Einleitung
Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2016 gab es einige bemerkenswerte Versuche, den Datenschutz für unvorhergesehene Zwecke zu instrumentalisieren. Wenn auch bereichsübergreifendes Denken grundsätzlich begrüßenswert ist und Synergieeffekte fördert, so besteht glücklicherweise weitgehend Einigkeit darüber, dass die sogenannte „Datenschutz-Keule“ nicht dazu gedacht ist, Sonderkündigungsrechte in bestehende Vertragsbeziehungen einzuführen oder einander durch missbräuchliche Nutzung von Betroffenenrechten das Leben schwer zu machen.
Datenschutz im Arbeitsverhältnis
Findige Arbeitsrechtler mit Vorliebe für Prozesstaktik haben sich dieser Vorgehensweise ebenfalls bedient und zunehmend die Betroffenenrechte Ihrer Mandanten in arbeitsgerichtliche Auseinandersetzungen eingeführt.
Ohne Frage sind Beschäftigte durch die allgemeinen Vorgaben und Betroffenenrechte der DSGVO geschützt und genießen darüber hinaus auch durch den § 26 Bundesdatenschutzgesetz (BDSG) eine Sonderstellung.
Wenn sich Beschäftigte aber erst im Rahmen einer Auseinandersetzung mit dem Arbeitgeber oder anlässlich der Beendigung ihres Arbeitsverhältnisses einer vermeintlich unzureichenden Datenschutzorganisation des Verantwortlichen oder der eigenen Grundrechtsbeeinträchtigung bewusst werden, ist das zumindest ein angemessen zu würdigender Umstand.
Urteil des BAG vom 27.04.2021 - 2 AZR 342/20
Im vom BAG entschiedenen Fall ging es um eine Kündigung, die bereits nach einmonatiger Probezeit und mit Zustimmung des Betriebsrates ausgesprochen wurde. Der Kläger verlangte Auskunft über die vom Unternehmen zu seiner Person gespeicherten Daten und begehrte zudem eine Kopie des gesamten E-Mail-Verkehrs von ihm sowie aller E-Mails anderer Personen, in denen er erwähnt wird.
Die Revisionsinstanz hatte sich nur noch mit der Frage zu beschäftigten, ob dem Kläger diese Mailkopien zustehen, da die übrigen Klageforderungen bereits vom Arbeitsgericht Hameln und dem LAG Niedersachen abgewiesen wurden.
Hinsichtlich der Mailkopien, bei denen es sich direkt um personenbezogene Daten handelte, haben die Richter den Anspruch des Klägers bestätigt, der sich aus Art. 15 DSGVO herleitet.
Bezüglich der eigenen elektronischen Korrespondenz mit der Firma wurde der Anspruch jedoch abgelehnt, da dieser Schriftwechsel dem Kläger bereits bekannt war. Das deckt sich insoweit auch mit dem Grundgedanken der Art. 13 Abs. 4 und Art 14 Abs. 5 DSGVO, die den Verantwortlichen von seinen Informationspflichten befreien, sofern die betroffene Person bereits über die zutreffenden Informationen verfügt. Will ein Verantwortlicher die Auskunft verweigern, muss er zudem die Ausnahmetatbestände und Dokumentationspflichten des § 34 BDSG berücksichtigen.
Wenn der Kläger darüber hinaus seinen Anspruch auf E-Mails erstrecken möchte, in denen er lediglich in irgendeiner Weise genannt wird, so müsse er diese zumindest insoweit konkretisieren, als dass in einem Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich das Auskunftsverlangen bezieht.
Fazit
In der Sache blieben die Vorgaben der DSGVO und ihre inhaltlichen Grenzen unberührt. Letztlich stützte das Gericht die Entscheidung auf die Unbestimmtheit des Klageantrags und die fehlende Vollstreckungsmöglichkeit nach den Regeln der ZPO.
Dies kann man sowohl als Entwarnung als auch als Herausforderung betrachten. Mit Sicherheit werden in kommenden Verfahren die Klageanträge sorgfältiger und konkreter formuliert, bis dann eines Tages doch der Umfang des Auskunftsanspruches selbst geklärt werden muss.
