Geldbußen
Subscribe Abonnieren Sie die Beiträge von Geldbußen

Kann man den datenschutzrechtlichen Auskunftsanspruch „wegvergleichen“?

Der datenschutzrechtliche Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO beschäftigt Unternehmen auf vielfältige Art und Weise. Zuletzt hatten die europäischen Datenschutzaufsichtsbehörden diesbezüglich eine koordinierte Prüfaktion durchgeführt. Insbesondere im Arbeitsverhältnis ergeben sich Herausforderungen, die nicht nur komplexe juristischen Fragestellungen betreffen, sondern ganz praktisch den korrekten Umgang mit Auskunftsanfragen. Dementsprechend beschäftigen Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs häufig die Gerichte.

Hohe Bedeutung, hoher Aufwand

Der Auskunftsanspruch hat große Relevanz u.a. dadurch erhalten, dass er im Kündigungsschutzprozess genutzt wird, um eine Art Ausforschung beim (ehemaligen) Arbeitgeber zu betreiben, dort möglichst viel Aufwand zu verursachen oder Fehler (z.B. ein Fristversäumnis) zu provozieren. Aufwand und Fehlerpotential potenzieren sich zudem in Abhängigkeit von Beschäftigungsdauer und Bedeutung der jeweiligen Tätigkeit. In der Folge können im ersten Schritt bis zu mehrere Tausend E-Mails und Dokumente Teil der Auskunft sein, die dann im zweiten Schritt auf entgegenstehende Rechte (z.B. Persönlichkeitsrechte anderer Beschäftigter, Geschäftsgeheimnisse usw.) überprüft und ggf. gekürzt/geschwärzt werden muss. Damit kann ein ganz erheblicher Aufwand verbunden sein.

Ausschluss des Auskunftsanspruchs im arbeitsgerichtlichen Vergleich

Wenn ein Arbeitsverhältnis beendet wird, kann es für den Arbeitgeber wünschenswert sein, sich vor möglichen zukünftigen datenschutzrechtlichen Forderungen seines Arbeitnehmers zu schützen. Dies gilt umso mehr, wenn es zu einem arbeitsgerichtlichen Verfahren kommt, bei dem am Ende das Ziel ist, das Arbeitsverhältnis im Einvernehmen zu beenden und dabei auch alle denkbaren gegenseitigen Ansprüche aus der Vergangenheit, als endgültigen Schlussstrich, endgültig zu erledigen.

Einige Fragen ergeben sich dabei: Erstens, ob die Art. 12 ff. DSGVO, vor allem Art. 15 DSGVO, die die Rechte der Betroffenen regeln, überhaupt den Parteien zur freien Vereinbarung offenstehen. Zweitens, ob diese Rechte durch einen gerichtlichen Vergleich aufgegeben werden können und wie ein solcher Vergleich gestaltet sein muss.

Die saarländische Datenschutzbehörde äußert sich im kürzlich veröffentlichten Tätigkeitsbericht 2023 hierzu eindeutig: „Das Datenschutzrecht wird (…) von dem Gedanken der Selbstbestimmtheit des Betroffenen getragen, was es vor allem durch das Institut der Einwilligung (…) unmissverständlich zum Ausdruck bringt. Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und inwieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Ausgestaltung des Vergleichs

Ein arbeitsgerichtlicher Vergleich mit einem Verzicht auf den Auskunftsanspruch muss klar und bestimmt sein. Nach der (unternehmensfreundlichen) Ansicht der saarländischen Datenschutzbehörde soll jedoch selbst eine Abgeltungsklausel, die alle Ansprüche aus dem Arbeitsverhältnis und seiner Beendigung (egal ob bekannt oder unbekannt und egal weshalb) erfasst, für einen solchen Verzicht ausreichend sein.

