Auswirkungen des neuen Beschäftigtendatenschutzes in der Praxis

Arbeitgeber müssen strenge Infovorschriften beachten

29.04.2019

Von Philipp Byers

Das neue Datenschutzrecht wirkt sich insbesondere im Bereich des Beschäftigtendatenschutzes aus. Der Arbeitgeber hat nun im Umgang mit Mitarbeiterdaten die Bestimmungen der DSGVO sowie des BDSG-neu zu beachten, die sich teilweise erheblich von dem bisherigen Datenschutzrecht unterscheiden.

In der Öffentlichkeit wurde vor allem darüber diskutiert, inwieweit sich die DSGVO auf die Übermittlung von Arbeitnehmerdaten innerhalb eines Konzerns oder bei der Umsetzung von Kontrollen am Arbeitsplatz auswirkt. Dagegen blieb bisher eine intensive Auseinandersetzung darüber aus, wie die DSGVO sich auf den Umgang mit Arbeitnehmerdaten im betrieblichen Alltag auswirkt. Dies überrascht, da den Unternehmen in alltäglichen Situationen erhebliche datenschutzrechtliche Risiken drohen. Nachfolgend werden einige Beispiele dargestellt, bei denen sich der neue Datenschutz gravierend in der betrieblichen Praxis auswirken kann.

Durch die neue Datenschutzgrundverordnung können sich die Konflikte zwischen Arbeitgebern und Arbeitnehmern verschärfen. Beide Seiten sollten sich über ihre Rechte gründlich informieren, damit sich die Streitereiein in Grenzen halten.
Foto: fizkes - shutterstock.com

Für Unternehmen bestehen umfassende datenschutzrechtliche Informationspflichten aus Artikel 13 DSGVO. Werden personenbezogene Daten eines Bewerbers oder Arbeitnehmers erhoben, hat der Arbeitgeber dem Betroffenen Informationen über die Datenverarbeitung zur Verfügung zu stellen. Insbesondere hat der Arbeitgeber über den konkreten Datenverarbeitungszweck die Empfänger der personenbezogenen Daten und über die Speicherdauer zu unterrichten. Die Information hat dabei zum Zeitpunkt der Datenerhebung zu erfolgen.

Konkret bedeutet dies, dass ein Bewerber bereits zu Beginn des Bewerbungsverfahrens umfassend nach Artikel 13 DSGVO zu informieren ist. Wird ein Arbeitsverhältnis begründet, hat der Arbeitgeber den Mitarbeiter spätestens zu Beginn des Arbeitsverhältnisses zu unterrichten. Werden zu einem späteren Zeitpunkt zusätzliche personenbezogene Daten erhoben, besteht für das Unternehmen eine erneute Informationspflicht. Arbeitgeber sollten daher zukünftig bereits bei Eingang der Bewerbungsunterlagen oder zum Zeitpunkt des Abschlusses eines Arbeitsvertrags ein separates Informationsblatt dem Betroffenen aushändigen, das die Informationspflichten aus Artikel 13 DSGVO erfüllt.

Gefrusteter Bewerber kann leichter klagen

Verstöße gegen die Informationspflichten können nach Artikel 83, Absatz 5 DSGVO mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Unternehmensgruppenumsatzes sanktioniert werden. Zwar ist nicht zu erwarten, dass derart hohe Strafen bei einem erstmaligen Datenschutzverstoß eines mittelständischen Unternehmens verhängt werden. Dennoch ist zu befürchten, dass die Datenschutzaufsichtsbehörden - je nach konkretem Einzelfall - ein Bußgeld in vier- bis fünfstelliger Euro-Höhe verhängen können. Insbesondere bei Bewerbungsabsagen ist es nicht ausgeschlossen, dass ein unterlegener Bewerber bei Verletzung der Informationspflichten eine Anzeige bei der zuständigen Datenschutzbehörde in Erwägung zieht. Dies kann Unternehmen erheblich unter Druck setzen.

