Anzeige

Experten im Fokus

Anzeige
HEUSSEN Rechtsanwaltsgesellschaft

„Bußgelder und Schadensersatz – das Bewusstsein für Beschäftigtendatenschutz sollte im gesamten Unternehmen gefördert werden“

Steht Arbeitgeber:innen in rechtlichen Fragen beratend zur Seite: Die HEUSSEN Rechtsanwaltsgesellschaft mbH in Berlin.

Steht Arbeitgeber:innen in rechtlichen Fragen beratend zur Seite: Die HEUSSEN Rechtsanwaltsgesellschaft mbH in Berlin.

Foto: HEUSSEN Rechtsanwaltsgesellschaft mbH

"Der Datenschutz ist ein ungeliebtes Thema, das gerade in kleineren und mittelständischen Unternehmen noch sparsam behandelt wird. Arbeitgeber:innen können aber sehr viel falsch machen", sagt Helge Röstermundt, Rechtsanwalt und Fachanwalt für Arbeitsrecht bei der HEUSSEN Rechtsanwaltsgesellschaft. Im Interview erklärt er, worauf Arbeitgeber:innen achten sollten, welche Gefahren das Thema Beschäftigtendatenschutz birgt und wie die rechtliche Situation sich in den letzten Jahren entwickelt hat.

Herr Röstermundt, kürzlich musste die Firma H&M satte 35,3 Millionen Euro Bußgeld wegen eines Verstoßes gegen den Beschäftigtendatenschutz zahlen. Können Sie einmal beschreiben, was hier passiert ist und wieso das andere Unternehmen animieren sollte, achtsam zu sein?

In einem Servicecenter in Nürnberg hatte H&M viele Details zu privaten Lebensumständen der Beschäftigten gespeichert. Nicht nur Berichte über Urlaubsziele, sondern auch besonders datenschutzsensible Gesundheitsinformationen, Informationen über Religionszugehörigkeit und über individuelle Arbeitsleistung wurden gespeichert und für bis zu 50 Führungskräfte als Profile lesbar gemacht. Im Oktober 2019 tauchten diese Datensätze wegen eines technischen Fehlers auf, wurden von der Datenschutzbehörde untersucht und ein knappes Jahr später geahndet. Nun sieht die Europäische Datenschutzgrundverordnung, die DS-GVO, in Artikel 83 für bestimmte Datenschutzverstöße Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem, welcher der Beträge höher ist. Die DS-GVO ist seit dem 25. Mai 2018 in der gesamten EU zwingend zu beachten. Verstöße können, wie der H&M-Fall zeigt, rückwirkend bis dahin sanktioniert werden. Zu bedenken ist, dass solche Verstöße nicht nur zufällig ans Licht kommen, sondern auch gezielt von Beschäftigten an die Datenschutzbehörden gemeldet werden können. Aber nicht nur die unangenehme Überprüfung durch die Datenschützer und deren Bußgelder müssen Unternehmen fürchten: Zunehmend machen Beschäftigte Ansprüche auf Auskunft, Schadensersatz und Schmerzensgeld gegenüber den Arbeitgeber:innen geltend.

Worauf müssen Arbeitgeber:innen achten?

Arbeitgeber:innen müssen sich darauf besinnen, dass die Erhebung und Verarbeitung von personenbezogenen Daten eigentlich grundsätzlich verboten ist, es sei denn, das Gesetz, Verträge oder die Einwilligung des Betroffenen erlaubten dies. § 26 des Bundesdatenschutzgesetzes erlaubt diese Verarbeitung für notwendige Zwecke des Beschäftigtenverhältnisses, wie z.B. bei Bewerbung, Vertragsschluss, für die Durchführung und zur Beendigung eines Arbeitsverhältnisses. Daten sollen auch nur zu dem Zweck verarbeitet werden, zu dem sie ursprünglich erhoben wurden und es sollen so wenig Daten wie möglich und nötig erhoben und verarbeitet werden.

