung nach Freiwilligkeit, InTer 2019, S. 113–118. Hahn, Tobias / Herfert, Michael / L ange, Benjamin: Pro Privacy. Abschlussbericht des Fraunhofer SIT, 2015, abrufbar unter sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_reports/Abschlussbericht-Pro-Privacy.pdf (Abruf v. 26. 2. 2022). Hanloser, Stefan: Schutz der Geräteintegrität durch § 25 TTDSG. Neue Cookie-Regelung ab dem 1. 12. 2021, ZD 2021, S. 399–403. Hannich, Rolf (Hrsg.): Karlsruher Kommentar zur Strafprozessordnung mit GVG, EGGVG und EMRK, 8. Aufl., München 2019 (zitiert: KarlsruherKom StPO / Bearbeiter). Härting, Niko: Anonymität und Pseudonymität im Datenschutzrecht, NJW 2013, S. 2065–2071. Härting, Niko: Auftragsverarbeitung nach der DSGVO, ITRB 2016, S. 137–140. Härting, Niko: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in der betrieb­ lichen Praxis, Köln 2016 (zitiert: Härting, DSGVO). Härting, Niko / Gössling, Patrick / Dimov, Vitorio: „Berechtigte Interessen“ nach der DSGVO, ITRB 2017, S. 169–172. Hartung, Jürgen / Büttgen, Lisa: Die Auftragsverarbeitung nach der DS-GVO, DuD 2017, S. 549–554. Hau, Wolfgang / Poseck, Roman: Beck’scher Online-Kommentar BGB, 63. Edition, München, Stand 1. 8. 2022 (zitiert: BeckOK BGB / Bearbeiter).

276

Literaturverzeichnis

Hauschka, Christoph / Moosmayer, Klaus / L ösler, Thomas (Hrsg.): Corporate Compliance. Handbuch der Haftungsvermeidung im Unternehmen, 3. Aufl., München 2016 (zitiert: HML / Bearbeiter, Compliance). Haußmann, Katrin / T hieme, Luca M.: Reformbedarf und Handlungsoptionen in der IT-Mitbestimmung, NZA 2019 S. 1612–1620. Henssler, Martin / Willemsen, Heinz Josef / Kalb, Heinz-Jürgen (Hrsg.): Arbeitsrecht. Kommentar, 10. Aufl., Köln 2022 (zitiert: HWK / Bearbeiter). Herbst, Tobias: Was sind personenbezogene Daten?, NVwZ 2016, S. 902–906. Herfurth, Constantin: Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO. Nachvollziehbare Ergebnisse anhand von 15 Kriterien mit dem sog. „3x5-Moell“, ZD 2018, S. 514–520. Heselhaus, Sebastian / Nowak, Carsten (Hrsg.): Handbuch der Europäischen Grundrechte, 2. Aufl., München 2020 (zitiert: Heselhaus / Nowak / Bearbeiter, HdB EU-GR). Heun, Sven-Erik: Der Referentenentwurf zur TKG-Novelle 2011, CR 2011, S. 152–163. Heun, Sven-Erik / Assion, Simon: Smart Services: IT- und datenschutzrechtliche Herausforderungen, BB 2018, S. 579–584. Heuschmid, Johannes: Datenschutzgrundverordnung und Betriebsverfassung  – Eine Positionsbestimmung unter besonderer Berücksichtigung des primären Unionsrechts, SR 2019, S. 1–11. Heuschmid, Johannes: Neujustierung des Arbeitszeitrechts und des Systems der Arbeitzeiterfassung durch den EuGH, NJW 2019, S. 1853–1854. Hoffmann, Jan: Unionsgrundrechte als verfassungsrechtlicher Prüfungsmaßstab, NVwZ 2020, S. 33–37. Hoffmann, Raphael / Wolf, Alexander: Mitarbeiterbeurteilung durch Kollegen – datenschutzkonform? Feedbackverfahren zwischen Persönlichkeitseingriff und betrieblichem Steuerungsinstrument, ZD 2017, S. 120–124. Hoffmann-Riem, Wolfgang: Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme, JZ 2008, S. 1009–1060. Hofmann, Johanna M. / Johannes, Paul C.: DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs. Begriffsklärung der entscheidenden Frage des sachlichen Anwendungsbereichs, ZD 2017, S. 221–226. Holleben, Kevins M. v. / Knaut, Johannes: Die Zukunft der Auftragsverarbeitung – Privilegierung, Haftung, Sanktionen und Datenübermittlung mit Auslandsbezug unter der DSGVO, CR 2017, S. 399–306. Holznagel, Bernd / Schumacher, Pascal: Auswirkungen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme auf RFID-Chips, MMR 2009, S. 3–8. Hornung, Gerrit / Wagner, Bernd: Der schleichende Personenbezug. Die Zwickmühle der ReIdentifizierbarkeit in Zeiten von Big Data und Ubiquitous Computing, CR 2019, S. 565–574. Hornung, Gerrit / Wagner, Bernd: Anonymisierung als datenschutzrelevante Verarbeitung? Rechtliche Anforderungen und Grenzen für die Anonymisierung personenbezogener Daten, ZD 2020, S. 223–228.

Literaturverzeichnis

277

Jacobs, Matthias: Datenschutz bei der Überwachung von Beschäftigten – de lege lata und im Regierungsentwurf vom 15. 12. 2010, ZfA 2012, S. 215–233. Jandt, Silke: Vertrauen in Mobile Commerce. Vorschläge für die rechtsverträgliche Gestaltung von Location Based Services, Baden-Baden 2008 (zugl. Diss. Kassel. 2007/2008). Jandt, Silke: Spezifischer Datenschutz für Telemedien und die DS-GVO. Zwischen Rechtssetzung und Rechtsanwendung, ZD 2018, S. 405–408. Jandt, Silke / L aue, Philip: Voraussetzungen und Grenzen der Profilbildung bei Location Based Servies, K&R 2006, S. 316–322. Jandt, Silke / Schnabel, Christoph: Location Based Services im Fokus des Datenschutzes, Alternative Lokalisierungstechnologien und ihre datenschutzrechtliche Einordnung, K&R 2008, S. 723–729. Jandt, Silke / Steidle, Roland (Hrsg.): Datenschutz im Internet. Rechtshandbuch zu DSGVO und BDSG, Baden-Baden 2018. Jarass, Hans: Charta der Grundrechte der Europäischen Union. Kommentar, 4. Aufl., München 2021 (zitiert: Jarass, GrCh). Jarass, Hans / Pieroth, Bodo: Grundgesetz der Bundesrepublik Deutschland. Kommentar, 16. Aufl., München 2020 (zitiert: Jarass / Pieroth / Bearbeiter, GG). Jaspers, Andreas / Franck, Lorenz: Connected Car und Beschäftigtendatenschutz, RDV 2015, S. 69–73. Jerchel, Kerstin / Schubert, Jens: Neustart im Datenschutz für Beschäftigte. Möglichkeiten von Kollektivvereinbarungen zur Regelung des Datenschutzes nach der DS-GVO, DuD 2016, S. 782–786. Johannes, Paul C.: Pokémon, Augmented Reality und die Verschleierung von Positionsdaten, ZD-Aktuell 2016, 05321. Johannes, Paul / Roßnagel, Alexander: Der Rechtsrahmen für einen Selbstschutz der Grundrechte in der digitalen Welt, Kassel 2016. Jordan, Christopher / Bissels, Alexander / L öw, Christine: Arbeitnehmerkontrolle im Call-Center durch Silent Monitoring und Voice Recording, BB 2008, S. 2626–2631. Jung, Alexander / Hansch, Guido: Die Verantwortlichkeit in der DS-GVO und ihre praktischen Auswirkungen. Hinweis zur Umsetzung im Konzern- oder Unternehmensumfeld, ZD 2019, S. 143–148. Kaiser, Anna: Auf Schritt und Tritt – die elektronische Aufenthaltsüberwachung. Entwicklung, Rechtsgrundlagen, Verfassungsmäßigkeit, Wiesbaden 2016 (zugl. Diss. Bremen 2015). Karg, Moritz: Datenschutz für Geodaten. Bedarf es eines datenschutzrechtlichen Rubikons bei der digitalen Erfassung des öffentlichen Raumes?, DuD 2010, S. 824–831. Karg, Moritz: Die Rechtsfigur des personenbezogenen Datums. Ein Anachronismus des Datenschutzes, ZD 2012, S. 255–260. Karg, Moritz: Anonymität, Pseudonyme und Personenbezug revisited?, DuD 2015, S. 520–562.

