Wer Betroffenenrechte wahrnimmt, darf deshalb nicht benachteiligt werden. Trotzdem mag es Fälle geben, in denen man sich gerade im Beschäftigungsverhältnis nicht selbst bei der Datenschutzaufsicht beschweren kann. Da liegt es nahe, bei der Mitarbeitervertretung um Hilfe zu bitten. Oder es gibt allgemeine Datenschutzmängel, die einzelne Betroffene nicht als Beschwerde einreichen können. Damit stellt sich die Frage: Darf sich eine MAV bei der Datenschutzaufsicht beschweren?
Die einfache Antwort ist: Beschweren kann man sich immer. Nur ist eine Beschwerde noch lange keine Beschwerde im datenschutzrechtlichen Sinn. Ein Blick in die kirchlichen Datenschutzgesetze zeigt, welche Optionen MAVen und (nicht nur) Beschäftigte haben.
Die datenschutzrechtliche Beschwerde
Eine Datenschutzbeschwerde gemäß Datenschutzrecht ist ein persönliches Recht: Betroffene Personen können sich an die Aufsicht wenden, wenn sie sich selbst in ihren Datenschutzrechten verletzt sehen. Ein Recht auf eine Beschwerde zugunsten der Rechte Dritter besteht nicht. Wenn sich eine Person an die Aufsicht wendet und von Datenschutzverletzungen zulasten einer anderen Person oder über allgemeine Datenschutzmängel beschwert, ist das nur ein Hinweis, der noch keine konkreten Rechtsfolgen nach sich zieht, auch wenn die Aufsicht wohl tätig werden muss, wenn sie vom Verdacht eines Verstoßes erfährt.
Der wesentliche Unterschied zwischen Beschwerde und »Kontrollanregung« ist, wie die Aufsicht sich gegenüber Beschwerdeführenden verhalten muss. Pflichten knüpfen die verschiedenen Datenschutzgesetze (Art. 77 DSGVO, § 46 DSG-EKD, § 48 KDG) nur an die Beschwerde im eigentlichen Sinn: Hier muss die Aufsicht die betroffene Person über Stand und Ergebnis des Verfahrens informieren. Beim bloßen Hinweis muss sie das nicht, insbesondere darf sie in der Regel den beschwerdeführenden Dritten gar nicht weiter informieren – wegen Datenschutz.
Ausweg Betroffenenvertretung?
Verbraucherschutzverbände nach Art. 80 DSGVO
Es gibt Möglichkeiten, dass sich Dritte mit entsprechenden Rechtsfolgen zugunsten einer betroffenen Person beschweren können – und zwar nicht nur dann, wenn eine betroffene Person sich anwaltlich vertreten lässt. Die DSGVO kennt eine Form der Verbandsbeschwerde. Art. 80 DSGVO definiert etwas umständlich Verbraucherschutzverbände, die betroffene Personen vertreten können: »eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht«, die ordnungsgemäß gegründet, Ziele im öffentlichen Interesse verfolgt und die im Bereich Datenschutz tätig ist. Diese Organisationen können Beschwerden und gerichtliche Rechtsbehelfe zugunsten von Dritten einlegen und Schadensersatz geltend machen. Voraussetzung für die Zuständigkeit für Schadensersatz ist, dass das im Recht des Mitgliedsstaats vorgesehen ist. Das Recht der Mitgliedsstaaten kann außerdem vorsehen, dass solche Organisationen ohne Auftrag der geschädigten betroffenen Person Beschwerde einlegen kann.
Diese Form der Beschwerde ist aber immer eine Vertretung einer betroffenen Person. Betroffene Personen können aber nach wohl herrschender Meinung nur eigene direkte Rechtsverletzungen angehen, nicht allgemeine Datenschutzmängel wie fehlende Verarbeitungsverzeichnisse oder Datenschutzfolgenabschätzungen. Damit kann auch eine Verbandsbeschwerde solche Fälle nicht formal als Beschwerde einreichen.
Zu den Pflichten der Datenschutzaufsicht gehört es gemäß Art. 57 Abs. 1 lit. f) DSGVO, sich auch mit Beschwerden von Artikel-80-Organisationen zu befassen und sie innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten.
Im Bereich der DSGVO ist also klar geregelt, wer ein Verbandsbeschwerderecht hat. Betriebsräte dürften unter die Definition von Art. 80 DSGVO eher nicht fallen, der recht klar auf Verbraucherschutzverbände abzielt – jedenfalls hatte der EU-Gesetzgeber wohl keine Arbeitnehmendenvertretungen im Blick.
Keine klare Umsetzung in KDG und DSG-EKD
Im DSG-EKD fehlt ein Beschwerderecht von Artikel-80-Organisationen. Hier stellt sich also die Frage gar nicht, ob MAVen unter diesen Begriff fallen – und Verbraucherschutzverbände haben im Geltungsbereich des evangelischen Datenschutzrechts auch keine besonderen Rechte. (Ob das im Einklang mit der DSGVO steht, kann kritisch angefragt werden.)
Im KDG gibt es Restbestände der DSGVO-Formulierung: § 44 Abs. 3 lit. e) KDG nennt neben Beschwerden der Betroffenen Person selbst auch Beschwerden »einer Stelle oder einer Organisation«, auf die die Aufsicht hin tätig werden und berichten muss. Eine Definition von »Stellen und Organisationen« fehlt, Art. 80 DSGVO wurde nicht ins kirchliche Recht überführt.
Dem Wortlaut nach könnte man daher mangels Definition vertreten, dass eine MAV eine »Stelle« oder eine »Organisation« ist und damit ein Beschwerderecht hat. Erfahrungsgemäß neigen aber Aufsichten und Datenschutzgerichte dazu, das KDG im Zweifel europarechtskonform auszulegen. Es ist also zu erwarten, dass Aufsicht wie Gericht davon ausgeht, dass mit »Stellen und Organisationen« im KDG Artikel-80-Organisationen gemeint sind. Immerhin: Damit haben Verbraucherschutzverbände die Möglichkeit, auch katholische Datenschutzverstöße in Vertretung zu rügen.
Fazit
Eine MAV kann sich nicht im Namen von Beschäftigten über Datenschutzverstöße bei der Datenschutzaufsicht beschweren und verlangen, über Stand und Ergebnis des eventuell eröffneten Verfahrens informiert zu werden. Sie kann es auch nicht bei allgemeinen Datenschutzmängeln und etwa ein fehlendes Verarbeitungsverzeichnis als Beschwerde einreichen. Das ist die datenschutzrechtliche Seite. Mitarbeitervertretungsrechtlich hat die MAV ihren ganzen Instrumentenkoffer zur Verfügung, um eine Behandlung von Mitarbeitenden nach Recht und Billigkeit durchzusetzen.
Ein Beschwerderecht von Mitarbeitervertretungen wäre wünschenswert und hilfreich: Oft dürfte es für Beschäftigte einfacher und zugänglicher sein, sich an bekannte Vertrauenspersonen im Unternehmen zu wenden statt an die Datenschutzaufsicht direkt. Das Problem wird aber mittlerweile etwas gelindert durch das Hinweisgeberschutzgesetz. Das eröffnet zwar auch nicht der MAV ein Beschwerderecht, schafft aber eine möglicherweise zugänglichere Stelle, um Missstände auch im Bereich des Datenschutzes vorzubringen.