HR NEWS
Immer UpToDate im Arbeitsrecht
HR NEWS
HR NEWS
Immer UpToDate im Arbeitsrecht
Datenschutz
Subscribe Abonnieren Sie die Beiträge von Datenschutz

Bewerber googlen? LAG Düsseldorf zur Zulässigkeit & Schadensersatzrisiko

von | Jul 23, 2024 | , , , ,

LAG Düsseldorf: Hintergrund-Recherchen über Bewerber als Teil des üblichen Bewerbungsprozesses? Wie es in dem Zusammenhang zu einem Schadensersatzanspruch kommen kann.

Ein Arbeitgeber muss einem Bewerber 1.000 EUR als immateriellen Schadensersatz zahlen, entschied das Landesarbeitsgericht (LAG) Düsseldorf in einem aktuellen Fall (Urteil vom 10.04.2024 – 12 Sa 1007/23). Der Grund dafür war, dass der Arbeitgeber die DSGVO-Informationspflichten verletzt hatte, als er im Internet nach Informationen über den Bewerber suchte. Das LAG urteilte jedoch auch, dass die Hintergrundrecherche über einen Bewerber im Internet ein an sich zulässiger Teil der Vertragsanbahnung sein könne.

Anlass der Google-Recherche

Was war der Anlass für die Recherche? Ein Mitarbeiter des Arbeitgebers führte die Recherche durch, weil ihm der Name des Bewerbers bekannt vorkam und dieser bereits in der Vergangenheit Entschädigungsverlangen nach dem AGG geltend gemacht hatte.

Rechtsgrundlage der Google-Recherche

Die Datenschutzbehörden gehen grundsätzlich davon aus, dass die herkömmlichen Methoden im Bewerbungsverfahren, wie zum Beispiel Bewerbungsgespräche, Assessment-Center, Qualifikationen oder Arbeitszeugnisse, ausreichen, um einen guten Eindruck von dem Bewerber zu erhalten.

Das LAG Düsseldorf stellt in seinem Urteil nun fest, dass auch eine Online-Recherche ein normaler Teil der Vertragsanbahnung und damit des Bewerbungsverfahrens sein könne. Wie kommt das LAG darauf?

Die DSGVO gestattet als Vorstufe der eigentlichen Vertragserfüllung auch die Verarbeitung von Daten, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 Satz 1 lit. b DSGVO). In die Kategorie dieser vorvertraglichen Maßnahmen fällt nach Ansicht des Gerichts auch die Durchführung des Bewerbungsverfahrens – mit der eigenen Bewerbung setze der Betroffene den Auswahlprozess in Gang und habe damit die Eigeninitiative an den Tag gelegt, die für eine Verarbeitung personenbezogener Daten auf Anfrage der betroffenen Person erforderlich sei.

Eine in diesem Zusammenhang durchgeführte Hintergrundrecherche bei Google werde zwar nicht direkt „auf Anfrage“ des Bewerbers durchgeführt – allerdings erstrecke sich dieses Merkmal auf jegliche Verarbeitung, die der Einstellungsentscheidung im Bewerbungsverfahren diene, so die Düsseldorfer Richter, da gerade diese Entscheidung vom Bewerber gewünscht werde. Nichts anderes könne damit für eine zu diesem Zweck durchgeführte Online-Hintergrundrecherche gelten.

Erforderlichkeit entscheidend

Dies heißt jedoch nicht, dass damit jede Art von Datenbeschaffung im Bewerbungsprozess gestattet ist. Eine wichtige und in der Erlaubnisnorm ausdrücklich vorgesehene Einschränkung ist das Kriterium der Erforderlichkeit. Die Verarbeitung ist nur in dem für den jeweiligen Auswahlprozess notwendigen Umfang erlaubt.

Im vorliegenden Fall erfolgte die Recherche aus einem konkreten Anlass zweckbezogen auf das Auswahlverfahren. Dem Arbeitgeber lagen konkrete Anhaltspunkte vor, die Zweifel an der Ernsthaftigkeit der Bewerbung und Geeignetheit des Bewerbers aufkommen ließen. Das LAG stellt auch klar, dass die Arbeitgeberin nicht dazu verpflichtet war, diesen Sachverhalt durch Fragen bei dem Bewerber aufzuklären. Wichtig war hier aber auch, dass sich die Arbeitgeberin auf eine Google-Recherche beschränkte und gerade nicht noch in (vorwiegend zu privaten Zwecken genutzten) sozialen Netzwerken wie Facebook oder Instagram nach Informationen über den Bewerber suchte.

Informationspflicht des Arbeitgebers

In diesem Zusammenhang ist wichtig, dass der Arbeitgeber seine Informationspflichten gegenüber den Bewerbern bzgl. der Verarbeitung ihrer personenbezogenen Daten ordnungsgemäß erfüllt. Der Arbeitgeber muss den Bewerber über die Datenerhebung informieren, und die [...]

Continue Reading



mehr lesen

Private Nutzung von Internet und E-Mail am Arbeitsplatz: Endlich mehr Sicherheit für Arbeitgeber?

von und | Jul 15, 2024 | , , , , , ,

Private Nutzung von Internet und E-Mail am Arbeitsplatz: Endlich mehr Sicherheit für Arbeitgeber?

Nach bisheriger Auffassung der deutschen Datenschutzbehörden ist der Arbeitgeber bei gestatteter Privatnutzung von Internet und E-Mail am Arbeitsplatz an das Fernmeldegeheimnis gebunden. Damit geht eine erhebliche Einschränkung von Kontroll- und Zugriffsmöglichkeiten und ein Strafbarkeitsrisiko einher. Die Landesdatenschutzbehörde in Nordrhein-Westfalen (LDI NRW) nimmt jetzt eine Kehrtwende vor: Für Arbeitgeber gelte das Fernmeldegeheimnis nicht, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.

Wie war die Lage denn bisher?

Sofern der Arbeitgeber den Beschäftigten auch die private Nutzung des Internets und/oder des betrieblichen E-Mail-Postfaches gestattet oder duldet, soll er nach (bisheriger) Auffassung der Datenschutzbehörden an das Fernmeldegeheimnis gebunden sein. Das bedeutet insbesondere, dass sich der Arbeitgeber bei einer Verletzung des Fernmeldegeheimnisses gemäß § 206 Strafgesetzbuch (StGB) strafbar machen kann. Die Anwendbarkeit des Fernmeldegeheimnisses konnte nach dieser Auffassung nur dadurch vermieden werden, dass die Privatnutzung von Internet und E-Mail am Arbeitsplatz grundsätzlich untersagt wird.

Warum ist das wichtig?

Unter Beachtung dieser aufsichtsbehördlichen Auffassung war dem Arbeitgeber damit ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ausschließlich mit Einwilligung der betreffenden Beschäftigten erlaubt. Dies betrifft im Rahmen der Internetnutzung insbesondere die Daten, aus denen sich ergibt, welche Internetseiten Beschäftigte wann aufgerufen haben. Für den Bereich der E-Mail-Kommunikation hat die Anwendbarkeit des Fernmeldegeheimnisses zur Folge, dass der Arbeitgeber grundsätzlich ohne Einwilligung der jeweiligen Beschäftigten nicht auf deren betriebliches E-Mail-Postfach zugreifen darf – auch nicht im Falle einer langfristigen und/oder ungeplanten Abwesenheit.

Und was gilt jetzt?

Die LDI NRW geht davon aus, dass statt der spezifischen telekommunikationsrechtlichen Regeln nun ausschließlich die Vorschriften der DSGVO Anwendung finden. Auch nach der DSGVO bedarf es einer Rechtsgrundlage für den Zugriff der Arbeitgeber auf die personenbezogenen Daten der Beschäftigten.

Das entspricht im Wesentlichen der Linie, der bisher schon viele deutsche Landesarbeitsgerichte gefolgt sind: Die gestattete Privatnutzung führt nicht zur Anwendung des Telekommunikationsrechts und insbesondere des Fernmeldegeheimnisses auf den Arbeitgeber, ein Schutz der Beschäftigten wird stattdessen über das allgemeine Datenschutzrecht erreicht, das ein ähnlich hohes Schutzniveau bietet.

Handlungsempfehlungen

Die Kehrtwende bei der LDI NRW ist erfreulich und sie betrifft nach ihrer Aussage wohl auch weitere Landesdatenschutzbehörden und den Bundesbeauftragten für Datenschutz und Informationsfreiheit. Ob sich allerdings bereits alle deutschen Datenschutzbehörden dieser Auffassung angeschlossen haben, ist noch unklar. Es verbleibt also, auch angesichts einer nicht einheitlichen Rechtsprechung deutscher Gerichte, bei einer unsicheren Rechtslage.

Was sollten Unternehmen nun beachten?

Regelung der Privatnutzung: Es bleibt wichtig, die private Nutzung von Unternehmenskommunikationsmitteln schriftlich zu regeln, um Transparenz zu schaffen und Zugriffsmöglichkeiten rechtssicher zu gewährleisten. Es sollten Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen eindeutig geklärt werden.

Datenschutz-Compliance: Der Zugriff auf E-Mail-Postfächer und Internet-Kommunikationsdaten von Mitarbeitern muss auf einer passenden datenschutzrechtlichen Rechtsgrundlage basieren, die auch in Zukunft keinen anlass-/grenzenlosen, sondern nur eingeschränkten Zugriff gewährleisten wird. Zudem sind die Beschäftigten auch künftig über mögliche Überwachungsmaßnahmen und Sanktionen zu informieren.

Trennung von geschäftlicher und privater Kommunikation: [...]

Continue Reading



mehr lesen

Kann man den datenschutzrechtlichen Auskunftsanspruch „wegvergleichen“?

von und | Mai 16, 2024 | , , , , , ,

Der datenschutzrechtliche Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO beschäftigt Unternehmen auf vielfältige Art und Weise. Zuletzt hatten die europäischen Datenschutzaufsichtsbehörden diesbezüglich eine koordinierte Prüfaktion durchgeführt. Insbesondere im Arbeitsverhältnis ergeben sich Herausforderungen, die nicht nur komplexe juristischen Fragestellungen betreffen, sondern ganz praktisch den korrekten Umgang mit Auskunftsanfragen. Dementsprechend beschäftigen Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs häufig die Gerichte.

Hohe Bedeutung, hoher Aufwand

Der Auskunftsanspruch hat große Relevanz u.a. dadurch erhalten, dass er im Kündigungsschutzprozess genutzt wird, um eine Art Ausforschung beim (ehemaligen) Arbeitgeber zu betreiben, dort möglichst viel Aufwand zu verursachen oder Fehler (z.B. ein Fristversäumnis) zu provozieren. Aufwand und Fehlerpotential potenzieren sich zudem in Abhängigkeit von Beschäftigungsdauer und Bedeutung der jeweiligen Tätigkeit. In der Folge können im ersten Schritt bis zu mehrere Tausend E-Mails und Dokumente Teil der Auskunft sein, die dann im zweiten Schritt auf entgegenstehende Rechte (z.B. Persönlichkeitsrechte anderer Beschäftigter, Geschäftsgeheimnisse usw.) überprüft und ggf. gekürzt/geschwärzt werden muss. Damit kann ein ganz erheblicher Aufwand verbunden sein.

