Überblick zur neuen Free Flow of Data-Verordnung
Dr. Juliana Kliesch, Bird & Bird Düsseldorf
Ab Mai 2019 wird die neue „Free Flow of Data“-Verordnung gelten (Verordnung (EU) 2018/1907). Die Verordnung soll Effizienzgewinne in der Datenwirtschaft generieren, indem sie den „freien Verkehr nicht-personenbezogener Daten“ gewährleistet.
Um welche Daten geht es?
Der Anwendungsbereich der Free Flow of Data-VO ist beschränkt auf elektronische Daten, die keine personenbezogenen Daten sind. Damit erfasst sie genau die elektronischen Daten, die nicht dem Anwendungsbereich der DSGVO unterfallen. Hierfür nennt Erwägungsgrund 9 der Verordnung drei Beispiele:
- Aggregierte und anonymisierte Datensätze für Big-Data-Analysen;
- Daten im Zusammenhang mit der Präzisionslandwirtschaft, die dabei helfen können, den Einsatz von Pestiziden und Wasser zu überwachen und zu optimieren;
- Daten zum Wartungsbedarf von Industriemaschinen.
Die Beispiele verdeutlichen, dass die Free Flow of Data-VO im Wesentlichen Unternehmer betrifft. Wegen des fehlenden Personenbezugs spielt das Ziel des Schutzes vor bestimmten Datenverarbeitungen – anders als in der DSGVO – keine nennenswerte Rolle. Die Free Flow of Data-Verordnung ist dadurch auch deutlich kürzer: Sie umfasst nur neun Artikel plus Erwägungsgründe.
Für die Praxis stellt sich die Frage, wie man personenbezogene und nicht-personenbezogene Daten sinnvoll voneinander abgrenzen kann. Beispielsweise können nicht-personenbezogene Daten unter Umständen später durch Auswertung und Verknüpfung wieder zu personenbezogenen Daten werden. Zudem ist die Auslegung der Definition der „personenbezogenen Daten“ (Art. 4 Nr. 1 DSGVO) in Einzelheiten umstritten (siehe dazu insbesondere EuGH, Urteil v. 19. Oktober 2016, Rs. C-582/14 – Breyer).
Zum Punkt der Abgrenzung ist das letzte Wort noch nicht gesprochen: Laut Art. 8 Abs. 3 der Free Flow of Data-Verordnung muss die EU-Kommission bis zum 29. Mai 2019 noch „informierende Leitlinien“ über die Wechselwirkungen zwischen der Free Flow of Data-VO und der DSGVO veröffentlichen – „insbesondere im Hinblick auf Datensätze, die sowohl aus personenbezogenen als auch aus nicht-personenbezogenen Daten bestehen“.
Das Verbot von staatlichen „Datenlokalisierungsauflagen“
Die zentrale Regelung der Free Flow of Data-VO findet sich in Art. 4. Dieser untersagt sog. „Datenlokalisierungsauflagen“, lässt hiervon aber Ausnahmen zu. Datenlokalisierungsauflagen sind laut Art. 3 Nr. 5 der Verordnung Anforderungen der EU-Mitgliedstaaten, laut denen die Datenverarbeitung im Hoheitsgebiet eines bestimmten Mitgliedstaats stattfinden muss oder die die Verarbeitung von Daten in einem anderen Mitgliedstaat behindern. Ausnahmen von diesem Grundsatz sind lediglich aus Gründen der öffentlichen Sicherheit zulässig.
Die Mitgliedstaaten sind verpflichtet, ihre Rechts- und Verwaltungsvorschriften, soweit diese unzulässige Datenlokalisierungsauflagen begründen, bis zum 30. Mai 2021 aufzuheben.
Privatrechtliche Vereinbarungen bleiben unberührt. So wird die Möglichkeit, vertraglich einen bestimmten Ort für eine Datenverarbeitung festzulegen, ausdrücklich nicht eingeschränkt (Erwägungsgrund 4).
Der grenzüberschreitende Zugriff auf Daten
Damit das Verbot von „Lokalisierungspflichten“ ordnungspolitische Kontrollen nicht beeinträchtigt, enthält die Free Flow of Data-Verordnung auch Regelungen, die die Verfügbarkeit von im Ausland gespeicherten Daten für Behörden im Inland gewährleisten (vor allem in Art. 5). Hiernach sind zuständige Behörden weiterhin befugt, zur Erfüllung ihrer amtlichen Pflichten Zugang zu Daten zu erhalten. Der Zugang zu den Daten darf nicht mit dem Argument verweigert werden, diese lägen in einem anderen EU-Mitgliedstaat.
Die „Verhaltensregeln für die Selbstregulierung“
Eine der umstritteneren Regelungen der Free Flow of Data-VO ist schließlich Art. 6. Danach fördert und erleichtert die EU-Kommission im Sinne einer Selbstregulierung die Entwicklung von „Verhaltensregeln“ für die „Datenwirtschaft“.