Artikel 82 DS-GVO gibt den Betroffenen einen Anspruch auf Schadensersatz wegen der unzulässigen Verarbeitung ihrer personenbezogenen Daten. Schadensersatzklagen werden auf nicht vollständige oder verspätete Auskünfte zur Verarbeitung personenbezogener Daten gestützt. Sie zielen zumeist auf ein Schmerzensgeld wegen Verletzung der Persönlichkeitsrechte der Arbeitnehmer:innen ab. Die Gerichte haben bisher Beträge zwischen 300 Euro und 5.000 Euro als Schmerzensgeld zuerkannt.

Eine Klage auf Auskunft und auf Herausgabe von Kopien zu dieser Auskunft gemäß Artikel 15 Absatz 3 DS-GVO bereitet diese Schadensersatzansprüche vor. Was mitgeteilt werden muss, ist von der Rechtsprechung noch nicht abschließend geklärt.

Was muss im Rahmen des Auskunftsanspruchs nach Artikel 15 DS-GVO überhaupt alles mitgeteilt werden? Gibt es ein aktuelles Beispiel oder Urteil, das, Ihrer Meinung nach, die Tragweite des Auskunftsanspruchs am besten verdeutlicht?

Ja, es gibt da eine recht beunruhigende Entscheidung des Bundesgerichtshofes. In einem Urteil vom 15. Juni 2021 hat der Bundesgerichtshof (Az.: VI ZR 576/19) im Hinblick auf den Auskunftsanspruch eines Versicherungsnehmers gegen seine Versicherung den Begriff personenbezogene Daten sehr weit gefasst. Der dortige Kläger wollte feststellen lassen, dass sich sein Datenauskunftsanspruch auf sämtliche bei der Beklagten tatsächlich über den Kläger vorhandene Daten erstreckt, wie die intern zur Person des Klägers und die mit ihm gewechselte Korrespondenz (einschließlich E-Mails), die internen Telefon- und Gesprächsnotizen und sonstigen internen Vermerke der Beklagten zu dem Vertragsverhältnis, die Korrespondenz mit Dritten sowie schließlich auch die internen rechtlichen Bewertungen zu den Ansprüchen des Klägers aus seinem Vertrag.

Der BGH hat entschieden, dass sowohl objektive als auch subjektive Daten, wie z.B. Korrespondenz auch mit Dritten, Buchhaltungs- und Vertragsunterlagen, zeitlich zurückliegende Korrespondenz, aber auch interne Vermerke und Kommunikation des beklagten Versicherers von dem Begriff „personenbezogene Daten“ umfasst seien und damit dem Auskunftsanspruch und dem Anspruch auf Herausgabe von Kopien unterliegen können. Sich als Datenverantwortlicher auf den internen Charakter der Datenverarbeitung zu berufen, ist nach Auffassung des BGH nicht möglich, da Artikel 15 DS-GVO keine Beschränkung auf nur im Außenverhältnis verwendete personenbezogene Daten enthalte. Wir müssen annehmen, dass auch das Bundesarbeitsgericht, das über den Beschäftigtendatenschutz entscheidet, auch bald dieses weite Verständnis zu dem Auskunftsanspruch vertreten wird.

Können Sie beschreiben, wie sich die rechtliche Lage hier in den letzten Jahren entwickelt hat?

Es gibt eine Vielzahl von Entscheidungen der Arbeitsgerichte und der Landesarbeitsgerichte, die zum Teil widersprüchlich zueinander sind. Erkennbar sind die Bestrebungen, den Datenschutz nicht ausufern zu lassen auf der einen Seite und auf der anderen Seite, den Datenschutz sehr weitgehend zu verstehen. Letztere Richtung scheint sich nun durchzusetzen.

Können Sie ein Beispiel nennen?

