Oktober 2019

Update zum Datenschutz – Eineinhalb Jahre DSGVO in der Praxis

von Nadine Schenker

Am 25.05.2018 ist das neue Datenschutzrecht in Kraft getreten. Eine aktuelle Studie des Bitkom hat gezeigt, dass bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) noch erheblicher Nachholbedarf besteht. Laut der Studie hat erst ein Viertel der deutschen Unternehmen die Umsetzung der Verordnung vollständig abgeschlossen. Zwei Drittel haben sie zu großen Teilen umgesetzt. Welche Probleme haben sich in der Praxis herauskristallisiert und wie werden sie von der Rechtsprechung gelöst?

I. Pflicht zur Bestellung eines Datenschutzbeauftragen

Derzeit müssen Unternehmen gemäß § 38 BDSG mindestens einen Datenschutzbeauftragten haben, wenn mindestens 10 Arbeitnehmer in dem Unternehmen mit der Verarbeitung von persönlichen Daten verantwortlich sind. Um den Aufwand für Kleinbetriebe allerdings zu senken, hat der Bundestag einem Gesetzesentwurf zugestimmt, nach welchem ein Datenschutzbeauftragter erst ab einer Schwelle von zwanzig Mitarbeitern verpflichtend sein soll.

Im Hinblick auf die Datenschutzbeauftragten kommt auch immer wieder die Frage auf, ob ein Betriebsratsmitglied Datenschutzbeauftragter sein kann. Teilweise wird hierin einen Interessenkonflikt gesehen, da der Betriebsrat sich selbst überwachen müsste. Laut einem Urteil des BAG aus dem Jahr 2011 besteht aber keine Ämterinkompatibilität. Diese Auffassung bestätigte auch das sächsische LAG mit Urteil vom 19.08.2019 (Az.: 9 Sa 268/18). Unsere Empfehlung ist, dass Sie den Datenschutzbeauftragten extern rekrutieren.

II. Die Betroffenenrechte von Arbeitnehmern

Die Betroffenenrechte von Arbeitnehmern stellen Arbeitgeber vor große Herausforderungen, da die Rechte oft von Arbeitnehmern ausgenutzt werden, um z.B. in einem Kündigungsschutzprozess Druck auszuüben oder ihre Verhandlungsposition zu verbessern.

Besonders relevante Betroffenenrechte sind in Art. 13, 14, 15 und 17 DSGVO geregelt. Im Einzelnen:

1. Informationspflicht bei Erhebung von Daten (Art. 13, 14 DSGVO)

Werden personenbezogene Daten (z.B. Name, Adresse, IP-Adresse, Cookies, Geburtsdatum) erhoben, ist der Arbeitgeber grundsätzlich von sich aus verpflichtet, der betroffenen Person sog. Datenschutzhinweise mitzuteilen. Die Angaben, über die der Arbeitgeber in diesem Zusammenhang zu informieren hat, sind in Art. 13 und 14 DSGVO beschrieben. Im Zusammenhang mit dem Arbeitsverhältnis wird diese Informationspflicht in der Regel zweimal relevant: einmal bei der Bewerbung und einmal bei Begründung des Arbeitsverhältnisses.

Arbeitgeber sollten überprüfen, ob sie bereits solche Datenschutzhinweise erstellt haben. Insbesondere ist darauf zu achten, dass jeweils getrennte Hinweise für Bewerber und Arbeitnehmer erstellt werden. Auch sollten die Datenschutzhinweise nicht in den Arbeitsvertrag aufgenommen werden, da dieser sonst zu lang und unübersichtlich wird. Der Arbeitgeber sollte nachweisen können, dass er den Arbeitnehmer gem. Art. 13 bzw. 14 DSGVO informiert hat. Bei der Aushändigung der Datenschutzhinweise sollte um eine Empfangsbestätigung gebeten werden, auch wenn der Arbeitnehmer nicht verpflichtet ist, diese abzugeben.