Nach Artikel 15 DSGVO steht dem Mitarbeiter ein datenschutzrechtlicher Auskunftsanspruch gegen den Arbeitgeber zu. Auch Bewerber können sich auf Artikel 15 DSGVO berufen. Dieser Anspruch gewährt dem Betroffenen ein Recht auf Auskunft über die personenbezogenen Daten, die der Arbeitgeber über ihn verarbeitet. Der Auskunftsanspruch ist dabei umfassend. Es sind keinerlei Gründe für das Auskunftsbegehren anzugeben. Dem Arbeitnehmer wird der Auskunftsanspruch grundsätzlich jederzeit und uneingeschränkt eingeräumt. Der Arbeitgeber hat mitzuteilen, welche konkreten Daten über dem Betroffenen verarbeitet sind.

Ein bloßer Verweis auf Datenkategorien reicht nicht aus. Daneben erfasst Artikel 15 DSGVO auch weitere Angaben, die sich etwa auf den Verarbeitungszweck, die Empfänger der personenbezogenen Daten oder die Speicherdauer beziehen. Zudem ist der Arbeitgeber verpflichtet, dem Arbeitnehmer eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung zu stellen. Die Auskunft ist unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Auskunftsersuchens, zu erteilen.

Arbeitgeber muss vollständig informieren

Nur in engen Ausnahmefällen ist eine Verlängerung der Frist um weitere zwei Monate möglich. Der Arbeitgeber hat die Auskunft innerhalb der entsprechenden Frist vollständig und richtig zu erteilen. Vollständigkeit ist hier sehr weit zu verstehen. Faktisch hat der Arbeitgeber Auskunft über alle personenbezogenen Daten zu erteilen, die er zu dem betroffenen Arbeitnehmer gespeichert hat. Dies können unter Umständen sogar einzelne E-Mail-Korrespondenzen zwischen dem Unternehmen und Dritte sein, die Bezug auf den betroffenen Mitarbeiter nehmen. Die von dem neuen Datenschutzrecht geforderte vollständige Erfüllung des Auskunftsanspruchs nach Artikel 15 DSGVO stellt damit eine wahre Herkulesaufgabe für Unternehmen dar.

In der Praxis können sich Auskunftsansprüche aus Artikel 15 DSGVO äußerst negativ für den Arbeitgeber auswirken. Die Auskunftspflicht ist für den Arbeitgeber sehr umfangreich, so dass sie oftmals ohne entsprechende organisatorische Vorkehrungen nicht innerhalb der kurzen Fristen vollständig erfüllt werden kann. Erfüllt der Arbeitgeber den Auskunftsanspruch nicht vollständig und/oder unrichtig, stellt dies einen Datenschutzverstoß nach Artikel 83, Absatz 5 DSGVO dar, der mit den bereits dargestellten hohen Bußgeldrahmen sanktioniert werden kann.

Schadenersatzansprüche gegen den Arbeitgeber

Nach Artikel 82, Absatz 1 DSGVO stehen dem Betroffenen Schadensersatzansprüche zu, wenn er aufgrund eines Datenschutzverstoßes materielle oder immaterielle Schäden erleidet. Im Arbeitsrecht hat bisher die Geltendmachung von Schadenersatzansprüchen wegen Datenschutzverstößen keine große Rolle gespielt. Materielle Schäden entstehen den Mitarbeitern aufgrund von Datenschutzverstößen in den seltensten Fällen. Die Arbeitsgerichte haben nach der alten Rechtslage einen immateriellen Schadenersatzanspruch nur in extremen Ausnahmefällen angenommen. Dabei musste ein besonders schwerwiegender Eingriff in das Persönlichkeitsrecht des Mitarbeiters vorliegen (zum Beispiel Einsatz heimlicher Videoüberwachung ohne jeden Anlass).