278

Literaturverzeichnis

Karg, Moritz / Kühn, Ulrich: Datenschutzrechtlicher Rahmen für „Device Fingerprinting“. Das klammheimliche Ende der Anonymität im Internet, ZD 2014, S. 285–290. Karlsruher Kommentar zur Strafprozessordnung → siehe unter Hannich, Rolf. Karpenstein, Ulrich / Kottmann, Matthias: Vom Gegen- zum Mitspieler – Das BVerfG und die Unionsgrundrechte, EuZW 2020, S. 185–189. Keppeler, Lutz M.: Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, S. 779–783. Keppeler, Lutz M. / Berning, Wilhelm: Technische und rechtliche Probleme bei der Umsetzung der DS-GVO-Löschpflichten. Anforderungen an Löschkonzepte und Datenbankstrukturen, ZD 2017, S. 314–319. Kern, Christian: Anwendung von RFID-Systemen, Berlin u. a. 2006. Kerscher, Manuela: Ortung im Arbeitsverhältnis, SPA 2017, S. 101–104. Kiel, Heinrich / Lunk, Stefan / Oetker, Hartmut (Hrsg.): Münchener Handbuch zum Arbeitsrecht, Band I und II, 5. Aufl., München 2021, Band IV, 5. Aufl., München 2022 (zitiert: MHdB ArbR / Bearbeiter). Kiparski, Gerd: Update Telekommunikationsrecht, DSRITB 2019, S. 809–825. Kiparski, Gerd: Die Telekommunikations-Datenschutzregelungen im neuen TTDSG. Überblick, Auslegung, Kritik, CR 2021, S. 482–491. Kipasrski, Gerd / Sassenberg, Thomas: DSGVO und TK-Datenschutz – Ein komplexes europarechtliches Geflecht. Welche bereichsspezifische Datenschutzregelungen im TKG werden durch die DSGVO verdrängt?, CR 2018, S. 324–330. Klaas, Arne: Mehr Beteiligungsrechte des Verdächtigen – Der Einfluss des Transparenzgrundsatzes der DS-GVO auf die Durchführung interner Ermittlungen, CCZ 2018, S. 242–250. Klein, Florian: Personenbilder im Spannungsbild von Datenschutzgrundverordnung und Kunsturhebergesetz, Frankfurt am Main 2017 (zugl. Diss. Münster 2017). Kleinebrink, Wolfgang: Arbeitgeber und Betriebsrat als „Verantwortliche“ im neuen Datenschutzrecht, DB 2018, S. 2566–2571. Klement, Henrik: Öffentliches Interesse an Privatheit. Das Europäische Datenschutzrecht zwischen Binnenmarkt, Freiheit und Gemeinwohl, JZ 2017, S. 161–212. Klösel, Daniel / Mahnhold, Thilo: Die Zukunft der datenschutzrechtlichen Betriebsvereinbarung. Mindestanforderungen und betriebliche Ermessensspielräume nach DS-GVO und BDSG nF, NZA 2017, S. 1428–1433. Knyrim, Rainer: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in Österreich und der EU, Wien 2016 (zitiert: Knyrim / Bearbeiter, DSGVO). Kohler, Christian: Ein Bruderzwist im europäischen Haus: Die Kontroverse, zwischen EuGH un EGMR um den Grundrechtsschutz in der EU, in: Schütze, Rolf (Hrsg): Fairness Justice Equity. Festschrift für Reinhold Geimer zum 80. Geburtstag, München 2017, S. ­375–385 (zitiert: Kohler, in: FS Geimer).

Literaturverzeichnis

279

Kokott, Juliane / Sobotta, Christoph: The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR, IDPL 2013, Vol. 3, No. 4, S. 222–228. Koller, Ingo: Transportrecht. Kommentar zu Land-, Luft- und Binnengewässertransport von Gütern, Spedition und Lagergeschäft, 10. Aufl., München 2020. Köllmann, Thomas: Die Corona-Warn-App. Schnittstellen zwischen Datenschutz und Arbeitsrecht, NZA 2020, S. 831–836. König, Tassilo-Rouven: Beschäftigtendatenschutz in der Beratungspraxis, Baden-Baden 2020. Koós, Clemens / Englisch, Bastian: Eine „neue“ Auftragsdatenverarbeitung. Gegenüberstellung der aktuellen Rechtslage und der DS-GVO in der Fassung des LIBE-Entwurfs, ZD 2014, S. 276–285. Koreng, Ansgar / L achenmann, Matthias (Hrsg.): Formularhandbuch Datenschutzrecht, 3. Aufl. München 2021 (zitiert: Koreng / Lachenmann / Bearbeiter, Formular-HdB DatenSchR). Körner, Marita: Die Datenschutz-Grundverordnung und nationale Regelungsmöglichkeiten für Beschäftigtendatenschutz, NZA 2016, S. 1383–1386. Körner, Marita: Wirksamer Beschäftigtendatenschutz im Lichte der Europäischen Datenschutz-Grundverordnung, Frankfurt am Main 2017. Körner, Marita: Beschäftigtendatenschutz in Betriebsvereinbarungen unter der Geltung der DS-GVO, NZA 2019, S. 1389–1395. Körner, Marita: EGMR relativiert Verbot der Videoüberwachung. Zugleich Besprechung von EGMR (GK), Urt. v. 17. 10. 2019 – 1874/13, 8567/13, NZA 2019, 1697, NZA 2020, S. 25–29. Kort, Michael: Betriebsrat und Arbeitnehmerdatenschutz. Rechte der Interessenvertretung bei datenschutzrechtlich relevanten Maßnahmen des Arbeitgebers, ZD 2016, S. 3–9. Kort, Michael: Die Zukunft des deutschen Beschäftigtendatenschutzes. Erfüllung der Vorgaben der DS-GVO, ZD 2016, S. 555–560. Kort, Michael: Der Beschäftigtendatenschutz gem. § 26 BDSG-neu. Ist die Ausfüllung der Öffnungsklausel des Art. 88 DS-GVO geglückt?, ZD 2017, S. 319–323. Kort, Michael: Neuer Beschäftigtendatenschutz und Industrie 4.0. Grenzen einer „Rundumüberwachung“ angesichts der Rechtsprechung, der DSGVO und des BDSG nF, RdA 2018, S. 24–33. Kramer, Stefan: IT-Arbeitsrecht. Digitalisierte Unternehmen: Herausforderungen und Lösungen, 2. Aufl., München 2019. Kring, Markus / Marosi, Johannes: Ein Elefant im Porzellanladen – Der EuGH zu Personenbezug und berechtigtem Interesse. Zugleich Kommentar zu EuGH, Urteil vom 19. 10. 2016 – C-582/14, K&R 2016, S. 773–776. Krohm, Niclas / Müller-Peltzer, Philipp: (Fehlende) Privilegierung der Auftragsverarbeitung unter der Datenschutz-Grundverordnung?, RDV 2016, S. 307–312. Krohm, Niclas / Müller-Peltzer, Philipp: Auswirkungen des Kopplungsverbots auf die Praxistauglichkeit der Einwilligung. Das Aus für das Modell „Service gegen Daten“?, ZD 2017, S. 551–556.

280

Literaturverzeichnis

Krönke, Christoph: Datenpaternalismus. Staatliche Interventionen im Online-Datenverkehr zwischen Privaten, dargestellt am Beispiel der Datenschutz-Grundverordnung, Der Staat 55 (2016), S. 319–351. Krügel, Tina: Das personenbezogene Datum nach der DS-GVO – Mehr Klarheit und Rechtssicherheit?, ZD 2017, S. 455–460. Krusche, Jan: Kumulation von Rechtsgrundlagen zur Datenverarbeitung. Verhältnis der Einwilligung zu anderen Erlaubnistatbeständen, ZD 2020, S. 232–237. Kühling, Jürgen: Das „Recht auf Vergessenwerden“ vor dem BVerfG – November(r)evolution für die Grundrechtsarchitektur im Mehrebenensystem, NJW 2020, S. 275–280. Kühling, Jürgen: Rechtliche Rahmenbedingungen für Zulässigkeitstatbestände in einer künftigen ePrivacy-VO. Sinnvolle Werbemöglichkeiten für Inhalteanbieter?, CR 2020, S. ­199–208. Kühling, Jürgen / Buchner, Benedikt (Hrsg.): Datenschutz-Grundverordnung, Bundesdatenschutzgesetz: DS-GVO / BDSG. Kommentar, 3. Aufl., München 2020 (zitiert: Kühling /  Buchner / Bearbeiter, DSGVO / BDSG). Kühling, Jürgen / Heberlein, Johanna: EuGH „reloaded“: „unsafe harbor“ USA vs. „Datenfestung“ EU, NVwZ 2016, S. 7–12. Kühling, Jürgen / Klar, Manuel: Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität, NJW 2013, S. 3611–3617. Kühling, Jürgen / Sauerborn, Cornelius: TTDSG-Kabinettsentwurf und Art. 95 DSGVO. Klärende Neuordnung von Telekommunikations- und Telemediendatenschutz?, CR 2021, S. 271–280. Kurzböck, Christoph / Weinbeck, Kathrin: Die datenschutzrechtliche Verantwortlichkeit des Betriebsrats, BB 2020, S. 500–503. Lachenmann, Matthias: Datenübermittlung im Konzern, Oldenburg 2016 (zugl. Diss. Oldenburg 2016). Lachenmann, Matthias: Neue Anforderungen an die Videoüberwachung. Kritische Betrachtung der Neuregelung zur Videoüberwachung in DS-GVO und BDSG-neu, ZD 2017, S. 407–411. Lachenmann, Matthias: Anmerkung zu EuGH, Urt. v. 11. 12. 2019  – C-708/18, ZD 2020, S. 150–151. Landesbeauftragte für Datenschutz Schleswig-Holstein: 37. Tätigkeitsbericht, Kiel 2019, abrufbar unter datenschutzzentrum.de/tb/tb37/uld-37-taetigkeitsbericht-2019.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI SH, 37. TB 2019). Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Einsatz von Ortungssystemen und Beschäftigtendatenschutz, 2012, abrufbar unter docplayer. org/2359347-Einsatz-von-ortungssystemen-und-beschaeftigtendatenschutz.html (Abruf v. 26. 2. 2022, zitiert: LDI NRW, Ortungssysteme).

