DSGVO birgt Fallstricke
Arbeitnehmer und Bewerber haben das Recht, zu wissen, welche Daten über sie gespeichert wurden.
Arbeitgeber haben im Umgang mit Mitarbeiterdaten sowohl die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) als auch das Bundesdatenschutzgesetz (BDSG-neu) zu beachten. Die Abweichungen vom bisherigen Datenschutzrecht sind teilweise beträchtlich.
In der Öffentlichkeit wurde vor allem darüber diskutiert, inwieweit sich die DSGVO auf die Übermittlung von Arbeitnehmerdaten innerhalb eines Konzerns oder bei der Umsetzung von Kontrollen am Arbeitsplatz auswirkt. Dagegen blieb eine intensive Auseinandersetzung darüber aus, wie die DSGVO sich auf den Umgang mit Arbeitnehmerdaten im betrieblichen Alltag auswirkt. Das überrascht, da den Unternehmen in alltäglichen Situationen erhebliche datenschutzrechtliche Risiken drohen. Nachfolgend werden einige Beispiele aufgeführt, die zeigen sollen, wie gravierend sich der neue Datenschutz in der betrieblichen Praxis auswirken kann.
Für Unternehmen bestehen umfassende datenschutzrechtliche Informationspflichten aus Artikel 13 DSGVO. Werden personenbezogene Daten eines Bewerbers oder Arbeitnehmers erhoben, muss der Arbeitgeber dem Betroffenen Informationen über die Verarbeitung seiner Daten zur Verfügung stellen. Insbesondere muss er über den konkreten Datenverarbeitungszweck, die Empfänger der personenbezogenen Daten und über die Speicherdauer unterrichten. Die Information hat zum Zeitpunkt der Datenerhebung zu erfolgen.
Umfassende Information des Bewerbers
Mit anderen Worten: Bereits zu Beginn eines Bewerbungsverfahrens muss der Kandidat umfassend nach Artikel 13 DSGVO informiert werden. Wird ein Arbeitsverhältnis begründet, hat der Arbeitgeber den Mitarbeiter spätestens zu Beginn des Arbeitsverhältnisses zu unterrichten. Wenn es zu einem späteren Zeitpunkt zu einer zusätzlichen personenbezogenen Datenerhebung kommt, besteht für das Unternehmen eine erneute Informationspflicht. Arbeitgeber sollten also Bewerbern und neuen Mitarbeitern schon zum Eingang der Bewerbungsunterlagen oder zum Zeitpunkt des Vertragsabschlusses ein Informationsblatt aushändigen, das die Informationspflichten aus Artikel 13 DSGVO erfüllt.
Verstöße gegen die Informationspflichten können nach Artikel 83, Absatz 5 DSGVO mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Unternehmensgruppenumsatzes sanktioniert werden. Zwar ist nicht zu erwarten, dass derart hohe Strafen bei einem erstmaligen Datenschutzverstoß eines mittelständischen Unternehmens verhängt werden. Dennoch ist zu befürchten, dass die Datenschutz-Aufsichtsbehörden – je nach konkretem Einzelfall – ein Bußgeld in vier- bis fünfstelliger Euro-Höhe verhängen könnten. Insbesondere bei Bewerbungsabsagen ist nicht ausgeschlossen, dass ein enttäuschter Bewerber im Falle der Verletzung von Informationspflichten eine Anzeige bei der zuständigen Datenschutzbehörde in Erwägung zieht. Das kann Betriebe erheblich unter Druck setzen.
Nach Artikel 15 DSGVO steht dem Mitarbeiter ein datenschutzrechtlicher Auskunftsanspruch zu. Auch Bewerber können sich auf Artikel 15 DSGVO berufen. Dieser Anspruch gewährt dem Betroffenen ein Recht auf Auskunft über die personenbezogenen Daten, die das Unternehmen über ihn verarbeitet. Der Auskunftsanspruch ist umfassend, Gründe für ein Auskunftsbegehren müssen nicht angegeben werden. Dem Arbeitnehmer wird der Auskunftsanspruch grundsätzlich jederzeit und uneingeschränkt eingeräumt. Der Arbeitgeber muss mitteilen, welche konkreten Daten über dem Betroffenen verarbeitet wurden.
Firma muss unbedingt Fristen einhalten
Ein bloßer Verweis auf Datenkategorien reicht nicht aus. Daneben erfasst Artikel 15 DSGVO auch weitere Angaben, die sich etwa auf den Verarbeitungszweck, die Empfänger der personenbezogenen Daten oder die Speicherdauer beziehen. Zudem ist der Arbeitgeber verpflichtet, dem Arbeitnehmer eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung zu stellen. Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Auskunftsersuchens, zu erteilen.