Ausschluss des Auskunftsanspruchs im arbeitsgerichtlichen Vergleich

Wenn ein Arbeitsverhältnis beendet wird, kann es für den Arbeitgeber wünschenswert sein, sich vor möglichen zukünftigen datenschutzrechtlichen Forderungen seines Arbeitnehmers zu schützen. Dies gilt umso mehr, wenn es zu einem arbeitsgerichtlichen Verfahren kommt, bei dem am Ende das Ziel ist, das Arbeitsverhältnis im Einvernehmen zu beenden und dabei auch alle denkbaren gegenseitigen Ansprüche aus der Vergangenheit, als endgültigen Schlussstrich, endgültig zu erledigen.

Einige Fragen ergeben sich dabei: Erstens, ob die Art. 12 ff. DSGVO, vor allem Art. 15 DSGVO, die die Rechte der Betroffenen regeln, überhaupt den Parteien zur freien Vereinbarung offenstehen. Zweitens, ob diese Rechte durch einen gerichtlichen Vergleich aufgegeben werden können und wie ein solcher Vergleich gestaltet sein muss.

Die saarländische Datenschutzbehörde äußert sich im kürzlich veröffentlichten Tätigkeitsbericht 2023 hierzu eindeutig: „Das Datenschutzrecht wird (…) von dem Gedanken der Selbstbestimmtheit des Betroffenen getragen, was es vor allem durch das Institut der Einwilligung (…) unmissverständlich zum Ausdruck bringt. Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und inwieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Ausgestaltung des Vergleichs

Ein arbeitsgerichtlicher Vergleich mit einem Verzicht auf den Auskunftsanspruch muss klar und bestimmt sein. Nach der (unternehmensfreundlichen) Ansicht der saarländischen Datenschutzbehörde soll jedoch selbst eine Abgeltungsklausel, die alle Ansprüche aus dem Arbeitsverhältnis und seiner Beendigung (egal ob bekannt oder unbekannt und egal weshalb) erfasst, für einen solchen Verzicht ausreichend sein.

Nach Ansicht der saarländischen Datenschutzbehörde ist eine solche Klausel hinreichend bestimmt. Selbst wenn der Vergleich nach seinem Wortlaut nur Ansprüche „aus dem Arbeitsverhältnis“ umfassen sollte, sei dies irrelevant, da das Arbeitsverhältnis Grundlage für die Datenverarbeitung darstelle. Dementsprechend seien nicht nur arbeitsrechtliche Ansprüche im engeren Sinn, sondern auch datenschutzrechtliche Ansprüche gemeint, die mit dem Arbeitsverhältnis zusammenhängen und für die das Arbeitsverhältnis Verarbeitungsbasis war.

Eine wesentliche Einschränkung macht die Behörde jedoch: Dem Arbeitnehmer muss insbesondere für noch nicht absehbare Datenverarbeitungen der Zukunft die Möglichkeit der [...]

Continue Reading



mehr lesen

DSGVO-Schadensersatz: Keine Haftung für Unternehmen bei Fehlverhalten Beschäftigter?

von und | Mai 13, 2024 | , , , , , ,

Warum ist das relevant?

Bei Verstößen gegen das Datenschutzrecht drohen Unternehmen insbesondere zwei Konsequenzen: Maßnahmen der Datenschutzaufsichtsbehörden inkl. möglicher DSGVO-Geldbußen nach Art. 83 DSGVO sowie Schadensersatzforderungen der betroffenen Personen nach Art. 82 DSGVO.

Nachdem die Rechtsprechung des Europäischen Gerichtshofes (EuGH) zuletzt bereits die Verhängung von Geldbußen durch die zuständigen Aufsichtsbehörden erleichtert hatte , wird es Unternehmen nun deutlich erschwert, sich durch Hinweis auf weisungswidriges Verhalten von Beschäftigten den Schadensersatzforderungen betroffener Personen zu entziehen (EuGH, Urteil vom 11. April 2024 – C‑741/21).

Das Wichtigste in Kürze:

  • Der EuGH ist deutlich: Eine Haftungsbefreiung kommt überhaupt nur so weit in Betracht, wie sie nicht die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruchs betroffener Personen gefährdet.
  • Dementsprechend stellt das Gericht klar, dass eine Haftungsbefreiung im Rahmen von Datenschutzverstößen nur dann möglich ist, wenn Unternehmen nachweisen können, dass sie in „keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind.
  • Bei der Prüfung einer irgendwie gearteten Verantwortlichkeit von Unternehmen ist im Hinblick auf das weisungswidrige Verhalten von Beschäftigten zu berücksichtigen, dass es sich bei den Beschäftigten eines Unternehmens um „dem Verantwortlichen unterstellte Personen“ i.S.d. Art. 29 DSGVO handelt. Diese Personen dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, sodass bei weisungswidrigem Verhalten der Ausschluss einer Haftung auf den ersten Blick naheliegt.
  • Unternehmen sind jedoch dazu verpflichtet, mittels technischer und organisatorischer Maßnahmen sicherzustellen, dass die Datenverarbeitung durch Beschäftigte auch wirklich nur weisungsgemäß stattfindet. Eine weisungswidrige Verarbeitung legt somit zunächst nahe, dass die Maßnahmen des Unternehmens zum Schutz gegen weisungswidriges Verhalten nicht ausreichend waren, sodass auch Haftungsausschluss nicht in Betracht kommt.
  • Die Frage, wie solche Maßnahmen aussehen könnten, die im Ergebnis zu einer wirksamen Haftungsbefreiung für Unternehmen führen könnten, wurde vom EuGH nicht beantwortet.
  • In der gleichen Entscheidung hat der EuGH zudem festgestellt, dass allein ein Verstoß gegen die Bestimmungen der DSGVO für sich genommen nicht ausreichend ist, um einen DSGVO-Schadensersatzanspruch zu begründen. Das Gericht hält jedoch fest, dass bereits ein kurzzeitiger „Verlust der Kontrolle“ einen „immateriellen Schaden“ i.S.d. DSGVO darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Handlungsempfehlung