Literaturverzeichnis

281

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: 24. Datenschutz- und Informationsfreiheitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Düsseldorf 2019, abrufbar unter landtag.nrw.de/ portal/WWW/dokumentenarchiv/Dokument/MMV17-2104.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI NRW, 24. TB 2017–2018). Landesbeauftragte für Datenschutz und Informationsfreiheit Saarland: 27. Tätigkeitsbericht, Saarbrücken 2017/2018, abrufbar unter datenschutz.saarland.de/fileadmin/user_upload/ uds/tberichte/tb27_1718.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI SL, 27. TB 2017/2018). Landesbeauftragte für den Datenschutz Niedersachsen: 24. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für die Jahre 2017–2018, abrufbar unter zaftda.de/tb-bundeslaender/niedersachsen/711-24-tb-lfd-niedersachsen-2017-18-3840vom-06-06-2019/file (Abruf v. 26. 2. 2022, zitiert: LfD NI, 24. TB 2017–2018). Landesbeauftragter für den Datenschutz Baden-Württemberg: 30. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2010/2011, Stuttgart 2012, abrufbar unter baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/30.Tätigkeitsbericht-2011-Broschüre.pdf (Abruf v. 26. 2. 2022, zitiert: LfD BW, 30. TB 2011/2012). Landesbeauftragter für den Datenschutz Baden-Württemberg: 34. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2018. Unsere Freiheiten: Daten nützen – Daten schützen, Stuttgart 2012, abrufbar unter baden-wuerttemberg.datenschutz. de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-Tätigkeitsbericht-Internet.pdf (Abruf v. 26.422022, zitiert: LfDI BW, 34. TB 2018). Landesbeauftragter für den Datenschutz Baden-Württemberg: Ratgeber Beschäftigtendatenschutz, 4. Aufl., Stuttgart 2020, abrufbar unter baden-wuerttemberg.datenschutz.de/wpcontent/uploads/2020/04/Ratgeber-Beschäftigtendatenschutz.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI BW, Beschäftigtendatenschutz 2020). Landesbeauftragter für den Datenschutz Sachsen-Anhalt: XIII. / X IV. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, Magdeburg 2018, abrufbar unter datenschutz. sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/ Veroeffentlichungen/Taetigkeitsberichte/TB_13–14/13.–14._Taetigkeitsbericht_Daten schutz.pdf (Abruf v. 26. 2. 2022, zitiert: LfD ST, 13./14.TB 2018). Lang, Markus: TTDSG – Neuregelung des Datenschutzes in den Bereichen Telekommunikation und Telemedien geplant, K&R 2020, S. 714–719. Lang, Markus / L achenmann, Matthias: Kein Mitbestimmungsrecht bei Videokamera-Attrappen, NZA 2015, S. 591–595. Langner, Claudia: Digitalisierung und M2M Kommunikation. (Telekommmunikations-)Regelungsherausforderungen am Beispiel von Connected Cars, InTer 2016, S. 28–32. Laue, Philip / Kremer, Sascha: Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden 2019. Lee, Lauren / Cross, Samuel: (Gemeinsame) Verantwortlichkeit beim Einsatz von Drittinhalten auf Websites. Wird das Rad unnötig neu erfunden?, MMR 2019, S. 559–563. Leeb, Christina-Maria / Liebhaber, Johannes: Grundlagen des Datenschutzrechts, JuS 2018, S. 534–538.

282

Literaturverzeichnis

Leisner-Egensperger, Anna: Polizeirecht im Umbruch: Die drohende Gefahr, DÖV 2018, S. 677–688. Lelley, Jan T. / Bruck, Julia M. / Yildiz, Semican: Reden ist Silber – Schweigen ist Gold? Aufgaben und Informationsrecht des Betriebsrats nach § 80 BetrVG, BB 2018, S. 2164–2173. Lemke, Thorsten: Datenschutz in der Betriebsratsarbeit, 2. Aufl., München 2019. Lenaerts, Koen: In Vielfalt geeint / Grundrechte als Basis des europäischen Integrationsprozesses, EuGRZ 2015, S. 535–361. Lewinski, Kai v.: Die Matrix des Datenschutzes. Besichtigung und Ordnung eines Begriffsfeldes, Tübingen 2014. Lezzi, Lukas / Oberlin, Jutta S.: Gemeinsam Verantwortliche in der konzerninternen Datenverarbeitung. Eine praxisorientierte Darstellung möglicher Konstellationen, ZD 2018, S. 398–404. Luch, Anika: Das neue „IT-Grundrecht“. Grundbedingungen einer „Online-Handlungsfreiheit“, MMR 2011, S. 75–79. Lücke, Oliver: Die Betriebsverfassung in Zeiten der DS-GVO. „Bermuda-Dreieck“ zwischen Arbeitgeber, Betriebsräten und Datenschutzbeauftragten!?, NZA 2019, S. 658–670. Lurtz, Helmut: Bewertungstechnologien im Beschäftigungsverhältnis  – eine (erste)  datenschutzrechtliche Bewertung, ZD-Aktuell 2020, 06926. Maas, Ingrid / Schmitz, Karl / Wedde, Peter: Datenschutz 2014. Probleme und Lösungsmöglichkeiten, Frankfurt am Main 2014. Maier, Natalie: Der Beschäftigtendatenschutz nach der Datenschutz-Grundverordnung. Getrennte Regelungen für den öffentlichen und nicht öffentlichen Bereich?, DuD 2017, S. ­169–174. Maier, Natalie: Erweiterte berufsbezogene Erreichbarkeit. Lösungsvorschläge zum Gesundheits- und Persönlichkeitsschutz, Wiesbaden 2019 (zugl. Diss. Kassel 2018). Maier, Natalie / Ossoinig, Verena: Rechtsfragen und praktische Tipps bei der Ortung durch Smartphone-Apps, VuR 2015, S. 330–337. Mallmann, Otto: Zielfunktionen des Datenschutzes. Schutz der Privatsphäre – Korrekte Information, Frankfurt am Main 1977 (zugl. Diss. Frankfurt am Main 1977). Marnau, Ninja: Anonymisierung, Pseudonymisierung und Transparenz für Big Data. Technische Herausforderungen und Regelungen in der Datenschutz-Grundverordnung, DuD 2016, S. 428–433. Marosi, Johannes / Skobel, Eva: Von Menschen und Maschinen – Zur Technologieneutralität von Art. 10 Abs. 1 Var. 3 GG, DÖV 2018, S. 837–845. Marsch, Nikolaus: Das europäische Datenschutzgrundrecht, Tübingen 2018 (zugl. Habil. Freiburg 2017). Martini, Mario / Botta, Jonas: Iron Man am Arbeitsplatz? – Exoskelette zwischen Effizienzstreben, Daten- und Gesundheitsschutz. Chancen und Risiken der Verschmelzung von Mensch und Maschine in der Industrie 4.0, NZA 2018, S. 625–637.

Literaturverzeichnis

283

Maschmann, Frank: Mitarbeiterkontrolle in Theorie und Praxis, in: ders.: Festschrift für Wolfgang Hromadka zum 70. Geburtstag, München 2008, S. 233–254 (zitiert: Maschmann, in: FS Hromadka). Maschmann, Frank: Compliance versus Datenschutz, NZA-Beilage 2012, S. 50–58. Maschmann, Frank: Datenschutzgrundverordnung: Quo vadis Beschäftigtendatenschutz? – Vorgaben der EU-Datenschutzgrundverordnung für das nationale Recht?, DB 2016, S. 2480–2486. Maschmann, Frank: Führung und Mitarbeiterkontrolle nach neuem Datenschutzrecht, NZABeilage 2018, S. 115–124. Maschmann, Frank: Der Betriebsrat als für den Datenschutz Verantwortlicher, NZA 2020, S. 1207–1215. Maschmann, Frank: Der Arbeitgeber als Verantwortlicher für den Datenschutz im Betriebsratsbüro (§ 79 a BetrVG)?, NZA 2021, S. 834–839. Masing, Johannes: Herausforderungen des Datenschutzes, NJW 2012, S. 2305–2311. Masing, Johannes: Einheit und Vielfalt des Europäischen Grundrechtsschutzes, JZ 2015, S. 477–528. Maunz, Theodor / Dürig, Günter (Begr.)/Herzog, Roman / Scholz, Rupert / Herdegen, Matthias /  Klein, Hans (Hrsg.): Grundgesetz. Kommentar, München, Stand 98. Ergänzungslieferung März 2022 (zitiert: Maunz / Dürig / Bearbeiter, GG). Merten, Detlef: Der Inhalt des Freizügigkeitsrechts (Artikel 11 des Grundgesetzes), Berlin 1970 (zugl. Diss. Berlin 1969). Meyer, Jürgen / Hölscheidt, Sven (Hrsg.): Charta der Grundrechte der Europäischen Union, Kommentar, 5. Aufl., Baden-Baden 2019 (zitiert: Meyer / Hölscheidt / Bearbeiter, GrCh). Meyer, Sebastian: Mitarbeiterüberwachung: Kontrolle durch Ortung von Arbeitnehmern, K&R 2009, S. 14–20. Michl, Walther: Das Verhältnis zwischen Art. 7 und Art. 8 GrCh – zur Bestimmung der Grundlage des Datenschutzgrundrechts im EU-Recht, DuD 2017, S. 349–353. Mills, John: Privacy: The Lost Right, Oxford 2008. Mohr, Jochen: Die Auswirkungen des arbeitsrechtlichen Verbots von Altersdiskriminierungen auf Gesellschaftsorgane, ZHR 178 (2014), S. 326–367. Momsen, Carsten / Grützner, Thomas (Hrsg.): Wirtschafts- und Steuerstrafrecht. Handbuch für die Unternehmens- und Anwaltspraxis, 2. Aufl., München 2020 (zitiert: Momsen / Grützner /  Bearbeiter, Wirtschafts- und SteuerstrafR). Monreal, Manfred: „Der für die Verarbeitung Verantwortliche“ – das unbekannte Wesen des deutschen Datenschutzrechts. Mögliche Konsequenzen aus einem deutschen Missverständnis, ZD 2014, S. 611–616. Monreal, Manfred: Weiterverarbeitung nach einer Zweckänderung in der DS-GVO. Chancen nicht nur für das europäische Verständnis des Zweckbindungsgrundsatzes, ZD 2016, S. 507–512.

