Datenschutz / 3.3.3 Rechtsfolgen

Die früher primär im BDSG gewährten Auskunfts-, Kontroll- und Korrekturrechte des Arbeitnehmers sind durch die Regelungen der DSGVO teils abgelöst worden. Das BDSG enthält dazu jedoch in den §§ 55 ff. BDSG ergänzende Regelungen, sodass hier beide Gesetze beachtet werden müssen.

Informations- und Auskunftsrechte des Arbeitnehmers

Die DSGVO gewährt umfassende Informationsrechte und Auskunftsrechte. Gemäß Art. 12–15 DSGVO müssen diese Informationen transparent, umfassend, unentgeltlich sowie in sprachlich verständlicher Form vom Arbeitgeber zur Verfügung gestellt werden. Gemäß Art. 13 DSGVO besteht bei der Erhebung von personenbezogenen Daten eine anfängliche Informationspflicht, insbesondere im Hinblick auf die Nennung der beteiligten Stellen, den Zweck der Datenerhebung und eventuelle dritte Empfänger der Daten.

Daneben enthält die DSGVO in den Art. 16–19 weitere Betroffenenrechte:

Die einschlägigen Regelungen des BDSG beinhalten den Anspruch auf:

  • Allgemeine Informationen über die Datenverarbeitung (§ 55 BDSG)
  • Auskunft über das "Ob" und weitere Details und Umstände der Datenverarbeitung (§ 57 BDSG)
  • Berichtigung, Löschung und Einschränkung der Verarbeitung (§ 58 BDSG)

Soweit einzelne Regelungen in der DSGVO und dem BDSG kollidieren, hat die DSGVO grundsätzlich Vorrang.

Persönlichkeitsrechte von Arbeitnehmern schützen

Personaldatenbanken sind als Personalakte anzusehen. Einer ungeschützten Aufbewahrung von Gesundheitsdaten in der Personalakte steht das durch Art. 2 Abs. 1 GG gewährleistete allgemeine Persönlichkeitsrecht des Arbeitnehmers entgegen. Es schützt vor der Erhebung und Weitergabe von Befunden über den Gesundheitszustand, die seelische Verfassung und den Charakter. Der Arbeitnehmer hat Anspruch auf Beseitigung einer Beeinträchtigung seines Persönlichkeitsrechts gemäß §§ 12, 862, 1004 BGB.[1] Wie der Arbeitgeber den Schutz sensibler Personaldaten gewährleistet, hat er grundsätzlich selbst zu bestimmen. Unterbleibt diese Bestimmung, geht sie auf den Arbeitnehmer über.[2]

Schadensersatzansprüche von Arbeitnehmern

Verletzungen der Pflichten aus der DSGVO sowie dem BDSG können gemäß Art. 82 DSGVO sowie § 83 BDSG zu Schadensersatzansprüchen des Arbeitnehmers gegenüber dem Arbeitgeber führen, sofern ein eventueller Schaden auf die nicht sorgfaltsgemäße Datenverarbeitung des Arbeitgebers zurückführbar ist. Dabei begründet § 83 Abs. 1 BDSG eine verschuldensunabhängige Haftung des Verantwortlichen in Fällen automatisierter Datenverarbeitung. Mehrere Verantwortliche haften dabei als Gesamtschuldner. Der Arbeitgeber trägt dagegen gemäß Art. 82 Abs. 3 DSGVO lediglich die Darlegungs- und Beweislast für sein sorgfaltsgemäßes Handeln; eine entsprechende Regelung enthält § 83 Abs. 1 Satz 2 BDSG nur für die nichtautomatisierte Datenverarbeitung. Inwieweit die Schadensersatzregelung in § 83 BDSG keine ausschließliche Regelung darstellt, insbesondere den auf § 823 Abs. 1 BGB gestützten Anspruch auf Geldentschädigung wegen einer schweren Persönlichkeitsrechtsverletzung verdrängt[3], ist derzeit offen, da § 83 Abs. 2 BDSG eine eigenständige Anspruchsgrundlage auch für immaterielle Schadensersatzansprüche enthält.

Diesbezüglich enthält § 44 Abs. 1 Satz 1 und Satz 2 BDSG eine für den Betroffenen günstige, alternativ wählbare Gerichtsstandsregelung für den Sitz der Niederlassung des datenverarbeitenden Unternehmens bzw. den Wohnsitz des Betroffenen.

Dokumentations- und Organisationspflichten des Arbeitgebers

Die bisherigen Meldepflichten gemäß §§ 4a ff. BDSG a. F. sind abgelöst worden durch ein in den §§ 62 ff. BDSG vollkommen neu gestaltetes System von Pflichten sowohl des für den Datenschutz Verantwortlichen als auch der von diesem eingeschalteten Auftragsverarbeiter. Entfallen ist dabei die pauschale Vorab-Meldepflicht. In der Neuregelung der DSGVO bzw. dem BDSG findet sich keine solche unmittelbare Folgeregelung. Dafür ergeben sich umfassende Pflichten des Arbeitgebers hinsichtlich der Datenverarbeitung und der diesbezüglichen Dokumentation (Art. 30 DSGVO: Verzeichnis der Datenverarbeitungsaktivitäten) sowie der Zusammenarbeit mit der Aufsichtsbehörde (Art. 31 DSGVO).

Der Arbeitgeber hat weiterhin organisatorische Vorkehrungen zu treffen, um das Datengeheimnis zu sichern, d. h. eine unzulässige Datenspeicherung, -nutzung oder -übermittlung auszuschließen.[4]

Datenschutzbeauftragter

Die Pflicht zur Bestellung eines Datenschutzbeauftragten folgt aus den Art. 37–39 DSGVO sowie dem präzisierenden § 38 Abs. 1 BDSG. Danach ist ein Datenschutzbeauftragter zu bestellen, soweit beim Arbeitgeber in der Regel mindestens 20 Personen[5] ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sofern Daten verarbeitet werden, für die eine Folgenabschätzung i. S. d. Art. 35 DSGVO[6] zu treffen ist...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge