25
03/19 PERSONALquarterly
eine verarbeitende Stelle Zugriff darauf hat. Auf pseudonymi-
sierte Daten ist das Datenschutzrecht grds. anwendbar (Erwä-
gungsgrund zur DSGVO Nr. 26 S. 2).
21
In vielen Fällen wird es bei Anwendungen im Bereich HR
möglich sein, mit anonymen Daten zu arbeiten, da keine per-
sonenbezogenen Auswertungen vorgenommen, sondern le-
diglich Trends in der Belegschaft oder Zusammenhänge im
Unternehmen erkannt und analysiert werden sollen (Reindl/
Krügl, 2017, S. 73). Mit Technologien von Big Data wird es
jedoch in der Tendenz einfacher, Zusammenhänge verstreuter
Daten zu errechnen und auf diese Weise einen Personenbezug
herzustellen.
22
Für die Entscheidung, ob personenbezogene Daten vorlie-
gen und somit die DSGVO anwendbar ist, müssen nach Erwä-
gungsgrund 26 alle Mittel berücksichtigt werden, die entweder
vom Verantwortlichen oder von einer anderen Person nach
allgemeinem Ermessen wahrscheinlich genutzt werden, um
die natürliche Person direkt oder indirekt zu identifizieren.
Hierbei sind die Kosten der Identifizierung, der erforderliche
Zeitaufwand sowie die verfügbare Technologie und techno-
logische Entwicklungen zu berücksichtigen. Kurz: Es muss
daher darauf geachtet werden, was technisch möglich ist und
voraussichtlich genutzt wird.
23
Für die Praxis ist es zur Einhaltung der datenschutzrecht-
lichen Pflichten sehr wichtig, zutreffend einzuschätzen, ob die
Daten tatsächlich anonym sind und welche Möglichkeiten be-
stehen, einen Personenbezug wiederherzustellen. Erst wenn
das Risiko einer Identifizierung de facto vernachlässigbar ist,
ist das Datenschutzrecht nicht mehr anwendbar.
Pseudonyme Daten
Wie bereits ausgeführt, sind pseudonyme Daten personenbe-
zogene Daten; die DSGVO ist mithin anwendbar. Zwar wird
teilweise argumentiert, dass die relative Dimension der Iden-
tifizierbarkeit zu beachten sei, sodass bei Übermittlung an
einen Dritten, der den Zuordnungsschlüssel nicht besitzt,
bei diesem wieder anonyme Daten vorliegen würden.
24
Hier
wird aber offensichtlich verkannt, dass – im Vergleich zu ano
nymen Daten – gerade eine verantwortliche Stelle noch den
Zuordnungsschlüssel hat und somit etwaige Verarbeitungs-
ergebnisse noch einer identifizierbaren Person zuordnen
kann.
25
So entspricht dies auch der Definition des Art. 4 Nr.
5 DSGVO. Eine Re-Identifikation ist einfach möglich; im Üb-
rigen ist auch die Zweckbestimmung pseudonymisierter Daten
verschieden: Eine (Wieder-)Zuordnung ist gewünscht.
26
Daher
unterliegen pseudonyme Daten dem Datenschutzrecht. Nur
so können Betroffene ihre Rechte aus den Art. 15-20 DSGVO
(bspw. Auskunftsrecht) effektiv geltend machen. Im Rahmen
von Abwägungsprozessen z. B. nach Art. 6 Abs. 1 lit. f. DSGVO
ist die Pseudonymisierung der Daten allerdings zu berücksich-
tigen.
27
Pseudonymisierung kann als „Instrument möglichen
Interessenausgleichs“
28
dienen.
29
Ferner kann das Benutzen
von Pseudonymen statt Klarnamen auch eine zweckändernde
Verarbeitung ermöglichen (Art. 6 Abs. 4 lit. e DSGVO).
Neben der Ermöglichungswirkung hat die Pseudonymisie-
rung eine risikominimierende Wirkung und stellt eine Siche-
rungsmaßnahme dar.
30
Dies verdeutlicht auchErwägungsgrund
28, der explizit davon spricht, dass die Pseudonymisierung
die Risiken für die betroffenen Personen senken kann (z. B.
indem bei Datenpannen lediglich die Daten mit einem Pseu-
donym und nicht sofort mit dem Klarnamen verknüpft wer-
den können). Gerade bei der Weitergabe an dritte Stellen (z.