284

Literaturverzeichnis

Montjoye, Yves-Alexandre de / Hidalgo, César / Verleysen, Michel / Blondel, Vincent: Unique in the Crowd: The privacy bounds of human mobility, Sci. Rep. 3 (2013), 1376, abrufbar unter nature.com/articles/srep01376 (Abruf v. 26. 2. 2022). Moos, Flemming: Datenschutz- und Datennutzung. Verträge – Datenschutzklauseln – Datenschutzerklärungen, 3. Aufl., Köln 2021. Moos, Flemming / Rothkegel, Tobias: Anmerkung zu EuGH, Urt. v. 1. 10. 2019  – C-673/17, MMR 2019, S. 736–740. Morasch, Olga: Datenverarbeitung im Beschäftigungskontext. Zur Reichweite der Öffnungsklausel nach Art. 88 DSGVO, Baden-Baden 2019 (zugl. Diss Regensburg 2018/2019). Müller-Glöge, Rudi / Preis, Ulrich / Schmidt, Ingrid (Hrsg.)/Dieterich, Thomas / Hanau, Peter /  Schaub / Günter (Begr.): Erfurter Kommentar zum Arbeitsrecht, 23. Aufl., München 2023 (zitiert: ErfK / Bearbeiter). Müller, Arnold: Die Zulässigkeit der Videoüberwachung am Arbeitsplatz. In der Privatwirtschaft aus arbeitsrechtlicher Sicht, Baden-Baden 2008 (zugl. Diss. Mannheim 2007). Müller, Jürgen: Auto-ID-Verfahren im Kontext allgegenwärtiger Datenverarbeitung. Datenschutzrechtliche Betrachtung des Einsatzes von RFID-Systemen, Wiesbaden 2018 (zugl. Diss. Kassel 2016). Müller, Stefan / Becker, Marc: Arbeitszeiterfassung durch Geräte mit GPS-Funktion, FA 2018, S. 74–78. Münchener Handbuch zum Arbeitsrecht → siehe unter Kiel, Heinrich. Nachbaur, Andreas: Standortfeststellung und Art. 10 GG – der Kammerbeschluss des BVerfG zum Einsatz des „IMSI-Catchers“, NJW 2007, S. 335–337. Nebel, Maxi: Schutz der Persönlichkeit  – Privatheit oder Selbstbestimmung? Verfassungsrechtliche Zielsetzungen im deutschen und europäischen Recht, ZD 2015, S. 517–522. Nebel, Maxi: Persönlichkeitsschutz in Social Networks. Technische Unterstützung eines grundrechtskonformen Angebots von Social Networks, Wiesbaden 2020 (zugl. Diss. Kassel 2020). Nebel, Maxi / Richter, Philipp: Datenschutz bei Internetdiensten nach der DS-GVO: Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf, ZD 2012, S. 407–413. Nink, Judith / Pohle, Jan: Die Bestimmbarkeit des Personenbezugs. Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze, MMR 2015, S. 563–567. Oberthür, Nathalie / Seitz, Stefan (Hrsg.): Betriebsvereinbarungen, 3. Aufl., München 2021. Oberwetter, Christian: Arbeitnehmerrechte bei Lidl, Aldi & Co., NZA 2008, S. 609–613. Oetker, Hartmut (Hrsg.): Handelsgesetzbuch. Kommentar, 7. Aufl., München 2021. Paal, Boris / Götz, Matthias: GPS-Daten und Datenschutzrecht. Aktuelle Fragestellungen mit einem Fokus auf den Automobilsektor, RDV 2022, S. 247–252. Paal, Boris / Pauly, Daniel: Datenschutz-Grundverordnung / Bundesdatenschutzgesetz. Kommentar, 3. Aufl., München 2021. Piltz, Carlo: BDSG. Praxiskommentar für die Wirtschaft, Frankfurt am Main 2018.

Literaturverzeichnis

285

Plath, Kai-Uwe (Hrsg.): DSGVO / BDSG. Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG, 2. Aufl., Köln 2016 (zitiert: Plath / Bearbeiter, DSGVO / BDSG 2016). Plath, Kai-Uwe (Hrsg.): DSGVO / BDSG. Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG, 3. Aufl., Köln 2018 (zitiert: Plath / Bearbeiter, DSGVO / BDSG). Polenz, Sven: RFID-Techniken und Datenschutzrecht – Perspektiven der Regulierung, Chemnitz 2008. Pötters, Stephan: Primärrechtliche Vorgaben für eine Reform des Datenschutzrechts, RDV 2015, S. 10–16. Pötters, Stephan / Gola, Peter: Wer ist datenschutzrechtlich „Verantwortlicher“ im Unternehmen?, RDV 2017, S. 279–284. Putschli, Clemens: Wearables und Datenschutz. Datenschutz bei der Entwicklung des PARADISE Wearables, DuD 2017, S. 721–723. Radlanski, Philip: Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, Tübingen 2016 (zugl. Diss. Regensburg 2015). Raif, Alexander: Beschäftigtendatenschutz: Wird alles neu bei der Arbeitnehmerkontrolle?, ArbRAktuell 2010, S. 359–362. Rammo, Katrin / Holzgräfe, Sarah-Marie: Datenschutzrisiken bei vernetzten Autos – elektronische Fahrtenbücher, InTer 2015, S. 23–29. Reinhard, André: Ausgestaltung einer Betriebsvereinbarung zur Videoüberwachung, SPA 2019, S. 173–176. Reinhard, André: Pflicht zur Arbeitszeiterfassung und Arbeit 4.0. Wird die Flexibilität abgeschafft oder unbezahlbar?, NZA 2019, S. 1313–1319. Reiserer, Kerstin / Christ, Florian / Heinz, Katharina: Beschäftigten-Datenschutz und EUDatenschutz-Grundverordnung. Der Countdown ist abgelaufen – Anpassungsbedarf umgesetzt?, DStR 2018, S. 1501–1508. Richardi, Reinhard (Hrsg.): Betriebsverfassungsgesetz mit Wahlordnung, Kommentar, 17. Aufl., München 2022 (zitiert: Richardi / Bearbeiter, BetrVG). Ritter, Franziska / Reibach, Boris / L ee, Morris: Lösungsvorschlag für eine praxisgerechte Risikobeurteilung von Verarbeitungen. Ansatz zur Bestimmung von Eintrittswahrscheinlichkeit und Schadensausmaß bei der Bewertung datenschutzrechtlicher Risiken, ZD 2019, S. 531–535. Robrahn, Rasmus / Bremert, Benjamin: Interessenkonflikte im Datenschutzrecht. Rechtfertigung der Verarbeitung personenbezogener Daten über eine Abwägung nach Art. 6 Abs. 1 lit. f) DS-GVO, ZD 2018, S. 291–297. Roggan, Fredrik: Grenzenlose Ortungen im Strafverfahren? Die Menschenwürderelevanz von verdeckten Ermittlungsmethoden zur Standortbestimmung von Verdächtigen, in: Roggan, Fredrik (Hrsg.): Mit Recht für Menschwürde und Verfassungsstaat. Festgabe für Dr. Burkhard Hirsch anlässlich der Verleihung des Fritz-Bauer-Preises der Humanistischen Union am 16. 9. 2006 in Freiburg, Berlin 2006 (zitiert: Roggan, in: FS Hirsch).

286

Literaturverzeichnis

Rolfs, Christian / Giesen, Richard / Kreikebohm, Ralf / Meßling, Miriam / Udsching, Peter: Beck’scher Online-Kommentar Arbeitsrecht, 65. Edition, München Stand 1. 9. 2022 (zitiert: ­BeckOK ArbR  /  Bearbeiter). Rössler, Beate: Der Wert des Privaten, Frankfurt am Main 2011. Roßnagel, Alexander: Das neue Datenschutzrecht. Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze, Baden-Baden 2018. Roßnagel, Alexander: Datenschutzgrundsätze  – unverbindliches Programm oder verbind­ liches Recht? Bedeutung der Grundsätze für die datenschutzrechtliche Praxis, ZD 2018, S. 339–344. Roßnagel, Alexander: Pseudonymisierung personenbezogener Daten. Ein zentrales Instrument im Datenschutz nach der DS-GVO, ZD 2018, S. 243–247. Roßnagel, Alexander: Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht. Zur Dogmatik der Datenverarbeitung als Grundrechtseingriff, NJW 2019, S. 1–5. Roßnagel, Alexander / Jandt, Silke / Müller, Jürgen / Gutscher, Andreas / Heesen, Jessica: Datenschutzfragen mobiler kontextbezogener Systeme, Wiesbaden 2006 (zitiert: Roßnagel et al., Mobile Systeme). Roßnagel, Alexander / Jandt, Silke / Skistims, Hendrik / Zirfas, Julia: Datenschutz bei Wearable Computing. Eine juristische Analyse am Beispiel von Schutzanzügen, Wiesbaden 2012. Roßnagel, Alexander / Kroschwald, Steffen: Was wird aus der Datenschutzgrundverordnung? Die Entschließung des Europäischen Parlaments über ein Verhandlungsdokument, ZD 2014, S. 495–500. Roßnagel, Alexander / Nebel, Maxi / Richter, Philipp: Was bleibt vom europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DS-GVO, ZD 2015, S. 455–460. Roßnagel, Alexander / Pfitzmann, Andreas / Garstka, Hansjürgen: Modernisierung des Datenschutzes. Gutachten i. A. des Bundesinnenministeriums, Berlin 2001 (zitiert: Roßnagel /  Pfitzmann / Garstka, Datenschutzrecht). Roßnagel, Alexander / Richter, Philipp / Nebel, Maxi: Besserer Internetdatenschutz für Europa. Vorschläge zur Spezifizierung der DS-GVO, ZD 2013, S. 103–108. Ruffert, Matthias: Privatrechtswirkung der Grundrechte. Von Lüth zum Stadionverbot – und darüber hinaus?, JuS 2020, S. 1–6. Rüpke, Giselher / L ewinski, Kai v. / Eckhardt, Jens: Datenschutzrecht, München 2018 (zitiert: Rüpke / L ewinski / Eckhardt, Datenschutzrecht). Rüthers, Bernd / Fischer, Christian / Birk, Axel: Rechtstheorie mit juristischer Methodenlehre, 11. Aufl., München 2019. Sachs, Andreas / Meder, Miriam: Datenschutzrechtliche Anforderungen an App-Anbieter. Prüfungen am Beispiel von Android-Apps, ZD 2013, S. 303–308. Sandfuchs, Barbara: Privatheit wider Willen?, Tübingen 2015 (zugl. Diss. Passau 2015).

