Schadensersatz
Subscribe Abonnieren Sie die Beiträge von Schadensersatz

Kann man den datenschutzrechtlichen Auskunftsanspruch „wegvergleichen“?

Der datenschutzrechtliche Auskunftsanspruch gem. Art. 15 Abs. 1 DSGVO beschäftigt Unternehmen auf vielfältige Art und Weise. Zuletzt hatten die europäischen Datenschutzaufsichtsbehörden diesbezüglich eine koordinierte Prüfaktion durchgeführt. Insbesondere im Arbeitsverhältnis ergeben sich Herausforderungen, die nicht nur komplexe juristischen Fragestellungen betreffen, sondern ganz praktisch den korrekten Umgang mit Auskunftsanfragen. Dementsprechend beschäftigen Fragen rund um die korrekte Erfüllung des Auskunftsanspruchs häufig die Gerichte.

Hohe Bedeutung, hoher Aufwand

Der Auskunftsanspruch hat große Relevanz u.a. dadurch erhalten, dass er im Kündigungsschutzprozess genutzt wird, um eine Art Ausforschung beim (ehemaligen) Arbeitgeber zu betreiben, dort möglichst viel Aufwand zu verursachen oder Fehler (z.B. ein Fristversäumnis) zu provozieren. Aufwand und Fehlerpotential potenzieren sich zudem in Abhängigkeit von Beschäftigungsdauer und Bedeutung der jeweiligen Tätigkeit. In der Folge können im ersten Schritt bis zu mehrere Tausend E-Mails und Dokumente Teil der Auskunft sein, die dann im zweiten Schritt auf entgegenstehende Rechte (z.B. Persönlichkeitsrechte anderer Beschäftigter, Geschäftsgeheimnisse usw.) überprüft und ggf. gekürzt/geschwärzt werden muss. Damit kann ein ganz erheblicher Aufwand verbunden sein.

Ausschluss des Auskunftsanspruchs im arbeitsgerichtlichen Vergleich

Wenn ein Arbeitsverhältnis beendet wird, kann es für den Arbeitgeber wünschenswert sein, sich vor möglichen zukünftigen datenschutzrechtlichen Forderungen seines Arbeitnehmers zu schützen. Dies gilt umso mehr, wenn es zu einem arbeitsgerichtlichen Verfahren kommt, bei dem am Ende das Ziel ist, das Arbeitsverhältnis im Einvernehmen zu beenden und dabei auch alle denkbaren gegenseitigen Ansprüche aus der Vergangenheit, als endgültigen Schlussstrich, endgültig zu erledigen.

Einige Fragen ergeben sich dabei: Erstens, ob die Art. 12 ff. DSGVO, vor allem Art. 15 DSGVO, die die Rechte der Betroffenen regeln, überhaupt den Parteien zur freien Vereinbarung offenstehen. Zweitens, ob diese Rechte durch einen gerichtlichen Vergleich aufgegeben werden können und wie ein solcher Vergleich gestaltet sein muss.

Die saarländische Datenschutzbehörde äußert sich im kürzlich veröffentlichten Tätigkeitsbericht 2023 hierzu eindeutig: „Das Datenschutzrecht wird (…) von dem Gedanken der Selbstbestimmtheit des Betroffenen getragen, was es vor allem durch das Institut der Einwilligung (…) unmissverständlich zum Ausdruck bringt. Kann der Betroffene durch eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten seine Zustimmung erteilen und dieser Verarbeitung dadurch eine rechtliche Grundlage verleihen, so muss er auch eine Entscheidungsbefugnis dahingehend haben, ob und inwieweit er seine hierzu im Annex stehenden Betroffenenrechte ausübt bzw. auf diese verzichtet.“

Ausgestaltung des Vergleichs

Ein arbeitsgerichtlicher Vergleich mit einem Verzicht auf den Auskunftsanspruch muss klar und bestimmt sein. Nach der (unternehmensfreundlichen) Ansicht der saarländischen Datenschutzbehörde soll jedoch selbst eine Abgeltungsklausel, die alle Ansprüche aus dem Arbeitsverhältnis und seiner Beendigung (egal ob bekannt oder unbekannt und egal weshalb) erfasst, für einen solchen Verzicht ausreichend sein.

Nach Ansicht der saarländischen Datenschutzbehörde ist eine solche Klausel hinreichend bestimmt. Selbst wenn der Vergleich nach seinem Wortlaut nur Ansprüche „aus dem Arbeitsverhältnis“ umfassen sollte, sei dies irrelevant, da das Arbeitsverhältnis Grundlage für die Datenverarbeitung darstelle. Dementsprechend seien nicht nur arbeitsrechtliche Ansprüche im engeren Sinn, sondern auch datenschutzrechtliche Ansprüche gemeint, die mit dem Arbeitsverhältnis zusammenhängen und für die das Arbeitsverhältnis Verarbeitungsbasis war.