Das Landesarbeitsgericht Baden-Württemberg hatte die Arbeitgeberin am 20. Dezember 2018 verurteilt, dem Kläger gemäß Artikel 15 Absatz 3 DS-GVO Auskunft über verarbeitete personenbezogene „Leistungs- und Verhaltensdaten“ zu geben und zudem einen auf den ersten Blick schrankenlos formulierten Anspruch auf Herausgabe von Kopien hierzu zugebilligt. Was alles herausgegeben werden muss, sprach das Gericht aber noch nicht aus. In einem Urteil vom 17. März 2021, Az:. 21 Sa 294/20, verlangte das LAG dann keine Konkretisierung von dem klagenden Arbeitnehmer, welche Daten und Dokumente er überhaupt herausverlangt. Schon 2019 hatte das Oberlandesgericht Köln den Auskunftsanspruch auf ganze Datensätze erstreckt. Das Arbeitsgericht Düsseldorf sah dagegen in seinem Urteil vom 05. März 2020 die Arbeitgeberin nicht in der Pflicht, in sämtlichen Servern, Speichermedien, Smartphones, Notebooks, diversen anderen Endgeräten oder E-Mails nach personenbezogenen Daten des Klägers zu suchen, um sie in Kopie herauszugeben. Dies stehe in einem groben Missverhältnis zum Leistungsinteresse des Klägers und damit sogar auch konträr zu dem Grundsatz von Treu und Glauben gemäß Artikel 8 Absatz 2 der Europäischen Grundrechtscharta, der auch für die Datenverarbeitung gelte.

Gibt es weitere ähnliche Urteile?

Das Arbeitsgericht Bonn entschied in seinem Urteil vom 16. Juli 2020, Az.: 3 Ca 2026/19, dass der klagende Arbeitnehmer zunächst einmal sein Auskunftsverlangen auch hinreichend zu konkretisieren habe. Bleibt der Arbeitnehmer zu pauschal, sei das Auskunftsverlangen als zu weitgehend zurückzuweisen.

Das Bundesarbeitsgericht ließ in seinem Urteil vom 27. April 2021 dann ebenfalls noch offen, was ganz konkret alles Gegenstand der Auskunft sein könne. Die Richtung war aber trotzdem schon deutlich: Kopien von allen E-Mails, internen Vermerken und sonstigen Notizen zu personenbezogenen Daten könne der Kläger durchaus verlangen, müsse aber präzisieren, um welche es ihm gehe. Der BGH vollendete in dem besagten Urteil vom Juni 2021 diese Entwicklung zu einer weiten Auslegung des Auskunftsanspruchs. Das BAG teilt nun keineswegs immer automatisch die Meinung des BGH, jedoch zeichnet sich ja in der Entscheidung des BAG vom April 2021 ebenfalls ein weitgehendes Verständnis des Auskunftsrechts ab.

Worin bestehen Gefahren oder Herausforderungen für Arbeitgeber:innen?

Der Datenschutz ist ein ungeliebtes Thema, das gerade in kleineren und mittelständischen Unternehmen noch sparsam behandelt wird. Arbeitgeber:innen können aber sehr viel falsch machen. Zum Beispiel kann schon das verspätete oder nicht ganz vollständige Beantworten der Auskunftsanfrage derzeit zu einer Verurteilung zu einem Schmerzensgeld zwischen 1.000 bis 5.000 Euro führen. Nicht selten werden auch die Fotos von Mitarbeiter:innen auf Webseiten nicht gelöscht oder ohne Einwilligung der Betroffenen eingestellt. Das Arbeitsgericht Münster hatte einer Mitarbeiterin hierfür ein Schmerzensgeld von 5.000 Euro zuerkannt, weil ihr Foto ohne Einwilligung in einem auf die Hautfarbe und die ethnische Herkunft bezogenen Zusammenhang eingesetzt wurde.

Die Anwälte von Arbeitnehmer:innen setzen den Auskunftsanspruch und den eventuell damit drohenden Schadensersatzanspruch zunehmend ein, um in der Verhandlung um die Beendigung eines Arbeitsverhältnisses Druck aufzubauen. Mitunter wird auch darauf gehofft, dass sich aus der Auskunft Informationen zur Verwendung in einem Kündigungsschutzprozess ergeben. Jede Auskunft birgt zudem die Gefahr in sich, dass ein Datenschutzverstoß überhaupt erst entdeckt wird und entsprechende Konsequenzen nach sich zieht. Neben dem hohen Arbeitsaufwand ist es diese Sorge, die Arbeitgeber:innen schon einmal zu einer höheren Abfindung bewegen kann.