Nur in wenigen Ausnahmefällen ist eine Verlängerung der Frist um weitere zwei Monate möglich. Der Arbeitgeber hat die Auskunft innerhalb der entsprechenden Frist vollständig und richtig zu erteilen. Vollständigkeit ist hier sehr weit zu verstehen. Faktisch hat der Arbeitgeber Auskunft über alle personenbezogenen Daten zu erteilen, die er zu dem betroffenen Arbeitnehmer gespeichert hat. Dies können unter Umständen sogar einzelne E-Mail-Korrespondenzen zwischen dem Unternehmen und Dritten sein, die Bezug auf den betroffenen Mitarbeiter nehmen. Die von dem neuen Datenschutzrecht geforderte vollständige Erfüllung des Auskunftsanspruchs nach Artikel 15 DSGVO stellt damit eine wahre Herkulesaufgabe für Unternehmen dar.
In der Praxis können sich Auskunftsansprüche aus Artikel 15 DSGVO äußerst negativ für den Arbeitgeber auswirken. Die Auskunftspflicht ist für den Arbeitgeber sehr umfangreich, so
dass sie oft ohne organisatorische Vorkehrungen nicht innerhalb der kurzen Fristen vollständig erfüllt werden kann. Erfüllt der Arbeitgeber den Auskunftsanspruch nicht vollständig und/oder unrichtig, stellt dies einen Datenschutzverstoß nach Artikel 83, Absatz 5 DSGVO dar, der mit den bereits dargestellten hohen Bußgeldern sanktioniert werden kann.
Nach Artikel 82, Absatz 1 DSGVO stehen dem Betroffenen Schadenersatzansprüche zu, wenn er aufgrund eines Datenschutzverstoßes materielle oder immaterielle Schäden erleidet. Im Arbeitsrecht hat bisher die Geltendmachung von Schadenersatzansprüchen wegen Datenschutzverstößen keine große Rolle gespielt.
Materielle Schäden entstehen den Mitarbeitern aufgrund von Datenschutzverstößen in den seltensten Fällen. Die Arbeitsgerichte haben nach der alten Rechtslage einen immateriellen Schadenersatzanspruch nur in extremen Ausnahmefällen angenommen. Dabei musste ein besonders schwerwiegender Eingriff in das Persönlichkeitsrecht des Mitarbeiters vorliegen (zum Beispiel Einsatz heimlicher Videoüberwachung ohne jeden Anlass).
Dies wird sich nach dem neuen Datenschutzrecht ändern. Nach dem Wortlaut des Artikels 82, Absatz 1 DSGVO reicht das Vorliegen eines immateriellen Schadens (etwa in Form einer Persönlichkeitsrechts-Verletzung) für einen Schadenersatzanspruch bereits aus. Auf eine besondere Schwere des Eingriffs in das Persönlichkeitsrecht kommt es nicht an, so dass grundsätzlich bereits „einfache“Datenschutzverstöße einen immateriellen Schadenersatzanspruch begründen können.
Auch die Höhe des Schadenersatzes wird wohl zunehmen. Bisher gewährten die Arbeitsgerichte immateriellen Schadenersatz maximal in Höhe von wenigen Tausend Euro. Nachdem Verstöße gegen die DSGVO mit abschreckender Wirkung sanktioniert werden sollen (in Form eines hohen Bußgeldrahmens), werden die Arbeitsgerichte den Arbeitnehmern zukünftig wohl deutlich höhere Schadenssummen einräumen.
Nachdem das neue Datenschutzrecht die Möglichkeiten erleichtert, Schadenersatz bei Datenschutzverstößen geltend zu machen, steigen die datenschutzrechtlichen Risiken für Unternehmen. Gerade bei Arbeitsverhältnissen, die konfliktbeladen sind oder bei denen bereits ein Kündigungsschutzverfahren anhängig ist, wird die „Motivation“bei Arbeitnehmern steigen, Schadenersatzansprüche gegen den Arbeitgeber arbeitsgerichtlich geltend zu machen. Auf diese Weise kann die Verhandlungsposition des Mitarbeiters bei Verhandlungen über eine einvernehmliche Beendigung des Arbeitsverhältnisses gestärkt werden.
Strafen bei unzulässigen Kontrollen
In Kündigungsschutzprozessen, bei denen der Arbeitgeber die Kündigung aufgrund eines durch eine Kontrolle festgehaltenen Pflichtverstoßes begründen will (zum Beispiel Diebstahl des Mitarbeiters), wird sich die Thematik „Datenschutz“zukünftig wohl doppelt stellen. In dem Kündigungsschutzprozess wird der Mitarbeiter versuchen darzulegen, dass die Kontrolle unzulässig in sein Persönlichkeitsrecht eingegriffen hat und daraus ein Beweisverwertungsverbot resultieren soll.
Im Fall eines Beweisverwertungsverbots kann der Arbeitgeber die Erkenntnisse aus der Kontrolle nicht prozessual nutzen und damit regelmäßig auch nicht die Kündigung wirksam begründen. Daneben kommt bei einer rechtswidrigen Überwachung noch die Geltendmachung eines Schadenersatzanspruchs für den Arbeitnehmer in Betracht. Unternehmen laufen daher bei unzulässigen Kontrollmaßnahmen Gefahr, in Form eines Beweisverwertungsverbots sowie eines Schadenersatzanspruchs „doppelt bestraft“zu werden.