mal angenommen, eine Firma setzt Microsoft Teams, Sharepoint, etc. ein (soll vorkommen). Dort gelangen personenbezogene Metadaten beim Erstellen der Dokumente rein (z.B. wenn MA A ein Word Dokument auf Teams hochlädt).
Nun scheidet A aus und holt sich eine Art 15 Auskunft ein. Dann gehören Metadaten in diesen Dokumenten ja auch dazu.
Wie läuft das in der Praxis? Werden die Daten gelöscht? Gibt es hierzu eine Anleitung für Admins? Oder fahren 99% der Unternehmen hier in einer Grauzone?
Ja, klar - man kann das ja leicht beauskunften: “Ihr Name taucht außerdem in verschiedenen Metadaten von Dokumenten auf.”
Ich kenne aber tatsächlich Leute, die meinen, man müsste auch alle diese Dokumente herausgeben - wegen der “Datenkopie”. Das finde ich übertrieben und nicht notwendig.
Und Löschen muss man es wohl nicht, wenn es mit einem zu hohen Aufwand verbunden wäre - was ich mir gut vorstellen kann.
Ähnliches gilt ja auch für Versionshistorien, die manchmal in Dokumenten geführt werden.
Danke, bdsb! Wird das allgemein von den Aufsichtsbehörden in der Form akzeptiert? Also Angabe, dass Metadaten in Dokumenten personenbezogene Daten enthalten und gelöscht werden, sobald die Dokumente sowieso gelöscht werden?
Ich würd einmal grundsätzlich aufpassen, Art. 15 heißt nicht Löschbegehren und - auch wenn das hier nicht der Fall zu sein scheint - es kommt oft genug vor, dass dann übereifrig gelöscht wird und dadurch neue Probleme verursacht.
Eine allgemeine Nennung, dass der Name noch in Metadaten (und Systemen) vorhanden sein kann finde ich ausreichend und die Datenkopie erstreckt sich dann auch nicht auf diese Informationen.
Das Löschkonzept “Metadaten verschwinden wenn das Dokument verschwindet” wird wohl meist akzeptiert werden denke ich, auch wenn es unter strenger Betrachtung je nach Unternehmen heißen mag, dass jemand verewigt wird.
In Grauzonen fahren aber dennoch 99% der Unternehmen, aber das ist ein anderes Thema
Genau, Auskunft ist das eine.
Die Herausgabe vom Kopien von Dokumenten, wo der Name der antragstellenden Person in den Metadaten auftaucht, dürfte wohl in der Regel an Art. 15 (4) scheitern (keine Beeinträchtigung der Rechte und Freiheiten anderer Personen).
Und die Löschung könnte wohl nach Art. 17 (1) a) verweigert werden, weil der Zweck, für den die Daten erhoben wurden, weiterhin besteht. Denn Zweck der Datenerhebung ist nicht die Durchführung des Arbeitsverhältnisses. sondern der Geschäftszweck des Arbeitgerbers an sich, und der besteht ja fort, auch wenn Mitarbeiter*innen ausscheiden.
Art. 15 (4) DSGVO kann in den Regel - so glaub (!) ich auch bei den Urteilen zur Herausgabe von Datenkopien - durch Schwärzung der entsprechenden Passagen erzielt werden, aber ich würde es auch als utopisch betrachten, dass nur die reine Nennung in Metadaten einen Herausgabeanspruch auslösen kann.
Es gibt überhaupt keinen Grund, warum diese Metadaten nicht von Art. 15 Abs. 1, 3 DSGVO erfasst sein sollten, da der Name bzw. ein Account-Pseudonym personenbezogen bzw. personenbeziehbar ist. Sie sind also grundsätzlich zu beauskunften. Ob dann irgendwelche Ausnahmetatbestände in Art. 15 Abs. 4 DSGVO oder § 34 BDSG einschlägig wären, ist eine andere Frage.