Literaturverzeichnis

287

Sasse, Thorsten: Die Grundrechtsberechtigung juristischer Personen durch die unternehmerische Freiheit gemäß Art. 16 der Europäischen Grundrechtecharta, EuR 2012, S. 628– 654. Sassenberg, Thomas / Mantz, Reto: WLAN und Recht. Aufbau und Betrieb von Internet-Hotspots, Berlin 2014. Sauter, Martin: Grundkurs Mobile Kommunikationssysteme. LTE-Edvanced Pro, UMTS, HSPA, GSM, GPRS, Wireless LAN und Bluetooth, 7. Aufl., Wiesbaden 2018. Schantz, Peter: Die Datenschutz-Grundverordnung  – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, S. 1841–1847. Schantz, Peter / Wolff, Heinrich: Das neue Datenschutzrecht. Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017. Schätzle, Daniel: Zum Koppelungsverbot der Datenschutz-Grundverordnung, PinG 2017, S. 203–208. Schaub, Günter (Begr.): Arbeitsrechts Handbuch. Systematische Darstellung und Nachschlagewerk für die Praxis, 19. Aufl., München 2021 (zitiert: Schaub / Bearbeiter, ArbeitsrechtsHdB). Scheurle, Klaus-Dieter / Mayen, Thomas (Hrsg.): Telekommunikationsgesetz. Kommentar, 3. Aufl., München 2018 (zitiert: Scheurle / Mayen / Bearbeiter, TKG). Schiedermair, Stephanie: Der Schutz des Privaten als internationales Grundrecht, Tübingen 2012 (zugl. Habil. Mainz 2012). Schläger, Uwe / T hode, Jan-Christoph (Hrsg.): Handbuch Datenschutz und IT-Sicherheit, 2. Aufl., Berlin 2021 (zitiert: Schläger / T hode / Bearbeiter, HdB Datenschutz und IT). Schleipfer, Stefan: Datenschutzkonformes Webtracking nach Wegfall des TMG. Was bringen die DS-GVO und die ePrivacy-Verordnung?, ZD 2017, S. 460–466. Schleipfer, Stefan: Pseudonymität in verschiedenen Ausprägungen. Wie gut ist die Unterstützung der DS-GVO?, ZD 2020, S. 284–291. Schliesky, Utz: Verfassungsrechtliche Rahmenbedingungen der Digitalisierung, DVP 2017, S. 443–448. Schmidt, Bernd / Freund, Bernhard: Perspektiven der Auftragsverarbeitung. Wegfall der Privilegierung mit der DS-GVO?, ZD 2017, S. 14–18. Schmidt, Maximilian: Datenschutz für „Beschäftigte“. Grund und Grenzen bereichsspezifischer Regelung, Baden-Baden 2016 (zugl. Diss. Bonn 2016, zitiert: Schmidt, Beschäftigtendatenschutz). Schmitz, Alja: Interessenausgleich im Beschäftigtendatenschutz: Mit besonderem Blick auf die Zulässigkeit von Internetrecherchen und Kontrollen der Internet- und E-Mail-Nutzung durch den Arbeitgeber, Baden-Baden 2016 (zugl. Diss. Mannheim 2015). Schmitz, Barbara: Der Abschied vom Personenbezug. Warum der Personenbezug nach der DS-GVO nicht mehr zeitgemäß ist, ZD 2018, S. 5–8.

288

Literaturverzeichnis

Schnabel, Christoph: Datenschutz bei profilbasierten Location Based Services. Die datenschutzadäquate Gestaltung von Service-Plattformen für Mobilkommunikation, Kassel 2009 (zugl. Diss. Kassel 2009, zitiert: Schnabel, profilbasierte LBS). Schneider, Jochen: Hemmnis für einen modernen Datenschutz: Das Verbotsprinzip. Modernisierung des BDSG mit einem neuen Ansatz – und mit 12 Thesen zu einem Stufenmodell, AnwBl 2011, S. 233–239. Schneider, Jochen: Hat die Privatsphäre noch eine Chance?, ZD 2015, S. 245–246. Schneider, Jochen: Schließ Art. 9 DS-GVO die Zulässigkeit der Verarbeitung bei Big Data aus? Überlegungen, wie weit die Untersagung bei besonderen Datenkategorien reicht, ZD 2017, S. 303–308. Schneider, Mathias: Das Rückgriffsverbot im Datenschutz – kein „best of both worlds?“. Zum Verhältnis zwischen Einwilligung und gesetzlicher Erlaubnis am Beispiel von Arbeitnehmerdaten, CR 2017, S. 568–573. Schoch, Friedrich (Hrsg.): Besonderes Verwaltungsrecht, München 2019 (zitiert: Schoch /  Bearbeiter, BesVerwR). Schramm, Marc / Shvets, Iryna: Umgang mit TK-Kundendaten nach Inkrafttreten der DS-GVO: Der TK-Kunde als besonderer Vertragspartner i. S. d. Datenschutzrechts?, MMR  2019, S. 228–223. Schrey, Joachim / Kielkowski, Jacek: Die datenschutzrechtliche Betriebsvereinbarung in DSGVO und BDSG 2018 – Viel Lärm um Nichts?, BB 2020, S. 629–635. Schröder, Georg: Datenschutzrecht für die Praxis. Grundlagen, Datenschutzbeauftragte, Audit, Handbuch, Haftung etc., 4. Aufl., München 2021. Schröder, Markus: Arbeitnehmerdatenschutz beim Fleetmanagement. Mitbestimmungspflichtigkeit bei der Datenübermittlung?, ZD 2013, S. 13–15. Schröder, Markus: Der risikobasierte Ansatz in der DS-GVO. Risiko oder Chance für den Datenschutz?, ZD 2019, S. 503–506. Schubert, Claudia: Die Grundrechtecharta der Europäischen Union als Mittel zur Expansion des Unionsrechts?, EuZA 2020, S. 302–319. Schuler, Karin / Weichert, Thilo: Die EU-DSGVO und die Zukunft des Beschäftigtendatenschutzes. Gutachten, 2016, abrufbar unter netzwerk-datenschutzexpertise.de/sites/ default /  files / gut_2016_dsgvo_beschds.pdf (Abruf v. 26. 2. 2022). Schulz, Sebastian: Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen. Vom fehlenden Konzernprivileg im deutschen Datenschutzrecht, BB 2011, S. 2552–2557. Schulze, Marc-Oliver / Ratzesberger, Eva: Einführung von Software – Grundlagen und Grenzen der betrieblichen Mitbestimmung, ArbRAktuell 2016, S. 301–303. Schümann, Kathrin / Heide, Roman v. der: (i)Beacons – Technischer Hintergrund und Datenschutz – Rechtliche Anforderungen. DSRITB 2014, S. 637–649. Schüttler, Tobias: Satellitennavigation. Wie sie funktioniert und wie sie unseren Alltag beeinflusst, Berlin u. a. 2014.

Literaturverzeichnis

289

Schwartmann, Rolf / Jaspers, Andreas / T hüsing, Gregor / Kugelmann, Dieter (Hrsg.): DSGVO /  BDSG: Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Aufl., München 2020 (zitiert: HeidelbergKom / Bearbeiter). Schwarze, Jürgen / Becker, Ulrich / Hatje, Armin / Schoo, Johann: EU-Kommentar, 4. Aufl., Baden-Baden 2019 (zitiert: SBHS / Bearbeiter, EU-Kommentar). Schweizer, Rainer: Die Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Persönlichkeits- und Datenschutz, DuD 2009, S. 462–468. Seifert, Achim: Überwachung des E-Mail Verkehrs von Arbeitnehmern, Anmerkung zu EGMR, Urt. v. 5. 9. 2016 – 61496/08, EuZA 2018, S. 502–510. Selzer, Annika: Datenschutzrechtliche Zulässigkeit von Cloud-Computing-Services und deren teilautomatisierte Überprüfbarkeit. Eine Betrachtung unter Anwendung der DatenschutzGrundverordnung, Wiesbaden 2019. Siegling, Carola / Philipp, Anne-Kathrin: Zulässigkeit des Einsatzes von Ortungssystemen. GPS & Co. im privaten und beruflichen Bereich, ITRB 2013, S. 255–260. Siemen, Birte: Datenschutz als europäisches Grundrecht, Berlin 2006 (zugl. Diss. Kiel 2005, zitiert: Siemen, Datenschutz GR). Simitis, Spiros: Bundesdatenschutzgesetz. Kommentar, 8. Aufl., Baden-Baden 2014 (zitiert: Simitis, BDSG 2014). Simitis, Spiros / Hornung, Georg / Spiecker gen. Döhmann, Indra (Hrsg.): Datenschutzrecht. DSGVO mit BDSG, Großkommentar, Baden-Baden 2019 (zitiert: SHS / Bearbeiter, Datenschutzrecht). Specht, Louisa / Mantz, Reto (Hrsg.): Handbuch Europäisches und deutsches Datenschutzrecht. Bereichsspezifischer Datenschutz in Privatwirtschaft und öffentlichem Sektor, München 2019 (zitiert: Specht / Mantz / Bearbeiter, HdB Datenschutzrecht). Specht-Riemenschneider, Louisa / Schneider, Ruben: Die gemeinsame Verantwortlichkeit im Datenschutzrecht. Rechtsfragen des Art. 26 DS-GVO am Beispiel „Facebook-Fanpages“, MMR 2019, S. 503–509. Spelge, Karin: Der Beschäftigtendatenschutz nach Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) – Viel Lärm um Nichts?, DuD 2016, S. 775–781. Spindler, Gerald / Schmitz, Peter / Liesching, Marc: Telemediengesetz: TMG mit Netzwerkdurchsetzungsgesetz. Kommentar, 2. Aufl., München 2018. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien. Kommentar, 4. Aufl., München 2019 (zitiert: Spindler / Schuster / Bearbeiter, Elektronische Medien). Steffen, Markus / Stöhr, Alexander: Die Umsetzung von Compliance-Maßnahmen im Arbeitsrecht, RdA 2017, S. 43–52. Steidle, Roland: Datenschutz bei Nutzung von Location Based Services im Unternehmen, MMR 2009, S. 167–171. Steinkühler, Bernhard: BB-Forum: Kein Datenproblem bei der Deutschen Bahn AG? Mitnichten!, BB 2009, S. 1294–1295.