B. IT-Dienstleister zur Herstellung eines Rankings) kann eine
Pseudonymisierung erforderlich sein, um eine Verarbeitung
im Rahmen der Interessenabwägung zu legitimieren.
Betriebsverfassungsrechtliche Grundlagen
Betriebsverfassungsrechtliche Normen dürfen bei der Betrach-
tung nicht außer Acht gelassen werden. Relevant sind insbeson-
dere zwingende Mitbestimmungsrechte aus den §§ 87 Abs. 1,
94 f. BetrVG. Da Betriebsvereinbarungen gem. Art. 88 Abs. 1
DSGVO die Datenverarbeitung im Beschäftigtenkontext legiti-
mieren können, ist es ratsam, bereits bei der Planung von sol-
chen „intelligenten“ Systemen auf eine Betriebsvereinbarung
hinzuarbeiten.
Mitbestimmungsrechte aus § 87 Abs. 1 BetrVG
Der wichtigste Mitbestimmungstatbestand bei der Einführung
und Verwendung von IT-Systemen ist § 87 Abs. 1 Nr. 6 BetrVG,
wonach der Betriebsrat ein Mitbestimmungsrecht bei der Ein-
führung und Anwendung von technischen Einrichtungen hat,
die dazu bestimmt sind, das Verhalten oder die Leistung von
Arbeitnehmern zu überwachen. Der Tatbestand wird weit aus-
gelegt: Entgegen dem Wortlaut ist es bereits ausreichend, dass
„die Einrichtung zur Überwachung objektiv und unmittelbar
geeignet ist.“
31
Diese Norm dient dem Persönlichkeitsschutz
der Arbeitnehmer
32
, weshalb bei technischen Einrichtungen,
die Daten erheben, verarbeiten oder speichern (auch Verkehrs-
daten) immer an Mitbestimmungsrechte des Betriebsrats zu
denken ist.
21
Vgl. auch Schild, in: BeckOK-DatenSR, 27. Ed. (01.02.2019), DS-GVO Art. 4 Rn. 78.
22
Boehme-Neßler, DuD 2016, 419 spricht sogar davon, dass auf Dauer jede Anonymisierung unmöglich
werde; zur Gefahr der Unwirksamkeit von bislang als effektiv geltenden Anonymisierungstechniken,
Karg, DuD 2015, 520. Einen Überblick über verschiedenste Techniken ist im Annex des Working Papers
No. 216 der Art. 29-Datenschutzgruppe, S. 26 ff. zu finden.
23
Vgl. Krügel, ZD 2017, 455 (456) sowie Erwägungsgrund 26 S. 3; siehe auch – noch zur alten Rechtsla-
ge – EuGH, Urt. v. 19.10.2016 – C-582/14, NJW 2016, 3579 (Rn. 46 ff.) – Breyer.
24
Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, Fokusgruppe Datenschutz des Digitalgipfels,
2017, S. 14; wohl auch Kühling/Klar/Sackmann (Fn. 16), Rn. 270; zur alten Rechtslage: Scholz, in:
Simitis, BDSG, 8. Aufl. (2014), § 3 Rn. 217a ff.; kritisch Buchner (Fn. 11), S. 230.
25
Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. (2018), § 1 Rn. 27 ff.
26
Knopp, DuD 2015, 527 (529).
27
So auch Kühling/Klar/Sackmann (Fn. 16), Rn. 271 m.w.N.; Hansen, in: Simitis/Hornung/Spiecker (Fn.
11), Art. 4 Nr. 5 Rn. 17.
28
Rüpke, in: Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, § 10 Rn. 37.
29
Bspw. im Rahmen von Art. 6 Abs. 1 lit. f DSGVO oder § 26 Abs. 1 S. 1 BDSG.
30
Kühling/Klar/Sackmann (Fn. 16), Rn. 266; Art. 29-Gruppe, WP 216 (Fn. 22), S. 3.
31
Grundlegend BAG, Beschl. v. 09.09.1975 - 1 ABR 20/74, AP BetrVG 1972 § 87 Überwachung Nr. 2;
seitdem st. Rspr., vgl. Benecke, in: Arnold/Günter, Arbeitsrecht 4.0, 2018, Kap. 7 Rn. 112 f.
32
Benecke, in: Arnold/Günter, Arbeitsrecht 4.0, 2018, Kap. 7 Rn. 113