Eine wesentliche Einschränkung macht die Behörde jedoch: Dem Arbeitnehmer muss insbesondere für noch nicht absehbare Datenverarbeitungen der Zukunft die Möglichkeit der [...]

Continue Reading




mehr lesen

DSGVO-Schadensersatz: Keine Haftung für Unternehmen bei Fehlverhalten Beschäftigter?

Warum ist das relevant?

Bei Verstößen gegen das Datenschutzrecht drohen Unternehmen insbesondere zwei Konsequenzen: Maßnahmen der Datenschutzaufsichtsbehörden inkl. möglicher DSGVO-Geldbußen nach Art. 83 DSGVO sowie Schadensersatzforderungen der betroffenen Personen nach Art. 82 DSGVO.

Nachdem die Rechtsprechung des Europäischen Gerichtshofes (EuGH) zuletzt bereits die Verhängung von Geldbußen durch die zuständigen Aufsichtsbehörden erleichtert hatte , wird es Unternehmen nun deutlich erschwert, sich durch Hinweis auf weisungswidriges Verhalten von Beschäftigten den Schadensersatzforderungen betroffener Personen zu entziehen (EuGH, Urteil vom 11. April 2024 – C‑741/21).

Das Wichtigste in Kürze:

  • Der EuGH ist deutlich: Eine Haftungsbefreiung kommt überhaupt nur so weit in Betracht, wie sie nicht die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruchs betroffener Personen gefährdet.
  • Dementsprechend stellt das Gericht klar, dass eine Haftungsbefreiung im Rahmen von Datenschutzverstößen nur dann möglich ist, wenn Unternehmen nachweisen können, dass sie in „keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind.
  • Bei der Prüfung einer irgendwie gearteten Verantwortlichkeit von Unternehmen ist im Hinblick auf das weisungswidrige Verhalten von Beschäftigten zu berücksichtigen, dass es sich bei den Beschäftigten eines Unternehmens um „dem Verantwortlichen unterstellte Personen“ i.S.d. Art. 29 DSGVO handelt. Diese Personen dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, sodass bei weisungswidrigem Verhalten der Ausschluss einer Haftung auf den ersten Blick naheliegt.
  • Unternehmen sind jedoch dazu verpflichtet, mittels technischer und organisatorischer Maßnahmen sicherzustellen, dass die Datenverarbeitung durch Beschäftigte auch wirklich nur weisungsgemäß stattfindet. Eine weisungswidrige Verarbeitung legt somit zunächst nahe, dass die Maßnahmen des Unternehmens zum Schutz gegen weisungswidriges Verhalten nicht ausreichend waren, sodass auch Haftungsausschluss nicht in Betracht kommt.
  • Die Frage, wie solche Maßnahmen aussehen könnten, die im Ergebnis zu einer wirksamen Haftungsbefreiung für Unternehmen führen könnten, wurde vom EuGH nicht beantwortet.
  • In der gleichen Entscheidung hat der EuGH zudem festgestellt, dass allein ein Verstoß gegen die Bestimmungen der DSGVO für sich genommen nicht ausreichend ist, um einen DSGVO-Schadensersatzanspruch zu begründen. Das Gericht hält jedoch fest, dass bereits ein kurzzeitiger „Verlust der Kontrolle“ einen „immateriellen Schaden“ i.S.d. DSGVO darstellen kann, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Handlungsempfehlung

Dies Urteil zeigt erneut: Einer guten Datenschutz-Organisation kommt ganz wesentliche Bedeutung zu. Klare Handlungs- und Organisationsanweisungen, insbesondere zum Umgang mit Betroffenenrechten (wie z.B. dem Auskunftsrecht), sind das Mindestmaß, das um regelmäßige Schulungen, Kontrollen der eigenen Compliance-Organisation und sonstige technische und organisatorische Maßnahmen zu ergänzen ist.




mehr lesen

Whistleblowing

Gesetzentwurf der Bundesregierung für ein Hinweisgeberschutzgesetz

Die Bundesregierung hat am 27. Juli 2022 einen Entwurf für ein „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen Unionsrecht melden“, verabschiedet. Zwar muss der Gesetzentwurf zunächst noch den regulären Gesetzgebungsprozess durchlaufen und nach Ende der Sommerpause zunächst in den Bundestag eingebracht werden. Da Deutschland jedoch bei der Umsetzung der EU-Richtlinie in nationales Recht in Verzug ist – sie hätte bis zum 17. Dezember 2021 umgesetzt werden müssen –, kann mit einem zeitnahen und wohl inhaltlich auch unveränderten Inkrafttreten gerechnet werden.

1. ANWENDUNGSBEREICH

Nach dem Gesetzesentwurf sollen unter anderem Arbeitnehmer:innen zukünftig berechtigt sein, Verstöße gegen strafbewehrte oder bußgeldbewehrte Vorschriften zu melden oder offen zu legen. Erfasst werden zudem bspw. explizit auch Verstöße gegen Vorschriften zur Bekämpfung von Geldwäsche und Terrorismus, zur Produktsicherheit und Umweltschutz. Auch Geschäftsgeheimnisse können in den Anwendungsbereich des Gesetzes fallen, sofern die hinweisgebende Person hinreichend Grund zur Annahme hatte, dass die Weitergabe oder die Offenlegung der Informationen notwendig ist, um einen Verstoß aufzudecken.

Der bisher grundsätzlich geltende Vorrang einer rein internen Eskalation wird durch den Gesetzentwurf aufgeweicht. So stehen zukünftig unternehmensinterne und externe Meldemöglichkeiten (stattliche Meldestellen) gleichwertig nebeneinander. Auch wenn zunächst eine interne Meldung gewählt wurde, dürfen sich Arbeitnehmer:innen zusätzlich an eine externe Meldestelle wenden. Die Offenlegung (Zugänglichmachen von Informationen gegenüber der Öffentlichkeit) soll hingegen nur geschützt sein, wenn besondere Umstände vorliegen.

2. MELDEVERFAHREN

Unternehmen mit in der Regel mindesten 50 Beschäftigten (neben Arbeitnehmer:innen zählen bspw. auch zur Berufsbildung Beschäftigte) haben zukünftig Meldestellen einzurichten, bei denen Arbeitnehmer:innen auf in den Anwendungsbereich des Gesetzes falllende Verstöße hinweisen können. Der Entwurf sieht – abhängig von der Unternehmensgröße – auch die Einrichtung gemeinsamer Meldestellen vor. Dies kann insbesondere in Konzernverbunden eine sinnvolle Möglichkeit darstellen.

Die Meldestelle kann entweder beim Unternehmen selbst eingerichtet werden (als unabhängige Stelle) oder aber auf einen Dritten übertragen werden. Unabhängig davon, ob eine gemeinsame Meldestelle mehrerer Unternehmen oder eine Meldestelle bei einem Dritten eingerichtet wird, bleibt das jeweilige Unternehmen in der Pflicht, Maßnahmen zu ergreifen und Rückmeldungen auf eingegangene Hinweise zu geben.

Hinsichtlich der einzurichtenden Meldekanäle ist klargestellt, dass Meldungen sowohl mündlich als auch in Textform erfolgen können müssen. Unklar ist hingegen die Regelung zur anonymisierten Meldung. Diese soll zwar grundsätzlich bearbeitet werden; eine Pflicht, anonyme Meldungen zu ermöglichen, besteht jedoch nicht.

3. WEITERE PFLICHTEN FÜR UNTERNEHMEN

Neben der beschriebenen Einrichtung von Meldestellen, gehen mit dem Gesetzentwurf auch weitere Pflichten für Unternehmen einher. Sie treffen bspw. Dokumentations-, Prüf- und Mitteilungspflichten, auch innerhalb vorgegebener Fristen. In Abhängigkeit davon, ob sich aufgrund der gegebenen Hinweise tatsächlich Verstöße feststellen lassen, sind zudem weitere Maßnahmen zu ergreifen.

4. SCHUTZ DER HINWEISGEBENDEN PERSONEN

Sofern Arbeitnehmer:innen zum Zeitpunkt der Meldung oder Offenlegung hinreichenden Grund zur Annahmen hatten, dass die von ihnen gemeldeten oder offengelegten Informationen der Wahrheit entsprechen, werden sie vom Gesetz weitgehend geschützt. So verbietet das Gesetz ausdrücklich jede Form von Repressalien. Sollten Arbeitnehmer:innen Benachteiligungen erleiden, nachdem von ihnen eine Meldung oder Offenlegung erfolgt ist, soll zukünftig die gesetzliche Vermutung gelten, dass es sich [...]

Continue Reading




mehr lesen

FOLGE UNS

THEMENBEREICHE

ARCHIV