Mitarbeiter des Versanddienstleisters Amazon, der in Niedersachsen ein Logistikzentrum zur Auslieferung seiner Waren betreibt, werden in bestimmten Arbeitsbereichen mit sogenannte Handscannern ausgestattet, mit deren Hilfe bestimmte Arbeitsschritte minutengenau und aktuell erfasst und ausgewertet werden. Dies diene laut Amazon in erster Linie der Steuerung logistischer Prozesse. Die erhobenen Daten würden daneben auch als Bewertungsgrundlage für Feedbackgespräche und Personalentscheidungen.

Diese Vorgehensweise wurde Amazon im Oktober 2022 von niedersächsische Datenschutzbeauftragten nach Durchführung eines Kontrollverfahrens untersagt. Nach Auffassung der niedersächsischen Datenschutzbeauftragten verstoße die ununterbrochene Erhebung von Leistungsdaten gegen das geltende Datenschutzrecht und stelle einen rechtswidrigen Eingriff in die Rechte der Betroffenen dar.

Gegen diese Unterlassungsverfügung klagte Amazon vor dem VG Hannover mit der Begründung, ein berechtigtes Interesse an der Datenerhebung und -verarbeitung zu haben. Das Gericht gab dem Versanddienstleister recht und sieht in dem beschriebenen Vorgehen keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Der durch die Überwachung der Mitarbeiter bedingte Eingriff in deren Recht auf informationelle Selbstbestimmung stehe nicht außer Verhältnis zu den schützenswerten Interessen des Versanddienstleisters.

So seien die erhobenen individuellen Leistungswerte zur Steuerung der Logistikprozesse notwendig, um auf Schwankungen in einzelnen Prozesspfaden zu reagieren und Mitarbeiter flexibel einplanen zu können. Auch hinsichtlich der Nutzung der Daten als Bewertungsgrundlage für Feedbackgespräche und Personalentscheidungen hat das Gericht keine datenschutzrechtlichen Bedenken. Die Datenerhebung erfolge weder heimlich und zudem finde „nur“ eine Leistungskontrolle, jedoch keine Verhaltenskontrolle statt.

Das Gericht hat die Berufung vor dem Oberverwaltungsgericht Lüneburg zugelassen. Ob die niedersächsische Datenschutzbeauftragte in Berufung gehen wird, ließ sie in ihrer Pressemitteilung vom 10.02.2023 offen, stellte jedoch klar, dass sie nach wie vor der Auffassung ist, dass das allgemeine Persönlichkeitsrecht der Mitarbeiterinnen und Mitarbeiter überwiegt und der durch die minutengenaue Leistungsdatenerhebung sowie deren weitere Verarbeitung entstehende Anpassungs- und Leistungsdruck höher zu gewichten sei als das wirtschaftliche Interesse des Unternehmens.

Während die niedersächsische Datenschutzbeauftragte und das VG im konkreten Fall unterschiedliche Auffassungen vertreten, sind sie sich in Ihrer Forderung nach einem Gesetz zum Beschäftigtendatenschutz einig. Schon im April letzten Jahres konstatierte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer Entschließung „Die Zeit für ein Beschäftigtendatenschutzgesetz ist „Jetzt“!“

Es bleibt abzuwarten, ob und wann der Gesetzgeber in dieser Sache tätig wird.

US-Präsident Joe Biden hat am 07. Oktober 2022 eine neue Exekutivanordnung unterzeichnet, die den Weg zu einem neuen EU-US Datenschutzabkommen (European Union-U.S. Data Privacy Framework) ebnen soll, welches US-Präsident Biden und EU-Kommissionspräsidentin von der Leyen bereits im Frühjahr dieses Jahres ankündigt haben.

Mit den Vorgaben der Exekutivanordnung soll künftig wieder ein rechtlich sicherer Datenaustausch zwischen der EU und den USA möglich werden, nachdem im Juni 2020 der Europäische Gerichtshof (EUGH) das bis dato bestehende Datenschutzabkommen des Privacy Shields für unzureichend erklärt hatte.

Die neuen Regelungen sollen den Schutz personenbezogener Daten von EU-Bürgern vor dem Zugriff US-amerikanischer Geheimdienste verbessern und es betroffenen Personen ermöglichen, sich künftig effektiver gegen Überwachungsmaßnahmen der Geheimdienste zur Wehr zu setzen.

Dennoch bleiben Massenüberwachungen (sog. bulk collections) ausdrücklich erlaubt, auch wenn diese nur unter bestimmten, in der Exekutivanordnung näher benannten, Voraussetzungen genehmigt werden. So müssen bspw. die Aktivitäten der Geheimdienste verhältnismäßig und die Erhebung von Daten auf das notwendige Maß beschränkt sein.

Hinsichtlich der Frage, wann eine Massenüberwachung zur Anwendung kommen kann, legt die Exekutivanordnung verschiedene Szenarien fest, darunter unter anderem der Schutz vor Terrorismus, Spionage und Cybersicherheitsbedrohungen.

Neben den Regelungen, die Klarheit über das ob und wie geheimdienstlicher Überwachungsmaßnahmen schaffen sollen, sieht die Exekutivanordnung auch ein zweistufiges Beschwerdeverfahren vor, mit dem sich die EU-Bürger gegen entsprechende Geheimdienstaktivitäten zur Wehr setzen können sollen.

Auf erster Ebene soll dabei ein sogenannter Bürgerrechtsbeauftragter (Civil Liberties Protection Officer) Beschwerden betroffener Personen untersuchen und feststellen, ob die zugrundeliegenden Maßnahmen gegen die Regelungen der Exekutivanordnung oder sonstige US-amerikanische Reglungen verstoßen haben.

Auf zweiter Ebene sollen betroffene Personen die Möglichkeit haben, gegen die Entscheidung des Bürgerrechtsbeauftragten einen Antrag auf Überprüfung durch ein sog. Datenschutzüberprüfungsgericht (Data Protection Review Court) zu stellen.

Für eine Überprüfung der Einhaltung der Vorgaben der Exekutivverordnung durch die US-Geheimdienste ist das sog. Privacy and Civil Liberties Oversight Board zuständig. Das Privacy and Civil Liberties Oversight Board prüft ebenfalls, ob die Geheimdienste im Beschwerdefalle mit dem Bürgerrechtsbeauftragten und dem Datenschutzüberprüfungsgericht kooperieren und deren Vorgaben entsprechend einhalten.

Ob mit der Exekutivanordnung künftig wieder ein rechtssicherer Datenaustausch zwischen der EU und den USA möglich wird, muss nun insbesondere von der EU-Kommission geprüft und entschieden werden.

Hierbei ist auch zu entscheiden, ob die Regelungen der Exekutivanordnung eine Überwachung von EU-Bürgern ausschließlich auf eine verhältnismäßige Überwachung im Sinne des Art. 52 der europäischen Grundrechtscharta beschränken und sicherstellen, dass Rechtsbehelfe im Sinne des Art. 47 der europäischen Grundrechtscharta garantiert werden.

Links:

Fact Sheet “Executive Order”

https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

Executive Order

https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/

Questions & Answers: EU-U.S. Data Privacy Framework

https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_6045