Nach Ansicht der saarländischen Datenschutzbehörde ist eine solche Klausel hinreichend bestimmt. Selbst wenn der Vergleich nach seinem Wortlaut nur Ansprüche „aus dem Arbeitsverhältnis“ umfassen sollte, sei dies irrelevant, da das Arbeitsverhältnis Grundlage für die Datenverarbeitung darstelle. Dementsprechend seien nicht nur arbeitsrechtliche Ansprüche im engeren Sinn, sondern auch datenschutzrechtliche Ansprüche gemeint, die mit dem Arbeitsverhältnis zusammenhängen und für die das Arbeitsverhältnis Verarbeitungsbasis war.

Eine wesentliche Einschränkung macht die Behörde jedoch: Dem Arbeitnehmer muss insbesondere für noch nicht absehbare Datenverarbeitungen der Zukunft die Möglichkeit der [...]

Continue Reading




mehr lesen

DSGVO-Schadensersatz: Keine Haftung für Unternehmen bei Fehlverhalten Beschäftigter?

Warum ist das relevant?

Bei Verstößen gegen das Datenschutzrecht drohen Unternehmen insbesondere zwei Konsequenzen: Maßnahmen der Datenschutzaufsichtsbehörden inkl. möglicher DSGVO-Geldbußen nach Art. 83 DSGVO sowie Schadensersatzforderungen der betroffenen Personen nach Art. 82 DSGVO.

Nachdem die Rechtsprechung des Europäischen Gerichtshofes (EuGH) zuletzt bereits die Verhängung von Geldbußen durch die zuständigen Aufsichtsbehörden erleichtert hatte , wird es Unternehmen nun deutlich erschwert, sich durch Hinweis auf weisungswidriges Verhalten von Beschäftigten den Schadensersatzforderungen betroffener Personen zu entziehen (EuGH, Urteil vom 11. April 2024 – C‑741/21).

Das Wichtigste in Kürze:

  • Der EuGH ist deutlich: Eine Haftungsbefreiung kommt überhaupt nur so weit in Betracht, wie sie nicht die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruchs betroffener Personen gefährdet.
  • Dementsprechend stellt das Gericht klar, dass eine Haftungsbefreiung im Rahmen von Datenschutzverstößen nur dann möglich ist, wenn Unternehmen nachweisen können, dass sie in „keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind.
  • Bei der Prüfung einer irgendwie gearteten Verantwortlichkeit von Unternehmen ist im Hinblick auf das weisungswidrige Verhalten von Beschäftigten zu berücksichtigen, dass es sich bei den Beschäftigten eines Unternehmens um „dem Verantwortlichen unterstellte Personen“ i.S.d. Art. 29 DSGVO handelt. Diese Personen dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, sodass bei weisungswidrigem Verhalten der Ausschluss einer Haftung auf den ersten Blick naheliegt.
  • Unternehmen sind jedoch dazu verpflichtet, mittels technischer und organisatorischer Maßnahmen sicherzustellen, dass die Datenverarbeitung durch Beschäftigte auch wirklich nur weisungsgemäß stattfindet. Eine weisungswidrige Verarbeitung legt somit zunächst nahe, dass die Maßnahmen des Unternehmens zum Schutz gegen weisungswidriges Verhalten nicht ausreichend waren, sodass auch Haftungsausschluss nicht in Betracht kommt.
  • Die Frage, wie solche Maßnahmen aussehen könnten, die im Ergebnis zu einer wirksamen Haftungsbefreiung für Unternehmen führen könnten, wurde vom EuGH nicht beantwortet.
  • In der gleichen Entscheidung hat der EuGH zudem festgestellt, dass allein ein Verstoß gegen die Bestimmungen der DSGVO für sich genommen nicht ausreichend ist, um einen DSGVO-Schadensersatzanspruch zu begründen. Das Gericht hält jedoch fest, dass bereits ein kurzzeitiger „Verlust der Kontrolle“ einen „immateriellen Schaden“ i.S.d. DSGVO darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Handlungsempfehlung