Dies Urteil zeigt erneut: Einer guten Datenschutz-Organisation kommt ganz wesentliche Bedeutung zu. Klare Handlungs- und Organisationsanweisungen, insbesondere zum Umgang mit Betroffenenrechten (wie z.B. dem Auskunftsrecht), sind das Mindestmaß, das um regelmäßige Schulungen, Kontrollen der eigenen Compliance-Organisation und sonstige technische und organisatorische Maßnahmen zu ergänzen ist.



mehr lesen

DSGVO-Auskunftsrecht: Europäische Aufsichtsbehörden starten koordinierte Prüfaktion

von | Mrz 18, 2024 | , , , , ,

Die europäischen Datenschutzbehörden haben eine koordinierte Prüfaktion mit Fokus auf das Auskunftsrecht gem. Art. 15 DSGVO gestartet. Dabei handelt es sich um eines der in der Praxis bedeutsamsten Datenschutzrechte, gerade auch von Beschäftigten. In Deutschland beteiligen sich neben dem Bundesbeauftragten für Datenschutz die Länder Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein.

Ziel der Prüfaktion zum Auskunftsrecht

Nach Art. 15 DSGVO hat jede betroffene Person das Recht, Auskunft zu verlangen, ob und welche personenbezogenen Daten durch ein Unternehmen verarbeitet werden. Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs beschäftigen häufig Arbeitgeber und Gerichte. Dabei ergeben sich die Herausforderungen nicht nur aus komplexen juristischen Fragestellungen, sondern ganz praktisch aus dem korrekten Umgang mit Auskunftsanfragen, z.B. von (ehemaligen) Beschäftigten.

Ziel der koordinierten Prüfaktion ist es nun, zu beurteilen, wie Unternehmen das Auskunftsrecht in der Praxis umsetzen und inwiefern zu konkreten Aspekten bspw. eine weitere Sensibilisierung von Unternehmen oder Betroffenen durch die Datenschutzbehörden sinnvoll sein könnte. Kerninstrument der Prüfaktion ist ein strukturierter Fragebogen zur Umsetzung des Rechts auf Auskunft, der von den Datenschutzbehörden sukzessive an Unternehmen verschickt wird.

Recht auf Auskunft hat große praktische Relevanz

Insbesondere in arbeitsrechtlichen Auseinandersetzungen hat der Auskunftsanspruch große Relevanz erhalten. So wird er bspw. im Kündigungsschutzprozess genutzt, um an Informationen beim (ehemaligen) Arbeitgeber zu gelangen, dort möglichst viel Aufwand zu verursachen oder um Fehler (z.B. ein Fristversäumnis) zu provozieren, die später gewinnbringend in einem Vergleich herangezogen werden können.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

Datenschutz-Compliance überprüfen

Bei dem Recht auf Auskunft handelt es sich um eines jener Betroffenenrechte, die am häufigsten Gegenstand einer formellen Beschwerde bei Datenschutzaufsichtsbehörden sind. Bei Verstößen gegen die Vorschriften der DSGVO drohen Schadensersatzansprüche und Geldbußen. Zuletzt hatte die Rechtsprechung die Verhängung von DSGVO-Geldbußen erleichtert.

Ein guter Anlass für Unternehmen also, um die bestehenden Prozesse und Abläufe zu überprüfen. Ein zentraler Aspekt einer starken und effektiven Datenschutz-Organisation im Unternehmen ist die Bearbeitung von Anfragen betroffener Personen, die ihr Auskunftsrecht oder andere Datenschutzrechte wahrnehmen wollen. Gibt es Richtlinien und Arbeitsanweisungen, die den Umgang mit DSGVO-Betroffenenanfragen erklären und regeln? Wissen alle relevanten Personen, wie bei Eingang einer Anfrage zu DSGVO-Betroffenenrechten zu verfahren ist?



mehr lesen

Umfassende Unternehmensverantwortung: Neue Rechtsprechung erleichtert DSGVO-Geldbußen

von | Feb 26, 2024 | , , , , , ,

Warum ist das relevant? Die bisherige deutsche Rechtslage ging davon aus, dass die bloße Feststellung eines Datenschutzverstoßes durch ein Unternehmen für die Verhängung einer Geldbuße nicht ausreichend war. Vielmehr musste positiv festgestellt werden, dass eine Person aus der Führungsebene des Unternehmens gegen die Regelungen der DSGVO verstoßen oder seine Aufsichtspflichten verletzt hat und dies vorsätzlich oder fahrlässig geschehen ist. Damit führte nicht jede Verletzung der DSGVO-Bestimmungen, z.B. eine zu spät erteilte Auskunft an einen Beschäftigten oder die nicht-erfolgte Löschung von personenbezogenen Daten ehemaliger Beschäftigter, unbedingt zu einem Bußgeld.