Stefan Effmert
Volljurist
Berater für Datenschutz
Arbeitnehmer haben nach Art. 15 Datenschutzgrundverordnung (DSGVO) ein Auskunftsrecht gegenüber ihrem Arbeitgeber. Dieser ist verpflichtet, die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache spätestens innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Art. 82 DSGVO regelt bei Verstößen einen entsprechenden Schadensersatzanspruch.
Ein ehemaliger Arbeitnehmer hat gegenüber seinem Arbeitgeber diesen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht. Der Arbeitgeber ist diesem Auskunftsverlangen jedoch erst nach Monaten und auch nur unvollständig nachgekommen.
Das Arbeitsgericht Düsseldorf (Az.: 9 Ca 6557/18) hat das beklagte Unternehmen aus diesem Grund nun zu Schadensersatz in Höhe von 5.000 Euro verurteilt.
Die 5.000 Euro Schadensersatz setzen sich wie folgt zusammen: je 500 Euro für die ersten zwei Monate der Verspätung, je 1.000 Euro für die weiteren drei Monate und für die beiden inhaltlichen Mängel der Auskunft je 500 Euro. In die Abwägung des Gerichts floss dabei ein, dass es nur von einem fahrlässigen Verstoß des Unternehmens ausging, der entstandene immaterielle Schaden beim Kläger nur gering war, keine anderen Verstöße bekannt waren und das Unternehmen eine hohe Finanzkraft hatte.
Die Entscheidung ist noch nicht rechtskräftig, da das Gericht wegen der grundsätzlichen Bedeutung der Sache, insbesondere der fehlenden höchst- und obergerichtlichen Rechtsprechung, die Berufung zugelassen hat.
Nehmen Sie daher Auskunftsansprüche ernst und beginnen Sie unverzüglich mit deren Bearbeitung.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
In seinem beachtenswerten Urteil vom 20.12.2018, 17 Sa 11/18 hat sich das Landesarbeitsgericht von Baden-Württemberg mit der Frage auseinandergesetzt, ob ein Arbeitnehmer das Recht hat, datenschutzrechtliche Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO auch auf personenbezogene Leistungs- und Verhaltensdaten geltend zu machen. Insbesondere ging es dabei um die Frage, ob er von diesen Unterlagen eine Kopie gem. Art. 15 Abs. 3 DSGVO erhalten darf.
Während die Beklagtenseite im konkreten Fall darauf verwies, dass hier die Rechte und Freiheiten anderer Personen betroffen seien und eine Herausgabe aus diesen Gründen nicht zulässig sei, wies das Gericht in seiner Entscheidung darauf hin, dass ein derart pauschaler Hinweis nicht geeignet ist, das Auskunftsrecht einzuschränken.
Generell geht das Gericht davon aus, dass der Auskunftsanspruch nach Art. 15 DSGVO selbstverständlich auch für das Arbeitsverhältnis, also zwischen Arbeitnehmer und Arbeitgeber gilt. Jedoch bedarf es jeweils einer Einzelfallabwägung, ob ein Recht auf Erhalt einer Kopie bzw. auf das Verweigern dieses Anspruchs besteht. Entscheidend ist dabei die jeweilige Abwägung von dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung gegen das betriebliche Interesse des Arbeitgebers an der Auskunftsversagung bzw. an den berechtigten Interessen der Dritten.
Wichtig ist diese Einschätzung für die immer häufiger eingesetzten Meldesysteme im Rahmen des Whistleblowings. Zwar weist auch das Landesarbeitsgericht darauf hin, dass die Etablierung eines funktionierenden und anonymen Meldesystems durchaus das Interesse des Arbeitgebers an Geheimhaltung begründen kann, andererseits ist es jedoch möglich, dass gerade im Falle von vorsätzlichen Falschangaben oder leichtfertig unrichtigen oder unvollständigen Informationen das Interesse des (beschuldigten) Arbeitnehmers an den Informationen überwiegt. In diesem Fall müssten ggfs. auch personenbezogene Informationen über die Person des Whistleblowers im Rahmen des Auskunftsanspruchs nach Art. 15 Abs. 3 DSGVO an den betroffenen und um Auskunft verlangenden Arbeitnehmer weitergeleitet werden.
