Abo

Kurzbeitrag : Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (57): LDI NRW. 26. Bericht 2021 LDI S. 122: Betriebliche DSB und Kurzarbeit : aus der RDV 6/2021 Seite 328 bis 329

Zusammengestellt und erläutert von Prof. Peter Gola*

Lesezeit 3 Min.

Die Zahl der Corona-Neuinfektionen in Deutschland geht zurück. Doch noch immer bestimmt die COVID-19-Pandemie das Geschehen in der Wirtschaft und damit auch die Arbeit der Datenschutz-Aufsichtsbehörden. Das belegen die aktuellen Tätigkeitsberichte. So verzeichnete der HambBfDI im Pandemiejahr 2020 rund 3000 datenschutzrechtliche Beschwerden, etwa 500 mehr als im Vorjahr. Das ULD Schleswig-Holstein erreichte eine um 300 Fälle erhöhte Zahl von Eingaben. Nicht dokumentiert, aber naheliegend und im Grunde zwingend musste coronabedingte Mehrbeschäftigung auch bei betrieblichen Datenschutzbeauftragten anfallen. Die Einbindung der Datenschutzexperten in die aktuellen Fragestellungen war und ist fast unerlässlich und für eine Vielzahl von Unternehmen sogar verpflichtend.

Die Corona-Pandemie bleibt nämlich nicht ohne Auswirkung auf die Tätigkeit der betrieblichen Datenschutzbeauftragten. Diese sind mit vielen neuen datenschutzrechtlichen Fragestellungen konfrontiert, die sich aus der Corona-bedingten Änderung bisheriger Arbeitsabläufe in einem Unternehmen ergeben. Die Neuorganisation von Arbeitsprozessen, die Zunahme der elektronischen Datenverarbeitung, das Arbeiten im Homeoffice, in Tele-Arbeit und mittels Videokonferenzsystemen sowie nicht zuletzt Fragen des Gesundheitsdatenschutzes bei Beschäftigten und Kunden erfordern die Einbindung der betrieblichen Datenschutzbeauftragten.

Andererseits waren und sind – u.a. durch coronabedingte Lieferengpässe – Unternehmen gezwungen, auf Kurzarbeit zurückzugreifen. Im umfassendsten Fall kann Kurzarbeit bedeuten, dass Mitarbeiter von ihrer Arbeitspflicht vollständig befreit werden, wobei sich dann die Frage stellt, ob ein interner Datenschutzbeauftragter im Fall von Kurzarbeit berücksichtigt werden kann.

Die LDI NRW hat sich in einer Kurzmeldung (vom 27. 05. 2020) und in ihrem aktuellen Tätigkeitsbericht (26. Bericht 2021, S. 123) zu dieser Frage geäußert. Ihr Fazit lautet:

betriebliche Datenschutzbeauftragte sind auch bei Coronabedingter Kurzarbeit unverzichtbar: Ihnen ist auch in dieser Zeit die Wahrnehmung der Kontroll- und Beratungsaufgaben zu ermöglichen (Art. 38 Abs. 2 DS-GVO): Das gilt insbesondere für den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Daran ändert die Einführung von Kurzarbeit nichts.

Meistens arbeitet ein Unternehmen in verringertem Umfang weiter. Und selbst wenn ein Unternehmen für bestimmte Zeit seine Tätigkeit einstellt, besteht es weiter, hat Beziehungen zu Beschäftigten, Kunden etc.und verarbeitet deren Daten. Deshalb werden Datenschutzbeauftragte weiter gebraucht und müssen ihre Aufgaben erfüllen können.“

Auch an der Benennungspflicht nach dem Bundesdatenschutzgesetz (BDSG) ändere sich nichts. Zwar komme es nach § 38 Abs. 1 BDSG darauf an, dass Personen „in der Regel (…) ständig“ mit der Verarbeitung personenbezogener Daten beschäftigt sind. Mit dieser Formulierung ist aber gerade nicht gemeint, dass kurzzeitige Veränderungen berücksichtigt werden, sondern dass es auf eine langfristige Betrachtung ankommt. Wenn also vor und voraussichtlich auch nach der zeitlich begrenzten Kurzarbeit mindestens 20 Personen gezählt werden, bleibt es auch während der Kurzarbeit bei der Pflicht zur Benennung einer oder eines Datenschutzbeauftragten.

Die LDI akzeptiert, dass es nach den jeweiligen Umständen geboten sein kann, den Arbeitsumfang des DSB zu reduzieren, weil vorübergehend weniger Zeit für die Aufgabe als Datenschutzbeauftragter erforderlich ist. Andererseits stellt sie wie folgt fest: „Das Arbeitsfeld der oder des Datenschutzbeauftragten darf jedoch keinesfalls vollständig „brach liegen“. Vielmehr ist zu prüfen, unter welchen Voraussetzungen Datenschutzbeauftragte in der aktuellen Situation ihre Pflichten weiterhin wahrnehmen können. Datenschutzbeauftragte müssen nach wie vor seitens des Verantwortlichen bzw. des Auftragsverarbeiters ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden; sie müssen die Möglichkeit haben, regelmäßig ihre Posteingänge sichten zu können, sowie telefonisch und/ oder per E-Mail als Ansprechpartner*in für die Beschäftigten, Kund*innen oder andere betroffene Personen erreichbar sein. Um dies sicherzustellen, sollten geeignete Maßnahmen ergriffen werden, beispielsweise regelmäßiger Zugang zum Büro oder Einrichtung eines Tele-Arbeitsplatzes, Bereitstellen eines Diensthandys, Vereinbarung bestimmter „Sprechzeiten“. Wie viel Zeit Datenschutzbeauftragte unter den aktuellen Umständen benötigen und welche Maßnahmen sachgerecht sind, sollten Arbeitgeber*innen mit ihren Datenschutzbeauftragten abstimmen.“

Fazit ist also: „Trotz Kurzarbeit in einem Unternehmen müssen die betrieblichen Datenschutzbeauftragten weiter in der Lage sein, ihre gesetzlichen Aufgaben wahrzunehmen und als Ansprechpartner für Betroffene zur Verfügung zu stehen. Die Verantwortlichen sind gesetzlich verpflichtet, die Datenschutzbeauftragten auch während der Kurzarbeit bei der Erfüllung ihrer Aufgaben zu unterstützen und die entsprechenden Rahmenbedingungen zu schaffen. Geboten ist eine bewusste und dokumentierte Entscheidung. Verfehlt wäre es, den internen Datenschutzexperten im Rahmen von Kurzarbeitsmaßnahmen vorschnell von seinen Aufgaben zu entbinden, vielmehr kann sogar die Nicht-Einbeziehung in die Kurzarbeit geboten sein.“

___________________

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.