2. Recht auf Auskunft und Datenkopie (Art. 15 DSGVO)

Arbeitnehmer haben das Recht, von ihrem Arbeitgeber Auskunft über die sie betreffenden personenbezogenen Daten zu verlangen. Was Inhalt der Auskunft sein muss, ergibt sich aus Art. 15 Abs. 1 und 2 DSGVO. Nach Art. 15 Abs. 3 DSGVO hat der Arbeitgeber eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. In arbeitsgerichtlichen Verfahren zeichnet sich der Trend ab, dass Arbeitnehmer den Anspruch auf Erhalt einer Kopie dazu nutzen wollen, um an Informationen zur Begründung ihrer Klage zu gelangen. Würde man einen solchen Anspruch bejahen, müssten Kopien von sämtlichen E-Mails, Vermerken etc., in denen der Arbeitnehmer genannt ist, kostenlos zur Verfügung gestellt werden, was einen enormen zeitlichen und finanziellen Aufwand für den Arbeitgeber bedeuten würde. Die Rechtsprechung hat dieses Problem noch nicht einheitlich bewertet. Das LAG Baden-Württemberg (Urteil vom 20.12.2018, Az.: 17 Sa 11/18) bejaht einen solchen umfassenden Anspruch des Arbeitnehmers. Das LG Köln (Urteil vom 18.03.2019, Az.: 26 O 25/18) hingegen kommt zu dem Ergebnis, dass in der Regel keine Kopien von Dokumenten, E-Mails etc. herausgegeben werden müssen.

3. Recht auf Löschung

Art. 17 Abs. 1 DSGVO gibt den Arbeitnehmern das Recht, unter bestimmten Voraussetzungen die Löschung der sie betreffenden personenbezogenen Daten von dem Arbeitgeber zu verlangen. Unter denselben Voraussetzungen ist der Arbeitgeber dazu verpflichtet, Löschungen unverzüglich vorzunehmen. Dies betrifft insbesondere solche Daten, die unrechtmäßig verarbeitet werden oder bei denen kein Interesse mehr an der Verarbeitung besteht.

Arbeitgeber sind zur Ausarbeitung eines Löschkonzepts nach der DSGVO nicht verpflichtet. Allerdings ist die Erstellung eines solchen notwendig, da die DSGVO nicht von einer grenzenlosen Speicherung ausgeht. Insbesondere nach Beendigung des Arbeitsverhältnisses sind die Daten regelmäßig zu löschen, soweit sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dies gilt nicht für Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Der Arbeitgeber sollte sich also grundsätzlich fragen, wie lange er mit der Geltendmachung von Ansprüchen zu rechnen hat. Einen Anspruch auf Löschung hat das LAG Sachsen-Anhalt (Urteil vom 23.11.2018, Az.: 5 SA 7/17) im Falle einer Abmahnung bejaht, nachdem das Arbeitsverhältnis beendet war. Der Arbeitnehmer musste im Gegensatz zu einem Anspruch auf Entfernung der Abmahnung aus der Personalakte insbesondere nicht nachweisen, ob die Abmahnung ihm künftig noch schaden kann und ob die Abmahnung inhaltlich überhaupt zutreffend war. Der Löschungsanspruch ist also grundsätzlich einfacher durchzusetzen.

III. Bußgelder

Verstöße gegen die DSGVO werden mit Bußgeldern verfolgt. Wie hoch ein DSGVO-Bußgeld ist, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall. Die Strafen müssen verhältnismäßig sein. Die Datenschutzbehörden sehen sich jeden Verstoß gesondert an und bewerten dann, wie schwerwiegend dieser ist. Hierbei werden unter anderem berücksichtigt, wie viele Personen von der Verletzung betroffen sind, ob das Unternehmen absichtlich handelte und ob mehrere Verstöße vorliegen.

IV. Fazit

Die DSGVO wirft in der praktischen Anwendung weiterhin zahlreiche Fragen auf. Insbesondere in Bezug auf das Arbeitsverhältnis hat sie große Auswirkungen und sieht zahlreiche Änderungen für Unternehmen vor. Um Abmahnungen und Bußgelder zu vermeiden, sollten sich Unternehmen intensiv mit den neuen Datenschutzregeln befassen und diese rechtskonform umsetzen.

Kontakt:
CMS Hasche Sigle

Dr. Antje-Kathrin Uhl
Rechtsanwältin

Dr. Anja Schöder, LL.M.
Rechtsanwältin

 

Link zur Homepage: cms.law