ich komme beim Erstellen von Betriebsvereinbarungen und in Auseinandersetzung mit manchen Arbeitgebern immer wieder an den Punkt, dass es eine Unwilligkeit gibt, die Schnittstellen eines Systems zu benennen. Es wird also keine Liste vorgelegt, wohin die personenbezogenen Beschäftigtendaten abfließen und zu welchem Zweck.
Nach meiner Einschätzung ist dies ein klarer Verstoß gegen die Datenschutzgrundverordnung, weil ja z.B. dem Transparenzgebot nicht Genüge geleistet wird. Unabhängig davon ist, es aber jedes Mal ein Kampf mit den Arbeitgebern.
Ein BAG Urteil dazu oder ein anderes existiert meines Erachtens noch nicht. Hat hier irgendwer schon Urteile vorliegen, die das mal eindeutig geklärt haben?
Im Tätigkeitsbericht 2020 des badenwürttembergischen Datenschutzbeauftragten heißt es in der dort vorgestellten Untersuchung der Björn-Steiger-Stiftung heißt es auf S. 32: " Übrigen fehlten uns für eine genauere Prüfung neben der erforderlichen Datenschutzfolgenabschätzung ebenfalls das Sicherheitskonzept, das Löschkonzept sowie die Schnittstellenbeschreibung, die uns allesamt nicht zur Prüfung vorgelegt worden sind." Die Aufsichtsbehörde fragt also im Falle einer Prüfung eine Schnittstellenbeschreibung ab. Das bedeutet zwar nicht automatisch, dass diese schon vorhanden sein muss (im Verzeichnis der Verarbeitungstätigkeiten muss das ja nicht stehen), aber vorgelegt werden muss das schon. Ein Indiz für eine Pflicht zur Führung einer solchigen Aufstellung.
(Betriebsrätemodernisierungsgesetz vom 14.06.2021)
Mit dem neuen §79a Betriebsverfassungsgesetz1 wird der Betriebsrat auf den Datenschutz verpflichtet. Die Datenschutzbeauftragten sind über die jeweilige Meinungsbildung zur Verschwiegenheit verpflichtet. Verantwortlicher bleibt der Arbeitgeber und hat die Verarbeitungstätigkeiten in sein Verfahrensverzeichnis aufzunehmen. Es gilt die gegenseitige Unterstützungspflicht auch zur Einhaltung der Betroffenenrechte (z. B. Auskunftsersuchen). Das wird für die Datenschutzbeauftragten nicht immer eine leichte Aufgabe.
Ergänzend zur Unterstützungspflicht:
Zweck, Empfänger und “Löschkonzept” (Art.30 Abs.1 lit.b, d, f) sind ebenso im Verzeichnis von Verarbeitungstätigkeiten anzugeben wie die Schutzmaßnahmen oder TOMs (“Sicherheitskonzept”, Art.30 Abs.1 lit.g).
§26 Abs.5 BDSG sieht Maßnahmen zur insbesonderen Einhaltung der Grundsätze von Art.5 DSGVO vor. Eine Schnittstellenbeschreibung stellt hierbei keine detaillierte technische Beschreibung oder Offenlegung von Betriebsgeheimnissen / Quellcode dar. Die Schnittstelle soll die Anforderungen des Art.5 erfüllen und ihre Beschreibung enthält die Antworten, die sich aus den Fragen zu Art.5 ergeben (zur Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit). Das sind nicht nur Indizien. Das sind Punkte, die entweder durch Art.30 ins Verzeichnis einfließen oder aus der Rechenschaftspflicht des Art.5 Abs.2 resultieren. Sollte kein eigenes Verzeichnis für die Schnittstelle existieren, müssten diese Informationen im Verzeichnis zur Vorgangsreihe vorhanden sein, eben weil durch die Schnittstellen eine eigenständige Verarbeitung stattfindet.
BTW: Für den (unwahrscheinlichen) Fall der Umsetzung von Privacy by Design / Default wurden diese Punkte bereits bei der Entwicklung der Schnittstellen berücksichtigt und implementiert - sind also Konzept- und Umsetzungsbestandteil.