LAG Rheinland-Pfalz: keine Datenschutz-Folgenabschätzung für Einsatz von Microsoft365 erforderlich, wenn bei Nutzung in Software keine Kundendaten gespeichert werden

So das Gericht in seinem Urteil vom 29. August 2022 (Az.: 3 Sa 203/21). In dem arbeitsgerichtlichen Verfahren war die Kündigung eines Beschäftigten zu entscheiden, der sich gegen die Kündigung im Wege der Kündigungsschutzklage gewehrt hatte. Der Beschäftigte war betrieblicher Datenschutzbeauftragter in einem Unternehmen, in dem im Jahr 2020 weniger als 10 Menschen beschäftigt waren.

Das Gericht sieht keine Bestellpflicht im konkreten Fall aus Art. 37 DSGVO und § 38 BDSG.

Unter anderem sah das Gericht keine Pflicht zur Bestellung, da für den Einsatz von Microsoft365 keine Datenschutz-Folgenabschätzung erforderlich sei und sich daher der Kläger nicht auf die gesetzliche Regelung des § 38 I 2 1. Alt. BDSG.

Dazu führt das Gericht in den Entscheidungsgründen unter anderem aus:

„…Die Beklagte nimmt auch keine Verarbeitung personenbezogener Daten in einer Weise vor, dass diese einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterzogen werden muss, § 38 Abs. 1 Satz 2 1. Alt. BDSG.

Ergibt die Risikobewertung einer konkreten Verarbeitungstätigkeit, dass voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, so ist die geplante Verarbeitung einer Datenschutz-Folgenabschätzung zu unterziehen. Mit ihr soll in der Folge ermittelt werden, ob das identifizierte Risiko mit Hilfe von Abhilfemaßnahmen unter die Schwelle des hohen Risikos reduziert werden kann und welche konkreten Maßnahmen hierfür geeignet sind. Folgt aus der Risikoanalyse dagegen, dass kein hohes Risiko besteht, hat der Verantwortliche seinen Pflichten aus Art. 35 DSGVO damit genügt. Im Vorfeld hat der Verantwortliche stets zu evaluieren, ob die geplanten Verarbeitungsvorgänge die Schwelle eines voraussichtlich hohen Risiko iSd Abs. 1 überschreiten. Das bedeutet, dass die mit der Verarbeitung verbundenen Risiken über die allgemeinen Gefahren hinausgehen müssen, die üblicherweise mit Datenverarbeitungstätigkeiten einhergehen.

Für diese „Schwellenwertanalyse“ ist eine ganzheitliche und vorausschauende wertende Betrachtung anzustellen, bei der verschiedene Faktoren des jeweiligen Einzelfalles zu berücksichtigen sind, wie insbesondere die Art, der Umfang, die Umstände und die Zwecke der geplanten Datenverarbeitung. Eine Bewertung unter Heranziehung dieser Kriterien wird vom Verantwortlichen auch nach anderen Vorschriften der DSGVO verlangt, insbesondere gemäß Art. 24 Abs. 1, 25 Abs. 1 und 32 Abs. 1 DSGVO. Aus den Erwägungsgründen 89 und 90 folgt zudem, dass ein hohes Risiko im Rahmen des Art. 35 Abs. 1 DSGVO nach dem Willen des Gesetzgebers nur in Ausnahmefällen vorliegen sollte, der Begriff des „voraussichtlich hohen Risikos“ mithin restriktiv auszulegen ist (vgl. Ehmann/Selmayr, Datenschutz- Grundverordnung, 2. Auflage 2018, Art. 35 DSGVO Rn. 19 ff.).

Nach diesen Grundsätzen hat die Beklagte nach ihrer Risikoanalyse im Einzelnen dargelegt, dass ihre Verarbeitungsvorgänge voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen impliziert. Die Verarbeitung personenbezogener Daten, die der Kläger anspricht, wie bspw. bei der Lohnbuchhaltung, gehen über die allgemeinen Gefahren, die üblicherweise mit Datenverarbeitungstätigkeiten einhergehen, nicht hinaus. Entsprechendes gilt für die vom Kläger behaupteten gespeicherten Kundendaten in der Cloud…“