Dies Urteil zeigt erneut: Einer guten Datenschutz-Organisation kommt ganz wesentliche Bedeutung zu. Klare Handlungs- und Organisationsanweisungen, insbesondere zum Umgang mit Betroffenenrechten (wie z.B. dem Auskunftsrecht), sind das Mindestmaß, das um regelmäßige Schulungen, Kontrollen der eigenen Compliance-Organisation und sonstige technische und organisatorische Maßnahmen zu ergänzen ist.




mehr lesen

DSGVO-Auskunftsrecht: Europäische Aufsichtsbehörden starten koordinierte Prüfaktion

Die europäischen Datenschutzbehörden haben eine koordinierte Prüfaktion mit Fokus auf das Auskunftsrecht gem. Art. 15 DSGVO gestartet. Dabei handelt es sich um eines der in der Praxis bedeutsamsten Datenschutzrechte, gerade auch von Beschäftigten. In Deutschland beteiligen sich neben dem Bundesbeauftragten für Datenschutz die Länder Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein.

Ziel der Prüfaktion zum Auskunftsrecht

Nach Art. 15 DSGVO hat jede betroffene Person das Recht, Auskunft zu verlangen, ob und welche personenbezogenen Daten durch ein Unternehmen verarbeitet werden. Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs beschäftigen häufig Arbeitgeber und Gerichte. Dabei ergeben sich die Herausforderungen nicht nur aus komplexen juristischen Fragestellungen, sondern ganz praktisch aus dem korrekten Umgang mit Auskunftsanfragen, z.B. von (ehemaligen) Beschäftigten.

Ziel der koordinierten Prüfaktion ist es nun, zu beurteilen, wie Unternehmen das Auskunftsrecht in der Praxis umsetzen und inwiefern zu konkreten Aspekten bspw. eine weitere Sensibilisierung von Unternehmen oder Betroffenen durch die Datenschutzbehörden sinnvoll sein könnte. Kerninstrument der Prüfaktion ist ein strukturierter Fragebogen zur Umsetzung des Rechts auf Auskunft, der von den Datenschutzbehörden sukzessive an Unternehmen verschickt wird.

Recht auf Auskunft hat große praktische Relevanz

Insbesondere in arbeitsrechtlichen Auseinandersetzungen hat der Auskunftsanspruch große Relevanz erhalten. So wird er bspw. im Kündigungsschutzprozess genutzt, um an Informationen beim (ehemaligen) Arbeitgeber zu gelangen, dort möglichst viel Aufwand zu verursachen oder um Fehler (z.B. ein Fristversäumnis) zu provozieren, die später gewinnbringend in einem Vergleich herangezogen werden können.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

Datenschutz-Compliance überprüfen

Bei dem Recht auf Auskunft handelt es sich um eines jener Betroffenenrechte, die am häufigsten Gegenstand einer formellen Beschwerde bei Datenschutzaufsichtsbehörden sind. Bei Verstößen gegen die Vorschriften der DSGVO drohen Schadensersatzansprüche und Geldbußen. Zuletzt hatte die Rechtsprechung die Verhängung von DSGVO-Geldbußen erleichtert.

Ein guter Anlass für Unternehmen also, um die bestehenden Prozesse und Abläufe zu überprüfen. Ein zentraler Aspekt einer starken und effektiven Datenschutz-Organisation im Unternehmen ist die Bearbeitung von Anfragen betroffener Personen, die ihr Auskunftsrecht oder andere Datenschutzrechte wahrnehmen wollen. Gibt es Richtlinien und Arbeitsanweisungen, die den Umgang mit DSGVO-Betroffenenanfragen erklären und regeln? Wissen alle relevanten Personen, wie bei Eingang einer Anfrage zu DSGVO-Betroffenenrechten zu verfahren ist?




mehr lesen

Umfassende Unternehmensverantwortung: Neue Rechtsprechung erleichtert DSGVO-Geldbußen

Warum ist das relevant? Die bisherige deutsche Rechtslage ging davon aus, dass die bloße Feststellung eines Datenschutzverstoßes durch ein Unternehmen für die Verhängung einer Geldbuße nicht ausreichend war. Vielmehr musste positiv festgestellt werden, dass eine Person aus der Führungsebene des Unternehmens gegen die Regelungen der DSGVO verstoßen oder seine Aufsichtspflichten verletzt hat und dies vorsätzlich oder fahrlässig geschehen ist. Damit führte nicht jede Verletzung der DSGVO-Bestimmungen, z.B. eine zu spät erteilte Auskunft an einen Beschäftigten oder die nicht-erfolgte Löschung von personenbezogenen Daten ehemaliger Beschäftigter, unbedingt zu einem Bußgeld.