Diese Verhaltensregeln sollen u.a. folgende Aspekte abdecken:
- Verfahren zur Erleichterung des Wechsels des Diensteanbieters, insbesondere zur Übertragung von Daten;
- Transparenzvorschriften in Bezug auf den Anbieterwechsel;
- Zertifizierungssysteme, mit denen die Vergleichbarkeit der Dienste gefördert werden soll.
Es wurde teilweise gefordert, stattdessen ein dem Art. 20 DSGVO entsprechendes Recht auf Datenübertragbarkeit vorzusehen. Diese Forderung findet sich in der Free Flow of Data-Verordnung nicht wieder. Sie belässt es bei der Aufforderung zur Selbstregulierung.
Gemäß Art. 6 Abs. 3 wird die EU-Kommission die Diensteanbieter aber dazu anhalten, die Entwicklung dieser Verhaltensregeln bis zum 29. November 2019 abzuschließen und sie bis zum 29. Mai 2020 wirksam umzusetzen. Es ist daher zu erwarten, dass das kommende Jahr etwas Aufschluss darüber bringt, inwieweit der Ansatz der geförderten Selbstregulierung Wirkung zeigt.
EuGH zum Verhältnis von Datenschutz und Meinungsfreiheit
Dr. Simon Assion, Bird & Bird Frankfurt
Mit Entscheidung vom 14. Februar 2019 (Rs. C-345/17 - Biuvids) hat der EuGH zum Verhältnis zwischen Datenschutz und Meinungsfreiheit Stellung genommen. Die Entscheidung betrifft die grundlegende Frage, welche Bedeutung das Datenschutzrecht dann hat, wenn personenbezogene Daten als Teil einer Meinungsäußerung oder Berichterstattung im Internet veröffentlicht werden.
In der Entscheidung ging es um eine Privatperson, die ein Gespräch mit Polizisten auf dem Handy mitgeschnitten und veröffentlicht hatte. Die Frage war, ob dieser Vorgang von den Regeln für journalistische Datenverarbeitung geschützt war. Dies wollte der EuGH nicht final entscheiden. Er betonte aber, dass der Begriff des Journalismus weit auszulegen sei, da die Freiheit der Meinungsäußerung in jeder demokratischen Gesellschaft von hoher Bedeutung sei (Rn. 51 der Entscheidung). Auch Privatpersonen könnten deshalb „Journalisten“ in diesem Sinn sein (Rn. 55).
Für die Frage, ob personenbezogene Daten im Internet veröffentlicht werden dürften, will der EuGH in erster Linie auf die Rechtsprechung eines anderen Gerichtshofs abstellen, nämlich die des EGMR zum Verhältnis zwischen dem Recht auf Achtung des Privatlebens und dem Recht auf freie Meinungsäußerung (Rn. 66). Der EGMR hat in diesem Zusammenhang eine Reihe von Kriterien entwickelt, die eher zum Presserecht bzw. Äußerungsrecht gehören. Ausdrücklich nennt der EuGH als Kriterien (Rn. 66):
- Beitrag zu einer Debatte von allgemeinem Interesse,
- Bekanntheitsgrad der betroffenen Person,
- Gegenstand der Berichterstattung,
- das vorangegangene Verhalten der betroffenen Person,
- Inhalt, Form und Auswirkungen der Veröffentlichung,
- die Art und Weise sowie die Umstände, unter denen die Informationen erlangt worden sind,
- und deren Richtigkeit.
Im Ergebnis deutet sich damit an, dass der EuGH bei Veröffentlichungen von personenbezogenen Daten im Internet dieselben Maßstäbe anlegen will wie nach allgemeinem Presse- bzw. Äußerungsrecht.
Die Entscheidung erging noch zur alten Datenschutzrichtlinie, ist aber auch für die Auslegung der DSGVO relevant. Dort beurteilt sich die Rechtmäßigkeit von Veröffentlichungen nach Art. 6 und 9 DSGVO sowie nach dem „Medienprivileg“ gem. Art. 85 DSGVO.
Betriebliche Mitbestimmung und Digitalisierung: Brauchen wir eine Änderung des BetrVG?
Thomas Hey, Bird & Bird Düsseldorf
Der betriebliche Mitbestimmungsprozess nach § 87 Abs. 1 Ziff. 6 BetrVG kann langwierig sein, sodass sich die Frage aufdrängt, inwiefern die Norm in ihrer jetzigen Fassung eine Digitalisierungsbremse darstellt.
Wird der Arbeitnehmer mit neuen technischen Einrichtungen konfrontiert, hat der Betriebsrat ein Mitbestimmungsrecht. Die zentrale Regelung über die Nutzung von technischen Einrichtungen, der § 87 Abs. 1 Ziff. 6 BetrVG, normiert, dass der Betriebsrat mitzubestimmen hat, wenn technische Einrichtungen eingeführt und angewendet werden, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.