Die Ausgangslage hat sich nun geändert. Nachdem der EuGH (Urteil vom 05.12.2023 – C-683/21 und C-807/21) Ende 2023 bereits wesentliche Feststellungen zu der Frage getroffen hatte, ob und unter welchen Voraussetzungen eine DSGVO-Geldbuße unmittelbar gegen ein Unternehmen verhängt werden darf, hat das Berliner Kammergericht (Beschluss vom 22.01.2024 – 3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 – 161 AR 84/21) diesen „Ball“ nun aufgenommen und weitere wichtige Feststellungen zur Verhängung von Geldbußen wegen DSGVO-Verstößen getroffen.

Das Wichtigste in Kürze:

  • Die Verhängung einer Geldbuße gegen ein Unternehmen hängt nicht davon ab, dass zuvor festgestellt wurde, von welcher natürlichen Person der Datenschutz-Verstoß begangen wurde. Das Kammergericht wird deutlich: „alle Personen, die im Rahmen der unternehmerischen Tätigkeit [des datenschutzrechtlich Verantwortlichen] handeln, [fallen] in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation.“
  • Unternehmen sind damit im Deliktsbereich der DSGVO per se schuldfähig, allein eine ordentliche Organisation ist keine Entschuldigung zur Vermeidung einer Geldbuße. Zukünftig kann unmittelbar gegen ein Unternehmen eine Geldbuße verhängt werden, selbst wenn das Verschulden einer Leitungsperson oder eine Aufsichtspflichtverletzung nicht nachgewiesen werden kann. Es ist ausreichend, wenn das Unternehmen über die Rechtswidrigkeit der Verarbeitung (d.h. über den Verstoß gegen die DSGVO) nicht im Unklaren sein konnte. Es wird nicht einmal eine Kenntnis seitens der Unternehmensleitung oder ihrer Repräsentanten vorausgesetzt.
  • Unternehmen haften als datenschutzrechtlicher Verantwortliche damit sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Das gilt wohl auch für Auftragsverarbeiter, derer sich das Unternehmen bedient.
  • Denkbare Szenarien zur Abwendung einer Geldbuße, also zur Exkulpation, umfassen in Zukunft vor allem den Mitarbeiterexzess (bspw. bewusste Verstöße gegen Richtlinien, Betriebsvereinbarungen oder Dienstanweisungen).

Handlungsempfehlung: Jede Person im Unternehmen muss wissen, welche datenschutzrechtlichen Anforderungen und Maßstäbe für die jeweilige Arbeit gelten. Zur Vermeidung von DSGVO-Geldbußen müssen Unternehmen in der Lage sein, darzulegen und nachzuweisen, dass sie einen eventuellen Verstoß gegen das Datenschutzrecht nicht erkennen (also darüber im Unklaren sein) konnten. Interne Datenschutzrichtlinien und -weisungen können zur Begründung eines Mitarbeiterexzesses und damit zur Exkulpation dienen. Die Etablierung, regelmäßige Überprüfung und Dokumentation einer funktionierenden Datenschutz-Organisation sowie die notwendigen Datenschutz-Schulungen aller Mitarbeiter gewinnen weiter an Wert. Sie sind zudem im Rahmen von Art. 82 Abs. 2 DSGVO nicht nur für die Entscheidung über das „Ob“ der Geldbuße relevant, sondern auch für die Bemessung von deren Höhe.

 

 

[...]

Continue Reading


mehr lesen

Datenschutzrechtliche Pflichten & mögliche Stolperfallen beim Whistleblowing

von | Jul 14, 2023 | , , , ,

Mit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) am 2. Juli 2023 stehen Unternehmen vor neuen datenschutzrechtlichen Herausforderungen. Regelmäßig enthalten bei einer Meldestelle eingehende Hinweise personenbezogene Daten. Dazu gehören insbesondere der Name des Hinweisgebers (sofern kein anonymer Hinweis erfolgte) und Angaben zum Sachverhalt sowie zu betroffenen Personen. Diese Daten müssen auch im Interesse des Unternehmens – als potenzieller Adressat von Bußgeldern und Schadensersatzansprüchen – in Übereinstimmung mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfasst und verarbeitet werden.

Vorgaben bei der Einrichtung und dem Betreiben einer Meldestelle
Im Folgenden zeigen wir wesentliche Aspekte auf, die bei der Einrichtung und dem Betrieb einer Meldestelle berücksichtigt werden sollten.