290

Literaturverzeichnis

Streinz, Rudolf (Hrsg.): EUV / A EUV. Vertrag über die Europäische Union, Vertrag über die Arbeitsweise der Europäischen Union, Charta der Grundrechte der Europäischen Union. Kommentar, 3. Aufl., München 2018. Streinz, Rudolf / Michl, Walther: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GrCh) im deutschen Privatrecht, EuZW 2011, S. 384–388. Ströbel, Lukas / Böhm, Wolf-Tassilo / Breunig, Christina / Wybitul, Tim: Beschäftigtendatenschutz und Compliance: Compliance-Kontrollen und interner Ermittlungen nach der EUDatenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz, CCZ 2018, S. 14–21. Stück, Volker: Betriebsrat oder Geheimrat? Beschäftigtendatenschutz beim Betriebsrat?, ZD 2019, S. 256–257. Stück, Volker: Präventive und repressive Compliance: Datenschutz- und arbeitsrechtliche Aspekte nach DSGVO sowie BDSG 2018, ArbRAktuell 2019, S. 216–219. Stück, Volker: Datenschutz = Tatenschutz? Ausgewählte datenschutz- und arbeitsrecht­liche Aspekte nach DSGVO sowie BDSG 2018 bei präventiver du repressiver Compliance, CCZ 2020, S. 77–83. Sundermann, Steffen: Fotografien von Menschenansammlungen nach der DSGVO, K&R 2018, S. 438–443. Sydow, Gernot / Marsch, Nikolaus (Hrsg.): DS-GVO / BDSG. Handkommentar, 3. Aufl., Baden-Baden 2022 (zitiert: Sydow / Marsch / Bearbeiter, DSGVO). Taeger, Jürgen / Gabel, Detlev (Hrsg.): DSGVO – BDSG – TTDSG, 4. Aufl., Frankfurt am Main 2022 (zitiert: Taeger / Gabel / Bearbeiter, DSGVO / BDSG). Taeger, Jürgen / Pohle, Jan (Hrsg.)/Kilian, Wolfgang / Heussen, Benno (Hrsg. bis 32. EL): Computerrechts-Handbuch. Informationstechnologie in der Rechts- und Wirtschaftspraxis, München, Stand 37. Ergänzungslieferung Mai 2022 (zitiert: Taeger / Pohle / Bearbeiter, Computerrechts-HdB). Taeger, Jürgen / Rose, Edgar: Zum Stand des deutschen und europäischen Beschäftigtendatenschutzes, BB 2016, S. 819–831. Tavanti, Pascal: Datenverarbeitung zu Werbezwecken nach der Datenschutz-Grundverordnung (Teil 1), RDV 2016, S. 231–240. Thoma, Oliver: Das Spannungsfeld zwischen Beschäftigtendatenschutz und IT-gestützter Compliance. Die Gefahren der Internet- und E-Mail-Kontrolle sowie des Datenscreenings für das informationelle Selbstbestimmungsrecht der Beschäftigten, Hamburg 2013 (zugl. Diss. Münster 2012). Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit: 3. Tätigkeitsbericht zum Datenschutz: Nicht-öffentlicher Bereich 2016/2017, Erfurt 2017, abrufbar unter tlfdi.de/fileadmin/tlfdi/presse/3._tb_nicht-oeff._webversion_tlfdi.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI TH, 3. TB 2016/2017).

Literaturverzeichnis

291

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit: 1. Tätigkeitsbericht zum Datenschutz nach der DS-GVO, Erfurt 2019, abrufbar unter tlfdi.de/mam/tlfdi/ datenschutz/taetigkeitsbericht/1._tatigkeitsbericht_2018_zum_datenschutz_nach_der_dsgvo.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI TH, 1. TB 2018). Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit: 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO, Erfurt 2020, abrufbar unter tlfdi.de/fileadmin/ tlfdi/datenschutz/taetigkeitsbericht/2._tatigkeitsbericht.pdf (Abruf v. 26. 2. 2022, zitiert: LfDI TH, 2. TB 2019). Thüsing, Gregor (Hrsg.): Beschäftigtendatenschutz und Compliance. Effektive Compliance im Spannungsfeld von DS-GVO, BDSG, Persönlichkeitsschutz und betrieblicher Mitbestimmung, 3. Aufl., München 2021 (zitiert: Thüsing / Bearbeiter, Beschäftigtendatenschutz). Thüsing, Gregor / Rombey, Sebastian: Der verdeckte Einsatz von Privatdetektiven zur Kontrolle von Beschäftigten nach dem neuen Datenschutzrecht, NZA 2018, S. 1105–1111. Thüsing, Gregor / Schmidt, Maximilian: Zulässige Pauschalierung bei der Rechtfertigung präventiver Überwachungsmaßnahmen des Arbeitgebers, NZA 2017, S. 1027–1030. Thym, Daniel: Die Reichweite der EU-Grundrechte-Charta  – Zu viel Grundrechtsschutz?, NVwZ 2013, S. 889–896. Timmermann, Daniel: Datenschutz im Wandel der Zeit. Eine Analyse der Entwicklung der Rechtstatsachen, des Rechtsrahmens und der Judikatur, DÖV 2019, S. 249–260. Timpf, Sabine: „Location-based Services“  – Personalisierung mobile Dienste durch Verortung, Informatik Spektrum 2008, S. 70–74. Tinnefeld, Marie-Theres / Conrad, Isabell: Die selbstbestimmte Einwilligung im europäischen Recht, Voraussetzungen und Probleme, ZD 2018, S. 391–398. Traut, Johannes: Maßgeschneiderte Lösungen durch Kollektivvereinbarungen? Möglichkeiten und Risiken des Art. 88 Abs. 1 DS-GVO, RDV 2016, S. 312–319. Tribess, Alexander: Datenschutzrechtliche Unzulässigkeit der GPS-Ortung von Beschäftigten, Anm. zu VG Lüneburg, Teilurt. v. 19. 3. 2019 – 4 A 12/19, GWR 2019, S. 134. Tschöpe, Ulrich (Hrsg.): Arbeitsrecht Handbuch, 12. Aufl., Köln 2021 (zitiert: Tschöpe /  Bearbeiter, ArbR HdB). Uecker, Philip: Die Einwilligung im Datenschutzrecht und ihre Alternativen. Mögliche Lösungen für Unternehmen und Vereine, ZD 2019, S. 248–251. Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein: Verkettung digitaler Identitäten, 2007, abrufbar unter datenschutzzentrum.de/uploads/projekte/ verkettung/2007uld-tud-verkettung-digitaler-identitaeten-bmbf1.pdf (Abruf v. 26. 2. 2022, zitiert: ULD SH, Verkettung digitaler Identitäten). Ulber, Daniel: Arbeitszeiterfassung als Pflicht des Arbeitgebers. Die Folgen der Entscheidung des EuGH in der Rechtssache CCOO, NZA 2019, S. 677–681. Veil, Winfried: DS-GVO: Risikobasierter Ansatz statt regides Verbotsprinzip. Eine erste Bestandsaufnahme, ZD 2015, S. 347–353.

292

Literaturverzeichnis

Veil, Winfried: Die Datenschutz-Grundverordnung: des Kaisers neue Kleider. Der gefährliche Irrweg des alten wie des neuen Datenschutzrechts, NVwZ 2018, S. 686–696. Veil, Winfried: Einwilligung oder berechtigtes Interesse?  – Datenverarbeitung zwischen Skylla und Charybdis, NJW 2018, S. 3337–3344. Venetis, Frank / Oberwetter, Christian: Videoüberwachung von Arbeitnehmern, NJW 2016, S. 1051–1057. Venzke-Caprarese, Sven: Standortlokalisierung und personalisierte Nutzeransprache mittels Bluetooth Low Energy Beacons. Datenschutzrechtliche Rahmenbedingungen einer möglicherweise bald alltäglichen Datenverarbeitung, DuD 2014, S. 839–844. Vogel, Florian / Glas, Vera: Datenschutzrechtliche Probleme unternehmensinterner Ermittlungen, DB 2009, S. 1747–1754. Vogelsang, Klaus: Grundrecht auf informationelle Selbstbestimmung?, Baden-Baden 1987 (zugl. Diss. Göttingen 1986). Vogt, Volker: Compliance und Investigations – Zahn Fragen aus Sicht der arbeitsrechtlichen Praxis, NJOZ 2009, S. 4206–4220. Voigt, Paul: Konzerninterner Datentransfer. Praxisanleitung zur Schaffung eines Konzernprivilegs, CR 2017, S. 428–433. Wächter, Michael: Datenschutz im Unternehmen, 6. Aufl., München 2021. Wagner, Bernd: Disruption der Verantwortlichkeit. Private Nutzer als datenschutzrechtliche Verantwortliche im Internet of Things, ZD 2018, S. 307–312. Wagner, Lorin-Johannes: Der Datenschutz in der Europäischen Union, Wien 2015 (zugl. Diss. Graz 2014). Walker, Wolf-Dietrich: Sanktionen und Haftung bei Datenschutzverstößen des Betriebsrats, in: Gallner, Inken / Henssler, Martin / Eckhoff, Frank / Reufels, Martin (Hrsg.): Dynamisches Recht. Herausforderungen im Arbeitsrecht, Gesellschaftsrecht und Insolvenzrecht: Festschrift für Wilhelm Moll zum 70. Geburtstag, München 2019, S. 697–709 (zitiert: ­Walker, in: FS Moll). Wank, Rolf: Die unmittelbare Wirkung von Unionsrecht unter Privaten im Arbeitsrecht, RdA 2020, S. 1–12. Weichert, Thilo: Geodaten – datenschutzrechtliche Erfahrungen, Erwartungen und Empfehlungen, DuD 2009, S. 347–352. Weichert, Thilo: Wider das Verbot mit Erlaubnisvorbehalt im Datenschutz?, DuD 2013, S. 246–249. Weichert, Thilo: Datenschutz im Auto – Teil 1, SVR 2014, S. 201–207. Weichert, Thilo: Die Verarbeitung von Wearable-Sensordaten bei Beschäftigten, NZA 2017, S. 565–570. Weiden, Henrike: Aktuelle Berichte – März 2017, GRUR 2017, S. 256–257. Wellhöner, Astrid / Byers, Philipp: Datenschutz im Betrieb – Alltägliche Herausforderungen für den Arbeitgeber?, BB 2009, S. 2310–2316.