Der Regelungsinhalt des § 87 Abs. 1 Ziff. 6 BetrVG hat jedoch zur Folge, dass der Betriebsrat grundsätzlich bei jeder Änderung eines Computerprogramms, auch bei kleinen Veränderungen von Word oder das Mobiltelefon betreffende Softwareupdates, mitbestimmen muss. Die Änderungsfolge solcher Updates ist inzwischen dermaßen hoch, dass oft längst eine neue Änderung ansteht, bevor über die aktuelle mitbestimmt ist. Hinzu kommt, dass Änderungen über die Vorgänge vielfach einer ausführlichen Erklärung, häufig auch Beratung beider Betriebsparteien, durch interne Sachverständige oder externe Berater erfordern. Dazu ist gerade bei der Einführung von neuen Tools häufig eine umfangreiche Regelung notwendig, die oftmals im Entwurf bereits mehrere Seiten lang ist. Alle diese Prozesse sind jedoch viel zu sperrig für die Schnelllebigkeit von IT-Programmen, Apps und anderen elektronischen Tools.
Der Prozess der betrieblichen Mitbestimmung über technische Einrichtungen ist damit ein zeitaufwendiges Verfahren, welches in vielen Situationen geeignet ist, den technologischen Fortschritt in Unternehmen nachhaltig zu behindern oder gar aufzuhalten. Grund für die mangelnde Geschwindigkeit sind insbesondere die gesetzlichen Vorschriften und Mitbestimmungsprozesse des BetrVG. Das Gesetz enthält bislang starre Regelungen zum Ablauf der Mitbestimmung. Mit den bestehenden Instrumenten der betrieblichen Mitbestimmung ist die Geschwindigkeit der Änderungen jedoch nicht organisierbar. Schließlich handelt es sich bei dem § 87 Abs. 1 Ziff. 6 BetrVG um eine Norm aus dem Jahr 1972 – es drängt sich geradezu auf, dass eine solche Vorschrift der heutigen Situation nicht mehr gerecht werden kann.
Es gibt verschiedene pragmatische Ansätze mit dem genannten Problem umzugehen. Rechtlich gibt es aber keine wirkliche Lösung, die oben beschriebenen Themen zeitnah aufzuarbeiten.
Eine Lösungsmöglichkeit würde eine Gesetzesänderung darstellen. Der Tatbestand hinsichtlich des tatsächlichen Wortlauts des § 87 Abs. 1 Ziff. 6 BetrVG könnte konkretisiert werden. Aktuell besteht ein Mitbestimmungsrecht nur, wenn die technische Einrichtung dazu bestimmt ist, Verhalten oder Leistung des Arbeitnehmers zu überwachen. Trotz des missverständlichen Wortlauts ist es nicht erforderlich, dass die technische Einrichtung ausschließlich die Überwachung der Arbeitnehmer bezweckt. Tatsächlich muss eine Überwachung der Arbeitnehmer nicht beabsichtigt sein. Es genügt, wenn die Einrichtung auf Grund ihrer technischen Gegebenheiten und ihres konkreten Einsatzes objektiv zur Überwachung der Arbeitnehmer geeignet ist. Unerheblich ist, ob die Überwachung nur ein Nebeneffekt der technischen Einrichtung ist oder ob die erfassten Arbeitnehmerdaten vom Arbeitgeber gezielt ausgewertet werden.
Entgegen der aktuellen Rechtsprechung des BAG könnte eine neue gesetzliche Regelung vorsehen, dass eine Mitbestimmung nur dann durchzuführen ist, wenn die technische Einrichtung dagegen gezielt eingesetzt wird, um den Arbeitnehmer zu überwachen und die gesammelten Daten zu verwerten. Dies würde dem ursprünglichen Zweck des § 87 Abs. 1 Ziff. 6 BetrVG, dem Schutz des Persönlichkeitsrechts des Arbeitnehmers, entsprechen.
Zusätzlich zu einer Reform des Tatbestands des § 87 Abs. 1 Ziff. 6 BetrVG könnte auch an eine Reform von dessen Rechtsfolge gedacht werden. So lässt sich die Intensität der Mitbestimmung abstufen. Wird etwa eine bestehende Software oder ein bestehendes System nur auf eine neuere Version aufgerüstet, ohne dass neue oder weitergehende Zugriffsrechte für den Arbeitgebers entstehen, könnte auch eine Informationspflicht – gegebenenfalls in Kombination mit einem Vetorecht – gegenüber dem Betriebsrat ausreichen. Dies entspricht auch der Schnelllebigkeit des technischen Fortschritts. Dadurch könnte bereits die Betriebsratsarbeit an sich beschleunigt werden, sollte die Zuhilfenahme digitaler Medien gesetzlich geregelt werden. Sollten jedoch gänzlich neue oder weitergehende Systeme eingeführt werden, die dem Arbeitgeber erlauben Arbeitnehmer stärker als zuvor zu überwachen, so kann ein Mitbestimmungsrecht in der Form, die § 87 BetrVG gebietet, durchaus angemessen sein. Schließlich hat mittlerweile nahezu jede technische Einrichtung am Arbeitsplatz das Potenzial, den Arbeitnehmer zu überwachen. Und es ist zu erwarten, dass die Digitalisierung weitere neue Überwachungsmöglichkeiten mit sich bringen wird.