  • Datenschutz-Folgenabschätzung: Vor der Einrichtung eines Meldekanals muss aufgrund des hohen Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt und dokumentiert werden. Ziel einer solchen Datenschutz-Folgenabschätzung ist es, derartige Risiken durch technische und organisatorische Maßnahmen zu minimieren.
  • Verarbeitungsverzeichnis: Auch das Hinweisgeberverfahren ist in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen.
  • Vertraulichkeitsvereinbarung: Um die Funktionsfähigkeit des Hinweisgeberschutzsystems zu gewährleisten, sieht das Hinweisgeberschutzgesetz in §§ 8, 9 HinSchG einen weitgehenden Schutz der Identitäten aller von einer Meldung betroffenen Personen vor. Demnach darf ihre Identität ausschließlich internen Meldestellen sowie für Folgemaßnahmen zuständigen Personen bekannt gemacht werden. Nur in bestimmten Ausnahmefällen, zum Beispiel auf Verlangen von Strafverfolgungsbehörden, dürfen Informationen zur Identität einer hinweisgebenden Person weitergegeben werden. Dieses Vertraulichkeitsgebot ist gesetzlich vorgesehen. Es bietet sich jedoch für Arbeitgeber im Rahmen ihrer Fürsorgepflicht an, die für die interne Meldestelle zuständigen Personen auf die Folgen der Nichteinhaltung dieser Vorschriften im Rahmen einer zusätzlichen Vertraulichkeitsvereinbarung hinzuweisen.
  • Schulungspflicht: Nach § 15 Abs. 2 HinSchG haben Unternehmen dafür Sorge zu tragen, dass die mit den Aufgaben einer internen Meldestelle beauftragten Personen über die notwendige Fachkunde verfügen, insbesondere um die Vertraulichkeit der Identität betroffener Personen zu wahren. Dies ist ggf. durch geeignete Schulungen sicherzustellen und umfasst auch den datenschutzkonformen Umgang bei der Erfassung und Verarbeitung eingehender Hinweise.
  • Dokumentationspflicht: Die interne Meldestelle ist gem. § 11 HinSchG verpflichtet, alle eingehenden Meldungen unter Beachtung des Vertraulichkeitsgebots in dauerhaft abrufbarer Weise zu dokumentieren.
  • Aufbewahrungs- und Löschpflichten: Die Dokumentation der eingegangenen Meldung gem. 30 DSGVO grundsätzlich drei Jahre nach Abschluss des Verfahrens zu löschen. Eine darüberhinausgehende Aufbewahrungsfrist ist möglich, solange dies erforderlich und verhältnismäßig ist.
  • Technisch organisatorische Maßnahmen: Unternehmen müssen technisch organisatorische Maßnahmen gem. Art. 32 DSGVO treffen, um eine DSGVO-konforme Verarbeitung personenbezogener Daten sicherzustellen. Das ist auch dann der Fall, wenn Dritte mit den Aufgaben einer internen Meldestelle betraut wurden.
  • Auslagerung der internen Meldestelle: Das Hinweisgeberschutzgesetz sieht in § 14 Abs. 1 Hin-SchG die Möglichkeit vor, Dritte mit den Aufgaben einer internen Meldestelle zu betrauen. Dies befreit den Beschäftigungsgeber jedoch nicht von der Pflicht, selbst geeignete Maßnahmen zu ergreifen, um einen durch das Hinweisgebersystem gemeldeten Verstoß abzustellen. Zudem sollte die Klärung der datenschutzrechtlichen Verantwortlichkeiten je nach konkreter Ausgestaltung der Zusammenarbeit z.B. im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) erfolgen.
  • Datenschutzbeauftragter als Meldestelle: Gerade für kleine Unternehmen mit geringerem Bedarf ist es zumindest denkbar, die Person des [...]

    Continue Reading


mehr lesen

DSGVO-Auskunftsanspruch: 10.000 Euro Schadensersatz für verspätete Auskunft

von | Mrz 24, 2023 | , ,

Der datenschutzrechtliche Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO beschäftigt weiterhin Arbeitgeber und Gerichte, insbesondere im Arbeitsverhältnis lauern zahlreiche Fallstricke. Diese ergeben sich nicht nur aus komplexen juristischen Fragestellungen, etwa zum Umfang des Auskunftsanspruchs und des Rechts auf Kopie gem. Art. 15 Abs. 3 DSGVO. Oftmals stellt bereits der praktische Umgang mit Auskunftsanfragen von Beschäftigten Unternehmen vor Herausforderungen.

Dass es sich lohnt, eine gut aufgestellte Datenschutzorganisation zu haben, zeigt ein aktuelles Urteil des Arbeitsgerichts Oldenburg vom 09. Februar 2023 (3 Ca 150/21). Der Kläger verlangte von seiner (ehemaligen) Arbeitgeberin unter anderem Auskunft nach Art. 15 Abs. 1 DSGVO sowie eine Kopie der Daten gemäß Art. 15 Abs. 3 DSGVO. Das Unternehmen verweigerte die Auskunftserteilung. Erst im Gerichtsverfahren legte es einzelne Unterlagen vor – 20 Monate nach dem Auskunftsbegehren. Das Gericht hat dem Kläger allein aufgrund dieser verspätet erteilten Auskunft einen Schadensersatz von 10.000 Euro zugesprochen.

DER DATENSCHUTZRECHTLICHE AUSKUNFTSANSPRUCH

Der Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO und das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO bestehen neben dem Einsichtsrecht in die Personalakte gem. § 83 Abs. 1 BetrVG. In der Praxis wird der DSGVO-Anspruch vielfach zur Erhöhung des „Lästigkeitswertes“ im Konfliktfall genutzt, um auf diese Weise Verhandlungsmasse zu gewinnen und um ggf. an zusätzliche Informationen und Unterlagen für einen (späteren) Rechtsstreit zu gelangen.

Für den Auskunftsanspruch gelten klare Fristen: Grundsätzlich ist die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten (in Ausnahmefällen kann diese Frist um weitere zwei Monate verlängert werden). Die inhaltlich korrekte Erfüllung des Anspruchs, insbesondere des Anspruchs auf Kopie, ist allerdings komplex, wie auch eine Vielzahl von Urteilen zeigt.

10.000 EURO SCHADENSERSATZ

Wird der Anspruch nicht ordnungsgemäß erfüllt, kann dies zu einem Schadensersatzanspruch gem. Art. 82 DSGVO führen sowie ggf. zu einer Geldbuße gem. Art. 83 Abs. 5 lit. b DSGVO.

Wie kam das Arbeitsgericht Oldenburg im vorliegenden Fall zu einer Summe von 10.000 Euro für eine verspätet erteilte Auskunft? Dem Gericht genügt (unter Berufung auf das Bundesarbeitsgericht) zur Begründung des Anspruchs auf immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO bereits die Verletzung von Vorschriften der DSGVO. Nach Ansicht des Gerichts ist es gerade nicht erforderlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegen muss. Dementsprechend führt also bereits die Nichteinhaltung von Vorschriften der DSGVO (hier: der Fristen für die Erfüllung des Auskunftsanspruchs) zu einem Schadensersatzanspruch für die betroffene Person. Das Gericht geht zudem davon aus, dass bei der Berechnung der Höhe des Schadensersatzes Präventionscharakter und Abschreckungswirkung zu berücksichtigen seien: Der Schadensersatz soll weh tun.