Die Ausgangslage hat sich nun geändert. Nachdem der EuGH (Urteil vom 05.12.2023 – C-683/21 und C-807/21) Ende 2023 bereits wesentliche Feststellungen zu der Frage getroffen hatte, ob und unter welchen Voraussetzungen eine DSGVO-Geldbuße unmittelbar gegen ein Unternehmen verhängt werden darf, hat das Berliner Kammergericht (Beschluss vom 22.01.2024 – 3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 – 161 AR 84/21) diesen „Ball“ nun aufgenommen und weitere wichtige Feststellungen zur Verhängung von Geldbußen wegen DSGVO-Verstößen getroffen.

Das Wichtigste in Kürze:

  • Die Verhängung einer Geldbuße gegen ein Unternehmen hängt nicht davon ab, dass zuvor festgestellt wurde, von welcher natürlichen Person der Datenschutz-Verstoß begangen wurde. Das Kammergericht wird deutlich: „alle Personen, die im Rahmen der unternehmerischen Tätigkeit [des datenschutzrechtlich Verantwortlichen] handeln, [fallen] in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation.“
  • Unternehmen sind damit im Deliktsbereich der DSGVO per se schuldfähig, allein eine ordentliche Organisation ist keine Entschuldigung zur Vermeidung einer Geldbuße. Zukünftig kann unmittelbar gegen ein Unternehmen eine Geldbuße verhängt werden, selbst wenn das Verschulden einer Leitungsperson oder eine Aufsichtspflichtverletzung nicht nachgewiesen werden kann. Es ist ausreichend, wenn das Unternehmen über die Rechtswidrigkeit der Verarbeitung (d.h. über den Verstoß gegen die DSGVO) nicht im Unklaren sein konnte. Es wird nicht einmal eine Kenntnis seitens der Unternehmensleitung oder ihrer Repräsentanten vorausgesetzt.
  • Unternehmen haften als datenschutzrechtlicher Verantwortliche damit sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Das gilt wohl auch für Auftragsverarbeiter, derer sich das Unternehmen bedient.
  • Denkbare Szenarien zur Abwendung einer Geldbuße, also zur Exkulpation, umfassen in Zukunft vor allem den Mitarbeiterexzess (bspw. bewusste Verstöße gegen Richtlinien, Betriebsvereinbarungen oder Dienstanweisungen).

Handlungsempfehlung: Jede Person im Unternehmen muss wissen, welche datenschutzrechtlichen Anforderungen und Maßstäbe für die jeweilige Arbeit gelten. Zur Vermeidung von DSGVO-Geldbußen müssen Unternehmen in der Lage sein, darzulegen und nachzuweisen, dass sie einen eventuellen Verstoß gegen das Datenschutzrecht nicht erkennen (also darüber im Unklaren sein) konnten. Interne Datenschutzrichtlinien und -weisungen können zur Begründung eines Mitarbeiterexzesses und damit zur Exkulpation dienen. Die Etablierung, regelmäßige Überprüfung und Dokumentation einer funktionierenden Datenschutz-Organisation sowie die notwendigen Datenschutz-Schulungen aller Mitarbeiter gewinnen weiter an Wert. Sie sind zudem im Rahmen von Art. 82 Abs. 2 DSGVO nicht nur für die Entscheidung über das „Ob“ der Geldbuße relevant, sondern auch für die Bemessung von deren Höhe.

 

 

[...]

Continue Reading



mehr lesen

FOLGE UNS

THEMENBEREICHE

ARCHIV