Die Gefahren lassen sich also auch als Lästigkeiten beschreiben …

Ja, denn stellen Arbeitnehmer:innen den Auskunftsanspruch, muss der Arbeitgeber einen umfangreichen Fragenkatalog in der Regel spätestens binnen eines Monats lückenlos beantworten. Dies erfordert angesichts des Umfangs dessen, was zu überprüfen und in Kopie zu übergeben ist, einen sehr hohen Zeit- und damit Personal- und Kostenaufwand. Wenn eine Beschäftigte mehrere Jahre im Unternehmen war und beispielsweise unter Berufung auf das BGH-Urteil vom Juni 2021 die Herausgabe sämtlicher E-Mails fordert, die personenbezogene Daten von ihr enthalten, kann und wird dies sofort eine erhebliche Belastung für das Unternehmen darstellen. Hinzu kommt die Sorge vor Bußgeldern und Schadensersatzansprüchen, wenn sich aus den zu übergebenden Datensätzen Verstöße gegen den Datenschutz ergeben sollten. Außerdem wird es viel Unsicherheit auf Arbeitgeberseite geben: Muss man wirklich – bei einem langen Arbeitsverhältnis – hunderte oder gar mehr E-Mails ausdrucken und der Arbeitnehmerin übergeben? Oft wird es unausweichlich sein, sich von einem Anwalt beraten zu lassen, um möglichst viel Sicherheit zu gewinnen. Die Befassung damit kostet dann also auch noch Geld für externe Berater.

Lässt sich den strengen DS-GVO-Regelungen überhaupt rechtlich etwas entgegensetzen?

Die Arbeitgeber:innen können sich, neben eher formalen Aspekten, mit dem inhaltlichen Argument entgegenstehender berechtigter Interessen gemäß Artikel 15 Absatz 4 DS-GVO verteidigen und auf die Rechte und Freiheiten anderer Personen, und damit auch die eigenen des Arbeitgebers bzw. der Arbeitgeberin selbst, abstellen. Beispiele sind die Verteidigung von urheberrechtlich geschützten Werken oder von Geschäftsgeheimnissen aber auch die Rechte anderer Arbeitnehmer:innen oder diejenigen von Kunden.

Es geht dann um Informationen, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten (Artikel 34 Abs. 1, Artikel 29 Abs. 1, Artikel 23 Absatz 1 DS-GVO), bzw. der entgegenstehenden „Rechte und Freiheiten anderer“ (Artikel 15 Abs 3 DS-GVO analog) zu schützen sind. Wie die schon angesprochene Entscheidung des LAG Baden-Württemberg vom 20. Dezember 2018 zeigt, muss die Arbeitgeberin dies jedoch detailliert und schlüssig erklären können. Die Einwendung der Arbeitgeberin, wonach einer solchen Auskunft Geheimhaltungsinteressen (seinerzeit konkret die Interessen anderer Mitarbeiter in einem betrieblichen Hinweisgebersystem) entgegenstünden, ließ das LAG nicht gelten. Zwar könnten geheimhaltungsbedürftige Informationen, und damit auch personenbezogene Daten von Beschäftigten, die geheim gehalten werden müssen, das Auskunftsrecht begrenzen. Die Arbeitgeberin hatte allerdings ihren Vortrag darauf beschränkt, dass die Anonymität von Hinweisgebern geschützt werden müsse. Ihr Hinweisgebersystem funktioniere nur, wenn die Anonymität eine Angst vor Benachteiligung und Repressalien ausschließe. Diesen Vortrag ließ das Gericht als zu pauschal nicht ausreichen.

In dem oben schon erwähnten Urteil vom Juni 2021 hat der BGH explizit nicht ausgeschlossen, dass der Datenverantwortliche auch einen Missbrauch des Auskunftsanspruchs einwenden könne. Hier würde man an den Vorwurf denken, ein Mitarbeiter erhebe den Auskunftsanspruch nur, weil er durch den damit erzeugten Druck eine Abfindung erzwingen möchte. Auch bleibt nach dem BGH-Urteil die Einwendung denkbar, dass die Erfüllung des Auskunftsanspruchs ein unverhältnismäßiger Aufwand sei oder Geheimhaltungsinteressen (beispielsweise Geschäftsgeheimnisse) entgegenstehen könnten.

Wie können Sie Arbeitgeber:innen bzw. Unternehmen bei Datenschutzthemen unterstützen?