Hier war der Auskunftsanspruch 20 Monate zu spät erteilt worden. Für jeden Monat, in dem die Auskunft nicht erteilt wurde, hat das Gericht 500 Euro angesetzt, sodass es auf die Gesamtsumme von 10.000 Euro kommt.

Die vorliegende Entscheidung setzt eine Reihe von Entscheidungen fort, in denen deutsche Arbeitsgerichte allein die Verletzung von Vorschriften der DSGVO als ausreichend erachtet haben, um einen Schadensersatzanspruch des Beschäftigten zu begründen.

Gerade beim Auskunftsanspruch lassen sich viele Fehler mit Hilfe einer robust aufgestellten [...]

Continue Reading



mehr lesen

Öffentlichmachung von Prozessakten mit sensiblen Daten als fristloser Kündigungsgrund?

von und | Apr 6, 2022 | , , , , , , , , , , , , ,

Nach einem aktuellen Urteil des Landesarbeitsgerichts Baden-Württemberg vom 25. März 2022 (7 Sa 63/21) kann die (betriebs-)öffentliche Zugänglichmachung von Schriftsätzen aus arbeitsgerichtlichen Verfahren mittels Dropbox, in denen u.a. Gesundheitsdaten von anderen Mitarbeitern enthalten sind, sogar die außerordentliche Kündigung eines langjährig beschäftigten Mitarbeiters und Betriebsratsmitglieds rechtfertigen. Zumindest auf der Grundlage der Pressemitteilung – und in Unkenntnis der Entscheidungsgründe des vollständigen Urteils – wirft der Kündigungssachverhalt insbesondere die Frage auf, in welchen Fällen und inwieweit Mitarbeiter an das Datenschutzrecht, insbesondere nach der DSGVO, gebunden und Verstöße hiergegen als Kündigungsgrund geeignet sind.

SACHVERHALT UND ARBEITSGERICHTLICHE ENTSCHEIDUNGEN

Der gekündigte Mitarbeiter war bereits seit über 20 Jahren beim Arbeitgeber beschäftigt und über 15 Jahre Mitglied des Betriebsrats. Die außerordentliche Kündigung, der der Betriebsrat nach § 103 BetrVG zustimmte, beruht auf dem Vorwurf, dass der Mitarbeiter Schriftsätze aus einem vorherigen Kündigungsschutzverfahren zwischen den Arbeitsvertragsparteien betriebsöffentlich bzw. einem größeren Verteilerkreis mittels Dropbox zugänglich gemacht hatte. In den Schriftsätzen waren insbesondere Gesundheitsdaten weiterer Mitarbeiter unter voller Namensnennung erhalten.

In der ersten Instanz hielt das Arbeitsgericht die außerordentliche Kündigung für wirksam, weil der Mitarbeiter durch sein Verhalten gegen Bestimmungen des Datenschutzes verstoßen habe. Dagegen wandte sich der Mitarbeiter mit seiner Berufung und argumentierte, dass ein Datenschutzverstoß von vornherein ausscheide, da die DSGVO gemäß Art. 2 Abs. 2c DSGVO nicht anwendbar sei. Nach Art. 2 Abs. 2 c) DSGVO findet die DSGVO keine Anwendung auf natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Das Landesarbeitsgericht wies die Berufung jedoch ab, wobei es nicht mehr auf einen Datenschutzverstoß abstellte. Der Arbeitnehmer habe, indem er die Schriftsätze durch einen beliebig weitervertreibbaren Link öffentlich zugänglich machte, eine rechtswidrige und schuldhafte Verletzung der Persönlichkeitsrechte der in den Schriftsätzen namentlich benannten Personen begangen. Dieses Verhalten könne auch nicht durch u.a. Verteidigungsinteressen des Arbeitnehmers gerechtfertigt werden.

WEN BINDET DIE DSGVO?

Wie sich aus dem zuvor genannten Art. 2 Abs. 2 c) DSGVO, der auch als „Haushaltsausnahme“ bezeichnet wird, ergibt, sind Personen bei ausschließlich persönlicher oder familiärer Tätigkeit nicht an die DSGVO gebunden. Dazu im Gegensatz stehen berufliche Tätigkeiten, die wiederum in den Anwendungsbereich des DSGVO fallen. Danach sind Verstöße gegen die DSGVO von Arbeitnehmern während ihrer arbeitsvertraglichen Tätigkeit grundsätzlich geeignet, eine Kündigung zu rechtfertigen.

Im vom Landesarbeitsgericht Baden-Württemberg entschiedenen Fall ging es hinsichtlich der Veröffentlichung der Prozessakten offensichtlich nicht um eine Datenverarbeitung, die im Rahmen des Beschäftigungsverhältnisses zu Arbeitszwecken erfolgte, sondern um das – nach eigener Aussage des Mitarbeiters – Anliegen, Transparenz hinsichtlich des damaligen Kündigungssachverhalts zu schaffen. Folgerichtig hat das Landesarbeitsgericht Baden-Württemberg die Kündigung wohl auch nicht mehr auf einen potenziellen Datenschutzverstoß gestützt.

WORIN LIEGT DER MAßGEBLICHE ARBEITSRECHTLICH RELEVANTE VERSTOß?