Literaturverzeichnis

293

Weth, Stephen / Herberger, Maximilian / Wächter, Michael / Sorge, Christoph (Hrsg.): Datenund Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl., München 2019 (zitiert: WHWS /  Bearbeiter, Datenschutz im ArbV). Wiese, Günther / Kreutz, Peter / Oetker, Hartmut / Weber, Christoph / Franzen, Martin / G utzeit, Martin / Jacobs, Matthias: Gemeinschaftskommentar zum Betriebsverfassungsrecht, 12. Aufl., München 2021 (zitiert: GK-BetrVG / Bearbeiter). Wilke, Matthias: Videoüberwachung, RDV 2005, S. 96–99. Winter, Christian / Battis, Verena / Halvani, Oren: Herausforderungen für die Anonymisierung von Daten. Technische Defizite, konzeptuelle Lücken und rechtliche Fragen bei der Anonymisierung von Daten, ZD 2019, S. 489–493. Wisskirchen, Gerlind / Schiller, Jan P. / Schwindling, Jan: Die Digitalisierung – eine tech­nische Herausforderung für das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG, BB 2017, S. 2105–2109. Wisskirchen, Gerlind / Schiller, Jan P. / Schwindling, Jan: Betriebliche Mitbestimmung bei ITApplikationen – Ein deutscher Sonderweg und eine Innovationsbremse, BB 2019, S. 1460– 1464. Wolff, Heinrich: Das VIG und Art. 86 DS-GVO, LMuR 2020, S. 1–10. Wolff, Heinrich / Brink, Stefan (Hrsg.): Beck’scher Online-Kommentar Datenschutzrecht, 42. Edition, München, Stand 1. 11. 2022 (zitiert: BeckOK Datenschutzrecht / Bearbeiter). Wortmann, Florian: Arbeitszeit im Außendienst. Reisezeit und andere Besonderheiten bei Außendienstlern, ArbRB 2015, S. 57–60. Wünschelbaum, Markus: Zur Einschränkung des DSGVO-Auskunftsanspruchs durch Betriebsvereinbarungen, BB 2019, S. 2102–2106. Wünschelbaum, Markus: Der Beschäftigtendatenschutz im Rechtswegdickicht – Betriebsvereinbarungen als Ausweg?, NZA 2020, S. 1222–1226. Wurzberger, Sebastian: Anforderungen an Betriebsvereinbarungen nach der DS-GVO. Konsequenzen und Anpassungsbedarf für bestehende Regelungen, ZD 2017, S. 258–263. Wuttke, Inken: Straftäter im Betrieb, München 2010 (zugl. Diss. München 2009). Wybitul, Tim: Wie viel Arbeitnehmerdatenschutz ist „erforderlich“? – Erfahrungen und Empfehlungen zum Umgang mit dem neuen § 32 BDSG –, BB 2010, S. 1085–1089. Wybitul, Tim: Neue Spielregeln bei Betriebsvereinbarungen und Datenschutz. BAG schafft Klarheit zu Anforderungen an Umgang mit Arbeitnehmerdaten, NZA 2014, S. 225–232. Wybitul, Tim: EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht?, BB 2016, S. 1077–1081. Wybitul, Tim: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte?  – Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen, ZD 2016, S. 203–208. Wybitul, Tim: Betriebsvereinbarungen im Spannungsfeld von arbeitgeberseitigem Informationsbedarf und Persönlichkeitsschutz des Arbeitnehmers, NZA 2017, S. 1488–1494.

294

Literaturverzeichnis

Wybitul, Tim: Der neue Beschäftigtendatenschutz nach § 26 BDSG und Art. 88 DSGVO, NZA 2017, S. 413–419. Wybitul, Tim (Hrsg.): EU-Datenschutz-Grundverordnung. Handbuch, Frankfurt am Main 2017 (zitiert: Wybitul / Bearbeiter, DSGVO). Wybitul, Tim / Böhm, Wolf-Tassilo: Anmerkung zu LAG Sachsen-Anhalt, Beschl. v. 18. 12. 2018 – 4 TaBV 19/17, NZA-RR 2019, S. 259–260. Wybitul, Tim / Sörup, Thorsten / Pötters, Stephan: Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der DS-GVO weiter? Handlungsempfehlungen für Unternehmen und Betriebsräte, ZD 2015, S. 559–564. Ziegenhorn, Gero / Fokken, Martin: Rechtsdienstleister: Verantwortliche oder Auftragsverarbeiter? Rechtsanwälte und Inkassounternehmen als Adressaten der DS-GVO, ZD 2019 S. 194–199. Zumkeller, Alexander R.: Digitalisierung der Arbeitswelt. Arbeitsrechtliche Anforderungen für die (nahe) Zukunft, AuA 2015, S. 334–336.

Stichwortverzeichnis Achtung des Privat- und Familienlebens (EMRK)  52 f., 72 ff., 77 Achtung des Privatlebens (GrCh)  54–57, 72 ff. Allgemeines Persönlichkeitsrecht (GG) ​ 58 f., 76, 104, 131 f., 134, 179, 221 f., 227 Anonymität / A nonymisierung  75, 85, 99, 153, 169, 171, 201 f., 214 ff., 238, 240, 244, 247 Arbeitszeitbetrug  49, 144 f., 253 Arbeitszeiterfassung, siehe Ortungszweck Art.-29-Datenschutzgruppe  162, 184, 212, 220 Aufdeckung Straftat, siehe Ortungszweck Auftragsverarbeitung – Abgrenzung  112 ff. – Privilegierungswirkung  115 ff. – Begriff des Beschäftigten  129 Berechtigte Vertraulichkeitserwartung ​ 73 f., 87, 178, 187 f., 203, 211 Besonderer Kategorien personenbezogener Daten  127, 142, 181 f. Betriebsrat – Datenübermittlung, siehe Übermittlung von Positionsdaten – Informationsrecht  168 f. – Mitbestimmungsrecht  111 f., 134, 165 ff., 170 – Unterrichtungs- und Beratungsrecht ​169 f. – Verantwortlichkeit, siehe Verantwort­ liche Stelle – Betriebsvereinbarung, siehe Erlaubnistatbestände für eine Ortung von Beschäftigten Betroffenenrechte  112, 186 f. Bewegungsdaten  32 f. Bewegungsprofil  72 f., 76–81, 176 Bewertung von Verhalten/persönlichen Merkmalen 176, 179 f., 220, 223 f., 227 f., 235, 250 ff., 254

Bluetooth, siehe Positionsbestimmung Cell-ID  40 f. Compliance  49, 238, 248 f., 251 Datenqualität 183 Datenschutzbeauftragter 232 Datenschutzfolgenabschätzung  220, 231 Datenschutzgrundrecht (GrCh)  54 ff., 72 ff. Datenschutzgrundsätze  93 ff., 118, 128, 133, 135, 144, 226 – Datenminimierung  93, 185, 198, 200 ff., 210, 213, 215 – Rechtmäßigkeit  93 ff. – Speicherbegrenzung  93, 210 f., 213 – Transparenz  96, 124, 203 ff. – Zweckbindung  93, 144 Datenschutzgrundverordnung – Anwendbarkeit auf Ortung von Beschäftigten  104 ff., 112 – Anwendbarkeit, räumliche  104 – Anwendbarkeit, sachliche  99 ff. – Anwendungsvorrang  85 f. – Auftragsverarbeitung, siehe LBS-Anbieter – Schutzkonzept  86 ff. – Verantwortlicher, siehe Verantwort­liche Stelle Datenschutzrichtlinie  69, 83, 95, 100, 102, 123, 175 Datenverarbeitung – Anlass  191 f., 200 – Art  181 ff. – Datenerhebung  109, 149, 166, 185, 198, 200 f., 205, 207 ff. – Datenspeicherung, siehe Speicherung – Datenübermittlung  32, 109 f., 116, 118, 156, 202, 215, 233, 235 – Datenverwendung  34, 109 f., 118, 145 f., 149, 166, 212, 214, 215 – Erfüllung einer Rechtspflicht  192 f.

296

Stichwortverzeichnis

– Konsequenzen  56, 75, 77 ff., 84, 149, 180, 198, 223 ff., 239, 242, 245, 247 – Schutzgut  190 ff. – ~sphase  34 f., 109 f., 196 – Umfang  185 f. – Umstände  186 ff. – Zweck, siehe auch Zweckänderung und Ortungszweck  179 ff. Direkterhebung, siehe Informationspflicht Diskriminierung  87, 127, 176, 189 Drittwirkung, mittelbare  71 f. Durchführung von Unionsrecht  63 f. Echtzeitverfolgung  32, 240 ff., 244, 247 Eigentums- und Vermögensschutz, siehe Ortungszweck Einsatzkoordination, siehe Ortungszweck Einwilligung in Datenverarbeitung – Erhalt einer Prämie  140 – Freiwilligkeit  136 ff. – Ungleichgewicht  136 f., 138 – Verarbeitung von Standortdaten  155 – Verhältnismäßigkeit  141 f. – Widerruf  143 f. ePrivacy-Richtlinie  152 ff. ePrivacy-Verordnung – Gesetzgebungsverfahren  159 f. – lex specialis  151 f. – Schutz der Privatsphäre bei Endeinrichtungen  161 ff. – Verarbeitung elektronischer Kommuni­ kationsdaten  160 f. – Verantwortlichkeit  163 ff. Erforderlichkeitsprinzip, siehe auch Interessenabwägung  91 ff., 175, 226, 228, 236 Erlaubnistatbestände für eine Ortung von Beschäftigten – Einwilligung, siehe auch Einwilligung in Datenverarbeitung  135 ff. – Kollektivvereinbarung  134 f. – Verhältnis der Erlaubnistatbestände  142 ff. – § 26 Abs. 1 S. 1, 2 BDSG  128 ff. Fernmeldegeheimnis (GG)  60 f., 74 Fremdbestimmung, siehe auch Über­ wachungs- und Anpassungsdruck  178, 180, 185 f., 188 f., 223, 225

Gefahr – abstrakte  230 f., 251 – konkrete  229 f., 244 Gemeinsame Verantwortlichkeit, siehe Verantwortliche Stelle Geodaten  32 f. Gestaltungsoffenheit  65 ff. GPS, siehe Positionsbestimmung Grundrechtlicher Datenschutz – Europäische Menschenrechtskonvention  52 f. – Grundgesetz  58 ff. – Grundrechtecharta  54 ff. Grundrechtskollision  62 ff. Hoheitliche Schutzpflicht  82 f. Informationelle Privatheit (GrCh)  142, 169, 174, 196 f., 201, 223, 253 Informationelle Selbstbestimmung (GG) ​ 58 f., 75 Informationspflicht  93, 96, 118, 147, 156, 204 ff., 215 Interessenabwägung – Angemessenheit  219 ff., 239, 243, 245, 247, 250 ff., 254 – Berechtigtes Interesse  195, 236, 239, 243, 245, 248 f., 252 – Datenverarbeitungsinteresse  31, 190 ff., 250 ff., 219, 228 f., 255, 257 – Eintrittswahrscheinlichkeit und Schwere der Beeinträchtigung  87, 175, 1­ 79 ff., 224 ff. – Erforderlichkeit  196 ff., 237, 240 ff., 244, 246 f., 248 f., 253 f. – Fallanalyse  236 ff. – Geeignetheit  196, 236, 239 f., 240 f., 243 ff., 248 f., 252 f. IT-Grundrecht (GG)  59 Kernbereich privater Lebensgestaltung ​ 76 ff., 182, 222 Keylogger  198 f., 227, 230, 251, 253 Konkreter Tatverdacht  209 f., 221, 229 ff., 248, 251, 254 Konzernprivileg  218 f. Landesdatenschutzgesetze  85, 128