Die Arbeitgeber:innen sind gut beraten, schon beim Arbeitsvertragsschluss auf den Datenschutz hinzuwirken: Der Arbeitsvertrag sollte explizit auf den Datenschutz verpflichten und von einer schriftlichen Aufklärung über die wesentlichen Grundsätze des zu beachtenden Datenschutzes und natürlich über die gravierenden Rechtsfolgen seiner Verletzung begleitet sein. Zu denken ist auch an eine Vertragsstrafe im Arbeitsvertrag für den Fall eines Verstoßes. Dieses Regelwerk können Anwälte zur Verfügung stellen. Hier kann das Fachwissen des Arbeitsrechtlers und des anwaltlichen Datenschutzexperten gute Dienste leisten. Auch ist es ratsam, dass sich die Arbeitgeber:innen bei der Formulierung ihrer Auskunft anwaltlich begleiten lassen.

Das heißt, Arbeitgeber:innen sind gut damit beraten, sich auf einen möglichen datenschutzrechtlichen Auskunftsanspruch vorzubereiten ...

Richtig, es sollte schon von Anfang an beherzigt werden, so wenige Daten wie nötig zu speichern und diese zeitig zu löschen. Es sollte überlegt werden, wie die Daten so erfasst werden, dass sie im Falle des Auskunftsbegehrens oder einer Prüfungsanfrage der Datenschutzbehörde schnell durch Datenträger verfügbar gemacht werden können. Es sollte ein Ablaufplan bestehen, der die Verantwortlichkeiten und die einzelnen Schritte der Reaktion klar festlegt. Eine Taskforce kann vorab bestimmt werden, die bereit steht, ggf. im Zusammenwirken mit einem bzw. einer betrieblichen Datenschutzbeauftragten, schnell zu reagieren. Die Arbeitgeber:innen sollten auch die Argumentation für die dem Auskunftsanspruch entgegenstehenden berechtigten Interessen parat haben. Dabei muss nicht zuletzt auch in Vorbereitung gerichtlicher Auseinandersetzungen daran gedacht werden, dass die eigenen Behauptungen nicht nur schlüssig darlegbar, sondern auch beweisbar sein müssen.

Was können Sie Arbeitgeber:innen an dieser Stelle abschließend raten?

Ich empfehle das Bewusstsein für den Datenschutz im gesamten Unternehmen gezielt zu fördern, von der Chefetage bis zu den Auszubildenden. Sensibilität und Achtsamkeit im Umgang mit den personenbezogenen Daten sind Pflicht und dies kann den Beschäftigten durch schriftliche Informationen aber auch Schulungen vermittelt werden. Es gilt, Datenschutzvorfälle von vornherein möglichst zu verhindern. Arbeitgeber:innen müssen sich technisch und organisatorisch so aufstellen, dass die Auskunft nach Artikel 15 DS-GVO, einschließlich der Kopien, zügig innerhalb der dafür geltenden Monatsfrist und nötigenfalls auch sehr umfangreich gegeben werden kann.

Wie sieht das Ganze im Homeoffice aus, in dem sich aktuell viele befinden? Haben Sie hier einige konkrete Tipps?

Arbeitgeber:innen und Arbeitnehmer:innen haben im Homeoffice den Datenschutz uneingeschränkt im gleichen Maße zu beachten, wie es bei der Tätigkeit vor Ort im Unternehmen der Fall wäre. Dabei lauern auch andere Gefahren: Mitarbeiter:innen müssen personenbezogene Daten vor dem Zugriff und auch nur vor der Einsichtnahme durch ihre Familienangehörigen bzw. sonstige Mitbewohner und Besucher schützen. Mobile Geräte müssen natürlich mit effizientem und wirksamem Passwortschutz versehen, automatische Bildschirmsperren eingerichtet sein. Aber auch Papiere müssen vor Einsichtnahme oder gar Verlust geschützt werden.

Wir freuen uns auf Sie!

 

Kontakt

 

HEUSSEN Rechtsanwaltsgesellschaft mbH  

Kurfürstendamm 31

10719 Berlin

 

Tel. 030 700 94 936 

Web: www.heussen-law.de

 

 

Schwerpunkte

 

Arbeitsrecht

Immobilienrecht

Stiftungen

 

Unternehmensnachfolge

Vermögensnachfolge