Wie also kann man dem Auskunftsanspruch entsprechen, ohne auf ein funktionierendes Whistleblowing-System zu verzichten? Dieses Problem lässt sich am einfachsten lösen, indem das sogenannte Whistleblowing tatsächlich vollständig anonym angeboten wird. Liegen dem Arbeitgeber keine personenbezogenen Daten über den Whistleblower vor, kann er diese folglich auch nicht offenlegen.
Soweit die Hinweisgeber ihren Namen nennen wollen, sollten diese bereits bei der ersten Kontaktaufnahme darauf hingewiesen werden, dass die Identität im Rahmen der gesetzlichen Vorgaben vertraulich behandelt werden. Zugleich sollte er allerdings auch darüber informiert werden, dass die beschuldigte Person innerhalb eines Monats nach der Meldung gem. Art. 14 Abs. 3 lit a DSGVO über die Identität des Hinweisgebers informiert werden muss. Dann ist es empfehlenswert, eine Einwilligung des Hinweisgebers zur Offenlegung seiner Identität einzuholen, die dieser jedoch innerhalb des einmonatigen Zeitraums bis zur Information des Beschuldigten widerrufen kann. Auf diese Weise werden keine Informationen vorenthalten und die Datenverarbeitung bleibt vollständig transparent.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
In Art. 15 bis 22 der Datenschutzgrundverordnung (DSGVO) werden die Rechte der betroffenen Personen geregelt, die jede betroffene Person gegenüber dem Verantwortlichen, der ihre personenbezogenen Daten verarbeitet, per Antrag geltend machen kann:
- Recht auf Auskunft über die beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO.
- Recht auf Berichtigung unrichtiger personenbezogener Daten, die die betroffene Person betreffen, gemäß Art. 16 DSGVO.
- Recht auf Löschung der beim Verantwortlichen verarbeiteten personenbezogenen Daten in den Fällen des Art. 17 Abs. 1 lit. a) bis f) DSGVO.
- Recht auf Einschränkung / Sperrung der beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 18 Abs. 1 DSGVO.
- Recht auf Datenübertragbarkeit, d.h. die betroffene Person kann, sofern die Voraussetzungen des Art. 20 Abs. 1 DSGVO vorliegen, verlangen, dass der Verantwortliche die bei ihm verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format der betroffenen Person selbst oder einem von der betroffenen Person bestimmten Dritten übermittelt.
- Recht, der weiteren Datenverarbeitung beim Verantwortlichen zu widersprechen gemäß Art. 21 DSGVO.
- Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, gemäß Art. 22 Abs. 1 DSGVO bzw. Einspruchsrecht gegen eine erfolgte automatisierte Einzelentscheidung gemäß Art. 22 Abs. 3 i.V.m. Art. 22 Abs. 2 lit. a) oder c) DSGVO.
Die Informationen über die ergriffenen Maßnahmen auf den Antrag der betroffenen Person hin, sind der betroffenen Person unverzüglich, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person zur Verfügung zu stellen. Sofern es erforderlich ist, die Frist aufgrund der Komplexität und Anzahl von Anträgen um 2 Monate zu verlängern, unterrichtet der Verantwortliche die betroffene Person spätestens einen Monat nach Eingang des Antrags über die Fristverlängerung sowie die Gründe für die Verzögerung.
Wird der Verantwortliche auf Antrag der betroffenen Person nicht tätig, unterrichtet er die betroffene Person ohne Verzögerung, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person über die Gründe hierfür. Insbesondere unterrichtet der Verantwortliche die betroffene Person, wenn er in den Fällen des Art. 11 Abs. 2 DSGVO nicht in der Lage ist, die betroffene Person im System zu identifizieren, dies glaubhaft darlegt und daher ihrem Antrag nicht nachkommen kann.
Im Fall einer Pflicht zur Berichtigung, Löschung oder Einschränkung der Daten, informiert der Verantwortliche die Empfänger der personenbezogenen Daten gemäß Art. 19 DSGVO, damit diese etwaige bei ihnen vorhandene Kopien oder Replikationen dieser personenbezogenen Daten ebenfalls berichtigen, löschen oder einschränken.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.