Dies wird sich nach dem neuen Datenschutzrecht ändern. Nach dem Wortlaut des Artikel 82, Absatz 1 DSGVO reicht das Vorliegen eines immateriellen Schadens (etwa in Form einer Persönlichkeitsrechtsverletzung) für einen Schadenersatzanspruch bereits aus. Auf eine besondere Schwere des Eingriffs in das Persönlichkeitsrecht kommt es nicht an, so dass grundsätzlich bereits "einfache" Datenschutzverstöße einen immateriellen Schadenersatzanspruch begründen können. Auch die Höhe des Schadenersatzes wird wohl zunehmen. Bisher gewährten die Arbeitsgerichte immateriellen Schadenersatz maximal in Höhe weniger Tausend Euro. Nachdem Verstöße gegen die DSGVO eine abschreckende Wirkung erzielen sollen (in Form eines hohen Bußgeldrahmens), werden die Arbeitsgerichte wohl zukünftig deutliche höhere Schadenssummen den Arbeitnehmern einräumen.

Nachdem das neue Datenschutzrecht die Möglichkeiten erleichtert, Schadenersatz bei Datenschutzverstößen geltend zu machen, steigen die datenschutzrechtlichen Risiken für Unternehmen. Gerade bei Arbeitsverhältnissen, die konfliktbeladen sind oder bei denen bereits ein Kündigungsschutzverfahren anhängig ist, wird die "Motivation" bei Arbeitnehmern steigen, Schadenersatzansprüche gegen den Arbeitgeber arbeitsgerichtlich geltend zu machen. Auf diese Weise kann die Verhandlungsposition des Mitarbeiters bei Verhandlungen über eine einvernehmliche Beendigung des Arbeitsverhältnisses "gestärkt" werden.

Datenschutzrechtliche Risiken steigen

Bei Kündigungsschutzprozessen, bei denen der Arbeitgeber die Kündigung aufgrund eines durch eine Kontrolle festgehaltenen Pflichtverstoßes begründen will (zum Beispiel Diebstahl des Mitarbeiters), wird sich die Thematik "Datenschutz" zukünftig wohl doppelt stellen. In dem Kündigungsschutzprozess wird der Mitarbeiter versuchen darzulegen, dass die Kontrolle unzulässig in sein Persönlichkeitsrecht eingegriffen hat und daraus ein Beweisverwertungsverbot resultieren soll. Im Fall eines Beweisverwertungsverbot kann der Arbeitgeber die Erkenntnisse aus der Kontrolle nicht prozessual nutzen und damit regelmäßig auch nicht die Kündigung wirksam begründen. Daneben kommt bei einer rechtswidrigen Überwachung noch die Geltendmachung eines Schadenersatzanspruchs für den Arbeitnehmer in Betracht. Unternehmen laufen daher bei unzulässigen Kontrollmaßnahmen Gefahr, in Form eines Beweisverwertungsverbots sowie eines Schadenersatzanspruchs "doppelt bestraft" zu werden.

Durch die DSGVO werden bereits in Fragen des betrieblichen Alltags erhebliche datenschutzrechtliche Risiken für Arbeitgeber begründet. Insbesondere macht sich der Arbeitgeber schon bei formellen Verstößen - wie nicht ordnungsgemäße Erfüllung der Informations- oder Auskunftspflichten - gegen die Anforderungen des neuen Datenschutzrechts "angreifbar". Es besteht das Risiko, dass Mitarbeiter in arbeitsgerichtlichen Verfahren Datenschutzverstöße vermehrt geltend machen können. Hiergegen kann sich der Arbeitgeber nur durch den Aufbau eines sorgfältigen Datenschutz-Management-Systems wappnen, um die Erfüllung der umfassenden Informations- und Auskunftspflichten sicherzustellen.

*Dr. Philipp Byers ist Fachanwalt für Arbeitsrecht und Partner der Kanzlei LUTZ | ABEL PartG mbB. Er leitet dort bundesweit die Praxisgruppe Arbeitsrecht. Byers berät vorrangig Unternehmen zu allen Fragen des individuellen und kollektiven Arbeitsrechts, insbesondere im Bereich des Beschäftigtendatenschutzes und der arbeitsrechtlichen Compliance.

Aktuelle Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren