Die Datenschutzgrundverordnung (DSGVO) ist seit einem Jahr in Kraft. Groß war zu Beginn die Sorge, die neuen Vorschriften könnten die unternehmerische Freiheit gravierend beschränken. Wir haben die größten Bedenken gegen die DSGVO aus heutiger Sicht überprüft und zeigen, was jetzt gilt.
Mit dem 25. Mai 2018, dem Tag des Inkrafttretens der DSGVO, sind die datenschutzrechtlichen Risiken für Unternehmen deutlich gestiegen – doch ganz so drastisch wie zu Anfang befürchtet, haben sich die verschärften Regelungen im Umgang mit Mitarbeiterdaten bislang nicht ausgewirkt.
Nach einer Umfrage von EY waren die europäischen Datenschutzbehörden bei der Anwendung der neuen Bußgeldvorschriften im Jahr 2018 insgesamt noch überaus zurückhaltend. In Deutschland wurden nur 54 Verwarnungen aufgrund von Verstößen gegen die DSGVO ausgesprochen, gerade einmal in 42 Fällen wurden Bußgelder verhängt, die sich im Durchschnitt auf gut 16.100 Euro beliefen. Doch werden für 2019 mehr Bußgelder erwartet, so Peter Katko, Partner bei EY Law: "Die Schonfrist ist inzwischen vorbei. Wir erwarten, dass die europäischen Aufsichtsbehörden ihre Ankündigungen für das Jahr 2019 umsetzen und verstärkt zu höheren Bußgeldern greifen werden."
In der aktuellen Ausgabe des Personalmagazins hat Dr. Philipp Byers, Fachanwalt für Arbeitsrecht und Partner der Kanzlei Lutz Abel PartG mbB, die größten Befürchtungen, die zur Einführung der DSGVO laut wurden, auf ihren heutigen Wahrheitsgehalt überprüft.
DSGVO: Schadensersatzklagen nehmen zu
Gerade in Arbeitsverhältnissen, bei denen bereits eine Kündigung ausgesprochen wurde, scheint es nicht lebensfremd, dass Arbeitnehmer Ansprüche wegen Datenschutzverstößen gegen Unternehmen geltend machen. Die EU-Datenschutzgrundverordnung (DSGVO) bietet hierzu einige Möglichkeiten. Daher kam vor deren Inkrafttreten die Befürchtung auf, dass es zu einer Klagewelle gegen Arbeitgeber wegen etwaiger Datenschutzverstöße kommen wird.
Dem Arbeitgeber werden nach Art. 13 DSGVO umfassende Informationspflichten auferlegt. Dabei ist der Mitarbeiter unter anderem über den konkreten Datenverarbeitungszweck, die Empfänger der personenbezogenen Daten und die Speicherdauer zu informieren. Letztlich hat der Arbeitgeber Auskunft über alle personenbezogenen Daten zu erteilen, die er zu dem Mitarbeiter gespeichert hat.
Aufgrund der hohen formellen Anforderungen ist ein Verstoß gegen diese Pflichten regelmäßig möglich. Dabei drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Unternehmensgruppenumsatzes. Zwar scheint ein Maximal-Bußgeld gegen ein mittelständisches Unternehmen bei einem erstmaligen Datenschutzverstoß unrealistisch. Allerdings spricht viel dafür, dass sich die Datenschutzaufsichtsbehörden an den deutlich erhöhten Bußgeldrahmen anpassen und – je nach Einzelfall – vier- bis fünfstellige Eurobeträge verhängen werden. Erste Erfahrungen aus der Praxis zeigen, dass die Thematik "Datenschutz" in arbeitsgerichtlichen Verfahren eine größere Rolle spielt und Arbeitnehmer dabei durchaus einen datenschutzrechtlichen Nebenkriegsschauplatz eröffnen.
Schadensersatzanspruch bei materiellen oder immateriellen Schäden
Weiter steht dem Mitarbeiter nach Art. 82 Abs. 1 DSGVO grundsätzlich ein Schadensersatzanspruch zu, wenn er aufgrund eines Datenschutzverstoßes materielle oder immaterielle Schäden erleidet. Vor Anwendbarkeit der DSGVO haben derartige Ansprüche keine große Rolle vor den Arbeitsgerichten gespielt. Nach dem Wortlaut des Art. 82 Abs. 1 DSGVO reicht für einen Schadensersatzanspruch bereits ein "einfacher" Datenschutzverstoß aus, der in das Persönlichkeitsrecht des Arbeitnehmers eingreift.
Auch wenn die Schadensersatzansprüche gegen den Arbeitgeber noch nicht "standardmäßig" geltend gemacht werden, so häufen sich doch diese Fälle. Gerade in anhängigen Kündigungsschutzverfahren steigt die Motivation bei Arbeitnehmern, Schadensersatz wegen angeblicher Datenschutzverstöße geltend zu machen. Das stärkt oft deren Verhandlungsposition hinsichtlich einer einvernehmlichen Beendigung des Arbeitsverhältnisses. In Prozessen, in denen es um die Wirksamkeit einer Kündigung aufgrund eines durch eine Kontrolle festgehaltenen Pflichtverstoßes des Arbeitnehmers geht (etwa bei Diebstahl am Arbeitsplatz), stellt sich die Thematik "Datenschutz" regelmäßig doppelt.
Heimliche Videoüberwachungen: Noch keine Rechtssicherheit durch DSGVO
Seit Inkrafttreten der DSGVO bestehen für Unternehmen umfassende Informationspflichten. Zweck der DSGVO ist es, für Transparenz bei der Datenverarbeitung zu sorgen. Verdeckte Kontrollmaßnahmen – wie die heimliche Videoüberwachung – stehen dem Transparenzgebot der DSGVO entgegen. Nach dem Wortlaut des Art. 13 Abs. 1 DSGVO muss der Arbeitgeber den Mitarbeiter über den Umstand einer Videoüberwachung und konkreten Kontrollzweck (zum Beispiel zur Aufklärung einer Straftat) informieren, bevor er in das Sichtfeld der Kamera gerät. Aufgrund des Wortlauts von Art. 13 Abs. 1 DSGVO wird teilweise angenommen, dass eine heimliche Videoüberwachung generell ausgeschlossen sein soll.
Gegen diese Ansicht lassen sich gewichtige Argumente anführen. Insbesondere ist jeder Zugriff auf Mitarbeiterdaten datenschutzrechtlich nach dem Verhältnismäßigkeitsgrundsatz zu bewerten. Ein vollständiges Verbot einer heimlichen Videoüberwachung würde die Durchführung einer Interessenabwägung überflüssig machen. Dies würde fundamental gegen die Grundprinzipien einer Interessenabwägung verstoßen. Aus diesen Gründen wird vertreten, dass auch weiterhin eine heimliche Videoüberwachung in eng begrenzten Ausnahmefällen möglich sein soll.
Die Datenschutzaufsichtsbehörden haben sich hierzu jedoch bisher nicht eindeutig positioniert. Zudem gibt es noch keine arbeitsgerichtliche Rechtsprechung, die sich mit der Rechtmäßigkeit verdeckter Videoüberwachung seit Inkrafttreten der DSGVO auseinandergesetzt hat.
Solange es zu dieser Frage noch keine klare Haltung der Aufsichtsbehörden und/oder gefestigte Rechtsprechung gibt, sollten Unternehmen heimliche Kontrollen am Arbeitsplatz nur in engen Ausnahmefällen als Ultima Ratio in Erwägung ziehen. Aufgrund des Wortlauts des Art. 13 Abs. 1 DSGVO besteht das Risiko einer rechtswidrigen verdeckten Überwachung, die erhebliche Bußgelder zulasten des Arbeitgebers nach sich ziehen kann.
Bewerberklagen: DSGVO eröffnet neue Möglichkeiten für AGG-Hopper
Durch die Informations- und Auskunftspflichten aus der DSGVO können sich weitergehende Möglichkeiten für sogenannte "AGG-Hopper" (Scheinbewerber) ergeben, Entschädigungsansprüche im Bewerbungsverfahren durchzusetzen.
Private Arbeitgeber sind nicht verpflichtet, dem Bewerber Gründe für eine Bewerbungsabsage mitzuteilen. Viele Unternehmen haben daher auf die Angabe von Absagegründen vollständig verzichtet. Durch die umfassenden Informations- und Auskunftspflichten des Arbeitgebers aus der DSGVO jedoch können Bewerber nähere Einzelheiten über den Ablauf des Bewerbungsverfahrens erfahren. Insbesondere sind Unternehmen nach Art. 15 DSGVO verpflichtet, Auskunft über alle gespeicherten personenbezogenen Daten zu dem Bewerber zu erteilen. Gerade aus einzelnen gespeicherten personenbezogenen Daten, die sich nicht in den eingereichten Bewerbungsunterlagen befunden haben (zum Beispiel Informationen aus Background Checks im Internet), kann ein Bewerber unter Umständen Indizien für eine mögliche Diskriminierung darlegen.
Ebenfalls erfasst der Auskunftsanspruch nach Art. 15 DSGVO schriftliche oder elektronische Abstimmungen zwischen Vertretern des Arbeitgebers über den Umgang mit der Bewerbung. Sollten sich zum Beispiel Mitarbeiter aus der Personalabteilung per E-Mail darüber austauschen, ob eine Bewerbung weiterverfolgt werden soll oder welche Gründe für eine Absage sprechen, wäre diese E-Mail-Korrespondenz dem Bewerber im Rahmen eines Auskunftsanspruchs mitzuteilen. Auf diese Weise könnte der Bewerber die Gründe für die Absage erfahren und darauf gegebenenfalls mögliche Indizien für eine Diskriminierung stützen.
Weiter ist zu beachten, dass die vollständige Erfüllung des Auskunftsanspruchs für den Arbeitgeber ohne entsprechende organisatorische Vorkehrungen kaum möglich ist. Verstöße gegen die Auskunftspflicht können allerdings durch die Bußgelder nach Art. 83 Abs. 5 DSGVO sanktioniert werden. Daneben sind – unabhängig von dem Vorliegen einer Diskriminierung – Schadensersatzansprüche des Bewerbers wegen unzulässigen Eingriffs in das Persönlichkeitsrecht denkbar.
Den vollständigen Beitrag zu den Auswirkungen der DSGVO auf die unternehmerische Praxis finden Sie in der Juni-Ausgabe des Personalmagazins.
Weitere Infos zur Bedeutung der DSGVO für Unternehmen und Arbeitgeber finden Sie auch auf unserer Themenseite "Beschäftigtendatenschutz".
Das könnte Sie auch interessieren:
Anpassungen zum Datenschutz in Kraft getreten