Fortbildung

Fortbildung Datenschutzrecht

Mit der Einführung der DSGVO (Datenschutzgrundverordnung) haben sich die Folgen von Datenschutzverletzung erheblich erhöht. Die Möglichkeit der Verhängung von Bußgeldern wurden erheblich ausgeweitet. Darüber hinaus haben auch ArbeitnehmerInnen neben einen Schadensersatzanspruch nun auch einen Anspruch auf immateriellen Schadensersatz (auch Schmerzensgeld). Am 05.10.2021 fand die Fortbildung mit dem Thema „Auskunfts- und Entschädigungsansprüche nach der DSGVO“ online statt, um Einblicke in diese umfassende Rechtsgebiet zu vermitteln. Der Dozent Olaf Möllenkamp ist Richer am Arbeitsgericht Lübeck und verfügt damit über äußerst gute Erfahrungen zu diesem Thema.

Grundsätze für die Datenverarbeitung

Die Grundsätze der Datenverarbeitung werden in Art. 5 der DSGVO geregelt. Nach dem Grundsatz der Datenminimierung dürfen nicht wahllos viele Daten gesammelt werden, wenn dies nicht erforderlich ist. Daten sollen daher vom Arbeitgeber nur sparsam gesammelt werden. Ob ein Arbeitnehmer über ein eigenes Auto verfügt, braucht nicht festgestellt zu werde, wenn der Arbeitnehmer keine Reisetätigkeiten ausübt.

Nach dem Grundsatz der Zweckbindung dürfen die gespeicherten Daten nicht zu anderen als den ursprünglichen Zwecken verwendet werden. Wurden beispielsweise Daten im Rahmen eines betrieblichen Eingliederungsmanagements (BEM) gesammelt, ist deren Verwendung im Rahmen eines Bonussystems nicht erlaubt.

Daten müssen auch richtig erfasst werden (Richtigkeit der Daten). Und die Speicherdauer von Daten muss begrenzt werden. Zwar kann daher aufgrund der Vorschriften nach dem Teilzeit- und Befristungsgesetz die Information, dass ein Arbeitnehmer in der Vergangenheit bei einem Arbeitgeber beschäftigt war, sehr lange gespeichert werden. Weitere Daten wären aber nach Ablauf der gesetzlichen Aufbewahrungsfristen zeitnah zu löschen.

Aufgrund des Grundsatzes der Integrität und Vertraulichkeit der Daten müssen Arbeitgeber die Daten der Arbeitnehmer auf sicheren Systemen speichern. Daher kann die Verwendung veralteter und unsicherer Software eine datenschutzrechtliches Problem darstellen.

Durch die gesetzlichen Rechenschaftspflichten muss der der Arbeitgeber die Einhaltung der Grundsätze nachweisen können. Im Zweifel müssen Arbeitgeber daher die Einhaltung der Grundsätze darlegen können. Hierzu ist es erforderlich, dass Unternehmen das Datenschutzrecht bei allen Tätigkeiten von Beginn an berücksichtigen und die Einhaltung der Grundsätze der DSGVO dokumentieren. Der Gesetzgeber hat bewusst darauf verzichtet, Unternehmen durch genaue Vorschriften zu bevormunden. Stattdessen müssen Unternehmen und Arbeitgeber selbst darlegen, wie sie die vorgenannten Grundsätze einhalten.

Rechte der Betroffenen – auch der Beschäftigten

Für die Betroffenen sieht die DSGVO verschiedene Rechte vor. Bei Erhebung der Daten sind dem Betroffenen gem. Art. 13 DSGVO verschiedene Informationen mitzuteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Es bietet sich daher an, dem Arbeitnehmer bereits zu Beginn ein vorgefertigtes Schreiben zur Verfügung zu stellen, auf dem sich diese Informationen befinden. Dieses Schreiben muss in der Regel nur einmal angefertigt werden.

Nach Art. 14 DSGVO besteht zudem Informationspflichten bei Erhebung von Daten bei Dritten. Dies kann in der Praxis relevant werden, wenn Arbeitgeber sog. Background-Checks bei Bewerbungen durchführen.

Auskunftsrecht und weitere Rechte

Zu dem Auskunftsrecht des Arbeitnehmers nach Art. 15 DSGVO und seinen Folgen hatte ich bereits in meinem letzten Blog berichtet: Schadensersatz bei Datenschutzverstoß?