Stichwortverzeichnis LBS-Anbieter – Auftragsverarbeiter, siehe Auftrags­ verarbeitung – Einbindung  45 f., 106, 109 f., 112 ff., 153, 155 f., 158, 160 f., 164 f., 202, 232 f. Location Based Services (LBS), siehe LBS-Anbieter Löschung – sofort 75 – siehe auch Speicherung Machine-to-Machine Kommunikation, siehe Fernmeldegeheimnis Marktortprinzip, siehe Datenschutzgrundverordnung, räumliche Anwendbarkeit Menschenwürdeverletzung  76 ff., 178 Mindestharmonisierung, siehe Öffnungsklausel Mitbestimmungsrecht des Betriebsrats, siehe Betriebsrat Mobilfunkzellenidentifikation, siehe Positionsbestimmung Niederlassungsprinzip, siehe Datenschutzgrundverordnung, räumliche Anwendbarkeit Öffentlicher Telekommunikationsdienst – Anbietereigenschaft  153 f. – Offline-Tracking, siehe Ortung Öffnungsklausel des Beschäftigtendatenschutzes, – Anwendbare Rechtsordnung, siehe Gestaltungsoffenheit – Auslegung  120 f. – Erlaubnistatbestände, siehe Erlaubnis­ tatbestände für eine Ortung von Beschäftigten – Gestaltungsspielraum  121 ff. – Verhältnis zu Art. 6 Abs. 1 DSGVO  125 f. Ortung – anlassbezogen  37, 186, 199 f., 222, 226, 229, 237 f., 244 f., 247 – automatisiert  37 f., 103, 108, 112, 165, 179, 199, 220, 231 – außerhalb der Arbeitszeit  73, 78 f., 127, 149, 182, 188, 200 f., 222, 232, 238 f., 242, 248 ff.

297

– clientbasiert  45 f., 151, 158 f., 161 – dauerhaft  72 f., 79 f., 183 ff., 198 f., 210, 226, 245 f. – Eigen~ 156 – Eigeninteresse 181 – Erlaubnistatbestände im Beschäftigungskontext, siehe Öffnungsklausel des Beschäftigtendatenschutzes – Fremd~ 156 – heimlich, siehe verdeckt – lückenlos  79 f., 186, 188, 200, 221, 226, 238, 243 f., 251 – manuell  35, 37, 103, 185, 198–202, 220, 237 f., 250 – mittelbar 35, 37 f., 105, 178, 224, 227 – personenbezogen, siehe Personenbezug – Rolle des Betriebsrats, siehe Betriebsrat – ~sbegriff, siehe Ortungsbegriff – serverbasiert  45 f., 151, 160, 163 – stichprobenartig 191, 199 f., 230, 250 f. – ~system, siehe Ortungssystem, siehe auch Positionsbestimmung – systematisch  37, 53, 72 f., 183 f., 220, 222, 232 – Verantwortlichkeit, siehe Verantwortliche Stelle – verdeckt  73 f., 187 f., 203 ff., 222, 226, 230, 238, 240 ff., 244, 247 ff., 253 Ortungsbegriff  31 ff. Ortungsmaßnahme, siehe Ortung Ortungssystem 38 Ortungszweck – Arbeitszeiterfassung  49, 130, 192 f., 228, 248 – Begleichung LkW-Maut  47, 192 f., 240 f. – Dokumentation der Dienstleistung  27, 47, 241 f. – Dreh- und Angelpunkt für Verhältnismäßigkeit  135, 194 f., 219, 223 ff. – Eigentums- und Vermögensschutz  48, 130 f., 141, 145, 147, 172, 180, 193, 245 ff. – Einsatzkoordination  46 f., 75, 129, 141, 201, 125, 219, 226, 228, 236 ff. – Fuhrparkverwaltung  47, 242 – Sicherheitsgewährleistung  48, 75, 126, 128, 130, 140, 145, 181, 190, 193, 228, 243 ff.

298

Stichwortverzeichnis

– Straftatverdacht  49, 110, 130, 140, 147 ff., 171 f., 201 f., 206, 209 f., 212 ff., 228, 252 ff. – Verhaltens- und Leistungskontrolle  49, 130, 140, 147 ff., 180, 212, 221, 223, 228, 231 f., 248 ff. – Verwaltungsvereinfachung  47, 129 f., 141, 145, 147, 149, 172, 219, 228, 239 ff. – Zweckerreichung 194 Personenbezug – Erforderlichkeit  112, 215, 201 f., 232 f., 239, 247 f. – Identifizierbare Person  100 ff., 105 ff. – Identifizierte Person  99 f., 105 – Risikoanalyse  182 f., 224 – Persönlichkeitsbezug, siehe auch Privatlebensbezug  182 f., 199 Persönlichkeitsprofil  76, 79 ff., 184 f. Positionsbestimmung  35 f., 39 ff., 151 – Bluetooth  43 f., 156 f. – GPS  39 f., 41 f., 45, 72, 77, 80, 151, 156 f., 161, 197, 222, 229, 240 – Mobilfunkzellenidentifikation  40 f., 155, 160 – RFID 37, 44 f., 156 f., 250 – WLAN  41 ff., 156 f. Positionsdaten (Begriff)  32 f. Privatlebensbezug  53, 61, 72 f. Pseudonym/Pseudonymität  106 f., 149, 169, 201 f., 215 f., 226, 238, 240 ff., 244, 247, 249 Pseudonymisierung 149 Recht auf Vergessenwerden  65, 176 Rechtfertigung, grundrechtliche  82 f. RFID, siehe Positionsbestimmung Risiko – ~abwägung 220 – ~analyse  87 ff., 98, 124, 133, 179 ff., 219 ff., 239, 243, 245, 247, 250, 254 – ~begriff  87 f. – für Beschäftigten (abstrakt)  57 ff., 87 ff., 175 ff. – Identifizierung  101 ff. Sachdaten 105 Schutzmaßnahmen  90, 94, 97, 124 f., 168, 226, 228, 231 ff.

Sicherheitsgewährleistung, siehe Ortungszweck Smart Office  36 Speicherung – Datenverarbeitungsphase  34 f., 46, 72 f., 107, 109, 118 – Erforderlichkeit  93, 210 ff., 232, 240 ff., 247, 249 f., 253 f. – Löschkonzept  211, 232 f. – Speicherdauer  72 f., 114, 172, 186, 211 ff., 226, 233, 240 ff., 247, 249 f., 253 f. Sphärentheorie  58, 182 Standortdaten  33, 106, 154 ff. Straftatverdacht, siehe Ortungszweck Telekommunikations-Telemedien-Datenschutz-Gesetz – Schutz der Privatsphäre bei Endeinrichtungen  158 f. – Standortdaten  154 ff. Telekommunikationsgesetz  152 ff. Telekommunikationsnetz 156 Telemediengesetz  152 f. Totalüberwachung  76, 79 ff. Tracking, siehe Ortung Trennungsthese  64 f. Über- / Unterordnungsverhältnis, siehe auch Einwilligung  186 f. Übermittlung von Positionsdaten – siehe auch Datenverarbeitung – Übermittlung an Betriebsrat  216 ff. – Übermittlung an Dritte  218 f. – Überwachungs- und Anpassungsdruck ​ 178 f., 184, 187, 221 f., 226 f. Unternehmerische Freiheit (GrCh)  81, 190, 195, 231 Verantwortliche Stelle – Betriebsrat als Verantwortliche Stelle  111 f. – Gemeinsame Verantwortlichkeit  111, 113 ff. – Kriterien  86 f., 110 ff. – siehe auch LBS-Anbieter Verantwortlicher (i. S. d. DSGVO), siehe Verantwortliche Stelle Verarbeitungsverzeichnis  169, 233

Stichwortverzeichnis Verbot mit Erlaubnistatbestand – Auftragsverarbeitung  116 ff. – Prinzip  89 ff. – Zweckändernde Weiterverarbeitung ​149 ff. Verbotsprinzip, siehe Verbot mit Erlaubnistatbestand Verhaltens- und Anpassungsdruck, siehe Überwachungs- und Anpassungsdruck Verhaltens- und Leistungsbeurteilung, siehe auch Ortungszweck  249 f. Verhaltens- und Leistungskontrolle, siehe Ortungszweck Verhältnismäßigkeitsprüfung – Abwägung, siehe Interessenabwägung – Einwilligung  141 f. – Kollektivvereinbarung 135 – § 26 Abs. 1 S. 1, 2 BDSG  132 ff. Verknüpfbarkeit von Daten  58, 78 ff., 91, 176, 182 f., 184 f., 225, 243 Verwaltungsvereinfachung, siehe Ortungszweck

299

Videoüberwachung  39, 72, 139, 162, 196 f., 198, 203 f., 210 ff., 221 f., 226 ff., 230, 251 Volkszählungsurteil  58 f., 182 Vollharmonisierung, siehe Öffnungsklausel Vorsorgeprinzip  87, 102 f. Wearable  38, 169 WLAN, siehe Positionsbestimmung Zugriff auf Endeinrichtungen  151, 154, 158 f., 161 ff. Zugriffsberechtigungskonzept  135, 186, 215, 232 Zulässigkeit  89 ff., 121 ff. Zweckändernde Weiterverarbeitung – Einwilligung oder gesetzliche Erlaubnis  145 ff. – Vereinbarkeit der Zwecke  147 ff., 225 – Weiterverarbeitung  144 f.