Das Landesarbeitsgericht Baden-Württemberg stützt sich ausweislich der Pressemitteilung auf eine Persönlichkeitsrechtsverletzung durch die Veröffentlichung der Schriftsätze. Zunächst ist festzustellen, dass es keine explizite Norm gibt, wonach die Veröffentlichung von zivilrechtlichen Prozessakten untersagt ist. Gleichzeitig finden arbeitsgerichtliche Verhandlungen grundsätzlich öffentlich statt. Insofern besteht hinsichtlich der Prozessinhalte bereits keine besondere Vertraulichkeit, eher im Gegenteil. Davon abgesehen dürften Gesundheitsdaten anderer Mitarbeiter, die nicht aufgrund der konkreten Tätigkeit im Betrieb, sondern „beiläufig“ bekannt werden, nicht unmittelbar der [...]

Continue Reading



mehr lesen

Corona-Tests in Unternehmen, der Datenschutz und Besonderheiten der Bundesländer

von und | Apr 30, 2021 | , , , , , , ,

Seit der letzten Änderung der SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV), die am 23. April in Kraft getreten ist (und nach derzeitigem Stand bis 30. Juni 2021 gilt), müssen Unternehmen ihren Beschäftigten mindestens zweimal pro Kalenderwoche einen Test in Bezug auf einen direkten Erregernachweis des Coronavirus anbieten. Wir erläutern die wichtigsten Eckpunkte.

Angebotspflicht = Testpflicht?

Nach § 5 Abs. 1 Corona-ArbSchV sind Arbeitgeber nur dazu verpflichtet ihren Beschäftigten zweimal pro Kalenderwoche einen Test anzubieten. Eine Pflicht für Arbeitnehmer, sich testen zu lassen, enthält die Verordnung nicht. Nach derzeitigem Stand besteht für Arbeitnehmer also keine generelle gesetzliche Pflicht, sich einem Coronatest zu unterziehen (auf Länderebene gibt es Ausnahmen wie z.B. in der SächsCoronaSchVO). Wie wirksam die Einführung einer bloßen Angebotspflicht bei der tatsächlichen Eindämmung der Verbreitung des Coronavirus wirklich ist, bleibt wegen einer fehlenden gesetzlichen Testpflicht auf Arbeitnehmerseite zweifelhaft. Die Frage, ob der Arbeitgeber selbst eine solche Testpflicht für seinen Betrieb festlegen kann, hatten wir bereits in einem früheren Beitrag beantwortet.

Angeboten werden müssen diese Tests allen Beschäftigten, soweit diese nicht ausschließlich in ihrer Wohnung arbeiten. Die Testpflicht korrespondiert insoweit mit der neuen Pflicht zum Home Office. Eine flächendeckende Rückkehr ins Büro wird durch die Angebotspflicht gerade nicht bezweckt, vielmehr sollen sich beide Maßnahmen zum Schutze der Arbeitnehmer gerade ergänzen.

Welche Art von Test angeboten werden muss, ist in der Verordnung nicht festgelegt. Es kommen nach der Entwurfsbegründung PCR-Tests oder Antigen-Schnelltests zur professionellen oder zur Selbstanwendung in Betracht. Der Arbeitgeber muss diese Tests nicht selbst durchführen, sondern kann die Testung der Beschäftigten auch durch Dritte (z.B. durch geeignete Dienstleister, Apotheken oder anerkannte Testzentren/Teststellen) durchführen lassen.

Wer zahlt die Rechnung?
Die Frage der Kostentragung für diese Maßnahmen ist in der Corona-ArbSchV nicht geregelt. Die Bundesregierung geht davon aus, dass die Testangebotspflicht der Arbeitgeber sowie die anschließende Testung der Beschäftigten Maßnahmen des betrieblichen Arbeits- und Gesundheitsschutzes im Sinne des Arbeitsschutzgesetzes sind. Die Kosten für derartigen Maßnahmen, so die Bundesregierung, habe daher grundsätzlich der Arbeitgeber zu tragen.

Allerdings gibt es für Testungen von Beschäftigten in einigen Bereichen der medizinischen Versorgung und der Pflege sowie bei der Betreuung von Kindern oder Menschen mit Beeinträchtigungen dennoch Möglichkeiten einer Kostenerstattung auf Basis der §§ 4-7 der Coronavirus-Testverordnung.

Dokumentationspflichten und Datenschutz
Darüber hinaus sind Arbeitgeber gem. § 5 Abs. 2 Corona-ArbSchV dazu verpflichtet, Nachweise über die Beschaffung von Tests oder Vereinbarungen mit Dritten über die Testung der Beschäftigten bis zum 30. Juni 2021 aufzubewahren. Aber Achtung: Die Corona-ArbSchV beinhaltet nur eine Pflicht zur Dokumentation dahingehend, dass eine Testmöglichkeit tatsächlich geschaffen wurde. Es besteht keine Dokumentationspflicht hinsichtlich der Testergebnisse einzelner Mitarbeiter bzw. hinsichtlich der Tatsache, welche Mitarbeiter hiervon letztendlich Gebrauch gemacht haben oder nicht.

Bei den Ergebnissen der Corona-Tests ebenso wie der bloßen Feststellung, dass eine Testung stattgefunden hat, handelt es sich um Gesundheitsdaten und damit um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO, für die ein besonderer Schutz gilt. Grundsätzlich kommt eine Dokumentation der Tatsache, dass ein Mitarbeiter an einem Test teilgenommen hat oder gar eine Dokumentation des jeweiligen Testergebnisses nicht in Betracht, weil es einer [...]

Continue Reading



mehr lesen

FOLGE UNS

Jetzt anmelden

THEMENBEREICHE

ARCHIV