Weitere Rechte sind das Recht auf Berichtigung (Art. 16 DS-GVO), das Recht auf Löschung (Art. 17 DS-GV und das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO).

Abwehrmaßnahmen des Arbeitgebers

Der Arbeitgeber kann einem Anspruch des Arbeitnehmers verschiedene Gegenrechte entgegensetzen. So kann sich der Arbeitgeber auf Beeinträchtigung von Rechten und Freiheiten anderer Personen für den Fall der Herausgabe von Daten berufen. (Art. 15 Abs. 4 DS-GVO).

Dies könnte beispielsweise der Fall sein, wenn der Arbeitnehmer die Herausgabe aller E-Mails verlangt, die ihn persönlich betreffen. Da in den E-Mails jedoch wiederum Daten von anderen Personen enthalten sein könnten, könnten dem Auskunftsanspruch die Berechtigten Interessen der anderen Personen entgegen stehen.

Der Arbeitgeber kann sich zudem auf einen unverhältnismäßigen Erfüllungsaufwand berufen. Es wird hierbei vertreten, dass Art. 15 DS-GVO nicht sämtliche personenbezogenen Daten erfasst, die massenhaft im Rahmen eines Arbeitsverhältnisses anfallen können.

Das Problem wird nur bei genauerem Hinsehen erkennbar. Bei der Benutzung von technischen Einrichtungen durch Arbeitnehmer werden fortlaufend personenbezogene Daten gespeichert. Jeder PC mit Windows speichert bereits das Anschalten und Ausschalten des Rechners. Bereits darin liegen aber personenbezogene Daten. Würde der Arbeitnehmer all diese Daten herausverlangen, entstünde ein unverhältnismäßigen Erfüllungsaufwand.

Wenn Auskunftsansprüche rechtsmissbräuchlich geltend gemacht werden, kann durch den Arbeitgeber auch der Einwand des Rechtsmissbrauches geltend gemacht werden. Die rechtsmissbräuchliche Geltendmachung durch den Arbeitnehmer muss aber besonders begründet werden. Erfolgt hier eine Fehleinschätzung, können Arbeitnehmer Schadensersatzansprüche gegen den Arbeitgeber geltend machen.

Schadensersatzansprüche der Arbeitnehmer

Bei der Verletzung von Auskunftsansprüche, verspäteter Auskünfte oder aber Verletzung der Grundsätze der DSGVO stehen den betroffenen Arbeitnehmern nunmehr erhebliche Schadensersatzansprüche zu. Die DSGVO schreibt hierzu vor, dass der Schadensersatzanspruch wirksam und abschreckend sein soll. Die Gerichte müssen dies daher bei der Höhe der festzusetzenden Ansprüche beachten. Manche sehen hier gar bereits das Entstehen amerikanischer Ausmaße bei der Forderung von Schadensersatz.

Verstoß entstehen bereits durch verspätete oder falsche Auskunftserteilung oder unterlassene Datenlöschung oder die Nutzung unsicherer Computersystem etc.

Weitere praktische Beispiele von Datenschutzverstößen sind:

  • Datenspeicherung von Mitarbeiterdaten in der Cloud
  • Weitergabe von Daten an Dritte
  • innerbetriebliches Zugänglichmachen von Daten
  • verspätete oder unterbliebene Löschung
  • Video- und Detektivüberwachung
  • Datenschutzproblematiken im Homeoffice

Fazit

Das Datenschutzrecht entwickelt sich zu einem heißen Pflaster. Dies liegt vor allem auch darin begründet, dass heute Daten an einer Vielzahl von Stellen gespeichert werden und hierüber häufig bereits der Überblick fehlt. Bereits die Nutzung von WhatsApp führt zu erheblichen Datenschutzproblemen, weil Nutzerdaten in die USA übertragen werden. Ungeklärt ist der Umgang mit der Vielzahl von personenbezogenen Daten die während der Nutzung der technischen Geräte bereits heute anfallen. Jedes Anschalten des Computers produziert personenbezogene Daten über die Arbeitsweise von Arbeitnehmern. Selbst wenn Bildschirmschoner aktiviert werden, wird dies von Windows registriert. Wer diese Daten ausliest, weiß genau, wann wer wie lange gearbeitet hat. Hinzu kommen ungeklärte Fragen über die Höhe von Schadensersatzansprüchen und Bußgeldern. Letztendlich wird die DSGVO auch künftig vielfach taktisch in Arbeitsgerichtsprozessen zu Nutze gemacht, um die eigene Verhandlungsposition zu stärken.